2.2.1 Mơ hình hệ thống lọc
2.2.1.1 Mơ hình hệ thống khi chƣa có cơ chế lọc nội dung
Khi một Client sử dụng trình duyệt web để gửi yêu cầu truy cập Internet tới Server, thì một kết nối từ Client tới Proxy đƣợc thiết lập. Một Proxy thƣờng bao gồm hai mô đun là Proxy Server và Proxy Client. Khi không đặt ở chế độ lọc thì các mơ đun này hoạt động nhƣ sau:
+ Proxy Server tiếp nhận yêu cầu từ Client để chuyển sang cho Proxy Client, đồng thời đợi đáp ứng từ Proxy Client chuyển về để gửi trả Client.
+ Proxy Client tiếp nhận yêu cầu từ Proxy Server rồi gửi cho Server, đợi đáp ứng từ Server để gửi trả lại cho Proxy Server.
2.2.1.2 Mơ hình hệ thống khi ở chế độ lọc
Kiến trúc của hệ thống lọc thƣờng gồm các mơ đun chính sau:
Mơ đun Proxy: Khi hệ thống đƣợc đặt ở chế độ lọc nội dung, thì hoạt
động của các thành phần Proxy có sự thay đổi. Các thành phần này sẽ đóng vai trị nhƣ ngƣời trung gian tiếp nhận các yêu cầu từ Client cũng nhƣ tiếp nhận đáp ứng từ Server để chuyển đến mô đun lọc xử lý.
Mô đun lọc nội dung: là phần quan trọng nhất của hệ thống này, nó bao
gồm các mơ đun riêng lẻ có nhiệm vụ tƣơng tác với Proxy để lọc nội dung. Từ
Client Server
Proxy
Server Client Proxy
Firewall/Redirect
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
kết quả lọc các thông tin đi đến Proxy, mô đun này sẽ quyết định cho phép hay từ chối gửi chuyển tiếp yêu cầu từ các máy trạm tới Web Server hoặc chuyển tiếp đáp ứng từ Web Server trả lời các máy trạm.
Mô đun Quản trị: Cho phép quản trị hệ thống và thiết lập chính sách
cho cơng cụ lọc bao gồm: thiết lập các cụm từ cần lọc, danh sách lọc, kết xuất nhật ký.v.v.
Mô đun Firewall: để định hƣớng lại gói tin trao đổi giữa ngƣời dùng và
mạng Internet nhằm tạo ra sự giao dịch trong suốt từ Client tới Web Server mà vẫn có thể lọc đƣợc nội dung. Client Server Proxy Server Proxy Client
Mô đun lọc theo
URL,IP, tên miền Mơ đun lọc nội dung theo từ khố
Nhật ký
Bộ quản lý chính sách lọc
Mơ đun quản trị bộ lọc Firewall/Redirect
Không vi phạm Không
vi phạm
Vi phạm Vi phạm
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.2.2. Nguyên lý hoạt động của hệ thống lọc
Khi tiếp nhận yêu cầu từ Client theo giao thức HTTP, fỉewall sẽ gửi các yêu cầu này tới cổng tiếp nhận của Proxy. Proxy Server sẽ thay mặt Web Server để giao dịch với Client và tiếp nhận yêu cầu rồi chuyển yêu cầu đó tới mơ đun lọc nội dung. Tại đây, mơ đun lọc sẽ thực hiện chức năng “lọc thô”, tức là chỉ lọc theo các tiêu chí: tên miền, địa chỉ IP, URL truy cập…dựa trên danh sách đen và danh sách trắng.
Nếu một trong các thông tin yêu cầu vi phạm hoặc tồn tại trong CSDL cấm truy cập thì bộ lọc sẽ thực hiện việc ghi lại nhật ký và gửi thông báo từ chối truy cập tới Client.
Nếu các thơng tin u cầu khơng vi phạm chính sách cấm, bộ lọc sẽ chuyển yêu cầu đó tới Proxy Client để chuyển tiếp tới Web Server đƣợc yêu cầu. Từ đây, yêu cầu sẽ đƣợc xử lý và một đáp ứng phù hợp sẽ đƣợc Web Server gửi trả về cho Proxy Client. Các đáp ứng có thể gửi về bằng một gói hoặc bằng nhiều gói tin nếu dữ liệu trả lời lớn hơn độ dài cho phép của gói tin đáp ứng.
Khi tiếp nhận các gói tin đáp ứng này, Proxy Client sẽ chuyển về cho bộ lọc nội dung để tiếp tục thực hiện chức năng lọc. Tùy thông tin đáp ứng là trang siêu văn bản hay là một file mà việc lọc nội dung sẽ đƣợc thực hiện với từng gói tin hay là sau khi đã nhận đủ các gói tin. Trong trƣờng hợp, thơng tin nhận đƣợc nằm trong một file dạng văn bản nén hoặc không nén, việc lọc chỉ đƣợc thực hiện sau khi đã nhận đủ các gói tin cần thiết và sử dụng phƣơng thức lọc text. Trong trƣờng hợp, thông tin nhận đƣợc nằm trong một file dạng siêu văn bản, việc lọc thực hiện với các thơng tin nhận đƣợc trong một vài gói tin sao cho dữ liệu nhận đƣợc tạo đủ một cặp thẻ BODY, DIV, ROW, COLUM và sử dụng kỹ thuật lọc theo từ khóa. Bộ lọc sẽ đối sánh tất cả các từ khóa bị cấm với nội dung nhận đƣợc để kiểm tra xem có sự vi phạm hay khơng. Nếu khơng vi phạm, nội dung này sẽ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
đƣợc chuyển lại cho Proxy Server để chuyển về cho Client. Nếu có sự vi phạm, thì bộ lọc sẽ ghi lại nhật ký đồng thời gửi thông báo từ chối truy cập tới Client.
2.1.3. Proxy
Thông tin yêu cầu giao tiếp từ nhiều ngƣời sử dụng đến mạng Internet và thông tin từ mạng Internet vào trong các mạng đƣợc lọc nội dung thông tin đều phải đi qua Proxy. Proxy ứng với các kênh truyền tải dữ liệu khác nhau sẽ có các Proxy tƣơng ứng: Http đi qua Http Proxy, FTP đi qua FTP Proxy, Mail đi qua Mail Transfer Agent (MTA).
Khi ngƣời sử dụng thực hiện một phiên giao tiếp từ các trình duyệt của máy Client ra ngoài Internet hoặc mạng bên ngồi nào đó, các u cầu đó phải đi qua Proxy tƣơng ứng. Hệ thống lọc nội dung thông tin can thiệp đến dịng thơng tin trao đổi (http, ftp, mail) bằng cách tƣơng tác với các Proxy tƣơng ứng. Tƣơng tác này đƣợc thực hiện qua các giao thức chuẩn hỗ trợ bởi các Proxy hoặc thông qua các Module lọc riêng rẽ trong hệ thống các Module lọc sẽ lần lƣợt thực hiện các nhiệm vụ riêng của mình, dựa trên các kết quả lọc, phân tích các Module lọc này, Module ra quyết định (Decsior) sẽ cho phép hay từ chối các yêu cầu giao tiếp giữa các máy trạm với mạng bên ngoài (Internet) hoặc từ mạng bên ngoài tới các máy trạm bên trong của các hệ thống mạng cần kiểm sốt các nội dung thơng tin.
Proxy là một loại tƣờng lửa (firewall) đƣợc thiết kế để tăng cƣờng chức năng kiểm soát các loại dịch vụ, giao thức đƣợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service. Proxy Service là các bộ chƣơng trình đặc biệt vài đặt trên Gateway cho tƣng ứng dụng. Nếu ngƣời quản trị mạng khơng cài đặt chƣơng trình Proxy cho một ứng dụng nào đó, dịch vụ tƣơng ứng sẽ khơng đƣợc cung cấp và do đó khơng thể trao đổi thơng tin qua tƣờng lửa. Ngồi ra, các mã lệnh Proxy có thể đƣợc cấu hình chỉ hỗ trợ một số đặc điểm trong ứng dụng mà ngƣời quản trị mạng cho là chấp nhận đƣợc trong khi từ chối những đặc điểm khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Một Firewall cổng ứng dụng thƣờng đƣợc coi nhƣ là một pháo đài (bastion host), bởi vì nó đƣợc thiết kế đặc biệt để chống lại sự tấn cong từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion host là:
- Bastion host ln chạy các Version an tồn của các hệ điều hành. Các Version an tồn này đƣợc thiết kế chun cho mục đích chống lại sự tấn công vào hệ điều hành, cũng nhƣ đảm bảo sự tích hợp Firewall.
- Chỉ những dịch vụ mà ngƣời quản trị mạng cho là cần thiết mơi đƣợc cài đặt trên Bastion host, đơn giản vì nếu một dịch vụ khơng đƣợc cài đặt, nó khơng thể bị tấn cơng. Thơng thƣờng, chỉ một số giới hạn các dịch vụ Telnet, DNS, FTP, SMTP và xác thực ngƣời dùng là đƣợc cài đặt trên Bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nhƣ mật khẩu ngƣời dùng hay thẻ thơng minh (smart card).
Mỗi Proxy đƣợc cấu hình để cho phép truy nhập tới chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và những thông số thiết lập cho mỗi Proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi Proxy ghi nhật ký ghi toàn bộ chi tiết về mỗi giao dịch thơng qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi Proxy đều độc lập với các Proxy khác trên Bastion host. Điều này cho phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề.
Ví dụ nhƣ Telnet Proxy: Một máy Client mạng ngoài muốn sử dụng dịch vụ Telnet để kết nối vào hệ thống mạng qua một Bastion host có Telnet proxy. Q trình xảy ra nhƣ sau:
+ Máy Client mạng ngoài thực hiện Telnet đến Bastion host. Basion host kiểm tra mật khẩu, nếu hợp lệ thì máy Client mạng ngồi đƣợc phép vào giao diện của Telnet proxy. Telnet proxy cho phép một tập nhỏ những lệnh của
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Telnet, và quyết định những máy chủ nội bộ nào, máy Client mạng ngoài nào đƣợc phép truy nhập.
+ Máy Client mạng ngồi chỉ ra máy chủ đích, Telnet proxy tạo một kết nối riêng nó tới máy chủ bên trong và chuyển các lệnh tới máy chủ dƣới sự ủy quyền của máy Client mạng ngồi. Máy Client mạng ngồi thì coi rằng Telnet proxy là máy chủ thật ở bên trong, trong khi máy chủ ở bên trong coi rằng Telnet proxy là Client thật.