OpenNMS có khả năng nhận biết các sự kiện, bất thường trong mạng và đưa ra cảnh báo tức thì cho quản trị viên dựa vào các thông điệp được gửi từ agent đến trung tâm quản lý (SNMP Trap) nhận được từ các thiết bị trong mạng. Đơn vị quản lý cơ bản nhất trong OpenNMS là Interface, mỗi Interface đại diện cho một phần (element) trong mạng, các Interface được phân biệt bằng địa chỉ IP nên chúng sẽ là duy nhất. Trong trường hợp có nhiều Interface được phát hiện trên cùng một thiết bị, các Interface này sẽ được gom thành nhóm và gọi là các nút (node).
Việc thu thập các sự kiện trong OpenNMS gồm 2 quá trình thăm dò là tìm và thu thập IP của thiết bị, sau đó là nhận biết các dịch vụ được hỗ trợ bởi thiết bị đó. OpenNMS sử dụng giao thức SNMP để thăm dò và thu thập thông tin của các thiết bị trong hệ thống mạng. Một trong các đặc tính quan trọng của giải pháp là nó có thể hoạt động theo cách phân cấp và có thể giám sát nhiều dịch vụ như ICPM, SNMP, FTP, HTTP, SMTP, DNS, MySQL, IMAP, POP3, DHCP… Trong thực tế, giải pháp thường được triển khai phân tán như hình dưới đây:
Hình 4. OpenNMS dưới dạng kiến trúc của SNMP [6]
OpenNMS là giải pháp nền tảng phân tán với khả năng mở rộng cao. Người quản trị dễ dàng cấu hình thông qua giao diện web và API REST. Giao diện người dùng có thể tuỳ chỉnh bao gồm trang tổng quan, trạng thái các nút trong mạng, các biểu đồ thống kê, bản đồ cấu trúc mạng, phân tích xu hướng…
OpenNMS chứa một tập các tiến trình chạy nền cho các trường hợp sử dụng cụ thể trong quản lý mạng. Kiến trúc OpenNMS được mô tả chi tiết bao gồm:
- Pollerd (Đảm bảo dịch vụ): Là một tiến trình Java chạy nền giúp thực thi các trình giám sát để kiểm tra tính khả dụng của dịch vụ và cung cấp các chức năng quản lý lỗi. Mỗi trình giám sát được thực thi trong một nhóm luồng (thread pool). Người sử dụng có thể tuỳ chỉnh mở rộng Pollerd. Pollerd là nơi tập trung các dịch vụ cung cấp cho chương trình bao gồm ICMP, DNS, FTP, HTTP, HTTPS, SSH, MySQL…
- Collectd (Thu thập số liệu hiệu suất): Là một trình nền Java có chức năng thu thập và lưu trữ dữ liệu từ nhiều nguồn khác nhau như SNMP, JMX, HTTP, NSClinet. Đối với các số liệu hiệu suất, các chỉ số thu thập được sử dụng để đo lường việc sử dụng hoặc độ trễ của các thiết bị và dịch vụ, cung cấp khả năng quản lý hiệu suất.
Hình 5. Kiến trúc của OpenNMS [7]
- Provisiond (Cung cấp các nút trong quản lý mạng): Cung cấp một tiến trình nền để đồng bộ hoá các nguồn dữ liệu bên ngoài chứa thông tin nút mạng với cơ sở dữ liệu quản lý nội bộ của OpenNMS.
- External Event (Sự kiện bên ngoài): Các sự kiện được thu thập từ file nhật ký của hệ thống (Syslog), các dịch vụ hoạt động đã vượt ngưỡng cho phép, các bộ thu thập thông tin hiệu năng, SNMP Trap (Trapd)... Sau khi được xử lý, nó sẽ được chia thành các thông tin:
- User Notification (Thông báo người dùng): Dùng để thông báo đến quản trị.
- Event Translator (Trình dịch sự kiện): Dùng chuyển đổi các thuộc tính của các sự kiện trong cơ sở dữ liệu của OpenNMS (PostgreSQL) thành các dạng phù hợp để có thể truy vấn.
- XML-RPC: Cho phép các sự kiện được chuyển từ OpenNMS đến một máy chủ khác thông qua một giao thức gọi phương thức từ xa dùng XML để mã hoá và truyền tải sử dụng HTTP.
- Eventd (Xử lý sự kiện chương trình chạy nền): OpenNMS có thể thu thập, lắng nghe hơn 500 sự kiện và các bất thường xảy ra trên hệ thống mạng, phân loại chúng theo các cấp độ và đưa ra thông tin cảnh báo cho tiết cho quản trị viên. Mỗi sự kiện đều có cảnh báo sự kiện chung (Universal Event Indicator - UEI) là một chuỗi URI sử dụng để nhận diện sự kiện đó. Người dùng có thể cấu hình việc thiết lập cấp độ của sự kiện, thay đổi ghi chú của sự kiện cho phù hợp với từng hệ thống. Các sự kiện được phân loại theo các cấp độ như Bảng 1.
BẢNG 1: PHÂN LOẠI CẤP ĐỘ CÁC SỰ KIỆN
- Rtcd (Khởi tạo dữ liệu): Khởi tạo dữ liệu của sự kiện từ cơ sở dữ liệu khi sự kiện xuất hiện, sau đó đăng ký sự kiện vào hệ thống con để cập nhập. Mục đích của Rtcd là tạo ra một hệ thống mà dữ liệu quản trị sẽ luôn được cập nhật theo thời gian thực.
- PostgreSQL: Là hệ quản trị cơ sở dữ liệu được hệ thống sử dụng để quản lý. Cơ sở dữ liệu là nơi lưu trữ dữ liệu mạng thu thập được. Cấu trúc IPLIKE được sử dụng để chứa danh sách các octec được đọc từ văn bản đối sánh.
- XLM API: Thành phần chứa các file cấu hình cho các tiến trình nền, cấu hình các sự kiện, ứng dụng web.
- User Interface (Giao diện người dùng): Đây là thành phần cung cấp giao diện cho người dùng. Người dùng có thể thực hiện giám sát, kiểm soát các nút, theo dõi thông tin báo cáo sự kiện, báo cáo dữ liệu và nhiều tác vụ khác.
Giải pháp OpenNMS đáp ứng các yêu cầu cần thiết của một giải pháp giám sát an ninh mạng với các tính năng sau đây:
- Hỗ trợ nhiều giao thức: CDP, LLDP, IS-IS, Bridge, OSPF, SNMP, XML, JDBC, WMI, JMX, NRPE, NSClient++.
- Thu thập dữ liệu thông qua các giao thức: SNMP, WS-Man, HTTP, XML, JMX, JDBC, NSClient, TCA, WMI. Việc thu thập dữ liệu có khả năng mở rộng cao với một phiên bản của OpenNMS đang thu thập được 1,2 triệu điểm dữ liệu thông qua giao thức SNMP mỗi 5 phút [4].
- Có khả năng truyền dữ liệu từ xa: NX-OS, JTI.
- Tương tích trên cả nền tảng IPv4 và IPv6.
- Hoạt động cả trong mô hình mạng layer 2 và layer 3.
- Có khả năng tích hợp Elasticsearch, R.
- Hỗ trợ luồng cho Netflow v5, Netflow v9, IPFIX, sFlow, Jflow.
- Xác thực LDAP/AD.
- API REST cho thông tin, dữ liệu hiệu suất, cảnh báo và tính khả dụng của sự kiện.
- Hỗ trợ khả năng tự phát hiện các thiết bị và dịch vụ đang hoạt động trong mạng. OpenNMS chứa một hệ thống cung cấp tính năng nâng cao để thêm các thiết bị vào hệ thống quản lý. Quá trình này có thể diễn ra tự động bằng cách gửi danh sách hoặc dải địa chỉ IP cho hệ thống. Các thiết bị cũng có thể được thêm vào hệ thống một cách rõ ràng. Giải pháp có khả năng cung cấp mô hình kết nối mạng của hơn 50.000 thiết bị rời rạc và mạng của các thiết bị đơn lẻ với hơn 200.000 giao diện ảo mỗi mạng.
- Tạo các thông báo cho quản trị thông qua e-mail, SMS, XMPP và các phương thức thông báo tùy chỉnh khác. OpenNMS đã được chứng minh là có thể xử lý liên tục 125.000 tin nhắn nhật ký hệ thống mỗi phút.
- Tích hợp với JasperReports tạo ra các báo cáo cho người dùng từ cơ sở dữ liệu và dữ liệu hiệu suất được thu thập.
- Nhiều plugin hỗ trợ khác.
Với các kiến thức cơ bản về thành phần cấu trúc của OpenNMS, để áp dụng giải pháp mã nguồn mở vào triển khai trong hệ thống mạng của các tổ chức, doanh nghiệp, công việc nghiên cứu cần được tiếp tục đối với ảnh hưởng, tương tác giữa các thành phần với thành phần (compoent-to-compoent) và đối tượng với đối tượng (object-to-object) trên một môi trường phân tán. Từ đó, có thể xây dựng mô hình kiến trúc OpenNMS phù hợp với mỗi tổ chức, doanh nghiệp.
Nguyễn Toàn
15:00 | 31/05/2021
08:00 | 22/02/2021
09:00 | 23/10/2019
07:00 | 06/08/2021
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024