Network Working Group C. Vogt
Request for Comments: 4832 Universitaet Karlsruhe (TH)
Category: Informational J. Kempf
DoCoMo USA Labs
April 2007
Security Threats to Network-Based Localized
Mobility Management (NETLMM)
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
Abstract
抽象
This document discusses security threats to network-based localized mobility management. Threats may occur on two interfaces: the interface between a localized mobility anchor and a mobile access gateway, as well as the interface between a mobile access gateway and a mobile node. Threats to the former interface impact the localized mobility management protocol itself.
この文書では、ネットワークベースのローカライズされたモビリティ管理にセキュリティ上の脅威について説明します。ローカライズされたモビリティ・アンカーとモバイルアクセスゲートウェイ、ならびにモバイル・アクセス・ゲートウェイと移動ノードとの界面:脅威2つのインターフェイス上で起こり得ます。前者の界面への脅威は、局所的モビリティ管理プロトコル自体に影響を与えます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 3
2. Threats to Interface between LMA and MAG . . . . . . . . . . . 3
2.1. LMA Compromise or Impersonation . . . . . . . . . . . . . 3
2.2. MAG Compromise or Impersonation . . . . . . . . . . . . . 4
2.3. Man-in-the-Middle Attack . . . . . . . . . . . . . . . . . 6
3. Threats to Interface between MAG and Mobile Node . . . . . . . 6
3.1. Mobile Node Compromise or Impersonation . . . . . . . . . 7
3.2. Man-in-the-Middle Attack . . . . . . . . . . . . . . . . . 9
4. Threats from the Internet . . . . . . . . . . . . . . . . . . 9
5. Security Considerations . . . . . . . . . . . . . . . . . . . 10
6. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 10
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1. Normative References . . . . . . . . . . . . . . . . . . . 10
7.2. Informative References . . . . . . . . . . . . . . . . . . 10
The network-based localized mobility management (NETLMM) architecture [1] supports movement of IPv6 mobile nodes locally within a domain without requiring mobility support in the mobile nodes' network stacks. A mobile node can keep its IP address constant as it moves from link to link, avoiding the signaling overhead and latency associated with changing the IP address. Software specifically for localized mobility management is not required on the mobile node, whereas IP-layer movement detection software may be necessary, and driver software for link-layer mobility is prerequisite.
ネットワークベース局所モビリティ管理(NETLMM)アーキテクチャは、[1]モバイルノードのネットワークスタック内のモビリティ・サポートを必要とすることなく、ドメイン内でローカルIPv6の移動ノードの移動をサポートします。それがリンクするリンクから移動するモバイルノードは、IPアドレスの変更に関連したシグナリングオーバーヘッド及び待ち時間を回避する、そのIPアドレスを一定に保つことができます。 IP層移動検出ソフトウエアが必要であってもよく、リンク層のモビリティのためのドライバソフトウェアが前提であるのに対し、特異的に局在モビリティ管理のためのソフトウェアは、モバイルノード上で必要とされません。
The IP addresses of mobile nodes have a prefix that routes to a localized mobility anchor (LMA) [3]. The LMA maintains an individual route for each registered mobile node. Any particular mobile node's route terminates at a mobile access gateway (MAG) [3], to which the mobile node attaches at its current access link. MAGs are responsible for updating the mobile node's route on the LMA as the mobile node moves. A MAG detects the arrival of a mobile node on its local access link based on handoff signaling that the mobile node pursues. The MAG may additionally monitor connectivity of the mobile node in order to recognize when the mobile node has left the local access link. The localized mobility management architecture therefore has two interfaces:
モバイルノードのIPアドレスは、プレフィックスを持つ局在モビリティ・アンカー(LMA)への経路[3]。 LMAは、各登録されたモバイルノードのための個々のルートを維持します。任意の特定の移動ノードの経路は、モバイル・アクセス・ゲートウェイ(MAG)[3]、移動ノードがその現在のアクセス・リンクに付着するで終了します。 MAGは、モバイルノードが移動するようLMA上のモバイルノードのルートを更新する責任があります。 MAGは、モバイルノードが追求することをシグナリングハンドオフに基づいて、ローカルアクセスリンク上の移動ノードの到着を検出します。 MAGは、さらに、モバイルノードがローカルアクセスリンクを離れたときに認識するためにモバイル・ノードの接続性を監視することができます。ローカライズされたモビリティ管理アーキテクチャは、従って、2つのインタフェースを有しています。
1. The interface between a MAG and an LMA where route update signaling occurs.
1. MAGと経路更新シグナリングが発生LMAとの間のインターフェース。
2. The interface between a mobile node and its current MAG where handoff signaling and other link maintenance signaling occur.
2.ハンドオフシグナリングおよび他のリンク・メンテナンス・シグナリングが発生モバイルノードとその現在のMAGとの間のインターフェース。
The localized mobility management architecture demands no specific protocol for a MAG to detect the arrival or departure of mobile nodes to and from its local access link and accordingly initiate route update signaling with an LMA. An appropriate mechanism may be entirely implemented at the link layer, such as is common for cellular networks. In that case, the IP layer never detects any movement, even when a mobile node moves from one link to another handled by a different MAG. If the link layer does not provide the necessary functionality, the mobile node must perform IP-layer movement detection and auto-configuration signaling, thereby providing the trigger for the MAG to update its route on the LMA. A mobile node identity, established by the localized mobility management domain when the mobile node initially connects and authenticates, enables the MAG to ascribe the decisive link- or IP-layer signaling to the correct mobile node. Some wireless access technologies may require the mobile node identity to be reestablished on every link-layer handoff.
ローカライズされたモビリティ管理アーキテクチャは、ローカルアクセスリンクにから移動ノードの到着又は出発を検出し、それに応じてLMAとシグナリング経路更新を開始するMAGのための特定のプロトコルを要求しません。適切なメカニズムは完全にそのようなセルラネットワークに共通であるように、リンク層で実現されてもよいです。その場合には、IPレイヤは、モバイルノードが異なるMAGによって取り扱わ別のリンクから移動した場合であっても、任意の動きを検出することはありません。リンク層は、必要な機能を提供しない場合、モバイルノードは、それによってMAGは、LMAにそのルートを更新するためのトリガを提供する、IP層移動検出と自動設定シグナリングを実行しなければなりません。モバイルノードが最初に、接続して認証するときに局在モビリティ管理ドメインによって確立されたモバイルノードのアイデンティティは、正しいモバイルノードに決定的リンク - またはIPレイヤシグナリングを帰するためにMAGを可能にします。いくつかの無線アクセス技術は、すべてのリンク層ハンドオフに再確立されるように、移動ノードのIDが必要な場合があります。
Vulnerabilities in either interface of the localized mobility management architecture may entail new security threats that go beyond those that already exist in IPv6. Potential attack objectives may be to consume network services at the cost of a legitimate mobile node, interpose in a mobile node's communications and possibly impersonate the mobile node from a position off-link, operate under the disguise of a false or non-existing identity, or cause denial of service to a mobile node or to the localized mobility management domain as a whole. This document identifies and discusses security threats on both interfaces of the localized mobility management architecture. It is limited to threats that are peculiar to localized mobility management; threats to IPv6 in general are documented in [4].
局所モビリティ管理アーキテクチャのインタフェースのいずれかの脆弱性は、すでにIPv6の中に存在しているものを超えた、新たなセキュリティの脅威を伴ってもよいです。潜在的な攻撃の目的は、合法的なモバイルノードのコストでネットワークサービスを消費するモバイルノードの通信に挟んで、おそらくオフリンクの位置からの移動ノードになりすまし、虚偽または非既存のアイデンティティの変装の下で動作することであってもよいですまたはモバイルノードにまたは全体として局所モビリティ管理ドメインにサービス拒否を引き起こします。この文書では、識別し、ローカライズされたモビリティ管理アーキテクチャの両方のインターフェイス上のセキュリティの脅威について説明します。これは、ローカライズされたモビリティ管理に特有の脅威に制限されています。一般的にはIPv6への脅威は、[4]に記載されています。
The terminology in this document follows the definitions in [2], with those revisions and additions from [1]. In addition, the following definition is used:
この文書に記載されている用語は、[1]から、これらのリビジョンや追加で、[2]の定義に従います。また、以下の定義が使用されます。
Mobile Node Identity
モバイルノードのアイデンティティ
An identity established for the mobile node when initially connecting to the localized mobility management domain. It allows the localized mobility management domain to definitively and unambiguously identify the mobile node upon handoff for route update signaling purposes. The mobile node identity is conceptually independent of the mobile node's IP or link-layer addresses, but it must be securely bound to the mobile node's handoff signaling.
最初にローカライズされたモビリティ管理ドメインに接続するとき、移動ノードのために確立された識別情報。それは決定的と明確経路更新シグナリングのためにハンドオフ時にモバイルノードを識別するために、局所モビリティ管理ドメインを可能にします。モバイルノードのアイデンティティは、移動ノードのIPまたはリンク層アドレスの概念的には依存せず、安全にモバイルノードのハンドオフのシグナリングにバインドする必要があります。
The localized mobility management protocol executed on the interface between an LMA and a MAG serves to establish, update, and tear down routes for data plane traffic of mobile nodes. Threats to this interface can be separated into compromise or impersonation of a legitimate LMA, compromise or impersonation of a legitimate MAG, and man-in-the-middle attacks.
LMAとMAGとの間のインターフェイス上で実行されるローカル移動性管理プロトコルは、更新を確立し、モバイルノードのデータ・プレーントラフィックの経路を切断するのに役立ちます。このインターフェースへの脅威は、正当なLMA、MAG正規の妥協またはなりすまし、およびman-in-the-middle攻撃の妥協またはなりすましに分離することができます。
A compromised LMA can ignore route updates from a legitimate MAG in order to deny service to a mobile node. It may also be able to trick a legitimate MAG into creating a new, incorrect route, thereby preparing the MAG to receive redirected traffic of a mobile node; it may cause the traffic forwarded by a MAG to be redirected to a different LMA; or it may simply have the MAG drop an existing route in order to deny the mobile node service. Since data plane traffic for mobile nodes routes through the LMA, a compromised LMA can also intercept, inspect, modify, or drop such traffic, or redirect it to a destination in collusion with the attacker. The attack can be conducted transiently to selectively disable traffic for any particular mobile node or MAG at particular times.
妥協LMAは、モバイルノードへのサービスを拒否するために、正当なMAGからルートアップデートを無視することができます。また、これにより、移動ノードのリダイレクトされたトラフィックを受信するMAGを調製する、新しい、間違ったルートを作成するに正規MAGをだますことができるかもしれ。それは別のLMAにリダイレクトするMAGによって転送されたトラフィックを引き起こす可能性があります。または単にMAGは、モバイルノードのサービスを拒否するために、既存のルートを削除していてもよいです。 LMAを介してモバイルノードのルートのデータプレーントラフィックので、妥協LMAはまた、傍受検査、変更、又はそのようなトラフィックをドロップするか、または攻撃者と共謀の宛先にリダイレクトすることができます。攻撃を選択特定の時間に任意の特定のモバイルノードまたはMAGのトラフィックを無効にするために、一時的に行うことができます。
Moreover, a compromised LMA may manipulate its routing table such that all packets are directed towards a single MAG. This may result in a denial-of-service attack against that MAG and its attached access link.
また、妥協LMAは、全てのパケットが単一のMAGに向けられるように、そのルーティングテーブルを操作することができます。これは、MAGとその付属アクセスリンクに対するサービス拒否攻撃をもたらすことができます。
These threats also emanate from an attacker which tricks a MAG into believing that it is a legitimate LMA. This attacker can cause the MAG to conduct route update signaling with the attacker instead of with the legitimate LMA, enabling it to ignore route updates from the MAG, or induce incorrect route changes at the MAG as described above, in order to redirect or deny a mobile node's traffic. The attacker does not necessarily have to be on the original control plane path between the legitimate LMA and the MAG, provided that it can somehow make its presence known to the MAG. Failure to mutually authenticate when establishing an association between an LMA and a MAG would allow an attacker to establish itself as a rogue LMA.
これらの脅威はまた、正当なLMAであることを信じるようにトリックMAG攻撃者から発します。この攻撃者は、リダイレクトまたは拒否するために、MAGは、上記のようにMAGからのルート更新を無視する、又はMAGで不正確なルート変更を誘導することを可能にする、攻撃者との代わりに正規LMAとシグナリング経路更新を導通させることができますモバイルノードのトラフィック。攻撃者は必ずしも正当LMAとMAGとの間の元の制御プレーンパス上にある必要はなく、それは何らかの形MAGに公知のその存在を作ることができることを条件とします。 LMAとMAGの間の関連付けを確立する際、相互認証に失敗すると、攻撃者が不正なLMAとしての地位を確立することが可能になります。
The attacker may further be able to intercept, inspect, modify, drop, or redirect data plane traffic to and from a mobile node. This is obvious if the attacker is on the original data plane path between the legitimate LMA and the mobile node's current MAG, which may happen independently of whether the attacker is on the original control plane path. If the attacker is not on this path, it may be able to leverage the localized mobility management protocol to redefine the prefix that the mobile node uses in IP address configuration. The attacker can then specify a prefix that routes to itself. Whether or not outgoing data plane packets sourced by the mobile node can be interfered with by an attacker off the original data plane path depends on the specific data plane forwarding mechanism within the localized mobility management domain. For example, if IP-in-IP encapsulation or an equivalent approach is used for outbound data plane packets, the packets can be forced to be routed through the attacker. On the other hand, standard IP routing may cause the packets to be relayed via a legitimate LMA and hence to circumvent the attacker.
攻撃者は、さらに、傍受検査、変更、ドロップ、またはモバイルノードとのデータプレーントラフィックをリダイレクトすることができるかもしれません。攻撃者は、攻撃者が元の制御プレーンパス上にあるかどうかとは無関係に発生する可能性があり、正当なLMAとモバイルノードの現在のMAGとの間の元のデータプレーンパス上にある場合、これは明らかです。攻撃者はこのパス上にない場合、モバイルノードがIPアドレスの設定に使用するプレフィックスを再定義するために局所モビリティ管理プロトコルを活用することができるかもしれません。その後、攻撃者は自分自身へのルートプレフィックスを指定することができます。モバイルノードによって供給発信データプレーンパケットは、元のデータプレーンパスオフ攻撃者に干渉することができるかどうかは、ローカライズされたモビリティ管理ドメイン内の特定のデータプレーン転送メカニズムに依存します。 IP-in-IPカプセル化または同等のアプローチはアウトバウンドデータプレーンのパケットのために使用される場合、例えば、パケットが攻撃者を介してルーティングされるように強制することができます。一方、標準的なIPルーティングは、パケットが正当なLMAを介して中継する、したがって攻撃を回避させてもよいです。
A compromised MAG can redirect a mobile node's traffic onto its local access link arbitrarily, without authorization from the mobile node. This threat is similar to an attack on a typical routing protocol where a malicious stub router injects a bogus host route for the mobile node. In general, forgery of a subnet prefix in link state or distance vector routing protocols requires support of multiple routers in order to obtain a meaningful change in forwarding behavior. But a bogus host route is likely to take precedence over the routing information advertised by legitimate routers, which is usually less specific; hence, the attack should succeed even if the attacker is not supported by other routers. A difference between redirection in a routing protocol and redirection in localized mobility management is that the former impacts the routing tables of multiple routers, whereas the latter involves only the compromised MAG and an LMA.
妥協MAGは、モバイルノードからの許可なしに、任意のローカルアクセスリンク上にモバイルノードのトラフィックをリダイレクトすることができます。この脅威は、悪意のあるスタブルータは、モバイルノードのための偽のホストルートを注入する一般的なルーティングプロトコルに対する攻撃に類似しています。一般に、リンク状態または距離ベクトルルーティングプロトコルにおけるサブネットプレフィックスの偽造は、転送動作の意味のある変化を得るために、複数のルータのサポートを必要とします。しかし、偽のホストルートは、通常はあまり特異的である、合法的なルータによってアドバタイズルーティング情報よりも優先する可能性があります。したがって、攻撃は、攻撃者が他のルータでサポートされていない場合でも成功します。ルーティングプロトコルにおけるリダイレクション及び局在モビリティ管理におけるリダイレクション間の違いは、後者のみ損なわMAGとLMAを含む一方、複数のルータのルーティングテーブル前者の影響、。
Moreover, a compromised MAG can ignore the presence of a mobile node on its local access link and refrain from registering the mobile node at an LMA. The mobile node then loses its traffic. The compromised MAG may further be able to cause interruption to a mobile node by deregistering the mobile node at the serving LMA, pretending that the mobile node has powered down. The mobile node then needs to reinitiate the network access authentication procedure, which the compromised MAG may prevent repeatedly until the mobile node moves to a different MAG. The mobile node should be able to handle this situation, but the recovery process may be lengthy and hence impair ongoing communication sessions to a significant extent.
また、妥協MAGは、そのローカルアクセスリンク上のモバイルノードの存在を無視してLMAに移動ノード登録を控えることができます。モバイルノードは、そのトラフィックを失います。妥協MAGは、さらに、移動ノードがパワーダウンしたことをふり、サービングLMAにモバイルノードを登録解除することによって移動ノードに中断を生じさせることができるかもしれません。モバイルノードは、モバイルノードが異なるMAGへ移動するまで損なわMAG繰り返し防止することができるネットワークアクセス認証手順を再開する必要があります。モバイルノードは、このような状況に対処することができるはずですが、リカバリプロセスが長くなり、従って、かなりの程度まで進行中の通信セッションを損なうおそれがあります。
Denial of service against an LMA is another threat of MAG subversion. The compromised MAG can trick an LMA into believing that a high number of mobile nodes have attached to the MAG. The LMA will then establish a routing table entry for each of the non-existing mobile nodes. The unexpected growth of the routing table may eventually cause the LMA to reject legitimate route update requests. It may also decrease the forwarding speed for data plane packets due to higher route lookup latencies, and it may, for the same reason, slow down the responsiveness to control plane packets. Another adverse side effect of a high number of routing table entries is that the LMA, and hence the localized mobility management domain as a whole, becomes more susceptible to flooding packets from external attackers (see Section 4). The high number of superfluous routes increase the probability that a flooding packet, sent to a random IP address within the localized mobility management domain, matches an existing routing table entry at the LMA and gets tunneled to a MAG, which in turn performs address resolution on the local access link. At the same time, fewer flooding packets can be dropped directly at the LMA on the basis of a nonexistent routing table entry.
LMAに対するサービスの拒否は、MAGの転覆の別の脅威です。妥協MAGは、モバイルノードの数が多いがMAGに取り付けられていることを信じるようにLMAをだますことができます。 LMAは、非既存のモバイルノードの各々のルーティングテーブルエントリを確立します。ルーティングテーブルの予想外の成長は、最終的にLMAが正当なルート更新要求を拒否することがあります。それはまた、より高いルートルックアップ待ち時間によるデータプレーンパケットの転送速度を低下することがあり、それは、同じ理由で、プレーンパケットを制御するための応答を遅くすることができます。ルーティングテーブルのエントリの多数の他の有害な副作用は、LMAは、従って局所モビリティ管理ドメイン全体として、外部の攻撃者からフラッディングパケットを受けやすくなることである(セクション4を参照)。余分なルートの高い数は局所モビリティ管理ドメイン内のランダムなIPアドレスに送信されたフラッディングパケットは、LMAにおける既存のルーティングテーブルエントリに一致すると今度は上のアドレス解決を行うMAGにトンネル化されることを確率を高めますローカルアクセスリンク。同時に、より少ないフラッディングパケットが存在しないルーティングテーブルエントリに基づいてLMAに直接ドロップすることができます。
All of these threats apply not just to a compromised MAG, but also to an attacker that manages to counterfeit the identity of a legitimate MAG in interacting with both mobile nodes and an LMA. Such an attacker can behave towards mobile nodes like an authorized MAG and engage an LMA in route update signaling. In a related attack, the perpetrator eavesdrops on signaling packets exchanged between a legitimate MAG and an LMA, and replays these packets at a later time. These attacks may be conducted transiently, to selectively disable traffic for any particular mobile node at particular times.
これらの脅威のすべてではないだけで妥協MAGにするだけでなく、両方の移動ノードとLMAとの相互作用で、正当なMAGのアイデンティティを偽造するために管理し、攻撃者に適用されます。そのような攻撃者は、許可さMAGのようなモバイルノードに向かって動作し、経路更新シグナリングにLMAに係合することができます。関連する攻撃では、加害者は、シグナリングパケットに盗聴が正当MAGとLMAとの間で交換し、後でこれらのパケットを再生します。これらの攻撃は、選択的に、特定の時間に特定のモバイルノードのトラフィックを無効にするには、一時的に行うことができます。
An attacker that manages to interject itself between a legitimate LMA and a legitimate MAG can act as a man in the middle with respect to both control plane signaling and data plane traffic. If the attacker is on the original control plane path, it can forge, modify, or drop route update packets so as to cause the establishment of incorrect routes or the removal of routes that are in active use. Similarly, an attacker on the original data plane path can intercept, inspect, modify, drop, and redirect data plane packets sourced by or destined to a mobile node.
正当LMAとMAGとの間で正規自体を差し挟むに管理攻撃者は、制御プレーン・シグナリング及びデータプレーントラフィックの両方に対して中央に人として作用することができます。攻撃者が元の制御プレーンパス上にある場合、それは、偽造、変更、または誤った経路の確立またはアクティブに使用されているルートの除去を引き起こすように、ルート更新パケットをドロップすることができます。同様に、元のデータプレーン経路上の攻撃者は、傍受検査、変更、ドロップ、およびによって供給またはモバイルノード宛のデータ・プレーン・パケットをリダイレクトすることができます。
A compromised switch or router located between an LMA and a MAG can cause similar damage. Any switch or router on the control plane path can forge, modify, or drop control plane packets, and thereby interfere with route establishment. Any switch or router on the data plane path can intercept, inspect, modify, and drop data plane packets, or rewrite IP headers so as to divert the packets from their original path.
LMAとMAGの間に位置妥協スイッチやルータは、同様の損傷を引き起こす可能性があります。制御プレーンパス上の任意のスイッチまたはルータは、偽造、変更、または制御プレーンパケットをドロップし、それによって、経路の確立を妨害し得ます。データプレーンパス上の任意のスイッチまたはルータは、傍受検査、変更、およびデータプレーンのパケットをドロップするか、または元の経路からパケットを迂回するようにIPヘッダを書き換えることができます。
An attacker between an LMA and a MAG may further impersonate the MAG towards the LMA, and vice versa in route update signaling. The attacker can interfere with a route establishment even if it is not on the original control plane path between the LMA and the MAG. An attacker off the original data plane path may undertake the same to cause inbound data plane packets destined to the mobile node to be routed first from the LMA to the attacker, then to the mobile node's MAG, and finally to the mobile node itself. As explained in Section 2.1, here, too, it depends on the specific data plane forwarding mechanism within the localized mobility management domain whether or not the attacker can influence the route of outgoing data plane packets sourced by the mobile node.
LMAとMAGとの間の攻撃者は、さらに、経路更新シグナリングにおけるLMAに向かってMAG、およびその逆を偽装することができます。攻撃者は、LMAとMAGとの間の元の制御プレーンパス上にない場合でも、ルートの確立を妨害し得ます。元のデータプレーンパスは、移動ノードのMAGに、そして最終的にはモバイルノード自体に、攻撃者にLMAから最初にルーティングされるように、モバイルノード宛の着信データプレーンパケットを引き起こすことと同じに着手することがオフに攻撃。セクション2.1で説明したように、ここでは、あまりにも、それは攻撃者がモバイルノードによって供給発信データプレーン・パケットの経路に影響を与えることができるか否かを局所モビリティ管理ドメイン内の特定のデータプレーン転送メカニズムに依存します。
A MAG monitors the arrival and departure of mobile nodes to and from its local access link based on link- or IP-layer mechanisms. Whatever signaling on the access link is thereby decisive must be securely bound to the mobile node identity. A MAG uses this binding to ascribe the signaling to the mobile node and accordingly initiate route update signaling with an LMA. The binding must be robust to spoofing because it would otherwise facilitate impersonation of the mobile node by a third party, denial of service, or man-in-the-middle attacks.
MAGは、リンク - またはIP層メカニズムに基づいて、ローカルアクセスリンクへとから移動ノードの到着および出発を監視します。アクセスリンク上のどのようなシグナリングはしっかりとモバイルノードのアイデンティティにバインドする必要があり、それによって決定的です。 MAGは、これはモバイルノードにシグナリングを帰するために結合し、それに応じてLMAとシグナリング経路更新を開始使用します。それ以外の第三者、サービス拒否、またはman-in-the-middle攻撃により、移動ノードの偽装が容易になるため、結合は、なりすましに堅牢でなければなりません。
An attacker that is able to forge the mobile node identity of a mobile node can trick a MAG into redirecting data plane packets for the mobile node to the attacker. The attacker can launch such an impersonation attack against a mobile node that resides on the same link as the attacker, or against a mobile node on a different link. If the attack is on-link, the redirection of packets from the mobile node to the attacker is internal to the MAG, and it involves no route update signaling between the MAG and an LMA. On-link attacks are possible in a regular IPv6 network [4] that does not use Secure Neighbor Discovery [5].
移動ノードの移動ノードの識別情報を偽造することができ、攻撃者は、攻撃者にモバイルノードのためのデータプレーン・パケットをリダイレクトにMAGをだますことができます。攻撃者は、攻撃者と同じリンク上に存在する、または異なるリンク上のモバイルノードに対して、モバイルノードに対して、そのようななりすまし攻撃を仕掛けることができます。攻撃がオンリンクである場合、攻撃者にモバイルノードからのパケットのリダイレクションはMAGの内部にあり、それがMAGとLMAとの間のシグナリングNOルート更新を伴いません。オンリンクの攻撃は、通常のIPv6ネットワークが可能である[4]セキュア近隣探索を使用しない[5]。
Off-link impersonation requires the attacker to fabricate handoff signaling of the mobile node and thus trick the MAG into believing that the mobile node has handed over onto the MAG's access link. The attack is conceivable both if the attacker and the mobile node are on separate links that connect to different MAGs, as well as if they are on separate, possibly virtual per-mobile-node links that connect to the same MAG. In the former case, two MAGs would think they see the mobile node and both would independently perform route update signaling with the LMA. In the latter case, route update signaling is likely to be performed only once, and the redirection of packets from the mobile node to the attacker is internal to the MAG. The mobile node can always recapture its traffic back from the attacker through another run of handoff signaling. But standard mobile nodes are generally not prepared to counteract this kind of attack, and even where network stacks include suitable functionality, the attack may not be noticeable early enough at the link or IP layer to quickly institute countermeasures. The attack is therefore disruptive at a minimum, and may potentially persist until the mobile node initiates signaling again upon a subsequent handoff.
オフリンク偽装は、モバイルノードのハンドオフ・シグナリングを作製し、従ってモバイルノードがMAGのアクセスリンクに引き渡したことを信じるようにMAGをだまして、攻撃者を必要とします。攻撃は、攻撃者、モバイルノードは、同様に、それらが同一のMAGに接続可能であれば、仮想、別個毎モバイルノードのリンク上にある場合など、別のMAGに接続する別のリンク上にある場合の両方が考えられます。前者の場合では、二つのMAGは、彼らがモバイルノードを見ると思うだろうとの両方が、独立してLMAとシグナリング経路の更新を行うことになります。後者の場合には、ルート更新シグナリングは一度だけ実行される可能性があり、攻撃者にモバイルノードからのパケットのリダイレクションはMAGの内部にあります。モバイルノードは、常にハンドオフ・シグナリングの別の実行を通じて、バック攻撃者からのトラフィックを取り戻すことができます。しかし、標準のモバイルノードは、一般的にこの種の攻撃に対抗する準備ができていないで、ネットワークスタックは、適切な機能性を含む場合であっても、攻撃はすぐに対策を制定するためのリンクまたはIPレイヤで早期に十分顕著ではないかもしれません。攻撃は、最小で、したがって破壊的であり、モバイルノードは、後続のハンドオフ時に再びシグナリング開始するまで潜在的に持続することができます。
Impersonation attacks can be prevented at the link layer, particularly with cellular technologies where the handoff signaling between the mobile node and the network must be authenticated and is completely controlled by the wireless link layer. Cellular access technologies provide a variety of cryptographic and non-cryptographic attack barriers at the link layer, which makes mounting an impersonation attack, both on-link and off-link, very difficult. However, for non-cellular technologies that do not require link-layer authentication and authorization during handoff, impersonation attacks may be possible.
偽装攻撃は、特に、移動ノードとネットワーク間のシグナリングハンドオフが認証される必要があり、完全に無線リンク層によって制御されるセルラー技術と、リンク層で防止することができます。携帯アクセス技術は、リンクのオンとオフリンクの両方の、非常に困難な偽装攻撃を仕掛ける可能リンク層、で暗号化および非暗号攻撃障壁の多様性を提供します。しかし、ハンドオフ中のリンク層の認証と承認を必要としない非携帯電話技術のため、なりすまし攻撃が可能です。
An attacker that can forge handoff signaling may also cause denial of service against the localized mobility management domain. The attacker can trick a MAG into believing that a large number of mobile nodes have attached to the local access link and thus induce it to initiate route update signaling with an LMA for each mobile node assumed on link. The result of such an attack is both superfluous signaling overhead on the control plane as well as a high number of needless entries in the LMA's and MAG's routing tables. The unexpected growth of the routing tables may eventually cause the LMA to reject legitimate route update requests, and it may cause the MAG to ignore handoffs of legitimate mobile nodes onto its local access link. It may also decrease the LMA's and MAG's forwarding speed for inbound and outbound data plane packets due to higher route lookup latencies, and it may for the same reason slow down their responsiveness to control plane packets. An adverse side effect of this attack is that the LMA, and hence the localized mobility management domain as a whole, becomes more susceptible to flooding packets from external attackers (see Section 4). The high number of superfluous routes increases the probability that a flooding packet, sent to a random IP address within the localized mobility management domain, matches an existing routing table entry at the LMA and gets tunneled to a MAG, which in turn performs address resolution on the local access link. At the same time, fewer flooding packets can be dropped directly at the LMA on the basis of a nonexistent routing table entry.
ハンドオフ・シグナリングを偽造することができ、攻撃者はまた、ローカライズされたモビリティ管理ドメインに対するサービス拒否を引き起こす可能性があります。攻撃者は、モバイルノードの多数のローカル・アクセス・リンクに接続されていることを信じるようにMAGをだますので、リンクを想定し、各移動ノードのためのLMAとシグナリング経路更新を開始することを誘導することができます。このような攻撃の結果は、制御プレーンの両方の余分なシグナリングオーバーヘッドならびにLMAのとMAGのルーティングテーブルにおける不エントリの数が多いです。ルーティングテーブルの予想外の成長は、最終的にLMAが正当なルート更新要求を拒否することがあり、それがMAGはそのローカルアクセスリンク上に正当なモバイルノードのハンドオフを無視することがあります。また、より高いルートルックアップの待ち時間に、インバウンドとアウトバウンドのデータプレーンパケットのためのLMAのとMAGの転送速度を低下することがあり、それは同じ理由プレーンパケットを制御するために彼らの応答が遅くなる場合があります。この攻撃の有害な副作用はLMAは、したがって局所モビリティ管理ドメインは、全体として、外部の攻撃者からのフラッディングパケットの影響を受けやすくなることである(セクション4を参照)。余分なルートの高い数は局所モビリティ管理ドメイン内のランダムなIPアドレスに送信されたフラッディングパケットは、LMAにおける既存のルーティングテーブルエントリに一致すると今度は上のアドレス解決を行うMAGにトンネル化されることを確率を増加させますローカルアクセスリンク。同時に、より少ないフラッディングパケットが存在しないルーティングテーブルエントリに基づいてLMAに直接ドロップすることができます。
A threat related to the ones identified above, but not limited to handoff signaling, is IP spoofing [6]. Attackers use IP spoofing mostly for reflection attacks or to hide their identities. The threat can be reasonably contained by a wide deployment of network ingress filtering [7] in routers, especially within access networks. This technique prevents IP spoofing to the extent that it ensures topological correctness of IP source address prefixes in to-be-forwarded packets. Where the technique is deployed in an access router, packets are forwarded only if the prefix of their IP source address is valid on the router's local access link. An attacker can still use a false interface identifier in combination with an on-link prefix. But since reflection attacks typically aim at off-link targets, and the enforcement of topologically correct IP address prefixes also limits the effectiveness of identity concealment, network ingress filtering has proven adequate so far. On the other hand, prefixes are not limited to a specific link in a localized mobility management domain, so merely ensuring topological correctness through ingress filtering becomes insufficient. An additional mechanism for IP address ownership verification is necessary to prevent an attacker from sending packets with an off-link IP source address.
脅威は、上記で特定のものに関連するが、ハンドオフのシグナリングに限定されるものではなく、IPスプーフィングである[6]。攻撃者は、反射攻撃のほとんどはIPスプーフィングを使用するか、自分の身元を隠すために。脅威は合理特に、アクセスネットワーク内で、ルータ内のネットワーク侵入フィルタ[7]の広い展開に含まれることができます。この技術は、被転送されるパケット内のIP送信元アドレスプレフィックスのトポロジカルな正しさを保証する程度にIPスプーフィングを防止します。技術はアクセスルータで展開されている場合、パケットは、そのIPソースアドレスのプレフィックスがルータのローカルアクセスリンク上で有効である場合にのみ転送されます。攻撃者は、まだ上のリンクプレフィックスと組み合わせて偽のインタフェース識別子を使用することができます。反射攻撃は通常、オフリンクのターゲットを狙う、とトポロジー的に正しいIPアドレスプレフィックスの執行はまた、アイデンティティ隠蔽の効果を制限するのでしかし、ネットワークの入口フィルタリングは、これまで十分な証明されています。一方、プレフィックスはイングレスフィルタリングが不十分となるので、単にを通してトポロジー正確さを確保する、ローカライズされたモビリティ管理ドメイン内の特定のリンクに限定されません。 IPアドレスの所有権の確認のための追加のメカニズムは、オフリンクのIP送信元アドレスを持つパケットを送信する攻撃者を防止する必要があります。
An attacker that can interpose between a mobile node and a MAG during link- and/or IP-layer handoff signaling may be able to mount a man-in-the-middle attack on the mobile node, spoofing the mobile node into believing that it has a legitimate connection with the localized mobility management domain. The attacker can thus intercept, inspect, modify, or drop data plane packets sourced by or destined to the mobile node.
モバイルノード及びリンク - および/またはIP層ハンドオフシグナリング中MAGとの間に介在することができ、攻撃者はそれことを信じるように、モバイルノードになりすまし、モバイルノード上でman-in-the-middle攻撃を実装することができるかもしれません局所モビリティ管理ドメインと正当な接続を持っています。攻撃者は、このように、インターセプト検査、変更、またはによってソース又はモバイルノード宛のデータ・プレーン・パケットをドロップすることができます。
A localized mobility management domain uses individual host routes for data plane traffic of different mobile nodes, each between an LMA and a MAG. Creation, maintenance, and deletion of these routes cause control traffic within the localized mobility management domain. These characteristics are transparent to mobile nodes as well as external correspondent nodes, but the functional differences within the domain may influence the impact that a denial-of-service attack from the outside world can have on the domain.
ローカライズされたモビリティ管理ドメインは、異なるモバイル・ノードのデータ・プレーントラフィックのLMAとMAGとの間のそれぞれを個別のホストルートを使用します。作成、メンテナンス、およびこれらのルートの削除は、ローカライズされたモビリティ管理ドメイン内の制御トラフィックを引き起こします。これらの特性は、モバイルノードだけでなく、外部のコレスポンデントノードに対して透過的ですが、ドメイン内の機能的な違いは、外の世界からのサービス拒否攻撃は、ドメインに持つことができるというインパクトに影響を与える可能性があります。
A denial-of-service attack on an LMA may be launched by sending packets to arbitrary IP addresses that are potentially in use by mobile nodes within the localized mobility management domain. Like a border router, the LMA is in a topological position through which a substantial amount of data plane traffic goes, so it must process the flooding packets and perform a routing table lookup for each of them. The LMA can discard packets for which the IP destination address is not registered in its routing table. But other packets must be encapsulated and forwarded. A target MAG as well as any mobile nodes attached to that MAG's local access link are also likely to suffer damage because the unrequested packets must be decapsulated and consume link bandwidth as well as processing capacities on the receivers. This threat is in principle the same as for denial of service on a regular IPv6 border router, but because the routing table lookups may enable the LMA to drop part of the flooding packets early on or, on the contrary, additional tunneling workload is required for packets that cannot be dropped, the impact of an attack against localized mobility management may be different.
LMA上のサービス拒否攻撃は局所モビリティ管理ドメイン内のモバイルノードが使用して潜在的にある任意のIPアドレスにパケットを送信することによって起動することができます。境界ルータと同様に、LMAは、データプレーントラフィックのかなりの量が経由する位相的な位置にあるので、フラッディングパケットを処理し、それぞれのルーティングテーブルのルックアップを実行する必要があります。 LMAは、IP宛先アドレスがルーティングテーブルに登録されていないパケットを廃棄することができます。しかし、他のパケットはカプセル化されて転送されなければなりません。非要求パケットをカプセル化を解除し、リンク帯域幅だけでなく、受信機の処理能力を消費しなければならないので、ターゲットMAGだけでなく、そのMAGのローカルアクセス・リンクに接続されているすべてのモバイルノードもダメージを受ける可能性があります。この脅威は、原理的には、通常のIPv6の境界ルータ上のサービス拒否の場合と同じですが、ルーティングテーブルのルックアップは早い段階でフラッディングパケットの一部をドロップするLMAを可能にする可能性があるためか、逆に、追加のトンネリングワークロードが要求されますドロップすることができないパケットは、ローカライズされたモビリティ管理に対する攻撃の影響は異なっていてもよいです。
In a related attack, the attacker manages to obtain a globally routable IP address of an LMA or a different network entity within the localized mobility management domain and perpetrates a denial-of-service attack against that IP address. Localized mobility management is, in general, somewhat resistant to such an attack because mobile nodes need never obtain a globally routable IP address of any entity within the localized mobility management domain. Hence, a compromised mobile node cannot pass such an IP address off to a remote attacker, limiting the feasibility of extracting information on the topology of the localized mobility management domain. It is still possible for an attacker to perform IP address scanning if MAGs and LMAs have globally routable IP addresses, but the much larger IPv6 address space makes scanning considerably more time consuming.
関連の攻撃では、攻撃者は、ローカライズされたモビリティ管理ドメイン内のLMAまたは異なるネットワークエンティティのグローバルにルーティング可能なIPアドレスを取得するために管理し、そのIPアドレスに対するサービス拒否攻撃をperpetrates。モバイルノードが局所モビリティ管理ドメイン内の任意のエンティティのグローバルにルーティング可能なIPアドレスを取得することはありません必要があるため、局所モビリティ管理は、一般的には、このような攻撃にやや抵抗力があります。従って、危険にさらされたモバイルノードは、局所的モビリティ管理ドメインのトポロジ情報を抽出する可能性を制限し、リモートの攻撃者にオフIPアドレスを渡すことはできません。 MAGとのLMAは、グローバルにルーティング可能なIPアドレスを持っている場合、攻撃者は、IPアドレスのスキャンを実行することが、はるかに大きいIPv6アドレス空間を消費スキャンかなり多くの時間を作ることはまだ可能です。
This document describes threats to network-based localized mobility management. These may either occur on the interface between an LMA and a MAG, or on the interface between a MAG and a mobile node. Mitigation measures for the threats, as well as the security considerations associated with those measures, are described in the respective protocol specifications [3][8] for the two interfaces.
この文書では、ネットワークベースのローカライズされたモビリティ管理に対する脅威について説明します。これらは、LMAとMAGとの間の界面に、またはMAGとモバイルノードとの間の界面に発生する可能性がいずれか。脅威緩和策、ならびに、これらの措置に関連したセキュリティ上の考慮事項は、それぞれのプロトコル仕様に記載されている[3] [8]二つのインタフェースのために。
The authors would like to thank the NETLMM working group, especially Jari Arkko, Charles Clancy, Gregory Daley, Vijay Devarapalli, Lakshminath Dondeti, Gerardo Giaretta, Wassim Haddad, Andy Huang, Dirk von Hugo, Julien Laganier, Henrik Levkowetz, Vidya Narayanan, Phil Roberts, and Pekka Savola (in alphabetical order) for valuable comments and suggestions regarding this document.
著者は、特にヤリArkko、チャールズ・クランシー、グレゴリー・デイリー、ビジェイDevarapalli、Lakshminath Dondeti、ヘラルド・Giaretta、ワッシムハダッド、アンディ黄、ディルク・フォン・ヒューゴ、ジュリアンLaganier、ヘンリクLevkowetz、Vidyaナラヤナン、フィルをNETLMMワーキンググループに感謝したいと思いますロバーツ、この文書に関する貴重なコメントや提案についてペッカSavola(アルファベット順)。
[1] Kempf, J., Ed., "Problem Statement for Network-Based Localized Mobility Management", RFC 4830, April 2007.
[1]ケンプ、J.、エド。、 "ネットワークベース局所モビリティ管理の問題文"、RFC 4830、2007年4月。
[2] Manner, J. and M. Kojo, "Mobility Related Terminology", RFC 3753, June 2004.
[2]のようにして、J.とM.古城、 "モビリティ関連用語"、RFC 3753、2004年6月。
[3] Levkowetz, H., Ed., "The NetLMM Protocol", Work in Progress, October 2006.
[3] Levkowetz、H.、エド。、 "のNetLMMプロトコル"、進歩、2006年10月に作業します。
[4] Nikander, P., Kempf, J., and E. Nordmark, "IPv6 Neighbor Discovery (ND) Trust Models and Threats", RFC 3756, May 2004.
[4] Nikander、P.、ケンプ、J.、およびE. Nordmarkと、 "IPv6近隣探索(ND)信頼モデルと脅威"、RFC 3756、2004年5月。
[5] Arkko, J., Kempf, J., Zill, B., and P. Nikander, "SEcure Neighbor Discovery (SEND)", RFC 3971, March 2005.
[5] Arkko、J.、ケンプ、J.、Zill、B.、およびP. Nikanderを、 "セキュア近隣探索(SEND)"、RFC 3971、2005年3月。
[6] CERT Coordination Center, "CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks", September 1996.
[6] CERT Coordination Centerは、 "CERT勧告CA-1996から1921 TCP SYNフラッドとIPスプーフィング攻撃"、1996年9月。
[7] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[7]ファーガソン、P.およびD. Senie、 "ネットワーク入力フィルタリング:IP Source Address Spoofingを使うサービス拒否攻撃を破り"、BCP 38、RFC 2827、2000年5月。
[8] Laganier, J., Narayanan, S., and F. Templin, "Network-based Localized Mobility Management Interface between Mobile Node and Access Router", Work in Progress, June 2006.
[8] Laganier、J.、ナラヤナン、S.、およびF.テンプリン、「ネットワーク・ベースのモバイルノードとアクセスルータ間の局所モビリティ管理インターフェース」、進歩、2006年6月での作業。
Authors' Addresses
著者のアドレス
Christian Vogt Institute of Telematics Universitaet Karlsruhe (TH) P.O. Box 6980 76128 Karlsruhe Germany
カールスルーエのテレマティクス大学のクリスチャン・フォークト研究所(TH)、P。ボックス6980 76128カールスルーエドイツ
EMail: chvogt@tm.uka.de
メールアドレス:chvogt@tm.uka.de
James Kempf DoCoMo USA Labs 3240 Hillview Avenue Palo Alto, CA 94304 USA
ジェームズ・ケンプドコモUSA研究所3240ヒルビュー・アベニューパロアルト、CA 94304 USA
EMail: kempf@docomolabs-usa.com
メールアドレス:kempf@docomolabs-usa.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。