15.7. Туннелирование через домашнего агента
Туннели между мобильным узлом и домашним агентом могут быть защищены путем обеспечения надлежащего использования адресов источников и дополнительной криптографической защиты. Эти процедуры обсуждаются в разд. 5.5.
Сообщения Binding Update, посылаемые домашним агентам, защищены. При приеме туннелированного трафика домашний агент проверяет, что внешний IP-адрес соответствует текущему местоположению мобильного узла. Это действует как слабая форма защиты от подделывания пакетов, которые выглядят так, как будто они прибыли от мобильного узла. Это очень полезно, если между мобильным узлом и узлом-корреспондентом не применяется система сквозной безопасности. Проверка внешнего IP-адреса предотвращает атаки, когда злоумышленник контролируется входной фильтрацией. Она предотвращает также атаки, когда злоумышленник не знает текущего временного адреса мобильного узла. Злоумышленники, знающие временный адрес и не контролируемые входной фильтрацией, могут все еще посылать трафик через домашнего агента. Это включает злоумышленников, находящихся на том же самом локальном линке, на котором работает в текущий момент мобильный узел. Но такие злоумышленники могут в любом случае без атаки на туннель посылать пакеты, которые выглядят как пришедшие от мобильного узла; злоумышленник может просто посылать пакеты с адресом источника, совпадающим с домашним адресом мобильного узла. Однако такая атака не работает, если конечное место назначения пакета находится в домашней сети, и для пакетов, посылаемых на эти места назначения, применяется некоторая форма защиты периметра. В этих случаях рекомендуется, чтобы применялись либо система сквозной безопасности, либо дополнительная защита туннеля, как это обычно бывает в ситуациях с удаленным доступом.
Домашние агенты и мобильные узлы для защиты пакетов полезных данных, туннелируемых между ними, могут использовать IPsec ESP. Это полезно для защиты обменов информацией от злоумышленников, находящихся на пути туннеля.
Когда используются «локальные для сайта» домашние адреса, для посылки локального для сайта трафика из другого местоположения может использоваться обратное туннелирование. Об этом должны быть осведомлены администраторы, когда они позволяют использовать такие домашние адреса. В частности, описанной выше проверки внешнего IP-адреса для защиты от всех злоумышленников не достаточно. Использование зашифрованных туннелей особенно полезно для этого вида домашних адресов.