Nghiên cứu hệ thống giám sát an ninh mạng ứng dụng tại sở thông tin và truyền thông tỉnh vĩnh phúc (LV01990)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.73 MB, 75 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC SƢ PHẠM HÀ NỘI 2
VŨ VƢƠNG TOÀN
NGHIÊN CỨU HỆ THỐNG GIÁM SÁT AN NINH MẠNG
ỨNG DỤNG TẠI SỞ THÔNG TIN VÀ TRUYỀN THÔNG
TỈNH VĨNH PHÚC
Chuyên ngành: Khoa học máy tính
Mã số: 60 48 01 01
LUẬN VĂN THẠC SĨ MÁY TÍNH
HƯỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG
HÀ NỘI, 2016
LỜI CẢM ƠN
Trước hết học viên xin gửi lời cảm cơn tới các thầy cô giáo trường đại
học Sư phạm Hà Nội 2, nơi học viên đã được truyền đạt các kiến thức quý báu
trong suốt quá trình học tập. Xin cám ơn các cán bộ nhà trường đã tạo điều
kiện tốt nhất cho học viên học tập và hoàn thành luận văn này.
Đặc biệt, học viên xin được gửi lời cám ơn đến thầy giáo hướng dẫn,
TS. Hồ Văn Hương – Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp đỡ
học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn.
Xin cảm ơn bạn bè đã giúp đỡ tài liệu và trao đổi kinh nghiệm để hoàn
thành khoá luận tốt nghiệp.
Xin cảm ơn!
Hà Nội, Ngày 6 tháng 7 năm 2016
Học viên thực hiện
Vũ Vƣơng Toàn
LỜI CAM ĐOAN
Học viên xin cam đoan luận văn “Nghiên cứu hệ thống giám sát an ninh
mạng ứng dụng tại Sở Thông tin và Truyền thông tỉnh Vĩnh Phúc” là công
trình nghiên cứu của chính bản thân học viên. Các nghiên cứu trong luận văn
này dựa trên những tổng hợp kiến thức lý thuyết đã được học, và sự hiểu biết
thực tế dưới sự hướng dẫn khoa học của thầy giáo TS. Hồ Văn Hương.
Các tài liệu tham khảo được trích dẫn đầy đủ nguồn gốc. Học viên xin
chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam
đoan của mình.
Hà Nội, Ngày 6 tháng 7 năm 2016
Học viên thực hiện
Vũ Vƣơng Toàn
MỤC LỤC
LỜI CẢM ƠN
LỜI CAM ĐOAN
DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN
DANH MỤC HÌNH ẢNH
MỞ ĐẦU ...................................................................................................... 1
CHƢƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG VÀ HỆ
THỐNG GIÁM SÁT AN NINH MẠNG ...................................................... 5
1.1. Tổng quan giám sát an ninh mạng. ............................................................. 5
1.2. Mục tiêu, lợi ích của giám sát thông tin hệ thống ....................................... 6
1.2.1. Mục tiêu .................................................................................................... 6
1.2.2. Lợi ích của việc giám sát thông tin hệ thống ........................................... 6
1.3. Tình hình an ninh mạng trong nước và quốc tế. ......................................... 6
1.4. Thực trạng và nhu cầu giám sát an ninh mạng tại sở TT&TT Vĩnh Phúc. . 9
1.5. Cấu trúc, chức năng của hệ thống giám sát an ninh mạng ........................ 11
1.6. Giao thức SNMP ....................................................................................... 13
1.6.1. Giới thiệu................................................................................................ 13
1.6.2. Các phiên bản giao thức SNMP ............................................................. 14
163
á thành ph n h nh và m h nh ủ gi o thứ
N
....................... 14
1.6.4. Cấu trú và đặ điểm của thông tin quản lý SMI .................................. 15
165
á
ơ hế bảo mật SNMP .................................................................... 17
1 6 6 Ưu và nhượ điểm của SNMP ................................................................ 19
1.7. Một số phần mềm giám sát mạng sử dụng giao thức SNMP .................... 20
1.7.1. Nagios..................................................................................................... 20
1.7.2. OpenNMS ............................................................................................... 20
1.7.3. Cacti ..................................................................................................... 20
1 7 4 o sánh, phân t h đánh giá á
ng ụ giám sát mạng ...................... 21
CHƢƠNG 2: NGHIÊN CỨU TÌM HIỂU PHẦN MỀM CACTI ........... ..23
2.1. Lý do chọn phần mềm Cacti ..................................................................... 23
2.2. Chức năng của phần mềm Cacti................................................................ 24
2.3. Kiến trúc của phần mềm Cacti ................................................................. 27
2.4. Một số khái niệm cơ bản trong phần mềm Cacti ...................................... 29
2.5.Các tệp cấu hình trong phần mềm Cacti .................................................... 31
2.6. Cách thức định nghĩa đối tượng trong các tệp cấu hình đối tượng ........... 32
2 6 1 Định nghĩ Host ..................................................................................... 33
2.6.2 Định nghĩ dịch vụ ................................................................................. 33
2.6.3 Định nghĩ Lệnh..................................................................................... 35
2.7. Các dịch vụ giám sát ................................................................................. 36
2.7.1. Giám sát các thiết bị mạng .................................................................... 36
Cấu hình giám sát router/switch ...................................................................... 36
2.7.2. Giám sát các dịch vụ mạng .................................................................... 37
2.8. Cảnh báo tới người quản trị ...................................................................... 44
2.9. Tổng hợp báo cáo ..................................................................................... 45
2.10. Đánh giá, so sánh hệ thống giám sát triển khai dựa trên Cacti .............. 46
CHƢƠNG 3: TRIỂN KHAI ỨNG DỤNG PHẦN MỀM CACTI TẠI SỞ
TT&TT TỈNH VĨNH PHÚC ....................................................................... 47
3.1. Mô hình triển khai ..................................................................................... 47
3.1.1. Mô hình mạng tại Sở Thông tin và Truyền thông tỉnh Vĩnh hú ......... 47
3 1 2 Đề xuât mô hình ứng dụng ph n mềm Cacti tại Sở Thông tin và Truyền
thông tỉnh Vĩnh hú ........................................................................................ 48
3.2. Các bước triển khai giám sát an ninh mạng .............................................. 50
3.3. Kết quả triển khai giám sát hệ thống......................................................... 58
3.3.1. Giám sát máy sử dụng hệ điều hành windows ....................................... 58
3.3.2. Giám sát máy chủ web server ................................................................ 61
3.3.3. Giám sát Mail server.............................................................................. 63
KẾT LUẬN.....................................................................................................62
DANH MỤC CÁC TÀI LIỆU THAM KHẢO .......................................... .64
DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN
Viết tắt/thuật ngữ
Tên đầy đủ
Ý nghĩa
FTP
File Tranfer Protocol
Dùng để chỉ các thiết bị mạng, các
máy đầu cuối được giám sát…(tất
cả các thiết bị tham gia vào mạng
đều được gọi chung là host)
Tình trạng thay đổi trạng thái liên
tục
Là các ứng dụng hỗ trợ cho hoạt
động của một phần mềm.
Giao thức truyền tập tin
HTTP
Hyper Text Tranfer
Protocol
Giao thức truyền tải siêu văn bản
IP
Internet Protocol
Giao thức mạng
MIB
Management
Information Base
Cơ sở thông tin quản lý
OID
Object Identifier
Định danh đối tượng
LAN
Local Area Network
Mạng cục bộ
SNMP
Simple Network
Managerment
Giao thức quản lý mạng đơn giản
Host
Flap
plugin
Protocol
TCP
Transmission Control
Protocol
Giao thức kiểm soát
UDP
User Datagram
Protocol
Giao thức sử dụng dữ liệu
ICMP
Internet Control
Message Protocol
Giao thức điều khiển thông điệp
Internet
MAC
Media Access
Controllers
Bộ điều khiển truy cập truyền thông
PDU
Protocol Data Unit
Giao thức dữ liệu đơn vị
DANH MỤC HÌNH ẢNH
Hình 1.1. Minh họa SNMP .............................................................................. 15
Hình 1.2. Cây MIB ........................................................................................... 16
Hình 2.1. Biểu đồ băng thông của cổng mạng ................................................. 25
Hình 2.2. Biểu đồ băng thông của hệ thống .................................................... 26
Hình 2.3. Trạng thái thiết bị ............................................................................ 27
Hình 2.4. Các module của phần mềm Cacti .................................................... 29
Hình 2.5. Cấu trúc phần mềm Cacti ............................................................... 29
Hình 2.6. Cấu hình cảnh báo email .............................................................. 44
Hình 2.7. Cấu hình cảnh báo SMS ............................................................... 45
Hình 2.8. Tổng hợp báo cáo........................................................................... 45
Hình 3.1. Mô hình mạnh tại Sở TT&TT Vĩnh Phúc .................................. 47
Hình 3.2. Sơ đồ triển khai ứng dụng phần mềm Cacti tại Sở TT&TT
Vĩnh Phúc ........................................................................................................ 49
Hình 3.3. Màn hình giao diện Cacti khởi động cài đặt ............................... 51
Hình 3.4. Màn hình giao diện Cacti kiểm tra các công cụ Trên trình duyệt
Web nhập địa chỉ http://192.168.0.104/cacti ................................................ 51
Hình 3.5. Màn hình đăng nhập hệ thống ..................................................... 52
Hình 3.6. File SNMP services ........................................................................ 52
Hình 3.7. Đặt cấu hình SNMP services ........................................................ 53
Hinh 3.8. Thêm thiết bị máy client vào cacti ............................................... 53
Hình 3.9. Thêm thiết bị máy chủ windows vào Cacti ................................. 54
Hình 3.10. Danh sách các nội dung cần giám sát ........................................ 54
Hình 3.11. Lựa chọn thiết bị muốn tạo đồ thị ............................................. 55
Hình 3.12. Biểu đồ thiết bị ............................................................................. 56
Hình 3.13. Danh sách các máy có trong cây đồ thị ..................................... 57
Hình 3.14. Tình trạng thiết bị trên cây đồ thị (máy 2) ............................... 57
Hình 3.15. Tình trạng thiết bị trên cây đồ thị ............................................. 58
Hình 3.16. Biểu đồ tốc độ CPU ..................................................................... 59
Hình 3.17. Biểu đồ tình hình sử dụng RAM ................................................ 60
Hình 3.18. Biểu đồ dung lƣợng ổ đĩa C ........................................................ 60
Hình 3.19. Biểu đồ tốc độ mạng .................................................................... 61
Hình 3.20. Trạng thái request của IIS trên web server windows .............. 61
Hình 3.21. Băng thông của web server ......................................................... 62
Hình 3.22. Trạng thái các dịch vụ của web server ...................................... 63
Hình 3.23. Trạng thái các dịch vụ của mail server ..................................... 63
1
MỞ ĐẦU
1. Lý do chọn đề tài
Năm 2015, an ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề
“nóng” sau một loạt các sự kiện ở tầm quốc gia và quốc tế. Vụ việc các
chương trình do thám của Cơ quan An ninh quốc gia Mỹ bị đưa ra công khai
và hàng loạt các vụ tấn công của tin tặc đã khiến nhận thức và mối quan tâm
của xã hội đối với vấn đề này càng sâu sắc và rõ nét hơn trong năm 2016.
Do vậy hệ thống mạng máy tính là một phần tất yếu và vô cùng quan
trọng của một Quốc gia, một doanh nghiệp hay đơn giản chỉ là một hộ gia
đình nh . Phần lớn các công việc ngày nay t giao dịch đến trao đổi thông tin
đều dựa trên hệ thống mạng máy tính.
Các chuyên gia an ninh mạng đã đoán trước rằng trong kỷ nguyên
Internet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ
đang trở thành thực tế. Trong những năm gần đây, các website trên Internet,
cũng như các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiều
đợt tấn công của các tội phạm mạng. Đã có nhiều website, hệ thống mạng bị
ngưng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp.
Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnh
hưởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanh
nghiệp, ảnh hưởng đến nền an ninh quốc phòng của nhiều quốc gia.
Đầu năm 2016 các vụ tấn công mạng ngày càng gia tăng, với nhiều loại
hình tấn công và mức độ ngày càng nghiêm trọng. Những kẻ tấn công cũng có
nhiều mục đích khác nhau như: chính trị, tài chính, tôn giáo, gián điệp, khủng
bố... nhằm đánh cắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngưng hoạt
động, hoạt động chậm…
Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên
nghiêm trọng. Vì vậy việc nghiên cứu các hệ thống giám sát, chống tấn công
2
mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn
định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết. Giải quyết
vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiện nay.
Sở Thông tin và Truyền thông tỉnh Vĩnh Phúc có chức năng nhiệm vụ
quản lý nhà nước về Công nghệ thông tin, viễn thông, bưu chính và báo chí
xuất bản trên địa bàn tỉnh, ngoài ra trực tiếp quản lý vận hành Trung tâm dữ
liệu của tỉnh.
Trung tâm dữ liệu của tỉnh đặt tại Sở TT&TT là trái tim về ứng dụng
CNTT của toàn tỉnh Vĩnh Phúc, hiện đang được cài đặt các ứng dụng dùng
chung của tỉnh bao gồm 30 Cổng thông tin điện của các đơn vị, 34 phần mềm
Quản lý văn bản và điều hành, hệ thống thư điện tử công vụ, hệ thống gis nền
địa lý, hệ thống một cửa điện tử liên thông của toàn tỉnh và nhiều ứng dụng
chuyên nghành khác nữa…
Với tình hình an ninh mạng cấp thiết như trên và tầm quan trọng của hệ
thống CNTT đặt tại Sở TT&TT tỉnh Vĩnh Phúc, xin đề xuất nghiên cứu và
triển khai thành luận văn với đề tài: “Nghiên cứu hệ thống giám sát an ninh
mạng ứng dụng tại sở Thông tin và Truyền thông tỉnh Vĩnh Phúc”.
2. Mục đích nghiên cứu
Tìm hiểu về an toàn thông tin, nguy cơ mất an toàn thông tin và giám
sát an ninh mạng. Ứng dụng phần mềm giám sát mạng Cacti tại Sở TT&TT
Vĩnh Phúc.
3. Nhiệm vụ nghiên cứu
- Tìm hiểu về tổng quan về an toàn thông tin, giám sát an ninh mạng.
3
- Tìm hiểu cấu trúc, chức năng của hệ thống giám sát an ninh mạng.
- Nghiên cứu tìm hiểu phần mềm giám sát mạng Cacti.
- Nghiên cứu triển khai phần mềm Cacti tại sở TT&TT tỉnh Vĩnh Phúc.
4. Đối tƣợng và phạm vi nghiên cứu
- Giám sát an toàn thông tin, an ninh mạng bao gồm các cấu trúc, chức
năng hệ thống giám sát, quản lý và các công vụ phát hiện tấn công mạng.
- Ứng dụng phần mềm Cacti giám sát an ninh mạng tại Sở TT&TT.
5. Phƣơng pháp nghiên cứu
Sử dụng các phương pháp nghiên cứu chính sau:
- Nghiên cứu lý thuyết: Tổng hợp tài liệu, phân tích, suy diễn, qui nạp,
các phương pháp hình thức...
- Mô ph ng, thực nghiệm: Điều tra chọn mẫu, xử lí thống kê, đối sánh.
- Trao đổi khoa học, lấy ý kiến chuyên gia.
6. Dự kiến kết quả đạt đƣợc
- Nghiên cứu, tìm hiểu tổng quan về an ninh mạng.
- Đánh giá thực trạng an toàn thông tin tại Sở TT&TT tỉnh Vĩnh Phúc.
- Nghiên cứu, tìm hiểu hệ thống giám sát an ninh mạng
- Tìm hiểu công cụ giám sát an toàn, an ninh mạng.
- Ứng dụng dụng công cụ để xây dựng giám sát an ninh mạng tại Sở
TT&TT tỉnh Vĩnh Phúc.
4
7. Bố cục luận văn
Dựa trên đối tượng và phạm vi nghiên cứu, luận văn sẽ được phân làm
3 chương chính với các nội dung cụ thể như sau:
Chương 1. Tổng quan về giám sát an ninh mạng và hệ thống giám sát
an ninh mạng
Chương 2. Nghiên cứu tìm hiểu phần mềm Cacti
Chương 3. Triển khai ứng dụng phần mềm cacti tại Sở TT&TT tỉnh
Vĩnh Phúc
5
CHƢƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG
VÀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG
1.1. Tổng quan giám sát an ninh mạng
Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể
thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ
chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương
quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của
tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp thời các tấn
công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng,
các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của
mạng máy tính ma (botnet).
- Các yếu tố cơ bản của giám sát:
Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được
các yếu tố cốt lõi, cơ bản nhất của giám sát như:
Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám
sát.
Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Các giải pháp công nghệ giám sát an toàn mạng
Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong
ba giải pháp sau:
Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ
và biểu diễn nhật ký.
6
Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý
các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai
giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, tài liệu sẽ
hướng tới xây dựng giải pháp này.
1.2. Mục tiêu, lợi ích của giám sát thông tin hệ thống
1.2.1. Mục tiêu
Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể
thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ
chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương
quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của
tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp thời các tấn
công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng,
các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của
mạng máy tính ma.
1.2.2. Lợi ích của việc giám sát thông tin hệ thống
Các tổ chức khác nhau sử dụng giám sát hệ thống với mục đích khác
nhau, do đó lợi ích thu được cũng khác nhau. Có ba lợi ít lớn nhất của việc
giám sát thông tin hệ thống:
- Quản lý tập trung
- Giám sát an toàn mạng
- Cải thiện hiệu quả trong hoạt động xử lý sự cố
1.3. Tình hình an ninh mạng trong nƣớc và quốc tế
7
Theo số liệu thống kê, số vụ tấn công trên mạng và các vụ xâm nhập hệ
thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài
sản, cạnh tranh không lành mạnh và một số vụ việc mất an toàn thông tin số
khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi
hơn về công nghệ. Các cơ quan chức năng, đặc biệt là Trung tâm Ứng cứu
khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông
liên tục ra cảnh báo về các nguy cơ, mối đe dọa mất an toàn thông tin và các
lỗ hổng bảo mật.
Thống kê của VNCERT cho thấy t ngày 01/08 đến ngày 07/08/2015
Trung tâm VNCERT ghi nhận nhiều trường website bị tấn công, trong đó có
18 website thuộc các Bộ ngành, Cơ quan nhà nước bị tấn công chiếm quyền
điều khiển và thay đổi giao diện. T ngày 01/08 đến ngày 07/08/2015 Trung
tâm VNCERT đã ghi nhận và phát hiện 357 trường hợp sự cố tấn công thay
đổi giao diện trên toàn quốc. Tính đến ngày 07/08/2015, đã có 169 trường hợp
website đã khắc phục sự cố, còn lại 188 trường hợp chưa khắc phục. Những
trường hợp này VNCERT tiếp tục gửi cảnh báo cho đến khi sự cố được xử lý
triệt để. Trong 357 sự cố trên, có 18 website của các Bộ, ngành, Cơ quan nhà
nước. Đặc biệt, VNCERT ghi nhận 66 tên miền có địa chỉ IP máy chủ đặt tại
Việt Nam bị tấn công chiếm quyền điều khiển và thay đổi giao diện do Haker
Trung Quốc gây ra.
Chỉ trong 9 tháng đầu năm 2015, đã phát hiện hơn 3.296.200 địa chỉ IP
bị nhiễm mã độc và bị điều khiển bởi các máy chủ bên ngoài lãnh thổ, 18.085
website bị nhiễm mã độc và lây lan mã độc đến các máy tính trong mạng,
trong đó có 88 website/Cổng thông tin điện tử của các Cơ quan nhà nước,
5.368 website bị tấn công và cài mã l a đảo phishing, 7.421 tấn công thay đổi
giao diện (deface), trong đó có 164 website/Cổng thông tin điện tử của các Cơ
quan nhà nước.
8
Trước đó, thống kê của Cục An toàn thông tin cho thấy, trong tháng
7/2015 có 1.007 máy chủ và 2.198 website bị hacker tấn công với mục đích
gửi thư rác.
Ngoài các nguy cơ tấn công vào website, tình hình lây lan mã độc vô
cùng nguy hiểm. Theo thông tin của Cục An toàn thông tin Việt Nam năm
2014, Việt Nam nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm phần
mềm độc hại cao trên thế giới, với tỷ lệ là 66% máy tính bị lây nhiễm. Việt
Nam gặp phải khoảng hơn 8.000 cuộc tấn công thay đổi giao diện đối với các
hệ thống có tên miền “.vn”, trong số đó có hơn 200 cuộc tấn công vào các hệ
thống có tên miền “.gov.vn”. Tuy nhiên, hơn 60% số cơ quan, tổ chức của
Việt Nam không hề có khả năng ghi nhận, cảnh báo hành vi dò quét, thử tấn
công nhằm vào hệ thống thông tin của mình.
Theo Báo cáo Chỉ số An toàn thông tin mạng toàn cầu của ITU, Việt
Nam đứng thứ 76 trên tổng số 196 quốc gia được đánh giá, với chỉ số 0.324,
cao hơn mức trung bình của thế giới (0.28). Riêng tại khu vực châu Á - Thái
Bình Dương, trong số 40 quốc gia, vùng lãnh thổ được ITU đánh giá thì Việt
Nam có chỉ số ATTT mạng xếp thứ 17.
Các loại tấn công điển hình đặc biệt nguy hiểm phải kể đến:
Lộ lọt các thông tin nhạy cảm, bí mật trong quá trình soạn thảo, trao đổi tài
liệu.
Hòm thư điện tử bị ăn cắp mật khẩu để truy cập trái phép thư điện tử, gửi thư
mạo danh.
Mất quyền kiểm soát các hệ thống thông tin, bị tin tặc cướp quyền điều
khiển máy tính cá nhân, máy chủ. Bị tin tặc tấn công thay đổi giao diện, đưa
thông tin vi phạm pháp luật lên hệ thống.
9
Cài đặt mã độc để thường xuyên ăn cắp thông tin hoặc điều khiến trái
phép.
Kết quả nghiên cứu, khảo sát cũng cho thấy nhiều hệ thống công nghệ
thông tin của các cơ quan nhà nước và doanh nghiệp, đặc biệt là các Cổng,
trang thông tin điện tử có nhiều điểm yếu về an toàn thông tin, chưa được áp
dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp dẫn đến
tình trạng bị tin tặc lợi dụng, khai thác, chiếm quyền điều khiển, thay đổi và
đăng tải các nội dung không lành mạnh v.v...
Điển hình có thể kể đến các đợt tấn công nguy hiểm như đợt tấn công
t
ngày 30/5/2015 đến ngày 04/06/2015, hàng trăm website Việt Nam bị
nhóm tin tặc 1937cn tấn công, trong đó số website tên miền “.gov.vn” và
“.edu.vn” có tên trong danh sách các trang web bị tin tặc tấn công lần lượt là
28 và 140 trang. Nhóm tin tặc 1937cn đã tấn công thay đổi giao diện đưa các
thông điệp liên quan đến xung đột trên Biển Đông giữa Trung Quốc và các
nước ASEAN như Việt Nam, Philippines. Trong đợt tấn công này, nhóm tin
tặc 1937cn vẫn sử dụng thủ đoạn tấn công trước đó là khai thác lỗ hổng trên
phần mềm mã nguồn mở FCKeditor (trình hỗ trợ soạn thảo văn bản) trên
website. Mặc dù Trung tâm VNCERT đã tiến hành cảnh báo lỗ hổng này
nhiều lần nhưng các đơn vị chủ quản website vẫn không khắc phục triệt để
dẫn đến liên tục có tên trong danh sách bị tấn công.
Qua đó cho thấy những lỗ hổng tồn tại trên website, Cổng thông tin
chủ yếu xuất phát t việc thiếu quy trình kiểm tra đánh giá cũng như kinh
nghiệm về lập trình an toàn./.
1.4. Thực trạng và nhu cầu giám sát an ninh mạng tại sở TT&TT Vĩnh
Phúc
10
Theo chỉ đạo của Tỉnh ủy, UBND tỉnh Sở TT&TT Vĩnh Phúc là đơn vị
quản lý hạ tầng CNTT-TT dùng chung của tỉnh, thực hiện liên kết, tích hợp
kỹ thuật, vận hành, bảo đảm an toàn, bảo mật cho hệ thống CNTT toàn tỉnh.
Sở TT&TT Vĩnh Phúc đã phối hợp với các cơ quan, đơn vị thực hiện
tích hợp tòan bộ các cơ sở dữ liệu, phần mềm dùng chung của tỉnh tại Sở
TT&TT Vĩnh Phúc, các hệ thống thông tin lớn của tỉnh đã được đưa về vận
hành, lưu trữ, đảm bảo an toàn, an ninh thông tin tại đây. Trong thời gian tới
sẽ tích hợp thêm các hệ thống thông tin Một cửa điện tử, Quản lý cán bộ công
chức, Báo Vĩnh Phúc, Dữ liệu truyền hình...
Hoạt động của hệ thống được duy trì kỹ thuật 24/7, quản lý 70 tên miền;
1024 địa chỉ IP; đảm bảo an tòan, bảo mật, đường truyền, máy chủ, lưu trữ, sao
lưu dự phòng thảm họa cho: Cổng thông tin – Giao tiếp điện tử của tỉnh; 30
cổng thông tin điện tử thành phần; Phần mềm quản lý văn bản và điều hành cho
34 đơn vị của tỉnh; Hệ thống thư điện tử của tỉnh; Cơ sở dữ liệu GIS nền, GIS
viễn thông, Web GIS của tỉnh và 15 ứng dụng, cơ sở dữ liệu chuyên ngành khác
của các cơ quan, đơn vị.
Sở TT&TT Vĩnh Phúc tỉnh Vĩnh Phúc đã khởi tạo, cấp phát và duy trì
gần 8000 tài kh an người dùng; 8000 hộp thư điện tử sử dụng tên miền
@vinhphuc.gov.vn cho cán bộ, công chức, viên chức của các cơ quan trong
hệ thống chính trị của tỉnh. Mặc dù hệ thống thư điện tử công vụ đang được
bảo về bằng phần mềm chống spam thư rác, virus, malware, spyware của
Trendmicro nhưng nhiều tài khoản vẫn bị nhiễm thư rác và virus, chưa thể
phòng chống triệt để. Phần mềm trendmicro chưa thể quét hết được các lỗ
hổng, tài khoản đặt mật khẩu yếu, đưa ra các cảnh bảo nhắc nhở về điểm yếu
của hệ thống thư công vụ để có thể khắc phục.
Cổng thông tin – Giao tiếp điện tử của tỉnh, 30 cổng thông tin điện tử
thành phần, Phần mềm quản lý văn bản và điều hành cho 34 đơn vị của tỉnh,
11
là các ứng dụng dùng chung của tỉnh sử dụng trên môi trường web được cài
đặt trên các máy chủ của Sở TT&TT Vĩnh Phúc.
T
đầu năm 2014 Sở TT&TT Vĩnh Phúc đã tham mưu với Sở và
UBND tỉnh đồng ý kết nối 32 đơn vị sở, ban, ngành, huyện thành thị kết nối
mạng LAN với hệ thống mạng lõi của Sở TT&TT Vĩnh Phúc qua đường
truyền số liệu chuyên dùng thành mạng diện rộng của tỉnh. Hiện tại, cùng một
lúc có hàng trăm người sử dụng t các sở, ban, ngành vào Sở TT&TT Vĩnh
Phúc, do vậy việc khi sẩy ra vấn đền an ninh mạng là ảnh hưởng tới nhất
nhiều người dùng tại các cơ quan, đơn vị trong hệ thống chính trị của tỉnh.
Có thể nói, Sở TT&TT Vĩnh Phúc cơ bản đã đáp ứng được việc cung
cấp hạ tầng CNTT cho các ứng dụng dùng chung của tỉnh và chuyên ngành
của các cơ quan, đơn vị. Tuy nhiên, còn tiềm ần nhiều nguy cơ mất an toàn,
an ninh thông tin. Hệ thống mạng và các ứng dụng này chưa có hệ thống giám
sát an ninh mạng chuyên dụng. Do đó các ứng dụng trên vẫn có rất nhiều nguy cơ
tiềm ẩn về an toàn an ninh mạng, các hệ thống này cần phải được giám sát bởi
phần mềm giám sát mạng để có thể phát hiện sớm các rủi ro về an ninh mạng, bảo
đảm hệ thống CNTT tại Sở TT&TT Vĩnh Phúc có thể hoạt động tốt 24/7.
1.5. Cấu trúc, chức năng của hệ thống giám sát an ninh mạng
Hệ thống giám sát sử dụng hai phương thức “Poll” và “Alert”, nhiều phần
mềm và giao thức được xây dựng dựa trên 2 phương thức này, trong đó có
SNMP.
Phƣơng thức Poll:
Nguyên tắc hoạt động: Máy chủ giám sát sẽ thường xuyên h i thông tin của
thiết bị cần giám sát. Nếu máy giám sát không h i thì thiết bị không trả lời, nếu
máy giám sát h i thì thiết bị phải trả lời. Bằng cách h i thường xuyên, máy giám
sát sẽ luôn cập nhật được thông tin mới nhất t thiết bị.
12
Thiết bị (Device)
Máy chủ giám sát
Yêu cầu #1
Phản hồi
Yêu cầu
#1
#2
Phản hồi
#2
Phƣơng thức Alert
Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event) nào
đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert. Máy giám
sát không h i thông tin định kỳ t thiết bị.
Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi những
thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện
gì xảy ra. Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh báo, còn tổng
số byte truyền qua port đó sẽ không được thiết bị gửi đi vì đó là thông tin thường
xuyên thay đổi. Muốn lấy những thông tin thường xuyên thay đổi thì máy giám
sát phải chủ động đi h i thiết bị, tức là phải thực hiện phương thức Poll.
Thiết bị (Device)
Máy chủ giám sát
Thông báo
Thông báo
#1
#2
Sự kiện
#1
Sự kiện
#2
(No có sự kiện)
Thông báo
#3
Sự kiện
#3
13
1.6. Giao thức SNMP
1.6.1. Giới thiệu
SNMP là “giao thức quản lý mạng đơn giản”, dịch t cụm t “Simple
Network Management Protocol”. Giao thức là một tập hợp các thủ tục mà các bên
tham gia cần tuân theo để có thể giao tiếp được với nhau. Trong lĩnh vực thông
tin, một giao thức quy định cấu trúc, định dạng (format) của dòng dữ liệu trao đổi
với nhau và quy định trình tự, thủ tục để trao đổi dòng dữ liệu đó. Nếu một bên
tham gia gửi dữ liệu không đúng định dạng hoặc không theo trình tự thì các bên
khác sẽ không hiểu hoặc t chối trao đổi thông tin. SNMP là một giao thức, do đó
nó có những quy định riêng mà các thành phần trong mạng phải tuân theo. Một
thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là “có hỗ trợ
SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMP compartible).
SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông tin, có thể được
thông báo, và có thể tác động để hệ thống hoạt động như ý muốn. VD một số khả
năng của phần mềm SNMP :
+ Theo dõi tốc độ đường truyền của một router, biết được tổng số byte đã
truyền/nhận.
+ Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống
bao nhiêu.
+ Tự động nhận cảnh báo khi switch có một port bị down.
+ Điều khiển tắt (shutdown) các port trên switch. SNMP dùng để quản lý
mạng, nghĩa là nó được thiết kế để chạy trên nền TCP/IP và quản lý các thiết bị
có nối mạng TCP/IP. Các thiết bị mạng không nhất thiết phải là máy tính mà có
thể là switch, router, firewall, adsl gateway, và cả một số phần mềm cho phép
quản trị bằng SNMP. Giả sử bạn có một cái máy giặt có thể nối mạng IP và nó hỗ
trợ SNMP thì bạn có thể quản lý nó t xa bằng SNMP. SNMP là giao thức đơn
giản, do nó được thiết kế đơn giản trong cấu trúc bản tin và thủ tục hoạt động,
14
và còn đơn giản trong bảo mật (ngoại tr SNMP version 3). Sử dụng phần mềm
SNMP, người quản trị mạng
1.6.2. Các phiên bản giao thức SNMP
SNMP có 4 phiên bản : SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các
phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động.
Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có
nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần mềm hỗ
trợ SNMPv3.
1.6.3
ct
c
v
của
a t ức
Theo RFC1157 2, kiến trúc của SNMP bao gồm 2 thành phần : các trạm
quản lý mạng (network management station) và các thành tố mạng (network
element). Network management station thường là một máy tính chạy phần mềm
quản lý SNMP (SNMP management application), dùng để giám sát và điều khiển
tập trung các network element.
Network element là các thiết bị, máy tính, hoặc phần mềm tương thích
SNMP và được quản lý bởi network management station. Như vậy element bao
gồm device, host và application. Một management station có thể quản lý nhiều
element, một element cũng có thể được quản lý bởi nhiều management station.
Vậy nếu một element được quản lý bởi 2 station thì điều gì sẽ xảy ra ? Nếu station
lấy thông tin t element thì cả 2 station sẽ có thông tin giống nhau. Nếu 2 station
tác động đến cùng một element thì element sẽ đáp ứng cả 2 tác động theo thứ tự
cái nào đến trước. Ngoài ra còn có khái niệm SNMP agent. SNMP agent là một
tiến trình (process) chạy trên network element, có nhiệm vụ cung cấp thông tin
của element cho station, nhờ đó station có thể quản lý được element. Chính xác
hơn là application chạy trên station và agent chạy trên element mới là 2 tiến trình
15
SNMP trực tiếp liên hệ với nhau. Các ví dụ minh họa sau đây sẽ làm rõ hơn các
khái niệm này:
Hình 1.1. Minh họa SNMP
+ Để dùng một máy chủ (= station) quản lý các máy con (= element) chạy
HĐH Windows thông qua SNMP thì bạn phải : cài đặt một phần mềm quản lý
SNMP (= application) trên máy chủ, bật SNMP service (= agent) trên máy
con.
+ Để dùng một máy chủ (= station) giámsát lưu lượng của một router (=
element) thì bạn phải : cài phần mềm quản lý SNMP (= application) trên máy chủ,
bật tính năng SNMP (= agent) trên router.
1.6.4. Cấu trúc v đặc đ ểm của thông tin quản lý SMI
MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng
được quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên
nền TCP/IP. MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên
tuân theo, trong đó có SNMP. MIB được thể hiện thành 1 file (MIB file), và có thể
biểu diễn thành 1 cây (MIB tree). MIB có thể được chuẩn hóa hoặc tự tạo.
Hình sau minh họa MIB tree :
16
Một node trong cây là một object, có thể được gọi bằng tên hoặc id. Ví dụ
:+ Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1, chứa tất
cả các object liên quan đến thông tin của một hệ thống như tên của thiết bị
(iso.org.dod.internet.mgmt.mib-2.system.sysName hay 1.3.6.1.2.1.1.5).
Hình 1.2. Cây MIB
+
Các
OID
của
các
hãng
iso.org.dod.internet.private.enterprise.
tự
Ví
dụ
thiết
kế
nằm
dưới
:
Cisco
nằm
dưới
iso.org.dod.internet.private.enterprise.cisco hay 1.3.6.1.4.1.9, Microsoft nằm dưới
iso.org.dod.internet.private.enterprise.microsoft hay 1.3.6.1.4.1.311. Số 9 (Cisco)
hay 311 (Microsoft) là số dành riêng cho các công ty do IANA cấp 5. Nếu Cisco
hay Microsoft chế tạo ra một thiết bị nào đó, thì thiết bị này có thể hỗ trợ các MIB
chuẩn đã được định nghĩa sẵn (như mib-2) hay hỗ trợ MIB được thiết kế riêng.
Các MIB được công ty nào thiết kế riêng thì phải nằm bên dưới OID của công ty
