3.4.1.Đánh giá giải pháp trực tiếp
Các ứng dụng thƣờng xuyên tác động lên nhau trên máy tính. Ví dụ: khi mở một file pdf trên máy tính, windows explorer sẽ gọi chƣơng trình xem pdf mặc định để chứa nội dung pdf. Tƣờng lửa sẽ kiểm tra tác động đó và ngăn chặn những thực thi không đƣợc phép truy cập do đó tƣờng lửa cần có vị trí trung gian, chính là các function hook, để có thể kiểm soát các hoạt động giữa các ứng dụng với nhau.
Để có chế độ bảo vệ mức cao, các chƣơng trình ứng dụng bảo mật thƣờng cần có mức điều khiển hơn mức tiến trình ứng dụng thông thƣờng. Để đạt đƣợc điều đó, tƣờng lửa thay thế một số “internal system functions” bởi các functions của riêng nó. Việc thay thế các function của hệ thống đƣợc gọi là “hooking”.
Có hai chế độ để thực hiện hooking là “user mode hooks” và “kernel mode hooks”. User mode là phƣơng thức đặc biệt cho việc xử lý các tiến trình của ngƣời dùng, với những đặc quyền truy cập thấp hơn so với kernel mode. Kernel mode, mặt khác, là sự thi hành toàn diện hơn và vận hành trực tiếp từ nhân của Windows và xử lý những lệnh đặc biệt của hệ thống.
So sánh đặc trƣng user mode và kernel mode hook [ 19 ]:
Tiêu chuẩn so sánh User-mode hooks Kernel-mode hooks
An toàn
1) Hook disabling (unhooking) Dễ dàng bị unhooking nếu không đƣợc bảo vệ cẩn thận. Mỗi phƣơng thức của
Có thể bị unhooking khi sử dụng quyền quản trị cao nhất của hệ thống.
chế độ user mode hook cần có biện pháp đối phó đặc biệt để chống đỡ lại unhooking.
2) Process Có thể xử lý tiến trình
trong thời gian thực, một số ngăn chặn:
• Kết thúc hợp pháp của ứng dụng.
• Xử lý tiến trình ngay cả khi có thể thay đổi ứng dụng, không toàn vẹn dữ liệu.
Không thể xử lý tiến trình trong thời gian thực.
Độ ổn định
3) Hoạt động ổn định Ổn định, ít gây ra lỗi trong
hoạt động.
Không ổn định, độ ổn định phụ thuộc vào nhiều yếu tố khác nhƣ phần mềm, phần cứng.
Tương thích
4) 64-bit Windows compatible Có Không, do Microsoft có
chế độ bảo vệ.
5) Windows Vista compatible Có Không, thiết kế ban đầu
của window vista không cho phép truy cập (hook) vào kernel mode.
3.4.2.Đề xuất
Nhƣ đã trình bày trên đây, giải pháp lọc nội dung truy cập Internet có thể đƣợc thực hiện tại: ISP, Gateway mạng LAN hoặc trực tiếp trên máy tính ngƣời dùng cá nhân. Các giải pháp tại ISP và Gateway mang tính triệt để, tổng quát cao. Tuy nhiên để thực hiện đƣợc cần có sự phân tích nghiên cứu lâu dài. Để đáp ứng yêu cầu quản lý hiện nay của nhà nƣớc và ngƣời sử dụng cá nhân, giải pháp trực tiếp trên máy tính ngƣời dùng cá nhân là giải pháp khả thi.
Về các giải pháp trực tiếp trên máy tính ngƣời dùng cá nhân nếu thực hiện xây dựng tƣờng lửa thông thƣờng thì đều có thể đáp ứng đƣợc yêu cầu trong đó giải pháp thực hiện tại kernel mode đƣợc coi là tối ƣu nhất. Tuy nhiên, áp dụng với tƣờng lửa lọc nội dung thì cần phải đƣợc xem xét trên cơ sở chức năng nhiệm vụ của nó:
1) Kiểm soát dịch vụ truy cập ra ngoài.
2) Kiểm soát dịch vụ từ ngoài truy cập vào trong. 3) Theo dõi luồng dữ liệu mạng giữa Internet. 4) Kiểm soát địa chỉ truy cập.
5) Kiểm soát cổng truy cập. 6) Kiểm soát thời gian truy cập.
7) Kiểm soát giao thức sử dụng (HTTP, FTP, Telnet,…).
8) Kiểm soát ngƣời sử dụng và việc truy cập của ngƣời sử dụng. 9) Kiểm soát nội dung thông tin lƣu chuyển trên mạng.
Song song với việc kiểm soát đƣợc các nội dung nhƣ trên, tƣờng lửa lọc nội dung sẽ đảm bảo:
1) Có mức bảo mật cao nhất.
2) Giảm thiểu ảnh hƣởng tốc độ mạng tới ngƣời sử dụng.
3) Xử lý thời gian thực khi truy cập của ngƣời sử dụng không hợp pháp. Để tƣờng lửa lọc nội dung hoạt động với các tính năng nhƣ trên và căn cứ phân tích cơ chế hoạt động tƣờng lửa (mục 3), tƣờng lửa lọc nội dung cần đƣợc xây dựng dựa trên sự kết hợp giữa user mode và kernel mode để có thể đảm bảo đƣợc các yêu cầu đặt ra.
Chƣơng 4 - GIẢI PHÁP LỌC NỘI DUNG VÀ XÂY DỰNG PHẦN MỀM TẠI MÁY TÍNH CÁ NHÂN