Đang tải... (xem toàn văn)
báo cáo thực tập xây dựng hệ thống giám sát mạng dựa trên công cụ mã nguồn mở Observium. Tài liệu kèm slide chuẩnbáo cáo thực tập xây dựng hệ thống giám sát mạng dựa trên công cụ mã nguồn mở Observium. Tài liệu kèm slide chuẩnbáo cáo thực tập xây dựng hệ thống giám sát mạng dựa trên công cụ mã nguồn mở Observium. Tài liệu kèm slide chuẩn
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THỰC TẬP CƠ SỞ PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN PHẦN MỀM Mà NGUỒN MỞ OBSERVIUM Ngành: Công nghệ thông tin Chuyên ngành: An toàn thông tin Mã số: 52.48.02.01 Sinh viên thực hiện: Nguyễn Khắc Dương Nguyễn Tiến Đạt Phan Mạnh Cường Lớp: AT11B Người hướng dẫn: TS Phạm Văn Hưởng Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2017 MỤC LỤC DANH MỤC HÌNH ẢNH LỜI CẢM ƠN .4 LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT MẠNG CHƯƠNG 2: 20 CƠ BẢN VỀ GIAO THỨC SNMP 20 CHƯƠNG 3: 27 PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN 27 OBSERVIUM .27 CHƯƠNG 4: 31 THỰC NGHIỆM 31 KẾT LUẬN 38 TÀI LIỆU THAM KHẢO 39 DANH MỤC HÌNH ẢNH LỜI CẢM ƠN .4 LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT MẠNG CHƯƠNG 2: 20 CƠ BẢN VỀ GIAO THỨC SNMP 20 CHƯƠNG 3: 27 PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN 27 OBSERVIUM .27 CHƯƠNG 4: 31 THỰC NGHIỆM 31 KẾT LUẬN 38 TÀI LIỆU THAM KHẢO 39 LỜI CẢM ƠN Nhìn chung công việc bài, nhóm hoàn thành Tuy nhiên làm sẽ thiếu sót, trình làm hầu hết kiến thức tự học tự tìm hiểu Chính vậy, nhóm mong muốn được Thầy cô bạn đưa ý kiến để khắc phục sửa chữa để làm nhóm hoàn thiện Ngoài kiến thức chuyên môn, nhóm chúng em cần cải thiện thêm kỹ mềm khác giao tiếp, làm việc theo nhóm, khả thuyết trình … Bởi môn học quan trọng giúp sinh viên chúng em tổng hợp kiến thức nhiều môn học áp dụng vào ứng dụng thực tế, giúp ích cho trình học tập chuyên ngành sau làm việc thật sau tốt nghiệp Trong trình thực thực tập, nhóm chúng em xin chân thành cảm ơn tới khoa Công nghệ thông tin thầy cô cung cấp kiến thức giúp nhóm chúng em qua môn học Đó tảng giúp nhóm có kiến thức vứng tinh thần học tập tốt để thực luận nhanh chóng hiệu Bên cạnh đó, nhóm xin chân thành cảm ơn hướng dẫn tận tình thầy Phạm Văn Hưởng giúp nhóm hoàn thiện báo cáo Nhóm báo cáo LỜI MỞ ĐẦU Ngày nay, hệ thống giám sát đóng vai trò quan trọng giúp theo dõi, kiểm tra hệ thống, cung cấp thông tin đưa cảnh báo có vấn đề xảy với thành phần hạ tầng, ứng dụng công nghệ thông tin tổ chức Một hệ thống giám sát tốt cần có khả phát nhanh chóng xác cố xảy kịp thời gửi thông báo qua nhiều phương tiện hình, email, tin nhắn tới người quản trị hệ thống Luận văn “Xây dựng hệ thống giám sát mang dựa phần mềm mã nguồn mở Observium” với mục đích tìm hiểu giao thức quản lý mạng, xây dựng hệ thống giám sát mạng sở đưa giải pháp giám sát mạng dựa mã nguồn mở Observium Báo cáo gồm có chương: o Chương 1: Tổng quan giám sát mạng o Chương 2: Cơ giao thức SNMP o Chương 3: Phát triển hệ thống giám sát mạng dựa phần mềm mã nguồn mở Observium o Chương 4: Thực nghiệm CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT MẠNG 1.1 Một số khái niệm - Giám sát an ninh mạng (Network Security Mornitoring – NSM) Giám sát an ninh mạng việc thu thập thông tin thành phần hệ thống, phân tích thông tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Đối tượng giám sát an ninh mạng tất thành phần, thiết bị hệ thống mạng: • Các máy trạm • Cơ sở liệu • Các ứng dụng • Các server • Các thiết bị mạng Các thành phần hệ thống mạng - Để hệ thống mạng hoạt động tốt bao gồm nhiều thành phần, hoạt động tảng trường khác • Các máy trạm • Các máy chủ • Các thiết bị hạ tầng mạng: Router, switch, Hub… • Các thiết bị, hệ thống phát phòng chống xâm nhập: IDS/IPS, Snort, FireWall… • - Các ứng dụng chạy máy chủ máy trạm Log hệ thống Là thành phần quan trọng hệ thống mạng Nó lưu lại cách xác hoạt động hệ thống, tình trạng hoạt động hệ thống, ứng dụng, thiết bị hoạt động hệ thống Các loại log hệ thống: • Log Access: Là log ghi lại toàn thông tin truy cập người dùng tới hệ thống, truy cập ứng dụng tới sở liệu… • Log Event: log ghi lại chi tiết kiện mà hệ thống thực Log ứng dụng, log hệ điều hành… • Log Device: log ghi lại tình trạng hoạt động thiết bị phần cứng phần mềm sử dụng: Router, Switch, IDS, IPS… Log thành phần hữu hiệu cho việc giám sát khắc phục cố hệ thống mạng Tuy nhiên, với hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao công việc phân tích Log thực điều vô khó khăn 1.2 Các yếu tố hệ thống giám sát mạng Để công tác giám sát an toàn mạng đạt hiệu cần phải xác định yếu tố cốt lõi, giám sát như: • Xác định đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát • Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát • Xác định phần mềm nội phần mềm nguồn mở phục vụ giám sát • Xác định thiết bị, công cụ, giải pháp hỗ trợ phân tích kết giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus Ngoài trang thiết bị, công cụ, giải pháp hỗ trợ yếu tố người đặc biệt quy trình phục vụ giám sát vô quan trọng 1.3 Các thành phần hệ thống mạng Để hệ thống mạng hoạt động tốt bao gồm nhiều thành phần, hoạt động tảng trường khác nhau: • Các máy trạm • Các máy chủ • Các thiết bị hạ tầng mạng: Router, switch, Hub… • Các thiết bị, hệ thống phát phòng chống xâm nhập: IDS/IPS, Snort, FireWall… • Các ứng dụng chạy máy chủ máy trạm Hình - Các thành phần hệ thống mạng 1.4 Lợi ích hệ thống giám sát mạng an toàn Hệ thống giám sát an toàn mạng viết tắt SIEM (Security information and event management – SIEM) hệ thống thiết kế nhằm thu thập thông tin nhật ký kiện an ninh từ thiết bị đầu cuối lưu trữ liệu cách tập trung Theo đó, sản phẩm SIEM cho phép phân tích tập trung báo cáo kiện an toàn mạng tổ chức Kết phân tích dùng để phát raa công mà phát theo phương pháp thông thường Một số sản phẩm SIEM có khả ngăn chặn công mà chúng phát Sản phẩm SIEM xuất nhiều năm nay, tiền thân sản phẩm nhắm đến tổ chức lớn với khả đội ngũ phân tích an ninh chuyên biệt SIEM dần trở nên bật, phù hợp với nhu cầu tổ chức vừa nhỏ Kiến trúc SIEM ngày bao gồm phầm mềm SIEM cài đặt máy chủ cục bộ, phần cứng cục thiết bị ảo dành riêng cho SIEM, kèm theo dịch vụ đám mây SIEM Các tổ chức khác sử dụng hệ thống SIEM với mục đích khác nhau, lợi ích thu khác Bài viết làm rõ ba lợi lớn SIEM: • Quản lý tập trung • Giám sát an toàn mạng • Cải thiện hiệu hoạt động xử lý cố 2.4.1 Quản lý tập trung Rất nhiều tổ chức triển khai SIEM với mục đích nhất: tập hợp liệu thông qua giải pháp nhật ký tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại kiện an ninh thường xuyên truyền liệu nhật ký (log) máy chủ SIEM Một máy chủ SIEM nhận liệu nhật ký từ nhiều thiết bị khác sau thực thống kê, phân tích, báo cáo để tạo báo cáo cho thấy tương quan kiện an ninh thiết bị Hình - Mô hình quản lý tập trung Một tổ chức hệ thống tập trung liệu nhật ký cần nhiều công sức việc tập hợp báo cáo Trong môi trường vậy, cần phải tạo báo cáo riêng tình trạng hoạt động cho thiết bị đầu cuối, lấy liệu định kì cách thủ công từ thiết bị tập hợp chúng lại phân tích để thành báo cáo Khó khăn xảy không nhỏ khác biệt hệ điều hành, ứng dụng phần mềm khác dẫn đến nhật ký kiện an ninh ghi lại khác Chuyển đổi tất thông tin thành định dang chung đòi hỏi việc phát triển tùy biến mã nguồn lớn Một lí khác cho thấy SIEM hữu ích việc quản lý báo cáo tập trung việc hỗ trợ sẵn mẫu báo cáo phù hợp với chuẩn quốc tế Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) Sarbanes-Oxley Act (SOX) Nhờ SIEM, tổ chức tiết kiệm đáng kể thời gian, nguồn lực để đạt đủ yều cầu báo cáo an ninh định kỳ 1.4.2 Giám sát an toàn mạng Lí cho việc triển khai SIEM hệ thống phát cố mà thiết bị thông thường không phát Thứ nhất, nhiều thiết bị đầu cuối có phần mềm ghi lại kiện an ninh không tích hợp khả phát cố Dù quan sát kiện tạo nhật ký, chúng thiếu khả phân tích để xác định dấu hiệu hành vi độc hại Lý thứ hai nâng cao khả phát SIEM chúng cho thấy tương quan kiện thiết bị Bằng cách thu thập kiện toàn tổ chức, SIEM thấy nhiều phần khác công thông qua nhiều thiết bị sau tái cấu trúc lại chuỗi kiện xác định công ban đầu thành công hay chưa Nói theo cách khác, giải pháp ngăn chặn xâm nhập IPS thấy phần công hệ điều hành máy chủ mục tiêu 10 • Time stamp: thời gian từ lúc thiết bị khởi động đến gửi gói tin trap, tính centi giây • Trap information hay variable-bidings: cặp OID/value object có liên quan đến trap 2.4 Cấu trúc gói tin SNMP GetRequest Hình - Gói tin SNMP GetRequest - Các trường gói tin SNMP-GetRequest phần mềmWireshark hình - 3: - Version: phiên - Community: chuỗi xác thực manager gửi agent “private” Chuỗi có dạng: read community (chứa GetRequest/GetNextRequest PDU), write community (chứa SetRequest PDU) trap community (chứa Trap PDU) - request – id: id request 13438 - error-status: có giá trị – lỗi, manager gửi GetRequest thành công - error-index: có giá trị – OID bị lỗi - variable – bindings: item tương đương cặp OID – value - OID = 1.3.6.1.2.1.1.2.0 (tên object sysObjectID) Value request ban đầu giá trị 25 2.5 Cấu trúc gói tin SNMP GetReponse Hình - Gói tin SNMP GetReponse Các trường gói tin SNMP-GetReponse hình 2-4: - Version: phiên - Community: chuổi xác thực manager agent “private” - request – id: id request 2731 - error-status: có giá trị nghĩa lỗi, gữi trả lời cho request thành công - error-index: có giá trị nghĩa OID bị lỗi - variable-bindings: cặp OID/value OID 1.3.6.1.2.1.1.2.0 value 1.3.6.1.4.1.9.1.222 agent gửi cho manager 26 CHƯƠNG 3: PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN OBSERVIUM 3.1 Giới thiệu phần mềm Phần mềm Observium phiên mã mở số hiệu 0.2.1 nhóm phát triển Adam Armstrong chủ trì cho đời năm 2007 với tính Các phiên sau cộng đồng hỗ trợ, phát triển để tương thích với chuẩn thư viện linux mã nguồn PHP phiên bổ sung thêm thuộc tính MIB (trong giao thức SNMP) hãng cung cấp thiết bị Phiên tại, số hiệu 0.12.4.3049, đời ngày 18/04/2012 chạy phiên 3.x Linux, phần mềm PHP phiên hỗ trợ nhiều dòng máy chủ, thiết bị hãng sản xuất khác Cisco, Alcatel, MicroTik, Juniper, HP, … Trang web trì phát triển ứng dụng, hỗ trợ địa http://www.observium.org Mã nguồn tải trực tiếp từ website nhóm phát triển http://www.observium.org/svn/observer/trunk Observium phát triển thành công cụ dễ cấu hình dùng giám sát tình trạng hoạt động mạng máy tính với mục đích thu thập, lưu giữ lịch sử hoạt động thiết bị mạng để tạo nên tranh lịch sử hoạt động, tình trạng thiết bị cách tự động Hiện nay, Observium phần mềm mã mở ứng dụng giao thức SNMP quản lý mạng tốt giám sát đặc tính thiết bị, bao gồm: - Tình trạng CPU, nhớ, thiết bị lưu trữ, lưu lượng cổng mạng, gói tin thống kê chi tiết lỗi - Tình trạng giao thức định tuyến BGP hay OSPF, tình trạng VPN chuyển mạch nhãn MPLS - Các tình trạng gói tin IPv4, IPv6, TCP UDP 27 - Tình trạng xử lý thiết bị, tải thiết bị, thời gian vận hành, nhiệt độ, tốc độ quạt làm mát, điện thế, nguồn, độ ẩm, tần số - Các tình trạng chuyển mạch, tình trạng IPSec VPN thiết bị Cisco - Tình trạng mạch ảo ATM thiết bị Juniper - Lưu lượng thời gian thực cổng hay thiết bị Giám sát tham số mạng khác CDP, PagP dịch vụ - khác 3.2 Cấu trúc khối chức ứng dụng Observium - SNPM + Agent: Hỗ trợ giao thức SNMP để giám sát mạng - Discovery: Nhận biết thiết bị sau khai báo chương trình - Poller: Cơ chế hỏi để trích xuất tham số SNMP từ thiết bị mạng - Billing Poller: Cơ chế hỏi vòng tính cước lưu lượng - Memcache: Bộ nhớ tăng tốc ứng dụng - RRD: Lưu trữ đồ họa lịch sử hoạt động - MySQL: Lưu giữ trình tình trạng mạng - WebGUI/Graphs: Phần hiển thị cho người dùng Hình - Mô hình sử dụng ứng dụng Observium Hình - Cấu trúc khối chức ứng dụng Observium 28 Triển khai cài đặt - Các yêu cầu hệ thống sử dụng: - • Phần mềm web Apache, • Phần mềm xử lý kịch web PHP 5.3+ • Cơ sở liệu MySQL • Thư viện fping • Thành phần hỗ trợ giao thức SNMP: Net-SNMP 5.4+ • Thành phần hỗ trợ đồ họa RRDtool 1.3+, Graphviz Linux Debian Các bước cụ thể sau: Bước 1: Cài đặt gói theo yêu cầu Observium Bước 2:Cài đặt thư viện IPv4 IPv6 cho ứng dụng pear Bước 3: Nếu ứng dụng cần giám sát máy ảo hóa, cài đặt thêm thư viện libvirt Bước 4:Khởi tạo thư mục lưu trữ cho ứng dụng Bước 5: Tải ứng dụng từ kho phần mềm mở Bước 6: Thay đổi file cấu hình chỉnh sửa tham số cần thiết Bước 7: Tạo sở liệu Bước 8: Tạo thư mục chứa hình đồ họa lưu giữ lịch sử hoạt động thiết bị, Bước 9: Cấu hình máy chủ web Bước 10: Khởi tạo người dùng (người dùng admin có quyền cao level có giá trị 10) Bước 11: Thêm thiết bị cần giám sát vào ứng dụng Bước 12: Chạy kịch dò tìm thiết bị ban đầu sau khai báo Bước 13: Tạo thời gian định thu thập tình trạng thiết bị Bước 14: Chỉnh sửa số tham số cho trường hợp ngoại lệ 29 3.3 Những đặc tả khác phần mềm Observium Cấu hình tham số ứng dụng để hoạt động với thiết bị mạng thực hiên, bao gồm: Cấu hình tính tính cước, Cấu hình máy chủ Syslog Cấu hình máy chủ SNMP Phần mềm Observium sử dụng đặc tả MIB thiết bị dùng cho việc thu thập thông số thiết bị Do vậy, thiết bị thông dụng thiết bị mạng CISCO chẳng hạn Observium thu thập thông tin thiết bị mức chi tiết sử dụng MIB CISCO Các MIB khác mà Observium mặc định hỗ trợ gồm HOST- RESOURCES-MIB, UCD-MIB, UCD-DISKIO-MIB, TCP-MIB, IPMIB, UDP-MIB SNMPv2-MIB 30 CHƯƠNG 4: THỰC NGHIỆM 4.1 Mô hình kịch thực nghiệm Mạng LAN bao gồm: • máy thật chạy hệ điều hành Window • máy thật chạy hệ điều hành Window 10 • máy ảo Ubuntu 16.04 chạy máy thật Window • máy cài đặt Observium chạy hệ điều hành Kali lilux 2.0 • máy ảo cài đặt Observium Các máy kết nối với Switch Hình - Mô hình hệ thống thực nghiệm 4.2 Một số kết giám sát Observium 31 Hình - Giao diện trang chủ Observium Hình - Trạng thái thiết bị giám sát 32 Hình - Thông tin trạng thái phần cứng Hình - Thông tin thiết bị 33 Hình - Thông tin port thiết bị 34 Hình - Event log Hình - Inventory 35 4.3 Biểu đồ giám sát Hình - System graphs 36 Hình - Mức độ sử dụng mạng 37 KẾT LUẬN Báo cáo nghiên cứu, triển khai hoàn thành vấn đề sau: Lý thuyết: • Về vấn đề giám sát: Đi sâu phân tích giám sát hệ thống tầm quan trọng việc giám sát hệ thống môi trường mạng • Về giao thức quản lý mạng: Trình bày giao thức quản lý mạng đơn giản (Simple Network Management Protocol) bao gồm: khái niệm giao thức quản lý mạng, thành phần giao thức quản lý mạng, cách hoạt động giao thức quản lý mạng • Nắm phương pháp hoạt động lấy thông tin hệ thống phần mềm mã nguồn mở Observium Thực nghiệm: • Báo cáo đưa mô hình triển khai trình bày toàn bước cấu hình hệ thống giám sát theo mô hình triển khai đề • Về khai thác chức phần mềm mã nguồn mở Observium Những kết đạt được: • Có kiến thức giám sát hệ thống, giao thức quản lý mạng • Triển khai thành công mô hình giám sát hệ thống phần mềm mã nguồn mở Observium • Có thể cấu hình Router, Switch, ASA, IPS, Windows, Linux phục vụ cho trình giám sát • Tích lũy kinh nghiệm việc cấu hình công nghệ Hướng phát triển: • Tích hợp giải pháp giám sát khác Snort (IPS, Firewall) plugins vào hệ thống giám sát có sẵn nhằm tối ưu hóa hệ thống Observium • Nâng cấp thiết bị để tăng cường phát hiện, xử lý cố hệ thống 38 TÀI LIỆU THAM KHẢO [1] securitydaily.net, Tổng quan hệ thống giám sát an ninh mạng, Tran Quang Chien, https://goo.gl/Eef1S [2] Diệp Thanh Nguyên, SNMP toàn tập [3] http://docs.observium.org [4] Giamsataninhmang.com, Cơ chế Hoạt động Hệ thống Giám sát An ninh mạng Phân tán, https://goo.gl/2FDVBw [5] pcworld.com.vn, Bảy công cụ giám sát dựa nguồn mở tuyệt vời, https://goo.gl/EijqmK 39 ... mang dựa phần mềm mã nguồn mở Observium với mục đích tìm hiểu giao thức quản lý mạng, xây dựng hệ thống giám sát mạng sở đưa giải pháp giám sát mạng dựa mã nguồn mở Observium Báo cáo gồm có chương:... quan giám sát mạng o Chương 2: Cơ giao thức SNMP o Chương 3: Phát triển hệ thống giám sát mạng dựa phần mềm mã nguồn mở Observium o Chương 4: Thực nghiệm CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT MẠNG... trạm Log hệ thống Là thành phần quan trọng hệ thống mạng Nó lưu lại cách xác hoạt động hệ thống, tình trạng hoạt động hệ thống, ứng dụng, thiết bị hoạt động hệ thống Các loại log hệ thống: •