Nội dung

ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN TRẦN DUY MINH GIẢI PHÁP AN NINH TRONG KIẾN TRÚC QUẢN TRỊ MẠNG SNMP Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Người hướng dẫn: PGS.TS Nguyễn Văn Tam Thái Nguyên, tháng 12/2008 MỤC LỤC CÁC THUẬT NGỮ VIẾT TẮT....................................................................2 DANH MỤC CÁC HÌNH .............................................................................4 ĐẶT VẤN ĐỀ ..............................................................................................6 Chương 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET........................................................................................7 1.1. Giao thức và dịch vụ Internet..................................................................7 1.1.1. Giới thiệu giao thức TCP/IP .............................................................8 1.1.2. Giao thức UDP............................................................................... 14 1.1.3. Giao thức TCP ............................................................................... 16 1.2. Các mô hình quản trị mạng SNMP ....................................................... 19 1.2.1. Quản lý mạng Microsoft sử dụng SNMP........................................19 1.2.2. Quản lý mạng trên môi trường Java................................................ 22 1.2.3. Cơ chế quản lý mạng tập trung theo mô hình DEN ........................ 23 1.3. Vấn đề bảo đảm an ninh truyền thông trên Internet .............................. 25 1.3.1. Khái niệm về đảm bảo an ninh truyền thông ..................................25 1.3.2. Một số giải pháp............................................................................. 27 1.3.4. Các thành phần thường gặp trong bức tường lửa ............................ 27 Chương 2: GIẢI PHÁP AN NINH MẠNG SNMP......................................29 2.1. Giao thức quản trị mạng SNMP............................................................ 29 2.1.1. Giới thiệu giao thức SNMP. ........................................................... 30 2.1.2. SNMP Version 3 ............................................................................ 35 2.1.3. Hoạt động của SNMP:....................................................................40 2.2. Các giải pháp xác thực thông tin quản trị.............................................. 53 2.3. Giải pháp đảm bảo toàn vẹn thông tin quản trị......................................55 2.4. Giải pháp mã mật thông tin quản trị...................................................... 56 2.4.1. Sơ lược mật mã đối xứng DES ....................................................... 58 2.4.2. Thuật toán bảo mật DES. ............................................................... 59 2.4.2.1. Chuẩn bị chìa khoá:.................................................................60 2.4.2.2. Giải mã:................................................................................... 61 Chương 3: MÔ HÌNH THỬ NGHIỆM........................................................ 63 3.1. Lựa chọn mô hình thử nghiệm .......................................................... 63 3.2. Phân tích quá trình hoạt động ............................................................ 65 3.2.1 Cài đặt chương trình....................................................................65 3.2.2 Phân tích quá trình hoạt động...................................................... 70 3.3. Đánh giá hiệu quả mô hình................................................................ 71 CÀI ĐẶT CẤU HÌNH HỆ THỐNG............................................................ 72 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ................................................... 76 TÀI LIỆU THAM KHẢO ........................................................................... 77 2 CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT ARP ASN.1 BER Buffer CA CHAP Datagram DES full-duplex ICMP IETF IGMP ISN JNDI LDAP MIB MSS NAS NMS OID Packet filtering PAP PDU RADIUS RARP RAS RFC RMON Segment SGMP SMI SMTP SNMP TACACS TCP TCP/IP UDP MÔ TẢ Ý NGHĨA Address Ressulation Protocol Abstract Syntax Notation 1 Basic Encoding Rules Bộ đệm Certificate Authentication Challenge Handshake Authentication Protocol Đơn vị dữ liệu Data Encryption Standard Cơ chế truyền song công Internet Control Message Protocol Internet Engineering Task Force Internet Group Message Protocol Initial Sequence Number Java Naming Directory Interface Lightweight Directory Access Protocol Management Information Base Maximum Segment Size Network Access Service Network Management System Object identifier Bộ lọc gói tin Password Authentication Protocol Protocol Data Unit Remote Authentication Dial-In User Service Reverse Address Ressulation Protocol Remote Access Service Requests for Comments Remote Network Monitoring Đoạn dữ liệu Simple Gateway Management Protocol Structure of Management Information Simple Mail Transfer Protocol Simple Network Management Protocol Terminal Access Controller Access-Control System Transmission Control Protocol Transmission Control Protocol/Internet Protocol User Datagram Protocol 3 DANH MỤC CÁC HÌNH STT 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Tên hình Hình 1.1: Giao thức truyền thông trên máy tính Hình 1.2. Kiến trúc TCP/IP Hình 1.3: Các giao thức thuộc lớp Network Access Hình 1.4: Các giao thức tại lớp Internet Hình 1.5: Các giao thức thuộc lớp Transport Hình 1.6: Các giao thức thuộc lớp Application Hình 1.7: Quá trình đóng mở gói dữ liệu TCP/IP Hình 1.8: Cấu trúc dữ liệu trong TCP/IP Hình 1.9: Khuôn dạng UDP datagram Hình 1.10: Khuôn dạng TCP segment Hình 1.11: Quản lý mạng Microsoft sử dụng SNMP Hình 1.12: Các tác vụ SNMP Hình 1.13: Cách thức SNMP làm việc Hình 1.14: Quản lý mạng hỗ trợ Java Hình 1.15: Quản lý mạng qua CSDL các lớp đối tượng DEN Hình 1.16:Mô hình các mức bảo vệ an toàn Hình 2.1: Lưu đồ giao thức SNMP Hình 2.2: Quá trình hoạt động của SNMP Hình 2.3: Mạng được quản lý theo SNMP Hình 2.4 : Tổng quan kiến trúc SNMPv3 Hình 2.5: Khuôn dạng Message của SNMPv3 Hình 2.6: Thực thể SNMPv3 Hình 2.7: Dịch vụ xác thức đối với Message Outgoing Hình 2.8: Dịch vụ xác thực đối với Message Incoming Hình 2.9: SNMP manager truyền thống Hình 2.10: Mối quan hệ giữa NMS và agent Hình 2.11: Cây đối tượng nguồn Hình 2.12: Cây đối tượng kế thừa Hình 2.13: Hoạt động của SNMP Hình 2.14: Hoạt động của lệnh “get” trong giao thức SNMP Hình 2.15: Quá trình tìm kiếm trong cây Hình 2.16: Hoạt động của Set Hình 2.17: Hoạt động của SNMP Trap Hình 2.18: Mô hình an ninh mạng Hình 2.19: Quá trình mã mật thông tin Hình 2.20: Mô hình DES Trang 7 8 9 10 11 12 13 14 15 17 19 20 21 22 24 27 30 30 32 35 36 37 37 38 39 40 42 43 44 45 47 48 50 54 55 56 4 STT 37 38 39 40 41 42 43 44 45 46 37 Tên hình Hình 3.1: Enable SNMP trên Router ADSL ZoomX5, X6 Hình 3.2: Cài đặt SNMP trên ADSL Dlink-D520T Hình 3.3: Hộp thoại Welcome to PRTG Traffic Grapher Hình 3.4: Giao diện PRTG Traffic Grapher Hình 3.5: Chọn giao thức SNMP Hình 3.6: Chọn chuẩn Sensor Hình 3.7: Lựa chọn IP và version Hình 3.8: Chọn Sensor Hình 3.9: Giao diện Sensor Monitoring Hình 3.10: Cấu trúc một Probe Hình 3.11: Quá trình gom nhóm các Probe Trang 63 63 64 64 65 66 66 67 68 69 70 5 ĐẶT VẤN ĐỀ Công nghệ mạng Internet/Intranet đang phát triển mạnh mẽ và xu hướng tích hợp các mạng không đồng nhất để chia sẻ thông tin cũng xuất hiện ngày càng nhiều. Việc bảo đảm hệ thống mạng phức tạp, có quy mô lớn hoạt động tin cậy, hiệu năng cao, thông tin tin cậy đòi hỏi phải phải có hệ quản trị mạng để thu thập và phân tích một số lượng lớn dữ liệu một cách hiệu quả. Tuy nhiên, thông tin quản trị mạng lại phải truyền trên môi truờng Internet, có thể bị thất thoát, thay đổi hay giả mạo cần phải được bảo vệ. Các phiên bản SNMPv1 và SNMPv2 mới chỉ đưa ra giải pháp xác thực yếu dựa trên cộng đồng (community). Chính vì vậy, việc nghiên cứu các giải pháp bảo đảm tính xác thực, tính toàn vẹn, tính mật của các thông điệp quản trị mạng là hết sức cần thiết. Phiên bản SNMPv3 đã ra đời nhằm đáp ứng một phần yêu cầu cấp bách này. Tuy nhiên, việc lựa chọn mô hình thực thi vẫn còn nhiều vấn đề cần giải quyết. Tôi chọn hướng nghiên cứu này mong muốn đóng góp, xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có độ an ninh cao. Khuôn khổ luận văn bao gồm 3 chương: Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet. Chương 2: Nghiên cứu giải pháp an ninh mạng SNMP. Chương 3: Xây dựng mô hình thử nghiệm. Em xin chân thành cảm ơn sự nhiệt tình giúp đỡ của thầy giáo PGS.TS Nguyễn Văn Tam đã giúp em hoàn thành luận văn. Người thực hiện Trần Duy Minh 6 Chương 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET 1.1. Giao thức và dịch vụ Internet Bộ giao thức là tập hợp các giao thức cho phép sự truyền thông mạng từ một host thông qua mạng đến host khác. Giao thức là một mô tả hình thức của một tập luật và tiêu chuẩn khống chế một khía cạnh đặc biệt trong hoạt động thông tin của các thiết bị trên mạng. Giao thức xác định dạng thức, định thời, tuần tự và kiểm soát lỗi trong hoạt động truyền số liệu. Không có giao thức, máy tính không thể tạo ra hay tái tạo luồng bít đến từ máy tính khác sang dạng ban đầu. Các giao thức điều khiển tất cả các khía cạnh của hoạt động truyền số liệu, bao gồm: - Mạng vật lý được xây dựng như thế nào. - Các máy tính được kết nối đến mạng như thế nào. - Số liệu được định dạng như thế nào để truyền. - Số liệu được truyền như thế nào. - Đối phó với lỗi như thế nào. Nguồn Đích L L M M N N Đường truyền vật lý L, M, N Msource, Mdestination M layer Protocol Các lớp trong mô hình truyền thông Các lớp ngang hàng Truyền thông ngang hàng Các nguyên tắc thông tin giữa Msource và Mdestination Hình 1.1: Giao thức truyền thông trên máy tính 7 Các luật mạng này được tạo ra và duy trì bởi nhiều tổ chức và hiệp hội khác nhau. Bao gồm trong các nhóm này là IEEE, ANSI, TIA/EIA và ITU-T (trước đây là CCITT). 1.1.1. Giới thiệu giao thức TCP/IP Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau. Ngày nay TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như trên Internet toàn cầu. TCP/IP được xem là giản lược của mô hình tham chiếu OSI với 4 tầng như sau: + Tầng liên kết mạng (Network Access Layer) + Tầng Internet (Internet Layer) + Tầng giao vận (Host-To-Host Transport Layer) + Tầng ứng dụng (Application Layer) Applications Applications Transport TCP/UDP ICMP Internetwork IP ARP/RARP Network Interface and Hardware Network Interface and Hardware Hình 1.2. Kiến trúc TCP/IP Tầng liên kết: Tầng liên kết (còn được gọi là tầng liên kết dữ liệu hay là tầng giao tiếp mạng) là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng 8 đó. Nó bao gồm các chi tiết của công nghệ LAN, WAN và tất cả các chi tiết chứa trong lớp vật lý và lớp liên kết số liệu của mô hình OSI. Lớp liên kết định ra các thủ tục để giao tiếp với phần cứng mạng và truy nhập môi trường truyền. Các tiêu chuẩn giao thức modem như SLIP (Serial Line Internet Protocol) và PPP (Point-To-Point Protocol) cung cấp truy xuất mạng thông qua kết nối dùng modem. Application Transport Internet Network Access - Ethernet - Fast Ethernet - SLIP và PPP - FDDI - ATM, Frame Relay và SMDS - ARP - Proxy ARP - RARP Hình 1.3: Các giao thức thuộc lớp Network Access Chức năng của lớp truy nhập mạng bao gồm ánh xạ địa chỉ IP sang địa chỉ vật lý và đóng gói (encapsulation) các gói IP thành các frame. Căn cứ vào dạng phần cứng và giao tiếp mạng, lớp truy nhập mạng sẽ xác lập kết nối với đường truyền vật lý của mạng. Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý qua trình truyền gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet Group Message Protocol). Mục đích của lớp Internet là chọn lấy một đường dẫn tốt nhất xuyên qua mạng cho các gói di chuyển tới đích. Giao thức chính hoạt động tại lớp này là Internet Protocol. Sự xác định đường dẫn tốt nhất và mạch chuyển gói diễn ra tại lớp này. 9 Application Transport Internet Protocol (IP) Internet Control Message Protocol (ICMP) Address Ressulation Protocol (ARP) Reverse Address Ressulation Protocol (RARP) Internet Network Access Hình 1.4: Các giao thức tại lớp Internet - IP cung cấp conectionless, định tuyến chuyển phát gói theo besteffort. IP không quan tâm đến nội dung của các gói nhưng tìm kiếm đường dẫn cho gói tới đích. - ICMP (Internet Control Message Protocol): đem đến khả năng điều khiển và chuyển thông điệp. - ARP (Address Ressulation Protocol): xác định địa chỉ lớp liên kết số liệu (MAC address) khi biết trước địa chỉ IP. - RARP (Reverse Address Ressulation Protocol): xác định các địa chỉ IP khi biết trước địa chỉ MAC. IP thực hiện các hoạt động sau: + Định nghĩa một gói là một lược đồ đánh địa chỉ. + Trung chuyển số liệu giữa lớp Internet và lớp truy nhập mạng. + Định tuyến chuyển các gói đến host ở xa. Tầng giao vận: Tầng giao vận phụ trách luồng giữ liệu giữa hai trạm thực hiện các ứng dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission Protocol), UDP (User Datagram Protocol). 10