BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC SƢ PHẠM HÀ NỘI 2

VŨ VƢƠNG TOÀN

NGHIÊN CỨU HỆ THỐNG GIÁM SÁT AN NINH MẠNG
ỨNG DỤNG TẠI SỞ THÔNG TIN VÀ TRUYỀN THÔNG
TỈNH VĨNH PHÚC
Chuyên ngành: Khoa học máy tính
Mã số: 60 48 01 01

LUẬN VĂN THẠC SĨ MÁY TÍNH
HƯỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG

HÀ NỘI, 2016


LỜI CẢM ƠN
Trước hết học viên xin gửi lời cảm cơn tới các thầy cô giáo trường đại
học Sư phạm Hà Nội 2, nơi học viên đã được truyền đạt các kiến thức quý báu
trong suốt quá trình học tập. Xin cám ơn các cán bộ nhà trường đã tạo điều
kiện tốt nhất cho học viên học tập và hoàn thành luận văn này.
Đặc biệt, học viên xin được gửi lời cám ơn đến thầy giáo hướng dẫn,
TS. Hồ Văn Hương – Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp đỡ
học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn.
Xin cảm ơn bạn bè đã giúp đỡ tài liệu và trao đổi kinh nghiệm để hoàn
thành khoá luận tốt nghiệp.
Xin cảm ơn!
Hà Nội, Ngày 6 tháng 7 năm 2016
Học viên thực hiện


1.3. Tình hình an ninh mạng trong nước và quốc tế. ......................................... 6
1.4. Thực trạng và nhu cầu giám sát an ninh mạng tại sở TT&TT Vĩnh Phúc. . 9
1.5. Cấu trúc, chức năng của hệ thống giám sát an ninh mạng ........................ 11
1.6. Giao thức SNMP ....................................................................................... 13
1.6.1. Giới thiệu................................................................................................ 13
1.6.2. Các phiên bản giao thức SNMP ............................................................. 14
163

á thành ph n h nh và m h nh ủ gi o thứ

N

....................... 14

1.6.4. Cấu trú và đặ điểm của thông tin quản lý SMI .................................. 15
165

á

ơ hế bảo mật SNMP .................................................................... 17

1 6 6 Ưu và nhượ điểm của SNMP ................................................................ 19
1.7. Một số phần mềm giám sát mạng sử dụng giao thức SNMP .................... 20
1.7.1. Nagios..................................................................................................... 20
1.7.2. OpenNMS ............................................................................................... 20
1.7.3. Cacti ..................................................................................................... 20


1 7 4 o sánh, phân t h đánh giá á


3.3.2. Giám sát máy chủ web server ................................................................ 61
3.3.3. Giám sát Mail server.............................................................................. 63
KẾT LUẬN.....................................................................................................62
DANH MỤC CÁC TÀI LIỆU THAM KHẢO .......................................... .64


DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

Viết tắt/thuật ngữ

Tên đầy đủ

Ý nghĩa

FTP

File Tranfer Protocol

Dùng để chỉ các thiết bị mạng, các
máy đầu cuối được giám sát…(tất
cả các thiết bị tham gia vào mạng
đều được gọi chung là host)
Tình trạng thay đổi trạng thái liên
tục
Là các ứng dụng hỗ trợ cho hoạt
động của một phần mềm.
Giao thức truyền tập tin

HTTP


SNMP

Simple Network
Managerment

Giao thức quản lý mạng đơn giản

Host

Flap
plugin

Protocol

TCP

Transmission Control
Protocol
Giao thức kiểm soát

UDP

User Datagram
Protocol

Giao thức sử dụng dữ liệu

ICMP

Internet Control

Hình 2.8. Tổng hợp báo cáo........................................................................... 45
Hình 3.1. Mô hình mạnh tại Sở TT&TT Vĩnh Phúc .................................. 47
Hình 3.2. Sơ đồ triển khai ứng dụng phần mềm Cacti tại Sở TT&TT
Vĩnh Phúc ........................................................................................................ 49
Hình 3.3. Màn hình giao diện Cacti khởi động cài đặt ............................... 51
Hình 3.4. Màn hình giao diện Cacti kiểm tra các công cụ Trên trình duyệt
Web nhập địa chỉ http://192.168.0.104/cacti ................................................ 51
Hình 3.5. Màn hình đăng nhập hệ thống ..................................................... 52
Hình 3.6. File SNMP services ........................................................................ 52
Hình 3.7. Đặt cấu hình SNMP services ........................................................ 53
Hinh 3.8. Thêm thiết bị máy client vào cacti ............................................... 53
Hình 3.9. Thêm thiết bị máy chủ windows vào Cacti ................................. 54
Hình 3.10. Danh sách các nội dung cần giám sát ........................................ 54


Hình 3.11. Lựa chọn thiết bị muốn tạo đồ thị ............................................. 55
Hình 3.12. Biểu đồ thiết bị ............................................................................. 56
Hình 3.13. Danh sách các máy có trong cây đồ thị ..................................... 57
Hình 3.14. Tình trạng thiết bị trên cây đồ thị (máy 2) ............................... 57
Hình 3.15. Tình trạng thiết bị trên cây đồ thị ............................................. 58
Hình 3.16. Biểu đồ tốc độ CPU ..................................................................... 59
Hình 3.17. Biểu đồ tình hình sử dụng RAM ................................................ 60
Hình 3.18. Biểu đồ dung lƣợng ổ đĩa C ........................................................ 60
Hình 3.19. Biểu đồ tốc độ mạng .................................................................... 61
Hình 3.20. Trạng thái request của IIS trên web server windows .............. 61
Hình 3.21. Băng thông của web server ......................................................... 62
Hình 3.22. Trạng thái các dịch vụ của web server ...................................... 63
Hình 3.23. Trạng thái các dịch vụ của mail server ..................................... 63




2

mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn
định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết. Giải quyết
vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiện nay.
Sở Thông tin và Truyền thông tỉnh Vĩnh Phúc có chức năng nhiệm vụ
quản lý nhà nước về Công nghệ thông tin, viễn thông, bưu chính và báo chí
xuất bản trên địa bàn tỉnh, ngoài ra trực tiếp quản lý vận hành Trung tâm dữ
liệu của tỉnh.
Trung tâm dữ liệu của tỉnh đặt tại Sở TT&TT là trái tim về ứng dụng
CNTT của toàn tỉnh Vĩnh Phúc, hiện đang được cài đặt các ứng dụng dùng
chung của tỉnh bao gồm 30 Cổng thông tin điện của các đơn vị, 34 phần mềm
Quản lý văn bản và điều hành, hệ thống thư điện tử công vụ, hệ thống gis nền
địa lý, hệ thống một cửa điện tử liên thông của toàn tỉnh và nhiều ứng dụng
chuyên nghành khác nữa…
Với tình hình an ninh mạng cấp thiết như trên và tầm quan trọng của hệ
thống CNTT đặt tại Sở TT&TT tỉnh Vĩnh Phúc, xin đề xuất nghiên cứu và
triển khai thành luận văn với đề tài: “Nghiên cứu hệ thống giám sát an ninh
mạng ứng dụng tại sở Thông tin và Truyền thông tỉnh Vĩnh Phúc”.

2. Mục đích nghiên cứu
Tìm hiểu về an toàn thông tin, nguy cơ mất an toàn thông tin và giám
sát an ninh mạng. Ứng dụng phần mềm giám sát mạng Cacti tại Sở TT&TT
Vĩnh Phúc.

3. Nhiệm vụ nghiên cứu
- Tìm hiểu về tổng quan về an toàn thông tin, giám sát an ninh mạng.



an ninh mạng
Chương 2. Nghiên cứu tìm hiểu phần mềm Cacti
Chương 3. Triển khai ứng dụng phần mềm cacti tại Sở TT&TT tỉnh
Vĩnh Phúc


5

CHƢƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG
VÀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG
1.1. Tổng quan giám sát an ninh mạng
Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể
thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ
chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương
quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của
tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp thời các tấn
công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng,
các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của
mạng máy tính ma (botnet).
- Các yếu tố cơ bản của giám sát:
Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được
các yếu tố cốt lõi, cơ bản nhất của giám sát như:
Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám
sát.
Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Các giải pháp công nghệ giám sát an toàn mạng
Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong

- Cải thiện hiệu quả trong hoạt động xử lý sự cố
1.3. Tình hình an ninh mạng trong nƣớc và quốc tế


7

Theo số liệu thống kê, số vụ tấn công trên mạng và các vụ xâm nhập hệ
thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài
sản, cạnh tranh không lành mạnh và một số vụ việc mất an toàn thông tin số
khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi
hơn về công nghệ. Các cơ quan chức năng, đặc biệt là Trung tâm Ứng cứu
khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông
liên tục ra cảnh báo về các nguy cơ, mối đe dọa mất an toàn thông tin và các
lỗ hổng bảo mật.
Thống kê của VNCERT cho thấy t ngày 01/08 đến ngày 07/08/2015
Trung tâm VNCERT ghi nhận nhiều trường website bị tấn công, trong đó có
18 website thuộc các Bộ ngành, Cơ quan nhà nước bị tấn công chiếm quyền
điều khiển và thay đổi giao diện. T ngày 01/08 đến ngày 07/08/2015 Trung
tâm VNCERT đã ghi nhận và phát hiện 357 trường hợp sự cố tấn công thay
đổi giao diện trên toàn quốc. Tính đến ngày 07/08/2015, đã có 169 trường hợp
website đã khắc phục sự cố, còn lại 188 trường hợp chưa khắc phục. Những
trường hợp này VNCERT tiếp tục gửi cảnh báo cho đến khi sự cố được xử lý
triệt để. Trong 357 sự cố trên, có 18 website của các Bộ, ngành, Cơ quan nhà
nước. Đặc biệt, VNCERT ghi nhận 66 tên miền có địa chỉ IP máy chủ đặt tại
Việt Nam bị tấn công chiếm quyền điều khiển và thay đổi giao diện do Haker
Trung Quốc gây ra.
Chỉ trong 9 tháng đầu năm 2015, đã phát hiện hơn 3.296.200 địa chỉ IP
bị nhiễm mã độc và bị điều khiển bởi các máy chủ bên ngoài lãnh thổ, 18.085
website bị nhiễm mã độc và lây lan mã độc đến các máy tính trong mạng,
trong đó có 88 website/Cổng thông tin điện tử của các Cơ quan nhà nước,

khiển máy tính cá nhân, máy chủ. Bị tin tặc tấn công thay đổi giao diện, đưa
thông tin vi phạm pháp luật lên hệ thống.


9

Cài đặt mã độc để thường xuyên ăn cắp thông tin hoặc điều khiến trái
phép.
Kết quả nghiên cứu, khảo sát cũng cho thấy nhiều hệ thống công nghệ
thông tin của các cơ quan nhà nước và doanh nghiệp, đặc biệt là các Cổng,
trang thông tin điện tử có nhiều điểm yếu về an toàn thông tin, chưa được áp
dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp dẫn đến
tình trạng bị tin tặc lợi dụng, khai thác, chiếm quyền điều khiển, thay đổi và
đăng tải các nội dung không lành mạnh v.v...
Điển hình có thể kể đến các đợt tấn công nguy hiểm như đợt tấn công
t

ngày 30/5/2015 đến ngày 04/06/2015, hàng trăm website Việt Nam bị

nhóm tin tặc 1937cn tấn công, trong đó số website tên miền “.gov.vn” và
“.edu.vn” có tên trong danh sách các trang web bị tin tặc tấn công lần lượt là
28 và 140 trang. Nhóm tin tặc 1937cn đã tấn công thay đổi giao diện đưa các
thông điệp liên quan đến xung đột trên Biển Đông giữa Trung Quốc và các
nước ASEAN như Việt Nam, Philippines. Trong đợt tấn công này, nhóm tin
tặc 1937cn vẫn sử dụng thủ đoạn tấn công trước đó là khai thác lỗ hổng trên
phần mềm mã nguồn mở FCKeditor (trình hỗ trợ soạn thảo văn bản) trên
website. Mặc dù Trung tâm VNCERT đã tiến hành cảnh báo lỗ hổng này
nhiều lần nhưng các đơn vị chủ quản website vẫn không khắc phục triệt để
dẫn đến liên tục có tên trong danh sách bị tấn công.
Qua đó cho thấy những lỗ hổng tồn tại trên website, Cổng thông tin

phòng chống triệt để. Phần mềm trendmicro chưa thể quét hết được các lỗ
hổng, tài khoản đặt mật khẩu yếu, đưa ra các cảnh bảo nhắc nhở về điểm yếu
của hệ thống thư công vụ để có thể khắc phục.
Cổng thông tin – Giao tiếp điện tử của tỉnh, 30 cổng thông tin điện tử
thành phần, Phần mềm quản lý văn bản và điều hành cho 34 đơn vị của tỉnh,


11

là các ứng dụng dùng chung của tỉnh sử dụng trên môi trường web được cài
đặt trên các máy chủ của Sở TT&TT Vĩnh Phúc.
T

đầu năm 2014 Sở TT&TT Vĩnh Phúc đã tham mưu với Sở và

UBND tỉnh đồng ý kết nối 32 đơn vị sở, ban, ngành, huyện thành thị kết nối
mạng LAN với hệ thống mạng lõi của Sở TT&TT Vĩnh Phúc qua đường
truyền số liệu chuyên dùng thành mạng diện rộng của tỉnh. Hiện tại, cùng một
lúc có hàng trăm người sử dụng t các sở, ban, ngành vào Sở TT&TT Vĩnh
Phúc, do vậy việc khi sẩy ra vấn đền an ninh mạng là ảnh hưởng tới nhất
nhiều người dùng tại các cơ quan, đơn vị trong hệ thống chính trị của tỉnh.
Có thể nói, Sở TT&TT Vĩnh Phúc cơ bản đã đáp ứng được việc cung
cấp hạ tầng CNTT cho các ứng dụng dùng chung của tỉnh và chuyên ngành
của các cơ quan, đơn vị. Tuy nhiên, còn tiềm ần nhiều nguy cơ mất an toàn,
an ninh thông tin. Hệ thống mạng và các ứng dụng này chưa có hệ thống giám
sát an ninh mạng chuyên dụng. Do đó các ứng dụng trên vẫn có rất nhiều nguy cơ
tiềm ẩn về an toàn an ninh mạng, các hệ thống này cần phải được giám sát bởi
phần mềm giám sát mạng để có thể phát hiện sớm các rủi ro về an ninh mạng, bảo
đảm hệ thống CNTT tại Sở TT&TT Vĩnh Phúc có thể hoạt động tốt 24/7.
1.5. Cấu trúc, chức năng của hệ thống giám sát an ninh mạng

sát không h i thông tin định kỳ t thiết bị.
Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi những
thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện
gì xảy ra. Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh báo, còn tổng
số byte truyền qua port đó sẽ không được thiết bị gửi đi vì đó là thông tin thường
xuyên thay đổi. Muốn lấy những thông tin thường xuyên thay đổi thì máy giám
sát phải chủ động đi h i thiết bị, tức là phải thực hiện phương thức Poll.

Thiết bị (Device)

Máy chủ giám sát
Thông báo
Thông báo

#1
#2

Sự kiện

#1

Sự kiện

#2

(No có sự kiện)
Thông báo

#3


thể là switch, router, firewall, adsl gateway, và cả một số phần mềm cho phép
quản trị bằng SNMP. Giả sử bạn có một cái máy giặt có thể nối mạng IP và nó hỗ
trợ SNMP thì bạn có thể quản lý nó t xa bằng SNMP. SNMP là giao thức đơn
giản, do nó được thiết kế đơn giản trong cấu trúc bản tin và thủ tục hoạt động,


14

và còn đơn giản trong bảo mật (ngoại tr SNMP version 3). Sử dụng phần mềm
SNMP, người quản trị mạng
1.6.2. Các phiên bản giao thức SNMP
SNMP có 4 phiên bản : SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các
phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động.
Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có
nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần mềm hỗ
trợ SNMPv3.
1.6.3

ct

c

v

của

a t ức

Theo RFC1157 2, kiến trúc của SNMP bao gồm 2 thành phần : các trạm
quản lý mạng (network management station) và các thành tố mạng (network

MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng
được quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên
nền TCP/IP. MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên
tuân theo, trong đó có SNMP. MIB được thể hiện thành 1 file (MIB file), và có thể
biểu diễn thành 1 cây (MIB tree). MIB có thể được chuẩn hóa hoặc tự tạo.
Hình sau minh họa MIB tree :


16

Một node trong cây là một object, có thể được gọi bằng tên hoặc id. Ví dụ
:+ Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1, chứa tất
cả các object liên quan đến thông tin của một hệ thống như tên của thiết bị
(iso.org.dod.internet.mgmt.mib-2.system.sysName hay 1.3.6.1.2.1.1.5).

Hình 1.2. Cây MIB
+

Các

OID

của

các

hãng

iso.org.dod.internet.private.enterprise.