Mobile IP предотвращает переадресацию пакетов и подслушивание
Дэйв Козюр
Знатоки сетей предсказывают, что уже в ближайшие годы к Интернет будут подключены в основном мобильные компьютеры. Именно поэтому Целевая группа инженерной поддержки Интернет ведет активную разработку стандартов семейства Mobile IP.
Одной из главных проблем для мобильных пользователей является обеспечение безопасности при работе в сети: сообщения, передаваемые по беспроводным каналам, перехватить гораздо легче, чем те, которые пересылаются по кабелю.
Беспокоит мобильных пользователей и еще одна опасность. Не исключено, что некий хакер сможет сфабриковать фальшивый промежуточный адрес, используемый в Mobile IP для пересылки пакетов данных. Кроме того, в новом стандарте необходимо предусмотреть меры, которые бы гарантировали надежную защиту ЛВС при перемещении мобильного хоста из одной сети в другую. Даже в этих условиях трафик Mobile IP не должен повлиять на безопасность брандмауэра.
В основу протоколов Mobile IP положено сочетание мобильного хоста, внутреннего агента (home agent) и внешних агентов (foreign agent). Мобильный хост - это компьютер, который перемещается по Интернет и при этом проводит сеансы связи с другими сетевыми устройствами.
Изменять IP-адрес мобильного хоста при каждом его перемещении было бы весьма непрактично. Поэтому в протоколе Mobile IP для привязки адреса мобильного хоста используется внутренний агент, который постоянно подключен к его базовой сети, где бы ни находился в это время сам хост-компьютер.
Пока мобильный хост подключен к другой сети, внутренний агент следит за его местоположением и перехватывает все предназначенные для него пакеты. Затем он упаковывает полученные пакеты, используя для этого инкапсуляцию типа “IP в IP”, и осуществляет их туннельную пересылку на мобильный хост.
В выполнении этой функции ему помогают внешние агенты, по меньшей мере один из которых всегда знает IP-адрес мобильного хоста, покинувшего свою базовую сеть. Главная задача внешнего агента - обеспечивать маршрутизацию сообщений, предназначенных для мобильного хоста, пока тот подключен к сети этого агента. Таким образом, пакеты, переданные по туннелю внутренним агентом, сначала поступают на соответствующий внешний агент, который снимает с них оболочку инкапсуляции, восстанавливая тем самым их исходный вид, и направляет на мобильный хост.
Проблемы безопасности
Одна из опасностей, подстерегающих мобильные хосты, - возможность кражи данных. Всегда можно ожидать, что хакер, подслушивающий беспроводной канал связи, сможет перехватить пакеты и извлечь из них конфиденциальную информацию. Для борьбы с этой опасностью чаще всего применяют шифрование данных, которое производится либо на канальном уровне, либо на всем протяжении подключения.
Закрытие данных на канальном уровне требует, чтобы мобильный хост и внешний агент шифровали все пакеты, которыми они обмениваются, по внешним каналам связи. Это особенно удобно в беспроводных ЛВС, где отсутствие физических подключений намного упрощает перехват трафика.
Однако шифрование на канальном уровне обеспечивает только защиту канала между внешним агентом и мобильным хостом. Трафик, циркулирующий между хостом корреспондента и внутренним агентом, а также между внутренним и внешним агентами, по-прежнему остается в опасности.
Гораздо более надежную защиту обеспечивает полное криптование, при котором вся информация шифруется отправителем, а ее расшифровку производит получатель. Такой способ гарантирует, что данные будут защищены от подслушивания в любой точке сети, а не только во внешних каналах. При этом тип передающей среды не имеет никакого значения.
Защита данных, поступающих с мобильного хоста
Полное шифрование можно обеспечить различными путями. Его, например, поддерживают технология Secure Remote Shell (безопасная удаленная оболочка), используемая в Unix, и протокол Secure Socket Layer (уровень защищенных гнезд). Однако разработчики спецификации Mobile IP остановили свой выбор на комплекте протоколов IPSec (Internet Protocol Security - безопасность протокола Интернет), а также на спецификации Encapsulating Security Payload (инкапсулированная безопасная нагрузка), описание которой содержится в документе RFC 1827. Правда, их применение требует расширения стека IPv4, но в протоколе IPv6 поддержка IPSec уже встроена.
Мобильных пользователей подстерегают и другие опасности. Хакер, например, может подключиться к их сеансу связи. Для этого ему достаточно нейтрализовать один из участвующих в сеансе хостов, направив на него поток пакетов-помех, и генерировать на своем компьютере пакеты, которые будто бы исходят от блокированного таким образом компьютера.
Хакеру не составляет особого труда перехватить пакеты, направленные на мобильный хост, и использовать их для подключения к сеансу. От этой опасности также избавляет криптование. Если данные, перехваченные хакером, закрыты шифром, он не сможет ни прочесть их, ни генерировать пакеты, которые бы представляли интерес для участников сеанса (ведь хакеру неизвестен ключ шифрования).
Мобильным пользователям следует остерегаться и ложных промежуточных адресов, которые могут создавать хакеры. С их помощью злоумышленник заставляет внутренний агент пересылать весь полученный трафик не на внешний агент, а на свой компьютер.
Избежать такого рода атак помогает расширение Mobile Home Authentication Extension. Используя защищенный ключом алгоритм MD5, оно создает краткий код сообщения, обеспечивающий надежную аутентификацию каждого регистрационного пакета, поступившего с внешнего агента.
Нельзя исключать, что хакер попытается воспользоваться ранее перехваченными запросами на регистрацию. Этому должны помешать метки времени и специально генерированные случайные числа. Разработчики Mobile Home Authentication Extension рекомендуют включать их в поле идентификации регистрационных пакетов, направляемых внешним агентом на внутренний.
Серьезным препятствием на пути к внедрению Mobile IP становятся и устройства обеспечения безопасности той сети, к которой подключается мобильный хост. Для брандмауэров и пограничных маршрутизаторов, призванных защищать корпоративную сеть от вторжения извне, новичок выглядит как персона нон грата. Приходится искать способ, позволяющий служащим подключаться к своей корпоративной сети через сети общего пользования.
Конфигурацией брандмауэра может быть предусмотрена такая фильтрация входящих пакетов, при которой в сеть пропускаются только дейтаграммы, поступившие с заранее заданных IP-адресов. В этом случае мобильный хост, прибывший из другого домена, окажется инородным телом и все его пакеты будут аннулированы.
Конечно, адресованные внутреннему агенту дейтаграммы можно было бы пропускать через брандмауэр, используя для этого протокол UDP (User Datagram Protocol - протокол дейтаграмм пользователя) и порт 434. Но такой способ чреват проникновением в защищенную сеть и других дейтаграмм, не прошедших аутентификацию.
Избавиться от этих проблем может помочь безопасное туннелирование на участке между мобильным хостом и корпоративным брандмауэром, основанное на протоколе IPSec. Такой способ позволяет защитить сеанс связи за счет шифрования данных на всем протяжении маршрута IP-сообщения от его отправителя до получателя. Через подобный туннель можно было бы пересылать даже регистрационные запросы внешних агентов.
Но чтобы предложенный способ оказался работоспособным, и мобильный хост, и брандмауэр должны быть оснащены совместимыми аппаратными и программными средствами аутентификации, а также общими алгоритмами шифрования.
Кроме того, необходимо предусмотреть способы обмена криптографическими ключами. Это не составит особого труда при повседневной связи, скажем, между мобильным служащим и его домашним офисом, поскольку всегда можно заранее обменяться ключами, необходимыми для организации безопасного сеанса. Но ситуация в корне меняется, когда мобильному хосту приходится устанавливать связь со множеством узлов, защищенных брандмауэрами. Здесь сложность управления ключами значительно возрастает, так как для каждого корреспондента необходимо иметь отдельный ключ.
Рабочая группа IPSec, созданная в рамках Целевой группы инженерной поддержки Интернет, рекомендует использовать для этой цели либо протокол SKIP (Simple Key Management for Internet Protocols - простое управление ключами для протоколов Интернет), либо ISAKMP (Internet Security Association and Key Management Protocol - протокол управления ключами Ассоциации безопасности Инернет)/Oakley.
Более прост в использовании протокол SKIP. К тому же он обеспечивает так называемый текущий обмен ключами (inline keying), что избавляет пользователей от необходимости передавать их друг другу перед началом сеанса связи. Однако этот протокол не поддерживает согласования алгоритмов шифрования. Такая функция предусмотрена в ISAKMP/Oakley, который был выбран в качестве протокола управления ключами для IPv6.
Дэйв Козюр - независимый автор и консультант. Связаться с ним можно через Internet по адресу: drkosiur@ix.netcom.com.
