Trang 1 ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
HOÀNG THẾ ANH

NGHIÊN CỨU GIẢI PHÁP AN TOÀN
THÔNG TIN CHO MỘT SỐ KIẾN TRÚC
QUẢN TRỊ MẠNG
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Chuyên ngành: Khoa học máy tính
Mã số: 60480101

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM

Thái Nguyên - 2013
Trang 3

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

LỜI CẢM ƠN
Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận
được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của quí thầy cô trường Đại
học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên.
Trước hết, tôi xin chân thành cảm ơn đến quí thầy cô trường Đại học
Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên, đặc biệt là
những thầy cô đã tận tình dạy bảo cho tôi suốt thời gian học tập tại trường.
Tôi xin gửi lời biết ơn sâu sắc đến PGS,TS Nguyễn Văn Tam đã dành rất
nhiều thời gian và nhiệt tình hướng dẫn nghiên cứu giúp tôi hoàn thành luận
văn tốt nghiệp.
Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu trường Đại học
Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên cùng quí thầy
cô đã tạo rất nhiều điều kiện để tôi học tập và hoàn thành tốt khóa học.
Mặc dù tôi đã có nhiều cố gắng hoàn thiện luận văn bằng tất cả sự nhiệt
tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót,
rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn.

MÔ TẢ Ý NGHĨA
SNMP
Simple Network Management Protocol
SNMPv1
Simple Network Management Protocol version 1
SNMPv2
Simple Network Management Protocol version 2
SNMPv3
Simple Network Management Protocol version 3
NMS
Network Management Station
IOS
Internetwork Operation System
UDP
User Datagram Protocol
TCP
Transmission Control Protocol
TCP/IP
Transmission Control Protocol/Internet Protocol
UDP
User Datagram Protocol
PDU
Protocol Data Unit
HTML
HyperText Transfer Protocol
xHTML
Extensible - HyperText Transfer Protocol
PDA
Personal Digital Assistant
IP

Distributed Management Task Force
CIM
Common Information Model
EWS
Exchange Web Service"
XNM
XML Network Managment
RPC
Remote Procedure Calls
SSL
Secure Socket Layer
Trang 6 Manager
Quản lý
Agent
Thiết bị máy trạm
TFTP
Trivial File Transfer Protocol
RTT
Round-Trip Time
MIB
Management Information Base
OID
Object Identifiers
ACK
Acknowledge
QLM
Quản lý mạng

3
Hình 1. 3: Các phối hợp giữa manager và agent

16
4
Hình 1.4. Xem trộm thông điệp

17
5
Hình 1.5. Sửa thông điệp

18
6
Hình 1.6. Mạo danh

18
7
Hình 1.7. Phát lại thông điệp

19
8
Hình 1.8. Mô hình bảo mật truyền thông tin trên mạng

20
9
Hình 2.1. Mô hình hoạt động giữa Manager và Agent

24
10
Hình 2.2 Các lệnh truyền thông Manager/Agent

Hình 2.10: Cây MIB-II Internet

43
19
Hình 2.11 Cấu trúc phần tử SNMP

51
Trang 7 20
Hình 2.12 Phân hệ bảo mật

51
21
Hình 2.13 Các thành phần của một SNMP Manager.

52
22
Hình 2.14 Các thành phần của một SNMP Agent

53
23
Hình 3.1 Mô hình triển khai

73
39
Hình 3.2 câu lệnh cài đặt gói SNMP
73
40

Hình 3.13 Màn hình giao diện bật chức năng SNMP trong Win XP
79
51
Hình 3.14 Màn hình giao cấu hình dich vụ SNMP trong Win XP
74
52
Hình 3.15 Màn hình giao thêm thiết bị mới trong Cacti
79
53
Hình 3.16 Danh sách các nội dung cần xem
80
54
Hình 3.17 Trang thái kết nối thiết bị trong Cacti
80
55
Hình 3.18 tạo Graphs cho thiết bị trong Cacti
81
56
Hình 3.19 tạo “Tree” cho thiết bị trong Cacti
81
57
Hình 3.20: Tạo các thành phần cho “Tree” cho thiết bị trong Cacti
82
58

82
59
Hình 3.22: Một templace data trong Cacti
83
60

bản SNMPv3 đã đáp ứng được những yêu cầu này.
Bên cạnh kiến trúc quản trị mạng SNMP, kiến trúc quản trị mạng dựa trên Web
cũng đang được các nhà khoa học công nghệ quan tâm vì nó được thừa hưởng những giải
pháp an ninh đã phat triển cho hệ thống Web. Vì vậy, tôi đã chọn hướng đề tài này để
nghiên cứu.
Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công
việc thực tế, tôi chọn đề tài “ Nghiên cứu giải pháp an toàn thông tin cho một số kiến
trúc quản trị mạng” với đề tài này tôi muốn đóng góp, xây dựng thử nghiệm vào một mô
hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có
độ an ninh cao.
Luận văn bao gồm 3 chương:
Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet.
Chương 2: Quản trị mạng SNMP và giải pháp an ninh của SNMPv3
Chương 3: Thử nghiệm công cụ quản trị mạng an toàn dựa trên mã nguồn mở.
Xin chân thành cảm ơn sự nhiệt tình giúp đỡ của các thầy cô trong trường và đặc
biệt là PGS.TS Nguyễn Văn Tam đã giúp tôi hoàn thành luận văn này.

Người

thực

hiệnHOÀNG THẾ ANH
Trang 9 MỤC LỤC
NỘI DUNG

2.3.2. Giải pháp an ninh cho quản trị mạng dựa trên Web 71
CHƢƠNG 3. 74
THỬ NGHIỆM CÔNG CỤ QUẢN TRỊ MẠNG AN TOÀN DỰA TRÊN MÃ NGUỒN MỞ
74
3.1 LỰA CHỌN MÔ HÌNH VÀ ỨNG DỤNG CÔNG CỤ THỬ NGHIỆM 74
3.1.1 Mô hình thư nghiệm 74
3.1.2 Ứng dụng mô hình 74
3.1.3 Giới thiệu về Cacti 75
3.1.4 Mô hình triển khai. 76
3.1.5 Cài đặt các chương trình 76
3.1.6 Cấu hình phần mềm mã nguồn mở Cacti. 80
3.2. QUÁ TRÌNH HOẠT ĐỘNG VÀ ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 88
3.2.1 Phân tích quá trình hoạt động 88
3.2.2 Đánh giá kết quả thực nghiệm 89
3.3 KẾT

LUẬN

VÀ

HƢỚNG

PHÁT

TRIỂN
92
3.3.1 Kết luận 92
3.3.2 Hướng phát triển 92
Trang 10


bộ hệ thống mạng.
Tóm lại, việc thiết lập cấu hình, quản trị tài nguyên là bước ban đầu tối quan trọng
để xác lập một hệ thống mạng theo khả năng tài chính và yêu cầu nhiệm vụ cụ thể nhằm
nâng cao hiệu suất làm việc của cả một hệ thống, ngoài ra nó còn hoạch định được khả
năng có thể mở rộng của hệ thống khi có sự thay đổi quy mô của hệ thống mạng.
1.1.2 Quản trị ngƣời dùng và các dịch vụ mạng
Một hệ thống mạng phải được phân tích ngay từ đầu là số lượng người sử dụng và
các dịch vụ cài đặt trên đó là gì, từ đó ta có thể chọn các mô hình quản trị và lựa chọn
thiết bị cho phù hợp. Ví dụ, một hệ thống mạng cho một trường đại học sẽ phải khác rất
nhiều cho một hệ thống mạng của một doanh nghiệp, vì các dịch vụ triển khai trên đó
khác nên chúng ta phải lựa chọn các thiết bị và mô hình quản lý khác nhau để quản lý
dịch vụ được tốt hơn.
Việc xác định được các dịch vụ triển khai trên hệ thống mạng sẽ xác định mô hình
mạng, từ mô hình mạng sẽ xác định được việc quản trị người dùng theo mô hình nào hiệu
quả nhất, ví dụ một hệ thống mạng lưu trữ sẽ rất khác với hệ thống mạng truy cập
internet, việc xác định được dịch vụ triển khai sẽ cho phép người quản trị thiết lập mô
hình truy cập mạng theo phương thức nào như domain controller (phân cấp) hay user
ngang hàng.
Việc xây dựng các quản trị người dùng theo đúng mục tiêu hệ thống mạng sẽ mang
lại sự bảo mật rất tốt cho hệ thống do phân quyền theo nhóm người dùng, ngoài những
tính năng hữu ích và tiện dụng cho người dùng việc phân quyền cho người dùng sẽ đảm
bảo được yếu tố tránh lãng phí tài nguyên mạng và nâng cao hiệu quả hoạt động của hệ
thống mạng.
Trang 12 1.1.3 Quản trị hiệu suất hệ thống mạng
Một hệ thống mạng hoạt động tốt ngoài việc đáp ứng các yêu cầu về phần cứng,
quy mô hoạt động, mô hình quản trị người dùng, cấc dịch vụ triển khai trên đó thì người
quản trị phải quản trị được hiệu suất làm việc của cả hệ thống từ giám sát được các hoạt

nhưng do TCP/IP đã quá phổ biến và thành chuẩn giao tiếp de-factor của thế giới, SNMP
cũng trở thành một chuẩn đóng vai trò cực kỳ quan trọng trong việc thiết kế các phần mềm
quản trị mạng của các thiết bị cung cấp dịch vụ.
Giao thức SNMP được thiết kế để cung cấp một phương thức đơn giản để quản lý
tập trung mạng TCP/IP. Nếu muốn quản lý các thiết bị từ 1 vị trí tập trung, giao thức
SNMP sẽ vận chuyển dữ liệu từ client (thiết bị mà đang giám sát) đến server nơi
mà dữ liệu được lưu trong log file nhằm phân tích dễ dàng hơn. Các phần mềm ứng
dụng dựa trên giao thức SNMP như: MOM của Microsft và HP Openview vv…
Giao thức TCP/IP trên nền Ethernet hết sức thông dụng trên thị trường
truyền thông hiện nay. Sự thành công của các công nghệ trên nền Ethernet một phần
là do sự hợp tác rất tích cực trong quá trình phát triển các chuẩn chung. Sự thành công này
cũng sẽ tạo ra những sức mạnh mới trên những cơ sở hạ tầng sẵn có như hệ thống cáp,
kiến trúc mạng, khuôn dạng gói tin và các trình điều khiển vốn đã được cài đặt trong các
mạng Ethernet hiện có.

Quản lý mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức tạp.
Hiện nay, hầu hết phần tử mạng có các module quản lý riêng nên việc quản lý bị phân tán.
Xu hướng tương lai là tập trung hóa hệ thống quản lý mạng bằng việc tích hợp tất cả phần
tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều người quản trị mạng.
Một hệ thống sử dụng SNMP bao gồm 2 thành phần chính:
Manager: Là một máy tính chạy chương trình quản lý mạng. Manager còn được gọi
Trang 14 là một NMS (Network Management Station). Nhiệm vụ của một manager là truy vấn các
agent và xử lý thông tin nhận được từ agent.
Agent: Là một chương trình chạy trên thiết bị mạng cần được quản lý. Agent có thể
là một chương trình riêng biệt (ví dụ như daemon trên Unix) hay được tích hợp vào hệ
điều hành, ví dụ như IOS (Internetwork Operation System) của Cisco. Nhiệm vụ của agent
là thông tin cho manager.

1998 nhằm trao đổi tài liệu trên World-Wide Web. XML là một tập con của ngôn ngữ
đánh dấu chung chuẩn (SGML - Standard eneralized Markup Language). Các công nghệ
liên quan đến XML được mô tả trong hình 1.1

Hình 1.1: Các công nghệ XML
XML có hai phương pháp cơ bản để xác định cấu trúc tài liệu XML: Định
nghĩa kiểu tài liệu (DTD) và Lược đồ XML (XML Schema).
DTD được dùng để chỉ ra mô hình nội dung cho mỗi thành tố. Tuy nhiên, các
Trang 16 DTD không hỗ trợ mô hình thông tin phức tạp.
XML Schema về cơ bản được tái cấu trúc và tái mở rộng từ những khả năng được
tìm thấy trong các DTD, hỗ trợ sự tạo thành các kiểu dữ liệu mới.
DOM - Mô hình đối tƣợng tài liệu: là một một giao diện lập trình để truy cập và
thao tác các tài liệu XML.
SAX - Giao diện lập trình ứng dụng chung dành cho XML là một cơ chế hướng
sự kiện và truy cập liên tiếp dành cho việc truy cập các tài liệu XML.
XSL - Ngôn ngữ định kiểu mở rộng là một ngôn ngữ đánh dấu được thiết kế để
minh họa các phương pháp hiển thị các tài liệu XML trên web.
XSLT - Ngôn ngữ định kiểu chuyển đổi mở rộng: là công nghệ định kiểu để
chuyển đổi các tài liệu XML, một tập con của công nghệ XSL.
XPath - Ngôn ngữ đƣờng dẫn XML: là ngôn ngữ phi XML được dùng để ghi địa
chỉ các phần của một tài liệu XML.
XQuery - Ngôn ngữ truy vấn XML: được thiết kế để áp dụng một cách rộng rãi
cho tất cả các nguồn dữ liệu XML.
XUpdate là một ngôn ngữ cập nhật, cung cấp các tiện tích cập nhật linh hoạt và
có tính mở để chèn, cập nhật, và xóa dữ liệu trong các tài liệu XML.
SOAP - Giao thức truy cập đối tƣợng đơn giản: là một giao thức đơn giản giúp
trao đổi thong tin trong môi trường phân tán. SOAP định nghĩa việc sử dụng XML và


Nhiệm vụ của việc hợp thức hóa thông tin quản trị bao gồm tất cả các hoạt động
đảm bảo tính nhất quán giữa các đối tượng và nguồn tài nguyên quản trị trong một hệ
thống agent. Các hoạt động cập nhật từ trạng thái tài nguyên quản trị đến các biến của các
đối tượng quản trị phải được thực thi khi trạng thái tài nguyên quản trị bị thay đổi.

Hợp thức hóa thông tin quản trị có thể được coi như là một nhóm các tiến trình
biên dịch, tạo và sửa đổi các tài liệu XML. Có hai công nghệ biên dịch các tài liệu XML
chuẩn gồm: DOM và SAX. Hai công nghệ này khiến việc biên dịch, tạo, và sửa đổi các
tài liệu XML trở nên dễ dàng
Giao thức quản trị

Về giao thức quản trị, quản trị mạng dựa trên XML theo mô hình chuyển giao dữ
liệu thông qua giao thức HTTP.
XPath được dùng kết hợp với XSLT để xác định các phần của một tài liệu XML
Trang 18 nhằm mục đích chuyển đổi.

Các cơ chế HTTP Get, Post, Push để thông báo và bỏ phiếu dự kiến.

- Phân tích

Hỗ trợ cơ sở dữ liệu (DB) của bên thứ ba

Sử dụng công nghệ XML chuẩn (DOM, Xpath
…
) đ ể xử lý phân tích dữ liệu
Có thể thực hiện các hoạt động quản trị bằng cách xử lý các tài liệu XML thông qua

Nhóm làm việc Cấu hình mạng (Netconf WG) định nghĩa giao thức cấu hình
Netconf và chuyển các ánh xạ. Giao thức Netconf sử dụng XML để mã hóa dữ liệu, và
RPC cho cơ chế truyền thông.

d) Các mô hình quản trị

Hình 1.3 cho thấy bốn mô hình có thể kết hợp giữa các manager và agent có triển
vọng trong quản trị mạng tích hợp dựa trên XML.
Hình 1. 3: Các phối hợp giữa manager và agent

Trang 20 1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet
1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng.
Sự phát triển mạnh mẽ của nền tảng internet với các công cụ làm việc, truyền tải
nhanh, tức thì và đơn giản, các nội dung thông điệp ngày càng được truyền tải trên mạng
nhiêu hơn, kể cả các lĩnh vực nhạy cảm như tài chính, quân sự…
Bên cạnh sự thuận tiện và nhanh chóng như trên, phương thức tuyền tải các thông
điệp trên mạng cũng chứa đựng nhiều rủi ro mà tin tặc lợi dụng để làm sai lệch thông tin
giữ người gửi và người nhận.
Để xem xét những vấn đề bảo mật liên quan đến truyền thông trên mạng, chúng ta
hãy lấy một bối cảnh sau: có ba nhân vật tên là A, B và C, trong đó A và B thực hiện trao
đổi thông tin với nhau, còn C là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa A
và B. Sau đây là các loại hành động tấn công của C mà ảnh hưởng đến quá trình truyền tin
giữa A và B:
+ Xem trộm thông tin (Release of Message Content)

giống nhau. Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong
nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp. Xét
tình huống sau: giả sử B là ngân hàng còn A là một khách hàng. A gửi thông điệp đề
nghị B chuyển cho C 1000$. A có áp dụng các biện pháp như chữ ký điện tử với mục
đích không cho C mạo danh cũng như sửa thông điệp. Tuy nhiên nếu C sao chép và
phát lại thông điệp thì các biện pháp bảo vệ này không có ý nghĩa. B tin rằng A gửi
tiếp một thông điệp mới để chuyển thêm cho C 1000$ nữa.

Hình 1.7. Phát lại thông điệp

1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên
mạng.
a) Yêu c
ầ
u c
ủ
a m
ộ
t h
ệ
truy
ề
n thông tin an toàn và b
ả
o m
ậ
t
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an
toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên. Như
vậy hệ truyền tin phải có các đặt tính sau:

o m
ậ
t thông tin trên m
ạ
ng
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của
bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật (confidentiality),
tính chứng thực (authentication) và tính không từ chối (non-repudiation) của một hệ truyền
tin.
Trang 24 Muốn bảo vệ được thông điệp của mình trong quá trình truyền tải trên mạng chúng
ta phải sử dụng một số dạng mã hóa để trên đường truyền tải cho dù bên thứ ba có lấy
được cũng khó khăn trong quá trình tiếp cận thông tin ta chỉ muốn gửi đích danh cho ai
đó.
Ngoài công cụ mã hóa dữ liệu, ta còn sử dụng chức năng chữ ký điện tử ( ở một số
thông điệp) để nâng cao tính bảo mật và tính đúng đắn của thông điệp.
c) Sử dụng các giao thức (protocol) thực hiện bảo mật.
Ngoài các yêu cầu như hệ truyền tin an toàn, mã hóa, chữ ký điện tử ta cũng nên sử
dụng các giao thức truyền bảo mật phổ biến hiện nay là:
- Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
- Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.
- Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến
trong Web và thương mại điện tử.
- PGP và S/MIME: bảo mật thư điện tử email.
Như vậy muốn bảo đảm an ninh cho thông điệp truyền trên mạng ngoài việc chúng ta có
một hệ thống phần cứng tiêu chuẩn, hệ thống phần mền dịch vụ triển khai trên đó an toàn,
phân quyền người dùng thì chúng ta phải tuân thủ một số chính sách an toàn thông tin như
trên để đảm bảo thông tin của chúng ta ít có khả năng xâm phạm nhất. ./.