Estudis dInformtica, Multimdia i Telecomunicaci.

Grau de Multimdia

Qualitat i Seguretat en Servidors Web

Jaume Reig Carrascosa

Segona Prova dAvaluaci Continuada PAC2

UOC. Estudis dInformtica, Multimdia i Telecomunicaci. Grau de Multimdia

Qualitat i seguretat en servidors web. 1r semestre 2012. PAC2. Jaume Reig

Exercici 1. Identifica els components Maquinari (Hardware) i Programari (Software) que necessitem modificar o afegir a la nostra soluci inicial amb una breu explicaci de per qu hem de comptar amb aquest component o el motiu pel qual hem modificar per adaptar-nos a les noves condicions del projecte. Tria entre les diferents opcions dexternalitzaci dinfraestructura que ens ofereix el mercat per poder prestar aquest servei justificant la teva decisi. Modifica el diagrama darquitectura realitzat en la PAC anterior adaptantlo a la nova soluci Aprofitarem totalment la soluci adoptada en la PAC 1 en quan a maquinari per a poder justificar la inversi que ja ha fet la universitat. Tan sols haurem dadquirir 1 nou servidor (de la mateixa serie que lanterior, un HP ProLiant SL170s G6) per a utilitzar-lo com a servidor daplicacions i augmentarem la memria RAM dels 2 servidors web fins a 32 GB cadasc per a poder suportar els 1300 usuaris concurrents de mitjana. Per poder-nos adaptar als nous requeriments dexternalitzaci que ens demana la universitat llogarem un provedor de housing (noms pel que fa la part dinstallacions CPD i manteniment del maquinari i installacions) i per tal de replicar geogrficament en nostre sistema haurem de llogar una altra soluci, i en aquest cas ens decantarem per una soluci de cloud computing escalable (tipus amazon, tan sols dinfraestructura IaSS) (* logicament i per a poder acomplir els requisits que ens demanen la soluci de housing i el cloud hauran destar en 2 datacenters diferents). Amb aquesta soluci podrem dir que el nostre CPD 1 (housing) amb una mnima inversi en maquinari podr suportar la mitjana dusuaris concurrents i el CPD 2 (cloud) ens permetr adsorvir els pics de consum, com tamb la estabilitat del sistema i ampliaci.

AVANTATGES DAQUEST SISTEMA:

Aprofitarem el maquinari que ja tenim i per tan per la soluci cloud tan sols pagarem pels recursos que no pugui absorbir el nostre CPD 1 (housing) El sistema ser totalment escalable en recursos. Alta disponibilitat Replicat geogrficament

DESAVANTATGES DEL SISTEMA

Haurem de tornar a fer una inversi mnima en maquinari. Haurem de comptar amb 2 despeses fixes (el housing i el servidor Cloud) + (sistema emmagatzematge en Cloud tamb per les copies de seguretat)

SOFTWARE
Pel que fa al software aprofitarem el mateix sistema anterior: Apache com a SO en els servidors web MySQL com a motor de base de dades Weblogic com a servidor daplicacions.

CPD 1 (housing)
Servidor web 1 Servidor aplicacions 1

Firewall Balancejador de crrega

Servidor web 2

Servidor base de dades 1 Switch

Sistema enmagatzematge NAS

CPD 2 (cloud)
Servidor aplicacions 2

Firewall Balancejador de crrega

Servidor web 3

Servidor base de dades 2 Switch

Sistema enmagatzematge NAS

UOC. Estudis dInformtica, Multimdia i Telecomunicaci. Grau de Multimdia

Qualitat i seguretat en servidors web. 1r semestre 2012. PAC2. Jaume Reig

Exercici 2. A causa de la sortida a internet daquest servei, sha de garantir la seguretat. Explica que mesures de seguretat que hem de prendre i quines eines o components maquinari utilizars per supervisar i garantir aquesta seguretat.

PREVENCI
Mesures fsiques: En aquest cas lempresa/es prestadora dels serveis seran els encarregats (el housing i el cloud). (protecci antiindencis, accs restringit i controlat als datacenters, sistemes recurrents elctrics i daccs a la xarxa, generadors elctrics, etc..). Establir una poltica de contrasenyes segures i xifrades per laccs a ladministraci. Deshabillitar serveis i mduls no necessaris per les nostres aplicacions en les servidors web. Tenir actualitzat Ubuntu, Apache i PHP Verificar permisos correctes sobre fitxers/directoris en Ubuntu i Apache Limitar ls dels recursos del sistema tan per a usuaris com per a processos.

DETECCI
Revisi dels fitxers logs per detectar anomalies (syslog, auth.log, messages, wtmp). Revisi dels fitxers suid i sgig que no estiguin cambiats. Installaci de software dauditoria per a escanejos de seguretat peridics i programats amb cron (Nessus) Detecci de possibles Trioans mitjanant software de comparaci darxius (Tripwire). Detecci datacs en temps real mitjanant Snort a partir de patrons danomalies definides prviament.

SEGURETAT EN BASES DE DADES

Revisar que les contrasenyes dadministrador siguin fortes Tenir actualitzat el motor de BBDD Desinstallar paquets no necessaris en els motors de bases de dades Tenir les dades sensibles xifrades

UOC. Estudis dInformtica, Multimdia i Telecomunicaci. Grau de Multimdia

Qualitat i seguretat en servidors web. 1r semestre 2012. PAC2. Jaume Reig

Exercici 3 Donada la quantitat de dades que es guardaran i amb els que treballar laplicaci. Detalla que eines i components Hardware que utilitzaras per garantir el correcte tractament dels mateixos. Defineix poltiques de Backup per a tot all que estimis necessari. Per emmagatzemar les dades tenim en propietat un servidor NAS de 4TB (ampliable en volum fins a 12TB). Al ampliar el servei i degut a la gran quantitat de dades que es preveu que tindrem, les copies de seguretat les guardarem en un servei de Cloud (per exemple el servei Amazon S3). O sigui tindrem les nostres dades en el servidor NAS de 4TB del CPD1 i replicades i sincronitzades en el Cloud Amazon S3, com tamb les copies de seguretat justament aqu. * Lavantatge de tenir les nostres copies de seguretat en el Cloud s que noms pagarem per lespai que necessitem en cada moment i el nostre sistema demmagatzematge ser totalment escalable i a part ens abstraiem de la seguretat don desar les copies de seguretat, ja que el provedor ens haur de garantir que les dades estiguin segures i replicades, pel que no tindrem el problema de lespai fsic que necessitem per desar les dades.

POLTIQUES DE BACKUPS
Utilitzarem una poltica de backups de copies diferencials per als backups diaris i complerta per a mensual. Tamb necessitariem una copia de seguretat inicial i una anual. A ms a ms una copia de seguretat de la configuraci del nostre SO.

AVANTATGES

Necessitarem menys espai que en el cas de copies complertes i podrem fer backups en linia fora rapidament. Optimitzariem lespai necesari per a contenir les nostres copies de seguretat.
DESAVANTATGES

Ens obliga a portar un control exhaustiu dels nostres backups i el seu sistema de nomenclatura Ens obliga tenir una poltica de rotaci i esborrament de backups de forma automatitzada a la fi doptimitzar el nostre espai.

UOC. Estudis dInformtica, Multimdia i Telecomunicaci. Grau de Multimdia

Qualitat i seguretat en servidors web. 1r semestre 2012. PAC2. Jaume Reig

Exercici 4 Defineix els mesuradors i barems lgics que hem daplicar lSLA que presentarem a la universitat i pel qual es mesurar mes a mes que el servei extern sest prestant correctament. Ens basarem en 2 mesuradors lgics: Disponibilitat Rendiment i temps de resposta del servidor

DISPONIBILITAT
Ha de rondar el 99% de disponibilitat (a partir de valors per sota tindrem penalitzaci) i la formula de clcul ser: D = (Ta-Tp)/Ta on: D= Temps de disponibilitat del servei Ta= Temps total mensual Tp= Temps de prdua total connectivitat

RENDIMENT I TEMPS DE RESPOSTA DELS SERVIDORS

En aquest apartat havem de tindre en compte que la ubicaci geogrfica dels nostres datacenters ens influir en la latncia de la resposta dels servidors (depenent on es trobi el client i on el datacenter que proporcionar les dades en aquell moment). Pe: En els nostres servidors Cloud Amazon en que els datacenters estan a USA el temps de resposta ser major (per la latncia) si el client que les solicita est a Europa. El temps mig de retard en qu ens haurem de basar seria entre 0,1s i 1s (aqu no tindriem penalitzaci) (ms de 1 s tindriem penalitzaci) i com a mxim de temps de resposta de 10 s. * Hem dexcloure de lacord les errades i retards que no siguin culpa nostra o dels nostres provedors dISP (per exemple una deficient connexi dels usuaris). Tenim que monotaritzar els temps de resposta dels servidors (aix ho podem fer a travs dels comandaments ping o tracert) per per a poder entregar estadtiques daccs i temps de resposta a la universitat, seria millor installar un sofware especfic per poder fer la tasca o incls amb Google analytics que ens proporciona aquestes dades.

Jaume Reig Carrascosa abril de 2013