RFC: 3775
Оригинал: Mobility Support in IPv6
Другие версии: RFC 6275
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Шнитман Виктор Зиновьевич

15. Соображения по безопасности

15.1. Угрозы

Любое мобильное решение должно защищать себя от неправильного использования функций и механизмов мобильности. В мобильном IPv6 большинство потенциальных угроз связано с поддельными привязками, обычно приводящими к атакам типа «отказ в обслуживании» (Denial-of-Service). Некоторые угрозы представляют потенциал для атак типа «человек посередине» (Man-in-the-Middle), «хищение» (Hijacking), «нарушение конфиденциальности» (Confidentiality) и «имитация» (Impersonation). Данный протокол защищает от следующих основных угроз:

  • Угрозы, связанные с сообщениями Binding Update, которые посылаются домашним агентам и узлам-корреспондентам. Например, злоумышленник может заявить, что определенный мобильный узел в настоящее время находится в другом месте, отличном от его реального местоположения. Если домашний агент воспримет такую посланную ему подложную информацию, то мобильный узел не сможет получать предназначенный для него трафик. Подобным образом, злонамеренный (мобильный) узел может использовать домашний адрес узла-жертвы в ложном сообщении Binding Update, посылаемом узлу-корреспонденту.

    Эти угрозы представляют собой угрозы конфиденциальности, целостности и доступности. То есть, злоумышленник может узнать содержимое пакетов, предназначенных для другого узла, путем переадресации трафика к самому себе. Более того, злоумышленник может использовать переадресованные пакеты и попытаться поставить самого себя в качестве «человека посередине» между мобильным узлом и узлом-корреспондентом. Это позволит злоумышленнику имитировать мобильный узел, что приведет к проблемам целостности и доступности.

    Злонамеренный (мобильный) узел может также послать сообщения Binding Update, в которых временный адрес заменен адресом узла-жертвы. Если такие сообщения Binding Update были восприняты, то злонамеренный узел может спровоцировать узел-корреспондент на посылку узлу-жертве потенциально большого объема данных; ответы узла-корреспондента на сообщения, посылаемые злонамеренным мобильным узлом, будут посылаться жертве-хосту или жертве-сети. Это может использоваться для того, чтобы стать причиной атаки типа «распределенного отказа в обслуживании» (Distributed Denial-of-Service). Например, узел-корреспондент может быть сайтом, который будет посылать широкополосный поток видео данных любому, кто об этом его попросит. Заметим, что использование протоколов с управлением потоком, таких как TCP, необязательно защищает против такого типа атаки, поскольку злоумышленник может подделывать и подтверждения. Не помогает даже хранение в секретном виде начальных порядковых номеров TCP, поскольку злоумышленник может получить несколько первых сегментов (включая начальный порядковый номер) на свой собственный адрес, и только после этого переадресовать поток на адрес жертвы. Эти типы атак могут быть направлены на сети, а не на узлы. Другие разновидности подобной угрозы описаны в [27, 34].

    Злоумышленник может также попытаться нарушить обмены мобильного узла путем повторного воспроизведения сообщения Binding Update, которое этот узел посылал раньше. Если старое сообщение Binding Update было воспринято, то пакеты, предназначенные для мобильного узла, будут посылаться на его старое, а не на новое местоположение.

    В заключение отметим, что имеются угрозы атак типа «отказ в обслуживании», «человек посередине», «нарушение конфиденциальности» и «имитация» сторнам, вовлеченным в посылку легальных (законных) сообщений Binding Update, а также угрозы атак типа «отказ в обслуживании» для любой другой стороны.

  • Угрозы, связанные с пакетами полезных данных: Пакеты полезных данных, обмен которыми осуществляется мобильными узлами, не защищены от тех же самых угроз, что и весь нормальный трафик IPv6. Однако протокол мобильного IPv6 вводит дополнительную опцию места назначения «Home Address», новый тип заголовка маршрутизации (тип 2), и использует заголовки туннелирования в пакетах полезных данных. Протокол должен защищать от новых потенциальных угроз, связанных с использованием этих механизмов.

    В результате применения опции места назначения «Home Address» третьи стороны становятся подверженными угрозам «отражения», если только не следовать соответствующим мерам предосторожности. Опция места назначения «Home Address» может использоваться для указания необходимости посылки ответного трафика в направении узла, IP-адрес которого находится в опции. В этом случае входная фильтрация не будет обнаруживать поддельный «адрес возврата» [36, 32].

    Подобная угроза существует и для туннелей между мобильным узлом и домашним агентом. Злоумышленник может подделать туннелируемые между мобильным узлом и домашним агентом пакеты так, что будет казаться, что трафик приходит от мобильного узла, хотя это не верно. Заметим, что злоумышленник, который может подделывать туннелируемые пакеты, обычно способен также подделывать пакеты, которые кажутся приходящими непосредственно от мобильного узла. Как таковая, это не новая угроза. Однако для злоумышленника может оказаться проще избежать обнаружения путем обхода механизмов входной фильтрации и отслеживания пакетов. Более того, поддельные туннелируемые пакеты могут использоваться для получения доступа к домашней сети.

    Наконец, заголовок маршрутизации может также использоваться в атаках типа «отражение», а также в атаках, созданных для обхода межсетевых экранов. Он также позволит отражать трафик на другие узлы. Эти угрозы вообще существуют при использовании заголовков маршрутизации, даже если их использование, которого требует протокол мобильного IPv6, вполне надежно.

  • Угрозы, связанные с динамическим определением домашнего агента и мобильного префикса.

  • Угрозы, связанные с самими механизмами безопасности мобильного IPv6: Злоумышленник может, например, спровоцировать участников на выполнение дорогостоящих криптографических операций или на выделение памяти с целью сохранения состояния. У узла-жертвы не останется ресурсов для выполнения других задач.

    Ожидается, что мобильный IPv6, в качестве базисной службы стека IPv6, будет развернут в большинстве узлов IPv6 Internet. Поэтому указанные выше угрозы должны рассматриваться в свете применения к Internet в целом.

    Следует также заметить, что некоторые дополнительные угрозы поисходят из-за перемещений как таковых, даже без вовлечения протоколов мобильности. Мобильные узлы должны быть способными защищать сами себя в сетях, которые они посещают, поскольку применяемые в домашней сети обычные средства защиты периметра больше их не защищают.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.