+ Auto Discovery Ý tưởng đằng sau khái niệm này là chúng ta chỉ cần cài đặt module quản trị rồi ra lệnh cho nó, nó sẽ tự động gửi các truy vấn và các agent đến các thiết bị trong mạng rồ
Trang 1Chương 5 Quản trị mạng và các hệ thống quản trị
based polling Với kỹ thuật này, khi một thiết bị hỏng, agent sẽ cố gắng gửi thông báo (trap) về module quản trị, module này sẽ thực hiện truy vấn đến thiết bị đó để xác định chi tiết của vấn đề Đây là một hướng tiếp cận tốt nhằm giảm thiểu lưu lượng thông tin quản lý
+ Auto Discovery
Ý tưởng đằng sau khái niệm này là chúng ta chỉ cần cài đặt module quản trị rồi ra lệnh cho nó, nó sẽ tự động gửi các truy vấn (và các agent) đến các thiết bị trong mạng rồi tự động xây dựng một bản đồ hay một cơ sở dữ liệu về hệ thống dựa trên các thông tin trả lời Có nhiều cơ chế để thực hiện việc này, tuỳ thuộc vào các protocol quản trị, tuy nhiên đến nay chức năng trong các hệ quản trị chưa hoạt động như ý muốn do tính phức tạp của hệ thống
+ Device Configuration
Đây là một chức năng cần thiết để có thể cấu hình các thiết bị trong hệ thống
từ trình giao diện điều khiển, không cần phải đi đến tận nơi đặt thiết bị, điều này rất quan trọng, hỗ trợ rất nhiều cho người quản trị với một mạng lớn, khoảng cách xa Vấn đề là phải có các agent và cơ chế cấu hình thích hợp cho từng thiết bị
+ Graphical Mapping
Các hệ thống quản trị mạng ngày nay cần phải có một hệ giao diện đồ hoạ tốt Nó giúp cho việc theo dõi hệ thống mạng dễ dàng hơn, nhất là trong các hệ thống mạng phức tạp ngày nay
+ Trapping Events
Như đã được đề cập trên đây, “trap” là một phương thức quan trọng để agent báo cho module quản trị biết có sự cố bất thường xảy ra Trap không phải là một bản báo cáo, nó chỉ chứa đủ thông tin để module quản trị biết chuyện gì đã xảy ra
Ví dụ, khi một interface bị “down” hoặc “up” lại, hay một ai đó thử xâm nhập trái phép vào thiết bị,
+ Event Logging
Cho phép thu thập, lưu trữ lại các kết quả truy vấn, báo cáo từ các agent để
Trang 2Chương 5 Quản trị mạng và các hệ thống quản trị
sự kiện, nếu không lọc lại sẽ dẫn đến tình trạng tràn vùng lưu trữ trong một thời gian ngắn Hệ quản trị nên có cơ chế lưu trữ xoay vòng
+ Protocol Analysis
Có thể là công cụ mạnh mẽ nhất trong một hệ quản trị Cho phép bắt và phân tích đến mức chi tiết từng packet lưu thông trên mạng sẽ giúp người quản trị xác định được sự cố mạng một cách nhanh chóng (nếu được cấu hình đúng)
5.2.3 Hệ thống quản trị mạng trong thực tế
Các hệ thống quản trị mạng luôn được xây dựng dựa trên các protocol quản trị
cụ thể Hầu hết các hệ thống sử dụng các protocol mở, tuy nhiên vẫn có một số hệ thống sử dụng protocol đặc biệt của nhà cung cấp Các hệ thống quản trị mạng hiện nay thường thiếu các chức năng cần thiết để quản lý hiệu quả một hệ thống mạng,
do tính phức tạp của các hệ thống mạng cũng như do các protocol sử dụng thiếu các
hỗ trợ cần thiết
Hiện nay có rất nhiều gói phần mềm quản trị hệ thống mạng đến từ nhiều nhà cung cấp khác nhau, một số chỉ cung cấp các chức năng đơn giản để quản lý một mạng nhỏ, trong khi một số khác thì phức tạp hơn.Việc lựa chọn các hệ thống quản trị phụ thuộc các tiêu chí như môi trường mạng(độ lớn, bản chất hệ thống) , các yêu cầu quản trị, chi phí, các hệ điều hành,… nhưng thường phải dùng phối hợp nhiều gói phần mềm khác nhau để đáp ứng nhu cầu quản trị Các hệ thống quản trị mạng hiện nay chủ yếu tập trung vào lĩnh vực bảo mật Trong lĩnh vực bảo mật mạng, bên cạnh việc sử dụng các hệ thống bảo vệ truyền thống như firewall, proxy,… ngày nay người ta thường sử dụng thêm các hệ thống thông minh hơn, đó là các hệ thống
Trang 3Chương 5 Quản trị mạng và các hệ thống quản trị
5.3 Hệ thống ntrusion Detection System (IDS)
5.3.1 Khái niệm
IDS là một hệ thống phòng thủ, có nhiệm vụ phát hiện các hoạt động trái phép,
có khả năng gây nguy hiểm cho hệ thống mạng được bảo vệ và phát sinh các phản ứng thích hợp
5.3.2 Các hướng tiếp cận
Một hệ thống IDS cần phải có khả năng phân biệt giữa các hoạt động bình thường và bất bình thường của người dùng để phát hiện các nguy cơ tiềm ẩn Có một số hướng tiếp cận truyển thống để giải quyết vấn đề này là anomal detection và signature detection
1 Anomal detection
IDS dạng này xây dựng các tập dữ liệu về hoạt động bình thường của người dùng và hệ thống, sau đó sử dụng các tập dữ liệu này để so sánh với các hoạt động hiện tại nhằm phát hiện ra các hoạt động bất bình thường Khi có một tập dữ liệu các hoạt động bình thường thì tất cả các hành động trong mạng không có trong tập
dữ liệu này đều được xem là bất bình thường
Một trong những ưu điểm lớn nhất của hướng tiếp cận này là có thể phát hiện các hành động phạm pháp mới chưa từng được biết đến, tuy nhiên nhược điểm của
nó là tỷ lệ phát hiện sai cũng lớn nếu tập dữ liệu không chứa đầy đủ các hoạt động bình thường
2 Signature detection
IDS dạng này sử dụng tập dữ liệu về hoạt động phạm pháp đã biết (ví dụ như các mẫu tấn công, các chuỗi ký tự nguy hiểm,…) để phát hiện các hoạt động bất bình thường
Hướng tiếp cận này có độ chính xác cao, tỷ lệ phát hiện sai thấp, các thuật toán xử lý đơn giản, dễ xây dựng các tập dữ liệu, tuy nhiên khuyết điểm lớn nhất là
Trang 4Chương 5 Quản trị mạng và các hệ thống quản trị
Các hướng tiếp cận trên được sử dụng trong hầu hết các hệ thống IDS hiện nay, tuy nhiên các hướng tiếp cận trên có giới hạn rất lớn do phụ thuộc vào kiến thức hiện có về hệ thống hoặc lĩnh vực bảo mật của các nhà xây dựng ứng dụng, do đó khó thích nghi với các hệ thống mạng mới, phức tạp, các kiểu tấn công mới,… Hiện nay, trên thế giới xuất hiện các hướng tiếp cận mới nhằm đưa khả năng thông minh nhân tạo vào các hệ thống IDS, nâng cao tính chính xác, tuỳ biến của các hệ thống này Công nghệ Data mining (khai thác dữ liệu) là công nghệ cơ bản trong các hướng tiếp cận này Công nghệ khai thác dữ liệu được sử dụng để phân tích, trích ra các thông tin chưa được biết đến nhưng rất hữu dụng từ một tập rất lớn các gói dữ liệu, các thông tin theo dõi của hệ thống (log file), để huấn luyện hệ thống hay tạo ra các tập dữ liệu sử dụng trong các hướng tiếp cận trên Đã có nhiều
kỹ thuật khai thác dữ liệu được nghiên cứu, nhưng chưa thể áp dụng trong thực tế
do một nguyên nhân quan trong là trong thực tế, các hệ thống mạng thiếu các thiết
bị có năng lực xử lý lớn để xử lý một khối lượng khổng lồ dữ liệu thông tin mạng Các thông tin chi tiết về các hệ thống IDS và tiếp cận Khai thác dữ liệu trong các
hệ thống IDS, xin xem thêm trong tài liệu tham khảo
5.4 Giới thiệu một số công cụ hỗ trợ quản trị
mạng
Như đã trình bày ở trên, để có một hệ thống quản trị tốt hiện nay, cần sử dụng kết hợp nhiều loại công cụ khác nhau Dưới đây xin giới thiệu một số công cụ cần thiết:
Trang 5Chương 5 Quản trị mạng và các hệ thống quản trị
thông trong hệ thống mạng, từ đó có thể cung cấp các thông tin hữu ích trong việc quản trị mạng
Hình 5-2 Màn hình giao diện Ethereal.
đó tương thích với nhiều phần mềm khác
+ Bắt packet trên nhiều chuẩn mạng khác nhau như Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over ATM, và loopback interfaces
+ Hiện có khả năng phân tích packet theo khoảng 530 protocol mạng thông dụng
+ Các thông tin của các packet được hiển thị theo nhiều dạng khác nhau trên giao diện đồ họa, sử dụng các bộ lọc hiển thị (display filter) để lựa chọn các packet cần theo dõi, tô màu các thông tin hữu ích
Trang 6Chương 5 Quản trị mạng và các hệ thống quản trị
Ethereal hiện nay chỉ có thể bắt các packet lưu thông trong một segment mạng (giữa các máy tính có cùng địa chỉ mạng con với máy tính chạy Ethereal), không thể sử dụng phân tích, cung cấp thông tin trong các mạng lớn được
Ghi chú: Thông tin chi tiết về Ethereal, xin tham khảo tại Website :
http://www.ethereal.com và tài liệu hướng dẫn sử dụng Ethereal [25]
5.4.2 Snort
Là một hệ thống IDS mã nguồn mở tốt nhất hiện nay, có khả năng thực hiện phân tích và ghi nhận thông tin packet lưu thông trong hệ thống mạng theo thời gian thực Nó có thể thực hiện phân tích theo protocol và tìm kiếm nội dung để phát hiện nhiều loại tấn công khác nhau như : làm tràn bộ đệm (buffer overflow), quét cổng (scan port), khai thác điểm yếu hệ điều hành, tấn công từ chối dịch vụ và rất nhiều dạng tấn công khác
Snort sử dụng một ngôn ngữ đặc tả luật mềm dẻo để mô tả các lưu thông mạng cần theo dõi Snort có cơ chế báo động (alerting) theo thời gian thực khi phát hiện
có vấn đề khả nghi, kết hợp được với các cơ thế thông báo khác của hệ điều hành Các thông tin thông báo, báo động được lưu theo nhiều định dạng khác nhau, trong nhiều dạng cơ sở dữ liệu khác nhau như SQL Server, Oracle, file text, Các dữ liệu này có thể được dùng trong các bước phân tích, khai thác dữ liệu sau này
Ghi chú: Thông tin chi tiết về Snort, xin tham khảo tài liệu [37] và website :
Trang 7Chương 6 Hệ thống quản trị Grid NetManager
Chương 6 Hệ thống quản trị Grid
NetManager
6.1 Giới thiệu ý tưởng
Như đã biết ở phần trên, ngày nay bộ phận quản trị mạng phải phân tích, xử lý một khối lượng thông tin khổng lồ nhằm đưa ra các giải pháp, phản ứng theo thời gian thực để đảm bảo cho các hệ thống mạng hoạt động thông suốt, tin cậy, an toàn
Để có thể thực hiện tốt công việc của mình, bộ phận quản trị mạng cần phải có những công cụ phân tích, cung cấp thông tin hoạt động của hệ thống mạng mạnh
mẽ Trên thế giới cũng đã có nhiều hướng tiếp cận, đã có các công cụ hỗ trợ khá mạnh Tuy nhiên, chúng vẫn còn một số giới hạn như về giá cả, năng lực xử lý, chưa tích hợp đầy đủ về các chức năng,…
Sau một thời gian tìm hiểu và nghiên cứu, công nghệ Grid Computing được chọn ứng dụng vào bài toán phân tích, cung cấp thông tin hỗ trợ quản trị mạng với
hy vọng tận dụng được năng lực xử lý nhàn rỗi hiện có trong các hệ thống mạng để giải quyết bài toán hiệu quả hơn, trong giới hạn chi phí có thể chấp nhận được Mục tiêu lâu dài là xây dựng một hệ thống nhằm hỗ trợ bộ phận quản trị mạng trong các lĩnh vực: quản lý hiệu năng, quản lý lỗi và bảo mật Đưa các công nghệ khai thác dữ liệu (data mining) và trí tuệ nhân tạo vào hệ thống để phân tích các dữ liệu thu được, tìm ra các quy luật sử dụng của người dùng, các quy luật tấn công, … nhằm huấn luyện hệ thống có thể tự động nhận dạng các mối nguy hiểm và đưa ra các phản ứng thích hợp, hiệu quả Hệ thống là cũng một sự tích hợp của nhiều gói phần mềm hiện có trong một thể thống nhất nhằm đơn giản hoá công việc cũng như thỏa mãn các nhu cầu quản trị Ứng dụng kế thừa ý tưởng của các hệ thống IDS nhưng
mở rộng ra các lĩnh vực khác ngoài bảo mật Hệ thống có thể theo dõi, xử lý thông tin trên toàn bộ hệ thống mạng chứ không phải chỉ trên một lối ra vào hệ thống mạng như các hệ thống IDS hiện nay
Trang 8Chương 6 Hệ thống quản trị Grid NetManager
6.2 Yêu cầu chức năng của một hệ thống quản trị mạng
Hệ thống quản trị mạng gồm các chức năng chính:
+ Bắt và lưu trữ thông tin về các packet lưu thông trên mạng trong các cơ sở
dữ liệu phục vụ cho việc phân tích, xử lý và khai thác dữ liệu Cho phép lọc các dữ liệu cần thiết theo yêu cầu nhằm làm giảm kích thuớc lưu trữ
+ Cho phép xử lý, lưu trữ, quản lý dữ liệu phân tán
+ Cung cấp thông tin về nhiều khía cạnh khác nhau của hệ thống mạng dựa trên các câu truy vấn
+ Tính toán, cung cấp các chỉ số thống kê về hệ thống mạng
+ Tự động tổng hợp các thông tin, vẽ sơ đồ thời gian thực các lưu thông trên mạng, phát hiện các thay đổi trong đồ hình mạng
+ Cho phép quản lý, điều khiển các thiết bị trong hệ thống mạng
+ Thực hiện “khai thác dữ liệu”, tìm ra các luật theo yêu cầu người quản trị, cho phép nhập, quản lý các đặc tả về luật và các phản ứng tương ứng để theo dõi, giám sát toàn bộ hệ thống về nhiều lĩnh vực
+ Dựa trên các luật được mô tả, thực hiện theo dõi toàn bộ hệ thống và phát sinh phản ứng thích hợp khi một hiện tượng bất thường xảy ra
Trang 9Chương 6 Hệ thống quản trị Grid NetManager
6.3 Mô hình thành phần và hoạt động của hệ
thống
6.3.1 Mô hình thành phần
Hình 6-1 Mô hình thành phần ứng dụng Grid NetManager.
Trang 10Chương 6 Hệ thống quản trị Grid NetManager
Giải thích
1 Module Presentation Là giao diện đồ họa, có nhiệm vụ nhận các lệnh
từ nhà quản trị mạng, cấu hình và điều khiển các module khác hoạt động, thu nhận, tổng hợp các thông tin từ các module và kết xuất kết quả cho nhà quản trị
2 Module Sensor Bắt, lọc, lưu trữ các packet vào cơ sở dữ liệu
3 Module
AnalyzerAndMiner Thực hiện phân tích các dữ liệu từ cơ sở dữ liệu để cung cấp thông tin cần thiết cho nhà quản trị;
khai thác dữ liệu, phát sinh các luật
4 Module RuleManager Cung cấp các chức năng quản lý, lưu trữ, truy vấn
tập luật
5 Module Monitoring Thực hiện lấy các luật và theo dõi, phân tính các
packet theo thời gian thực để phát hiện các hiện tượng bất thường, từ đó dựa vào các đặc tả phản ứng mà phát sinh các hành động thích hợp, có thể
là thông báo cho nhà quản trị, lưu xuống file log hay phát sinh các lệnh điều khiển thích hợp đến các module DeviceAgent
6 Module DeviceAgent Nhận các lệnh điều khiển và để điều khiển và cấu
hình các thiết bị nhằm thực hiện điều khiển hệ thống mạng có các hành động phù hợp để đáp ứng các sự kiện
7 Module GridManager Thực hiện tất cả chức năng để quản lý, điều khiển
Grid
8 PacketDatabase Cơ sở dữ liệu thông tin các packet Có thể lưu
dưới dạng packet thô, cơ sở dữ liệu quan hệ, các cấu trúc dữ liệu tiền xử lý cho các chức năng của
hệ thống
9 RuleDatabase Cơ sở dữ liệu các luật
10 Log files Các file ghi vết các sự kiện xảy ra trong hệ thống
Trang 11Chương 6 Hệ thống quản trị Grid NetManager
nguyên Các dữ liệu cũng được lưu trữ phân tán trong Grid Việc cấu hình vị trí các module, dữ liệu có thể thực hiện tự động hoặc bằng tay theo ý của nhà quản trị
6.3.2 Cách thức hoạt động
Một hệ thống mạng máy tính lớn thường được chia thành nhiều mạng con (các vùng broadcast domain, trong phạm vi luận văn này được gọi là các LAN Segment) Trên mỗi LAN Segment, có thể đặt một hay nhiều module Sensor trên các máy tính khác nhau nhằm bắt các packet đang lưu thông trong LAN Segment theo các tiêu chí khác nhau và lưu trữ các packet này xuống các cơ sở dữ liệu (PacketDatabases), các cơ sở dữ liệu này có thể được lưu trữ cục bộ hay phân tán trên các máy tính khác dựa trên khả năng lưu trữ hiện có, mỗi cơ sở dữ liệu chỉ chứa thông tin về các packet lưu thông trong một LAN segment Các tiêu chí để bắt các packet là các câu
mô tả về thông tin của các packet bao gồm (loại packet, các trường và các giá trị tương ứng kết hợp với các phép toán so sánh >,<,=,…, các phép toán logic AND,
OR, NOT,…)
Các cơ sở dữ liệu được sử dụng bởi module AnalyzerAndMiner khi có yêu cầu
từ module Presentation Các module AnalyzerAndMiner có thể chạy song song trên nhiều máy tính khác nhau, phân tích dữ liệu trên các cơ sở dữ liệu theo yêu cầu nhằm cung cấp thông tin đa dạng; khai thác dữ liệu, phát sinh các luật; và gửi trả kết quả về cho module Presentation Quá trình phân tích, khai thác dữ liệu có thể phát sinh các dữ liệu trung gian, chúng có thể được lưu trữ phân tán trong các file dữ liệu PreprocessingData Các luật có thể là các quy luật, dấu hiệu tấn công, các hoạt động của người dùng, các định mức hoạt động, các lỗi hệ thống,… Mỗi luật có các phản ứng đi kèm như thông báo, ghi nhận, báo động, ngắt nguồn gây lỗi, ngăn chặn hoạt động, cấu hình lại thiết bị mạng, … được quy định bởi nhà quản trị Các luật được lưu trữ dưới dạng các đặc tả, lưu trữ trong các cơ sở dữ liệu luật quản lý bởi module RuleManager Hệ thống có các module Monitoring cũng chạy song song trên nhiều máy khác nhau, sử dụng các luật và các dữ liệu trong các cơ sở dữ liệu để phát hiện
