Luận văn Giải pháp an ninh trong kiến trúc quản trị mạng SNMP

ĐẶT VẤN ĐỀ Công nghệ mạng Internet/Intranet đang phát triển mạnh mẽ và xu hướng tích hợp các mạng không đồng nhất để chia sẻ thông tin cũng xuất hiện ngày càng nhiều. Việc bảo đảm hệ thống mạng phức tạp, có quy mô lớn hoạt động tin cậy, hiệu năng cao, thông tin tin cậy đòi hỏi phải ph ải có hệ quản trị mạng để thu thập và phân tích một số lượng lớn dữ liệu một cách hiệu quả. Tuy nhiên, thông tin quản trị mạng lại phải truyền trên môi truờng Internet, có thể bị thất thoát, thay đổi hay giả mạo cần phải được bảo vệ. Các phiên bản SNMPv1 và SNMPv2 mới chỉ đưa ra giải pháp xác thực yếu dựa trên cộng đồng (community). Chính vì vậy, việc nghiên cứu các giải pháp b ảo đảm tính xác thực, tính toàn vẹn, tính mật của các thông điệp quản trị mạng là hết sức cần thiết. Phiên bản SNMPv3 đã ra đời nhằm đáp ứng một phần yêu cầu cấp bách này. Tuy nhiên, việc lựa chọn mô hình thực thi vẫn còn nhiều vấn đề cần giải quyết. Tôi chọn hướng nghiên cứu này mong muốn đóng góp, xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có độ an ninh cao. Khuôn khổ luận văn bao gồm 3 chương: Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet. Chương 2: Nghiên cứu giải pháp an ninh mạng SNMP. Chương 3: Xây dựng mô hình thử nghiệm. Em xin chân thành cảm ơn sự nhiệt tình giúp đỡ của thầy giáo

pdf77 trang | Chia sẻ: maiphuongtl | Lượt xem: 2073 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Luận văn Giải pháp an ninh trong kiến trúc quản trị mạng SNMP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
và agent, cả manager và agent đều được gọi chung là các thực thể SNMP. Mỗi một thực thể là một SNMP 36 engine và sẽ có một hoặc nhiều ứng dụng chạy trên đó. Khái niệm mới này là quan trọng bởi vì chúng đã chỉ ra một cách đúng đắn nhất về kiến trúc tuyệt đối của một tập hợp các thông báo. Kiến trúc giúp tách rời các mẩu của hệ thống SNMP trong vấn đề thi hành việc bảo mật. SNMPv3 thêm vào các đặc điểm bảo mật so với SNMPv2 và SNMPv2c là: xác thực và mã hóa. SNMPv3 sử dụng MD5 và SHA để tạo ra các giá trị hash cho từng thông điệp snmp. Thao tác này giúp cho phép xác thực các đầu cuối cũng như là ngăn ngừa thay đổi dữ liệu và các kiểu tấn công. Thêm vào đó, các phần mềm quản trị SNMPv3 và các agent có thể dùng DES để mã hóa gói tin, cho phép bảo mật tốt hơn. SNMPv3 đề nghị trong tương lai sẽ hỗ trợ Hình 2.4 : Tổng quan kiến trúc SNMPv3 Document * Roadmap Applicability * Statement Coexistence * & Transition Message Handling Transport Mappings Message Processing and Dispatcher Security PDU Handling Protocols Operations Applications Access Control Information Model Structure of Management Information Textual Conventions Conformance Statements MIBs Standard v1 RCF1157 format Standard v1 RCF1212 format Draft v2 RFC19xx format Historic RFC14xx format Document Set 37 - Bảo mật trong SNMPv3 Trong một số môi trường đòi hỏi sự tác động của giao thức an ninh. Thông thường mức độ bảo mật ứng dụng ở hai giai đoạn khác nhau đó là: - Trong quá trình truyền/nhận gói tin. - Quá trình xử lý nội dung gói tin. Hình 2.5: Khuôn dạng Message của SNMPv3 Trong giao thức SNMP mức độ bảo mật được ứng dụng ở mức Security Model, giao thức sử dụng trong đó và nó được định nghĩa bởi modul MIB trong suốt quá trình sử lý và cho phép cấu hình remote message- level thông qua mật khẩu. Một phần mềm SNMP phải được hỗ trợ đồng thời bởi nhiều mô hình bảo mật. Mô hình bảo mật xác định giao thức bảo mật sử dụng để cung cấp dịch vụ bảo mật như là xác thực và bảo mật. Giao thức bảo mật được định nghĩa bởi máy xử lý và MIB dữ liệu để cung cấp dịch vụ bảo mật. 38 Hình 2.6: Thực thể SNMPv3 Mô hình bảo mật cơ bản tại các User (máy trạm) chủ yếu dựa trên vấn đề về cơ sở tên (name) truyền thống của User và các giao tiếp về lý thuyết USM cơ bản. Trong đó dịch vụ USM liên quan chủ yếu đến xác thực các MessageOutgoing và MessageIncoming Hình 2.7: Dịch vụ xác thức đối với Message Outgoing Chức năng chính của USM là chạy modul riêng w/ thông qua key và scopedPDU. Modul này trả về các biến riêng và mã hóa các scopedPDU, sau đó USM gọi chức năng xử lý w/ xác thực khóa và không làm suy chuyển các mesage, cuối cùng sẽ trả về một message đầy đủ và đã được xác thực. 39 Hình 2.8: Dịch vụ xác thực đối với Message Incoming Quá trình xử lý đối với Message Incoming là hoàn toàn ngược với quá trình xử lý Message Outgoing, key cần xác thực bước đầu được đưa vào quá trình xử lý bởi chức năng xác thực kết hợp với việc giải mã thông qua modul riêng. Modul Privacy liên quan đến một số vấn đề sau: - Được sử dụng để mã hóa và giải mã trong phạm vi các PDU thông qua ID, name và PDU. - Giao thức mã hóa được sử dụng bằng cách chia ra thành các đoạn (CBC – Cipher Block Chaining) sau đó sử dụng thuật toán mã hóa DES. - Mã hóa khóa bí mật (user password) và giá trị đúng (timeliness). - Biến riêng đó chính là giá trị salt (giá trị độc nhất trong CBC-DES). Ở đây khóa sử dụng để xác thực là khóa bí mật, có sử dụng thuật toán MD5 hoặc SHA-1 để cho ta khóa xác thực ở dạng digest2. Khóa degest2 thu được thông qua một số bước như sau: - Ban đầu digest0 được tạo ra bởi việc lặp lại password cho đến khi có dạng 220 octecs. - Tiếp theo digest1 tạo ra bởi việc sử dụng thuật toán MD5 hoặc SHA-1 đối với digest0. - Cuối cùng digest2 thu được từ sự kết hợp của SNMP engine ID và khóa digest1 thông qua hàm băm. 40 2.1.3. Hoạt động của SNMP: Trong SNMP có 3 vấn đề cần quan tâm: máy quản lý, agent và MIB. MIB là cơ sở dữ liệu dùng phục vụ cho Manager và Agent. Máy quản lý là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng. Máy quản lý náy có thể xem như là NMS. NMS có khả năng thăm dò và thu thập các cảnh báo từ các agent trong mạng. Các cảnh báo của agent là cách mà agent báo với NMS khi có sự cố xảy ra. Cảnh báo của trạm được gửi một cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS. NMS dựa trên các thông tin trả lời của agent để có các phương án giúp mạng hoạt động hiệu quả hơn. Ví dụ khi đường dây kết nối tới Internet bị giảm băng thông nghiêm trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động, ít nhất là lưu lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS được cài đặt trước. Hình 2.9: SNMP manager truyền thống SNMP Entity NOTIFYCATION ORIGINATOR Applications NOTIFYCATION RECEIVER Applications COMMAND GENERATOR Applications Message Processing Subsystem v1MP * Security Subsystem Other security Model User-based Security Model PDU Dispatcher Message Dispatcher Transport Mapping (e.g RFC1906) Dispatcher v2cMP * v3MP * otherMP * UDP IPX other NETWORK 41 Agent là một phần trong các chương trình chạy trên các thiết bị mạng cần quản lý. Nó có thể là một chương trình độc lập như các deamon trong Unix, hoặc được tích hợp vào hệ điều hành như IOS của Cisco trên router. Ngày nay, đa số các thiết bị hoạt động tới lớp IP được cài đặt SMNP agent. Các nhà sản xuất ngày càng muốn phát triển các ứng dụng của agent trong các sản phẩm của họ công việc của người quản lý hệ thống hay quản trị mạng đơn giản hơn. Các agent cung cấp thông tin cho NMS bằng cách lưu trữ các hoạt động khác nhau của thiết bị. Một số thiết bị thường gửi một thông báo “tất cả đều bình thường” khi nó chuyển từ một trạng thái xấu sang một trạng thái tốt. Điều này giúp xác định khi nào một tình trạng có vấn đề được giải quyết. Hình 2.10: Mối quan hệ giữa NMS và agent Không có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi một cảnh báo. MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà agent lưu trữ được. Bất kỳ thông tin nào mà NMS có thể truy cập được đều được định nghĩa trong MIB. Một agent có thể có nhiều MIB nhưng tất cả các agent đều có một loại MIB gọi là MIB-II được định nghĩa trong RFC 1213. MIB-I là bản gốc của MIB nhưng ít dùng khi MIB-II được đưa ra. Bất kỳ thiết bị nào hổ trợ SNMP đều phải hỗ trợ MIB- II. MIB-II định nghĩa các tham số như tình trạng của interface (tốc độ của interface, MTU, các octet gửi, các octet nhận...) hoặc các tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống,...). Mục đích NMS Agent Cảnh báo tới NMS Trả lời truy vấn của Agent tới NMS Truy vấn tới Agent 42 chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP. Có nhiều kiểu MIB giúp quản lý cho các mục đích khác nhau: • ATM MIB (RFC 2515) • Frame Relay DTE Interface Type MIB (RFC 2115) • BGP Version 4 MIB (RFC 1657) • RDBMS MIB (RFC 1697) • RADIUS Authentication Server MIB (RFC 2619) • Mail Monitoring MIB (RFC 2249) • DNS Server MIB (RFC 1611) Nhưng nhà sản xuất cũng như người dùng có thể định nghĩa các biến cơ sở dữ liệu riêng cho họ trong từng tình huống quản lý của họ. Quản lý tài nguyên Host cũng là một phần quan trọng của quản lý mạng. Trước đây, sự khác nhau giữa quản lý hệ thống kiểu cũ và quản lý mạng không được xác định, nhưng bây giờ đã được phân biệt rõ ràng. RFC 2790 đưa ra tài nguyên về Host với định nghĩa tập hợp cá đối tượng cần quản lý trong hệ thống Unix và Window. Một số đối tượng đó là: dung lượng đĩa, số user của hệ thống, số tiến trình đang chạy của hệ thống và các phần mềm đã cài vào hệ thống. Trong một thế giới thương mại điện tử, các dịch vụ như web ngày càng trở nên phổ biến nên việc đảm bảo cho các server hoạt động tốt là việc hết sức quan trọng RMON hay còn gọi là RMONv1 được định nghĩa trong RFC 2819. RMONv1 cung cấp cho NMS các thông tin dạng gói tin về các thực thể trong LAN hay WAN. RMONv2 được xây dựng trên RMONv1 bởi những nhà cung cấp mạng và cung cấp thông tin ở lớp ứng dụng. Thông tin có thể thu được bằng nhiều cách. Một cách trong đó là đặt một bộ phận thăm dò của RMON trên mỗi phân đoạn mạng muốn theo dõi. RMON MIB được thiết kế để các RMON có thể chạy khi không kết nối logic giữa NMS và agent, có thể lấy được thông tin mà không cần chờ truy vấn của NMS. Sau đó, khi NMS muốn truy vấn, RMON sẽ trả lời bằng các thông tin thu thập 43 được. Một đặc tính khác là ta có thể đặt ngưỡng cho một loại lỗi nào đó, và khi lỗi vượt quá ngưỡng đặt ra, RMON gửi một cảnh báo cho NMS. - SMI: (SMI - The Structure of Management Information) cung cấp cho chúng ta cách định nghĩa, lưu trữ các đối tượng quản lý và các thuộc tính của chúng. SMI đơn giản gồm có 3 đặc tính sau: + Name hay OID (object identifier): định nghĩa tên của đối tượng. Tên thường ở 2 dạng; số hay các chữ có ý nghĩa nào đó về đối tượng. Trong dạng này hay dạng kia, tên thường khó nhớ hay bất tiện. + Kiểu và cú pháp: Kiểu dữ liệu của object cần quản lý được định nghĩa trong ASN.1 (Abstract Syntax Notation One). ASN.1 chỉ ra cách dữ liệu được biểu diễn và truyền đi giữa máy quản lý và agent. Các thông tin mà ASN.1 thông báo là độc lập với hệ điều hành. Điều này giúp một máy chạy WindowNT có thể liên lạc với một máy chạy Sun SPARC dễ dàng. + Mã hóa: mã hóa các đối tượng quản lý thành các chuỗi dùng BER (Basic Encoding Rules). BER xây dựng cách mã hóa và giải mã để truyền các đối tượng qua các môi trường truyền như Ethernet. Tên hay OID được tổ chức theo dạng cây. Tên của một đối tượng được thành lập từ một dãy các số nguyên hay chữ dựa theo các nút trên cây, phân cách nhau bởi dấu chấm. Hình 2.11: Cây đối tượng nguồn 44 theo mô hình cây trên ta có OID của nhánh internet: internet OBJECT IDENTIFIER ::= {iso org(3) dod(6) 1} directory OBJECT IDENTIFIER ::= {internet 1} mgmt OBJECT IDENTIFIER ::= {internet 2} experimental OBJECT IDENTIFIER ::= {internet 3} private OBJECT IDENTIFIER ::= {internet 4} Trong mô hình trên, MIB-II thuộc nhánh mgmt: Hình 2.12: Cây đối tượng kế thừa MIB-II có 10 nhánh con được định nghĩa trong RFC 1213, kế thừa từ MIB-I trong RFC 1066. Mỗi nhánh có một chức năng riêng: - system (1.3.6.1.2.1.1): Định nghĩa một danh sách các đối tượng gắn liền với hoạt động của hệ thống như: thời gian hệ thống khởi động tới bây giờ, thông tin liên lạc của hệ thống và tên của hệ thống. - interfaces (1.3.6.1.2.1.2): Lưu giữ trạng thái của các interface trên một thực thể quản lý. Theo dõi một interface “up” hoặc “down”, lưu lại các octet gửi và nhận, octet lỗi hay bị hủy bỏ. 45 - at (1.3.6.1.2.1.3): Nhóm at (address translation) bị phản đối, nó chỉ cung cấp khả năng tương thích ngược. Nhóm này được bỏ từ MIB-III trở đi. - ip (1.3.6.1.2.1.4): Lưu giữ nhiều thông tin liên quan tới giao thức IP, trong đó có phần định tuyến IP. - icmp (1.3.6.1.2.1.5): Lưu các thông tin như gói ICMP lỗi, hủy. - tcp (1.3.6.1.2.1.6): Lưu các thông tin khác dành riêng cho trạng thái các kết nối TCP như: đóng, lắng nghe, báo gửi… - udp (1.3.6.1.2.1.7): Tập hợp các thông tin thống kê cho UDP, các đơn vị dữ liệu vào và ra, … - egp (1.3.6.1.2.1.8): Lưu các tham số về EGP và bảng EGP lân cận. - Transmission (1.3.6.1.2.1.10): Không có đối tượng nào trong nhóm này, nhưng nó định nghĩa các môi trường đặc biệt của MIB. - snmp (1.3.6.1.2.1.11): Đo lường sự thực thi của SNMP trên các thực thể quản lý và lưu các thông tin như số các gói SNMP nhận và gửi. Hoạt động của SNMP theo mô hình sau: Hình 2.13: Hoạt động của SNMP 46 - get - get-next - get-bulk (cho SNMPv2 và SNMPv3) - set - get-response - trap (cảnh báo) - notification (cho SNMPv2 và SNMPv3) - inform (cho SNMPv2 và SNMPv3) - report (cho SNMPv2 và SNMPv3) - “get”: “get” được gửi từ NMS yêu cầu tới agent. Agent nhận yêu cầu và xử lý với khả năng tốt nhất có thể. Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một “get-response”: Hình 2.14: Hoạt động của lệnh “get” trong giao thức SNMP Để agent hiểu được NMS cần tìm thông tin gì, nó dựa vào một mục trong “get” là “variable binding” hay varbind. Varbind là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent. Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời. Câu hỏi truy vấn cho trường hợp trong hình vẽ trên: $ snmpget cisco.ora.com public .1.3.6.1.2.1.1.6.0 system.sysLocation.0 = "" Đây là một câu lệnh “snmpget” trên Unix. “cisco.ora.com” là tên của thiết bị, “public” là chuỗi chỉ đây là yêu cầu chỉ đọc (read-only), “.1.3.6.1.2.1.1.6.0” là OID. “.1.3.6.1.2.1.1” chỉ tới nhóm “system” trong 47 MIB. “.6” chỉ tới một trường trong “system” là “sysLocation”. Trong câu lệnh này ta muốn hỏi Cisco router rằng việc định vị hệ thống đã được cài đặt chưa. Câu trả lời system.sysLocation.0 = "" tức là chưa cài đặt. Câu trả lời của “snmpget” theo dạng của varbind: OID=value. Còn phần cuối trong OID ở “snmpget”; ”.0” nằm trong quy ước của MIB. Khi hỏi một đối tượng trong MIB ta cần chỉ rõ 2 trường “x.y”, ở đây là “.6.0”. “x” là OID thực tế của đối tượng. Còn “.y” được dùng trong các đối tượng có hướng như một bảng để hiểu hàng nào của bảng, với trường hợp đối tượng vô hướng như trường hợp này “y”=“0”. Các hàng trong bảng được đánh số từ số 1 trở đi. Câu lệnh “get” hữu ích trong việc truy vấn một đối tượng riêng lẻ trong MIB. Khi muốn biết thông tin về nhiều đối tượng thì “get” tốn khá nhiều thời gian. Câu lệnh “get-next” giải quyết được vấn đề này. - “get-next”: “get-next” đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB. Agent sẽ lần lượt trả lời tất cả các đối tượng có trong câu truy vấn của “get-next” tương tự như “get”, cho đến khi nào hết các đối tượng trong dãy. Ví dụ ta dùng lệnh “snmpwalk”. “snmpwalk’ tương tự như “snmpget’ nhưng không chỉ tới một đối tượng mà chỉ tới một nhánh nào đó: $snmpwalk cisco.ora.com public system system.sysDescr.0 = "Cisco Internetwork Operating System Software ..IOS (tm) 2500 Software (C2500- I-L), Version 11.2(5), RELEASE SOFTWARE (fc1)..Copyright (c) 1986- 1997 by cisco Systems, Inc... Compiled Mon 31-Mar-97 19:53 by ckralik" system.sysObjectID.0 = OID: enterprises.9.1.19 system.sysUpTime.0 = Timeticks: (27210723) 3 days, 3:35:07.23 system.sysContact.0 = "" system.sysName.0 = "cisco.ora.com" system.sysLocation.0 = "" system.sysServices.0 = 6 48 Ở đây ta muốn lấy thông tin của nhóm “system”, agent sẽ gửi trả toàn bộ thông tin của “system” theo yêu cầu. Quá trình tìm nhóm “system” trong MIB thực hiện theo cây từ gốc, đến một nút nếu có nhiều nhánh thì chọn nhánh tìm theo chỉ số của nhánh từ nhỏ đến lớn: Hình 2.15: Quá trình tìm kiếm trong cây - “get-bulk”: “get-bulk” được định nghĩa trong SNMPv2. Nó cho phép lấy thông tin quản lý từ nhiều phần trong bảng. Dùng “get” có thể làm được điều này. Tuy nhiên, kích thước của câu hỏi có thể bị giới hạn bởi agent. Khi đó nếu nó không thể trả lời toàn bộ yêu cầu, nó gửi trả một thông điệp lỗi mà không có dữ liệu. Với trường hợp dùng câu lệnh “get-bulk”, agent sẽ gửi càng nhiều trả lời nếu nó có thể. Do đó, việc trả lời một phần của yêu cầu là có thể xảy ra. Hai trường cần khai báo trong “get-bulk” là: “nonrepeaters” và “max-repetitions”. “nonrepeaters” báo cho agent biết N đối tượng đầu tiên có thể trả lời lại như một câu lệnh “get” đơn. “mã- repeaters” báo cho agent biết cần cố gắng tăng lên tối đa M yêu cầu ”get- next” cho các đối tượng còn lại: $ snmpbulkget -v2c -B 1 3 linux.ora.com public sysDescr ifInOctets ifOutOctets 49 system.sysDescr.0 = "Linux linux 2.2.5-15 #3 Thu May 27 19:33:18 EDT 1999 i686" interfaces.ifTable.ifEntry.ifInOctets.1 = 70840 interfaces.ifTable.ifEntry.ifOutOctets.1 = 70840 interfaces.ifTable.ifEntry.ifInOctets.2 = 143548020 interfaces.ifTable.ifEntry.ifOutOctets.2 = 111725152 interfaces.ifTable.ifEntry.ifInOctets.3 = 0 interfaces.ifTable.ifEntry.ifOutOctets.3 = 0 Ở đây, ta hỏi về 3 varbind: sysDescr, ifInOctets, và ifOutOctets. Tổng số varbind được tính theo công thức N + (M * R) N: nonrepeater, tức số các đối tượng vô hướng M: max-repeatition R: số các đối tượng có hướng trong yêu cầu chỉ có sysDescr là vô hướng và N = 1M có thể đặt cho là 3, tức là 3 trường cho mỗi ifInOctets và ifOutOctets. Có 2 đối tượng có hướng là fInOctets và ifOutOctets ef R=2 Tổng số có 1+3*2 = 7 varbind Còn trường “–v2c” là do “get-bulk” là câu lệnh của SNMPv2 nên sử dụng “-v2c” để chỉ rằng sử dụng PDU của SNMPv2. “-B 1 3” là để đặt tham số N và M cho lệnh. - “set”: để thay đổi giá trị của một đối tượng hoặc thêm một hàng mới vào bảng. Đối tượng này cần phải được định nghĩa trong MIB là “read-write” hay “write-only”. NMS có thể dùng “set’ để đặt giá trị cho nhiều đối tượng cùng một lúc: Hình 2.16: Hoạt động của Set $ snmpget cisco.ora.com public system.sysLocation.0 50 system.sysLocation.0 = "" $ snmpset cisco.ora.com private system.sysLocation.0 s "Atlanta, GA" system.sysLocation.0 = "Atlanta, GA" $ snmpget cisco.ora.com public system.sysLocation.0 system.sysLocation.0 = "Atlanta, GA" Câu lệnh đầu là dùng “get” để lấy giá trị hiện tại của “system.sysLocation”. Trong câu lệnh “snmpset” các trường “cisco.ora.com” và “system.sysLocation.0” có ý nghĩa giống với “get”. “private” để chỉ đối tượng “read-write”, và đặt giá trị mới bằng: “s "Atlanta, GA"”. “s” tức là đặt giá trị của “system.sysLocation.0” thành string, và giá trị mới là "Atlanta, GA" . Varbind này được định nghĩa trong RFC 1213 là kiểu string tối đa 255 ký tự: sysLocation OBJECT-TYPE YNTAX DisplayString (SIZE (0..255)) ACCESS read-write TATUS mandatory ESCRIPTION The physical location of this node (e.g., 'telephone closet, 3rd floor')." ::= { system 6 } Có thể cài đặt nhiều đối tượng cùng lúc, tuy nhiên nếu có một hành động bị lỗi, toàn bộ sẽ bị hủy bỏ. - Error Response của “get”, “get-next”, “get-bulk” và “set”: Có nhiều loại lỗi báo lại từ agent: SNMPv1 Error Message ý nghĩa noError(0) Không có lỗi tooBig(1). Yêu cầu quá lớn để có thể dồn vào một câu trả lời noSuchName(2) OID yêu cầu không tìm thấy, tức không tồn tại ở agent badValue(3). Câu lệnh “set” dùng không đúng với các object “read-write” hay “write-only” readOnly(4) lỗi này ít dùng. Lỗi noSuchName” tương đương với lỗi này genErr(5) dùng cho tất cả các lỗi còn lại, không nằm trong các lỗi trên Các loại lỗi của SNMPv1 mang tính chất chung nhất, không rõ ràng. Do đó SNMPv2 đưa ra thêm một số loại lỗi như sau: 51 SNMPv2 Error Message ý nghĩa noAccess(6) lỗi khi lệnh “set” cố gắng xâm nhập vào một biến cấm xâm nhập. Khi đó, biến đó có trường “ACCESS” là “not-accessible” wrongType(7) lỗi xảy ra khi lệnh “set” đặt một kiểu dữ liệu khác với kiểu định nghĩa sẵn của đối tượng. Ví dụ khi “set” đặt giá trị kiểu string cho một đối tượng kiểu số nguyên INTEGER wrongLength(8) lỗi khi lệnh “set” đưa vào một giá trị có chiều dài lớn hơn chiều dài tối đa của đối tượng wrongEncoding(9) lỗi khi lệnh “set” sử dụng cách mã hóa khác với cách đối tượng đã định nghĩa. wrongValue(10) Một biến được đặt một giá trị mà nó không hiểu. Khi một biến theo kiểu liệt kê “enumeration” được đặt một giá trị không theo kiểu liệt kê. noCreation(11) lỗi khi cố đặt một giá trị cho một biến không tồn tại hoặc tạo một biến không có trong MIB inconsistentValue Một biến MIB ở trạng thái không nhất quán, và nó không chấp nhận bất cứ câu lệnh “set” nào. resourceUnavailable(13) Không có tài nguyên hệ thống để thực hiện lệnh “set” commitFailed(14) Đại diện cho tất cả các lỗi khi lệnh “set” thất bại undoFailed(15) Một lệnh “set” không thành công và agent không thể phục hồi lại trạng thái trước khi lệnh “set” bắt đầu thất bại. authorizationError(16) Một lệnh SNMP không được xác thực, khi một người nào đó đưa ra mật mã không đúng. notWritable(17) Một biến không chấp nhận lệnh “set” inconsistentName(18) Cố gắng đặt một giá trị, nhưng việc cố gắng thất bại vì biến đó đang ở tình trạng không nhất quán. - SNMP Traps: Trap là cảnh báo của agent tự động gửi cho NMS để NMS biết có tình trạng xấu ở agent Hình 2.17: Hoạt động của SNMP Trap 52 Khi nhận được một “trap” từ agent, NMS không trả lời lại bằng “ACK”. Do đó agent không thể nào biết được là lời cảnh báo của nó có tới được NMS hay không. Khi nhận được một “trap” từ agent, nó tìm xem “trap number” để hiểu ý nghĩa của “trap” đó: Số và tên kiểu trap định nghĩa coldStart (0) Thông báo agent vừa khởi động lại. Tất cả các biến quản lý sẽ được reset, các biến kiểu “Counters” và “Gauges” được đặt về 0. “coldStart” dùng để xác định một thiết bị mới gia nhập vào mạng. Khi một thiết bị khởi động xong, nó gửi một “trap” tới NMS. Nếu địa chỉ NMS là đúng, NMS có thể nhận được và xác định xem có quản lý thiết bị đó hay không. warmStart(1) thông báo agent vừa khởi tạo lại, không có biến nào bị reset. linkDown(2) gửi đi khi một interface trên thiết bị chuyển sang trạng thái “down”. linkUp(3) gửi đi khi một interface trở lại trạng thái “up”. authenticationFailure(4) cảnh báo khi một người nào đó cố truy cập vào agent đó mà không được xác thực. egpNeighborLoss(5) cảnh báo một EGP lân cận bị “down” enterpriseSpecific(6) đây là một “trap” riêng, chỉ được biết bởi agent và NMS tự định nghĩa riêng chúng. NMS sử dụng phương pháp giải mã đặc biệt để hiểu được thông điệp này. “trap” được đưa ra trong MIB qua “rdbmsOutOfSpace”: rdbmsOutOfSpace TRAP-TYPE ENTERPRISE rdbmsTraps VARIABLES { rdbmsSrvInfoDiskOutOfSpaces } DESCRIPTION "An rdbmsOutOfSpace trap signifies that one of the database servers managed by this agent has been unable to allocate space for one of the databases managed by this agent. Care should be taken to avoid flooding the network with these traps." ::= 2 - SNMP Notification: Để chuẩn hóa định dạng PDU “trap” của SNMPv1 do PDU của “get” và “set” khác nhau, SNMPv2 đưa ra NOTIFICATION- TYPE”. Định dạng PDU của “NOTIFICATION-TYPE” là để nhận ra “get” và “set”. “NOTIFICATION-TYPE” được định nghĩa trong RFC 2863: linkDown NOTIFICATION-TYPE OBJECTS {ifIndex, ifAdminStatus, 53 ifOperStatus} STATUS current DESCRIPTION "A linkDown trap signifies that the SNMPv2 entity, acting in an agent role, has detected that the ifOperStatus object for one of its communication links left the down state and transitioned into some other state (but not into the notPresent state). This other state is indicated by the included value of ifOperStatus." ::= { snmpTraps 3 } OID của “trap” này là 1.3.6.1.6.3.1.1.5.3, tức iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.sn mpMIBObjects.snmpTraps.linkDown. - SNMP inform: SNMPv2 cung cấp cơ chế truyền thông giữa những NMS với nhau, gọi là SNMP inform. Khi một NMS gửi một SNMP inform cho một NMS khác, NMS nhận được sẽ gửi trả một ACK xác nhận sự kiện. Việc này giống với cơ chế của “get” và “set”. - SNMP report: được định nghĩa trong bản nháp của SNMPv2 nhưng không được phát triển. Sau đó được đưa vào SNMPv3 và hy vọng dùng để truyền thông giữa các hệ thống SNMP với nhau 2.2. Các giải pháp xác thực thông tin quản trị Xác thực là một phần quan trọng trong cấu trúc an ninh quản trị mạng nói chung và của kiến trúc quản trị mạng SNMP nói riêng. Người sử dụng cần phải được xác thực để có thể truy cập vào tài nguyên của hệ thống. Sau đây là một số phương thức xác thực: + PAP (Password Authentication Protocol): Là một giao thức xác thực đơn giản dựa trên mật khẩu, sử dụng các kết nối PPP. PAP không an toàn vì thông tin xác thực không được mã hóa, kẻ tấn công có thể chặn và đọc được mật khẩu và giả danh người sử dụng để truy nhập vào mạng. + CHAP (Challenge Handshake Authentication Protocol): là giao thức xác thực có kiểm tra, cũng được sử dụng trong các kết nối PPP. Quá trình thực hiện phương thức xác thực CHAP bao gồm 3 bước 54 - Bên xác thực gửi thông điệp yêu cầu tới đầu bên kia (user). - Đầu bên kia tính toán một giá trị bằng cách sử dụng hàm băm một chiều và gửi trả lại cho bên xác thực. - Bên xác thực có thể chấp nhận xác thực nếu giá trị đó phù hợp. Sau khi thoả thận giao thức xác thực CHAP trên liên kết PPP giữa các đầu cuối, máy chủ truy cập gửi một “chanllenge” tới người dùng từ xa. Người dùng từ xa phúc đáp lại một giá trị được tính toán sử dụng tiến trình xử lý một chiều (hash), máy chủ truy cập kiểm tra và so sánh thông tin phúc đáp với giá trị hash mà nó vừa tính được. Nếu gía trị bằng nhau, xác thực thành công, ngược lại kết nối sẽ bị huỷ bỏ. Chap cung cấp cơ chế an toàn thông qua việc sử dụng giá trị chanllenge thay đổi, duy nhất và không thể đoán được Nhược điểm của phương pháp xác thực này là tính khả mở kém vì nó yêu cầu quản lý một lượng lớn các thuộc tính sử dụng cho hàm băm, đặc biệt trong các mạng lớn. + TACACS (Terminal Access Controller Access-Control System): Hệ thống điều khiển truy nhập từ xa trong mô hình khách/chủ. - User quay số tới máy chủ truy nhập từ xa. - RAS(Remote Access Service) sử dụng giao thức TACACS/RADIUS gửi yêu cầu tới máy chủ xác thực (Authentication server). - Máy chủ xác thực kiểm tra yêu cầu dựa vào cơ sở dữ liệu tài khoản người sử dụng. + RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ xác thực truy nhập từ xa, hỗ trợ nhiều máy chủ và số lượng lớn kết nối. Mô hình khách/chủ RADIUS sử dụng một máy chủ điều khiển truy nhập (NAS – Network Access Service) để quản lý kết nối, nó cũng có chức năng như máy khách của RADIUS. Truyền thông giữa máy khách và máy chủ 55 RADIUS là được bảo mật, sử dụng mật khóa chia sẻ cho xác thực và mã hóa để truyền mật khẩu của người sử dụng. + CA (Certificate Authentication): Chứng thực điện tử - là một tổ chức cấp chứng chỉ số. 2.3. Giải pháp đảm bảo toàn vẹn thông tin quản trị Các bước bảo vệ: + Điều khiển truy nhập (Access Control): cấp quyền truy nhập và sử dụng tài nguyên, xác thực, giám sát truy nhập. + Giám sát hoạt động mạng. + Bảo mật thông tin trên mạng (mã DES, mã công khai RSA …) + Bảo vệ vật lý: ngăn cản truy nhập vật lý bất hợp pháp (gate keeper) + Kiểm soát phần mềm đưa vào mạng + Bức tường lửa (Firewall) ngăn các mạng nội bộ với thế giới Internet bên ngoài. Hình 2.18: Mô hình an ninh mạng Người gửi Bản tin Kênh truyền tin Bản tin Người nhận Trọng tài, phân phối thông tin mật Kẻ tấn công, Hacker, Virus, Worm, … Mật mã Giải mã 56 2.4. Giải pháp mã mật thông tin quản trị Thuật toán Cryptography đề cập tới ngành khoa học nghiên cứu về mã hoá và giải mã thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại. Đây là một phương pháp hỗ trợ rất tốt cho trong việc chống lại những truy cập bất hợp pháp tới dữ liệu được truyền đi trên mạng, áp dụng mã hoá sẽ khiến cho nội dung thông tin được truyền đi dưới dạng mờ và không thể đọc được đối với bất kỳ ai cố tình muốn lấy thông tin đó. Hình 2.19: Quá trình mã mật thông tin Không phải ai hay bất kỳ ứng dụng nào cũng phải sử dụng mã hoá. Nhu cầu về sử dụng mã hoá xuất hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ các tài liệu quan trọng hay gửi chúng đi một cách an toàn. Các tài liệu quan trọng có thể là: tài liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin nào đó mang tính riêng tư,... Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ Mỹ nhằm phục vụ cho mục đích quân sự. Khi chúng ta tham gia trao đổi thông tin, thì Internet là môi trường không an toàn, đầy rủi ro và nguy hiểm, không có gì đảm bảo rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền. Do đó, mã hoá được áp dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng như những thông tin mà chúng ta gửi đi. Bên cạnh đó, mã hoá còn có những ứng dụng khác như là bảo đảm tính toàn vẹn của dữ liệu. Theo một số tài liệu thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn của một thuật toán chỉ dựa vào sự bí mật của thuật toán đó thì thuật Plaintext Bản rõ Mật mã Bản mã Ciplaintext Giải mã Khóa K Bản rõ ban đầu Khóa K 57 toán đó là một thuật toán hạn chế (Restricted Algrorithm). Thuật toán này có tầm quan trọng trong lịch sử nhưng không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử dụng do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó phải chuyển sang sử dụng thuật toán khác hoặc nếu người đó người trong nhóm đó tiết lộ thông tin về thuật toán hay có kẻ phát hiện ra tính bí mật của thuật toán thì coi như thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc phải thay đổi lại thuật toán dẫn đến mất thời gian và công sức. Hệ thống mã hoá hiện nay đã giải quyết vấn đề trên thông qua khoá là một yếu tố có liên quan nhưng tách rời ra khỏi thuật toán mã hoá. Do các thuật toán hầu như được công khai cho nên tính an toàn của mã hoá giờ đây phụ thuộc vào khoá. Khoá này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi không gian các giá trị có thể có của khoá được gọi là Keyspace. Hai quá trình mã hoá và giải mã đều dùng đến khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá được sử dụng. Nói đến mã hoá tức là nói đến việc che dấu thông tin bằng cách sử dụng thuật toán. Che dấu ở đây không phải là làm cho thông tin biến mất mà là cách thức chuyển từ dạng tỏ sang dạng mờ. Một thuật toán là một tập hợp của các câu lệnh mà theo đó chương trình sẽ biết phải làm thế nào để xáo trộn hay phục hồi lại dữ liệu. Giải pháp mã mật thông tin quản trị thường sử dụng là hệ mã cổ điển DES (Data Encryption Standard): DES là tổ hợp của các phương pháp thay thế, đổi chỗ. Nó chia bản tin thành các block có độ dài cố định (64 bít) và lặp lại các phép mã hóa thay thế và đổi chỗ nhiều lần cho mỗi khối. - Các phát triển tiếp của DES là: + IDEA (International Data Encryption Algorithm): khóa 128 bít, khối dữ liệu 64 bít. + RC5: khối dữ liệu và khóa sử dụng có độ dài thay đổi. 58 + RC6: nâng cấp của RC5 để tăng tính bảo mật và hiệu quả. + AES (Advanced Encryption Standard): khối dữ liệu 128 bít, khóa 128/192/256. Hình 2.20: Mô hình DES 2.4.1. Sơ lược mật mã đối xứng DES Năm 1972, Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (National Institute of Standards and Technology-NIST) đặt ra yêu cầu xây dựng một thuật toán mã hoá bảo mật thông tin với yêu cầu là dễ thực hiện, sử dụng được rộng rãi trong nhiều lĩnh vực và mức độ bảo mật cao. Năm 1974, IBM giới thiệu thuật toán Lucifer, thuật toán này đáp ứng hầu hết các yêu cầu của NIST. Sau một số sửa đổi, năm 1976, Lucifer được NIST công nhận là chuẩn quốc gia Hoa kỳ và được đổi tên thành Data Encryption Standard - DES. DES là thuật toán mã hoá bảo mật được sử dụng rộng rãi nhất trên thế giới, thậm chí, đối với nhiều người DES và mã hoá bảo mật là đồng nghĩa với nhau. ở thời điểm DES ra đời người ta đã tính toán rằng việc phá được khoá mã DES là rất khó khăn. Cùng với sự phát triển của các loại máy tính và mạng máy tính có tốc độ tính toán rất cao, khoá mã DES có thể bị phá trong khoảng thời gian ngày càng ngắn với chi phí ngày càng thấp. Dù vậy việc này vẫn vượt xa khả năng của các hacker thông thường và mã hoá DES vẫn tiếp tục tồn tại trong nhiều lĩnh vực như ngân hàng, thương mại, thông 59 tin... nhiều năm nữa đặc biệt với sự ra đời của thế hệ DES mới-"Triple DES". Kể từ khi DES ra đời, nhiều thuật toán mã hoá bảo mật khác cũng được phát triển tương tự DES hoặc dựa trên DES, một khi nắm được các nguyên tắc của DES bạn sẽ dễ dàng hiểu các thuật toán này. Yêu cầu đặt ra nếu muốn bảo mật tốt hơn là phải tìm được một thuật toán sao cho việc thực hiện không quá phức tạp nhưng xác suất tìm ra chìa khoá bằng cách thử tất cả các trường hợp (brute-force) là rất nhỏ (số lần thử phải rất lớn). 2.4.2. Thuật toán bảo mật DES. Về mặt khái niệm, thông thường thuật toán mã hoá DES là thuật toán mở, nghĩa là mọi người đều biết thuật toán này. Điều quan trọng nhất là chìa khoá của DES có độ dài tới 56 bit, nghĩa là số lần thử tối đa để tìm được chìa khoá lên đến 2^56, trung bình là 2^55 = 36.028.797.018.963.968 lần, một con số rất lớn. DES được thực hiện nhờ các phép dịch, hoán vị và các phép toán logic trên các bit. Mỗi ký tự trong bức thư hay bản tin cần mã hoá được biểu diễn bởi 2 số hexa hay 8 bít. DES mã hoá từng khối 64 bít tương đương 16 số hexa. Để thực hiện việc mã hoá DES sử dụng một chìa khoá cũng dưới dạng 16 số hexa hay 64 bít tức 8 byte, nhưng các bít thứ 8 trong các byte này bị bỏ qua trong khi mã hoá vì vậy độ lớn thực tế của chìa khoá là 56 bit. Ví dụ, ta mã hoá một bản tin hexa "0123456789ABCDEF" với chìa khoá là "5A5A5A5A5A5A5A5A" thì kết quả là "72AAE3B3D6916E92". Nếu kết quả này được giải mã với cùng chìa khoá "5A5A5A5A5A5A5A5A" thì ta sẽ thu lại được đúng bản tin "0123456789ABCDEF". DES bao gồm 16 vòng, nghĩa là thuật toán chính được lặp lại 16 lần để tạo ra bản tin được mã hoá. Sau đây tôi sẽ trình bày quy trình của thuật toán DES. 60 2.4.2.1. Chuẩn bị chìa khoá: Bước đầu tiên là chuyển 64 bit chìa khoá qua một bảng hoán vị gọi là Permuted Choice hay PC-1 để thu được chìa khoá mới có 56 bit. Sau khi vệc chuẩn bị chìa khoá và dữ liệu mã hoá hoàn thành, thực hiện mã hoá bằng thuật toán DES. Đầu tiên, khối dữ liệu đầu vào 64 bit được chia thành hai nửa, L và R. L gồm 32 bit bên trái và R gồm 32 bit bên phải. Quá trình sau đây được lặp lại 16 lần tạo thành 16 vòng của DES gồm 16 cặp L[0]-L[15] và R[0]-R[15]: Bước 1: R[r-1]- ở đây r là số vòng, bắt đầu từ 1- được lấy và cho qua bảng E (E-bit Selection Table), bảng này giống như một bảng hoán vị, có điều là một số bit được dùng hơn một lần do vậy nó sẽ mở rộng R[r-1] từ 32 bit lên 48 bit để chuẩn bị cho bước tiếp theo. Bước 2: 48 bit R[r-1] được XOR với K[r] và được lưu trong bộ nhớ đệm, vì vậy R[r-1] không thay đổi. Bước 3: Kết quả của bước trước lại được chia thành 8 đoạn, mỗi đoạn 6 bit, từ B[1] đến B[8]. Những đoạn này tạo thành chỉ số cho các bảng S (Substitution) được sử dụng ở bước tiếp theo. Các bảng S, là một bộ 8 bảng (S[1]-S[8]) 4 hàng, 16 cột. Các số trong bảng có độ dài 4 bit vì vậy có giá trị từ 0 đến 15. Bước 4: Bắt đầu từ B[1], bit đầu và cuối của khối 6 bit được lấy ra và sử dụng làm chỉ số hàng của bảng S[1], nó có giá trị từ 0 đến 3, và 4 bit giữa được dùng làm chỉ số cột, từ 0 đến 15. Giá trị được chỉ đến trong bảng S được lấy ra và lưu lại. Việc này được lặp lại đối với B[2] và S[2] cho đến B[8] và S[8]. Lúc này bạn có 8 số 4 bit, khi nối lại với nhau theo thứ tự thu được sẽ tạo ra một chuỗi 32 bit. Bước 5: Kết quả của bước trước được hoán vị bit bằng bảng hoán vị P (Permutation). Bước 6: Kết quả thu được sau khi hoán vị được XOR với L[r-1] và chuyển vào R[r]. R[r-1] được chuyển vào L[r]. 61 Bước 7: Lúc này bạn có L[r] và R[r] mới. Bạn tiếp tục tăng r và lặp lại các bước trên cho đến khi r= 17, đIều đó có nghĩa là 16 vòng đã được thực hiện và các chìa khoá phụ K[1]-K[16] đã được sử dụng. Khi đã có L[16] và R[16], chúng được ghép lại với nhau theo cách chúng bị tách ra (L[16] ở bên trái và R[16] ở bên phải) thành 64 bit. 64 bit này được hoán vị để tạo ra kết quả cuối cùng là dữ liệu 64 bit đã được mã hoá. 2.4.2.2. Giải mã: Việc giải mã dùng cùng một thuật toán như việc mã hoá. Để giải mã dữ liệu đã được mã hoá, quá trình như giống như mã hoá được lăp lại nhưng các chìa khoá phụ được dùng theo thứ tự ngược lại từ K[16] đến K[1], nghĩa là trong bước 2 của quá trình mã hoá dữ liệu đầu vào ở trên R[r-1] sẽ được XOR với K[17-r] chứ không phải với K[r]. - Các chế độ của DES: Thuật toán DES mã hoá đoạn tin 64 bit thành đoạn tin mã hoá 64 bit. Nếu mỗi khối 64 bit được mã hoá một cách độc lập thì ta có chế độ mã hoá ECB (Electronic Code Book). Có hai chế độ khác của mã hoá DES là CBC (Chain Block Coding) và CFB (Cipher Feedback), nó làm cho mỗi đoạn tin mã hoá 64 bit phụ thuộc vào các đoạn tin trước đó thông qua phép toán XOR. - Triple DES: Triple-DES chính là DES với hai chìa khoá 56 bit. Cho một bản tin cần mã hoá, chìa khoá đầu tiên được dùng để mã hoá DES bản tin đó, kết quả thu được lại được cho qua quá trình giải mã DES nhưng với chìa khoá là chìa khoá thứ hai, bản tin sau qua đã được biến đổi bằng thuật toán DES hai lần như vậy lại được mã hoá DES với một lần nữa với chìa khoá đầu tiên để ra được bản tin mã hoá cuối cùng. Quá trình mã hoá DES ba bước này được gọi là Triple-DES. 62 - Ứng dụng của DES DES thường được dùng để mã hoá bảo mật các thông tin trong quá trình truyền tin cũng như lưu trữ thông tin. Một ứng dụng quan trọng khác của DES là kiểm tra tính xác thực của mật khẩu truy nhập vào một hệ thống (hệ thống quản lý bán hàng, quản lý thiết bị viễn thông…), hay tạo và kiểm tính hợp lệ của một mã số bí mật (thẻ internet, thẻ điện thoại di động trả trước), hoặc của một thẻ thông minh (thẻ tín dụng, thẻ payphone…). - Phá khóa DES Năm 1998, một nhóm nghiên cứu đã chi phí 220.000USD để chế tạo một thiết bị có thể thử toàn bộ số chìa khoá DES 56 bit trong trung bình 4,5 ngày. Tháng 7 năm 1998 họ thông báo đã phá chìa khoá DES trong 56 giờ. Thiết bị này gọi là Deep Crack gồm 27 board mạch, mỗi board chứa 64 chip và có khả năng thử 90 tỷ chìa khoá trong một giây. Tuy nhiên, việc phá khóa Triple DES là điều rất khó khăn, một chuyên gia về bảo mật đã cho rằng "Không có đủ silic trong giải ngân hà (để chế tạo chip-TG) cũng như không đủ thời gian trước khi mặt trời bị phá huỷ để phá khoá Triple DES". 63 Chương 3: MÔ HÌNH THỬ NGHIỆM 3.1. Lựa chọn mô hình thử nghiệm Có thể nói trên thế giới hiện nay có rất nhiều phần mềm SNMP sử dụng cho version 1, version 2 và version 3. Mỗi phần mềm có thể phục vụ cho một hay nhiều hệ điều hành và có nhiều phiên bản với những ưu và nhược điểm khác nhau, có thể sử dụng cấu hình trên thiết bị phần cứng hỗ trợ giao thức SNMP như Router, Pix, Modem…. Do đó, để lựa chọn một phần mềm nhằm thực hiện thử nghiệm mô hình quản trị mạng SNMP là rất khó khăn. Sau thời gian nghiên cứu và tìm hiểu tôi đã chọn phần mềm PRTG Traffic Grapher là một ứng dụng trên Windows để minh họa cho giao thức SNMP - PRTG Traffic Grapher dùng để theo dõi và phân loại cách dùng băng thông. Có thể nói với bất cứ một mạng nào thì việc giao tiếp với mạng bên ngoài đều phải thông qua một thiết bị đó chính là Modem. Với công cụ PRTG Traffic Grapher này người quản trị mạng có thể theo dõi băng thông của router ADSL thông qua giao thức SNMP. Trong khi các chương trình theo dõi băng thông dựa vào các traffic thông qua cổng card mạng của 1 máy tính trên mạng thì PRTG Traffic Grapher sẽ theo dõi traffic trực tiếp tại cổng PPP của router ADSL nên theo dõi được toàn bộ traffic IN, OUT của toàn mạng. PRTG Traffic Grapher có phiên bản miễn phí, bản thương mại. Phiên bản PRTG Traffic Grapher miễn phí (15MB) được download theo link sau: - Xác lập SNMP trên router ADSL Với bất cứ loại Modem nào, việc cấu hình router cung cấp dữ liệu SNMP theo các bước sau: 64 Trên Modem ZoomADSL mở trang web cấu hình router, tìm tab Administration -> Management. Trong Management, tìm mục SNMP (hình dưới): Hình 3.1: Enable SNMP trên Router ADSL ZoomX5, X6 Trong mục SNMP, lựa chọn Enable. Lưu ý xem Modem router của bạn hỗ trợ SNMP version nào và giá trị Community. Trong ví dụ này, Modem router hỗ trợ SNMP V1 và V2, giá trị Get Community là "public" Trên Modem Dlink-520T (ADSL Router) sau khi login vào cấu hình web, chọn tab Advanced trên menu bên trái chọn mục SNMP. Hình 3.2: Cài đặt SNMP trên ADSL Dlink-D520T 65 3.2. Phân tích quá trình hoạt động 3.2.1 Cài đặt chương trình Sử dụng PRTG Traffic Grapher để theo dõi băng thông. Sau khi download PRTG Traffic Grapher, tiến hành cài đặt. Việc cài đặt thực hiện khá dễ dàng. Để chạy chương trình, trên Windows nhắp Start -> Programs - > PRTG Traffic Grapher -> PRTG Traffic Grapher. Xuất hiện hộp thoại Welcome to PRTG Traffic Grapher. Hình 3.3: Hộp thoại Welcome to PRTG Traffic Grapher Trên hộp thoại Welcome to PRTG Traffic Grapher, lựa chọn "Use the Freeware Edition", sau đó nhắp Next để tiếp tục. Sẽ xuất hiện giao diện chính của PRTG Traffic Grapher. 66 Hình 3.4: Giao diện PRTG Traffic Grapher Trên giao diện của PRTG Traffic Grapher, kích chuột vào lựa chọn "Click here to create your first sensor" để tạo các sensor theo dõi. Khi đó PRTG Traffic Grapher sẽ chạy các bước cấu hình để thêm một sensor mới. Dưới đây là các bước cấu hình chính: Hình 3.5: Chọn giao thức SNMP PRTG Traffic Grapher có hỗ trợ các loại sensor: SNMP, Packet Sniffing, NetFlow, Latency. Phiên bản miễn phí chỉ hỗ trợ SNMP và Packet Sniffing. SNMP sensor được sử dụng để theo dõi các traffic IN và OUT của cổng trên Modem router. Packet Sniffing được sử dụng để theo dõi các traffic của card mạng tại máy sử dụng. 67 Trên hộp thoại Data Acquisition Type, lựa chọn SNMP. Hình 3.6: Chọn chuẩn Sensor Trên hộp thoại SNMP Sensor Type Selection, lựa chọn "Standard Traffic Sensor". Các lựa chọn khác tùy thuộc vào thiết bị hỗ trợ SNMP. Hình 3.7: Lựa chọn IP và version SNMP 68 Trên hộp thoại Device Selection, xác định các giá trị: - Device Name/Alias: Nhập tên router do bạn tự quy định. Có thể chọn IP của thiết bị đó cho dễ nhớ. - IP Address/DNS Name: Địa chỉ IP của router. - SNMP Version: Phiên bản của SNMP trên router hỗ trợ. Trong ví dụ này router hỗ trợ SNMP V1/V2 nên có thể chọn V2c. Có thể chọn lần lượt từng phiên bản để thử. - SNMP port: Để giá trị ngầm định của cổng SNMP là 161. - SNMP Community String: Ngầm định là public. Giá trị này có thể kiểm tra ở phần cấu hình SNMP trên router. Nếu sử dụng SNMP V3, cần phải xác định SNMP User, Authentication Mode và Password, có thêm lựa chọn là Data Encryption key. Hình 3.8: Chọn Sensor 69 Trên hộp thoại Sensor Selection sẽ xuất hiện các cổng mà router đó hỗ trợ. Lựa chọn cổng theo dõi ADSL là ppp0. Lưu ý các ký hiệu: ppp: Point-to-Point Protocol; eth: Ethernet; br: Bridge; wlan: Wireless. Sau khi lựa chọn cổng theo dõi, xuất hiện giao diện đồ họa theo dõi băng thông của cổng tương ứng. Hình 3.9: Giao diện Sensor Monitoring Việc hiển thị được chia thành các loại biểu đồ hỗ trợ người quản trị theo dõi thuận tiện: Live Graph 60 Minutes, Graph 24 Hours, Graph 30 days, Graph 365 days với các mức thời gian và giá trị trung bình khi hiển thị khác nhau. Lưu ý đường mầu xanh là Bandwith Traffic OUT, đường mầu đỏ nâu là Bandwith Traffic IN. Trên đây là một tính năng của PRTG Traffic Grapher hỗ trợ người quản trị theo dõi băng thông của router ADSL. Các tính năng khác. 70 3.2.2 Phân tích quá trình hoạt động Kiến trúc PRTG Network Monitor bao gồm hai phần chính đó là: PRTG Core Server và PRTG Probe. Vấn đề chính trong quá trình cài đặt PRTG đó là Core Server bao gồm quá trình lưu trữ dữ liệu, web server, các báo cáo và hệ thống lưu trữ. Còn Probe thi hành quá trình giám sát, nó nhận các cấu hình từ Core Server và thực thi quá trình xử lý sau đó báo kết quả về cho Core Server. Một Core Server có thể quản lí không giới hạn các Probe để tăng khả năng giám sát. Hai phần Core và Probe là hai dịch vụ trong windows chúng chạy bởi hệ điều hành window, không yêu cầu login vào user. - Core Server: là bộ phận quan trọng trong PRTG dùng để xử lí các quá trình + Cấu hình quản lí monitor + Quản lí và cấu hình kết nối với các Probe + Lưu các dòng kết quả của monitor + Người quản trị khai báo Mail Server cho quá trình gửi qua Email + Lập biểu và báo cáo + Quản lí các account + Thanh lọc dữ liệu (dữ liệu quá 365 ngày) - Probe: là giao diện PRTG có thể chạy trên một hay nhiều máy tính. Ở quá trình cài đặt được gọi là “Local Probe” tự động được tạo bởi hệ thống. Sau khi nhận được cấu hình từ Core hệ thống tất cả các Probe có thể hoạt động độc lập. Chúng có nhiệm vụ giám sát và thông báo tình trạng hệ thống máy tính. Hình 3.10: Cấu trúc một Probe 71 - Trên thẹc tế PRTG Network Monitor thi hành bởi các sensor, mỗi một sensor đại diện cho một thiết bị mạng, có thể là: + Một dịch vụ mạng: SMTP, FTP, HTTP… + Quá trình giao tiếp trên một cổng của Switch + Quá trình hoạt động của CPU hay bộ nhớ + Quá trình giao tiếp trên card mạng + Một thiết bị NetFlow… - Các Sensor này cho phép User tạo thành các nhóm, mỗi nhóm là tập hợp của một số các thiết bị, mỗi thiết bị lại có tập các Sensor và cuối cùng mỗi sensor có một hoặc nhiều kênh “chanels” (có thể là kênh IN hay OUT) Hình 3.11: Quá trình gom nhóm các Probe 3.3. Đánh giá hiệu quả mô hình Với thực trạng về nhu cầu an ninh trên Internet như hiện nay thì với những tính năng như trên, có thể nói phần mềm giám sát giao tiếp mạng PRTG sử dụng giao thức SNMP đem lại hiệu quả và độ an ninh cao trong quản trị mạng. Việc sử dụng phần mềm PRTG Traffic Grapher có thể áp dụng cài đặt trong một số mô hình mạng cụ thể. 72 CÀI ĐẶT CẤU HÌNH HỆ THỐNG 1. Cài đặt cấu hình trên Windows Cài đặt dịch vụ SNMP Mặc định hệ điều hành Windows không cài dịch vụ hỗ trợ cho giao thức SNMP, để cài thêm ta vào Control Panel, double click vào Add Remove Program  Add Remove Windows Component. Chọn Management and Monitoring Tools. 73 Khi cài, ta sẽ có thêm 2 dịch vụ hỗ trợ SNMP đó là SNMP Service và SNMP Trap Service: Cấu hình community trên các dịch vụ của SNMP: Mở dịch vụ SNMP Service: vào tab Security, tab này cho phép thiết lập community có ý nghĩa giống như mật khẩu giữa thiết bị quản lý và thiết bị cần quản lý. Đối với mỗi community sẽ đi kèm với quyền (rights) khác nhau: READ-ONLY: Chỉ cho phép đọc, không thiết lập lại thông số được, READ-WRITE: Cho phép thiết lập lại thông số. READ-CREATE: Cho phép tạo ra thông số. NOTIFY: Dùng cơ chế Trap NONE: Community không có quyền gì hết. Đó là thiết lập quyền phía người dùng, bản thân mỗi tham biến cũng có quyền của riêng nó. Ví dụ với tham biến về thời gian UpTime của hệ thống thì ta không set giá trị lại được. Mặt khác, đối với tham biến system.sysContact thì ta có thể đặt lại giá trị được. 74 Sau khi cấu hình dịch vụ xong cần restart lại dịch vụ: Chọn SNMP Service sau đó kích chuột vào Restart. Làm tương tự đối với SNMP Trap. 2. Cài đặt trên Linux: Có thể sử dụng gói cài thêm hoặc dùng công cụ Net-SNMP có sẵn trong một số distro Linux. Sử dụng gói cài: giải nén tạo liên kết mềm với Net-SNMP #cd #tar-xvzf net-snmp-5.0.2.tar.gz #ln –s net-snmp-5.0.2 net-snmp #cd ~/net-snmp #./configure …. Biên dịch #make …. Cài đặt #make install Thiết lập biến môi trường PATH=$PATH:/usr/local/bin:/usr/loacl/sbin 75 MIBS=ALL Export PATH MIBS Sử dụng dịch vụ SNMP và công cụ Net-SNMP có sẵn của Linux: Mặc định thì dịch vụ SNMP không được cài trên Linux nên phải cài thêm vào. Đối với distro Fedora Core 4 thì cài thêm trong mục System Tools/snmpd. Sau khi cài thì sẽ có thêm hai dịch vụ là snmpd và snmptrapd. Khác với trong windows, nếu ta muốn thiết lập community cho dịch vụ SNMP thì phải sửa lại file cấu hình /etc/snmp/snmpd.conf như sau: Sau mỗi lần chỉnh sửa file cấu hình thì gõ lệnh service snmpd restart để khởi động lại dịch cụ SNMP ứng với lần chỉnh sửa mới. Khi cấu hình xong thì dùng dòng lệnh để quản lý. Phần này giống như trong windows. 76 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Sau một thời gian thực hiện, em đã hoàn thành luận văn và đạt được một số kết quả nhất định. Trong luận văn này, em đã cố gắng trình bày những kiến thức cơ bản về an ninh trong kiến trúc quản trị mạng SNMP. Luận văn tập trung chủ yếu vào vấn đề: Tổng quan về quản trị và an ninh thông tin trên Internet, nghiên cứu giải pháp an ninh trong kiến trúc mạng SNMP. Kết quả đạt được: đã hoàn thành luận văn với các nội dung nêu trên. Hướng phát triển Hoàn thành luận văn với kết quả đạt được tương đối theo yêu cầu của đề tài đưa ra. Tuy nhiên trong quá trình thực hiện đề tài, em nhận thấy vẫn còn nhiều vấn đề liên quan cần được tìm hiểu nghiên cứu. Em xin đưa ra một số vấn đề cần tìm hiểu và nghiên cứu phát triển đề tài như sau: - Dựa vào kết quả nghiên cứu trên có thể xây dựng phần mềm quản trị hệ thống mạng thông qua giao thức SNMP. - Kết hợp với việc nghiên cứu một số giải pháp an ninh cả về phần cứng và phần mềm khác để có thể xây dựng một hệ thống mạng với an toàn về dữ liệu và an ninh cao. 77 TÀI LIỆU THAM KHẢO 1. Giáo trình hệ thống mạng máy tính CCNA, Nhà xuất bản LĐXH, 2004. 2. Hướng dẫn thiết lập và quản trị mạng, Nhà xuất bản Thống Kê, 2002. 3. Giáo trình Curicurlum CCNA1 của Cisco System. 4. Internetworking với TCP/IP, Nhà xuất bản Giáo dục, 2001. 5. Computer Security Art And Science, By Matt Bishop, Publisher: Addition Wesley, 2002. 6. Essential SNMP, 2nd Edition, By Douglas Mauro, Kevin Schmidt, Publisher: O'Reilly, Pub Date: September 2005. 7. IETF: RFC2021, RFC1213, RFC1757, RFC2271. 8. configuration/guide/snmp.html 9. 10.

Các file đính kèm theo tài liệu này:

  • pdfdoc_3981.pdf
Tài liệu liên quan