15.4.3. Сравнение с обычными обменами информацией по IPv6
В данном разделе обсуждается защита, предоставляемая методом обратной маршрутизируемости, путем его сравнения с системой безопасности обычного обмена информацией по IPv6. Мы разделим уязвимости на три класса: (1) связанные со злоумышленниками, находящимися в локальной сети мобильного узла, домашнего агента или узла-корреспондента, (2) связанные со злоумышленниками, находящимися на пути между домашней сетью и узлом-корреспондентом, и (3) связанные со злоумышленниками, находящимися вне этого пути, т.е. в оставшейся части Internet.
Теперь мы обсудим уязвимости обычного обмена информацией по IPv6. Уязвимости обмена информацией по IPv6 на линке включают атаки типа «отказ в обслуживании», «маскарад» (Masquerading), «человек посередине», «перехват сообщений» и другие атаки. Эти атаки могут быть реализованы путем подделывания сообщений Router Discovery, Neighbor Discovery и других механизмов IPv6. Некоторые из этих атак могут быть предотвращены путем использования в пакетах криптографической защиты.
Подобная ситуация существует и со злоумышленниками, находящимися на пути пакетов. А именно, без криптографической защиты трафик является чрезвычайно уязвимым.
Если предположить, что злоумышленники не проникают сквозь систему безопасности протоколов маршрутизации Internet, то атаки с мест, находящихся вне пути пакетов, создать значительно сложнее. Атаки, которые можно запустить с этих мест, в основном являются атаками типа «отказ в обслуживании», такие как «затопление» и/или атаки типа «отражение». Злоумышленник, находящийся вне пути пакетов, не может стать «человеком посередине».
Далее мы рассмотрим уязвимости, которые существуют, когда IPv6 используется совместно с MIPv6 и процедурой обратной маршрутизируемости. На локальном линке уязвимости те же, что и в IPv6, но теперь атаки типа «маскарад» и «человек посередине» могут запускаться также против будущих обменов информацией. Если обновление привязки было послано, когда злоумышленник присутствовал на линке, его следствие сохраняется в течение времени жизни привязки. Это происходит даже в том случае, когда злоумышленник уходит с линка. В отличие от рассмотренной ситуации, злоумышленник, который использует только простой IPv6, чтобы продолжить атаку, как правило, должен оставаться на линке. Заметим, что чтобы запустить эти новые атаки, должен быть известен IP-адрес жертвы. Это делает такую атаку реальной в основном в контексте хорошо известных идентификаторов интерфейсов, таких как те, которые уже появлялись в трафике на линке или регистрировались в DNS.
Злоумышленники, находящиеся на пути пакетов, могут воспользоваться подобными уязвимостями, как и в обычной IPv6. Однако имеются несколько небольших отличий. Атаки типа «маскарад», «человек посередине» и «отказ в обслуживании» могут запускаться даже при перехвате нескольких пакетов, в то время как в обычной IPv6 необходимо перехватывать каждый пакет. Однако, независимо от метода, последствия от атак остаются теми же. В любом случае, наиболее сложной задачей, с которой сталкивается злоумышленник при реализации этих атак, является получение доступа к правильному пути.
Уязвимости для злоумышленников, находящихся вне пути, те же, что и обычном IPv6. Те узлы, которые не находятся на пути между домашним агентом и узлом-корреспондентом, не способны получать сообщения с образцами домашнего адреса.
В заключение мы можем констатировать следующие основные результаты этого сравнения:
- Процедура обратной маршрутизируемости предотвращает проведение любых атак со стороны находящихся вне пути узлов, сверх тех атак, которые и так возможны в обычном IPv6. Это наиболее важный результат, который препятствует злоумышленникам из Internet использовать какие-либо уязвимости.
- Уязвимости для злоумышленников, находящихся на линке домашнего агента, линке узла-корреспондента, или на пути между ними примерно те же, что и в обычном IPv6.
- Однако имеется одно отличие, заключающееся в том, что в основном IPv6 находящийся на пути пакетов злоумышленник должен постоянно присутствовать на линке или на этом пути, в то время как при использовании мобильного IPv6 злоумышленник может отправить привязку позже, после того, как он их покинет.
По этой причине данная спецификация ограничивает создание привязок самое большее MAX_RR_BINDING_LIFETIME секундами после того, как была выполнена последняя проверка маршрутизируемости, и ограничивает жизнь привязки самое большее MAX_RR_BINDING_LIFETIME секундами. При таких ограничениях злоумышленники не могут пулучить практические преимущества от этой уязвимости.
Имеется также несколько других небольших отличий, например, последствия от уязвимостей типа «отказ в обслуживании». Они могут рассматриваться как несущественные.
Обычно путь между домашним агентом и узлом-корреспондентом проще всего атаковать со стороны линков любого из концов связи, в частности, если эти линки представляют собой беспроводные ЛВС общего пользования.
Атаки на маршрутизаторы или коммутаторы, находящиеся на этом пути, реализовать обычно труднее. Поэтому система безопасности линков уровня 2 играет главную роль в результирующей общей системе безопасности сети. Подобным образом, на этих линках имеет огромное значение безопасность протоколов IPv6 Neighbor Discovery и Router Discovery. Если с помощью каких-либо новых технологий в будущем они будут сделаны безопасными, это могло бы изменить ситуацию, касающуюся наиболее простого места для атаки.
Более глубокое обсуждение этих проблем см. в [32].