Basic HTML Version
[ 14 ] Tháng 11
–
12 2012
G
IÁM SÁT HỆ THỐNG MẠNG
Nhằm phục vụ cho nhu cầu bảo mật và độ
sẵn sàng cho hạ tầng IT, công ty/tổ chức của
bạn đã quyết định đầu tư hệ thống phân tích
và giám sát mạng. Để cho hệ thống này hoạt
động tối ưu, bạn phải lựa chọn các phương
pháp hỗ trợ “bắt gói” phù hợp.
Giám sát mạng với Hub, SPAN và TAP
H
ệ thống mạng ngày
càng mở rộng và phức
tạp hơn, khiến các nhà quản
trị luôn phải đối mặt với
nhiều thách thức mới trong
việc đảm bảo cho hệ thống
hoạt động ổn định. Sự ra
đời của các hệ thống quản lý
và giám sát mạng, bao gồm
các phần mềm và các thiết
bị phần cứng, chính là một
trong số các giải pháp để giải
quyết thách thức đó. Tuy
nhiên, câu hỏi là: “Làm thế
nào để lấy được thông tin cần
thiết cho hệ thống phân tích,
giám sát? Có thể bạn sẽ nghĩ:
“Đơn giản cứ kết nối thiết bị
hay hệ thống phân tích vào
hệ thống mạng thôi!”. Nhưng
điều này chỉ đúng cho các
hệ thống mạng đã được xây
dựng cách đây 30 năm. Đối
với những hệ thống hiện đại
ngày nay, việc kết nối các
thiết bị phân tích, giám sát
vào hệ thống mạng đã trở
nên phức tạp hơn rất nhiều.
Có ba phương pháp phổ
biến được sử dụng trong các
kết nối dạng này: Hub, SPAN
(Switch Port Analyzer) và
TAP (Test Access Point).
Hub
Hub là phương pháp truyền
thống nhất để chia sẻ truy
cập mạng, được phát triển
trước thập niên 90– vào
những buổi đầu của thế giới
mạng. Hub hoạt động như
sau: khi dữ liệu được nhận ở
bất kỳ cổng nào, Hub sẽ gửi
ngay lập tức toàn bộ chúng
đến tất cả các cổng còn lại.
Lợi dụng đặc điểm này,
người ta lắp Hub vào giữa
server và switch để lấy các
thông tin cần thiết, chuyển
đến thiết bị phân tích (tham
khảo hình 1). Tuy nhiên, giải
pháp này hiện tại rất hiếm
khi được sử dụng.
Ưu điểm:
• Giá thành thấp.
• Dễ sử dụng.
Nhược điểm:
• Hạn chế tốc độ truyền dữ
liệu (Hub hoạt động ở chế độ
Half-duplex).
• Gây ra xung đột mạng
(Collision).
• Khi Hub gặp sự cố và
không thể hoạt động, sẽ dẫn
đến việc kết nối bị ngắt.
SPAN
Vào những năm 90, các thiết
bị chuyển mạch (switch)
được giới thiệu lần đầu tiên
đã mở ra một thời kỳ mới
trong lĩnh vực mạng máy
tính. Switch chuyển các gói
tin từ cổng này đến cổng
khác dựa theo địa chỉ MAC,
không như Hub chuyển
đến tất cả các cổng còn lại.
Phương pháp này mang lại
nhiều ưu điểm, nhưng đồng
thời cũng khiến hệ thống
mạng phức tạp hơn, gây khó
khăn cho việc kết nối các
thiết bị phân tích, giám sát.
Để khắc phục điều này, các
nhà sản xuất đã phát triển
một kỹ thuật gọi là SPAN.
Kỹ thuật này cho phép ta
cấu hình để switch tự động
sao chép các gói tin qua lại
giữa các cổng đến một cổng
khác được gọi là cổng giám
sát. Tuy nhiên, đa số các nhà
sản xuất chỉ hỗ trợ tính năng
SPAN cho một hoặc hai cổng
giám sát, điều này làm giới
hạn số lượng thiết bị phân
tích (tham khảo hình 2).
Ưu điểm:
• Tích hợp sẵn trên hầu hết
các switch.
• Không tốn phí triển khai.
• Khả năng cấu hình từ xa.
• Khả năng chuyển dữ liệu ở
chế độ full-duplex.
Nhược điểm:
• Chặn các lỗi của lớp vật lý.
• Loại bỏ nhãn VLAN của
gói tin, khiến việc phân tích
VLAN trở nên khó khăn.
• Mất một cổng trên switch.
• Đa số các nhà sản xuất chỉ
cung cấp khả năng cấu hình
cho một hoặc hai cổng giám
sát trên một thiết bị.
• Việc cấu hình SPAN khá
phức tạp, đòi hỏi chuyên
môn cao, nếu không có
chuyên môn có thể dễ gây ra
lỗi hệ thống mạng.
• Có thể xảy ra tình trạng
mất gói khi cấu hình SPAN
vì dữ liệu được gửi đến cổng
giám sát cao hơn so với khả
năng hỗ trợ của cổng.
• Gây quá tải cho switch,
ảnh hưởng đến hoạt động
của hệ thống mạng.
TAP
TAP là thiết bị dùng để sao
chép dữ liệu giữa hai điểm
trên hệ thống mạng. Tất cả
các gói tin được sao chép sẽ
chuyển tiếp đến cổng giám
sát, nơi các bộ phân tích,
giám sát được kết nối. TAP
là giải pháp tiên tiến nhất kết
hợp các ưu điểm của Hub
và SPAN, mang lại hiệu quả
sử dụng cho người dùng.
TAP kết nối trực tiếp vào hệ
thống, chèn giữa hai thiết bị
mạng (nên còn được gọi là
Hình 1: Mô hình k t n i Hub
Hub
Switch
Server
Thi t b phân tích
B phân tích m ng
IDS/IPS
Thi t b giám sát
Hình 2: Mô hình k t n i SPAN