Сетевое и системное администрирование

Размещено на http://www.allbest.ru/

Санкт-Петербургское государственное бюджетное профессиональное образовательное учреждение

«Радиотехнический колледж»

К защите допущен

заместитель директора по УПР

____________ Т.А. Бессчетнова

«____» ___________ 20_____ г.

КУРСОВОЙ ПРОЕКТ

Тема: «Сетевое и системное администрирование»

Специальность: 09.02.06 «Информационные технологии»

Выполнил(а): обучающийся группы _______

Николаев Илья Алексеевич

Руководитель: Весницов Янис Игоревич

__________________

(подпись)

Санкт-Петербург

2023 г.

Введение

Web-технологии - это комплекс программ, которые обеспечивают взаимодействие клиента с сервером. Сервер является аппаратным или программным компонентом системы вычислительной техники, осуществляющим работу специальных функций по запросу заказчика, предоставляя ему доступ в некоторые ресурсы. Сервер выполняется в виде программ или модуля программирования, сервер осуществляет строго определенную задачу, обменивает информацию с клиентом в соответствии с заранее написанным протоколом. Примерами программного сервера могут быть: файловый сервер, печатный сервер, веб сервер (Apache, IS) сервер BD, X, сервер почтового сервера SendMail Postfix, Oracle, ActiveX и др.

Клиент в информационной технологии является аппаратным или программным компонентом компьютерной системы, который посылает запросы на сервер. Программа, которая является клиентом, работает с сервером при помощи определенного протокола. Может запрашивать какие-то данные с сервера, манипулировать данные непосредственно с сервера, запускать новые операции с сервера и так далее.

Полученные на сервере данные клиентской программы могут быть предоставлены пользователю и использованы как либо иным образом, в соответствии с назначением программы. Программы клиента и сервера могут функционировать на одном компьютере, а также на разных устройствах. Internet Internet является всемирной системой объединенных компьютеров, построенной на использовании IP протокола и маршрутизатора пакетов. Интернет представляет собой глобальное информационное пространство, которое часто называют Всемирной сети и глобальной сети. Интранет - это корпоративная сеть локального или территориального распределения, закрытая от внешних доступов из Интернета. Возможно, такая сеть использует публичную связь, входящую в Интернет, однако обеспечивает защиту передаваемых сведений, а также меры по предотвращению проникновения в корпоративные узлы. Протокол или сетевой протокол в компьютерных сетях - набор правил для специфического типа связи. Типы связи разбиты на уровни. Например, физический уровень (протоколы ISDN, RS-232), канальный уровень (протоколы Ethernet, Token ring, Fibre Channel), сетевой уровень (протоколы ICMP, IP, IPX), транспортный уровень (протоколы SPX, TCP, UDP, RTCP), прикладной уровень (протоколы binkp, DHCP, DNS, Finger, FTP, Gnutella, Gopher, HTTP, HTTPS, IMAP, IRC, Jabber, LDAP, NTP, NNTP, POP3, SSH, SMTP, Telnet). Веб-браузер (англ. Web Browser) или просто браузер (в ином написании броузер) - специализированная программа для просмотра веб -страниц, созданных с помощью языка гипертекстовой разметки HTML по протоколу HTTP . Практически все браузеры также могут просматривать содержание FTP -архивов (однако это не является обязательным условием). Веб-страница - документ HTML / XHTML, доступный в интернете через протоколы HTTP /HTTPS. Язык HTML/XHTML позволяет форматировать текст, различать в нём функциональные элементы, создавать гипертекстовые ссылки и вставлять различные внешние объекты в отображаемую страницу: изображения, звукозаписи и другие мультимедийные элементы. Также отображение страницы можно изменить, добавляя в неё таблицы стилей на языке CSS или сценарии на языке JavaScript . Веб-страницы, загруженные по запросу клиента на его компьютер, обрабатываются браузером, и выводятся (обычно отображаются на экран монитора). Веб-сайт, или кратко сайт (website, от web - паутина, и site - "место") - это совокупность веб-страниц. Все имеющиеся общедоступные веб-сайты составляют Всемирную Паутину. Страницы веб-сайта объединены общим корневым адресом, а также зачастую темой, логической структурой, оформлением или авторством. С ростом Интернета и технологическим улучшением серверов на одном компьютере стало возможно размещение множества сайтов и доменов. Общий алгоритм работы выглядит так:

1. Клиент запрашивает страницу сайта.

2. Веб-сервер принимает запрос и устанавливает переменные окружения (через них приложению передаются данные и служебная информация).

3. Веб-сервер перенаправляет запросы через стандартный поток ввода (stdin) на вход вызываемой программы.

4. CGI-приложение выполняет все необходимые операции и формирует результаты в виде HTML.

5. Сформированный гипертекст возвращается веб-серверу через стандартный поток вывода (stdout). Сообщения об ошибках передаются через поток ошибок (stderr).

6. Веб-сервер передаёт результаты запроса клиенту.

В режиме CGI, скрипт, который представляет из себя сайт (как программу), запускается на каждый запрос заново. Вся логика инициализации отрабатывает для каждого запроса по новой, а после выполнения запроса, ничего не остаётся (скрипт просто завершается). Если между запросами есть некоторое состояние (например, пользователь что-то сохранил), то его нужно отправлять в определённое хранилище, файловую систему или базу данных.

Сервера должны обладать должным уровнем защиты, так как основной причиной падения серверов является не перебой в подаче энергии (на всех серверах стоит система источников бесперебойного питания или ИБП), основной причиной обвала являются всевозможные DDoS атаки.

DoS-атака (от англ. Denial of Service, отказ в обслуживании) -- атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию -- например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.

Глава 1. Виды DoS-атак

Существуют различные причины, по которым может возникнуть DoS-условие:

Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.

Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).

Флуд (англ. flood) -- атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы -- процессора, памяти либо каналов связи.

Атака второго рода -- атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

1.1 Эксплуатация ошибок

Эксплойтом называют программу, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для овладения «вражеской» системой, наиболее известны WinNuke и Ping of death.

1.2 Флуд

О флуде как нарушении сетевого этикета см. Флуд.

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе то и другое часто взаимозаменяемо («зафлудить сервер» -- «заDDoS'ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты наподобие ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS'а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Самая крупная DDoS-атака была зарегистрирована в октябре 2010 года, её мощность составила 120 гигабит. 120-гигабитную атаку можно сравнить с миллионом пользователей, которые осуществляют флуд различными пакетами.

1.2.1 Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:

SYN-флуд -- при данном виде атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом сервере через короткое время исчерпывается количество открытых сокетов и сервер перестаёт отвечать.

UDP-флуд -- этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.

ICMP-флуд -- то же, но с помощью ICMP-пакетов.

1.2.2 Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба -- флудом подобных «больных» запросов. Например, веб-серверы подвержены HTTP-флуду: для выведения сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие

GET /index.php?search=<случайная строка>.

Теоретической и методологической основой дипломной работы являются отечественная и зарубежная литература по построении информационных сетей и организации сети предприятий. В дипломной работе использованы официальные статистические материалы Российской Федерации.

В процессе работы применялись общенаучные методы и приемы: диалектический подход, принцип логического и системного анализа и синтеза, методы сравнительного анализа. При проведении исследования и

систематизации данных осуществлялась с помощью табличного метода.

Целью дипломной работы является построение совершенного вебсервера и комплексная защита его от внешних угроз. В соответствии с поставленной целью в работе сформулированы следующие цели:

1. Проанализировать современные особенности DDos атак

2. Подобрать перечень способов защиты от DDos атак

3. Дать анализ защите веб-серверов

4. Создать и дать характеристику веб-серверу, проанализировать сетевые показатели скорости и отказоустойчивости системы.

5. Создать комплекс решений для защиты сервера

Дипломная работа состоит из введения, 3 глав, заключения и списка использованной литературы. Каждая глава содержит тематические подразделы. В заключении подведены итоги проделанной работы, сделаны выводы и рекомендации по улучшению защиты серверов..

Данная дипломная работа включает в себя .. таблиц и .. рисунка.

Глава 2. Архитектура Apache

Ядро. Ядро Apache включает в себя основные функциональные возможности, такие как обработка конфигурационных файлов, протокол HTTP и система загрузки модулей. Ядро (в отличие от модулей) полностью разрабатывается Apache Software Foundation, без участия сторонних программистов. Теоретически, ядро apache может функционировать в чистом виде, без использования модулей. Однако, функциональность такого решения крайне ограничена. Ядро Apache полностью написано на языке программирования C.

Система конфигурации. Система конфигурации Apache основана на текстовых конфигурационных файлах. Имеет три условных уровня конфигурации: · Конфигурация сервера (httpd.conf). · Конфигурация виртуального хоста (httpd.conf c версии 2.2, extra/httpd-vhosts.conf). · Конфигурация уровня директории (.htaccess). Имеет собственный язык конфигурационных файлов, основанный на блоках директив. Практически все параметры ядра могут быть изменены через конфигурационные файлы, вплоть до управления MPM. Большая часть модулей имеет собственные параметры. Часть модулей использует в своей работе конфигурационные файлы операционной системы (например /etc/passwd и /etc/hosts). Помимо этого, параметры могут быть заданы через ключи командной строки. Мультипроцессовые модули (MPM). Для веб-сервера Apache существует множество моделей симметричной мультипроцессорности. Вот основные из них: ·

- Worker - Гибридная мультипроцессорно-мультипоточная модель. Сохраняя стабильность мультипроцессорных решений, она позволяет обслуживать большое число клиентов с минимальным использованием ресурсов.

- Pre-fork - MPM, основанная на предварительном создании отдельных процессов, не использующая механизм threads. ·

- Perchild - Гибридная модель, с фиксированным количеством процессов.

- Netware - Мультипоточная модель, оптимизированная для работы в среде NetWare.

- Winnt - Мультипоточная модель, созданная для операционной системы Microsoft Windows.

- Apache-ITK - MPM, основанная на модели prefork. Позволяет запуск каждого виртуального хоста под отдельными uid и gid.

- Peruser - Модель, созданная на базе MPM perchild. Позволяет запуск каждого виртуального хоста под отдельнымиuid и gid. Не использует потоки. сервер сайт хостинг конфигурация

Система модулей. Apache HTTP Server поддерживает модульность. Существует более 500 модулей, выполняющих различные функции. Часть из них разрабатывается командой Apache Software Foundation, но основное количество - отдельными open source-разработчиками. Модули могут быть как включены в состав сервера в момент компиляции, так и загружены динамически, через директивы конфигурационного файла. В модулях реализуются такие вещи, как: · Поддержка языков программирования. · Добавление функций. · Исправление ошибок или модификация основных функций. · Усиление безопасности. Часть веб-приложений, например панели управления ISPmanager и VDSmanager реализованы в виде модуля Apache. Механизм виртуальных хостов. Apache имеет встроенный механизм виртуальных хостов. Он позволяет полноценно обслуживать на одном IP-адресе множество сайтов (доменных имён), отображая для каждого из них собственное содержимое. Также, существуют модули, позволяющие учитывать и ограничивать ресурсы сервера (CPU, RAM, трафик) для каждого виртуального хоста.

3 Функциональные возможности

Интеграция с другим ПО и языками программирования. Существует множество модулей, добавляющих к Apache поддержку различных языков программирования и систем разработки. К ним относятся: · PHP (mod_php). · Python (mod python, mod wsgi). · Ruby (apache-ruby). · Perl (mod perl). · ASP (apache-asp). · Tcl (rivet) Кроме того, Apache поддерживает механизмы CGI и FastCGI, что позволяет исполнять программы на практически всех языках программирования, в том числе C, C++,Lua, sh, Java.

Безопасность. Apache имеет различные механизмы обеспечения безопасности и разграничения доступа к данным. Основными являются: Ограничение доступа к определённым директориям или файлам. Механизм авторизации пользователей для доступа к директории на основе HTTP-аутентификации (mod_auth_basic) и digest-аутентификации (mod_auth_digest). Ограничение доступа к определённым директориям или всему серверу, основанное на IP-адресах пользователей. Запрет доступа к определённым типам файлов для всех или части пользователей, например запрет доступа к конфигурационным файлам и файлам баз данных. Существуют модули, реализующие авторизацию через СУБД или PAM. В некоторых MPM-модулях присутствует возможность запуска каждого процесса Apache используя различные uid и gid с соответствующими этим пользователям и группам пользователей. Также, существует механизм suexec, используемый для запуска скриптов и CGI-приложений с правами и идентификационными данными пользователя. Для реализации шифрования данных, передающихся между клиентом и сервером используется механизм SSL, реализованный через библиотеку OpenSSL. Для удостоверения подлинности веб-сервера используются сертификаты X.509. Существуют внешние средства обеспечения безопасности, например mod_security.

Интернационализация. Начиная с версии 2.0 появилась возможность определения сервером локали пользователя. Сообщения об ошибках и событиях, посылаемые браузеру, теперь представлены на нескольких языках и используют SSI технологию. Также, можно реализовать средствами сервера отображение различных страниц для пользователей с различными локалями. Apache поддерживает множество кодировок, в том числе Unicode, что позволяет использовать страницы, созданные в любых кодировках и на любых языках.

Обработка событий. Администратор может установить собственные страницы и обработчики для всех HTTP ошибок и событий, таких как 404 (Not Found) или 403 (Forbidden). В том числе существует возможность запуска скриптов и отображения сообщений на разных языках.

Server Side Includes. В версиях 1.3 и старше был реализован механизм Server Side Includes, позволяющий динамически формировать HTML-документы на стороне сервера. Управлением SSI занимается модуль mod_include, включённый в базовую поставку Apache.

Глава 3. Создание WEB сервера на основе UBUNTU

Сейчас будет рассмотрена полная настройка готового WEB сервера хостинга сайтов на основе дистрибутива UBUNTU 16.04

Для удобства работы с командной строкой удалённого сервера, рекомендую использовать программу MobaXtern.

1 Начальная установка и настройка

1. Обновить пакеты сервера

sudo apt-get update

sudo apt-get upgrade

2. Устанавливаем пакет компонентов Apache, MySQL, PHP (LAMP)

sudo apt-get install lamp-server^

Символ ^ в конце обязателен - это часть команды

Во время установки MySQL будет выведен запрос на создание пароля root (это отдельный пароль администратора именно для SQL сервера, а не для основного администратора сервера).

Проверяем установку web-сервера http://[ip адрес сервера ubuntu] - должна отобразиться тестовая страница apache.

3. Устанавливаем phpMyAdmin

sudo apt-get install phpmyadmin

sudo service apache2 restart

Проверяем доступность интерфейса

http://[ip адрес сервера ubuntu]/phpmyadmin

4. Устанавливаем FTP (для удобства работы с файлами)

sudo apt-get install proftpd

Во время установки будет предложено выбрать один из двух различных вариантов установки:

From inetd - демон ProFTPd будет работать из-под службы inetd.

Standalone - ProFTPd будет установлен как самостоятельный демон.

Рекомендую выбрать вариант Standalone, т.к. гораздо удобней работать с ProFTPd, как с отдельной службой.

После установки ftp сервер будет запущен и можно подключаться.

Однако, желательно его дополнительно настроить:

sudo nano /etc/proftpd/proftpd.conf

Раскомментировать значение RequireValidShell off и DefaultRoot ~

После настройки FTP нужно перезапустить:

sudo /etc/init.d/proftpd restart

5. Установка apache2-mpm-itk

sudo apt-get install libapache2-mpm-itk

sudo a2enmod mpm_prefork

sudo a2enmod mpm_itk

sudo systemctl restart apache2

6. Включение mod_rewrite (для возможности работы ЧПУ

sudo a2enmod rewrite

sudo service apache2 restart

Начало создания сайта

7. Создаём пользователя и каталога для работы с сайтами

sudo useradd -m -s /bin/false имя_пользователя

sudo passwd имя_пользователя

(имя_пользователя - новый пользователь, от имени которого будут выполняться работы с сайтом. Это поможет разграничить права при работе с несколькими сайтами на одном сервере)

На предложение системы вводим пароль нового пользователя (дважды)

После создания пользователя размещаем отдельный каталог для сайта (например www), зайдя новым пользователем по FTP в домашний каталог, либо следующей командой:

sudo mkdir /home/имя_пользователя/www

sudo chown -R имя_пользователя:группа_пользователя /home/имя_пользователя/www/

Т.к. в предыдущей команде, при создании пользователя для него не была указана существующая группа, то была автоматически создана группа с таким же именем, как имя пользователя.

Т.е. в команде выше имя пользователя равно имени группы пользователя

8. Создаём виртуальный хост для сайта

Создаём файл конфигурации виртуального хоста из варианта по-умолчанию

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/новый_сайт.conf

Редактируем параметры

sudo nano /etc/apache2/sites-available/новый_сайт.conf

Изменяем и дополняем следующие значения:

DocumentRoot /home/имя_пользователя/www

ServerName новый_сайт

ServerAdmin webmaster@localhost

<Directory /home/имя_пользователя/www>

AllowOverride All

Require all granted

</Directory>

<IfModule mpm_itk_module>

AssignUserId имя_пользователя группа_пользователя

</IfModule>

Включаем созданный виртуальный хоста и перезапускаем apache

sudo a2ensite новый_сайт

sudo service apache2 reload

9. Создаём базу данных MySQL

Необходимо зайти в кансоль управления mysql

mysql -u root -p

При этом система запросит пароль root от mysql (именно от mysql, который задавался при установке LAMP). При удачном входе в кансоль mysql значение перед курсором сменится на mysql>. После этого создание новой базы sql и пользователя для управления ею можно выполнить одной командой:

create database имя_базы; GRANT ALL ON имя_базы.* TO 'пользователь_базы'@'localhost'IDENTIFIED BY 'пароль_пользователя_базя_sql';

Для выхода из кансоли mysql нужно ввести команду

\q

Глава 4 Защита Веб сервера Apache от DDoS атак

DDoS -- хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. В настоящее время DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке. Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей.

Для защиты от DDOS атаки на уровне веб сервера Apache необходимо установить дополнительный модуль которой анализирует проходящий трафик и блокирует IP адреса с большой активностью:

Далее необходимо создать конфигурационный файл -- mod-evasive.conf

sudo nano /etc/apache2/mods-available/mod-evasive.conf

Скопируйте в файл следующий код:

<IfModule mod_evasive20.c>

DOSHashTableSize 4096

DOSPageCount 5

DOSSiteCount 50

DOSPageInterval 1

DOSSiteInterval 1

DOSBlockingPeriod 10

</IfModule>

Описание параметров:

· DOSHashTableSize -- размер хэш-таблицы которая обрабатывает запросы к WWW-серверу.

· DOSPageCount: -- число запросов к одной странице от одного и того же IP в течение указанного интервала времени.

· DOSSiteCount -- число запросов с одного IP на разные страницы домена.

· DOSPageInterval -- Интервал для директивы DOSPageCount (в секундах)

· DOSSiteInterval -- Интервал для директивы DOSSiteCount (в секундах)

· DOSBlockingPeriod -- Время блокировки IP (в секундах)

· DOSEmailNotify -- этот параметр используется для отправки сообщения по электронной почте о блокировки IP. Необходимо указать Ваш E-mail.

· DOSWhiteList: список белых IP адресов, можно и по маскам (напр. 127.0.0.*)

Сохраняем файл и перезапускаем Apache:

sudo service apache2 restart



Размещено на Allbest.ru