ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN CÔNG LÂM
NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG
MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG
LUẬN VĂN THẠC SỸ
Hà Nội 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
ĐẠI HỌC CÔNG NGHỆ
NGUYỄN CÔNG LÂM
NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG
MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60 48 15
LUẬN VĂN THẠC SỸ
Người hướng dẫn: PGS.TS Nguyễn Văn Tam
Hà Nội 2010
1
MỞ ĐẦU
Thế kỷ XXI đang chứng kiến sự phát triển mạnh mẽ của công nghệ thông
tin, sự phát triển của công nghệ thông tin và viễn thông làm tăng sự phát triển của
mạng Internet.
Mạng Internet đã ra đời và phát triển hơn 30 năm qua. Hiện nay, Internet đã
mở rộng thành một liên mạng trên phạm vi toàn cầu, là mạng của tất cả các mạng
và đƣợc coi là cơ sở hạ tầng truyền thông của xã hội loài ngƣời hiện nay và tƣơng
lai. Internet đã trở thành một thƣớc đo đánh giá sự phát triển của một quốc gia, của
một khu vực, thâm nhập vào các công sở, trƣờng học, khách sạn...Với Internet, con
ngƣời có thể liên lạc với nhau dù ở bất cứ nơi nào trên trái đất, miễn là nơi đó có
mạng đƣợc kết nối với mạng Internet. Và thông qua Internet, khoảng cách dƣờng
nhƣ thu hẹp lại.
Bên cạnh sự phát triển của Internet thì cũng kéo theo sự phát triển của rất
nhiều các hình thức tấn công vào các lỗ hổng của mạng. Các mạng máy tính hiện
nay bao giồm rất nhiều các thiết bị, vậy làm sao để quản lý hết đƣợc các thiết bị
đó? Câu trả lời đó chính là phải có các chƣơng trình quản trị mạng linh hoạt.
Nhƣng có chƣơng trình quản trị mạng rồi thì làm thế nào để đảm bảo an ninh cho
các thông điệp trên mạng truyền đi một cách an toàn trƣớc sự tấn công mạnh mẽ
của hacker.
Việc đảm bảo an ninh cho các thông điệp trong quản trị mạng là khó khăn,
các phƣơng trức quản trị thƣờng có những hình thức đảm bảo an ninh riêng nhƣ:
SNMP version 3 thì sử dụng “Mô hình bảo mật dựa trên ngƣời dùng” và “Kiểm
soát truy nhập VACM”. Quản trị mạng dựa trên nền web thì sử dụng phƣơng thức
xác thực và mã hóa kết nối dựa trên SSL. Mỗi cách thức bảo mật đều có những ƣu
điểm và nhƣợc điểm riêng của chúng, lựa chọn hình thức quản trị mạng nhƣ thế
nào là tùy thuộc vào mục đích quản trị. Nghiên cứu các giải pháp an ninh trong một
số kiến trúc quản trị mạng thƣờng gặp để từ đó có cái nhìn đúng, đầy đủ về quản trị
mạng từ đây có thể lựa chọn đƣợc phƣơng thức quản trị mạng cho thích hợp. Đây
cũng chính là lý do tôi đã chọn đề tài “Nghiên cứu giải pháp an ninh trong một
số kiến trúc quản trị mạng”.
Luận văn này bao giồm phần mở đầu, 4 chƣơng và phần kết luận, với nội
dung các chƣơng đƣợc trình bày tóm tắt dƣới đây:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
2
Chƣơng 1: Nghiên cứu sơ bộ về tổng quan quản trị và an ninh thông tin trên
Internet. Nghiên cứu về các giao thức mạng, về các mô hình quản trị mạng và vấn
đề an ninh truyền thông trên Internet.
Chƣơng 2: Nghiên cứu sơ bộ về quản trị mạng SNMP và vấn đề đảm bảo
anh ninh cho các thông điệp khi truyền trong quản trị mạng với SNMP version 3.
Chƣơng 3: Nghiên cứu về cơ chế bảo mật và xác thực trong quản trị mạng
dựa trên nền web.
Chƣơng 4: Thực thi quản trị mạng bằng phần mềm mã nguồn mở Cacti, chỉ
rõ việc ứng dụng các cơ chế đảm bảo an ninh mà chƣơng 2 và chƣơng 3 đã đề cập
tới.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
3
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH
THÔNG TIN TRÊN INTERNET
1.1. Các giao thức trên Internet
Bộ giao thức là tập hợp các giao thức cho phép sự truyền thông mạng từ một
host thông qua mạng đến host khác. Giao thức là một mô tả hình thức của một tập luật
và tiêu chuẩn khống chế một khía cạnh đặc biệt trong hoạt động thông tin của các
thiết bị trên mạng. Giao thức xác định dạng thức, định thời, tuần tự và kiểm soát
lỗi trong hoạt động truyền số liệu. Không có giao thức, máy tính không thể tạo ra
hay tái tạo luồng bít đến từ máy tính khác sang dạng ban đầu.
1.1.1. Giao thức TCP/IP
Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol)
là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau.
Ngày nay TCP/IP đƣợc sử dụng rộng rãi trong các mạng cục bộ cũng nhƣ trên
Internet toàn cầu. TCP/IP đƣợc xem là giản lƣợc của mô hình tham chiếu OSI với 4
tầng nhƣ sau:
+ Tầng liên kết mạng (Network Access Layer)
+ Tầng Internet (Internet Layer)
+ Tầng giao vận (Host-To-Host Transport Layer)
+ Tầng ứng dụng (Application Layer)
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
4
Hình 1.1 – Kiến trúc TCP/IP
Tầng liên kết: Tầng liên kết (còn đƣợc gọi là tầng liên kết dữ liệu hay là
tầng giao tiếp mạng) là tầng thấp nhất trong mô hình TCP/IP. Bao gồm các thiết bị
giao tiếp mạng và chƣơng trình cung cấp các thông tin cần thiết để có thể hoạt
động, truy nhập đƣờng truyền vật lý qua thiết bị giao tiếp mạng đó. Nó bao gồm
các chi tiết của công nghệ LAN, WAN và tất cả các chi tiết chứa trong lớp vật lý và
lớp liên kết số liệu của mô hình OSI. Lớp liên kết định ra các thủ tục để giao tiếp
với phần cứng mạng và truy nhập môi trƣờng truyền. Các tiêu chuẩn giao thức
modem nhƣ SLIP (Serial Line Internet Protocol) và PPP (Point-To-Point Protocol)
cung cấp truy xuất mạng thông qua kết nối dùng modem.
Application
Transport
- Ethernet
- Fast Ethernet
- SLIP và PPP
- FDDI
Internet
Network Access
- ATM, Frame
Relay và SMDS
- ARP
- Proxy ARP
- RARP
Hình 1.2 - Các giao thức thuộc lớp Network Access
Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý quá trình truyền
gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol),
ICMP (Internet Control Message Protocol), IGMP (Internet Group Message
Protocol). Mục đích của lớp Internet là chọn lấy một đƣờng dẫn tốt nhất xuyên qua
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
5
mạng cho các gói tin di chuyển tới đích. Giao thức chính hoạt động tại lớp này là
Internet Protocol. Sự xác định đƣờng dẫn tốt nhất và mạch chuyển gói diễn ra tại
lớp này.
Application
Transport
Internet
Internet Protocol (IP)
Internet Control Message Protocol (ICMP)
Address Ressulation Protocol (ARP)
Reverse Address Ressulation Protocol (RARP)
Network Access
Hình 1.3 - Các giao thức tại lớp Internet
- IP cung cấp conectionless, định tuyến chuyển phát gói theo besteffort. IP
không quan tâm đến nội dung của các gói nhƣng tìm kiếm đƣờng dẫn cho gói tới
đích.
- ICMP (Internet Control Message Protocol): đem đến khả năng điều khiển và
chuyển thông báo.
- ARP (Address Ressulation Protocol): xác định địa chỉ lớp liên kết số liệu
(MAC address) khi biết trƣớc địa chỉ IP.
- RARP (Reverse Address Ressulation Protocol): xác định các địa chỉ IP khi biết
trƣớc địa chỉ MAC.
Tầng giao vận: Tầng giao vận phụ trách luồng giữ liệu giữa hai trạm thực hiện
các ứng dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission
Protocol), UDP (User Datagram Protocol).
TCP cung cấp luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ
chế nhƣ chia nhỏ các gói tin của tầng trên thành các gói tin có kích thƣớc
thích hợp cho tầng mạng bên dƣới, báo nhận gói tin, đặt hạn chế thời gian
time-out để đảm bảo bên nhận biết đƣợc các gói tin đã chuyển đi. Do tầng
này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa.
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng, nó chỉ
gửi các gói tin dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói
tin đến đƣợc tới đích. Các cơ chế đảm bảo độ tin cậy cần đƣợc thực hiện bởi
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
6
tầng trên.
Application
Transmission Control Protocol (TCP)
Conection – Oriented
User Datagram Protocol (UDP)
Transport
Internet
Network Access
Hình 1.4 - Các giao thức thuộc lớp Transport
Tầng ứng dụng: Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao
gồm các tiến trình và các ứng dụng cung cấp cho ngƣời sử dụng để truy cập mạng.
Lớp ứng dụng của mô hình TCP/IP kiểm soát các giao thức lớp cao, các chủ đề về
trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại. Có rất nhiều ứng dụng
đƣợc cung cấp trong tầng này, mà phổ biến là: Telnet đƣợc sử dụng trong mạng truy
cập từ xa, FTP (File Transfer Protocol) là dịch vụ truyền tệp, Email - dịch vụ thƣ
tín điện tử, WWW (World Wide Web).
Application
Transport
Internet
Network Access
File Transfer
TFTP
FTP
NFS
Email
SMTP
Remote login
Telnet
Network Management
SNMP
Database
DNS
Hình 1.5 - Các giao thức thuộc lớp Application
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
7
Ý nghĩa của một số dịch vụ:
+ File Transfer Protocol (FTP): là một dịch vụ có tạo cầu nối
(conection - oriented) tin cậy, nó sử dụng TCP để truyền các tệp tin giữa các hệ thống
có hỗ trợ FTP. Nó hỗ trợ truyền file nhị phân hai chiều và tải các file ASCII.
+ Trivial File Transfer Protocol (TFTP): là một dịch vụ không tạo cầu nối
(conectionless) dùng giao thức UDP. TFTP đƣợc dùng trên router để truyền các
file cấu hình và các Cisco IOS image và để truyền file giữa các hệ thống hỗ trợ
TFTP. Nó hữu dụng trong một vài LAN bởi nó hoạt động nhanh hơn FTP trong một
môi trƣờng ổn định.
+ Network File System (NFS): là một bộ giao thức hệ thống file phân tán đƣợc
phát triển bởi Sun Microsystem cho phép truy xuất file đến các thiết bị lƣu trữ ở xa
nhƣ một đĩa cứng qua mạng.
+ Simple Mail Transfer Protocol (SMTP): quản trị các hoạt động truyền e-mail
qua mạng máy tính.
+ Terminal emulation (Telnet): cung cấp khả năng truy nhập từ xa vào các máy
tính, thiết bị khác.
+ Simple Network Management Protocol (SNMP): là một giao thức cung cấp
phƣơng pháp để giám sát và điều khiển các thiết bị mạng và để quản trị các cấu hình,
thu thập thống kê, hiệu suất và bảo mật.
+ Domain Name System (DNS): là một hệ thống đƣợc dùng trên Internet để
thông dịch tên của các miền (domain) và các node mạng đƣợc quảng cáo công khai
sang các địa chỉ IP. Thực chất Hệ thống DNS là những CSDL (DNS database) chứa
tên và địa chỉ tƣng ứng cùng với các thông tin khác đi kèm.
1.1.2. Giao thức UDP (User Datagram Protocol)
UDP là giao thức không liên kết trong chồng giao thức TCP/IP, cung cấp dịch
vụ giao vận không tin cậy, sử dụng thay thế cho TCP trong tầng giao vận. Khác
với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không có cơ chế
báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và có thể
dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có thông báo lỗi cho ngƣời
gửi. Khuôn dạng đơn vị dữ liệu của UDP đƣợc mô tả nhƣ sau:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
8
Hình 1.6 - Khuôn dạng UDP datagram
- Số hiệu cổng nguồn (Source Port - 16 bit): số hiệu cổng nơi đã gửi dữ liệu.
- Số hiệu cổng đích (Destination Port - 16 bit): số hiệu cổng nơi dữ liệu đƣợc
chuyển tới.
- Độ dài UDP (Length - 16 bit): độ dài tổng cổng kể cả phần header của gói dữ
liệu UDP.
- UDP Checksum (16 bit): dùng để kiểm soát lỗi, nếu phát hiện lỗi thì
đơn vị dữ liệu UDP sẽ bị loại bỏ mà không có một thông báo nào trả lại cho
trạm gửi.
Các giao thức dùng UDP gồm:
+ TFTP (Trivial File Transfer Protocol)
+ SNMP (Simple Network Management Protocol)
+ DHCP (Dynamic Host Control Protocol)
+ DNS (Domain Name System)
1.1.3. Giao thức TCP
TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong
tầng mạng. Nhƣng không giống nhƣ UDP, TCP cung cấp một hoạt động truyền dữ
liệu hai chiều hoàn toàn (full-duplex) tin cậy và có liên kết. Có liên kết ở đây có nghĩa
là 2 ứng dụng sử dụng TCP phải thiết lập liên kết với nhau trƣớc khi trao đổi dữ liệu.
Sự tin cậy trong dịch vụ đƣợc cung cấp bởi TCP đƣợc thể hiện nhƣ sau:
- Dữ liệu từ tầng ứng dụng gửi đến đƣợc TCP chia thành các đoạn (segment)
có kích thƣớc phù hợp nhất để truyền đi.
- Khi TCP gửi 1 đoạn, nó duy trì một thời lƣợng để chờ phúc đáp từ trạm
nhận. Nếu trong khoảng thời gian đó phúc đáp không tới đƣợc trạm gửi thì đoạn đó
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
9
đƣợc truyền lại.
- Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi 1
phúc đáp tuy nhiên phúc đáp không đƣợc gửi lại ngay lập tức mà thƣờng trễ một
khoảng thời gian.
- TCP duy trì giá trị tổng kiểm tra (checksum) trong phần Header của dữ liệu để
nhận ra bất kỳ sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 đoạn bị lỗi thì TCP
ở phía trạm nhận sẽ loại bỏ và không phúc đáp lại để trạm gửi truyền lại đoạn bị lỗi
đó.
Giống nhƣ đơn vị dữ liệu của IP, các đoạn của TCP có thể tới đích một cách
không tuần tự. Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng
ứng dụng đảm bảo tính đúng đắn của dữ liệu.
Khi dữ liệu IP bị trùng lặp TCP tại trạm nhận sẽ loại bỏ dữ liệu trùng lặp đó.
Hình 1.7 - Khuôn dạng TCP segment
TCP cũng cung cấp khả năng điều khiển luồng. Mỗi đầu của liên kết TCP có
vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi truyền
một lƣợng dữ liệu nhất định (nhỏ hơn không gian đệm còn lại). Điều này tránh xảy
ra trƣờng hợp trạm có tốc độ cao chiếm toàn bộ vùng đệm của trạm có tốc độ chậm
hơn.
Khuôn dạng của một đoạn TCP đƣợc mô tả trong hình 1.7, các tham số trong
khuôn dạng trên có ý nghĩa nhƣ sau:
- Source Port (16 bits ) là số hiệu cổng của trạm nguồn.
- Destination Port (16 bits ) là số hiệu cổng trạm đích.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
10
- Sequence Number (32 bits) là số hiệu byte đầu tiên của đoạn trừ khi bit SYN
đƣợc thiết lập. Nếu bit SYN đƣợc thiết lập thì sequence number là số hiệu tuần tự
khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông
qua trƣờng này TCP thực hiện việc quản lí từng byte truyền đi trên một kết nối TCP.
- Acknowledgment Number (32 bits). Số hiệu của đoạn tiếp theo mà trạm
nguồn đang chờ để nhận và ngầm định báo nhận tốt các segment mà trạm đích đã
gửi cho trạm nguồn.
- Header Length (4 bits). Số lƣợng từ (32 bits) trong TCP header, chỉ ra vị trí bắt
đầu của vùng dữ liệu vì trƣờng Option (tùy chọn) có độ dài thay đổi. Header length có
giá trị từ 20 đến 60 byte.
- Reserved (6 bits). Dành để dùng trong tƣơng lai.
- Control bits : Các bit điều khiển
URG : xác định vùng con trỏ khẩn có hiệu lực.
ACK : vùng báo nhận ACK Number có hiệu lực.
PSH : chức năng PUSH.
RST : khởi động lại liên kết.
SYN : đồng bộ hoá các số hiệu tuần tự (Sequence number).
FIN : không còn dữ liệu từ trạm nguồn.
- Window size (16 bits): cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế
cửa sổ trƣợt). Đây chính là số lƣợng các byte dữ liệu bắt đầu từ byte đƣợc
chỉ ra trong vùng ACK number mà trạm nguồn sẵn sàng nhận.
- Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header
và dữ liệu.
- Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng
trong dòng dữ liệu khẩn cho phép bên nhận biết đƣợc độ dài của dữ liệu
khẩn. Vùng này chỉ có hiệu lực khi bit URG đƣợc thiết lập.
- Option (độ dài thay đổi). Khai báo các tuỳ chọn của TCP trong đó thông
thƣờng là kích thƣớc cực đại của 1 segment: MSS (Maximum Segment
Size).
- TCP data (độ dài thay đổi). Chứa dữ liệu của tầng ứng dụng có độ dài
ngầm định là 536 byte. Giá trị này có thể điều chỉnh đƣợc bằng cách khai báo trong
vùng tùy chọn.
Các giao thức dùng TCP bao gồm:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
11
+ FTP (File Transfer Protocol)
+ HTTP (Hypertext Transfer Protocol)
+ SMTP (Simple Mail Transfer Protocol)
+ Telnet
1.2. Các kiến trúc quản trị mạng
Hiện nay hệ thống mạng đa dạng và phong phú, việc quản trị mạng sẽ gặp khó
khăn, vậy sử dụng mô hình quản trị mạng nào là thích hợp?
Quản trị mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức
tạp. Hiện nay, hầu hết phần tử mạng có các module quản trị riêng nên việc quản trị
bị phân tán. Xu hƣớng tƣơng lai là tập trung hóa hệ thống quản trị mạng bằng việc
tích hợp tất cả phần tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều
ngƣời quản trị mạng.
SNMP là giao thức quản trị mạng hiện đƣợc dùng rất phổ biến trên mạng
TCP/IP.
1.2.1. Kiến trúc quản trị mạng SNMP
Các mô hình quản trị mạng truyền thống chạy trên hệ điều hành của
Microsoft đa số sử dụng giao thức SNMP, trong đó chia làm 4 thành phần:
+ Nút đƣợc quản trị (managed node)
+ Trạm quản trị (management station)
+ Thông tin quản trị (management information)
+ Giao thức quản trị (management protocol)
Hình 1.8 – Mô hình quản trị mạng dựa trên SNMP
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
12
- Nút đƣợc quản trị có thể là máy tính, bộ định tuyến, bộ chuyển mạch, cầu
nối, máy in hoặc các thiết bị mạng khác có khả năng liên lạc với bên ngoài mạng.
Mỗi nút chạy phần mềm quản trị gọi là SNMP agent. Mỗi agent duy trì một cơ sở
dữ liệu cục bộ các biến mô tả trạng thái, lịch sử và tác vụ ảnh hƣởng lên nó.
- Trạm quản trị chứa một hoặc nhiều tiến trình liên lạc với agent trên mạng,
phát những câu lệnh và nhận kết quả. Hình 1.8 trình bày mô hình quản trị mạng
Microsoft thông qua giao thức SNMP. Trong hình 1.8, cơ sở dữ liệu MIB
(Management Information Base) tập hợp tất cả các đối tƣợng trong một mạng, nó
định ra những biến mà các phần tử mạng cần duy trì. Trạm quản trị (management
station) tƣơng tác với agent qua giao thức SNMP. Chúng ta sẽ nghiên cứu kỹ hơn
về SNMP ở chƣơng 2.
1.2.2. Kiến trúc quản trị mạng dựa trên Web
Các mô hình quản trị mạng dựa trên nền web có hai thành phần cơ bản là
Web Server (Manager) và Client (Agent).
Khi có một yêu cầu của Agent đƣợc gửi đến đến Manager thông qua trình
duyệt Web, Manager sẽ gửi tới Common Gateway Interface (CGI). CGI là một giao
diện chuẩn cho phép trao đổi thông tin giữa phần mềm Manager với các chƣơng
trình (ứng dụng) bên ngoài. CGI sẽ thực hiện công việc của mình và chuyển thông
tin về cho Manager dƣới dạng chuẩn HTML và Manager sẽ gửi tiếp các thông tin
này về cho agent.
Sau đây là tóm lƣợc bốn bƣớc xử lý của việc quản trị mạng trên nền web
+ Bƣớc 1: Xử lý dữ liệu đƣợc truyền từ Agent tới Manager.
+ Bƣớc 2: Manager sẽ hƣớng các yêu cầu mà Agent gửi tới đến các chƣơng
trình CGI để thực hiện.
+ Bƣớc 3: Gửi lại các dữ liệu và kết quả mà chƣơng trình CGI thực hiện trở
lại cho Manager.
+ Bƣớc 4: Manager gửi lại dữ liêu mà nó nhận từ chƣơng trình CGI cho
Agent.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
13
Hình 1.9 – Chu trình thực hiện một CGI Request
1.2.3. Các kiến trúc quản trị mạng khác
1.2.3.1. Quản trị mạng dựa trên XML
Kiến trúc quản trị mạng dựa trên XML có hai phần cơ bản đó là: Element
Management Level (EML) và Network Management Level (NML). Kiến trúc quản
trị mạng dựa trên XML tuân theo cấu trúc và định nghĩa giao diện chƣơng trình
ứng dụng XML EML cho mỗi phần tử mạng và giao diện chƣơng trình ứng dụng
XML NML cho toàn mạng.
Quản trị mạng xác định các giao diện chƣơng trình ứng dụng API
(Application Programming Interface) dựa trên các yêu cầu quản trị mạng cho mạng
đó. Mỗi cấu trúc API phù hợp với một lƣợc đồ XML. Lƣợc đồ XML xác định cách
thức hoạt động và kết hợp thực hiện EML tƣơng ứng để kết hợp các thao tác EML
và NML. Lƣợc đồ XML tạo điều kiện thuận lợi để tạo ra và đánh giá các API.
Kiến trúc quản trị mạng dựa trên XML đƣợc miêu tả trong hình 1.10, nó đặc
tả, phân tích môi trƣờng thời gian thực XML và cho phép thực hiện tài liệu XML.
Nhƣ vậy, kiến trúc này xác định một hệ thống, chấp nhận ứng dụng XML
(EML hoặc NML). Thực hiện chúng trên các thành phần mạng và trả lại kết quả.
Hệ thống này nhận tài liệu ứng dụng XML từ các điều khiển.
Bộ xử lý XML đƣợc hình thành từ hai bộ phân tích:
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
14
+ Công cụ EML: Là bộ xử lý ứng dụng EML XML.
+ Công cụ NML: Là bộ xử lý ứng dụng NML XML.
Công cụ xử lý tài liệu ứng dụng XML EML kết hợp nhận dạng các thao tác
EML, phân tích chúng thành các thao tác và thực hiện chúng trên các thành phần
mạng. Ở lớp cao hơn, công cụ NML xử lý các tài liệu ứng dụng NML, nhận dạng
các thao tác NML, phân tích chúng thành các thao tác NML; Xây dựng tƣơng tự
nhƣ tài liệu EML, sắp xếp lại thành các công cụ EML và thực hiện chúng. EML và
NML đều tạo ra tài liệu XML chứa đựng kết quả của tập hợp các thao tác quản trị.
Đặc trƣng tài liệu XML là việc xác định cấu trúc cho các ứng dụng XML với sự thể
hiện các trạng thái hiện thời của các thiết bị sau khi thực hiện các thao tác.
Hình 1.10 – Tổng quan về kiến trúc quản trị mạng trên XML
1.2.3.2. Quản trị mạng dựa trên chính sách
Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và
virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt
nào đó, việc kết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access
Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn
là một quy luật tất yếu.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
15
NAC là một chính sách có hiệu lực, nó gần nhƣ đƣợc thắt chặt với các quá
trình làm việc của mạng. Các mạng triển khai hệ thống NAC cơ bản để yêu cầu
ngƣời dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trƣớc
khi họ đƣợc phép truy cập vào mạng.
Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba
dạng kiểm tra:
+ Thứ nhất có thể truy cập mạng bằng cách đơn giản chỉ yêu cầu
ngƣời dùng đồng ý với một chính sách sử dụng trƣớc khi họ kết nối vào mạng. Sự
nhận dạng ngƣời dùng và trạng thái máy không có ý nghĩa đối với việc truy cập
đƣợc chấp nhận hay không.
+ Thứ hai đó là phê chuẩn tính hợp lệ của ngƣời dùng.
+ Thứ ba là phê chuẩn tính hợp lệ trạng thái máy.
Hai dạng kiểm tra hiếm khi đƣợc sử dụng là: từ chối toàn bộ sự truy cập hoặc
cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp lệ của ngƣời dùng, sẽ có
nhiều mức truy cập khác nhau đối với từng ngƣời dùng khác nhau. Đối với các
quản trị viên thì đƣợc ƣu tiên ở mức truy cập toàn bộ còn ngƣời dùng khác sẽ bị
giới hạn một số ứng dụng.
1.3. Vấn đề bảo đảm an ninh truyền thông trên Internet
1.3.1. Khái niệm về đảm bảo an ninh truyền thông
Mạng Internet đã đƣợc phổ cập khắp thế giới do vậy việc bảo vệ tài nguyên
thông tin trên mạng là cấp thiết. Vấn đề an ninh mạng càng trở nên cấp thiết để
chống các hacker đột nhập vào hệ thống, ăn cắp thông tin và làm tê liệt hệ thống.
Mục tiêu của việc đảm bảo an ninh trên mạng là:
+ Tính bảo mật (confidentiality): Bảo đảm dữ liệu không bị sử dụng bởi ngƣời
không có thẩm quyền.
+ Tính xác thực (Authentication): Kiểm tra tính hợp pháp của ngƣời sử dụng.
+ Tính không thể chối cãi (nonrepudiation): Các thực thể tham gia không
thể chối bỏ.
+ Tính toàn vẹn (Integrity): Thông tin không bị sai lệch, sửa đổi.
Ta phải kiểm soát các vấn đề an toàn mạng theo các mức khác nhau đó là:
+ Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
+ Mức Server: Kiểm soát quyền truy nhập, các cơ chế bảo mật, quá trình
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
16
nhận dạng ngƣời dùng, phân quyền truy cập, cho phép các tác vụ.
+ Mức cơ sở dữ liệu: Kiểm soát ai? Đƣợc quyền nhƣ thế nào? với mỗi cơ sở dữ
liệu.
+ Mức trƣờng thông tin: Trong mỗi cơ sở dữ liệu kiểm soát đƣợc mỗi trƣờng
dữ liệu chứa thông tin khác nhau có quyền truy cập khác nhau.
+ Mức mật mã: Mã hóa toàn bộ file dữ liệu theo một phƣơng pháp nào
đó và chỉ cho phép ngƣời có “chìa khóa” mới có thể sử dụng đƣợc file dữ
liệu.
1.3.2. Bảo mật thông báo khi truyền trên Internet
Hiện nay khi truyền các thông báo trên internet thì khả năng để rò rỉ thông
tin là rất lớn, những thông tin quan trọng nhƣ dữ liệu cá nhân của khách hàng nhƣ
mã số bảo hiểm xã hội, thông tin thẻ tín dụng, nội dung thƣ điện tử, các hợp đồng
kinh tế …. Khi những kẻ xấu đánh cắp đƣợc những gói tin này thì chúng sẽ sử
dụng để thực hiện các hành vi bất hợp pháp. Để bảo vệ đƣợc bí mật của những
thông báo khi truyền trên mạng thì phải có những cơ chế và phƣơng thức bảo mật
khác nhau. Muốn bảo vệ dữ liệu mà chỉ dựa vào việc mã hoá dữ liệu là rất nguy
hiểm. Ngày càng có nhiều tin tặc có thể đọc trộm, tráo đổi dữ liệu và mạo danh để
xâm nhập một cách dễ dàng và thiện nghệ. Và nhƣ vậy, chỉ mật mã hoá dữ liệu thì
không đủ để bảo vệ dữ liệu cho an toàn.
Để đáp ứng những tiêu chuẩn nghiêm ngặt về an toàn thông tin vốn đòi hỏi
chúng ta phải xây dựng và nghiên cứu những biện pháp an ninh để làm sao các
thông báo chúng ta trao đổi trên mạng phải tuyệt đối an toàn trƣớc những đợt tấn
công của kẻ xấu. Chúng ta phải có những chiến lƣợc bảo vệ các thông báo gồm
nhiều tầng lớp mà mức thấp nhất là mật mã hoá, xác thực và mức cao nhất là tích
hợp nhiều chữ ký điện tử, chứng thực điện tử và quản trị bằng khoá theo trật tự cấp
bậc (hierachical key).
Mã hoá/giải mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn
công vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang
an toàn phải đƣợc dựng lên để đảm bảo những tài sản quý giá dạng điện tử không
thể bị đọc trộm, bị thay đổi… khi truyền trong môi trƣờng mạng.
Chữ ký điện tử: Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm
phạm. Dùng kỹ thuật băm (hashing) một chiều cho cả dữ liệu lẫn chữ ký điện tử
đƣợc gửi đi trên mạng. Khi thông báo đƣợc gửi đến thông qua việc truyền trên
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
17
mạng, một hàm băm mới đƣợc tạo ra từ dữ liệu ban đầu và so sánh với hàm băm
ban đầu để đảm bảo thông tin không bị thay đổi. Cũng có thể sử dụng một phƣơng
pháp tƣơng tự để đảm bảo tính không thể chối cãi đƣợc của những dữ liệu lƣu trữ
dài hạn (long-term archive) trong các trƣờng hợp phải chấp hành luật lệ hay tranh
tụng.
Quản trị khoá theo trật tự cấp bậc: Một hạ tầng cơ sở chứng thực (cartificate
infrastructure) tích hợp và có trật tự cấp bậc sẽ đối phó với vấn đề mạo xƣng và
đảm bảo thông tin đƣợc đã gửi tới từ một máy tính tin cậy.
Áp dụng các chính sách an toàn dữ liệu: Những dữ liệu khác nhau có tầm
quan trọng khác nhau và do đó, có những đòi hỏi về chính sách an toàn khác nhau.
Một hệ thống tốt sẽ đối chiếu và áp dụng những giải thuật băm và mật mã hoá, thời
gian lƣu trữ và độ dài mật khẩu cần thiết đối với những loại dữ liệu khác nhau. Hệ
thống cần vận dụng mềm dẻo những cấp độ an toàn khác nhau tuỳ thuộc vào giá trị
của thông tin mà ta cần phải bảo vệ.
Những thế lực đen tối có khả năng đột nhập vào hệ thống máy tính đã làm
cho các công cụ bảo vệ dữ liệu trở nên hết sức quan trọng vì đấy là một phƣơng
tiện kiểm soát các cách thức mà dữ liệu đƣợc xử lý, lƣu trữ và bảo đảm chống lại
nạn đánh cắp và tráo đổi dữ liệu. Mã hoá là một cách làm tốt nhƣng lợi ích của nó
còn hạn chế. Đó là lý do tại sao sự an toàn trong dữ liệu cần phải tích hợp các xác
thực, chữ ký điện tử, các chứng thực điện tử và phƣơng pháp quản trị khoá theo trật
tự cấp bậc. Nếu áp dụng một cách khôn ngoan các phƣơng pháp này vào việc quản
trị dữ liệu cùng với sự hỗ trợ của những khuôn mẫu thực thi, thì chúng ta sẽ có một
nền tảng an toàn lƣu trữ đa tầng toàn diện có khả năng đối đầu đƣợc với tình trạng
đe doạ đa chiều trƣớc mắt và trong tƣơng lai.
1.3.3. Một số giải pháp
+ Kiểm soát đăng ký tên/mật khẩu truy cập vào hệ thống.
+ Kiểm soát truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó.
+ Mã hoá dữ liệu truyền trên mạng (bảo mật thông tin).
+ Xác thực thông tin (kiểm tra tính hợp pháp của ngƣời sử dụng)
+ Chữ kí điện tử, Chứng nhận điện tử…
1.4. Kết luận chƣơng 1
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
18
Trong chƣơng 1 này chúng ta đã đi nghiên cứu vào các vấn đề các giao thức
và dich vụ internet, các mô hình quản trị mạng, vấn đề đảm bảo an ninh cho các
thông báo khi truyền đi trong môi trƣơng mạng.
Giới thiệu về các giao thức chính trên mạg internet, cấu trúc và ý nghĩa, các
ƣu điểm và hạn chế của các từng giao thức.
Nghiên cứu các mô hình quản trị mạng SNMP, WEB, XML… các đặc điểm
của từng mô hình quản trị mạng, qua đó chúng ta có thể thấy việc quản trị mạng tuy
khó khăn nhƣng cũng sẽ đƣợc giải quyết nếu nhƣ chúng ta có sự lựa chọn tốt mô
hình quản trị mạng. Việc lựa chọn mô hình quản trị mạng nào là phụ thuộc vào
mục đích của việc quản trị, phụ thuộc vào cách thức, phƣơng thức của ngƣời quản
trị.
Trong các mô hình quản trị mạng việc khó khăn nhất đối với mô hình quản
trị đó là làm thế nào để đảm bảo đƣợc an ninh cho các thông báo khi truyền trên
môi trƣờng mạng. Nếu việc đảm bảo an ninh cho các thông báo không tốt trong quá
trình truyền thì những kẻ xâm nhập sẽ tiến hành thực hiện các kiểu tấn công bất
hợp pháp nhƣ giả mạo bên đối tác, tấn công lặp lại, tấn công làm thay đổi tài
nguyên, tấn công từ chối dịch vụ, tấn công ở giữa…
Nếu các hành vi tấn đó thành công thì sẽ gây ra những hậu quả rất nghiêm
trọng đến an ninh của mạng. Để hạn chế tối đa và khắc phục những sơ hở trong vấn
đề an ninh khi truyền thông báo thì các mô hình quản trị phải có các cơ chế đảm
bảo nhƣ thông báo gửi đi phải đƣợc mã hóa, phải đƣợc xác thực, phải đảm bảo tính
toàn vẹn… Đấy cũng là nội dung mà chúng ta đi nghiên cứu trong các chƣơng 2.
CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN
NINH CHO SNMPv3
2.1. Quản trị mạng SNMP (Simple Network Management Protocol)
Trong mạng lƣới phức tạp hiện nay của router, switch, và các máy chủ. Để
quản trị tất cả các thiết bị trên mạng của bạn nó có thể có vẻ giống nhƣ một nhiệm
vụ khó khăn và chắc chắn rằng chúng không thể hoạt động tốt và thực hiện một
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
- Xem thêm -
.PDF 
89 
39262 
77 
