Mobile IP security
-
Upload
enrico-cambiaso -
Category
Technology
-
view
257 -
download
2
Transcript of Mobile IP security
Mobile IP securityAnalisi della sicurezza in ambiente Mobile IP
Cambiaso [email protected]
20 dicembre 2010
Background
La suite di protocolli TCP/IP e stata progettata a cavallo tra glianni ’70 e ’80.
Allora il concetto di host in movimento era ben lontano. . .
Come conseguenza, si decise di utilizzare l’indirizzamento IP peridentificare gli host e di poter utilizzare l’indirizzo IP ai livellisuperiori per identificare gli end-point della comunicazione.
Per molto tempo questa tecnica ha fatto egregiamente il suodovere, in quanto gli host venivano spostati molto raramente.
Il problema dell’indirizzamento IP
La decisione di sfruttare l’indirizzamento IP ai livelli superioriha avuto conseguenze a lungo termine:
I ha introdotto una sorta di debolezza su internetI ha complicato la mobilita e il multihoming
Infrastruttura IP esistenteMobile IP vs. HIP
Uno degli obiettivi di progettazione di Mobile IP fu quello diportare mobilita senza effettuare troppe modifiche.In particolare, Mobile IP e stato progettato per fornire unsupporto di mobilita anche nel caso in cui il correspondent hostnon sia a conoscenza del protocollo Mobile IP.Questo e specialmente importante per IPv4, ancora ampiamenteutilizzato.Gli stessi obiettivi sono stati ereditati, in linea di massima, daMobile IPv6.
HIP prevede invece che lo stack del protocollo venga cambiato intutti gli end-point, sia negli host mobili che nei correspondenthosts.
L’infrastruttura di routing
Nell’attuale struttura di internet, i router mantengonocollettivamente un database distribuito della topologia della rete.
Per mantenere queste informazioni i router devono fidarsi l’unl’altro: un router apprende le informazioni topologiche dagli altrirouter, i quali non possono far altro che fidarsi dei routeradiacenti.
Agli estremi di un dominio amministrativo vengono utilizzate dellepolicy rules per ridurre le informazioni di routing scorrettericevute da domini di pari livello.
Questo sistema e lontano dalla perfezione, ma funzionaabbastanza bene e gran parte dell’infrastruttura di internet sibasa su di esso per fornire una integrita di base.
Il problema della mobilita
Esistono due approcci fondamentali per risolvere il problemadella mobilita IP:packet forwarding → riduzione delle performance: gli host non
possono sfruttare il percorso ottimalebinding updates → forniscono un routing ottimale ma soffrono di
alcuni problemi di sicurezza
Tipologie di attacco
ATTACKS TYPES
ADDRESS STEALING ADDRESS FLOODING
Address stealing
Address flooding
Considerazioni
Anche se questo problema di sicurezza puo essere risolto tramitealcune estensioni, e molto difficile trovare una soluzione ottimalesfruttando l’attuale architettura.Non c’e infatti modo di verificare che un nodo che dichiara diessere ad un determinato indirizzo sia effettivamente il nodolocalizzato a quell’indirizzo da un punto di vista topologico.
All’interno dell’architettura attuale, una soluzione potrebbe esserequella di fornire un sistema di autorizzazione che colleghiindirizzi a chiavi crittografiche, in modo da fornire un sistema diprotezione piu forte.
Dimensioni del pericolo
Per capire meglio gli attacchi, dobbiamo considerarne gli effettied i limiti.
Questi sono in funzione di:I obiettivi dell’attaccoI puntualita dell’attaccoI posizione dell’attaccante
Obiettivi di attacco generici
OBIETTIVI DI ATTACCO
ACCESSOALLA RETE
RECUPERO DIINFORMAZIONI
INTERRUZIONE DELLACOMUNICAZIONE
Vittime di un attacco
Per quanto riguarda una rete Mobile IP:Mobile node → molto sicuro: non deve mantenere lo stato dei
nodi remotiCorrespondent node → punto debole: e facilmente ingannabile
da un attaccante
Puntualita dell’attacco
In una rete fissa, un attaccante deve semplicemente trovarsi tra inodi di comunicazione nell’istante in cui questi comunicano.
La mobilita a livello IP porta a nuovi pericoli.
Posizione dell’attaccante
Un attaccante e in grado di ricevere pacchetti destinati ad undeterminato indirizzo solo se e in grado di porsi all’interno delpercorso fra mittente e ricevente.In alternativa, l’attaccante puo essere in grado di controllare unnodo nel percorso, o modificare il percorso stesso attaccando ilsistema di routing.
Sebbene questi attacchi siano molto complicati da effettuare, perun attaccante risulta semplice inviare pacchetti IP spoofati daqualunque nodo internet.Dunque, nel caso in cui la rete supporti la mobilita IP senzaproteggere i binding updates, un attaccante potrebbe inviarebinding updates maligni da un nodo qualunque in internet.
Address stealing attacks
ADDRESS STEALING ATTACKS
BASIC ADDRESSSTEALING STEALING ADDRESSES
OF STATIONARYNODES
ATTACKS AGAINSTCONFIDENTIALITYAND INTEGRITY
BASIC DENIAL-OF-SERVICEATTACKS
Address stealing attacksStealing addresses of stationary nodes
L’attaccante deve conoscere (o ”indovinare”) indirizzi IP dimittente e destinatario di un pacchetto, dunque nella maggiorparte dei casi e in grado di recuperare solo una parte deipacchetti.
Host con indirizzo pubblico (es. server) o ”dinamico registrato”(es. DynDNS) risultano essere sensibili a questo attacco.
Address stealing attacksAttacks against confidentiality and integrity
Address stealing attacksBasic denial-of-service attacks
Inviando binding updates spoofati, l’attaccante puo inoltrare tuttii pacchetti inviati tra due nodi IP ad un indirizzo casuale o nonesistente.In questo modo e possibile interrompere o distruggere lacomunicazione tra i nodi.
Si tratta di un attacco molto serio, in quanto ogni nodo internet eun potenziale obiettivo, inclusi nodi statici che risultano esserecritici, come ad esempio i server DNS.
Address flooding attacksBasic flooding
Supponiamo che vi sia uno scambio di pacchetti da un nodo Averso un nodo B: un attaccante potrebbe redirezionare il trafficoverso un nodo vittima C.
Problema (per l’attaccante):Il nodo A potrebbe interrompere la comunicazione, non ricevendorisposte da B.
Address flooding attacksBasic flooding
Soluzione (per l’attaccante):
Address flooding attacksBasic flooding
L’attacco assume una certa rilevanza, in quanto puo colpire unnodo o un’intera rete, non necessariamente mobile.
E molto importante notare che la vittima non puo fare nulla perprevenire questo attacco.
Reflection and amplification
Un attaccante ha interesse a nascondere la sorgente di un attaccodi tipo flooding, distribuendola verso altri nodi → reflection.
Questa tecnica puo occultare l’indirizzo dell’attaccante anche nelcaso in cui vi sia un filtro in grado di prevenire source-addressspoofing.
Reflection and amplification
La reflection e particolarmente dannosa se:I viene applicata piu volteI i pacchetti vengono introdotti in un percorso ciclicoI i nodi possono essere convinti a trasmettere una quantita di
dati molto superiore a quelli ricevuti dall’attaccante → trafficamplification
Soluzioni
MOBILE IP ATTACKS SOLUTIONS
MOBILE IPv6 ROUTEOPTIMIZATION
HOST IDENTITYPROTOCOL (HIP) [OTHERS]
Alcune considerazioni sul Mobile IP
Il Mobile IP e basato sull’idea di fornire un supporto di mobilitasopra all’infrastruttura IP esistente, senza richiedere alcunamodifica ai router o agli end-nodes stazionari.
Tuttavia, al contrario di Mobile IP su IPv4, in Mobile IPv6 sisuppone che gli end-nodes stazionari forniscano un supporto allamobilita aggiuntivo, sebbene questi non siano obbligati a farlo.
In questo modo si supporta la route optimization.
Progettazione del protocollo Mobile IP
Il protocollo Mobile IP e stato progettato per risolvere dueproblemi:
I far sı che le connessioni a livello di trasporto non venganointerrotte con lo spostamento di un host
I permettere ad un nodo di essere raggiunto attraverso unindirizzo IP statico (home address)
Progettazione del protocollo Mobile IP
La soluzione in Mobile IPv6Return routability
Return routability e il meccanismo di sicurezza di base sviluppatoin Mobile IPv6.
Un nodo verifica che vi sia un nodo in grado di rispondere aipacchetti inviati verso un determinato indirizzo.
Questo genera falsi positivi nel caso in cui:I l’infrastruttura di routing e compromessaI e in atto un attacco di tipo man-in-the-middle
Conclusioni
I nuove vulnerabilita portate dal supporto alla mobilita
I protezione dei binding updates
I gli attacchi possono coinvolgere nodi interni alla rete o nodiinternet
Riferimenti
Mobile IPovvero, un ip, tante retiGiacomo Rizzohttp://bit.ly/eRkm1f
Bibliografia
Mobile InternetEnabling Tecnologies and ServicesApostolis K. SalkintzisCRC Press (2004)http://bit.ly/aimjvR