« Home « Kết quả tìm kiếm

Xây dựng SSL Proxy

Tóm tắt Xem thử

- SSL Proxy.
- Mô hình phân tích url.
- Mô hình phân tích tệp tin.
- Xây dựng máy chủ ICAP.
- Cấu hình SSL Proxy – Máy khách ICAP.
- Máy chủ ICAP.
- Thành phần phân tích url.
- Thành phần phân tích tệp tin.
- ICAP Internet Content Adaption Protocol – Giao thức xử lý nội dung ICP Internet Cache Protocol – Giao thức đệm internet IP Internet Protocol – Giao thức kết nối internet RAM Random Access Memory – Bộ nhớ truy cập ngẫu nhiên SSL Secure Sockets Layer – Đây là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web và trình duyệt.
- Khái niệm Proxy Server Trong mạng máy tính, Proxy server là một máy chủ (một hệ thống máy tính hoặc một ứng dụng) đóng vai trò như một điểm trung gian cho các yêu cầu từ máy khách (client) đến các máy chủ (server).
- Proxy server có thể nằm cùng một máy với Firewall server hoặc có thể nằm trên một máy chủ riêng, chuyển tiếp các yêu cầu thông qua tường lửa.
- Những chương trình ứng dụng của máy khách sẽ qua trung gian Proxy server thay thế cho máy chủ thật sự mà người sử dụng cần giao tiếp.
- Proxy server xác định những yêu cầu từ máy khách và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy server sẽ kết nối với máy chủ thật thay cho máy khách và tiếp tục chuyển tiếp đến những yêu cầu từ máy khách đến máy chủ, cũng như đáp ứng những yêu cầu của máy chủ đến máy khách.
- Do nằm ở giữa máy chủ và máy khách, Proxy server có thể thay đổi yêu cầu của khách hàng hoặc phản hồi của máy chủ.
- Tác dụng và chức năng Để đáp ứng được những nhu cầu của người sử dụng khi cần truy cập đến 13 những ứng dụng ngoài Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một máy chủ truy cập đến Internet cho tất cả người sử dụng.
- Người sử dụng khi cần kết nối internet sẽ truy cập vào máy chủ này và thực hiện giao tiếp với internet qua nó.
- Tuy nhiên, cách kết nối internet làm cho người dùng thấy không thoải mái, khi cần truy cập internet họ cần truy cập vào máy chủ trước, sau đó thực hiện tất cả những công việc cần internet trên này và bằng phương pháp nào đó chuyển đổi những kết quả đạt được của công việc trở lại máy khách.
- Máy chủ truy cập internet chung sẽ rất tốn tài nguyên do cần thiết lập kết nối cho người dùng một lúc mà không tận dụng được tài nguyên của máy khách.
- Khi không có Proxy sẽ xảy ra nguy cơ máy chủ truy cập internet bị tấn công do kết nối trực tiếp internet.
- Do vẫn làm việc tại máy khách nên người sử dụng có cảm giác trực tiếp kết nối đến internet đồng thời giảm tải cho máy chủ truy cập internet.
- Cân bằng tải cho máy chủ web.
- Người dùng chỉ cung cấp địa chỉ của máy chủ cần kết nối.
- Bằng cách này, Proxy server thực hiện rất tốt việc trung gian giả làm máy chủ đích.
- Khi kết nối tạo ra Proxy server, ứng dụng trên máy người dùng nghĩ rằng nó được kết nối đến máy chủ thật, nếu được phép, Proxy server sau đó thực hiện kết nối đến máy chủ thật bằng giao thức phù hợp.
- Forward Proxy Reverse Proxy: Proxy ngược, hình 3 cho thấy Reverse Proxy đứng giữa một 16 máy chủ và các client truy cập đến máy chủ đó, dùng để tăng hiệu năng hoạt động của máy chủ.
- Phân loại theo giao thức − FTP Proxy: Là loại proxy được sử dụng cho các máy chủ FTP.
- FTP Proxy được sử dụng trong nhiều các ứng dụng tải dữ liệu lên máy chủ (trình duyệt, các trình tải tệp tin hoặc quản lý tệp tin) [1.
- Khi nhập URL một trang web vào HTTP Proxy, HTTP Proxy sẽ tìm kiếm địa chỉ web trong bộ nhớ đệm trước khi tìm kiếm ở trên máy chủ chứa web.
- SSL Proxy cho phép can thiệp vào dữ liệu kết nối giữa máy khách và máy chủ.
- Không một ai kể cả người sử dụng lẫn máy chủ có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền.
- SSL viết tắt của Secure Socket Layer là một giao thức (protocol) được sử dụng trong việc xác thực và mã hoá thông tin giữa máy khách và máy chủ.
- Xác thực: Danh tính của máy khách và máy chủ được xác thực bằng cách sử dụng khóa bất đối xứng hoặc khóa công khai (Ví dụ: RSA, DSS.
- SSL Proxy 1.4.1.
- Đối với máy chủ website, SSL Proxy hoạt động như một máy khách SSL.
- Đối với máy khách, SSL Proxy hoạt động như một máy chủ SSL.
- SSL Proxy tạo ra một certificates mới và thay thế certificates của máy chủ website.
- SSL Proxy là minh bạch, tức là SSL Proxy mã hóa và giải mã dữ liệu SSL giữa máy chủ và máy khách, nhưng cả máy chủ và máy khách đều có thể phát hiện ra SSL Proxy.
- Máy chủ ICAP sẽ thực hiện dịch vụ chuyển đổi trên các gói tin và gửi lại phản hồi cho máy khách ICAP.
- Ví dụ: 22 - Thay đổi nội dung của gói tin có thể thực hiện ở một máy chứa ICAP server trong mạng thay vì yêu cầu một bản cập nhật nội dung của gói tin từ máy chủ.
- Tuy nhiên, việc này sẽ làm tăng tải máy chủ và đường truyền mạng.
- Các máy chủ dịch vụ có thể tránh được các hoạt động gây cao tải bằng cách chuyển các hoạt động sang các máy chủ khác thay thế.
- Proxy server hoạt động như một máy khách ICAP sẽ chỉnh sửa lại gói tin và gửi gói tin yêu cầu máy chủ bên ngoài kiểm tra chương trình thực thi độc hay sạch trước khi lưu chương trình đó vào bộ nhớ đệm.
- Trong tất cả ví dụ trên, giao thức ICAP giúp giảm bớt hoặc phân phối tải trên các máy chủ dịch vụ hoặc chính nó.
- Trong tất cả các trường hợp, ICAP tạo ra một giao thức chuẩn cho việc thay đổi nội dung cho phép các máy chủ dịch vụ linh hoạt hơn trong việc phân phối nội dung hoặc bổ sung các dịch vụ khác.
- Sửa đổi gói tin yêu cầu HTTP Trong chế độ “Sửa đổi yêu cầu” (reqmod), một máy khách ICAP gửi một gói tin yêu cầu HTTP đến máy chủ ICAP.
- Máy chủ ICAP sau đó có thể.
- Máy khách ICAP sau đó có thể gửi yêu cầu đã được sửa đổi đến một máy chủ thật.
- hoặc chuyển yêu cầu đã được sửa đổi lên một máy chủ ICAP khác để sửa đổi thêm.
- Ví dụ minh họa: Xem xét một máy khách ICAP nhận được gói tin yêu cầu từ một khách hàng khi truy cập đến một website trên máy chủ thật.
- Máy khách ICAP sẽ gửi gói tin yêu cầu của khách hàng đến máy chủ ICAP thực hiện lọc nội dung dựa trên URI.
- Tuy nhiên, nếu máy chủ ICAP không cho phép truy cập vào tài nguyên được yêu cầu, nó có thể.
- Luồng hoạt động điển hình: Hình 7 Luồng hoạt động điển hình của ICAP cho việc sửa đổi yêu cầu [5] 24 1) Khách hàng tạo gói tin yêu cầu tới máy khách ICAP khi muốn truy cập website trên máy chủ thật.
- 2) Máy khách ICAP gửi gói tin yêu cầu tới máy chủ ICAP.
- 3) Máy chủ ICAP thực hiện dịch vụ và gửi lại gói tin yêu cầu đã sửa đổi hoặc gói tin phản hồi cho máy khách ICAP.
- Nếu bước 3 trả về một gói tin yêu cầu: 4) Máy khách ICAP gửi gói tin yêu cầu cho máy chủ thật, có thể khác với gói tin yêu cầu gốc.
- 5) Máy chủ thật đáp ứng gói tin yêu cầu.
- 6) Máy khách ICAP gửi gói tin phản hồi (từ máy chủ ICAP hoặc từ máy chủ thật) cho khách hàng.
- Sửa đổi gói tin phản hồi HTTP Trong chế độ “Sửa đổi phản hồi” (respmod), máy khách ICAP gửi một gói tin phản hồi HTTP đến máy chủ ICAP.
- Luồng hoạt động điển hình: 25 Hình 8 Luồng hoạt động điển hình của ICAP cho việc sửa đổi phản hồi [5] 1) Khách hàng tạo gói tin yêu cầu tới máy khách ICAP cho một đối tượng trên máy chủ thật.
- 2) Máy khách ICAP gửi gói tin yêu cầu tới máy chủ thật.
- 3) Máy chủ thật gửi gói tin phản hồi yêu cầu.
- 4) Máy khách ICAP gửi gói tin phản hồi của máy chủ thật đến máy chủ ICAP.
- 5) Máy chủ ICAP thực hiện dịch vụ và gửi gói tin phản hồi có thể sửa đổi trở lại cho máy khách ICAP.
- 6) Máy khách ICAP gửi gói tin phản hồi (có thể được sửa đổi) từ máy chủ thật cho khách hàng.
- Khi xem xét bài toán nêu ra ở phần trên, chúng ta cần phải dựng một giải pháp giải mã và mã hóa SSL giữa máy chủ và máy khách, trích xuất được các dữ liệu trao đổi giữa máy chủ và máy khách và xác định được dữ liệu đó là độc hay sạch.
- Giải pháp này phải nằm giữa máy chủ và máy khách để tất cả dữ liệu mà máy khách kết nối đến máy chủ đều phải được đi qua giải pháp.
- Vì Proxy server là nơi dữ liệu của máy khách đi qua khi muốn ra ngoài internet hoặc đến máy chủ.
- Proxy server sau khi giải mã trích xuất dữ liệu xong phải mã hóa lại giao thức SSL và gửi lên máy chủ.
- SSL Proxy: là dịch vụ sử dụng đứng trung gian giữa máy chủ và máy khách, có nhiệm vụ trích xuất dữ liệu truy cập, cho phép kết nối hoặc chặn kết nối truy cập từ máy khách đến máy chủ.
- o Nếu url độc, WSG sẽ phản hồi yêu cầu SSL Proxy chặn kết nối, nếu url sạch, SSL Proxy sẽ mã hóa dữ liệu và gửi lên máy chủ.
- Đối với Url là đường dẫn tải file: Sau khi kết nối đến máy chủ, máy chủ sẽ gửi lại nội dung tệp tin, SSL Proxy sẽ giải mã, trích xuất nội dung phản hồi (response) của máy chủ (nội dung tệp tin) và đẩy vào hệ thống WSG.
- Hệ thống WSG sẽ kiểm tra, phân tích tệp tin từ máy chủ trả về.
- Tất cả các yêu cầu (request) từ phía máy khách đều đi qua SSL Proxy.
- SSL Proxy sẽ giải mã các yêu cầu HTTPS và mã hóa lại các yêu cầu đó trước khi đến máy chủ.
- Đồng thời SSL Proxy cũng là một máy khách ICAP để giao tiếp, truyền nhận gói tin HTTP với máy chủ ICAP.
- Sau khi nhận gói tin từ máy chủ ICAP, SSL Proxy sẽ thực hiện truyền các gói tin đấy đến máy chủ hoặc máy khách theo từng yêu cầu cụ thể.
- o Phản hồi từ máy chủ trả về là tệp tin độc thì SSL Proxy sẽ không trả về cho máy khách gói tin phản hồi từ máy chủ mà là gói tin từ máy chủ ICAP đã chỉnh sửa.
- Máy chủ ICAP là một thành phần sẽ nhận các gói tin từ máy khách ICAP.
- Máy chủ ICAP có thể giữ nguyên hoặc chuyển đổi trên các gói tin và gửi lại phản hồi cho máy khách ICAP.
- Sau đó, máy chủ ICAP sẽ gửi gói tin đến các thành phần phân tích mã độc và định kỳ kiểm tra kết quả phân tích từ các thành phần phân tích mã độc.
- o Nếu gói tin sạch, máy chủ ICAP sẽ giữ nguyên gói tin và gửi lại cho máy khách ICAP.
- o Nếu gói tin là độc hoặc lừa đảo, máy chủ ICAP sẽ chỉnh sửa lại gói tin (bằng cách thay thế gói tin bằng 1 cảnh báo hoặc dẫn đến một trang sạch khác.
- và gửi lại cho máy khách ICAP.
- o Nếu gói tin không có kết quả, quá thời gian cho phép (có thể cấu hình thời gian), thì máy chủ ICAP sẽ giữ nguyên gói tin và gửi lại cho máy khách ICAP.
- Mô hình phân tích url 31 Worker check insertQueue_insertDatabasewhitelist blacklistQueue_url Worker scan urlCheckWeb serviceWeb serviceInsert urlGet resultInsert result Hình 12 Mô hình phân tích url Máy chủ ICAP gửi url cho thành phần phân tích url.
- o Nếu có thì kết thúc, máy chủ ICAP sẽ lấy kết quả trong cơ sở dữ liệu.
- Mô hình phân tích tệp tin Worker check insertQueue_insertDatabaseCheck existsQueue_file Worker scan fileWeb serviceWeb serviceInsert fileGet resultInsert result Hình 13 Mô hình phân tích tệp tin Máy chủ ICAP gửi tệp tin cho thành phần phân tích tệp tin.
- Xây dựng máy chủ ICAP 3.2.1.
- Cấu hình SSL Proxy – Máy khách ICAP - Để máy chủ ICAP nhận được các gói tin yêu cầu hoặc phản hồi từ máy chủ và máy khách thì trên SSL Proxy phải cấu hình như sau: o Bước 1: Truy cập vào tệp tin /etc/squid3/squid.conf.
- Máy chủ ICAP 39 Máy chủ ICAP là thành phần sẽ nhận các gói tin từ máy khách ICAP.
- Phía máy chủ ICAP gồm 2 thành phần chính.
- ICAP Server Response Mode: là thành phần nhận các gói tin phản hồi từ phía máy chủ gửi về (qua proxy).
- Máy chủ ICAP sử dụng lib icap-server.
- Các sự kiện máy chủ ICAP xử lý gồm có.
- Bước 1: Nhận các gói tin từ máy khách ICAP.
- Đẩy thông tin về url, tập tin từ máy chủ ICAP vào các hàng đợi tương ứng.
- Lấy kết quả phân tích mẫu.
- Lấy kết quả phân tích url: 3.4.
- Thành phần main Là thành phần nhận url và tệp tin từ máy chủ ICAP đẩy sang, cập nhật thông tin vào cơ sở dữ liệu, kiểm tra url và tệp tin với tập danh sách sạch và tập danh sách độc.
- Máy chủ ICAP o Lớp dùng chung để chuyển tiếp url, tệp tin sang cho thành phần phân tích mã độc class WorkerScan: def __init__(self): pass # send url to queue module scan malware @staticmethod def scan_url(url_link

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt