ошибка ICMP) ошибка ICMP)
135 - слишком много одновременных
привязок мобильности
136- неизвестный адрес базового агента
Защита процедуры регистрации
В первую очередь при регистрации следует обратить внимание на безопасность. Протокол Mobile IP противостоит двум типам атак.
1. Узел может выдавать себя за чужой агент и отправлять базовому агенту запрос
регистрации с целью присвоения трафика, предназначенного мобильному узлу.
2. Несанкционированный агент может отвечать старыми сообщениями регистрации,
эффективно удаляя узел из сети.
Схема, используемая для защиты от таких атак, включает применение аутентификации сообщений и надлежащее использование поля идентификации в сообщениях с запросом регистрации и ответом на него (рис.3).
Для аутентификации сообщений каждый запрос регистрации и ответ на него содержат расширение аутентификации (рис.4.) со следующими полями.
Рис.4.Расширение аутентификации MobileIP
• Тип. Используется для выделений типа данного расширения аутентификации
•Длина. 4 плюс количество байтов в аутентификаторе.
• Индекспараметразащиты (security parameter index - SPI). Индекс, который определяет
среду безопасности между парой узлов. Среда конфигурируется так, чтобы два узла
сообща использовали секретный ключ и параметры, связанные с этим соединением
(например, алгоритм аутентификации).
• Аутентификатор. Код, используемый для аутентификации сообщения. Отправитель
вводит этот код в сообщение, используя общий секретный ключ. Получатель использует
код для обеспечения неизменности и своевременности доставки сообщения.
Аутентификатор защищает весь запрос регистрации или ответ на него, любое
расширение перед этим расширением и поля тяг и длины данного расширения.
По умолчанию алгоритм аутентификации использует алгоритм MD5 для генерации 128-битового профиля сообщения. В Mobile IP используется режим работы "префикс + суффикс". Профиль MD5 вычисляется с помощью общего секретного ключа, за которым следуют защищенное поле из сообщения регистрации и снова общий секретный ключ.
Определено три типа расширений аутентификации.
• Мобильный-базовый. Это расширение должно присутствовать и обеспечивать
аутентификацию сообщений регистрации между мобильным узлом и базовым агентом.
• Мобильный-чужой. Расширение может присутствовать при наличии безопасной
связи между мобильным узлом и чужим агентом. Чужой агент отcечет это расширение
перед ретрансляцией запроса базовому агенту и прибавит его к ответу, прибывающему
от базового агента.
• Чужой-базовый. Расширение может присутствовать при наличии безопасной связи
между чужим и базовым агентами.
Отметим, что аутентификатор защищает поле идентификации в сообщении запроса и ответа. В результате идентификационное значение может использоваться для защиты от атак с использованием ответных сообщений. Как говорилось выше, идентификационное значение позволяет мобильному узлу сопоставлять ответ с запросом. Более того, если мобильный узел и базовый агента синхронизированы, так что базовый агент может отличить правильное значение подозрительного, то базовый агент может отклонять подозрительные сообщения. Это можно реализовать, например, с использованием временной метки. До тех пор, пока мобильный узел и базовый агент в разумных пределах синхронизованы, временная метка будет давать требуемый результат. Возможен альтернативный вариант, когда мобильный узел генерирует значения с использованием генератора псевдослучайных чисел. Если базовому агенту известен алгоритм генерации, он знает следующее идентификационное значение.
Туннелирование
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.