Mobile IP securityAnalisi della sicurezza in ambiente Mobile IP

Cambiaso Enricoenrico.cambiaso@gmail.com

20 dicembre 2010

Background

La suite di protocolli TCP/IP e stata progettata a cavallo tra glianni ’70 e ’80.

Allora il concetto di host in movimento era ben lontano. . .

Come conseguenza, si decise di utilizzare l’indirizzamento IP peridentificare gli host e di poter utilizzare l’indirizzo IP ai livellisuperiori per identificare gli end-point della comunicazione.

Per molto tempo questa tecnica ha fatto egregiamente il suodovere, in quanto gli host venivano spostati molto raramente.

Il problema dell’indirizzamento IP

La decisione di sfruttare l’indirizzamento IP ai livelli superioriha avuto conseguenze a lungo termine:

I ha introdotto una sorta di debolezza su internetI ha complicato la mobilita e il multihoming

Infrastruttura IP esistenteMobile IP vs. HIP

Uno degli obiettivi di progettazione di Mobile IP fu quello diportare mobilita senza effettuare troppe modifiche.In particolare, Mobile IP e stato progettato per fornire unsupporto di mobilita anche nel caso in cui il correspondent hostnon sia a conoscenza del protocollo Mobile IP.Questo e specialmente importante per IPv4, ancora ampiamenteutilizzato.Gli stessi obiettivi sono stati ereditati, in linea di massima, daMobile IPv6.

HIP prevede invece che lo stack del protocollo venga cambiato intutti gli end-point, sia negli host mobili che nei correspondenthosts.

L’infrastruttura di routing

Nell’attuale struttura di internet, i router mantengonocollettivamente un database distribuito della topologia della rete.

Per mantenere queste informazioni i router devono fidarsi l’unl’altro: un router apprende le informazioni topologiche dagli altrirouter, i quali non possono far altro che fidarsi dei routeradiacenti.

Agli estremi di un dominio amministrativo vengono utilizzate dellepolicy rules per ridurre le informazioni di routing scorrettericevute da domini di pari livello.

Questo sistema e lontano dalla perfezione, ma funzionaabbastanza bene e gran parte dell’infrastruttura di internet sibasa su di esso per fornire una integrita di base.

Il problema della mobilita

Esistono due approcci fondamentali per risolvere il problemadella mobilita IP:packet forwarding → riduzione delle performance: gli host non

possono sfruttare il percorso ottimalebinding updates → forniscono un routing ottimale ma soffrono di

alcuni problemi di sicurezza

Tipologie di attacco

ATTACKS TYPES

ADDRESS STEALING ADDRESS FLOODING

Address stealing

Address flooding

Considerazioni

Anche se questo problema di sicurezza puo essere risolto tramitealcune estensioni, e molto difficile trovare una soluzione ottimalesfruttando l’attuale architettura.Non c’e infatti modo di verificare che un nodo che dichiara diessere ad un determinato indirizzo sia effettivamente il nodolocalizzato a quell’indirizzo da un punto di vista topologico.

All’interno dell’architettura attuale, una soluzione potrebbe esserequella di fornire un sistema di autorizzazione che colleghiindirizzi a chiavi crittografiche, in modo da fornire un sistema diprotezione piu forte.

Dimensioni del pericolo

Per capire meglio gli attacchi, dobbiamo considerarne gli effettied i limiti.

Questi sono in funzione di:I obiettivi dell’attaccoI puntualita dell’attaccoI posizione dell’attaccante

Obiettivi di attacco generici

OBIETTIVI DI ATTACCO

ACCESSOALLA RETE

RECUPERO DIINFORMAZIONI

INTERRUZIONE DELLACOMUNICAZIONE

Vittime di un attacco

Per quanto riguarda una rete Mobile IP:Mobile node → molto sicuro: non deve mantenere lo stato dei

nodi remotiCorrespondent node → punto debole: e facilmente ingannabile

da un attaccante

Puntualita dell’attacco

In una rete fissa, un attaccante deve semplicemente trovarsi tra inodi di comunicazione nell’istante in cui questi comunicano.

La mobilita a livello IP porta a nuovi pericoli.

Posizione dell’attaccante

Un attaccante e in grado di ricevere pacchetti destinati ad undeterminato indirizzo solo se e in grado di porsi all’interno delpercorso fra mittente e ricevente.In alternativa, l’attaccante puo essere in grado di controllare unnodo nel percorso, o modificare il percorso stesso attaccando ilsistema di routing.

Sebbene questi attacchi siano molto complicati da effettuare, perun attaccante risulta semplice inviare pacchetti IP spoofati daqualunque nodo internet.Dunque, nel caso in cui la rete supporti la mobilita IP senzaproteggere i binding updates, un attaccante potrebbe inviarebinding updates maligni da un nodo qualunque in internet.

Address stealing attacks

ADDRESS STEALING ATTACKS

BASIC ADDRESSSTEALING STEALING ADDRESSES

OF STATIONARYNODES

ATTACKS AGAINSTCONFIDENTIALITYAND INTEGRITY

BASIC DENIAL-OF-SERVICEATTACKS

Address stealing attacksStealing addresses of stationary nodes

L’attaccante deve conoscere (o ”indovinare”) indirizzi IP dimittente e destinatario di un pacchetto, dunque nella maggiorparte dei casi e in grado di recuperare solo una parte deipacchetti.

Host con indirizzo pubblico (es. server) o ”dinamico registrato”(es. DynDNS) risultano essere sensibili a questo attacco.

Address stealing attacksAttacks against confidentiality and integrity

Address stealing attacksBasic denial-of-service attacks

Inviando binding updates spoofati, l’attaccante puo inoltrare tuttii pacchetti inviati tra due nodi IP ad un indirizzo casuale o nonesistente.In questo modo e possibile interrompere o distruggere lacomunicazione tra i nodi.

Si tratta di un attacco molto serio, in quanto ogni nodo internet eun potenziale obiettivo, inclusi nodi statici che risultano esserecritici, come ad esempio i server DNS.

Address flooding attacksBasic flooding

Supponiamo che vi sia uno scambio di pacchetti da un nodo Averso un nodo B: un attaccante potrebbe redirezionare il trafficoverso un nodo vittima C.

Problema (per l’attaccante):Il nodo A potrebbe interrompere la comunicazione, non ricevendorisposte da B.

Address flooding attacksBasic flooding

Soluzione (per l’attaccante):

Address flooding attacksBasic flooding

L’attacco assume una certa rilevanza, in quanto puo colpire unnodo o un’intera rete, non necessariamente mobile.

E molto importante notare che la vittima non puo fare nulla perprevenire questo attacco.

Reflection and amplification

Un attaccante ha interesse a nascondere la sorgente di un attaccodi tipo flooding, distribuendola verso altri nodi → reflection.

Questa tecnica puo occultare l’indirizzo dell’attaccante anche nelcaso in cui vi sia un filtro in grado di prevenire source-addressspoofing.

Reflection and amplification

La reflection e particolarmente dannosa se:I viene applicata piu volteI i pacchetti vengono introdotti in un percorso ciclicoI i nodi possono essere convinti a trasmettere una quantita di

dati molto superiore a quelli ricevuti dall’attaccante → trafficamplification

Soluzioni

MOBILE IP ATTACKS SOLUTIONS

MOBILE IPv6 ROUTEOPTIMIZATION

HOST IDENTITYPROTOCOL (HIP) [OTHERS]

Alcune considerazioni sul Mobile IP

Il Mobile IP e basato sull’idea di fornire un supporto di mobilitasopra all’infrastruttura IP esistente, senza richiedere alcunamodifica ai router o agli end-nodes stazionari.

Tuttavia, al contrario di Mobile IP su IPv4, in Mobile IPv6 sisuppone che gli end-nodes stazionari forniscano un supporto allamobilita aggiuntivo, sebbene questi non siano obbligati a farlo.

In questo modo si supporta la route optimization.

Progettazione del protocollo Mobile IP

Il protocollo Mobile IP e stato progettato per risolvere dueproblemi:

I far sı che le connessioni a livello di trasporto non venganointerrotte con lo spostamento di un host

I permettere ad un nodo di essere raggiunto attraverso unindirizzo IP statico (home address)

Progettazione del protocollo Mobile IP

La soluzione in Mobile IPv6Return routability

Return routability e il meccanismo di sicurezza di base sviluppatoin Mobile IPv6.

Un nodo verifica che vi sia un nodo in grado di rispondere aipacchetti inviati verso un determinato indirizzo.

Questo genera falsi positivi nel caso in cui:I l’infrastruttura di routing e compromessaI e in atto un attacco di tipo man-in-the-middle

Conclusioni

I nuove vulnerabilita portate dal supporto alla mobilita

I protezione dei binding updates

I gli attacchi possono coinvolgere nodi interni alla rete o nodiinternet

Riferimenti

Mobile IPovvero, un ip, tante retiGiacomo Rizzohttp://bit.ly/eRkm1f

Bibliografia

Mobile InternetEnabling Tecnologies and ServicesApostolis K. SalkintzisCRC Press (2004)http://bit.ly/aimjvR