10.4.5. Обработка пакетов, туннелируемых в обратном направлении
Трафик от мобильного узла узлу-корреспонденту идет через обратный туннель, если только между мобильным узлом и узлом-корреспондентом не установлена привязка. Домашние агенты должны (MUST) поддерживать туннелирование в обратном направлении следующим образом:
- Туннелируемый трафик прибывает на адрес домашнего агента с использованием IPv6-инкапсуляции [15].
- В зависимости от используемой домашним агентом политики безопасности туннелируемые в обратном направлении пакеты могут (MAY) быть отброшены, если не сопровождаются правомерным заголовком ESP. Поддержка аутентифицированного туннелирования в обратном направлении позволяет домашнему агенту защитить домашнюю сеть и узлы-корреспонденты от злонамеренных узлов, маскирующихся под мобильный узел.
- В противном случае, когда домашний агент декапсулирует туннелированный от мобильного узла пакет, он должен (MUST) проверить, что адрес источника в туннельном IP-заголовке является основным временным адресом мобильного узла. В противном случае, любой узел в Internet мог бы посылать трафик через домашнего агента и избежать ограничений входной фильтрации. Эта простая проверка вынуждает злоумышленника знать текущее местоположение реального мобильного узла и быть способным преодолеть входную фильтрацию. Такая проверка не является обязательной, если туннелируемый в обратном направлении пакет защищен ESP в туннельном режиме.