Messages posted by: myquartz

Đánh cắp có 3 phương thức chính thôi.
1. Đánh cắp vật lý, tức là cho điệp vụ chui vào lấy trộm ổ HDD ra rồi copy trộm hoặc lấy luôn mang về. Hoặc nếu là máy laptop thì nẫng, giật luôn khi người mang ra nơi công cộng chẳng hạn.
2. Đánh cắp logic qua mạng dựa trên cài virus, trojan... để copy ra ngoài. Hoặc là lợi dụng phần mềm lơi lỏng, xác thực lơi lỏng, truy cập trái phép copy ra.
3. Đánh cắp dựa trên các công nghệ nghe lén: nghe lén mạng không dây, nghe lén mạng có dây....

Tính năng xác thực này là tùy chọn với MTA.

Nguyên tắc của postfix rất đơn giản. Nó kiểm tra tùy theo rule của các restrictions. Như trường hợp là mình dùng smtpd_sender_restrictions. Phải đặt các rule reject nằm trước các rule accept vì nó sẽ kiểm tra từ trên xuống dưới.

1. reject_unauthenticated_sender_login_mismatch: cái này sẽ bảo cho postfix rằng, mọi domain FROM nếu thuộc local_domain, virtual_domain và relay_domain đều phải xác thực (nếu có định nghĩa), không xác thực sẽ báo lỗi và reject.
2. reject_authenticated_sender_login_mismatch: sau khi user xác thực, rule 1 trên sẽ không còn tác dụng, chỉ có rule 2 này sẽ chạy. Postfix sẽ kiểm tra smtpd_sender_login_maps, nếu tìm thấy email nào đó trả về giá trị username (ví dụ FROM email abc@xxx.com trả về giá trị admin), thì bắt buộc người xác thực (ở bước trước, định nghĩa trong sasl*) phải là admin, khác sẽ không gửi được với FROM đó. Tóm lại nó check chủ nhân của người gửi, chứ không phải xác thực xong thì gửi với FROM gì cũng được.

Trường hợp của bạn chỉ cần rule 1 là đủ. Cần đọc thêm về cách cấu hình postfix.
Regards,

Zimbra sử dụng postfix làm MTA.
Bạn kiếm 2 thiết lập sau của postfix để ngăn việc gửi mail không xác thực (đúng) này là:
1. smtpd_sender_login_maps: định nghĩa map giữa địa chỉ email và tên người xác thực
2. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch và reject_unauthenticated_sender_login_mismatch

Chú ý phải xem kĩ Zimbra map theo các LDAP field nào, cả alias (tức là forward của mỗi account), mail group... nữa chứ không chỉ mail account.
Vài gợi ý, có gì tìm thêm trên Internet.

Tùy ứng dụng web. Nhưng đa số không nên làm thế. vì giao tiếp giữa web - db thường khá nhiều cặp query - result với một web request. Mỗi query - result khi cùng mạng LAN có thể chỉ một vài mili-giây, nhưng qua Internet có thể lên vài trăm ms (trễ tự nhiên). Như thế cộng lại nhiều lần sẽ trễ rất nhiều cho một web request, và kết quả là web site vào chậm đi trông thấy.

Còn nếu phân tán như thế, nên làm web caching.

Đơn giản là đặt thằng máy snort làm thằng gác cửa mạng (firewall, gateway) thay cho cái gateway cũ, như thế mọi thứ data ra vào đều đi qua nó, thì nó sẽ hoạt động như mong muốn.
Còn kiểu thò 1 chân xuống mạng để bắt các data thì cần đòi hỏi 1 số phần cứng có khả năng mirroring data, ví dụ 1 cái Cisco Switch với port mirroring chẳng hạn, tốn kém phức tạp.

trong điều kiện bình thường, VPS chỉ chạy apache - php - mysql thì 5 cái kia tắt được. Trong 5 cái thì 3 cái liên quan đến NFS (chia sẻ file qua mạng với họ unix), cái 3, 4 là 1 cái chung chung nhiều dịch vụ.

panfider wrote:

sao không ai giúp cho mình hiểu cơ chế quản lý bộ nhớ ram hết vậy?
MÌnh con một thắc mắc nữa là cơ chế đa xử lý của bộ vi xử lý?
Làm sao để đa xử lý khi mà chương trình được lâp trình để chạy từ trên xuống dưới

Đại khái là có thể mô tả như sau:
Trước hết phải hiểu "quản lý" là gì. Nó là việc chia chác, đánh địa chỉ, cấp phát, thu hồi, kiểm soát quyền, nạp dữ liệu... RAM cho mỗi chương trình cần đến nó.
Vì sao quản lý RAM theo paging (thay vì theo mỗi byte hoặc từng word) là vì 1 page nó to hơn, không tốn quá nhiều cho việc quản lý, truy cập, đánh địa chỉ..., page cũng bằng nhau để dễ chia chác chứ không có lẻ. Xin cấp 1 vài byte hay 1000 bytes là cấp luôn 1 page dù phần còn thừa không xài đến. Mỗi paging trong x86 là 4KByte/8KB tùy mode, nếu là huge paging nó là 2Mbyte.

Nó cũng tương tự như quản lý đất đai, người ta chia thành lô lớn rồi cấp phát chứ chả ai chia cục nhỏ đến tận mét vuông, xin cấp 10m là cấp cả 1 lô liền nhau 10m chứ không phải cấp 10 ô 1 mét (có thể không liền nhau), không đủ lô 10m thì báo là không còn.

Còn cơ chế đa xử lý, ý nói là nhiều chương trình dù viết tuần tự nhưng các chương trình vẫn chạy song song nhau, dù chỉ có 1 CPU, là do hệ điều hành thực hiện 1 việc gọi là context switch (chuyển ngữ cảnh), nó chia 1 giây ra thành nhiều slot nhỏ (ví dụ 20ms/1 slot), mỗi slot, nó gán quyền dùng CPU (đơn giản là jump tới 1 khúc nào đó để chạy) cho 1 chương trình, hết thời gian trong slot, OS nó "cướp" lại quyền chạy (bằng các ngắt của CPU) rồi save lại state của chương trình vừa bị cướp đó (state chứa thông tin chạy đến lệnh nào, trạng thái thanh ghi ra sao...), rồi load lại state của 1 cái khác đến lượt rồi lại jump, hết slot lại cướp save state. Do 1 slot rất nhỏ so với cảm giác, 1 giây có nhiều slot (20ms vị chi là 50 lần), việc cướp chuyển context cũng rất nhanh, nên cảm thấy trong 1 giây các chương trình chạy song song nhau. Thực chất là "tuần tự" nhưng mỗi ông 1 tí.
Tất nhiên vì đa xử lý nên tất cả sẽ chậm đều đi.

Nói chung cái này phải đọc tài liệu hoặc đi học môn vi xử lý thôi. Chả có cách nào tự nhiên hiểu nhanh mà không đọc và hoặc không học. Vài câu trên forum không thể lý giải hết đâu.

Tôi là tiền bối ĐHBK CNTT đây. Học mấy môn không chuyên ngành không có gì là vui vẻ cả, ghét cay ghét đắng nhưng vẫn phải học.

Sau hơn 10 năm lăn lộn với nghề, kết luận cuối cùng là vẫn nên cố học cho xong cái bằng ĐHBK. Không phải để mỗi trình cái bằng ra khi đi xin việc đâu, mà học đến năm 4, năm 5 thì nó cũng kha khá nhiều kiến thức có ích đấy (ít ra là so với năm 1-2), hơn nữa, nhiều môn học xong để đó chả biết làm gì, mãi tới 7-10 năm sau mới xài đến. Mà 10 năm sau già rồi không học được nhiều và nhanh như hồi trẻ nữa thì thấy thật tiếc. Tôi cũng có 1 vài cái tiếc đó đấy, ví dụ là môn xác suất thống kê, hồi đó học lớt phớt chỉ để thi qua. Nay cần dùng kiến thức đó phải đọc lại mà nhiều lúc ngại quá, hối hận.

Coi như bạn ăn một bữa ăn mà ở đó có 10 món, 8 món ngon bạn thích và 2 món không muốn vẫn phải ăn (vì sức khỏe hoặc là điều kiện để được tham dự bữa tiệc chẳng hạn). Chứ vì 2-3 món không thích mà bỏ 7-8 cái hay ho kia thì cũng không nên.

Thì ở cái phần ISP - ISP bạn viết đó, nó là ethernet switching layer 2, thay vì IP/MPLS layer 3 hoặc ATM ở layer 2. Còn last-mile connection từ CE - ISP thì nó vẫn có thể như cũ nếu có hỗ trợ ethernet (ethernet over ATM chẳng hạn), tuy có bổ sung thêm 1 số option như là cáp quang PON.

Nếu cả 2 máy in đều kết nối Internet thì dùng Google Cloud Printing (nếu máy in có hỗ trợ hoặc máy chủ cắm máy in có thể cài cái này vào).
Lúc này thì ở đâu có Internet là in được.

suxanero wrote:

Metro Ethernet có 1 bài ở bên wikipedia đó bạn
http://en.wikipedia.org/wiki/Metro_Ethernet

đại ý là mạng WAN sử dụng công nghệ Ethernet chứ không dùng IP
bài đó viết có 2 điểm lới ích chính của ethernet là về giá cả và về triển khai

còn theo ý kiến cả nhân của mình thì mấy nhà sản xuất network bày vẻ ra cái này nhằm mục đích tạo ra sản phẩm để bán cho người tiêu dùng.

Correct bạn 1 chút là metro net vẫn dùng IP (layer 3), chỉ thay layer 2 là Ethernet switching chứ không dùng chuyển mạch ATM IP/MPLS truyền thống.

Mình vẫn hay sử dụng lệnh netstat -nlup
trong đó:
l listen
p process
u: udp (nếu cần xem tcp thì thay bằng t)
n: hiện số cho nhanh.

Bấm cáp thẳng tất cả đi. Giờ các thiết bị đều tự động nhận diện chéo thẳng. Bấm thẳng lúc nào cũng ăn chắc, còn bấm chéo sai không chạy được đâu.
Chú ý lỗi mạng AMP jack âm tường phải xem kỹ các dây nối của nó theo thứ tự nào, chưa đúng chuẩn và đủ dây thì phải tháo ra bắn dây lại. Bên xây dựng nội thất đôi khi tụi nó bắn dây lung tung chả theo kiểu nào, có khi 8 dây chỉ có 2 cặp dây bắn 1234 là không chạy được, bắn lại 1236 sẽ được.

Nên dùng Jetty. Jetty chuyên trị ajax, có khả năng handle 10K connection với cấu hình của bạn.
Tất nhiên viết ứng dụng cũng phải là java và kheo khéo 1 tí là ổn.

kernel panic.
DRBD bạn dùng module nào? lấy từ nguồn nào?
Theo mình biết thì CentOS 6.4 không kèm sẵn cái module này. Muốn dùng phải lấy từ nguồn ngoài. Trừ việc lấy trực tiếp từ hãng LinBit (làm ra DRBD và mất tiền mới có được) mới đảm bảo, thì từ nguồn khác là hên xui, nó chạy ổn ko sao chứ nếu ko là như thế này.
Một khả năng nữa, chính là RAM của cái máy đó có vấn đề.

Bài này hơi có mùi của marketing online và dìm hàng đối thủ. Nếu thật sự quan tâm đến công nghệ thôi thì việc chọn FPT, VNPT hay Viettel chỉ là vấn đề ngoài lề. Cái cần quan tâm là 50-60 người dùng kia dùng kênh FTTH tốc độ bao nhiêu là đủ, tính chất truy cập ra sao, up nhiều hay down nhiều, server truy cập đặt ở đâu. Sau khi có thông số tốc độ + tính chất mới tính đến chọn 1 nhà cung cấp phù hợp (giá tiền, hỗ trợ kỹ thuật), và dù nhà này hay nhà kia mà đáp ứng được yêu cầu thì ổn.

Vài gợi ý nếu thật sự là nhu cầu thật cho 50-60 người dùng:
- Truy cập Internet với nội dung kiểu gì? xem video, multi-media nhiều hay chỉ text-image? nếu xem video nhiều (như youtube) thì xem là nhu cầu xem HD hay non-HD. Giả sử 10% cùng xem, mỗi video cần bitrate chừng 3Mbit/s, vị chi 6*3 = 18Mbits download mới đủ. Nếu chỉ email, text-image thì ít hơn nhiều. Hoặc nếu chạy Game-online thì cái cần không phải tốc độ mà là độ trễ thấp, độ ổn định cao. Nếu là upload nhiều (ví dụ công ty làm nội dung số hay phải upload) thì FTTH sẽ là kênh tốt hơn ADSL... Nếu làm việc đám mây là chính (server đặt ở nước ngoài), thì cam kết tốc độ quốc tế là điều cần xem xét. Nếu làm việc ví dụ vào facebook là chính, thì cũng cần quan tâm đến yếu tố này.
- Truy cập Internet trong hay ngoài nước? Server đang đặt ở nhà cung cấp Data Center nào. Từ đó sẽ lựa chọn cam kết quốc tế và nhà cung cấp nào kết nối tới đó gần nhất.
- Đòi hỏi công việc về sự ổn định: ví dụ văn phòng truy cập Internet chỉ là giải trí, check mail, đọc báo, thi thoảng mới phải liên hệ đối tác, đi tìm báo giá... thì việc chết Internet vài giờ ko thành vấn đề lắm. Nhưng nếu là công ty làm nội dung, hoặc hỗ trợ trực tuyến, bán hàng online, chết vài giờ mất khách hàng quy ra tiền được ngay => phải tính đến phương án có nhiều đường Internet để đảm bảo ổn định.
- Các yếu tố khác: tòa nhà văn phòng có bị ràng buộc viễn thông không, quan hệ...

Từ các điểm trên, sẽ tìm ra nhà cung cấp nào phù hợp. FPT, VNPT hay Viettel đều có điểm mạnh riêng về dịch vụ của họ, và nhiều trường hợp doanh nghiệp có cả 3 kênh FTTH đi 3 nhà cung cấp là chuyện rất bình thường. Nên nhớ 3 kênh ADSL 3 nhà cung cấp sẽ tin cậy hơn 1 kênh FTTH của 1 nhà, 1 FTTH đứt 1 phát là cả công ty ngồi chơi, mà chi phí như nhau.
Tính chất cũng quyết định lựa chọn, ví dụ nếu server làm việc chính của công ty bạn đang thuê chỗ đặt tại FPT DC thì sẽ rất ngu ngốc nếu thuê kênh không phải của FPT, cùng 1 nhà cung cấp bao giờ tốc độ cũng tốt nhất.

Mới chưa được 24h gửi bài mà đã sốt ruột như thế rồi.
Bạn có nghĩ là phải chăng cái hình và câu hỏi của bạn chả có gì ... hấp dẫn bà con vào reply không? Hoặc giả như không ai biết nó có gì sai theo tiêu chuẩn nào đó không nên chả ai ... trả lời cả. Sai hay đúng nó phải dựa theo cái tiêu chuẩn gì chứ nhỉ?

Tớ quan tâm đến giá và khả năng hỗ trợ IPv6 của router này.
Bạn cho biết thêm chút tham khảo thì tốt.

Cái đó cần 1 giải pháp phần mềm (và đầu tư phần cứng) chuyên biệt.

Việc 1 website quanh năm ế ẩm, chỉ đông vài lần trong năm với tải lên đến 1000 lần so với bình thường, thì ngoài việc mua thật nhiều phần cứng, việc thiết kế xây dựng phần mềm xử lý phân tán, song song để có khả năng chịu tải cực lớn này đòi hỏi phải đầu tư và tốn tiền. Dĩ nhiên phải test trước với tải lớn đó để chứng minh nó đạt được, sau đó giảm bớt phần cứng đi cho đỡ tốn.Ngoài giải pháp kỹ thuật, cần thêm giải pháp phi kỹ thuât như áp dụng chính sách hoãn binh, kéo dài thời hạn đặt vé, xử lý theo hàng đợi rồi trả kết quả sau (ví dụ qua SMS) sẽ giúp san đều tải ra (ví dụ thay cho đặt vé trong 1 ngày, thì cho đặt thành 1 tuần, mỗi ngày một số vé nào đó, hết vé thì báo là hết luôn, nó sẽ san tải của 1 ngày ra 7 ngày => giảm 7 lần).

Nếu biết trước thời điểm trong năm, có thể như gợi ý ThaiDN, thuê (hoặc huy động, mượn) tạm thời máy móc dùng vài ngày rồi trả, sẽ rẻ hơn là mua mà chỉ xài trong vài ngày của năm. Dĩ nhiên làm cái này phải chuẩn bị và có kế hoach, và quan trọng nhất là hệ thống phần mềm phải thiết kế sao cho scale-out một cách cực lớn, cứ cắm thêm máy là tăng năng lực xử lý.
Nếu giải pháp phần mềm tốt, khéo léo, thì ngày đó chỉ cần huy động toàn bộ PC của cơ quan (và những bộ phận ít quan trọng), ví dụ 200-500 máy PC, thì năng lực xử lý cũng không hề nhỏ mà lại tiết kiệm tiền. Xong lại trả về hết chỉ giữ lại 1,2 server.

Nếu chỗ bạn muốn đầu tư, có thể PM cho mình, mình cung cấp được giải pháp cỡ vài chục ngàn web client (đã làm).

TP-Link Wireless Router tuy rẻ tiền cũng có khả năng định tuyến tĩnh đấy. Chỉ cần add 1 route đến mạng 221.0.0.0/255.0.0.0 đó với Gateway IP là IP của router B là xong.

P/S: quên nhắc một điều nữa, Interface kết nối LAN Router B phải có IP cùng subnet với Interface LAN của router A. Ví dụ cùng 10.9.8.0/24 (tức là 10.9.8.x, x cua B với x của A là khác nhau, ví dụ 1 và 2).
Mình xem kỹ lại không hiểu là các máy client có subnet khác nhau bạn nối với router A bằng cách nào?

Cẩn thận bài này lừa để câu thông tin cá nhân.
Nếu là người Viettel, thì nên dùng email Viettel, hoặc chí ít là chỉ đến 1 link của Viettel về cái này. Chứ gửi yahoo mail, chả tin.

nucteiv wrote:

Muốn bảo mật thông tin nội bộ trong doanh nghiệp (nói đúng hơn là làm chậm quá trình rò rỉ ra ngoài, thường doanh nghiệp họ chỉ cần chậm đi vài tháng là ok), người ta thường tiến hành đồng bộ nhiều biện pháp, đơn cử:

1. Kiểm soát đối tượng và phạm vi truy cập/tiếp cận tới thông tin: ... xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)...

Các giải pháp của bạn đưa ra khá tổng quát và đầy đủ, trong kế hoạch đề xuất mình cũng nghĩ tới hầu hêt các tình huống như vậy và từng đưa cả giải pháp cực đoan như bạn chia sẻ phía cuối bài là: cấm mang thiết bị cá nhân vào, qua kiểm soát bảo vệ + quẹt tia tìm thiết bị lạ thì vào làm việc và được sử dụng các thiết bị có sẵn bên trong.

Nhưng có cái đoạn bôi đỏ phía trên mình chưa rõ lắm, bạn chia sẻ cụ thể hơn chút được không, ý tưởng là bạn dùng giải pháp gì và ứng dụng ra sao để xác định đâu là Laptop của Công ty, đâu là laptop ngoài. Phải chăng là xác định theo device code?

Đó là Trusted Computing đấy. Mỗi máy tính mua có gắn sẵn một con chip có tên là Trusted Computing Module (TPM), con chip này chứa private key xác thực mỗi khi bạn sử dụng cái gì cần đến nó (ví dụ trình duyệt web vào một website xác thực bằng client-certificate, mà cái cert đó do private key trong TPM sinh ra và đã được khai báo với máy chủ trước đó rồi).
Cái key này không thể lấy ra khỏi chip TPM được, chip TPM thì hàn luôn trên mailboard không tháo ra được, cố tình tháo ra sẽ mất thông tin trong TPM. Dùng TPM thì phải có mật khẩu logon nữa. Và một điểm nữa, nếu hệ điều hành khởi động máy đó không được "chứng thực" thì cũng không dùng được TPM. Do đó đúng cái laptop đó mới có thể vào được.

Dĩ nhiên, máy có TPM đắt hơn khá nhiều, và giải pháp đi kèm nó cũng tốn $$$.

Phương pháp bảo mật chống người nội bộ bằng cách chỉ mỗi kiểm soát truy cập mạng và kiểm soát vật lý thôi không thể đủ. Vì có nhiều thứ khác.
Cái mà bạn quan tâm, nó có 1 cái tên là Data Loss Prevention (DLP). Ngay cả có DLP thì nó cũng chỉ kiểm soát được đến 90% nguy cơ mà thôi, 10% còn lại phải là phương pháp bổ sung và lại là 10% cực kỳ quan trọng để bảo vệ thông tin mật.

Muốn bảo mật thông tin nội bộ trong doanh nghiệp (nói đúng hơn là làm chậm quá trình rò rỉ ra ngoài, thường doanh nghiệp họ chỉ cần chậm đi vài tháng là ok), người ta thường tiến hành đồng bộ nhiều biện pháp, đơn cử:
1. Kiểm soát đối tượng và phạm vi truy cập/tiếp cận tới thông tin: kiểm soát tiếp xúc vật lý (ví dụ phòng có thể đọc thông tin mật khác với phòng có thể đọc thông tin công cộng), xác thực và kiểm soát truy cập mạng nội bộ (bạn đã làm, đây là phần coi là dễ), xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)... Tóm lại cái này chủ yếu là xác thực + ghi vết lại ai đọc gì, xem gì, làm gì... sau mà quy trách nhiệm.

2. Kiểm soát truyền tải thông tin: ngăn truy cập mạng Internet từ nội bộ hoặc mọi truy cập ra/vào đều được lọc nội dung/chặn nội dung/ghi vết (DLP chủ yếu là cái này), ngăn việc gửi thông tin ra ngoài, ngăn việc mang máy tính/thiết bị bên ngoài vào (tuỳ mức độ nhưng đơn giản nhất là dùng chính sách + kiểm tra bằng bảo vệ + nhân viên giám sát lẫn nhau). Thông tin có thể truyền tải qua mạng hoặc truyền đi bộ (người mang theo thiết bị lưu trữ). Mạng thì ok firewall nọ kia, nhưng đi bộ thì đơn giản là không thể gắn thiết bị lưu trữ khác ngoài những cái đã được xác định là xong.

3. Kiểm soát việc sao chép: kiểm soát việc in ấn/photocopy (không trang bị máy in hoặc để máy in ở 1 phòng có khoá), giữ điện thoại di động ở tiếp tân hoặc không cho phép thiết bị có camera (điện thoại/laptop không có camera - ở một số nơi có chính sách này đấy), không cho nhân viên chỗ ngồi quá riêng tư kín đáo (để mọi người giám sát lẫn nhau hoặc camera giám sát được), PC client không cho cắm thiết bị lưu trữ ngoài như USB để copy được. Cách hiện đại nhất hiện nay sử dụng ứng dụng hoặc công nghệ không cho tất cả data tải/lưu về client, mà chỉ xem/view/xử lý online (lưu server) tại chỗ làm việc (cho tài liệu lên cloud chẳng hạn. xem online trang nào tải trang đó => sẽ rất khó copy hàng ngàn trang tài liệu).

4. Nếu thông tin mật thì ngoài nguyên tắc lưu hành phạm vi hạn chế (đưa cho ai đọc trên giấy trước mặt rồi thu lại ngay). Hay làm như bên công an ấy, chỉ cho người đi tay không vào 1 phòng đã có sẵn máy tính truy cập nội bộ (không có máy in, máy tính chỉ là 1 cái hộp có khoá, chỉ thò mỗi màn hình + bàn phím + chuột ra), khi vào làm thì dùng máy tính trong phòng luôn, làm xong khi ra vào có người xét xem có mang gì ra vào (nếu to thì lộ, bé quá như máy chụp hình gián điệp thì chịu), và giám sát camera quá trình làm việc (bị camera giám sát thì rất khó để chụp ảnh lén).

--------------------------------------------------------------------------
Trên là áp dụng với doanh nghiệp. Tớ còn có biết là có nhưng nơi cơ chế bảo mật họ còn kinh khủng hơn. Khi đến làm việc mọi người đều qua 1 phòng thay đồ, cởi bỏ hết ra (kể cả quần áo đang mặc của mình, trang sức, đồng hồ, điện thoại, tư trang, ... gửi lại ở hộc khoá cá nhân), rồi có người kiểm soát thân thể "trần truồng đó" xem có mang gì không, sau đó được phát quần áo đồng phục mới => rồi mới đi vào khu vực được cách li, trong đó có đủ mọi thứ để sống, làm việc: điện thoại cố định, máy tính, ăn uống, cafe... tóm lại là chả có gì thiếu nhưng mọi thứ sử dụng đều bị xem xét giám sát, ghi âm lưu vết hoặc ngăn chặn hết cả, thậm chí gọi điện về cho gia đình còn phải xin phép. Khi hết làm việc qua ra trả lại đồng phục, ra phòng thay đồ của mình rồi về...
Làm sao để lấy thông tin ra? Chỉ còn cách ... học thuộc lòng!

Cách bảo mật như hãng Apple, trên mạng có đầy, cũng cực đoan gần như thế đây :-D.

Phải xác định, là khi làm việc đụng tới thông tin mật là không còn sự riêng tư của cá nhân nữa. Thiết kế việc bảo mật như thế là rất là đụng chạm.

angel_of_devil wrote:

@tranhuuphuoc: phương án hiện tại như sau:
- do router bên mình nối với ISP A = 2 đường fiber nối với 2 interface trên router (mục đích là để redundant) nhưng mình lấy 1 đường cắm vào port Giga0/1 (ví dụ thế) cho các route trong nước (NIX) qua đó, đường còn lại cắm vào Giga0/2 cho các route quốc tế (GIA). Do đó mình có thể monitor đc lưu lượng giữa trong nước và quốc tế

Vấn đề là việc này sẽ mất đi tính dự phòng của đường vật lý nên có lẽ phải cấu hình lại, trừ khi kết nối đến mỗi ISP = 4 đường fiber (ko khả thi). Vậy nên mới hỏi mọi người cách monitor. Có lẽ giải pháp hữu hiệu nhất là dùng 2 sub-interface trên 1 đường vật lý rồi áp dụng nguyên lý hiện tại. Còn ai có ý tưởng gì hay hơn không nhỉ?

Rắc rối quá. Đã peering thì để BGP nó tự quyết đường đi là tốt nhất. Người ta trả tiền thuê kênh vì cái này mà.
Việc tách Interface, một cái chỉ đi nội địa, cái kia đi quốc tế cũng chỉ giải quyết vấn đề outbound, tức là traffic đi từ nhà mình ra ISP. Chứ chiều inbound từ ISP về mình không phân biệt được quốc tế/trong nước (nếu đã quảng bá BGP).
Thật vậy, ví dụ bạn có 2 line, 1 FPT, 1 VDC, thì giả sử cho kênh FPT là kênh quốc tế qua đó, VDC nội địa, nhưng tất thuê bao FPT ADSL, FPT FTTH hay các CP khác (đều là nội địa) gửi gói tiên đến AS của bạn, họ vẫn đi theo kênh này, và upload của họ (là download của mình) sẽ vào kênh FPT này. Và VDC cũng thế, các ISP quốc tế gửi đến bạn nó cũng có thể vào kênh VDC (nếu họ peering với VDC và có cost ít hơn đi theo FPT).

ISP họ kiểm soát và cam kết băng thông nội đia, quốc tế đối với kênh thuê đối xứng (như FTTH hay leased line, up = down) là cả 2 chiều, out và in chứ không phải chỉ có out. Tóm lại mình up nhiều cũng bị drop/shape gói vượt quá tốc độ (làm ngay ở router nối với CPE của mình) và down nhiều cũng bị drop/shape gói (ở trên cổng quốc tế vào của họ, nội địa theo mình biết thì thường không có drop gì, full = tốc độ tối đa luôn).

Bạn nên xem giải pháp ntop hoặc tương tự thì hơn.

Monitor băng thông quốc tế/trong nước là bắt buộc phải đếm gói tin theo IP đích hoặc IP nguồn qua duy nhất 1 interface (đến ISP), cách giám sát Interface thông thường không phân biệt được cái này mà chỉ là số tổng.
Với một mình Cisco Router mình chưa biết có cách nào giám sát cả trừ khi dùng NetFlow. Hoặc là kết hợp với một con switch + monitor port + 1 phần mềm capture gói + phân tích băng thông như là ntop. ntop cũng hỗ trợ NetFlow đấy, bạn thử setup xem.

PS: theo mình đánh giá thì C2911 không đủ sức chạy BGP peering đâu. Số lượng route qua BGP mỗi ISP gửi cho router học rất nhiều, lên tới cả vài trăm ngàn entry đấy. Có thể sẽ tràn bộ nhớ hoặc học không đủ route. Việc này cũng không quá tệ hại nếu bạn đặt default route.
Router nên là dòng C3xxx trở lên, ví dụ C3845, và có ít nhất là 1GB RAM mới đủ.

startcluster wrote:

Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó
em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được.
đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em....

trân trọng

Vậy là vấn đề nghiêm trọng hơn bạn nghĩ.
Giờ bạn check lai 1 số vấn đề sau:
1. router/modem của bạn đã up firmware mới nhất từ nhà sản xuất chưa? việc firmware có lỗi bảo mật tuy ít nhưng vẫn có thể có.
2. bạn kết duy nhất máy của bạn vào modem (rút tất cả cái khác ra hoặc mang laptop lên gần modem cắm). Và đổi pass. Pass khó không khó để đặt đâu.
3. Máy tính bạn sử dụng để vào web admin và đổi pass, phải chắc chắn nó là máy sạch, nếu đã dính key logger thì việc đổi ở step 2 là vô nghĩa hoàn toàn. Để chắc chắn không dính, bạn hay download 1 bản linux LiveCD, như là Ubuntu, về boot CD lên, chỉ mở mỗi Firefox ra để đổi. Đổi xong, không bao giờ login lại modem bằng mật khẩu mới (để kiểm tra có bị không) trừ khi dùng cái đĩa Ubuntu kia boot lên.
4. Để 1 một thời gian, làm step 2 và 3 vào web admin an toàn rồi để check xem config có bị thay đổi gì không.

Nếu thực hiện các việc trên mà vẫn bị. Việc làm cuối cùng là thay cái modem đó bằng một cái khác. Mình nghĩ nó có gì đó không ổn lắm ở chính nó.

PS: lời khuyên - nên tập sử dụng Ubuntu hoặc một Linux tương tự, nó an toàn và tin cậy hơn nhiều so với Windows, và có nhiều đồ chơi đối với admin. Cắm một máy linux vào mạng, cài 1 tool có tên là tcpdump, rồi gõ lệnh: tcpdump -i <tên LAN interface ví dụ eth0> -nn arp
Nhìn các gói ARP bắn ra, sẽ biết có ai đó trong mạng đang tấn công ARP Spoofing hay không, đây là cách tấn công "ăn trộm" mật khẩu phổ biến khi ở trong cùng mạng LAN.

Chết cha!
password mà mình đặt cho nick hva cũng là câu tiếng Việt có nghĩa nhưng may là tới 4 từ. Một số chỗ khác thì toàn là 2 từ (dài đủ 6 ký tự) => chết với bộ tự điển của xnohat.

Đổi ngay đổi ngay.

Coi chừng việc NAT là do uPNP thực hiện chứ không phải do ai đó login vào router thay đổi (nếu pass đặt khó, chữ hoa/thường/số và không ai biết ngoài bạn + thay đổi trong sự an toàn => khó có cơ hội thay nó đấy).
Nếu bật tính năng uPNP này trên router, một client bình thường không cần mật khẩu cũng có thể khiến cho router "tạo NAT forward" được thông qua việc gửi yêu cầu upnp đến router.
uPNP rất có ích cho mạng home khi chat skype, hay bittorrent. Nhưng với mạng văn phòng thì có thể tắt nó đi (trên router).

D state là đang xài đĩa (IO), còn S state là sleep. R state là đang chạy (xài CPU).
Các tiến trình apache vừa xài đĩa nhiều (có mấy cái lận), mà lại thiếu RAM phải xài swap tới 5GB => IO wait cao (IO wait được tính vào load). => chậm lắm.
Cần nâng cấp RAM lên gấp đôi hoặc 3 số lượng hiện có (4GB -> 12GB).
Hoặc là giảm số lượng max apache process xuống (có khả năng thiếu RAM do cái này).
Để ý thấy mỗi apache httpd chiếm khoảng 1% RAM, nghĩa là máy nên có 80-90 process = 90% RAM. Giảm số process xuống còn 90 thôi. người ta bị từ chối truy cập còn hơn là server đơ ra.

Để loại trừ yếu tố những cái khác, chỉ tính mỗi PHP.
Bạn thử tạo 1 script php như sau rồi dùng tsung (hay gì đó) để query thử nó, xem có phải do apache hay php ko.

<?php
echo "Wait 1 sec";
sleep(1);
echo "Done!";
?>

Nếu script này chạy ngon lành đúng như thiết kế (2000 connection/server), thì lỗi do chính ứng dụng php của ban hoặc do MySQL không gánh được cùng lúc 8000 connection tới nó.