MỤC LỤC
I. Tổng quan về solarwinds 3
1.1 Giới thiệu Solarwinds: 3
1.2. Giao thức SNPM 3
1.2. 1. Giám sát thiết bị mạng 3
1.2.2. Hai phương thức giám sát Poll và Alert ( Note : Có tài liệu gọi là Poll và Trap, hoặc Get và Trap ) 5
1.2.3. Giới thiệu giao thức SNMP 6
II. 5 chức năng quản trị: 10
1. Performance Mgmt: quản lý việc thực thi của hệ thống mạng: 10
2. Configuration Mgmt: quản lý các thông số cấu hình của hệ thống mạng: 10
3. Fault Mgmt: quản lý lỗi cho hệ thống mạng: 11
4. Security Mgmt: 11
5. Accounting Mgmt: 11
III. Mô hình mạng khảo sát: 12
IV. Performance Mgmt: 12
4.1. Mục đích : 12
4.2. Tiến hành khảo sát: 12
4.3. Kết quả thu được 15
V. Configuration Mgmt: 16
5.1. Giới thiệu công cụ: DNS/Whois Resolver, DNS Analyse. 16
5.2. Mô hình thực hiện: 16
VI. Security Mgmt: 30
1. Sử dụng SNMP Brute Force Attack: 30
2. Port Scanner: 36
VII. Accounting Mgmt: 24
6. 1. Công việc cần tiến hành: 24
6.2. Tiến hành khảo sát: 24
VIII. Nhận xét & đánh giá: 38
KẾT LUẬN 40
TÀI LIỆU THAM KHẢO 41
65 trang |
Chia sẻ: maiphuongdc | Lượt xem: 3233 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài Quản lý mạng máy tính - Solarwinds, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
mô tả chúng. Để lấy một thông tin có OID đã chuẩn hóa thì SNMP application phải gửi một bản tin SNMP có chứa OID của object đó cho SNMP agent, SNMP agent khi nhận được thì nó phải trả lời bằng thông tin ứng với OID đó.
VD : Muốn lấy tên của một PC chạy Windows, tên của một PC chạy Linux hoặc tên của một router thì SNMP application chỉ cần gửi bản tin có chứa OID là 1.3.6.1.2.1.1.5.0. Khi SNMP agent chạy trên PC Windows, PC Linux hay router nhận được bản tin có chứa OID 1.3.6.1.2.1.1.5.0, agent lập tức hiểu rằng đây là bản tin hỏi sysName.0, và agent sẽ trả lời bằng tên của hệ thống. Nếu SNMP agent nhận được một OID mà nó không hiểu (không hỗ trợ) thì nó sẽ không trả lời.
Một trong các ưu điểm của SNMP là nó được thiết kế để chạy độc lập với các thiết bị khác nhau. Chính nhờ việc chuẩn hóa OID mà ta có thể dùng SolarWind để lấy thông tin các loại device của các hãng khác nhau.
Object access
Mỗi object có quyền truy cập là READ_ONLY hoặc READ_WRITE. Mọi object đều có thể đọc được nhưng
chỉ những object có quyền READ_WRITE mới có thể thay đổi được giá trị. VD : Tên của một thiết bị (sysName) là READ_WRITE, ta có thể thay đổi tên của thiết bị thông qua giao thức SNMP. Tổng số port củathiết bị (ifNumber) là READ_ONLY, dĩ nhiên ta không thể thay đổi số port của nó.
Management Information Base
MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng được quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên nền TCP/IP. MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên tuân theo, trong đó có SNMP. MIB được thể hiện thành 1 file (MIB file), và có thể biểudiễn thành 1 cây (MIB tree). MIB có thể được chuẩn hóa hoặc tự tạo. Hình sau minh họa MIB tree :
Một node trong cây là một object, có thể được gọi bằng tên hoặc id. Ví dụ :
+ Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1, chứa tất cả các object lien quan đến thông tin của một hệ thống như tên của thiết bị (iso.org.dod.internet.mgmt.mib-2.system.sysName hay 1.3.6.1.2.1.1.5).
+ Các OID của các hãng tự thiết kế nằm dưới iso.org.dod.internet.private.enterprise. Ví dụ : Cisco nằm dưới iso.org.dod.internet.private.enterprise.cisco hay 1.3.6.1.4.1.9, Microsoft nằm dưới iso.org.dod.internet.private.enterprise.microsoft hay 1.3.6.1.4.1.311. Số 9 (Cisco) hay 311 (Microsoft) là số dành riêng cho các công ty do IANA cấp 5. Nếu Cisco hay Microsoft chế tạo ra một thiết bị nào đó, thì thiết bị này có thể hỗ trợ các MIB chuẩn đã được định nghĩa sẵn (như mib-2) hay hỗ trợ MIB được thiết kế riêng. Các MIB được công ty nào thiết kế riêng thì phải nằm bên dưới OID của công ty đó. Các objectID trong MIB được sắp xếp thứ tự nhưng không phải là liên tục, khi biết một OID thì không chắc chắn có thể xác định được OID tiếp theo trong MIB. VD trong chuẩn mib-2 6 thì object ifSpecific và object atIfIndex nằm kề nhau nhưng OID lần lượt là 1.3.6.1.2.1.2.2.1.22 và 1.3.6.1.2.1.3.1.1.1. Muốn hiểu được một OID nào đó thì bạn cần có file MIB mô tả OID đó.
Một MIB file không nhất thiết phải chứa toàn bộ cây ở trên mà có thể chỉ chứa mô tả cho một nhánh con. Bất cứ nhánh con nào và tất cả lá của nó đều có thể gọi là một mib.
Một manager có thể quản lý được một device chỉ khi ứng dụng SNMP manager và ứng dụng SNMP agent cùng hỗ trợ một MIB. Các ứng dụng này cũng có thể hỗ trợ cùng lúc nhiều MIB. Trong chương này chúng ta chỉ đề cập đến khái niệm MIB ngắn gọn như trên.
II. 5 chức năng quản trị:
Performance Mgmt: quản lý việc thực thi của hệ thống mạng:
Độ tin cậy.
Tính hiệu quả.
Thời gian truyền
Công cụ giới thiệu: Network Perormance Monitor ( Alert + SNMP Trap recieiever)
Configuration Mgmt: quản lý các thông số cấu hình của hệ thống mạng:
Install
Update
Fault Mgmt: quản lý lỗi cho hệ thống mạng:
Preactive : khi có sự cố thì bắt tay vào khắc phục.
Proactive: tác động đến hệ thống trước khi hệ thống xãy ra lỗi, điều này dựa nhiều vào kinh nghiệm của nhà quản trị.
Công cụ giới thiệu: Network Performance Monitor (Alert+SNMPTrap receiver)
Security Mgmt:
Packet filter.
Access Control.
Tài nguyên mạng.
Service:
Xác thực ai muốn dùng tài nguyên
Bất kỳ ai muốn sử dụng tài nguyên cũng phải giới hạn quyền
Bất kỳ dữ liệu lưu trữ nào cũng cấp quyền
Tính toàn vẹn dữ liệu trên đường truyền
Tính không chối cãi của công việc chia sẻ
Công cụ giới thiệu:
Port Scanner: xác định trên Agent có những dịch vụ nào đang mở (thông qua cổng dịch vụ)
SNMP Brute Force Attack: công cụ quét Community của một Agent
Edit Dictionaries: xây dựng cơ sở dữ liệu gồm các từ dùng cho SNMP
Remote TCP Reset: thiết lập lại các phiên kết nối trên các thiết bị ở xa như router, server đầu cuối, server truy cập …
Router Password Decryption: giải mã password của Cisco loại 7
Security Check: tấn công thử để kiểm tra tính an toàn của chuỗi community có thuộc tính read-write
SNMP Brute Force Attack: dùng các câu truy vấn SNMP với các ký tự tuần tự để cố găng xác định chuỗi community
SNMP Dictionary Attack tấn công dùng dictionary đã biết để tìm chuỗi community
5. Accounting Mgmt:
Xác thực.
Cấp quyền.
Giám sát các quyền hạn trên Agent.
Công cụ giới thiệu IP Network Browser
V.QUẢN TRỊ CẤU HÌNH
Mô hình quản trị:
Tìm hiểu công cụ quản trị mạng: SolarWinds Orion Network Configuration Management (NCM)
Bước 1: Cài đặt
+ SQL Server 2005 Express
+ Orion NCM
Bước 2: Tạo cơ sở dữ liệu trong SQL để ghi lại thông tin quản trị:
Bước 3: Discover và Import thiết bị quản trị:
Bước 4: Xem thiết lập các thông số baseline ban đầu
Installed Software:
-Running Software:
System Mibs:
sysDescr: Mô tả nguyên văn của đối tượng quản lý. Giá trị này thường bao gồm tên đầy đủ và version của loại phần cứng của hệ thống, hệ điều hành, thiết bị mạng.
sysObjectID: định danh của đối tượng đang được quản lý
sysContact: Tên liên lạc của người quản lý node này
SysUptime: Thời gian từ lúc mà hệ thống khởi động thiết lập
sysLocation: Địa chỉ thật của node đang quản lý
sysServices: Tổng số dịch vụ mà node cho phép
Interface Mibs:
Quản trị performance:
ifMtu: Kích thước lớn nhất của một packet có thể được gửi và nhận trên interface này, tính bằng octets.
ifSpeed: băng thông hiện thời trên interface theo đơn vị bit/s. Với những interface không có sự thay đổi về băng thông hay những interface không thể ước lượng được chính xác, thì giá trị này sẽ là băng thông hiệu dụng. Nếu băng thông này lớn hơn giá trị cực đại mà biến này có thể biểu diễn (4,294,967,295) thì variable ifHighSpeed sẽ được dùng để biểu diễn tốc độ của interface. Đối với các sub-layer mà không liên quan đến tốc độ thì giá trị này được biểu diễn là 0.
ifOperStatus: Trạng thái hoạt động hiện hành trong hệ thống của interface, có cùng trạng thái với ifAdminStatus là up nếu như interface đã sẵn sàng để chuyển và nhận lưu lượng mạng, hoặc đang đợi cho một hành động bên ngoài( ví dụ : như đang đợi cho một kết nối vào), down khi có lỗi xảy ra.
ifInUcast Pkts: Tổng số gói unicast được phân phối bởi lớp dưới lên lớp trên của nó
IfInNUcast Pkts: Tổng số gói, được phân phối bởi lớp dưới lên lớp trên, là địa chỉ multicast hoặc broadcast của lớp dưới.
ifOutOctets: số octet ra khỏi interface
ifOutUnicastPkts: Số gói unicast ra khỏi interface
ifOutNUcastPkts: số gói không phải unicast ra khỏi interface
Quản trị lỗi:
ifInErrors: Là số các gói nhận vào mà có lỗi đối với interface hướng gói , là chiều dài tổng số lần đơn vị chuyển tải vào bị lỗi đối với interface hướng ký tự. Ngăn cản chúng không cho phân phối tới lớp giao thức cao hơn.
ifOutErrors: lỗi của gói ra
ifInUnknownProtos: Tổng số gói được nhận qua interface sẽ bị huỷ bởi vì không có giao thức hoặc giao thức không được hỗ trợ.
ifInDiscard: số gói bị hủy
ifOutDiscards: gói ra bị hủy
ifLastChange: Lần cuối cùng thay đổi trạng thái của interface
ifOutQlen: chiều dài gói ra
Route Table:
ipRouteDest: route đích
ipRouteInIndex: số chỉ mục route
ipRouteMetric: metric của route. Trường hợp chưa thiết lập mặc định là -1
ipRouteNextHop:hop tiếp theo trên đường đi
ipRouteType: kiểu đường đi (direct, indirect)
ipRouteProto: giao thức định tuyến
ipRouteAge: Thời gian tồn tại của route
ipRouteMask: mặt nạ cho subnet của địa chỉ ip
Ip Mibs:
Quản trị performance:
ipInReceives.0: tổng số gói nhận được tại interface này bao gồm các gói bị lỗi.
ipInDelivers.0: số gói nhận được phân phối đến lớp trên
ipOutRequests.0: số gói yêu cầu cần được truyền đến lớp trên
ipReasmTimeout.0: thời gian tối đa (tính bằng giây) để chờ nhận các mảnh mà đang chờ được tái hợp.
ipReasmReqds.0: số lượng của các phân mảnh IP nhận mà đang chờ tái hợp.
ipReasmOKs.0: số lượng của các gói IP tái hợp thành công. Do không có gói nào bị phân mãnh nên trường này có giá trị là 0.
ipReasmFails.0: số lượng các gói không thành công được phát hiện bởi thuật toán tái hợp của IP.
ipFragOKs.0: số lượng của các gói IP mà phân mảnh thành công.
ipFragFails.0: số lượng của các gói IP mà bị loại bỏ bởi vì chúng không thể bị phân mảnh.
ipFragCreates.0: số lượng của các gói IP phân mảnh được tạo trong quá trình phân mảnh.
Quản trị fault:
ipInHdrErrors.0: lỗi trong Header
ipInAddrrErrors.0: lỗi trong địa chỉ
ipForwDatagrams.0: số datagram được chuyển tiếp
ipInUnknownProtos.0:tổng số gói được nhận sẽ bị huỷ vì không có giao thức hoặc giao thức không được hỗ trợ.
ipOutNoRoutes.0: số gói ra không có đường đi
ipInDiscards.0: số lượng các gói IP input mà không có vấn đề gì bắt gặp để ngăn chặn chúng được tiếp tục xử lý, nhưng mà bị loại bỏ do khác hơn các lỗi (ví dụ: hết buffer).
ipInDelivers.0: tổng số các gói input thành công mà chuyển lên giao thức lớp trên user của IP (bao gồm cả ICMP).
ipOutDiscards.0: số lượng các gói output không có vấn đề gì gặp phải để chuyển đi nhưng bị loại bỏ bởi lý do khác lỗi (như hết buffer).
ipOutNoRoutes.0: số lượng các gói IP bị loại bỏ do không có tuyến đường nào có thể tìm thấy để chuyển chúng đến đích của chúng. Chú ý rằng các gói này bao gồm bất kỳ gói mà một host không thể định định tuyến bởi vì tất cả các router mặc định của chúng đã bị down.
TCP Mibs:
Quản trị performance:
tcpActiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp đến trạng thái SYN-SENT từ trạng thái CLOSE
tcpPassiveOpens: số lần các kết nối TCP tạo ra một chuyển tiếp trực tiếp
tcpAttempptFails: số lần thử kết nối bị lỗi
tcpEstabResets: số các reset xuất hiện
tcpCurrEstab: số kết nối có trạng thái hiện tại là ESTABLISHED hay CLOSE-WAIT
tcpInSegs: tổng số segment đã nhận
tcpOutSegs: tổng số segment đã gửi
tcpRetransSegs: tổng số segment được truyền lại
tcpOutRsts: tổng số segment được gửi
Quản trị fault:
tcpAttempptFails: số lần thử kết nối bị lỗi
tcpEstabResets: số các reset xuất hiện
tcpRetransSegs: tổng số segment được truyền lại
tcpErrs: tổng số segment nhận được bị lỗi
tcpRtoAlgorithm: thuật toán được sử dụng để xác định giá trị timeout sử dụng cho việc truyền lại các octet không hoàn thành
tcpRtoMin: giá trị nhỏ nhất được cho phép bởi sự thực thi TCP cho việc truyền lại timeout
tcpRtoMax: giá trị lớn nhất được cho phép bởi sự thực thi TCP cho việc truyền lại timeout
tcpMaxConn: số liên kết TCP tối đa
tcpConnState: trạng thái của kết nối
UDP Mibs:
Quản trị performance:
udpInDatagrams: tổng số gói UDP được phân phát đến các UDP user
udpNoPorts: tổng số gói UDP đã nhận không có ứng dụng ở port đích
udpInErrors: tổng số goi UDP đã nhận nhưng nó không thể được phát đi cho các nguyên nhân ngoại trừ việc thiếu một ứng dụng ở port đích
udpOutDatagrams: tổng số gói UDP đã gửi từ entity này.
ICMP Mibs:
Quản trị performance
icmpInMsgs: tổng số thông điệp ICMP đi vào
icmpInErrorss: số các thông điệp ICMP đi vào có chứa lỗi
icmpInDestUnreachs: số thông ICMP không đọc được đích đến
icmpInTimeExcds: số các thông điệp ICMP vượt quá thời gian
icmpInParmProbs: số thông điệp ICMP thông số khó hiểu đi vào
icmpInSrcQuenchs: số thông điệp ICMP Source Quench đi vào
icmpInRedirects: số thông điệp ICMP Redirect đã nhận
icmpInEchos: số các thông điệp ICMP Echo request đi vào
icmpInEchoReps: số các thông điệp ICMP Echo reply nhận được
icmpInTimestamps: số ICMP Timestamp request đã nhận
icmpInTimestampReps : số thông điệp ICMP Timestamp Reply đi vào đã nhận
icmpInAddrMasks: số ICMP Adddresss Mask Request đi vào đã nhận
icmpInAddrMaskReps: số thông điệp ICMP Adddresss Mask Reply đi vào đã nhận
icmpOutMsgs: tổng số thông điệp ICMP mà entity thử nhận
icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi
icmpOutDestUnreachs: số thông điệp ICMP gửi để báo các đích không đọc được
icmpOutTimeExcds: số thông điệp ICMP gửi để báo vượt quá thời gian
icmpOutParmProbs: số thông điệp ICMP gửi để báo vấn đề về tham số
icmpOutSrcQuenchs: số thông điệp ICMP Soure Quench đã gửi
icmpOutRedirects: số thông điệp ICMP Redirect đã gửi
icmpOutEchos: số thông điệp Echo Request messages đã gửi
icmpOuttEchoReps: số thông điệp Echo Reply messages đã gửi
icmpOutAddrMasks: số thông điệp Address Mask Request đã gửi
icmpOutAddrMaskReps: số thông điệp Address Mask Reply đã gửi
Quản trị fault:
icmpOutMsgs: tổng số thông điệp ICMP thử nhận
icmpOutErrors: tổng số lần thử để gửi thông điệp ICMP bị lỗi
icmpInRedirects: số thông điệp ICMP Redirect đã nhận
SNMP Mibs:
Quản trị Performance:
snmpIn/OutTotalReqVars: Số đối tượng Mib được phục hồi thành công khi nhận được các PDUs get-request và get-next hợp lệ./ được tạo ra
snmpIn/OutGetRequests: Số PDU get-request được chấp nhận/ được tạo ra
snmpIn/OutGetNexts: Số PDU get-next được chấp nhận nhận và xử lý/ được tạo ra
snmpIn/OutGetResponse: Số PDU get-response được chấp nhận và xử lý/ được tạo ra
Quản trị Faults:
snmpIn/OutTooBigs: Số lượng SNMP PDUs phân phối tới / được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “tooBig”.
snmpIn/OutNoSuchNames: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “noSuchName”.
snmpIn/OutBadValues: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “badValue”.
snmpIn/OutGenErrs: Số lượng SNMP PDUs phân phối tới/được tạo bởi thực thể giao thức SNMP có giá trị của trường error-status là “genErr”.
Thiết lập Event Log:
Giúp cất giữ các các bản record chi tiết của các sự kiện, giúp cho việc theo dõi và troubleshoot những bất thường xảy ra.
NCM cung cấp một chức năng rất tiện lợi cho việc theo dõi và cập nhật thông tin cấu hình là download config. Với chức năng này, admin có thể download các thông tin cấu hình từ device và so sánh với các giá trị baseline đã thiết lập hay các thông tin cấu hình download trước đó, hoặc đơn giản là để backup.
Nhưng chức năng này không hoạt động được một cách bình thường vì luôn có lỗi xảy ra, và không thể tự động download bất cứ thông tin cần thiết nào từ thiết bị quản trị. Các chức năng theo dõi và cập nhật dựa vào tập tin syslog vì thế cũng không thể hoạt động.Cho nên tất cả các thay đổi về thông tin cấu hình sẽ được theo dõi thủ công dựa vào các thông số Mib và theo dõi theo thời gian thực cùng với việc theo dõi CPU load.
Theo dõi theo thời gian thực các giá trị baseline của thiết bị:
CPU load :
VI. SECURITY MANAGEMENT
Giới thiệu về Security Management :
Quản trị Security là một chức năng quản trị rất quan trọng trong hệ thống mạng của chúng ta. Hệ thống hoạt động ổn định với hiệu suất cao và tính an ninh được đảm bảo là điều luôn được mong muốn. Một hệ thống mạng khi đã được Configuration, thì song song với việc quản trị Performance, Fault, Accouting thì chức năng quản trị Security cũng được quan tâm hàng đầu.
Phát hiện các xâm nhập trái phép vào hệ thống, thực hiện các biện pháp chống xâm nhập, vá lỗi khi phát hiện một lỗ hổng nào đó. Thực hiện các biện pháp an ninh thông qua việc đưa ra các Policy cụ thể. Nhằm đảm bảo an ninh cho tài khoản người dùng (Users) cũng như tài nguyên của hệ thống mạng (Resources).
Quản trị bảo mật trên công cụ Solarwind v9.2:
Trên Solarwind hỗ trợ khá nhiều công cụ giúp ích cho việc quản trị an ninh mạng. Một số công cụ như:
SNMP Brute Force Attack: dùng các câu truy vấn SNMP với các ký tự tuần tự để cố găng xác định chuỗi community
SNMP Dictionay Attack : tấn công dùng dictionary đã biết để tìm chuỗi community string SNMP
Port Scanner giám sát từ xa trạng thái port trên thiết bị
Remote TCP Session Reset: thiết lập lại các phiên kết nối trên các thiết bị ở xa như router, server đầu cuối, server truy cập …
Edit Dictionaries: xây dựng cơ sở dữ liệu gồm các từ dùng cho SNMP
Cisco Route Password Decryption : Giải mã mật khẩu của các Router Cisco
Bộ công cụ bảo mật trong Solarwind 9.2
Sau đây chúng ta sẽ khảo sát một số công cụ như sau:
SNMP Brute Force Attack
Giới thiệu: SNMP Brute Force Attack là công cụ cho phép xác định chuỗi community string SNMP là read-only hay read-write bằng việc thử tất cả các kí tự cũng như chữ số có thể. Công cụ này có thể tùy chỉnh để có thể chỉ thử các kí tự nhất định hay các chuỗi community có chiều dài cố định. Sử dụng công cụ này, bạn cần chấp nhận các thỏa thuận và đồng ý chỉ chạy các ứng dụng này trên mạng thuộc quyền quản trị của bạn. Tuy đây là một công cụ tấn công, nhưng các nhà quản trị cũng dùng để tìm kiếm khôi phục lại các SNMP community string.
Demo:
PC NMS thực hiện Scan để tìm kiếm khôi phục lại chuỗi community string trên PC Agent (IP như hình vẽ)
Cấu hình như sau:
Trên PC Agent: vào Administrator Tool/ Computer Management -> Chọn Services -> chọn SNMP services -> Ở tab Security chúng ta cấu hình 2 chuỗi community như sau
Trên PC NMS cấu hình như sau: Khởi động ứng dụng SNMP Brute Force Attack -> chọn Settings
Ở tab General: tùy chọn chiều dài của chuỗi community string (ở đây chúng ta chọn chiều dài la 5)
Tab Character Set: sẽ scan chuỗi community bằng việc thử tất cả các kí tự thường
Và bắt đầu thực hiện scan, đồng thời thực hiện bắt gói bằng Wireshark
Kết quả thu được là 2 chuỗi community: ab và cd
Phân tích hoạt động của công cụ trên dựa vào các gói bắt được
Nguyên tắc hoạt động là: PC NMS sẽ liên tục gởi ra các gói tin Get-request kèm theo 1 kí tự sinh ra trong chuỗi Custom Character Set mà chúng ta đã cài đặt. Đến khi chuỗi kí tự get-request match với chuỗi kí tự community thì PC Agent sẽ gởi Get-Respont lại cho PC NMS xác nhận đúng community string.
Trong gói tin sau, ở gói thứ 133, PC NMS gởi chuỗi ab và match với chuỗi community của PC Agent
Và ngay lập tức, PC Agent gởi Respont xác nhận đúng cho PC NMS ở gói 134:
Tương tự với chuỗi community cd là ở gói 449 và 450
Sau khi đã scan được chuỗi community string thì tiếp tục kiểm tra chuỗi đó là Read-Only hay là Read-Write. Bằng cách PC NMS gởi 1 gói Set-Request kèm theo 1 giá trị sysContact. PC NMS gởi gói SET để coi thử community string có khả năng Write hay không. Sau đó yêu cầu lấy thông tin sysContact.0 trên máy PC Agent xem việc SET có thành công không. Nếu không thể SET giá trị sysContact thì community string đó là Read-Only. Ngược lại, nếu có thể SET giá trị sysContact thì community string đó là Read-Write
Ở community string ab. PC NMS gởi gói Set-Request như sau:
Và PC Agent gởi Respont như sau:
Giá trị sysContact không thể thay đổi nên ab là community string Read-Only
Ở community string cd, cũng tương tự như vậy ta thu được kết quả sau:
Và nhận được gói tin Respont như sau:
Dễ dàng nhận thấy việc Set sysContact (Test 241246) đã thành công. Suy ra cd là community string Read-Write
Nhận xét:
Nếu chuỗi community string là chuỗi phức tạp thì việc dò tìm sẽ rất khó khăn và mất nhiều thời gian.
Việc dò tìm string thông qua việc gởi Get-request liên tục cho đến khi đúng chuỗi string, có thể sẽ bị Firewall ngăn chặn.
Là công cụ có thể dành cho hacker tấn công lấy chuỗi community nên quản trị phải hết sức cẩn thận.
Port Scanner
Giới thiệu: là công cụ cho phép discover từ xa trạng thái của các Port trên 1 địa chỉ IP hay một danh sách các địa chỉ IP. Quá trình quét đơn giản được mô tả như sau:
Thật ra thì Port Scanner là một công cụ trong Solarwind nhưng lại không hỗ trợ giao thức SNMP.
Gói tin bắt được như sau:
Nhận xét:
Công cụ không hỗ trợ giao thức SNMP nhưng lại rất cần thiết cho các nhà quản trị. Các nhà quản trị dễ dàng nhận biết được các cổng nào được bật lên trong hệ thống mạng của mình, các cổng nào khả nghi, cổng nào có thể hacker khai thác để tấn công. Qua đó, có biện pháp ngăn chặn kịp thời
Tuy nhiên công cụ này chỉ cho phép thu thập thông tin, người quản trị hoàn toàn không được phép disable một port nào đó từ xa, hay chuyển trạng thái(từ Up sang Down, ngược lại) của Port.
Ngoài ra, trong Solarwind còn hỗ trợ một số công cụ Security khác như:
SNMP Dictionary Attack: giống như SNMP Brute Force Attack cũng dùng để thực hiện việc dò tìm các community string nhưng theo phương pháp Dictionary. Tức là tạo một thư viện chứa các chuỗi có thể là community string, sao đó scan và đối chiếu 2 string, nếu match thì chuỗi đó là community string. Việc scan có kết quả hay không là tùy thuộc hoàn toàn vào thư viện bạn tạo ra.
Remote TCP Session Reset: cho phép quản trị viên hiển thị tất cả các session hoạt động trên server đầu cuối, router, dial server, hoặc truy cập server và dễ dàng reset bất kì session nào.
III. Tổng kết :
Security Management là chức năng quản trị vô cùng quan trọng trong một hệ thống mạng. Đòi hỏi nhà quản trị cần giám soát chặt chẽ hoạt động của hệ thống mạng, phân tích các hành vi khả nghi, đưa ra các chính sách đảm bảo an ninh tốt.
Ở HĐH Windows đã có tích hợp sẵn một số những tiện ích hỗ trợ chức năng quản trị Security cho nhà quản trị mạng. Domain Controller là ứng dụng quan trọng trong việc quản trj bảo mật. Đòi hỏi các chính sách policy phù hợp cũng như sự thực hiện nghiêm túc của các user.
Ở công cụ Solarwind, công cụ chuyên dụng để quản trị mạng thì có một số tính năng nâng cao hơn. Solarwinds mục đích chính là quản trị 2 chức năng: performance, fault khá kỹ càng. Ở khía cạnh Security, Solarwinds giúp cho người quản trị thu thập thông tin Port trong tổ chức, cũng như việc phục hồi community…
Đối với Security Management, thì việc quản trị không liên quan đến nhiều thông số MIB, có thể khảo sát một số thông số Mib sau đây:
sysContact: đoạn text nhận dạng liên lạc đối tượng cho việc quản trị node đó, cùng các thông tin liên lạc với node đó
sysObjectID: nhận dạng xác thực nhà cung cấp của hệ thống mạng trong 1 thực thể. Giá trị nhận dạng được phân bổ trong cây SMI (1.3.6.1.4.1). ví dụ nếu nhà cung cấp là Flintstones, Inc. sẽ được gán cây 1.3.6.1.4.1.4242 và có thể gán 1.3.6.1.4.1.4242.1.1 để nhận dạng Red Router
ipDefaultTTL: thời gian sống của một gói tin ip. Nếu thời gian sống lớn, nhưng gói tin không thể đến đích được, gói tin sẽ bị loop trong mạng. và nếu có nhiều gói tin bị loop thì hệ thống mạng sẽ hoạt động trì truệ. Hacker có thể lợi dụng điểm yếu này để gởi nhiều gói tin bị loop làm cho hệ thống mạng tắt nghẽn
VII. ACCOUNTING MANAGEMENT
Tập MIB được sử dụng cho quản trị Accounting :
System MIB
-sysName(1.3.6.1.2.1.1.5) : Tên của hệ thống
-sysDescr(1.3.6.1.2.1.1.1) : Mô tả hệ thống
-sysContact(1.3.6.1.2.1.1.4) : Tên kết nối của hệ thống
-sysObjectID(1.3.6.1.2.1.1.2) : ID của hệ thống
-sysLocation(1.3.6.1.2.1.1.6) : Vị trí của hệ thống
-sysUpTime(1.3.6.1.2.1.1.3) : Thời gian sau khi hệ thống quản trị khởi tạo lại
-sysServices(1.3.6.1.2.1.1.7) : Tập các giá trị chỉ các dịch vụ mà hệ thống này có khả năng cung cấp
-sysORLastChange(1.3.6.1.2.1.1.8) : Giá trị của sysUpTime tại thời điểm có sự thay đổi gần đây nhất trong trạng thái hay giá trị bất kỳ thể hiện nào của sysORID
-sysORTable(1.3.6.1.2.1.1.9) :
- sysOREntry(1.3.6.1.2.1.1.9.1) : Một mục khái niệm mới trong sysORTable
- sysORIndex(1.3.6.1.2.1.1.9.1.1) : Biến phụ trợ được sử dụng để xác định các trường hợp của các đối tượng hình cây cột trong sysORTable
- sysORID(1.3.6.1.2.1.1.9.1.2) : Một xác định thẩm quyền của một tuyên bố khả năng đối với các MIB module hỗ trợ bởi các thực thể SNMPv2 tại đó diễn xuất trong một vai trò đại lý.
- sysORDescr(1.3.6.1.2.1.1.9.1.3) : Một đoạn mô tả các khả năng xác định bởi các thể hiện tương ứng của sysORID
- sysORUpTime(1.3.6.1.2.1.1.9.1.4) : Giá trị của sysUpTime mà lúc đó hàng nhận thức này được thể hiện cuối cùng
Case study:
- Từ máy quản trị NMS lấy thông tin về các account hiện có trên một máy agent.
Cụ thể là từ máy NMS 192.168.188.3 lấy thông tin các account hiện có trên máy Agent 192.168.188.4
Tiến hành:
-Sử dụng IP Network Browser của tool Solarwind bắt đầu khảo sát
Cài đặt trên máy NMS để khảo sát
Nhập địa chỉ 192.168.188.4 của máy agent để khảo sát.Thực hiện Scan Device với community là public.Mở chương trình wireshark để bắt các gói thông tin để phân tích.
Các thông tin của gói bắt được khi tiến hành
Nhìn vào hình 2 ta thấy được ban đầu:
-Máy NMS ping thử cho máy Agent xem địa chỉ cần xác định Scan có tồn tại hay không.Sau đó là gói tin trả lời của máy Agent.
Gói tin yêu cầu thông số sysobjectID.0 của NMS
-Tiếp đó máy NMS tiến hành lấy các gói tin sysobjectID.0,sysName.0,sysDescr.0
Phân tích
Các file đính kèm theo tài liệu này:
- 2727873 ti Qu7843n tr7883 m7841ng v7899i Solarwin.doc