Tài liệu Đề tài Tìm hiểu phần mềm phục vụ quản lý mạng solarwinds: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
QUẢN LÝ MẠNG
Đề tài : TÌM HIỂU PHẦN MỀM PHỤC
VỤ QUẢN LÝ MẠNG SOLARWINDS
Giảng viên hướng dẫn : Đỗ Đức Huy
Sinh viên thực hiện :
Hà Nội, 04 – 2011
LỜI MỞ ĐẦU
Trong thời đại công nghệ thông tin hiện nay việc sử dụng các ứng dụng để quản lý mạng ngày càng trở nên cần thiết. Mọi cơ quan, doanh nghiệp ngày càng phát triển phạm vi lớn mạnh với quy mô lớn và ngày phức tạp, do đó việc sử dụng các phần mềm quản lý mạng sẽ hỗ trợ rất tốt cho việc quản lý mạng. Ngay trong đề tài này chúng em đi vào tìm hiểu phần mềm quản lý mạng SolarWinds. Đây là một hệ thống giám sát mạnh mẽ cho phép các tổ chức xác định và giải quyết các vấn đề cơ sở hạ tầng CNTT trước khi chúng ảnh hưởng nghiêm trọng đến quá trình hoạt động của các tổ chức, cơ quan hay doanh nghiệp.
Trong quá tìm hiểu đề tài chắc rằng sẽ còn nhiều những hạn chế và thiếu sót chúng em rất mong nhận được sự chỉ bảo của các thầy cùng sự đóng góp ý kiến của các bạn...
48 trang |
Chia sẻ: hunglv | Lượt xem: 1482 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Tìm hiểu phần mềm phục vụ quản lý mạng solarwinds, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
QUẢN LÝ MẠNG
Đề tài : TÌM HIỂU PHẦN MỀM PHỤC
VỤ QUẢN LÝ MẠNG SOLARWINDS
Giảng viên hướng dẫn : Đỗ Đức Huy
Sinh viên thực hiện :
Hà Nội, 04 – 2011
LỜI MỞ ĐẦU
Trong thời đại công nghệ thông tin hiện nay việc sử dụng các ứng dụng để quản lý mạng ngày càng trở nên cần thiết. Mọi cơ quan, doanh nghiệp ngày càng phát triển phạm vi lớn mạnh với quy mô lớn và ngày phức tạp, do đó việc sử dụng các phần mềm quản lý mạng sẽ hỗ trợ rất tốt cho việc quản lý mạng. Ngay trong đề tài này chúng em đi vào tìm hiểu phần mềm quản lý mạng SolarWinds. Đây là một hệ thống giám sát mạnh mẽ cho phép các tổ chức xác định và giải quyết các vấn đề cơ sở hạ tầng CNTT trước khi chúng ảnh hưởng nghiêm trọng đến quá trình hoạt động của các tổ chức, cơ quan hay doanh nghiệp.
Trong quá tìm hiểu đề tài chắc rằng sẽ còn nhiều những hạn chế và thiếu sót chúng em rất mong nhận được sự chỉ bảo của các thầy cùng sự đóng góp ý kiến của các bạn trong lớp để đề tài của nhóm em được hoàn thiện hơn.
Chúng em xin chân thành cảm ơn!
Mục Lục
Giới thiệu Solarwinds:
Phiên bản được tìm hiểu trong đề tài là: SolarWind Engineer’s Tools Set v9.2
Solarwinds là bộ công cụ hổ trợ đắc lực cho cho nhà quản trị: phân tích lỗi cũng như các công cụ quản lý việc thực thi trên hệ thống mạng. Phần lớn các ứng dụng trong Solarwinds đều sử dụng giao thức SNMP để truyền thông. Bộ SolarWind Engineer’s Tools Set bao gồm khoảng 60 ứng dụng chia làm 7 phần lớn:
Network Discovery Tools
Network Monitoring Tools
Ping and Network Diagnostics Tools
IP Address Management Tools
Cisco-Specific Network Tools
SNMP Tools
Security Tools
Network Discovery Tool
DNS Audit: Duyệt qua dãy địa chỉ IP và đưa ra danh sách các DNS tương ứng quản lý IP đó.
IP Address Management: Tự động giám sát địa chỉ IP trong các subnet và thông báo IP đó đã được cấp phát hay chưa.
Ping Sweep: Duyệt qua dãy địa chỉ IP và chỉ ra địa chỉ nào đang sử dụng, địa chỉ nào không sử dụng. Nó có thể được dùng để truy vấn domain name cho mỗi địa chỉ IP.
IP Network Browser: có thể duyệt qua một subnet và cho biết chi tiết về các thiết bị trong subnet đó
MAC Address Discovery: truy vấn địa chỉ MAC ứng với địa chỉ IP
Network Sonar: Là một công cụ khảo sát mạng có hiệu suất cao, nó giúp xây dựng cơ sở dữ liệu về cấu trúc và thiết bị trong mạng TCP/IP
Port Scanner: Kiểm tra từ xa trạng thái port trên các thiết bị
SNMP Sweep: Duyệt qua dãy địa chỉ IP, cho biết địa chỉ nào đang sử dụng, đồng thời giúp truy vấn DNS, system name, location, contact…
Subnet List: Tạo bảng các subnet trong mạng bằng cách duyệt qua tất cả các mục trong bảng định tuyến.
Switch Port Mapper: Kiểm soát từ xa các thiết bị kết nối với các cổng của switch/hub. Nó có thể xác định được địa chỉ MAC, địa chỉ IP và hostname kết nối với thiết bị và chi tiết về mỗi port
Network Monitoring Tool:
Advanced CPU Load: giám sát và vẽ lược đồ thể hiện tải trên các Router Cisco và các server
Bandwidth Gauges: giám sát băng thông hệ thống
CPU Gauge: giám sát tải của CPU
Network Monitor: kiểm soát hàng trăm thiết bị và duy trì thời gian đáp ứng và số gói bị mất. Network Monitor cũng có thể gửi Email thông báo khi các thiết bị ngừng đáp ứng.
Network Performance Monitor: đây là một công cụ mạnh giúp giám sát lưu lượng và mức độ sử dụng trên hàng trăm interface.
Router CPU Load: Giám sát tải trên router Cisco tại thời điểm thực
SNMP Graph: lược đồ thống kê thông tin MIB
SysLogServer: Syslog Server sẽ lắng nghe các thông điệp UDP Syslog đến trên cổng 514, sau đó mã hóa cho mục đích lưu lại(logging)
Watch it!: Giám sát server, router, web sites,… và cảnh báo khi thời gian đáp ứng của mạng tăng hoặc thiết bị ngừng họat động.
Ping and Diagnostic Tools:
DNS Analyzer: mô tả kiến trúc của các bản ghi DNS như CNAME, PTR, NS …
Enhanced Ping: kiểm tra kết nối liên tục và ghi lại thời gian đáp ứng
Ping: kiểm tra kết nối
Ping Sweep: tìm trong một dãy địa chỉ IP để xác định địa chỉ nào được dùng và không được dùng. Có thể tìm tên miền ứng với địa chỉ IP
Proxy Ping: ping từ các Cisco Router ở xa
TraceRoute: tìm vết của các gói SNMP, tốc độ cao
Spam Blacklist: cho phép kiểm tra địa chỉ IP của mail server và chứng thực rằng mail server chưa bị tấn công
WAN Killer: Gửi gói tin với kích thước ngẫu nhiên (hoặc tùy chỉnh) vào mạng nhằm kiểm tra đường truyền.
Wake-On-LAN: tiện ích để truyền một gói “packet magic” đến một thiết bị hay server ở xa và cấp nguồn cho thiết bị đó. Thiết bị phải có card mạng hay mainboard hỗ trợ Wake-On-LAN
Send Page: giúp thực hiện gửi một E-Mail hoặc một Page nhanh chóng
IP Address Management Tools:
Advanced Subnet Calculator: Giúp quản lý việc tính toán địa chỉ IP và subnet mask
DHCP Scope Monitor: giám sát dãy địa chỉ hoạt động của DHCP
DNS & Whols Resolver: thu thập thông tin về domain name và địa chỉ mạng
DNS Analyzer: Được sử dụng để hiển thị một cách trực quan cấu trúc của các bản ghi trong DNS, bao gồm bản ghi NS, CNAME, PTR
DNS Audit: Duyệt qua dãy địa chỉ IP và tìm kiếm lỗi DNS bằng cách thực hiện truy vấn hướng tới và truy vấn ngược cho mỗi địa chỉ IP.
IP Address Management: Tự động giám sát địa chỉ IP trong nhiều subnet và thông báo về mức độ sử dụng của chúng.
Ping Sweep: Duyệt qua dãy địa chỉ IP và chỉ ra địa chỉ nào đang sử dụng, địa chỉ nào không sử dụng. Nó có thể được dùng để truy vấn domain name cho mỗi địa chỉ IP.
Cisco Tool
Compare Running vs Starup configs: được sử dụng để tải về và so sánh cấu hình hiện tại với cấu hình khởi động trong bộ nhớ của các switch hay router Cisco
Config Download & Config Upload: Được dùng để download & upload cấu hình từ router hay switch Cisco
Config Viewer: tải cấu hình từ router hay switch Cisco
CPU Gauge: theo dõi tải trên CPU của router Cisco
IP Network Browser: có thể duyệt qua một subnet và cho biết chi tiết về các thiết bị trong subnet đó
Netflow Realtime: cung cấp một cái nhìn chi tiết lưu lượng sử dụng mạng của bạn, có thể tìm hiểu chính xác có băng thông của bạn đang được sử dụng và bởi ai.
Router CPU Load: Giám sát tải trên router Cisco tại thời điểm thực
Cisco Router Password Decryption: Mã hóa password theo một dạng riêng trong Cisco
Proxy Ping: Cho phép ping đến một router ở xa
TFTP Server: Chức năng này giống như một TFTP Server đa tuyến. Chúng ta có thể gửi và nhận nhiều file cùng lúc. SolarWinds TFTP Server cũng có chức năng bảo mật.
SNMP Tools
MIB viewer: hiển thị mọi OID hay table trong mib
MIB Walk: Duyệt qua cây SNMP cho mỗi thiết bị liên quan và chuyển giá trị cho các OID
SNMP MIB Browser: Trình duyệt MIB đầy đủ hiển thị kết quả giúp quản lý các table và view một cách dễ dàng. CSDL của MIB có hơn 100,000 OID
Trap Editor: Tạo và gửi thông điệp trap
SNMP Trap Receiver: nhận thông điệp trap
Security Tools:
Edit Dictionaries: xây dựng cơ sở dữ liệu gồm các từ dùng cho SNMP
Port Scanner: giám sát từ xa trạng thái port trên thiết bị
Remote TCP Reset: thiết lập lại các phiên kết nối trên các thiết bị ở xa như router, server đầu cuối, server truy cập …
Router Password Decryption: giải mã password của Cisco loại 7
SNMP Brute Force Attack: dùng các câu truy vấn SNMP với các ký tự tuần tự để cố gắng xác định chuỗi community
SNMP Dictionary Attack tấn công dùng dictionary đã biết để tìm chuỗi community
5 chức năng quản trị:
Performance Mgmt
Quản lý việc thực thi của hệ thống mạng:
Độ tin cậy.
Tính hiệu quả.
Thời gian truyền
Công cụ giới thiệu: Network Performance Monitor (Alert + SNMP
Trap reciever)
Configuration Mgmt:
Quản lý các thông số cấu hình của hệ thống mạng:
Install
Update
Extension
Công cụ giới thiệu: DNS/Whois Resolver, DNS Analyser
Fault Mgmt:
Quản lý lỗi cho hệ thống mạng:
Preactive: khi có sự cố thì bắt tay vào khắc phục.
Proactive: tác động đến hệ thống trước khi hệ thống xãy ra lỗi, điều này dựa nhiều vào kinh nghiệm của nhà quản trị.
Công cụ giới thiệu: Network Performance Monitor (Alert+SNMP Trap receiver)
Security Mgmt:
Packet filter: lọc gói tin
Access Control: điều khiển truy cập
Tài nguyên mạng.
Service:
Xác thực ai muốn dùng tài nguyên
Bất kỳ ai muốn sử dụng tài nguyên cũng phải giới hạn quyền
Bất kỳ dữ liệu lưu trữ nào cũng cấp quyền
Tính toàn vẹn dữ liệu trên đường truyền
Tính không chối cãi của việc chia sẽ.
Công cụ giới thiệu:
Port Scanner: xác định trên Agent có những dịch vụ nào đang mở (thông qua cổng dịch vụ) SNMP Brute Force Attack: công cụ quét Community của một Agent.
Accounting Mgmt:
Xác thực.
Cấp quyền.
Giám sát các quyền hạn trên Agent.
Công cụ giới thiệu: IP Network Browser.
Mô hình mạng khảo sát
PC: 192.168.1.99
Name: Learning
OS: Window Server 2008
PC: 192.168.1.10
Name: DC
OS: Window Server 2008
Sơ đồ mạng nhóm tiến hành khảo sát
QUẢN TRỊ PERFORMANCE
Tại sao người quản trị phải làm những việc này?
Người quản trị phải quản trị từng phút từng, giây từ đó có một cơ sở dữ liệu hay một bảng biểu để có những đánh giá hằng ngày hay báo cáo về những việc ấy.
Hỗ trợ tốt nhất cho người dùng đầu cuối và biết người sử dụng tài nguyên đến đâu hay có bao nhiêu người sử dụng đầu cuối.
Đảm bảo hoạt động mạng tin cậy và đánh giá được phần cứng, phần mềm (đánh giá khả năng thực thi hệ thống mạng).
Nhu cầu thực sự và xu hướng sử dụng (bắt gói phân tích).
Người quản trị phải có tầm nhìn xa dựa vào dự đoán.
Kế thừa được hạ tầng mạng (làm sao cho những công nghệ mới và cũ có thể tương thích với nhau cùng sống chung với nhau).
Qua giám sát performance, ta đạt được dữ liệu mà ta sẽ sử dụng
Hiểu được những việc mình làm và những tác động tương ứng trên hệ thống tài nguyên của ta.
Người giám sát theo doi sự thay đổi và có phương hướng làm việc về tài nguyên mà ta sử dụng từ đó có kế hoạch nâng cấp chất lượng cho sau này.
Kiểm tra sự thay đổi qua đó có những điều chỉnh để có kết quả tốt.
Chuẩn đoán những vấn đề của hệ thống và xác định các thành phần hoặc các tiến trình sao cho tối ưu.
Phân tích dữ liệu thực thi để phát hiện và xử lý sự cố một cách chính xác.
Các thông số Mib liên quan đến quản trị performance:
Interfaces (1.3.6.1.2.1.2)
ifInOctets: số octet nhận được trên một interface.
ifInUcastPkts: số gói unicast nhận được trên một interface.
ifInNUcastPkts: số gói không phải là unicast nhận được trên một interface.
ifOutOctets: số octet gởi ra từ một interface.
ifOutUcastPkts: số gói unicast gởi ra từ một interface.
ifOutNUcastPkts: số gói không phải là unicast gởi ra từ một interface.
ifSpeed: băng thông hiện tại trên interface tính theo đơn vị bit/s.
ifInErrors: số packet nhận được bị lỗi trên một interface.
ifInDiscard: số packet nhận được không có lỗi bị loại bỏ.
ifOutDiscard: số packet bị loại bỏ khi ra ngoài interface.
IP (1.3.6.1.2.1.4)
ipInReceive: tổng số datagram nhận được bao gồm các gói bị lỗi.
ipReasmReqds: số lượng của các phân mảnh IP nhận mà đang chờ tái hợp.
ipReasmOKs: số lượng của các gói IP tái hợp thành công.
ipReasmFails: số lượng các gói không thành công được phát hiện bởi thuật toán tái hợp của IP.
ipReasmTimeout: thời gian tối đa (tính bằng giây) để chờ nhận các phân mảnh đang chờ tái hợp.
ipForwDatagram: số datagram được forwarding.
ipInDiscards: số lượng các gói IP nhận vào bị loại bỏ (tràn bộ đệm).
ipInDeliver: : số lượng các gói IP nhân vào được chuyển lên các lớp trên.
ipOutRequests: số lượng các gói IP chuyển ra ngoài theo yêu cầu.
ipOutDiscards: số lượng các gói IP chuyển ra ngoài bị loại bỏ.
ipFragOKs: số lượng của các gói IP mà phân mảnh thành công.
ipFragFails: số lượng của các gói IP mà bị loại bỏ bởi vì chúng không thể bị phân mảnh.
ipAdEntReasmMaxSize: kích thước lớn nhất của gói IP mà có thể tái hợp lại từ các phân mảnh của gói IP đến nhận được tại interface này.
TCP (1.3.6.1.2.1.6)
tcpMaxConn: số kết nối TCP tối đa.
tcpActiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp đến trạng thái SYN-SENT từ trạng thái CLOSE.
tcpPassiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp trực tiếp.
tcpAttempptFails: số lần thử kết nối bị lỗi.
tcpEstabResets: số các reset xuất hiện.
tcpCurrEstab: số kết nối có trạng thái hiện tại là ESTABLISHED hay CLOSE-WAIT.
tcpInSegs: tổng số segment đã nhận.
tcpOutSegs: tổng số segment đã gửi.
tcpRetransSegs: tổng số segment bị truyền lại.
tcpOutRsts: tổng số segment được gửi.
ICMP {1.3.6.1.2.5} : chứa số liệu thống kê đầu vào và đầu ra các gói ICMP giao thức thông điệp điều khiển Internet. Cung cấp các thông điệp điều khiển nội mạng và thực hiện nhiều vận hành ICMP trong thực thể bị quản lý. Gồm 26 đối tượng vô hướng duy trì số liệu thống kê cho nhiều loại bản tin, phục vụ cho việc quản trị performance ví dụ như:
icmpInMsgs: tổng số thông điệp ICMP đi vào
icmpInErrorss: số các thông điệp ICMP đi vào có chứa lỗi
icmpInDestUnreachs: số thông ICMP không đọc được đích đến
icmpInTimeExcds: số các thông điệp ICMP vượt quá thời gian
icmpInParmProbs: số thông điệp ICMP thông số khó hiểu đi vào
icmpInSrcQuenchs: số thông điệp ICMP Source Quench đi vào
icmpInRedirects: số thông điệp ICMP Redirect đã nhận
icmpOutMsgs: tổng số thông điệp ICMP mà entity thử nhận
icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi
icmpOutDestUnreachs: số thông điệp ICMP gửi để báo các đích không đọc được
icmpOutTimeExcds: số thông điệp ICMP gửi để báo vượt quá thời gian
icmpOutParmProbs: số thông điệp ICMP gửi để báo vấn đề về tham số
icmpOutSrcQuenchs: số thông điệp ICMP Soure Quench đã gửi
UDP {1.3.6.1.2.1.7} cung cấp thông tin liên quan đến hoạt động của UDP, vì UDP là kết nối vô hướng nên nhóm này nhỏ hơn nhiều so với nhóm TCP. Nó không phải biên dịch thông tin của những nỗ lực kết nối, thiết lập, tái lập... Các thông số cần quan tâm khi quản trị:
udpInDatagrams: tổng số gói UDP được phân phát đến các UDP user
udpNoPorts: tổng số gói UDP đã nhận không có ứng dụng ở port đích
udpInErrors: tổng số goi UDP đã nhận nhưng nó không thể được phát đi cho các nguyên nhân ngoại trừ việc thiếu một ứng dụng ở port đích
udpOutDatagrams: tổng số gói UDP đã gửi từ entity này.
Mục đích
Sử dụng công cụ Network Performance Moniter trên PC 10.10.0.10 để quản lý việc thay đổi CPU trên PC 10.10.0.30
Tiến hành khảo sát
Trên DC: Cấu hình SNMP với Community là Public
Trên Learning: Cài đặt Solarwinds
PC: 10.10.0.10
Name: DC
OS: Windows Server 2008
Tên máy: Khicon
PC: 10.10.0.30
Name: WKS-PC
OS: Windows 7
Hình 4.1.Sơ đồ mạng nhóm tiến hành khảo sát
Khởi động chương trình Network Performance Monitor giao diện như sau:
Hình 4.2. Giao diện Network Performance Monitor
Ta chọn New để cấu hinh giám sát máy WKS-PC có ip 10.10.0.30
Hình 4.3. Trỏ tới IP của máy WKS-PC
Hình 4.4. Đặt community string trùng với comnunity string trên máy DC
Hình 4.5. Kết quả giám sát CPU của WKS-PC
Kết quả giám sát hệ thống mạng của chúng ta: Ví dụ: tải của CPU lớn nhất trong thứ sáu ngày 29 là 23.39%
QUẢN TRỊ FAULT
Mục tiêu:
Tìm hiểu các chức năng hỗ trợ quản trị lỗi của công cụ SolarWind, cụ thể là Network Performance Monitor .
Giới thiệu:
Quản trị lỗi là quá trình ngăn ngừa, phát hiện,định vị ,cô lập, sửa lỗi trong hệ thống mạng.
Thực hiện theo 2 cơ chế:
Reactive: khi nào có lỗi thì người quản trị tìm cách giải quyết.
Proactive: người quản trị phải chủ động trong việc dự đoán lỗi thông qua việc đặt ngưỡng và giám sát.
Các bước quản trị lỗi:
Xác định đối tượng quản trị.
Phát hiện vấn đề dựa vào thông tin thu thập được qua :
Polling: máy quản trị nhận thông số từ máy bị quản trị gửi về theo định kì.
Trapping: máy quản trị đặt ra giá trị ngưỡng ,máy bị quản trị nếu vi phạm ngưỡng thì gửi thông báo về cho máy quản trị.
Định vị và cô lập vấn đề.
Tìm cách giải quyết vấn đề.
Mô hình mạng:
PC: 10.10.0.10
Name: DC
OS: Windows Server 2008
Tên máy: Khicon
PC: 10.10.0.30
Name: WKS-PC
OS: Windows 7
Quản trị lỗi với Network Performance Monitor
Các thông số quan tâm đối với quản trị lỗi:
System (1): sysDescr (1), sysObjectID(2) ,sysContact (4) ,sysName (5) ,sysService(7) ->Cần thiết khi cần bảo hành,sửa chữa thiết bị.
Interface(2) : ifSpeed (5), ifOperStatus (8), ifInUcastPkts(11), ifInNUcastPkts (12),ifInDiscards (13), IfInErrors(14), IfInUnknownProtos(15), IfOutUcastPkts(17) , IfOutNUcastPkts (18), IfOutDiscards(19), IfOutErrors (20).
Ip (4) : ipInReceives (3), ipInHdrErrs(4), ipInAddrErrors(5), ipInUnknownProtos (7), ipInDiscards (8),ipOutDiscards(11), ipOutNoRoutes(12),IpReasmReqds(14), ipReasmOKs (15),ipReasmFails (16),ipFragCreates (19).
Tcp(6): tcpMaxConn (4), tcpActiveOpens(5), tcpPassiveOpens (6), tcpAttemptFails(7),tcpCurrentEstab(9), tcpRetransSegs (12), tcpInErrs (14),icpOutRsts (15).
Udp(7): udpInDatagrams(1), udpNoPorts(2), udpInErrors(3)
Icmp(5) : icmpInMsgs (1), icmpInErrors (2), icmpDestUnreachs (3),
icmpInEchos (8).
Thực hiện polling:
Ta vào Solarwinds Engineer’s Toolset -> Network Monitoring -> Network Performance Monitor.
Sơ lược cách làm:
Tại máy bị quản trị (Learning): ta thiết lập SNMP Service, vào tab Traps và Security để chỉnh:
Chọn New ->Nhập vào IP đối tượng quản trị->Next
Nhập vào community string tương ứng đã thiết lập tại máy bị quản trị:
Chọn Finish.
Chọn thiết bị & cổng mạng để giám sát
Xét ví dụ polling:
Thực hiện Trapping:
Sơ lược cách làm:
Ta tạo 1 Alert thực hiện cảnh báo khi bộ nhớ của WKS-PC bị chiếm dụng quá 4000 bytes
Chọn Alert -> Configure Alert..
Chọn đối tượng tạo cảnh báo là WKS-PC
Chọn OK.
Xét ví dụ trapping:
QUẢN TRỊ SERCURITY
Giới thiệu về Security Managenment
Quản trị Security là một chức năng quản trị rất quan trọng trong hệ thống mạng của chúng ta. Hệ thống hoạt động ổn định với hiệu suất cao và tính an ninh được đảm bảo là điều luôn được mong muốn. Một hệ thống mạng khi đã được Configuration, thì song song với việc quản trị Performance, Fault, Accouting thì chức năng quản trị Security cũng được quan tâm hàng đầu.
Phát hiện các xâm nhập trái phép vào hệ thống, thực hiện các biện pháp chống xâm nhập, vá lỗi khi phát hiện một lỗ hổng nào đó. Thực hiện các biện pháp an ninh thông qua việc đưa ra các Policy cụ thể. Nhằm đảm bảo an ninh cho tài khoản người dùng (Users) cũng như tài nguyên của hệ thống mạng (Resources).
Quản trị bảo mật trên công cụ Solarwind v9.2
Trên Solarwind hỗ trợ khá nhiều công cụ giúp ích cho việc quản trị an ninh mạng. Một số công cụ như:
SNMP Brute Force Attack
SNMP Dictionay Attack
Port Scanner
Remote TCP Session Reset
Edit Dictionaries
Cisco Route Password Decryption
Sau đây chúng ta sẽ khảo sát một số công cụ như sau:
SNMP Brute Force Attack
Yêu Cầu : dùng máy 192.168.1.99 để quét các Community trên máy 192.168.1.10
Giới thiệu: SNMP Brute Force Attack là công cụ cho phép xác định chuỗi community string SNMP là read-only hay read-write bằng việc thử tất cả các kí tự cũng như chữ số có thể. Công cụ này có thể tùy chỉnh để có thể chỉ thử các kí tự nhất định hay các chuỗi community có chiều dài cố định. Sử dụng công cụ này, bạn cần chấp nhận các thỏa thuận và đồng ý chỉ chạy các ứng dụng này trên mạng thuộc quyền quản trị của bạn. Tuy đây là một công cụ tấn công, nhưng các nhà quản trị cũng dùng để tìm kiếm khôi phục lại các SNMP community string.
Cấu hình như sau:
Trên DC: vào Administrator Tool\ Computer Management -> Chọn Services -> chọn SNMP services -> Ở tab Security chúng ta cấu hình 2 chuỗi community như sau:
Trên PC Learning: Khởi động ứng dụng SNMP Brute Force Attack -> chọn Settings
Ở tab General: tùy chọn chiều dài của chuỗi community string (ở đây chúng ta chọn chiều dài là 3)
Tab Character Set: sẽ scan chuỗi community bằng việc thử tất cả các kí tự số
Và bắt đầu thực hiện scan, đồng thời thực hiện bắt gói bằng Wireshark
Kết quả thu được là 2 chuỗi community: 312 và 810
Phân tích hoạt động của công cụ trên dựa vào các gói bắt được
Nguyên tắc hoạt động là: PC Learning sẽ liên tục gởi ra các gói tin Get-request kèm theo 1 kí tự sinh ra trong chuỗi Custom Character Set mà chúng ta đã cài đặt. Đến khi chuỗi kí tự get-request match với chuỗi kí tự community thì PC DC sẽ gởi Get-Respont lại cho PC Learning xác nhận đúng community string.
Trong gói tin sau, ở gói thứ 1109, PC Learning gởi chuỗi 312 và match với chuỗi community của PC DC
Và ngay lập tức, PC DC gởi Respont xác nhận đúng cho PC Learning ở gói 1110
Sau khi đã scan được chuỗi community string thì tiếp tục kiểm tra chuỗi đó là Read-Only hay là Read-Write. Bằng cách PC Learning gởi 1 gói Set-Request kèm theo 1 giá trị sysContact. PC Learning gởi gói SET để coi thử community string có khả năng Write hay không. Sau đó yêu cầu lấy thông tin sysContact.0 trên máy PC DC xem việc SET có thành công không. Nếu không thể SET giá trị sysContact thì community string đó là Read-Only. Ngược lại, nếu có thể SET giá trị sysContact thì community string đó là Read-Write
Ở community string 810. PC Learning gởi gói Set-Request với như sau:
Và nhận lại gói tin Respont như sau:
Dễ dàng nhận thấy việc Set sysContact (Test 123716) đã thành công. Suy ra 810 là community string Read-Write
Nhận xét
Chương trình hoạt động khá đơn giản, tuy nhiên các gói SNMP do chương trình gởi đi để tìm Community của máy đích có thể bị FireWall lọc bỏ vì số lượng các gói gởi tới nhiều (STATE FULL). Tuy nhiên đây là điều khó thể tránh khỏi của việc tìm kiếm theo kiểu từ điển.
Người quản trị mạng cần phải biết điều này ngay từ đầu, tiến hành ngăn việc quản lý từ xa từ bất kỳ máy khác. Tuy nhiên việc giả mạo một địa chỉ là không khó để tiến hành xâm nhập vào máy.
Port Scanner:
Giới thiệu: là công cụ cho phép discover từ xa trạng thái của các Port trên 1 địa chỉ IP hay một danh sách các địa chỉ IP. Quá trình quét đơn giản được mô tả như sau:
Thật ra thì Port Scanner là một công cụ trong Solarwind nhưng lại không hỗ trợ giao thức SNMP.
Nhận xét:
Công cụ không hỗ trợ giao thức SNMP nhưng lại rất cần thiết cho các nhà quản trị. Các nhà quản trị dễ dàng nhận biết được các cổng nào được bật lên trong hệ thống mạng của mình, các cổng nào khả nghi, cổng nào có thể hacker khai thác để tấn công. Qua đó, có biện pháp ngăn chặn kịp thời
Tuy nhiên công cụ này chỉ cho phép thu thập thông tin, người quản trị hoàn toàn không được phép disable một port nào đó từ xa, hay chuyển trạng thái(từ Up sang Down, ngược lại) của Port.
Ngoài ra, trong Solarwind còn hỗ trợ một số công cụ Security khác như:
SNMP Dictionary Attack: giống như SNMP Brute Force Attack cũng dùng để thực hiện việc dò tìm các community string nhưng theo phương pháp Dictionary. Tức là tạo một thư viện chứa các chuỗi có thể là community string, sao đó scan và đối chiếu 2 string, nếu match thì chuỗi đó là community string. Việc scan có kết quả hay không là tùy thuộc hoàn toàn vào thư viện bạn tạo ra.
Remote TCP Session Reset: cho phép quản trị viên hiển thị tất cả các session hoạt động trên server đầu cuối, router, dial server, hoặc truy cập server và dễ dàng reset bất kì session nào.
Tổng kết
Security Management là chức năng quản trị vô cùng quan trọng trong một hệ thống mạng. Đòi hỏi nhà quản trị cần giám soát chặt chẽ hoạt động của hệ thống mạng, phân tích các hành vi khả nghi, đưa ra các chính sách đảm bảo an ninh tốt.
Ở HĐH Windows đã có tích hợp sẵn một số những tiện ích hỗ trợ chức năng quản trị Security cho nhà quản trị mạng. Domain Controller là ứng dụng quan trọng trong việc quản trj bảo mật. Đòi hỏi các chính sách policy phù hợp cũng như sự thực hiện nghiêm túc của các user.
Ở công cụ Solarwind, công cụ chuyên dụng để quản trị mạng thì có một số tính năng nâng cao hơn. Solarwinds mục đích chính là quản trị 2 chức năng: performance, fault khá kỹ càng. Ở khía cạnh Security, Solarwinds giúp cho người quản trị thu thập thông tin Port trong tổ chức, cũng như việc phục hồi community…
Đối với Security Management, thì việc quản trị không liên quan đến nhiều thông số MIB, có thể khảo sát một số thông số Mib sau đây:
sysContact: đoạn text nhận dạng liên lạc đối tượng cho việc quản trị node đó, cùng các thông tin liên lạc với node đó
sysObjectID: nhận dạng xác thực nhà cung cấp của hệ thống mạng trong 1 thực thể. Giá trị nhận dạng được phân bổ trong cây SMI (1.3.6.1.4.1). ví dụ nếu nhà cung cấp là Flintstones, Inc. sẽ được gán cây 1.3.6.1.4.1.4242 và có thể gán 1.3.6.1.4.1.4242.1.1 để nhận dạng Red Router
ipDefaultTTL: thời gian sống của một gói tin ip. Nếu thời gian sống lớn, nhưng gói tin không thể đến đích được, gói tin sẽ bị loop trong mạng. và nếu có nhiều gói tin bị loop thì hệ thống mạng sẽ hoạt động trì trệ. Hacker có thể lợi dụng điểm yếu này để gởi nhiều gói tin bị loop làm cho hệ thống mạng tắc nghẽn
QUẢN TRỊ ACCOUNTING
Tập MIB được sử dụng cho quản trị Accounting :
System MIB trong RFC 3148
System description (.1.3.6.1.2.1.1.1.0): mô tả hệ thống
Snmp contact (.1.3.6.1.2.1.1.2.0): ID của hệ thống
Snmp contact (.1.3.6.1.2.1.1.3.0): Thời gian hệ thống đã chạy, tính từ thời điểm quản trị khởi tạo lại
Snmp contact (.1.3.6.1.2.1.1.4.0): thông tin liên hệ của hệ thống
sysName (.1.3.6.1.2.1.1.5.0): Tên hệ thống
System description (.1.3.6.1.2.1.1.6.0): Vị trí của hệ thống
sysServices (1.3.6.1.2.1.1.7) : Tập các giá trị chỉ các dịch vụ mà hệ thống này có khả năng cung cấp
sysORLastChange (1.3.6.1.2.1.1.8) : Giá trị của sysUpTime tại thời điểm có sự thay đổi gần đây nhất trong trạng thái hay giá trị bất kỳ thể hiện nào của sysORID
sysORTable (1.3.6.1.2.1.1.9):
sysOREntry (1.3.6.1.2.1.1.9.1): Một mục khái niệm mới trong sysORTable
sysORIndex (1.3.6.1.2.1.1.9.1.1) : Biến phụ trợ được sử dụng để xác định các trường hợp của các đối tượng hình cây cột trong sysORTable
sysORID(1.3.6.1.2.1.1.9.1.2) : Một xác định thẩm quyền của một tuyên bố khả năng đối với các MIB module hỗ trợ bởi các thực thể SNMPv2 tại đó diễn xuất trong một vai trò đại lý.
sysORDescr(1.3.6.1.2.1.1.9.1.3) : Một đoạn mô tả các khả năng xác định bởi các thể hiện tương ứng của sysORID
sysORUpTime(1.3.6.1.2.1.1.9.1.4) : Giá trị của sysUpTime mà lúc đó hàng nhận thức này được thể hiện cuối cùng
Công việc cần tiến hành:
Từ máy quản trị Learning (192.168.1.99) lấy thông tin account hiện có trên máy DC (192.168.1.10)
PC: 192.168.1.99
Name: Learning
OS: Window Server 2008
PC: 192.168.1.10
Name: DC
OS: Window Server 2008
Community Strings: Public
Hình 7.1 : mô hình mạng khảo sát
Tiến hành khảo sát:
Tiến hành: Sử dụng IP Network Browser của tool Solarwind bắt đầu khảo sát
Hình 7.2. Cấu hình IP Network Browser trên máy Learning để khảo sát
Nhập địa chỉ 192.168.1.10 của máy WKS để khảo sát. Thực hiện Scan Device với community là public. Mở chương trình wireshark bắt các gói thông tin để phân tích.
Hình 7.3: Các thông tin bắt được từ Wireshark khi Learning & DC trao đổi các gói tin.
192.168.1.99 tiến hành lấy thông tin từ máy 192.168.1.10
Nhìn vào hình 8.3, ta thấy quá trình lấy thông tin diễn ra như sau:
Ban đầu máy 192.168.1.99 sẽ tiến hành kiểm tra máy 192.168.1.10 có tồn tại hay không thể hiện qua ICMP request và reply.
Sau đó xuất hiện phương thức get của giao thức SNMP,”get-request” được gửi từ Learning tới DC. DC nhận yêu cầu và xử lý với khả năng tốt nhất có thể. Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một ”get-response”.
Dãy số 1.3.6.1.2.1.1.2.0 là OID có ý nghĩa sau:
* Với 1.3.6.1.2.1.1 là: Object Identifier chỉ tới tới nhóm ”system” trong MIB.
Cụ thể là :
1 : ISO được gán OID
1.3 : tổ chức xác định tiêu chuản ISO
1.3.6 : US Department of Defense
1.3.6.1 : OID assignments from 1.3.6.1 - Internet
1.3.6.1.2 : Quản lý IETF
1.3.6.1.2.1 : SNMP-MIBv2
1.3.6.1.2.1.1 : System-MIB
1.3.6.1.2.1.1.2 : Chỉ tới một trường thứ 2 trong bảng “system” là sysObjectID
1.3.6.1.2.1.1.2.0 :là chỉ sự vô hướng trong bảng “system”,các hàng được đánh số từ 1 trở đi.
Vậy mục tiêu khi Learning gửi gói tin get-request 1.3.6.1.2.1.1.2.0 tới DC chính là để lấy giá trị ID của hệ thống DC
Tương tự gói tin get-request 1.3.6.1.2.1.1.5.0 là gói tin yêu cầu tên của hệ thống.
Tiếp đó máy Learning gửi các gói tin request 1.3.6.1.4.1.77.1.2.. Đây là những yêu cầu thông tin chứa trong bảng user của máy DC …
Hình 7.4. Các gói tin yêu cầu thông tin user
Để kiểm tra lại quá trình trên ta vào IP Network Browser thì được kết quả sau:
Hình 7.5. Thông tin acc của máy DC khi kiểm tra qua IP Network Browser
So sánh với thông số của máy DC
Hình 7.6 : Các account trên máy Agent
Nhận xét : Để lấy acc trên máy DC thì IP Network Browser sử dụng community của máy đó và dùng hàm Get, Getnext để lấy toàn bộ thông tin trong bảng MIB của máy DC rồi trả về cho Learning
QUẢN TRỊ CONFIGURATION
Giới thiệu công cụ:
DNS/Whois Resolver, DNS Analyse.
Mô hình thực hiện:
Tên máy
Địa chỉ IP
Hệ điều hành
Máy thật
Learning
192.168.1.99
Windows 2008 R2
Máy ảo
DC
192.168.1.10
Windows 2008 R2
Cấu hình máy DC làm DNS Server: Máy DC có tên miền là DC.LoveU.vn
Phân giải xuôi: từ hostname ra IP.
Phân giải ngược: từ IP ra hostname.
Cấu hình máy thật là DNS Client: chỉnh Preferred DNS Server của máy thật về IP của máy ảo.
Phân tích:
Dùng dòng lệnh Command Prompt để phân giải DNS Server:
Từ máy thật vào Run\cmd đánh nslookup nhận thấy máy Client (máy thật) đã phân giải được DNS của máy DNS Server (máy ảo).
Dùng Wireshark để bắt gói tin:
Quan sát thấy việc phân giải DNS qua mạng chỉ sử dụng giao thức DNS để phân giải. Giao thức DNS có thể dùng một trong hai cơ chế TCP và UDP nhưng trong trường hợp này sử dụng UDP (port 53). Việc phân giải chỉ đơn giản là tìm trong vùng phân giải ngược của DNS Server từ đó hồi đáp thông tin về cho Client. Bây giờ ta dùng tool của Solarwinds để phân tích xem cơ chế phân giải có gì khác nhau.
Dùng tool DNS\Who is Resolver để phân giải DNS Server:
Sử dụng Wireshark để phân tích các gói tin:
Như vậy, khi sử dụng DNS/Who is Resolver để phân giải DNS thì thấy
trong các giao thức sử dụng không có giao thức nào là SNMP mà đó là các giao thức: DNS, Netbios Name (WINS) và ICMP.
DNS Analyse.
Công cụ DNS/Analyse: tự động tìm kiếm và phân tích tên miền, sau đó vẽ lại mô hình mạng của tên miền vừa tìm được. Lưu ý: có nhiều dạng lưu đồ khác nhau, ta có thể chọn tùy ý.
Kết quả khi thực hiện phân tích với email h09cn12@googlegroups.com
Tài liệu tham khảo:Toolset Administrator Guide
SNMP toàn tập – Diệp Thanh Nguyên
www.alvestrand.no
Các file đính kèm theo tài liệu này:
- Tim hieu goi phan mem phuc vu quan ly mang SolarWinds.doc