tìm hiểu và triển khai các công cụ quản trị mạng (sử dụng tool performance trong win2k3 và solarwind )

1.Bảo mật trên Win server 2k32.Quản trị bảo mật trên công cụ Solarwind a.SNMP Brute Force Attack 3.Discover và import thiết bị quản trị 4.Xem và thiết lập các thông số baseline ban đầu 5

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

ĐỒ ÁN MÔN QUẢN TRỊ MẠNG

TÌM HIỂU VÀ TRIỂN KHAI CÁC CÔNG CỤ QUẢN

TRỊ MẠNG (Sử dụng Tool Performance trong Win2k3 và Solarwind)

Nhóm sinh viên thực hiện :

1 Trương Đình Hoàng

2 Nguyễn Duy Cường

3 Nguyễn Thị Thanh Minh

4 Nguyễn Thị Thanh Thảo

5 Vũ Thanh Thảo

6 Vũ Thị Hoàng Yến

BẢNG PHÂN CÔNG

1 Trương Đình Hoàng : Quản trị Accouting

2 Nguyễn Duy Cường : Quản trị Security

3 Nguyễn Thị Thanh Minh : Quản trị Performance trong Win2k3

4 Nguyễn Thị Thanh Thảo : Quản trị Fault

5 Vũ Thanh Thảo : Quản trị Performance trong Solarwind

6 Vũ Thị Hoàng Yến : Quản trị Configuration

Quản trị Performance trong Solarwind

I.Các thông số MIB liên quan

IV.Quản trị lỗi với Network Perfomance Monitor trong Solarwind

1.Các thông số quan tâm đến quản trị lỗi

1.Bảo mật trên Win server 2k3

2.Quản trị bảo mật trên công cụ Solarwind

a.SNMP Brute Force Attack

3.Discover và import thiết bị quản trị

4.Xem và thiết lập các thông số baseline ban đầu

5.Thiết lập Event Log

6.Theo dõi

III.Case study

IV.Lập phiếu thay đổi cấu hình và phân tích các ảnh hưởng

liên quan đến bảo mật

Tổng kết, đánh giá chung về hai công cụ quản trị

Tài liệu tham khảo

QUẢN TRỊ PERFORMANCE TRONG WIN 2K3

I Mục đích :

 Tìm hiểu và khai thác các chức năng có trong tool performance của win2k3

 Xây dựng case study về quản trị performance dùng tool performace trong win2k3

 Nhận xét đánh giá công cụ performance trong 2k3

II Công cụ quản trị Performance trên Window :

Là một công cụ được tích hợp sẵn trên các hệ điều hành window (từ win 2000) cho phépchúng ta quản lý trên máy local hoặc quản lý các máy ở xa

Để sử dụng chương trình này, ta vào : Start  Control Panel  Administrative Tools Performance

Chương trình gồm các nhóm chức năng chính:

* Giám sát hoạt động hệ thống System Monitor:

Từ đây ta có thể giám soát hoạt động của Memory, physicaldisk, processor vv

* Performace logs and alerts:

Gồm Counter log ,Trace log và Alert log :ta có thể thu thập thông tin một cách tựđộng từ một máy tính cục bộ hoặc một máy tính điều khiển từ xa.

Ta có thể thu thập thông tin dưới dạng Binary hoặc cơ sở dữ liệu SQL (file text)

Ở đây ta khảo sát 2 thông số là:

- Received Echo Reply/sec: (icmp.icmpInEchoReps) Số gói ICMP Echo Reply nhận

được trong 1s

- Received Echo/sec: (icmp.icmpInEchos ) số gói ICMP Echo nhận được trong 1s.

Trong file bắt gói ta thu được các gói ICMP Request và ICMP Reply

2 Counter logs:

Polling (sử dụng counter logs) là một cơ chế thu thập thông tin mang tính chủđộng từ nhà quản trị Khi người quản trị quan tâm đến một giá trị tham biến nào đó thìgửi yêu cầu lấy các thông tin đó từ máy client

Mô hình mạng như sau:

Tiến hành bằng công cụ quản trị performance của Windows, sau đó bắt gói và phân tích Các bước tiến hành: Control Panel → Administrative tools → Performance

Trong phần polling ta chọn Counter Logs để thu thập thông tin về Interface

Click phải vào Counter Logs → Chọn New Log Settings

Thu thập thông tin về Network Interface trên máy Agent (192.168.188.4), các thông sốquan tâm là: Byte Received/sec, Bytes Sent/sec, Bytes Total/sec, Current Bandwith,Packets Outbound Discarded, Packets Received Errors.

Sau khi add các đối tượng ta định thời gian polling là 10s gửi thông tin về 1 lần :

Định dạng file log là Text File (Tab delimited) :

Thiết lập thời gian bắt đầu thu thập thông tin:

Sau khi add xong các counter, chạy để bắt đầu việc thu thập thông tin Định kỳ 10 giâymáy agent sẽ gởi dữ liệu về máy quản trị.

Ngoài ra trên máy agent cũng có thể sử dụng System Monitor để xem xét giá trị củanhững counter đó thay đổi như thế nào

Nhận xét:

- Các thông số Bytes Received/ sec, Bytes Send/ sec, Bytes Total/ sec cho phépđánh giá hiệu quả họat động của Interface Dữ liệu từ máy Agent gởi định kỳ vềgiúp người quản trị có thể xem xét để đánh giá hoạt động tại từng thời điểm

- Nếu như trong một khoảng thời gian nào đó, những giá trị thu về vượt quá nhữnggiá trị cho phép(tổng số byte nhận được tăng lên đột ngột so với bình thường) thì

có thể xảy ra lỗi hoặc bị tấn công

- Ngoài ra việc lưu lượng tăng lên cũng có thể do nhu cầu sử dụng tăng lên, việc thuthập thông tin giúp người quản trị lập kế hoạch cho sự phát triển của hệ thốngmạng

- Các thông số Packets OutBuond Discard, Packets Received Errors cho phép đánhgiá độ tin cậy

Dùng wireshark để tiến hành bắt gói và phân tích gói tin, ta thấy:

Để thực hiện polling , máy NMS gửi gói DCERPC (Remote Procedure Call – lời gọi hàm

xa bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tán hoạt động được trong môi trường Windows) đến Agent NMS đang mở port 1041 gửi request đến máy Agent đang lắng nghe ở port 445

Cấu trúc của gói DCERPC Request có dạng như sau :

Máy Agent sau khi nhận được yêu cầu từ máy NMS thì gửi lại Response cho Agent với source port 445, destination port 1041:

Cấu trúc của gói DCERPC Respone :

Máy NMS nhận được Response của máy Agent thì gửi lại ACK cho máy Agent để xác định rằng đã nhận được thông tin phúc đáp

Nhận xét:

Vậy quá trình thu thập dữ liệu bằng cơ chế polling trong Windows có thể được mô tả nhưsau: Máy NMS gửi gói DCERPC đến máy Agent Máy Agent nhận được và trả lời bằnggói DCERPC

NMS 192.168.188.3

Agent 192.168.188.4

19

DCE RPC Request

DCE RPC Respone

3 Các dạng biểu diễn kết quả giám sát : biểu đồ, khối, report

Để chọn loại kết xuất, ta vào System Monitor  Propertites  General

Dạng biều đồ :

Dạng khối :

Dạng report :

Ý nghĩa của từng loại kết xuất :

 Dạng report: thể hiện những thông số quan tâm dưới dạng những con số cụ thể,giúp cho người quản trị có thể xác định chính xác sự chênh lệnh giữa giá trị thuđược tại thời điềm hiện tại với giá trị baseline tương ứng Từ đó đưa ra quyết địnhthay đổi ra sao để phù hợp với hệ thống đang vận hành

 Dạng đồ thị: thể hiện dưới dạng đồ thị Mục đích của loại hiển thị này giúp chongười quản trị có cái nhìn bao quát về một nhóm các đối tượng đang quan tâm,xem xét hệ thống có đang vận hành tốt hay không, có giá trị nào tăng đột biến haykhông,… từ đó có thể đưa ra những biện pháp phòng tránh kịp thời

 Dạng khối: thể hiện dưới dạng khối (histogram) Với việc biểu diễn thông quahình thức này giúp cho người quản trị thấy rõ sự chênh lệch giữa một vài đốitượng quan tâm Từ đó người quản trị xem xét có nên điều chỉnh giá trị nào chophù hợp hay không

4 Alerts:

Sử dụng chức năng Alerts có trong công cụ performance của win2k3 Công cụ này giúp

NMS 192.168.188.3

Agent 192.168.188.4

Ví dụ khi số tiển trình vượt quá 36 tiến trình cho hiện thông báo

Tiến hành tạo mới một Alert như sau:

Thiết lập giá trị vượt ngưỡng

Gửi thông báo về

Theo dõi xem giátrị có vượt ngưỡnghay không?

Chọn đối tượng và counter quan tâm :

Khi số tiến tình vượt quá 36, ta thiết lập cho hệ thống biết thông báo sẽ được gửi về máy NMS (192.168.188.3):

Và khi bên máy Agent có số tiến trình vượt 36, một thông báo sẽ được gửi về cho máy NMS có dạng :

Sự kiện được lưu trữ trong Event Viewer :

5 Trace logs :

Cách tạo một trace log :

Tại cửa sổ Performance logs and alerts, click chuột phải vào Trace logs, chọn new logs setting:

Tại tab General ta chọn đường dẫn lưu file, trạng thái của nhà cung cấp, các sự kiện sẽ

được ghi lại bởi nhà cung cấp hệ thống

Tại tab Log files, ta chọn kiểu file sẽ lưu:

Ta có thể chọn khoảng thời gian theo dõi

Ở tab Advanced chọn kích thước buffer cho dữ liệu file log, số buffer và thời gian định

kỳ chuyển dữ liệu từ buffer vào file trên đĩa cứng, nếu không chọn thời gian này thì khi buffer đầy sẽ được chuyển vào đĩa cứng

Vinagame là một công ty kinh doanh game online tại thị trường Việt Nam Gần đây công

ty tiếp tục phát triển thêm loại hình kinh doanh dịch vụ webgame cho cộng đồng giải trí

ảo (sản phẩm Zing me) Thời gian đầu đưa vào thử nghiệm hệ thống vận hành rất tốt,đảm bảo tốc độ truy xuất của người chơi Nhưng thời gian gần đây, công ty thường xuyênnhận được phản ánh của gamer về tình trạng khó truy cập, hệ thống xử lý chậm trongthao tác mua bán các sản phẩm trong game Vì vậy, nhân viên quản trị mạng trong công

ty tiến hành khảo sát xem đâu là nguyên nhân gây ra tình trạng đó

Các thông số cần quan tâm là : số kết nối truy cập vào server game trong cùng một thờiđiểm, tình trạng CPU (CPU load) và dung lượng bộ nhớ (Available Memory )còn trống.Sau khi tiến hành khảo sát các vấn đề trên, kết quả nhận được như sau :

 Số kết nối truy cập vào server game :

 Biểu đồ CPU load & Available Memory :

Từ hình trên ta thấy CPU luôn trong tình trạng quá tải, bộ nhớ sẵn có để đáp ứng sự vậnhành của hệ thống luôn ở chỉ số rất thấp.

Từ các vấn đề vừa phân tích ở trên, ta nhận thấy rằng nguyên nhân gây ra vấn đề là do sốlượng người chơi truy cập vào server quá đông, server không còn đủ bộ nhớ để đáp ứngnên gây ra tình trạng nghẽn đường truyền Để giải quyết vấn đề này, nhân viên quản trịtrong công ty quyết định nâng cấp phần cứng cho server game, đồng thời trang bị thêm 1server mới để chia tải cho server đang dùng Sau đó tiếp tục theo dõi thêm tình trạng của

hệ thống trong một khoảng thời gian ta thấy tình trạng hoạt động đã đi vào trạng thái ổnđịnh

Mặc dù tình trạng nghẽn server đã được khắc phục, tuy nhiên dự đoán trong thời gian tới

số lượng gamer truy cập vào trò chơi ngày càng đông, đòi hỏi đội ngũ quản trị mạngtrong công ty phải thường xuyên theo dõi tình trạng hoạt động của hệ thống để có nhữngbiện pháp xử lí kịp thời

IV Kết luận :

 Tools Performance trên window dùng để quản lý các thông tin trên máy local vàremote Việc quản lý khá đơn giản bằng giao diện có sẵn thân thiện với ngườidùng Qua giao diện của chương trình người dùng dễ dàng thu thập các thông tincần thiết và tự tạo ra các cảnh báo mà không cần những hiểu biết chuyên sâu củangười quản trị mạng

 Trong Windows, không sử dụng SNMP để thu thập thông tin Việc thu thập thôngtin đều sử dụng giao thức RPC với sự hỗ trợ của TCP Sử dụng gói DCERPC đểthu thập thông tin từ xa Do đó, trong quá trình bắt gói sẽ thấy được các gói TCP

 Để chạy được tool này phải vào bật các dịch vụ trong service cụ thể là các dịch vụsau: Remote Registry, Remote Procedure Call (RPC), Remote Procedure Call(RPC) Location Ngoài ra để thực hiên được chức năng Alert cần phải start dịch

vụ Messenger Nhưng hiện nay, RPC đã không còn an tòan, các hacker đã tấncông mạng thông qua dịch vụ RPC Windows hiện đang cập nhật sửa lại lỗi này.

QUẢN TRỊ PERFORMANCE TRONG

SOLARWIND

I Các thông số Mib liên quan đến quản trị performance:

a) Interfaces (1.3.6.1.2.1.2)

- ifInOctets: số octet nhận được trên một interface.

- ifInUcastPkts: số gói unicast nhận được trên một interface.

- ifInNUcastPkts: số gói không phải là unicast nhận được trên một interface.

- ifOutOctets: số octet gởi ra từ một interface.

- ifOutUcastPkts: số gói unicast gởi ra từ một interface.

- ifOutNUcastPkts: số gói không phải là unicast gởi ra từ một interface.

- ifSpeed: băng thông hiện tại trên interface tính theo đơn vị bit/s.

- ifInErrors: số packet nhận được bị lỗi trên một interface.

- ifInDiscard: số packet nhận được không có lỗi bị loại bỏ.

- ifOutDiscard: số packet bị loại bỏ khi ra ngoài interface.

b) IP (1.3.6.1.2.1.4)

- ipInReceive: tổng số datagram nhận được bao gồm các gói bị lỗi.

- ipReasmReqds: số lượng của các phân mảnh IP nhận mà đang chờ tái hợp.

- ipReasmOKs: số lượng của các gói IP tái hợp thành công.

- ipReasmFails: số lượng các gói không thành công được phát hiện bởi thuật toán

tái hợp của IP

- ipReasmTimeout: thời gian tối đa (tính bằng giây) để chờ nhận các phân mảnh

đang chờ tái hợp

- ipForwDatagram: số datagram được forwarding.

- ipInDiscards: số lượng các gói IP nhận vào bị loại bỏ (tràn bộ đệm).

- ipInDeliver: : số lượng các gói IP nhân vào được chuyển lên các lớp trên.

- ipOutRequests: số lượng các gói IP chuyển ra ngoài theo yêu cầu.

- ipOutDiscards: số lượng các gói IP chuyển ra ngoài bị loại bỏ.

- ipFragOKs: số lượng của các gói IP mà phân mảnh thành công.

- ipFragFails: số lượng của các gói IP mà bị loại bỏ bởi vì chúng không thể bị phân

mảnh

- ipAdEntReasmMaxSize: kích thước lớn nhất của gói IP mà có thể tái hợp lại từ

các phân mảnh của gói IP đến nhận được tại interface này

c) TCP (1.3.6.1.2.1.6)

- tcpMaxConn: số kết nối TCP tối đa.

- tcpActiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp đến trạng thái

SYN-SENT từ trạng thái CLOSE

- tcpPassiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp trực tiếp.

- tcpAttempptFails: số lần thử kết nối bị lỗi.

- tcpEstabResets: số các reset xuất hiện.

- tcpCurrEstab: số kết nối có trạng thái hiện tại là ESTABLISHED hay

CLOSE-WAIT

- tcpInSegs: tổng số segment đã nhận.

- tcpOutSegs: tổng số segment đã gửi.

- tcpRetransSegs: tổng số segment bị truyền lại.

- tcpOutRsts: tổng số segment được gửi.

d) ICMP {1.3.6.1.2.5} : chứa số liệu thống kê đầu vào và đầu ra các gói ICMP giao

thức thông điệp điều khiển Internet Cung cấp các thông điệp điều khiển nội mạng

và thực hiện nhiều vận hành ICMP trong thực thể bị quản lý Gồm 26 đối tượng vôhướng duy trì số liệu thống kê cho nhiều loại bản tin, phục vụ cho việc quản trịperformance ví dụ như:

- icmpInMsgs: tổng số thông điệp ICMP đi vào

- icmpInErrorss: số các thông điệp ICMP đi vào có chứa lỗi

- icmpInDestUnreachs: số thông ICMP không đọc được đích đến

- icmpInTimeExcds: số các thông điệp ICMP vượt quá thời gian

- icmpInParmProbs: số thông điệp ICMP thông số khó hiểu đi vào

- icmpInSrcQuenchs: số thông điệp ICMP Source Quench đi vào

- icmpInRedirects: số thông điệp ICMP Redirect đã nhận

- icmpOutMsgs: tổng số thông điệp ICMP mà entity thử nhận

- icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi

- icmpOutDestUnreachs: số thông điệp ICMP gửi để báo các đích không đọc được

- icmpOutTimeExcds: số thông điệp ICMP gửi để báo vượt quá thời gian

- icmpOutParmProbs: số thông điệp ICMP gửi để báo vấn đề về tham số

- icmpOutSrcQuenchs: số thông điệp ICMP Soure Quench đã gửi

e) UDP {1.3.6.1.2.1.7} cung cấp thông tin liên quan đến hoạt động của UDP, vì UDP

là kết nối vô hướng nên nhóm này nhỏ hơn nhiều so với nhóm TCP Nó khôngphải biên dịch thông tin của những nỗ lực kết nối, thiết lập, tái lập Các thông sốcần quan tâm khi quản trị:

- udpInDatagrams: tổng số gói UDP được phân phát đến các UDP user

- udpNoPorts: tổng số gói UDP đã nhận không có ứng dụng ở port đích

- udpInErrors: tổng số goi UDP đã nhận nhưng nó không thể được phát đi cho các

II Tìm hiểu các nhóm quản trị Mib và các đối tượng liên quan:

Khảo sát thông số Mib: SNMP Tools cung cấp các tiện ích để quản trị CSDL

mib của hệ thống Các thành phần cơ bản SNMP Tools:

a MIBViewer : hỗ trợ tìm kiếm cơ sở dữ liệu MIB Cung cấp khả năng hiển thị

bất kì OID hoặc table trong Mib Database Mib Viewer sẽ download, format,

và hiển thị bất kì một biến SNMP Mib nào Việc đơn giản chỉ cần điền tên biếnMib, tên Mib hoặc một OID

Ví dụ: tham khảo một tham số Mib system có OID như sau:

Kết quả thực hiện:

Kết quả thể hiện một số thông số về hệ thống đang quản trị như tên hệ thống: web,

vị trí: tp hcm, thời gian bắt đầu quản lý: 1 giờ 45 phút 16 giây

b Mib-walk: cung cấp khả năng sinh ra 1 table chứa tất cả OID của 1 thiết bị nào

đó

c Update System MIB: cho phép update thông tin hệ thống của thiết bị SNMP, bao

gồm Tên hệ thống, địa chỉ, đối tác Sử dụng tool này để update thông tin trên cácthiết bị như Hub, Máy in

d SNMP MIB Browser: cung cấp khả năng truy cập đến CSDL Mib được cung cấp

bởi solarwinds, bạn có thể truy cập Mib tree, xem Mib table, tìm kiếm nhữngthông số qua Mib, hoặc thay đổi những giá trị SNMP từ xa

SolarWinds MIB Browser cho phép bạn xem cấu hình và thực hiện chi tiết từ cácthiết bị mạng bằng cách truy vấn các thông số Mib

SolarWinds MIB Browser phân tích một cách tự động những kết quả từ mỗi truyvấn SNMP và hiển thị thông tin trong form.Kết quả của việc truy vấn đó có thểđược tùy biến

Các chức năng cơ bản SNMP MIB Browser:

1.Chức năng GET:

SNMP MIB Browser hỗ trợ mạnh tính năng GET trên interface cục bộ lẫn từ xa

Để có thể GET được đòi hỏi trên interface đó phải được bật tính năng SNMP.MIBBrowser quản lý các đối tượng bằng cây MIB Có 2 chức năng chính : Get Tree,Get Table

Get Tree: liệt kê các OID trên cột OID Name, cùng với các thuộc tính tương ứng

trên các OID đó