Phương pháp xây dụng hệ thống giám sát,cảnh báo sự cố

Ngày nay việc ứng ứng dụng Công nghệ thông tin trong các cơ quan, tổ chức, doanh nghiệp đã trở nên phổ biến và đem lại những hiệu quả tích cực. Nền thương mại điện tử, dịch vụ hành chính công, dịch vụ mua sắm, thanh toán online, giao dịch ngân hàng... phát triển mạnh mẽ.

Để đáp ứng những thực trạng đó hạ tầng mạng, máy chủ cũng theo đó ngày càng được xây dựng nâng cấp với qua mô lớn hơn, hiện đại hơn, độ bảo mật cao hơn và luôn được đảm bảo hoạt động an toàn thông suốt.

Tuy nhiên vài năm trở lại đây, các cuộc tấn công mạng ngày càng trở nên phổ biến và phức tạp. Đặc biệt, hệ thống website của các cơ quan, doanh nghiệp luôn là đích nhắm hấp dẫn của hacker. Tại Việt Nam, chỉ tính riêng từ năm 2012 đến nay hơn 3.000 doanh nghiệp đã bị tin tặc tấn công. Trên thế giới, an ninh mạng cũng luôn diễn biến bất ổn. Ngày 20/3 vừa qua, thế giới rúng động bởi vụ tấn công tại Hàn Quốc khiến mạng máy tính của hàng loạt ngân hàng, đài truyền hình lớn của quốc gia này tê liệt với khoảng 32.000 máy chủ bị ảnh hưởng.

Hiện nay, hầu hết hệ thống mạng của các cơ quan doanh nghiệp Việt Nam chưa được trang bị các giải pháp phát hiện và cảnh báo tấn công. Đây chính là lỗ hổng lớn làm giảm khả năng ứng phó kịp thời với các sự cố về an ninh mạng. Do đó xây dựng hệ thống giám sát cảnh báo sự cố cũng là một yếu tố quan trọng để đội ngũ quản trị có thể nhanh chóng phát hiện nguyên nhân và đưa ra biện pháp để khắc phục giảm thiểu tối đa hậu quả có thể xảy ra với hệ thống.

Bài viết này sẽ đem lại cho các bạn một cái nhìn cụ thể hơn về phương pháp xây dựng, vận hành một mô hình giám sát cảnh báo sự cố hệ thống công nghệ thông tin (IT).

Một số hệ thống điển hình:

Hiện nay có rất nhiều phần mềm hỗ trợ rất tốt cho việc cảnh báo sự cố hạ tầng IT, Sau đây chúng tôi xin giới thiệu một vài mô hình phổ biến hoạt động  tương đối hiệu quả.

1. Hệ thống cảnh báo sự cố thời gian thực:

- Hiện nay có rất nhiều tool, software hỗ trợ cho việc cảnh báo theo thời gian thực, sẽ phát hiện sự cố và đưa ra cảnh báo dạng âm thanh hoặc tin nhắn, email cho những người cần thông tin cảnh báo đó( quản trị viên, chủ website..).

Ưu điểm của hệ thống này là cảnh báo kịp thời những sự cố đang và đã xảy ra để người quản trị lên kế hoạch xử lý kịp thời.

- Một vài công cụ điển hình cảnh báo sự cố:

IPsentry:

Đây là phần mềm có tính phí chạy trên hệ điều hành window có tác dụng cảnh báo dạng âm thanh.Chức năng của nó khá đầy đủ bao gồm cảnh báo thông qua các giao thức: SMTP, DNS, ICMP-ping…. Việc cài đặt và cấu hình chương trình khá đơn giản.

Để tìm hiểu thêm về ipsentry các bạn có thể tự download về cài đặt nếu sử dụng lâu dài có thể dùng key lậu hoặc mua bản quyền tùy thuộc vào mục đích cụ thể.

Link Download: http://www.ipsentry.com/

Tin nhắn SMS:

Phương pháp này áp dụng cho những người quản trị không phải lúc nào cũng ngồi máy tính hoặc các đối tượng sở hữu một vài website không xây dựng hệ thống cảnh báo riêng. Nó cũng có thể áp dụng cho các đối tượng là chủ doanh nghiệp nhằm giám sát chất lượng hệ thống có đảm bảo qua đó đánh giá chất lượng làm việc nhân viên IT.

Hệ thống cảnh báo qua SMS được một số nhà cung cấp dịch vụ nội dung số chào bán để có thể sử dụng chức năng này người sử dụng phải trả một khoản phí nhất định.Cách này tuy mất phí nhưng rất tiện lợi người sử dụng đặc biệt là những người  không phải lúc nào cũng trực tiếp theo dõi tình trạng hoạt động của hạ tầng IT.

Cảnh báo qua email :

Phương pháp này khá hay nhưng không thật sự hiệu quả vì không phải lúc nào người quản trị cũng check mail để kiểm tra liên tục được.

Cơ chế hoạt động của phương pháp này là các phần mềm giám sát sẽ đưa ra cảnh báo dưới dạng email gửi tới các tài khoản được cấu hình sẵn.

Ví dụ: Hệ thống cảnh báo Nagios cho phép thiết lập cấu hình cảnh báo bằng âm thanh hoặc email khi có dấu hiệu bất thường về trạng thái hạ tầng IT.

2-Hệ thống cảnh báo,giám sát theo log, đồ thị:

Ưu điểm hệ thống này là lưu lại thông tin trạng thái của hạ tầng IT vào log dưới dạng biểu đồ .

Nhược điểm: một số phần mềm giám sát bắt buộc người chịu trách nhiệm phải check log thường xuyên nên chưa tự động hóa được.

Để nắm bắt được trạng thái hạ tầng IT trong khoảng thời gian vận hành và đánh giá được tình trạng cơ sở hạ tầng thì việc đưa các công cụ giám sát hiển thị dạng đồ thị là rất quan trọng.

Ở đây chúng tôi xin nhắc tới các công cụ hỗ trợ giám sát nổi tiếng và mạnh nhất:

Đầu tiên phải kể đến Nagios:

Nagios cung cấp dịch vụ giám sát và cảnh báo cho các máy chủ, thiết bị chuyển mạch, các ứng dụng và dịch vụ. Nó cảnh báo người sử dụng đến khi nào vấn đề đã được giải quyết.

Nagios đã loại bỏ được tính thụ động của hệ thống giám sát lưu log nói chung vì nó được tích hợp hệ thổng cảnh báo bằng âm thanh và tiến xa hơn nó cho phép cảnh báo bằng email.

Đây là bộ công cụ phát triển trên nền tảng linux ( chạy tốt nhất trên centos) dưới dạng mã ngồn mở hoàn toàn miễn phí.

Việc cài đặt chương trình này khá phức tạp và yêu cầu cao về kiến thức linux cũng như sự hỗ trợ của các loại tài liệu cài đặt.

Nếu bạn không có kiến thức đủ để setup hệ thống cảnh báo như Nagios thì có thể sử dụng bản Nagiosxi. Đây là bản ảo hóa Nagios được tích hợp sẵn trong hệ điều hành centos chỉ cần mở bằng máy ảo trên vmware workstation hoặc vmware esxi. Bản này dung thử 60 ngày còn listen của nó khá đắt chỉ nên sử dụng để học tập.

Link down: http://library.nagios.com/library/pr...downloads/main

Thiết bị: route, switch, server, website, các service dns,dhcp….

Chức năng tiêu biểu: Giám sát traffic qua các card mạng, thông số CPU, bộ nhớ ram, dung lượn ổ cứng, request đến data base…..

Hệ thống giám sát Cacti:

Chức năng và nguyên lý hoạt động của cacti khá giống nagios nhưng cacti dễ cài đặt hơn.

Tuy cacti không có đầy đủ các chức năng như nagios( vi dụ: giám sát lượng request đến server database).Nhưng giao diện dễ sử dụng nên được áp dụng rộng rãi trong hệ thống giám sát của các doanh nghiệp.

Hiện nay để giám sát lượng traffic của server khách hàng tại một số data center đã ứng dụng cacti vì tính dễ cấu hình cài đặt của nó.

Link tham khảo: http://www.cacti.net/

Hệ thống PRTG network monitor:

Hệ thống PRTG network monitor được phát triển trên cả nền tảng window là bản có thu phí .

Giao diện của chương trình này không được hoàn hảo như 2 hệ thống trên.

Ưu điểm là nó dễ cài đặt vì được phát triển cả trên window.Đây chính là lợi thế cho những bạn đang muốn tìm hiểu về chủ đề này mà không có kiến thức về linux.

- Ngoài ra còn rất nhiều phần mềm khác có chức năng giám sát cảnh báo khá hiệu quả khi hạ tầng IT xảy ra sự cố các bạn có thể đọc và tìm hiểu thêm trên các trang mạng và các diễn đàn uy tín về Công nghệ thông tin.

3.Hệ thống giám sát tích hợp trong phần cứng:

Nói đến các loại thiế bị này phải nhắc tơi thiết bị cảnh báo tấn công của bkav vừa phát hành (network inspector) .

Bkav Network Inspector là thiết bị phát hiện và cảnh báo tấn công sớm theo thời gian thực, dựa trên cơ chế phân tích các kết nối mạng và diễn biến sự kiện trên máy chủ. Hệ thống bao gồm thiết bị xử lý trung tâm và các bộ cảm biến được cài đặt trên máy chủ. Mọi thông tin thay đổi trong hệ thống mạng đều được các cảm biến liên tục báo về thiết bị trung tâm. Từ đó, Bkav Network Inspector phân tích và xác định dấu hiệu tấn công để cảnh báo cho đội ngũ quản trị qua SMS, email.

Các thiết bị cảnh báo tích hợp sẵn trong phần cứng có đặc điểm chạy ổn định, dễ sử dụng nhưng giá thành thường khá cao.

Hy vọng qua bài viết này sẽ đem lại cho các bạn cái nhìn cụ thể hơn về hệ thống cảnh báo giám sát hệ thống. Từ đó đưa ra nhứng biện pháp cụ thể đáp ứng tình hình thực tế nhằm nâng cao tính an toàn và ổn định cho hệ thống của bạn.

Quang Huy