Nghiên cứu giải pháp an toàn thông tin cho một số kiến trúc quản trị mạng

Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công việc thực tế, tôi chọn đề tài “ Nghiên cứu giải pháp an toàn thông tin cho một số kiến trúc quản trị mạng

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

HOÀNG THẾ ANH

NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO MỘT SỐ KIẾN TRÚC

QUẢN TRỊ MẠNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Chuyên ngành: Khoa học máy tính

Mã số: 60480101

Thái Nguyên - 2013

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

LỜI CẢM ƠN

Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của quí thầy cô trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên

Trước hết, tôi xin chân thành cảm ơn đến quí thầy cô trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên, đặc biệt là những thầy cô đã tận tình dạy bảo cho tôi suốt thời gian học tập tại trường Tôi xin gửi lời biết ơn sâu sắc đến PGS,TS Nguyễn Văn Tam đã dành rất nhiều thời gian và nhiệt tình hướng dẫn nghiên cứu giúp tôi hoàn thành luận văn tốt nghiệp

Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên cùng quí thầy

cô đã tạo rất nhiều điều kiện để tôi học tập và hoàn thành tốt khóa học

Mặc dù tôi đã có nhiều cố gắng hoàn thiện luận văn bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn

Thái Nguyên, tháng 12 năm 2013

Học viên

HOÀNG THẾ ANH

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao

chép của ai Nội dung luận văn có tham khảo và sử dụng các tài liệu liên

quan, các thông tin trong tài liệu được đăng tải trên các tạp chí và các trang

website theo danh mục tài liệu tham khảo của luận văn

Tác giả luận văn

HOÀNG THẾ ANH

BẢNG DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT VÀ HÌNH ẢNH

1 CÁC THUẬT NGỮ VIẾT TẮT

SNMPv1 Simple Network Management Protocol version 1SNMPv2 Simple Network Management Protocol version 2SNMPv3 Simple Network Management Protocol version 3

NMS Network Management Station

IOS Internetwork Operation System

UDP User Datagram Protocol

TCP/IP Transmission Control Protocol/Internet Protocol

PDU Protocol Data Unit

xHTML Extensible - HyperText Transfer Protocol

XML eXtensible Markup Language

Manager Quản lý

Agent Thiết bị máy trạm

TFTP Trivial File Transfer Protocol

CBC-DES Data Encryption Standard - Cipher Block Chaining

2 DANH MỤC CÁC HÌNH

ng

2 Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng 14

3 Hình 1 3: Các phối hợp giữa manager và agent 16

8 Hình 1.8 Mô hình bảo mật truyền thông tin trên mạng 20

9 Hình 2.1 Mô hình hoạt động giữa Manager và Agent 24

10 Hình 2.2 Các lệnh truyền thông Manager/Agent 27

11 Hình 2.3 Các lệnh truyền thông Manager/Agent- GET 27

12 Hình 2.4 Các lệnh truyền thông Manager/Agent Get-next 29

13 Hình 2.5 Các lệnh truyền thông Manager/Agent G et-bulk 30

14 Hình 2.6 Các lệnh truyền thông Manager/Agent (Set) 31

15 Hình 2.7 Các lệnh truyền thông Manager/Agent (SNMP Traps) 33

20 Hình 2.12 Phân hệ bảo mật 51

21 Hình 2.13 Các thành phần của một SNMP Manager 52

41 Hình 3.4 Thông báo quá trình cài đặt gói SNMP 74

42 Hình 3.5 Thông báo quá trình cài đặt gói RRDTool 75

43 Hình 3.6 Thông báo quá trình cài đặt gói RRDTool 75

44 Hình 3.7 Thông báo quá trình cài đặt gói Cacti) 75

45 Hình 3.8 Màn hình giao diện Cacti khởi động cài đặt 76

46 Hình 3.9 Màn hình giao diện Cacti kiểm tra các công cụ 76

49 Hình 3.12 Màn hình giao diện phần bô sung thiết bị cần giám sát 78

50 Hình 3.13 Màn hình giao diện bật chức năng SNMP trong Win XP 79

51 Hình 3.14 Màn hình giao cấu hình dich vụ SNMP trong Win XP 74

52 Hình 3.15 Màn hình giao thêm thiết bị mới trong Cacti 79

54 Hình 3.17 Trang thái kết nối thiết bị trong Cacti 80

55 Hình 3.18 tạo Graphs cho thiết bị trong Cacti 81

56 Hình 3.19 tạo “Tree” cho thiết bị trong Cacti 81

57 Hình 3.20: Tạo các thành phần cho “Tree” cho thiết bị trong Cacti 82

60 Hình 3.23: Xem hình ảnh giám sát một thiết bị trong Cacti 83

61 Hình 3.24: Xem hình ảnh giám sát bằng biểu đó một thiết bị trong

ra những hiệu chỉnh phù hợp, kịp thời Thông tin quản trị mạng trên môi trường Internet

có thể bị mất mát, thất lạc, thay đổi hoặc có khả năng giả mạo, vv

Tất cả mọi thông tin được truyền đi và nhận đều cần được bảo vệ an toàn, chính xác và tin cậy Vì vậy trong kiến trúc quản trị mạng SNMP, các phiên bản SNMPv1 và SNMPv2 đã đưa ra giải pháp xác thực cộng đồng Tuy nhiên, việc đảm bảo tính xác thực, tính toàn vẹn, tính bảo mật của các thông điệp quản trị mạng là hết sức cần thiết, phiên bản SNMPv3 đã đáp ứng được những yêu cầu này

Bên cạnh kiến trúc quản trị mạng SNMP, kiến trúc quản trị mạng dựa trên Web cũng đang được các nhà khoa học công nghệ quan tâm vì nó được thừa hưởng những giải pháp an ninh đã phat triển cho hệ thống Web Vì vậy, tôi đã chọn hướng đề tài này để nghiên cứu

Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công

việc thực tế, tôi chọn đề tài “ Nghiên cứu giải pháp an toàn thông tin cho một số kiến

trúc quản trị mạng” với đề tài này tôi muốn đóng góp, xây dựng thử nghiệm vào một mô

hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có

độ an ninh cao

Luận văn bao gồm 3 chương:

Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet

Chương 2: Quản trị mạng SNMP và giải pháp an ninh của SNMPv3

Chương 3: Thử nghiệm công cụ quản trị mạng an toàn dựa trên mã nguồn mở

Xin chân thành cảm ơn sự nhiệt tình giúp đỡ của các thầy cô trong trường và đặc

biệt là PGS.TS Nguyễn Văn Tam đã giúp tôi hoàn thành luận văn này

Người thực hiện

HOÀNG THẾ ANH

MỤC LỤC

LỜI CẢM ƠN 3

ĐẶT VẤN ĐỀ 5

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN INTERNET 10

1.1 Các khái niệm cơ bản 10

1.1.1 Thiết lập cấu hình, quản trị tài nguyên 10

1.1.2 Quản trị người dùng và các dịch vụ mạng 11

1.1.3 Quản trị hiệu suất hệ thống mạng 12

1.1.4 Quản trị bảo mật, an toàn mạng 12

1.2 Các kiến trúc quản trị mạng 13

1.2.1 Quản trị mạng SNMP 13

1.2.2 Quản trị mạng dưa trên Web 14

1.2.3 Một số kiến trúc quản trị mạng khác (QTM dựa trên XML) 15

1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet 20

1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng 20

1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên mạng 22

CHƯƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH SNMPV3 26

2.1 Mô hình truyền thông của quản trị mạng SNMPv1, SNMPv2 26

2.1.1 Hệ thống truyền thông Manager/Agent 26

2.1.2 Các lệnh truyền thông Manager/Agent 29

2.1.3 Cấu trúc của các thông điệp của quản trị mạng SNMPv1, SNMPv2 38

2.1.4 Cơ chế bảo đảm an ninh của SNMPv1, SNMPv2 48

2.2 Giải pháp an ninh cho các thông điệp trong SNMPv3 50

2.2.1 Giới thiệu SNMPv3 50

2.2.2 Các đặc điểm mới trong SNMPv3 52

2.2.3 Kiến trúc mô đun và cấu trúc thông điệp của quản trị mạng SNMPv3 53

2.2.4 Mô hình bảo mật dựa trên người dùng (User-Based SecurityModel) 59

2.2.5 Mô hình điều khiển truy nhập đựa trên danh sách đối tượng (View-Based Access Control (VACM) 70

2.3 Quản trị mạng dựa trên Web và Giải pháp an ninh 70

2.3.1 Kiến trúc và Mô hình quản trị mạng dựa trên Web 71

2.3.2 Giải pháp an ninh cho quản trị mạng dựa trên Web 71

CHƯƠNG 3 74

THỬ NGHIỆM CÔNG CỤ QUẢN TRỊ MẠNG AN TOÀN DỰA TRÊN MÃ NGUỒN MỞ 74

3.1 LỰA CHỌN MÔ HÌNH VÀ ỨNG DỤNG CÔNG CỤ THỬ NGHIỆM 74

3.1.1 Mô hình thư nghiệm 74

3.1.2 Ứng dụng mô hình 74

3.1.3 Giới thiệu về Cacti 75

3.1.4 Mô hình triển khai 76

3.1.5 Cài đặt các chương trình 76

3.1.6 Cấu hình phần mềm mã nguồn mở Cacti 80

3.2 QUÁ TRÌNH HOẠT ĐỘNG VÀ ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 88

3.2.1 Phân tích quá trình hoạt động 88

3.2.2 Đánh giá kết quả thực nghiệm 89

3.3 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 92

3.3.1 Kết luận 92

3.3.2 Hướng phát triển 92

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG

TIN INTERNET

1.1 Các khái niệm cơ bản

1.1.1 Thiết lập cấu hình, quản trị tài nguyên

Có rất nhiều định nghĩa, khái niệm về “quản trị mạng”, tuy nhiên để định nghĩa một khái niệm nào đó cụ thể về quản trị mạng thì rất khó, những khái niệm đó có thể chính xác trong một thời điểm nhưng xét về lâu dài sẽ bị lạc hậu do có nhiều sự thay đổi trong cung cách quản lý một hệ thống mạng

Trong quá trình tìm hiểu và thực hành trong môi trường mạng, các nhà quản trị mạng đưa ra một số khái niệm trực quan nhất về “quản trị mạng” mà từ đó ta có thể biết được các công việc và vai trò của mình như:

- Thiết lập cấu hình, quản trị tài nguyên: Bao gồm việc quản lý, thiết lập cấu hình, quản lý tài nguyên với các đối tượng khác nhau

- Quản trị người dùng và các dịch vụ mạng: bao gồm việc quản trị các tài khoản người dùng trên hệ thống và bảo đảm các dịch vụ hoạt động ổn định đúng tiêu chuẩn

- Quản trị hiệu suất hệ thống mạng: bao gồm việc quản lý, giám sát hoạt động mạng lưới, đảm bảo hoạt động các thành phần hệ thống ổn định

- Quản trị bảo mật, an toàn mạng: bao gồm việc giám sát, bảo mật và khắc phục sự

cố mạng giúp các hệ thống để đảm bảo phòng tránh các truy nhập trái phép

Thiết lập cấu hình là một công việc cơ bản nhất của nền tảng mạng, việc thiết lập cấu hình các thiết bị mạng sẽ cho ta một cái nhìn tổng thể về hệ thống mạng của mình, ví

dụ ta thiết lập sử dụng lớp IP từ đó ta có thể biết được quy mô của hệ thống mạng (số lượng nút) từ đó hoạch định được các khu vực để đưa ra mô hình quản trị cho tốt

Quản trị tài nguyên mạng cũng rất quan trọng, nó yêu cầu người quản trị phải biết phân chia, sắp xếp các thiết bị ở các lớp mạng cho phù hợp nhằm phân tải, và tối đa hóa

hiệu suất sử dụng của người dùng đầu cuối cho hệ thống nhằm nâng hiệu suất cho toàn

bộ hệ thống mạng

Tóm lại, việc thiết lập cấu hình, quản trị tài nguyên là bước ban đầu tối quan trọng

để xác lập một hệ thống mạng theo khả năng tài chính và yêu cầu nhiệm vụ cụ thể nhằm nâng cao hiệu suất làm việc của cả một hệ thống, ngoài ra nó còn hoạch định được khả năng có thể mở rộng của hệ thống khi có sự thay đổi quy mô của hệ thống mạng

1.1.2 Quản trị người dùng và các dịch vụ mạng

Một hệ thống mạng phải được phân tích ngay từ đầu là số lượng người sử dụng và các dịch vụ cài đặt trên đó là gì, từ đó ta có thể chọn các mô hình quản trị và lựa chọn thiết bị cho phù hợp Ví dụ, một hệ thống mạng cho một trường đại học sẽ phải khác rất nhiều cho một hệ thống mạng của một doanh nghiệp, vì các dịch vụ triển khai trên đó khác nên chúng ta phải lựa chọn các thiết bị và mô hình quản lý khác nhau để quản lý dịch vụ được tốt hơn

Việc xác định được các dịch vụ triển khai trên hệ thống mạng sẽ xác định mô hình mạng, từ mô hình mạng sẽ xác định được việc quản trị người dùng theo mô hình nào hiệu quả nhất, ví dụ một hệ thống mạng lưu trữ sẽ rất khác với hệ thống mạng truy cập internet, việc xác định được dịch vụ triển khai sẽ cho phép người quản trị thiết lập mô hình truy cập mạng theo phương thức nào như domain controller (phân cấp) hay user ngang hàng

Việc xây dựng các quản trị người dùng theo đúng mục tiêu hệ thống mạng sẽ mang lại sự bảo mật rất tốt cho hệ thống do phân quyền theo nhóm người dùng, ngoài những tính năng hữu ích và tiện dụng cho người dùng việc phân quyền cho người dùng sẽ đảm bảo được yếu tố tránh lãng phí tài nguyên mạng và nâng cao hiệu quả hoạt động của hệ thống mạng

1.1.3 Quản trị hiệu suất hệ thống mạng

Một hệ thống mạng hoạt động tốt ngoài việc đáp ứng các yêu cầu về phần cứng, quy mô hoạt động, mô hình quản trị người dùng, cấc dịch vụ triển khai trên đó thì người quản trị phải quản trị được hiệu suất làm việc của cả hệ thống từ giám sát được các hoạt động chính, các điểm yếu để nâng cấp khi cần thiết

Muốn quản trị được hiệu suất mạng người quản trị phải hiểu được từ những bước ban đầu như cấu hình các thiết bị từ sơ đồ yêu cầu hệ thống, xác định người dùng và các dịch vụ triểu khai từ đó có thể triển khai các phần mềm quản trị hệ thống mạng để giám sát và trich rút, tổng hợp các thông tin để tìm ra những điểm chưa phù hợp, những thiết bị hoạt động chưa tốt nhằm thay thế, nâng cấp để hiệu suất làm việc của toàn hệ thống

1.1.4 Quản trị bảo mật, an toàn mạng

Các nhiệm vụ trên nếu được triển khai đồng bộ, có mô hình quản trị tốt, xác định được các dịch vụ trong hệ thống mạng, xác định được các mô hình truy cập của người dùng là có thể triển khai một hệ thống mạng hoàn chỉnh ở mức độ mô hình và vật lý mà một hệ thống phải có để triển khai sử dụng một hệ thống mạng

Tuy nhiên, việc truyền tải, chia sẻ, sử dụng thông tin ( tùy theo mô hình dịch vụ) sẽ gặp nhiều rủi ro như mất mát thông tin, bị đọc trộm, nghe lén ( mất an toàn) là điều hoàn toàn có thể xảy ra tùy vào dịch vụ của mình

Người quản trị ngoài việc tuân thủ tối đa các quy trình bảo mật ở mức độ có sẵn của hệ thống mạng ( như windows, Unix) thì cần phải tìm hiểu các dịch vụ quản trị mạng thêm để nâng cao bảo mật

Hiện nay có rất nhiều hệ thống, phần mềm của các hãng thứ 3 dùng để tích hợp vào

hệ thống để nâng cao tính an toàn của hệ thống, từ đó nâng cao hiệu quả hoạt động của mạng nhằm làm tối đa hiệu suất làm việc của hệ thống, mang lại hiệu quả kinh tế cho người đầu tư và cho toàn xã hội

1.2 Các kiến trúc quản trị mạng

1.2.1 Quản trị mạng SNMP

Giao thức quản trị mạng SNMP (viết tắt từ tiếng Anh: Simple Network

Management Protocol) đã được đưa ra từ những năm 80 của thế kỷ trước nhưng đến nay

vẫn được sử dụng rộng rãi trong lĩnh vực quản trị của các mạng TCP/IP Mặc dù khi mới được đưa ra, SNMP chỉ được thiết kế như một giải pháp tạm thời để quản trị mạng TCP/IP nhưng do TCP/IP đã quá phổ biến và thành chuẩn giao tiếp de-factor của thế giới, SNMP cũng trở thành một chuẩn đóng vai trò cực kỳ quan trọng trong việc thiết kế các phần mềm quản trị mạng của các thiết bị cung cấp dịch vụ

Giao thức SNMP được thiết kế để cung cấp một phương thức đơn giản để quản lý tập trung mạng TCP/IP Nếu muốn quản lý các thiết bị từ 1 vị trí tập trung, giao thức SNMP sẽ vận chuyển dữ liệu từ client (thiết bị mà đang giám sát) đến server nơi

mà dữ liệu được lưu trong log file nhằm phân tích dễ dàng hơn Các phần mềm ứng dụng dựa trên giao thức SNMP như: MOM của Microsft và HP Openview vv…

Giao thức TCP/IP trên nền Ethernet hết sức thông dụng trên thị trường truyền thông hiện nay Sự thành công của các công nghệ trên nền Ethernet một phần

là do sự hợp tác rất tích cực trong quá trình phát triển các chuẩn chung Sự thành công này cũng sẽ tạo ra những sức mạnh mới trên những cơ sở hạ tầng sẵn có như hệ thống cáp, kiến trúc mạng, khuôn dạng gói tin và các trình điều khiển vốn đã được cài đặt trong các mạng Ethernet hiện có

Quản lý mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức tạp Hiện nay, hầu hết phần tử mạng có các module quản lý riêng nên việc quản lý bị phân tán

Xu hướng tương lai là tập trung hóa hệ thống quản lý mạng bằng việc tích hợp tất cả phần

tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều người quản trị mạng

Một hệ thống sử dụng SNMP bao gồm 2 thành phần chính:

Manager: Là một máy tính chạy chương trình quản lý mạng Manager còn được gọi

là một NMS (Network Management Station) Nhiệm vụ của một manager là truy vấn các agent và xử lý thông tin nhận được từ agent

Agent: Là một chương trình chạy trên thiết bị mạng cần được quản lý Agent có thể

là một chương trình riêng biệt (ví dụ như daemon trên Unix) hay được tích hợp vào hệ điều hành, ví dụ như IOS (Internetwork Operation System) của Cisco Nhiệm vụ của agent

là thông tin cho manager

SNMP sử dụng UDP (User Datagram Protocol) như là giao thức truyền tải thông tin giữa các manager và agent Việc sử dụng UDP, thay vì TCP, bởi vì UDP là phương thức truyền mà trong đó hai đầu thông tin không cần thiết lập kết nối trứơc khi dữ liệu được trao đổi (connectionless), thuộc tính này phù hợp trong điều kiện mạng gặp trục trặc,

hư hỏng v.v

SNMP có các phương thức quản lý nhất định và các phương thức này được định dạng bởi các gói tin PDU (Protocol Data Unit) Các manager và agent sử dụng PDU để trao đổi với nhau

1.2.2 Quản trị mạng dƣa trên Web

Ngày nay, hầu hết các thiết bị đều có kết nối internet, trình duyệt web ngày càng phổ biến với chuẩn HTML hay xHTML đã làm cho việc truy cập các trang thông tin đơn giản và nhanh hơn nhiều

Với những phần mềm chạy trên desktop ( phải cài đặt) làm cho người quản trị phải

có nhiều thao tác để cài đạt và không linh hoạt trong quá trình sử dụng ở nhiều nền tảng khác nhau như windows, unix… và nhiều vị trí khác nhau – gia đình văn phòng, quán café, nhiều thiết bị khác nhau- desktop, laptop, tablets, PDA…

Việc quản trị mạng dựa trên nền tảng web đã mang lại cho người quản trị một không gian làm việc thoải mái hơn, tiện dụng hơn khi mà họ có thể sử dụng bất kỳ thiết bị

nào có kết nối mạng và sử dụng các trình duyệt web thông dụng như IE, Firefox, chrome, Safari… để truy cập hệ thống và quản trị với các chức năng cài đặt sẵn

Với lợi thế lớn như vậy, các hệ quản trị mạng có xu hướng chuyển qua quản trị trên nền tảng web để phù hợp hơn với yêu cầu từ phía người dùng và cũng là xu thế phát triển tất yếu của nền tảng internet

1.2.3 Một số kiến trúc quản trị mạng khác (QTM dựa trên XML)

a) XML là gì?

XML (eXtensible Markup Language ) - Ngôn ngữ đánh dấu mở rộng, là một

ngôn ngữ siêu đánh dấu, được chuẩn hóa bởi Hiệp hội World Wide Web (W3C) vào năm

1998 nhằm trao đổi tài liệu trên World-Wide Web XML là một tập con của ngôn ngữ đánh dấu chung chuẩn (SGML - Standard eneralized Markup Language) Các công nghệ liên quan đến XML được mô tả trong hình 1.1

DTD không hỗ trợ mô hình thông tin phức tạp

XML Schema về cơ bản được tái cấu trúc và tái mở rộng từ những khả năng được

tìm thấy trong các DTD, hỗ trợ sự tạo thành các kiểu dữ liệu mới

DOM - Mô hình đối tượng tài liệu: là một một giao diện lập trình để truy cập và

thao tác các tài liệu XML

SAX - Giao diện lập trình ứng dụng chung dành cho XML là một cơ chế hướng

sự kiện và truy cập liên tiếp dành cho việc truy cập các tài liệu XML

XSL - Ngôn ngữ định kiểu mở rộng là một ngôn ngữ đánh dấu được thiết kế để

minh họa các phương pháp hiển thị các tài liệu XML trên web

XSLT - Ngôn ngữ định kiểu chuyển đổi mở rộng: là công nghệ định kiểu để

chuyển đổi các tài liệu XML, một tập con của công nghệ XSL

XPath - Ngôn ngữ đường dẫn XML: là ngôn ngữ phi XML được dùng để ghi địa

chỉ các phần của một tài liệu XML

XQuery - Ngôn ngữ truy vấn XML: được thiết kế để áp dụng một cách rộng rãi

cho tất cả các nguồn dữ liệu XML

XUpdate là một ngôn ngữ cập nhật, cung cấp các tiện tích cập nhật linh hoạt và

có tính mở để chèn, cập nhật, và xóa dữ liệu trong các tài liệu XML

SOAP - Giao thức truy cập đối tượng đơn giản: là một giao thức đơn giản giúp

trao đổi thong tin trong môi trường phân tán SOAP định nghĩa việc sử dụng XML và HTTP hoặc SMTP để truy cập các dịch vụ, đối tượng, trong các máy chủ độc lập về hệ điều hành và ngôn ngữ

WSDL - Ngôn ngữ mô tả dịch vụ web: là một ngôn ngữ dựa trên XML được dùng

để xác định các dịch vụ Web và mô tả cách truy cập đến các dịch vụ đó

b) Các kỹ thuật liên quan đến XML

- Sử dụng XML để trình bày dữ liệu quản lý

- Sử dụng HTTP để truyền dữ liệu quản trị

- Sử dụng API DOM và SAX để truy cập dữ liệu quản trị từ ứng dụng

- Sử dụng XSL để xử lý dữ liệu quản trị

- Sử dụng XML Schema để định nghĩa cấu trúc dữ liệu quản trị

+ Ứng dụng các công nghệ XML đối với các nhiệm vụ quản trị mạng

Các nhiệm vụ quản trị cơ bản trong một hệ quản trị mạng được mô tả như hình 1.2

Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng

- Mô hình hóa thông tin quản trị

Các XML Schema được sử dụng để tối đa hóa những lợi thế quan trọng của XML trong mô hình thông tin quản trị so với các giải pháp thay thế khác

- Hợp thức hóa thông tin quản trị

Nhiệm vụ của việc hợp thức hóa thông tin quản trị bao gồm tất cả các hoạt động đảm bảo tính nhất quán giữa các đối tượng và nguồn tài nguyên quản trị trong một hệ thống agent Các hoạt động cập nhật từ trạng thái tài nguyên quản trị đến các biến của các đối tượng quản trị phải được thực thi khi trạng thái tài nguyên quản trị bị thay đổi

Hợp thức hóa thông tin quản trị có thể được coi như là một nhóm các tiến trình biên dịch, tạo và sửa đổi các tài liệu XML Có hai công nghệ biên dịch các tài liệu XML chuẩn gồm: DOM và SAX Hai công nghệ này khiến việc biên dịch, tạo, và sửa đổi các tài liệu XML trở nên dễ dàng

nhằm mục đích chuyển đổi

Các cơ chế HTTP Get, Post, Push để thông báo và bỏ phiếu dự kiến

- Phân tích

Hỗ trợ cơ sở dữ liệu (DB) của bên thứ ba

Sử dụng công nghệ XML chuẩn (DOM, Xpath…) đ ể xử lý phân tích dữ liệu

Có thể thực hiện các hoạt động quản trị bằng cách xử lý các tài liệu XML thông qua giao diện DOM chuẩn

- Trình bày

XML tách biệt các nội dung của tài liệu từ cách thể hiện

XSLT chuyển đổi XML sang HTML hoặc tài liệu XML khác

Nếu thông tin quản trị ở định dạng XML, một Web-MUI có thể dễ dàng suy diễn từ các tài liệu XML

c) Một số nghiên cứu về phương pháp quản trị mạng dựa trên XML

Quản trị doanh nghiệp dựa trên web (WBEM- Web-Based Enterprise

Management ) là một sáng kiến của DMTF, bao gồm một tập hợp các công nghệ cho phép quản lý tương thích một doanh nghiệp WBEM định nghĩa một mô hình thông tin gọi là Mô hình thông tin chung (CIM)

XNM - Quản trị mạng dựa trên XML: Quản trị mạng dựa trên XML (XNM)

bằng cách sử dụng dịch vụ Web nhúng (EWS)

XNAMI: Là kiến trúc dựa trên XML dành cho quản trị mạng và các ứng dụng SNMP Đây là một ví dụ về kiến trúc truyền thông quản trị dựa trên XML cho phép hệ manager mở rộng MIB của agent trong khung tương tác SNMP

JUNOScript: Là hệ thống điều hành mạng JUNOS của Juniper Networks, sử

dụng một mô hình đơn giản được thiết kế để giảm thiểu cả chi phí thực hiện và tác động trên các thiết bị được quản lý, cho phép các ứng dụng khách truy cập đến các dữ liệu hoạt động và cấu hình bằng cách sử dụng XML-RPC

Trạm đăng ký cấu hình Cisco là một hệ thống dựa trên web giúp phân tán một

cách tự động các tệp tin cấu hình đến các thiết bị mạng IOS của Cisco Nó sử dụng giao thức HTTP để giao tiếp với các agent và chuyển dữ liệu cấu hình sang XML Các agent cấu hình trong thiết bị sử dụng XML parser riêng của nó để giải thích các dữ liệu cấu hình từ các tệp tin cấu hình nhận được

Nhóm làm việc Cấu hình mạng (Netconf WG) định nghĩa giao thức cấu hình

Netconf và chuyển các ánh xạ Giao thức Netconf sử dụng XML để mã hóa dữ liệu, và RPC cho cơ chế truyền thông

1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet

1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng

Sự phát triển mạnh mẽ của nền tảng internet với các công cụ làm việc, truyền tải nhanh, tức thì và đơn giản, các nội dung thông điệp ngày càng được truyền tải trên mạng nhiêu hơn, kể cả các lĩnh vực nhạy cảm như tài chính, quân sự…

Bên cạnh sự thuận tiện và nhanh chóng như trên, phương thức tuyền tải các thông điệp trên mạng cũng chứa đựng nhiều rủi ro mà tin tặc lợi dụng để làm sai lệch thông tin giữ người gửi và người nhận

Để xem xét những vấn đề bảo mật liên quan đến truyền thông trên mạng, chúng ta hãy lấy một bối cảnh sau: có ba nhân vật tên là A, B và C, trong đó A và B thực hiện trao đổi thông tin với nhau, còn C là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa A

và B Sau đây là các loại hành động tấn công của C mà ảnh hưởng đến quá trình truyền tin giữa A và B:

+ Xem trộm thông tin (Release of Message Content)

Trong trường hợp này C chặn các thông điệp A gửi cho B, và xem được nội dung của thông điệp

Hình 1.4 Xem trộm thông điệp

+ Thay đổi thông điệp (Modification of Message)

C chặn các thông điệp A gửi cho B và ngăn không cho các thông điệp này đến đích Sau đó C thay đổi nội dung của thông điệp và gửi tiếp cho B B nghĩ rằng nhận được thông điệp nguyên bản ban đầu của A mà không biết rằng chúng đã bị sửa đổi

Hình 1.5 Sửa thông điệp

+ Mạo danh (Masquerade)

Trong trường hợp này C giả là A gửi thông điệp cho B B không biết điều này

và nghĩ rằng thông điệp là của A

Hình 1.6 Mạo danh

+Phát lại thông điệp (Replay)

C sao chép lại thông điệp A gửi cho B Sau đó một thời gian C gửi bản sao chép này cho B B tin rằng thông điệp thứ hai vẫn là từ A, nội dung hai thông điệp là giống nhau Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp Xét tình huống sau: giả sử B là ngân hàng còn A là một khách hàng A gửi thông điệp đề nghị B chuyển cho C 1000$ A có áp dụng các biện pháp như chữ ký điện tử với mục đích không cho C mạo danh cũng như sửa thông điệp Tuy nhiên nếu C sao chép và phát lại thông điệp thì các biện pháp bảo vệ này không có ý nghĩa B tin rằng A gửi tiếp một thông điệp mới để chuyển thêm cho C 1000$ nữa

Hình 1.7 Phát lại thông điệp

1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên mạng

a) Yêu cầu của một hệ truyền thông tin an toàn và bảo mật

Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên Như vậy hệ truyền tin phải có các đặt tính sau:

1) Tính bảo mật (Confidentiality): Ngăn chặn được vấn đề xem trộm thông điệp 2) Tính chứng thực (Authentication): Nhằm đảm bảo cho B rằng thông điệp mà

B nhận được thực sự được gửi đi từ A, và không bị thay đổi trong quá trình truyền tin Như vậy tính chứng thực ngăn chặn các hình thức tấn công sửa thông điệp, mạo danh, và phát lại thông điệp

3) Tính không từ chối (Nonrepudiation): xét tình huống sau:

Giả sử B là nhân viên môi giới chứng khoán của A A gởi thông điệp yêu cầu B mua cổ phiếu của công ty Z Ngày hôm sau, giá cổ phiếu công ty này giảm hơn 50% Thấy bị thiệt hại, A nói rằng A không gửi thông điệp nào cả và quy trách nhiệm cho B

B phải có cơ chế để xác định rằng chính A là người gởi mà A không thể từ chối trách nhiệm được

Khái niệm chữ ký trên giấy mà con người đang sử dụng ngày nay là một cơ chế

để bảo đảm tính chứng thực và tính không từ chối Và trong lĩnh vực máy tính, người ta cũng thiết lập một cơ chế như vậy, cơ chế này được gọi là chữ ký điện tử

Hình 1.8 Mô hình bảo mật truyền thông tin trên mạng

b) Vai trò của mật mã trong việc bảo mật thông tin trên mạng

Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của bảo mật thông tin Mật mã đáp ứng được các nhu cầu về tính bảo mật (confidentiality), tính chứng thực (authentication) và tính không từ chối (non-repudiation) của một hệ truyền tin

Muốn bảo vệ được thông điệp của mình trong quá trình truyền tải trên mạng chúng

ta phải sử dụng một số dạng mã hóa để trên đường truyền tải cho dù bên thứ ba có lấy được cũng khó khăn trong quá trình tiếp cận thông tin ta chỉ muốn gửi đích danh cho ai

đó

Ngoài công cụ mã hóa dữ liệu, ta còn sử dụng chức năng chữ ký điện tử ( ở một số thông điệp) để nâng cao tính bảo mật và tính đúng đắn của thông điệp

c) Sử dụng các giao thức (protocol) thực hiện bảo mật

Ngoài các yêu cầu như hệ truyền tin an toàn, mã hóa, chữ ký điện tử ta cũng nên sử dụng các giao thức truyền bảo mật phổ biến hiện nay là:

- Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng

- Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai

- Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến trong Web và thương mại điện tử

- PGP và S/MIME: bảo mật thư điện tử email

Như vậy muốn bảo đảm an ninh cho thông điệp truyền trên mạng ngoài việc chúng ta có

một hệ thống phần cứng tiêu chuẩn, hệ thống phần mền dịch vụ triển khai trên đó an toàn, phân quyền người dùng thì chúng ta phải tuân thủ một số chính sách an toàn thông tin như trên để đảm bảo thông tin của chúng ta ít có khả năng xâm phạm nhất ./

Tóm tắt chương

Ở chương 1 chúng ta đã làm rõ các khái niệm mà quản trị mạng phải thực hiện như quản trị tài nguyên, quản trị hệ thống phần cứng, cấu hình cài đặt, phân quyền chức năng người sử dụng, hiệu suất công việc vv Ngoài ra chúng ta còn nghiên cứu các kiến trúc cơ bản về quản trị mạng, các mô hình an toàn thông tin trên internet

Như vậy, để một hệ thống mạng được hoạt động tốt, ngoài các kiến thức mà nhà quản trị phải có thì chúng ta phải luôn tìm hiểu các công nghệ quản trị mới, hay những phiên bản phát triển mới để cập nhật vào hệ thống nhằm tăng khả năng phòng vệ trước các cuộc tấn công từ mạng internet vào hệ thống cũng như chính những cá nhân sử dụng gây

ra

Trong chương tiếp theo của đề tài này, chúng ta tiếp tục nghiên cứu một phiên bản quản trị mạng SNMP có phiên bản 3 (verison 3) hay có thể viết tắt là SNMPv3, đây là một nội dung khá quan trọng trong việc ứng dụng để nâng cao bảo mật cho hệ thống mạng, qua đó chúng ta sẽ dần nghiên cứu và phân tích những đặc điểm cơ bản, những ưu điểm

mà SNMPv3 có được so với các phiên bản thấp hơn, từ đó ta có thể ứng dụng một hệ mã nguồn mở để quản trị SNMP theo v3 và thấy được khả năng bảo vệ hệ thống của SNMP3

CHƯƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH

SNMPv3

2.1 Mô hình truyền thông của quản trị mạng SNMPv1, SNMPv2

2.1.1 Hệ thống truyền thông Manager/Agent

+ Manager :là một server có chạy các chương trình có thể thực hiện một số chức

năng quản lý mạng Manager có thể xem như là NMS (Network Manager Stations) NMS

có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong mạng Thăm dò trong việc quản lý mạng là “nghệ thuật” đặt ra các câu truy vấn đến các agent để có được một phần nào đó của thông tin Các cảnh báo của agent là cách mà agent báo với NMS khi có

sự cố xảy ra Cảnh bảo của agent được gửi một cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS NMS dựa trên các thông tin trả lời của agent để có các phương án giúp mạng hoạt động hiệu quả hơn Ví dụ khi đường dây T1 kết nối tới Internet

bị giảm băng thông nghiêm trọng, router sẽ gửi một thông tin cảnh báo tới NMS NMS sẽ

có một số hành động, ít nhất là lưu lại giúp ta có thể biết việc gì đã xảy ra Các hành động này của NMS phải được cài đặt trước

+Agent : là một phần trong các chương trình chạy trên các thiết bị mạng cần quản

lý Nó có thể là một chương trình độc lập như các deamon trong Unix, hoặc được tich hợp vào hệ điều hành như IOS của Cisco trên router Ngày nay, đa số các thiết bị hoạt động tới lớp IP được cài đặt SMNP agent Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ công việc của người quản lý hệ thống hay quản trị mang đơn giản hơn Các agent cung cấp thông tin cho NMS bằng cách lưu trữ các hoạt độn khác nhau của thiết bị Một số thiết bị thường gửi một thông báo “tất cả đều bình thường” khi

nó chuyển từ một trạng thái xấu sang một trạng thái tốt Điều này giúp xác định khi nào một tình trạng có vấn đề được giải quyết

- Mô hình hoạt động giữa Manager và Agent:

Hình 2.1 Mô hình hoạt động giữa Manager và Agent

- SNMP sử dụng UDP (User Datagram Protocol) ( UDP (User Datagram Protocol)

là một trong những giao thức cốt lõi của giao thức TCP/IP Dùng UDP, chương trình trên mạng máy tính có thể gởi những dữ liệu ngắn được gọi là datagram tới máy khác UDP không cung cấp sự tin cậy và thứ tự truyền nhận mà TCP làm; các gói dữ liệu có thể đến không đúng thứ tự hoặc bị mất mà không có thông báo Tuy nhiên UDP nhanh và hiệu quả hơn đối với các mục tiêu như kích thước nhỏ và yêu cầu khắt khe về thời gian Do bản chất không trạng thái của nó nên nó hữu dụng đối với việc trả lời các truy vấn nhỏ với số lượng lớn người yêu cầu

- Những ứng dụng phổ biến sử dụng UDP như DNS (Domain Name System), ứng dụng streaming media, Voice over IP, Trivial File Transfer Protocol (TFTP), và game trực tuyến như là giao thức truyền tải thông tin giữa các manager và agent Việc sử dụng UDP, thay vì TCP (Giao thức TCP (Transmission Control Protocol - "Giao thức điều khiển truyền vận") là một trong các giao thức cốt lõi của bộ giao thức TCP/IP Sử dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các "kết nối" với nhau, mà qua

đó chúng có thể trao đổi dữ liệu hoặc các gói tin Giao thức này đảm bảo chuyển giao dữ

liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn, dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy chủ

- TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell

- Trong bộ giao thức TCP/IP, TCP là tầng trung gian giữa giao thức IP bên dưới

và một ứng dụng bên trên Các ứng dụng thường cần các kết nối đáng tin cậy kiểu đường ống để liên lạc với nhau, trong khi đó, giao thức IP không cung cấp những dòng kiểu đó,

mà chỉ cung cấp dịch vụ chuyển gói tin không đáng tin cậy TCP làm nhiệm vụ của tầng giao vận trong mô hình OSI đơn giản của các mạng máy tính

- Các ứng dụng gửi các dòng gồm các byte 8-bit tới TCP để chuyển qua mạng TCP phân chia dòng byte này thành các đoạn (segment) có kích thước thích hợp (thường được quyết định dựa theo kích thước của đơn vị truyền dẫn tối đa (MTU) của tầng liên kết

dữ liệu của mạng mà máy tính đang nằm trong đó) Sau đó, TCP chuyển các gói tin thu được tới giao thức IP để gửi nó qua một liên mạng tới mô đun TCP tại máy tính đích TCP kiểm tra để đảm bảo không có gói tin nào bị thất lạc bằng cách gán cho mỗi gói tin một

"số thứ tự" (sequence number) Số thứ tự này còn được sử dụng để đảm bảo dữ liệu được trao cho ứng dụng đích theo đúng thứ tự

Mô đun TCP tại đầu kia gửi lại "tin báo nhận" (acknowledgement) cho các gói tin

đã nhận được thành công; một "đồng hồ" (timer) tại nơi gửi sẽ báo time-out nếu không nhận được tin báo nhận trong khoảng thời gian bằng một round-trip time (RTT), và dữ liệu (được coi là bị thất lạc) sẽ được gửi lại TCP sử dụng checksum (giá trị kiểm tra) để xem có byte nào bị hỏng trong quá trình truyền hay không; giá trị này được tính toán cho mỗi khối dữ liệu tại nơi gửi trước khi nó được gửi, và được kiểm tra tại nơi nhận

- Vì UDP là phương thức truyền mà trong đó hai đầu thông tin không cần thiết lập kết nối trứơc khi dữ liệu được trao đổi (connectionless), thuộc tính này phù hợp trong điều kiện mạng gặp trục trặc, hư hỏng v.v

- SNMP có các phương thức quản lý nhất định và các phương thức này đuợc định dạng bởi các gói tin PDU (Protocol Data Unit) Các manager và agent sử dụng PDU để trao đổi với nhau

Network Management Station (NMS)

Manager cũng được gọi là Network Management Station( NMS) Các chức năng khác của NMS bao gồm các đặc tính report, network topology mapping và lập tài liệu, các công cụ cho phép bạn giám sát traffic trên mạngvv…

Các SNMP Primitive

Bao gồm get, get-next và set Manager dùng get primitive để nhận một tập thông tin đơn từ một agent Dùng get-next nếu có nhiều hơn một item, khi dữ liệu manager cần nhận từ agent chứa đựng nhiều hơn một item, primitive này được dung một giá trị cụ thể Manager có thể dùng primitive này để yêu cầu agent chạy trên thiết bị từ xa đặt một biến

cụ thể cho giá trị hiện tại Có hai primitive điều khiển mà responder (manager) dùng để trả lời lại đó là : get-response và trap

Một được dùng trong việc trả lời các yêu cầu trực tiếp (get-response) và một là asynchronous response nhằm thu các sự chú ý của các requester(trap) Mặc dù các sự trao đổi SNMP thường được khởi tạo bởi phần mềm manager , primitive này cũng có thể được

sử dụng khi agent cần thông báo cho manager các sự kiện quan trọng, điều này thường được thông báo như một trap được gửi bởi agent đến NMS

2.1.2 Các lệnh truyền thông Manager/Agent

a) Mô hình SNMP

Hình 2.2 Các lệnh truyền thông Manager/Agent

Để agent hiểu được NMS cần tìm thông tin gì, nó dựa vào một mục trong ”get” là

”variable binding” hay varbind Varbind là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời Câu hỏi truy vấn cho trường hợp trong hình vẽ trên:

$ snmpget cisco.ora.com public 1.3.6.1.2.1.1.6.0

system.sysLocation.0 = ""

Đây là một câu lệnh ”snmpget” trên Unix ”cisco.ora.com” là tên của thiết bị,

”public” là chuổi chỉ đây là yêu cầu chỉ đọc (read-only), ”.1.3.6.1.2.1.1.6.0” là OID

”.1.3.6.1.2.1.1” chỉ tới nhóm ”system” trong MIB ”.6” chỉ tới một trường trong ”system”

là ”sysLocation” Trong câu lệnh này ta muốn hỏi Cisco router rằng việc định vị hệ thống

đã được cài đặt chưa Câu trả lời system.sysLocation.0 = "" tức là chưa cài đặt Câu trả lời của ”snmpget” theo dạng của varbind: OID=value Còn phần cuối trong OID ở

”snmpget”; ”.0” nằm trong quy ước của MIB Khi hỏi một đối tượng trong MIB ta cần chỉ

rõ 2 trường ”x.y’, ở đây là ”.6.0” ”x” là OID thực tế của đối tượng Còn ”.y” được dùng trong các đối tượng có hướng như một bảng để hiểu hàng nào của bảng, với trường hợp đối tượng vô hướng như trường hợp này ”y” = ”0” Các hàng trong bảng được đánh số từ

số 1 trở đi

Câu lệnh ”get” hữu ích trong việc truy vấn một đối tượng riêng lẻ trong MIB Khi muốn biết thông tin về nhiều đối tượng thì ”get” tốn khá nhiều thời gian Câu lệnh ’get-next” giải quyết được vấn đề này

+ Get-next

- Get-next đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB Agent

sẽ lần lượt trả lời tất cả các đối tượng có trong câu truy vấn của ”get-next” tương tự như

”get”, cho đến khi nào hết các đối tượng trong dãy Ví dụ ta dùng lệnh ”snmpwalk”

”snmpwalk’ tương tự như ”snmpget’ nhưng không chỉ tới một đối tượng mà chỉ tới một nhánh nào đó:

$snmpwalk cisco.ora.com public system

system.sysDescr.0 = "Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-I-L), Version 11.2(5), RELEASE

SOFTWARE (fc1) Copyright (c) 1986-1997 by cisco Systems, Inc

Compiled Mon 31-Mar-97 19:53 by ckralik"

system.sysObjectID.0 = OID: enterprises.9.1.19

system.sysUpTime.0 = Timeticks: (27210723) 3 days, 3:35:07.23

system.sysContact.0 = ""

system.sysName.0 = "cisco.ora.com"

system.sysLocation.0 = ""

system.sysServices.0 = 6

- Ở đây ta muôn lấy thông tin của nhóm ”system”, agent sẽ gửi trả toàn bộ thông tin của

”system” theo yêu cầu Quá trình tìm nhóm ”system” trong MIB thực hiện theo cây từ gốc, đến một nút nếu có nhiều nhánh thì chọn nhánh tìm theo chỉ số của nhánh từ nhỏ đến lớn:

Hình 2.4 Các lệnh truyền thông Manager/Agent Get-next

+G et-bulk

- Get-bulk được định nghĩa trong SNMPv2 Nó cho phép lấy thông tin quản lý từ

nhiều phần trong bảng Dùng ”get” có thể làm được điều này Tuy nhiên, kích thước của câu hỏi có thể bị giới hạn bởi agent Khi đó nếu nó không thể trả lời toàn bộ yêu cầu, nó gửi trả một thông điệp lỗi mà không có dữ liệu Với trường hợp dùng câu lệnh ”get-bulk”, agent sẽ gửi cang nhiều trả lời nếu nó có thể Do đó, việc trả lời một phần của yêu cầu là

có thể xảy ra Hai trường cần khai báo trong ”get-bulk” là: ”nonrepeaters” và repetitions” ”nonrepeaters” báo cho agent biết N đối tượng đầu tiên có thể trả lời lại như một câu lệnh ”get” đơn ”mã-repeaters” báo cho agent biết cần cố gắng tăng lên tối đa M yêu cầu ”get-next” cho các đối tượng còn lại:

”max-Hình 2.5 Các lệnh truyền thông Manager/Agent G et-bulk

$ snmpbulkget -v2c -B 1 3 linux.ora.com public sysDescr ifInOctets ifOutOctets

system.sysDescr.0 = "Linux linux 2.2.5-15 #3 Thu May 27 19:33:18 EDT 1999 i686" interfaces.ifTable.ifEntry.ifInOctets.1 = 70840

Ở đây, ta hỏi về 3 varbind: sysDescr, ifInOctets, và ifOutOctets Tổng số varbind được tính theo công thức

N + (M * R)

N: nonrepeater, tức số các đối tượng vô hướng

M: max-repeatition

R: số các đối tượng có hướng trong yêu cầu chỉ có sysDescr là vô hướng è N = 1

M có thể đặt cho là 3 , tức là 3 trường cho mỗi ifInOctets và ifOutOctets Có 2 đối tượng

có hướng là ifInOctets và ifOutOctets è R = 2

$ snmpget cisco.ora.com public system.sysLocation.0

system.sysLocation.0 = ""

$ snmpset cisco.ora.com private system.sysLocation.0 s "Atlanta, GA"

system.sysLocation.0 = "Atlanta, GA"

$ snmpget cisco.ora.com public system.sysLocation.0

system.sysLocation.0 = "Atlanta, GA"

Câu lệnh đầu là dung ”get” để lấy giá trị hiện tại của ”system.sysLocation” Trong câu lệnh ”snmpset” các trường ”cisco.ora.com” và ”system.sysLocation.0” có ý nghĩa giống với ”get” ”private” để chỉ đối tượng ”read-write’, và đặt giá trị mới bằng: ”s

"Atlanta, GA"” ”s” tức là đặt giá trị của ”system.sysLocation.0” thành string, và giá trị mới là "Atlanta, GA" Varbind này được định nghĩa trong RFC 1213 là kiểu string tối đa

+ Error Response của ”get”, ”get-next”, ”get-bulk” và ”set”

Có nhiều loại lỗi báo lại từ agent:

SNMPv1 Error Message Ý nghĩa noError(0) Không có lỗi tooBig(1) Yêu cầu quá lớn

để có thể dồn vào một câu trả lời noSuchName(2) OID yêu cầu không tìm thấy, tức không tồn tại ở agent badValue(3) Câu lệnh “set” dùng không đúng với các object “read-write” hay “write-only” readOnly(4) Lỗi này ít dùng Lỗi “noSuchName” tương đương với lỗi này genErr(5) Dùng cho tất cả các lỗi còn lại, không nằm trong các lỗi trên

Các loại lỗi của SNMPv1 mang tính chất chung nhất, không rõ ràng Do đó SNMPv2 đưa ra thêm một số loại lỗi như sau:

SNMPv2 Error Message Ý nghĩa: noAccess(6) Lỗi khi lệnh “set” cố gắng xâm nhập vào một biến cấm xâm nhập Khi đó, biến đó có trường “ACCESS” là “not-accessible” wrongType(7) Lỗi xảy ra khi lệnh “set” đặt một kiểu dữ liệu khác với kiểu định nghĩa sẵn của đối tượng Ví dụ khi “set” đặt giá trị kiểu string cho một đối tượng kiểu số nguyên INTEGER wrongLength(8) Lỗi khi lệnh “set” đưa vào một giá trị có chiều dài lớn hơn chiều dài tối đa của đối tượng wrongEncoding(9) Lỗi khi lệnh “set” sử dụng cách mã hóa khác với cách đối tượng đã định nghĩa wrongValue(10) Một biến được đặt một giá trị mà

nó không hiểu Khi một biến theo kiểu liệt kê “enumeration” được đặt một giá trị không theo kiểu liệt kê noCreation(11) Lỗi khi cố đặt một giá trị cho một biến không tồn tại hoặc tạo một biến không có trong MIB inconsistentValue Một biến MIB ở trạng thái không nhất quán, và nó không chấp nhận bất cứ câu lệnh “set” nào resourceUnavailable(13) Không có tài nguyên hệ thống để thực hiện lệnh

“set”commitFailed(14) Đại diện cho tất cả các lỗi khi lệnh “set” thất bại undoFailed(15) Một lệnh “set” không thành công và agent không thể phục hồi lại trạng thái trước khi lệnh

“set” bắt đầu thất bại authorizationError(16) Một lệnh SNMP không được xác thực, khi một người nào đó đưa ra mật mã không đúng notWritable(17) Một biến không chấp nhận lệnh “set” inconsistentName(18) Cố gắng đặt một giá trị, nhưng việc cố gắng thất bại vì biến đó đang ở tình trạng không nhất quán

Khi nhận được một ”trap” từ agent, NMS không trả lời lại bằng ”ACK” Do đó agent không thể nào biết được là lời cảnh báo của nó có tới được NMS hay không Khi nhận được một ”trap” từ agent, nó tìm xem ”trap number” để hiểu ý nghĩa của ”trap” đó:

Số và tên kiểu trap Định nghĩa coldStart (0) Thông báo agent vừa khởi động lại Tất

cả các biến quản lý sẽ được reset, các biến kiểu “Counters” và “Gauges” được đặt về 0

“coldStart” dùng để xác định một thiết bị mới gia nhập vào mạng Khi một thiết bị khởi động xong, nó gửi một “trap” tới NMS Nếu địa chỉ NMS là đúng, NMS có thể nhận được và xác định xem có quản lý thiết bị đó hay không warmStart (1) Thông báo agent vừa khởi tạo lại, không có biến nào bị reset linkDown (2) Gửi đi khi một interface trên thiết bị chuyển sang trạng thái “down” linkUp (3) Gửi đi khi một interface trở lại trạng thái “up” authenticationFailure (4) Cảnh báo khi một người nào đó cố truy cập vào agent đó mà không được xác thực egpNeighborLoss (5) Cảnh báo một EGP lân cận bị

“down” enterpriseSpecific (6)Đây là một “trap” riêng, chỉ được biết bởi agent và NMS tự định nghĩa riêng chúng NMS sử dụng phương pháp giải mã đặc biệt để hiểu được thông điệp này ”trap” được đưa ra trong MIB qua rdbmsOutOfSpace”:

+ SNMP Notification:

Để chuẩn hóa định dạng PDU ”trap” của SNMPv1 do PDU của ”get” và ”set” khác nhau, SNMPv2 đưa ra ”NOTIFICATION-TYPE” Định dạng PDU của NOTIFICATION- TYPE” là để nhận ra ”get” và ”set”

”NOTIFICATION-TYPE” được định nghĩa trong RFC 2863:

linkDown NOTIFICATION-TYPE OBJECTS

OID của “trap” này là 1.3.6.1.6.3.1.1.5.3, tức iso.org.dod.internet.snmp V2.snmp

Modules.snmp MIB.sn mp MIB Objects.snmpTraps.linkDown

+ SNMP inform

- SNMPv2 cung cấp cơ chế truyền thông giữa những NMS với nhau, gọi là SNMP inform Khi một NMS gửi một SNMP inform cho một NMS khác, NMS nhận được sẽ gửi trả một ACK xác nhận sự kiện Việc này giống với cơ chế của “get” và “set”

+ SNMP report

- Được định nghĩa trong bản nháp của SNMPv2 nhưng không được phát triển Sau đó được đưa vào SNMPv3 và hy vọng dùng để truyền thông giữa các hệ thống SNMP với nhau

2.1.3 Cấu trúc của các thông điệp của quản trị mạng SNMPv1, SNMPv2

a) Mô hình kiến trúc SNMP

SNMP hoạt động dựa trên mô hình Manager/Agent Manager được gọi là trạm quản lí mạng (QLM) Thông tin được trao đổi giữa Agent và Manager Các phần

tử mạng sẽ tiếp nhận các yêu cầu truy nhập từ hệ thống quản lí mạng vào cơ sở dữ liệu

Giao thức SNMP sử dụng kiểu kết nối không định hướng để trao đổi thông tin

giữa các phần tử và hệ thống quản lí mạng (trường hợp này là sử dụng UDP) UDP truyền các gói tin theo các khối riêng biệt Tuy vậy có thể tùy ý sử dụng các giao thức khác để truyền các gói tin SNMP Các gói tin sau khi truyền qua mạng, các phần tử mạng hay hệ thống quản lí mạng vẫn giữ nguyên định dạng của SNMP

Hình dưới cho thấy vị trí giao thức SNMP trong mô hình chồng giao thức TCP/IP Ta thấy, SNMP sử dụng giao thức dữ liệu đồ người sử dụng (UDP) làm giao thức lớp vận chuyển trên mạng IP

Hình 2.8 SNMP trong TCP/IP

b) Quản lí liên lạc giữa nhà quản lí với các tác nhân

Nhìn trên phương diện truyền thông, nhà quản lí (manager) và các tác nhân (agent) cũng là những người sử dụng, sử dụng một giao thức ứng dụng Giao thức quản lí yêu cầu

cơ chế vận tải để hỗ trợ tương tác giữa các tác nhân và nhà quản lí

Nhà quản lí trước hết phải xác định được các tác nhân mà nó muốn liên lạc có thể xác định được ứng dụng tác nhân bằng địa chỉ IP của nó và cổng UDP được gán cho nó Cổng UDP 161 được dành riêng cho các tác nhân SNMP Chương trình nhà quản lý gói lệnh SNMP vào một phong bì UDP/IP Phong bì này chứa cổng nguồn, địa chỉ IP đích và cổng 161 Một thực thể IP tại chỗ sẽ chuyển giao khung UDP tới hệ thống bị quản lí

Tiếp đó, một thực thể UDP tại chỗ sẽ chuyển phát nó tới các tác nhân Tương tự như vậy, lệnh TRAP cũng cần xác định những nhà quản lí mà nó cần liên hệ Chúng sử dụng địa chỉ IP cũng như cổng UDP dành cho nhà quản lýSNMP, đó là cổng 162

c) Cơ chế vận chuyển thông tin giữa nhà quản lí và tác nhân

Việc lựa chọn cơ chế vận chuyển có tính trực giao với giao thức truyền thông đó SNMP chỉ đòi hỏi cơ chế truyền tải không tin cậy dữ liệu đồ (datagram) để truyền đưa các PDU (đơn vị dữ liệu giao thức) giữa nhà quản lí và các tác nhân Điều này cho phép sự ánh xạ của SNMP tới nhiều nhóm giao thức Mô hình vận chuyển datagram giảm được độ phức tạp của ánh xạ tầng vận chuyển Tuy nhiên, vẫn phải nhận thức thấy sự tham gia của một số lựa chọn tầng vận chuyển Các tầng vận chuyển khác nhau có thể sử dụng nhiều kỹ thuật đánh địa chỉ khác nhau Các tầng vận chuyển khác nhau có thể đưa ra những hạn chế quy mô của PDU Ánh xạ tầng vận chuyển có trách nhiệm phải xử lý các vấn đề đánh địa chỉ, hạn chế quy mô PDU và một số tham số tầng vận chuyển khác

Trong phiên bản thứ hai của SNMP, người ta sử dụng kinh nghiệm để làm sắc nét và đơn giản hóa quá trình ánh xạ tới các chuẩn vận chuyển khác nhau Giao thức quản lí được tách khỏi môi trường vận chuyển một cách trực giao, điều này cũng được khuyến khích sử dụng cho bất cứ nhóm giao thức nào

Trong điều kiện mạng thiếu ổn định và thiếu độ tin cậy thì sự liên lạc quản lí càng trở nên quan trọng Làm thế nào để các nhà quản lí liên lạc với các tác nhân một cách tin cậy? Việc SNMP sử dụng cơ chế UDP để liên lạc đã có nghĩa là thiếu đi độ tin cậy rồi SNMP hoàn toàn để lại cho chương trình nhà quản lí chịu trách nhiệm và xử lý việc mất thông tin Các lệnh GET, GET-NEXT, và SET đều được phúc đáp bằng một lệnh GET-RESPONSE Hệ thống có thể dễ dàng phát hiện ra việc bị mất một lệnh khi không nhận được lệnh trả lời Nó có thể lặp lại yêu cầuđó một lần nữa hoặc có những hành động khác Tuy nhiên, các bản tin TRAP do tác nhân tạo ra và không được phúc đáp khẳng định Khi lệnh TRAP bị thất lạc, các chương trình tác nhân sẽ không biết về điều đó (tất