Ticker

6/recent/ticker-posts

Header Ads Widget

Responsive Advertisement

Quản trị mạng với Colasoft Capsa 7

Bài viết này Phúc sẽ viết về phần mềm giám sát mạng Colasoft Capsa 7. Việc cơ bản nhất của một người quản trị mạng là phải giám sát mạng, giám sát hệ thống. Giám sát mạng là kiểm tra máy tính, máy chủ, hệ thống, ứng dụng… Việc này làm cho người quản trị mạng có được sự ổn định và không mất quá nhiều công sức.
Hình 2.2: Dữ liệu tại một thời điểm tăng vọt.
Ngày nay, tốc độ phát triển như vũ bão của khoa học kỹ thuật, đặc biệt là sự phát triển mạnh mẽ trong lĩnh vực công nghệ thông tin đã giúp cho tri thức nhân loại tăng lên một cách đáng kể, cùng với việc Việt Nam chính thức là thành viên của tổ chức thương mại thế giới WTO, nền kinh tế ngày càng phát triển dễ dàng, khởi sắc, điều đó đồng nghĩa với việc dữ liệu thông tin là rất quan trọng, quyết định đến sự thành bại của một tổ chức hay một doanh nghiệp. Chính vì vậy, quan niệm về bảo mật an ninh mạng được cá nhân hay một cộng đồng quan tâm hơn. Giám sát hệ thống mạng chính là phương thức giúp mọi cá nhân, tổ chức, doanh nghiệp một cách hiệu quả nhất.
Việc giám sát mạng này hiệu quả hơn khi được ISO (International Organization for Standardization) đã thiết kế mộ hình với tên gọi FCAPS hỗ trợ các chức năng chính trong hệ thống quản lý mạng:
-Quản lý lỗi
-Quản lý cấu hình
-Quản lý tài khoản
-Quản lý hiệu suất
-Quản lý bảo mật
HỆ THỐNG GIÁM SÁT MẠNG

1.Khái niệm giám sát an ninh mạng

Giám sát an ninh mạng (Network Security Mornitoring – NMS) là việc thu thập những thông tin trên các thành phần của hệ thống, phân tích gói tin, dấu hiệu để đưa ra đánh giá và cảnh bảo cho người quản trị. Giám sát mạng sử dụng một hệ thống theo dõi liên tục một mạng máy tính cho việc biết mạng đang có tốc độ nhanh hay chậm và thông báo cho người quản trị mạng ( thông qua email, tin nhắn SMS hoặc các cài đặt thông báo khác ) trong trường hợp lỗi hoặc mất mạng. Giám sát mạng là một phần của quản lý mạng. Giám sát an ninh mạng sẽ giám sát tất cả các thành phần có trong hệ thống mạng như: các máy trạm, máy chủ, cơ sở dữ liệu, ứng dụng và các thiết bị mạng.

2.Những thành phần trong hệ thống mạng.

Trước hết, để hiểu giám sát mạng hoạt động như nào và để làm gì trong hệ thống mạng thì chúng ta phải hiểu được rằng trong hệ thống mạng bao gồm những gì, cùng với đó là đề cấp đến các thành phần của một hệ thống mạng. Để có một hệ thống mạng hoạt động tốt thì phải có rất nhiều yếu tố,các thành phần hoạt động trên các nền tảng và môi trường khác nhau.
Hệ thống mạng bao gồm các thành phần sau:
  • Mô hình hệ thống mạng sẽ bao gồm các thiết bị:
  • Các máy trạm.
  • Các máy chủ.
  • Các thiết bị hạ tầng mạng: Router, Switch, Hub…
  • Các thiết bị hệ thống phát hiện và chống xâm nhập trái phép: IDS/IPS, SNnort, FireWall…
  • Các ứng dụng chạy trên máy chủ và máy trạm.
  • Log hệ thống: Log hệ thống là một thành phần quan trọng của hệ thống mạng. Log lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống. Các Log chính trong hệ thống bao gồm:
  • Log Access: Là log ghi lại toàn bộ thông tin truy cập người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
  • Log Event: Là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. log ứng dụng, log của hệ điều hành.
  • Log Device: Là log ghi lại trình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng. Ví dụ: Máy trạm, máy chủ, router, switch, firewall…
Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lương truy cập cao thì công việc phân tích Log thực sự là một điều vô cùng khó khăn.

3.Các bước thực hiện của hệ thống NSM.

Thu thập dữ liệu (Collection)

Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình trạng hoạt động của các thiết bị trong hệ thống mạng. Tuy nhiên, trong những hệ thống mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một địa điểm mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau. Các thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác nhau. Mô hình Log tập trung được đưa ra để giải quyết vấn đề này. Cụ thể, là tất cả Log sẽ được chuyển về một trung tâm để phân tích và xử lý.
Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác nhau. Như log của các thiết bị mạng như: Router, Swich. Log của các thiết bị phát hiện xâm nhập: IDS, IPS, Snort … Log của các Web Server, Application Server, Log Event, Log Registry của các Server Windows, Unix/Linux.

Cách thức thu thập dữ liệu trong NSM.

  • Phương pháp đẩy (The Push Method): Các sự kiện từ các thiết bị, Các máy trạm, Server sẽ được tự động chuyển về các Collector theo thời gian thực hoặc sau mỗi khoảng thời gian phụ thuộc vào việc cấu hình trên các thiết bị tương ứng. Các Collector của Log Server sẽ thực hiện việc nghe và nhận các sự kiện khi chúng xảy ra. Ví dụ như: NetFlow, Syslog-ng Message(Syslog-ng gồm 2 thành phần là Syslog-Agent và Syslog-Server), Access-list (ACL) logs …
Phương pháp đẩy (The Push Method).
  • Phương pháp kéo (The Pull Method): Các Collector thu tập các sự kiện được phát sinh và lưu trữ trên chính các thiết bị và sẽ được lấy về bởi các bộ Collector. Hai giao thức phổ biến để thu thập được các sự kiện là Security Device Event Exchange (SDEE – Gồm các thiết bị nằm trong hệ thống các thiết bị phát hiện xâm nhập được phát triển bởi ICSA) và SNMP (Simple Network Management Protocol – Giao thức hỗ trợ việc quản lý các thiết bị từ xa).

Phân tích dữ liệu

Khi đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện những điều bất thường, những mối đe dọa của hệ thống. Dựa trên những thông tin về lưu lượng truy cập, trạng thái truy cập, định dạng request… Ví dụ như lưu lượng truy cập bỗng dưng tăng vọt tại một thời điểm.

Hình 2.2: Dữ liệu tại một thời điểm tăng vọt.

Cảnh báo

Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được việc tiếp theo là thực hiện việc đánh giá, đưa thông tin cảnh báo tới người quản trị và thực hiện những công tác nhằm chống lại những mỗi đe dọa, khắc phục các sự cố có thể sảy ra.
Cảnh báo có thể thông qua email, SMS, hoặc thực thi các mã script nhằm hạn chế hậu quả của sự cố. Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, sms cho người quản trị và cũng có thể chạy script để thêm một địa chỉ IP có biểu hiện tấn công và danh sách đen của Firewall. Việc này đòi hỏi người lập trình phải có hiểu biết sâu và kinh nghiệm về hệ thống.

4.Các phương thức, giao thức hỗ trợ cho việc giám sát mạng.

Phương thức giám sát mạng Poll và phương thức Alert. Hai phương thức này là hai phương cơ bản của kỹ thuật giám sát hệ thống, nhiều phần mềm và giao thức được xây dựng trên hai phương thức này, trong đó có SNMP (Simple Network Management Protocol). Việc hiểu rõ hoạt động của Poll và Alert sẽ giúp chúng ta dễ dàng tìm ra nguyên tắc hoạt động của các giao thức hay phần mềm giám sát khác.

Phương thức Poll

Cơ chế hoạt động: Trung tâm giám sát (manager) sẽ thường  xuyên đưa ra việc hỏi thông tin của thiết bị cần giám sát (device). Nếu manager không hỏi thì device không trả lời, nếu manager hỏi thì device phải trả lời. Bằng việc hỏi thông tin thường xuyên, manager sẽ luôn cập nhật được thông tin mới nhất từ device.

Phương thức Alert

Cơ chế hoạt động: Mỗi lần device diễn ra một sự kiện (event) nào đó thì device sẽ tự động gửi thông bao cho manager. Manger sẽ không hỏi thông tin từ device
Device chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thông tin thường xuyên thay đổi, device sẽ không gửi Alert nếu không có sự kiện gì xảy ra. Ví dụ như khi port có trạng thái down/up thì device sẽ gửi cảnh báo, còn tổng số lưu lượng truyền qua port đó sẽ không được device gửi đi vì đó là thông tin thường xuyên thay đổi. Muốn lấy những thông tin thường xuyên thay đổi thì manager phải hỏi các device như phương thức Poll nêu trên.

Giao thức SNMP

SNMP (Simple Network Management Protocol) là giao thức quản lý mạng đơn giản. Là một tập hợp các giao thức không chỉ cho phép kiểm tra các thiết bị mạng như router, switch hay server có đang vận hành hay không mà còn hỗ trợ vận hành các thiết bị một cách tối ưu, ngoài ra SNMP còn cho phép quản lý các thiết bị mạng từ xa.

Trong một hệ thống mạng sử dụng SNMP bao gồm ba thành phần chính:

Manager: Là một máy tính chạy chương trình quản lý mạng. Manager còn được gọi là một NMS (Network Management Station). Nhiệm vụ của NMS là truy vấn các agent và xử lý thông tin nhận được từ agent. Manager là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng, có khả năng thăm dò và thu thập các cảnh báo của Agent trong mạng. Các cảnh bảo của Agent là cách mà Agent báo với NMS khi có sự cố xảy ra. Cảnh bảo của Agent được gửi một cách không đồng bộ, nhằm trả lời truy vấn của NMS, dưa trên nền các thông tin trả lời của Agent để có các phương án giúp mạng hoạt động hiệu quả hơn.
Agent: Là một chương trình chạy trên thiết bị mạng cần được quản lý. Agent có thể là một chương trình riêng biệt (ví dụ như Daemon trên Unix) hay được tích hợp vào hệ điều hành hoặc như IOS (Internetwork Operation System) của Cisco. Nhiệm vụ của agent là thông tin cho manager băng cách lưu trữ các hoạt động khác nhau trên các thiết bị.
MIB (Manager Information Base): Là một cơ sở quản lý thông tin, được sử dụng để quản lý các thực thể trong một mang lưới thông tin liên lạc. Với MIB thì không có sự hạn chế nào khi NMS gửi một truy vấn đồng thời Agent gửi một cảnh báo. MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà Agent lưu trữ được. Bất kỳ thông tin nào mà NMS có thể truy cập được đều có định nghĩa trong MIB. Một Agent có thể có nhiều MIB nhưng tất cả các Agent đều có một loại MIB gọi là MIB-II được định nghĩa trong RFC 1213. Mục đích chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP.

Một số kiểu MIB giúp người quản trị quản lý các mục đích khác nhau:

  • Frame Relay DTE Interface Type MIB (RFC 2115)
  • RADIUS Authentication Server (RFC 2619)
  • Mail Monitoring MIB (RFC 2249)
  • DNS Server MIB (RFC 1611)
  • Management Information Base for the Tranmission Control Protocol (TCP) (RFC 4022)
  • Management Information Base for the User Datagram Protocol (UDP)  (RFC 4113)
SNMP sử dụng UDP (User Datagram Protocol) làm giao thức truyền tải thông tin giữa manager và các agent. Việc sử dụng UDP, thay vì TCP, bởi vì UDP là phương thức truyền mà trong đó hai đầu thông tin không cần thieeuts lập kết nối trước khi dữ liệu được trao đổi, thuộc tính này phù hợp trong điều kiện mạng gặp trục trặc, hư hỏng… cần ưu tiên về tốc độ.
SNMP có các phương thức quản lý nhất định và các phương thức này được định dạng bởi các gói tin PDU (Protocol Data Unit). Các manager và agent sử dụng PDU để trao đổi với nhau.
Nhìn chung, SNMP dùng để quản lý mạng, nó được thiết kế để chạy trên nền TCP/IP và quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng không nhất thiết phải là máy tình mà có thể sử dụng các thiết bị khác như router, switch, firewall, adsl gate way, và một số phần mềm cho phép quản trị bằng SNMP.
SMNP là giao thức đơn giản, do nó được thiết kế đơn giản trong cấu trúc bản tin, thủ tục hoạt động và còn đơn giản trong bảo mật. Sử dụng phần mềm SNMP, người quản trị mạng có thể quản lý, giám sát tập trung từ xa hệ thống mạng của mình.

Những loại mạng mà giám sát mạng có thể theo dõi.

Hệ thống giám sát mạng có thể theo dõi các mạng có độ lớn to nhỏ khác nhau. Một số loại mạng mà người quản trị có thể theo dõi qua phần mềm giám sát mạng như là:
  • Wireless or wired
  • Lan
  • VPN
  • WAN
Hiện nay, việc liên lạc trao đổi luôn đòi hỏi các chức năng mới để sử dụng  cho nội bộ hoặc bên ngoài. Hiệu suất của băng thông ảnh hưởng rất lớn đến các công nghệ mới như: Thoại qua IP (Voice over IP – VoIP), Internet Protocol TV (IPTV) và video theo yêu cầu (VOD). Vì vậy, việc giám sát cho phép các nhà quản lý phân bố nguồn lực để duy trì tính toàn vẹn và ổn định của hệ thống.