Tải bản đầy đủ - 0 (trang)
PHÂN TÍCH VÀ THIẾT KẾ

PHÂN TÍCH VÀ THIẾT KẾ

Tải bản đầy đủ - 0trang

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE



240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



đề về chi phí mua sắm thiết bị, chi phí vận hành, duy trì, an ninh, quản trị, đường truyền

tăng lên rất cao. Các doanh nghiệp có nền tảng điện tốn đám mây cũng có thể cài đặt hệ

thống web lên đám mây của mình để tiết kiệm. Nhưng sẽ cần một đội ngũ quản trị giỏi để

đảm bảo các vấn đề an ninh của web server sẽ không làm ảnh hưởng đến các hệ thống

khác.

Băng thông là một vấn đề rất cần được lưu ý vì nếu có một cuộc tấn cơng từ chối dịch vụ

diễn ra hoặc có một lượng lớn truy cập hợp lệ đổ vào mà băng thông không đáp ứng được

u cầu thì tồn bộ người dùng nội bộ sẽ bị ảnh hưởng.

Vì những lý do trên, mơ hình này chỉ phù hợp với các doanh nghiệp lớn và rất lớn hoặc

những doanh nghiệp vừa nhưng có lượng truy cập thấp.

3.1.2. Thuê hạ tầng ở các Datacenter.

Nếu việc xây dựng nơi đặt server và vận hành khiến cho chi phí tăng lên quá cao so với

kinh phí của doanh nghiệp, ta có thể sử dụng phương pháp thuê hạ tầng. Ta chỉ cần mua

server và sau đó các vấn đề khác sẽ được công ty cho thuê hạ tầng lo. Rõ ràng việc bỏ ra

một khoản tiền vừa phải mỗi tháng nhưng server lại được đặt một Datacenter có đầy đủ

các tiêu chuẩn về an toàn cũng như vận hành là rất đáng xem xét. Với phương pháp này,

không nhất thiết phải có một đội ngũ quản trị viên đơng đảo nhưng hệ thống vẫn được

quản lý tốt vì các vấn đề về phần cứng và hạ tầng đã được bên quản lý Datacenter hỗ trợ,

đặc biệt là băng thông mạng vơ cùng lớn. Ngồi ra, việc tách biệt hệ thống vốn bị tấn

công nhiều nhất ra khỏi mạng công ty sẽ khiến cho mạng nội bộ khơng còn bị ảnh hưởng

nữa.



40



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE



240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình 26: Datacenter.

Trong trường hợp bị tấn công từ chối dịch vụ, bên cung cấp dịch vụ Datacenter sẽ hỗ trợ

ta trong việc ứng cứu. Tuy nhiên, vì ta khơng thể nào truy cập trực tiếp server mỗi lần

server bị sự cố nên cần phải có sẵn một biện pháp để có thể kết nối đến server kể cả trong

thời điểm cuộc tấn công trở nên nặng nề nhất.

Mơ hình này khá phù hợp với các doanh nghiệp lớn và vừa. Các doanh nghiệp nhỏ nếu

muốn đầu tư mơ hình này cần xem xét kĩ vấn đề chi phí mua thiết bị.

3.1.3. Thuê máy chủ vật lý.

Nếu như việc mua thiết bị trở nên quá khó khăn, ta có thể sử dụng một loại hình nữa là

th máy chủ vật lý có sẵn của một Datacenter. Khi sử dụng loại hình này, giá thành chỉ

lớn hơn không nhiều hoặc ngang bằng so với việc đi thuê chỗ đặt server (như

nhanhoa.com). Đặc biệt là việc nâng cấp phần cứng sẽ khơng còn là vấn đề khi bên

Datacenter sẽ hỗ trợ chúng ta. Đây là phương án tốt dành cho các doanh nghiệp vừa và

nhỏ.

3.1.4. Thuê dịch vụ Cloud Server.



41



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE



240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình 27: Mơ hình hệ thống Cloud.

Tiết kiệm, linh hoạt, tính sẵn sàng cao là đặc điểm của Cloud Server. Với số vốn bỏ ra ban

đầu bằng 0, chi phí hàng tháng thấp nhưng lại có một hạ tầng vơ cùng chất lượng thì đây

chính là phương án lý tưởng của các doanh nghiệp nhỏ và người dùng cá nhân. Ta có thể

triển khai và cài đặt server bất cứ lúc nào và bất kể số lượng là bao nhiêu tùy theo kinh

phí. Trong khi đó các doanh nghiệp nhỏ lại chỉ cần một hệ thống đơn giản nên đây chính

là phương án thích hợp nhất.



3.2. Sơ đồ triển khai cho đồ án.

Vì khả năng và quy mơ tấn cơng có giới hạn nên trong đồ án này em chỉ có thể mơ tả về

phương pháp phòng chống các cuộc tấn cơng có quy mơ và vừa phải vào một web server có

cấu hình thấp. Sơ đồ triển khai đơn giản như sau:



Hình 28: Sơ đồ triển khai cho đồ án.

Sơ đồ bao gồm:

-



1 website www.vnsysadmin.org (giao thức HTTP) được đặt trên 1 Web Server chạy hệ

điều hành Ubuntu Server 14.04. Web Server sử dụng Apache làm web service, PHPFpm làm dịch vụ xử lý PHP. Mã nguồn web sử dụng Wordpress có plugin WP Super

Cache Ta cài iptables, Monit, ModSecurity, Monitorix trên cả 2 máy và cấu hình giống

nhau. Dữ liệu động của website được lưu trữ ở Database Server.



-



Database Server cài MySQL để cung cấp dữ liệu cho các Web Server. Server này chỉ

hoạt động trong mạng LAN và hạn chế kết nối Internet.



42



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE



240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



4. TRIỂN KHAI THỰC HIỆN

4.1. Cài đặt và cấu hình.

Tấn cơng từ chối dịch vụ có đặc điểm là ln khiến mục tiêu phải tốn nhiều tài nguyên để xử

lý các gói tin rác dẫn đến việc không thể phục vụ các người dùng hợp lệ. Tuy khơng thể

chống lại hồn tồn, nhưng ta vẫn có một số biện pháp để hạn chế:

-



Nhận dạng và loại bỏ các gói tin tấn cơng (iptables và ModSecurity).



-



Ngăn chặn các IP tham gia tấn công (iptables).



-



Trong trường hợp muốn chặn hồn tồn IP tấn cơng (do trường hợp dùng chung IP) thì

hạn chế lượng kết nối của hacker đến mức thấp nhất có thể.



-



Tăng cường khả năng phục vụ của server, giảm thời gian của các kết nối cũ để tăng số

kết nối mới có thể chấp nhận (Kernel và Apache).



-



Giảm lượng kết nối mà client phải gửi lên server (cache Apache).



-



Tự động khởi động lại dịch vụ khi bị crash (Monit).



-



Giám sát thông tin về hiệu suất hệ thống, mạng, dịch vụ để đưa ra phương hướng giải

quyết tốt nhất (Monitorix).



4.1.1. Tối ưu Kernel.

Mục đích của việc tối ưu Kernel là điều chỉnh lại số lượng kết nối mới mà server có thể

nhận đồng thời giảm thời gian của mỗi connection về mức thấp để tránh lãng phí tài

nguyên. Dưới đây là một cấu hình mẫu cho file /etc/sysctl.conf. Cấu hình này hoạt động

ssstốt. Tuy nhiên vẫn nên điều chỉnh lại sao cho phù hợp với từng hệ thống.

net.core.netdev_max_backlog = 262144

net.core.rmem_default = 31457280

net.core.rmem_max = 67108864

net.core.wmem_default = 31457280

net.core.wmem_max = 67108864

net.core.somaxconn = 65535

net.ipv4.ip_local_port_range = 1024 65000

net.ipv4.tcp_mem = 65536 131072 262144

net.ipv4.udp_mem = 65536 131072 262144

net.ipv4.tcp_rmem = 4096 87380 33554432

net.ipv4.udp_rmem_min = 16384

net.ipv4.tcp_wmem = 4096 87380 33554432

net.ipv4.udp_wmem_min = 16384

net.ipv4.tcp_max_tw_buckets = 1440000

43



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

PHÂN TÍCH VÀ THIẾT KẾ

Tải bản đầy đủ ngay(0 tr)

×