Bài tập xây dựng hệ thống giám sát là bài tập đầy đủ nhất mô tả về quá trình thiết kế hệ thống giám sát website , tính toán các vấn đề gặp phải trong thiết kế để hoàn thiện nhất có thế và sau đó có thể đưa mô hình đó vào thực tế sử dụng
Trang 1Nhóm A:
Đinh Văn Đông
Nguyễn Mạnh Cuờng
Nguyễn Xuân Cuờng
Mô tả lại 3 kịch bản giám sát phù hợp với thiết kế hệ thống Chứng minh thông qua số liệu cụ thể về:
1 Tốc độ upload
2 Tốc độ download
3 Số lương dữ liệu truyền tin
4 Số lương dữ liệu tiếp nhận
Sao cho đủ 500 agent và 10.000 IPS
Yêu cầu giao nộp:
Thông tin về kích thước dữ liệu
Tổng các thông tin dữ liệu gửi lên
Dữ liệu mỗi bước
Đảm bảo 1000 IPS tuơng ứng gửi đi gói tin
1000 sự kiện gửi đi bao nhiêu 1 s các thông tin , gói tin
Chỉ rõ tham khảo ở đâu, nguồn nào kèm theo mô tả kịch bản
1 Giám sát cơ sở dữ liệu
2 Giám sát các lưu luợng truy cập
3 Giám sát hệ thống website thay đổi
Trang 2Sử dụng giải pháp OSIEM của AlienVault giám sát hệ thống máy chủ.
Giả sử hệ thống giám sát máy chủ bao gồm 10.000 IPS với 50 agent Mỗi agent sẽ quản lý 200 IPS Các agent như OSEC, đuợc cài dặt tại các hệ thống máy chủ có nhiệm vụ thu thập các log
từ các IIS, Apache, Event Log,… Cấu hình các agent gửi các nhật ký về phía máy chủ OSIEM
Tốc độ upload hệ thống 256 kbps (tiêu chuẩn Mỹ)
Kích thuớc gói tin 3kB Giả sử có 1000 sự kiện xảy ra đến agent Mỗi agent sẽ phải xử lý thông tin với bội số của 640 kB/s
.Mỗi gói tin http kích thứớc ~ 3kB (Note.1) cho mỗi sự kiện gửi đi từ IPS Vậy với 1000
sự kiện trên giây cùng 1 lúc các dữ liệu với kích thứoc 3kb x 1000 * 10.000 client = 320 000.000 KB ~ 300 GB
+ Băng thông đuờng truyền của server 10 GB
Như vậy tối thiểu cần 30 server để xử lý các sự kiện đến từ các client
Kích thuớc của log phải là bội số của 64kB
Maximum các hệ thống upload giả sử là 256 kbps (tiêu chuẩn tại Mỹ ) đuơng đuơng với data Transfer = 31KB/s
Như vậy tại mỗi agent sẽ bị tắc nghẽn gói tin Lúc đó tại mỗi agent phải có cơ chế xử lý hàng đợi FIFO để xử lý lần luợt các gói tin tắc nghẽn hoặc sẽ đặt lịch gủi theo thời gian, hoặc giới hạn gói tin gửi đến
Về phía các agent gửi về máy chủ cần đuờng truyền băng thông tốc độ cao (10GB)
Và cấu hình thiết lập máy chủ xây dựng các rule cần thiết để xử lý các thông tin đến Xây dựng các luật để xác định sự cố của các hệ thống máy chủ từ các event đến
Note.1
http://help.excel4apps.com/oracle/glwand/3.89/user_guide/html/HTTPPacketSize.html
Các buớc cần tiến hành của hệ thống giám sát
Thu thập dữ liệu
Trang 3Việc thu thập ở đấy là lấy các thông tin liên quan đến tình trạng của hệ thống, thu thập từ các log như router, switch, IDS, IPS, Snort, Log của các Web Server, Application Server, Log Event, Log Registry của Server Windows, Linux
Cách thức thu thập dữ liệu gồm có 2 kiểu
Push Method: Các sự kiện từ các thiết bị, máy trạm server tự động chuyển về các Collector theo thời gian thực hoặc sau mỗi khỏang thời gian tùy vào cấu hình Các collector sẽ nhận sự kiện khi chúng xảy ra như Có thể kể đến các agent như syslog agent, syslog- server Mỗi loại sẽ thu thập các log liên quan đến các sự kiện khác nhau
Pull Method: Các Collector thu thập các sự kiện đuợc phát sinh và lưư trữ trên chính các thiết bị
và sẽ đựoc lấy về bởi các bộ Collector Lúc này bộ collector sẽ có nhiệm vụ thu thập các events Trong truờng hợp bài tóan nên sử dụng phuơng pháp kéo (Pull Method ) để khi nào cần sẽ lấy các thông tin cần thiết chứ ko phải thu thập toàn bộ sự kiện phát sinh
Phân tích dữ liệu
Khi đã thu thapạ đuợc các thông tin về hệ thống là việc tiếp theo chúng ta phân tích thông tin, chỉ
ra những bất thừong, xây dựng bộ luật phát hiện cảnh báo ( Phía OSIEM cho phép xây dựng các rule đuợc tự định nghĩa để xác định các cảnh bảo ) Ví dụ như việc truy cập từ địa chỉ IP quá nhiều trong cùng một thời điểm hay việc đăng nhập thất bại quá nhiều lần vào hệ thống thì phải đưa ra cảnh báo
Đưa ra cảnh báo
Cảnh báo ở đây có thể đưa ra thông báo trên chính các hệ thống client hoặc qua email, SMS cho người quản trị Các IP thuờng xuyên tấn công vào hệ thống có thể đưa vào black list để chặn