Chúng ta có thể tích hợp nút mã hoá gói IP với một router lọc gói để có một firewall có độ an toàn cao. Chức năng mã hoá của nút mã hoá sẽ tăng c−ờng khả năng của firewall trong việc chống lại những tấn công đối với gói IP mà những firewall không có chức năng mật mã không thể giải quyết đ−ợc. Tr−ớc hết chúng ta quan tâm đến vị trí của nút mã hoá khi kết hợp với router lọc gói.
Hình 3.7: Kết hợp router lọc gói với nút mã hoá
Khi kết hợp với router lọc gói, nút mã hoá sẽ nằm ở bên ngoài router lọc gói. Vì hệ thống mã hoá cả phân đoạn TCP nên những thông tin về TCP/UDP header bị che lấp. Nếu nút mã hoá nằm trong router lọc gói thì router lọc gói không thể dùng các luật liên quan đến những thông tin trong TCP/UDP header nh− số cổng nguồn, số cổng đích, các cờ,...
Nếu chúng ta chỉ mã hoá phần dữ liệu ứng dụng trong gói IP thì nút mã hoá có thể đặt ở trong bộ router lọc gói. Khi tích hợp nút mã hoá và router lọc gói trong một firewall sẽ có những −u điểm là giúp firewall chống lại những tấn công đối với router lọc gói :
- Giả địa chỉ một máy đ−ợc router lọc gói uỷ quyền
Giả sử một gói IP từ một máy có địa chỉ IP nguồn là “giả” (dùng địa chỉ IP của một máy đ−ợc uỷ quyền của router lọc gói), vì máy gửi gói IP “giả” không thuộc hệ thống an toàn của chúng ta nên gói IP “giả” không đ−ợc mã hoá nh−ng khi qua nút mã hoá, thông tin trong phân đoạn TCP của gói IP “giả” vẫn bị giải mã dẫn đến thông tin của gói IP bị sửa đổi, chính vì vậy gói sẽ bị huỷ ngay tại router lọc gói nếu router lọc gói thực hiện các luật liên quan đến thông tin của TCP/UDP header. Còn nếu router lọc gói không dùng các luật liên quan đến thông tin của TCP/UDP header thì gói sẽ qua router lọc gói và đến máy đích. Tại đây gói sẽ bị huỷ tại tầng TCP do nhờ vào tổng kiểm tra, hoặc số cổng nguồn, cổng đích.
- Soi gói: Thông tin về phân đoạn TCP đ−ợc giữ bí mật do đ−ợc mã hoá.
- Sửa nội dung gói: Việc sửa nội dung gói sẽ dẫn đến sự thay đổi giá trị các thành phần trong TCP header và tầng TCP của máy đích sẽ không chấp nhận gói với các lý do nh− tổng kiểm tra sai, số cổng đích sai, giá trị cờ sai,...
ch−ơng IV
Khảo sát khả năng chống lại các phần mềm hacker và tốc độ truyền dữ liệu của hệ thống bảo vệ gói Ip
trên solaris
Ch−ơng này giới thiệu kết quả khảo sát một số đặc tr−ng của bộ phần mềm bảo vệ gói IP bằng kỹ thuật mật mã (IPSEC_SUN) trên Solaris nh− sau:
- Khả năng ngăn chặn các tấn công của một số phần mềm Hacker
- Thời gian và tốc độ truyền dữ liệu của hệ thống trong các tr−ờng hợp không chạy và chạy phần mềm IPSEC_SUN
Phần này cũng giới thiệu các đặc tính trên của bộ phần mềm FreeS/WAN với t− cách nh− một sản phẩm đối chứng.