ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN CÔNG LÂM NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG
MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG LUẬN VĂN THẠC SỸ


Mã số: 60 48 15 LUẬN VĂN THẠC SỸ

Người hướng dẫn: PGS.TS Nguyễn Văn Tam Hà Nội 2010

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
1
MỞ ĐẦU Thế kỷ XXI đang chứng kiến sự phát triển mạnh mẽ của công nghệ thông
tin, sự phát triển của công nghệ thông tin và viễn thông làm tăng sự phát triển của
mạng Internet.
Mạng Internet đã ra đời và phát triển hơn 30 năm qua. Hiện nay, Internet đã
mở rộng thành một liên mạng trên phạm vi toàn cầu, là mạng của tất cả các mạng
và đƣợc coi là cơ sở hạ tầng truyền thông của xã hội loài ngƣời hiện nay và tƣơng

đề an ninh truyền thông trên Internet.
Chƣơng 2: Nghiên cứu sơ bộ về quản trị mạng SNMP và vấn đề đảm bảo
anh ninh cho các thông điệp khi truyền trong quản trị mạng với SNMP version 3.
Chƣơng 3: Nghiên cứu về cơ chế bảo mật và xác thực trong quản trị mạng
dựa trên nền web.
Chƣơng 4: Thực thi quản trị mạng bằng phần mềm mã nguồn mở Cacti, chỉ
rõ việc ứng dụng các cơ chế đảm bảo an ninh mà chƣơng 2 và chƣơng 3 đã đề cập
tới.
Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
3
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH
THÔNG TIN TRÊN INTERNET1.1. Các giao thức trên Internet

Bộ giao thức là tập hợp các giao thức cho phép sự truyền thông mạng từ một
host thông qua mạng đến host khác. Giao thức là một mô tả hình thức của một tập luật
và tiêu chuẩn khống chế một khía cạnh đặc biệt trong hoạt
động thông tin của các
thiết bị trên mạng. Giao thức xác định dạng thức,

Hình 1.2 - Các giao thức thuộc lớp Network Access
 Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý quá trình truyền
gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol),
ICMP (Internet Control Message Protocol), IGMP (Internet Group Message
Protocol). Mục đích của lớp Internet là chọn lấy một đƣờng dẫn tốt nhất xuyên qua
Application
Transport

Network Access
Internet

- Ethernet
- Fast Ethernet
- SLIP và PPP
- FDDI
- ATM, Frame
Relay và SMDS
- ARP
- Proxy ARP
- RARP Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
5

thích hợp cho tầng mạng bên dƣới, báo nhận gói tin, đặt hạn chế thời gian
time-out để đảm bảo bên nhận biết đƣợc các gói tin đã chuyển đi. Do tầng
này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa.
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng, nó chỉ
gửi các gói tin dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói
tin đến đƣợc tới đích. Các cơ chế đảm bảo độ tin cậy cần đƣợc thực hiện bởi

Application
Transport

Network Access
Internet
Internet Protocol (IP)
Internet Control Message Protocol (ICMP)
Address Ressulation Protocol (ARP)
Reverse Address Ressulation Protocol (RARP)

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
6
tầng trên.
Hình 1.4 - Các giao thức thuộc lớp Transport

Transport

Network Access
Internet
 File Transfer
TFTP
FTP
NFS
 Email
SMTP
 Remote login
Telnet
 Network Management
SNMP
 Database
DNS

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
7
Ý nghĩa của một số dịch vụ:
+ File Transfer Protocol
(FTP): là một dịch vụ có tạo cầu nối
(conection - oriented) tin cậy, nó sử dụng TCP để truyền các tệp tin giữa các hệ thống
có hỗ trợ FTP. Nó hỗ trợ truyền file nhị phân hai chiều và tải các file ASCII.
+ Trivial File Transfer Protocol (TFTP): là một dịch vụ không tạo cầu nối
(conectionless) dùng giao thức UDP. TFTP đƣợc dùng trên router để truyền các
file cấu hình và các Cisco IOS image và để truyền file giữa các hệ thống hỗ trợ
TFTP. Nó hữu dụng trong một vài LAN bởi nó hoạt động nhanh hơn FTP trong một
môi trƣờng ổn định.
+ Network File System (NFS): là một bộ giao thức hệ thống file phân tán đƣợc

- Độ dài UDP (Length - 16 bit): độ dài tổng cổng kể cả phần header của gói dữ
liệu UDP.
- UDP Checksum (16 bit): dùng để kiểm soát lỗi, nếu phát hiện lỗi thì
đơn vị dữ liệu UDP sẽ bị loại bỏ mà không có một thông báo nào trả lại cho
trạm gửi.
 Các giao thức dùng UDP gồm:
+ TFTP (Trivial File Transfer Protocol)
+ SNMP (Simple Network Management Protocol)
+ DHCP (Dynamic Host Control Protocol)
+ DNS (Domain Name System)
1.1.3. Giao thức TCP

TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong
tầng mạng. Nhƣng không giống nhƣ UDP, TCP cung cấp một hoạt động truyền dữ
liệu hai chiều hoàn toàn (full-duplex) tin cậy và có liên kết. Có liên kết ở đây có nghĩa
là 2 ứng dụng sử dụng TCP phải thiết lập liên kết với nhau trƣớc khi trao đổi dữ liệu.
Sự tin cậy trong dịch vụ đƣợc cung cấp bởi TCP đƣợc thể hiện nhƣ sau:
- Dữ liệu từ tầng ứng dụng gửi đến đƣợc TCP chia thành các đoạn (segment)
có kích thƣớc phù hợp nhất để truyền đi.
- Khi TCP gửi 1 đoạn, nó duy trì một thời lƣợng để chờ phúc đáp từ trạm
nhận. Nếu trong khoảng thời gian đó phúc đáp không tới đƣợc trạm gửi thì đoạn đó

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
9
đƣợc truyền lại.
- Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm
gửi 1
phúc đáp tuy nhiên phúc đáp không đƣợc gửi lại ngay lập tức mà
thƣờng trễ một
khoảng thời gian.

nguồn đang chờ để nhận và ngầm định báo nhận tốt các segment mà trạm đích đã
gửi cho trạm nguồn.
- Header Length (4 bits). Số lƣợng từ (32 bits) trong TCP header, chỉ ra vị trí bắt
đầu của vùng dữ liệu vì trƣờng Option (tùy chọn) có độ dài thay đổi. Header length có
giá trị từ 20 đến 60 byte.
- Reserved (6 bits). Dành để dùng trong tƣơng lai.
- Control bits : Các bit điều khiển
URG : xác định vùng con trỏ khẩn có hiệu lực.
ACK : vùng báo nhận ACK Number có hiệu lực.
PSH : chức năng PUSH.
RST : khởi động lại liên kết.
SYN : đồng bộ hoá các số hiệu tuần tự (Sequence number).
FIN : không còn dữ liệu từ trạm nguồn.
- Window size (16 bits): cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế
cửa sổ trƣợt). Đây chính là số lƣợng các byte dữ liệu bắt đầu từ byte đƣợc
chỉ ra trong vùng ACK number mà trạm nguồn sẵn sàng nhận.
- Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header
và dữ liệu.
- Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng
trong dòng dữ liệu khẩn cho phép bên nhận biết đƣợc độ dài của dữ liệu
khẩn. Vùng này chỉ có hiệu lực khi bit URG đƣợc thiết lập.
- Option (độ dài thay đổi). Khai báo các tuỳ chọn của TCP trong đó thông
thƣờng là kích thƣớc cực đại của 1 segment: MSS (Maximum Segment
Size).
-
TCP data (độ dài thay đổi). Chứa dữ liệu của tầng ứng dụng có độ dài
ngầm định là 536 byte. Giá trị này có thể điều chỉnh đƣợc bằng cách khai báo trong
vùng tùy chọn.
 Các giao thức dùng TCP bao gồm:


- Nút đƣợc quản trị có thể là máy tính, bộ định tuyến, bộ chuyển mạch, cầu
nối, máy in hoặc các thiết bị mạng khác có khả năng liên lạc với bên ngoài mạng.
Mỗi nút chạy phần mềm quản trị gọi là SNMP agent. Mỗi agent duy trì một cơ sở
dữ liệu cục bộ các biến mô tả trạng thái, lịch sử và tác vụ ảnh hƣởng lên nó.
- Trạm quản trị chứa một hoặc nhiều tiến trình liên lạc với agent trên mạng,
phát những câu lệnh và nhận kết quả. Hình 1.8 trình bày mô hình quản trị mạng
Microsoft thông qua giao thức SNMP. Trong hình 1.8, cơ sở dữ liệu MIB
(Management Information Base) tập hợp tất cả các đối tƣợng trong một mạng, nó
định ra những biến mà các phần tử mạng cần duy trì. Trạm quản trị (management
station) tƣơng tác với agent qua giao thức SNMP. Chúng ta sẽ nghiên cứu kỹ hơn
về SNMP ở chƣơng 2.
1.2.2. Kiến trúc quản trị mạng dựa trên Web

Các mô hình quản trị mạng dựa trên nền web có hai thành phần cơ bản là
Web Server (Manager) và Client (Agent).
Khi có một yêu cầu của Agent đƣợc gửi đến đến Manager thông qua trình
duyệt Web, Manager sẽ gửi tới Common Gateway Interface (CGI). CGI là một giao
diện chuẩn cho phép trao đổi thông tin giữa phần mềm Manager với các chƣơng
trình (ứng dụng) bên ngoài. CGI sẽ thực hiện công việc của mình và chuyển thông
tin về cho Manager dƣới dạng chuẩn HTML và Manager sẽ gửi tiếp các thông tin
này về cho agent.
Sau đây là tóm lƣợc bốn bƣớc xử lý của việc quản trị mạng trên nền web
+ Bƣớc 1: Xử lý dữ liệu đƣợc truyền từ Agent tới Manager.
+ Bƣớc 2: Manager sẽ hƣớng các yêu cầu mà Agent gửi tới đến các chƣơng
trình CGI để thực hiện.
+ Bƣớc 3: Gửi lại các dữ liệu và kết quả mà chƣơng trình CGI thực hiện trở
lại cho Manager.
+ Bƣớc 4: Manager gửi lại dữ liêu mà nó nhận từ chƣơng trình CGI cho
Agent.


Công cụ xử lý tài liệu ứng dụng XML EML kết hợp nhận dạng các thao tác
EML, phân tích chúng thành các thao tác và thực hiện chúng trên các thành phần
mạng. Ở lớp cao hơn, công cụ NML xử lý các tài liệu ứng dụng NML, nhận dạng
các thao tác NML, phân tích chúng thành các thao tác NML; Xây dựng tƣơng tự
nhƣ tài liệu EML, sắp xếp lại thành các công cụ EML và thực hiện chúng. EML và
NML đều tạo ra tài liệu XML chứa đựng kết quả của tập hợp các thao tác quản trị.
Đặc trƣng tài liệu XML là việc xác định cấu trúc cho các ứng dụng XML với sự thể
hiện các trạng thái hiện thời của các thiết bị sau khi thực hiện các thao tác.

Hình 1.10 – Tổng quan về kiến trúc quản trị mạng trên XML

1.2.3.2. Quản trị mạng dựa trên chính sách

Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và
virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt
nào đó, việc kết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access
Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn
là một quy luật tất yếu.

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
15
NAC là một chính sách có hiệu lực, nó gần nhƣ đƣợc thắt chặt với các quá
trình làm việc của mạng. Các mạng triển khai hệ thống NAC cơ bản để yêu cầu
ngƣời dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trƣớc
khi họ đƣợc phép truy cập vào mạng.
Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba
dạng kiểm tra:
+ Thứ nhất có thể truy cập mạng bằng cách đơn giản chỉ yêu cầu
ngƣời dùng đồng ý với một chính sách sử dụng trƣớc khi họ kết nối vào mạng. Sự
nhận dạng ngƣời dùng và trạng thái máy không có ý nghĩa đối với việc truy cập

+ Mức cơ sở dữ liệu: Kiểm soát ai? Đƣợc quyền nhƣ thế nào? với mỗi cơ sở dữ
liệu.
+ Mức trƣờng thông tin: Trong mỗi cơ sở dữ liệu kiểm soát đƣợc mỗi trƣờng
dữ liệu chứa thông tin khác nhau có quyền truy cập khác nhau.
+ Mức mật mã: Mã hóa toàn bộ file dữ liệu theo một phƣơng pháp nào
đó và chỉ cho phép ngƣời có “chìa khóa” mới có thể sử dụng đƣợc file dữ
liệu.
1.3.2. Bảo mật thông báo khi truyền trên Internet
Hiện nay khi truyền các thông báo trên internet thì khả năng để rò rỉ thông
tin là rất lớn, những thông tin quan trọng nhƣ dữ liệu cá nhân của khách hàng nhƣ
mã số bảo hiểm xã hội, thông tin thẻ tín dụng, nội dung thƣ điện tử, các hợp đồng
kinh tế …. Khi những kẻ xấu đánh cắp đƣợc những gói tin này thì chúng sẽ sử
dụng để thực hiện các hành vi bất hợp pháp. Để bảo vệ đƣợc bí mật của những
thông báo khi truyền trên mạng thì phải có những cơ chế và phƣơng thức bảo mật
khác nhau. Muốn bảo vệ dữ liệu mà chỉ dựa vào việc mã hoá dữ liệu là rất nguy
hiểm. Ngày càng có nhiều tin tặc có thể đọc trộm, tráo đổi dữ liệu và mạo danh để
xâm nhập một cách dễ dàng và thiện nghệ. Và nhƣ vậy, chỉ mật mã hoá dữ liệu thì
không đủ để bảo vệ dữ liệu cho an toàn.
Để đáp ứng những tiêu chuẩn nghiêm ngặt về an toàn thông tin vốn đòi hỏi
chúng ta phải xây dựng và nghiên cứu những biện pháp an ninh để làm sao các
thông báo chúng ta trao đổi trên mạng phải tuyệt đối an toàn trƣớc những đợt tấn
công của kẻ xấu. Chúng ta phải có những chiến lƣợc bảo vệ các thông báo gồm
nhiều tầng lớp mà mức thấp nhất là mật mã hoá, xác thực và mức cao nhất là tích
hợp nhiều chữ ký điện tử, chứng thực điện tử và quản trị bằng khoá theo trật tự cấp
bậc (hierachical key).
Mã hoá/giải mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn
công vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang
an toàn phải đƣợc dựng lên để đảm bảo những tài sản quý giá dạng điện tử không
thể bị đọc trộm, bị thay đổi… khi truyền trong môi trƣờng mạng.
Chữ ký điện tử: Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm


+ Kiểm soát đăng ký tên/mật khẩu truy cập vào hệ thống.
+ Kiểm soát truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó.
+ Mã hoá dữ liệu truyền trên mạng (bảo mật thông tin).
+ Xác thực thông tin (kiểm tra tính hợp pháp của ngƣời sử dụng)
+ Chữ kí điện tử, Chứng nhận điện tử…
1.4. Kết luận chƣơng 1 Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
18
Trong chƣơng 1 này chúng ta đã đi nghiên cứu vào các vấn đề các giao thức
và dich vụ internet, các mô hình quản trị mạng, vấn đề đảm bảo an ninh cho các
thông báo khi truyền đi trong môi trƣơng mạng.
Giới thiệu về các giao thức chính trên mạg internet, cấu trúc và ý nghĩa, các
ƣu điểm và hạn chế của các từng giao thức.
Nghiên cứu các mô hình quản trị mạng SNMP, WEB, XML… các đặc điểm
của từng mô hình quản trị mạng, qua đó chúng ta có thể thấy việc quản trị mạng tuy
khó khăn nhƣng cũng sẽ đƣợc giải quyết nếu nhƣ chúng ta có sự lựa chọn tốt mô
hình quản trị mạng. Việc lựa chọn mô hình quản trị mạng nào là phụ thuộc vào
mục đích của việc quản trị, phụ thuộc vào cách thức, phƣơng thức của ngƣời quản
trị.
Trong các mô hình quản trị mạng việc khó khăn nhất đối với mô hình quản
trị đó là làm thế nào để đảm bảo đƣợc an ninh cho các thông báo khi truyền trên
môi trƣờng mạng. Nếu việc đảm bảo an ninh cho các thông báo không tốt trong quá
trình truyền thì những kẻ xâm nhập sẽ tiến hành thực hiện các kiểu tấn công bất
hợp pháp nhƣ giả mạo bên đối tác, tấn công lặp lại, tấn công làm thay đổi tài
nguyên, tấn công từ chối dịch vụ, tấn công ở giữa…
Nếu các hành vi tấn đó thành công thì sẽ gây ra những hậu quả rất nghiêm
trọng đến an ninh của mạng. Để hạn chế tối đa và khắc phục những sơ hở trong vấn

SNMP thƣờng đƣợc kết hợp với các thiết bị quản trị định tuyến (Router),
nhƣng điều quan trọng là phải hiểu rằng nó có thể đƣợc sử dụng để quản trị nhiều
loại thiết bị. Trong khi các chƣơng trình xuất hiện trƣớc SNMP, Simple Gateway
management Protocol (SGMP), đƣợc phát triển để quản trị các bộ định tuyến
Internet thì SNMP có thể đƣợc sử dụng để quản trị các hệ thống Unix, hệ thống
Windows, máy in, kệ modem, nguồn điện, và nhiều hơn nữa. Bất kỳ thiết bị chạy
phần mềm cho phép thu hồi thông tin SNMP có thể quản trị đƣợc. Đó là bao gồm
các thiết bị không chỉ là phần cứng mà còn cả phần mềm, chẳng hạn nhƣ máy chủ
web và cơ sở dữ liệu.
Một khía cạnh khác của quản trị mạng là giám sát mạng; có nghĩa là, theo
dõi toàn bộ hệ thống mạng bằng cách làm trái ngƣợc với thiết bị định tuyến cá nhân
(individual Router), máy chủ, và các thiết bị khác. Giám sát mạng từ xa Remote
Network Monitoring (RMON) đã đƣợc phát triển để giúp chúng ta hiểu bản chất
của mạng là các chƣơng trình, các thiết bị cá nhân trên mạng đều có ảnh hƣởng
chung đến mạng. Có thể giúp ta hiểu làm sao một mạng có thể tự hoạt động, làm
sao các thiết bị riêng lẻ trong một mạng có thể hoạt động đồng bộ trong mạng đó.
2.1.2. Phiên bản RFC và SNMP Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin
20
Tổ chức Internet Engineering Task Force (IETF) chịu trách nhiệm xác định
các giao thức chuẩn mà chúng quản trị lƣu lƣợng truy cập Internet, bao gồm
SNMP. IETF đƣa ra các giải pháp cho các yêu cầu Requests For Comments (RFCs)
về chi tiết kỹ thuật của các giao thức đang tồn tại trong ứng dụng IP.
Các phiên bản SNMP đƣợc đƣa ra bao giồm: SNMP Version 1 (SNMPv1),
SNMP Version 2 (SNMPv2), SNMP Version 3 (SNMPv3).
 SNMP version 1 (SNMPv1) là phiên bản tiêu chuẩn hiện hành của giao thức
SNMP. Đó là định nghĩa trong RFC 1157 và là một IETF đầy đủ tiêu chuẩn. Vấn
đề bảo mật của SNMP v1 dựa trên nguyên tắc cộng đồng (communities), không có

trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động,
ít nhất là lƣu lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS
phải đƣợc cài đặt trƣớc.
Agent là một phần trong các chƣơng trình chạy trên các thiết bị mạng cần
quản trị. Nó có thể là một chƣơng trình độc lập, hoặc đƣợc tích hợp vào hệ điều
hành nhƣ IOS của Cisco trên router.
Ngày nay, đa số các thiết bị hoạt động tới lớp IP đƣợc cài đặt SNMP agent.
Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ,
công việc của ngƣời quản trị hệ thống hay quản trị mạng đơn giản hơn. Các agent
cung cấp thông tin cho NMS bằng cách lƣu trữ các hoạt động khác nhau của thiết
bị. Một số thiết bị thƣờng gửi một thông báo “tất cả đều bình thƣờng” khi nó
chuyển từ một trạng thái xấu (down) sang một trạng thái tốt (up). Điều này giúp
xác định khi nào một tình trạng có vấn đề đƣợc giải quyết.

 Mối quan hệ giữa NMS và agent:
Hình 2.1 – Minh họa mối quan hệ NMS & Agent

Không có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi
một cảnh báo.
Mô hình SNMP của một hệ thống quản trị mạng bao gồm bốn thành phần
trọng yếu (các thành phần này đƣợc mô tả ở Hình 2.2):
 Trạm quản trị
 Thực thể bị quản trị (node hay Network Element - NE)
 Cơ sở thông tin quản trị
 Giao thức quản trị

Nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng - Nguyễn Công Lâm - Khoa Công nghệ thông tin