Chơng trình KC-01: Nghiên cứu khoa học phát triển công nghệ thông tin truyền thông Đề tài KC-01-01: Nghiên cứu số vấn đề bảo mật an toàn thông tin cho mạng dùng giao thức liên mạng máy tính IP Báo cáo kết nghiên cứu Phần mỊm cã sư dơng chøng chØ sè Qun 8B: “B¶o mật dịch vụ Web thông qua Proxy Server Hà NộI-2004 Báo cáo kết nghiên cứu Phần mềm có sử dụng chứng số Quyển 7B: Bảo mật dịch vụ Web thông qua Proxy Server Chủ trì nhóm thực hiện: ThS Đặng Hoà Mục lục Chơng I SQUID Proxy Server 1-Giới thiệu Squid 2-Các thuật ngữ đợc sử dụng với Squid 3-Cách làm việc Squid số chơng trình kèm 4-Tệp cấu hình squid.conf 4.1-Các tùy chọn liên quan đến mạng 4.2-Các tùy chọn liên quan đến lu trữ 4.3-Những tham số ảnh hởng đến cache size 4.4-Th mục lu trữ tệp log 4.5-Các tùy chọn liên quan đến chơng trình bên 4.6-Các tùy chọn để điều chỉnh cache 4.7-Thời gian giới hạn cho kết nối 4.8-Điều khiển truy nhập 4.9-Các tùy chọn liên quan đến việc quản trị hệ thống 4.10- Các tùy chọn cho việc đăng ký cache server 4.11- Các tùy chọn tăng tốc Web 4.12- Các tùy chọn khác 4.13-Các tùy chọn giới hạn băng tần 4.14-Các tuỳ chọn hỗ trợ SSL Chơng II Tích hợp mËt m· cho Proxy 1- Giíi thiƯu vỊ OpenSSL vµ MySSL 2-Cҩu trúc file thѭ mөc cӫa MySSL 2.1-Các file thѭ mөc gӕc 2.2-Mô tҧ thѭ mөc apps 2.3-Mô tҧ thѭ mөc crypto 2.4-Mô tҧ thѭ mөc ssl 3-Các thuұt toán mұt mã MySSL 3.1-Thuұt toán mã khӕi MK1 3.2-Thuұt tốn mã hố cơng khai ký RSA 3.3-Thuұt toán băm MD5 3.4-Thuұt toán băm SHA1 3.5-Thѭ viӋn HMAC 4-Biên dӏch, cài ÿһt MySSL 4.1-Biên dӏch 4.2-Cài ÿһt 5-Biên dӏch, cài ÿһt SQUID có trӧ giúp dӏch v mt mó t MySSL Chơng III Trình duyệt Mybrowser tích hợp mật mà cho trình duyệt Mybrowser 1 3 10 10 13 14 14 15 15 16 17 17 18 18 19 20 22 23 23 25 30 31 32 33 33 34 34 35 i 1-Mozilla 1.0 vµ trình duyệt Mybrowser 1.1-Giới thiệu chung chơng trình Mozilla 1.0 1.2-Một số công nghệ chơng tr×nh Mozilla 1.0 1.2.1-XPCOM 1.2.2- Giao diƯn ng†êi dïng: XPToolkit 1.2.3- XPFE 1.3-Tối thiểu hoá chơng trình Mozilla 1.0 2-Tích hợp mật mà cho Mybrowser 3-Biên dịch Mybrowser 35 35 36 36 38 40 40 43 49 Ch¬ng IV Bảo mật dịch vụ web thông qua Proxy 51 51 51 51 51 52 53 53 54 62 63 63 64 65 67 67 68 1-Cấu hình cài đặt hƯ thèng 1.1-Web Server 1.1.1-ThiÕt lËp cÊu h×nh cho Apache Web Server 1.1.2-Chạy Window cài đặt Internet Information Server 1.2-Thiết lập cấu hình Proxy Server 1.3-Cài đặt thiết lập cấu hình Mybrowser 1.3.1-Cài đặt trình duyệt Mybrowser 1.3.2-Cài đặt CA Certificate 2-Các mô hình thực bảo mật dịch vụ Web 2.1-Mô hình thử nghiệm qua Ethernet 2.2-Mô hình thử nghiệm qua Dial-up 3-Thực bảo mật dịch vơ Web 3.1-Truy nhËp trang Web 3.2-T¶i tƯp 3.2.1-Ghi trang web 3.2.2-Download tƯp ii Ch¬ng I SQUID Proxy Server 1-Giíi thiƯu vỊ Squid Squid lµ proxy caching server cã m· nguồn mở cho máy khách sử dụng web, hỗ trợ đối tợng liệu giao thức FTP, gopher HTTP Squid giữ liệu đối tợng nóng (đà đợc tải qua) RAM, lu trữ tạm sở liệu đối tợng đĩa (phục vụ việc tìm kiếm đối tợng, DNS, ) Squid bao gồm chơng trình squid, chơng trình tìm kiếm hệ thống tên miền dnsserver, số chơng trình tuỳ chọn để viết lại yêu cầu thực xác thực, công cụ client Với khả tiết kiệm băng tần, khả bảo mật, tăng tốc độ truy cập Web Squid phần mềm tinh vi, miễn phí đà đa Squid thành phần mềm đợc sử dụng phổ biến Squid đợc sử dụng chế độ: chế độ tăng tốc http (httpd-accelerator) để tăng khả cung cấp Web server, chế độ proxy-caching server mà ta thờng sử dụng 2-Các thuật ngữ đợc sử dụng víi Squid Internet Object: lµ mét tƯp, tµi liƯu, để truy vấn dịch vụ internet chẳng hạn FTP, HTTP, gopher Internet object caching: cách lu trữ các đối tợng đợc yêu cầu (dữ liệu theo giao thức HTTP, FTP, gopher) hệ thống, gần so với việc tải đối tợng trực tiếp từ địa đích Các trình duyệt Web có thĨ sư dơng Squid cache cơc bé nh† mét proxy HTTP server, giảm thời gian truy cập nh băng tần Cache hierarchy: Là tập caching proxy server đợc tổ chức theo quan hệ cha/con đợc xếp theo thứ bậc anh em, cache gần Internet gateway đợc coi cache cha để lu trữ vị trí từ backbone Khi cache yêu cầu đối tợng từ proxy cha, đối tợng cache cha, proxy cha tải đối tợng, lu trữ chuyển cho proxy Điều giúp giảm tối đa truy cập băng tần liên kết đến backbone, giúp giảm việc nạp thông tin Internet từ mạng bên Thêm vào quan hệ cha/con, squid đa khái niệm anh em: cache mức lu trữ (cache hierarchy) Mỗi cache lu trữ định tải đối tợng cách độc lập; từ cache mình, proxy cha hay từ cache sibling Nó sử dụng thuật toán phân giải cache đợc mô t¶ ë d†íi parent (cache cha): Trong quan hƯ cha, cache chuyển yêu cầu tới cache cha Nếu cache cha không giữ đối tợng đợc yêu cầu, chuyển yêu cầu thay mặt cho cache Các cache cha thờng đợc đặt gần với Internet sibling (cache anh em) Trong quan hệ anh em, máy peer chuyển đối tợng đà nằm cache Quan hệ đợc dùng để lấy thông tin cache gần hơn, không định tuyến tới Internet Giao thức ICP (Internet Cache Protocol): Lµ mét giao thøc sư dơng cho viƯc trun thông squid cache Giao thức ICP đợc sử dụng cache để tìm đối tợng đặc biệt sibling cache Nếu squid cache tài liệu đợc yêu cầu, gửi tín hiệu ICP query tới cache anh em (sibling), sibling trả lời gói ICP HIT MISS Cache dựa vào tín hiệu trả lời, chọn cache có tín hiệu MISS để tải đối tợng ICP hỗ trợ đa đờng truyền dòng nhiều đối tợng thông qua kết nối TCP Trong phiên hành, Squid hỗ trợ ICP qua Multicast Giao thøc HTCP (Hyper Text Caching Protocol): NÕu nh† giao thøc ICP cho phÐp truy vÊn néi dung cache khác, để tránh việc tải lại đối tợng từ máy server xa gây lÃng phí thời gian, tài Giao thức HTCP cho phép yêu cầu có phần header đầy ®đ ®Ĩ nh»m mơc ®Ých qu¶n lý cache, më réng miền quản lý cache, có khả yêu cầu xoá nội dung cache từ xa gửi hint đối tợng web Thuật toán phân giải cache (Squid cache resolution algorithm): - Göi gãi tin ICP query tới tất sibling đợc thiết lập - Đợi tất tín hiệu trả lời sau thời gian giới hạn timeout (ngầm định giây) - Bắt đầu tải đối tợng nhận tín hiệu HIT trả lời đầu tiên, - Tải đối tợng từ proxy cha trả lời tín hiệu MISS, - Tải đối tợng trực tiếp từ nguồn (Web server) 3-Cách làm việc Squid số chơng trình kèm Squid đợc sử dụng chế độ: chế độ tăng tốc Web (trong chế độ Squid đợc dùng với Webserver) để tăng khả Web server, chế độ caching proxy server phép tất ngời mạng làm việc với Internet thông qua Squid - nghĩa tải đối tợng từ Squid proxy không tải đối tợng trực tiếp từ Internet Khi máy client (Web browser) yêu cầu đối tợng Internet; đối tợng cha có cache, proxy tải đối tợng (hoặc từ URL đà chØ, hc tõ mét cache proxy cha hc anh em - ta nói đến phần dới) Khi sử dụng lu trữ cache (cache hierarchy) hƯ thèng sÏ sư dơng giao thøc ICP ®Ĩ trao đổi thông tin đối tợng đợc yêu cầu, sử dụng thuật toán phân giải cache (đà trình bày trên) để tải đối tợng Một số chơng trình kèm ã dnsserver: tiến trình đợc gọi trình squid để phân giải địa tên miền thành địa IP ã unlinkd: tiến trình đợc sử dụng để hủy kết nối file cache không sử dụng ã cachemgr.cgi: chơng trình đa thông tin thống kê Squid ã client: công cụ dùng để kiểm tra kết nối với Webserver ã Một số chơng trình xác thực ngời dùng đợc kèm với gói source Squid, đặt th mục auth_modules/ 4-Tệp cấu hình squid.conf Tệp cấu hình squid.conf định nghĩa thông tin cấu h×nh cho Squid, bao gåm sè cỉng HTTP, cỉng HTTPS (làm việc với SSL), số cổng yêu cầu ICP, yêu cầu đến yêu cầu đi, thông tin truy cập firewall, thông tin timeout khác Mỗi tùy chọn đợc gọi thẻ (tag) Các dấu # đầu dòng đợc dòng giải thích (comment) - trình bày sơ qua tác dụng thẻ ta trình bày số thẻ quan trọng cần lu ý, thông tin thẻ khác ngời sử dụng tham khảo từ phần chó thÝch tƯp squid.conf TƯp squid.conf sư dơng 149 thẻ đợc chia thành 14 phần nh dới Phần liên quan đến SSL đợc trình bày mục 1.4.14 4.1-Các tùy chọn liên quan đến mạng (gồm thẻ) Đoạn chứa cấu hình liên quan đến mạng Squid Bao gồm tuỳ chọn đóng vai trò quan trọng việc định địa socket Squid để truyền thông với Server từ xa Neighbor cache Các cổng chung mà Squid sử dụng để nghe yêu cầu trả lời TCP ICP địa IP mà Squid ràng buộc để tạo địa socket Dới lần lợt giới thiệu thẻ tuỳ chọn liên quan đến mạng: Thẻ http_port Thẻ đợc dùng để địa socket mà Squid nghe yêu cầu HTTP Có thể thiết lập nhiều địa socket theo dạng: số cổng, : : Trong hầu hết trờng hợp ta cần xác định số cổng, ngầm định 3128 Nếu chạy chế độ tăng tốc http, ta cần sử dụng cổng 80 Thẻ icp_port Thẻ xác định số cổng mà Squid gửi nhận yêu cầu ICP từ neighbour cache Giá trị ngầm định 3130 Nó bị ghi ®Ì bëi t chän tõ dßng lƯnh /usr/sbin/squid -u icp_port Thẻ htcp_port Đợc dùng để số cổng mà Squid gửi nhận yêu cầu ICP tới từ neighbour cache Giá trị ngầm định 4827 Thẻ mcast_groups Xác định nhóm Multicast để Server đăng nhập nhận gói truy vấn ICP multicast Ngầm định Squid không nghe nhóm multicast Thẻ tcp_outgoing_address Đợc dùng cho kết nối với server từ xa Thông thờng không cần thiết lập cho tuỳ chọn Thẻ udp_incoming_address Đợc dùng cho ICP socket nhận gói từ cache khác Ngầm định 0.0.0.0 Thẻ udp_outgoing_address Đợc dùng để gửi gói ICP tới cache khác Ngầm định 255.255.255.255 4.2-Các tùy chọn liên quan đến lu trữ (gồm thẻ) Đoạn nµy chØ sư dơng dïng nhiỊu Squid cache lu trữ (cache hierarchy) Số máy server cache, kiểu cấu hình, thời gian đợi để truyền thông server đối tợng không đợc lu cache cục đợc định Thẻ cache_peer Đợc dùng để cache khác lu trữ Tuỳ chọn đợc chia thành trờng: hostname, type, http_port, icp_port, options Để biết thêm chi tiết xin đọc file /etc/squid/squid.conf Thẻ cache_peer_domain Thẻ đợc dùng để giới hạn miền mà neighbour cache query Nó đợc dùng để truyền thông với cache khác, phụ thuộc vào miền đợc yêu cầu Thẻ icp_query_timeout (msec) Thông thờng Squid tự thiết lập giá trị này, ta muốn thay đổi thời gian giới hạn chờ gói ICP query, thay đổi Thẻ maximum_icp_query_timeout (msec) Xác định giá trị thời gian giới hạn lớn chờ gói ICP query Thông thờng Squid tự định giá trị Thẻ mcast_icp_query_timeout (msec) Sư dơng dïng multicast ThỴ dead_peer_timeout (seconds) Thêi gian để Squid khai báo máy peer cache đà chết Nếu sau khoảng thời gian không nhận đợc gói ICP trả lời, Squid khai báo máy peer cache đà chết không nhận gói trả lời từ cache server Thẻ no_cache Sử dụng tùy chọn để bắt buộc đối tợng chắn không đợc nằm cache VÝ dô: acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY Tất URL có chứa từ cgi-bin \? không đợc lu trữ cache Và số tùy chọn sau: neighbor_type_domain, hierarchy_stoplist 4.3-Những tham số ảnh hởng đến cache size (gồm 12 thẻ) Đoạn cho phép cấu hình chi tiết việc sử dụng tài nguyên Squid, tập liệu cache lu trữ đĩa sách thay nhớ Thẻ cache_mem (bytes) Xác định nhớ đợc sử dụng Squid: đối tợng truyền, đối tợng nóng, đối tợng không đợc nằm cache Tham số không xác định kích cỡ tiến trình lớn Kích cỡ tiến trình Squid lớn gấp hai ba lần giá trị thiết lập Thẻ maximum_object_size (bytes) Các đối tợng lớn kích thớc không đợc ghi vào đĩa Nếu bạn muốn tăng tốc độ việc tiết kiệm băng tần, nên thiết lập tùy chọn với giá trị nhỏ Giá trị ngầm định 4MB Thẻ minimum_object_size (bytes) Các đối tợng có kích thớc nhỏ kích thớc không đợc ghi vào đĩa Giá trị ngầm định (KB) Thẻ maximum_object_size_in_memory (bytes) Các đối tợng lớn kích thớc không đợc cố giữ lại bé nhí cache ThỴ ipcache_size (number of entries) ThỴ kích cỡ ipcache Thẻ cache_replacement_policy Xác định tham số sách thay đối tợng cần không gian đĩa Hiện có chuẩn sau: ã LRU (Least Recently Used): sách gốc Squid, sách giữ lại đối tợng thờng xuyên đợc sử dụng ã heap GDSF (Greedy-Dual Size Frequency): giữ lại đối tợng thông dơng cache • heap LFUDA (Least Frequently Used with Dynamic Aging): giữ lại đối tợng thông dụng (có kích thớc lớn so với GDSF) cache ã heap LRU: sách LRU đợc bổ sung thêm sử dụng heap Tuỳ chọn đợc áp dụng cho dòng tham số cache_dir bên dới Thẻ memory_replacement_policy Tham số sách thay nhớ, định xem đối tợng bị loại bỏ khỏi nhớ cần đến không gian nhớ Và mét sè thỴ sau: fqdncache_size (number of entries), cache_swap_low (percent, 0-100), cache_swap_high (percent, 0-100), ipcache_low (percent), ipcache_high (percent) 4.4-Th môc lu trữ tệp log (gồm 15 thẻ) Đoạn cho phép cấu hình file log (kích cỡ, tên, đờng dẫn, kích hoạt), thông tin runtime, lỗi Dữ liệu đợc dùng để gỡ rối hệ thống gặp trục trặc để phân tích mẫu cache Thẻ cache_dir Xác định th mục cache để chứa đối tợng Internet Thiết lập theo cú ph¸p nh† sau: cache_dir Type Maxobjsize Directory Mbytes Level-1 Level2 [ ] Type xác định kiểu hệ thống lu trữ ®Ĩ sư dơng HÇu hÕt mäi ng†êi sÏ mn sư dơng kiĨu ‘ufs’ Cã thĨ sư dơng kiĨu Async I/O asyncufs (khi biên dịch chạy file configure với tham số enable async-io) Maxobjsize tham chiếu tới kích thớc đối tợng lớn cho th mục lu trữ cã nghÜa lµ kÝch th†íc bÊt kú Directory lµ th† mục mức cao mà file cache swap đợc lu giữ Nếu ta muốn sử dụng toàn đĩa (hoặc phân vùng) làm cache, ta 10 Ng†êi sư dơng cã thĨ chän mét hai c¸ch cài đặt: cài đặt toàn phần mềm "Complete", cài đặt thành phần theo yêu cầu ngời sử dụng Ngời sử dụng đặt đờng dẫn đến nơi phần mềm đợc cài cách sư dơng nót lƯnh "Browse" Sau ®· thùc hiƯn chọn kiểu cài đặt nh nơi cài đặt, ngời sử dụng chọn nút lệnh "Next", hình xuất hộp hội thoại "Quick Launch" nh hình Hình Khi ngời sử dụng sử dụng chức "Quick Launch" chơng trình cài đặt tạo biểu tợng phần mềm Mybrowser TaskBar, để ngời sử dơng cã thĨ kÝch ho¹t nhanh øng dơng Chän "Next", hình xuất hộp hội thoại nh hình 60 Hình Để bắt đầu trình cài đặt ngời sử dụng chọn "Install", trình cài đặt đợc bắt đầu Hình Quá trình cài đặt kết thúc hình xuất logo của phần mềm nh hình 61 Hình Sau logo biến hình xuất giao diện phần mềm Mybrowser nh hình Hình Sau cài đặt xong ngời sử dụng vào më menu Start/Programs/ sÏ thÊy cã mơc Mycagroup/MyBrowser nh† h×nh 62 Hình 1.3.2-Cài đặt CA Certificate Certificate nơi mà đà cấp Certificate cho Squid Server để xác thực Squid Server Mục đích việc để xác thực Proxy Server Mặt khác bạn đà cài đặt CA certificate, nhng có lỗi không xác thực đợc Proxy Server tức Proxy Server giả mạo Để chạy chơng trình Web Client bạn chọn Start/Programs/Mycagroup/Mybrowser, xt hiƯn giao diƯn chÝnh cđa tr×nh dut nh† hình 10 dới 63 Hình 10 Để cài đặt CA certificate bạn chọn File/Open file sau chọn tệp chứng CA (có thể RootCA None-RootCA) Chọn Open, xuất hộp thoại nh hình 11 dới Hình 11 64 Bạn check vào mục "Trust this CA to indentify web sites", sau ®ã chän OK Để hiển thị thông tin CA bạn chọn View, xuất hộp thoại nh hình 12 dới Hình 12 Để kiểm tra xem chứng CA đà đợc cài vào Web browser hay cha bạn chọn Edit/Preferences /Privacy & Security/Certificates/Manage Certificates /Authorities, ®ã xt hiƯn hép thoại nh hình 13 dới 65 Hình 13 Trong ví dụ chứng để xác thực Proxy Server có tên CA Chú ý: Trong file hosts (nếu Web client chạy Linux th mục /etc, Web client chạy nỊn Windows th× ë th† mơc \windows), ta thùc ánh xạ địa thành tên virtual host nh sau: 128.1.1.2 rao1 128.1.1.2 rao2 2-Các mô hình thực bảo mật dịch vụ Web Để đơn giản thể đa mô hình hệ thống nh sau: mét m¸y Web Client thùc hiƯn truy cËp trang web đặt máy chủ Web Server, đặt Web Client Web Server máy Squid Proxy Server (có chạy MySSL) ã Máy1:Có thể sử dụng hệ điều hành Linux Windows, cài đặt Web Server nh MS IIS Apache Server ã Máy2: Sử dụng hệ điều hành Linux, cài đặt Squid kết hợp với MySSL ã Máy3:Có thể sử dụng hệ điều hành Linux Windows, cài đặt trình duyệt Mybrowser Chú ý: 66 ã Trên máy2 (Squid) thùc hiÖn hai lÖnh sau: /usr/local/squid/sbin/squid -z /usr/local/squid/sbin/squid -D -N -X ã Chạy trình duyệt Mybrowser, sử dụng giao thức https để kết nối tới Squid máy2 Ví dụ với Apache đợc cài máy1, máy3 ta gõ địa chỉ: https://128.1.1.2 trang chủ mặc định Apache Với IIS đợc cài máy1, máy3 ta gâ https://128.1.1.2/CertSr sÏ hiƯn trang chđ cđa IIS • Việc hỗ trợ SSL đợc thực cấu hình Squid chạy chế độ tăng tốc Web (Accelerator) ã Web Server hoạt động chế độ bình thờng (không hỗ trợ SSL) Chúng ta không động vào Web Server 2.1-Mô hình thử nghiệm qua Ethernet Mô hình thử nghiệm qua Ethernet đợc thiết lập đơn giản nh sau: Máy máy Web Server, chạy MS IIS (Windows) Apache Server (Linux), với địa Ethernet 200.1.1.1/24 Máy đợc nối với Máy Proxy Server thông qua HUB Máy Proxy Server máy cài hệ điều hành Linux RedHat 7.2 chạy chơng trình Squid+SSL, có địa Ethernet thứ eth0 200.1.1.2/24 địa Ethernet thứ eth1 128.1.1.2/16 Máy Web Client chạy hệ điều hành Windows Linux, có địa Ethernet lµ 128.1.1.3/16 vµ Web Client truy cËp vµo Web Server sử dụng trình duyệt Mybrowser Mô hình cụ thể nh† sau: M¸y M¸y Web Client (Linux, Win) 128.1.1.2/16 Squid MySSL (Linux) M¸y 200.1.1.2/24 Web Server (Linux, Win) 200.1.1.1/24 128.1.1.3/16 HUB HUB Mô hình thử nghiệm qua Ethernet 2.2-Mô hình thử nghiệm qua Dial-up Mô hình thử nghiệm qua Dial-up đợc thiết lập đơn giản nh sau: Máy máy Web Server, chạy MS IIS (Windows) Apache Server (Linux), với địa Ethernet 200.1.1.1/24 Máy đợc nối với Máy Proxy Server 67 thông qua HUB Máy Proxy Server máy cài hệ điều hành Linux RedHat 7.2 chạy chơng trình Squid+SSL, có địa Ethernet 200.1.1.2/24 địa Internet 128.1.1.2/16 Máy Web Client chạy hệ điều hành Windows Linux, có địa Internet 128.1.1.3/16 Web Client truy cập vào Web Server sử dụng trình duyệt Mybrowser Mô hình cụ thể nh sau: Internet Modem 128.1.1.3/16 Web Client (Linux, Win) M¸y Modem 128.1.1.2/16 Squid MySSL (Linux) 200.1.1.2/24 Web Server (Linux, Win) 200.1.1.1/24 M¸y M¸y HUB Mô hình thử nghiệm qua Dial-up 3-Thực bảo mật dịch vụ Web Các dịch vụ web đợc truy cập bảo mật từ trình duyệt Mybrowser thông qua Proxy (sử dụng Squid+MySSL) hoàn toàn suốt ngời sử dụng, hoạt động nh thông thờng Nhng thông tin trang web đờng truyền đợc bảo mật theo chuẩn SSLv3/TLS1 Trong phiên cha hỗ trợ đầy đủ mô hình xác thực SSLv3/TLS1: Web client gửi client-hello-message sang Proxy Server, nhận đợc hello message tõ phÝa Client th× Proxy Server gưi server-hello-message, sau b†íc bên đà thoả thuận xong thuật toán mà hoá, xác thực (MK1, RSA) khoá phiên liên lạc Sau đó, Proxy Server tiếp tục gửi certificate sang client Bên client sử dụng CA certificate đà đợc cài Web Client để xác thực Proxy Server Web Client gửi Client-done tới Proxy Server ngợc lại Proxy Server gửi lại trả lại Server-done Đến đây, yêu cầu Web Client tới Proxy Server ngợc lại đợc bảo mật, yêu cầu đợc Proxy dịch gửi tới Web Server nh thông thờng Nh vậy, so với mô hình xác thực đầy đủ Web 68 Client phải gửi certificate sang để Proxy Server tiến hành việc xác thực Client Mới đà Squid-3.0 hỗ trợ đầy đủ mô hình xác thực SSLv3/TLS1, nhng cha đợc hoàn thiện, tơng lai sử dụng Squid Dới giới thiệu việc thiết lập, thực dịch vụ bảo mật Web vơi Web server IIS Windows 2000 Đối vơi Web server khác hoàn tơng tự, không can thiệp đến Web server trình thực toán bảo mật 3.1-Truy nhập trang Web Để sử dụng dịch vụ truy cập Web bảo mật, bạn chạy chơng trình Mybrowser, chọn Start/Programs/Mycagroup/Mybrowser, gõ trang web cần truy cập tới nh hình 14 dới Hình 14 Nếu bạn không thực cài đặt CA certificate (đà cấp chứng cho Proxy Server) việc xác thực Proxy Server sai, Mybrowser đa hộp thoại cảnh báo CA đà cấp chứng cho Proxy Server, đó, việc xác thực Proxy Server coi nh lỗi Hộp thoại thông báo việc xác thực Proxy Server nh hình 15 dới 69 Hình 15 Nếu công việc xác thực Proxy Server xuất hộp thoại cảnh báo nh hình 16 dới Hình 16 Chọn OK để tiếp tục, trang web bảo mật nh hình 17 dới 70 Hình 17 Đến dịch vụ truy nhập trang web từ Web Server đợc thao tác hoàn toàn nh trình duyệt web khác 3.2-Tải tệp Các thao tác dịch vơ t¶i tƯp tõ trang Web cđa Web Server cịng nh trình duyệt khác Cụ thể, bạn chia làm trờng hợp: ghi trang web vµo hƯ thèng, vµ download tƯp 3.2.1-Ghi trang web Ví dụ bạn đà truy cập vào trang web Web Server có tên may6 nh hình 18 trên, muốn ghi trang web vào hệ thống bạn chọn File/Save Page As nh hình 18 dới 71 Hình 18 3.2.2-Download tệp Giả sử bạn đà truy cập vào trang web Web Server có tên may6 nh hình 18 Muốn download tệp, bạn đặt trỏ chuột vào tệp cần download bấm phải chuột, sau chọn Save Link Target As nh hình 19 dới 72 Hình 19 Với thao tác cho phép bạn tải tệp ghi vào hệ thống bạn, nh hình 20 dới 73 Hình 20 Bạn chọn nơi cần lu tệp tải sau chọn "Save" để hệ thống tải tệp, ví dụ tải tệp 01_iis ghi vµo th† mơc c:/tiendq 74 ... nghiên cứu Phần mềm có sử dụng chứng số Quyển 7B: Bảo mật dịch vụ Web thông qua Proxy Server Chủ trì nhóm thực hiện: ThS Đặng Hoà Mục lục Chơng I SQUID Proxy Server 1-Giới thiệu Squid 2-Các thuật... Với khả tiết kiệm băng tần, khả bảo mật, tăng tốc độ truy cập Web Squid phần mềm tinh vi, miễn phí đà đa Squid thành phần mềm đợc sử dụng phổ biến Squid đợc sử dụng chế độ: chế độ tăng tốc http... thử nghiệm qua Ethernet 2.2-Mô hình thử nghiệm qua Dial-up 3-Thực bảo mật dịch vơ Web 3.1-Truy nhËp trang Web 3.2-T¶i tƯp 3.2.1-Ghi trang web 3.2.2-Download tƯp ii Ch¬ng I SQUID Proxy Server 1-Giíi