TR NG I H C KHOA H C T NHIÊN KHOA CÔNG NGH THÔNG TIN B MÔN M NG MÁY TÍNH & VI N THÔNG PHAN TRUNG HI U - TR N LÊ QUÂN CÁC PH NG PHÁP L P TRÌNH V FIREWALL KHÓA LU N C NHÂN TIN H C NIÊN KHÓA 2001 - 2005 T GVHD: ThS Lu n v n t t nghi p M ng máy tính TR NG I H C KHOA H C T Hoàng C ng NHIÊN KHOA CÔNG NGH THÔNG TIN B MÔN M NG MÁY TÍNH & VI N THÔNG PHAN TRUNG HI U TR N LÊ QUÂN CÁC PH 0112463 0112319 NG PHÁP L P TRÌNH V T FIREWALL KHÓA LU N C NHÂN TIN H C GIÁO VIÊN H Th.S NG D N HOÀNG C NG NIÊN KHÓA 2001 – 2005 Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính L I NH N XÉT C A GIÁO VIÊN H Hoàng C ng NG D N …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng L I NH N XÉT C A GIÁO VIÊN PH N BI N …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính L IC M Hoàng C N Sau h n tháng n l c th c hi n, lu n v n nghiên c u “Các ph trình v ng ng pháp l p t firewall” ph n hoàn thành Ngoài s n l c c a b n thân, chúng em nh n đ c s khích l r t nhi u t phía nhà tr ng, th y cô, gia đình b n bè khoa Chính u mang l i cho chúng em s đ ng viên r t l n đ chúng em có th hoàn thành t t lu n v n c a Tr c h t, chúng xin c m n nh ng b c làm cha, làm m ng h , ch m sóc chúng t o m i u ki n t t nh t đ chúng có th hoàn thành nhi m v c a Chúng em xin c m n nhà tr ng nói chung Khoa CNTT nói riêng đem l i cho chúng em ngu n ki n th c vô quý giá đ chúng em có đ ki n th c hoàn thành lu n v n c ng nh làm hành trang b c vào đ i Em xin c m n th y cô thu c b môn MMT, đ c bi t th y C ng – giáo viên h ng d n c a chúng em t n tình h Hoàng ng d n giúp đ chúng em m i chúng em có khó kh n trình h c t p c ng nh trình làm lu n v n t t nghi p Xin c m n t t c b n bè thân yêu đ ng viên, giúp đ chúng em su t trình h c t p c ng nh làm đ tài M t l n n a, xin c m n t t c m i ng i… TPHCM 7/2005 Nhóm sinh viên th c hi n Phan Trung Hi u – Tr n Lê Quân Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính L I NÓI N i dung lu n v n đ Ph n th nh t: C S Hoàng C ng U c trình bày ch ng thu c v ph n khác : LÝ THUY T • Ch ng 1: Gi i thi u v firewall • Ch ng 2: Khái ni m proxy • Ch ng 3: Các ph Ph n th hai: CÁC PH ng pháp l p trình v t firewall NG PHÁP L P TRÌNH V • Ch ng 4: V t firewall b ng HTTP proxy Servers • Ch ng 5: V t firewall b ng Web-based proxy Ph n th ba: MODULE CH NG V T FIREWALL T FIREWALL • Ch ng 6: Plug-in ch ng v t firewall cho trình duyêt Internet Explorer • Ch ng 7: Service ch ng v t Firewall Ph n th t : T NG K T • Ch ng 8: K t lu n Phân th n m: PH L C Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng M CL C Ch ng 1: GI I THI U V FIREWALL 11 1.1 t v n đ : 11 1.2 Nhu c u b o v thông tin: .11 1.2.1 Nguyên nhân: 11 B o v d li u: .13 1.2.2 1.2.3 B o v tài nguyên s d ng m ng: .13 B o v danh ti ng c quan: 13 1.2.4 1.3 Các ki u t n công: 14 T n công tr c ti p: 14 1.3.1 1.3.2 Nghe tr m: 15 1.3.3 Gi m o đ a ch : .15 Vô hi u ch c n ng c a h th ng (DoS, DDoS): 15 1.3.4 1.3.5 L i c a ng i qu n tr h th ng: 16 T n công vào y u t ng i: 17 1.3.6 1.4 Firewall ? 17 1.5 Các ch c n ng chính: 19 1.5.1 Ch c n ng: 19 1.5.2 Thành ph n: 20 1.6 Nguyên lý: 21 1.7 Các d ng firewall: 23 1.8 Các ý ni m chung v Firewall: 25 Firewall d a Application gateway: .25 1.8.1 C ng vòng(Circuit level gateway): 27 1.8.2 1.8.3 H n ch c a Firewall: .28 1.8.4 Firewall có d phá hay không: 28 1.9 M t s mô hình Firewall: .30 Packet-Filtering Router: 30 1.9.1 Mô hình Single-Homed Bastion Host: .32 1.9.2 1.9.3 Mô hình Dual-Homed Bastion Host: 34 1.9.4 Proxy server: 36 Ph n m m Firewall – Proxy server: 37 1.9.5 1.10 L i k t: 46 Ch ng 2: KHÁI NI M PROXY 47 2.1 Proxy gì: 47 2.2 T i proxy l i đ i: 48 2.3 T ng k t chung v proxy: 48 Ch ng 3: CÁC PH NG PHÁP L P TRÌNH V T FIREWALL .50 3.1 V t firewall gì: .50 3.2 Ph ng pháp th nh t: HTTP Proxy .50 Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng 3.3 Ph ng pháp th hai: Web-Based Proxy .51 3.4 Ph ng pháp th ba: Http Tunneling 51 Ch ng 4: V T FIREWALL B NG HTTP PROXY .53 4.1 Khi HTTP Proxy Server tr nên h u ích: 53 4.2 Ch c n ng chính: 56 Truy c p Internet: 56 4.2.1 Caching documents: .57 4.2.2 4.2.3 i u n truy c p Internet m t cách có ch n l c: 59 4.2.4 Cung c p d ch v Internet cho c quan s d ng IP o: 60 4.3 M t phiên giao d ch (transaction) thông qua proxy : 60 4.4 K t n i thông qua proxy server: .61 4.5 HTTP proxy: 61 4.6 FTP proxy: 62 4.7 Ti n l i b t ti n cache trang Web: 63 4.8 Nh ng b t c p proxy: .63 4.9 K thu t l p trình m t HTTP Proxy c b n: 64 Ch ng 5: V t firewall b ng Web-Based Proxy 65 5.1 Th web-based anonymous proxy ? 65 5.2 Cách th c ho t đ ng c a WBP : 66 5.3 Gi i thi u v trang Web Based Proxy: .67 Giao di n: 67 5.3.1 5.3.2 Ch c n ng: 67 Thu t toán: 69 5.3.3 Ch ng 6: Plug-in ch ng v t firewall cho trình t Internet Explorer .73 6.1 Gi i thi u s l c : 73 6.2 Các tính n ng chính: .74 6.2.1 L c trang web d a vi c t danh sách trang web có s n c s d li u: .74 6.2.2 L c trang web d a c ch ki m tra đ a ch (URL): 74 L c d a n i dung c a Input Form trang web: 75 6.2.3 6.2.4 C p nh t trang web based proxy: .76 Vô hi u hóa/kích ho t plugin: 76 6.2.5 6.3 M t s v n đ c n l u ý vi t plugin cho trình t IE : 76 6.3.1 Khái ni m Browser Helper Objects (BHO): 76 M t s hàm x lí quan tr ng: 78 6.3.2 6.4 Chi ti t l u tr d li u : 79 B ng Forbidden 79 6.4.1 6.4.2 B ng Trusted 79 6.5 Thu t toán c a ng d ng : 79 Mô hình ho t đ ng c a Plugin : .79 6.5.1 6.5.2 Di n gi i mô hình : 81 Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng 6.6 Nh ng u m h n ch : 82 Ch ng 7: SERVICE CH NG V T FIREWALL 83 7.1 Gi i thi u s l c : 83 7.2 Các tính n ng c a module: 83 7.3 Module b t gói tin : .84 c m c a gói tin HTTP request đ n HTTP Proxy Server: 84 7.3.1 Tóm t t b c c n l u ý xây d ng module; 84 7.3.2 7.3.3 Chi ti t đ i t ng, hàm x lí c a module : 85 7.4 Module ch n đ a ch IP: 85 Gi i thi u v Filter-Hook Driver : 85 7.4.1 7.4.2 Tóm t t b c xây d ng Filter-Hook Driver đ b t gói tin: .86 7.5 Chi ti t l u tr d li u : 86 7.5.1 B ng ForbiddenProxy 86 B ng TrustedProxy: 86 7.5.2 7.6 S đ ho t đ ng c a Module ch n đ a ch IP : 87 7.7 Di n gi i mô hình : 87 7.8 Nh n xét – đánh giá : 88 u m: .88 7.8.1 7.8.2 Khuy t m: 89 Ch ng 8: K T LU N 90 8.1 Nh ng k t qu đ t đ c: .90 8.2 H ng phát tri n : 91 DANH SÁCH HÌNH Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Mô hình t n công DDoS 16 Mô hình firewall .18 L c gói tin t i firewall .18 M t s ch c n ng c a Firewall .20 L c gói tin 21 Firewall đ c c u hình t i router .23 Firewall m m 26 T n công h th ng t bên .29 Packet filtering 31 10 Mô hình single-Homed Bastion Host 33 11 Mô hình Dual-Homed Bastion Host 35 12 Mô hình Proxy đ n gi n 37 13 M t s protocol sau proxy 39 14 Mô hình proxy .48 15 Mô hình ho t đ ng chung c a proxy 55 Phan Trung Hi u Mssv: 0112463 - Trang - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Hoàng C ng M t s protocol đ c h tr 56 Caching 58 Caching b l i (failure) 59 M t transaction qua proxy 60 Truy xu t thông tin thông qua HTTP proxy 62 Truy xu t thông tin thông qua FTP proxy 62 Giao di n c a Web Base Proxy .67 Mini form m i đ u trang 68 S đ ho t đ ng c a trang Web-Based Proxy 69 Giao di n c a plug-in 73 Trang thông báo m i ng i dùng t nh ng trang web vi ph m .74 Cách trình bày thông th ng c a m t trang web base proxy .75 Quá trình trình t kh i đ ng n p BHO 77 Mô hình ho t đ ng c a Plugin 80 nh d ng c a gói tin g i đ n proxy server 84 S đ ho t đ ng c a module ch n đ a ch IP 87 DANH SÁCH B NG Phan Trung Hi u Mssv: 0112463 - Trang 10 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Kh i đ ng Trình t IE Hoàng C ng Plugin Phát chuy n chuy n s ki n Kh i đ ng Hàm x lí s ki n ây s ki n BeforeNavigate Sai úng Trang thông báo úng Trang web tin c y ? Không Vi ph m B l c1 Không vi ph m L u vào CSDL Vi ph m B l c2 Không vi ph m Vi ph m B l c3 Không vi ph m Hình 29 Mô hình ho t đ ng c a Plugin Phan Trung Hi u Mssv: 0112463 - Trang 80 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính 6.5.2 - Hoàng C ng Di n gi i mô hình : BeforeNavigate: S ki n trình t phát ng i dùng chu n b t đ n trang web m i (khác v i trang hi n hành) Ví d : Khi click chu t vào link, nút trang web chuy n sang trang web m i, gõ đ a ch vào address bar đ chu n b t,… - B l c 1: Nh n vào đ a ch trang web không đáng tin c y ti n hành ki m tra B l c s truy xu t vào c s d li u đ t xem trang web có n m s n danh sách trang b c m hay không N u có b l c s l u đ a ch vào c s d li u chuy n h cho ng - ng đ n trang thông báo c m i dùng N u không s chuy n đ n b l c ti p theo B l c 2: Nh n vào đ a ch trang web không đáng tin c y ti n hành ki m tra N u đ a ch ch a thêm đ a ch trang web khác đ ph m (đã trình bày c xem nh vi trên) B l c s l u đ a ch vi ph m vào c s d li u - B l c 3: Nh n vào tr đ i t ng IWebBrowser2 đ x lí Con tr đ i di n cho trang web hi n hành c n ki m tra D a vào tr đ i t này, ta có th l y đ ng c toàn b n i dung trang web (các th HTML, script,….) Nh trình bày trên, b l c ho t đ ng d a vi c ki m tra n i dung INPUT FIELD c a trang web Do b l c ch tr ng đ n vi c l c th INPUT c a trang HTML trang web đ c b l c xem trang Web Based Proxy ch ch a không th INPUT d ng text, nh t th Input có n i dung đ a ch trang web N u trang web th a u ki n nêu s đ c xem vi ph m l u l i vào c s d li u Phan Trung Hi u Mssv: 0112463 - Trang 81 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng 6.6 Nh ng u m h n ch : Plugin áp d ng s thu t gi i Heuristic nh m phát hi n trang Web-proxy m i ho c ch a có c s d li u, n b l c thông minh h n có kh n ng t h c đ a ch trang web m i mu n qua m t Firewall Khi ch y th trang web-proxy m i, b l c ho t đ ng hi u qu xác a s thu t gi i đ c xây d ng d a vi c quan sát trình v n hành c a trang Web-based Proxy tìm nh ng m chung đ c tr ng khác bi t so v i trang web khác làm c ch ho t đ ng cho b l c Do thu t gi i không đ m b o tính xác 100% nên có s tr ng h p thi u sót hay th m chí sai sót ý mu n a s nh ng sai sót đ u r i váo tr ng h p ng i dùng s d ng search engine (nh google,yahoo,…) đ ti n hành tìm ki m đ a ch internet Trong nh ng tr ng h p này, plugin s t cho r ng trang web tìm ki m Web-Based Proxy ti n hành ng n ch n L i có th kh c ph c đ c b ng cách thêm vào danh sách trang web tin c y bu c b l c ki m tra “trang web tin c y này” tr c l c Tuy nhiên cách c ng không th kh c ph c hoàn toàn Quá trình ho t đ ng c a Plugin ph thu c nhi u vào “s t n t i” c a t p tin c s d li u l u tr trang Web-Based Proxy Nên t p tin không t n t i hay b l i, tính n ng l c c a Plugin ch c ch n không th ho t đ ng xác đ c Trong trình ch y th ki m l i, chúng em c g ng s a ch a h u h t sai sót này.Chúng em xin c g ng phát tri n thêm đ b l c ngày hoàn thi n h n Phan Trung Hi u Mssv: 0112463 - Trang 82 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Ch SERVICE CH NG V ng 7: ng chúng em xin phép đ Ch ch ng v Hoàng C ng T FIREWALL c trình bày v module th hai: Service t firewall cho h u hành Windows 7.1 Gi i thi u s l Service ch ng v c: t Firewall ng d ng đ c vi t d a mô hình Service truy n th ng c a Windows Service ng d ng ch y n n h th ng, hoàn toàn tuân th theo yêu c u tính n ng b o m t Windows quy đ nh (Ch có ng ch Service – tr i ng h p module admin h th ng – m i có quy n t t/m /xóa serive mà thôi) Service ch u trách nhi m l c b t gói tin g i m ng (Internet) nh m phát hi n ng n ch n gói tin g i đ n HTTP Proxy Server l u l i đ a ch HTTP Proxy Server đ làm c s ho t đ ng cho b l c Service bao g m module nh : module b t gói tin module ch n đ a ch IP 7.2 Các tính n ng c a module: Theo nh gi i thi u, module đ c chia làm module nh riêng bi t, h tr trình Service ho t đ ng: ó module b t gói tin module ch n đ a ch IP - Module b t gói tin: module đ c vi t d a th vi n Winsock2.0 c a Windows, nhi m v b t gói tin l u thông ra/vào card m ng c a h th ng - Module ch n đ a ch IP: module đ Driver đ c vi t d a mô hình Filter-Hook c Microsoft gi i thi u tài li u Windows 2000 DDK ng d ng vi t d a mô hình có th l c gói tin vào card m ng c a h th ng (theo tài Windows 2000 DDK) Theo tài li u RFC v HTTP Protocol, gói tin g i đ n HTTP Proxy Server đ u có m đ c tr ng riêng so v i gói tin khác Service d a vào đ c m làm c s ho t đ ng cho b l c c a Phan Trung Hi u Mssv: 0112463 - Trang 83 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng 7.3 Module b t gói tin : Module ch u trách nhi m b t ki m tra n i dung gói tin ra/vào card m ng 7.3.1 c m c a gói tin HTTP request đ n HTTP Proxy Server: Theo tài li u RFC v HTTP Protocol, gói tin HTTP request đ n Proxy server s có đ nh d ng nh sau : Hình 30 nh d ng c a gói tin g i đ n proxy server Trong hình minh h a trên, ta th y n i dung gói tin HTTP Request (câu l nh HTTP l nh GET) đ c b sung thêm tr ng Proxy- Connection: Keep-Alive ây đ c m m u ch t đ ph n bi t gói tin HTTP Request đ n Proxy Server so v i gói tin thông th 7.3.2 - Tóm t t b ng khác c c n l u ý xây d ng module; Kh i t o thông tin c n thi t (đ a ch ,port, ) cho SOCK_RAW Socket - Chuy n ch đ ho t đ ng c a Socket sang ch đ SIO_RCVALL (b t t t c gói tin ra/vào h th ng) - B t đ u nh n x lí gói tin L u ý: Do m c tiêu đ ban đ u c a module b t x lí gói tin HTTP (TCP) nên c n ph i g b Header c a gói tin nh n đ - c (đây gói IP) r i m i b t đ u x lí Tham kh o thêm tài li u v c u trúc gói tin TCP/IP HTTP Protocol trình x lí gói TCP Phan Trung Hi u Mssv: 0112463 - Trang 84 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính 7.3.3 - Chi ti t đ i t Hoàng C ng ng, hàm x lí c a module : socket(AF_INET, SOCK_RAW, IPPROTO_IP) • Hàm t o Socket L u ý ph i kh i t o socket d ng SOCK_RAW m i có th b t đ - c gói tin t ng IP WSAIoctl(SOCKET s,DWORD dwIoControlCode, , , , , , ,) • Hàm thi t l p ch đ ho t đ ng cho socket Ch c n l u ý đ n tham s đ u tiên: SOCKET c n thi t l p ch đ ho t đ ng dwIoControlCode ph i b ng SIO_RCVALL module m i có th b tđ - c gói tin ra/vào card m ng M t s hàm liên quan khác: recv, WSAStartup, … 7.4 Module ch n đ a ch IP: Module ch u trách nhi m l c ch n gói tin ra/vào card m ng d a đ a ch IP Module đ c xây d ng d a mô hình Filter-Hook Driver c a Windows 2000 DDK 7.4.1 Gi i thi u v Filter-Hook Driver : Filter-Hook Driver khái ni m đ c Microsoft đ a tài li u v Windows 2000 DDK ây Driver m r ng tính n ng c a IP Filter Driver (Có s n h di u hành Windows 2000 tr v sau) Th c ch t Filter-Hook Driver không ph i trình u n dành cho môi tr ng m ng, đ c xem nh trình u n dành cho nhân c a h th ng (Kernel Mode Driver) Bên trình u n này, ch c n đ nh ngh a hàm CALLBACK (1 d ng hàm b t s ki n) đ ng kí hàm CALLBACK cho trình u n b l c đ a ch IP c a h th ng (IP Filter Phan Trung Hi u Mssv: 0112463 - Trang 85 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng Driver) Khi đ ng kí thành công, b l c đ a ch s g i l i hàm CALLBACK gói tin đ 7.4.2 - c g i hay nh n vào h th ng đ x lí Tóm t t b c xây d ng Filter-Hook Driver đ b t gói tin: Kh i t o Filter-Hook Driver Cung c p tên thông s c b n cho Driver nh sau: LoadDriver("IpFilterDriver","System32\\Drivers\\IpFltDrv.sys", null, true) - L y tr đ a ch c a Ip Filter Driver kh i t o b c đ kh i t o đ ng kí hàm CALLBACK - Kh i t o đ ng kí hàm CALLBACK b ng cách g i tr hàm CALLBACK đ nh ngh a s n cho IP Filter Driver - B t đ u l c gói tin G i hàm StartFilter - Khi mu n k t thúc, không l c gói tin n a ta ph i g b thông tin đ ng kí kh i IP Filter Driver Lúc này, ta ch c n đ ng kí l i v i Driver v i tr hàm CALLBACK Null 7.5 Chi ti t l u tr d li u : 7.5.1 B ng ForbiddenProxy Tên tr ng Ki u ProxyIP Chú thích Text a ch IP c a proxy b c m (do service l u l i đ c trình ho t đ ng) 7.5.2 B ng TrustedProxy: Tên tr Ki u Chú thích n g Phan Trung Hi u Mssv: 0112463 - Trang 86 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Text ProxyIP Hoàng C a ch IP c a Proxy server tin c y (th ng ng đ a ch Proxy Server m ng LAN) 7.6 S đ ho t đ ng c a Module ch n đ a ch IP : Kh i đ ng Service Kh i đ ng Card m ng Module b t gói tin Phát/Nh n Module ch n IP Gói tin IP B tđ ul c Request đ n Proxy Server? Thêm IP vào b l c Hình 31 S đ ho t đ ng c a module ch n đ a ch IP 7.7 Di n gi i mô hình : Khi kh i đ ng, service s kích ho t module module b t gói tin module ch n đ a ch IP t ng úng Module ch n đ a ch IP đ c kh i đ ng s truy xu t vào c s d li u thêm đ a ch IP c a Proxy Server b c m s n vào b l c IP Filter Driver b t đ u l c đ a ch Khi Card m ng nh n/phát gói tin, module b t gói tin s nh n gói tin ti n hành phân tích Module s ki m tra Phan Trung Hi u Mssv: 0112463 - Trang 87 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng xem gói tin có ph i gói tin HTTP Request đ n Proxy Server hay không N u ph i đ a ch IP c a Proxy Server s đ lí a ch m i s đ c truy n ti p cho Module l c đ a ch IP x c thêm vào b l c đ a ch l u vào c s d li u 7.8 Nh n xét – đánh giá : u m: 7.8.1 Do yêu c u đ t ban đ u c a Module tìm cách ch n ph v ng pháp t Firewall thông qua HTTP Proxy Server, nên chúng em c g ng phát tri n module d i d ng ng d ng Mini Firewall Trong su t trình nghiên c u tìm hi u, chúng em th ng nh t ch n mô hình Service ng d ng Windows làm c s xây d ng tri n khai Module k th a đ c nh ng yêu c u v tính an toàn b o m t h u hành qui đ nh Khi kh i đ ng vào môi tr c ng nh c a ng nh t ng u m c a mô hình i dùng s l n l tđ ng Windows, Services h th ng c n p ch y n n h th ng, ch i qu n tr hay ch Service m i có quy n t t/m /xóa service Module nh ng h n ch c n ng u n Service cho h u hành, nên Module ng d ng ch t p trung vào hai tính n ng b t gói tin l c đ a ch IP Trong trình ch y th nghi m, module có th ho t đ ng t t lo i CARD m ng, MODEM Windows Do module c a ng d ng đ c vi t hoàn toàn d a môi tr ng Winsock c a Windows (b th vi n dùng đ phát tri n ng d ng m ng TCP/IP môi tr đ m tính t ng Windows), nên b o ng thích r t cao Do h tr tính n ng b t gói tin, Module có th “phát hi n h c” đ đ a ch Proxy Server m i (ch a có c s d li u) Sau l u l i đ a ch làm c s cho b l c ho t đ ng Phan Trung Hi u Mssv: 0112463 - Trang 88 - Tr n Lê Quân Mssv:0112319 c GVHD: ThS Lu n v n t t nghi p M ng máy tính 7.8.2 Hoàng C ng Khuy t m: Trong trình ch y th nghi m, module ch n đ c g n nh h u h t đ a ch HTTP Proxy Server Tuy nhiên đ i v i Proxy Server m i (ch a có c s d li u), b l c ph i “h c” đ ch n đ c đ a ch m i m i ng n c Do phiên làm vi c đ u tiên, b l c v n ch a ch n đ đ a ch m i c i v i nh ng phiên làm vi c sau b l c đ m b o ch y t t Trong trình th nghi m, vi c b l c h c đ c nhi u đ a ch m i l u vào c s d li u t n nhi u tài nguyên h th ng (CPU,RAM) nên Service ch y ch m h n (đôi lúc Serive có th b treo) ti c đ n lúc chúng em v n ch a kh c ph c đ c v n đ Quá trình ho t đ ng c a Service ph thu c nhi u vào “s t n t i” c a t p tin c s d li u l u tr Proxy Server Nên t p tin không t n t i hay b l i, tính n ng l c c a Service ch c ch n không th ho t đ ng xác đ c Phan Trung Hi u Mssv: 0112463 - Trang 89 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính PH N TH Hoàng C ng T NG K T Ch ng 8: K T LU N Sau h n sáu tháng làm lu n v n, nhi u chúng em c ng tìm hi u t ng đ i thành công ph ng pháp l p trình v t firewall c ng nh nh ng ch ng trình kèm theo: Http proxy, Web based Proxy, Plug-in ch ng v t firewall, service ch ng v t firewall Qua nh ng tìm hi u đ c, chúng em c m th y v n nhi u u ph i làm đ có th hoàn thi n h n ch ng trình c ng nh c n có s h ng d n nhi u h n n a c a th y cô, b n bè… K t qu cu i k t qu c a nh ng tháng ngày c g ng, n l c c a b n thân, s giúp đ c a gia đình, nhà tr ng, b n bè đ c bi t s h ng d n t n tình c a th y Hoàng C ng đ chúng em có th hoàn t t m t cách t t đ p lu n v n so v i nh ng đ t Cu i cùng, m t l n n a, chúng em xin c m n t t c giúp đ đ chúng em có th hoàn thành t t khóa lu n Xin chân thành c m n 8.1 Nh ng k t qu đ t đ c: Theo yêu c u đ t ban đ u “Nghiên c u ph firewall T làm c s xây d ng module ch ng v Web”, cho đ n th i m hi n t i lu n v n đ t đ - ng pháp l p trình v t t Firewall b o m t c n i dung sau: Ph n yêu c u: • Tìm hi u tri n khai thành công ph ng pháp: HTTP Proxy Server Web-based Proxy - Ph n m r ng: • Tìm hi u tri n khai thành công module ch ng v ch ng v t Firewall: Plugin t Firewall dành cho trình t Internet Explorer Service ch ng v t Firewall h u hành Windows Ngoài ra, trình nghiên c u hoàn thành đ tài, chúng em ti p thu thêm đ c m t s k t qu sau: Phan Trung Hi u Mssv: 0112463 - Trang 90 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính • Tìm hi u sâu thêm v ph Hoàng C ng ng pháp l p trình ng d ng m ng d a b th vi n Winsock c a Windows • Tìm hi u đ c ph ng pháp xây d ng tri n khai Service ng d ng Windows • Tìm hi u cách xây d ng tri n khai ng d ng Plugin cho trình t Internet Explorer c hi u đ • tr c cách xây d ng phát tri n ng d ng d a môi ng COM (Component Object Model) • Ngày nay, Internet ngày phát tri n m nh m , ngu n tài nguyên bao la vô t n, nên nhu c u s d ng Internet đ tìm ki m thông tin c ng nh giao d ch, th ng m i u t t y u Yêu c u an toàn b o m t thông tin (tùy theo m c đích c a cá nhân hay doanh nghi p) làm n y sinh thêm v n đ đau đ u cho nhà qu n tr m ng là: Ki m soát qu n lý trình s d ng Internet c a ng đ a đ i dùng V i vi c nghiên c u c gi i pháp kh thi v yêu c u m r ng c a đ tài: Xây d ng module ch ng v t Firewall, chúng em thi t ngh có th đóng góp ph n vào vi c gi i quy t v n đ nan gi i 8.2 H ng phát tri n : Trong trình nghiên c u tìm hi u v đ tài, chúng em th ng nh t đ xu t đ c ph ng pháp ch y u đ v t Firewall: HTTP Proxy Server, Web Based Proxy HTTP Tunneling T t c ph ng pháp đ u đ mô hình ng d ng m ng Client-Server truy n th ng Trong ph ph ng pháp th 3: HTTP Tunneling ph hi n nh t Quá trình nghiên c u tri n khai ph Phan Trung Hi u Mssv: 0112463 - Trang 91 - ng pháp nêu ng pháp cao c p khó phát ng pháp c ng t n nhi u th i gian công s c M c dù chúng em r t c g ng tri n khai, ý t ch a mang tính kh thi cao có th áp d ng đ c phát tri n d a ng v n c vào th c t Sau chúng em xin Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính đ s h Hoàng C ng ng phát tri n v sau nh m m r ng thêm ý ngh a khoa h c c ng nh th c ti n c a đ tài: • C i thi n v n đ t c đ truy xu t b l c cho module th 2: Service ch ng v t Firewall • Nghiên c u ti p ph • Tri n khai ng d ng minh h a cho ph • Hoàn thi n h n n a Plug-in Service đ đ t hi u qu t i u • Tri n khai thành công module ch ng v ng pháp http tunneling ng pháp http tunneling t Firewall b ng ph ng pháp HTTP Tunneling • Tri n khai đ tài thành s n ph m hoàn ch nh đ áp d ng vào th c ti n Phan Trung Hi u Mssv: 0112463 - Trang 92 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính PH N TH Hoàng C ng PH L C DANH SÁCH CÁC TÀI LI U THAM KHÀO - Website: • http://www.microsoft.com • http://www.quantrimang.com • http://www.codeproject.com • http://www.sourceforge.net • http://www.experts-exchange.com • http://www.webopedia.com • http://www.nyu.edu • http://www.learnthat.com • http://www.stayinvisible.com • http://www.proxify.com • http://www.silentsurf.net • http://www.adminvietnam.net • http://www.anonimizer.com • http://www.tcpipguide.com • http://www.vnsecurity.net - Danh sách tài li u, sách, giáo trình tham kh o • Tài li u n t MSDN c a Microsoft • Anthony Jones Jim Ohlund, Network Programming for Microsoft Windows, 1999 (ebooks) • O'Reilly, Learning PHP 5,June-2004 • Addision Wesley, The C++ Programming Language,June-97 Phan Trung Hi u Mssv: 0112463 - Trang 93 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng • Wrox Press,Beginning PHP 4,2001 • Sams Publishing ,Teach Yourself PHP, MySQL and Apache in 24h,12-2002 • Addision Wesley,C/C++ Network Programming I & II,10-2001 Phan Trung Hi u Mssv: 0112463 - Trang 94 - Tr n Lê Quân Mssv:0112319 [...]... ý đ n c p thông tin hay phá ho i c a k x u 1.7 Các d ng firewall: M i d ng Firewall khác nhau có nh ng thu n l i và h n ch riêng D ng ph bi n nh t là Firewall m c m ng (Network-level firewall) Lo i Firewall này th ng d a trên b đ nh tuy n, vì v y các quy t c quy đ nh tính h p pháp cho vi c truy nh p đ c thi t l p ngay trên b đ nh tuy n Mô hình Firewall này s d ng k thu t l c gói tin (packetfiltering... áp d ng r ng rãi 1.8.4 Firewall có d phá hay không: Câu tr l i là không Lý thuy t không ch ng minh đ c có khe h trên Firewall, tuy nhiên th c ti n thì l i có Các hacker đã nghiên c u nhi u cách phá Firewall Quá trình phá Firewall g m hai giai đo n: đ u tiên ph i tìm ra d ng Firewall mà m ng s d ng cùng các lo i d ch v ho t đ ng phía sau nó; ti p theo là phát hi n khe h trên Firewall đó, giai đo n này... Lu n v n t t nghi p M ng máy tính Hoàng C ng Hình 2 Mô hình firewall M t cách v n t t, firewall là h th ng ng n ch n vi c truy nh p trái phép t bên ngoài vào m ng c ng nh nh ng k t n i không h p l t bên trong ra Firewall th c hi n vi c l c b nh ng đ a ch không h p l d a theo các quy t c hay ch tiêu đ nh tr c Hình 3 L c gói tin t i firewall Firewall có th là h th ng ph n c ng, ph n m m ho c k t h p c... tiêu di t và c h i s ng c khi xây d ng Firewall, b n nên xem xét ng t n v m ng c a mình M t đi u n a, Firewall c ng có kh n ng c m các k t n i không đ c cho phép t bên trong ra i u này, n u suy ngh đ n gi n thì chúng ta th y r t có l i, tuy nhiên trong m t vài tr ng h p thì nó v n có m t h n ch c a nó 1.8.1 Firewall d a trên Application gateway: M t d ng ph bi n là Firewall d a trên ng d ng application-proxy... đi i u này làm cho h th ng Firewall d dàng s d ng cho nh ng ng i trong m ng n i b mu n tr c ti p truy nh p t i các d ch v Internet, trong khi v n cung c p ch c n ng Firewall đ b o v m ng n i b t nh ng s t n công bên ngoài Phan Trung Hi u Mssv: 0112463 - Trang 27 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng 1.8.3 H n ch c a Firewall: • Firewall không đ thông minh... t t hay x u c a nó Firewall ch có th ng n ch n s xâm nh p c a nh ng ngu n thông tin không mong mu n nh ng ph i xác đ nh rõ các thông s đ a ch • Firewall không th ng n ch n m t cu c t n công n u cu c t n công này không "đi qua" nó M t cách c th , firewall không th ch ng l i m t cu c t n công t m t đ ng dial-up, ho c s dò r thông tin do d li u b sao chép b t h p pháp lên đ a m m • Firewall c ng không... t s ch v ng trình đ t qua firewall vào trong m ng đ c chuy n theo th đi n t , c b o v và b t đ u ho t đ ng đây • M t ví d là các virus máy tính Firewall không th làm nhi m v rà quét virus trên các d li u đ c chuy n qua nó, do t c đ làm vi c, s xu t hi n liên t c c a các virus m i và do có r t nhi u cách đ mã hóa d li u, thoát kh i kh n ng ki m soát c a firewall Tuy nhiên, Firewall v n là gi i pháp... c đ an toàn c a h th ng b o v 1.4 Firewall là gì ? Thu t ng Firewall có ngu n g c t m t k thu t thi t k trong xây d ng đ ng n ch n, h n ch ho ho n Trong công ngh m ng thông tin, Firewall là m t k thu t đ c tích h p vào h th ng m ng đ ch ng s truy c p trái phép, nh m b o v các ngu n thông tin n i b và h n ch s xâm nh p không mong mu n vào h th ng C ng có th hi u Firewall là m t c ch (mechanism) đ b... ra, không Firewall nào có th ng n c n vi c phá ho i t bên trong N u hacker t n t i ngay trong n i b t ch c, ch ng bao lâu m ng c a b n s b hack Th c t đã x y ra v i m t công ty d u l a l n: m t tay hacker trà tr n vào đ i ng nhân viên và thu th p nh ng thông tin quan tr ng không ch v m ng mà còn v các tr m Firewall 1.9 M t s mô hình Firewall: 1.9.1 Packet-Filtering Router: H th ng Internet firewall. .. Hình 6 Firewall đ Phan Trung Hi u Mssv: 0112463 c c u hình t i router - Trang 23 - Tr n Lê Quân Mssv:0112319 GVHD: ThS Lu n v n t t nghi p M ng máy tính Hoàng C ng Khi ho t đ ng, Firewall s d a trên b đ nh tuy n mà ki m tra đ a ch ngu n (source address) hay đ a ch xu t phát c a gói tin Sau khi nh n di n xong, m i đ a ch ngu n IP s đ c ki m tra theo các quy t c do ng i qu n tr m ng đ nh tr c Firewall ... 16 Mô hình firewall .18 L c gói tin t i firewall .18 M t s ch c n ng c a Firewall .20 L c gói tin 21 Firewall đ c c u hình t i router .23 Firewall m... phá ho i c a k x u 1.7 Các d ng firewall: M i d ng Firewall khác có nh ng thu n l i h n ch riêng D ng ph bi n nh t Firewall m c m ng (Network-level firewall) Lo i Firewall th ng d a b đ nh n, v... PHÁP L P TRÌNH T FIREWALL t firewall gì: • Nói m t cách nôm na, v t firewall v t qua s truy c n c a ng trình b o m t (Firewall) đ có th truy c p đ n đ ch c đích mong mu n • V • t firewall có th