- 1.3.3 Giả mạo địa chỉ: ...15. - 1.9.4 Proxy server: ...36. - 5.3 Giới thiệu về trang Web Based Proxy: ...67. - 6.2.2 Lọc các trang web dựa trên cơ chế kiểm tra địa chỉ (URL): ...74. - 6.2.4 Cập nhật các trang web based proxy: ...76. - 7.4 Module chặn địa chỉ IP: ...85. - 7.6 Sơ đồ hoạt động của Module chặn địa chỉ IP : ...87. - Hình 24 Sơ đồ hoạt động của 1 trang Web-Based Proxy ...69. - Hình 31 Sơ đồ hoạt động của module chặn địa chỉ IP...87. - Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm: Bảo vệ dữ liệu. - Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. - Những thông tin này cũng có thể dễ dàng lấy được trên Internet.. - 1.3.3 Giả mạo địa chỉ:. - Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). - Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).. - Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. - Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP. - Quy trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng của bạn và ngược lại. - chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn.. - Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.. - Địa chỉ IP nơi xuất phát ( IP Source address). - Địa chỉ IP nơi nhận (IP Destination address). - Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. - ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.. - Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để khắc phục nhược điểm nói trên. - Địa chỉ IP không phải là thành phần duy nhất của gói tin có thể mắc bẫy bộ định tuyến. - Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.. - Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công.. - Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host. - Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các. - Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. - 1.9.4 Proxy server:. - 1.9.5 Phần mềm Firewall – Proxy server:. - Tất cả các thông tin đi theo đường này hoàn toàn có thể kiểm soát được. - Các địa chỉ đích của dịch vụ này cũng có thể tuỳ chọn được phép hay bị cấm. - Telnet Gateway là một proxy server quản lý truy nhập mạng dựa trên địa chỉ IP và/hoặc hostname, và cung cấp sự điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá bất kỳ đích nào. - Chơng trình này, dựa trên địa chỉ đích và địa chỉ nguồn để ngăn cấm hoặc cho phép yêu cầu truy nhập đi qua.. - Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả các truy nhập hệ thống thông qua các cổng dịch vụ được đăng ký. - Tất cả yêu cầu kết nối bao gồm cả dữ liệu có thể được ghi lại nhật ký để theo dõi và kiểm soát.. - Netacl là một công cụ để điều khiển truy nhập mạng, dựa trên địa chỉ network của máy client, và dịch vụ đợc yêu cầu. - Độ an toàn của Netacl dựa trên địa chỉ IP và/hoặc hostname. - Với các hệ thống cần độ an toàn cao, nên dụng địa chỉ IP để tránh sự giả mạo DNS.. - Bộ lọc IP filter có thể thực hiện các việc sau:. - Nhận biết được các dịch vụ khác nhau Lọc theo địa chỉ IP hoặc hosts. - Proxy server có thể được dùng để ghi nhận việc sử dụng internet và ngăn chặn những trang bị cấm. - Vượt firewall có thể là vượt từ bên trong ra hay từ bên ngoài vào. - Khi các yêu cầu của client bị từ chối bởi người quản trị (hay nói chính xác hơn là các chương trình quản lý trong mạng LAN), thì người sử dụng có thể sử dụng các proxy server để chuyển tiếp các yêu cầu mà trong đó, proxy server là một địa chỉ được cho phép kết nối đến.. - Do đó, proxy server có thể cache các document để phục vụ cho các client có cùng nhu cầu (cùng truy cập đến một trang chẳng hạn).. - Các client mà không sử dụng DNS vẫn có thể duyệt web vì họ chỉ cần một thông tin duy nhất, đó là địa chỉ IP của proxy server. - Các proxy server có thể cho phép hay từ chối các yêu cầu dựa trên giao thức của các kết nối. - Ví dụ như: một proxy server có thể cho phép các kết nối HTTP trong khi từ chối các kết nối FTP. - Cho phép hay ngăn chặn client truy cập Internet dựa trên nền tảng địa chỉ IP. - Chuyển đổi dữ liệu sang dạng HTML để có thể xem bằng trình duyệt. - Trong trường hợp này, proxy server có thể giúp chúng thực hiện điều này một cách dễ dàng.. - Khi sử dụng proxy server bạn có thể lọc các transaction của các client. - Các tổ chức mà sử dụng một hay nhiều không gian địa chỉ ảo có thể sử dụng Internet, điều này hoàn toàn có thể. - Bằng cách thông qua proxy server và proxy server sẽ giữ địa chỉ thật.. - Các client đều có các địa chỉ IP của nó cũng như một kết nối trực tiếp đến các server trên Internet. - 4.4 Kết nối thông qua proxy server:. - Một proxy server hoàn chỉnh có thể hỗ trợ hết tất cả các giao thức như: HTTP, FTP, Gopher, WAIS. - Sử dụng phần tên này để phân giải địa chỉ lấy số IP.. - trong trang web hay không.. - Địa chỉ 1 số các WBP tham khảo khác trên internet. - từ trang web được client yêu cầu. - 5.3 Giới thiệu về trang Web Based Proxy:. - Phía trên có một thanh textbox, cho phép user nhập địa chỉ trang web muốn đến. - Cho phép người dùng nhập vào một địa chỉ dạng url. - trang web. - Kiểm tra các option Duyệt trang web. - Khi 1 gói tin nào đó vi phạm, địa chỉ đích của gói tin đó (trường hợp này chính là địa chỉ IP của HTTP Proxy Server) sẽ được đưa vào bộ lọc và lưu vào cơ sở dữ liệu.. - 6.2.2 Lọc các trang web dựa trên cơ chế kiểm tra địa chỉ (URL):. - plugin sẽ hiện ra trang thông báo cho người dùng và lưu lại địa chỉ trang web này vào cơ sở dữ liệu. - Ta có thể dễ dàng tách địa chỉ trên ra làm 2 địa chỉ riêng biệt. - 6.2.4 Cập nhật các trang web based proxy:. - URL Text Địa chỉ trang web based proxy bị cấm 6.4.2 Bảng Trusted. - URL Text Địa chỉ trang web tin cậy. - Trang web này tin cậy. - Bộ lọc 1: Nhận vào địa chỉ trang web không đáng tin cậy và tiến hành kiểm tra. - Nếu có thì bộ lọc sẽ lưu địa chỉ này vào cơ sở dữ liệu và chuyển hướng đến trang thông báo cấm cho người dùng. - Bộ lọc 2: Nhận vào địa chỉ trang web không đáng tin cậy và tiến hành kiểm tra. - Nếu địa chỉ này chứa thêm 1 địa chỉ trang web khác thì được xem như vi phạm (đã trình bày ở trên). - Bộ lọc sẽ lưu địa chỉ vi phạm này vào cơ sở dữ liệu.. - để tiến hành tìm kiếm 1 địa chỉ nào đó trên internet.. - Service bao gồm 2 module nhỏ: module bắt gói tin và module chặn địa chỉ IP.. - Ứng dụng viết dựa trên mô hình này có thể lọc các gói tin ra vào card mạng của hệ thống (theo tài Windows 2000 DDK). - 7.4 Module chặn địa chỉ IP:. - Module chịu trách nhiệm lọc và chặn các gói tin ra/vào card mạng dựa trên địa chỉ IP. - Khi đăng kí thành công, bộ lọc địa chỉ sẽ gọi lại hàm CALLBACK khi 1 gói tin được gửi ra hay nhận vào hệ thống để xử lí.. - ProxyIP Text Địa chỉ IP của proxy bị cấm (do service lưu lại được trong quá trình hoạt động). - ProxyIP Text Địa chỉ IP của các Proxy server tin cậy (thường là địa chỉ Proxy Server trong mạng LAN). - 7.6 Sơ đồ hoạt động của Module chặn địa chỉ IP : Service. - Gói tin IP. - Request đến Proxy Server?. - Hình 31 Sơ đồ hoạt động của module chặn địa chỉ IP 7.7 Diễn giải mô hình. - Nếu phải thì địa chỉ IP của Proxy Server sẽ được truyền tiếp cho Module lọc địa chỉ IP xử lí. - Địa chỉ mới này sẽ được thêm vào bộ lọc địa chỉ và lưu vào cơ sở dữ liệu.. - Sau đó lưu lại các địa chỉ này làm cơ sở cho bộ lọc hoạt động. - Trong quá trình chạy thử nghiệm, module chặn được gần như hầu hết các địa chỉ HTTP Proxy Server. - Tuy nhiên đối với các Proxy Server mới (chưa có trong cơ sở dữ liệu), bộ lọc phải “học” được địa chỉ mới này thì mới ngăn chặn được. - Trong quá trình thử nghiệm, việc bộ lọc học được quá nhiều địa chỉ mới và lưu vào cơ sở dữ liệu tốn khá nhiều tài nguyên hệ thống (CPU,RAM) nên Service chạy chậm hẳn (đôi lúc Serive có thể bị treo)
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt