Đề tài Tìm hiểu giao thức SNMP và phần mềm giám sát hệ thống mạng Colasoft Capsa 7

t khác. Phương thức Poll Nguyên tắc hoạt động: Trung tâm giám sát (manager) sẽ thường xuyên hỏi thông tin của thiết bị cần giám sát (device). Nếu Manager không hỏi thì Device không trả lời, nếu Manager hỏi thì Device phải trả lời. Bằng cách hỏi thường xuyên, Manager sẽ luôn cập nhật được thông tin mới nhất từ Device. Hình 1.1 - Hình minh họa cơ chế Poll Phương thức Alert Nguyên tắc hoạt động : Mỗi khi trong Device xảy ra một sự kiện (event) nào đó thì Device sẽ tự động gửi thông báo cho Manager, gọi là Alert. Manager không hỏi thông tin định kỳ từ Device. Device chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện gì xảy ra. Chẳng hạn khi một port down/up thì Device sẽ gửi cảnh báo, còn tổng số byte truyền qua port đó sẽ không được Device gửi đi vì đó là thông tin thường xuyên thay đổi. Muốn lấy những thông tin thường xuyên thay đổi thì Manager phải chủ động đi hỏi Device, tức là phải thực hiện phương thức Poll. HÌnh 1.2- Hình minh họa cơ chế Alert So sánh phương thức Poll và Alert Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một ứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu cầu cụ thể trong thực tế. Bảng sau so sánh những điểm khác biệt của 2 phương thức : POLL ALERT Có thể chủ động lấy những thông tin cần thiết từ các đối tượng mình quan tâm, không cần lấy những thông tin không cần thiết từ những nguồn không quan tâm. Tất cả những event xảy ra đều được gửi về Manager. Manager phải có cơ chế lọc những event cần thiết, hoặc Device phải thiết lập được cơ chế chỉ gửi những event cần thiết. Có thể lập bảng trạng thái tất cả các thông tin của Device sau khi poll qua một lượt các thông tin đó. Nếu không có event gì xảy ra thì Manager không biết được trạng thái của Device. Trong trường hợp đường truyền giữa Manager và Device xảy ra gián đoạn và Device có sự thay đổi, thì Manager sẽ không thể cập nhật. Tuy nhiên khi đường truyền thông suốt trở lại thì Manager sẽ cập nhật được thông tin mới nhất do nó luôn luôn poll định kỳ. Khi đường truyền gián đoạn và Device có sự thay đổi thì nó vẫn gửi Alert cho Manager, nhưng Alert này sẽ không thể đến được Manager. Sau đó mặc dù đường truyền có thông suốt trở lại thì Manager vẫn không thể biết được những gì đã xảy ra. Chỉ cần cài đặt tại Manager để trỏ đến tất cả các Device. Có thể dễ dàng thay đổi một Manager khác. Phải cài đặt tại từng Device để trỏ đến Manager. Khi thay đổi Manager thì phải cài đặt lại trên tất cả Device để trỏ về Manager mới. Nếu tần suất poll thấp, thời gian chờ giữa 2 chu kỳ poll (polling interval) dài sẽ làm Manager chậm cập nhật các thay đổi của Device. Nghĩa là nếu thông tin Device đã thay đổi nhưng vẫn chưa đến lượt poll kế tiếp thì Manager vẫn giữ những thông tin cũ. Ngay khi có sự kiện xảy ra thì Device sẽ gửi Alert đến Manager, do đó Manager luôn luôn có thông tin mới nhất tức thời. Có thể bỏ sót các sự kiện : khi Device có thay đổi, sau đó thay đổi trở lại như ban đầu trước khi đến lượt poll kế tiếp thì Manager sẽ không phát hiện được. Manager sẽ được thông báo mỗi khi có sự kiện xảy ra ở Device, do đó Manager không bỏ sót bất kỳ sự kiện nào. Giới thiệu giao thức SNMP SNMP là “giao thức quản lý mạng đơn giản”, như vậy thế nào là giao thức quản lý mạng đơn giản. Giao thức là một tập hợp các thủ tục mà các bên tham gia cần tuân theo để có thể giao tiếp được với nhau. Trong lĩnh vực thông tin, một giao thức quy định cấu trúc, định dạng (format) của dòng dữ liệu trao đổi với nhau và quy định trình tự, thủ tục để trao đổi dòng dữ liệu đó. Nếu một bên tham gia gửi dữ liệu không đúng định dạng hoặc không theo trình tự thì các bên khác sẽ không hiểu hoặc từ chối trao đổi thông tin. SNMP là một giao thức, do đó nó có những quy định riêng mà các thành phần trong mạng phải tuân theo. Một thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là “có hỗ trợ SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMP compartible). SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông tin, có thể được thông báo, và có thể tác động để hệ thống hoạt động như ý muốn. VD một số khả năng của phần mềm SNMP : + Theo dõi tốc độ đường truyền của một router, biết được tổng số byte đã truyền/nhận. + Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống bao nhiêu. + Tự động nhận cảnh báo khi switch có một port bị down. + Điều khiển tắt (shutdown) các port trên switch. SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trên nền TCP/IP và quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng không nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl gateway, và cả một số phần mềm cho phép quản trị bằng SNMP. SNMP là giao thức đơn giản, do nó được thiết kế đơn giản trong cấu trúc bản tin và thủ tục hoạt động, và còn đơn giản trong bảo mật (ngoại trừ SNMP version 3). Sử dụng phần mềm SNMP, người quản trị mạng có thể quản lý, giám sát tập trung từ xa toàn mạng của mình. Ưu điểm của thiết kế SNMP SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần trong mạng. Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn ít chi phí (trong chương 5 tác giả sẽ trình bày cách xây dựng phần mềm giám sát SNMP, bạn sẽ thấy tính đơn giản của nó). SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám sát. Không có giới hạn rằng SNMP có thể quản lý được cái gì. Khi có một thiết bị mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế “custom” SNMP để phục vụ cho riêng mình (trong chương 3 tác giả sẽ trình bày file cấu trúc dữ liệu của SNMP). SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế của các thiết bị hỗ trợ SNMP. Các thiết bị khác nhau có hoạt động khác nhau nhưng đáp ứng SNMP là giống nhau. Các phiên bản của SNMP SNMP có 4 phiên bản : SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động. Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3. Do đó trong 3 chương đầu của tài liệu này tác giả sẽ trình bày các vấn đề theo chuẩn SNMPv1. Các phiên bản của SNMP sẽ được trình bày kỹ trong phần sau. Các thành phần chính của giao thức SNMP Trong SNMP có 3 vấn đề cần quan tâm: Manager, Agent và MIB (Management Information Base). MIB là cơ sở dữ liệu dùng phục vụ cho Management và Agent. Management là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng. Management có thể xem như là NMS (Network Manager Stations). NMS có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong mạng. Các cảnh báo của Agent là cách mà Agent báo với NMS khi có sự cố xảy ra . Cảnh báo của Agent được gửi một cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS. MNS dựa trên nề các thông tin trả lời của Agent để có các phương án giúp mạng hoạt động hiểu quả hơn . Agent là một phần trong các chương trình chạy trên các thiết bị mạng cần quản lý. Nó có thể là một chương trình độc lập, hoặc được tích hợp vào hệ điều hành như IOS của Cisco trên Router. Ngày nay, đa số các thiết bị mạng hoạt động tới lớp IP được cài đặt SNMP agent. Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ, công việc của người quản trị hệ thống mạng đơn giản hơn. Các Agent cung cấp thông tin cho NMS bắng cách lưu trữ bằng cách lưu trữ các hoạt động khác nhau của thiết bị. MIB: Không có sự hạn chế nào khi NMS gửi một truy vấn đồng thời Agent gửi một cảnh báo. MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà Agent lưu trữ được. Bất kỳ thông tin nào mà NMS có thể truy cập được đều được định nghĩa trong MIB . Một Agent có thể có nhiều MIB nhưng tất cả các Agent đều có một loại MIB gọi là MIB-II được định nghĩa trong RFC 1213. MIB-I là bản gốc của MIB nhưng ít dùng khi MIB-II được đưa ra . Bất kỳ thiết bị nào hỗ trợ SNMP đều phải hỗ trợ MIB-II. MIB-II định nghĩa các tham số như tình trạng interface (tốc độ của interface, MTU, các octet gửi, các octet nhận,…) hoặc các tham số gắng liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống,…). Mục đích chính của MIB –II là cung cấp các thông tin quản lý theo TCI/IP. Có nhiều kiểu MIB giúp quản lý cho các mục đích khác nhau: + ATM MIB (RFC 2515) + Frame Relay DTE Interface Type MIB (RFC 2115) + BGP Version 4 MIB (RFC 1657) + RDBMS MIB (RFC 1697) + RADIUS Authentication Server MIB (RFC 2619) + Mail Monitoring MIB (RFC 2249) + DNS Server MIB (RFC 1611) Nhưng nhà sản xuất cũng như người sử dụng có thể định nghĩa các biến MIB riêng cho họ trong từng tình huống quản lý cuả họ. Các thực thể của hệ thống quản lý mạng Ban đầu, hệ thống quản lý mạng được xây dựng dựa trên mô hình khá đơn giản. Quản lý được định nghĩa là sự tương tác qua lại giữa hai thực thể: thực thể quản lý và thực thể bị quản lý. Thực thể quản lý đặc trưng bởi hệ thống quản lý, nền tảng quản lý (flatform) và ứng dụng quản lý. Hình 1.3-Mô hình nền tản quản lý Thực thể quản lý Thực thể bị quản lý Agent cũng có thể là Agent quản lý hoặc Agent bị quản lý. Manager chính là thực thể quản lý, trong khi đó Agent làm thực thể ẩn dưới sự tương tác giữa Manager và các nguồn tài nguyên bị quản lý thực sự. Mô hình Manager – Agent rất thôn dụng, dùng để mô tả thực thể quản lý và thực thể bị quản lý ở lớp cao. Đây cũng chính là lý do mà các mô hình được tạo ra tự nhiên cho mục đích quản lý đều gần với mô hình Manager – Agent. Tuy nhiên trong thực tế mô hình này phức tạp hơn nhiều. Có một số mô hình khác cũng dùng cho việc trao đổi thông tin quản lý như mô hình Client – Server hay mô hình Application – Object server. Nhưng mô hình này, về bản chất dùng để xây dựng các ứng dụng phân bố hoặc các môi trường đối tượng phân bố. Hình 1.4 - Mô hình quản lý Manager – Agent thực thể Người điều hành mạng Manager Agent Các chính sách quản lý và chỉ dẫn vận hành Quan điểm quản lý Manager – Agent thực thể Các quan điểm về quản lý cho rằng chức năng quan trọng nhất trong quản lý là quan hệ giữa thực thể quản lý và thực thể bị quản lý. Điều này dựa trên mô hình phản hồi. Manager sẽ yêu cầu từ Agent các thông tin quản lý đặc trưng và thực thể bị quản lý , thông qua Agent, sẽ được quản lý lại bằng thông tin chứa đầy đủ các yêu cầu. Nếu thông tin yêu cầu phản hồi được sử dụng liên tục để tìm kiếm mỗi Agent và các đối tượng bị quản lý tương ứng thì cơ chế này gọi là polling và lần đầu tiên được ứng dụng để quản lý trong môi trường internet dựa trên giao thức quản lý mạng đơn giản SNMP. - Đọc và thay đổi cấu hình - Đọc và thay đổi trạng thái - Đọc hiệu suất hoặc thông tin về thống kê lỗi Quản lý mạng (Network Management station) Hình 1.5 - Mô hình quản lý - Dữ liệu cấu hình - Các thông số trạng thái - Các thông số thống kê - Đáp ứng các yêu cầu - Báo cáo các vấn đề nghiêm trọng hoặc các sự kiện nghiêm trọng xảy ra AGENT ỨNG DỤNG ỨNG DỤNG PHẦN MỀM QUẢN LÝ KHÁI NIỆM GIAO THỨC SNMP SNMP gồm hai đối tượng chính: người quản lý và người phục vụ (Agent). Agent bao gồm cả một phần của phần mềm trong máy. SNMP Agent tồn tại ở tất cả các phần của thiết bị , tuy nhiên thiết lập Agent không cho phép làm bất cứ gì cho đến khi hỏi người quản lý. Đây là một chương trình riêng lẻ, người quản trị chạy chính máy của mình để hỏi những câu hỏi đến máy Agent để thu thập thông tin. Thiết lập thông tin được gọi là MIB (Management Information Base) cơ sở quản lý thông tin. Hầu hết mỗi Agent đều có những MIB nhỏ cho phép người quản trị xem những gói tin nhập xuất của hệ thống. Ngoài MIB cơ bản này, mỗi Agent hỗ trợ những MIB khác nhau chứa đựng thông tin về mục đích đặc biệt của nó. Một giao tiếp (community) SNMP là mối quan hệ logic giữa người phục vụ SNMP và một hoặc nhiều người quản lý. Một community gồm có tên và tất tất cả những thành viên trong community có cùng một quyền truy cập như nhau. Thao tác TRAP gửi những thông tin đến trạm quản lý ( Management Station) khi một đối tượng được thay đổi (cho thấy rằng việc thay đổi quan trọng đến việc phải gởi những thông báo) Mặc định chuỗi community cung cấp kiểm tra hay đọc những khả năng thì thường xuyên được biết đến mặc định sự điều khiển hay viết những chuỗi community thì thường xuyên được giấu kín. SNMP khai thác những thuận lợi của những chuỗi community mặc định để cho phép người tấn công thu thập thông tin về những thiết bị sử dụng những chuỗ community chung, hay người tấn công có thể thay đổi cấu hình hệ thống sử dụng những chuỗi community kín đáo. CẤU TRÚC VÀ ĐẶC ĐIỂM CỦA THÔNG TIN QUẢN LÝ (SMI) SMI (Structure Management Information) định nghĩa một cơ cấu tổ chức chung cho thông tin quản lý. SMI nhận dạng các kiểu dữ liệu trong MIB và chỉ rõ cách thức miêu tả và đặt tên các tài nguyên trong MIB. SIM duy trì tính đơn giản và khả năng mở rộng trong MIB, vì thế MIB chỉ lưu trữ những loại dữ liệu đơn giản. SMI không cung cấp cách tạo hoặc truy xuất các cấu trúc dữ liệu phức tạp. Các MIB sẽ chứa các loại dữ liệu do nhà cung cấp tạo ra. Để cung cấp phương thức tiêu chuẩn biểu diễn thông tin quản trị SMI cần những công việc sau: + Cung cấp kĩ thuật tiêu chuẩn để định nghĩa cấu trúc MIB đặc biệt.lư + Cung cấp kĩ thuật tiêu chuẩn để định nghĩa các đối tượng đơn lẻ, bao gồm cú pháp và giá trị mỗi đối tượng . + Cung cấp kĩ thuật tiêu chuẩn để mã hóa các giá trị đối tượng. Sự mô tả các đối tượng quản lý được SMI thực hiện thông qua ngôn ngữ ASN. 1 Việc định nghĩa đối tượng gồm 5 trường: + Object: Tên đối tượng + Systax: Cú pháp cho loại đối tượng. + Definition : Các định nghĩa + Truy cập (Access): Có thể là chỉ đọc, đọc – ghi, không thể truy cập. + Trạng thái (Status): Có thể cưỡng chế, tùy chọn hay không còn hiệu lực SNMPv2 SNMPv2 tích hợp khả năng liên điều hành từ manager tới manager và hai đơn vị dữ liệu giao thức mới. Khả năng liên kết điều hành manager-manager cho phép SNMP hỗ trợ quản lí mạng phân tán trong một trạm và gửi báo cáo tới một trạm khác. Để hỗ trợ tương tác tốt nhất, SNMPv2 thêm các nhóm cảnh báo và sự kiện vào trong cơ sở thông tin quản lí MIB. Nhóm cảnh báo cho phép đặt ngưỡng thiết lập cho các bản tin cảnh báo. Nhóm sự kiện được đưa ra khi thông tin Trap xác định các giá trị phần tử MIB. Hai đơn vị dữ liệu giao thức PDU (Protocol Data Unit) là GetbulkRequest và InformRequest. Các PDU này liên quan tới xử lý lỗi và khả năng đếm của SNMPv2. Xử lý lỗi trong SNMPv2 đi kèm với các đối tượng yêu cầu cho phép trạm quản lí lập trình đặt các phương pháp khôi phục hoặc dừng truyền bản tin. Khả năng đếm trong SNMPv2 sử dụng bộ đếm 64 bit (hoặc 32) để duy trì trạng thái của các liên kết và giao diện. Hình 1.6 - Cấu trúc dạng bản tin SNMPv2 Cấu trúc bản tin SNMPv2 Các bản tin trao đổi trong SNMPv2 chứa các đơn vị dữ liệu giao thức PDU. Hình trên mô tả cấu trúc chung các bản tin này. + Trường phiên bản (Version) thể hiện phiên bản của giao thức SNMPv2. + Trường Community là một chuỗi password xác nhận cho cả tiến trình lấy và thay đổi dữ liệu. SNMP PDU chứa kiểu điều hành (get, set), yêu cầu đáp ứng (cùng số thứ tự với bản tin gửi đi) - cho phép người điều hành gửi đồng thời nhiều bản tin. Biến ghép gồm các thiết bị được đặc tả trong RFC 2358 và chứa cả giá trị đặt tới đối tượng. Trường đơn vị dữ liệu giao thức (PDU) gồm có các trường con: Kiểu đơn vị dữ liệu giao thức, nhận dạng các yêu cầu (Request ID), trạng thái lỗi, chỉ số lỗi, các giá trị và đối tượng. Các kiểu đơn vị dữ liệu giao thức PDU thể hiện các bản tin sử dụng trong SNMPv2 gồm có: GetRequest,GetNextRequest, SetRequest, GetResponse, Trap, GetBulkReques, InformRequest . Cơ sở thông tin quản lí MIB trong SNMPv2 IB trong SNMPv2 định nghĩa các đối tượng mô tả tác động của một phần tử NMPv2. MIB này gồm 3 nhóm: + Nhóm hệ thống (System group): là một mở rộng của nhóm system trong MIB-II gốc, bao gồm một nhóm các đối tượng cho phép một Agent SNMPv2 mô tả các đối tượng tài nguyên của nó. Các đối tượng mới trong phần mở rộng có tên bắt đầu bằng sysOR, chúng liên quan đến tài nguyên hệ thống và được sử dụng bởi một Agent SNMPv2 để mô tả các đối tượng tài nguyên mà việc điều khiển chúng tuỳ thuộc vào cấu hình động bởi một bộ phận quản lí. + Nhóm SNMP (SNMP group): một cải tiến của nhóm SNMP trong MIB-II gốc, bao gồm các đối tượng cung cấp các công cụ cơ bản cho hoạt động giao thức. Nó có thêm một số đối tượng mới và loại bỏ một số đối tượng ban đầu. Nhóm SNMP chứa một vài thông tin lưu lượng cơ bản liên quan đến toán tử SNMPv2 và chỉ có một trong các đối tượng là bộ đếm chỉ đọc 32-bit. + Nhóm các đối tượng MIB (MIB objects group): một tập hợp các đối tượng liên quan đến các SNMPv2-Trap PDU và cho phép một vài phần tử SNMPv2 cùng hoạt động, thực hiện như trạm quản trị, phối hợp việc sử dụng của chúng trong toán tử Set của SNMPv2. Phần đầu của nhóm này là một nhóm con, snmpTrap, bao gồm hai đối tượng liên quan đến Trap: + snmpTrapOID: là nhận dạng đối tượng của Trap hoặc thông báo được gửi hiện thời. Giá trị của đối tượng này xuất hiện như một varbind (variable binding) thứ hai trong mọi SNMPv2-Trap PDU và InformRequest PDU. + snmpTrapEnterprise: là nhận dạng đối tượng của tổ chức liên quan đến Trap được gửi hiện thời. Khi một Agent uỷ quyền SNMPv2 ánh xạ một Trap PDU sang một SNMPv2-Trap PDU, biến này xuất hiện như một varbind cuối cùng. Phần thứ hai của nhóm này là một nhóm con, snmpSet, bao gồm một đối tượng đơn snmpSerialNo. Đối tượng này được sử dụng để giải quyết hai vấn đề có thể xuất hiện khi sử dụng toán tử Set: Thứ nhất là một quản trị có thể sử dụng nhiều toán tử Set trên cùng một đối tượng MIB. Các toán tử này cần thực hiện theo một trật tự được đưa ra thậm chí khi chúng được truyền không theo thứ tự. Thứ hai là việc sử dụng đồng thời các toán tử Set trên cùng một đối tượng MIB bởi nhiều manager có thể gây ra một sự mâu thuẫn hoặc làm cho cơ sở dữ liệu bị sai. Đối tượng snmpSet được sử dụng theo cách sau: Khi một manager muốn đặt một hay nhiều giá trị đối tượng trong một Agent, đầu tiên nó nhận giá trị của đối tượng snmpSet. Sau đó nó gửi SetRequest PDU có danh sách biến liên kết bao gồm cả đối tượng snmpSet với giá trị đã nhận được của nó. Nếu nhiều manager gửi các setRequestPDU sử dụng cùng một giá trị của snmpSet, bản tin đến Agent trước sẽ được thực hiện (giả sử không có lỗi), kết quả là làm tăng snmpSet; các toán tử set còn lại sẽ bị lỗi vì không phù hợp với giá trị snmpSet. Hơn nữa, nếu một manager muốn gửi một chuỗi các toán tử set và đảm bảo rằng chúng được thực hiện theo một trật tự nhất định thì đối tượng snmpSet phải được gộp vào trong mỗi toán tử. Nguyên tắc hoạt động của SNMP Truyền một bản tin SNMPv2 Hình 1.7-Gửi và nhận bản tin trong SNMPv2 Qui tắc gửi và nhận bản tin của Manager và Agent được thể hiện trong bảng sau: SNMPv2 PDU Agent Generate Agent Receive Manager Generate Manager Receive GetRequest X X GetRequest X X Response X X X SetRequest X X GetBulkRequest X X InformRequest X X SNMPv2-Trap X X Một phần tử SNMPv2 thực hiện các hành động sau để truyền một PDU cho một phần tử SNMPv2 khác: + Sử dụng ASN.1 để mô tả một PDU. + PDU này được chuyển sang dịch vụ xác nhận cùng với các địa chỉ nguồn và đích của truyền thông và một tên truyền thông. Dịch vụ xác nhận sau đó thực hiện những biến đổi bất kỳ theo yêu cầu cho sự trao đổi này như mã hoá hoặc thêm mã xác nhận và trả lại kết quả. + Phần tử giao thức sau đó tạo ra bản tin gồm trường số hiệu phiên bản, tên truyền thông vào kết quả của bước trên. + Đối tượng ASN. 1 mới này sau đó được mã hoá sử dụng BER và gửi đến dịch vụ vận chuyển. Nhận một bản tin SNMPv2 Một phần tử SNMPv2 thực hiện các hành động sau để nhận một bản tin SNMPv2: + Kiểm tra cú pháp cơ bản của bản tin và loại bỏ bản tin nếu cú pháp sai. + Kiểm tra số hiệu phiên bản và loại bỏ bản tin nếu không tương hợp. + Phần tử giao thức sau đó chuyển trên người sử dụng, phần PDU của bản tin và các địa chỉ nguồn và đích của bản tin tới dịch vụ xác nhận. Nếu xác nhận bị sai, dịch vụ xác nhận bản tin cho phần tử giao thức SNMPv2 nơi tạo ra Trap và loại bỏ bản tin. Nếu xác nhận hoàn thành dịch vụ xác nhận trả lại một PDU theo dạng của một đối tượng ASN.1. + Phần tử giao thức thực hiện kiểm tra cú pháp cơ bản của bản tin và loại bỏ bản tin nếu cú pháp sai. Ngược lại dùng truyền thông theo tên, chính sách truy cập SNMPv2 tương ứng sẽ được chọn và tiếp đến là xử lý PDU. Các trạng thái thích ứng cho SNMPv2 Mục đích của các trạng thái thích ứng là để định nghĩa một thông báo dùng để chỉ rõ giới hạn thấp nhất có thể chấp nhận khi thực hiện ở mức thông thường. Có 4 macro được định nghĩa: - Macro OBJECT-GROUP: Macro này dùng để chỉ rõ một nhóm đối tượng được quản lý có liên quan và là đơn vị cơ bản của tính thích ứng. Nó cung cấp một phương thức cho một nhà sản xuất mô tả tính thích ứng và cấp độ của nó bằng cách chỉ ra những nhóm nào được bổ sung. Macro OBJECTGROUP gồm 4 mệnh đề chính sau: Mệnh đề OBJECTS: liệt kê các đối tượng trong nhóm có giá trị mệnh đề MAX-ACCESS là accessible-for-Notify, read-Only, read-write hoặc read-create. Mệnh đề STATUS: chỉ ra định nghĩa này là hiện thời hay đã qua. Mệnh đề DESCRIPTION: chứa một định nghĩa nguyên bản của nhóm cùng với một mô tả của bất kỳ quan hệ nào với nhóm khác. Mệnh đề REFERENCE: dùng để gộp tham chiếu qua lại vào một nhóm được định nghĩa trong một vài khối thông tin khác. - Macro NOTIFICATION-GROUP: Được dùng để định nghĩa một tập hợp các thông báo cho các mục đích thích ứng, gồm các mệnh đề chính sau: Mệnh đề NOTIFICATIONS: Liệt kê mỗi thông báo chứa trong nhóm thích ứng. Các mệnh đề STATUS, DESCRIPTION và REFERENCE: có ý nghĩa tương tự như trong macro OBJECTS-GROUP - Macro MODULE-COMPLIANCE: Chỉ ra một tập nhỏ nhất của các yêu cầu liên quan đến việc thêm một hay nhiều khối MIB. Các mệnh đề STATUS, DESCRIPTION, và REFERENCE có ý nghĩa tương tự như trong các macro OBJECTS-GROUP và NONTIFICATION-GROUP. - Macro AGENT-CAPABILITIES: Dùng để cung cấp thông tin về các khả năng có trong một phần tử giao thức Agent SNMPv2. Nó được sử dụng để mô tả mức độ hỗ trợ đặc biệt mà một Agent yêu cầu, liên quan đến một nhóm MIB. Về bản chất, các khả năng thể hiện những cải tiến hoặc biến đổi nhất định liên quan đến các macro OBJECT-TYPE trong các khối MIB. SNMPv3 Như đã trình bày ở các phần trên, bản thân SNMPv2 đã có phần bảo đảm bảo mật được thêm vào. Tuy nhiên phần này chưa được tạo sự đồng thuận của người sử dụng do tính tiện lợi và bảo mật của nó. Để sửa chữa những thiếu hụt của nó,SNMPv3 được giới thiệu như một chuẩn đề nghị cho những lĩnh vực quản trị mạng và được trình bày chi tiết lần đầu tiên vào năm 1998 với các tài liệu RFC2271-RFC2275. Chuẩn này đưa ra nhằm hoàn thiện hơn vấn đề quản trị và bảo mật. Mục đích chính của SNMPv3 là hỗ trợ kiến trúc theo kiểu module để có thể dễ dàng mở rộng. Theo cách này, nếu các giao thức bảo mật mới được mở rộng chúng có thể được hỗ trợ SNMPv3 bằng cách định nghĩa như là các module riêng. Cơ sỡ thông tin quản trị và các dạng thông tin sử dụng trong SNMPv3 cũng hoàn toàn tương tự trong SNMPv3. Các đặc điểm mới của SNMP v3 SNMPv3 dựa trên việc thực hiện giao thức, loại dữ liệu và ủy quyền như SNMPv2 và cải tiến phần an toàn. SNMPv3 cung cấp an toàn truy cập các thiết bị bằng cách kết hợp sự xác nhận và mã hóa gói tin trên mạng. Những đặc điểm bảo mật cung cấp trong SNMPv3 + Tính toàn vẹn thông báo: đảm bảo các gói tin không bị sửa trong khi truyền . + Sự xác nhận: xác nhận nguồn của thông báo gửi đến. + Mã hóa: đảo nội dung của gói ngăn cản việc gửi thông báo từ nguồn không được xác nhận. SNMPv3 cung cấp mô hình an toàn và các mức an toàn. Mô hình an toàn là thực hiện việc xác nhận được thiết lập cho người sử dụng và nhóm các người sử dụng hiện có . Mức an toàn là mức bảo đảm an toàn trong mô hình an toàn . Sự kết hợp của mô hình an toàn và mức an toàn sẽ xác định cơ chế an toàn khi gửi một gói tin. Tuy nhiên việc sử dụng SNMPv3 rất phức tạp và cồng kềnh. Tuy nhiên đây là sự lựa chọn tốt nhất cho vấn đề bảo mật của mạng. Nhưng việc sử dụng sẽ tốn rất nhiều tài nguyên do trong mỗi bản tin truyền đi sẽ có phần mã hóa BER. Nó sẽ chiếm một phần băng thông đường truyền do đó làm tăng phí tổn mạng. Mặc dù được coi là phiên bản đề nghị cuối cùng và được coi là đầy đủ nhất nhưng SNMPv3 vẫn chỉ là tiêu chuẩn dự thảo và vẫn đang được nghiên cứu hoàn thiện. Hỗ trợ bảo mật và xác thực trong SNMPv3 Một trong những mục tiêu chính – nếu không coi là một mục đích chính chính – khi phát triển SNMPv3 đó là thêm đặc tính bảo mật cho quản lí SNMP. Xác thực và bảo vệ thông tin, cũng như xác thực và điều khiển truy cập, đã được nêu rõ ở trên. Cấu trúc SNMPv3 cho phép sử dụng linh hoạt bất cứ một giao thức nào cho xác thực và bảo vệ thông tin. Dù sao, nhóm IETF SNMPv3 đã đưa ra mô hình bảo mật người dùng. Chúng ta sẽ tìm hiểu thêm về các khía cạnh chung về bảo mật kết hợp với các kiểu của các mối đe doạ bảo mật, mô hình bảo mật, định dạng dữ liệu bản tin để điều tiết các tham số bảo mật và sử dụng cũng như quản lí của các khoá trong phần này. Các mối đe doạ bảo mật. Có 4 mối đe doạ đến thông tin quản lí mạng khi một thực thể quản lí được truyền đến thực thể khác đó là: + Thông tin có thể bị thay đổi bởi một người dùng không được phép nào đó trong khi truyền. + Người dùng không được phép cố gắng giả trang như người dùng được phép. + Thông tin SNMP được chia làm nhiều gói nhỏ để truyền đi theo nhiều hướng và phía nhận phải sắp xếp lại. Vì vậy nó có thể bị người nào đó làm trễ 1 gói tin, bị gửi lại do một người không được phép tạo ra ... làm thay đổi thông tin của bản tin. + Bị ngăn chặn hoặc bị lộ bản tin. Ít nhất có 2 mối đe doạ trên thường xảy ra với kết nối dữ liệu truyền thống, nhưng với mô hình bảo mật người dùng SNMP thì nó được coi là không có mối đe doạ. Thứ nhất là từ chối dịch vụ, một xác thực người dùng sẽ bị từ chối dịch vụ bởi thực thể quản lí. Nó không bị coi như mối đe doạ, khi mạng lỗi có thể là lý do của sự từ chối, và một giao thức sẽ thực thi mục đích này. Thứ hai là thống kê lưu lượng bởi một người dùng không xác thực. Nhóm IETF SNMv3 đã xác định rằng không có thuận lợi quan trọng nào đạt được bằng cách chống lại sự tấn công này. Mô hình bảo mật phân hệ bảo mật. Ở ví dụ hình 2.9 về kiến trúc thực thể của SNMPv3, chúng ta thấy rằng bản tin gửi đi sẽ được tạo bởi một ứng dụng và kiểm soát đầu tiên bởi bộ giao vận, sau đó bởi mô hình xử lý bản tin, cuối cùng là mô hình bảo mật. Nếu bản tin cần được xác thực, mô hình bảo mật sẽ xác thực nó và chuyển tiếp đến mô hình xử lý bản tin. Tương tự với bản tin đến, mô hình xử lý bản tin yêu cầu dịch vụ này của mô hình bảo mật để xác thực chỉ số người dùng. Hình 2.14 chỉ ra các dịch vụ được cung cấp bởi 3 module – module xác thực, module riêng và module định thời – trong mô hình bảo mật tới mô hình xử lý bản tin. Hình 1.8-Mô hình bảo mật Mô hình bảo mật trong SNMPv3 là mô hình bảo mật người dùng (User-base Security Model viết tắt là USM). Nó phản ánh khái niệm tên người dùng truyền thống. Như chúng ta đã định nghĩa giao diện dịch vụ trừu tượng giữa các phân hệ khác nhau trong thực thể SNMP, bây giờ chúng ta sẽ định nghĩa giao diện dịch vụ trừu tượng trong USM. Các định nghĩa này bao trùm lên khái niệm về giao diện giữa dịch vụ giống USM và xác thực không phụ thuộc và dịch vụ riêng. Hai primitive được kết hợp với một dịch vụ xác thực, một tạo ra bản tin xác thực đi, và một để kiểm tra bản tin xác thực đến. Tương tự, 2 primitive được kết hợp với các dịch vụ riêng: encryptData để mã hoá bản tin đi và decryptData để giải mã bản tin đến. Các dịch vụ được cung cấp bởi module xác thực và module riêng trong phân hệ bảo mật cho bản tin đi và bản tin đến. Mô hình xử lý bản tin dẫn chứng cho USM trong phân hệ bảo mật. Dựa trên mức bảo mật gắn trên bản tin, USM lần lượt được dẫn qua module xác thực và module riêng. Kết quả được đưa trở lại mô hình xử lý bản tin bởi USM. GIÁM SÁT HỆ THỐNG MẠNG VỚI PHẦN MỀM COLASOFT CAPSA GIỚI THIỆU CHUNG. Colasoft Capsa được thiết kế cho việc giải mã gói tin và chuẩn đoán hệ thống mạng, giám sát lưu lượng mạng truyền qua một hệ thống mạng nội bộ, giúp các quản trị viên khắc phục các vấn đề về hệ thống mạng. Với khả năng nắm bắt thời gian thật gói dữ liệu và phân tích dữ liệu chính xác, Colasoft Capsa làm cho hệ thống mạng trong suốt , cho phép người quản trị nhanh chóng xác định vị trí những vấn trong hệ thống mạng và phát hiện được các mối nguy hiểm tiềm ẩn. Chúng ta có thể cài đặt Colasoft Capsa trên máy tính xách tay và phân tích, theo dõi và chuẩn đoán bất kỳ nơi nào trong hệ thống mạng của vào bất cứ lúc nào. Để tìm ra vị trí chính xác và phân tích vấn đề hiệu quả, người quản trị có thể sử dụng các ứng dụng phân tích trong thời gian thực. Colasoft Capsa 7 với giao diện thân thiện với người , hiển thị các số liệu thống kê phân tích đơn giản. Các số liệu thống kê có tổ chức, với các biểu đồ giúp các quản trị viên rút ngắn thời gian trong việc tìm kiếm các thông tin và chuẩn đoán các vấn đề trong hệ thống mạng. Colasoft Capsa 7 nâng cao trong hệ thống mạng có lưu lượng truy cập lớn. Không có vấn đề nào trong hệ thống mạng 100M hoặc 1000M, Colasoft Capsa cung cấp cho chúng ta giải pháp hiệu quả và hoàn thành tốt nhiệm vụ phân tích hệ thống mạng. Với sự giúp đỡ của Colasoft Capsa, chúng ta có thể dễ dàng thực hiện các nhiệm vụ sau đây: Phân tích lưu lượng mạng Giám sát mạng truyền thông Chuẩn đoán các vấn đề liên quan đến hệ thống mạng Phân tích các vấn đề về bảo mật mạng Phân tích hiệu suất hoạt động của hệ thống mạng Phân tích các giao thức mạng Colasoft Capsa có thể phân tích hệ thống mạng của lớp thấp nhất đến lớp ứng dụng, để nó có thể phát hiện ra tất cả những những vấn đề liên quan đến hệ thống mạng của chúng ta. Colasoft Capsa có thể kết hợp với các công cụ quản lý mạng khác, để từ đó có thể tối ưu hệ thống mạng. Các phiên bản của Colasoft Capsa . Hiện Colasoft Capsa có 3 phiên bản phục vụ cho các mục đích khác nhau như sau: - Capsa Enterprise: đây là sản phẩm chủ lực của Colasoft, có tất cả các chức năng của Capsa Enterprise và Capsa WiFi, phân tích các ưu điểm tăng cường an ninh cho hệ thống mạng. Nó cung cấp cho người dùng những khả năng giám sát, khắc phục sự cố, và phân tích cả hai mạng có dây và không dây và dễ dàng và nhanh chóng phát hiện, cô lập và giải quyết các vấn đề mạng bằng cách cung cấp các đồ thị sinh động, thống kê thông tin đa dạng và thời gian thực với một giao diện được thiết kế thân thiện với người dùng. Capsa Enterprise cho phép quản trị viên xác định, chẩn đoán, và giải quyết các vấn đề về mạng và đảm bảo tài nguyên mạng của họ là an toàn. - Capsa Professional: Capsa Professional cho phép các quản trị viên và các chuyên gia mạng có một tầm nhìn toàn diện cho toàn bộ hệ thống mạng Ethernet của mình. Nó thực hiện việc giám sát thời gian thực, xử lý sự cố và phân tích, cung cấp cho người quản trị một cái nhìn bao quát về lưu lượng mạng và hiệu năng sử dụng trong toàn mạng. - Capsa WiFi: đây là sản phẩm mới của dòng sản phẩm phân tích hệ thống mạng Colasoft, cung cấp các tính năng chuyên nghiệp để theo dõi lưu lượng trong hệ thống mạng WLAN, nắm bắt và phân tích cho bất kỳ chuẩn mạng không dây nào như 802.11 a / b/g/n. Yêu cầu hệ thống Yêu cầu tối thiểu: + CPU P4 2.8GHz + 2 GB RAM + Internet Explorer 6.0 Yêu cầu khuyến nghị: + CPU Intel Core Duo 2.4GHz + 4 GB RAM hoặc nhiều hơn + Internet Explorer 6.0 hoặc cao hơn Các hệ điều hành hỗ trợ + Windows XP + Windows Server 2003 + Windows Vista + Windows 2008 + Windows 7 Giới thiệu giao diện sử dụng Colasoft Capsa 7 Hình 2.1 – Giao diện chọn mạng quản lý Hình 2.2 – Giao diện quản lý chính Cài đặt Colasoft Capsa 7 Colasoft Capsa 7 là một sản phẩm thương mại, do đó chúng ta cần phải đăng ký mua sản phẩm hoặc sử dụng bản dùng thử hoặc sử dụng bản Free sẽ bị hạn chế một số tính năng. Tiến hành download phiên bản mới nhất của Colasoft Capsa 7 tại địa chỉ: Sau khi download gói phần mềm Colasoft Capsa 7 về, chúng ta tiến hành cài đặt. Trong quá trình cài đặt có một số điểm đáng chú ý sau đây: Hình 2.3 – Giao diện bắt đầu cài đặt Hình 2.4 – Giao diện thông tin phiên bản cài đặt Hình 2.5- Quá trình cài đặt kết thúc CÁC TÍNH NĂNG CƠ BẢN CỦA PHẦN MỀM. Theo dõi và lưu dữ liệu truyền qua mạng nội bộ và thực hiện với thời gian thực và phân tích sau sự kiện. Xác định và phân tích hơn 300 giao thức mạng, cũng như các ứng dụng mạng dựa trên các giao thức. Giám sát băng thông, bắt các gói tin truyền qua mạng và cung cấp bản tóm tắt và giải mã thông tin về các gói tin Xem các thống kê về hệ thống mạng một cách tóm tắt, cho phép dễ dàng nắm bắt và biết được các dữ liệu sử dụng trong hệ thống mạng Kịp thời có được các thông báo của hệ thống mạng bởi các cảnh báo và tìm được các host khả nghi Giám sát trên Internet, email, xem trang web và chia sẻ tập tin,…, giúp cho các quản trị viên làm việc dễ dàng hơn Chẩn đoán và sửa chữa các vấn đề hệ thống mạng trong vài giây bằng cách phát hiện và tìm các host nghi ngờ Thể hiện các bản chi tiết, bao gồm lưu lượng truy cập, địa chỉ IP và MAC của mỗi host trên mạng, cho phép nhận dạng từng máy và lưu lượng đi qua mỗi máy. Hình tượng hóa toàn mạng trong một hình elip, hiển thị các kết nối và lưu lượng truy cập trên mỗi host HƯỚNG DẪN SỬ DỤNG CÁC TÍNH NĂNG CỦA PHẦN MỀM. Mô hình triển khai Hình 2.5 – Mô hình quản lý hệ thống Mô hình gồm có 3 PC cài đặt hệ windows, 1 Router kết nối ra internet và mạng LAN và một máy tính cài đặt phần mềm giám sát hệ thống mạng Calasoft Capsa 7 Enterprise. Nhiệm vụ của Calasoft Capsa 7 Enterprise là thực hiện chức năng giám sát nắm bắt các gói tin tin trên mạng để phát hiện và ngăn chặn xâm nhập hệ thống. Giám sát hoạt động của hệ thống mạng Để chương trình có thể hoạt động thì chúng ta phải chọn ít nhất một card mạng được tích hợp trong máy tính. Nhấp vào biểu tượng Adapter tại tab Analysis: Sau khi click vào biểu tượng Adapter sẽ xuất hiện hộp thoại như sau: Colasoft Capsa hỗ trợ Card Ethernet và nhiều adapter . Người quản trị có thể phân tích và giám sát mạng từ nhiều hơn một adapter. Hộp thoại Network Adapter có hai phần sau đây: + Danh sách Network Adapter Colasoft Capsa xác định tất cả card trong máy và đọc các thông tin: Tên, địa chỉ IP và tốc độ, v v của tất cả các adapter. Ngoài ra, đếm số packet, byte, pps, bps đang sử dụng. + Sử dụng adapter đã chọn Khi chọn một adapter thì khi đó ta sử dụng đồ thị để theo dõi lưu lượng sử dụng của adapter đó, bằng cách di chuyển chuột lên cửa sổ, chúng ta có thể kiểm tra lưu lượng . Sử dụng bộ lọc Nếu không kích hoạt bộ lọc, Colasoft Capsa sẽ bắt và phân tích tất cả các gói tin truyền qua card mạng của máy tính; do đó bộ lọc thật sự cần cần thiết để lọc các gói tin mà ta không cần quan tâm. Một bộ lọc là một tập hợp các điều kiện đánh giá mà chương trình sử dụng để phù hợp với mỗi gói tin bị bắt. Nếu phù hợp với kết quả là dương tính, gói được chấp nhận và phân tích. Nếu khong phù hợp, chương trình sẽ bỏ qua nó. Trong Capsa, bạn có thể quản lý các bộ lọc của bạn thuận tiện và dễ dàng tạo một hình mới. Để có thể sử dụng công cụ lọc, chúng ta mở hộp thoại Filter như sau: Nhấp vào biểu tượng Filter tại tab Analysis: Hộp thoại Filter xuất hiện như sau: Hộp thoại Filter được chia thành ba phần: - Filter list : danh sách lọc hiển thị tất cả các bộ lọc bao gồm những bộ lọc do chính ta tạo ra. Có hai hộp checkbox để sự dụng cho tất cả các mục trong bộ lọc, với hộp checkbox người quản trị có thể cho phép gói dữ liệu nào cần theo dõi, hoặc bỏ qua tùy theo nhu cầu. Chúng ta có thể click đúp vào bất kỳ mục nào trong mục danh sách lọc để mở hộp thoại Packet Filter để tùy chỉnh các bộ lọc riêng theo yêu cầu. - Filter flow-chart: biểu đồ lọc sẽ được làm mới lại khi ta thực hiện bất kỳ một thay đổi nào tại danh sách lọc bên trái và lúc này ta sẽ thấy được cách các gói tin được xử lý khi Colasoft Capsa bắt chúng. Lúc này các gói tin phù hợp với điều kiện Accept truyền qua cho giai đoạn tiếp theo, các gói tin phù hợp với điều kiện Reject sẽ bị bỏ đi. -Buttons: Chúng ta có thể tìm thấy các nút sau đây dưới cùng của hộp thoại. Tất cả các nút được mô tả dưới đây: + Add: click vào đây để thêm một bộ lọc mới + Modify: Nhấn vào đây để chỉnh sửa bộ lọc với những yêu cầu riêng + Delete: Nhấn vào để xóa một một bộ lọc được lựa chọn + Import: Nhấn vào đây để tải lại bộ lọc được lưu trong một tập tin cscpfit *. Khi một tập tin bộ lọc nhập, tất cả các bộ lọc trong danh sách sẽ được thay thế. + Export: Nhấn vào đây để lưu tất cả các bộ lọc trong danh sách với một tập tin *. cscpfit. + Reset Default: Nhấn vào đây để thiết lập lại danh sách các bộ lọc. Tất cả các bộ lọc mà bạn tạo ra sẽ bị mất và các bộ lọc sẽ được thay thế ở chế độ mặc định Các thông tin về hệ thống mạng Network được thiết kế để lưu trữ các thuộc tính chung về các mạng khác nhau. Colasoft Capsa cho phép chúng ta lưu các thuộc tính phổ biến nhất được sử dụng, ví dụ: băng thông, cấu trúc hệ thống mạng, hệ thống cảnh báo. Khi cài đặt Colasoft Capsa trên một máy tính xách tay và cần phải di chuyển giữa các phân đoạn mạng khác nhau, chúng ta nên lưu các thuộc tính của hệ thống mạng trong một hồ sơ mạng và gọi lại những thông tin này khi ta quay lại hệ thống mạng một lần nữa. Với Tab Network Profile được trình bày như sau: Tab Network Profile chứa các mục sau đây - General Settings: chứa các mục + Profile Name: Tên về các profile mạng hiện tại. + Profile Description: mô tả ngắn gọn các thông tin về hệ thống mạng hiện tại được sử dụng + Bandwidth: thông tin về băng thông trong các phân đoạn mạng - Network Group: được sử dụng để tùy chỉnh mạng, ta có thể chia địa chỉ IP và địa chỉ MAC hiện tại thành các nhóm mạng khác nhau; vì vậy chúng ta có thể tiết kiệm được thời gian để khóa các host đang gặp vấn đề trong một nhóm. Dựa trên mạng hiện tại, tất cả các nút IP và MAC có thể được định nghĩa thành các nhóm khác nhau mà ta sẽ xác định lưu lượng truyền trong mạng cục bộ. - Name Table: được sử dụng để quản lý các alias về các địa chỉ IP, địa chỉ MAC và các cổng trong ports trong mạng. - Alarm Settings: cho phép ta quản lý tất cả các cảnh báo đã được tạo. Colasoft Capsa thông báo cho cho chúng ta biết một hoạt động cụ thể đã vi phạm các quy tắc cảnh báo. Với chế độ đặt cảnh báo chúng ta có thể đối với những bất thường trong hệ thống mạng ngay từ đầu thay vì nhận thấy chúng khi đã bị thiệt hại nặng. - Tab Summary: kết hợp với lựa chọn của trong cửa sổ Explorer Node, tab Summary cung cấp các thông tin rút gọn. Khi chúng ta chọn root node, ta có thể nhận được các số liệu thống kê về hệ thống mạng, nếu chọn một node cụ thể, nó sẽ xuất hiện các thông tin cụ thể của node đó. Tab Summaryđược mô tả như sau: Phân tích các thông tin trong hệ thống mạng Quá trình phân tích các thông tin có được giúp chúng ta nâng cao hiệu quả sử dụng các thông tin đã được thống kê một cách hiệu quả. Để mở Analysis Profile Options chúng ta làm như sau: - Trên Tab Analysis Profile ta nhấp vào Analysis Object: Cửa sổ tùy chọn xuất hiện như sau Tại cửa sổ này, chúng ta có các thành phần như sau: + Analysis Object : thiết lập các đối tượng được phân tích, ví dụ: các giao thức, địa chỉ IP, địa chỉ vật lý,.. thiết lập chính xác các mục này sẽ giúp nâng cao hiệu quả sử dụng của chương trinh. + Packet Storage: giám sát lưu lượng truy cập trên mạng và lưu trữ các gói dữ liệu được phân tích vào bộ nhớ. Do đó, kích thước bộ đệm quyết định có bao nhiêu gói mà ta có thể nhìn thấy. Ta có thể thiết lập kích thước của bộ đệm dành riêng và cấu hình để lưu các gói được bắt lại vào đĩa. Thiết lập nhật ký Colasoft Capsa có thể phân tích và tạo các bản ghi lưu lượng tại tầng ứng dụng ví dụ: DNS, HTTP, Email, lưu lượng truy cập FTP, và theo dõi các tin nhắn MSN Messenger và Yahoo chat. Công cụ này cho phép chúng thiết lập để có được các bản ghi hữu ích hơn về các bản ghi lưu lượng truy cập. Để sử dụng công cụ này, ta nhấp chuột vào Log settings trên tab Analysis Profile. Sau khi click vào Log settings sẽ hiện ra cửa sổ mới với hai khung bao gồm như sau: - Khung bên trái liệt kê tất cả các loại bản ghi, chúng ta có thể bỏ chọn để vô hiệu hóa một số loại bản ghi theo nhu cầu của người quản trị. - Khung bên phải: hiển thị các thiết lập của các loại bản ghi đã được đánh dấu trong khung bên trái. - Colasoft Capsa có thể ghị lại các loại sau đây: + DNS Log + FTP log + HTTP Log + Email Log + MSN Log + Yahoo Messenger Log Tạo biểu đồ cho hệ thống mạng Colasoft Capsa cho phép bạn tạo các đồ thị một cách linh hoạt với bất kỳ host nào ta muốn; ví dụ như có một máy (IP: 192.168.137.150) và ta cần có một đồ thị về tổng lưu lượng của nó (bằng byte). Chúng ta có thể tạo một biểu đồ mới bằng cách sau: Trong cửa sổ Explorer Node Nhấp chuột vào trên thanh công cụ hoặc nhấp chuột phải vào bất kỳ node nào để tạo ra một đồ thị mới. Sau khi click đểu lập biểu thì hộp thoại lập biểu đồ xuất hiện như sau: Hộp thoại lập biểu đồ có các mục sau đây: + Graph Name: tên biểu đồ, tên này có thể được tự động tạo ra hoặc ta có thể nhập một tên mới. + Graph Object: xác định biểu đồ được lập sẽ dựa trên đối tượng được chọn này (192.168.137.150) + Statistics Counter: danh sách tất cả các số liệu thống kê có sẵn + Counter Unit: đơn vị tính toán, ta nhấn vào để chọn đơn vị hiển thị. Sau cùng nhấp OK để hoàn thành việc thiết lập để tạo biểu đồ. Tab Matrix Với tab Matrix sẽ hiển thị số liệu thống kê lưu lượng truy cập trên hệ thống với một biểu đồ hình elip. Chúng có thể nhanh chóng chuyển đổi giữa các số liệu thống kê trên toàn mạng và số liệu chi tiết từng nút mạng bằng cách chuyển đổi giữa các cửa sổ Node Explore. Giao diệncuar tab Matrix như sau: Khi di chuyển chuột lên một node mang, các đường kết nối giữa giữa các node sẽ được đánh dấu và in đậm. Một hộp đầu cho thấy các số liệu thống kê của nút này, một hột hộp thoại sẽ hiển thị các số liệu thống kê của node này. Việc xem matrix sẽ giúp chúng ta có được các thông tin sau: + Tất cả các node trong hệ thống mạng. + Các giao tiếp trong hệ thống được hiển thị với địa chỉ MAC + Các giao tiếp trong hệ thống được hiển thị với địa chỉ IP + Các thông tin về các gói tin đã được gởi và nhận tại node đó … Phát hiện các cuộc tấn công ARP ARP là một trong những cuộc tấn công phổ biến nhất trong những ngày gần đây, nó có thể gây ra vấn đề nghiêm trọng cho hệ thống của chúng ta. Làm thế nào để nhanh chóng khắc phục sự cố các cuộc tấn công ARP là những gì cần phải quan tâm trong vấn đề quản lý mạng. Colasoft Capsa sẽ nâng cao đáng kể năng lực quản trị để xác định các cuộc tấn công ARP và bảo vệ hệ thống mạng thoát khỏi các cuộc tấn công ARP, để đảm bảo hệ thống hoạt động bình thường. Với Colasoft Capsa, chúng ta có thể xác định nguồn gốc của cuộc tấn công nhanh chóng và chính xác khi có bất kỳ cuộc tấn công ARP xảy ra với hệ thống mạng của chúng ta. Chúng ta có bốn giải pháp cơ bản để xác định vị trí tấn công ARP với Colasoft Capsa: Giải pháp 1: tại tab Diagnosis là nơi để xác định vị trí tấn công ARP trực tiếp và hiệu quả nhất. Giao diện của nó được hiển thị như hình bên dưới: Trong hình trên chỉ ra rằng có hai trường hợp tấn công ARP. Giải pháp 2: các trạng thái của gói tin ARP được hiển thị trong tab Protocol. Ở đây chúng ta phải chú ý đặc biệt với giá trị của ARP Request và ARP Response, tỷ lệ giữa hai giá trị này yêu cầu khoảng 1:1 . Nếu có sự khác biệt quá lớn giữa hai giá trị, có thể có cuộc tấn công ARP trong hệ thống mạng. Giải pháp 3: giải mã thông tin trong tab Packet, có thể nói cho chúng ta biết những thông tin ban đầu của gói tin ARP. Với cách giải mã các gói tin ARP, chúng ta có thể tìm ra nguồn gốc và điểm đến của các gói ARP.NgheĐọc ngữ âm Giải pháp 4: Xác định các cuộc tấn công ARP trong tab Physical Endpoint Trong tab Physical Endpoint chúng ta có thể thấy sự tương quan của địa chỉ MAC và địa chỉ IP. Nói chung, một địa chỉ MAC thì chỉ có một địa chỉ IP tương ứng với nó. Nếu một địa chỉ MAC có nhiều địa chỉ IP cho nó, điều kiện có thể là: - Các host có địa chỉ MAC là gateway - Những địa chỉ IP này được liên kết với các địa chỉ MAC một cách thủ công. - Có thể là tấn công ARP Do đó tab Physical Endpoint cũng có thể cho chúng ta một gợi ý để xác định vị trí tấn công ARP. Phát hiện Trojan và Worm với Capsa Network Analyzer Hầu như tất cả các Trojans và worms cần truy cập vào mạng, bởi vì chúng có thể gửi dữ liệu ra ngoài cho hacker. Chỉ có các dữ liệu hữu ích sẽ được gửi đến cho Hacker, như vậy Trojan đã thực hiện được sứ mệnh của mình. Vì vậy, cần phải có một giải pháp tốt để hạn chế những mối nguy hiểm này. Chúng ta sẽ phát hiện Trojan và worms với sự giúp đỡ của một bộ phân tích Colasoft Capsa network. Có một số giải pháp để tìm ra dấu vết của một Trojan hoặc worms trong hệ thống mạng. Giải pháp 1: sử dụng tab Summary Chúng ta nên tập trung trên bản tóm tắt gói TCP, ta cần phải được cảnh báo khi TCP SYN đã gửi số lớn hơn nhiều so TCP SYN ACK số đã gửi. Thông thường tỷ lệ hai con số khoảng bằng 1:1. Trojans và worms luôn luôn gửi số lượng lớn các gói tin TCP SYN đến mạng và cố gắng để thiết lập kết nối với các máy khác. Khi một kết nối được thiết lập, chúng tìm cách thâm nhập vào máy tính mục tiêu. Giải pháp 2: Sử dụng Tab Worm để phát hiện Giải pháp 3: Sử dụng bộ lọc Xây dựng các quy tắc bộ lọc với các mẫu của một số Trojans và worms. Cho đến khi chúng gửi ra gói tin, chúng ta sẽ có được những Trojans và worms đang hoạt động. Phương pháp này có nhược điểm làm không làm gì được với một Trojan hoặc worms mới. KẾT LUẬN Trong phần trình bày của đồ án này đã đưa ra những khái niệm cơ bản nhất về quản trị hệ thống mạng ; đây là một vấn đề rất được quan tâm và phát triển trong lĩnh vực CNTT. Trong đó đề cập đến vấn đề quản trị mạng với giao thức SNMP. Giao thức này ngày càng phát triển và trở thành một công cụ đắt lực trong quản lý hệ thống mạng. Cũng trong phạm vi đồ án này, nhóm 9 đã tìm hiểu về phần mềm phân tích hệ thống mạng Colasoft Capsa , đây là phần mềm tương đối dễ dùng, nhiều chức năng giám sát đặc biệt là giám sát lưu lượng trong hệ thống mạng. Mặc dù chương trình có rất nhiều chức năng để có thể phân tích một cách toàn diện hệ thống, tuy nhiên với phạm vi đồ án môn học và vốn kiến thức hiện có thì nhóm chưa đủ khả năng tìm hiểu tất cả những tính năng và sử dụng thật tốt phần mềm này. Do đó nhóm đã đề ra mục tiêu trong tương lai gần là phải làm chủ được phần mềm Colasoft Capsa 7 và sẽ tìm hiểu thêm những công cụ quản lý khác để có thể hiểu rõ hơn những nội dung đã được học tại trường và phục vụ tốt cho công việc sau này./. TÀI LIỆU THAM KHẢO [1] ThS. Nguyễn Văn Đát, TS. Nguyễn Tiến Ban, ThS. Dương Anh Tú, ThS. Nguyễn Thị Thu Hằng, KS Lê Kỹ Đạt (2007) - Quản lý mạng viễn thông , Học viện bưu chính viễn thông. [2] Diệp Thanh Nguyên (2010) - SNMP toàn tập [3] Computer network manager E.C Rosen, 2002