Báo cáo giám sát mạng dựa trên CACTI Có video hướng dẫn cài đặt và cấu hình chi tiết ở cuối bản docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.81 MB, 44 trang )
Học viện Kỹ thuật Mật Mã
Khoa An toàn thông tin
******
BÀI TẬP LỚN MÔN
Thực Tập Cơ Sở Chuyên Ngành
Đề tài: Phát triển hệ thống giám sát mạng
dựa trên CACTI
Giảng viên hướng dẫn: Phạm Văn Hưởng
Sinh viên thực hiện:
Dương Viết Thái
Đỗ Đức Thành
Trần Đăng Mạnh
Lớp:
L04
LỜI CẢM ƠN
Chúng em xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo, Phạm Văn Hưởng
đã quan tâm hướng dẫn và tạo mọi điều kiện giúp đỡ nhóm em trong suốt quá
trình thực hiện và hoàn thành đề tài này. Với sự hướng dẫn của thầy, nhóm
em đã có những định hướng tốt trong việc triển khai và thực hiện các yêu cầu
trong quá trình làm đề tài thực tập.
Qua đây, em xin gửi lời cảm ơn đến tất cả các thầy cô giảng dạy tại khoa
An toàn thông tin, Học Viện Kỹ Thuật Mật Mã đã trang bị cho chúng em
những kiến thức cơ bản nhất để chúng em có thể hoàn thành tốt báo cáo thực
tập này. Việc thực hiện khóa luận là bước đầu làm quen với nghiên cứu khoa
học, do thời gian và trình độ có hạn nên bài khóa luận của chúng em không
tránh khỏi những thiếu sót, rất mong được các thầy cô giáo góp ý bài để khóa
luận của em được hoàn thiện hơn.
Em xin chân thành cảm ơn !
2
MỤC LỤC
LỜI CẢM ƠN.....................................................................................................2
MỤC LỤC.............................................................................................................3
PHẦN MỞ ĐẦU..................................................................................................5
1.
Các bài toàn đặt ra:................................................................................5
2.
Đối tượng và mục tiêu của đề tài.........................................................6
3.
Nội dung nghiên cứu.............................................................................7
4.
Bố cục luận văn......................................................................................7
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG..............8
1.1.
Tổng quan............................................................................................8
1.2.
Các yếu tố cơ bản và nhiệm vụ của giám sát mạng.........................9
1.3.
Các bước thực hiện của một hệ thống NSM.....................................9
1.4.
Mô hình kiến trúc mạng OSI...........................................................11
1.5. Các giải pháp quản lý và phân tích sự kiện an ninh trong hệ
thống giám sát mạng.................................................................................14
1.5.1.
Sự cần thiết của Hệ thống Giám sát an ninh mạng.................15
1.5.2.
Xây dựng Hệ thống giám sát an ninh mạng..............................15
1.6.
Kết luận............................................................................................17
CHƯƠNG 2: HỆ THỐNG GIÁM SÁT MẠNG CACTI..............................18
2.1.
Hai phương thức giám sát Poll và Alert..........................................18
2.1.1.
Phương thức Poll............................................................................18
2.1.2.
Phương thức Alert..........................................................................18
2.1.3.
So sánh 2 phương thức Poll và Alert...........................................19
2.2.
Giới thiệu giao thức SNMP..............................................................20
2.2.1.
Các phiên bản của SNMP...............................................................21
2.2.2.
Thành phần của hệ thống sử dụng SNMP.................................21
2.2.3.
Các phương thức của SNMP......................................................26
2.3.
Giới thiệu về CACTI.........................................................................28
2.3.1.
Giới thiệu về RRDtool....................................................................28
3
2.3.2.
Hệ thống giám sát mạng CACTI...................................................29
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN
PHẦN MỀM MÃ NGUỒN MỞ CACTI........................................................32
3.1.
Cài đặt Cacti (trên CentOS).............................................................32
3.2.
Sử dụng Cacti để quản lý một số thiết bị........................................39
3.2.1.
Mô hình mạng quản trị:................................................................39
3.2.2.
Các thiết bị và đồ thị:.....................................................................40
CHƯƠNG 4: KẾT LUẬN...............................................................................42
TÀI LIỆU THAM KHẢO................................................................................43
4
PHẦN MỞ ĐẦU
1. Các bài toàn đặt ra:
Mở đầu, em sẽ đề cập đến 3 bài toán thuộc hàng phổ biến nhất trong các ứng
dụng của SNMP.
Bài toán thứ nhất : Giám sát tài nguyên máy chủ
+ Giả sử bạn có hàng ngàn máy chủ chạy các hệ điều hành (HĐH) khác nhau.
Làm thế nào có thể giám sát tài nguyên của tất cả máy chủ hàng ngày, hàng
giờ để kịp thời phát hiện các máy chủ sắp bị quá tải ? Giám sát tài nguyên
máy chủ nghĩa là theo dõi tỷ lệ chiếm dụng CPU, dung lượng còn lại của ổ
cứng, tỷ lệ sử dụng bộ nhớ RAM, ….
+ Bạn không thể kết nối vào từng máy để xem vì số lượng máy nhiều và vì
các HĐH khác nhau có cách thức kiểm tra khác nhau.
+ Để giải quyết vấn đề này bạn có thể dùng một ứng dụng SNMP giám sát
được máy chủ, nó sẽ lấy được thông tin từ nhiều HĐH khác nhau. Ứng dụng
này có thể trông giống như hình dưới đây :
Bài toán thứ hai : Giám sát lưu lượng trên các port của switch, router
+ Bạn có hàng ngàn thiết bị mạng (network devices) của nhiều hãng khác
nhau, mỗi thiết bị có nhiều port. Làm thế nào để giám sát lưu lượng đang
truyền qua tất cả các port của các thiết bị suốt 24/24, kịp thời phát hiện các
port sắp quá tải ?
+ Bạn cũng không thể kết nối vào từng thiết bị để gõ lệnh lấy thông tin vì
thiết bị của các hãng khác nhau có lệnh khác nhau.
+ Để giải quyết vấn đề này bạn có thể dùng một ứng dụng SNMP giám sát
lưu lượng, nó sẽ lấy đƣợc thông tin lưu lượng đang truyền qua các thiết bị
của nhiều hãng khác nhau. Ứng dụng này có thể trông giống như hình dưới
đây :
5
Bài toán thứ ba : Hệ thống tự động cảnh báo sự cố tức thời
+ Bạn có hàng ngàn thiết bị mạng và chúng có thể gặp nhiều vấn đề trong quá
trình hoạt động như : một port nào đó bị mất tín hiệu (port down), có ai đó đã
cố kết nối (login) vào thiết bị nhưng nhập sai username và password, thiết bị
vừa mới bị khởi động lại (restart), … Làm thế nào để người quản trị biết được
sự kiện khi nó vừa mới xảy ra ?
+ Vấn đề này khác với hai vấn đề ở trên. Ở trên là làm thế nào cập nhật liên
tục một số thông tin nào đó (biết trước sẽ lấy cái gì), còn ở đây là làm thế nào
biết được cái gì xảy ra (chưa biết cái gì sẽ đến).
+ Để giải quyết bài toán này bạn có thể dùng ứng dụng thu thập sự kiện
(event) và cảnh báo (warning) bằng SNMP, nó sẽ nhận cảnh báo từ tất cả các
thiết bị và hiện nó lên màn hình hoặc gửi email cho người quản trị. Ứng dụng
này có thể trông giống như hình dƣới đây:
2. Đối tượng và mục tiêu của đề tài
Đối tượng của đề tài:
Chương trình phần mềm mã nguồn mở CACTI.
Đề tài được thực hiện nhắm mục đích:
6
Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn
thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm
nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch,
Server,… và một số dịch vụ mạng được sử dụng.
Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS),
Email, Web.
3. Nội dung nghiên cứu
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập
trái phép và giám sát lưu lượng mạng bao gồm:
+ Nghiên cứu các khả năng tấn công mạng.
+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống
mạng.
+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn
công mạng.
+ Nghiên cứu khả năng giám sát hoạt động của các thiết bị mạng và
dịch vụ mạng trong toàn hệ thống mạng.
Từ những vấn đề nêu trên đề xuất mô hình giám sát các hoạt động của các
thiết bị mạng, phát hiện và phòng chống xâm nhập được tích hợp từ các
chương trình mã nguồn mở.
Tiến hành thực nghiệm việc cài đặt giải pháp giám sát hoạt động của các
thiết bị mạng, dịch vụ mạng và phát hiện, phòng chống xâm nhập trái phép
dựa trên cơ sở của chương trình mã nguồn mở CACTI, có cảnh báo đến
quản trị viên bằng SMS, Email, Web.
4. Bố cục luận văn
Phần bố cục của luận văn được trình bày thành 3 chương:
Chương 1: Tổng quan về hệ thống giám sát mạng.
Chương 2: Hệ thống giám sát mạng CACTI.
Chương 3: Thực nghiệm.
Chương 4: Kết Luận.
7
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG
1.1.
Tổng quan
Hệ thống giám sát mạng (Network montoring) là hệ thống giám sát các sự cố,
hiệu năng, tình trạng của các thiết bị và máy tính trong hệ thống mạng. Hệ
thống bao gồm một phần mềm ghi nhận thông tin và giúp người quan trị hệ
thống có thể ghi nhận, theo dõi các thông tin thông qua nó. Phần mềm này
còn có khả năng gửi các thông báo, các cảnh báo cho người quản trị hệ thống
biết khi có nguy cơ sự cố hoặc các sự cố đang diễn ra thông qua hệ thống
SMS, Email,… các dịch vụ gửi tin nhắn qua Internet.
Các thành phần trong hệ thống mạng
Để một hệ thống mạng hoạt động tốt nó bao gồm rất nhiều thành phần, hoạt
động trên các nền tàng và môi trường khác nhau:
Các máy trạm
Các máy chủ
Các thiết bị hạ tầng mạng: Router, Switch, Hub,…
Các ứng dụng chạy trên các máy chủ và máy trạm.
Log hệ thống
Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính
xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng
dụng, các thiết bị đã và đang hoạt động trong hệ thống.
Các lọa log chính trong hệ thống:
Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng
tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực
hiện. Log ứng dụng, log của hệ điều hành…
Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần
cứng và phần mềm đang được sử dụng: Router, switch, IDS, IPS…
Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc
phục các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống lớn,
chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích Log thực sự
là một điều vô cùng khó khăn.
Giám sát an ninh mạng (Network Security Mornitoring – NSM)
Giám sát an ninh mạng là việc thu thập các thông tin trên các thành phần của
hệ thống, phấn tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh
báo cho người quản trị hệ thống.
8
Đối tượng của việc giám sát an ninh mạng là tất cả các thành phần, thiết bị
trọng hệ thống mạng, bao gồm:
Các máy trạm.
Cơ sở dữ liệu.
Các ứng dụng.
Các Server.
Các thiết bị mạng.
1.2.
Các yếu tố cơ bản và nhiệm vụ của giám sát mạng
Nhằm mang lại hiệu quả cao cho việc giám sát mạng, chúng ta cần nắm vững
các yếu tố cốt lõi đặc thù của công việc này. Cụ thể bao gồm:
- Nắm vững những công cụ , thiết bị, phần mềm phục vụ cho công việc
giám sát, trong đó bao gồm phần mềm nội bộ và phần mềm mở.
- Nắm vững những bộ phận, đơn vị, hệ thống, dịch vụ và thiết bị phục
vụ cho việc giám sát.
- Sử dụng một cách bài bản những công cụ, giải pháp hỗ trợ việc xử lý,
phân tích kết quả đánh giá. Một số công cụ như Snort, Wireshark, Nessus,
Nmap,…
- Đảm bảo nhân viên có kiến thức tốt về lĩnh vực này.
Hệ thống giám sát mạng đóng vai trò quan trọng, không thể thiếu trong cơ sở
hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ
thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn
bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp các tấn công
mạng, các điểm yếu, các lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng,
các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của
mạng máy tính ma (botnet).
1.3.
Các bước thực hiện của một hệ thống NSM
Thu thập dữ liệu (Collection)
Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình
trạng hoạt động của các thiết bị trong hệ thống mạng. Tuy nhiên, trong những
hệ thống mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một
địa điểm mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau. Các
thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác
9
nhau. Mô hình Log tập trung được đưa ra để giải quyết vấn đề này. Cụ thể, tất
cả Log sẽ được chuyển về một trung tâm để phân tích và xử lý.
Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác nhau.
Như log của các thiết bị mạng như: Router, Switch… Log của các thiết bị
phát hiện xâm nhập như IDS, IPS, Snort,… Log của các Web Server,
Application Server, Log Event, Log Registry của các Server Windows,
Unix/Linux.
Cách thức thu thập dữ liệu trong hệ thống NSM
The Push Method (Phương pháp đẩy): Các sự kiện từ các thiết bị, các
máy trạm, Server sẽ được tự động chuyển về các Collector theo thời gian
thực hoặc sau mỗi khoảng thời gian phụ thuộc vào việc cấu hình trên các thiết
bị tương ứng. Các Collector của Log Server sẽ thực hiện việc nghe và nhận
các sự kiện khi chúng xảy ra. Ví dụ như: NetFlow, Syslog-ng Message
(Syslog-ng gồm 2 thành phần là Syslog-Agent và Syslog-Server), Access-list
(ACL) logs,…
Hình 1.1: Phương pháp đẩy
The Pull Method (Phương pháp kéo): Các Collector thu thập các sự
kiện được phát sinh và lưu trữ trên chính các thiết bị và sẽ được lấy về bởi
các bộ Collector. Hai giao thức phổ biến để thu thập được các sự kiện là
Security Device Event Exchange (SDEE – Gồm cá thiết bị nằm trong hệ
thống các thiết bị phát hiện xâm nhập được phát triển bởi ICSA) và SNMP
(Simple Network Management Protocol – Giao thức hỗ trợ việc quản lý các
thiết bị từ xa).
Phân tích dữ liệu
10
Khi đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là
phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện
những điều bất thường, những mối đe dọa cho hệ thống. Dựa trên những
thông tin về lưu lượng truy cập, trạng thái truy cập, định dạng request… Ví
dụ như lưu lượng truy cập bỗng dưng tăng vọt tại một thời điểm. Đây có lẽ là
nơi thích hợp để Big data lên tiếng.
Hình 1.2: Điều gì đã xảy ra tại thời điểm đó?
Cảnh báo
Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được,
việc tiếp theo là thực hiện việc đánh giá, đưa thông tin cảnh báo tới người
quản trị và thực hiện những công tác nhằm chống lại những mối đe dọa, khắc
phục sự cố có thể xảy ra.
Cảnh báo có thể thông qua email, SMS, hoặc thực thi các mã script nhằm hạn
chế hậu quả của sự cố. Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, SMS
cho người quản trị và cũng có thể chạy script để them một địa chỉ IP có thể
biểu hiện tấn công vào danh sách đen của Firewall. Việc này đòi hỏi người
lập trình phải có hiểu biết sâu và kinh nghiệm về hệ thống.
1.4.
Mô hình kiến trúc mạng OSI
Mô hình OSI (Open Systems Interconnection Reference Model, viết ngắn
là OSI model hoặc OSI Reference Model) – Mô hình tham chiếu kết nối các
hệ thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách
trừu tượng là kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế
giao thức mạng giữa chúng. Mô hình này được phát triển thành một phần
trong kế hoạch “Kết nối các hệ thống mở” (Open Systems Interconnection) do
ISO và IUT-T khởi xướng. Nó còn được gọi là Mô hình bảy tầy của OSI.
11
Mô hình này được dùng làm cơ sở để kết nối các hệ thống mở phục vụ cho
các ứng dụng phân tán → Mọi hệ thống tuân theo mô hình tham chiếu OSI
đều có thể truyền thông tin với nhau.
Hình 1.3: Mô hình kiến trúc mạng OSI
Chức năng của các tầng trong mô hình OSI
Tầng 1: Tầng vật lý (Physical Layer)
- Tầng vật lý liên quan đến truyền dòng các bit giữa các máy với nhau
bằng đường truyền vật lý. Tầng này liên kết các giao diện hàm cơ, quang và
điện với cáp. Ngoài ra nó cũng chuyển tải những tín hiệu truyền dữ liệu do
các tầng ở trên tạo ra.
- Việc thiết kế phải đảm bảo nếu bên phát gửi bit 1 thì bên thu cũng phải
nhận được bit 1 chứ không phải bit 0.
- Tầng này phải quy định rõ mức điện áp biểu diễn dữ liệu 1 và 0 là bao
nhiêu Vôn trong vòng bao nhiêu giây (v/s).
- Chiều truyền tin là 1 hay 2 chiều, cách thức kết nối và hủy bỏ kết nối.
- Định nghĩa cách kết nối cáp với card mạng: bộ nối có bao nhiêu chân,
chức năng của mỗi chân.
Tóm lại, thiết kế tầng vật lý phải giải quyết các vấn đề ghép nối cơ, điện,
tạo ra các hàm, thủ tục để truy nhập đường truyền, đường truyền các bit.
Tầng 2: Tầng liên kết dữ liệu (Data-link Layer)
12
- Cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo
tin cậy: gửi các khối dữ liệu với cơ chết đồng bộ hóa, kiểm soát lỗi và kiểm
soát luồng dữ liệu cần thiết.
- Các bước tầng liên kết dữ liệu thực hiện:
+ Chia nhỏ thành các khối dữ liệu Frame (vài trăm bytes), ghi thêm
vào đầu và cuối của các Frame những nhóm bit đặc biệt để làm ranh giới giữa
các frame.
+ Trên các đường truyền vật lý luôn có lỗi nên tầng này phải giải
quyết vấn đề sửa lỗi (do bản tin bị hỏng, mất và truyền lại).
+ Giữ cho sự đồng bộ tốc độ giữa bên phát và bên thu.
Tóm lại, tầng liên kết dữ liệu chịu trách nhiệm chuyển khung dữ liệu
không lỗi từ máy tính này sang máy tính khác thông qua tầng vật lý. Tầng
này cho phép tầng mạng truyền dữ liệu gần như không phạm lỗi qua liên kết
mạng.
Tầng 3: Tầng mạng ( Network Layer)
- Lập địa chỉ các thông điệp, diễn dịch địa chỉ và tên logic thành địa chỉ
vật lý.
- Kiểm soát và điều khiển đường truyền: Định rõ các bó tin được truyền
đi theo con đường nào từ nguồn tới đích. Các con đường đó có thể là cố định
đối với những mạng ít thay đổi, cũng có thể là động – nghĩa là các con đường
chỉ được xác định trước khi bắt đầu cuộc nói chuyện. Các con đường đó có
thể thay đổi tùy theo trạng thái tải tức thời.
- Quản lý lưu lượng trên mạng: chuyển đổi gói, định tuyến, kiểm soát sự
tắc nghẽn dữ liệu (nếu có nhiều gói tin cùng được gửi đi trên đường truyền thì
có thể xảy ra tắc nghẽn).
- Kiểm soát lương dữ liệu và cứt hợp dữ liệu (nếu cần).
- Chú ý: Trong mạng phân tán, nhiệm vụ của tầng này rất đơn giản, thậm
chí có thể không tồn tại.
Tầng 4: Tầng giao vận (Transport Layer)
- Thực hiện việc truyền dữ liệu giữa hai đầu nút (end-to-end).
- Thực hiện kiểm soát lỗi, kiểm soát luồng dữ liệu từ máy → máy. Đảm
bảo gói tin truyền không phạm lỗi, theo đúng trình tự, không b ị m ất mát
hay sao chép.
- Thực hiện việc ghép kênh, phân kênh cắt hợp dữ liệu (nếu cần). Đóng
gói thông điệp, chia thông điệp dài thành nhiều gói tin và gộp các gói tin nhỏ
thành một bộ.
13
- Tầng này tạo ra một kết nối cho mỗi yêu cầu của tầng trên nó. Khi có
nhiều yêu cầu từ tầng trên với thông lượng cao thì nó có thể tạo ra nhiều kết
nói và cùng một lúc có thể gửi đi nhiều bó tin trên đường truyền.
Tầng 5: Tầng Phiên (Session Layer)
- Cung cấp phương tiện truyền thông giữa các ứng dụng: cho phép người
sử dụng trên các máy khác nhau có thể thiết lập, duy trì, hủy bỏ và đồng bộ
hóa các phiên truyền thông giữ họ với nhau.
- Nhiệm vụ chính:
+ Quản lý thẻ bài đối với những nghi thức: hai bên kết nối đẻ truyền
thông tin không thời thực hiện một số thao tác. Để giải quyết vấn đề này tầng
phiên cung cấp 1 thẻ bài, thẻ bài có thể được trao đổi và chỉ bên nào giữ thẻ
bài mới có thể thực hiện một số thao tác quan trọng.
+ Vấn đề đồng bộ: khi cần truyền đi những tập tin dài, tầng này chèn
thêm các điểm kiểm tra (check point) vào luồng dữ liệu. Nếu phát hiện thấy
lỗi thì chỉ có dữ liệu sau điểm kiểm tra cuối cùng mới phải truyền lại.
Tầng 6: Tầng trình diễn (Presentation Player)
- Lớp trình diễn hoạt động như tầng dữ liệu trên mạng. Lớp này trên
máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từ tầng
Application sang dạng Fomat chung. Và tại máy tính nhận, lớp này lại
chuyển từ Fomat chung sang định dạng của tầng Application. Lớp này thực
hiện các chức năng sau:
+ Dịch các mã ký tự từ ASCII sang EBCDIC.
+ Chuyển đổi dữ liệu, ví dụ từ số integer sang số dấu phẩy động.
+ Nén dữ liệu để giảm lượng dữ liệu truyền trên mạng.
+ Mã hóa và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng.
Tầng 7: Tầng ứng dụng (Application Layer)
- Tầng ứng dụng là tầng gần với người sử dụng nhất. Nó cung cấp
phương tiện cho người dùng truy nhập các thông tin và dữ liệu trên mạng
thông qua chương trình ứng dụng. Tầng này là giao diện chính để người dùng
tương tác với chương trình ứng dụng, và qua đó với mạng. Một số ví dụ về
các ứng dụng trong tầng này bao gồm Telnet, giao thức truyền tập tin FTP và
giao thức truyền thư điện tử SMTP, HTTP, X.400 Mail remote.
1.5.
Các giải pháp quản lý và phân tích sự kiện an ninh trong h ệ
thống giám sát mạng
Giải pháp Quản lý và phân tích sự kiện an toàn thông tin (Security
Infomation and Event Management – SIEM) là giải pháp toàn diện và
hoàn chỉnh, cho phép các cơ quan, tổ chức thực hiện việc giám sát các s ự
14
kiện an toàn thông tin cho một hệ thống. Các thành phần chính của
SIEM bao gồm: thu thập nhật ký, phân tích và lưu trữ, quản tr ị t ập trung.
1.5.1. Sự cần thiết của Hệ thống Giám sát an ninh mạng
Để có thể đánh giá khái quát về bức tranh an toàn, an ninh
thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và l ưu
trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, d ịch vụ và ứng
dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web
Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành…
là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra
bởi các thiết bị an ninh và toàn bộ hệ thống là rất l ớn, v ới các ki ểu
định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. Các
thiết bị khác nhau có thể tạo ra báo cáo ở các góc độ khác nhau về
cùng một biến cố ATTT.
Bên cạnh đó, yếu tố con người và môi trường làm việc có th ể
dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự
cố ATTT mạng không được xử lý kịp thời… gây ra thiệt hại lớn cho cơ
quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép c ơ quan, tổ
chức theo dõi và giám sát được các mối đe dọa mà họ đang đối m ặt, t ừ
đó đưa ra các phương án để đối phó, ngăn chặn các mối đe d ọa này, đó
chính là hệ thống Giám sát an ninh mạng (GSANM). Hệ thống GSANM
quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa,
lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh
ra từ các thành phần trong hạ tầng công nghệ thông tin c ủa c ơ quan,
tổ chức. Hệ thống GSANM có thể thực hiện được các nhiệm vụ sau:
– Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng nh ư
các tấn công xuất phát trong nội bộ.
– Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật c ủa các thiết b ị,
ứng dụng và dịch vụ trong hệ thống.
– Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống m ạng, các
máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của
mạng máy tính ma (botnet).
– Giám sát việc tuân thủ chính sách an ninh trong h ệ th ống.
– Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
1.5.2. Xây dựng Hệ thống giám sát an ninh mạng
Hệ thống GSANM có thể được xây dựng theo một trong ba giải
pháp sau: Giải pháp quản lý thông tin an ninh (SIM); Gi ải pháp qu ản lý
15
sự kiện an ninh (SEM) và Giải pháp quản lý và phân tích s ự ki ện an
ninh (SIEM).
Giải pháp SIM tập trung vào việc thu thập, lưu tr ữ và biểu diễn
nhật ký (log các dữ liệu về sự kiện); Nhật ký được thu thập t ừ rất
nhiều nguồn khác nhau như: thiết bị mạng, hệ điều hành, các ứng
dụng và các thiết bị an ninh. Do chưa có thành phần phân tích và x ử lý
sự kiện an ninh nên SIM chỉ có thể phát hiện và xử lý được các biến c ố
đơn giản.
Giải pháp SEM lại tập trung vào việc phân tích và xử lý các nhật
ký đã được thu thập để đưa ra các cảnh báo cho người dùng. H ạn chế
của SEM là không có khả năng lưu trữ nhật ký trong th ời gian dài.
Để khắc phục những hạn chế của hai giải pháp trên, giải pháp SIEM
ra đời, là sự kết hợp của cả hai giải pháp SIM và SEM. SIEM là m ột gi ải
pháp toàn diện và hoàn chỉnh cho phép các cơ quan, tổ ch ức th ực hiện
việc giám sát các sự kiện ATTT cho một hệ thống.
Mô hình giải pháp của SIEM gồm 03 thành phần chính: thu th ập
nhật ký ATTT; phân tích và lưu trữ; quản trị tập trung. Ngoài ra, nó
còn có các thành phần khác như: thành phần c ảnh báo, h ệ th ống
DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu
chuẩn quản lý, thành phần lưu trữ có khả năng lưu tr ữ d ữ li ệu lâu dài.
Thành phần thu thập nhật ký ATTT: Bao gồm các giao diện thu
thập nhật ký ATTT trực tiếp từ các thiết bị, dịch vụ, ứng d ụng. Thành
phần này có các tính năng:
– Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng
dụng… gồm cả các thiết bị vật lý và thiết bị ảo.
– Kiểm soát băng thông và không gian lưu trữ thông qua khả
năng chọn lọc dữ liệu nhật ký.
– Phân tách từng sự kiện và chuẩn hóa các sự kiện vào m ột l ược
đồ chung.
– Tích hợp các sự kiện để giảm thiểu số lượng các s ự kiện gửi
về thành phần phân tích và lưu trữ.
– Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân
tích và lưu trữ.
Tính năng của thành phần phân tích và lưu trữ:
– Kết nối với các thành phần thu thập nhật ký để tập h ợp nh ật
ký tập trung và tiến hành phân tích, so sánh tương quan.
16
– Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa
trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích
chính xác nhất.
– Các nhật ký ATTT được tiến hành phân tích, so sánh tương
quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người
quản trị. Bên cạnh khả năng so sánh theo thời gian thực, thành phần
này còn cho phép phân tích các dữ liệu trong quá kh ứ, nhằm cung c ấp
cho người quản trị một bức tranh toàn cảnh về ATTT theo th ời gian.
– Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN,
NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng,
chống mất dữ liệu.
Thành phần quản trị tập trung:
– Cung cấp giao diện quản trị tập trung cho toàn bộ Hệ th ống
GSANM. Các giao diện được phân quyền theo vai trò của người quản
trị.
– Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi,
điều kiện lọc,… để người quản trị có thể sử dụng. Ngoài ra, các công
cụ này còn cho phép tùy biến, thay đổi hay tạo m ới các báo cáo m ột
cách dễ dàng, cho phép người quản trị tạo lập các công cụ m ới phù
hợp với Hệ thống của mình.
– Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra
trong hệ thống.
Hình 1.4: Thanh phân va chưc năng cua Hê thông GSANM
1.6. Kết luận
17
Việc xây dựng và triển khai Hệ thống GSANM là cần thi ết đối v ới
các cơ quan, tổ chức. Hệ thống này sẽ góp phần giảm thiểu lộ lọt, m ất
mát dữ liệu nhạy cảm, nâng cao hiệu suất, độ an toàn và thúc đ ẩy ứng
dụng CNTT tại các quan, tổ chức. Tuy nhiên, tùy vào quy mô, nguồn l ực
tài chính và con người mà cơ quan, tổ chức lựa chọn các giải pháp, s ản
phẩm GSANM phù hợp.
Do tính vượt trội của giải pháp SIEM, nên hiện nay trên th ị trường
các sản phẩm về GSANM hầu hết phát triển theo mô hình SIEM. Các sản
phẩm cũng rất đa dạng, có thể dưới dạng ph ần m ềm hoặc thiết b ị
chuyên dụng, với một số sản phẩm tiêu biểu như IBM Qradar, HP
ArcSight, Splunk, McAfee, Symantec SSIM, RSA enVision.…
CHƯƠNG 2: HỆ THỐNG GIÁM SÁT MẠNG CACTI
2.1.
Hai phương thức giám sát Poll và Alert
Trước khi tìm hiểu SNMP, em muốn trình bày hai phương thức giám sát
Poll và Alert. Đây là 2 phương thức cơ bản của các kỹ thuật giám sát hệ
thống, nhiều phần mềm và giao thức được xây dựng dựa trên 2 phương thức
này, trong đó có SNMP. Việc hiểu rõ hoạt động của Poll & Alert và ưu nhược
điểm của chúng sẽ giúp bạn dễ dàng tìm hiểu nguyên tắc hoạt động của các
giao thức hay phần mềm giám sát khác.
2.1.1. Phương thức Poll
Nguyên tắc hoạt động : Trung tâm giám sát (manager) sẽ thường xuyên
hỏi thông tin của thiết bị cần giám sát (device). Nếu Manager không hỏi thì
Device không trả lời, nếu Manager hỏi thì Device phải trả lời. Bằng cách hỏi
thường xuyên, Manager sẽ luôn cập nhật được thông tin mới nhất từ Device.
Ví dụ: Người quản lý cần theo dõi khi nào thợ làm xong việc. Anh ta cứ
thường xuyên hỏi người thợ “Anh đã làm xong chưa ?”, và người thợ sẽ trả
lời “Xong” hoặc “Chưa”.
18
Hình 2.5: Minh họa cơ chế Poll
2.1.2. Phương thức Alert
Nguyên tắc hoạt động : Mỗi khi trong Device xảy ra một sự kiện
(event) nào đó thì Device sẽ tự động gửi thông báo cho Manager, gọi là Alert.
Manager không hỏi thông tin định kỳ từ Device.
Ví dụ: Người quản lý cần theo dõi tình hình làm việc của thợ, anh ta yêu
cầu người thợ thông báo cho mình khi có vấn đề gì đó xảy ra. Người thợ sẽ
thông báo các sự kiện đại loại như “Tiến độ đã hoàn thành 50%”, “Mất điện
lúc 10h”, “Có điện lại lúc 11h”, “Mới có tai nạn xảy ra”.
Device chỉ gửi những thông báo mang tính sự kiện chứ không gửi những
thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự
kiện gì xảy ra. Chẳng hạn khi một port down/up thì Device sẽ gửi cảnh báo,
còn tổng số byte truyền qua port đó sẽ không đƣợc Device gửi đi vì đó là
thông tin thường xuyên thay đổi. Muốn lấy những thông tin thường xuyên
thay đổi thì Manager phải chủ động đi hỏi Device, tức là phải thực hiện
phương thức Poll.
2.1.3. So sánh 2 phương thức Poll và Alert
Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một
ứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu
cầu cụ thể trong thực tế.
Bảng sau so sánh những điểm khác biệt của 2 phương thức :
Poll
Alert
Có thể chủ động lấy những thông Tất cả những event xảy ra đều được
tin cần thiết từ các đối tượng mình gửi về Manager. Manager phải có cơ
19
quan tâm, không cần lấy những chế lọc những event cần thiết, hoặc
thông tin không cần thiết từ những Device phải thiết lập được cơ chế chỉ
nguồn không quan tâm.
gửi những event cần thiết.
Có thể lập bảng trạng thái tất cả
các thông tin của Device sau khi
poll qua một lượt các thông tin
đó.Ví dụ Device có một port down
và Manager được khởi động sau
đó, thì Manager sẽ biết đƣợc port
đang down sau khi poll qua một
lượt tất cả các port.
Nếu không có event gì xảy ra thì
Manager không biết được trạng thái
của Device.Ví dụ Device có một port
down và Manager được khởi động sau
đó,thì Manager sẽ không thể biết được
port đang down.
Trong trƣờng hợp đường truyền
giữa Manager và Device xảy ra
gián đoạn và Device có sự thay
đổi, thì Manager sẽ không thể cập
nhật. Tuy nhiên khi đường truyền
thông suốt trở lại thì Manager sẽ
cập nhật được thông tin mới nhất
do nó luôn luôn poll định kỳ.
Khi đường truyền gián đoạn và Device
có sự thay đổi thì nó vẫn gửi Alert cho
Manager, nhưng Alert này sẽ không
thể đến được Manager. Sau đó mặc dù
đường truyền có thông suốt trở lại thì
Manager vẫn không thể biết được
những gì đã xảy ra.
Chỉ cần cài đặt tại Manager để trỏ Phải cài đặt tại từng Device để trỏ
đến tất cả các Device. Có thể dễ đến Manager. Khi thay đổi Manager
dàng thay đổi một Manager khác.
thì phải cài đặt lại trên tất cả Device để
trỏ về Manager mới.
Nếu tần suất poll thấp, thời gian
chờ giữa 2 chu kỳ poll (polling
interval) dài sẽ làm Manager chậm
cập nhật các thay đổi của Device.
Nghĩa là nếu thông tin Device đã
thay đổi nhưng vẫn chưa đến lượt
poll kế tiếp thì Manager vẫn giữ
những thông tin cũ.
Ngay khi có sự kiện xảy ra thì Device
sẽ gửi Alert đến Manager, do đó
Manager luôn luôn có thông tin mới
nhất tức thời.
Có thể bỏ sót các sự kiện : khi
Device có thay đổi, sau đó thay đổi
trở lại nhƣ ban đầu trước khi đến
lượt poll kế tiếp thì Manager sẽ
không phát hiện được.
Manager sẽ được thông báo mỗi khi
có sự kiện xảy ra ở Device, do đó
Manager không bỏ sót bất kỳ sự kiện
nào.
Poll hay Alert ?
20
Hai phương thức Poll và Alert có điểm thuận lợi và bất lợi ngược nhau,
do đó nhiều trường hợp ta nên sử dụng kết hợp cả Poll lẫn Alert để đạt được
hiệu quả kết hợp của cả hai. Các ví dụ ứng dụng cơ chế Poll & Alert :
+ Giao thức Syslog : mỗi khi có sự kiện xảy ra thì thiết bị sẽ gửi bản tin
syslog đến Syslog Server.
+ Phần mềm NetworkView, giám sát tình trạng các server bằng cách
ping liên tục.
+ Giao thức STP, phát hiện loop trong mạng bằng cách gửi nhận các gói
BPDU và gửi bản tin Topology change mỗi khi phát hiện thay đổi.
+ Trong quản lý ngƣời ta luôn thực hiện song song chế độ kiểm tra và
báo cáo, thường xuyên kiểm tra để phát hiện vấn đề và báo cáo ngay khi xảy
ra vấn đề.
2.2.
Giới thiệu giao thức SNMP
SNMP (Simple Network Management Protocol) là một tập hợp các giao
thức không chỉ cho phép kiểm tra nhằm đảm bảo các thiết bị mạng như
router, switch hay server đang vận hành mà còn vận hành một cách tối ưu,
ngoài ra SNMP còn cho phép quản lý các thiết bị mạng từ xa. Ví dụ chúng ta
có thể dùng SNMP để tắt một interface nào đó trên router của mình, theo dõi
hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo
khi nhiệt độ quá cao.
SNMP thường tích hợp vào trong router, nhưng khác với SGMP( Simple
Gateway Management Protocol) được dùng chủ yếu cho các router Internet,
SNMP có thể dùng để quản lý các hệ thống Unix, Window, máy in, nguồn
điện… Nói chung, tất cả các thiết bị có thể chạy các phần mềm cho phép lấy
được thông tin SNMP đều có thể quản lý được. Không chỉ các thiết bị vật lý
mới quản lý được mà cả những phần mềm như web server, database.
2.2.1. Các phiên bản của SNMP
+ SNMP version 1: chuẩn của giao thức SNMP được định nghĩa trong
RFC 1157 và là một chuẩn đầy đủ của IETF. Vấn đề bảo mật của SNMP v1
dựa trên nguyên tắc cộng đồng, không có nhiều password, chuỗi văn bản
thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên SNMP có thể hiểu
các hiểu các chuỗi này để có thể truy cập vào các thiết bị quản lý. Có 3 tiêu
chuẩn trong: read-only, read-write và trap.
+ SNMP version 2: phiên bản này dựa trên các chuỗi “community”. Do
đó phiên bản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905,
1906, 1907, và đây chỉ là bản thử nghiệm của IETF. Mặc dù chỉ là thử
nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm.
21
+ SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ.
Nó được khuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC
1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575.
Nó hỗ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể.
Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất
và có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và
phần mềm hỗ trợ SNMPv3.
2.2.2. Thành phần của hệ thống sử dụng SNMP
Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần : các trạm
quản lý mạng (network management station) và các thành tố mạng (network
element)
Network management station: thường là một máy tính chạy phần mềm
quản lý SNMP (SNMP Manag ement application), dùng để giám sát và điều
khiển tập trung các network element.
Hình 2.6: Hệ thống sử dụng SNMP
Network element: là các thiết bị, máy tính, hoặc phần mềm tương thích
SNMP và được quản lý bởi network management station. Như vậy element
bao gồm device, host và application.
Một management station có thể quản lý nhiều element, một element
cũng có thể đƣợc quản lý bởi nhiều management station. Vậy nếu một
element được quản lý bởi 2 station thì điều gì sẽ xảy ra ? Nếu station lấy
thông tin từ element thì cả 2 station sẽ có thông tin giống nhau. Nếu 2
station tác động đến cùng một element thì element sẽ đáp ứng cả 2 tác động
theo thứ tự cái nào đến trước.
Ngoài ra còn có khái niệm SNMP agent. SNMP agent là một tiến trình
(process) chạy trên network element, có nhiệm vụ cung cấp thông tin của
element cho station, nhờ đó station có thể quản lý được element. Chính xác
hơn là application chạy trên station và agent chạy trên element mới là 2 tiến
22
trình SNMP trực tiếp liên hệ với nhau. Các ví dụ minh họa sau đây sẽ làm rõ
hơn các khái niệm này :
+ Để dùng một máy chủ (= station) quản lý các máy con (= element)
chạy HĐH Windows thông qua SNMP thì bạn phải: cài đặt một phần mềm
quản lý SNMP (= application) trên máy chủ, bật SNMP service (= agent) trên
máy con.
+ Để dùng một máy chủ (= station) giám sát lưu lượng của một router
(= element) thì bạn phải: cài phần mềm quản lý SNMP (= application) trên
máy chủ, bật tính năng SNMP (= agent) trên router.
a. Object ID
Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau,
mỗi thông tin đó gọi là một object.Ví dụ :
+ Máy tính có thể cung cấp các thông tin: tổng số ổ cứng, tổng số port
nối mạng, tổng số byte đã truyền/nhận, tên máy tính, tên các process đang
chạy, ….
+ Router có thể cung cấp các thông tin: tổng số card, tổng số port, tổng
số byte đã truyền/nhận, tên router, tình trạng các port của router, ….
Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã số
gọi là Object ID (OID). VD :
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5
+ Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là
1.3.6.1.2.1.2.1.
+ Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là
1.3.6.1.2.1.2.2.1.6.
+ Số byte đã nhận trên một port được gọi là ifInOctets, OID là
1.3.6.1.2.1.2.2.1.10.
Một object chỉ có một OID, chẳng hạn tên của thiết bị là một object. Tuy
nhiên nếu một thiết bị lại có nhiều tên thì làm thế nào để phân biệt ? Lúc này
người ta dùng thêm 1 chỉ số gọi là “scalar instance index” (cũng có thể gọi là
“sub-id”) đặt ngay sau OID. Ví dụ :
23
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị
có 2 tên thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần
lượt là 1.3.6.1.2.1.1.5.0 & 1.3.6.1.2.1.1.5.1.
+ Địa chỉ Mac address được gọi là ifPhysAddress, OID là
1.3.6.1.2.1.2.2.1.6 nếu thiết bị có 2 MAC Address thì chúng sẽ được gọi là
ifPhysAddress.0 & ifPhysAddress.1 và có OID lần lượt là
1.3.6.1.2.1.2.2.1.6.0 & 1.3.6.1.2.1.2.2.1.6.1.
+ Tổng số port được gọi là ifNumber, giá trị này chỉ có 1 (duy nhất) nên
OID của nó không có phân cấp con và vẫn là 1.3.6.1.2.1.2.1.
Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0. Ví dụ một thiết bị
có 2 MAC address thì có thể chúng được gọi là ifPhysAddress.23 và
ifPhysAddress.125645. OID của các object phổ biến có thể được chuẩn hóa,
OID của các object do bạn tạo ra thì bạn phải tự mô tả chúng. Để lấy một
thông tin có OID đã chuẩn hóa thì SNMP application phải gửi một bản tin
SNMP có chứa OID của object đó cho SNMP agent, SNMP agent khi nhận
được thì nó phải trả lời bằng thông tin ứng với OID đó.
Ví dụ : Muốn lấy tên của một PC chạy Windows, tên của một PC chạy
Linux hoặc tên của một router thì SNMP application chỉ cần gửi bản tin có
chứa OID là 1.3.6.1.2.1.1.5.0. Khi SNMP agent chạy trên PC Windows, PC
Linux hay router nhận được bản tin có chứa OID 1.3.6.1.2.1.1.5.0, agent lập
tức hiểu rằng đây là bản tin hỏi sysName.0, và agent sẽ trả lời bằng tên của
hệ thống. Nếu SNMP agent nhận được một OID mà nó không hiểu (không
hỗ trợ) thì nó sẽ không trả lời.
Hình 2.7: Minh họa quá trình lấy sysName.0
Một trong các ưu điểm của SNMP là nó đƣợc thiết kế để chạy độc lập
với các thiết bị khác nhau. Chính nhờ việc chuẩn hóa OID mà ta có thể dùng
một SNMP application để lấy thông tin các loại device của các hãng khác
nhau.
b. Object Access
24
Mỗi object có quyền truy cập là READ_ONLY hoặc READ_WRITE.
Mọi object đều có thể đọc được nhưng chỉ những object có quyền
READ_WRITE mới có thể thay đổi được giá trị. Ví dụ: Tên của một thiết bị
(sysName) là READ_WRITE, ta có thể thay đổi tên của thiết bị thông qua
giao thức SNMP. Tổng số port của thiết bị (ifNumber) là READ_ONLY, dĩ
nhiên ta không thể thay đổi số port của nó.
c. Management Information Base
MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng
được quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy
trên nền TCP/IP. MIB là kiến trúc chung mà các giao thức quản lý trên
TCP/IP nên tuân theo, trong đó có SNMP. MIB được thể hiện thành 1 file
(MIB file), và có thể biểu diễn thành 1 cây (MIB tree). MIB có thể được
chuẩn hóa hoặc tự tạo.
Hình 2.8: Minh họa MIB tree
Một node trong cây là một object, có thể được gọi bằng tên hoặc id. Ví
dụ :
+ Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1,
chứa tất cả các object liên quan đến thông tin của một hệ thống như tên của
thiết
bị
(iso.org.dod.internet.mgmt.mib-2.system.sysName
hay
1.3.6.1.2.1.1.5).
25
