| Giải pháp giám sát user truy cập Internet cho ISP |
 |
 |
 |
|
1. Sơ đồ tổng quát của một ISP Khi một user dùng modem quay số tới ISP, thì chúng kết nối với một trong các modem của Access server, Access server tiến hành authentication đối với user đó, thông qua việc gửi user name và password tới Tacass server, Tacass server kiểm tra và trả về kết quả cho Access server. Khi được authentication thì máy Dial-up client được Access server gán cho một địa chỉ IP động nằm trong miền địa chỉ IP động dành cho các máy truy cập Internet. Lúc này máy đã vào mạng Internet và có thể gửi, nhận các gói tin cho các máy khác. Firewall vẽ trên hình là firewall bảo vệ mạng Internet Việt nam khỏi các truy nhập bất hợp pháp từ nước ngoài và ngược lại.
Việc kiểm soát, giám sát các hoạt động của user có thể thông qua việc kiểm tra các gói tin được gửi và nhận từ các máy Dial-up client, việc này đòi hỏi là các gói tin phải đi qua một server giám sát nào đó, nhưng không để bị phát hiện và không gây ra một thay đổi cấu hình nào trên máy client. Việc giám sát cũng chỉ có tác dụng đối với một số user nhất định do yêu cầu cần giám sát thông tin được truy cập bởi user đó, không làm chậm tốc độ truy cập mạng đối với user không bị giám sát.
2. Giải pháp giám sát dùng Server giám sát Router dẫn đường các gói tin từ các client đến các địa chỉ trên Internet và ngược lại. Thông thường thì router với Access server là 1, Access server làm luôn nhiệm vụ của router. Các gới tin từ các client tới một địa chỉ nào đó trên Internet sẽ phải qua một trong các Gateway của mạng xương sống, các gói tin từ Internet cũng sẽ qua đó mà gửi tới client. Ta vẽ cụ thể hơn sơ đồ của mạng:
Giải pháp giám sát đề nghị là: đối với các user bị giám sát, Access server gán cho họ một miền địa chỉ IP khác, gọi là miền bị giám sát. Lúc này, đối với những gói tin gửi từ các client không bị giám sát sẽ được router dẫn đường như bình thường, còn các gói tin từ các client bị giám sát sẽ được dẫn đường đến một server mà ta gọi là server giám sát. Tất cả được mô tả bằng hình vẽ trên.
Việc cấu hình router để dẫn các gói tin từ một client bị giám sát đến server giám sát hoàn toàn dễ dàng. Để các gói tin từ Internet gửi trở lại client bị giám sát đi qua server giám sát thì server giám sát phải là một firewall "trong suốt". Khi một gói tin từ client bị giám sát gửi tới một địa chỉ nào đó trên Internet thì nó sẽ được gửi tới server giám sát, server giám sát tiến hành kiểm tra, phân tích và ghi nhận lại gói tin cho mục đích kiểm soát thông tin gửi đi. Sau đó gói tin sẽ được gửi đến địa chỉ cần gửi nhưng có địa chỉ nguồn được thay bằng địa chỉ của server giám sát. Khi nhận được trả lời, gói tin trả lời sẽ được gửi tới server giám sát, server giám sát cũng sẽ phân tích và ghi nhận lại gói tin (kiểm soát thông tin gửi đến), sau đó gửi gói tin đến cho máy client bị giám sát. Router phải đảm bảo chỉ gói tin từ server giám sát được gửi tới client bị giám sát. Server giám sát đảm nhiệm việc nhận, gửi các gói tin, kiểm tra và phân tích chúng tuỳ theo các dịch vụ cung cấp bởi Internet như HTTP, FTP... Việc chặn các gói tin cũng có thể được thực hiện ở đây. Tại một thời điểm, chỉ có 1 user acc được gán địc chỉ IP động nên server giám sát có thể suy ra user nào qua địa chỉ IP của các gói tin.
Ta có thể vẽ một cách tổng quát mô hình lôgic của giải pháp như sau: Lúc này, về mặt logic các client bị giám sát bị tách rời thành một mạng riêng và gateway của chúng chỉ là server giám sát, lúc này là một firewall kiểm soát các gói tin ra và vào mạng "riêng" này. 3. Phần cứng, phần mềm và các yêu cầu kỹ thuật: Về phần cứng, Router và Access Server là hai thiết bị có sẵn của mạng, chỉ cần thiết lập lại routing table để dẫn đường tới server giám sát. Việc này dẫn tới phải cấp một miền địa chỉ IP động dành cho các client bị giám sát. Để chặn hoàn toàn các gói tin từ nơi khác gửi đến cho client bị giám sát mà không thông qua server giám sát, router chỉ cho phép các gói tin từ server giám sát được gửi tới client bị giám sát và cấm toàn bộ các gói tin từ địa chỉ khác gửi tới client bị giám sát. Server giám sát là một máy tính, chạy hệ điều hành nào tuỳ nhu cầu sử dụng lớn hay nhỏ. Sử dụng máy tính mạnh và UNIX khi số lượng client bị giám sát là lớn (từ vài chục trở lên). Yêu cầu phần mềm là một chương trình firewall chạy trên hệ điều hành tương ứng. Chương trình Firewall chủ yếu chỉ cần khả năng lọc gói tin (IP Packet filter), nếu cần thiết thì thêm khả năng theo dõi mức ứng dụng (Application-level). Với yêu cầu là giám sát, firewall chỉ cần có khả năng theo dõi và ghi lại các giao dịch đi qua nó, không cần khả năng cấm không cho phép một truy nhập nào đó. 4. Đánh giá giải pháp. Ưu điểm: - Cấu hình lại cho router có thể thực hiện dễ dàng. - Các user không bị giám sát vẫn truy nhập như bình thường. - Các user bị giám sát gần như "trong suốt", có nghĩa là khó biết được mình đang bị giám sát. - Chỉ phải thêm một máy server giám sát vào mạng, không thay đổi các phần khác. Nhược điểm: - User bị giám sát sẽ bị chậm đi ít nhiều do các gói tin phải trung chuyển qua server giám sát. - Có thể user bị giám sát phát hiện được mình bị giám sát do biết được địa chỉ IP của mình nằm trong miền bị giám sát. Vậy nên miền địa chỉ bị giám sát cần phải giữ bí mật và có thể thay đổi định kỳ cho phù hợp. - Với số lượng user bị giám sát lớn thì có thể tăng sức mạnh của server giám sát hoặc tăng số lượng server giám sát => giá thành tăng lên.
Tin mới hơn:
Tin cũ hơn:
|
