Tải bản đầy đủ (.doc) (66 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

QUẢN Lý d6cntt epu dai

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.11 MB, 66 trang )

MỤC LỤC
LỜI MỞ ĐẦU..................................................................................................................4
TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG........................................................1
0.1. Giới thiệu ..............................................................................................................1
0.2. Một số công cụ giám sát an ninh mạng.................................................................5
0.3. Kết luận................................................................................................................20
CHƯƠNG 1: XÂY DỰNG GIẢI PHÁP BẢO MẬT CÔNG TY CNTT ĐIỆN LỰC
HÀ NỘI...........................................................................................................................21
1.1. Hệ thống mạng công ty CNTT điện lực Hà Nội.................................................21
1.1.1. Mô hình mạng...............................................................................................21
1.1.2. Các công nghệ hiện nay ứng dụng trong công ty CNTT điện lực Hà Nội. .22
1.1.3. Đánh giá năng lực hệ thống..........................................................................27
1.2. Giải pháp bảo mật cho công ty CNTT điện lực Hà Nội.....................................28
1.2.1. Sự quan trọng và cần thiết của hệ thống giám sát mạng..............................28
1.2.2. Những khó khăn, thách thức khi triển khai hệ thống giám sát....................28
1.2.3. Giải pháp.......................................................................................................30
1.3. Kết luận................................................................................................................39
CHƯƠNG 2: TRIỂN KHAI, ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ VÀ GIÁM SÁT
TẬP TRUNG..................................................................................................................41
2.1. Mô hình triển khai................................................................................................41
2.2. Cấu hình thiết bị...................................................................................................42
2.3. Đánh giá kết quả..................................................................................................48
2.4. Kết luận................................................................................................................60
KẾT LUẬN....................................................................................................................61
DANH MỤC TÀI LIỆU THAM KHẢO......................................................................62


DANH MỤC CÁC HÌNH
Hình 1.1 – Nagios.............................................................................................................8
Hình 1.2 – Observium.....................................................................................................11
Hình 1.3 – Zabbix...........................................................................................................12


Hình 1.4 – Logzilla ........................................................................................................15
Hình 1.5 – Cacti..............................................................................................................17
Hình 1.6 – Splunk...........................................................................................................18
Hình 2.1 – Mô hình mạng công ty CNTT điện lực Hà Nội...........................................21
Hình 2.2 – Sơ đồ lưu trữ mạng San................................................................................23
Hình 2.3 – IPS.................................................................................................................25
Hình 2.4 – Quản lý tập trung..........................................................................................31
Hình 2.5 – Cacti thu thập dữ liệu SNMP........................................................................33
Hình 2.6 – Splunk data....................................................................................................36
Hình 3.1 – Cacti Server Monitor....................................................................................41
Hình 3.2 – Hệ thống quản lý log tập trung ....................................................................42
Hình 3.3 – Login splunk.................................................................................................48
Hình 3.4 – Lưu lượng vào ra hệ thống...........................................................................49
Hình 3.5 – Thiết lập mail cảnh báo khi có sự cố............................................................50
Hình 3.6 – CPU Usage....................................................................................................50
Hình 3.7 – Kết quả hiển thị tài nguyên của hệ thống.....................................................51
Hình 3.8 – Thống kê và giám sát cảnh báo....................................................................51
Hình 3.9 – Giám sát theo bản đồ....................................................................................52
Hình 3.10 – Log hệ thống...............................................................................................53
Hình 3.11 – Chức năng tìm kiếm của splunk.................................................................53
Hình 3.12 – Splunk tự động thống kê phân loại dữ liệu................................................54
Hình 3.13 – Cảnh báo ....................................................................................................57
Hình 3.14 – Cảnh báo trực tiếp qua giao diện ...............................................................58
Hình 3.15 – Báo cáo qua mail.........................................................................................58
Hình 3.16 – Thống kê ....................................................................................................59


Hình 3.17 – Dashboard...................................................................................................60

DANH MỤC TỪ VIẾT TẮT

Tiếng Anh

Viết tắt

Tiếng Việt

Network Security Monitoring

NSM

Giám sát an ninh mạng

Simple Network Management

SNMP

Giao thức quản lý mạng đơn giản

Protocol
Command Line Interface

CLI

Giao diện dòng lệnh

HyperText Markup Language

HTML

Ngôn ngữ đánh dấu siêu văn bản


Storage Area Network

SAN

Công nghệ lưu trữ mạng cục bộ

Intrusion Prevention Systems

IPS

Hệ thống ngăn chặn xâm nhập


LỜI MỞ ĐẦU
Ngày nay, máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức, cá
nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng
bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với
những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lý
sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng.
Tình hình mất an ninh mạng đang diễn biến phức tạp và xuất hiện nhiều nguy cơ
đe dọa đến việc phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Nguy cơ an
ninh mạng và bảo mật an toàn thông tin tại các doanh nghiệp trên thị trường đang ở
mức báo động khi tình trạng bị hacker, virus, malware tấn công khiến dữ liệu bị xóa,
thông tin bị đánh cắp, bị theo dõi, mất quyền bảo hành, lây truyền virus sang máy tính
khác,… liên tục gia tăng không ngừng, gây ra hậu quả và thiệt hại vô cùng lớn về kinh
tế, uy tín cho doanh nghiệp về lâu dài.
Xác định được tầm quan trọng trong việc bảo mật hệ thống mạng nên em đã chọn
và nghiên cứu tối ưu hệ thống bảo mật của công ty với mục đích tìm hiểu sâu sắc về cơ
chế hoạt động của nó cũng như phát hiện ra những nhược điểm, tìm giải pháp khắc

phục những nhược điểm này để hệ thống mạng trong doanh nghiệp luôn được vận
hành trơn tru, an toàn và hạn chế sự cố xảy ra.
Đồ án gồm những nội dung chính sau:
• Chương 1: Tổng quan về giám sát an ninh mạng
• Chương 2: Xây dựng giải pháp bảo mật công ty CNTT điện lực Hà Nội
• Chương 3: Triển khai, đánh giá giải pháp quản lý và giám sát tập trung
Do có những mặt hạn chế nhất định về mặt kiến thức cũng như kinh nghiệm
thực tế nên đồ án này không thể tránh được những thiếu sót, khuyết điểm. Em rất
mong được thầy cô và các bạn giúp đỡ để kiến thức bản thân cũng như đồ án được
hoàn thiện hơn.


1

TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG
Trong chương này sẽ đưa ra một cái nhìn tổng quan về giám sát an ninh mạng,
các giải pháp và các bước cần thực hiện của một hệ thống giám sát an ninh mạng.
Chương 1 cũng đưa ra một số công cụ giám sát an ninh mạng hiệu quả hiện nay.
0.1. Giới thiệu
Hiện tại chúng ta có thể không khỏi bỡ ngỡ trước độ phức tạp của hệ thống
mạng. Các thiết bị như router, switch, hub đã kết nối vô số các máy con đến các dịch
vụ trên máy chủ cũng như ra ngoài Internet. Thêm vào đó là rất nhiều các tiện ích
bảo mật và truyền thông được cài đặt bao gồm cả tường lửa, mạng riêng ảo, các dịch
vụ chống spam thư và virus. Sự hiểu biết về cấu trúc của hệ thống cũng như có được
khả năng cảnh báo về hệ thống là một yếu tố quan trọng trong việc duy trì hiệu suất
cũng như tính toàn vẹn của hệ thống. Có hàng ngàn khả năng có thể xảy ra đối với
một hệ thống và quản trị viên phải đảm bảo được rằng các nguy cơ xảy ra được thông
báo một cách kịp thời và chính xác.
Một hệ thống mạng thường có người dùng bên trong và bên ngoài, bao gồm
nhân viên, khách hàng, đối tác và các bên liên quan. Tối ưu hiệu suất mạng ảnh

hưởng đến tổ chức theo các cách khác nhau. Ví dụ, nếu nhân viên không thể truy cập
các ứng dụng và thông tin mà họ cần dùng để làm việc thì sẽ ảnh hưởng đến năng
suất công việc. Hoặc khi khách hàng không thể hoàn thành giao dịch trực tuyến, điều
này có nghĩa là mất doanh thu và ảnh hưởng tới uy tín của tổ chức. Ngay cả khi
các bên liên quan như các nhà đầu tư không thể tìm kiếm, xem xét các thông tin của
tổ chức cũng gây ảnh hưởng tới tổ chức.
Đối với một hệ thống mạng, điều quan trọng là có được thông tin chính xác vào
đúng thời điểm. Tầm quan trọng chính là nắm bắt thông tin trạng thái của thiết bị vào
thời điểm hiện tại, cũng như biết được thông tin về các dịch vụ, ứng dụng của hệ
thống.
Khi có sự cố xảy ra, ta cần phải được cảnh báo ngay lập tức, hoặc thông qua các
cảnh báo bằng âm thanh, qua màn hình hiển thị, qua email tự động được tạo ra bởi


2

chương trình giám sát. Ta biết càng sớm những gì đang diễn ra và có càng nhiều các
thông tin đầy đủ trong các cảnh báo thì càng sớm có thể khắc phục các sự cố đó.
Để hiểu được về hệ thống, ta cần một giải pháp giám sát để có thể cung cấp các
thông tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm
nào.
Giám sát an ninh mạng (Network Security Monitoring – NSM) là việc thu
thập các thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu
nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống.
Hệ thống giám sát an ninh mạng đóng vai trò quan trọng, không thể thiếu trong
hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ thống này
cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện
mạng được sinh ra trong hệ thống CNTT của tổ chức.
Ngoài ra, hệ thống giám sát an ninh mạng phát hiện kịp thời các tấn công mạng,
các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống.

Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã
độc, các máy tính bị nghi ngờ là thành viên của mạng máy tính ma (botnet).
Để công tác giám sát an ninh mạng đạt hiệu quả cần phải xác định được các yếu
tố cốt lõi, cơ bản nhất của giám sát như:
• Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
• Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát.
• Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
• Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát


3

Hệ thống giám sát an ninh mạng có thể được xây dựng theo một trong ba giải
pháp sau:
• Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và
biểu diễn nhật ký.
• Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các
nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
• Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải
pháp trên nhằm khắc phục những hạn chế vốn có.
Hệ thống giám sát mạng có thể giám sát các mạng có kích thước lớn, nhỏ, trung
bình. Một số loại mạng như là: Wireless or wired, Lan, VPN, WAN.
Thị trường kinh doanh luôn đòi hỏi các chức năng trang web mới để sử dụng nội
bộ và bên ngoài. Giám sát cho phép các nhà quản lý phân bổ nguồn lực để duy trì tính
toàn vẹn của hệ thống.
Một hệ thống giám sát sẽ giúp định hướng trong môi trường phức tạp, đưa ra các
báo cáo, người quản lý có thể sử dựng các báo cáo này để:
• Xác nhận việc tuân thủ quy định và chính sách
• Tiết kiệm chi phí tiềm lực bằng cách tìm nguồn dữ liệu dư thừa.
• Giải quyết việc bị lấy cắp thông thông tin

• Trợ giúp xác định năng suất của nhân viên
• Xác định liên kết mạng diện rộng yếu và thắt cổ chai
• Xác định độ trễ truyền tải dữ liệu
• Tìm bất thường trong mạng nội bộ có thể cho biết một mối đe dọa an ninh.


4

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ
thống mạng
• Các máy trạm
• Cơ sở dữ liệu
• Các ứng dụng
• Các server
• Các thiết bị mạng
Các bước cần thực hiện của một hệ thống NSM:
 Thu thập dữ liệu
Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình trạng
hoạt động của các thiết bị trong hệ thống mạng. Tuy nhiên, trong những hệ thống
mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một địa điểm mà nằm
trên các máy chủ, các hệ thống con riêng biệt nhau. Các thành phần hệ thống cũng
hoạt động trên những nền tảng hoàn toàn khác nhau. Mô hình Log tập trung được đưa
ra để giải quyết vấn đề này. Cụ thể, là tất cả Log sẽ được chuyển về một trung tâm để
phân tích và xử lý.
Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác nhau. Như log
của các thiết bị mạng như: Router, Swich. Log của các thiết bị phát hiện xâm nhập:
IDS, IPS, Snort … Log của các Web Server, Application Server, Log Event, Log
Registry của các Server Windows, Unix/Linux.
 Phân tích dữ liệu
Khi đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là phân

tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện những điều bất
thường, những mối đe dọa của hệ thống. Dựa trên những thông tin về lưu lượng truy
cập, trạng thái truy cập, định dạng request…


5

 Cảnh báo
Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được việc tiếp
theo là thực hiện việc đánh giá, đưa thông tin cảnh báo tới người quản trị và thực hiện
những công tác nhằm chống lại những mỗi đe dọa, khắc phục các sự cố có thể xảy ra.
Cảnh báo có thể thông qua email, SMS, hoặc thực thi các mã script nhằm hạn chế
hậu quả của sự cố. Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, sms cho người
quản trị và cũng có thể chạy script để thêm một địa chỉ IP có biểu hiện tấn công và
danh sách đen của Firewall.
0.2. Một số công cụ giám sát an ninh mạng
Hiện nay có rất nhiều công cụ hổ trợ cho việc giám sát mạng, mỗi công cụ điều có
những ưu điểm riêng tùy vào nhu cầu giám sát và quy mô của hệ thống mà người quản
trị có thể lựa cho mình một công cụ thích hợp nhất. Có thể phân loại hệ thống giám sát
ra các loại như sau:
• Các công cụ giao diện dòng lệnh CLI (Command Line Interface). Ví dụ như
ping.
• Các công cụ giao diện web bao gồm chi tiết và các tính năng biểu đồ có sẵn.
Những công cụ này có thể dễ dàng cài đặt và sử dụng. Ví dụ: Spicework,
PRTG.
• Các công cụ giám sát xây dựng trên mã nguồn mở được triển khai rất nhiều,
chúng thường sáng tạo, đặc sắc và tốt hơn tất cả là hầu như miễn phí và rẻ.
Ngoài ra, công cụ mã nguồn mở thì tương thích với hầu hết các công cụ hoặc
nền tảng. Dữ liệu cho những công cụ mã nguồn mở hầu hết là XML. Ví dụ :
Các công cụ sử dụng SNMP (Simple network management protocol) như

Cacti, OpenNMS, Nagios, MRTG, Net- snmp .v.v.; Các công cụ sử dụng RRD
tool (Round-robin database tool ) như OpenNMS, Cacti, BigSister,
WeatherMap4RRD, MailGraph…


6

• Các thiết bị hỗ trợ giám sát mạng: Có những ứng dụng giúp quản lý lưu lượng
đến các thiết bị và ứng dụng, các thiết bị cung cấp ứng dụng cân bằng tải trên
các mạng con khác nhau. Điều này giúp đồng bộ hệ thống mạng.
• Các công ty cung cấp dịch vụ giám sát, quản lý, phân tích hệ thống mạng. Các
công ty có tính chuyên nghiệp và độ tin cậy cao như HP ArcSight Logger...
Một số sản phẩm giám sát an ninh mạng:
 HP ArcSight Logger
HP ArcSight Logger là một sản phẩm trong bộ sản phẩm ArcSight của Hp. Nó
cung cấp một giải pháp hiệu quả về trong việc quản lý log. Nó có khả năng thu thập,
phân tích và lưu trữ với một khối lượng Log lớn với nhiều loại định dạng khác nhau.
Nó hỗ trợ việc triển khai hệ thống dưới nhiều hình thức như thiết bị, phần mềm, máy
ảo hoặc các dịch vụ đám mây.
Chính sách bản quyền: HP ArcSight Logger cung cấp 2 phiên bản dùng thử và trả
phí.


Với phiên bản trả phí, có đầy đủ các tính năng của HP ArcSight Logger và
không giới hạn về khối lượng dữ liệu.



Phiên bản dùng thử được hỗ trợ xử lý với dữ liệu 750 MB/ngày. Hạn chế một
số chức năng: Hỗ trợ triển khai hệ thống phân tán và Support từ các chuyên gia

của hệ thống của HP.

Tính năng:


Hỗ trợ nhiều loại định dạng Log: Syslog, Eventlog, Device Log …



Phân tích toàn diện dữ liệu.



Cảnh báo và giám sát hệ thống trong thời gian thực.



Đánh chỉ mục dữ liệu, tìm kiếm và kết xuất báo cáo.



Đi sâu vào việc phân tích ngữ cảnh từ các thông tin nhận được.


7

Ưu điểm:


Ta có thể dễ dàng triển khai HP ArcSight Logger như một thiết bị, một phần

mềm hay một dịch vụ đám mây.



HP ArcSight Logger hỗ trợ việc triển khai hệ thống phân tán một cách dễ dàng.

 NAGIOS
Nagios là một hệ thống dùng để giám sát một hệ thống mạng. Nagios thực hiện
việc theo dõi và đưa ra các cảnh báo về trạng thái các host và các dịch vụ. Nó được
xây dựng trên nền Linux và đã hỗ trợ hầu hết các hệ điều hành tương tự Linux. Một
điểm khác so với các công cụ khác là Nagios giám sát dựa tình trạng hoạt động của
các máy trạm và dịch vụ. Nó sử dụng các Plug-in được cài đặt trên các máy trạm, thực
hiện việc kiểm tra các máy trạm và dịch vụ theo định kỳ và gửi thông tin trạng thái về
Nagios Server sau đó thông tin sẽ được đưa lên với một giao diện Web (Sử dụng
Nagvis) và có thể gửi thông tin về trạng thái tới nhà quản trị qua email, SMS… khi có
sự cố xảy ra. Việc theo dõi có thể được cấu hình một cách chủ động hoặc bị động dựa
trên mục đích sử dụng của người quản trị.
Chính sách bản quyền: Cung cấp 2 phiên bản miễn phí và trả phí hỗ trợ các hệ thống
nhỏ và cả các hệ thống doanh nghiệp.
Tính năng:


Giám sát các dịch vụ mạng (SNMP, POP3, HTTP, NNTP, PING…) và các tài
nguyên của các máy trạm (processor load, disk usage…).



Dễ dàng phát triển các plug-in riêng. Cho phép người sử dụng dễ dàng phát
triển các dịch vụ giám sát nhu cầu sử dụng bằng việc sử dụng các ngôn ngữ
shell script, C ++, Perl, Ruby, Python, PHP, C# ….).




Việc giám sát các dịch vụ là song song.



Có khả năng phát hiện và phân biệt được host nào là down và host nào là
unreachable.


8



Thông tin cảnh báo (khi host và các dịch vụ xảy ra xự cố) bằng email, SMS sử
dụng 3G, …



Sử dụng giao diện Web để theo dõi trạng thái của mạng, xem lịch sử các cảnh
báo và các sự cố xảy ra.

Ưu điểm:


Nagios có thể hoạt động tốt với Splunk. Hỗ trợ việc tìm kiếm và cảnh báo hiệu
quả hơn.




Nagios cũng hỗ trợ việc xây dựng một hệ thống phân tán giúp cân bằng tải và
hoạt động ổn định hơn trong các hệ thống lớn.



Một số Plug-in điển hình: NRPE (giám sát thông tin từ xa), NSCA (hỗ trợ việc
giám sát chủ động), NDOUtils (Hỗ trợ việc lưu trữ dữ liệu), PNP4Nagios (Hỗ
trợ việc phân tích dữ liệu), Nagvis (Hỗ trợ việc hiển thị và biểu diễn trạng thái)

Nhược điểm:


Nagios chỉ hoạt động trên các máy chủ chạy hệ điều hành họ Unix/Linux.

Hình 1.1 – Nagios

 LOGGLY
Là một dịch vụ quản lý Log trực tuyến dựa trên mô hình điện toán đám mây. Nó
được phát triển bời chính các nhân viên đã từng làm việc với Splunk. Là một dịch vụ


9

giúp người dùng dễ dàng để triển khai một hệ thống giám sát an ninh mạng. Cụ thể là
mọi dữ liệu về Log sẽ được chuyển đến Loggly Server quan các client như snare hoặc
một công cụ do Loggly cung cấp. Dữ liệu được chuyển về server của Loggly sẽ được
xử lý, phân tích và đưa ra các cảnh báo tới các nhà quản trị.
Chính sách bản quyền:



Loggly là một dịch vụ trả phí. Người sử dụng cần phải trả phí để sử dụng (Có
miễn phí dùng thử 30 ngày).

Tính năng: Loggy cung cấp các chức năng gần giống với Splunk với việc tìm kiếm
thông tin trên Log, hiển thị dưới dạng biểu đồ một cách trực quan, cảnh báo tới người
sử dụng khi hệ thống có vấn đề.


Hỗ trợ định dạng: Khác với Splunk, Loggly chỉ hoạt động tốt với Syslog. Muốn
xử dụng các loại Log khác chúng ta cần phải convert chúng về Syslog để sử
dụng.



Thu thập thông tin: Loggly xây dựng trên mô hình SaaS (Software as a
Service). Nên để thu thập Log chúng ta chỉ cần cấu hình hệ thống với một client
được cung cấp để gửi Syslog tới và xử lý tại Server của Splunk.



Đánh chỉ mục dữ liệu: Loggly có thể thực hiện việc đánh chỉ mục dữ liệu một
cách nhanh chóng và tối ưu.



Tìm kiếm thông tin: Loggly cung cấp một cơ chế tìm kiếm thông minh và
nhanh chóng có thể xác định sự cố và có thể thiết lập các cảnh báo. Tuy không
đầy đủ các tính năng như tìm kiếm với Splunk nhưng cơ chế Loggly cũng giúp
người quản trị có thể tìm kiếm và thiết lập các vấn đề mà người quản trị mong

muốn.



Cảnh báo và giám sát: Loggly cung cấp một giao diện hiển thị tình trạng, kết
quả tìm kiếm bằng biểu đồ rất trực quan giúp người quản trị dễ dàng hình dung
hệ thống. Cũng giống như Splunk cơ chế cảnh báo của Loggly cũng hoạt động
dựa trên việc thiết lập tìm kiếm thông tin trên Log, cảnh báo tới người dùng khi


10

có một (nhiều) các bản ghi phù hợp với cú pháp tìm kiếm theo những cấu hình
của người sử dụng.
Ưu điểm:


Triển khai hệ thống với Loggly rất đơn giản bằng việc chúng ta chỉ cần đăng ký
một tài khoản, thực hiện cấu hình để gửi Syslog tới Loggly Server là chúng ta
đã có thể sử dụng đầy đủ các tính năng của Loggly.



Rất thích hợp với những hệ thống ở quy mô nhỏ và vừa.

Nhược điểm:


Do hoạt động trên mô hình Service nên hiệu suất của Loggly không thực sự
thích hợp với những hệ thống ở mức độ doanh nghiệp lớn.




Việc truyền tải một lượng dữ liệu lớn cũng làm giảm hiệu suất trong việc phân
tích và cảnh báo. Đặc biệt là với những mạng có tốc độ truy cập thấp.



Loggly không hỗ trợ các tính năng tự động khắc phục lỗi. (tự động chạy script
đã cấu hình sẵn để khắc phục lỗi).

 Observium
Observium là công cụ giám sát mạng dựa trên khả năng tự động dò tìm
PHP/MySQL/SNMP, bao gồm hỗ trợ cho rất nhiều phần cứng mạng và hệ điều hành,
bao gồm Cisco, Linux, FreeBSD, Juniper, Brocade, Foundry, HP,...
Công cụ này kết hợp giám sát hệ thống và mạng. Nó sử dụng dữ liệu tĩnh kết hợp
với dữ liệu tự động nhận diện trên máy chủ và thiết bị trên mạng để đưa ra nhiều
phương pháp giám sát khác nhau và có thể cấu hình để theo dõi những chỉ số cụ thể
nào đó. Giao diện Web rất gọn đẹp và dễ định vị.
Observium cũng có thể hiển thị vị trí địa lý của các thiết bị đang theo dõi trên một
bản đồ. Giao diện cũng có các hộp hiển thị cảnh báo hiện thời và số lượng thiết bị
đang theo dõi.


11

Hình 1.2 – Observium
 Zabbix
Công cụ này giám sát máy chủ và mạng bằng rất nhiều công cụ. Có những agent
Zabbix cho nhiều hệ điều hành khác nhau, hoặc có thể chọn sử dụng cách kiểm tra thụ

động, gồm SNMP để giám sát host và các thiết bị mạng. Ta cũng có thể tìm được
nhiều công cụ cảnh báo và thông báo. Giao diện Web có thể tuỳ biến giúp bạn dễ theo
dõi những thành phần mà mình quan tâm nhất. Ngoài ra, Zabbix có các công cụ đặc
biệt để giám sát các ứng dụng web và các hypervisor ảo hoá.
Zabbix cũng có thể vẽ ra các biểu đồ đa liên kết logic, liệt kê chi tiết các đối tượng
được giám sát. Những biểu đồ như vậy cũng có thể tuỳ biết và tạo thành nhóm các
thiết bị được giám sát.
Tính năng:
• Quản lý tập trung, sử dụng web interface.
• Chạy trên gần như tất cả HĐH Unix-base như CentOS, Ubuntu, FreeBSD,
Solaris..


12

• Có phiên bản Agents cho HĐH Unix-like và Windows.
• Có khả năng monitor các thiết bị hỗ trợ SNMP, IPMS.
• Hiển thị đồ họa và các tính năng minh họa khác.
• Cảnh báo trong Zabbix cho phép dễ dàng tích hợp với các hệ thống khác.
• Cấu hình linh hoạt, bao hồm các mẫu (template).

Hình 1.3 – Zabbix
Ưu điểm của Zabbix:
• Giám sát cả Server và thiết bị mạng
• Hỗ trợ máy chủ Linux, Solaris, FreeBSD …
• Đáng tin cậy trong việc chứng thực người dùng
• Linh hoạt trong việc phân quyền người dùng


13


• Thông báo sự cố qua email và SMS
• Biểu đổ theo dõi và báo cáo
• Mã nguồn mở và chi phí thấp
 Syslog-Ng
Syslog-ng là một công cụ thu thập Log rất hiệu quả và linh hoạt là sự lựa chọn của
rất nhiều nhà quản trị mạng trong việc xây dựng một hệ thống log tập trung. Syslog-ng
được xây dựng dựa trên chuẩn syslog trên nền tảng Unix và các hệ điều hành tương tự.
Gồm xây dựng với 2 thành phần Syslog-ng client và Syslog-ng Server. Các Client thực
hiện việc thu thập log quan trọng gửi tới máy chủ tập trung và lưu trữ.
Chính sách bản quyền: Syslog-ng là một phần mềm mã nguồn mở được phát triển
trên nền tảng của Syslogd. Hiện nay nó có hai phiên bản và được phát triên bởi Balabit
IT Security Ltd
Tính năng:


Thu thập dữ liệu: Syslog-client thực hiện việc tập trung log từ các host và gửi
về Syslog server. Syslog-ng thực hiện việc thu thập log từ các server khác nhau
dựa trên giao thức TCP, đảm bảo không bị mất mát thông tin trên đường truyền.
Syslog-ng cung cấp một cơ chế truy xuất log an toàn dựa trên SSL/TLS.



Định dạng log: Theo mặc định Syslog-ng chỉ hỗ trợ chuẩn, Syslog trong Unix.
Theo mặc đinh Windows không hỗ trợ Syslog.Tuy nhiên chúng ta có thể sử
dụng một số biện pháo để chuyển các loại log về dạng Syslog. Syslog-ng cũng
hoạt động rất tốt trên những môi trường (hệ điều hành, phần cứng) khác nhau:
Linux, BSD, Sun Solaris, HP-UX, AIX và Unix khác.




Lưu trữ: Với Syslog-ng, ta có thể lưu trữ dữ liệu vào cơ sở dữ liệu cho phép tìm
kiếm và truy vấn dễ dàng. Syslog-ng hỗ trợ các hệ CSDL: MSSQL, MYSQL,
Oracle và PostgreSQL.


14



Lọc và phân loại: Syslog-ng cung cấp cơ chế lọc nhằm phân loại các Log
message và cũng hạn chế lượng dữ liệu đổ về server log từ các client. Cơ chế
lọc của Syslog-ng dựa trên các thông số khác nhau như source host, ứng dụng,
sự ưu tiên trong Log message.



Cơ chế thu thập Log: Syslog-ng client được đặt trên các các client sẽ thực hiệc
việc thu tập các loại Log trên client đó. Sau đó dữ liệu sẽ được đi qua bộ phận
lọc của syslog-ng (gồm những luật đã được cấu hình trước). Sau đó mới được
gửi đến các Server log hoặc chuyển đến một Relay server rồi mới chuyển tới
Log Server.

Nhược điểm:


Syslog-ng không phải là một phần mềm phân tích cho nên syslog-ng chỉ có thể
lọc những log message phù hợp với một số tiêu chí định trước. Syslogng không thể làm tốt nhiệm vụ phân tích và cảnh báo các nguy cơ đến người
quản trị.


 Logzilla (Php Syslog-Ng)
Là phần mềm mã nguồn mở hỗ trợ việc quản lý Log tập trung được phát triển
dự trên PHP-Syslog-ng. Logzilla có thể quản lý với hàng triệu thông điệp Log,
hàng ngàn thiết bị cùng lúc. Được xây dựng trên nền web với một giao diện quản
lý trực quan và thuận tiện cho người dùng. Là sự lựa chọn của nhiều nhà quản lý và
giám sát anh ninh mạng.


15

Hình 1.4 – Logzilla
Tính năng:


Thu thập dữ liệu: LogZilla mặc định không hỗ trợ việc thu thập Log từ các thiết
bị hay các Server khác nó tập trung vào việc thực hiện trên Log đã có dựa trên
việc thu thập Log của Syslog-ng.



Hỗ trợ định dạng Log: Theo mặc định LogZilla chỉ hỗ trợ Syslog chuẩn Syslog
giống như Syslog-ng. Tuy nhiên, nó có thể hỗ trợ quản lý các sự kiện trong
Windows.



Tìm kiếm thông tin: LogZilla cung cấp một giao diện tìm kiếm theo từ khóa và
theo một số thuộc tính khá trực quan và thông minh. Tuy không được đánh giá
cao như SPLUNK nhưng LogZilla cũng được các nhà quản trị mạng đánh giá
khá cao về chức năng tìm kiếm các thông tin trong Log.




Cảnh báo và giám sát mạng: LogZilla hỗ trợ việc phát hiện các sự kiện một
cách nhanh chóng trong thời gian thực. Có thể nhanh chóng phát hiện các điểm
suy thoái của các thiết bị và máy chủ. LogZilla cũng hỗ trợ việc cảnh báo qua
Email.



Trích xuất thông tin: LogZilla cũng hỗ trợ việc tạo kết xuất ra các báo cáo theo
các định dạng: Excel và CSV. LogZilla còn hỗ trợ việc hiển thị dưới một số


16

dạng biểu đồ giúp người quản trị dễ dàng hình dung hệ thống một cách trực
quan.
Ưu điểm:
Triển khai một hệ thống LogZilla hoạt động tương đối dễ dàng ta chỉ cần thực
hiện cấu hình trên Syslog-ng Server để đọc các dữ liệu mà Syslog-ng đã lưu trữ.
Nhược điểm:


LogZilla nhìn chung chỉ thực hiện việc tìm kiếm và quản lý các thông tin đã có
trên Log một cách nhanh chóng. Ta cần thiết phải kết hợp với các công cụ khác
để tập trung và xử lý Log hiệu quả hơn (Syslog-ng).




Để triển khai LogZilla ta cần kết hợp với một hệ thống thu thập Log khác thực
hiện công việc thu thập thông tin từ các máy chủ và thiết bị khác trên mạng.

 CACTI
Cacti thu thập dữ liệu SNMP và các dữ liệu khác nhau (chẳng hạn như tải của hệ
thống, tình trạng liên kết mạng, không gian đĩa cứng, đăng nhập người dùng vv) thành
một RRD. RRD là viết tắt của Round Robin Database, là một hệ thống để lưu trữ và
hiển thị thời gian, dữ liệu, băng thông mạng, nhiệt độ, và trung bình tải máy chủ.


17

Hình 1.5 – Cacti
Tính năng:
• Quản lý thiết bị: Cacti giám sát và cho biết trạng thái của các thiết bị trong
mạng theo thời giam thực. Đồng thời Cacti còn có thể thống kê hiệu quả hoạt
động của các thiết bị.
• Giám sát Traffic mạng: Cacti giám sát hoạt động traffic trong hệ thống mạng,
giám sát traffic trên từng cổng của thiết bị.
• Discovery: Cacti có khả năng phát hiện các thiết bị mới kết nối vào hệ thống,
kiểm tra xem thiết bị mới có hỗ trợ SNMP hay không, tạo điều kiện để kết nối
giám sát thiết bị.
• Chức năng cảnh báo âm thanh: Khi sử dụng plugin monitor, hệ thống sẽ phát ra
âm thanh cảnh báo khi có thiết bị mất kết nối.


18

• Chức năng cảnh báo qua email Thold: Thold là một plugin cho phép thiết lập
các hạng ngạch giám sát, và cảnh báo qua email. Thold thiết lập các giới hạn

cao thấp của các chỉ số của thiết bị như CPU, traffic,… nếu các chỉ số vượt giới
hạn thì thold sẽ gửi email cảnh báo.
• Chức năng router config: Routerconfigs là plugin cho phép lưu lại thông tin cấu
hình của router, nhờ đó có thể backup lại router khi cần thiết.
• Chức năng weathermap: Weathermap là plugin cho phép mô phỏng lại hệ thống
mạng bằng biểu đồ có kèm theo các thông số theo dõi. Đây là chức năng rất
trực quan và hữu ích.
• Chức năng plugin NPC: NPC là plugin giúp tích hợp Nagios vào Cacti, nhờ đó
Cacti có thêm khả năng giám sát mạng của Nagios như : giám sát các dịch vụ
mạng (pop3, smtp, ftp, http…), giám sát thiết bị mạng, vẽ biểu đồ …
 Công cụ SPlunk

Hình 1.6 – Splunk
Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích
Log. Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích các dữ liệu lớn
được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng. Nó có thể
thao tác tốt với nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log,
access_combined…). Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB
với một giao diện web hết sức trực quan.


19

Tính năng:
• Định dạng Log: Splunk hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị
hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy
trạm…
• Splunk cũng kết hợp rất tốt với các công cụ thu thập log khác để tăng hiệu năng
của hệ thống.
• Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trong thời

gian thực. Giúp cho việc phát hiện và cảnh báo chính xác trong thời gian thực.
• Đánh chỉ mục dữ liệu: Splunk được xây dựng trên Lucence, có thể đánh chỉ
mục dữ liệu với một khối lượng dữ liệu rất lớn trong một khoảng thời gian
ngắn. Giúp việc tìm kiếm diễn ra nhanh chóng và thuận tiện.
• Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhật liên tục.
Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cực kỳ thông minh
bao gồm các từ khóa, các hàm và cấu trúc tìm kiếm giúp người sử dụng có thể
truy xuất mọi thứ, theo rất nhiều tiêu chí từ tập dữ liệu rất lớn. Những nhà quản
trị mạng cao cấp và chuyên nghiệp thường gọi Splunk với cái tên “Splunk toàn
năng” hay “Splunk as Google for Log files” để nói lên sức mạnh của Splunk.
• Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế cảnh báo
dựa trên việc tìm kiếm các thông tin do chính người sử dụng đặt ra. Khi có vấn
đề liên quan tới hệ thống phù hợp với các tiêu chí mà người dùng đã đặt ra thì
hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảo trực tiếp qua giao diện, gửi
Email).
• Khắc phục sự cố: Splunk còn cung cấp một cơ chế tự động khắc phục với các
vấn đề xảy ra bằng việc cấu hình để tự động chạy các file Script mà người dùng
tự tạo (Ví dụ như: Chặn IP, đóng Port …) khi có các cảnh báo xảy ra.
• Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị trực quan giúp người sử
dụng có thể dễ dàng hình dung về tình trạng của hệ thống, đưa ra các đánh giá


20

về hệ thống. Splunk còn từ động kết xuất ra các báo cáo với nhiều loại định
dạng một cách chuyên nghiệp.
• Phát triển: Cũng cung cấp các API hỗ trợ việc tạo các ứng dụng trên Splunk của
người dùng. Một số bộ API điển hình như Splunk SDK (Cung cấp các SDK
trên nền tảng Python, Java, JS, PHP), Shep (Splunk Hadoop Intergration – Đây
là sự kết hợp giữa Splunk và Hadoop), Shuttl (Là một sản phẩm hỗ trợ việc sao

lưu dữ liệu trong Splunk), Splunkgit (Giúp bạn hình dung dữ liệu tốt hơn),
Splunk power shell resource Kit (Bộ công cụ hỗ trợ việc mở rộng và quản lý hệ
thống).
0.3. Kết luận
Việc thực hiện triển khai một hệ thống giám sát toàn bộ các thiết bị mạng là việc
cấp thiết cho tất cả các doanh nghiệp, tổ chức. Hệ thống giám sát giúp tối ưu hóa bảo
mật hệ thống, tăng cường an ninh mạng, và có thể giải quyết các sự cố kịp thời.


21

CHƯƠNG 1: XÂY DỰNG GIẢI PHÁP BẢO MẬT CÔNG TY CNTT ĐIỆN
LỰC HÀ NỘI
Trong chương này sẽ đưa ra hiện trạng của hệ thống mạng công ty công nghệ
thông tin điện lực Hà Nội. Từ đó phân tích những điểm yếu trong hệ thống và đề xuất
giải pháp để tối ưu hệ thống bảo mật của công ty.
1.1. Hệ thống mạng công ty CNTT điện lực Hà Nội
1.1.1. Mô hình mạng

Hình 2.1 – Mô hình mạng công ty CNTT điện lực Hà Nội


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×