Tải bản đầy đủ (.pdf) (89 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.74 MB, 89 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN CÔNG LÂM

NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG
MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG

LUẬN VĂN THẠC SỸ

Hà Nội 2010


ĐẠI HỌC QUỐC GIA HÀ NỘI
ĐẠI HỌC CÔNG NGHỆ

NGUYỄN CÔNG LÂM

NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG
MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG

Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60 48 15

LUẬN VĂN THẠC SỸ

Người hướng dẫn: PGS.TS Nguyễn Văn Tam

Hà Nội 2010



1

MỞ ĐẦU

Thế kỷ XXI đang chứng kiến sự phát triển mạnh mẽ của công nghệ thông
tin, sự phát triển của công nghệ thông tin và viễn thông làm tăng sự phát triển của
mạng Internet.
Mạng Internet đã ra đời và phát triển hơn 30 năm qua. Hiện nay, Internet đã
mở rộng thành một liên mạng trên phạm vi toàn cầu, là mạng của tất cả các mạng
và đƣợc coi là cơ sở hạ tầng truyền thơng của xã hội lồi ngƣời hiện nay và tƣơng
lai. Internet đã trở thành một thƣớc đo đánh giá sự phát triển của một quốc gia, của
một khu vực, thâm nhập vào các công sở, trƣờng học, khách sạn...Với Internet, con
ngƣời có thể liên lạc với nhau dù ở bất cứ nơi nào trên trái đất, miễn là nơi đó có
mạng đƣợc kết nối với mạng Internet. Và thông qua Internet, khoảng cách dƣờng
nhƣ thu hẹp lại.
Bên cạnh sự phát triển của Internet thì cũng kéo theo sự phát triển của rất
nhiều các hình thức tấn công vào các lỗ hổng của mạng. Các mạng máy tính hiện
nay bao giồm rất nhiều các thiết bị, vậy làm sao để quản lý hết đƣợc các thiết bị
đó? Câu trả lời đó chính là phải có các chƣơng trình quản trị mạng linh hoạt.
Nhƣng có chƣơng trình quản trị mạng rồi thì làm thế nào để đảm bảo an ninh cho
các thông điệp trên mạng truyền đi một cách an tồn trƣớc sự tấn cơng mạnh mẽ
của hacker.
Việc đảm bảo an ninh cho các thông điệp trong quản trị mạng là khó khăn,
các phƣơng trức quản trị thƣờng có những hình thức đảm bảo an ninh riêng nhƣ:
SNMP version 3 thì sử dụng “Mơ hình bảo mật dựa trên ngƣời dùng” và “Kiểm
soát truy nhập VACM”. Quản trị mạng dựa trên nền web thì sử dụng phƣơng thức
xác thực và mã hóa kết nối dựa trên SSL. Mỗi cách thức bảo mật đều có những ƣu
điểm và nhƣợc điểm riêng của chúng, lựa chọn hình thức quản trị mạng nhƣ thế
nào là tùy thuộc vào mục đích quản trị. Nghiên cứu các giải pháp an ninh trong một

số kiến trúc quản trị mạng thƣờng gặp để từ đó có cái nhìn đúng, đầy đủ về quản trị
mạng từ đây có thể lựa chọn đƣợc phƣơng thức quản trị mạng cho thích hợp. Đây
cũng chính là lý do tơi đã chọn đề tài “Nghiên cứu giải pháp an ninh trong một
số kiến trúc quản trị mạng”.
Luận văn này bao giồm phần mở đầu, 4 chƣơng và phần kết luận, với nội
dung các chƣơng đƣợc trình bày tóm tắt dƣới đây:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


2

Chƣơng 1: Nghiên cứu sơ bộ về tổng quan quản trị và an ninh thông tin trên
Internet. Nghiên cứu về các giao thức mạng, về các mơ hình quản trị mạng và vấn
đề an ninh truyền thông trên Internet.
Chƣơng 2: Nghiên cứu sơ bộ về quản trị mạng SNMP và vấn đề đảm bảo
anh ninh cho các thông điệp khi truyền trong quản trị mạng với SNMP version 3.
Chƣơng 3: Nghiên cứu về cơ chế bảo mật và xác thực trong quản trị mạng
dựa trên nền web.
Chƣơng 4: Thực thi quản trị mạng bằng phần mềm mã nguồn mở Cacti, chỉ
rõ việc ứng dụng các cơ chế đảm bảo an ninh mà chƣơng 2 và chƣơng 3 đã đề cập
tới.

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


3

CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH
THÔNG TIN TRÊN INTERNET


1.1. Các giao thức trên Internet
Bộ giao thức là tập hợp các giao thức cho phép sự truyền thông mạng từ một
host thông qua mạng đến host khác. Giao thức là một mơ tả hình thức của một tập luật
và tiêu chuẩn khống chế một khía cạnh đặc biệt trong hoạt động thông tin của các
thiết bị trên mạng. Giao thức xác định dạng thức, định thời, tuần tự và kiểm soát
lỗi trong hoạt động truyền số liệu. Khơng có giao thức, máy tính khơng thể tạo ra
hay tái tạo luồng bít đến từ máy tính khác sang dạng ban đầu.
1.1.1. Giao thức TCP/IP
Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol)
là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau.
Ngày nay TCP/IP đƣợc sử dụng rộng rãi trong các mạng cục bộ cũng nhƣ trên
Internet toàn cầu. TCP/IP đƣợc xem là giản lƣợc của mơ hình tham chiếu OSI với 4
tầng nhƣ sau:
+ Tầng liên kết mạng (Network Access Layer)
+ Tầng Internet (Internet Layer)
+ Tầng giao vận (Host-To-Host Transport Layer)
+ Tầng ứng dụng (Application Layer)

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


4

Hình 1.1 – Kiến trúc TCP/IP
 Tầng liên kết: Tầng liên kết (còn đƣợc gọi là tầng liên kết dữ liệu hay là
tầng giao tiếp mạng) là tầng thấp nhất trong mơ hình TCP/IP. Bao gồm các thiết bị
giao tiếp mạng và chƣơng trình cung cấp các thơng tin cần thiết để có thể hoạt
động, truy nhập đƣờng truyền vật lý qua thiết bị giao tiếp mạng đó. Nó bao gồm
các chi tiết của công nghệ LAN, WAN và tất cả các chi tiết chứa trong lớp vật lý và
lớp liên kết số liệu của mơ hình OSI. Lớp liên kết định ra các thủ tục để giao tiếp

với phần cứng mạng và truy nhập môi trƣờng truyền. Các tiêu chuẩn giao thức
modem nhƣ SLIP (Serial Line Internet Protocol) và PPP (Point-To-Point Protocol)
cung cấp truy xuất mạng thông qua kết nối dùng modem.
Application
Transport
- Ethernet
- Fast Ethernet
- SLIP và PPP
- FDDI

Internet

Network Access

- ATM, Frame
Relay và SMDS
- ARP
- Proxy ARP
- RARP

Hình 1.2 - Các giao thức thuộc lớp Network Access
 Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý quá trình truyền
gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol),
ICMP (Internet Control Message Protocol), IGMP (Internet Group Message
Protocol). Mục đích của lớp Internet là chọn lấy một đƣờng dẫn tốt nhất xuyên qua
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


5


mạng cho các gói tin di chuyển tới đích. Giao thức chính hoạt động tại lớp này là
Internet Protocol. Sự xác định đƣờng dẫn tốt nhất và mạch chuyển gói diễn ra tại
lớp này.

Application
Transport
Internet

Internet Protocol (IP)
Internet Control Message Protocol (ICMP)
Address Ressulation Protocol (ARP)
Reverse Address Ressulation Protocol (RARP)

Network Access

Hình 1.3 - Các giao thức tại lớp Internet
- IP cung cấp conectionless, định tuyến chuyển phát gói theo besteffort. IP
khơng quan tâm đến nội dung của các gói nhƣng tìm kiếm đƣờng dẫn cho gói tới
đích.
- ICMP (Internet Control Message Protocol): đem đến khả năng điều khiển và
chuyển thông báo.
- ARP (Address Ressulation Protocol): xác định địa chỉ lớp liên kết số liệu
(MAC address) khi biết trƣớc địa chỉ IP.
- RARP (Reverse Address Ressulation Protocol): xác định các địa chỉ IP khi biết
trƣớc địa chỉ MAC.
 Tầng giao vận: Tầng giao vận phụ trách luồng giữ liệu giữa hai trạm thực hiện
các ứng dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission
Protocol), UDP (User Datagram Protocol).
TCP cung cấp luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ
chế nhƣ chia nhỏ các gói tin của tầng trên thành các gói tin có kích thƣớc

thích hợp cho tầng mạng bên dƣới, báo nhận gói tin, đặt hạn chế thời gian
time-out để đảm bảo bên nhận biết đƣợc các gói tin đã chuyển đi. Do tầng
này đảm bảo tính tin cậy, tầng trên sẽ khơng cần quan tâm đến nữa.
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng, nó chỉ
gửi các gói tin dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói
tin đến đƣợc tới đích. Các cơ chế đảm bảo độ tin cậy cần đƣợc thực hiện bởi
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


6

tầng trên.

Application

Transmission Control Protocol (TCP)
Conection – Oriented
User Datagram Protocol (UDP)

Transport
Internet

Network Access

Hình 1.4 - Các giao thức thuộc lớp Transport
 Tầng ứng dụng: Tầng ứng dụng là tầng trên cùng của mơ hình TCP/IP bao
gồm các tiến trình và các ứng dụng cung cấp cho ngƣời sử dụng để truy cập mạng.
Lớp ứng dụng của mơ hình TCP/IP kiểm sốt các giao thức lớp cao, các chủ đề về
trình bày, biểu diễn thơng tin, mã hóa và điều khiển hội thoại. Có rất nhiều ứng dụng
đƣợc cung cấp trong tầng này, mà phổ biến là: Telnet đƣợc sử dụng trong mạng truy

cập từ xa, FTP (File Transfer Protocol) là dịch vụ truyền tệp, Email - dịch vụ thƣ
tín điện tử, WWW (World Wide Web).



Application


Transport



Internet



Network Access



File Transfer
TFTP
FTP
NFS
Email
SMTP
Remote login
Telnet
Network Management
SNMP

Database
DNS

Hình 1.5 - Các giao thức thuộc lớp Application

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


7

Ý nghĩa của một số dịch vụ:
+ File Transfer Protocol (FTP): là một dịch vụ có tạo cầu nối
(conection - oriented) tin cậy, nó sử dụng TCP để truyền các tệp tin giữa các hệ thống
có hỗ trợ FTP. Nó hỗ trợ truyền file nhị phân hai chiều và tải các file ASCII.
+ Trivial File Transfer Protocol (TFTP): là một dịch vụ không tạo cầu nối
(conectionless) dùng giao thức UDP. TFTP đƣợc dùng trên router để truyền các
file cấu hình và các Cisco IOS image và để truyền file giữa các hệ thống hỗ trợ
TFTP. Nó hữu dụng trong một vài LAN bởi nó hoạt động nhanh hơn FTP trong một
môi trƣờng ổn định.
+ Network File System (NFS): là một bộ giao thức hệ thống file phân tán đƣợc
phát triển bởi Sun Microsystem cho phép truy xuất file đến các thiết bị lƣu trữ ở xa
nhƣ một đĩa cứng qua mạng.
+ Simple Mail Transfer Protocol (SMTP): quản trị các hoạt động truyền e-mail
qua mạng máy tính.
+ Terminal emulation (Telnet): cung cấp khả năng truy nhập từ xa vào các máy
tính, thiết bị khác.
+ Simple Network Management Protocol (SNMP): là một giao thức cung cấp
phƣơng pháp để giám sát và điều khiển các thiết bị mạng và để quản trị các cấu hình,
thu thập thống kê, hiệu suất và bảo mật.
+ Domain Name System (DNS): là một hệ thống đƣợc dùng trên Internet để

thông dịch tên của các miền (domain) và các node mạng đƣợc quảng cáo công khai
sang các địa chỉ IP. Thực chất Hệ thống DNS là những CSDL (DNS database) chứa
tên và địa chỉ tƣng ứng cùng với các thông tin khác đi kèm.
1.1.2. Giao thức UDP (User Datagram Protocol)
UDP là giao thức không liên kết trong chồng giao thức TCP/IP, cung cấp dịch
vụ giao vận không tin cậy, sử dụng thay thế cho TCP trong tầng giao vận. Khác
với TCP, UDP khơng có chức năng thiết lập và giải phóng liên kết, khơng có cơ chế
báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và có thể
dẫn đến tình trạng mất hoặc trùng dữ liệu mà khơng hề có thơng báo lỗi cho ngƣời
gửi. Khuôn dạng đơn vị dữ liệu của UDP đƣợc mô tả nhƣ sau:

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


8

Hình 1.6 - Khn dạng UDP datagram
- Số hiệu cổng nguồn (Source Port - 16 bit): số hiệu cổng nơi đã gửi dữ liệu.
- Số hiệu cổng đích (Destination Port - 16 bit): số hiệu cổng nơi dữ liệu đƣợc
chuyển tới.
- Độ dài UDP (Length - 16 bit): độ dài tổng cổng kể cả phần header của gói dữ
liệu UDP.
- UDP Checksum (16 bit): dùng để kiểm soát lỗi, nếu phát hiện lỗi thì
đơn vị dữ liệu UDP sẽ bị loại bỏ mà khơng có một thơng báo nào trả lại cho
trạm gửi.
 Các giao thức dùng UDP gồm:
+ TFTP (Trivial File Transfer Protocol)
+ SNMP (Simple Network Management Protocol)
+ DHCP (Dynamic Host Control Protocol)
+ DNS (Domain Name System)

1.1.3. Giao thức TCP
TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong
tầng mạng. Nhƣng không giống nhƣ UDP, TCP cung cấp một hoạt động truyền dữ
liệu hai chiều hoàn toàn (full-duplex) tin cậy và có liên kết. Có liên kết ở đây có nghĩa
là 2 ứng dụng sử dụng TCP phải thiết lập liên kết với nhau trƣớc khi trao đổi dữ liệu.
Sự tin cậy trong dịch vụ đƣợc cung cấp bởi TCP đƣợc thể hiện nhƣ sau:
- Dữ liệu từ tầng ứng dụng gửi đến đƣợc TCP chia thành các đoạn (segment)
có kích thƣớc phù hợp nhất để truyền đi.
- Khi TCP gửi 1 đoạn, nó duy trì một thời lƣợng để chờ phúc đáp từ trạm
nhận. Nếu trong khoảng thời gian đó phúc đáp khơng tới đƣợc trạm gửi thì đoạn đó
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


9

đƣợc truyền lại.
- Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi 1
phúc đáp tuy nhiên phúc đáp không đƣợc gửi lại ngay lập tức mà thƣờng trễ một
khoảng thời gian.
- TCP duy trì giá trị tổng kiểm tra (checksum) trong phần Header của dữ liệu để
nhận ra bất kỳ sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 đoạn bị lỗi thì TCP
ở phía trạm nhận sẽ loại bỏ và không phúc đáp lại để trạm gửi truyền lại đoạn bị lỗi
đó.
Giống nhƣ đơn vị dữ liệu của IP, các đoạn của TCP có thể tới đích một cách
khơng tuần tự. Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng
ứng dụng đảm bảo tính đúng đắn của dữ liệu.
Khi dữ liệu IP bị trùng lặp TCP tại trạm nhận sẽ loại bỏ dữ liệu trùng lặp đó.

Hình 1.7 - Khn dạng TCP segment
TCP cũng cung cấp khả năng điều khiển luồng. Mỗi đầu của liên kết TCP có

vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi truyền
một lƣợng dữ liệu nhất định (nhỏ hơn khơng gian đệm cịn lại). Điều này tránh xảy
ra trƣờng hợp trạm có tốc độ cao chiếm tồn bộ vùng đệm của trạm có tốc độ chậm
hơn.
Khn dạng của một đoạn TCP đƣợc mơ tả trong hình 1.7, các tham số trong
khn dạng trên có ý nghĩa nhƣ sau:
- Source Port (16 bits ) là số hiệu cổng của trạm nguồn.
- Destination Port (16 bits ) là số hiệu cổng trạm đích.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


10

- Sequence Number (32 bits) là số hiệu byte đầu tiên của đoạn trừ khi bit SYN
đƣợc thiết lập. Nếu bit SYN đƣợc thiết lập thì sequence number là số hiệu tuần tự
khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông
qua trƣờng này TCP thực hiện việc quản lí từng byte truyền đi trên một kết nối TCP.
- Acknowledgment Number (32 bits). Số hiệu của đoạn tiếp theo mà trạm
nguồn đang chờ để nhận và ngầm định báo nhận tốt các segment mà trạm đích đã
gửi cho trạm nguồn.
- Header Length (4 bits). Số lƣợng từ (32 bits) trong TCP header, chỉ ra vị trí bắt
đầu của vùng dữ liệu vì trƣờng Option (tùy chọn) có độ dài thay đổi. Header length có
giá trị từ 20 đến 60 byte.
- Reserved (6 bits). Dành để dùng trong tƣơng lai.
- Control bits : Các bit điều khiển
URG : xác định vùng con trỏ khẩn có hiệu lực.
ACK : vùng báo nhận ACK Number có hiệu lực.
PSH : chức năng PUSH.
RST : khởi động lại liên kết.
SYN : đồng bộ hoá các số hiệu tuần tự (Sequence number).

FIN : khơng cịn dữ liệu từ trạm nguồn.
- Window size (16 bits): cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế
cửa sổ trƣợt). Đây chính là số lƣợng các byte dữ liệu bắt đầu từ byte đƣợc
chỉ ra trong vùng ACK number mà trạm nguồn sẵn sàng nhận.
- Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header
và dữ liệu.
- Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng
trong dòng dữ liệu khẩn cho phép bên nhận biết đƣợc độ dài của dữ liệu
khẩn. Vùng này chỉ có hiệu lực khi bit URG đƣợc thiết lập.
- Option (độ dài thay đổi). Khai báo các tuỳ chọn của TCP trong đó thơng
thƣờng là kích thƣớc cực đại của 1 segment: MSS (Maximum Segment
Size).
- TCP data (độ dài thay đổi). Chứa dữ liệu của tầng ứng dụng có độ dài
ngầm định là 536 byte. Giá trị này có thể điều chỉnh đƣợc bằng cách khai báo trong
vùng tùy chọn.
 Các giao thức dùng TCP bao gồm:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


11

+ FTP (File Transfer Protocol)
+ HTTP (Hypertext Transfer Protocol)
+ SMTP (Simple Mail Transfer Protocol)
+ Telnet
1.2. Các kiến trúc quản trị mạng
Hiện nay hệ thống mạng đa dạng và phong phú, việc quản trị mạng sẽ gặp khó
khăn, vậy sử dụng mơ hình quản trị mạng nào là thích hợp?
Quản trị mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức
tạp. Hiện nay, hầu hết phần tử mạng có các module quản trị riêng nên việc quản trị

bị phân tán. Xu hƣớng tƣơng lai là tập trung hóa hệ thống quản trị mạng bằng việc
tích hợp tất cả phần tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều
ngƣời quản trị mạng.
SNMP là giao thức quản trị mạng hiện đƣợc dùng rất phổ biến trên mạng
TCP/IP.
1.2.1. Kiến trúc quản trị mạng SNMP
Các mơ hình quản trị mạng truyền thống chạy trên hệ điều hành của
Microsoft đa số sử dụng giao thức SNMP, trong đó chia làm 4 thành phần:
+ Nút đƣợc quản trị (managed node)
+ Trạm quản trị (management station)
+ Thông tin quản trị (management information)
+ Giao thức quản trị (management protocol)

Hình 1.8 – Mơ hình quản trị mạng dựa trên SNMP
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


12

- Nút đƣợc quản trị có thể là máy tính, bộ định tuyến, bộ chuyển mạch, cầu
nối, máy in hoặc các thiết bị mạng khác có khả năng liên lạc với bên ngoài mạng.
Mỗi nút chạy phần mềm quản trị gọi là SNMP agent. Mỗi agent duy trì một cơ sở
dữ liệu cục bộ các biến mô tả trạng thái, lịch sử và tác vụ ảnh hƣởng lên nó.
- Trạm quản trị chứa một hoặc nhiều tiến trình liên lạc với agent trên mạng,
phát những câu lệnh và nhận kết quả. Hình 1.8 trình bày mơ hình quản trị mạng
Microsoft thơng qua giao thức SNMP. Trong hình 1.8, cơ sở dữ liệu MIB
(Management Information Base) tập hợp tất cả các đối tƣợng trong một mạng, nó
định ra những biến mà các phần tử mạng cần duy trì. Trạm quản trị (management
station) tƣơng tác với agent qua giao thức SNMP. Chúng ta sẽ nghiên cứu kỹ hơn
về SNMP ở chƣơng 2.

1.2.2. Kiến trúc quản trị mạng dựa trên Web
Các mơ hình quản trị mạng dựa trên nền web có hai thành phần cơ bản là
Web Server (Manager) và Client (Agent).
Khi có một yêu cầu của Agent đƣợc gửi đến đến Manager thơng qua trình
duyệt Web, Manager sẽ gửi tới Common Gateway Interface (CGI). CGI là một giao
diện chuẩn cho phép trao đổi thơng tin giữa phần mềm Manager với các chƣơng
trình (ứng dụng) bên ngồi. CGI sẽ thực hiện cơng việc của mình và chuyển thơng
tin về cho Manager dƣới dạng chuẩn HTML và Manager sẽ gửi tiếp các thông tin
này về cho agent.
Sau đây là tóm lƣợc bốn bƣớc xử lý của việc quản trị mạng trên nền web
+ Bƣớc 1: Xử lý dữ liệu đƣợc truyền từ Agent tới Manager.
+ Bƣớc 2: Manager sẽ hƣớng các yêu cầu mà Agent gửi tới đến các chƣơng
trình CGI để thực hiện.
+ Bƣớc 3: Gửi lại các dữ liệu và kết quả mà chƣơng trình CGI thực hiện trở
lại cho Manager.
+ Bƣớc 4: Manager gửi lại dữ liêu mà nó nhận từ chƣơng trình CGI cho
Agent.

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


13

Hình 1.9 – Chu trình thực hiện một CGI Request

1.2.3. Các kiến trúc quản trị mạng khác
1.2.3.1. Quản trị mạng dựa trên XML
Kiến trúc quản trị mạng dựa trên XML có hai phần cơ bản đó là: Element
Management Level (EML) và Network Management Level (NML). Kiến trúc quản
trị mạng dựa trên XML tuân theo cấu trúc và định nghĩa giao diện chƣơng trình

ứng dụng XML EML cho mỗi phần tử mạng và giao diện chƣơng trình ứng dụng
XML NML cho toàn mạng.
Quản trị mạng xác định các giao diện chƣơng trình ứng dụng API
(Application Programming Interface) dựa trên các yêu cầu quản trị mạng cho mạng
đó. Mỗi cấu trúc API phù hợp với một lƣợc đồ XML. Lƣợc đồ XML xác định cách
thức hoạt động và kết hợp thực hiện EML tƣơng ứng để kết hợp các thao tác EML
và NML. Lƣợc đồ XML tạo điều kiện thuận lợi để tạo ra và đánh giá các API.
Kiến trúc quản trị mạng dựa trên XML đƣợc miêu tả trong hình 1.10, nó đặc
tả, phân tích mơi trƣờng thời gian thực XML và cho phép thực hiện tài liệu XML.
Nhƣ vậy, kiến trúc này xác định một hệ thống, chấp nhận ứng dụng XML
(EML hoặc NML). Thực hiện chúng trên các thành phần mạng và trả lại kết quả.
Hệ thống này nhận tài liệu ứng dụng XML từ các điều khiển.
Bộ xử lý XML đƣợc hình thành từ hai bộ phân tích:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


14

+ Công cụ EML: Là bộ xử lý ứng dụng EML XML.
+ Công cụ NML: Là bộ xử lý ứng dụng NML XML.
Công cụ xử lý tài liệu ứng dụng XML EML kết hợp nhận dạng các thao tác
EML, phân tích chúng thành các thao tác và thực hiện chúng trên các thành phần
mạng. Ở lớp cao hơn, công cụ NML xử lý các tài liệu ứng dụng NML, nhận dạng
các thao tác NML, phân tích chúng thành các thao tác NML; Xây dựng tƣơng tự
nhƣ tài liệu EML, sắp xếp lại thành các công cụ EML và thực hiện chúng. EML và
NML đều tạo ra tài liệu XML chứa đựng kết quả của tập hợp các thao tác quản trị.
Đặc trƣng tài liệu XML là việc xác định cấu trúc cho các ứng dụng XML với sự thể
hiện các trạng thái hiện thời của các thiết bị sau khi thực hiện các thao tác.

Hình 1.10 – Tổng quan về kiến trúc quản trị mạng trên XML


1.2.3.2. Quản trị mạng dựa trên chính sách
Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và
virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt
nào đó, việc kết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access
Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn
là một quy luật tất yếu.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


15

NAC là một chính sách có hiệu lực, nó gần nhƣ đƣợc thắt chặt với các quá
trình làm việc của mạng. Các mạng triển khai hệ thống NAC cơ bản để yêu cầu
ngƣời dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trƣớc
khi họ đƣợc phép truy cập vào mạng.
Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba
dạng kiểm tra:
+ Thứ nhất có thể truy cập mạng bằng cách đơn giản chỉ yêu cầu
ngƣời dùng đồng ý với một chính sách sử dụng trƣớc khi họ kết nối vào mạng. Sự
nhận dạng ngƣời dùng và trạng thái máy không có ý nghĩa đối với việc truy cập
đƣợc chấp nhận hay khơng.
+ Thứ hai đó là phê chuẩn tính hợp lệ của ngƣời dùng.
+ Thứ ba là phê chuẩn tính hợp lệ trạng thái máy.
Hai dạng kiểm tra hiếm khi đƣợc sử dụng là: từ chối toàn bộ sự truy cập hoặc
cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp lệ của ngƣời dùng, sẽ có
nhiều mức truy cập khác nhau đối với từng ngƣời dùng khác nhau. Đối với các
quản trị viên thì đƣợc ƣu tiên ở mức truy cập tồn bộ cịn ngƣời dùng khác sẽ bị
giới hạn một số ứng dụng.
1.3. Vấn đề bảo đảm an ninh truyền thông trên Internet

1.3.1. Khái niệm về đảm bảo an ninh truyền thông
Mạng Internet đã đƣợc phổ cập khắp thế giới do vậy việc bảo vệ tài nguyên
thông tin trên mạng là cấp thiết. Vấn đề an ninh mạng càng trở nên cấp thiết để
chống các hacker đột nhập vào hệ thống, ăn cắp thông tin và làm tê liệt hệ thống.
Mục tiêu của việc đảm bảo an ninh trên mạng là:
+ Tính bảo mật (confidentiality): Bảo đảm dữ liệu không bị sử dụng bởi ngƣời
không có thẩm quyền.
+ Tính xác thực (Authentication): Kiểm tra tính hợp pháp của ngƣời sử dụng.
+ Tính khơng thể chối cãi (nonrepudiation): Các thực thể tham gia không
thể chối bỏ.
+ Tính tồn vẹn (Integrity): Thơng tin khơng bị sai lệch, sửa đổi.
Ta phải kiểm sốt các vấn đề an tồn mạng theo các mức khác nhau đó là:
+ Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
+ Mức Server: Kiểm soát quyền truy nhập, các cơ chế bảo mật, quá trình
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


16

nhận dạng ngƣời dùng, phân quyền truy cập, cho phép các tác vụ.
+ Mức cơ sở dữ liệu: Kiểm soát ai? Đƣợc quyền nhƣ thế nào? với mỗi cơ sở dữ
liệu.
+ Mức trƣờng thông tin: Trong mỗi cơ sở dữ liệu kiểm sốt đƣợc mỗi trƣờng
dữ liệu chứa thơng tin khác nhau có quyền truy cập khác nhau.
+ Mức mật mã: Mã hóa tồn bộ file dữ liệu theo một phƣơng pháp nào
đó và chỉ cho phép ngƣời có “chìa khóa” mới có thể sử dụng đƣợc file dữ
liệu.
1.3.2. Bảo mật thông báo khi truyền trên Internet
Hiện nay khi truyền các thơng báo trên internet thì khả năng để rị rỉ thông
tin là rất lớn, những thông tin quan trọng nhƣ dữ liệu cá nhân của khách hàng nhƣ

mã số bảo hiểm xã hội, thơng tin thẻ tín dụng, nội dung thƣ điện tử, các hợp đồng
kinh tế …. Khi những kẻ xấu đánh cắp đƣợc những gói tin này thì chúng sẽ sử
dụng để thực hiện các hành vi bất hợp pháp. Để bảo vệ đƣợc bí mật của những
thơng báo khi truyền trên mạng thì phải có những cơ chế và phƣơng thức bảo mật
khác nhau. Muốn bảo vệ dữ liệu mà chỉ dựa vào việc mã hoá dữ liệu là rất nguy
hiểm. Ngày càng có nhiều tin tặc có thể đọc trộm, tráo đổi dữ liệu và mạo danh để
xâm nhập một cách dễ dàng và thiện nghệ. Và nhƣ vậy, chỉ mật mã hoá dữ liệu thì
khơng đủ để bảo vệ dữ liệu cho an tồn.
Để đáp ứng những tiêu chuẩn nghiêm ngặt về an toàn thơng tin vốn địi hỏi
chúng ta phải xây dựng và nghiên cứu những biện pháp an ninh để làm sao các
thông báo chúng ta trao đổi trên mạng phải tuyệt đối an tồn trƣớc những đợt tấn
cơng của kẻ xấu. Chúng ta phải có những chiến lƣợc bảo vệ các thông báo gồm
nhiều tầng lớp mà mức thấp nhất là mật mã hoá, xác thực và mức cao nhất là tích
hợp nhiều chữ ký điện tử, chứng thực điện tử và quản trị bằng khoá theo trật tự cấp
bậc (hierachical key).
Mã hoá/giải mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn
cơng vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang
an toàn phải đƣợc dựng lên để đảm bảo những tài sản quý giá dạng điện tử không
thể bị đọc trộm, bị thay đổi… khi truyền trong môi trƣờng mạng.
Chữ ký điện tử: Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm
phạm. Dùng kỹ thuật băm (hashing) một chiều cho cả dữ liệu lẫn chữ ký điện tử
đƣợc gửi đi trên mạng. Khi thông báo đƣợc gửi đến thông qua việc truyền trên
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


17

mạng, một hàm băm mới đƣợc tạo ra từ dữ liệu ban đầu và so sánh với hàm băm
ban đầu để đảm bảo thông tin không bị thay đổi. Cũng có thể sử dụng một phƣơng
pháp tƣơng tự để đảm bảo tính khơng thể chối cãi đƣợc của những dữ liệu lƣu trữ

dài hạn (long-term archive) trong các trƣờng hợp phải chấp hành luật lệ hay tranh
tụng.
Quản trị khoá theo trật tự cấp bậc: Một hạ tầng cơ sở chứng thực (cartificate
infrastructure) tích hợp và có trật tự cấp bậc sẽ đối phó với vấn đề mạo xƣng và
đảm bảo thơng tin đƣợc đã gửi tới từ một máy tính tin cậy.
Áp dụng các chính sách an tồn dữ liệu: Những dữ liệu khác nhau có tầm
quan trọng khác nhau và do đó, có những địi hỏi về chính sách an toàn khác nhau.
Một hệ thống tốt sẽ đối chiếu và áp dụng những giải thuật băm và mật mã hoá, thời
gian lƣu trữ và độ dài mật khẩu cần thiết đối với những loại dữ liệu khác nhau. Hệ
thống cần vận dụng mềm dẻo những cấp độ an toàn khác nhau tuỳ thuộc vào giá trị
của thông tin mà ta cần phải bảo vệ.
Những thế lực đen tối có khả năng đột nhập vào hệ thống máy tính đã làm
cho các công cụ bảo vệ dữ liệu trở nên hết sức quan trọng vì đấy là một phƣơng
tiện kiểm soát các cách thức mà dữ liệu đƣợc xử lý, lƣu trữ và bảo đảm chống lại
nạn đánh cắp và tráo đổi dữ liệu. Mã hoá là một cách làm tốt nhƣng lợi ích của nó
cịn hạn chế. Đó là lý do tại sao sự an toàn trong dữ liệu cần phải tích hợp các xác
thực, chữ ký điện tử, các chứng thực điện tử và phƣơng pháp quản trị khoá theo trật
tự cấp bậc. Nếu áp dụng một cách khôn ngoan các phƣơng pháp này vào việc quản
trị dữ liệu cùng với sự hỗ trợ của những khuôn mẫu thực thi, thì chúng ta sẽ có một
nền tảng an tồn lƣu trữ đa tầng tồn diện có khả năng đối đầu đƣợc với tình trạng
đe doạ đa chiều trƣớc mắt và trong tƣơng lai.
1.3.3. Một số giải pháp
+ Kiểm soát đăng ký tên/mật khẩu truy cập vào hệ thống.
+ Kiểm soát truy nhập tài nguyên mạng và quyền hạn trên tài ngun đó.
+ Mã hố dữ liệu truyền trên mạng (bảo mật thông tin).
+ Xác thực thông tin (kiểm tra tính hợp pháp của ngƣời sử dụng)
+ Chữ kí điện tử, Chứng nhận điện tử…
1.4. Kết luận chƣơng 1

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin



18

Trong chƣơng 1 này chúng ta đã đi nghiên cứu vào các vấn đề các giao thức
và dich vụ internet, các mơ hình quản trị mạng, vấn đề đảm bảo an ninh cho các
thông báo khi truyền đi trong môi trƣơng mạng.
Giới thiệu về các giao thức chính trên mạg internet, cấu trúc và ý nghĩa, các
ƣu điểm và hạn chế của các từng giao thức.
Nghiên cứu các mơ hình quản trị mạng SNMP, WEB, XML… các đặc điểm
của từng mơ hình quản trị mạng, qua đó chúng ta có thể thấy việc quản trị mạng tuy
khó khăn nhƣng cũng sẽ đƣợc giải quyết nếu nhƣ chúng ta có sự lựa chọn tốt mơ
hình quản trị mạng. Việc lựa chọn mơ hình quản trị mạng nào là phụ thuộc vào
mục đích của việc quản trị, phụ thuộc vào cách thức, phƣơng thức của ngƣời quản
trị.
Trong các mơ hình quản trị mạng việc khó khăn nhất đối với mơ hình quản
trị đó là làm thế nào để đảm bảo đƣợc an ninh cho các thông báo khi truyền trên
môi trƣờng mạng. Nếu việc đảm bảo an ninh cho các thông báo khơng tốt trong q
trình truyền thì những kẻ xâm nhập sẽ tiến hành thực hiện các kiểu tấn công bất
hợp pháp nhƣ giả mạo bên đối tác, tấn công lặp lại, tấn công làm thay đổi tài
nguyên, tấn công từ chối dịch vụ, tấn công ở giữa…
Nếu các hành vi tấn đó thành cơng thì sẽ gây ra những hậu quả rất nghiêm
trọng đến an ninh của mạng. Để hạn chế tối đa và khắc phục những sơ hở trong vấn
đề an ninh khi truyền thơng báo thì các mơ hình quản trị phải có các cơ chế đảm
bảo nhƣ thơng báo gửi đi phải đƣợc mã hóa, phải đƣợc xác thực, phải đảm bảo tính
tồn vẹn… Đấy cũng là nội dung mà chúng ta đi nghiên cứu trong các chƣơng 2.

CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN
NINH CHO SNMPv3
2.1. Quản trị mạng SNMP (Simple Network Management Protocol)

Trong mạng lƣới phức tạp hiện nay của router, switch, và các máy chủ. Để
quản trị tất cả các thiết bị trên mạng của bạn nó có thể có vẻ giống nhƣ một nhiệm
vụ khó khăn và chắc chắn rằng chúng không thể hoạt động tốt và thực hiện một
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


19

cách tối ƣu. Ở SNMP có thể giúp đỡ thực hiện tốt việc quản trị đó. SNMP đƣợc
giới thiệu vào năm 1988 để đáp ứng cho nhu cầu quản trị chung cho Internet
Protocol (IP) và với các loại thiết bị hỗ trợ ngày càng tăng. SNMP cung cấp cho
ngƣời sử dụng một bộ tập lệnh đơn giản nhất “Simple” cho phép các thiết bị này
đƣợc quản trị từ xa.
Chức năng của SNMP là gì?
2.1.1 Quản trị mạng và giám sát mạng
Cốt lõi của SNMP là một tập hợp của các hoạt động đơn giản (những thông
tin thu thập từ các hoạt động này) cung cấp cho các quản trị viên khả năng thay đổi
trạng thái của một số thiết bị dựa trên SNMP. Ví dụ, bạn có thể dùng SNMP để tắt
một ứng dụng trên router của bạn hoặc kiểm tra tốc độ của ứng dụng đang hoạt
động trên Ethernet của bạn. SNMP thậm chí có thể theo dõi nhiệt độ trên Swith của
bạn, chuyển đổi và cảnh báo bạn khi nó là quá cao…
SNMP thƣờng đƣợc kết hợp với các thiết bị quản trị định tuyến (Router),
nhƣng điều quan trọng là phải hiểu rằng nó có thể đƣợc sử dụng để quản trị nhiều
loại thiết bị. Trong khi các chƣơng trình xuất hiện trƣớc SNMP, Simple Gateway
management Protocol (SGMP), đƣợc phát triển để quản trị các bộ định tuyến
Internet thì SNMP có thể đƣợc sử dụng để quản trị các hệ thống Unix, hệ thống
Windows, máy in, kệ modem, nguồn điện, và nhiều hơn nữa. Bất kỳ thiết bị chạy
phần mềm cho phép thu hồi thơng tin SNMP có thể quản trị đƣợc. Đó là bao gồm
các thiết bị khơng chỉ là phần cứng mà cịn cả phần mềm, chẳng hạn nhƣ máy chủ
web và cơ sở dữ liệu.

Một khía cạnh khác của quản trị mạng là giám sát mạng; có nghĩa là, theo
dõi tồn bộ hệ thống mạng bằng cách làm trái ngƣợc với thiết bị định tuyến cá nhân
(individual Router), máy chủ, và các thiết bị khác. Giám sát mạng từ xa Remote
Network Monitoring (RMON) đã đƣợc phát triển để giúp chúng ta hiểu bản chất
của mạng là các chƣơng trình, các thiết bị cá nhân trên mạng đều có ảnh hƣởng
chung đến mạng. Có thể giúp ta hiểu làm sao một mạng có thể tự hoạt động, làm
sao các thiết bị riêng lẻ trong một mạng có thể hoạt động đồng bộ trong mạng đó.
2.1.2. Phiên bản RFC và SNMP

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


20

Tổ chức Internet Engineering Task Force (IETF) chịu trách nhiệm xác định
các giao thức chuẩn mà chúng quản trị lƣu lƣợng truy cập Internet, bao gồm
SNMP. IETF đƣa ra các giải pháp cho các yêu cầu Requests For Comments (RFCs)
về chi tiết kỹ thuật của các giao thức đang tồn tại trong ứng dụng IP.
Các phiên bản SNMP đƣợc đƣa ra bao giồm: SNMP Version 1 (SNMPv1),
SNMP Version 2 (SNMPv2), SNMP Version 3 (SNMPv3).
 SNMP version 1 (SNMPv1) là phiên bản tiêu chuẩn hiện hành của giao thức
SNMP. Đó là định nghĩa trong RFC 1157 và là một IETF đầy đủ tiêu chuẩn. Vấn
đề bảo mật của SNMP v1 dựa trên ngun tắc cộng đồng (communities), khơng có
nhiều password, chuỗi văn bản đơn thuần và cho phép bất kỳ một ứng dụng cơ sở
SNMP nào cũng có thể hiểu các chuỗi này để có thể truy cập vào các thiết bị quản
trị. Có 3 tiêu chuẩn trong SNMPv1: read-only, read-write và trap.
 SNMP version 2 (SNMPv2) phiên bản này dựa trên các chuỗi “community”.
Do đó phiên bản này đƣợc gọi là SNMPv2 và SNMPv2c, đƣợc định nghĩa trong
RFC 1905, 1906, 1907, thêm các khuôn dạng dữ liệu, các MIB và PDU mới, làm
tăng khả năng cho giao thức. Tuy nhiên hai phiên bản đầu tiên này vẫn thiếu tính

năng bảo mật và xác thực cần thiết nên nó vẫn dễ dàng bị khai thác, do đó đây chỉ
là bản thử nghiệm của IETF.
 SNMP version 3 (SNMPv3) là phiên bản tiếp theo đƣợc IETF đƣa ra bản đầy
đủ. Nó đƣợc khuyến nghị làm bản chuẩn vì nó chủ yếu tăng cƣờng bảo mật trong
quản trị mạng. Đƣợc định nghĩa trong RFC 1905, RFC 1906, RFC 1907, RFC
2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575. Nó hỗ trợ các loại truyền
thơng có bảo mật (mã hóa) và có xác nhận giữa các thực thể.
2.1.3. Quản trị (Managers) và Đại diện (Agents)
Trong thế giới của SNMP có hai loại thực thể: Managers và Agents. Một
Manager là một máy chủ đang chạy một số loại hệ thống phần mềm có thể xử lý
các nhiệm vụ quản trị cho mạng. Các Manager thƣờng đƣợc gọi là Network
Management Stations (NMS).
Một NMS có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong
mạng. Thăm dò trong việc quản trị mạng là “nghệ thuật” đặt ra các câu truy vấn
đến các agent để có đƣợc một phần nào đó của thơng tin. Các cảnh báo của agent là
cách mà agent báo với NMS khi có sự cố xảy ra. Cảnh báo của agent đƣợc gửi một
cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS. NMS dựa
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


21

trên các thơng tin trả lời của agent để có các phƣơng án giúp mạng hoạt động hiệu
quả hơn. Ví dụ khi đƣờng dây T1 kết nối tới Internet bị giảm băng thông nghiêm
trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động,
ít nhất là lƣu lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS
phải đƣợc cài đặt trƣớc.
Agent là một phần trong các chƣơng trình chạy trên các thiết bị mạng cần
quản trị. Nó có thể là một chƣơng trình độc lập, hoặc đƣợc tích hợp vào hệ điều
hành nhƣ IOS của Cisco trên router.

Ngày nay, đa số các thiết bị hoạt động tới lớp IP đƣợc cài đặt SNMP agent.
Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ,
công việc của ngƣời quản trị hệ thống hay quản trị mạng đơn giản hơn. Các agent
cung cấp thông tin cho NMS bằng cách lƣu trữ các hoạt động khác nhau của thiết
bị. Một số thiết bị thƣờng gửi một thơng báo “tất cả đều bình thƣờng” khi nó
chuyển từ một trạng thái xấu (down) sang một trạng thái tốt (up). Điều này giúp
xác định khi nào một tình trạng có vấn đề đƣợc giải quyết.
 Mối quan hệ giữa NMS và agent:

Hình 2.1 – Minh họa mối quan hệ NMS & Agent
Khơng có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi
một cảnh báo.
Mơ hình SNMP của một hệ thống quản trị mạng bao gồm bốn thành phần
trọng yếu (các thành phần này đƣợc mơ tả ở Hình 2.2):
 Trạm quản trị
 Thực thể bị quản trị (node hay Network Element - NE)
 Cơ sở thông tin quản trị
 Giao thức quản trị
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


22

Việc quản trị mạng đƣợc thực hiện bởi các trạm máy tính quản trị. Các máy
tính này sử dụng các phần mềm quản trị có nhiệm vụ quản trị một phần hoặc tồn
bộ cấu hình của mạng theo u cầu của các ứng dụng quản trị hoặc các yêu cầu của
nhà quản trị mạng. Các phần mềm này có thể có giao diện đồ họa cho phép các nhà
quản trị theo dõi trạng thái của mạng và thực hiện các thao tác cần thiết khi có yêu
cầu.
Các “điểm” quản trị (NE) có thể là các trạm làm việc, các thiết bị định tuyến,

cầu hoặc chuyển mạch hoặc là bất kỳ một thiết bị nào có khả năng trao đổi dữ liệu
về trạng thái của mình với thế giới bên ngồi. Để có thể thực hiện đƣợc các chức
năng “bị quản trị”, các NE phải có đƣợc các tính năng cơ bản của một SNMP
agent. Thực chất đó là một modul phần mềm có chức năng lƣu trữ và cập nhật các
thơng tin quản trị của thiết bị cũng nhƣ có khả năng gửi các thơng tin đó đến cho
trạm quản trị khi đƣợc yêu cầu.
Cấu trúc của các thông tin đƣợc xác định bởi thành phần Cơ sơ thông tin
quản trị (Management Information Base - MIB).
Mỗi một hệ thống trên mạng duy trì một MIB phản ánh các trạng thái của
các tài ngun cần quản trị trong hệ thống đó.

Hình 2.2 – Các thành phần cơ bản của SNMP
Việc trao đổi dữ liệu giữa Manager và Agent đƣợc thực hiện trên giao thức
SNMP. Giao thức này cho phép các thực thể quản trị gửi các đến Agent các truy
vấn về trạng thái các tài nguyên (còn gọi là các đối tƣợng). Các đối tƣợng này đƣợc
định nghĩa trong MIB của các agent và có thể đƣợc thay đổi khi có yêu cầu.

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


23

2.1.4. Cấu trúc của thông tin quản trị và cơ sở thơng tin quản trị
Để manager và agent có thể trao đổi thơng tin cho nhau thì giữa manager và
agent phải có định nghĩa về khn dạng dữ liệu trao đổi chung.
2.1.4.1. Các khái niệm
 Cấu trúc của thông tin quản trị (Structure of Management Information
(SMI)) cung cấp cách định nghĩa đối tƣợng quản trị và các trạng thái của
chúng. Agent đã có trong nó một danh sách các đối tƣợng mà nó cần theo dõi giám
sát. Một trong những đối tƣợng đƣợc giám sát là tình trạng hoạt động của một

router interface (ví dụ, Up, Down, Testing). Danh sách này định nghĩa chung các
thơng tin NMS, có thể sử dụng để xác định tình trạng tổng thể của thiết bị mà trên
đó các agent có mặt.
 Các cơ sở thơng tin quản trị (Management Information Base (MIB)) có thể
đƣợc coi là một cơ sở dữ liệu của các đối tƣợng quản trị mà các agent giám sát.
Bất kỳ trạng thái hoặc thơng tin thống kê có thể đƣợc truy cập bởi NMS đều
đƣợc định nghĩa trong một MIB. SMI cung cấp một cú pháp để định nghĩa đối
tƣợng quản trị, trong khi MIB đƣợc định nghĩa bằng cách sử dụng cú pháp của SMI
định nghĩa các đối tƣợng. Giống nhƣ một cuốn từ điển, trong đó SMI cho thấy làm
thế nào để nói đúng chính tả một từ và sau đó cho biết ý nghĩa hay định nghĩa của
nó, một MIB định nghĩa tên cho một đối tƣợng quản trị và giải thích ý nghĩa của
nó.
Một agent có thể có nhiều MIB nhƣng tất cả các agent đều có một loại MIB
gọi là MIB-II đƣợc định nghĩa trong RFC 1213. MIB-I là bản gốc của MIB nhƣng
ít dùng khi MIB-II đƣợc đƣa ra. Bất kỳ thiết bị nào hỗ trợ SNMP đều phải hỗ trợ
MIB-II. MIB-II định nghĩa các tham số nhƣ tình trạng của interface (tốc độ của
interface, MTU, các octet gửi, các octet nhận. ...) hoặc các tham số gắn liền với hệ
thống (định vị hệ thống, thơng tin liên lạc với hệ thống, ...). Mục đích chính của
MIB-II là cung cấp các thơng tin quản trị theo TCP/IP. Có nhiều kiểu MIB giúp
quản trị cho các mục đích khác nhau:
 ATM MIB (RFC 2515)
 Frame Relay DTE Interface Type MIB (RFC 2115)
 BGP Version 4 MIB (RFC 1657)
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×