Nghiên cứu giải pháp an ninh trong vài kiến trúc quản trị mạng

  • Số trang: 89 |
  • Loại file: PDF |
  • Lượt xem: 19 |
  • Lượt tải: 0
nhattuvisu

Đã đăng 26946 tài liệu

Mô tả:

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN CÔNG LÂM NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG LUẬN VĂN THẠC SỸ Hà Nội 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ NGUYỄN CÔNG LÂM NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG Ngành: Công nghệ thông tin Chuyên ngành: Truyền dữ liệu và mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SỸ Người hướng dẫn: PGS.TS Nguyễn Văn Tam Hà Nội 2010 1 MỞ ĐẦU Thế kỷ XXI đang chứng kiến sự phát triển mạnh mẽ của công nghệ thông tin, sự phát triển của công nghệ thông tin và viễn thông làm tăng sự phát triển của mạng Internet. Mạng Internet đã ra đời và phát triển hơn 30 năm qua. Hiện nay, Internet đã mở rộng thành một liên mạng trên phạm vi toàn cầu, là mạng của tất cả các mạng và đƣợc coi là cơ sở hạ tầng truyền thông của xã hội loài ngƣời hiện nay và tƣơng lai. Internet đã trở thành một thƣớc đo đánh giá sự phát triển của một quốc gia, của một khu vực, thâm nhập vào các công sở, trƣờng học, khách sạn...Với Internet, con ngƣời có thể liên lạc với nhau dù ở bất cứ nơi nào trên trái đất, miễn là nơi đó có mạng đƣợc kết nối với mạng Internet. Và thông qua Internet, khoảng cách dƣờng nhƣ thu hẹp lại. Bên cạnh sự phát triển của Internet thì cũng kéo theo sự phát triển của rất nhiều các hình thức tấn công vào các lỗ hổng của mạng. Các mạng máy tính hiện nay bao giồm rất nhiều các thiết bị, vậy làm sao để quản lý hết đƣợc các thiết bị đó? Câu trả lời đó chính là phải có các chƣơng trình quản trị mạng linh hoạt. Nhƣng có chƣơng trình quản trị mạng rồi thì làm thế nào để đảm bảo an ninh cho các thông điệp trên mạng truyền đi một cách an toàn trƣớc sự tấn công mạnh mẽ của hacker. Việc đảm bảo an ninh cho các thông điệp trong quản trị mạng là khó khăn, các phƣơng trức quản trị thƣờng có những hình thức đảm bảo an ninh riêng nhƣ: SNMP version 3 thì sử dụng “Mô hình bảo mật dựa trên ngƣời dùng” và “Kiểm soát truy nhập VACM”. Quản trị mạng dựa trên nền web thì sử dụng phƣơng thức xác thực và mã hóa kết nối dựa trên SSL. Mỗi cách thức bảo mật đều có những ƣu điểm và nhƣợc điểm riêng của chúng, lựa chọn hình thức quản trị mạng nhƣ thế nào là tùy thuộc vào mục đích quản trị. Nghiên cứu các giải pháp an ninh trong một số kiến trúc quản trị mạng thƣờng gặp để từ đó có cái nhìn đúng, đầy đủ về quản trị mạng từ đây có thể lựa chọn đƣợc phƣơng thức quản trị mạng cho thích hợp. Đây cũng chính là lý do tôi đã chọn đề tài “Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng”. Luận văn này bao giồm phần mở đầu, 4 chƣơng và phần kết luận, với nội dung các chƣơng đƣợc trình bày tóm tắt dƣới đây: Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 2 Chƣơng 1: Nghiên cứu sơ bộ về tổng quan quản trị và an ninh thông tin trên Internet. Nghiên cứu về các giao thức mạng, về các mô hình quản trị mạng và vấn đề an ninh truyền thông trên Internet. Chƣơng 2: Nghiên cứu sơ bộ về quản trị mạng SNMP và vấn đề đảm bảo anh ninh cho các thông điệp khi truyền trong quản trị mạng với SNMP version 3. Chƣơng 3: Nghiên cứu về cơ chế bảo mật và xác thực trong quản trị mạng dựa trên nền web. Chƣơng 4: Thực thi quản trị mạng bằng phần mềm mã nguồn mở Cacti, chỉ rõ việc ứng dụng các cơ chế đảm bảo an ninh mà chƣơng 2 và chƣơng 3 đã đề cập tới. Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 3 CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET 1.1. Các giao thức trên Internet Bộ giao thức là tập hợp các giao thức cho phép sự truyền thông mạng từ một host thông qua mạng đến host khác. Giao thức là một mô tả hình thức của một tập luật và tiêu chuẩn khống chế một khía cạnh đặc biệt trong hoạt động thông tin của các thiết bị trên mạng. Giao thức xác định dạng thức, định thời, tuần tự và kiểm soát lỗi trong hoạt động truyền số liệu. Không có giao thức, máy tính không thể tạo ra hay tái tạo luồng bít đến từ máy tính khác sang dạng ban đầu. 1.1.1. Giao thức TCP/IP Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau. Ngày nay TCP/IP đƣợc sử dụng rộng rãi trong các mạng cục bộ cũng nhƣ trên Internet toàn cầu. TCP/IP đƣợc xem là giản lƣợc của mô hình tham chiếu OSI với 4 tầng nhƣ sau: + Tầng liên kết mạng (Network Access Layer) + Tầng Internet (Internet Layer) + Tầng giao vận (Host-To-Host Transport Layer) + Tầng ứng dụng (Application Layer) Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 4 Hình 1.1 – Kiến trúc TCP/IP  Tầng liên kết: Tầng liên kết (còn đƣợc gọi là tầng liên kết dữ liệu hay là tầng giao tiếp mạng) là tầng thấp nhất trong mô hình TCP/IP. Bao gồm các thiết bị giao tiếp mạng và chƣơng trình cung cấp các thông tin cần thiết để có thể hoạt động, truy nhập đƣờng truyền vật lý qua thiết bị giao tiếp mạng đó. Nó bao gồm các chi tiết của công nghệ LAN, WAN và tất cả các chi tiết chứa trong lớp vật lý và lớp liên kết số liệu của mô hình OSI. Lớp liên kết định ra các thủ tục để giao tiếp với phần cứng mạng và truy nhập môi trƣờng truyền. Các tiêu chuẩn giao thức modem nhƣ SLIP (Serial Line Internet Protocol) và PPP (Point-To-Point Protocol) cung cấp truy xuất mạng thông qua kết nối dùng modem. Application Transport - Ethernet - Fast Ethernet - SLIP và PPP - FDDI Internet Network Access - ATM, Frame Relay và SMDS - ARP - Proxy ARP - RARP Hình 1.2 - Các giao thức thuộc lớp Network Access  Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý quá trình truyền gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet Group Message Protocol). Mục đích của lớp Internet là chọn lấy một đƣờng dẫn tốt nhất xuyên qua Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 5 mạng cho các gói tin di chuyển tới đích. Giao thức chính hoạt động tại lớp này là Internet Protocol. Sự xác định đƣờng dẫn tốt nhất và mạch chuyển gói diễn ra tại lớp này. Application Transport Internet Internet Protocol (IP) Internet Control Message Protocol (ICMP) Address Ressulation Protocol (ARP) Reverse Address Ressulation Protocol (RARP) Network Access Hình 1.3 - Các giao thức tại lớp Internet - IP cung cấp conectionless, định tuyến chuyển phát gói theo besteffort. IP không quan tâm đến nội dung của các gói nhƣng tìm kiếm đƣờng dẫn cho gói tới đích. - ICMP (Internet Control Message Protocol): đem đến khả năng điều khiển và chuyển thông báo. - ARP (Address Ressulation Protocol): xác định địa chỉ lớp liên kết số liệu (MAC address) khi biết trƣớc địa chỉ IP. - RARP (Reverse Address Ressulation Protocol): xác định các địa chỉ IP khi biết trƣớc địa chỉ MAC.  Tầng giao vận: Tầng giao vận phụ trách luồng giữ liệu giữa hai trạm thực hiện các ứng dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission Protocol), UDP (User Datagram Protocol). TCP cung cấp luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ chế nhƣ chia nhỏ các gói tin của tầng trên thành các gói tin có kích thƣớc thích hợp cho tầng mạng bên dƣới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết đƣợc các gói tin đã chuyển đi. Do tầng này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa. UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng, nó chỉ gửi các gói tin dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến đƣợc tới đích. Các cơ chế đảm bảo độ tin cậy cần đƣợc thực hiện bởi Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 6 tầng trên. Application Transmission Control Protocol (TCP) Conection – Oriented User Datagram Protocol (UDP) Transport Internet Network Access Hình 1.4 - Các giao thức thuộc lớp Transport  Tầng ứng dụng: Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho ngƣời sử dụng để truy cập mạng. Lớp ứng dụng của mô hình TCP/IP kiểm soát các giao thức lớp cao, các chủ đề về trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại. Có rất nhiều ứng dụng đƣợc cung cấp trong tầng này, mà phổ biến là: Telnet đƣợc sử dụng trong mạng truy cập từ xa, FTP (File Transfer Protocol) là dịch vụ truyền tệp, Email - dịch vụ thƣ tín điện tử, WWW (World Wide Web).  Application  Transport  Internet  Network Access  File Transfer TFTP FTP NFS Email SMTP Remote login Telnet Network Management SNMP Database DNS Hình 1.5 - Các giao thức thuộc lớp Application Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 7 Ý nghĩa của một số dịch vụ: + File Transfer Protocol (FTP): là một dịch vụ có tạo cầu nối (conection - oriented) tin cậy, nó sử dụng TCP để truyền các tệp tin giữa các hệ thống có hỗ trợ FTP. Nó hỗ trợ truyền file nhị phân hai chiều và tải các file ASCII. + Trivial File Transfer Protocol (TFTP): là một dịch vụ không tạo cầu nối (conectionless) dùng giao thức UDP. TFTP đƣợc dùng trên router để truyền các file cấu hình và các Cisco IOS image và để truyền file giữa các hệ thống hỗ trợ TFTP. Nó hữu dụng trong một vài LAN bởi nó hoạt động nhanh hơn FTP trong một môi trƣờng ổn định. + Network File System (NFS): là một bộ giao thức hệ thống file phân tán đƣợc phát triển bởi Sun Microsystem cho phép truy xuất file đến các thiết bị lƣu trữ ở xa nhƣ một đĩa cứng qua mạng. + Simple Mail Transfer Protocol (SMTP): quản trị các hoạt động truyền e-mail qua mạng máy tính. + Terminal emulation (Telnet): cung cấp khả năng truy nhập từ xa vào các máy tính, thiết bị khác. + Simple Network Management Protocol (SNMP): là một giao thức cung cấp phƣơng pháp để giám sát và điều khiển các thiết bị mạng và để quản trị các cấu hình, thu thập thống kê, hiệu suất và bảo mật. + Domain Name System (DNS): là một hệ thống đƣợc dùng trên Internet để thông dịch tên của các miền (domain) và các node mạng đƣợc quảng cáo công khai sang các địa chỉ IP. Thực chất Hệ thống DNS là những CSDL (DNS database) chứa tên và địa chỉ tƣng ứng cùng với các thông tin khác đi kèm. 1.1.2. Giao thức UDP (User Datagram Protocol) UDP là giao thức không liên kết trong chồng giao thức TCP/IP, cung cấp dịch vụ giao vận không tin cậy, sử dụng thay thế cho TCP trong tầng giao vận. Khác với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không có cơ chế báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và có thể dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có thông báo lỗi cho ngƣời gửi. Khuôn dạng đơn vị dữ liệu của UDP đƣợc mô tả nhƣ sau: Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 8 Hình 1.6 - Khuôn dạng UDP datagram - Số hiệu cổng nguồn (Source Port - 16 bit): số hiệu cổng nơi đã gửi dữ liệu. - Số hiệu cổng đích (Destination Port - 16 bit): số hiệu cổng nơi dữ liệu đƣợc chuyển tới. - Độ dài UDP (Length - 16 bit): độ dài tổng cổng kể cả phần header của gói dữ liệu UDP. - UDP Checksum (16 bit): dùng để kiểm soát lỗi, nếu phát hiện lỗi thì đơn vị dữ liệu UDP sẽ bị loại bỏ mà không có một thông báo nào trả lại cho trạm gửi.  Các giao thức dùng UDP gồm: + TFTP (Trivial File Transfer Protocol) + SNMP (Simple Network Management Protocol) + DHCP (Dynamic Host Control Protocol) + DNS (Domain Name System) 1.1.3. Giao thức TCP TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong tầng mạng. Nhƣng không giống nhƣ UDP, TCP cung cấp một hoạt động truyền dữ liệu hai chiều hoàn toàn (full-duplex) tin cậy và có liên kết. Có liên kết ở đây có nghĩa là 2 ứng dụng sử dụng TCP phải thiết lập liên kết với nhau trƣớc khi trao đổi dữ liệu. Sự tin cậy trong dịch vụ đƣợc cung cấp bởi TCP đƣợc thể hiện nhƣ sau: - Dữ liệu từ tầng ứng dụng gửi đến đƣợc TCP chia thành các đoạn (segment) có kích thƣớc phù hợp nhất để truyền đi. - Khi TCP gửi 1 đoạn, nó duy trì một thời lƣợng để chờ phúc đáp từ trạm nhận. Nếu trong khoảng thời gian đó phúc đáp không tới đƣợc trạm gửi thì đoạn đó Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 9 đƣợc truyền lại. - Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi 1 phúc đáp tuy nhiên phúc đáp không đƣợc gửi lại ngay lập tức mà thƣờng trễ một khoảng thời gian. - TCP duy trì giá trị tổng kiểm tra (checksum) trong phần Header của dữ liệu để nhận ra bất kỳ sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 đoạn bị lỗi thì TCP ở phía trạm nhận sẽ loại bỏ và không phúc đáp lại để trạm gửi truyền lại đoạn bị lỗi đó. Giống nhƣ đơn vị dữ liệu của IP, các đoạn của TCP có thể tới đích một cách không tuần tự. Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng ứng dụng đảm bảo tính đúng đắn của dữ liệu. Khi dữ liệu IP bị trùng lặp TCP tại trạm nhận sẽ loại bỏ dữ liệu trùng lặp đó. Hình 1.7 - Khuôn dạng TCP segment TCP cũng cung cấp khả năng điều khiển luồng. Mỗi đầu của liên kết TCP có vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi truyền một lƣợng dữ liệu nhất định (nhỏ hơn không gian đệm còn lại). Điều này tránh xảy ra trƣờng hợp trạm có tốc độ cao chiếm toàn bộ vùng đệm của trạm có tốc độ chậm hơn. Khuôn dạng của một đoạn TCP đƣợc mô tả trong hình 1.7, các tham số trong khuôn dạng trên có ý nghĩa nhƣ sau: - Source Port (16 bits ) là số hiệu cổng của trạm nguồn. - Destination Port (16 bits ) là số hiệu cổng trạm đích. Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 10 - Sequence Number (32 bits) là số hiệu byte đầu tiên của đoạn trừ khi bit SYN đƣợc thiết lập. Nếu bit SYN đƣợc thiết lập thì sequence number là số hiệu tuần tự khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông qua trƣờng này TCP thực hiện việc quản lí từng byte truyền đi trên một kết nối TCP. - Acknowledgment Number (32 bits). Số hiệu của đoạn tiếp theo mà trạm nguồn đang chờ để nhận và ngầm định báo nhận tốt các segment mà trạm đích đã gửi cho trạm nguồn. - Header Length (4 bits). Số lƣợng từ (32 bits) trong TCP header, chỉ ra vị trí bắt đầu của vùng dữ liệu vì trƣờng Option (tùy chọn) có độ dài thay đổi. Header length có giá trị từ 20 đến 60 byte. - Reserved (6 bits). Dành để dùng trong tƣơng lai. - Control bits : Các bit điều khiển URG : xác định vùng con trỏ khẩn có hiệu lực. ACK : vùng báo nhận ACK Number có hiệu lực. PSH : chức năng PUSH. RST : khởi động lại liên kết. SYN : đồng bộ hoá các số hiệu tuần tự (Sequence number). FIN : không còn dữ liệu từ trạm nguồn. - Window size (16 bits): cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế cửa sổ trƣợt). Đây chính là số lƣợng các byte dữ liệu bắt đầu từ byte đƣợc chỉ ra trong vùng ACK number mà trạm nguồn sẵn sàng nhận. - Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header và dữ liệu. - Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng trong dòng dữ liệu khẩn cho phép bên nhận biết đƣợc độ dài của dữ liệu khẩn. Vùng này chỉ có hiệu lực khi bit URG đƣợc thiết lập. - Option (độ dài thay đổi). Khai báo các tuỳ chọn của TCP trong đó thông thƣờng là kích thƣớc cực đại của 1 segment: MSS (Maximum Segment Size). - TCP data (độ dài thay đổi). Chứa dữ liệu của tầng ứng dụng có độ dài ngầm định là 536 byte. Giá trị này có thể điều chỉnh đƣợc bằng cách khai báo trong vùng tùy chọn.  Các giao thức dùng TCP bao gồm: Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 11 + FTP (File Transfer Protocol) + HTTP (Hypertext Transfer Protocol) + SMTP (Simple Mail Transfer Protocol) + Telnet 1.2. Các kiến trúc quản trị mạng Hiện nay hệ thống mạng đa dạng và phong phú, việc quản trị mạng sẽ gặp khó khăn, vậy sử dụng mô hình quản trị mạng nào là thích hợp? Quản trị mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức tạp. Hiện nay, hầu hết phần tử mạng có các module quản trị riêng nên việc quản trị bị phân tán. Xu hƣớng tƣơng lai là tập trung hóa hệ thống quản trị mạng bằng việc tích hợp tất cả phần tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều ngƣời quản trị mạng. SNMP là giao thức quản trị mạng hiện đƣợc dùng rất phổ biến trên mạng TCP/IP. 1.2.1. Kiến trúc quản trị mạng SNMP Các mô hình quản trị mạng truyền thống chạy trên hệ điều hành của Microsoft đa số sử dụng giao thức SNMP, trong đó chia làm 4 thành phần: + Nút đƣợc quản trị (managed node) + Trạm quản trị (management station) + Thông tin quản trị (management information) + Giao thức quản trị (management protocol) Hình 1.8 – Mô hình quản trị mạng dựa trên SNMP Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 12 - Nút đƣợc quản trị có thể là máy tính, bộ định tuyến, bộ chuyển mạch, cầu nối, máy in hoặc các thiết bị mạng khác có khả năng liên lạc với bên ngoài mạng. Mỗi nút chạy phần mềm quản trị gọi là SNMP agent. Mỗi agent duy trì một cơ sở dữ liệu cục bộ các biến mô tả trạng thái, lịch sử và tác vụ ảnh hƣởng lên nó. - Trạm quản trị chứa một hoặc nhiều tiến trình liên lạc với agent trên mạng, phát những câu lệnh và nhận kết quả. Hình 1.8 trình bày mô hình quản trị mạng Microsoft thông qua giao thức SNMP. Trong hình 1.8, cơ sở dữ liệu MIB (Management Information Base) tập hợp tất cả các đối tƣợng trong một mạng, nó định ra những biến mà các phần tử mạng cần duy trì. Trạm quản trị (management station) tƣơng tác với agent qua giao thức SNMP. Chúng ta sẽ nghiên cứu kỹ hơn về SNMP ở chƣơng 2. 1.2.2. Kiến trúc quản trị mạng dựa trên Web Các mô hình quản trị mạng dựa trên nền web có hai thành phần cơ bản là Web Server (Manager) và Client (Agent). Khi có một yêu cầu của Agent đƣợc gửi đến đến Manager thông qua trình duyệt Web, Manager sẽ gửi tới Common Gateway Interface (CGI). CGI là một giao diện chuẩn cho phép trao đổi thông tin giữa phần mềm Manager với các chƣơng trình (ứng dụng) bên ngoài. CGI sẽ thực hiện công việc của mình và chuyển thông tin về cho Manager dƣới dạng chuẩn HTML và Manager sẽ gửi tiếp các thông tin này về cho agent. Sau đây là tóm lƣợc bốn bƣớc xử lý của việc quản trị mạng trên nền web + Bƣớc 1: Xử lý dữ liệu đƣợc truyền từ Agent tới Manager. + Bƣớc 2: Manager sẽ hƣớng các yêu cầu mà Agent gửi tới đến các chƣơng trình CGI để thực hiện. + Bƣớc 3: Gửi lại các dữ liệu và kết quả mà chƣơng trình CGI thực hiện trở lại cho Manager. + Bƣớc 4: Manager gửi lại dữ liêu mà nó nhận từ chƣơng trình CGI cho Agent. Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 13 Hình 1.9 – Chu trình thực hiện một CGI Request 1.2.3. Các kiến trúc quản trị mạng khác 1.2.3.1. Quản trị mạng dựa trên XML Kiến trúc quản trị mạng dựa trên XML có hai phần cơ bản đó là: Element Management Level (EML) và Network Management Level (NML). Kiến trúc quản trị mạng dựa trên XML tuân theo cấu trúc và định nghĩa giao diện chƣơng trình ứng dụng XML EML cho mỗi phần tử mạng và giao diện chƣơng trình ứng dụng XML NML cho toàn mạng. Quản trị mạng xác định các giao diện chƣơng trình ứng dụng API (Application Programming Interface) dựa trên các yêu cầu quản trị mạng cho mạng đó. Mỗi cấu trúc API phù hợp với một lƣợc đồ XML. Lƣợc đồ XML xác định cách thức hoạt động và kết hợp thực hiện EML tƣơng ứng để kết hợp các thao tác EML và NML. Lƣợc đồ XML tạo điều kiện thuận lợi để tạo ra và đánh giá các API. Kiến trúc quản trị mạng dựa trên XML đƣợc miêu tả trong hình 1.10, nó đặc tả, phân tích môi trƣờng thời gian thực XML và cho phép thực hiện tài liệu XML. Nhƣ vậy, kiến trúc này xác định một hệ thống, chấp nhận ứng dụng XML (EML hoặc NML). Thực hiện chúng trên các thành phần mạng và trả lại kết quả. Hệ thống này nhận tài liệu ứng dụng XML từ các điều khiển. Bộ xử lý XML đƣợc hình thành từ hai bộ phân tích: Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 14 + Công cụ EML: Là bộ xử lý ứng dụng EML XML. + Công cụ NML: Là bộ xử lý ứng dụng NML XML. Công cụ xử lý tài liệu ứng dụng XML EML kết hợp nhận dạng các thao tác EML, phân tích chúng thành các thao tác và thực hiện chúng trên các thành phần mạng. Ở lớp cao hơn, công cụ NML xử lý các tài liệu ứng dụng NML, nhận dạng các thao tác NML, phân tích chúng thành các thao tác NML; Xây dựng tƣơng tự nhƣ tài liệu EML, sắp xếp lại thành các công cụ EML và thực hiện chúng. EML và NML đều tạo ra tài liệu XML chứa đựng kết quả của tập hợp các thao tác quản trị. Đặc trƣng tài liệu XML là việc xác định cấu trúc cho các ứng dụng XML với sự thể hiện các trạng thái hiện thời của các thiết bị sau khi thực hiện các thao tác. Hình 1.10 – Tổng quan về kiến trúc quản trị mạng trên XML 1.2.3.2. Quản trị mạng dựa trên chính sách Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu. Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 15 NAC là một chính sách có hiệu lực, nó gần nhƣ đƣợc thắt chặt với các quá trình làm việc của mạng. Các mạng triển khai hệ thống NAC cơ bản để yêu cầu ngƣời dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trƣớc khi họ đƣợc phép truy cập vào mạng. Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba dạng kiểm tra: + Thứ nhất có thể truy cập mạng bằng cách đơn giản chỉ yêu cầu ngƣời dùng đồng ý với một chính sách sử dụng trƣớc khi họ kết nối vào mạng. Sự nhận dạng ngƣời dùng và trạng thái máy không có ý nghĩa đối với việc truy cập đƣợc chấp nhận hay không. + Thứ hai đó là phê chuẩn tính hợp lệ của ngƣời dùng. + Thứ ba là phê chuẩn tính hợp lệ trạng thái máy. Hai dạng kiểm tra hiếm khi đƣợc sử dụng là: từ chối toàn bộ sự truy cập hoặc cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp lệ của ngƣời dùng, sẽ có nhiều mức truy cập khác nhau đối với từng ngƣời dùng khác nhau. Đối với các quản trị viên thì đƣợc ƣu tiên ở mức truy cập toàn bộ còn ngƣời dùng khác sẽ bị giới hạn một số ứng dụng. 1.3. Vấn đề bảo đảm an ninh truyền thông trên Internet 1.3.1. Khái niệm về đảm bảo an ninh truyền thông Mạng Internet đã đƣợc phổ cập khắp thế giới do vậy việc bảo vệ tài nguyên thông tin trên mạng là cấp thiết. Vấn đề an ninh mạng càng trở nên cấp thiết để chống các hacker đột nhập vào hệ thống, ăn cắp thông tin và làm tê liệt hệ thống. Mục tiêu của việc đảm bảo an ninh trên mạng là: + Tính bảo mật (confidentiality): Bảo đảm dữ liệu không bị sử dụng bởi ngƣời không có thẩm quyền. + Tính xác thực (Authentication): Kiểm tra tính hợp pháp của ngƣời sử dụng. + Tính không thể chối cãi (nonrepudiation): Các thực thể tham gia không thể chối bỏ. + Tính toàn vẹn (Integrity): Thông tin không bị sai lệch, sửa đổi. Ta phải kiểm soát các vấn đề an toàn mạng theo các mức khác nhau đó là: + Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng. + Mức Server: Kiểm soát quyền truy nhập, các cơ chế bảo mật, quá trình Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 16 nhận dạng ngƣời dùng, phân quyền truy cập, cho phép các tác vụ. + Mức cơ sở dữ liệu: Kiểm soát ai? Đƣợc quyền nhƣ thế nào? với mỗi cơ sở dữ liệu. + Mức trƣờng thông tin: Trong mỗi cơ sở dữ liệu kiểm soát đƣợc mỗi trƣờng dữ liệu chứa thông tin khác nhau có quyền truy cập khác nhau. + Mức mật mã: Mã hóa toàn bộ file dữ liệu theo một phƣơng pháp nào đó và chỉ cho phép ngƣời có “chìa khóa” mới có thể sử dụng đƣợc file dữ liệu. 1.3.2. Bảo mật thông báo khi truyền trên Internet Hiện nay khi truyền các thông báo trên internet thì khả năng để rò rỉ thông tin là rất lớn, những thông tin quan trọng nhƣ dữ liệu cá nhân của khách hàng nhƣ mã số bảo hiểm xã hội, thông tin thẻ tín dụng, nội dung thƣ điện tử, các hợp đồng kinh tế …. Khi những kẻ xấu đánh cắp đƣợc những gói tin này thì chúng sẽ sử dụng để thực hiện các hành vi bất hợp pháp. Để bảo vệ đƣợc bí mật của những thông báo khi truyền trên mạng thì phải có những cơ chế và phƣơng thức bảo mật khác nhau. Muốn bảo vệ dữ liệu mà chỉ dựa vào việc mã hoá dữ liệu là rất nguy hiểm. Ngày càng có nhiều tin tặc có thể đọc trộm, tráo đổi dữ liệu và mạo danh để xâm nhập một cách dễ dàng và thiện nghệ. Và nhƣ vậy, chỉ mật mã hoá dữ liệu thì không đủ để bảo vệ dữ liệu cho an toàn. Để đáp ứng những tiêu chuẩn nghiêm ngặt về an toàn thông tin vốn đòi hỏi chúng ta phải xây dựng và nghiên cứu những biện pháp an ninh để làm sao các thông báo chúng ta trao đổi trên mạng phải tuyệt đối an toàn trƣớc những đợt tấn công của kẻ xấu. Chúng ta phải có những chiến lƣợc bảo vệ các thông báo gồm nhiều tầng lớp mà mức thấp nhất là mật mã hoá, xác thực và mức cao nhất là tích hợp nhiều chữ ký điện tử, chứng thực điện tử và quản trị bằng khoá theo trật tự cấp bậc (hierachical key). Mã hoá/giải mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn công vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang an toàn phải đƣợc dựng lên để đảm bảo những tài sản quý giá dạng điện tử không thể bị đọc trộm, bị thay đổi… khi truyền trong môi trƣờng mạng. Chữ ký điện tử: Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm phạm. Dùng kỹ thuật băm (hashing) một chiều cho cả dữ liệu lẫn chữ ký điện tử đƣợc gửi đi trên mạng. Khi thông báo đƣợc gửi đến thông qua việc truyền trên Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 17 mạng, một hàm băm mới đƣợc tạo ra từ dữ liệu ban đầu và so sánh với hàm băm ban đầu để đảm bảo thông tin không bị thay đổi. Cũng có thể sử dụng một phƣơng pháp tƣơng tự để đảm bảo tính không thể chối cãi đƣợc của những dữ liệu lƣu trữ dài hạn (long-term archive) trong các trƣờng hợp phải chấp hành luật lệ hay tranh tụng. Quản trị khoá theo trật tự cấp bậc: Một hạ tầng cơ sở chứng thực (cartificate infrastructure) tích hợp và có trật tự cấp bậc sẽ đối phó với vấn đề mạo xƣng và đảm bảo thông tin đƣợc đã gửi tới từ một máy tính tin cậy. Áp dụng các chính sách an toàn dữ liệu: Những dữ liệu khác nhau có tầm quan trọng khác nhau và do đó, có những đòi hỏi về chính sách an toàn khác nhau. Một hệ thống tốt sẽ đối chiếu và áp dụng những giải thuật băm và mật mã hoá, thời gian lƣu trữ và độ dài mật khẩu cần thiết đối với những loại dữ liệu khác nhau. Hệ thống cần vận dụng mềm dẻo những cấp độ an toàn khác nhau tuỳ thuộc vào giá trị của thông tin mà ta cần phải bảo vệ. Những thế lực đen tối có khả năng đột nhập vào hệ thống máy tính đã làm cho các công cụ bảo vệ dữ liệu trở nên hết sức quan trọng vì đấy là một phƣơng tiện kiểm soát các cách thức mà dữ liệu đƣợc xử lý, lƣu trữ và bảo đảm chống lại nạn đánh cắp và tráo đổi dữ liệu. Mã hoá là một cách làm tốt nhƣng lợi ích của nó còn hạn chế. Đó là lý do tại sao sự an toàn trong dữ liệu cần phải tích hợp các xác thực, chữ ký điện tử, các chứng thực điện tử và phƣơng pháp quản trị khoá theo trật tự cấp bậc. Nếu áp dụng một cách khôn ngoan các phƣơng pháp này vào việc quản trị dữ liệu cùng với sự hỗ trợ của những khuôn mẫu thực thi, thì chúng ta sẽ có một nền tảng an toàn lƣu trữ đa tầng toàn diện có khả năng đối đầu đƣợc với tình trạng đe doạ đa chiều trƣớc mắt và trong tƣơng lai. 1.3.3. Một số giải pháp + Kiểm soát đăng ký tên/mật khẩu truy cập vào hệ thống. + Kiểm soát truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. + Mã hoá dữ liệu truyền trên mạng (bảo mật thông tin). + Xác thực thông tin (kiểm tra tính hợp pháp của ngƣời sử dụng) + Chữ kí điện tử, Chứng nhận điện tử… 1.4. Kết luận chƣơng 1 Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin 18 Trong chƣơng 1 này chúng ta đã đi nghiên cứu vào các vấn đề các giao thức và dich vụ internet, các mô hình quản trị mạng, vấn đề đảm bảo an ninh cho các thông báo khi truyền đi trong môi trƣơng mạng. Giới thiệu về các giao thức chính trên mạg internet, cấu trúc và ý nghĩa, các ƣu điểm và hạn chế của các từng giao thức. Nghiên cứu các mô hình quản trị mạng SNMP, WEB, XML… các đặc điểm của từng mô hình quản trị mạng, qua đó chúng ta có thể thấy việc quản trị mạng tuy khó khăn nhƣng cũng sẽ đƣợc giải quyết nếu nhƣ chúng ta có sự lựa chọn tốt mô hình quản trị mạng. Việc lựa chọn mô hình quản trị mạng nào là phụ thuộc vào mục đích của việc quản trị, phụ thuộc vào cách thức, phƣơng thức của ngƣời quản trị. Trong các mô hình quản trị mạng việc khó khăn nhất đối với mô hình quản trị đó là làm thế nào để đảm bảo đƣợc an ninh cho các thông báo khi truyền trên môi trƣờng mạng. Nếu việc đảm bảo an ninh cho các thông báo không tốt trong quá trình truyền thì những kẻ xâm nhập sẽ tiến hành thực hiện các kiểu tấn công bất hợp pháp nhƣ giả mạo bên đối tác, tấn công lặp lại, tấn công làm thay đổi tài nguyên, tấn công từ chối dịch vụ, tấn công ở giữa… Nếu các hành vi tấn đó thành công thì sẽ gây ra những hậu quả rất nghiêm trọng đến an ninh của mạng. Để hạn chế tối đa và khắc phục những sơ hở trong vấn đề an ninh khi truyền thông báo thì các mô hình quản trị phải có các cơ chế đảm bảo nhƣ thông báo gửi đi phải đƣợc mã hóa, phải đƣợc xác thực, phải đảm bảo tính toàn vẹn… Đấy cũng là nội dung mà chúng ta đi nghiên cứu trong các chƣơng 2. CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH CHO SNMPv3 2.1. Quản trị mạng SNMP (Simple Network Management Protocol) Trong mạng lƣới phức tạp hiện nay của router, switch, và các máy chủ. Để quản trị tất cả các thiết bị trên mạng của bạn nó có thể có vẻ giống nhƣ một nhiệm vụ khó khăn và chắc chắn rằng chúng không thể hoạt động tốt và thực hiện một Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
- Xem thêm -