File Bao Cao Solawinds.doc

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

ĐỒ ÁN MÔN QUẢN TRỊ MẠNG TÌM HIỂU VÀ TRIỂN KHAI CÁC CÔNG CỤ QUẢN TRỊ MẠNG (Sử dụng Tool Performance trong Win2k3 và Solarwind)

Nhóm sinh viên thực hiện : 1. Trương Đình Hoàng 2. Nguyễn Duy Cường 3. Nguyễn Thị Thanh Minh 4. Nguyễn Thị Thanh Thảo 5. Vũ Thanh Thảo 6. Vũ Thị Hoàng Yến

BẢNG PHÂN CÔNG 1. Trương Đình Hoàng : Quản trị Accouting 2. Nguyễn Duy Cường : Quản trị Security 3. Nguyễn Thị Thanh Minh : Quản trị Performance trong Win2k3 4. Nguyễn Thị Thanh Thảo : Quản trị Fault 5. Vũ Thanh Thảo : Quản trị Performance trong Solarwind 6. Vũ Thị Hoàng Yến : Quản trị Configuration

2

MỤC LỤC Quản trị Performance trong Win 2k3 I.Mục đích II.Công cụ quản trị performance trong win 2k3 1.System monitor 2.Counter Logs 3.Các dạng biểu diễn kết quả giám sát 4.Alerts 5.Trace logs III.Case study IV.Kết luận : Quản trị Performance trong Solarwind I.Các thông số MIB liên quan a.Interfaces b.IP c.TCP d.ICMP e.UDP II.Tìm hiểu các nhóm quản trị MIB và cá đối tượng liên quan a.MIB Viewer b.Mib-walk c.Update System MIB d.SNMP MIB Browser III.Monitor hệ thống (polling & trapping) IV.Kết luận V.Case study Quản trị Fault I.Mục tiêu II.Giới thiệu III.Quản trị lỗi trong Win 2k3 với công cụ Perfomance 1.Thực hiện polling 2.Thực hiện trapping IV.Quản trị lỗi với Network Perfomance Monitor trong Solarwind 1.Các thông số quan tâm đến quản trị lỗi 2.Thực hiện polling 3.Thực hiện trapping V.Nhận xét VI.Case study Quản trị Security I.Giới thiệu về Security Management II.Security Management 3

1.Bảo mật trên Win server 2k3 2.Quản trị bảo mật trên công cụ Solarwind a.SNMP Brute Force Attack b.Port Scanner c.Giới thiệu phần mầm Microsoft Baseline Security Analyzer III.Tổng kết Quản trị Accounting I.Tập MIB được sử dụng cho quản trị Accounting II.Case study Quản trị Configuration I.Mô hình quản trị II.Tìm hiểu công cụ Solarwind Orion Network Configuration Management 1.Cài đặt 2.Tạo CSDL 3.Discover và import thiết bị quản trị 4.Xem và thiết lập các thông số baseline ban đầu 5.Thiết lập Event Log 6.Theo dõi III.Case study IV.Lập phiếu thay đổi cấu hình và phân tích các ảnh hưởng liên quan đến bảo mật Tổng kết, đánh giá chung về hai công cụ quản trị Tài liệu tham khảo

4

QUẢN TRỊ PERFORMANCE TRONG WIN 2K3 I. Mục đích :  Tìm hiểu và khai thác các chức năng có trong tool performance của win2k3  Xây dựng case study về quản trị performance dùng tool performace trong win2k3  Nhận xét đánh giá công cụ performance trong 2k3 II. Công cụ quản trị Performance trên Window : Là một công cụ được tích hợp sẵn trên các hệ điều hành window (từ win 2000) cho phép chúng ta quản lý trên máy local hoặc quản lý các máy ở xa. Để sử dụng chương trình này, ta vào : Start  Control Panel  Administrative Tools  Performance

Chương trình gồm các nhóm chức năng chính: * Giám sát hoạt động hệ thống System Monitor: Từ đây ta có thể giám soát hoạt động của Memory, physicaldisk, processor...vv. * Performace logs and alerts: 5

Gồm Counter log ,Trace log và Alert log :ta có thể thu thập thông tin một cách tự động từ một máy tính cục bộ hoặc một máy tính điều khiển từ xa. Ta có thể thu thập thông tin dưới dạng Binary hoặc cơ sở dữ liệu SQL (file text). - Counter logs: Đây là công cụ giúp người quản trị có thể theo dõi nhật ký hoạt động của một hoặc nhiều đối tượng mà ta quan tâm. - Trace log : Ghi lại các sự kiện khi hệ thống chạy các ứng dụng ví dụ khi nhập xuất ở đĩa cứng hoặc có một trang lỗi xuất hiện. Khi có sự kiện xảy ra, dịch vụ Performance Logs and Alerts ghi chúng vào một file log. - Alerts: Là công cụ giúp chúng ta có thể nhận được những thông báo do sự vượt quá một ngưỡng nào đó (do ta cài đặt). 1. System monitor: Tại máy NMS ta tiến hành quản trị một số thông số ICMP của máy Agent

6

Ở đây ta khảo sát 2 thông số là: -

Received Echo Reply/sec: (icmp.icmpInEchoReps) Số gói ICMP Echo Reply nhận được trong 1s Received Echo/sec: (icmp.icmpInEchos ) số gói ICMP Echo nhận được trong 1s.

7

Trong file bắt gói ta thu được các gói ICMP Request và ICMP Reply

8

2. Counter logs: Polling (sử dụng counter logs) là một cơ chế thu thập thông tin mang tính chủ động từ nhà quản trị. Khi người quản trị quan tâm đến một giá trị tham biến nào đó thì gửi yêu cầu lấy các thông tin đó từ máy client.

Mô hình mạng như sau:

9

Tiến hành bằng công cụ quản trị performance của Windows, sau đó bắt gói và phân tích . Các bước tiến hành: Control Panel → Administrative tools → Performance . Trong phần polling ta chọn Counter Logs để thu thập thông tin về Interface. Click phải vào Counter Logs → Chọn New Log Settings

10

11

Thu thập thông tin về Network Interface trên máy Agent (192.168.188.4), các thông số quan tâm là: Byte Received/sec, Bytes Sent/sec, Bytes Total/sec, Current Bandwith, Packets Outbound Discarded, Packets Received Errors.

Sau khi add các đối tượng ta định thời gian polling là 10s gửi thông tin về 1 lần :

12

Định dạng file log là Text File (Tab delimited) :

Thiết lập thời gian bắt đầu thu thập thông tin: 13

Sau khi add xong các counter, chạy để bắt đầu việc thu thập thông tin. Định kỳ 10 giây máy agent sẽ gởi dữ liệu về máy quản trị.

14

Ngoài ra trên máy agent cũng có thể sử dụng System Monitor để xem xét giá trị của những counter đó thay đổi như thế nào.

Nhận xét:

-

Các thông số Bytes Received/ sec, Bytes Send/ sec, Bytes Total/ sec cho phép đánh giá hiệu quả họat động của Interface. Dữ liệu từ máy Agent gởi định kỳ về giúp người quản trị có thể xem xét để đánh giá hoạt động tại từng thời điểm. Nếu như trong một khoảng thời gian nào đó, những giá trị thu về vượt quá những giá trị cho phép(tổng số byte nhận được tăng lên đột ngột so với bình thường) thì có thể xảy ra lỗi hoặc bị tấn công . Ngoài ra việc lưu lượng tăng lên cũng có thể do nhu cầu sử dụng tăng lên, việc thu thập thông tin giúp người quản trị lập kế hoạch cho sự phát triển của hệ thống mạng. Các thông số Packets OutBuond Discard, Packets Received Errors cho phép đánh giá độ tin cậy.

Dùng wireshark để tiến hành bắt gói và phân tích gói tin, ta thấy: Để thực hiện polling , máy NMS gửi gói DCERPC (Remote Procedure Call – lời gọi hàm xa bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tán hoạt động được trong môi trường Windows) đến Agent. NMS đang mở port 1041 gửi request đến máy Agent đang lắng nghe ở port 445. 15

Cấu trúc của gói DCERPC Request có dạng như sau :

16

Máy Agent sau khi nhận được yêu cầu từ máy NMS thì gửi lại Response cho Agent với source port 445, destination port 1041:

Cấu trúc của gói DCERPC Respone : 17

Máy NMS nhận được Response của máy Agent thì gửi lại ACK cho máy Agent để xác định rằng đã nhận được thông tin phúc đáp.

18

Nhận xét: Vậy quá trình thu thập dữ liệu bằng cơ chế polling trong Windows có thể được mô tả như sau: Máy NMS gửi gói DCERPC đến máy Agent. Máy Agent nhận được và trả lời bằng gói DCERPC..

DCE RPC Request

DCE RPC Respone 19

ACK

3. Các dạng biểu diễn kết quả giám sát : biểu đồ, khối, report Để chọn loại kết xuất, ta vào System Monitor  Propertites  General

Dạng biều đồ :

20

Dạng khối :

21

Dạng report :

Ý nghĩa của từng loại kết xuất :  Dạng report: thể hiện những thông số quan tâm dưới dạng những con số cụ thể, giúp cho người quản trị có thể xác định chính xác sự chênh lệnh giữa giá trị thu được tại thời điềm hiện tại với giá trị baseline tương ứng. Từ đó đưa ra quyết định thay đổi ra sao để phù hợp với hệ thống đang vận hành.  Dạng đồ thị: thể hiện dưới dạng đồ thị. Mục đích của loại hiển thị này giúp cho người quản trị có cái nhìn bao quát về một nhóm các đối tượng đang quan tâm, xem xét hệ thống có đang vận hành tốt hay không, có giá trị nào tăng đột biến hay không,… từ đó có thể đưa ra những biện pháp phòng tránh kịp thời.  Dạng khối: thể hiện dưới dạng khối (histogram). Với việc biểu diễn thông qua hình thức này giúp cho người quản trị thấy rõ sự chênh lệch giữa một vài đối tượng quan tâm. Từ đó người quản trị xem xét có nên điều chỉnh giá trị nào cho phù hợp hay không. 4. Alerts: Sử dụng chức năng Alerts có trong công cụ performance của win2k3. Công cụ này giúp chúng ta có thể nhận được những thông báo khi có sự vượt quá một ngưỡng nào đó( các thông số baseline do ta cài đặt). 22

Thiết lập giá trị vượt ngưỡng

Theo dõi xem giá trị có vượt ngưỡng hay không? Gửi thông báo về

Ví dụ khi số tiển trình vượt quá 36 tiến trình cho hiện thông báo. Tiến hành tạo mới một Alert như sau:

23

Chọn đối tượng và counter quan tâm :

Khi số tiến tình vượt quá 36, ta thiết lập cho hệ thống biết thông báo sẽ được gửi về máy NMS (192.168.188.3):

24

Và khi bên máy Agent có số tiến trình vượt 36, một thông báo sẽ được gửi về cho máy NMS có dạng :

Sự kiện được lưu trữ trong Event Viewer : 25

26

5. Trace logs : Cách tạo một trace log : Tại cửa sổ Performance logs and alerts, click chuột phải vào Trace logs, chọn new logs setting:

27

Tại tab General ta chọn đường dẫn lưu file, trạng thái của nhà cung cấp, các sự kiện sẽ được ghi lại bởi nhà cung cấp hệ thống .

28

Tại tab Log files, ta chọn kiểu file sẽ lưu:

Ta có thể chọn khoảng thời gian theo dõi. 29

Ở tab Advanced chọn kích thước buffer cho dữ liệu file log, số buffer và thời gian định kỳ chuyển dữ liệu từ buffer vào file trên đĩa cứng, nếu không chọn thời gian này thì khi buffer đầy sẽ được chuyển vào đĩa cứng.

III.

Case Study: 30

Vinagame là một công ty kinh doanh game online tại thị trường Việt Nam. Gần đây công ty tiếp tục phát triển thêm loại hình kinh doanh dịch vụ webgame cho cộng đồng giải trí ảo (sản phẩm Zing me). Thời gian đầu đưa vào thử nghiệm hệ thống vận hành rất tốt, đảm bảo tốc độ truy xuất của người chơi. Nhưng thời gian gần đây, công ty thường xuyên nhận được phản ánh của gamer về tình trạng khó truy cập, hệ thống xử lý chậm trong thao tác mua bán các sản phẩm trong game. Vì vậy, nhân viên quản trị mạng trong công ty tiến hành khảo sát xem đâu là nguyên nhân gây ra tình trạng đó. Các thông số cần quan tâm là : số kết nối truy cập vào server game trong cùng một thời điểm, tình trạng CPU (CPU load) và dung lượng bộ nhớ (Available Memory )còn trống. Sau khi tiến hành khảo sát các vấn đề trên, kết quả nhận được như sau :  Số kết nối truy cập vào server game :

 Biểu đồ CPU load & Available Memory :

31

Từ hình trên ta thấy CPU luôn trong tình trạng quá tải, bộ nhớ sẵn có để đáp ứng sự vận hành của hệ thống luôn ở chỉ số rất thấp. Từ các vấn đề vừa phân tích ở trên, ta nhận thấy rằng nguyên nhân gây ra vấn đề là do số lượng người chơi truy cập vào server quá đông, server không còn đủ bộ nhớ để đáp ứng nên gây ra tình trạng nghẽn đường truyền. Để giải quyết vấn đề này, nhân viên quản trị trong công ty quyết định nâng cấp phần cứng cho server game, đồng thời trang bị thêm 1 server mới để chia tải cho server đang dùng. Sau đó tiếp tục theo dõi thêm tình trạng của hệ thống trong một khoảng thời gian ta thấy tình trạng hoạt động đã đi vào trạng thái ổn định

32

Mặc dù tình trạng nghẽn server đã được khắc phục, tuy nhiên dự đoán trong thời gian tới số lượng gamer truy cập vào trò chơi ngày càng đông, đòi hỏi đội ngũ quản trị mạng trong công ty phải thường xuyên theo dõi tình trạng hoạt động của hệ thống để có những biện pháp xử lí kịp thời. IV.

Kết luận :  Tools Performance trên window dùng để quản lý các thông tin trên máy local và remote. Việc quản lý khá đơn giản bằng giao diện có sẵn thân thiện với người dùng. Qua giao diện của chương trình người dùng dễ dàng thu thập các thông tin cần thiết và tự tạo ra các cảnh báo mà không cần những hiểu biết chuyên sâu của người quản trị mạng.  Trong Windows, không sử dụng SNMP để thu thập thông tin. Việc thu thập thông tin đều sử dụng giao thức RPC với sự hỗ trợ của TCP. Sử dụng gói DCERPC để thu thập thông tin từ xa . Do đó, trong quá trình bắt gói sẽ thấy được các gói TCP.  Để chạy được tool này phải vào bật các dịch vụ trong service cụ thể là các dịch vụ sau: Remote Registry, Remote Procedure Call (RPC), Remote Procedure Call (RPC) Location. Ngoài ra để thực hiên được chức năng Alert cần phải start dịch vụ 33

Messenger. Nhưng hiện nay, RPC đã không còn an tòan, các hacker đã tấn công mạng thông qua dịch vụ RPC. Windows hiện đang cập nhật sửa lại lỗi này.

34

QUẢN TRỊ PERFORMANCE TRONG SOLARWIND I.

Các thông số Mib liên quan đến quản trị performance:

a) b) -

Interfaces (1.3.6.1.2.1.2) ifInOctets: số octet nhận được trên một interface. ifInUcastPkts: số gói unicast nhận được trên một interface. ifInNUcastPkts: số gói không phải là unicast nhận được trên một interface. ifOutOctets: số octet gởi ra từ một interface. ifOutUcastPkts: số gói unicast gởi ra từ một interface. ifOutNUcastPkts: số gói không phải là unicast gởi ra từ một interface. ifSpeed: băng thông hiện tại trên interface tính theo đơn vị bit/s. ifInErrors: số packet nhận được bị lỗi trên một interface. ifInDiscard: số packet nhận được không có lỗi bị loại bỏ. ifOutDiscard: số packet bị loại bỏ khi ra ngoài interface. IP (1.3.6.1.2.1.4) ipInReceive: tổng số datagram nhận được bao gồm các gói bị lỗi. ipReasmReqds: số lượng của các phân mảnh IP nhận mà đang chờ tái hợp. ipReasmOKs: số lượng của các gói IP tái hợp thành công. ipReasmFails: số lượng các gói không thành công được phát hiện bởi thuật toán tái hợp của IP. - ipReasmTimeout: thời gian tối đa (tính bằng giây) để chờ nhận các phân mảnh đang chờ tái hợp. - ipForwDatagram: số datagram được forwarding. - ipInDiscards: số lượng các gói IP nhận vào bị loại bỏ (tràn bộ đệm). - ipInDeliver: : số lượng các gói IP nhân vào được chuyển lên các lớp trên. - ipOutRequests: số lượng các gói IP chuyển ra ngoài theo yêu cầu. - ipOutDiscards: số lượng các gói IP chuyển ra ngoài bị loại bỏ. - ipFragOKs: số lượng của các gói IP mà phân mảnh thành công. - ipFragFails: số lượng của các gói IP mà bị loại bỏ bởi vì chúng không thể bị phân mảnh. - ipAdEntReasmMaxSize: kích thước lớn nhất của gói IP mà có thể tái hợp lại từ các phân mảnh của gói IP đến nhận được tại interface này. c) TCP (1.3.6.1.2.1.6) - tcpMaxConn: số kết nối TCP tối đa. - tcpActiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp đến trạng thái SYN-SENT từ trạng thái CLOSE. -

tcpPassiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp trực tiếp.

-

tcpAttempptFails: số lần thử kết nối bị lỗi.

-

tcpEstabResets: số các reset xuất hiện. 35

-

tcpCurrEstab: số kết nối có trạng thái hiện tại là ESTABLISHED hay CLOSEWAIT.

-

tcpInSegs: tổng số segment đã nhận.

-

tcpOutSegs: tổng số segment đã gửi.

-

tcpRetransSegs: tổng số segment bị truyền lại.

-

tcpOutRsts: tổng số segment được gửi.

d) ICMP {1.3.6.1.2.5} : chứa số liệu thống kê đầu vào và đầu ra các gói ICMP giao thức thông điệp điều khiển Internet. Cung cấp các thông điệp điều khiển nội mạng và thực hiện nhiều vận hành ICMP trong thực thể bị quản lý. Gồm 26 đối tượng vô hướng duy trì số liệu thống kê cho nhiều loại bản tin, phục vụ cho việc quản trị performance ví dụ như: - icmpInMsgs: tổng số thông điệp ICMP đi vào - icmpInErrorss: số các thông điệp ICMP đi vào có chứa lỗi - icmpInDestUnreachs: số thông ICMP không đọc được đích đến - icmpInTimeExcds: số các thông điệp ICMP vượt quá thời gian - icmpInParmProbs: số thông điệp ICMP thông số khó hiểu đi vào - icmpInSrcQuenchs: số thông điệp ICMP Source Quench đi vào - icmpInRedirects: số thông điệp ICMP Redirect đã nhận - icmpOutMsgs: tổng số thông điệp ICMP mà entity thử nhận - icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi - icmpOutDestUnreachs: số thông điệp ICMP gửi để báo các đích không đọc được - icmpOutTimeExcds: số thông điệp ICMP gửi để báo vượt quá thời gian - icmpOutParmProbs: số thông điệp ICMP gửi để báo vấn đề về tham số - icmpOutSrcQuenchs: số thông điệp ICMP Soure Quench đã gửi e) UDP {1.3.6.1.2.1.7} cung cấp thông tin liên quan đến hoạt động của UDP, vì UDP là kết nối vô hướng nên nhóm này nhỏ hơn nhiều so với nhóm TCP. Nó không phải biên dịch thông tin của những nỗ lực kết nối, thiết lập, tái lập... Các thông số cần quan tâm khi quản trị: - udpInDatagrams: tổng số gói UDP được phân phát đến các UDP user - udpNoPorts: tổng số gói UDP đã nhận không có ứng dụng ở port đích - udpInErrors: tổng số goi UDP đã nhận nhưng nó không thể được phát đi cho các nguyên nhân ngoại trừ việc thiếu một ứng dụng ở port đích - udpOutDatagrams: tổng số gói UDP đã gửi từ entity này. 36

II.

Tìm hiểu các nhóm quản trị Mib và các đối tượng liên quan: Khảo sát thông số Mib: SNMP Tools cung cấp các tiện ích để quản trị CSDL mib của hệ thống. Các thành phần cơ bản SNMP Tools:

a. MIBViewer : hỗ trợ tìm kiếm cơ sở dữ liệu MIB. Cung cấp khả năng hiển thị bất kì OID hoặc table trong Mib Database. Mib Viewer sẽ download, format, và hiển thị bất kì một biến SNMP Mib nào. Việc đơn giản chỉ cần điền tên biến Mib, tên Mib hoặc một OID.... Ví dụ: tham khảo một tham số Mib system có OID như sau:

37

Kết quả thực hiện:

Kết quả thể hiện một số thông số về hệ thống đang quản trị như tên hệ thống: web, vị trí: tp hcm, thời gian bắt đầu quản lý: 1 giờ 45 phút 16 giây.... b. Mib-walk: cung cấp khả năng sinh ra 1 table chứa tất cả OID của 1 thiết bị nào đó.

38

c. Update System MIB: cho phép update thông tin hệ thống của thiết bị SNMP, bao gồm Tên hệ thống, địa chỉ, đối tác.... Sử dụng tool này để update thông tin trên các thiết bị như Hub, Máy in... d. SNMP MIB Browser: cung cấp khả năng truy cập đến CSDL Mib được cung cấp bởi solarwinds, bạn có thể truy cập Mib tree, xem Mib table, tìm kiếm những thông số qua Mib, hoặc thay đổi những giá trị SNMP từ xa. SolarWinds MIB Browser cho phép bạn xem cấu hình và thực hiện chi tiết từ các thiết bị mạng bằng cách truy vấn các thông số Mib. SolarWinds MIB Browser phân tích một cách tự động những kết quả từ mỗi truy vấn SNMP và hiển thị thông tin trong form.Kết quả của việc truy vấn đó có thể được tùy biến.

39

Các chức năng cơ bản SNMP MIB Browser: 1.Chức năng GET: SNMP MIB Browser hỗ trợ mạnh tính năng GET trên interface cục bộ lẫn từ xa. Để có thể GET được đòi hỏi trên interface đó phải được bật tính năng SNMP.MIB Browser quản lý các đối tượng bằng cây MIB. Có 2 chức năng chính : Get Tree, Get Table. Get Tree: liệt kê các OID trên cột OID Name, cùng với các thuộc tính tương ứng trên các OID đó.

40

Ta sẽ thu thập thông tin về thông số tcpOutseg: kết quả thu được là tổng số seg gửi ra ngoài là 2395 seg.

Chúng ta thực hiện bắt gói tin khi Get thông số mib này:

41

Nhận xét: o Khi Get một thông số Mib, máy quản trị sẽ gửi gói SNMP get_request đến máy web, gói SNMP truyền trên nền UDP với Port Source là 1059, Port Dest là 161. Khi đó máy web làm agent sẽ gởi lại một gói SNMP get_response hồi đáp máy quản trị. o Khi nhận được gói respond, máy quản trị tiếp tục gửi một gói get_BulkRequest để yêu cầu thông tin về thông số mib tcpOutSeg, nhận được yêu cầu trên, máy agent sẽ gửi trả về thông số mib yêu cầu. o SNMPv2 truyền chuỗi mật mã Community dưới dạng plantext nên tính bản mật không cao.

42

GET Table : tương tự như GET Tree nhưng nó chỉ thực hiện khi có Table trên những đối tượng có table . Nó liệt kê các thuộc tính OID trên hàng.

43

Kết quả: các thông số mib thuộc bảng tcpConnTable được hiển thị bên phải bao gồm các thông số như: tcpConnLocalPort, tcpConnLocalAdd, tcpConnState: trạng thái kết nối, ở đây kết nối tcp đã được thiết lập. 2.Chức năng Set: thiết lập giá trị thông số mib Để Set được các giá trị của các tham số, đầu tiên Commnity string phải cho phép thay đổi các giá trị tham số.

Chọn tham số cần set, ta chỉ có thể set được các giá trị của các tham số có thuộc tính Access là read-write (khi đó các giá trị của nó sẽ có màu xanh).

44

Ở đây ta sẽ set thông số ipDefaultTTL như sau: Giá trị ban đầu: 128

Sau khi thay đổi giá trị:

45

Thực hiện bắt gói

46

Nhận xét: o Khi Set một thông số Mib, máy quản trị sẽ gửi gói SNMP set_request đến máy web, gói SNMP truyền trên nền UDP. Khi đó máy web làm agent sẽ gởi lại một gói SNMP get_response hồi đáp máy quản trị. o Khi nhận được gói respond, máy quản trị tiếp tục gửi một gói get_Request để set lại giá trị ipdefaultTTL , khi set xong, máy agent sẽ gửi trả về gói get_response hồi đáp máy quản trị. III.

Monitor hệ thống (polling & trapping) giám sát khả năng thực thi của hệ thống: Polling: sử dụng tool Network Performance Monitor để thực hiện chức năng giám sát hệ thống, là công cụ giám sát mạng tại một thời điểm thực như theo dõi các tiến trình, hoạt động CPU, tình trạng bộ nhớ, góc trễ của mạng,số gói bị mất, lưu lượng mạng,dãi thông...Nó có thể giám sát mỗi node điều khiển và giao diện qua SNMP để mô tả lại khi một node reboot hoặc là 1 interface bị down.

47

1.Tiến hành polling để giám sát hệ thống mạng của chúng ta: Điền tên hoặc địa chỉ Ip của máy agent cần giám sát

48

Tiếp tục như hình sau:

Các nguồn tài nguyên và đặc tính mạng được giám sát:  Ổ đĩa vật lý, luận lý, CPU, memmory.  Các luồng lưu lượng truyền thông trên mạng. 49

Giám sát tải CPU và việc sử dụng bộ nhớ: Giúp ta giám sát được các thông số như: tải trung bình CPU, tải trung bình lớn nhất nhỏ nhất, việc sử dụng bộ nhớ.

Kết quả giám sát hệ thống mạng của chúng ta: Ví dụ: tải TB của CPU là 3%  CPU của máy agent hoạt động với tải thấp, nhẹ nhàng.

50

Phần trăm bộ nhớ đã sử dụng:

Bộ nhớ máy web server hiện tại còn tương đối nhiều. 51

Giám sát Ổ đĩa vật lý: giúp ta giám sát dung lượng ổ đĩa, dung lượng hay phần trăm đã sử dụng...Ví dụ: phần trăm ỗ đĩa C máy agent đã sử dụng hết khoảng 40%

Truyền thông trên mạng: a.Giám sát các lưu lượng vào ra trên các interface, bao gồm thông tin như tốc độ ra vào trên các interface ( đơn vị bps) lớn nhất, nhỏ nhất, trung bình, lưu lượng truyền thông multicast, tốc độ truyền và nhận dữ liệu, tổng số gói, tổng số bytes truyền nhận trên interface.... Ví dụ: tốc độ truyền dữ liệu trên interface:

52

Tốc độ nhận dữ liệu trên interface:

Tổng số packet Tx/Rx: 53

b.Giám sát các lưu lượng vào ra bị lỗi trên các interface hệ thống: thông tin về tỉ lệ các gói bị lỗi và bị loại bỏ trên interface hệ thống, thu thập những thông tin này cho phép người quản trị biết được trình trạng mạng đang hoạt động như thế nào. Ví dụ: tỉ lệ các gói vào ra bị lỗi và loại bỏ:

54

Nhận xét: các gói lỗi truyền và nhận có tỉ lệ là 0% hiện tại mạng hoạt động rất tốt. c.Giám sát các thông tin hiệu năng mạng như về độ trễ và thời gian chờ của mạng,bao gồm thời gian chờ hồi đáp trung bình, lớn nhất, nhỏ nhất, tỉ lệ mất gói, tính sẵn sàng của hệ thống... Các thông số này cho ta biết hiệu suất mạng đang hoạt động như thế nào Ví dụ: thời gian hồi đáp Trung bình hệ thống

Tính sẵn sàng của hệ thống:

55

 gần 100%  hệ thống chúng ta hoạt động rất tốt. 2. Cơ chế polling: xem xét các gói bắt được khi thu thập các thông số về traffic: Máy Manager sử dụng SNMP để get thông tin từ máy Agent.Máy Manager gửi request đến máy Agent với Port Source 1066 là và Port Dest là 161.

56

Máy Agent khi nhận được yêu cầu của máy Manager sẽ gửi một response về máy Manager cung cấp các thông tin về các thông số mib của máy agent.

57

Nhận xét: -

Tất cả agent trong hệ thống được quản trị đều hồi đáp yêu cầu polling từ Manager. Máy quản lý sử dụng messages để thu thập thông tin quản trị và máy agent dùng chúng để trả lời cho máy quản trị. Những SNMP messages dùng để thu thập thông tin là: Get_request và get_Bulkrequest thu thập thông tin với số lượng lớn tăng tính performance của hệ thống (SNMPv2,v3). Get_response là một xác nhận của Agent.

2.Trapping : thu thập thông tin mang tính tự động, ta sẽ xác định các thông số cần quan tâm và đặt một mức ngưỡng cho các thông số đó. Máy quản trị sẽ nhận được một dạng thông báo nếu thông số hoạt động của mạng vượt ngưỡng cho phép. Ví du: thiết lập ngưỡng sử dụng cho bộ nhớ hệ thống Các bước thực hiện Tạo 1 Alert với tên canhbao: 58

Chọn thuộc tính để Giám sat: ở đây ta check vào %Used of Total System Memory

Chọn máy cần giám sát: web server

59

Thiết lập các thông số ngưỡng: ta thiết lập ngưỡng trap là 20%, nếu bộ nhớ hệ thống hoạt động vượt ngưỡng 20% này sẽ thực hiện cảnh báo

Thiết lập thời gian thực hiện trapping:

60

Hành động cảnh báo khi vượt ngưỡng:

61

Kết quả trên cho thấy tổng bộ nhớ hệ thống hiện tại đang sử dụng là 41% nên xuất hiện cảnh báo cho admin. Cơ chế hoạt động: Thực chất trapping là một loạt các hoạt động polling mà chúng ta đã xét ở trên, máy Manager sẽ gửi request và máy agent sẽ response liên tục các thông số mib, máy Manager kiểm tra các thông số gửi về, khi thấy vượt ngưỡng sẽ xuất hiện thông báo cho người quản trị:

62

Khi hệ thống vượt ngưỡng cho trước, 1 gói tin gửi thông báo sẽ được gửi về cho máy Magerment

63

4. Các hình thức biểu diễn kết quả giám sát: Biểu diễn bằng biểu đồ graph: cung cấp cho người quản trị một cái nhìn trực quan hơn về các thông tin thu thập được, so sánh qua từng giai đoạn pooling của hệ thống:

64

Biểu diễn bằng các thông số trên table: cung cấp các thông tin dạng số.

Biểu diễn kết hợp cả hai dạng trên: 65

Nhận xét: SLW hỗ trợ biễu diễn thông tin giám sát dưới các dạng khác nhau, rõ ràng, giao diện thân thiện giúp cho người quản trị dễ dàng quan sát và đánh giá các thông số thu thập được. IV.

Kết luận:

Ngoài các chức năng kể trên, Solarwinds còn cung cấp một số công cụ hỗ trợ quản trị performance khác như:  Advanced CPU Load: giám sát và vẽ lược đồ thể hiện tải trên các Router Cisco và các server  Bandwidth Gauges: đếm số lượng dữ liệu nhận được và truyền đến bất kỳ thiết bị mạng ở xa nào  Bandwidth Monitor: giám sát băng thông  CPU Gauge: giám sát tải của CPU  Real-Time Interface Monitor: mô tả nhiều Router và Switch đồng thời  Router CPU Load: giám sát tải trên Router Cisco

66

Đây là một công cụ hỗ trợ đắc lực cho hoạt động quản trị của admin, với giao diện thân thiện, dễ dàng sử dụng. Nhiều tính năng ưu việt giúp tăng hiệu quả của việc quản trị., chương trình chạy nhẹ nhàng, ít tốn bộ nhớ. Đối với Tool Solarwinds việc thực thi dựa trên SNMP truyền thống thông qua các gói UDP. Do đó, nó độc lập với cơ chế triệu gọi từ xa RPC và hoạt động của nó an toàn hơn Tool Windows nhất l. SNMPv1 và v2 : thông tin được truyền dưới dạng plain text, kể cả community String.  tính bảo mật dữ liệu không cao. SNMPv3: truyền dưới dạng mã hóa  tính bảo mật cao. V.

Xây dựng Case Study:

Người quản trị hệ thống phải đảm bảo hệ thống luôn trong quá trình hoạt động tốt, và một trong những nhân tố quan trọng trong quản trị performance là traffic trên các interface. Trong hình huống này chúng ta sẽ đi sâu hơn vào việc quản trị lưu lượng trên interface. Các vấn đề cần quan tâm ở đây là: loại lưu lượng, thống kê lưu lượng vào ra, thống kê lỗi, broadcast, unicast, tính toán hiệu suất hoạt động của hệ thống. Hiệu suất tính toán bằng công thức sau:

Tuy nhiên hiệu suất có thể không thể hiện hết tình trạng hoạt động của hệ thống mạng. Độ tin cậy tính theo công thức sau:

Bây giờ chúng ta tiến hành polling để thăm dò hoạt động trên các interface: ở đây chúng ta sẽ chú ý đến các gói unicast, multicast cũng như boadcast.

67

Chú ý vào các gói NonUnicast: 68

Lần thứ 1: InNonUnicast: 558 OutNonUnicast: 218 Lần thứ hai:

69

InNonUnicast: 885 OutNonUnicast: 832 Tiếp tục polling liên tục, ta nhận thấy các gói boadcast và multicast càng ngày càng tăng và có lúc tăng cao đột ngột. Nếu như các gói broadcast và multicast này có quá nhiều (vượt ngưỡng có thể chấp nhận được - baseline) có thể gây ra tình trạng bão broadcast, khi đó băng thông của mạng bị các gói này chiếm giữ, ảnh hưởng đến hoạt động mạng, mạng có thể bị loop. Giải quyết: chúng ta sẽ xem xét giá trị baseline của chúng để có thể thiết lập một cảnh báo trapping gửi đến nhà quản trị khi số lượng các gói broadcast vượt ngưỡng cho phép.

70

QUẢN TRỊ FAULT I. Mục tiêu:  Tìm hiểu các chức năng hỗ trợ quản trị lỗi trong Windows, cụ thể là công cụ Performance.  Tìm hiểu các chức năng hỗ trợ quản trị lỗi của công cụ SolarWind,cụ thể là Network Performance Monitor .  So sánh 2 công cụ. II. Giới thiệu: Quản trị lỗi là quá trình ngăn ngừa, phát hiện,định vị ,cô lập, sửa lỗi trong hệ thống mạng. Thực hiện theo 2 cơ chế:  Reactive: khi nào có lỗi thì người quản trị tìm cách giải quyết.  Proactive: người quản trị phải chủ động trong việc dự đoán lỗi thông qua việc đặt ngưỡng và giám sát. Các bước quản trị lỗi:  Xác định đối tượng quản trị.  Phát hiện vấn đề dựa vào thông tin thu thập được qua :  Polling: máy quản trị nhận thông số từ máy bị quản trị gửi về theo định kì.  Trapping: máy quản trị đặt ra giá trị ngưỡng ,máy bị quản trị nếu vi phạm ngưỡng thì gửi thông báo về cho máy quản trị.  Định vị và cô lập vấn đề.  Tìm cách giải quyết vấn đề. Mô hình mạng:

III.

Quản trị lỗi trong Windows với công cụ Performmance: 71

Vào Start -> Run -> gõ perfmon -> OK. 1. Thực hiện polling : bằng cách tạo Couter Log Sơ lược cách tạo 1 Couter Log:

72

Chọn Add Counters…

73

Chọn đối tượng cần quản trị bằng cách nhập IP hoặc tên .

74

Ta xem ý nghĩa của mỗi thông số counter bằng cách : nhấp chuột chọn couter -> chọn Explain. Chọn thông số ->Add -> Close -> OK. Một số Counter Log được tạo để quản trị lỗi cho máy WEB (192.168.188.4): 1)web-service : để giám sát dịch vụ web

75

2)web-server : để giám sát hoạt động trên chính server WEB

3)web-processor : để giám sát vi xử lí của server WEB

4)web-phydisk : để giám sát ổ đĩa vật lý của server WEB

76

5)web-page: để giám sát bộ nhớ của server WEB

6)web-icmp: để giám sát các gói ICMP tại server WEB (trường hợp WEB mở port 23)

7)web-tcp : để giám sát các gói TCP tại server WEB

77

=>Với các couter log trên,ta thu thập được khá đầy đủ thông tin cần thiết để thực hiện công tác quản trị lỗi trên máy WEB. Một ví dụ phân tích file web-tcp_000001.bgl:

78

79

Nhận xét: Số lượng kết nối active (số lượng kết nối TCP chuyển trực tiếp từ trạng thái SYN_SENT thành CLOSED) khá cao. Thực hiện bắt gói: couter.pcap Giao thức được dùng để trao đổi thông tin giữa máy quản trị và WEB là DCERPC. Port của WEB (máy bị quản trị) là : Microsoft-ds (445). Cơ chế: Máy quản trị (192.168.188.3)

DCERPC request

WEB(192.168.188.4)

DCERPC response

ACK 80

2. Thực hiện trapping: bằng cách tạo Alert. Sơ lược cách tạo 1 Alert:

81

82

Chọn Add…

83

Chọn đối tượng cần quản trị bằng cách nhập IP hoặc tên .

84

Ta xem ý nghĩa của mỗi thông số counter bằng cách : nhấp chuột chọn couter -> chọn Explain. Chọn thông số -> Add ->Close.

85

Ở đây ,ta chọn Alert khi giá trị cao hơn 10. (xác định giá trị ngưỡng và cách vi phạm ngưỡng). Chọn tab Action->Nhập vào hành vi xử lí khi xày ra vi phạm ngưỡng. Ở đây,ta chọn sẽ : lưu sự kiện vào application event log và gửi message tới máy quản trị là 192.168.188.3.

86

Chọn OK. Một số Alert được tạo để thực hiện quản trị lỗi trên server WEB (192.168.188.4): 1)trap-service: cảnh báo khi số lượng kết nối hiện tại trên WEB lớn hơn 10.

87

2)trap-processor: thực hiện cảnh báo khi vi xử lí bận quá 85%.

88

3)trap-icmp: cảnh báo khi số Echo nhận được /s lớn hơn 20.

89

Xét 1 ví dụ vi phạm ngưỡng từ Alert trap-service: Khi số kết nối tại WEB là 11,vi phạm ngưỡng 10. Máy quản trị là 192.168.188.3 nhận được message từ chính nó gửi :

Và 1 sự kiên được lưu trong Application event log của máy quản trị (vào Start>Programs->Administrative Tools->Event Viewer->Application ):

90

Thực hiện bắt gói: gói trap.pcap. Cũng là giao thức DCERPC được sử dụng để thực hiện việc truyền thông tin qua lại giữa máy quản trị và WEB. Ở đây, WEB (máy bị quản trị ) có port là: nestbios-ssn (139). =>1 trong 2 port hoặc 445 hoặc 139 .

91

IV.

Quản trị lỗi với Network Performance Monitor trong công cụ SolarWinds: 1. Các thông số quan tâm đối với quản trị lỗi:  System (1): sysDescr (1), sysObjectID(2) ,sysContact (4) ,sysName (5) ,sysService(7) ->Cần thiết khi cần bảo hành,sửa chữa thiết bị.  Interface(2) : ifSpeed (5), ifOperStatus (8), ifInUcastPkts(11), ifInNUcastPkts (12),ifInDiscards (13), IfInErrors(14), IfInUnknownProtos(15), IfOutUcastPkts(17) , IfOutNUcastPkts (18), IfOutDiscards(19), IfOutErrors (20).  Ip (4) : ipInReceives (3), ipInHdrErrs(4), ipInAddrErrors(5), ipInUnknownProtos (7), ipInDiscards (8),ipOutDiscards(11), ipOutNoRoutes(12),IpReasmReqds(14), ipReasmOKs (15),ipReasmFails (16),ipFragCreates (19).  Tcp(6): tcpMaxConn (4), tcpActiveOpens(5), tcpPassiveOpens (6), tcpAttemptFails(7),tcpCurrentEstab(9), tcpRetransSegs (12), tcpInErrs (14),icpOutRsts (15).  Udp(7): udpInDatagrams(1), udpNoPorts(2), udpInErrors(3)  Icmp(5) : icmpInMsgs (1), icmpInErrors (2), icmpDestUnreachs (3), icmpInEchos (8). 2.Thực hiện polling: 92

Ta vào Solarwinds Engineer’s Toolset -> Network Monitoring -> Network Performance Monitor. Sơ lược cách làm: Chọn New ->Nhập vào IP đối tượng quản trị->Next

Nhập vào community string tương ứng đã thiết lập tại máy bị quản trị:

93

Chọn Finish. Trước đó,tại máy WEB (máy bị quản trị), ta thiết lập SNMP Service : vào tab Traps và Security để chỉnh:

94

Xét ví dụ polling:

95

96

2. Thực hiện Trapping: Sơ lược cách làm: Ta tạo 1 Alert thực hiện cảnh báo khi bộ nhớ của WEB bị chiếm dụng quá 3000byte. Chọn Alert..

97

98

99

100

101

102

103

104

105

Chọn OK. Xét ví dụ trapping:

106

Thực hiện bắt gói: Giao thức được dùng để trao đổi thông tin giữa máy quản trị và WEB là SNMP. Port của WEB (máy bị quản trị) là : snmp (161). Cơ chế: Máy quản trị (192.168.188.3)

WEB(192.168.188.4) get-request

get-response

107

Thông số MIB tương ứng trong gói bắt được có thể hiểu rõ hơn thông qua MIB Browser:

108

V.

Nhận xét:

Công cụ performance: đơn giản, dễ thao tác .Công tác quản trị dựa trên giao thức DCERPC với port 139 hoặc 445 ,hiện nay là 1 lỗ hổng dễ bị hacker khai thác tấn công. Công cụ Solarwind: nhiều chức năng quản trị,chuyên nghiệp hơn, thân thiện người dùng.Công tác quản trị dựa trên giao thức SNMP, với version1 và version2 thì không an toàn vì community string truyền dạng cleartext, dễ bị khai thác tấn công.Với SNMP v3 an toàn hơn với cơ chế xác thực (MD5,SHA1) và mã hóa (DES56bit, AES128bit). VI.

Case study:

Nhân viên của 1 phòng ban không truy cập vào WEB server được. Ta cần kiểm tra: -Kiểm tra 1 số thiết bị cục bộ điển hình tại phòng ban, như pc, switch…xem có vấn đề cục bộ gì không ?? ->fix ngay nếu có thể. -Policy ???...->Có thể user đó bị cấm truy cập do chính sách security đã qui định. -Giao tiếp Interface tới WEB :còn up hay không ??..->Kiểm tra các thông số MIB của interface đã nêu ở trên. -> up lại giao tiếp. -Connection hiện có của WEB + tài nguyên hệ thống đủ đáp ứng không ?? …->kiểm tra các thông số MIB của tcp được nêu ở trên + so sánh các thông số tài nguyên hệ thống qua công cụ quản trị. -> nâng cấp tài nguyên hệ thống WEB hoặc thêm server để loadbalancing. -Tấn công DoS,DDoS ???...-> Kiểm tra các thông số MIB của interface, tcp,icmp, ip đã nêu ở trên. ->Xác định IP tấn công để lọc chặn.

109

DANH MỤC HÌNH SỬ DỤNG TRONG QUẢN TRỊ FAULT

Hình 1: Sơ lược cách tạo 1 couter log trong wins Hình 2: Một số Counter Log được tạo để quản trị lỗi cho máy WEB Hình 3: Một ví dụ phân tích file web-tcp_000001.bgl Hình 4: Thực hiện bắt gói: couter.pcap Hình 5: Sơ lược cách tạo Alert trong wins Hình 6: Một số Alert được tạo để thực hiện quản trị lỗi trên server WEB (192.168.188.4) Hình 7:Xét 1 ví dụ vi phạm ngưỡng từ Alert trap-service Hình 8: Thực hiện bắt gói: gói trap.pcap Hình 9: Sơ lược cách tạo polling trong SLW Hình 10: Ví dụ polling Hình 11: Sơ lươc cách tạo trapping trong SLW Hình 12: Ví dụ trapping Hình 13: Thực hiện bắt gói alert-snmp.pcap

110

QUẢN TRỊ SECURITY I.

Giới thiệu về Security Managenment : Quản trị Security là một chức năng quản trị rất quan trọng trong hệ thống mạng

của chúng ta. Hệ thống hoạt động ổn định với hiệu suất cao và tính an ninh được đảm bảo là điều luôn được mong muốn. Một hệ thống mạng khi đã được Configuration, thì song song với việc quản trị Performance, Fault, Accouting thì chức năng quản trị Security cũng được quan tâm hàng đầu. Phát hiện các xâm nhập trái phép vào hệ thống, thực hiện các biện pháp chống xâm nhập, vá lỗi khi phát hiện một lỗ hổng nào đó. Thực hiện các biện pháp an ninh thông qua việc đưa ra các Policy cụ thể. Nhằm đảm bảo an ninh cho tài khoản người dùng (Users) cũng như tài nguyên của hệ thống mạng (Resources). II.

Security Management : 1. Bảo mật trên Window Server 2003 Ở đây chúng ta có 2 máy tính được thiết lập cấu hình như sau Máy Agent WEB cấu hình Domain Controller abc.com : IP 192.168.188.4 Máy NMS (Network Management System) Solarwind:

IP 192.168.188.3

111

Cấu hình chính sách Password cho việc đăng nhập – Password Policy Vào Administrator Tool \ Domain Security Policy -> Chọn Accout Policies -> Chọn Password Policy

Để đảm bảo tài khoản chúng ta là an toàn, khuyến cáo nên đặt password theo các chính sách sau: -

Enforce password history (giám soát password history): 24 password

-

Maximum password age: thời gian sống tối đa của password: 42 ngày

-

Minimum password age: thời gian tối thiểu là 1 ngày

-

Minimum password length: 7 kí tự

-

Yêu cầu độ khó bắt buộc trong việc đặt password: enable. Độ khó tối thiểu 7 kí tự trong đó có kí số, chữ thường, chữ hoa, và các kí tự symbol (@,#..)

Thi hành cơ chế xác thực người dùng Authentication Trong Window Server hỗ trợ một giao thức xác thực khá mạnh mẽ và chặt chẽ là Kerberos. Trong domain abc.com, tạo 1 user với username: cuong

112

Với các tùy chọn cho user như là: o Use DES encryption types for this accout o Do not require Kerberos o Accout is disable o Accout is trusted for delegation o

…..

Ví dụng chúng ta thực hiện việc user cuong logon domain abc.com. Sau đó tiến hành bắt gói, chúng ta nhận được các gói sử dụng giao thức xác thực Kerberos như sau: Máy tính user cuong đăng nhập với IP 192.168.188.3 Máy server với domain abc.com có IP 192.168.188.4

113

Ở đây chúng ta chú ý đến các gói sử dụng giao thức KRB5 sử dụng giao thức xác thực Kerberos v5 (các gói 3, 4, 5, 6) AS: Authentication Server: máy chủ xác thực TGS: Ticket Granting Server: máy chủ cấp vé AS – REQ : user1 yêu cầu máy chủ xác thực cho mình AS – REP: máy chủ xác thực và cấp cho user1 ID để yêu cầu TGS cấp vé TGS – REQ: user1 yêu cầu TGS cấp vé để có thể đăng nhập vào hệ thống TGS – REP: TGS cấp vé cho user1 Sau khi được cấp vé thì user1 có thể truy cập vào các dịch vụ mong muốn Chính sách giám soát Audit Policy Vào Administrator Tool \ Domain Controller Settings -> Local Policies -> Audit Policy

114

Cấu hình các chính sách giám soát: -

Audit account logon events: giám soát tài khoản đăng nhập

-

Audit account management: giám soát tài khoản quản trị

-

Audit directory service access: giám soát truy cập các dich vụ

-

Audit object access: giám soát các đối tượng truy cập

-

Audit policy change: giám soát thây đổi chính sách

-

Audit privilege use: giám soát các đặc quyền sử dụng

-

Audit process tracking: giám soát quá trình theo dõi

-

Audit system events: giám soát các sự kiện hệ thống

Phân quyền Right Management Vào Administrator Tool \ Domain Controller Settings -> Local Policies -> User Rights Assignment

Ví dụ: Chúng ta sẽ cấu hình cho user1 chức năng Enable computer anh user account to be trusted for delegation (sự truy cập tin cậy) như sau: 115

Add user hoặc group vào form Add User and Group để tạo sự truy cập tin tưởng cho đối tượng cần chức năng này. Hoặc từ chối truy cập của user1 thông qua Deny Log on as a service

116

Và có thể cấu hình rất nhiều chính sách an ninh như sau:

Tùy theo hoạt động cũng như yêu cầu của mỗi hệ thống mạng, quản trị viên có thể cấu hình các policy thích hợp 2. Quản trị bảo mật trên công cụ Solarwind v9.2 Trên Solarwind hỗ trợ khá nhiều công cụ giúp ích cho việc quản trị an ninh mạng. Một số công cụ như: -

SNMP Brute Force Attack

-

SNMP Dictionay Attack

-

Port Scanner

-

Remote TCP Session Reset

-

Edit Dictionaries

-

Cisco Route Password Decryption 117

Sau đây chúng ta sẽ khảo sát một số công cụ như sau: a) SNMP Brute Force Attack Giới thiệu: SNMP Brute Force Attack là công cụ cho phép xác định chuỗi community string SNMP là read-only hay read-write bằng việc thử tất cả các kí tự cũng như chữ số có thể. Công cụ này có thể tùy chỉnh để có thể chỉ thử các kí tự nhất định hay các chuỗi community có chiều dài cố định. Sử dụng công cụ này, bạn cần chấp nhận các thỏa thuận và đồng ý chỉ chạy các ứng dụng này trên mạng thuộc quyền quản trị của bạn. Tuy đây là một công cụ tấn công, nhưng các nhà quản trị cũng dùng để tìm kiếm khôi phục lại các SNMP community string. Demo:

PC NMS thực hiện Scan để tìm kiếm khôi phục lại chuỗi community string trên PC Agent (IP như hình vẽ) Cấu hình như sau: Trên PC Agent: vào Administrator Tool/ Computer Management -> Chọn Services -> chọn SNMP services -> Ở tab Security chúng ta cấu hình 2 chuỗi community như sau

118

Trên PC NMS cấu hình như sau: Khởi động ứng dụng SNMP Brute Force Attack -> chọn Settings

Ở tab General: tùy chọn chiều dài của chuỗi community string (ở đây chúng ta chọn chiều dài la 5) Tab Character Set: sẽ scan chuỗi community bằng việc thử tất cả các kí tự thường Và bắt đầu thực hiện scan, đồng thời thực hiện bắt gói bằng Wireshark 119

Kết quả thu được là 2 chuỗi community: ab và cd Phân tích hoạt động của công cụ trên dựa vào các gói bắt được Nguyên tắc hoạt động là: PC NMS sẽ liên tục gởi ra các gói tin Get-request kèm theo 1 kí tự sinh ra trong chuỗi Custom Character Set mà chúng ta đã cài đặt. Đến khi chuỗi kí tự get-request match với chuỗi kí tự community thì PC Agent sẽ gởi GetRespont lại cho PC NMS xác nhận đúng community string. Trong gói tin sau, ở gói thứ 133, PC NMS gởi chuỗi ab và match với chuỗi community của PC Agent

120

Và ngay lập tức, PC Agent gởi Respont xác nhận đúng cho PC NMS ở gói 134:

Tương tự với chuỗi community cd là ở gói 449 và 450

121

Sau khi đã scan được chuỗi community string thì tiếp tục kiểm tra chuỗi đó là Read-Only hay là Read-Write. Bằng cách PC NMS gởi 1 gói Set-Request kèm theo 1 giá trị sysContact. PC NMS gởi gói SET để coi thử community string có khả năng Write hay không. Sau đó yêu cầu lấy thông tin sysContact.0 trên máy PC Agent xem việc SET có thành công không. Nếu không thể SET giá trị sysContact thì community string đó là Read-Only. Ngược lại, nếu có thể SET giá trị sysContact thì community string đó là Read-Write Ở community string ab. PC NMS gởi gói Set-Request như sau:

122

Và PC Agent gởi Respont như sau:

Giá trị sysContact không thể thay đổi nên ab là community string Read-Only Ở community string cd, cũng tương tự như vậy ta thu được kết quả sau:

123

Và nhận được gói tin Respont như sau:

Dễ dàng nhận thấy việc Set sysContact (Test 241246) đã thành công. Suy ra cd là community string Read-Write

124

Nhận xét: -

Nếu chuỗi community string là chuỗi phức tạp thì việc dò tìm sẽ rất khó khăn và mất nhiều thời gian.

-

Việc dò tìm string thông qua việc gởi Get-request liên tục cho đến khi đúng chuỗi string, có thể sẽ bị Firewall ngăn chặn.

-

Là công cụ có thể dành cho hacker tấn công lấy chuỗi community nên quản trị phải hết sức cẩn thận.

b) Port Scanner Giới thiệu: là công cụ cho phép discover từ xa trạng thái của các Port trên 1 địa chỉ IP hay một danh sách các địa chỉ IP. Quá trình quét đơn giản được mô tả như sau:

Thật ra thì Port Scanner là một công cụ trong Solarwind nhưng lại không hỗ trợ giao thức SNMP. Gói tin bắt được như sau:

125

Nhận xét: -

Công cụ không hỗ trợ giao thức SNMP nhưng lại rất cần thiết cho các nhà quản

trị. Các nhà quản trị dễ dàng nhận biết được các cổng nào được bật lên trong hệ thống mạng của mình, các cổng nào khả nghi, cổng nào có thể hacker khai thác để tấn công. Qua đó, có biện pháp ngăn chặn kịp thời -

Tuy nhiên công cụ này chỉ cho phép thu thập thông tin, người quản trị hoàn

toàn không được phép disable một port nào đó từ xa, hay chuyển trạng thái(từ Up sang Down, ngược lại) của Port. Ngoài ra, trong Solarwind còn hỗ trợ một số công cụ Security khác như: -

SNMP Dictionary Attack: giống như SNMP Brute Force Attack cũng dùng để thực hiện việc dò tìm các community string nhưng theo phương pháp Dictionary. Tức là tạo một thư viện chứa các chuỗi có thể là community string, sao đó scan và đối chiếu 2 string, nếu match thì chuỗi đó là community string. Việc scan có kết quả hay không là tùy thuộc hoàn toàn vào thư viện bạn tạo ra.

126

-

Remote TCP Session Reset: cho phép quản trị viên hiển thị tất cả các session hoạt động trên server đầu cuối, router, dial server, hoặc truy cập server và dễ dàng reset bất kì session nào.

c) Giới thiệu phần mềm Microsoft Baseline Security Analyzer(MBSA) Giúp các nhà quản trị phân tích hiện trạng bảo mật trên hệ thống Server Windows, thậm chí đưa ra những thông tin hữu ích hay các lời khuyên cho user bình thường sử dụng máy tính. Phần mềm này cung cấp một công cụ giám sát, phân tích security, được cung cấp miễn phí bởi Microsoft. Giao diện chương trình như sau:

Chương trình có thể quét theo 2 tùy chọn: Scan 1 máy hoặc scan nhiều máy. Bây giờ chúng ta sẽ thực hiện quét: máy PC NMS có cài chương trình MBSA sẽ quét máy PC Agent Thiết lập các thông số như sau: 127

-

Kiểm tra các lỗ hổng quản trị Window

-

Kiểm tra độ mạnh yếu của password

-

Kiểm tra lỗ hổng quản trị IIS

-

Kiểm tra lỗ hổng quản trị SQL

-

Kiểm tra các cập nhật bảo mật Start scan -> kết quả như sau: Scan Weak password cho kết quả sau

128

Nhận thấy 2 password sử dụng mật khẩu không có thời hạn đó là Administrator và Guest Administrative Vulnerabilities

Internet Information Services (IIS) Scan Results

129

SOL Server Scan Result

Sau khi thực hiện scan, kết quả trả về là các thông số liên quan đến Security như trên. Với các thông số có cảnh báo từ chương trình, nhà quản trị sẽ nhận biết được và kịp thời khắc phục cũng như đưa ra các chính sách an ninh đảm bảo hơn. Nhận xét: Công cụ này được Microsoft đưa ra bổ sung vào các công cụ mà HĐH Windows còn hạn chế. Giúp người quản trị chủ động thu thập thông tin liên quan đến account, password, …

III.

Tổng kết :

Security Management là chức năng quản trị vô cùng quan trọng trong một hệ thống mạng. Đòi hỏi nhà quản trị cần giám soát chặt chẽ hoạt động của hệ thống mạng, phân tích các hành vi khả nghi, đưa ra các chính sách đảm bảo an ninh tốt. Ở HĐH Windows đã có tích hợp sẵn một số những tiện ích hỗ trợ chức năng quản trị Security cho nhà quản trị mạng. Domain Controller là ứng dụng quan trọng trong việc quản trj bảo mật. Đòi hỏi các chính sách policy phù hợp cũng như sự thực hiện nghiêm túc của các user. 130

Ở công cụ Solarwind, công cụ chuyên dụng để quản trị mạng thì có một số tính năng nâng cao hơn. Solarwinds mục đích chính là quản trị 2 chức năng: performance, fault khá kỹ càng. Ở khía cạnh Security, Solarwinds giúp cho người quản trị thu thập thông tin Port trong tổ chức, cũng như việc phục hồi community… Đối với Security Management, thì việc quản trị không liên quan đến nhiều thông số MIB, có thể khảo sát một số thông số Mib sau đây: -

sysContact: đoạn text nhận dạng liên lạc đối tượng cho việc quản trị node đó, cùng các thông tin liên lạc với node đó

-

sysObjectID: nhận dạng xác thực nhà cung cấp của hệ thống mạng trong 1 thực thể. Giá trị nhận dạng được phân bổ trong cây SMI (1.3.6.1.4.1). ví dụ nếu nhà cung cấp là Flintstones, Inc. sẽ được gán cây 1.3.6.1.4.1.4242 và có thể gán 1.3.6.1.4.1.4242.1.1 để nhận dạng Red Router

-

ipDefaultTTL: thời gian sống của một gói tin ip. Nếu thời gian sống lớn, nhưng gói tin không thể đến đích được, gói tin sẽ bị loop trong mạng. và nếu có nhiều gói tin bị loop thì hệ thống mạng sẽ hoạt động trì truệ. Hacker có thể lợi dụng điểm yếu này để gởi nhiều gói tin bị loop làm cho hệ thống mạng tắt nghẽn

131

QUẢN TRỊ ACCOUNTING I. Tập MIB được sử dụng cho quản trị Accounting : System MIB -sysName(1.3.6.1.2.1.1.5) : Tên của hệ thống -sysDescr(1.3.6.1.2.1.1.1) : Mô tả hệ thống -sysContact(1.3.6.1.2.1.1.4) : Tên kết nối của hệ thống -sysObjectID(1.3.6.1.2.1.1.2) : ID của hệ thống -sysLocation(1.3.6.1.2.1.1.6) : Vị trí của hệ thống -sysUpTime(1.3.6.1.2.1.1.3) : Thời gian sau khi hệ thống quản trị khởi tạo lại -sysServices(1.3.6.1.2.1.1.7) : Tập các giá trị chỉ các dịch vụ mà hệ thống này có khả năng cung cấp -sysORLastChange(1.3.6.1.2.1.1.8) : Giá trị của sysUpTime tại thời điểm có sự thay đổi gần đây nhất trong trạng thái hay giá trị bất kỳ thể hiện nào của sysORID -sysORTable(1.3.6.1.2.1.1.9) : - sysOREntry(1.3.6.1.2.1.1.9.1) : Một mục khái niệm mới trong sysORTable - sysORIndex(1.3.6.1.2.1.1.9.1.1) : Biến phụ trợ được sử dụng để xác định các trường hợp của các đối tượng hình cây cột trong sysORTable - sysORID(1.3.6.1.2.1.1.9.1.2) : Một xác định thẩm quyền của một tuyên bố khả năng đối với các MIB module hỗ trợ bởi các thực thể SNMPv2 tại đó diễn xuất trong một vai trò đại lý. - sysORDescr(1.3.6.1.2.1.1.9.1.3) : Một đoạn mô tả các khả năng xác định bởi các thể hiện tương ứng của sysORID - sysORUpTime(1.3.6.1.2.1.1.9.1.4) : Giá trị của sysUpTime mà lúc đó hàng nhận thức này được thể hiện cuối cùng II.

Case study: 132

- Từ máy quản trị NMS lấy thông tin về các account hiện có trên một máy agent.

Cụ thể là từ máy NMS 192.168.188.3 lấy thông tin các account hiện có trên máy Agent 192.168.188.4 Tiến hành: -Sử dụng IP Network Browser của tool Solarwind bắt đầu khảo sát

Hình 1: Cài đặt trên máy NMS để khảo sát Nhập địa chỉ 192.168.188.4 của máy agent để khảo sát.Thực hiện Scan Device với community là public.Mở chương trình wireshark để bắt các gói thông tin để phân tích.

133

Hình 2 :Các thông tin của gói bắt được khi tiến hành Nhìn vào hình 2 ta thấy được ban đầu: -Máy NMS ping thử cho máy Agent xem địa chỉ cần xác định Scan có tồn tại hay không.Sau đó là gói tin trả lời của máy Agent.

Hình 3:Gói tin yêu cầu thông số sysobjectID.0 của NMS -Tiếp đó máy NMS tiến hành lấy các gói tin sysobjectID.0,sysName.0,sysDescr.0 Phân tích kỹ các gói tin này dựa vào thông số mà wireshark bắt được để biết được quá trình quản trị của máy NMS.

134

Hình 4:Thông số của gói tin get-request sysObjectID.0 Hình 4 hiển thị cho các thông tin có trong gói tin get-request được gửi từ máy NMS. -Lúc này xuất hiện phương thức get cua giao thức SNMP,”get” được gửi từ NMS yêu cầu tới agent. Agent nhận yêu cầu và xử lý với khả năng tốt nhất có thể. Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một ”get-response”. -Trong gói tin này ta chú ý trường variable-binding.Đây là trường thông tin chứa là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent. Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời.Trên hình 4,cho ta thấy có 1 thông tin mà NMS cần biết.Cụ thể ở đây là MIB sysobjectID. -Dãy số 1.3.6.1.2.1.1.2.0 là OID có ý nghĩa sau: * Với 1.3.6.1.2.1.1 là: Object Identifier chỉ tới tới nhóm ”system” trong MIB. Cụ thể là : -

1 : ISO được gán OID 1.3 : tổ chức xác định tiêu chuản ISO 1.3.6 : US Department of Defense 1.3.6.1 : OID assignments from 1.3.6.1 - Internet 1.3.6.1.2 : Quản lý IETF 1.3.6.1.2.1 : SNMP-MIBv2 1.3.6.1.2.1.1 : System-MIB Tiếp theo là .2 : Chỉ tới một trường thứ 2 trong bảng “system” là sysObjectID .0 :là chi sự vô hướng trong bảng “system”,các hang được đánh số từ 1

trở đi.

135

Hình 5: Gói tin trả lời get-respone sysObjectID.0 của máy agent Nhìn vào trường variable-binding của gói tin để ta xác định thông tin chính của gói tin này.Khi máy NMS hỏi thông số của sysObjectID của máy Agent(1.3.6.1.2.1.1.2.0) thì máy Agent tra thông số MIB trong bảng của nó và trả lời lại là 1.3.6.1.4.1.311.1.1.3.1.3đây là Object Identifier của máy Agent.Tra bảng MSFT-MIB từ Microsoft :

Hình 6 : Bảng MSFT-MIB của Microsoft Dựa vào bảng trên ta thấy với câu trả lời của máy Agent là 1.3.6.1.4.1.311.1.1.3.1.3 thì ObjectID của máy Agent sẽ là : dc. Phân tích tương tự với các gói tin sysName.0 và sysDescr.0 136

Hình 7 : Gói tin get-request sysName.0

Với OID : 1.3.6.1.2.1.1.5.0 – NMS yêu cầu thông số MIB trong bảng “system”.Với hàng thứ 5 là sysName.

137

Hình 8 : Gói tin get-respone sysName.0 của máy Agent Câu trả lời của máy Agent cho NMS khi được hỏi về tên máy là :WEB(Dòng gạch đỏ cuối cùng)

Hình 9 Gói tin get-request sysDescr.0 Với OID : 1.3.6.1.2.1.1.1.0 – NMS yêu cầu thông số MIB trong bảng “system”.Hàng thứ 1 là sysDescr.

138

Hình 10 : Gói tin get-respone sysDecsr của máy Agent Câu trả lời của máy Agent cho NMS khi được hỏi về cấu hình của máy là :Hardware… (Dòng gạch đỏ cuối cùng)

Tiếp theo ta xem xét các gói tin chứa thông tin về các account có trên máy của agent.Tại wireshark ta bắt được các gói có thông tin về account như sau:

139

Hình 11 : Các gói tin chứa thông tin về các account Cụ thể các bước tiền hành của NMS như sau: B1 : Máy NMS dùng hàm getnext để hỏi thông tin về account có trên máy Agent. -Lúc này NMS dùng hàm getnext khác với hàm get o trên. ”get-next” đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB. Agent sẽ lần lượt trả lời tất cả các đối tượng có trong câu truy vấn của ”get-next” tương tự như ”get”, cho đến khi nào hết các đối tượng trong dãy -Ở đây trong ta xem xét gói tin đầu tiên của NMS gửi cho Agent khi yêu cầu thông tin về các account trên agent.

140

Hình 12 : Gói tin getnext-request đầu tiên của máy NMS Trong trường variable-binding có 1 thông tin yêu cầu.Có OID là 1.3.6.1.4.1.77.1.2.25.1.1.Đối chiếu với bảng LanMgr-MIB

141

Hình 13 : LanMgr-MIB(có thể tham khảo thêm ở đây) Chú ý vào dòng gạch đỏ ta nhận thấy OID của gói tin này là yêu cầu các thông tin của account có trên nhánh svUserName trong bảng svUserTable thuộc bảng sv.Phân tích cụ thể OID này rat a co thể hiểu như sau: 1.3.6.1.4.1.77.1/.2.25.1.1 tương đương iso.org.dod.internet.private.enterprises.lanmanager.lanmgr-2/.server.svU serTable.svUserEntry.svUserName.Ban đầu đây là gói tin yêu cầu thông số nên giá trị value của nó sẽ là null.

142

Hình 14 : Gói tin getnext-respone của máy Agent Khi nhận được yêu cầu từ NMS,Agent sẽ tra bảng MIB của nó và trả về giá trị gần nhất mà nó có,như trên hình là : value(Octet String) : 47775657374-tức là account Guest(dòng đỏ cuối cùng).Phân tích củ thể như sau: -Khi nhận được yêu cầu OID : 1.3.6.1.4.1.77.1.2.25.1.1.Máy Agent sẽ vào nhánh svUserName trong bảng svUserTable thuộc bảng sv ghi lại các thông số và trả lời cho NMS.Câu trả lời cho NMS có OID là : 1.3.6.1.4.1.77.1.2.25.1.1.5.71.117.101.115.116,lúc này Agent đã gửi cho NMS account đầu tiên là 5.71.117.101.115.116 phân tích các octet này ra thì ta được kết quả là account Guest. Tiếp theo thì NMS sau khi nhận được câu trả lời cho câu hỏi account trên nhánh svUserName đầu tiên thì nó sẽ tiếp tục gửi yêu cầu tiếp theo qua gói tin trên wireshark như sau:

143

Hình 15 :Gói tin thứ 2 của phương thức getnext-request từ NMS Nhìn vào thông số của gói tin thì NMS dùng phương thức getnext-request.OID của gói tin là 1.3.6.1.4.1.77.1.2.25.1.1.5.71.117.101.115.116.Có nghĩa là NMS yêu cầu Agent gửi thông số của account tiếp theo sao acc Guest vừa nhận được.Đây là gói tin yêu cầu nên giá trị value của nó là null.

Hình 16 : Gói tin trả lời của Agent khi nhận được getnext-request thứ 2 144

Khi nhận được yêu cầu từ NMS-gửi thông tin acc tiếp theo sau acc Guest,Agent sẽ tra bảng MIB của nó và trả về giá trị sau Guest,như trên hình là : value(Octet String) : 6B7262746774-tức là account krbtgt(dòng đỏ cuối cùng).Phân tích cụ thể như sau: -Khi nhận được yêu cầu OID : 1.3.6.1.4.1.77.1.2.25.1.1.5.71.117.101.115.116.Máy Agent sẽ vào nhánh svUserName trong bảng svUserTable thuộc bảng sv,tiếp theo sau acc Guest ghi lại các thông số và trả lời cho NMS.Câu trả lời cho NMS có OID là : 1.3.6.1.4.1.77.1.2.25.1.1.6.107.114.98.116.103.116,lúc này Agent đã gửi cho NMS account tiếp theo là 6.107.114.98.116.103.116 phân tích các octet này ra thì ta được kết quả là account krbtgt(acc của service Kerberos Distribution Key). Tương tự như vậy trên máy NMS sẽ nhận được acc tiếp theo trên máy Agent là:

Hình 17 :Gói tin đáp trả acc IUSR_WEB của Agent Acc IUSR_WEB (tài khoản đặc biệt dùng trong các truy nhập dấu tên trong dịch vụ IIS) có value(octet String) : 49555352F574542-tức là acc ISUR_WEB

145

Hình 18 : Gói tin đáp trả acc IWAM_WEB của Agent Acc IWAM_WEB(tài khoản dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có IIS) có value(octetString) : 4957414D5F574542-tức là acc IWAM_WEB

Hình 19 : Gói tin đáp trả acc Administrator của Agẹnt Acc Administrator(tài khoản đặc biệt,có toàn quyền trên máy) có value(octetString) : 41646D696Ê873747261746F72-tức là acc Administrator.

146

Hình 20 : Gói tin đáp trả acc SUPPORT_388945a0 của Agent Acc SUPPORT_388945a0(tài khoản dùng cho các dịch vụ hỗ trợ) có value(octetString) là 535550504F33383934356130-tức là acc SUPPORT_388945a0 Đến lúc này như trên NMS gửi gói tin getnext-request tiếp tục hỏi acc sau acc SUPPORT_388945a0 thì được Agent đáp trả như sau:

Hình 21 :Gói tin đáp trả sau khi nhận được getnext-request sau acc SUPPORT_388945a0 Sau khi nhận được yêu cầu tiếp theo của NMS thì Agent tiếp theo dò tiếp bảng svUserName,nhưng lúc này đã ko còn acc nào nữa nên đáp trả lại cho NMS rằng đã dò 147

qua tới 1 bảng khác đó là bảng svShareNumber-OID : 1.3.6.1.4.1.77.1.2.26.Như vậy đã hết acc ma NMS yêu cầu,value lúc này là interger 32:3 tức là interger :0 –hết giá trị. Để kiểm tra lại quá trình trên ta vào IP Network Browser thì được kết quả sau :

Hình 22 :Thông tin acc của máy Agent khi kiểm tra qua IP Network Browser So sánh với thông só của máy Agent

148

Hình 23 : Các account trên máy Agent Nhận xét : Để lấy acc trên máy Agent thì IP Network Browser sử dụng community của máy đó và dùng hàm Get,Getnext để lấy toàn bộ thông tin trong bảng MIB của máy Agent rồi trả về cho NMS

149

QUẢN TRỊ CẤU HÌNH I.

Mô hình quản trị:

II.

Tìm hiểu công cụ quản trị mạng: SolarWinds Orion Network Configuration Management (NCM) 1. Bước 1: Cài đặt + SQL Server 2005 Express + Orion NCM 2. Bước 2: Tạo cơ sở dữ liệu trong SQL để ghi lại thông tin quản trị:

150

151

152

3. Bước 3: Discover và Import thiết bị quản trị:

153

154

155

-

4. Bước 4: Xem thiết lập các thông số baseline ban đầu Installed Software: 156

-Running Software:

157

-

System Mibs:  sysDescr: Mô tả nguyên văn của đối tượng quản lý. Giá trị này thường bao gồm tên đầy đủ và version của loại phần cứng của hệ thống, hệ điều hành, thiết bị mạng.  sysObjectID: định danh của đối tượng đang được quản lý  sysContact: Tên liên lạc của người quản lý node này  SysUptime: Thời gian từ lúc mà hệ thống khởi động thiết lập  sysLocation: Địa chỉ thật của node đang quản lý  sysServices: Tổng số dịch vụ mà node cho phép

158

-

Interface Mibs: Quản trị performance:  ifMtu: Kích thước lớn nhất của một packet có thể được gửi và nhận trên interface này, tính bằng octets.  ifSpeed: băng thông hiện thời trên interface theo đơn vị bit/s. Với những interface không có sự thay đổi về băng thông hay những interface không thể ước lượng được chính xác, thì giá trị này sẽ là băng thông hiệu dụng. Nếu băng thông này lớn hơn giá trị cực đại mà biến này có thể biểu diễn (4,294,967,295) thì variable ifHighSpeed sẽ được dùng để biểu diễn tốc độ của interface. Đối với các sub-layer mà không liên quan đến tốc độ thì giá trị này được biểu diễn là 0.  ifOperStatus: Trạng thái hoạt động hiện hành trong hệ thống của interface, có cùng trạng thái với ifAdminStatus là up nếu như interface đã sẵn sàng để chuyển và nhận lưu lượng mạng, hoặc đang đợi cho một hành động bên ngoài( ví dụ : như đang đợi cho một kết nối vào), down khi có lỗi xảy ra.  ifInUcast Pkts: Tổng số gói unicast được phân phối bởi lớp dưới lên lớp trên của nó  IfInNUcast Pkts: Tổng số gói, được phân phối bởi lớp dưới lên lớp trên, là địa chỉ multicast hoặc broadcast của lớp dưới.  ifOutOctets: số octet ra khỏi interface  ifOutUnicastPkts: Số gói unicast ra khỏi interface  ifOutNUcastPkts: số gói không phải unicast ra khỏi interface Quản trị lỗi:  ifInErrors: Là số các gói nhận vào mà có lỗi đối với interface hướng gói , là chiều dài tổng số lần đơn vị chuyển tải vào bị lỗi đối với interface hướng ký tự. Ngăn cản chúng không cho phân phối tới lớp giao thức cao hơn.  ifOutErrors: lỗi của gói ra  ifInUnknownProtos: Tổng số gói được nhận qua interface sẽ bị huỷ bởi vì không có giao thức hoặc giao thức không được hỗ trợ.  ifInDiscard: số gói bị hủy  ifOutDiscards: gói ra bị hủy

159

 ifLastChange: Lần cuối cùng thay đổi trạng thái của interface  ifOutQlen: chiều dài gói ra

160

-

Route Table:  ipRouteDest: route đích  ipRouteInIndex: số chỉ mục route  ipRouteMetric: metric của route. Trường hợp chưa thiết lập mặc định là -1

161

    

-

ipRouteNextHop:hop tiếp theo trên đường đi ipRouteType: kiểu đường đi (direct, indirect) ipRouteProto: giao thức định tuyến ipRouteAge: Thời gian tồn tại của route ipRouteMask: mặt nạ cho subnet của địa chỉ ip

Ip Mibs: Quản trị performance:  ipInReceives.0: tổng số gói nhận được tại interface này bao gồm các gói bị lỗi.  ipInDelivers.0: số gói nhận được phân phối đến lớp trên  ipOutRequests.0: số gói yêu cầu cần được truyền đến lớp trên  ipReasmTimeout.0: thời gian tối đa (tính bằng giây) để chờ nhận các mảnh mà đang chờ được tái hợp.  ipReasmReqds.0: số lượng của các phân mảnh IP nhận mà đang chờ tái hợp.  ipReasmOKs.0: số lượng của các gói IP tái hợp thành công. Do không có gói nào bị phân mãnh nên trường này có giá trị là 0.  ipReasmFails.0: số lượng các gói không thành công được phát hiện bởi thuật toán tái hợp của IP.  ipFragOKs.0: số lượng của các gói IP mà phân mảnh thành công.  ipFragFails.0: số lượng của các gói IP mà bị loại bỏ bởi vì chúng không thể bị phân mảnh. 162

 ipFragCreates.0: số lượng của các gói IP phân mảnh được tạo trong quá trình phân mảnh.    

Quản trị fault: ipInHdrErrors.0: lỗi trong Header ipInAddrrErrors.0: lỗi trong địa chỉ ipForwDatagrams.0: số datagram được chuyển tiếp ipInUnknownProtos.0:tổng số gói được nhận sẽ bị huỷ vì không có giao thức hoặc giao thức không được hỗ trợ.

 ipOutNoRoutes.0: số gói ra không có đường đi  ipInDiscards.0: số lượng các gói IP input mà không có vấn đề gì bắt gặp để ngăn chặn chúng được tiếp tục xử lý, nhưng mà bị loại bỏ do khác hơn các lỗi (ví dụ: hết buffer).  ipInDelivers.0: tổng số các gói input thành công mà chuyển lên giao thức lớp trên user của IP (bao gồm cả ICMP).  ipOutDiscards.0: số lượng các gói output không có vấn đề gì gặp phải để chuyển đi nhưng bị loại bỏ bởi lý do khác lỗi (như hết buffer).  ipOutNoRoutes.0: số lượng các gói IP bị loại bỏ do không có tuyến đường nào có thể tìm thấy để chuyển chúng đến đích của chúng. Chú ý rằng các gói này bao gồm bất kỳ gói mà một host không thể định định tuyến bởi vì tất cả các router mặc định của chúng đã bị down.

-

TCP Mibs: 163

Quản trị performance:  tcpActiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp đến trạng thái SYN-SENT từ trạng thái CLOSE  tcpPassiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp trực tiếp  tcpAttempptFails: số lần thử kết nối bị lỗi  tcpEstabResets: số các reset xuất hiện  tcpCurrEstab: số kết nối có trạng thái hiện tại là ESTABLISHED hay CLOSE-WAIT  tcpInSegs: tổng số segment đã nhận  tcpOutSegs: tổng số segment đã gửi  tcpRetransSegs: tổng số segment được truyền lại  tcpOutRsts: tổng số segment được gửi Quản trị fault:  tcpAttempptFails: số lần thử kết nối bị lỗi  tcpEstabResets: số các reset xuất hiện  tcpRetransSegs: tổng số segment được truyền lại  tcpErrs: tổng số segment nhận được bị lỗi  tcpRtoAlgorithm: thuật toán được sử dụng để xác định giá trị timeout sử dụng cho việc truyền lại các octet không hoàn thành  tcpRtoMin: giá trị nhỏ nhất được cho phép bởi sự thực thi TCP cho việc truyền lại timeout  tcpRtoMax: giá trị lớn nhất được cho phép bởi sự thực thi TCP cho việc truyền lại timeout  tcpMaxConn: số liên kết TCP tối đa  tcpConnState: trạng thái của kết nối

164

-

-

UDP Mibs: Quản trị performance:  udpInDatagrams: tổng số gói UDP được phân phát đến các UDP user  udpNoPorts: tổng số gói UDP đã nhận không có ứng dụng ở port đích  udpInErrors: tổng số goi UDP đã nhận nhưng nó không thể được phát đi cho các nguyên nhân ngoại trừ việc thiếu một ứng dụng ở port đích  udpOutDatagrams: tổng số gói UDP đã gửi từ entity này.

ICMP Mibs: Quản trị performance 165

                       

icmpInMsgs: tổng số thông điệp ICMP đi vào icmpInErrorss: số các thông điệp ICMP đi vào có chứa lỗi icmpInDestUnreachs: số thông ICMP không đọc được đích đến icmpInTimeExcds: số các thông điệp ICMP vượt quá thời gian icmpInParmProbs: số thông điệp ICMP thông số khó hiểu đi vào icmpInSrcQuenchs: số thông điệp ICMP Source Quench đi vào icmpInRedirects: số thông điệp ICMP Redirect đã nhận icmpInEchos: số các thông điệp ICMP Echo request đi vào icmpInEchoReps: số các thông điệp ICMP Echo reply nhận được icmpInTimestamps: số ICMP Timestamp request đã nhận icmpInTimestampReps : số thông điệp ICMP Timestamp Reply đi vào đã nhận icmpInAddrMasks: số ICMP Adddresss Mask Request đi vào đã nhận icmpInAddrMaskReps: số thông điệp ICMP Adddresss Mask Reply đi vào đã nhận icmpOutMsgs: tổng số thông điệp ICMP mà entity thử nhận icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi icmpOutDestUnreachs: số thông điệp ICMP gửi để báo các đích không đọc được icmpOutTimeExcds: số thông điệp ICMP gửi để báo vượt quá thời gian icmpOutParmProbs: số thông điệp ICMP gửi để báo vấn đề về tham số icmpOutSrcQuenchs: số thông điệp ICMP Soure Quench đã gửi icmpOutRedirects: số thông điệp ICMP Redirect đã gửi icmpOutEchos: số thông điệp Echo Request messages đã gửi icmpOuttEchoReps: số thông điệp Echo Reply messages đã gửi icmpOutAddrMasks: số thông điệp Address Mask Request đã gửi icmpOutAddrMaskReps: số thông điệp Address Mask Reply đã gửi

Quản trị fault:  icmpOutMsgs: tổng số thông điệp ICMP thử nhận  icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi  icmpInRedirects: số thông điệp ICMP Redirect đã nhận

166

-

SNMP Mibs:

167

Quản trị Performance:  snmpIn/OutTotalReqVars: Số đối tượng Mib được phục hồi thành công khi nhận được các PDUs get-request và get-next hợp lệ./ được tạo ra  snmpIn/OutGetRequests: Số PDU get-request được chấp nhận/ được tạo ra  snmpIn/OutGetNexts: Số PDU get-next được chấp nhận nhận và xử lý/ được tạo ra  snmpIn/OutGetResponse: Số PDU get-response được chấp nhận và xử lý/ được tạo ra Quản trị Faults:  snmpIn/OutTooBigs: Số lượng SNMP PDUs phân phối tới / được tạo bởi thực thể giao thức SNMP có giá trị của trường errorstatus là “tooBig”.  snmpIn/OutNoSuchNames: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “noSuchName”.  snmpIn/OutBadValues: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “badValue”.

168

 snmpIn/OutGenErrs: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường errorstatus là “genErr”.

5. Thiết lập Event Log: Giúp cất giữ các các bản record chi tiết của các sự kiện, giúp cho việc theo dõi và troubleshoot những bất thường xảy ra.

169

170

NCM cung cấp một chức năng rất tiện lợi cho việc theo dõi và cập nhật thông tin cấu hình là download config. Với chức năng này, admin có thể download các thông tin cấu hình từ device và so sánh với các giá trị baseline đã thiết lập hay các thông tin cấu hình download trước đó, hoặc đơn giản là để backup.

Nhưng chức năng này không hoạt động được một cách bình thường vì luôn có lỗi xảy ra, và không thể tự động download bất cứ thông tin cần thiết nào từ thiết bị quản trị. Các chức năng theo dõi và cập nhật dựa vào tập tin syslog vì thế cũng không thể hoạt động.Cho nên tất cả các 171

thay đổi về thông tin cấu hình sẽ được theo dõi thủ công dựa vào các thông số Mib và theo dõi theo thời gian thực cùng với việc theo dõi CPU load.

6. Theo dõi theo thời gian thực các giá trị baseline của thiết bị:

172

CPU load :

173

III.

Case Study: Trước nhu cầu truy cập web ngày càng tăng từ bên ngoài cũng như bên trong, dẫn đến tình trạng Webserver bị quá tải. Biện pháp đề xuất để duy trì một network ổn định là xây dựng thêm một Webserver thứ hai bổ sung vào hệ thống.

IV.

Lập phiếu thay đổi cấu hình và phân tích các ảnh hưởng bảo mật liên quan

ĐƠN YÊU CẦU THAY ĐỔI CẤU HÌNH HỆ THỐNG WEBSERVER Nguồn: - Người làm đơn: Vũ Thị Hoàng Yến - Chức vụ: Administrator - Điện thoại: 0932068802 - Tổ chức: Học viện công nghệ Bưu chính viễn thông Mô tả thực trạng gặp phải: Webserver có nguy cơ bị quá tải do số lượng người truy cập vào trang web công ty ngày càng tăng cao. Giải pháp đề nghị: Xây dựng thêm một Webserver thứ hai bổ sung vào hệ thống. Mức độ khẩn cấp: Trung bình  File Phân tích: Hoạt động hiện tại của hệ thống: -

CPU liên tục hoạt động với hiệu suất gần như tối đa - Dung lượng TCP tăng lên đáng kể - Dung lượng IP tăng lên đáng kể - Lưu lượng qua interface tăng lên đáng kể - Tỉ lệ utilization luôn ở mức khá cao Thử nghiệm khi xây dựng thêm một Webserver:

-

Hệ thống hoạt động trở lại bình thường như mức baseline định ra trước đó. Chứng tỏ Server cũ bị quá tải chứ không phải bị tấn công Dos. Chi phí phát sinh: -

Chi phí lắp đặt server : $2000 - Chi phí vận hành: $500 174

-

-

Chi phí quản lý: $500 - Chi phí bảo dưỡng:$500 Chi phí huấn luyện sử dụng: $100 Thông số phân tích đi kèm: Ip:

TCP:

175

If:

CPU:

176

Utilization:

177

178

TỔNG KẾT Trong nội dung quyển báo cáo này chúng em đã đi tìm hiểu hầu hết các chức năng chính của hai tool quản trị mạng là Perfomance trên Window Server 2k3 và Solarwinds. Tool Performance đơn giản chỉ dành cho người quản trị không chuyên nghiệp, trong khi đó tool Solarwinds là tool thương mại (giá thành cao) được dùng cho cả người quản trị không chuyên và chuyên nghiệp. Chi tiết hơn chúng em đã rút ra được những kết luận như sau :  Cơ chế RPC của Windows với sự hỗ trợ của TCP cho phép truyền nhận thông tin nhằm mục đích đảm bảo độ tin cậy. Tất cả thông tin phần Data của RPC đều được mã hóa . Tuy nhiên, có nhược điểm là : RPC đòi hỏi phải cung cấp dịch vụ trên các máy. Nếu RPC không hoạt động thì Tool Windows (các ứng dụng như Performance ) cũng không hoạt động.  Xét về mặt Sercurity , việc cho thực thi RPC là không an toàn. Nếu kiểm soát không tốt, hacker có thể tấn công mạng bằng RPC. Đồng thời, tool Windows hoạt động dựa trên cơ chế xác thực các Account Windows gây khó khăn cho việc quản trị từ xa(nhất là trong mạng WAN).  Đối với Tool Solarwinds việc thực thi dựa trên SNMP truyền thống thông qua các gói UDP. Do đó, nó độc lập với cơ chế triệu gọi từ xa RPC và hoạt động của nó an toàn hơn Tool Windows nhất là trên môi trường mạng WAN. Nhưng thông tin được truyền dưới dạng plain text, kể cả community String. Do đó vi phạm tính bảo mật dữ liệu. Bảng so sánh: PERFOMANCE Đơn giản,hỗ trợ ít thông tin

SOLARWIND Rất chi tiết,hỗ trợ nhiều thông tin

Phức tạp trong công tác quản lý, phải Sử dụng đơn giản,họat động trên giao dùng tài khỏan Window và phải điều thức SNMP chỉnh một số tham số trong cấu hình Dành cho người quản trị không chuyên

Dành cho người quản trị chuyên nghiệp

Chủ yếu dùng để thu thập thông tin

Cho phép get và set

Miễn phí(tích hợp sẵn trong window (từ Chi phí cao phiên bản 2000 trở về sau))

179

TÀI LIỆU THAM KHẢO 1. 2. 3. 4. 5.

SolarWinds Toolset Administrator Guide OReilly - Essential SNMP 2nd Edition(2005) Essential SNMP Microsoft Windows Server 2003 Performance Guide Các website về quản trị mạng như :  http://www.nhatnghe.com/forum  http://www.vnpro.org/forum  http://www.quantrimang.com

180