3.3. Giải pháp trực tiếp trên máy tính cá nhân
3.3.3. Kernel mode: lấy nội dung từ lớp mạng (IP)
Tƣờng lửa lọc nội dung tại mức kernel mode về cơ bản tƣơng tự nhƣ mức user mode. Tuy nhiên, do tại các mức khác nhau nên có một số thay đổi đối với thông tin kiểm soát [ 7, 8, 9, 10, 11, 12, 13 ]:
• Địa chỉ nguồn, địa chỉ đích. • Cổng nguồn, cổng đích. • Giao thức (protocol). • Nội dung.
Nội dung kiểm soát thêm thông tin địa chỉ nguồn, địa chỉ đích nhƣng không kiểm soát đƣợc thông tin về ngƣời sử dụng, mật khẩu nhƣ tƣờng lửa mức ứng dụng user mode.
Để thực hiện lọc nội dung mức kernel mode, tƣờng lửa lọc nội dung cần can thiệp vào giao thức TCP/IP nhƣ hình vẽ dƣới đây:
Hình 3.12. Các chế độ Hook Firewall trên Windows
Start
End If(new thread)=true
Lấy dữ liệu (Kernel mode hook)
Multi thread Đúng Cập nhật thread Kho dữ liệu (Thread) Kho dữ liệu lọc (URL, IP) Lọc cụ thể, lọc loại trừ Sai Kho dữ liệu lọc (kiểu dữ liệu) Lọc cụ thể, lọc loại trừ check(URL) or check(IP) Đúng check(data type) Đúng Tổng hợp nội dung Sai Check(nội dung) Kho dữ liệu lọc (nội dung) Bộ quyết định
Hủy bỏ lấy dữ liệu (Kernel mode unhook) Kho dữ liệu lọc
(port)
check(port)
Sai
Đúng
Tƣờng lửa hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của TCP/IP. Dữ liệu truyền qua lớp này đều ở dạng gói. Mỗi gói là một lƣợng dữ liệu có kích thƣớc giới hạn, đủ nhỏ để dễ điều khiển. Khi lƣợng lớn dữ liệu đƣợc gửi chúng đƣợc chia ra thành nhiều gói và tái hợp ở nơi nhận.
Trong tƣờng lửa mức mạng, thƣờng chỉ giao thức và thông tin địa chỉ của mỗi gói đƣợc kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ qua.
Các gói vào/ra đƣợc kiểm soát dựa trên một tập luật, đƣợc gọi là chính sách (policies).
Về cơ bản, giải thuật lọc nội dung mức kernel mode giống nhƣ user mode, tuy nhiên trong các gói tin mức mạng đều có địa chỉ IP nguồn và địa chỉ IP đích nên bất kỳ gói tin nào cũng có thể thực hiện lọc cụ thể, lọc loại trừ (IP).
Đa số các tƣờng lửa đƣợc xây dựng trên việc kiểm soát luồng dữ liệu mức mạng.
Ƣu điểm:
• Kiểm soát đầy đủ các thông tin vào ra. • Ít ảnh hƣởng đến chất lƣợng mạng.
• Hiệu quả trong việc đóng khối các kiểu riêng biệt: dịch vụ, nguồn. Ví dụ, telnet có thể dễ dàng đƣợc đóng khối bằng cách áp dụng một luật lọc để đóng khối TCP cổng 23.
Nhƣợc điểm:
• Không thực hiện kiểm soát việc xác thực ngƣời dùng.
• Xây dựng cơ chế tổng hợp dữ liệu từ các gói đơn lẻ là rất khó.