Đồ án tốt nghiệp-HTTP-Anti Virus

Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng

HỌC VIỆN KỸ THUẬT MẬT MÃ

---------------***---------------

ĐỒ ÁN TỐT NGHIỆP

Đề tài

Tìm hiểu công nghệ phòng chống Virus trên mạng

HTTP – Anti Virus

Ngành : Tin học (mã số 01.02.10)

Chuyên ngành : An toàn thông tin

Khóa : 03 (2006 - 2011)

Cán bộ hướng dẫn khoa học : Th.S Đinh Quốc Tiến

Sinh Viên thực hiện : Trần Văn Duy

HÀ NỘI 2011

Trần Văn Duy Năm 20111


Mục LụcDanh mục các từ viết tắt

Danh mục các hình vẽ

Lời nói đầu

Chương 1 : Tìm hiểu chung về Virus

1.1. Lịch sử phát triển của Virus…………………………………………….3

1.2. Các loại Virus máy tính…………………………………………………3

Chương 2 : Nghiên cứu tìm hiểu một số giải pháp …………………………12

phòng chống Virus tiên tiến

2.1. Giải pháp phòng chống Virus của TrendMicro ………………………..12

2.1.1. Thành phần bảo vệ Gateway………………………………………12

2.1.2. Thành phần chống Virus cho Mail………………………………...17

2.2. Phòng chống Virus bằng ClamAV

sử dụng công nghệ điện toán đám mây…………………………………22

2.2.1. Công nghệ điện toán đám mây…………………………………….22

2.2.2.1. Tìm hiểu chung về công nghệ điện toán đám mây…………..22

2.2.2.2. Các mô hình điện toán đám mây…………………………….26

2.2.2. Tìm hiểu về ClamAV……………………………………………..32

2.2.2.1. Giới thiệu về ClamAV……………………………………….32

2.2.2.2. Các hệ điều hành được hỗ trợ………………………………..33

2.2.2.3. Các thành phần trong ClamAV………………………………34

2.2.2.4. Hoạt động của các thành phần……………………………….35

2.2.2.5. ClamAV sử dụng công nghệ điện toán đám mây

Chương 3 : Tìm hiểu về HTTP Anti Virus Proxy

và Squid Proxy Server...................................................................43

3.1. HTTP Anti Virus Proxy………………………………………………...43

3.1.1. Giới thiệu về HAVP………………………………………………43

3.1.2. Quá trính xử lý của HAVP………………………………………..45

3.1.3. Thiết lập mô hình HAVP………………………………………….46

3.1.3.1. Cài đặt HAVP trên Firegate………………………………….46

3.1.3.2. Các tùy chọn của HAVP……………………………………..48



3.1.4. Cấu hình các chế độ cho HAVP…………………………………..52

3.1.4.1. Cấu hình HAVP ở chế độ Standard………………………….52

3.1.4.2. Cấu hình HAVP ở chế độ Standard

kết hợp xác thực của Squid………………………………… 54

3.2. Squid Proxy Server……………………………………………………..54

3.2.1. Chức năng của Squid……………………………………………...54

3.2.2. Cài đặt và các tùy chọn Squid trên Firegate………………………56

3.2.2.1. Cài đặt Squid…………………………………………………56

3.2.2.2. Cấu hình Squid ở chế độ xác thực…………………………...58

Kết luận…………………………………………………………………………60

Tài liệu tham khảo………………………………………………………………61



Danh Mục Các Từ Viết Tắt

A.M : Association for Computing MachineryUSD : United Stade DollarDdoS : Distributed Denial Of ServiceMP3 : MPEG audio layer 3 SWF : SOCWave Flash SQL : Structured Quero LanguageJPEG : Joint Photographic Experts GroupFreeBSD : Free Berkeley Software DistributionHAVP : HTTP Anti Virus ProxyEOF : End Of FileGPL : Gerneral Public License

ZIP : Zip file format

RAR : Roshal ARchive

TAR : Tape ARchive

OLE2 : Object Linking and Embeddinguc

CHM : Cubic Meter per Hour

SIS : Symbian OS filename Extension

MS : Microsoft

HTML : Hyper Text Markup Language

MAC OS : Macintosh Operating System

GNU : GNU’s Not Unix

NAT : Network Address Translation

TCP : Transmission Control Protocol

HTTP : Hypertext Transfer Protocol

VMWARE : Virtual Machine Ware

AV : Anti Virus



ELF : Executable and Linking Format

PE : Phase Encoded

LAN : Local Area Network

IP : Internet Protocol

WAN : Wide Area Network

HTTPS : Hypertext Transfer Protocol Security

FTP : File Transfer Protocol

SMTP : Simple Mail Transfer Protocol

RAM : Random Access Memory

CPU : Central Processing Unit

RFC : Request For Comments

UDP : User Datagram Protocol

VIA : Very Innovative Architeture

URL : Uniform Resourse Locator

DNS : Domain Name System

LRU : Least Recently Used

GDSF : Graphical Data Fusion System

CD : Compact Disc

LDAP : Lightweight Directory Access Protocol

TTL : Tim To Live

ACL : Access Control List

TCP : Transmission Control Protocol

TOS : Term Of Service

SSL : Secure Sockets Layer

TLS : Transport Layer Security



NNTP : Network News Transfer Protocol

NCSA : National Computer Security Association IPs : Internet Protocol SecurityUFS : Unix File SystemAUFS : Authentication Unix File SystemPOSIX : Portable Operating System Interface forUnixGDFS : Global Data File SystemCIDR : Classless Inter Domain RoutingEC2 : Elastic Compute CloudSaaS : Software as a ServiceIT : Informaion TechnologySOA : Service Oriented ArchitectureSAML : Security Assertion Markup LanguageISO : Internation Organization for StandardizationIaaS : Infrastructure as a ServicePaaS : Platform as a ServiceAPI : Application Programming InterfaceISV : Independent Software VendorCRM : Customer Relationship ManagementCC : Cloud ComputingUPX : Ultimate Packer for ExecutablesSP3 : Service Pack 3SP1 : Service pack 1



Danh Mục Các Hình Vẽ

Hình 1-1 : Hình ảnh minh họa Virus

Hình 1-2 : Virus ngày càng phát triển và lây lan trên mạng

Hình 1-3 : Hình ảnh minh họa sâu internet Worm

Hình 2-1 : Mô hình InterScan security Suite

Hình 2-2 : Lọc Messaging

Hình 2-3 : Mô hình InterScan web security Suite

Hình 2-4 : Thành phần bảo vệ file server

Hình 2-5 : Bảo vệ đến tận các Client

Hình 2-6 : Thành phần quản lý tập trung

Hình 2-7 : Mô hình chung điện toán đám mây

Hình 2-8 : Mô hình các lớp dịch vụ

Hình 2-9 : Mô hình đám mây công cộng

Hình 2-10 : Mô hình đám mây doanh nghiệp

Hình 2-11 : Mô hình đám mây chung

Hình 2-12 : Mô hình đám mây lai

Hình 2-13 : Công nghệ điện toán đám mây sử dụng trong ClamAV

Hình 2-14 : Giao diện các chức năng của ClamAV

Hình 2-15 : Giao diện các tùy chọn trên ClamAV

Hình 2-16 : Cảnh báo malware



Hình 2-17 : Mô phỏng cộng đồng người dùng ClamAV

Hình 3-1 : Mô hình hoạt động của HAVP

Hình 3-2 : Quá trình xử lý của HAVP

Hình 3-3 : Giao diện quản lý gói trên Firegate

Hình 3-4 : Giao diện các gói đã được cài đặt

Hình 3-5 : Giao diện Tab HTTP Proxy

Hình 3-6 : Giao diện tab Files Scanner

Hình 3-7 : Giao diện tab Settings

Hình 3-8 : Câu hình Havp ơ chế độ Standard

Hình 3-9 : Câu hình HAVP ơ chế độ Standard kết hợp với xác thưc của Squid

Hình 3-10 : Squid đặt giữa máy trạm và máy chủ

Hình 3-11 : Danh sách các gói có thể cài đặt được trong Squid

Hình 3-12 : Danh sách các gói đã được cài đặt vào trong Squid

Hình 3-13 : Dải mạng được phép sử dụng Proxy trong chế độ Authentication

Hình 3-14 : Lưa chọn phương thức xác thưc



Lời Nói Đầu

Ngày nay mạng Internet đã trở thành một nhu cầu không thể thiếu trong

cuộc sống và trong công việc. Việc truyền tải thông tin dữ liệu, gửi và nhận mail,

lướt web… ngày nay trở nên phổ biến và vô cùng quan trọng. Nhưng song song

với sự phát triển của mạng internet thì cũng xuất hiện ngày càng nhiều loại Virus

nguy hiểm gây hại cho chúng ta. Và cũng vì thế đã có rất nhiều phần mềm, công

nghệ mới ra đời nhắm chống lại và giảm thiểu tối đa sự lây lan và phá hoại của

Virus. Tuy nhiên, những phần mềm cũng như công nghệ đó chỉ có thể phát hiện

và tiêu diệt được những loại Virus đã có từ trước, còn những loại Virus mới xuất

hiện thì hầu như là không thể.

Chính vì lý do đó mà công nghệ phòng chống Virus không ngừng phát

triển và ngày càng phải phát triển hoàn thiện hơn nữa, đảm bảo sự an toàn cho

người dùng khi truy cập vào mạng internet, cũng như những dữ liệu truyền trên

đó. Cũng vì thế mà chúng ta phải có một cái nhìn cơ bản về các công nghệ, cơ

chế hoạt động và tính năng nổi bật của chúng. Từ đó chúng ta hiểu biết thêm về

tầm quan trọng trong việc phát triển công nghệ phòng chống Virus.

Đề tài : “ Tìm hiểu công nghệ phòng chống Virus trên mạng

Http – Anti Virus“

Đồ án gồm 4 chương :



Chương I : Tìm hiểu chung về Virus. Chương này giúp chúng ta có cái nhìn

khái quát về Virus như lịch sử ra đời và phát triển vủa Virus, một

số loại Virus cơ bản.

Chương II : Nghiên cứu tìm hiểu một số giải pháp phòng chống Virus tiên

tiến. Chương này tìm hiểu về hai giải pháp phòng chống Virus :

thứ nhất là phương pháp phòng chống Virus bằng ClamAV, các

thành phần trong ClamAV và giúp chúng ta có một cái nhìn khái

quát nhất về điện toán đám mây-công nghệ mới nhất đang đem

lại hiệu quả vô cùng to lớn trong công việc phòng chống Virus.

Thứ 2 là giải pháp phòng chống Virus của Trendmicro.

Chương III : Tìm hiểu về HTTP Anti Virus Proxy và Squid Proxy Server.

Chương này cho chúng ta tập trung nghiên cứu HAVP và Squid

như : Khái niệm, quá trình xử lý như thế nào và thiết lập các mô

hình HAVP, mô hình Squid và các tùy chọn của mỗi mô hình đó.

Trong quá trình thực hiện đề tài này, ngoài những cố gắng của bản thân,

em đã nhận được sự giúp đỡ rất lớn từ thầy Đinh Quốc Tiến cùng các thầy cô

giáo trong khoa An Toàn Thông Tin – Học Viện Kỹ Thuật Mật Mã. Em xin cảm

ơn thầy đã giúp đỡ em tận tình để em hoàn thành đề tài này. Do thời gian nghiên

cứu chưa nhiều, kiến thức còn hạn chế nên không thể tránh khỏi những sai sót,

kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô.

Em xin chân thành cảm ơn !

Sinh Viên

Trần Văn Duy



Chương 1

Tổng Quan Về Virus

1.1. Lịch sử phát triển của virus

Có thể nói virus có một quá trình phát triển khá dài, và nó luôn song hành

cùng người bạn đồng hành của nó là những chiếc "máy tính", (và tất nhiên là

người bạn máy tính của nó chẳng thích thú gì ). Khi mà Công nghệ phần mềm

cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay

đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và

để có thể ăn bám ký sinh. Tất nhiên là virus không tự sinh ra



Hình 1-1 . Hình ảnh minh họa Virus

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản

chỉ là một thú đùa vui ác ý. Nhưng chỉ có điều những cái đầu thông minh này

khiến chúng ta phải đau đầu đối phó và cuộc chiến này gần như không chấm dứt

và nó vẫn tiếp diễn.

Có nhiều tài liệu nói khác nhau nói về xuất xứ của virus máy tính, đó cũng

là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một

"xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng

có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những

hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy

vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít

nhiều liên quan tới những sự kiện sau:

1983 - Để lộ nguyên lý của trò chơi "Core War"

"Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2

lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo

gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố

gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ

thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.



Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson

người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận

một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M

Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy

tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã

chứng minh được sự tồn tại của virus máy tính.

Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả

về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi

này. Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa

những người viết ra virus và những người diệt virus.

1986 - Brain virus

Có thể được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ

bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware.

Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học

Hebrew – Israel

1987 - Lehigh virus xuất hiện

Lại một lần nữa liên quan tới một trường Đại học. Lehigh chính là tên của

virus xuất hiện năm 1987 tại trường Đại học nà y. Trong thời gian nà y cũng có 1

số virus khác xuất hiện, đặc biệt WORM virus (sâu virus), cơn ác mộng với các

hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ là m cho công ty

IBM nhớ mãi với tốc độ lây lan đáng nể: 500000 nhân bản trong 1 giờ.

1988 - Virus lây trên mạng


http://kythuatmaytinh.files.wordpress.com/2008/11/be-secure-icon-72dpi.jpg?w=258&h=241


Hình 1-2. Virus ngày càng phát triển và lây lan trên mạng

Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính

quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu

nhận thức được tính nguy hại của virus máy tính.

1989 - AIDS Trojan

Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa", chúng không

phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus. "Những chú

ngựa thành Tơ-roa" này khi đã gắn vào máy tính của bchúng thì nó sẽ lấy cắp

một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này

muốn nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của

chúng ta

1991 - Tequila virus

Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó

đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ

thống máy tính.

Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả

thật không dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng

sau lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó.

1992 - Michelangelo virus

Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 92 này

tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực

kỳ phức tạp.

1995 - Concept virus

Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại

virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những

tiền bối của nó. Chúng gây ra một cú sốc cho những công ty diệt virus cũng như

những người tình nguyện trong lĩnh vực phòng chống virus máy tính. Cũng phải

tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nào

thì tại Việt Nam chúng ta đã đưa ra được giải pháp rất đơn giản để loại trừ loại

virus này và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi

trên toàn Quốc.



Sau này những virus theo nguyên lý của Concept được gọi chung là virus

macro, chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel,

Powerpoint), và những nhân viên văn phòng - những người sử dụng không am

hiểu lắm về hệ thống - ắt hẳn sẽ không mấy dễ chịu với những con virus thích

chọc ngoáy vào công trình đánh máy của họ

1996 - Boza virus

Khi hãng Microsoft chuyển sang hệ điều hànnh Windows95 và họ cho

rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện

virus lây trên hệ điều hành Windows95 (có lẽ không nên thách thức những kẻ

xấu, điều đó chỉ thêm kích động chúng

1999 - Melissa, Bubbleboy virus

Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu

Melissa không những kết hợp các tính năng của sâu Internet và virus marco, mà

nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là

Microsoft Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị

nhiễm Mellisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và

chúng ta cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.

Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm

250 ngàn máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây

thiệt hại hàng trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt

mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương

tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng

đồng hồ.

Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính

trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ

liệu của hang triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày

26 tháng 4.

2000 - DDoS, Love Letter virus

Có thể coi là vụ việc virus phá hoại lớn nhất từ trước đến nay, Love Letter

có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng có 6

tiếng đồng hồ đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55

triệu máy tính, gây thiệt hại 8,7 tỷ USD.



Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những

nơi nó lây nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu "Từ chối dich

vụ - Denial of Service" (yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các

máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu

cầu mới -> bị vô hiệu hoá) vào các hệ thống máy chủ khi người điều hành nó

phất cờ, hoặc chúng tự định cùng một thời điểm tấn công. Và một hệ thống điện

thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.

2001 - Winux Windows/Linux Virus, Nimda, Code Red virus

Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên

các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng

file MP3 cho download.

Nimda, Code Red là những virus tấn công các đối tượng của nó bằng

nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy

trạm sang máy trạm...), làm cho việc phòng chống vô cùng khó khăn, cho đến

tận lúc này (tháng 9 năm 2002) ở Việt Nam vẫn còn những cơ quan với mạng

máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra

một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một

virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.

2002 - Sự ra đời của hàng loạt loại virus mới

Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này

lây những file .SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một

loại công cụ giúp làm cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự

ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft.

Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ!

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL

Tháng 6, có vài loại virus mới ra đời

Perrun lây qua Image JPEG (Có lẽ bạn nên cảnh giác với mọi thứ). Scalper tân

công các FreeBSD/Apache Web server.

1.2. Các loại virus máy tính

1.2.1. Virus Boot



Khi chúng ta bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi

động của chúng ta sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ

điều hành mà chúng ta muốn (Windows, Linux hay Unix...).

Sau khi nạp xong hệ điều hành chúng ta mới có thể bắt đầu sử dụng máy.

Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng

được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus

Boot.

Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng

ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot không nhiều

như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên

đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi

động.

1.2.2.Virus File

Là những virus lây vào những file chương trình như

file .com, .exe, .bat, .pif, .sys... mãi tới năm 1995 virus macro mới xuất hiện và

rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus

File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.

1.2.3. Virus Macro

Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính

(Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office.

Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng,

có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là

các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được

công thao tác.

Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao

tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.

1.2.4. Con ngựa Thành Tơ-roa - Trojan Horse

Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy

Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp

không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng

hoà , sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được



đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và

đánh chiếm thành từ bên trong.

Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng.

Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương

trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những

chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt

chảng hạn).

Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài

đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có

thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên

mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet

của người sử dụng và gửi bí mật cho chủ nhân của các Trojan).

Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có

tính chất lây lan, nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn

nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan.

Thông thường các phần mềm có chứa Trojan được phân phối như là các

phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng.

1.2.5. Sâu Internet Worm

Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của

virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết

là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một

kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây

lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc

đường truyền.



Hình 1-3. Hình ảnh minh họa sâu internet Worm

Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address

book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người

thân, khách hàng... của chủ máy.

Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên

với địa chỉ người gửi là chính chúng ta, chủ sở hữu của chiếc máy. Điều nguy

hiểm là những việc này diễn ra mà chúng không hề hay biết, chỉ khi chúng ta

nhận được thông báo la đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ

rằng máy tính của mình bị nhiễm virus (mà chưa chắc chúng ta đã tin như

thế!!?).

Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể

nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ

trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới

hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu Internet"

cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy

tính khác trên các "cành cây" Internet.



Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra

chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng

một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào

một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng

lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngoài ra,

chúng còn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân

và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp.

Do sự phát triển không ngửng của Virus như thế, các loại Virus ngày

một tinh vi hơn, ngày một nguy hiểm hơn. Vậy thì làm thế nào để có thể phòng

chống và ngăn chặn sự lây lân và phá hoại của Virus? Câu hỏi này luôn đặt ra

cho mỗi chúng ta phải tìm cách xây dựng các phần mềm, các công nghệ phòng

chống Virus một cách hiệu quả nhất. Và ngay từ khi Virus xuất hiện, các công

nghệ đó cũng được phát triển theo, như công nghệ nhận diện theo mẫu truyền

thống, hoặc công nghệ Heuristic và Behavior…; Nhưng ở chương sau em xin

giới thiệu về công nghệ phòng chống Virus được ứng dụng trong ClamAV , và

ClamAV sử dụng công nghệ điện toán đám mây. Đây là công nghệ mới nhất và

đem lại sự đột phá trong công nghệ phòng chống Virus. Qua các chương sau đó

chúng ta sẽ tìm hiểu xây dựng nhúng ClamAV trong HAVP kết hợp Squid để

phòng chống Virus trên mạng .

Chương 2

Nghiên Cứu Tìm Tiểu Một Số Giải Pháp

Phòng Chống Virus Tiên Tiến2.1. Giải pháp phòng chống Virus của TrendMicro

Hiện nay, việc lây nhiễm và phát tán virus là điều làm đau đầu các nhà

quản trị mạng trên toàn thế giới, chúng ảnh hưởng rất lớn đến toàn bộ hệ thống

mạng. Thiệt hại do virus gây ra là cực kì lớn. Do đó, việc xây dựng hệ thống

phòng chống virus là yêu cầu hàng đầu của bất kì hệ thống thông tin nào.



Virus hoạt động qua các dịch vụ công cộng như Web, Mail … có nghĩa là

một virus mới sẽ dễ dàng đi qua một firewall chưa cập nhật kịp thời. Khả năng

đó có thể dễ dàng tạo ra các backdoor, chuyển các thông tin nhạy cảm ra bên

ngoài mà không gặp sự cản trở nào.

Xây dựng hệ thống phòng chống virus phải được thực hiện đồng bộ và

nhất quán trên tất cả các vị trí từ trên xuống dưới, từ gateway cho đến tất cả các

trạm làm việc. Chương trình chống virus phải có khả năng bảo vệ được các dịch

vụ khác như: web, e-mail, file sharing …

Yêu cầu đặt ra cho giải pháp chống virus là phải bảo vệ toàn diện hệ thống

mạng trung tâm từ Internet Gateway, các Server cho đến từng Client khỏi sự tấn

công của virus. Hệ thống chống virus phải được cập nhật kịp thời, nhanh chóng,

có dịch vụ tốt từ nhà cung cấp. Đồng thời phải có giải pháp quản trị hệ thống

chống virus một cách tập trung, đồng bộ tại tất cả các điểm trong hệ thống mạng

tại hội sở, tuy nhiên vẫn có các quản trị viên cấp dưới có một số quyền hạn nhất

định để kiểm tra, kiểm soát tính toàn vẹn của cả hệ thống.

2.1.1. Thành phần bảo vệ Internet Gateway

Internet gateway là điểm kết nối hệ thống mạng với môi trường Internet.

Tại đây có thể xem như là một cánh cửa rộng nhất để virus và các đoạn mã có

dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn

chặn từ cổng mạng này là thiết yếu, bao gồm các thành phần:

InterScan Messaging Security Suite (IMSS)

Giải pháp toàn diện này sẽ khoá các mã có dụng ý nguy hiểm, spam, và

nội dung không mong muốn ngay tại mức messaging gateway - điểm vào quan

trọng nhất của mạng.



Hình 2-1. Mô hình InterScan Messaging Security Suite

Khả năng bảo vệ toàn diện Messaging : IMSS cung cấp khả năng

bảo vệ toàn diện messaging tại mức gateway bằng cách quét các

luồng giao thông SMTP và POP3 với sự tích hợp công nghệ chống

virus, lọc nội dung, và khả năng chống spam. Khi engine quét phát

hiện một gói tin chứa virus, nó triển khai kỹ thuật Active Action tự

động delete virus. Nó cũng đánh giá email nhiễm các loại virus khác

nhau và xác định hoặc là xoá, cách ly, hoặc làm sạch rồi sau đó mới

phân phát message. Công ty có thể khoá các luồng email không xác

thực với điều khiển đường truyền SMTP, như là anti-relay và hạn

chế kết nối – bảo vệ các lớp khác nhau chống lại tấn công.

Bảo vệ tránh bị tấn công từ chối dịch vụ (DoS) : Bằng việc làm tràn

ngập một mail server với những file đính kèm có kích thước lớn

hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ

thống mail của một doanh nghiệp, tổ chức. IMSS for SMTP bao

gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm

của những mail không được phép vào mạng nội bộ, chúng sẽ bị

chặn ngay ở mức gateway.

Khả năng lọc nội dung cao cấp : Công nghệ lọc nội dung của IMSS

cho phép công ty hạn chế nội dung email vào/ra bằng cách khoá



messages không thích hợp trên cơ sở các từ khoá, loại file, tên đính

kèm, kích cỡ đính kèm, và những quy luật khác. Giảm thiểu các

email mang tính tiêu khiển, công ty có thể tiết kiệm được tài nguyên

mạng, nâng cao năng suất của nhân viên, và bảo vệ các thông tin

quan trọng.

Tính năng lọc Spam thông minh : Module chống spam tích hợp với

IMSS để tạo ra khả năng lọc spam trên cơ sở heuristic với hiệu suất

cao. Engine định danh và khoá spam với tỷ lệ bắt gặp cao và lỗi

thấp. Nhà quản trị có thể chọn lựa thiết đặt mức độ spam và tạo ra

danh sách người gởi được phép hoặc bị khoá, hành động lọc, hoặc

những luật khác nhau cho các cá nhân hoặc nhóm.

Hình 2-2. Lọc Messaging

IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend

Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine

sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi

qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định

nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus

trong file), quarantine (cách ly các file bị nhiễm), delete (xóa file bị nhiễm)…



các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả

năng phát hiện virus dựa trên hành vi.

InterScan Web Security Suite (IWSS)

Hình 2-3 . Mô hình InterScan Web Security Suite

Khả năng chống virus và bảo mật nội dung tại Web Gateway : IWSS

thực hiện bảo mật với hiệu suất cao cho các luồng giao thông HTTP

và FTP tại gateway Internet. Gói tích hợp các công nghệ antivirus,

anti-phishing, anti-spyware, và có thể tuỳ chọn thêm công nghệ lọc

URL. Đây là giải pháp bao hàm toàn diện được thiết kế để quét nội

dung Web và chặn đứng các mối đe doạ nguy hiểm – không làm

giảm hiệu suất Web. Nó cũng có khả năng uyển chuyển và linh

động cao, cho cả các mạng lớn và phức tạp. Với trình quản lí tập

trung, nhà quản trị IT có thể triển khai nhanh chóng, kết hợp phòng

thủ chống lại các mối đe doạ xuất hiện.

IWSS tích hợp toàn bộ giải pháp được thiết kế để khoá các mối đe

doạ trên nền Web bao gồm virus, Trojans, worm, tấn công phishing



và spyware. Các mối đe doạ này có thể tấn công vào hệ thống mạng

thông qua email trên nền Web và các trang Web chứa đựng mã

nguy hiểm ẩn ở trong. IWSS bảo vệ chống lại các mối đe doạ này

bằng cách quét các luồng giao thông HTTP và FTP.

Anti-phishing : Công nghệ anti-phishing của Trend Micro được tích

hợp trong IWSS được thiết kế để khoá các luồng dữ liệu hướng ra

được biết ảnh hưởng xấu đến Web sites. Công nghệ này cung cấp

một lớp bảo vệ mới bổ sung cho IMSS và sản phẩm anti-spam lọc

mail khác theo luồng giao thông SMTP hướng vào. Kết quả, IWSS

giúp ngăn chặn kẻ trộm lấy cắp các thông tin bí mật của công ty và

cá nhân, như là credit card, tài khoản ngân hàng, số bảo mật quan

trọng khác, gồm cả user name và password.

Anti-spyware : Công nghệ anti-spyware của Trend Micro được thiết

kế để khoá spyware và adware, các công cụ thêm vào giúp truy xuất

từ xa và hỗ trợ hacking gây thiệt hại cho mạng. Công nghệ này tăng

thêm khả năng bảo mật giúp ngăn chặn tội phạm mạng, những kẻ

bất lương, và các quảng cáo lấy thông tin cá nhân, thông tin của tập

đoàn, password, địa chỉ email, và thông tin khác. Nó cũng giải thoát

tài nguyên hệ thống và tăng tính sẵn sàng của băng thông, cải thiện

hiệu suất mạng và giảm sự sụp đổ liên quan đến spyware.

Khả năng uyển chuyển và linh động : IWSS hỗ trợ cấu hình

standalone hay kết hợp với proxy servers và Appliance – có nhiều

tuỳ chọn hơn bất kỳ giải pháp bảo mật Web nào khác. IWSS cũng

hỗ trợ LDAP và Active Directory, cho phép nhà quản trị IT dễ dàng

thiết đặt chính sách gán các luật cho PCs và Groups. Cơ sở bảo mật

linh động này cho phép nhà quản trị IT thiết đặt chính sách và gán

các luật đến các nhóm và cá nhân sử dụng phù hợp. Nó cũng cung

cấp hành động lọc linh động như lưu trữ, trì hoãn, phân phát, và

message nhắc nhở. Tính uyển chuyển cao cho phép tích hợp với các

sản phẩm hàng đầu khác như Check Point, Cisco, NetScreen...

Quản lý tập trung : Khi Suite được triển khai với TMCM, nhà quản

trị có thể quản lý tập trung tất cả các sản phẩm bảo mật Trend Micro



thông qua enterprise. Cấu hình sản phẩm, cập nhật pattern virus,

chính sách bảo mật, và các chức năng khác có thể điều khiển thông

qua console quản lý tập trung – cho phép nhanh chóng, kết hợp

phòng thủ chống lại các mối đe doạ xảy ra. Báo cáo Real-time và

định thời cũng cung cấp một góc nhìn toàn diện tất cả các sản phẩm

để dễ dàng phân tích thông tin.

2.1.2. Thành phần chống Virus cho Mail

Scanmail For Exchange

Nguy cơ lây nhiễm virus qua thư điện tử đang là nguy cơ phổ biến nhất

hiện nay bởi số lượng người sử dụng thư điện tử không ngừng gia tăng. Qua hệ

thống thư điện tử, virus tấn công vào hệ thống mạng của tổ chức dưới nhiều loại

hình khác nhau như worm, spam, mass-mailing…làm rối loạn hoặc đình trệ hoạt

động của hệ thống.

ScanMailTM for Exchange phát hiện và diệt virus cũng như các đoạn mã

có hại ẩn trong email và các public folder theo thời gian thực. Thành phần này

ngăn chặn sự xâm nhập của virus trước khi chúng nhiễm vào các desktop.

Thành phần chuyên biệt này có chức năng quét virus trong các email gửi

qua Microsoft Exchange Server và hoàn toàn tương thích với database của

Microsoft Exchange.

Quản trị viên có thể cài đặt hệ thống từ xa, quá trình quét virus là “trong

suốt” đối với end-user, các thông báo về sự kiện nhiễm và diệt virus được lưu lại

và thông báo cho quản trị viên.

Các tinh năng quan trọng:

Phát hiện và loại bỏ virus trong thời gian thực : ScanMail for Microsoft

Exchange phát hiện và loại bỏ virus khỏi các luồng email hướng vào/ra và

các file attachment trước khi chúng vươn tới người sử dụng cuối. Hỗ trợ

Microsoft MAPI, VS API và ESE API, ScanMail quét các luồng giao

thông SMTP, MAPI, HTTP, POP3, IMAP4, IFS, và NNTP tại thời gian

thực.

Cấu hình uyển chuyển và khả năng quản lý từ xa : ScanMail có thể triển

khai nhanh chóng đến một hoặc nhiều Exchange server, kể cả Cluster

server. Nhà quản trị có thể quản lý tất cả server ScanMail thông qua giao



diện Web hoặc console Windows, công việc cấu hình, quản lý và logging

phần mềm dễ dàng. ScanMail cũng được sử dụng bởi TMCM, một

console quản lý tất cả các sản phẩm của Trend Micro, cung cấp khả năng

quản lý các nhóm cấu hình, báo cáo, triển khai sản phẩm chống virus một

cách tập trung thông qua mạng.

Quản lý cách ly : tính năng này cho phép nhà quản trị cấu hình và lưu trữ

tất cả email và file attach trong quá trình bùng nổ virus để ngăn chặn khả

năng lây lan của virus. Quarantine Manager cho phép các tuỳ chọn resend,

forward, hoặc xoá các item đã cách ly hoặc chuyển nó tới mailbox của nhà

quản trị. Giao diện thân thiện với người sử dụng cung cấp cho nhà quản trị

các công cụ có thể xem lại, phân tích các item đã bị cách ly. Khả năng

cách ly email trên cơ sở các luật tự chọn giảm bớt sự lạm dụng tài nguyên

email và làm tăng hiệu quả của hệ thống.

Quản lý và lọc nội dung email với trình lọc eManager : Exchange server

phiên bản mới đã được tăng thêm khả năng an toàn khi có thành phần

eManager tích hợp sẵn. eManeger triển khai trên các quy luật do người sử

dụng định nghĩa và các toán tự luận lý (AND, OR, NOT) để khoá và lọc

các nội dung không mong muốn trong email và phần attachment, giảm

thiểu các nguy cơ đưa vào mạng các nội dung không phù hợp thông qua

mail server nên giúp tăng hiệu suất làm việc.

Duy trì tài nguyên mạng với các tính năng IntelliScan và ActiveAction :

các tính năng này sẽ kiểm tra tất cả các message nhưng chỉ quét trên

những email mang virus tiềm ẩn. Mỗi lần virus được phát hiện, các hành

động đề nghị như: clean, quarantined, hoặc delete sẽ được thực thi.

Hiệu suất quét cao : ScanMail kết hợp nhiều công nghệ quét, bao gồm cả

so mẫu, kiểm soát hành vi dựa vào tập luật (rules-based behavior

monitoring) để cung cấp khả năng phát hiện và loại bỏ virus hiệu quả. Khả

năng quét đa luồng làm tăng tốc độ quét email và giảm thiểu tác động đến

Exchange server. Hành động quét virus trong suốt đối với người dùng trừ

khi một virus bị delete, khi đó, người gởi, người nhận, và nhà quản trị có

thể nhận được nhắc nhở bằng email.

Thành phần bảo vệ File Server



Hình2-4. Thành phần bảo vệ file server

Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên

Server, chúng ta sẽ sử dụng thành phần ServerProtect.

ServerProtect là thành phần bảo vệ file và các ứng dụng hệ thống của

server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông

qua kiến trúc gồm 3 thành phần:

Information Server : được cài trên 1 server với mục đích quản lý tập trung

các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa

(Remote Procedure–RPC) để connect tới các server Windows NT và sử

dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell

NetWare.

Normal Server : được cài trên các server (có thể coi đây là bản client của

Server Protect) và được quản lý bởi Information Server.

Management Console : Công cụ quản trị sử dụng giao thức TCP/IP, quản

trị viên có thể log-on vào Information Server thông qua hình thức xác thực

dựa trên username và password để cài đặt ServerProtect cho các Server

trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống

virus trong hệ thống.


http://forum.mait.vn/MaIT_attachment/mang-bao-mat/592d1208256508-tong-quan-ve-giai-phap-phong-chong-virus-cua-trendmicro-server_protect-jpg


Information Server và tất cả các Normal Server đều có thể cài đặt và cập

nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows.

Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy:

Đang bị nhiễm virus.

Cấu hình bị thay đổi.

Một dịch vụ nào đó bị gỡ bỏ.

Mẫu virus không được cập nhật kịp thời.

Hệ thống phòng chống đang bị sửa đổi.

Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác

nhau: qua e-mail, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box.

Thành phần bảo vệ Client

OfficeScan là thành phần chống virus cho các máy trạm. Thành phần này

hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định

kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên

hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên.

Việc cài đặt OfficeScan cho từng client hoàn toàn thông qua giao diện

Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển

khai hệ thống trong mạng LAN.

Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp,

TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client

này.

Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính

nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững

chính sách phòng chống virus trong mạng



Hình 2-5. Bảo vệ tận đến các Client

Thành phần quản lý tập trung

Chức năng của Trend Micro Control Manager:

Quản lý tất cả các thành phần diệt virus được cài đặt trong hệ thống

mạng. Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong

mạng diện rộng.

Cho phép cập nhật mẫu virus một cách tự động và thống nhất, cho phép

người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống

thực hiện một chính sách chống virus một cách thống nhất.

Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ

thống thực hiện một cách tập trung trên một máy chủ Windows.

Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi

phí trong việc vận hành và duy trì hệ thống.



Hình 2-6. Thành phần quản lý tập trung

Ngăn chặn nguy cơ “bùng nổ” virus ở trong mạng một cách hữu hiệu với

OPP (Outbreak Prevention Policy). TMCM sẽ tự động phát hiện ra các

dấu hiệu của một nguy cơ bùng nổ virus mới và sẽ tự động cập nhật chính

sách ngăn chặn từ TrendMicro để đối phó với nguy cơ này. Người quản trị

cũng có thể chủ động đưa ra các chính sách ngăn chặn bùng nổ riêng cho

hệ thống (thành phần này là tuỳ chọn thêm)

2.2. Phòng chống Virus bằng ClamAV sử dụng công nghệ điện

toán đám mây2.2.1. Công nghệ Điện toán đám mây (Cloud Computing)

2.2.1.1.Tìm hiểu chung về điện toán đám mây

Trước hết chúng ta tìm hiểu về lịch sử của thuật ngữ này : Thuật ngữ điện

toán đám mây xuất hiện bắt nguồn từ ứng dụng Điện toán lưới (Grid Computing)

trong thập niên 1980, tiếp theo là điện toán nhu cầu (Utility Computing) và phần

mềm dịch vụ (SaaS). Điện toán lưới đặt trọng tam vào việc di chuyển một tải

công việc (workload) đến địa điểm của các tài nguyên cần thiết để sử dụng.



Một lưới là một nhóm máy chủ mà trên đó nhiệm vụ lớn được chia thành

những tác vụ nhỏ để chạy song song, được xem là một máy chủ ảo. Với điện

toán đám mây, các tài nguyên điện toán như máy chủ có thể được định hình

động hoặc cắt nhỏ từ cơ sở hạ tầng phần cứng nền và trở nên sẵn sàng thực hiện

nhiệm vụ, hỗ trợ những môi trường không phải la điện toán lưới như Web ba lớp

chạy các ứng dụng truyền thống hay ứng dụng Web 2.0.

Hiểu một cách đơn giản, điện toán đám mây là việc ảo hóa các tài nguyên

tính toán và các ứng dụng. Thay vì việc sử dụng một hoặc nhiều máy chủ thật

(ngay trước mắt, có thể sờ được,có thể tự nhấn nút bật tắt nguồn được) thì nay

chúng ta sẽ sử dụng các tài nguyên được ảo hóa (virtualized) thông qua môi

trường internet.

Như vậy, trước đây có thể triển khai một ứng dụng (ví dụ một trang web),

chúng ta phải đi mua/thuê một hay nhiều máy chủ (server), sau đó đặt máy chủ

tại các trung tâm dữ liệu (dât center) thì nay điện toán đám mây cho phép chúng

ta giản lược quá trình mua/thuê đi. Chúng ta chỉ cần nêu ra yêu cầu của chúng ta.

Chính vì vậy, có thể kể đến một vài lợi ích cơ bản của điện toán đám mây như

sau :

Sử dụng các tài nguyên tính toán động (Dynamic computing

resource) : Các tài nguyên được cấp phát cho doanh nghiệp đúng

như những gì doanh nghiệp muốn một cách tức thời. Thay vì việc

doanh nghiệp phải tính toán xem có nên mở rộng hay không, phải

đầu tư bao nhiêu máy chủ thì nay doanh nghiệp chỉ cần yêu cầu

“Hey, đám mây, chúng tôi cần them tài nguyên tương đương với 1

CPU 3.0 GHz, 128 GB RAM…” và đám mây sẽ tự tìm kiếm tài

nguyên rỗi để cung cấp cho chúng ta.

Giảm chi phí : Doanh nghiệp sẽ có khả năng cắt giảm chi phí để

mua bán, cặt đặt và bảo trì tài nguyên. Rõ ràng vì việc phải cử một

chuyên gia đi mua máy chủ, cài đặt máy chủ, bảo trì máy chủ thì

nay chúng ta chẳng cần phải làm gì ngoài việc xác định chính xác

tài nguyên mình cần và yêu cầu.

Giảm độ phức tạp trong cơ cấu của doanh nghiệp: Doanh nghiệp

sản xuất hang hóa mà lại phải cử một chuyên gia IT để vận hành



vào bảo trì máy chủ thì rất tốn kém. Nếu outsource được quá trình

này thì doanh nghiệp sẽ chỉ tập trung vào việc sản xuất hang hóa

chuyên môn của mình và giảm bớt độ phức tạp trong cơ cấu.

Tăng khả năng sử dụng tài nguyên tính toán : Một trong những câu

hỏi đau đầu của việc đầu tư tài nguyên ( vi dụ máy chủ ) là bao lâu

thì nó sẽ hết khấu hao, tái đầu tư như thế có lợi hay không, có bị

outdate về công nghệ hay không…Khi sử dụng tài nguyên trên đám

mây thì chúng ta không cần phải quan tâm tới điều này nữa.

Kiến trúc hướng dịch vụ ( SOA) : Tuy nhiên, nghiên cứu gần đây

cho thấy vấn đề bảo mật là rào cản lớn nhất quyết định liệu điện

toán đám mây có được sử dụng rộng rãi nữa hay không .

Các vấn đề bảo mật vẫn không ngăn được sự bùng nổ công nghệ cũng như

sự ưa chuộng điện toán đám mây bởi khả năng giải quyết và đáp ứng các nhu cầu

bức thiết trong kinh doanh.

Để đảm bảo an toàn cho đám mây điện toán, chúng ta cần nắm được vai

trò của nó trong sư phát triển công nghệ. Rất nhiều câu hỏi xung quanh những ưu

và khuyết điểm khi sử dụng điện toán đám mây trong đó tính bảo mât, hữu dụng

và quản lí luôn được chú ý xem xét kỹ lưỡng.

Bảo mật là đề tài được giới người dùng thắc mắc nhiều nhất và sau đây là

một số câu hỏi hàng đầu được đặt ra để quyết định liệu việc triển khai điện toán

đám mây có phù hợp hay không và nếu không thì nên lựa chọn mô hình nào cho

phù hợp : cá nhân hay công cộng, hay cả 2.

Khả năng rủi ro khi triển khai mô hình điện toán đám mây

Dù mang tính chất cá nhân hay công cộng thì chúng ta vẫn không thể hoàn

toàn quản lý được môi trường, dữ liệu và kể cả con người. Những thay đổi trong

mô hình có thể làm tăng hoặc giảm rủi ro. Những ứng dụng đám mây cung cấp

thông tin rõ ràng, các công cụ thông báo tiên tiến và tích hợp với hệ thông sẵn có

sẽ làm giảm rủi ro. Tuy nhiên, một vài ứng dụng khác lại không thể điều chỉnh

các trạng thái bảo mật, không phù hợp với hệ thống sẽ làm gia tăng rủi ro.

Cần phải làm gì để chắc chắn các chính sách bảo mật hiện tại tương

thích với mô hình đám mây?



Mỗi thay đổi trong mô hình là dịp để mỗi chúng ta cải thiện tình trạng và

chính sách bảo mật. Vì người sử sẽ tác động và điều khiển mô hình đám mây nên

chúng ta không nên tạo ra chính sách bảo mật mới. Thay vào đó là mở rộng

chính sách hiện tại để tương thích với các nền tảng kèm theo. Để thay đổi chính

sách bảo mật thì ta cần thay đổi các yếu tố tương quan như : dữ liệu sẽ được lưu

ở đâu, bảo vệ như thế nào, ai được phép truy cập, và cần tuân theo những quy tắc

và thỏa hiệp gì?

Việc triển khai mô hình đám mây có đáp ứng được yêu cầu ủy thác?

Triển khai mô hình đám mây tác động đến tính rủi ro và ảnh hưởng đến

khả năng đáp ứng các quy tắc khác nhau. Một vài ứng dụng đám mây có khả

năng thông báo hay báo cáo tình trạng hoạt động mạnh mẽ, đồng thời được thiết

lập để đáp ứng những yêu cầu cần thích ứng riêng biệt. Trong khi một số lại quá

chung chung mà không thể đáp ứng được các yêu cầu chi tiết. Ví dụ như khu

chúng ta truy xuất dữ liệu, một thông báo hiện ra cho biết dữ liệu chỉ được lưu

trữ trong phạm vi lãnh thổ (server trong nước) thì chúng ta không thể truy xuất

được bởi các nhà cung cấp dịch vụ không thể thực hiện yêu cầu này

Liệu các nhà cung cấp dịch vụ sử dụng các chuẩn bảo mật hay theo

thực tế kinh nghiệm (SAML, WSTrust, ISO…) ?

Các tiêu chuẩn có vai trò quan trọng trong điện toán đám mây như một sự tương

kết giữa các dịch vụ và ngăn tình trạng độc quyền dịch vụ bảo mật. Rất nhiều tổ

chức được thành lập nhằm khởi tạo và mở rộng để hỗ trợ trong bước khởi đầu

triển khai mô hình.

Điều gì sẽ xảy ra nếu vi phạm và xử lý như thế nào?

Khi nói đến chương trình bảo mật cho mô hình, chúng ta cũng cần lên kế

hoạch qiair quyết các lỗi vi phạm à tình trạng mất dữ liệu. Đây là yếu tố quan

trọng trong các điều khoản của nhà cung cấp và được thực thi bởi cá nhân.

Chúng ta buộc phải đáp ứng những chính sách và điều lệ của nhà cung cấp đã đề

ra để đảm bảo được hỗ trợ kịp thời nếu gặp sự cố.

Ai sẽ quan sat và chịu trách nhiệm bảo đảm an toàn cho dữ liệu?

Trên thực tế thì trách nhiệm bảo mật được chia sẻ. Tuy nhiên, ngày nay

vai trò này thuộc về hệ thống thu thập dữ liệu mà không phải nhà cung cấp.



Chúng ta có thể đàm phán để giới hạn trách nhiệm đối với việc mất mát dữ liệu

cụ thể là chia sẻ vai trò này với nhà cung cấp.

2.2.1.2. Các mô hình điện toán đám mây

Cloud Computing là mô hình điện toán cho phép truy cập mạng để lựa

chọn và sử dụng tài nguyên tính toán ( ví dụ : máy chủ, mạng, lưu trữ, ứng dụng

và dịch vụ) theo nhu cầu một cách thuận tiện và nhanh chóng, đồng thời cho

phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các

giao tiếp với nhà cung cấp.

Hình 2-7. Mô hình điện toán đám mây

Theo đó, mô hình chính là cho phép sử dụng dịch vụ theo yêu cầu (on-

deman service); cung cấp khả năng truy cập dịch vụ qua mạng rộng rãi từ máy

tính để bàn, máy tính xách tay tới thiết bị di động (broad net-work access); với

tài nguyên tính toán động, phục vụ nhiều người (resource pooling for multi-

ternanci), năng lực tính toán phần mềm dẻo, đáp ứng nhanh với nhu cầu thấp tới

cao (rapid elasticity). Mô hình Cloud Computing cũng đảm bảo việc sử dụng các

tài nguyên được “đo” để nhà cung cấp dịch vụ quản trị tối ưu được tài nguyên,



đồng thời người dùng chỉ phải trả chi phí cho phần tài nguyên đã sử dụng (pay

for use)

Mô hình các lớp dịch vụ

Dịch vụ Cloud Computing rất đa dạng và bao gồm tất cả các lớp dịch vụ

điện toán từ cung cấp năng lực tính toán trên dưới máy chủ hiệu suất cao hay các

máy chủ ảo, không gian lưu trữ dữ liệu, hay một hệ điều hành, một công cụ lập

trình, hay một ứng dụng kế toán…

Các dịch vụ cũng được phân loại khá đa dạng, nhưng các mô hình dịch vụ

Cloud Computing phổ biến nhất có thể được chia làm 3 nhóm : Dịch vụ hạ tầng

(IaaS), Dịch vụ nền tảng (PaaS), dịch vụ phần mêm (SaaS).

Hình 2-8. Mô hình các lớp dịch vụ

Dịch vụ hạ tầng IaaS

Dịch vụ IaaS cung cấp các dịch vụ cơ bản bao gồm năng lực tính toán,

không gian lưu trữ, kết nối mạng tới khách hàng. Khách hàng (cá nhân hoặc tổ

chức) có thể sử dụng tòa nguyên hạ tầng này để đáp ứng nhu cầu tính toán hoặc

cài đặt ứng dụng riêng cho người sử dụng.



Với dịch vụ này khách hàng làm chủ hệ điều hành, lưu trữ và các ứng

dụng do khách hàng cài đặt. Khách hàng điều hành của dịch vụ IaaS có thể là

mọi đối tượng cần tới một máy tính và tự cài đặt ứng dụng của mình.

Ví dụ điển hình về dịch vụ này là dịch vụ EC2 của Amazon. Khách hàng

có thể đăng ký sử dụng một máy tính ảo trên dịch vụ của Amazon và lựa chọn

một hệ thống điều hành (ví dụ : windows hoặc linux) và tự cài đặt ứng dụng của

mình.

Dịch vụ nền tảng PaaS

Dịch vụ PaaS cung cấp nền tảng điện toán cho phép khách hàng phát triển

các phần mềm, phục vụ nhu cầu tính toán hoặc xây dựng thành dịch vụ các lớp

ứng dụng giữa (middleware), các ứng dụng chủ (application server) cùng các

công cụ lập trình với ngôn ngữ lập trình nhất định để xây dựng ứng dụng.

Dịch vụ PaaS cũng có thể được xây dựng riêng và cung cấp cho khách

hàng thông qua một API riêng. Khách hàng xây dựng ứng dụng và tương tác với

hj tầng CC thông qua API đó. Ở mức PaaS khách hàng không quản lý nền tảng

Cloud hay các tài nguyên lớp như hệ điều hành, lưu trữ ở lớp dưới. Khách hàng

điều hành của dịch vụ PaaS chính là các nhà phát triển ứng dụng (ISV).

Dịch vụ App Engine của Google là một dịch vụ PaaS điển hình, cho phép

khách hàng xây dựng các ứng dụng web với môi trường chạy ứng dụng và phát

triển dựa trên ngôn ngữ lập trình java hoặc python.

Dịch vụ phần mềm SaaS

Dịch vụ SaaS cung cấp các ứng dụng hoàn chỉnh như một dịch vụ theo

yêu cầu cho nhiều khách hàng với chỉ một phiên bản cài đặt. Khách hang lựa

chọn ứng dụng phù hợp với nhu cầu và sử dụng mà không quan tâm tới hay bỏ

công sứa quản lý tài nguyên tính toán bên dưới.

Dịch vụ SaaS nổi tiếng nhất phải kể đến Salesforce.com với các ứng dụng

cho doanh nghiệp mà nổi bật nhất là CRM. Các ứng dụng SaaS cho người dùng

cuối phổ biến là các ứng dụng office online của Microsoft hay Google Dóc của

Google.

Mô hình triển khai

Từ “đám mây” (Cloud) xuất phát từ hình ảnh minh họa mạng internet đó

được sử dụng rộng rãi trong các hình vẽ về hệ thống mạn máy tính của giới



CNTT. Một cách nôm na, điện toán đám mây là mô hình điện toán internet. Tuy

nhiên , khi mô hình CC dần định hình, các ưu điểm của nó được vận dụn để áp

dụng trong các môi trương có quy mô và phạm vi riêng, hình thành các mô hình

triển khai khác nhau.

Đám mây công cộng

Mô hình đầu tiên được nói đến khi đề cập tới CC chính là mô hình Public

Cloud. Đây là mô hình mà hạ tầng CC được một tổ chức sở hữu và cung cấp

dịch vụ rộng rãi cho tất cả các khách hàng thông qua hạ tầng mạng internet hoặc

các mạng công cộng diện rộng. Các ứng dụng khác nhau chia sẻ chung tài

nguyên tính toán, mạng và lưu trữ. Do vậy, hạn tầng CC thiết kế để đảm bảo cô

lập về dữ liệu giữa các khách hàng và tách biệt về truy cập.

Hình 2-9. Mô hình đám mây công cộng

Các dịch vụ Public Cloud hướng tới một số lượng khách hàng lớn nên

thường có năng lực về hạ tầng cao, đáp ứng nhu cầu tính toán linh hoạt, đem lại

chi phí thấp cho khách hàng. Do đó khách hàng của dịch vụ trên Public Cloud sẽ

bao gồm tất cả các tầng lớp mà khach hàng cá nhân và doanh nghiệp nhỏ sẽ được



hưởng lợi thế trong việc dễ dàng tiếp cận các ứng dụng công nghệ cao, chất

lượng mà không phải đầu tư ban đầu, chi phí sử dụng thập, linh hoạt.

Đám mây doanh nghiệp

Đám mây doanh nghiệp (Private Cloud) là một mô hình trong đó hạ tầng

đám mây được sở hữu bởi một tooe chức và phục vụ cho người dùng của tổ chức

đó.Private Cloud có thể được vận hành bởi một bên thứ ba và hạ tầng đám mây

có thể được đặt bên trong hoặc bên ngoài tổ chức sử hữu (tại bên thứ 3 kiêm vận

hành hoăc thậm chí là một bên thứ 4).

Hình 2-10. Mô hình đám mây doanh nghiệp

Private Cloud được các tổ chức hay doanh nghiệp lớn xây dựng cho mình

nhằm khai thác ưu thế về công nghệ và khả năng quản trị của CC.

Với Private Cloud, các doanh nghiệp tối ưu được hạ tầng IT của mình,

nâng cao hiệu quả sử dụng, quản lý trong cấp phát và thu hồi tài nguyên, qua đó

giảm thời gian đưa sản phẩm sản xuất, kinh doanh ra thị trường.



Đám mây chung

Đám mây chung (Community Cloud) là mô hình trong đó hạ tầng đám

mây được chia sẻ bởi một tổ chức cho cộng đồng người dùng trong các tổ chức

đó.

Các tổ chức này do đặc thù không tiếp cận với các dịch vụ Public Cloud

và chia sẻ chung một hà tầng CC để nâng cao hiệu quả đầu tư và sử dụng.

Hình 2-11. Mô hình đám mây chung

Đám mây lai

Mô hình đám mây lai (Hybrid Cloud) là mô hình bao gồm hai hoặc nhiều

hơn các đám mây trên tích hợp với nhau. Mô hình Hybrid Cloud cho phép chia

sẻ hạ tầng hoặc ứng dụng nhu cầu trao đổi dữ liệu.



Hình 2-12. Mô hình đám mây lai

2.2.2. Tìm hiểu về Clam AV

2.2.2.1. Giới thiệu về ClamAV

Clam AntiVirus là bộ công cụ một mã nguồn mở (GPL) chống virus

cho Unix được thiết kế đặc biệt cho email. Nó cung cấp một số các tiện

ích như sự linh hoạt và khả năng mở rộng các tiến trình đa luồng vận hành

dạng Daemon, một công cụ quét virus trên giao diện dòng lệnh và các tiện

ích cho việc cập nhật cơ sở dữ liệu.

Các tính năng của clamav :

Quét với giao diện dòng lệnh

Các tiến trình đa luồng vận hành dạng Daemon có hỗ trợ quét trên các truy

cập.

Giao diện Milter cho gửi mail

Tiện ích cập nhật cơ sở dữ liệu hỗ trợ cho việc cập nhật các scrip và các

mẫu virus.



Quét trên các truy cập

Cơ sở dữ liệu virus cập nhật nhiều lần một ngày.

Tích hợp cho các định dạng lưu trữ khác nhau : Zip, RAR, Tar, Gzip,

Bzip2, OLE2, Cabinet, CHM, BinHex, SIS.

Tích hợp hỗ trợ cho tất cả các định dạng mail

Tích hợp hỗ trợ các tập tin thực thi ELF và các tập tin nén Portable

Tích hợp hỗ trợ các định dang tài liệu phổ biến như MS office, Mac office,

HTML,

2.2.2.2. Các hệ điều hành đươc hô trơ :

Unix : Clam anti virus hỗ trợ hầu hết cho các hệ điều hành Unix phổ

biến. Các phiên bản Clamav 0.9x đều được thử nghiệm trên các hệ điều

hành như:

GNU/Linux

Solaris

Free BSD

Open BSD

Mac OS X

Window : Trên các hệ điều hành của window sử dụng Clamwin.

Clamwin sử dụng cơ chế ClamAV Scanning Engine để quét virus vì vậy

nó có thể phát hiện virus và spyware với tỉ lệ rất cao. Các tính năng nổi

bật của ClamWin đó là quét virus theo lịch đặt sẵn, tự động update Virus

Database, là một chương trình quét virus độc lập và có thể tích hợp vào

Windows Explorer, Microsoft Outlook để xóa các file đính kèm đã bị đầu

độc.



Một điều đáng tiếc cho ClamWin đó là chương trình chưa có cơ chế

quét virus thời gian thực vì vậy bạn phải tự lên lịch quét cho chương trình.

Clamwin hỗ trợ các hệ điều hành như Window 98/Me/2000/XP/Vista và

2003.

Phiên bản mới nhất của phần mềm quét virus mã nguồn mở ClamAV

0.96 đã có khả năng phát hiện được những chương trình malware hoạt

động trong môi trường Windows.

Chúng thường xuyên cố gắng ngụy trang bằng những phần mềm vô

hại, những biểu tượng không có thật và giả mạo tiêu đề PE, hỗ trợ thêm

khả năng rà soát trong các file 7zip, InstallShield và CPIO, tính năng phân

tích hành động đối với những file 64-bit ELF, Mac OS X bằng công

nghệ Mach-O. Hiệu suất hoạt động trung bình của ClamAV cũng đã được

cải thiện tối đa.

2.2.2.3. Các thành phần trong Clamav

Libclamav : Libclamav là một thư viện cơ sở dữ liệu chia sẻ của

clamav và các công cụ quét virus. Trong libclamav bao gồm các

cơ sở dữ liệu các mẫu virus, nó cung cấp các hỗ trợ quét trên giao

diện của chương trình ứng dụng và có thể được tích hợp với các

phần mềm diệt virus khác.

Clamd : là một tiến trình đa luồng vận hành dạng daemon. Clamd

sử dụng các socket, các luồng và các tệp tin điều khiển để có thể

thực hiên quét virus trên hệ thống mail và các định dạng tệp tin

được hỗ trợ liên tục nhiều lần khi cần thiết.Clamd khi quét chỉ



cần phải tải cơ sở dữ liệu một lần và dữ liệu đó được chía sẻ cho

các tiến trình khác. Clamd có hỗ trợ quá trình quét virus on-

access sử dụng trên các hệ điều hành Linux và BSD.

CLamdscan : là một quá trình quét với giao diện dòng lệnh.

Clamdscan giống như một client của clamd. Clamdscan có thể sử

dụng dể thay thế cho clamscan. Khi cần quét các tệp tin theo yêu

cầu và clamd đang chạy. Sử dụng clamdscan sẽ cho hiệu suất tốt

hơn. Clamdscan sử dụng các Daemon đang chạy để quét và nó

không cần phải khởi động clamav.

Clamscan: Clamscan là tiến trình quét với giao diện dòng lệnh.

Clamscan được sử dụng để quét các tập tin trên cơ sở không

thường xuyên hoặc khi clamd không hoạt động. Clamscan mỗi

khi khởi động lại phải tải lại cơ sở dữ liệu clamav. Do vậy đối

với các quá trình quét thường xuyên thi nên sử dụng clamdscan.

Freshclam: là một công cụ cập nhật cơ sở dữ liệu virus của

clamav. Nó vận hành dạng Daemon hoặc trên cơ sở tương tác

dòng lệnh để cập nhật dữ liệu virus của clamav. Nó đưa ra các kết

nối internet để cập nhật cơ sở dữ liệu. Đối với các cài đặt khi

không kết nối internet, các tệp tin cơ sở dữ liệu clamav và các gói

phần mềm sẽ không tự động cập nhật.

Sigtool : là một công cụ thao tác với cơ sở dữ liệu virus của

clamav. Công cụ này mục đích cho những người dùng có trình độ

cao muốn tạo ra những mẫu virus của mình.



Clamav-milter : là một plugin hỗ trợ cho chương trình Sendmail

và Postfix có thể quét email.

Clamuko : là một tiến trình đặc biệt trong clamd sử dụng để quét

virus dạng on-access được sử dụng trên các hệ điều hành Linux

và FreeBSD. Tiến trình này sử dụng cơ sở dữ liệu được chía sẻ

của Clam Daemon.

Clamconf : là chương trình chạy dựa trên các dòng lênh. Nó hiển

thị các thông tin về cấu hình của Clamav. Nó hữu ích khi sử dụng

để vá các lỗi của clamav. Khi người dùng thông báo các lỗi của

clamav thì đội ngũ kỹ sư của clamav thường yêu cầu tệp tin cấu

hình.

2.2.2.4. Hoạt động của các thành phần

Clam Daemon

Clamd là một tiến trình đa luồng vận hành dạng Daemon sử dụng cơ

sở dữ liệu của clamav để quét virus cho các tệp tin. Clamd có thể hoạt

động trên một hoặc cả hai chế độ mà nó lắng nghe là:

Unix (local) socket

TCP socket

Các lệnh trong clamd :

Ping: kiểm tra trạng thái vận hành dạng Daemon

Version : in ra phiên bản của chương trình và cơ sở dữ liệu.

Reload : tải các cơ sở dữ liệu virus

Scan : quét các thư mục hoặc tệp tin có hỗ trợ các đình dạng dữ

liệu lưu trữ.



Rawscan : quét các thư mục hoặc tệp nhưng không hỗ trợ cho các

định dạng lưu trữ và các tệp tin đặc biệt.

Contscan : quét các thư mục hoặc tệp tin có hỗ trợ các đình dạng

dữ liệu lưu trữ và không dừng lại quá trình quét khi phát hiện

virus.

Multiscan : quét các tệp tin theo một tiêu chuẩn hoặc các thư mục

sử dụng tiến trình đa luồng.

Instream :Quét một luồng dữ liệu, luồng dữ liệu này sẽ được gửi

đi trong một khối sau lệnh instream trên một cổng. Điều này sẽ

tránh đươc việc thiết lập thêm các kết nối TCP mới và các vấn đề

với NAT. Cấu trúc của khối nằm sau lênh Instream là < length>

<data> .

Fildes : Lệnh này chỉ sử dụng vơi Unix domain sockets. Sử dụng

lệnh này các gói tin được gửi tới clamd bao gồm các tệp tin miêu

tả việc quét các cơ sở dữ liệu ở bên trong. Các tệp tin miêu tả có

thể gửi cùng trong một gói tin.

Stats : Lệnh này cung cấp số liệu thống kê của clamd về quét các

hàng đợi, nội dung quét các hàng đợi và sử dụng bộ nhớ.

Clamdscan

Hoạt động đơn giản như một client của clamd. Được sử dụng để thay

thê cho clamscam nhưng phải tuân theo một số yêu cầu :

Clamscan chỉ được thiết lập khi Clamd hoạt động.



Mặc dù chấp nhận các tùy chọn dòng lệnh như clamscan nhưng

đa số các tùy chọn này đều bị loại bỏ vì chúng phải được cho

phép trong cấu hình của clamd.

Quét các tệp tin trong chế độ TCP phải truy cập tới clamd. Còn

nếu chế độ Local-socket được sử dụng trong cấu hình thì

clamdscan sẽ thực hiên quét trong giới hạn và sử dụng lệnh

FILDES.

Freshclam

Là công cụ cập nhật cơ sở dữ liệu tự động cho Clamav. Nó hoạt

động ở hai chế độ :

Interactive : dựa trên các tương tác với dòng lệnh.

Daemon : vận hành dạng daemon.

Freshclam có hỗ trợ các tập lệnh cập nhật tự động, kiêm tra phiên

bản cơ sở dữ liệu thông qua DNS, máy chủ proxy và các mẫu virus .Các

chỉ thị Datamirrors trong tệp tin cấu hình sẽ chỉ đinh máy chủ cơ sở dữ

liệu cho Freshclam tải về. Cấu trúc mặc định của database mirrors là

database.clamav.net. Để sắp xếp thứ tự của việc lựa chon tải về cơ sơ dữ

liệu thì phải cấu hình Freshclam với database mirrors là

database.xx.clamav.net với xx ở đây là tên nước hoặc mã vùng.

2.2.2.5. ClamAV sử dụng công nghệ điện toán đám mây

Với công nghệ điện toán đám mây, các tác tử đám mây tích hợp trong

ClamAV (ClamAV Cloud Agent) tương tác online với hệ thống đám mây

ClamAV Cloud, khiến việc cập nhật mẫu virus có thể nhanh tới từng phút, độ

bao phủ rộng và năng lực tính toán của đám mây giúp máy tính của người sử

dụng được bảo vệ chặt chẽ. Bên cạnh đó, hệ thống cơ sở dữ liệu mẫu nhận diện



trên đám mây sẽ được cập nhật kịp thời hơn so với các giải pháp truyền thống.

virus sẽ được sàng lọc qua nhiều tầng lớp kỹ thuật, bảng mã nhận diện và phiên

bản dịch vụ.

Hình 2-13. Công nghệ điện toán đám mây sử dụng trong ClamAV

ClamAV được phát triển bởi Immunet Corp và Sourcefire inc, dựa trên

nền tảng điện toán đám mây với giấy phép mã nguồn mở. Phần mềm này được

biết đến như là một giải pháp bảo mật dành riêng cho UNIX, và gần đây

ClamAV được phát triển cho môi trường Windows.

Giao diện của ClamAV khá bắt mắt và trình bày rõ ràng, có phần giống

với cách bố trí của Norton 360 khi đưa tất cả các chức năng ra ngoài "tiền sảnh"

và phân loại chúng theo từng nhóm: Community (dữ liệu và đồ họa từ cộng đồng

dùng ClamAV), Computer (bao gồm các hoạt động quét hệ thống, biểu đồ tóm

tắt và lịch sử quét), Product (các tùy chọn cho ClamAV và cập nhật, nâng cấp

phần mềm).


http://nhipsongso.tuoitre.vn/Index.aspx?ArticleID=405757&ChannelID=533


Hình 2-14. Giao diện các chức năng của ClamAV

Cũng như các trình antivirus "đám mây" khác, việc kết nối internet để

dùng ClamAV là điều cần thiết. Nhưng ngoài máy quét chính là ClamAV, phần

mềm này cũng tích hợp ba bộ máy quét khác bao gồm ETHOS, SPERO và

TETRA (chỉ có trên phiên bản PLUS ,người dùng vẫn có thể quét virus khi

không kết nối internet).

ClamAv phát triển dựa trên kinh nghiệm của cộng đồng người dùng, mỗi

khi chúng ta gặp một nguy cơ bảo mật, ClamAV sẽ tự “lấy mẫu” và chuyển về

máy chủ để phân tích. Thông tin thu được sẽ bổ sung vào dữ liệu trên “đám

mây” và cập nhật cho các nguời dùng khác trong cộng đồng.

ClamAV còn có một phiên bản cập nhật mang tên PLUS, phiên bản này

bổ sung thêm bộ máy quét TETRA (giúp tăng khả năng phát hiện và loại bỏ

virus, malware và rootkit ngoại tuyến), chức năng quét sâu (Deep scan) và quét

Email.

Theo thông tin từ nhà phát triển, ClamAV có khả năng phát hiện hơn 19 triệu

mẫu virus và malware



Hình 2-15. Giao diện các tùy chọn trên ClamAV

Ngoài ra ClamAV còn phát triển phiên bản chạy trên môi trường Windows :

Ban đầu, ClamAV được phát triển cho các máy chạy hệ điều hành UNIX,

nhưng gần đây Sourcefire đã phát triển một phiên bản mới dành cho Windows

(ClamAV for Windows). Phiên bản chạy trên Windows hiện đang trong giai

đoạn thử nghiệm (beta) do Sourcefire và Immunet (gần đây đã được Sourcefire

mua lại) sản xuất, kết hợp công nghệ diệt virus dựa trên điện toán đám mây

(cloud-based anti-virus) và công nghệ diệt virus truyền thống của ClamAV (sử

dụng Clamlib – cơ sở dữ liệu về virus được lưu trên máy tính đã cài ClamAV để

bảo vệ ngoại tuyến).

Có thể nói ClamAV for Windows hiện tại sử dụng 2 engine song song (đối

với bản MIỄN PHÍ) và 3 engine (đối với bản PLUS – có phí có thể engine của

BitDefender), chưa kể các module riêng của ClamAV, điều này làm khả năng

nhận diện virus của ClamAV được cải thiện rất nhiều nhưng không làm tốn tài

nguyên của máy tính cho lắm. ClamAV for Windows có tốc độ quét rất nhanh và

khả năng phát hiện Zero-day malware – phần mềm độc hại chưa được phát hiện



trong cơ sở dữ liệu rất tốt (sử dụng engine ETHOS, engine phát hiện hành vi do

Immunet phát triển).

Phiên bản 2.0.19 Beta MIỄN PHÍ hiện tại cho phép quét virus trong tập tin

nén (rar, zip…), tập tin được đóng gói (UPX…) – điều mà phiên bản miễn phí ổn

định hiện tại chưa cho phép.

Yêu cầu hệ thống : Microsoft Windows 7

Hệ điều hành Windows 7 32-bit hoặc 64-bit, 100 MB dung lượng ổ cứng

Microsoft Windows Vista SP1

Hệ điều hành Windows Vista 32-bit hoặc 64-bit Service Pack 1+, 100 MB dung

lượng ổ cứng

Microsoft Windows XP SP3

Hệ điều hành Windows XP 32-bit Service Pack 3+, 100 MB dung lượng ổ cứng

Yêu cầu chung

Kết nối Internet

Tương thích với:

AVG

Avast!

Avira

Norton Anti-Virus, Internet Security, 360

McAfee

Microsoft Security Essentials

Trend Antivirus

K7



Hình 2-16. Cảnh báo malware

Hình 2-17. Mô phỏng cộng đồng người dùng ClamAV

Cộng đồng người dùng (ClamAV dùng công nghệ Community-based, càng

nhiều người dùng khả năng bảo vệ của ClamAV càng cao)



Chương 3

HTTP Anti Virus Proxy

Squid Proxy Server

3.1. HTTP Anti Virus Proxy

3.1.1. Giới thiệu về HAVP :

HAVP (HTTP Antivirus Proxy) được xây dựng ở dạng proxy tích

hợp bộ quét virus của ClamAV. Mục tiêu chính của gói này là quét tất cả

gói tin của dữ liệu truyền thông dạng HTTP. HAVP có thể chạy dựa trên

squid hoặc chạy độc lập.

Khi chạy độc lập Havp tích hợp Clam anti virus đóng vai trò như là

một chương trình quét virus trên các lưu lượng truyền thông giữa người

dùng và máy chủ Web.Còn khi chạy kết hợp với squid nó nhận một yêu

cầu từ máy trạm, xử lý các yêu cầu và sau đó chuyển tiếp các yêu cầu tới

máy chủ nguồn. Các yêu cầu này có thể được cho phép, bi từ chối hoặc

chỉnh sửa trước khi chuyển tiếp.

Với chức năng bộ nhớ đệm trong squid lưu trữ nội dung các trang

web mà nó nhân được cho mục đích sử dụng lại. Các yêu cầu sau đó cho

cùng một nội dung có thể được trả về từ bộ nhớ đệm mà không cần liên

kết đến máy chủ nguồn.

Các tính năng của HAVP:

Vận hành dạng HTTP Antivirus proxy.

Hỗ trợ nhiều tiến trình quét virus vào một thời điểm.

Quét toàn bộ dòng truyền thông đi vào.

Không khóa cơ chế download.



Quét cả các dòng truyền thông của các thành phần được bảo vệ bằng

mật khẩu.

Có thể sử dụng với squid hoặc một proxy khác.

Hỗ trợ cơ chế Parent proxy.

Hỗ trợ cơ chế Transparent proxy.

Cho phép lưu nhật ký.

Xử lý phù hợp với từng nhóm hoặc từng người dùng.

Vận hành dạng daemon.

Sử dụng ClamAV.

Hình 3-1. Mô hình hoạt động của HAVP



3.1.2. Quá trình xử lý của HAVP :

Hình 3-2. Quá trình xử lý của HAVP

Khi máy chủ nguồn trả về một phản hồi cho các yêu cầu của người

dùng trong mạng, Havp sẽ xử lý các dữ liệu gửi về theo hai quá trình :

Quá trình thứ nhất :

Các dữ liệu sẽ được ghi lại vào một tệp tin tạm thời được thêm vào

một hard lock EOF. Hard lọck EOF có vai trò đảm bảo cho lượng

dữ liệu được gửi đi vẫn sẽ được xử lý mà không cần phải đợi phần

dữ liệu còn lại. Nó giúp cho hệ thống xử lý không bi ngưng hoặc

treo khi lượng dữ liệu còn lại chưa được gửi đến.

Sau khi thực hiện thêm vào một hard lock EOF, Havp sẽ xác định

kích thước của một phần dữ liệu được giữ lại và gửi đi một lượng



dữ liệu nhỏ đến trình duyệt web của người dùng để đảm bảo các kết

nối không bị ngắt trong khi quét virus do thời gian timeout của các

trình duyệt web của người dùng, kỹ thuật này được gọi là trickling.

Nó giúp cho quá trình quét virus và quá trình tải dữ liệu về diễn ra

đồng thời một lúc.

Quá trình thứ hai :

Phần dữ liệu còn lại sẽ được chuyển đến quá trình quét virus được

tích hợp trong HAVP và sẽ được gửi đến người dùng nếu không phát

hiện virus và các mã độc hại nào. Nếu trong quá trình quét virus,

Clamav phát hiện ra virus hoặc mã độc hại thì kết nối sẽ bị ngắt và

Havp sẽ thông báo cho người dùng.

Ưu nhược điểm

Quá trình xử lý của Havp giúp cho việc tải dữ liệu về và quét virus

trên dữ liệu diễn ra cùng lúc mà kết nối không bị ngắt do thời gian

timeout của trình duyệt web.

Tuy nhiên nếu kích thước dữ liệu tải về quá lớn thì quá trình quét

virus diễn ra sẽ chậm và người dùng có thể bị dính virus do dữ liệu tải về

này có kích thước lớn hơn phần dữ liệu được giữ lại để quét virus. Havp

sẽ quy định kích thước tối đa của phần dữ liệu được giữ lại để quét và nếu

dữ liệu taỉ về lớn hớn thì qua trình kết nối sẽ bị ngắt mà không được cảnh

báo trước. Nếu người dùng cố gắng tải lại Havp sẽ đưa ra cảnh báo “ tính

năng này không được thực hiện”.



3.1.3. Thiết lập mô hình Havp

3.1.3.1. Cài đăt Havp trên Firegate :

Bước 1 : Trên giao diện Firegate lựa chọn phần cài đặt gói : Hệ thống >

Quản lý gói.

Hình 3-3. Giao diện quản lý gói trên Firegate

Bước 2 : Tìm gói Havp và nhấn vào nút cài đặt, quá trình cài đặt sẽ tự

động diễn ra.

Giao diện các gói đã được cài đặt.



Hình 3-4. Giao diện các gói đã cài đặt trên Firegate



3.1.3.2. Các tuy chon của HAVP

Tab HTTP proxy

Hình 3-5. Giao diện tab HTTP proxy



- Kích hoạt chức năng Proxy: Đánh dấu trường này để kích hoạt proxy

- Chế độ proxy: Lựa chọn chế độ giao diện.

Standard : Các máy trạm bắt buộc phải kết nối đến cổng proxy trên giao

diện mạng được lựa chọn.

Parent for squid : Cấu hình Havp như là parent cho squid proxy.

Transparent : Tất cả các yêu cầu trên giao diện mạng sử dụng proxy sẽ

chuyển hướng đến máy chủ Havp proxy mà không cần thêm vàobất kỳ tùy

chọn nào (làm việc giống như chế độ parent cho squid với squid ở chế độ

transparent).

Internal : Havp sẽ lắng nghe trên giao diện mạng nội bộ (127.0.0.1) trên

cổng proxy, sử dụng quy tắc chuyển tiếp dữ liệu của bạn.

- Các giao diện mạng sử dụng proxy: Đây là các giao diện mạng cho các máy

trạm kết nối tới proxy. Sử dụng phím “ctrl”+ L, đánh dấu nhiều lựa chọn.

- Cổng proxy : Đây là cổng mà máy chủ proxy sẽ lắng nghe ( ví dụ: 8080). Cổng

này phải khác với cổng proxy của squid.

- Parent proxy: Nhập vào đây các thiết lập về parent proxy ( hoặc upstream

proxy ) với định dạng Proxy : port hoặc để trống.

- Kích hoạt chức năng X-Forwarded-For: Nếu các máy trạm gửi tiêu đề này, các

giá trị thiết lập trong trường Forward_IP sẽ được đưa vào trong đó. Không nên

kích hoạt chức năng này vì lý do bảo mật.

Chỉ nên sử dụng chức năng này nếu bạn có một parent proxy sau Havp và nó sẽ

biết được địa chỉ IP gốc của máy trạm.

Vô hiệu hóa chức năng này là vô hiệu hóa việc tạo ra tiêu đề Via.

- Kích hoạt chức năng Forwarded IP: Nếu Havp được sử dụng như là parent

proxy cho các proxy khác, điều này cho phép ghi các địa chỉ IP thực của người

dùng vào các tệp tin log thay vì ghi địa chỉ IP của Proxy.



- Ngôn ngữ: lựa chọn ngôn ngữ sẽ hiển thị trong thông điệp báo lỗi tới người

dùng.

- Kích thước tải về tối đa: Nhập vào giá trị (tính bằng bytes) hoặc để trống.

Lượng dữ liệu tải về lớn hơn giá trị tối đa sẽ bị khóa. Trừ những trườn hợp nằm

trong whitelist.

- HTTP Range requests : Cài đật này cho phép các yêu cầu HTTP Range, và các

kết nối tải về bị đứt có thể khôi phục.Cho phép HTTP Range là một nguy cơ về

an ninh,bởi vì các thành phần của yêu cầu HTTP có thể không bị quét lại. Các

trang Whitelist đều cho phép sử dụng HTTP Range trong mọi trường hợp.

- Whitelist : Nhập vào đây mỗi url đích t rên một dòng, khi người dùng truy cập

các url này sẽ không bị quét. Sử dụng ký tự * để thay thế một chuỗi.

VD :*.pfsense.com/*, *.sourceforge.net/*clamav-*

-Blacklist : Nhập vào đây mỗi tên miền đích trên một dòng, những tên miền này

chỉ được truy cập đối với người dùng được phép sử dụng proxy.

- Chặn tệp tin nếu phát hiện lỗi khi quét : Nếu tùy chọn này được cài đặt, proxy

sẽ chặn các tệp tin nếu phát hiện lỗi khi quét.

- Hiển thị tùy chọn Ram Disk : Tùy chọn này cho phép sử dụng Ram Disk cho

các tệp tin tạm thời của Havp để tốc độ quét lưu lượng dữ liệu nhanh hơn. Kích

thước của Ram Disk được tạo ra thông qua giới hạn kích thước tệp tin khi quét

và bộ nhớ hiện thời. Tùy chọn này có thể bị loại bỏ trong VMVare hoặc trên hệ

thống có bộ nhớ thấp. (Kích thước của Ram Disk tính bằng [1/4 kích thước bộ

nhớ hiện thời] > [Kích thước tối đa khi quét]* 100

- Kích thước quét tối đa: Lựa chọn giới hạn lớn nhất cho kích thước của tệp tin

hoặc để ‘---(5M)’. Các tệp tin lớn hơn kích thước này sẽ không được quét. Nếu

lựa chọn giá trị nhỏ sẽ tăng tốc độ quét và tối ưu hóa các kêt nối mới trong một

giây và cho phép Ram Disk sẽ được sử dụng.



Chú ý: Thiết lập này là một nguy về an toàn vì một số các tệp tin nén như

Zip cần tất cả dữ liệu để có thể quét. Chỉ sử dụng chức năng này nếu bạn

không có đử không gian tạm thời cho các tệp tin lớn.

- Quét các tệp tin ảnh : Lựa chọn trường này để quét các tệp tin ảnh. Tùy chọn

này cho phép bạn tăng độ tin cậy nhưng giảm tốc độ quá trình quét.

- Quét các truyền thông đa ứng dụng: Lựa chọn trường này để quét các truyền

thông đa ứng dụng như audio, video..

- Log : Lựa chọn trường này để hiển thị tệp tin log.

- Syslog: Lựa chọn trường này để hiên thị tệp tin syslog.

Tab Files Scanner :

Hình 3-6. Giao diện tab Files Scanner

Đường dẫn tệp tin cần quét: Nhập vào đây đường dẫn hoặc danh mục các tệp tin

cần quét



Tab settings

Hình 3-7. Giao diện tab Settings

Cơ sở để cập nhật AV: Lựa chọn thời gian cho việc cập nhật dữ liệu.

Vùng cơ sở dữ liệu AV để cập nhật : Lựa chọn vùng cơ sở dữ liệu.

Tùy chọn máy chủ cập nhật cơ sở dữ liệu AV : Nhập vào đây các máy chủ

cập nhật cơ sở dữ liệu AV hoặc để trống.

log : Lựa chọn trường này để hiện thị tệp tin log.

Syslog : Lựa chọn trường này để hiển thị tệp tin syslog.

3.1.4. Cấu hình các chế độ cho Havp

3.1.4.1. Cấu hình Havp ơ chế độ Standard

- Trong chế độ Standar phải cấu hình chức năng proxy trên các trình duyệt Web

kết nối đến Havp.

Bật HTTP proxy ở Internet Explorer

1. Mở Internet Explorer

2. Chọn Tool > Internet option. Hộp thoại Internet option xuất hiện.

3. Nhấp vào tab Conections.



4. Chọn phần Use proxy server for your Lan.Nhập địa chỉ IP và cổng của

proxy server.

5. Chọn Ok

Bật HTTP proxy ở Firefox 2.x

1. Mở trình duyệt Firefox

2. Chọn Tool > Option . Hộp thoại Option xuất hiện.

3. Nhấp chọn biểu tượng Advanced.

4. Chọn tab Network .Nhấp Setting.

5. Nhấp nút Connection Settings. Hộp thoại Connection Settings xuất hiện

6. Chọn Menual Proxy Configure. Nhập địa chỉ IP và cổng của proxy server.

7. Nhấp Ok

- Trong Tab HTTP Proxy :

Lựa chọn trường Kích hoạt chức năng proxy và lựa chế độ Standar trong

trường Chế độ Proxy.

Lựa chọn giao diện mạng sử dụng proxy trong trường Các giao diện mạng

sử dụng proxy.

Nhập vào số cổng mà Havp lắng nghe trong trường Cổng proxy.

Hình 3-8. Câu hình Havp ơ chế độ Standard



3.1.4.2. Cấu hình Havp ơ chế độ Standar kết hơp với xác thực của

Squid

- Trong chế độ này cấu hình chức năng proxy trên các trình duyệt Web kết nối

đến Havp.

- Cấu hình Squid ở chế độ xác thực.

- Cấu hình Havp ở chế độ Standar.

- Trong Tab HTTP proxy nhập vào trường Parent proxy địa chỉ IP và cổng mà

squid lắng nghe trên đó.

Hình 3-9. Câu hình HAVP ơ chế độ Standard kết hợp với xác thưc của Squid

3.2. Squid Proxy Server

3.2.1. Chức năng của Squid

Squid có chức năng như một Proxy và bộ nhớ đệm. Với chức năng Proxy,

Squid là thành phần trung gian giữa người dùng và máy chủ trong truyền vận

Web. Nó nhận một yêu cầu từ máy trạm, xử lý các yêu cầu và sau đó chuyển tiếp



các yêu cầu tới máy chủ nguồn. Các yêu cầu này có thể được cho phép, bị từ

chối hoặc chỉnh sửa trước khi chuyển tiếp. Với chức năng là bộ nhớ đệm thì

Squid lưu trữ nội dung các trang Web mà nó nhận được cho mục đích sử dụng

lại. Các yêu cầu sau đó cho cùng một nội dung có thể được trả về từ bộ nhớ đệm

mà không cần liên kết đến máy chủ nguồn.

Hình 3-10. Squid đặt giữa máy trạm và máy chủ

Hình trên cho thấy Squid nhận các yêu cầu HTTP và HTTPS từ phía máy

trạm và sử dụng một số giao thức để giao tiếp với máy chủ. Squid biết làm thế

nào để giao tiếp với các máy chủ FTP, HTTP và máy chủ Gopher. Thực tế Squid

có hai thành phần là Client-side và Server-side. Client-side giao tiếp với các máy

trạm Web ( các trình duyệt Web, đối tượng người dung ), Server-side giao tiếp

với các máy chủ như FTP, HTTP và Gopher.

Chú ý là thành phần Client-side chỉ hiểu được giao thức HTTP hoặc

HTTPS. Điều này có nghĩa là không thể sử dụng một máy trạm FTP để giao tiếp

với Squid. Squid không thể Proxy với các giao thức gửi mail như SMTP, nhắn

tin tức thời hoặc Internet relay chat.

Chức năng của Squid ở đây bao gồm:

Tiết kiệm băng thông khi lướt Web.

Giảm thiểu thời gian để tải một trang Web.



Bảo vệ các máy bên trong mạng nội bộ bằng chức năng Proxy.

Thu thập thống kê về lưu lượng truy nhập Web trong mạng.

Ngăn chặn người dùng truy nhập vào các trang Web không thích hợp.

Đảm bảo chỉ những người có thẩm quyền mới có thể truy nhập

Internet.

Tăng cường tính riêng tư của người dùng bằng việc lọc các thông tin

nhạy cảm trong yêu cầu Web.

Giảm tải trên máy chủ Web nội bộ.

Chuyển đổi các yêu cầu được mã hóa ( HTTPS ) từ một bên thành yêu

cầu không bị mã hóa ( HTTP ) ở bên kia.

3.2.2. Cài đăt và các tuy chọn Squid trên Firegate

3.2.2.1. Cài đăt Squid

Bước 1: Trên giao diện Firegate lựa chọn phần cài đặt các gói: System

> packages.

Bước 2: Tìm gói Squid và nhấn vào nút cài đặt, quá trình cài đặt sẽ tự

động diễn ra.



Hình 3-11. Danh sách các gói có thể cài đặt được trong Squid

- Giao diện các gói đã được cài đặt:

Hình 3-12. Danh sách các gói đã được cài đặt vào trong Squid

- Sau khi cài đặt xong Squid bắt đầu tiến hành cấu hình các tùy chọn cho

Squid: vào Tab Service > Proxy Server

3.2.2.2. Cấu hình Squid ơ chế độ xác thực

Vì Squid hoạt động ở chế độ xác thực nên phải cấu hình chức năng Proxy

trên trình duyệt Web kết nối đến Squid.

Bật HTTP Proxy ở Internet Explorer:

1. Mở Internet Explorer.

2. Chọn Tool > Internet option. Hộp thoại Internet option xuất hiện.

3. Nhấp vào Tab Conections.

4. Nhấp vào nút Lan Setting. Cửa sổ Local Area Network ( LAN )

Setting Xuất hiện.

5. Chọn phần Use Proxy Server for your Lan. Nhập địa chỉ IP và cổng

của Proxy Server.

6. Chọn Ok.

Bật HTTP Proxy ở Firefox:

1. Mở trình duyệt Firefox.



2. Chọn Tool > Option. Hộp thoại Option xuất hiện.

3. Nhấp chọn biểu tượng Advanced.

4. Chọn Tab Network. Nhấp Setting.

5. Nhấp nút Connection Settings. Hộp thoại Connection Settings xuất

hiện.

6. Chọn Menual Proxy Configure. Nhập địa chỉ IP và cổng của Proxy

Server.

7. Nhấp Ok.

Trong Tab General:

Không lựa chọn 2 trường Allow user your interface và Transparent

Proxy.

Trong trường Proxy port nhập vào số cổng mà Squid lắng nghe các

yêu cầu HTTP. Mặc định Squid lắng nghe trên cổng 3128.

Trong Tab Control Access:

Nhập vào dải mạng con được cho phép sử dụng Proxy trong trường

Allowed subnets.

Hình 3-13. Dải mạng được phép sử dụng Proxy trong chế độ Authentication

Trong Tab Authentication Setting lựa chọn phương thức xác thực và các tùy

chọn cần thiết cho phương thức xác thực.



Hình 3-14. Lưa chọn phương thức xác thưc

Kết Luận

Với sự phát triển mạnh mẽ của khoa học công nghệ, việc trao đổi tìm kiếm

và truyền tải thông tin trên mạng internet ngày càng được phát triển và nhiều

người sử dụng. Tuy nhiên, nó phải đối mặt với vấn đề là làm sao đảm bảo được

an toàn thông tin, đảm bảo người dùng khi truy cập mạng internet sẽ giảm thiểu

tối đa sự lây lan, xâm nhập của Virus, đảm bảo phòng chống được hầu hết các

loại Virus xuất hiện trên mạng. Xuất phát từ thực tế đó, các công nghệ phòng



chống Virus trên mạng đã xuất hiện, chúng ngày càng được hoàn thiện hơn để

chống lại những loại Virus ngày một tinh vi và khó kiểm soát hơn. Với công

nghệ của TrendMicro và công nghệ sử dụng HTTP Anti Virus Proxy kết hợp

Suid Proxy Server dùng phần mềm ClamAV tạo ra một lá chắn an toàn giữa

người dùng và internet. Qua đó, có thể kiểm soát người dùng, phòng chống và

ngăn chặn Virus lây lan trên mạng.

Qua đề tài tìm hiểu công nghệ phòng chống Virus trên mạng HTTP – Anti

Virus, em đã đưa ra giải pháp để đảm bảo an toàn cho người dùng khi truy cập

internet và hạn chế tối đa sự lây lan và tấn công của Virus. Em hoàn thành với

các nội dung sau :

Hiểu được Virus là gì, lịch sử phát triển cũng như nguyên lý hoạt động của

một số loại Virus cơ bản.

Tìm hiểu mô hình phòng chống Virus trên mạng

Tìm hiểu các công nghệ được áp dụng trong mô hình đó

Đó là những phần em đã làm được, nó chưa thực sự hoàn thiện và không

tránh khỏi những sai sót. Em rất mong nhận được sự đóng góp và hướng dẫn của

thầy cô và bạn bè để em có thể nắm bắt được sâu hơn về các công nghệ mới

phòng chống Virus trên mạng được sử dụng hiện nay

Em xin chân thành cảm ơn !

Tài Liệu Tham Khảo

I. Ebooks

1. Computer Virus for Dummies

2. Computer Viruses and Malware

3. Virus cơ bản

4. Defense and Detection internet Worm

5. Giáo trình khóa học Linux



6. …

II. Bài viết trên các diễn đàn

1. Http://www.iana.org/assignments/port-numbers

2. Http://www.freeBSD.org

3. Http://www.edulab.com.vn

4. Http://www.tech24.vn

5. Các bài viết tìm kiếm được trên Google

6. …


http://www.tech24.vn/

http://www.edulab.com.vn/

http://www.freeBSD.org/

http://www.iana.org/assignments/port-numbers

Documents

Đồ án tốt nghiệp-HTTP-Anti Virus