Upload
an-ninh-mang
View
443
Download
11
Embed Size (px)
Citation preview
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
HỌC VIỆN KỸ THUẬT MẬT MÃ
---------------***---------------
ĐỒ ÁN TỐT NGHIỆP
Đề tài
Tìm hiểu công nghệ phòng chống Virus trên mạng
HTTP – Anti Virus
Ngành : Tin học (mã số 01.02.10)
Chuyên ngành : An toàn thông tin
Khóa : 03 (2006 - 2011)
Cán bộ hướng dẫn khoa học : Th.S Đinh Quốc Tiến
Sinh Viên thực hiện : Trần Văn Duy
HÀ NỘI 2011
Trần Văn Duy Năm 20111
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Mục LụcDanh mục các từ viết tắt
Danh mục các hình vẽ
Lời nói đầu
Chương 1 : Tìm hiểu chung về Virus
1.1. Lịch sử phát triển của Virus…………………………………………….3
1.2. Các loại Virus máy tính…………………………………………………3
Chương 2 : Nghiên cứu tìm hiểu một số giải pháp …………………………12
phòng chống Virus tiên tiến
2.1. Giải pháp phòng chống Virus của TrendMicro ………………………..12
2.1.1. Thành phần bảo vệ Gateway………………………………………12
2.1.2. Thành phần chống Virus cho Mail………………………………...17
2.2. Phòng chống Virus bằng ClamAV
sử dụng công nghệ điện toán đám mây…………………………………22
2.2.1. Công nghệ điện toán đám mây…………………………………….22
2.2.2.1. Tìm hiểu chung về công nghệ điện toán đám mây…………..22
2.2.2.2. Các mô hình điện toán đám mây…………………………….26
2.2.2. Tìm hiểu về ClamAV……………………………………………..32
2.2.2.1. Giới thiệu về ClamAV……………………………………….32
2.2.2.2. Các hệ điều hành được hỗ trợ………………………………..33
2.2.2.3. Các thành phần trong ClamAV………………………………34
2.2.2.4. Hoạt động của các thành phần……………………………….35
2.2.2.5. ClamAV sử dụng công nghệ điện toán đám mây
Chương 3 : Tìm hiểu về HTTP Anti Virus Proxy
và Squid Proxy Server...................................................................43
3.1. HTTP Anti Virus Proxy………………………………………………...43
3.1.1. Giới thiệu về HAVP………………………………………………43
3.1.2. Quá trính xử lý của HAVP………………………………………..45
3.1.3. Thiết lập mô hình HAVP………………………………………….46
3.1.3.1. Cài đặt HAVP trên Firegate………………………………….46
3.1.3.2. Các tùy chọn của HAVP……………………………………..48
Trần Văn Duy Năm 20112
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.4. Cấu hình các chế độ cho HAVP…………………………………..52
3.1.4.1. Cấu hình HAVP ở chế độ Standard………………………….52
3.1.4.2. Cấu hình HAVP ở chế độ Standard
kết hợp xác thực của Squid………………………………… 54
3.2. Squid Proxy Server……………………………………………………..54
3.2.1. Chức năng của Squid……………………………………………...54
3.2.2. Cài đặt và các tùy chọn Squid trên Firegate………………………56
3.2.2.1. Cài đặt Squid…………………………………………………56
3.2.2.2. Cấu hình Squid ở chế độ xác thực…………………………...58
Kết luận…………………………………………………………………………60
Tài liệu tham khảo………………………………………………………………61
Trần Văn Duy Năm 20113
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Danh Mục Các Từ Viết Tắt
A.M : Association for Computing MachineryUSD : United Stade DollarDdoS : Distributed Denial Of ServiceMP3 : MPEG audio layer 3 SWF : SOCWave Flash SQL : Structured Quero LanguageJPEG : Joint Photographic Experts GroupFreeBSD : Free Berkeley Software DistributionHAVP : HTTP Anti Virus ProxyEOF : End Of FileGPL : Gerneral Public License
ZIP : Zip file format
RAR : Roshal ARchive
TAR : Tape ARchive
OLE2 : Object Linking and Embeddinguc
CHM : Cubic Meter per Hour
SIS : Symbian OS filename Extension
MS : Microsoft
HTML : Hyper Text Markup Language
MAC OS : Macintosh Operating System
GNU : GNU’s Not Unix
NAT : Network Address Translation
TCP : Transmission Control Protocol
HTTP : Hypertext Transfer Protocol
VMWARE : Virtual Machine Ware
AV : Anti Virus
Trần Văn Duy Năm 20114
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
ELF : Executable and Linking Format
PE : Phase Encoded
LAN : Local Area Network
IP : Internet Protocol
WAN : Wide Area Network
HTTPS : Hypertext Transfer Protocol Security
FTP : File Transfer Protocol
SMTP : Simple Mail Transfer Protocol
RAM : Random Access Memory
CPU : Central Processing Unit
RFC : Request For Comments
UDP : User Datagram Protocol
VIA : Very Innovative Architeture
URL : Uniform Resourse Locator
DNS : Domain Name System
LRU : Least Recently Used
GDSF : Graphical Data Fusion System
CD : Compact Disc
LDAP : Lightweight Directory Access Protocol
TTL : Tim To Live
ACL : Access Control List
TCP : Transmission Control Protocol
TOS : Term Of Service
SSL : Secure Sockets Layer
TLS : Transport Layer Security
Trần Văn Duy Năm 20115
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
NNTP : Network News Transfer Protocol
NCSA : National Computer Security Association IPs : Internet Protocol SecurityUFS : Unix File SystemAUFS : Authentication Unix File SystemPOSIX : Portable Operating System Interface forUnixGDFS : Global Data File SystemCIDR : Classless Inter Domain RoutingEC2 : Elastic Compute CloudSaaS : Software as a ServiceIT : Informaion TechnologySOA : Service Oriented ArchitectureSAML : Security Assertion Markup LanguageISO : Internation Organization for StandardizationIaaS : Infrastructure as a ServicePaaS : Platform as a ServiceAPI : Application Programming InterfaceISV : Independent Software VendorCRM : Customer Relationship ManagementCC : Cloud ComputingUPX : Ultimate Packer for ExecutablesSP3 : Service Pack 3SP1 : Service pack 1
Trần Văn Duy Năm 20116
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Danh Mục Các Hình Vẽ
Hình 1-1 : Hình ảnh minh họa Virus
Hình 1-2 : Virus ngày càng phát triển và lây lan trên mạng
Hình 1-3 : Hình ảnh minh họa sâu internet Worm
Hình 2-1 : Mô hình InterScan security Suite
Hình 2-2 : Lọc Messaging
Hình 2-3 : Mô hình InterScan web security Suite
Hình 2-4 : Thành phần bảo vệ file server
Hình 2-5 : Bảo vệ đến tận các Client
Hình 2-6 : Thành phần quản lý tập trung
Hình 2-7 : Mô hình chung điện toán đám mây
Hình 2-8 : Mô hình các lớp dịch vụ
Hình 2-9 : Mô hình đám mây công cộng
Hình 2-10 : Mô hình đám mây doanh nghiệp
Hình 2-11 : Mô hình đám mây chung
Hình 2-12 : Mô hình đám mây lai
Hình 2-13 : Công nghệ điện toán đám mây sử dụng trong ClamAV
Hình 2-14 : Giao diện các chức năng của ClamAV
Hình 2-15 : Giao diện các tùy chọn trên ClamAV
Hình 2-16 : Cảnh báo malware
Trần Văn Duy Năm 20117
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-17 : Mô phỏng cộng đồng người dùng ClamAV
Hình 3-1 : Mô hình hoạt động của HAVP
Hình 3-2 : Quá trình xử lý của HAVP
Hình 3-3 : Giao diện quản lý gói trên Firegate
Hình 3-4 : Giao diện các gói đã được cài đặt
Hình 3-5 : Giao diện Tab HTTP Proxy
Hình 3-6 : Giao diện tab Files Scanner
Hình 3-7 : Giao diện tab Settings
Hình 3-8 : Câu hình Havp ơ chế độ Standard
Hình 3-9 : Câu hình HAVP ơ chế độ Standard kết hợp với xác thưc của Squid
Hình 3-10 : Squid đặt giữa máy trạm và máy chủ
Hình 3-11 : Danh sách các gói có thể cài đặt được trong Squid
Hình 3-12 : Danh sách các gói đã được cài đặt vào trong Squid
Hình 3-13 : Dải mạng được phép sử dụng Proxy trong chế độ Authentication
Hình 3-14 : Lưa chọn phương thức xác thưc
Trần Văn Duy Năm 20118
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Lời Nói Đầu
Ngày nay mạng Internet đã trở thành một nhu cầu không thể thiếu trong
cuộc sống và trong công việc. Việc truyền tải thông tin dữ liệu, gửi và nhận mail,
lướt web… ngày nay trở nên phổ biến và vô cùng quan trọng. Nhưng song song
với sự phát triển của mạng internet thì cũng xuất hiện ngày càng nhiều loại Virus
nguy hiểm gây hại cho chúng ta. Và cũng vì thế đã có rất nhiều phần mềm, công
nghệ mới ra đời nhắm chống lại và giảm thiểu tối đa sự lây lan và phá hoại của
Virus. Tuy nhiên, những phần mềm cũng như công nghệ đó chỉ có thể phát hiện
và tiêu diệt được những loại Virus đã có từ trước, còn những loại Virus mới xuất
hiện thì hầu như là không thể.
Chính vì lý do đó mà công nghệ phòng chống Virus không ngừng phát
triển và ngày càng phải phát triển hoàn thiện hơn nữa, đảm bảo sự an toàn cho
người dùng khi truy cập vào mạng internet, cũng như những dữ liệu truyền trên
đó. Cũng vì thế mà chúng ta phải có một cái nhìn cơ bản về các công nghệ, cơ
chế hoạt động và tính năng nổi bật của chúng. Từ đó chúng ta hiểu biết thêm về
tầm quan trọng trong việc phát triển công nghệ phòng chống Virus.
Đề tài : “ Tìm hiểu công nghệ phòng chống Virus trên mạng
Http – Anti Virus“
Đồ án gồm 4 chương :
Trần Văn Duy Năm 20119
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chương I : Tìm hiểu chung về Virus. Chương này giúp chúng ta có cái nhìn
khái quát về Virus như lịch sử ra đời và phát triển vủa Virus, một
số loại Virus cơ bản.
Chương II : Nghiên cứu tìm hiểu một số giải pháp phòng chống Virus tiên
tiến. Chương này tìm hiểu về hai giải pháp phòng chống Virus :
thứ nhất là phương pháp phòng chống Virus bằng ClamAV, các
thành phần trong ClamAV và giúp chúng ta có một cái nhìn khái
quát nhất về điện toán đám mây-công nghệ mới nhất đang đem
lại hiệu quả vô cùng to lớn trong công việc phòng chống Virus.
Thứ 2 là giải pháp phòng chống Virus của Trendmicro.
Chương III : Tìm hiểu về HTTP Anti Virus Proxy và Squid Proxy Server.
Chương này cho chúng ta tập trung nghiên cứu HAVP và Squid
như : Khái niệm, quá trình xử lý như thế nào và thiết lập các mô
hình HAVP, mô hình Squid và các tùy chọn của mỗi mô hình đó.
Trong quá trình thực hiện đề tài này, ngoài những cố gắng của bản thân,
em đã nhận được sự giúp đỡ rất lớn từ thầy Đinh Quốc Tiến cùng các thầy cô
giáo trong khoa An Toàn Thông Tin – Học Viện Kỹ Thuật Mật Mã. Em xin cảm
ơn thầy đã giúp đỡ em tận tình để em hoàn thành đề tài này. Do thời gian nghiên
cứu chưa nhiều, kiến thức còn hạn chế nên không thể tránh khỏi những sai sót,
kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn !
Sinh Viên
Trần Văn Duy
Trần Văn Duy Năm 201110
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chương 1
Tổng Quan Về Virus
1.1. Lịch sử phát triển của virus
Có thể nói virus có một quá trình phát triển khá dài, và nó luôn song hành
cùng người bạn đồng hành của nó là những chiếc "máy tính", (và tất nhiên là
người bạn máy tính của nó chẳng thích thú gì ). Khi mà Công nghệ phần mềm
cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay
đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và
để có thể ăn bám ký sinh. Tất nhiên là virus không tự sinh ra
Trần Văn Duy Năm 201111
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-1 . Hình ảnh minh họa Virus
Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản
chỉ là một thú đùa vui ác ý. Nhưng chỉ có điều những cái đầu thông minh này
khiến chúng ta phải đau đầu đối phó và cuộc chiến này gần như không chấm dứt
và nó vẫn tiếp diễn.
Có nhiều tài liệu nói khác nhau nói về xuất xứ của virus máy tính, đó cũng
là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một
"xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng
có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những
hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy
vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít
nhiều liên quan tới những sự kiện sau:
1983 - Để lộ nguyên lý của trò chơi "Core War"
"Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2
lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo
gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố
gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ
thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.
Trần Văn Duy Năm 201112
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson
người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận
một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M
Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy
tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã
chứng minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả
về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi
này. Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa
những người viết ra virus và những người diệt virus.
1986 - Brain virus
Có thể được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ
bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware.
Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học
Hebrew – Israel
1987 - Lehigh virus xuất hiện
Lại một lần nữa liên quan tới một trường Đại học. Lehigh chính là tên của
virus xuất hiện năm 1987 tại trường Đại học nà y. Trong thời gian nà y cũng có 1
số virus khác xuất hiện, đặc biệt WORM virus (sâu virus), cơn ác mộng với các
hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ là m cho công ty
IBM nhớ mãi với tốc độ lây lan đáng nể: 500000 nhân bản trong 1 giờ.
1988 - Virus lây trên mạng
Trần Văn Duy Năm 201113
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-2. Virus ngày càng phát triển và lây lan trên mạng
Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính
quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu
nhận thức được tính nguy hại của virus máy tính.
1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa", chúng không
phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus. "Những chú
ngựa thành Tơ-roa" này khi đã gắn vào máy tính của bchúng thì nó sẽ lấy cắp
một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này
muốn nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của
chúng ta
1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó
đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ
thống máy tính.
Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả
thật không dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng
sau lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó.
1992 - Michelangelo virus
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 92 này
tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực
kỳ phức tạp.
1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại
virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những
tiền bối của nó. Chúng gây ra một cú sốc cho những công ty diệt virus cũng như
những người tình nguyện trong lĩnh vực phòng chống virus máy tính. Cũng phải
tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nào
thì tại Việt Nam chúng ta đã đưa ra được giải pháp rất đơn giản để loại trừ loại
virus này và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi
trên toàn Quốc.
Trần Văn Duy Năm 201114
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Sau này những virus theo nguyên lý của Concept được gọi chung là virus
macro, chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel,
Powerpoint), và những nhân viên văn phòng - những người sử dụng không am
hiểu lắm về hệ thống - ắt hẳn sẽ không mấy dễ chịu với những con virus thích
chọc ngoáy vào công trình đánh máy của họ
1996 - Boza virus
Khi hãng Microsoft chuyển sang hệ điều hànnh Windows95 và họ cho
rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện
virus lây trên hệ điều hành Windows95 (có lẽ không nên thách thức những kẻ
xấu, điều đó chỉ thêm kích động chúng
1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu
Melissa không những kết hợp các tính năng của sâu Internet và virus marco, mà
nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là
Microsoft Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị
nhiễm Mellisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và
chúng ta cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.
Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm
250 ngàn máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây
thiệt hại hàng trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt
mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương
tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng
đồng hồ.
Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính
trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ
liệu của hang triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày
26 tháng 4.
2000 - DDoS, Love Letter virus
Có thể coi là vụ việc virus phá hoại lớn nhất từ trước đến nay, Love Letter
có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng có 6
tiếng đồng hồ đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55
triệu máy tính, gây thiệt hại 8,7 tỷ USD.
Trần Văn Duy Năm 201115
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những
nơi nó lây nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu "Từ chối dich
vụ - Denial of Service" (yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các
máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu
cầu mới -> bị vô hiệu hoá) vào các hệ thống máy chủ khi người điều hành nó
phất cờ, hoặc chúng tự định cùng một thời điểm tấn công. Và một hệ thống điện
thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.
2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên
các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng
file MP3 cho download.
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng
nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy
trạm sang máy trạm...), làm cho việc phòng chống vô cùng khó khăn, cho đến
tận lúc này (tháng 9 năm 2002) ở Việt Nam vẫn còn những cơ quan với mạng
máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra
một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một
virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.
2002 - Sự ra đời của hàng loạt loại virus mới
Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này
lây những file .SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một
loại công cụ giúp làm cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự
ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft.
Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ!
Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL
Tháng 6, có vài loại virus mới ra đời
Perrun lây qua Image JPEG (Có lẽ bạn nên cảnh giác với mọi thứ). Scalper tân
công các FreeBSD/Apache Web server.
1.2. Các loại virus máy tính
1.2.1. Virus Boot
Trần Văn Duy Năm 201116
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Khi chúng ta bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi
động của chúng ta sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ
điều hành mà chúng ta muốn (Windows, Linux hay Unix...).
Sau khi nạp xong hệ điều hành chúng ta mới có thể bắt đầu sử dụng máy.
Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng
được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus
Boot.
Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng
ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot không nhiều
như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên
đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi
động.
1.2.2.Virus File
Là những virus lây vào những file chương trình như
file .com, .exe, .bat, .pif, .sys... mãi tới năm 1995 virus macro mới xuất hiện và
rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus
File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.
1.2.3. Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính
(Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office.
Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng,
có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là
các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được
công thao tác.
Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao
tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.
1.2.4. Con ngựa Thành Tơ-roa - Trojan Horse
Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy
Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp
không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng
hoà , sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được
Trần Văn Duy Năm 201117
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và
đánh chiếm thành từ bên trong.
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng.
Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương
trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những
chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt
chảng hạn).
Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài
đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có
thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên
mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet
của người sử dụng và gửi bí mật cho chủ nhân của các Trojan).
Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có
tính chất lây lan, nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn
nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan.
Thông thường các phần mềm có chứa Trojan được phân phối như là các
phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng.
1.2.5. Sâu Internet Worm
Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của
virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết
là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một
kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây
lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc
đường truyền.
Trần Văn Duy Năm 201118
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-3. Hình ảnh minh họa sâu internet Worm
Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address
book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người
thân, khách hàng... của chủ máy.
Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên
với địa chỉ người gửi là chính chúng ta, chủ sở hữu của chiếc máy. Điều nguy
hiểm là những việc này diễn ra mà chúng không hề hay biết, chỉ khi chúng ta
nhận được thông báo la đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ
rằng máy tính của mình bị nhiễm virus (mà chưa chắc chúng ta đã tin như
thế!!?).
Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể
nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ
trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới
hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu Internet"
cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy
tính khác trên các "cành cây" Internet.
Trần Văn Duy Năm 201119
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra
chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng
một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào
một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng
lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngoài ra,
chúng còn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân
và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp.
Do sự phát triển không ngửng của Virus như thế, các loại Virus ngày
một tinh vi hơn, ngày một nguy hiểm hơn. Vậy thì làm thế nào để có thể phòng
chống và ngăn chặn sự lây lân và phá hoại của Virus? Câu hỏi này luôn đặt ra
cho mỗi chúng ta phải tìm cách xây dựng các phần mềm, các công nghệ phòng
chống Virus một cách hiệu quả nhất. Và ngay từ khi Virus xuất hiện, các công
nghệ đó cũng được phát triển theo, như công nghệ nhận diện theo mẫu truyền
thống, hoặc công nghệ Heuristic và Behavior…; Nhưng ở chương sau em xin
giới thiệu về công nghệ phòng chống Virus được ứng dụng trong ClamAV , và
ClamAV sử dụng công nghệ điện toán đám mây. Đây là công nghệ mới nhất và
đem lại sự đột phá trong công nghệ phòng chống Virus. Qua các chương sau đó
chúng ta sẽ tìm hiểu xây dựng nhúng ClamAV trong HAVP kết hợp Squid để
phòng chống Virus trên mạng .
Chương 2
Nghiên Cứu Tìm Tiểu Một Số Giải Pháp
Phòng Chống Virus Tiên Tiến2.1. Giải pháp phòng chống Virus của TrendMicro
Hiện nay, việc lây nhiễm và phát tán virus là điều làm đau đầu các nhà
quản trị mạng trên toàn thế giới, chúng ảnh hưởng rất lớn đến toàn bộ hệ thống
mạng. Thiệt hại do virus gây ra là cực kì lớn. Do đó, việc xây dựng hệ thống
phòng chống virus là yêu cầu hàng đầu của bất kì hệ thống thông tin nào.
Trần Văn Duy Năm 201120
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Virus hoạt động qua các dịch vụ công cộng như Web, Mail … có nghĩa là
một virus mới sẽ dễ dàng đi qua một firewall chưa cập nhật kịp thời. Khả năng
đó có thể dễ dàng tạo ra các backdoor, chuyển các thông tin nhạy cảm ra bên
ngoài mà không gặp sự cản trở nào.
Xây dựng hệ thống phòng chống virus phải được thực hiện đồng bộ và
nhất quán trên tất cả các vị trí từ trên xuống dưới, từ gateway cho đến tất cả các
trạm làm việc. Chương trình chống virus phải có khả năng bảo vệ được các dịch
vụ khác như: web, e-mail, file sharing …
Yêu cầu đặt ra cho giải pháp chống virus là phải bảo vệ toàn diện hệ thống
mạng trung tâm từ Internet Gateway, các Server cho đến từng Client khỏi sự tấn
công của virus. Hệ thống chống virus phải được cập nhật kịp thời, nhanh chóng,
có dịch vụ tốt từ nhà cung cấp. Đồng thời phải có giải pháp quản trị hệ thống
chống virus một cách tập trung, đồng bộ tại tất cả các điểm trong hệ thống mạng
tại hội sở, tuy nhiên vẫn có các quản trị viên cấp dưới có một số quyền hạn nhất
định để kiểm tra, kiểm soát tính toàn vẹn của cả hệ thống.
2.1.1. Thành phần bảo vệ Internet Gateway
Internet gateway là điểm kết nối hệ thống mạng với môi trường Internet.
Tại đây có thể xem như là một cánh cửa rộng nhất để virus và các đoạn mã có
dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn
chặn từ cổng mạng này là thiết yếu, bao gồm các thành phần:
InterScan Messaging Security Suite (IMSS)
Giải pháp toàn diện này sẽ khoá các mã có dụng ý nguy hiểm, spam, và
nội dung không mong muốn ngay tại mức messaging gateway - điểm vào quan
trọng nhất của mạng.
Trần Văn Duy Năm 201121
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-1. Mô hình InterScan Messaging Security Suite
Khả năng bảo vệ toàn diện Messaging : IMSS cung cấp khả năng
bảo vệ toàn diện messaging tại mức gateway bằng cách quét các
luồng giao thông SMTP và POP3 với sự tích hợp công nghệ chống
virus, lọc nội dung, và khả năng chống spam. Khi engine quét phát
hiện một gói tin chứa virus, nó triển khai kỹ thuật Active Action tự
động delete virus. Nó cũng đánh giá email nhiễm các loại virus khác
nhau và xác định hoặc là xoá, cách ly, hoặc làm sạch rồi sau đó mới
phân phát message. Công ty có thể khoá các luồng email không xác
thực với điều khiển đường truyền SMTP, như là anti-relay và hạn
chế kết nối – bảo vệ các lớp khác nhau chống lại tấn công.
Bảo vệ tránh bị tấn công từ chối dịch vụ (DoS) : Bằng việc làm tràn
ngập một mail server với những file đính kèm có kích thước lớn
hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ
thống mail của một doanh nghiệp, tổ chức. IMSS for SMTP bao
gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm
của những mail không được phép vào mạng nội bộ, chúng sẽ bị
chặn ngay ở mức gateway.
Khả năng lọc nội dung cao cấp : Công nghệ lọc nội dung của IMSS
cho phép công ty hạn chế nội dung email vào/ra bằng cách khoá
Trần Văn Duy Năm 201122
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
messages không thích hợp trên cơ sở các từ khoá, loại file, tên đính
kèm, kích cỡ đính kèm, và những quy luật khác. Giảm thiểu các
email mang tính tiêu khiển, công ty có thể tiết kiệm được tài nguyên
mạng, nâng cao năng suất của nhân viên, và bảo vệ các thông tin
quan trọng.
Tính năng lọc Spam thông minh : Module chống spam tích hợp với
IMSS để tạo ra khả năng lọc spam trên cơ sở heuristic với hiệu suất
cao. Engine định danh và khoá spam với tỷ lệ bắt gặp cao và lỗi
thấp. Nhà quản trị có thể chọn lựa thiết đặt mức độ spam và tạo ra
danh sách người gởi được phép hoặc bị khoá, hành động lọc, hoặc
những luật khác nhau cho các cá nhân hoặc nhóm.
Hình 2-2. Lọc Messaging
IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend
Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine
sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi
qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định
nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus
trong file), quarantine (cách ly các file bị nhiễm), delete (xóa file bị nhiễm)…
Trần Văn Duy Năm 201123
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả
năng phát hiện virus dựa trên hành vi.
InterScan Web Security Suite (IWSS)
Hình 2-3 . Mô hình InterScan Web Security Suite
Khả năng chống virus và bảo mật nội dung tại Web Gateway : IWSS
thực hiện bảo mật với hiệu suất cao cho các luồng giao thông HTTP
và FTP tại gateway Internet. Gói tích hợp các công nghệ antivirus,
anti-phishing, anti-spyware, và có thể tuỳ chọn thêm công nghệ lọc
URL. Đây là giải pháp bao hàm toàn diện được thiết kế để quét nội
dung Web và chặn đứng các mối đe doạ nguy hiểm – không làm
giảm hiệu suất Web. Nó cũng có khả năng uyển chuyển và linh
động cao, cho cả các mạng lớn và phức tạp. Với trình quản lí tập
trung, nhà quản trị IT có thể triển khai nhanh chóng, kết hợp phòng
thủ chống lại các mối đe doạ xuất hiện.
IWSS tích hợp toàn bộ giải pháp được thiết kế để khoá các mối đe
doạ trên nền Web bao gồm virus, Trojans, worm, tấn công phishing
Trần Văn Duy Năm 201124
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
và spyware. Các mối đe doạ này có thể tấn công vào hệ thống mạng
thông qua email trên nền Web và các trang Web chứa đựng mã
nguy hiểm ẩn ở trong. IWSS bảo vệ chống lại các mối đe doạ này
bằng cách quét các luồng giao thông HTTP và FTP.
Anti-phishing : Công nghệ anti-phishing của Trend Micro được tích
hợp trong IWSS được thiết kế để khoá các luồng dữ liệu hướng ra
được biết ảnh hưởng xấu đến Web sites. Công nghệ này cung cấp
một lớp bảo vệ mới bổ sung cho IMSS và sản phẩm anti-spam lọc
mail khác theo luồng giao thông SMTP hướng vào. Kết quả, IWSS
giúp ngăn chặn kẻ trộm lấy cắp các thông tin bí mật của công ty và
cá nhân, như là credit card, tài khoản ngân hàng, số bảo mật quan
trọng khác, gồm cả user name và password.
Anti-spyware : Công nghệ anti-spyware của Trend Micro được thiết
kế để khoá spyware và adware, các công cụ thêm vào giúp truy xuất
từ xa và hỗ trợ hacking gây thiệt hại cho mạng. Công nghệ này tăng
thêm khả năng bảo mật giúp ngăn chặn tội phạm mạng, những kẻ
bất lương, và các quảng cáo lấy thông tin cá nhân, thông tin của tập
đoàn, password, địa chỉ email, và thông tin khác. Nó cũng giải thoát
tài nguyên hệ thống và tăng tính sẵn sàng của băng thông, cải thiện
hiệu suất mạng và giảm sự sụp đổ liên quan đến spyware.
Khả năng uyển chuyển và linh động : IWSS hỗ trợ cấu hình
standalone hay kết hợp với proxy servers và Appliance – có nhiều
tuỳ chọn hơn bất kỳ giải pháp bảo mật Web nào khác. IWSS cũng
hỗ trợ LDAP và Active Directory, cho phép nhà quản trị IT dễ dàng
thiết đặt chính sách gán các luật cho PCs và Groups. Cơ sở bảo mật
linh động này cho phép nhà quản trị IT thiết đặt chính sách và gán
các luật đến các nhóm và cá nhân sử dụng phù hợp. Nó cũng cung
cấp hành động lọc linh động như lưu trữ, trì hoãn, phân phát, và
message nhắc nhở. Tính uyển chuyển cao cho phép tích hợp với các
sản phẩm hàng đầu khác như Check Point, Cisco, NetScreen...
Quản lý tập trung : Khi Suite được triển khai với TMCM, nhà quản
trị có thể quản lý tập trung tất cả các sản phẩm bảo mật Trend Micro
Trần Văn Duy Năm 201125
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
thông qua enterprise. Cấu hình sản phẩm, cập nhật pattern virus,
chính sách bảo mật, và các chức năng khác có thể điều khiển thông
qua console quản lý tập trung – cho phép nhanh chóng, kết hợp
phòng thủ chống lại các mối đe doạ xảy ra. Báo cáo Real-time và
định thời cũng cung cấp một góc nhìn toàn diện tất cả các sản phẩm
để dễ dàng phân tích thông tin.
2.1.2. Thành phần chống Virus cho Mail
Scanmail For Exchange
Nguy cơ lây nhiễm virus qua thư điện tử đang là nguy cơ phổ biến nhất
hiện nay bởi số lượng người sử dụng thư điện tử không ngừng gia tăng. Qua hệ
thống thư điện tử, virus tấn công vào hệ thống mạng của tổ chức dưới nhiều loại
hình khác nhau như worm, spam, mass-mailing…làm rối loạn hoặc đình trệ hoạt
động của hệ thống.
ScanMailTM for Exchange phát hiện và diệt virus cũng như các đoạn mã
có hại ẩn trong email và các public folder theo thời gian thực. Thành phần này
ngăn chặn sự xâm nhập của virus trước khi chúng nhiễm vào các desktop.
Thành phần chuyên biệt này có chức năng quét virus trong các email gửi
qua Microsoft Exchange Server và hoàn toàn tương thích với database của
Microsoft Exchange.
Quản trị viên có thể cài đặt hệ thống từ xa, quá trình quét virus là “trong
suốt” đối với end-user, các thông báo về sự kiện nhiễm và diệt virus được lưu lại
và thông báo cho quản trị viên.
Các tinh năng quan trọng:
Phát hiện và loại bỏ virus trong thời gian thực : ScanMail for Microsoft
Exchange phát hiện và loại bỏ virus khỏi các luồng email hướng vào/ra và
các file attachment trước khi chúng vươn tới người sử dụng cuối. Hỗ trợ
Microsoft MAPI, VS API và ESE API, ScanMail quét các luồng giao
thông SMTP, MAPI, HTTP, POP3, IMAP4, IFS, và NNTP tại thời gian
thực.
Cấu hình uyển chuyển và khả năng quản lý từ xa : ScanMail có thể triển
khai nhanh chóng đến một hoặc nhiều Exchange server, kể cả Cluster
server. Nhà quản trị có thể quản lý tất cả server ScanMail thông qua giao
Trần Văn Duy Năm 201126
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
diện Web hoặc console Windows, công việc cấu hình, quản lý và logging
phần mềm dễ dàng. ScanMail cũng được sử dụng bởi TMCM, một
console quản lý tất cả các sản phẩm của Trend Micro, cung cấp khả năng
quản lý các nhóm cấu hình, báo cáo, triển khai sản phẩm chống virus một
cách tập trung thông qua mạng.
Quản lý cách ly : tính năng này cho phép nhà quản trị cấu hình và lưu trữ
tất cả email và file attach trong quá trình bùng nổ virus để ngăn chặn khả
năng lây lan của virus. Quarantine Manager cho phép các tuỳ chọn resend,
forward, hoặc xoá các item đã cách ly hoặc chuyển nó tới mailbox của nhà
quản trị. Giao diện thân thiện với người sử dụng cung cấp cho nhà quản trị
các công cụ có thể xem lại, phân tích các item đã bị cách ly. Khả năng
cách ly email trên cơ sở các luật tự chọn giảm bớt sự lạm dụng tài nguyên
email và làm tăng hiệu quả của hệ thống.
Quản lý và lọc nội dung email với trình lọc eManager : Exchange server
phiên bản mới đã được tăng thêm khả năng an toàn khi có thành phần
eManager tích hợp sẵn. eManeger triển khai trên các quy luật do người sử
dụng định nghĩa và các toán tự luận lý (AND, OR, NOT) để khoá và lọc
các nội dung không mong muốn trong email và phần attachment, giảm
thiểu các nguy cơ đưa vào mạng các nội dung không phù hợp thông qua
mail server nên giúp tăng hiệu suất làm việc.
Duy trì tài nguyên mạng với các tính năng IntelliScan và ActiveAction :
các tính năng này sẽ kiểm tra tất cả các message nhưng chỉ quét trên
những email mang virus tiềm ẩn. Mỗi lần virus được phát hiện, các hành
động đề nghị như: clean, quarantined, hoặc delete sẽ được thực thi.
Hiệu suất quét cao : ScanMail kết hợp nhiều công nghệ quét, bao gồm cả
so mẫu, kiểm soát hành vi dựa vào tập luật (rules-based behavior
monitoring) để cung cấp khả năng phát hiện và loại bỏ virus hiệu quả. Khả
năng quét đa luồng làm tăng tốc độ quét email và giảm thiểu tác động đến
Exchange server. Hành động quét virus trong suốt đối với người dùng trừ
khi một virus bị delete, khi đó, người gởi, người nhận, và nhà quản trị có
thể nhận được nhắc nhở bằng email.
Thành phần bảo vệ File Server
Trần Văn Duy Năm 201127
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình2-4. Thành phần bảo vệ file server
Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên
Server, chúng ta sẽ sử dụng thành phần ServerProtect.
ServerProtect là thành phần bảo vệ file và các ứng dụng hệ thống của
server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông
qua kiến trúc gồm 3 thành phần:
Information Server : được cài trên 1 server với mục đích quản lý tập trung
các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa
(Remote Procedure–RPC) để connect tới các server Windows NT và sử
dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell
NetWare.
Normal Server : được cài trên các server (có thể coi đây là bản client của
Server Protect) và được quản lý bởi Information Server.
Management Console : Công cụ quản trị sử dụng giao thức TCP/IP, quản
trị viên có thể log-on vào Information Server thông qua hình thức xác thực
dựa trên username và password để cài đặt ServerProtect cho các Server
trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống
virus trong hệ thống.
Trần Văn Duy Năm 201128
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Information Server và tất cả các Normal Server đều có thể cài đặt và cập
nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows.
Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy:
Đang bị nhiễm virus.
Cấu hình bị thay đổi.
Một dịch vụ nào đó bị gỡ bỏ.
Mẫu virus không được cập nhật kịp thời.
Hệ thống phòng chống đang bị sửa đổi.
Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác
nhau: qua e-mail, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box.
Thành phần bảo vệ Client
OfficeScan là thành phần chống virus cho các máy trạm. Thành phần này
hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định
kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên
hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên.
Việc cài đặt OfficeScan cho từng client hoàn toàn thông qua giao diện
Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển
khai hệ thống trong mạng LAN.
Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp,
TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client
này.
Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính
nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững
chính sách phòng chống virus trong mạng
Trần Văn Duy Năm 201129
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-5. Bảo vệ tận đến các Client
Thành phần quản lý tập trung
Chức năng của Trend Micro Control Manager:
Quản lý tất cả các thành phần diệt virus được cài đặt trong hệ thống
mạng. Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong
mạng diện rộng.
Cho phép cập nhật mẫu virus một cách tự động và thống nhất, cho phép
người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống
thực hiện một chính sách chống virus một cách thống nhất.
Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ
thống thực hiện một cách tập trung trên một máy chủ Windows.
Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi
phí trong việc vận hành và duy trì hệ thống.
Trần Văn Duy Năm 201130
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-6. Thành phần quản lý tập trung
Ngăn chặn nguy cơ “bùng nổ” virus ở trong mạng một cách hữu hiệu với
OPP (Outbreak Prevention Policy). TMCM sẽ tự động phát hiện ra các
dấu hiệu của một nguy cơ bùng nổ virus mới và sẽ tự động cập nhật chính
sách ngăn chặn từ TrendMicro để đối phó với nguy cơ này. Người quản trị
cũng có thể chủ động đưa ra các chính sách ngăn chặn bùng nổ riêng cho
hệ thống (thành phần này là tuỳ chọn thêm)
2.2. Phòng chống Virus bằng ClamAV sử dụng công nghệ điện
toán đám mây2.2.1. Công nghệ Điện toán đám mây (Cloud Computing)
2.2.1.1.Tìm hiểu chung về điện toán đám mây
Trước hết chúng ta tìm hiểu về lịch sử của thuật ngữ này : Thuật ngữ điện
toán đám mây xuất hiện bắt nguồn từ ứng dụng Điện toán lưới (Grid Computing)
trong thập niên 1980, tiếp theo là điện toán nhu cầu (Utility Computing) và phần
mềm dịch vụ (SaaS). Điện toán lưới đặt trọng tam vào việc di chuyển một tải
công việc (workload) đến địa điểm của các tài nguyên cần thiết để sử dụng.
Trần Văn Duy Năm 201131
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Một lưới là một nhóm máy chủ mà trên đó nhiệm vụ lớn được chia thành
những tác vụ nhỏ để chạy song song, được xem là một máy chủ ảo. Với điện
toán đám mây, các tài nguyên điện toán như máy chủ có thể được định hình
động hoặc cắt nhỏ từ cơ sở hạ tầng phần cứng nền và trở nên sẵn sàng thực hiện
nhiệm vụ, hỗ trợ những môi trường không phải la điện toán lưới như Web ba lớp
chạy các ứng dụng truyền thống hay ứng dụng Web 2.0.
Hiểu một cách đơn giản, điện toán đám mây là việc ảo hóa các tài nguyên
tính toán và các ứng dụng. Thay vì việc sử dụng một hoặc nhiều máy chủ thật
(ngay trước mắt, có thể sờ được,có thể tự nhấn nút bật tắt nguồn được) thì nay
chúng ta sẽ sử dụng các tài nguyên được ảo hóa (virtualized) thông qua môi
trường internet.
Như vậy, trước đây có thể triển khai một ứng dụng (ví dụ một trang web),
chúng ta phải đi mua/thuê một hay nhiều máy chủ (server), sau đó đặt máy chủ
tại các trung tâm dữ liệu (dât center) thì nay điện toán đám mây cho phép chúng
ta giản lược quá trình mua/thuê đi. Chúng ta chỉ cần nêu ra yêu cầu của chúng ta.
Chính vì vậy, có thể kể đến một vài lợi ích cơ bản của điện toán đám mây như
sau :
Sử dụng các tài nguyên tính toán động (Dynamic computing
resource) : Các tài nguyên được cấp phát cho doanh nghiệp đúng
như những gì doanh nghiệp muốn một cách tức thời. Thay vì việc
doanh nghiệp phải tính toán xem có nên mở rộng hay không, phải
đầu tư bao nhiêu máy chủ thì nay doanh nghiệp chỉ cần yêu cầu
“Hey, đám mây, chúng tôi cần them tài nguyên tương đương với 1
CPU 3.0 GHz, 128 GB RAM…” và đám mây sẽ tự tìm kiếm tài
nguyên rỗi để cung cấp cho chúng ta.
Giảm chi phí : Doanh nghiệp sẽ có khả năng cắt giảm chi phí để
mua bán, cặt đặt và bảo trì tài nguyên. Rõ ràng vì việc phải cử một
chuyên gia đi mua máy chủ, cài đặt máy chủ, bảo trì máy chủ thì
nay chúng ta chẳng cần phải làm gì ngoài việc xác định chính xác
tài nguyên mình cần và yêu cầu.
Giảm độ phức tạp trong cơ cấu của doanh nghiệp: Doanh nghiệp
sản xuất hang hóa mà lại phải cử một chuyên gia IT để vận hành
Trần Văn Duy Năm 201132
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
vào bảo trì máy chủ thì rất tốn kém. Nếu outsource được quá trình
này thì doanh nghiệp sẽ chỉ tập trung vào việc sản xuất hang hóa
chuyên môn của mình và giảm bớt độ phức tạp trong cơ cấu.
Tăng khả năng sử dụng tài nguyên tính toán : Một trong những câu
hỏi đau đầu của việc đầu tư tài nguyên ( vi dụ máy chủ ) là bao lâu
thì nó sẽ hết khấu hao, tái đầu tư như thế có lợi hay không, có bị
outdate về công nghệ hay không…Khi sử dụng tài nguyên trên đám
mây thì chúng ta không cần phải quan tâm tới điều này nữa.
Kiến trúc hướng dịch vụ ( SOA) : Tuy nhiên, nghiên cứu gần đây
cho thấy vấn đề bảo mật là rào cản lớn nhất quyết định liệu điện
toán đám mây có được sử dụng rộng rãi nữa hay không .
Các vấn đề bảo mật vẫn không ngăn được sự bùng nổ công nghệ cũng như
sự ưa chuộng điện toán đám mây bởi khả năng giải quyết và đáp ứng các nhu cầu
bức thiết trong kinh doanh.
Để đảm bảo an toàn cho đám mây điện toán, chúng ta cần nắm được vai
trò của nó trong sư phát triển công nghệ. Rất nhiều câu hỏi xung quanh những ưu
và khuyết điểm khi sử dụng điện toán đám mây trong đó tính bảo mât, hữu dụng
và quản lí luôn được chú ý xem xét kỹ lưỡng.
Bảo mật là đề tài được giới người dùng thắc mắc nhiều nhất và sau đây là
một số câu hỏi hàng đầu được đặt ra để quyết định liệu việc triển khai điện toán
đám mây có phù hợp hay không và nếu không thì nên lựa chọn mô hình nào cho
phù hợp : cá nhân hay công cộng, hay cả 2.
Khả năng rủi ro khi triển khai mô hình điện toán đám mây
Dù mang tính chất cá nhân hay công cộng thì chúng ta vẫn không thể hoàn
toàn quản lý được môi trường, dữ liệu và kể cả con người. Những thay đổi trong
mô hình có thể làm tăng hoặc giảm rủi ro. Những ứng dụng đám mây cung cấp
thông tin rõ ràng, các công cụ thông báo tiên tiến và tích hợp với hệ thông sẵn có
sẽ làm giảm rủi ro. Tuy nhiên, một vài ứng dụng khác lại không thể điều chỉnh
các trạng thái bảo mật, không phù hợp với hệ thống sẽ làm gia tăng rủi ro.
Cần phải làm gì để chắc chắn các chính sách bảo mật hiện tại tương
thích với mô hình đám mây?
Trần Văn Duy Năm 201133
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Mỗi thay đổi trong mô hình là dịp để mỗi chúng ta cải thiện tình trạng và
chính sách bảo mật. Vì người sử sẽ tác động và điều khiển mô hình đám mây nên
chúng ta không nên tạo ra chính sách bảo mật mới. Thay vào đó là mở rộng
chính sách hiện tại để tương thích với các nền tảng kèm theo. Để thay đổi chính
sách bảo mật thì ta cần thay đổi các yếu tố tương quan như : dữ liệu sẽ được lưu
ở đâu, bảo vệ như thế nào, ai được phép truy cập, và cần tuân theo những quy tắc
và thỏa hiệp gì?
Việc triển khai mô hình đám mây có đáp ứng được yêu cầu ủy thác?
Triển khai mô hình đám mây tác động đến tính rủi ro và ảnh hưởng đến
khả năng đáp ứng các quy tắc khác nhau. Một vài ứng dụng đám mây có khả
năng thông báo hay báo cáo tình trạng hoạt động mạnh mẽ, đồng thời được thiết
lập để đáp ứng những yêu cầu cần thích ứng riêng biệt. Trong khi một số lại quá
chung chung mà không thể đáp ứng được các yêu cầu chi tiết. Ví dụ như khu
chúng ta truy xuất dữ liệu, một thông báo hiện ra cho biết dữ liệu chỉ được lưu
trữ trong phạm vi lãnh thổ (server trong nước) thì chúng ta không thể truy xuất
được bởi các nhà cung cấp dịch vụ không thể thực hiện yêu cầu này
Liệu các nhà cung cấp dịch vụ sử dụng các chuẩn bảo mật hay theo
thực tế kinh nghiệm (SAML, WSTrust, ISO…) ?
Các tiêu chuẩn có vai trò quan trọng trong điện toán đám mây như một sự tương
kết giữa các dịch vụ và ngăn tình trạng độc quyền dịch vụ bảo mật. Rất nhiều tổ
chức được thành lập nhằm khởi tạo và mở rộng để hỗ trợ trong bước khởi đầu
triển khai mô hình.
Điều gì sẽ xảy ra nếu vi phạm và xử lý như thế nào?
Khi nói đến chương trình bảo mật cho mô hình, chúng ta cũng cần lên kế
hoạch qiair quyết các lỗi vi phạm à tình trạng mất dữ liệu. Đây là yếu tố quan
trọng trong các điều khoản của nhà cung cấp và được thực thi bởi cá nhân.
Chúng ta buộc phải đáp ứng những chính sách và điều lệ của nhà cung cấp đã đề
ra để đảm bảo được hỗ trợ kịp thời nếu gặp sự cố.
Ai sẽ quan sat và chịu trách nhiệm bảo đảm an toàn cho dữ liệu?
Trên thực tế thì trách nhiệm bảo mật được chia sẻ. Tuy nhiên, ngày nay
vai trò này thuộc về hệ thống thu thập dữ liệu mà không phải nhà cung cấp.
Trần Văn Duy Năm 201134
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chúng ta có thể đàm phán để giới hạn trách nhiệm đối với việc mất mát dữ liệu
cụ thể là chia sẻ vai trò này với nhà cung cấp.
2.2.1.2. Các mô hình điện toán đám mây
Cloud Computing là mô hình điện toán cho phép truy cập mạng để lựa
chọn và sử dụng tài nguyên tính toán ( ví dụ : máy chủ, mạng, lưu trữ, ứng dụng
và dịch vụ) theo nhu cầu một cách thuận tiện và nhanh chóng, đồng thời cho
phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các
giao tiếp với nhà cung cấp.
Hình 2-7. Mô hình điện toán đám mây
Theo đó, mô hình chính là cho phép sử dụng dịch vụ theo yêu cầu (on-
deman service); cung cấp khả năng truy cập dịch vụ qua mạng rộng rãi từ máy
tính để bàn, máy tính xách tay tới thiết bị di động (broad net-work access); với
tài nguyên tính toán động, phục vụ nhiều người (resource pooling for multi-
ternanci), năng lực tính toán phần mềm dẻo, đáp ứng nhanh với nhu cầu thấp tới
cao (rapid elasticity). Mô hình Cloud Computing cũng đảm bảo việc sử dụng các
tài nguyên được “đo” để nhà cung cấp dịch vụ quản trị tối ưu được tài nguyên,
Trần Văn Duy Năm 201135
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
đồng thời người dùng chỉ phải trả chi phí cho phần tài nguyên đã sử dụng (pay
for use)
Mô hình các lớp dịch vụ
Dịch vụ Cloud Computing rất đa dạng và bao gồm tất cả các lớp dịch vụ
điện toán từ cung cấp năng lực tính toán trên dưới máy chủ hiệu suất cao hay các
máy chủ ảo, không gian lưu trữ dữ liệu, hay một hệ điều hành, một công cụ lập
trình, hay một ứng dụng kế toán…
Các dịch vụ cũng được phân loại khá đa dạng, nhưng các mô hình dịch vụ
Cloud Computing phổ biến nhất có thể được chia làm 3 nhóm : Dịch vụ hạ tầng
(IaaS), Dịch vụ nền tảng (PaaS), dịch vụ phần mêm (SaaS).
Hình 2-8. Mô hình các lớp dịch vụ
Dịch vụ hạ tầng IaaS
Dịch vụ IaaS cung cấp các dịch vụ cơ bản bao gồm năng lực tính toán,
không gian lưu trữ, kết nối mạng tới khách hàng. Khách hàng (cá nhân hoặc tổ
chức) có thể sử dụng tòa nguyên hạ tầng này để đáp ứng nhu cầu tính toán hoặc
cài đặt ứng dụng riêng cho người sử dụng.
Trần Văn Duy Năm 201136
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Với dịch vụ này khách hàng làm chủ hệ điều hành, lưu trữ và các ứng
dụng do khách hàng cài đặt. Khách hàng điều hành của dịch vụ IaaS có thể là
mọi đối tượng cần tới một máy tính và tự cài đặt ứng dụng của mình.
Ví dụ điển hình về dịch vụ này là dịch vụ EC2 của Amazon. Khách hàng
có thể đăng ký sử dụng một máy tính ảo trên dịch vụ của Amazon và lựa chọn
một hệ thống điều hành (ví dụ : windows hoặc linux) và tự cài đặt ứng dụng của
mình.
Dịch vụ nền tảng PaaS
Dịch vụ PaaS cung cấp nền tảng điện toán cho phép khách hàng phát triển
các phần mềm, phục vụ nhu cầu tính toán hoặc xây dựng thành dịch vụ các lớp
ứng dụng giữa (middleware), các ứng dụng chủ (application server) cùng các
công cụ lập trình với ngôn ngữ lập trình nhất định để xây dựng ứng dụng.
Dịch vụ PaaS cũng có thể được xây dựng riêng và cung cấp cho khách
hàng thông qua một API riêng. Khách hàng xây dựng ứng dụng và tương tác với
hj tầng CC thông qua API đó. Ở mức PaaS khách hàng không quản lý nền tảng
Cloud hay các tài nguyên lớp như hệ điều hành, lưu trữ ở lớp dưới. Khách hàng
điều hành của dịch vụ PaaS chính là các nhà phát triển ứng dụng (ISV).
Dịch vụ App Engine của Google là một dịch vụ PaaS điển hình, cho phép
khách hàng xây dựng các ứng dụng web với môi trường chạy ứng dụng và phát
triển dựa trên ngôn ngữ lập trình java hoặc python.
Dịch vụ phần mềm SaaS
Dịch vụ SaaS cung cấp các ứng dụng hoàn chỉnh như một dịch vụ theo
yêu cầu cho nhiều khách hàng với chỉ một phiên bản cài đặt. Khách hang lựa
chọn ứng dụng phù hợp với nhu cầu và sử dụng mà không quan tâm tới hay bỏ
công sứa quản lý tài nguyên tính toán bên dưới.
Dịch vụ SaaS nổi tiếng nhất phải kể đến Salesforce.com với các ứng dụng
cho doanh nghiệp mà nổi bật nhất là CRM. Các ứng dụng SaaS cho người dùng
cuối phổ biến là các ứng dụng office online của Microsoft hay Google Dóc của
Google.
Mô hình triển khai
Từ “đám mây” (Cloud) xuất phát từ hình ảnh minh họa mạng internet đó
được sử dụng rộng rãi trong các hình vẽ về hệ thống mạn máy tính của giới
Trần Văn Duy Năm 201137
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
CNTT. Một cách nôm na, điện toán đám mây là mô hình điện toán internet. Tuy
nhiên , khi mô hình CC dần định hình, các ưu điểm của nó được vận dụn để áp
dụng trong các môi trương có quy mô và phạm vi riêng, hình thành các mô hình
triển khai khác nhau.
Đám mây công cộng
Mô hình đầu tiên được nói đến khi đề cập tới CC chính là mô hình Public
Cloud. Đây là mô hình mà hạ tầng CC được một tổ chức sở hữu và cung cấp
dịch vụ rộng rãi cho tất cả các khách hàng thông qua hạ tầng mạng internet hoặc
các mạng công cộng diện rộng. Các ứng dụng khác nhau chia sẻ chung tài
nguyên tính toán, mạng và lưu trữ. Do vậy, hạn tầng CC thiết kế để đảm bảo cô
lập về dữ liệu giữa các khách hàng và tách biệt về truy cập.
Hình 2-9. Mô hình đám mây công cộng
Các dịch vụ Public Cloud hướng tới một số lượng khách hàng lớn nên
thường có năng lực về hạ tầng cao, đáp ứng nhu cầu tính toán linh hoạt, đem lại
chi phí thấp cho khách hàng. Do đó khách hàng của dịch vụ trên Public Cloud sẽ
bao gồm tất cả các tầng lớp mà khach hàng cá nhân và doanh nghiệp nhỏ sẽ được
Trần Văn Duy Năm 201138
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
hưởng lợi thế trong việc dễ dàng tiếp cận các ứng dụng công nghệ cao, chất
lượng mà không phải đầu tư ban đầu, chi phí sử dụng thập, linh hoạt.
Đám mây doanh nghiệp
Đám mây doanh nghiệp (Private Cloud) là một mô hình trong đó hạ tầng
đám mây được sở hữu bởi một tooe chức và phục vụ cho người dùng của tổ chức
đó.Private Cloud có thể được vận hành bởi một bên thứ ba và hạ tầng đám mây
có thể được đặt bên trong hoặc bên ngoài tổ chức sử hữu (tại bên thứ 3 kiêm vận
hành hoăc thậm chí là một bên thứ 4).
Hình 2-10. Mô hình đám mây doanh nghiệp
Private Cloud được các tổ chức hay doanh nghiệp lớn xây dựng cho mình
nhằm khai thác ưu thế về công nghệ và khả năng quản trị của CC.
Với Private Cloud, các doanh nghiệp tối ưu được hạ tầng IT của mình,
nâng cao hiệu quả sử dụng, quản lý trong cấp phát và thu hồi tài nguyên, qua đó
giảm thời gian đưa sản phẩm sản xuất, kinh doanh ra thị trường.
Trần Văn Duy Năm 201139
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Đám mây chung
Đám mây chung (Community Cloud) là mô hình trong đó hạ tầng đám
mây được chia sẻ bởi một tổ chức cho cộng đồng người dùng trong các tổ chức
đó.
Các tổ chức này do đặc thù không tiếp cận với các dịch vụ Public Cloud
và chia sẻ chung một hà tầng CC để nâng cao hiệu quả đầu tư và sử dụng.
Hình 2-11. Mô hình đám mây chung
Đám mây lai
Mô hình đám mây lai (Hybrid Cloud) là mô hình bao gồm hai hoặc nhiều
hơn các đám mây trên tích hợp với nhau. Mô hình Hybrid Cloud cho phép chia
sẻ hạ tầng hoặc ứng dụng nhu cầu trao đổi dữ liệu.
Trần Văn Duy Năm 201140
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-12. Mô hình đám mây lai
2.2.2. Tìm hiểu về Clam AV
2.2.2.1. Giới thiệu về ClamAV
Clam AntiVirus là bộ công cụ một mã nguồn mở (GPL) chống virus
cho Unix được thiết kế đặc biệt cho email. Nó cung cấp một số các tiện
ích như sự linh hoạt và khả năng mở rộng các tiến trình đa luồng vận hành
dạng Daemon, một công cụ quét virus trên giao diện dòng lệnh và các tiện
ích cho việc cập nhật cơ sở dữ liệu.
Các tính năng của clamav :
Quét với giao diện dòng lệnh
Các tiến trình đa luồng vận hành dạng Daemon có hỗ trợ quét trên các truy
cập.
Giao diện Milter cho gửi mail
Tiện ích cập nhật cơ sở dữ liệu hỗ trợ cho việc cập nhật các scrip và các
mẫu virus.
Trần Văn Duy Năm 201141
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Quét trên các truy cập
Cơ sở dữ liệu virus cập nhật nhiều lần một ngày.
Tích hợp cho các định dạng lưu trữ khác nhau : Zip, RAR, Tar, Gzip,
Bzip2, OLE2, Cabinet, CHM, BinHex, SIS.
Tích hợp hỗ trợ cho tất cả các định dạng mail
Tích hợp hỗ trợ các tập tin thực thi ELF và các tập tin nén Portable
Tích hợp hỗ trợ các định dang tài liệu phổ biến như MS office, Mac office,
HTML,
2.2.2.2. Các hệ điều hành đươc hô trơ :
Unix : Clam anti virus hỗ trợ hầu hết cho các hệ điều hành Unix phổ
biến. Các phiên bản Clamav 0.9x đều được thử nghiệm trên các hệ điều
hành như:
GNU/Linux
Solaris
Free BSD
Open BSD
Mac OS X
Window : Trên các hệ điều hành của window sử dụng Clamwin.
Clamwin sử dụng cơ chế ClamAV Scanning Engine để quét virus vì vậy
nó có thể phát hiện virus và spyware với tỉ lệ rất cao. Các tính năng nổi
bật của ClamWin đó là quét virus theo lịch đặt sẵn, tự động update Virus
Database, là một chương trình quét virus độc lập và có thể tích hợp vào
Windows Explorer, Microsoft Outlook để xóa các file đính kèm đã bị đầu
độc.
Trần Văn Duy Năm 201142
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Một điều đáng tiếc cho ClamWin đó là chương trình chưa có cơ chế
quét virus thời gian thực vì vậy bạn phải tự lên lịch quét cho chương trình.
Clamwin hỗ trợ các hệ điều hành như Window 98/Me/2000/XP/Vista và
2003.
Phiên bản mới nhất của phần mềm quét virus mã nguồn mở ClamAV
0.96 đã có khả năng phát hiện được những chương trình malware hoạt
động trong môi trường Windows.
Chúng thường xuyên cố gắng ngụy trang bằng những phần mềm vô
hại, những biểu tượng không có thật và giả mạo tiêu đề PE, hỗ trợ thêm
khả năng rà soát trong các file 7zip, InstallShield và CPIO, tính năng phân
tích hành động đối với những file 64-bit ELF, Mac OS X bằng công
nghệ Mach-O. Hiệu suất hoạt động trung bình của ClamAV cũng đã được
cải thiện tối đa.
2.2.2.3. Các thành phần trong Clamav
Libclamav : Libclamav là một thư viện cơ sở dữ liệu chia sẻ của
clamav và các công cụ quét virus. Trong libclamav bao gồm các
cơ sở dữ liệu các mẫu virus, nó cung cấp các hỗ trợ quét trên giao
diện của chương trình ứng dụng và có thể được tích hợp với các
phần mềm diệt virus khác.
Clamd : là một tiến trình đa luồng vận hành dạng daemon. Clamd
sử dụng các socket, các luồng và các tệp tin điều khiển để có thể
thực hiên quét virus trên hệ thống mail và các định dạng tệp tin
được hỗ trợ liên tục nhiều lần khi cần thiết.Clamd khi quét chỉ
Trần Văn Duy Năm 201143
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
cần phải tải cơ sở dữ liệu một lần và dữ liệu đó được chía sẻ cho
các tiến trình khác. Clamd có hỗ trợ quá trình quét virus on-
access sử dụng trên các hệ điều hành Linux và BSD.
CLamdscan : là một quá trình quét với giao diện dòng lệnh.
Clamdscan giống như một client của clamd. Clamdscan có thể sử
dụng dể thay thế cho clamscan. Khi cần quét các tệp tin theo yêu
cầu và clamd đang chạy. Sử dụng clamdscan sẽ cho hiệu suất tốt
hơn. Clamdscan sử dụng các Daemon đang chạy để quét và nó
không cần phải khởi động clamav.
Clamscan: Clamscan là tiến trình quét với giao diện dòng lệnh.
Clamscan được sử dụng để quét các tập tin trên cơ sở không
thường xuyên hoặc khi clamd không hoạt động. Clamscan mỗi
khi khởi động lại phải tải lại cơ sở dữ liệu clamav. Do vậy đối
với các quá trình quét thường xuyên thi nên sử dụng clamdscan.
Freshclam: là một công cụ cập nhật cơ sở dữ liệu virus của
clamav. Nó vận hành dạng Daemon hoặc trên cơ sở tương tác
dòng lệnh để cập nhật dữ liệu virus của clamav. Nó đưa ra các kết
nối internet để cập nhật cơ sở dữ liệu. Đối với các cài đặt khi
không kết nối internet, các tệp tin cơ sở dữ liệu clamav và các gói
phần mềm sẽ không tự động cập nhật.
Sigtool : là một công cụ thao tác với cơ sở dữ liệu virus của
clamav. Công cụ này mục đích cho những người dùng có trình độ
cao muốn tạo ra những mẫu virus của mình.
Trần Văn Duy Năm 201144
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Clamav-milter : là một plugin hỗ trợ cho chương trình Sendmail
và Postfix có thể quét email.
Clamuko : là một tiến trình đặc biệt trong clamd sử dụng để quét
virus dạng on-access được sử dụng trên các hệ điều hành Linux
và FreeBSD. Tiến trình này sử dụng cơ sở dữ liệu được chía sẻ
của Clam Daemon.
Clamconf : là chương trình chạy dựa trên các dòng lênh. Nó hiển
thị các thông tin về cấu hình của Clamav. Nó hữu ích khi sử dụng
để vá các lỗi của clamav. Khi người dùng thông báo các lỗi của
clamav thì đội ngũ kỹ sư của clamav thường yêu cầu tệp tin cấu
hình.
2.2.2.4. Hoạt động của các thành phần
Clam Daemon
Clamd là một tiến trình đa luồng vận hành dạng Daemon sử dụng cơ
sở dữ liệu của clamav để quét virus cho các tệp tin. Clamd có thể hoạt
động trên một hoặc cả hai chế độ mà nó lắng nghe là:
Unix (local) socket
TCP socket
Các lệnh trong clamd :
Ping: kiểm tra trạng thái vận hành dạng Daemon
Version : in ra phiên bản của chương trình và cơ sở dữ liệu.
Reload : tải các cơ sở dữ liệu virus
Scan : quét các thư mục hoặc tệp tin có hỗ trợ các đình dạng dữ
liệu lưu trữ.
Trần Văn Duy Năm 201145
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Rawscan : quét các thư mục hoặc tệp nhưng không hỗ trợ cho các
định dạng lưu trữ và các tệp tin đặc biệt.
Contscan : quét các thư mục hoặc tệp tin có hỗ trợ các đình dạng
dữ liệu lưu trữ và không dừng lại quá trình quét khi phát hiện
virus.
Multiscan : quét các tệp tin theo một tiêu chuẩn hoặc các thư mục
sử dụng tiến trình đa luồng.
Instream :Quét một luồng dữ liệu, luồng dữ liệu này sẽ được gửi
đi trong một khối sau lệnh instream trên một cổng. Điều này sẽ
tránh đươc việc thiết lập thêm các kết nối TCP mới và các vấn đề
với NAT. Cấu trúc của khối nằm sau lênh Instream là < length>
<data> .
Fildes : Lệnh này chỉ sử dụng vơi Unix domain sockets. Sử dụng
lệnh này các gói tin được gửi tới clamd bao gồm các tệp tin miêu
tả việc quét các cơ sở dữ liệu ở bên trong. Các tệp tin miêu tả có
thể gửi cùng trong một gói tin.
Stats : Lệnh này cung cấp số liệu thống kê của clamd về quét các
hàng đợi, nội dung quét các hàng đợi và sử dụng bộ nhớ.
Clamdscan
Hoạt động đơn giản như một client của clamd. Được sử dụng để thay
thê cho clamscam nhưng phải tuân theo một số yêu cầu :
Clamscan chỉ được thiết lập khi Clamd hoạt động.
Trần Văn Duy Năm 201146
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Mặc dù chấp nhận các tùy chọn dòng lệnh như clamscan nhưng
đa số các tùy chọn này đều bị loại bỏ vì chúng phải được cho
phép trong cấu hình của clamd.
Quét các tệp tin trong chế độ TCP phải truy cập tới clamd. Còn
nếu chế độ Local-socket được sử dụng trong cấu hình thì
clamdscan sẽ thực hiên quét trong giới hạn và sử dụng lệnh
FILDES.
Freshclam
Là công cụ cập nhật cơ sở dữ liệu tự động cho Clamav. Nó hoạt
động ở hai chế độ :
Interactive : dựa trên các tương tác với dòng lệnh.
Daemon : vận hành dạng daemon.
Freshclam có hỗ trợ các tập lệnh cập nhật tự động, kiêm tra phiên
bản cơ sở dữ liệu thông qua DNS, máy chủ proxy và các mẫu virus .Các
chỉ thị Datamirrors trong tệp tin cấu hình sẽ chỉ đinh máy chủ cơ sở dữ
liệu cho Freshclam tải về. Cấu trúc mặc định của database mirrors là
database.clamav.net. Để sắp xếp thứ tự của việc lựa chon tải về cơ sơ dữ
liệu thì phải cấu hình Freshclam với database mirrors là
database.xx.clamav.net với xx ở đây là tên nước hoặc mã vùng.
2.2.2.5. ClamAV sử dụng công nghệ điện toán đám mây
Với công nghệ điện toán đám mây, các tác tử đám mây tích hợp trong
ClamAV (ClamAV Cloud Agent) tương tác online với hệ thống đám mây
ClamAV Cloud, khiến việc cập nhật mẫu virus có thể nhanh tới từng phút, độ
bao phủ rộng và năng lực tính toán của đám mây giúp máy tính của người sử
dụng được bảo vệ chặt chẽ. Bên cạnh đó, hệ thống cơ sở dữ liệu mẫu nhận diện
Trần Văn Duy Năm 201147
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
trên đám mây sẽ được cập nhật kịp thời hơn so với các giải pháp truyền thống.
virus sẽ được sàng lọc qua nhiều tầng lớp kỹ thuật, bảng mã nhận diện và phiên
bản dịch vụ.
Hình 2-13. Công nghệ điện toán đám mây sử dụng trong ClamAV
ClamAV được phát triển bởi Immunet Corp và Sourcefire inc, dựa trên
nền tảng điện toán đám mây với giấy phép mã nguồn mở. Phần mềm này được
biết đến như là một giải pháp bảo mật dành riêng cho UNIX, và gần đây
ClamAV được phát triển cho môi trường Windows.
Giao diện của ClamAV khá bắt mắt và trình bày rõ ràng, có phần giống
với cách bố trí của Norton 360 khi đưa tất cả các chức năng ra ngoài "tiền sảnh"
và phân loại chúng theo từng nhóm: Community (dữ liệu và đồ họa từ cộng đồng
dùng ClamAV), Computer (bao gồm các hoạt động quét hệ thống, biểu đồ tóm
tắt và lịch sử quét), Product (các tùy chọn cho ClamAV và cập nhật, nâng cấp
phần mềm).
Trần Văn Duy Năm 201148
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-14. Giao diện các chức năng của ClamAV
Cũng như các trình antivirus "đám mây" khác, việc kết nối internet để
dùng ClamAV là điều cần thiết. Nhưng ngoài máy quét chính là ClamAV, phần
mềm này cũng tích hợp ba bộ máy quét khác bao gồm ETHOS, SPERO và
TETRA (chỉ có trên phiên bản PLUS ,người dùng vẫn có thể quét virus khi
không kết nối internet).
ClamAv phát triển dựa trên kinh nghiệm của cộng đồng người dùng, mỗi
khi chúng ta gặp một nguy cơ bảo mật, ClamAV sẽ tự “lấy mẫu” và chuyển về
máy chủ để phân tích. Thông tin thu được sẽ bổ sung vào dữ liệu trên “đám
mây” và cập nhật cho các nguời dùng khác trong cộng đồng.
ClamAV còn có một phiên bản cập nhật mang tên PLUS, phiên bản này
bổ sung thêm bộ máy quét TETRA (giúp tăng khả năng phát hiện và loại bỏ
virus, malware và rootkit ngoại tuyến), chức năng quét sâu (Deep scan) và quét
Email.
Theo thông tin từ nhà phát triển, ClamAV có khả năng phát hiện hơn 19 triệu
mẫu virus và malware
Trần Văn Duy Năm 201149
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-15. Giao diện các tùy chọn trên ClamAV
Ngoài ra ClamAV còn phát triển phiên bản chạy trên môi trường Windows :
Ban đầu, ClamAV được phát triển cho các máy chạy hệ điều hành UNIX,
nhưng gần đây Sourcefire đã phát triển một phiên bản mới dành cho Windows
(ClamAV for Windows). Phiên bản chạy trên Windows hiện đang trong giai
đoạn thử nghiệm (beta) do Sourcefire và Immunet (gần đây đã được Sourcefire
mua lại) sản xuất, kết hợp công nghệ diệt virus dựa trên điện toán đám mây
(cloud-based anti-virus) và công nghệ diệt virus truyền thống của ClamAV (sử
dụng Clamlib – cơ sở dữ liệu về virus được lưu trên máy tính đã cài ClamAV để
bảo vệ ngoại tuyến).
Có thể nói ClamAV for Windows hiện tại sử dụng 2 engine song song (đối
với bản MIỄN PHÍ) và 3 engine (đối với bản PLUS – có phí có thể engine của
BitDefender), chưa kể các module riêng của ClamAV, điều này làm khả năng
nhận diện virus của ClamAV được cải thiện rất nhiều nhưng không làm tốn tài
nguyên của máy tính cho lắm. ClamAV for Windows có tốc độ quét rất nhanh và
khả năng phát hiện Zero-day malware – phần mềm độc hại chưa được phát hiện
Trần Văn Duy Năm 201150
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
trong cơ sở dữ liệu rất tốt (sử dụng engine ETHOS, engine phát hiện hành vi do
Immunet phát triển).
Phiên bản 2.0.19 Beta MIỄN PHÍ hiện tại cho phép quét virus trong tập tin
nén (rar, zip…), tập tin được đóng gói (UPX…) – điều mà phiên bản miễn phí ổn
định hiện tại chưa cho phép.
Yêu cầu hệ thống : Microsoft Windows 7
Hệ điều hành Windows 7 32-bit hoặc 64-bit, 100 MB dung lượng ổ cứng
Microsoft Windows Vista SP1
Hệ điều hành Windows Vista 32-bit hoặc 64-bit Service Pack 1+, 100 MB dung
lượng ổ cứng
Microsoft Windows XP SP3
Hệ điều hành Windows XP 32-bit Service Pack 3+, 100 MB dung lượng ổ cứng
Yêu cầu chung
Kết nối Internet
Tương thích với:
AVG
Avast!
Avira
Norton Anti-Virus, Internet Security, 360
McAfee
Microsoft Security Essentials
Trend Antivirus
K7
Trần Văn Duy Năm 201151
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-16. Cảnh báo malware
Hình 2-17. Mô phỏng cộng đồng người dùng ClamAV
Cộng đồng người dùng (ClamAV dùng công nghệ Community-based, càng
nhiều người dùng khả năng bảo vệ của ClamAV càng cao)
Trần Văn Duy Năm 201152
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chương 3
HTTP Anti Virus Proxy
Squid Proxy Server
3.1. HTTP Anti Virus Proxy
3.1.1. Giới thiệu về HAVP :
HAVP (HTTP Antivirus Proxy) được xây dựng ở dạng proxy tích
hợp bộ quét virus của ClamAV. Mục tiêu chính của gói này là quét tất cả
gói tin của dữ liệu truyền thông dạng HTTP. HAVP có thể chạy dựa trên
squid hoặc chạy độc lập.
Khi chạy độc lập Havp tích hợp Clam anti virus đóng vai trò như là
một chương trình quét virus trên các lưu lượng truyền thông giữa người
dùng và máy chủ Web.Còn khi chạy kết hợp với squid nó nhận một yêu
cầu từ máy trạm, xử lý các yêu cầu và sau đó chuyển tiếp các yêu cầu tới
máy chủ nguồn. Các yêu cầu này có thể được cho phép, bi từ chối hoặc
chỉnh sửa trước khi chuyển tiếp.
Với chức năng bộ nhớ đệm trong squid lưu trữ nội dung các trang
web mà nó nhân được cho mục đích sử dụng lại. Các yêu cầu sau đó cho
cùng một nội dung có thể được trả về từ bộ nhớ đệm mà không cần liên
kết đến máy chủ nguồn.
Các tính năng của HAVP:
Vận hành dạng HTTP Antivirus proxy.
Hỗ trợ nhiều tiến trình quét virus vào một thời điểm.
Quét toàn bộ dòng truyền thông đi vào.
Không khóa cơ chế download.
Trần Văn Duy Năm 201153
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Quét cả các dòng truyền thông của các thành phần được bảo vệ bằng
mật khẩu.
Có thể sử dụng với squid hoặc một proxy khác.
Hỗ trợ cơ chế Parent proxy.
Hỗ trợ cơ chế Transparent proxy.
Cho phép lưu nhật ký.
Xử lý phù hợp với từng nhóm hoặc từng người dùng.
Vận hành dạng daemon.
Sử dụng ClamAV.
Hình 3-1. Mô hình hoạt động của HAVP
Trần Văn Duy Năm 201154
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.2. Quá trình xử lý của HAVP :
Hình 3-2. Quá trình xử lý của HAVP
Khi máy chủ nguồn trả về một phản hồi cho các yêu cầu của người
dùng trong mạng, Havp sẽ xử lý các dữ liệu gửi về theo hai quá trình :
Quá trình thứ nhất :
Các dữ liệu sẽ được ghi lại vào một tệp tin tạm thời được thêm vào
một hard lock EOF. Hard lọck EOF có vai trò đảm bảo cho lượng
dữ liệu được gửi đi vẫn sẽ được xử lý mà không cần phải đợi phần
dữ liệu còn lại. Nó giúp cho hệ thống xử lý không bi ngưng hoặc
treo khi lượng dữ liệu còn lại chưa được gửi đến.
Sau khi thực hiện thêm vào một hard lock EOF, Havp sẽ xác định
kích thước của một phần dữ liệu được giữ lại và gửi đi một lượng
Trần Văn Duy Năm 201155
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
dữ liệu nhỏ đến trình duyệt web của người dùng để đảm bảo các kết
nối không bị ngắt trong khi quét virus do thời gian timeout của các
trình duyệt web của người dùng, kỹ thuật này được gọi là trickling.
Nó giúp cho quá trình quét virus và quá trình tải dữ liệu về diễn ra
đồng thời một lúc.
Quá trình thứ hai :
Phần dữ liệu còn lại sẽ được chuyển đến quá trình quét virus được
tích hợp trong HAVP và sẽ được gửi đến người dùng nếu không phát
hiện virus và các mã độc hại nào. Nếu trong quá trình quét virus,
Clamav phát hiện ra virus hoặc mã độc hại thì kết nối sẽ bị ngắt và
Havp sẽ thông báo cho người dùng.
Ưu nhược điểm
Quá trình xử lý của Havp giúp cho việc tải dữ liệu về và quét virus
trên dữ liệu diễn ra cùng lúc mà kết nối không bị ngắt do thời gian
timeout của trình duyệt web.
Tuy nhiên nếu kích thước dữ liệu tải về quá lớn thì quá trình quét
virus diễn ra sẽ chậm và người dùng có thể bị dính virus do dữ liệu tải về
này có kích thước lớn hơn phần dữ liệu được giữ lại để quét virus. Havp
sẽ quy định kích thước tối đa của phần dữ liệu được giữ lại để quét và nếu
dữ liệu taỉ về lớn hớn thì qua trình kết nối sẽ bị ngắt mà không được cảnh
báo trước. Nếu người dùng cố gắng tải lại Havp sẽ đưa ra cảnh báo “ tính
năng này không được thực hiện”.
Trần Văn Duy Năm 201156
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.3. Thiết lập mô hình Havp
3.1.3.1. Cài đăt Havp trên Firegate :
Bước 1 : Trên giao diện Firegate lựa chọn phần cài đặt gói : Hệ thống >
Quản lý gói.
Hình 3-3. Giao diện quản lý gói trên Firegate
Bước 2 : Tìm gói Havp và nhấn vào nút cài đặt, quá trình cài đặt sẽ tự
động diễn ra.
Giao diện các gói đã được cài đặt.
Trần Văn Duy Năm 201157
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 3-4. Giao diện các gói đã cài đặt trên Firegate
Trần Văn Duy Năm 201158
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.3.2. Các tuy chon của HAVP
Tab HTTP proxy
Hình 3-5. Giao diện tab HTTP proxy
Trần Văn Duy Năm 201159
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
- Kích hoạt chức năng Proxy: Đánh dấu trường này để kích hoạt proxy
- Chế độ proxy: Lựa chọn chế độ giao diện.
Standard : Các máy trạm bắt buộc phải kết nối đến cổng proxy trên giao
diện mạng được lựa chọn.
Parent for squid : Cấu hình Havp như là parent cho squid proxy.
Transparent : Tất cả các yêu cầu trên giao diện mạng sử dụng proxy sẽ
chuyển hướng đến máy chủ Havp proxy mà không cần thêm vàobất kỳ tùy
chọn nào (làm việc giống như chế độ parent cho squid với squid ở chế độ
transparent).
Internal : Havp sẽ lắng nghe trên giao diện mạng nội bộ (127.0.0.1) trên
cổng proxy, sử dụng quy tắc chuyển tiếp dữ liệu của bạn.
- Các giao diện mạng sử dụng proxy: Đây là các giao diện mạng cho các máy
trạm kết nối tới proxy. Sử dụng phím “ctrl”+ L, đánh dấu nhiều lựa chọn.
- Cổng proxy : Đây là cổng mà máy chủ proxy sẽ lắng nghe ( ví dụ: 8080). Cổng
này phải khác với cổng proxy của squid.
- Parent proxy: Nhập vào đây các thiết lập về parent proxy ( hoặc upstream
proxy ) với định dạng Proxy : port hoặc để trống.
- Kích hoạt chức năng X-Forwarded-For: Nếu các máy trạm gửi tiêu đề này, các
giá trị thiết lập trong trường Forward_IP sẽ được đưa vào trong đó. Không nên
kích hoạt chức năng này vì lý do bảo mật.
Chỉ nên sử dụng chức năng này nếu bạn có một parent proxy sau Havp và nó sẽ
biết được địa chỉ IP gốc của máy trạm.
Vô hiệu hóa chức năng này là vô hiệu hóa việc tạo ra tiêu đề Via.
- Kích hoạt chức năng Forwarded IP: Nếu Havp được sử dụng như là parent
proxy cho các proxy khác, điều này cho phép ghi các địa chỉ IP thực của người
dùng vào các tệp tin log thay vì ghi địa chỉ IP của Proxy.
Trần Văn Duy Năm 201160
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
- Ngôn ngữ: lựa chọn ngôn ngữ sẽ hiển thị trong thông điệp báo lỗi tới người
dùng.
- Kích thước tải về tối đa: Nhập vào giá trị (tính bằng bytes) hoặc để trống.
Lượng dữ liệu tải về lớn hơn giá trị tối đa sẽ bị khóa. Trừ những trườn hợp nằm
trong whitelist.
- HTTP Range requests : Cài đật này cho phép các yêu cầu HTTP Range, và các
kết nối tải về bị đứt có thể khôi phục.Cho phép HTTP Range là một nguy cơ về
an ninh,bởi vì các thành phần của yêu cầu HTTP có thể không bị quét lại. Các
trang Whitelist đều cho phép sử dụng HTTP Range trong mọi trường hợp.
- Whitelist : Nhập vào đây mỗi url đích t rên một dòng, khi người dùng truy cập
các url này sẽ không bị quét. Sử dụng ký tự * để thay thế một chuỗi.
VD :*.pfsense.com/*, *.sourceforge.net/*clamav-*
-Blacklist : Nhập vào đây mỗi tên miền đích trên một dòng, những tên miền này
chỉ được truy cập đối với người dùng được phép sử dụng proxy.
- Chặn tệp tin nếu phát hiện lỗi khi quét : Nếu tùy chọn này được cài đặt, proxy
sẽ chặn các tệp tin nếu phát hiện lỗi khi quét.
- Hiển thị tùy chọn Ram Disk : Tùy chọn này cho phép sử dụng Ram Disk cho
các tệp tin tạm thời của Havp để tốc độ quét lưu lượng dữ liệu nhanh hơn. Kích
thước của Ram Disk được tạo ra thông qua giới hạn kích thước tệp tin khi quét
và bộ nhớ hiện thời. Tùy chọn này có thể bị loại bỏ trong VMVare hoặc trên hệ
thống có bộ nhớ thấp. (Kích thước của Ram Disk tính bằng [1/4 kích thước bộ
nhớ hiện thời] > [Kích thước tối đa khi quét]* 100
- Kích thước quét tối đa: Lựa chọn giới hạn lớn nhất cho kích thước của tệp tin
hoặc để ‘---(5M)’. Các tệp tin lớn hơn kích thước này sẽ không được quét. Nếu
lựa chọn giá trị nhỏ sẽ tăng tốc độ quét và tối ưu hóa các kêt nối mới trong một
giây và cho phép Ram Disk sẽ được sử dụng.
Trần Văn Duy Năm 201161
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chú ý: Thiết lập này là một nguy về an toàn vì một số các tệp tin nén như
Zip cần tất cả dữ liệu để có thể quét. Chỉ sử dụng chức năng này nếu bạn
không có đử không gian tạm thời cho các tệp tin lớn.
- Quét các tệp tin ảnh : Lựa chọn trường này để quét các tệp tin ảnh. Tùy chọn
này cho phép bạn tăng độ tin cậy nhưng giảm tốc độ quá trình quét.
- Quét các truyền thông đa ứng dụng: Lựa chọn trường này để quét các truyền
thông đa ứng dụng như audio, video..
- Log : Lựa chọn trường này để hiển thị tệp tin log.
- Syslog: Lựa chọn trường này để hiên thị tệp tin syslog.
Tab Files Scanner :
Hình 3-6. Giao diện tab Files Scanner
Đường dẫn tệp tin cần quét: Nhập vào đây đường dẫn hoặc danh mục các tệp tin
cần quét
Trần Văn Duy Năm 201162
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Tab settings
Hình 3-7. Giao diện tab Settings
Cơ sở để cập nhật AV: Lựa chọn thời gian cho việc cập nhật dữ liệu.
Vùng cơ sở dữ liệu AV để cập nhật : Lựa chọn vùng cơ sở dữ liệu.
Tùy chọn máy chủ cập nhật cơ sở dữ liệu AV : Nhập vào đây các máy chủ
cập nhật cơ sở dữ liệu AV hoặc để trống.
log : Lựa chọn trường này để hiện thị tệp tin log.
Syslog : Lựa chọn trường này để hiển thị tệp tin syslog.
3.1.4. Cấu hình các chế độ cho Havp
3.1.4.1. Cấu hình Havp ơ chế độ Standard
- Trong chế độ Standar phải cấu hình chức năng proxy trên các trình duyệt Web
kết nối đến Havp.
Bật HTTP proxy ở Internet Explorer
1. Mở Internet Explorer
2. Chọn Tool > Internet option. Hộp thoại Internet option xuất hiện.
3. Nhấp vào tab Conections.
Trần Văn Duy Năm 201163
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
4. Chọn phần Use proxy server for your Lan.Nhập địa chỉ IP và cổng của
proxy server.
5. Chọn Ok
Bật HTTP proxy ở Firefox 2.x
1. Mở trình duyệt Firefox
2. Chọn Tool > Option . Hộp thoại Option xuất hiện.
3. Nhấp chọn biểu tượng Advanced.
4. Chọn tab Network .Nhấp Setting.
5. Nhấp nút Connection Settings. Hộp thoại Connection Settings xuất hiện
6. Chọn Menual Proxy Configure. Nhập địa chỉ IP và cổng của proxy server.
7. Nhấp Ok
- Trong Tab HTTP Proxy :
Lựa chọn trường Kích hoạt chức năng proxy và lựa chế độ Standar trong
trường Chế độ Proxy.
Lựa chọn giao diện mạng sử dụng proxy trong trường Các giao diện mạng
sử dụng proxy.
Nhập vào số cổng mà Havp lắng nghe trong trường Cổng proxy.
Hình 3-8. Câu hình Havp ơ chế độ Standard
Trần Văn Duy Năm 201164
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.4.2. Cấu hình Havp ơ chế độ Standar kết hơp với xác thực của
Squid
- Trong chế độ này cấu hình chức năng proxy trên các trình duyệt Web kết nối
đến Havp.
- Cấu hình Squid ở chế độ xác thực.
- Cấu hình Havp ở chế độ Standar.
- Trong Tab HTTP proxy nhập vào trường Parent proxy địa chỉ IP và cổng mà
squid lắng nghe trên đó.
Hình 3-9. Câu hình HAVP ơ chế độ Standard kết hợp với xác thưc của Squid
3.2. Squid Proxy Server
3.2.1. Chức năng của Squid
Squid có chức năng như một Proxy và bộ nhớ đệm. Với chức năng Proxy,
Squid là thành phần trung gian giữa người dùng và máy chủ trong truyền vận
Web. Nó nhận một yêu cầu từ máy trạm, xử lý các yêu cầu và sau đó chuyển tiếp
Trần Văn Duy Năm 201165
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
các yêu cầu tới máy chủ nguồn. Các yêu cầu này có thể được cho phép, bị từ
chối hoặc chỉnh sửa trước khi chuyển tiếp. Với chức năng là bộ nhớ đệm thì
Squid lưu trữ nội dung các trang Web mà nó nhận được cho mục đích sử dụng
lại. Các yêu cầu sau đó cho cùng một nội dung có thể được trả về từ bộ nhớ đệm
mà không cần liên kết đến máy chủ nguồn.
Hình 3-10. Squid đặt giữa máy trạm và máy chủ
Hình trên cho thấy Squid nhận các yêu cầu HTTP và HTTPS từ phía máy
trạm và sử dụng một số giao thức để giao tiếp với máy chủ. Squid biết làm thế
nào để giao tiếp với các máy chủ FTP, HTTP và máy chủ Gopher. Thực tế Squid
có hai thành phần là Client-side và Server-side. Client-side giao tiếp với các máy
trạm Web ( các trình duyệt Web, đối tượng người dung ), Server-side giao tiếp
với các máy chủ như FTP, HTTP và Gopher.
Chú ý là thành phần Client-side chỉ hiểu được giao thức HTTP hoặc
HTTPS. Điều này có nghĩa là không thể sử dụng một máy trạm FTP để giao tiếp
với Squid. Squid không thể Proxy với các giao thức gửi mail như SMTP, nhắn
tin tức thời hoặc Internet relay chat.
Chức năng của Squid ở đây bao gồm:
Tiết kiệm băng thông khi lướt Web.
Giảm thiểu thời gian để tải một trang Web.
Trần Văn Duy Năm 201166
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Bảo vệ các máy bên trong mạng nội bộ bằng chức năng Proxy.
Thu thập thống kê về lưu lượng truy nhập Web trong mạng.
Ngăn chặn người dùng truy nhập vào các trang Web không thích hợp.
Đảm bảo chỉ những người có thẩm quyền mới có thể truy nhập
Internet.
Tăng cường tính riêng tư của người dùng bằng việc lọc các thông tin
nhạy cảm trong yêu cầu Web.
Giảm tải trên máy chủ Web nội bộ.
Chuyển đổi các yêu cầu được mã hóa ( HTTPS ) từ một bên thành yêu
cầu không bị mã hóa ( HTTP ) ở bên kia.
3.2.2. Cài đăt và các tuy chọn Squid trên Firegate
3.2.2.1. Cài đăt Squid
Bước 1: Trên giao diện Firegate lựa chọn phần cài đặt các gói: System
> packages.
Bước 2: Tìm gói Squid và nhấn vào nút cài đặt, quá trình cài đặt sẽ tự
động diễn ra.
Trần Văn Duy Năm 201167
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 3-11. Danh sách các gói có thể cài đặt được trong Squid
- Giao diện các gói đã được cài đặt:
Hình 3-12. Danh sách các gói đã được cài đặt vào trong Squid
- Sau khi cài đặt xong Squid bắt đầu tiến hành cấu hình các tùy chọn cho
Squid: vào Tab Service > Proxy Server
3.2.2.2. Cấu hình Squid ơ chế độ xác thực
Vì Squid hoạt động ở chế độ xác thực nên phải cấu hình chức năng Proxy
trên trình duyệt Web kết nối đến Squid.
Bật HTTP Proxy ở Internet Explorer:
1. Mở Internet Explorer.
2. Chọn Tool > Internet option. Hộp thoại Internet option xuất hiện.
3. Nhấp vào Tab Conections.
4. Nhấp vào nút Lan Setting. Cửa sổ Local Area Network ( LAN )
Setting Xuất hiện.
5. Chọn phần Use Proxy Server for your Lan. Nhập địa chỉ IP và cổng
của Proxy Server.
6. Chọn Ok.
Bật HTTP Proxy ở Firefox:
1. Mở trình duyệt Firefox.
Trần Văn Duy Năm 201168
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
2. Chọn Tool > Option. Hộp thoại Option xuất hiện.
3. Nhấp chọn biểu tượng Advanced.
4. Chọn Tab Network. Nhấp Setting.
5. Nhấp nút Connection Settings. Hộp thoại Connection Settings xuất
hiện.
6. Chọn Menual Proxy Configure. Nhập địa chỉ IP và cổng của Proxy
Server.
7. Nhấp Ok.
Trong Tab General:
Không lựa chọn 2 trường Allow user your interface và Transparent
Proxy.
Trong trường Proxy port nhập vào số cổng mà Squid lắng nghe các
yêu cầu HTTP. Mặc định Squid lắng nghe trên cổng 3128.
Trong Tab Control Access:
Nhập vào dải mạng con được cho phép sử dụng Proxy trong trường
Allowed subnets.
Hình 3-13. Dải mạng được phép sử dụng Proxy trong chế độ Authentication
Trong Tab Authentication Setting lựa chọn phương thức xác thực và các tùy
chọn cần thiết cho phương thức xác thực.
Trần Văn Duy Năm 201169
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 3-14. Lưa chọn phương thức xác thưc
Kết Luận
Với sự phát triển mạnh mẽ của khoa học công nghệ, việc trao đổi tìm kiếm
và truyền tải thông tin trên mạng internet ngày càng được phát triển và nhiều
người sử dụng. Tuy nhiên, nó phải đối mặt với vấn đề là làm sao đảm bảo được
an toàn thông tin, đảm bảo người dùng khi truy cập mạng internet sẽ giảm thiểu
tối đa sự lây lan, xâm nhập của Virus, đảm bảo phòng chống được hầu hết các
loại Virus xuất hiện trên mạng. Xuất phát từ thực tế đó, các công nghệ phòng
Trần Văn Duy Năm 201170
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
chống Virus trên mạng đã xuất hiện, chúng ngày càng được hoàn thiện hơn để
chống lại những loại Virus ngày một tinh vi và khó kiểm soát hơn. Với công
nghệ của TrendMicro và công nghệ sử dụng HTTP Anti Virus Proxy kết hợp
Suid Proxy Server dùng phần mềm ClamAV tạo ra một lá chắn an toàn giữa
người dùng và internet. Qua đó, có thể kiểm soát người dùng, phòng chống và
ngăn chặn Virus lây lan trên mạng.
Qua đề tài tìm hiểu công nghệ phòng chống Virus trên mạng HTTP – Anti
Virus, em đã đưa ra giải pháp để đảm bảo an toàn cho người dùng khi truy cập
internet và hạn chế tối đa sự lây lan và tấn công của Virus. Em hoàn thành với
các nội dung sau :
Hiểu được Virus là gì, lịch sử phát triển cũng như nguyên lý hoạt động của
một số loại Virus cơ bản.
Tìm hiểu mô hình phòng chống Virus trên mạng
Tìm hiểu các công nghệ được áp dụng trong mô hình đó
Đó là những phần em đã làm được, nó chưa thực sự hoàn thiện và không
tránh khỏi những sai sót. Em rất mong nhận được sự đóng góp và hướng dẫn của
thầy cô và bạn bè để em có thể nắm bắt được sâu hơn về các công nghệ mới
phòng chống Virus trên mạng được sử dụng hiện nay
Em xin chân thành cảm ơn !
Tài Liệu Tham Khảo
I. Ebooks
1. Computer Virus for Dummies
2. Computer Viruses and Malware
3. Virus cơ bản
4. Defense and Detection internet Worm
5. Giáo trình khóa học Linux
Trần Văn Duy Năm 201171
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
6. …
II. Bài viết trên các diễn đàn
1. Http://www.iana.org/assignments/port-numbers
2. Http://www.freeBSD.org
3. Http://www.edulab.com.vn
4. Http://www.tech24.vn
5. Các bài viết tìm kiếm được trên Google
6. …
Trần Văn Duy Năm 201172