[要約] RFC 4832は、ネットワークベースのローカライズドモビリティ管理(NETLMM)におけるセキュリティ脅威についての要約です。このRFCの目的は、NETLMMのセキュリティ上の問題を特定し、それに対する対策を提案することです。
Network Working Group C. Vogt
Request for Comments: 4832 Universitaet Karlsruhe (TH)
Category: Informational J. Kempf
DoCoMo USA Labs
April 2007
Security Threats to Network-Based Localized Mobility Management (NETLMM)
ネットワークベースのローカライズされたモビリティ管理に対するセキュリティの脅威(NetLMM)
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
Abstract
概要
This document discusses security threats to network-based localized mobility management. Threats may occur on two interfaces: the interface between a localized mobility anchor and a mobile access gateway, as well as the interface between a mobile access gateway and a mobile node. Threats to the former interface impact the localized mobility management protocol itself.
このドキュメントでは、ネットワークベースのローカライズされたモビリティ管理に対するセキュリティの脅威について説明します。脅威は、ローカライズされたモビリティアンカーとモバイルアクセスゲートウェイの間のインターフェイスと、モバイルアクセスゲートウェイとモバイルノードの間のインターフェイスの2つのインターフェイスで発生する場合があります。前のインターフェイスに対する脅威は、ローカライズされたモビリティ管理プロトコル自体に影響します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 3
2. Threats to Interface between LMA and MAG . . . . . . . . . . . 3
2.1. LMA Compromise or Impersonation . . . . . . . . . . . . . 3
2.2. MAG Compromise or Impersonation . . . . . . . . . . . . . 4
2.3. Man-in-the-Middle Attack . . . . . . . . . . . . . . . . . 6
3. Threats to Interface between MAG and Mobile Node . . . . . . . 6
3.1. Mobile Node Compromise or Impersonation . . . . . . . . . 7
3.2. Man-in-the-Middle Attack . . . . . . . . . . . . . . . . . 9
4. Threats from the Internet . . . . . . . . . . . . . . . . . . 9
5. Security Considerations . . . . . . . . . . . . . . . . . . . 10
6. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 10
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1. Normative References . . . . . . . . . . . . . . . . . . . 10
7.2. Informative References . . . . . . . . . . . . . . . . . . 10
The network-based localized mobility management (NETLMM) architecture [1] supports movement of IPv6 mobile nodes locally within a domain without requiring mobility support in the mobile nodes' network stacks. A mobile node can keep its IP address constant as it moves from link to link, avoiding the signaling overhead and latency associated with changing the IP address. Software specifically for localized mobility management is not required on the mobile node, whereas IP-layer movement detection software may be necessary, and driver software for link-layer mobility is prerequisite.
ネットワークベースのローカライズされたモビリティ管理(NETLMM)アーキテクチャ[1]は、モバイルノードのネットワークスタックでモビリティサポートを必要とせずに、ドメイン内のIPv6モバイルノードの局所的な動きをサポートします。モバイルノードは、IPアドレスがリンクからリンクに移動するときに一定に保つことができ、IPアドレスの変更に関連する信号のオーバーヘッドと遅延を回避できます。モバイルノードではローカライズされたモビリティ管理専用のソフトウェアは必要ありませんが、IP層の移動検出ソフトウェアが必要になる場合があり、リンク層モビリティ用のドライバーソフトウェアは前提条件です。
The IP addresses of mobile nodes have a prefix that routes to a localized mobility anchor (LMA) [3]. The LMA maintains an individual route for each registered mobile node. Any particular mobile node's route terminates at a mobile access gateway (MAG) [3], to which the mobile node attaches at its current access link. MAGs are responsible for updating the mobile node's route on the LMA as the mobile node moves. A MAG detects the arrival of a mobile node on its local access link based on handoff signaling that the mobile node pursues. The MAG may additionally monitor connectivity of the mobile node in order to recognize when the mobile node has left the local access link. The localized mobility management architecture therefore has two interfaces:
モバイルノードのIPアドレスには、ローカライズされたモビリティアンカー(LMA)にルーティングするプレフィックスがあります[3]。LMAは、登録されたモバイルノードごとに個別のルートを維持します。特定のモバイルノードのルートは、モバイルアクセスゲートウェイ(MAG)[3]で終了し、モバイルノードが現在のアクセスリンクで添付します。MAGSは、モバイルノードが移動するにつれて、LMA上のモバイルノードのルートを更新する責任があります。MAGは、モバイルノードが追求するハンドオフシグナルに基づいて、ローカルアクセスリンクにモバイルノードの到着を検出します。MAGは、モバイルノードがローカルアクセスリンクを離れた時期を認識するために、モバイルノードの接続性をさらに監視する場合があります。したがって、ローカライズされたモビリティ管理アーキテクチャには2つのインターフェイスがあります。
1. The interface between a MAG and an LMA where route update signaling occurs.
1. ルート更新シグナリングが発生するMAGとLMAの間のインターフェイス。
2. The interface between a mobile node and its current MAG where handoff signaling and other link maintenance signaling occur.
2. モバイルノードと、ハンドオフシグナリングとその他のリンクメンテナンスシグナル伝達が発生する現在のMAGとの間のインターフェイス。
The localized mobility management architecture demands no specific protocol for a MAG to detect the arrival or departure of mobile nodes to and from its local access link and accordingly initiate route update signaling with an LMA. An appropriate mechanism may be entirely implemented at the link layer, such as is common for cellular networks. In that case, the IP layer never detects any movement, even when a mobile node moves from one link to another handled by a different MAG. If the link layer does not provide the necessary functionality, the mobile node must perform IP-layer movement detection and auto-configuration signaling, thereby providing the trigger for the MAG to update its route on the LMA. A mobile node identity, established by the localized mobility management domain when the mobile node initially connects and authenticates, enables the MAG to ascribe the decisive link- or IP-layer signaling to the correct mobile node. Some wireless access technologies may require the mobile node identity to be reestablished on every link-layer handoff.
ローカライズされたモビリティ管理アーキテクチャには、MAGの特定のプロトコルは、ローカルアクセスリンクとの間のモバイルノードの到着または出発を検出し、それに応じてLMAとのルート更新シグナリングを開始します。適切なメカニズムは、セルラーネットワークに共通するなど、リンクレイヤーに完全に実装される場合があります。その場合、モバイルノードが1つのリンクから別のマグによって処理された別のリンクに移動する場合でも、IPレイヤーは動きを検出しません。リンクレイヤーが必要な機能を提供しない場合、モバイルノードはIP層の移動検出と自動構成シグナルを実行する必要があり、それにより、MAGがLMAのルートを更新するトリガーを提供する必要があります。モバイルノードが最初に接続および認証するときにローカライズされたモビリティ管理ドメインによって確立されたモバイルノードIDは、MAGが決定的なリンクまたはIP層シグナリングを正しいモバイルノードに帰することを可能にします。一部のワイヤレスアクセステクノロジーでは、すべてのリンク層ハンドオフでモバイルノードのIDを再確立する必要がある場合があります。
Vulnerabilities in either interface of the localized mobility management architecture may entail new security threats that go beyond those that already exist in IPv6. Potential attack objectives may be to consume network services at the cost of a legitimate mobile node, interpose in a mobile node's communications and possibly impersonate the mobile node from a position off-link, operate under the disguise of a false or non-existing identity, or cause denial of service to a mobile node or to the localized mobility management domain as a whole. This document identifies and discusses security threats on both interfaces of the localized mobility management architecture. It is limited to threats that are peculiar to localized mobility management; threats to IPv6 in general are documented in [4].
ローカライズされたモビリティ管理アーキテクチャのいずれかのインターフェースの脆弱性には、IPv6に既に存在するものを超える新しいセキュリティの脅威が必要になる場合があります。潜在的な攻撃の目的は、正当なモバイルノードを犠牲にしてネットワークサービスを消費し、モバイルノードの通信に干渉し、モバイルノードにオフリンクからの位置になりすまし、誤ったまたは存在しないアイデンティティの変装の下で動作することです。または、モバイルノードまたはローカライズされたモビリティ管理ドメイン全体にサービスの拒否を引き起こします。このドキュメントでは、ローカライズされたモビリティ管理アーキテクチャの両方のインターフェイスでセキュリティの脅威を特定して説明します。これは、ローカライズされたモビリティ管理に特有の脅威に限定されています。一般にIPv6に対する脅威は[4]に記録されています。
The terminology in this document follows the definitions in [2], with those revisions and additions from [1]. In addition, the following definition is used:
このドキュメントの用語は、[2]の定義に従って、[1]の改訂と追加を使用します。さらに、次の定義が使用されます。
Mobile Node Identity
モバイルノードID
An identity established for the mobile node when initially connecting to the localized mobility management domain. It allows the localized mobility management domain to definitively and unambiguously identify the mobile node upon handoff for route update signaling purposes. The mobile node identity is conceptually independent of the mobile node's IP or link-layer addresses, but it must be securely bound to the mobile node's handoff signaling.
ローカライズされたモビリティ管理ドメインに最初に接続するときに、モバイルノード用に確立されたアイデンティティ。ローカライズされたモビリティ管理ドメインは、ルートアップデートのシグナリングの目的でハンドオフ時にモバイルノードを明確かつ明確に識別することができます。モバイルノードのアイデンティティは、モバイルノードのIPまたはリンク層アドレスから概念的に独立していますが、モバイルノードのハンドオフシグナリングにしっかりとバインドする必要があります。
The localized mobility management protocol executed on the interface between an LMA and a MAG serves to establish, update, and tear down routes for data plane traffic of mobile nodes. Threats to this interface can be separated into compromise or impersonation of a legitimate LMA, compromise or impersonation of a legitimate MAG, and man-in-the-middle attacks.
LMAとMAGの間のインターフェイスで実行されたローカライズされたモビリティ管理プロトコルは、モバイルノードのデータプレーントラフィックのためにルートを確立、更新、取り壊すのに役立ちます。このインターフェイスに対する脅威は、合法的なLMAの妥協またはなりすまし、合法的な雑誌の妥協またはなりすまし、および中間の攻撃に分離できます。
A compromised LMA can ignore route updates from a legitimate MAG in order to deny service to a mobile node. It may also be able to trick a legitimate MAG into creating a new, incorrect route, thereby preparing the MAG to receive redirected traffic of a mobile node; it may cause the traffic forwarded by a MAG to be redirected to a different LMA; or it may simply have the MAG drop an existing route in order to deny the mobile node service. Since data plane traffic for mobile nodes routes through the LMA, a compromised LMA can also intercept, inspect, modify, or drop such traffic, or redirect it to a destination in collusion with the attacker. The attack can be conducted transiently to selectively disable traffic for any particular mobile node or MAG at particular times.
侵害されたLMAは、モバイルノードへのサービスを拒否するために、合法的な雑誌からのルートの更新を無視できます。また、合法的な雑誌をだまして、新しい誤ったルートを作成して、モバイルノードのリダイレクトトラフィックを受信するために雑誌を準備できる場合があります。雑誌によって転送されるトラフィックが別のLMAにリダイレクトされる可能性があります。または、モバイルノードサービスを拒否するために、MAGが既存のルートをドロップするだけです。モバイルノードのデータプレーントラフィックはLMAを介してルーティングするため、侵害されたLMAは、そのようなトラフィックを傍受、検査、変更、またはドロップするか、攻撃者と共謀して目的地にリダイレクトすることもできます。攻撃は一時的に実施して、特定のモバイルノードまたはMAGのトラフィックを特定の時間に選択的に無効にすることができます。
Moreover, a compromised LMA may manipulate its routing table such that all packets are directed towards a single MAG. This may result in a denial-of-service attack against that MAG and its attached access link.
さらに、侵害されたLMAは、すべてのパケットが単一の雑誌に向けられるように、ルーティングテーブルを操作する可能性があります。これにより、その雑誌とその添付のアクセスリンクに対するサービス拒否攻撃が発生する可能性があります。
These threats also emanate from an attacker which tricks a MAG into believing that it is a legitimate LMA. This attacker can cause the MAG to conduct route update signaling with the attacker instead of with the legitimate LMA, enabling it to ignore route updates from the MAG, or induce incorrect route changes at the MAG as described above, in order to redirect or deny a mobile node's traffic. The attacker does not necessarily have to be on the original control plane path between the legitimate LMA and the MAG, provided that it can somehow make its presence known to the MAG. Failure to mutually authenticate when establishing an association between an LMA and a MAG would allow an attacker to establish itself as a rogue LMA.
これらの脅威は、攻撃者からも発生し、雑誌をだまして正当なLMAであると信じるようになります。この攻撃者は、MAGが正当なLMAではなく攻撃者とのルート更新信号を実施し、MAGからのルートの更新を無視したり、上記のようにMAGで誤ったルートの変更を誘発したりすることができるようにします。モバイルノードのトラフィック。攻撃者は、正当なLMAとMAGの間の元のコントロールプレーンパスにいる必要はありません。LMAとMAGの間に関連性を確立するときに相互に認証できないと、攻撃者が不正なLMAとしての地位を確立することができます。
The attacker may further be able to intercept, inspect, modify, drop, or redirect data plane traffic to and from a mobile node. This is obvious if the attacker is on the original data plane path between the legitimate LMA and the mobile node's current MAG, which may happen independently of whether the attacker is on the original control plane path. If the attacker is not on this path, it may be able to leverage the localized mobility management protocol to redefine the prefix that the mobile node uses in IP address configuration. The attacker can then specify a prefix that routes to itself. Whether or not outgoing data plane packets sourced by the mobile node can be interfered with by an attacker off the original data plane path depends on the specific data plane forwarding mechanism within the localized mobility management domain. For example, if IP-in-IP encapsulation or an equivalent approach is used for outbound data plane packets, the packets can be forced to be routed through the attacker. On the other hand, standard IP routing may cause the packets to be relayed via a legitimate LMA and hence to circumvent the attacker.
攻撃者は、モバイルノードとの間でデータプレーントラフィックを傍受、検査、変更、ドロップ、またはリダイレクトすることができる場合があります。これは、攻撃者が正当なLMAとモバイルノードの現在のMAGの間の元のデータプレーンパスにいる場合、これは明らかです。攻撃者がこのパスにいない場合、ローカライズされたモビリティ管理プロトコルを活用して、モバイルノードがIPアドレス構成で使用するプレフィックスを再定義できる場合があります。攻撃者は、それ自体にルーティングするプレフィックスを指定できます。モバイルノードによって供給された発信データプレーンパケットが、元のデータプレーンパスから攻撃者が干渉できるかどうかは、ローカライズされたモビリティ管理ドメイン内の特定のデータプレーン転送メカニズムに依存します。たとえば、IP-in-IPカプセル化または同等のアプローチがアウトバウンドデータプレーンパケットに使用される場合、パケットは攻撃者を介してルーティングすることを余儀なくされます。一方、標準のIPルーティングにより、パケットが正当なLMAを介して中継され、攻撃者を回避する可能性があります。
A compromised MAG can redirect a mobile node's traffic onto its local access link arbitrarily, without authorization from the mobile node. This threat is similar to an attack on a typical routing protocol where a malicious stub router injects a bogus host route for the mobile node. In general, forgery of a subnet prefix in link state or distance vector routing protocols requires support of multiple routers in order to obtain a meaningful change in forwarding behavior. But a bogus host route is likely to take precedence over the routing information advertised by legitimate routers, which is usually less specific; hence, the attack should succeed even if the attacker is not supported by other routers. A difference between redirection in a routing protocol and redirection in localized mobility management is that the former impacts the routing tables of multiple routers, whereas the latter involves only the compromised MAG and an LMA.
侵害されたMAGは、モバイルノードからの許可なしに、モバイルノードのトラフィックをローカルアクセスリンクに任意にリダイレクトできます。この脅威は、悪意のあるスタブルーターがモバイルノードの偽のホストルートを注入する典型的なルーティングプロトコルへの攻撃に似ています。一般に、リンク状態または距離ベクトルルーティングプロトコルのサブネットプレフィックスの偽造には、転送動作の意味のある変化を得るために複数のルーターのサポートが必要です。しかし、偽のホストルートは、通常は具体的ではない正当なルーターによって宣伝されているルーティング情報よりも優先される可能性があります。したがって、攻撃者が他のルーターによってサポートされていなくても、攻撃は成功するはずです。ルーティングプロトコルのリダイレクトとローカライズされたモビリティ管理におけるリダイレクトの違いは、前者が複数のルーターのルーティングテーブルに影響を与えるのに対し、後者は侵害されたMAGとLMAのみを伴うことです。
Moreover, a compromised MAG can ignore the presence of a mobile node on its local access link and refrain from registering the mobile node at an LMA. The mobile node then loses its traffic. The compromised MAG may further be able to cause interruption to a mobile node by deregistering the mobile node at the serving LMA, pretending that the mobile node has powered down. The mobile node then needs to reinitiate the network access authentication procedure, which the compromised MAG may prevent repeatedly until the mobile node moves to a different MAG. The mobile node should be able to handle this situation, but the recovery process may be lengthy and hence impair ongoing communication sessions to a significant extent.
さらに、侵害されたMAGは、ローカルアクセスリンクでのモバイルノードの存在を無視し、LMAでモバイルノードの登録を控えることができます。その後、モバイルノードはトラフィックを失います。侵害されたMAGは、サービングLMAのモバイルノードを登録することにより、モバイルノードにモバイルノードに中断を引き起こす可能性があり、モバイルノードの電源が下がっているふりをしている可能性があります。モバイルノードは、ネットワークアクセス認証手順を再現する必要があります。これは、モバイルノードが異なるMAGに移動するまで、侵害されたMAGが繰り返し防止する可能性があります。モバイルノードはこの状況を処理できるはずですが、回復プロセスは長くなる可能性があるため、継続的な通信セッションが大幅に減少します。
Denial of service against an LMA is another threat of MAG subversion. The compromised MAG can trick an LMA into believing that a high number of mobile nodes have attached to the MAG. The LMA will then establish a routing table entry for each of the non-existing mobile nodes. The unexpected growth of the routing table may eventually cause the LMA to reject legitimate route update requests. It may also decrease the forwarding speed for data plane packets due to higher route lookup latencies, and it may, for the same reason, slow down the responsiveness to control plane packets. Another adverse side effect of a high number of routing table entries is that the LMA, and hence the localized mobility management domain as a whole, becomes more susceptible to flooding packets from external attackers (see Section 4). The high number of superfluous routes increase the probability that a flooding packet, sent to a random IP address within the localized mobility management domain, matches an existing routing table entry at the LMA and gets tunneled to a MAG, which in turn performs address resolution on the local access link. At the same time, fewer flooding packets can be dropped directly at the LMA on the basis of a nonexistent routing table entry.
LMAに対するサービスの拒否は、Mag Subversionのもう1つの脅威です。侵害された雑誌は、LMAをだまして、多数のモバイルノードがMAGに取り付けられていると信じることができます。その後、LMAは、存在しない各モバイルノードのルーティングテーブルエントリを確立します。ルーティングテーブルの予期しない成長により、最終的にLMAが合法的なルート更新リクエストを拒否する可能性があります。また、ルートルートルックアップレイテンシーが高いため、データプレーンパケットの転送速度を低下させる可能性があり、同じ理由で、コントロールプレーンパケットに対する応答性を遅くすることができます。多数のルーティングテーブルエントリのもう1つの不利な副作用は、LMA、したがってローカライズされたモビリティ管理ドメイン全体が、外部攻撃者からの洪水パケットの影響を受けやすくなることです(セクション4を参照)。余分なルートの数が多いため、ローカライズされたモビリティ管理ドメイン内のランダムなIPアドレスに送信される洪水パケットがLMAの既存のルーティングテーブルエントリと一致し、雑誌にトンネルを取得する確率が増加し、次にアドレス解像度を実行します。ローカルアクセスリンク。同時に、存在しないルーティングテーブルエントリに基づいて、LMAで直接ドロップできる洪水パケットは少なくなります。
All of these threats apply not just to a compromised MAG, but also to an attacker that manages to counterfeit the identity of a legitimate MAG in interacting with both mobile nodes and an LMA. Such an attacker can behave towards mobile nodes like an authorized MAG and engage an LMA in route update signaling. In a related attack, the perpetrator eavesdrops on signaling packets exchanged between a legitimate MAG and an LMA, and replays these packets at a later time. These attacks may be conducted transiently, to selectively disable traffic for any particular mobile node at particular times.
これらの脅威はすべて、侵害された雑誌だけでなく、モバイルノードとLMAの両方と相互作用する際に合法的な雑誌のアイデンティティを偽造することができた攻撃者にも当てはまります。このような攻撃者は、承認されたMAGのようなモバイルノードに向かって振る舞い、ルートアップデートシグナリングでLMAに関与することができます。関連する攻撃では、合法的な雑誌とLMAの間で交換されたシグナリングパケットを盗聴し、後でこれらのパケットを再生します。これらの攻撃は、特定のモバイルノードのトラフィックを特定の時間に選択的に無効にするために、一時的に実施できます。
An attacker that manages to interject itself between a legitimate LMA and a legitimate MAG can act as a man in the middle with respect to both control plane signaling and data plane traffic. If the attacker is on the original control plane path, it can forge, modify, or drop route update packets so as to cause the establishment of incorrect routes or the removal of routes that are in active use. Similarly, an attacker on the original data plane path can intercept, inspect, modify, drop, and redirect data plane packets sourced by or destined to a mobile node.
正当なLMAと正当な雑誌の間に自分自身を介入することができた攻撃者は、コントロールプレーンのシグナリングとデータプレーントラフィックの両方に関して、中央の男性として機能することができます。攻撃者が元のコントロールプレーンパスにある場合、誤ったルートの確立またはアクティブ使用のルートの除去を引き起こすように、ルート更新パケットを鍛造、変更、またはドロップできます。同様に、元のデータプレーンパスの攻撃者は、モバイルノードによって供給または運命づけられたデータプレーンパケットを傍受、検査、変更、ドロップ、およびリダイレクトできます。
A compromised switch or router located between an LMA and a MAG can cause similar damage. Any switch or router on the control plane path can forge, modify, or drop control plane packets, and thereby interfere with route establishment. Any switch or router on the data plane path can intercept, inspect, modify, and drop data plane packets, or rewrite IP headers so as to divert the packets from their original path.
LMAとMAGの間にある侵害されたスイッチまたはルーターは、同様の損傷を引き起こす可能性があります。コントロールプレーンパス上のスイッチまたはルーターは、制御プレーンパケットを構築、変更、またはドロップすることができ、それによりルートの確立を妨げる可能性があります。データプレーンパス上のスイッチまたはルーターは、データプレーンパケットを傍受、検査、変更、ドロップすることができ、IPヘッダーを元のパスから転用するためにIPヘッダーを書き換えることができます。
An attacker between an LMA and a MAG may further impersonate the MAG towards the LMA, and vice versa in route update signaling. The attacker can interfere with a route establishment even if it is not on the original control plane path between the LMA and the MAG. An attacker off the original data plane path may undertake the same to cause inbound data plane packets destined to the mobile node to be routed first from the LMA to the attacker, then to the mobile node's MAG, and finally to the mobile node itself. As explained in Section 2.1, here, too, it depends on the specific data plane forwarding mechanism within the localized mobility management domain whether or not the attacker can influence the route of outgoing data plane packets sourced by the mobile node.
LMAとMAGの間の攻撃者は、LMAに向かってさらに雑誌を偽装する可能性があり、その逆もルートアップデートシグナリングで同様です。攻撃者は、LMAとMAGの間の元のコントロールプレーンパスにない場合でも、ルートの確立を妨害することができます。元のデータプレーンパスからの攻撃者は、モバイルノードに運命づけられたインバウンドデータプレーンパケットを、最初にLMAから攻撃者に、次にモバイルノードの雑誌に、そして最後にモバイルノード自体にルーティングするために同じことを引き受けることができます。セクション2.1で説明したように、ここでも、攻撃者がモバイルノードによって供給された発信データプレーンパケットのルートに影響を与えることができるかどうか、ローカライズされたモビリティ管理ドメイン内の特定のデータプレーン転送メカニズムに依存します。
A MAG monitors the arrival and departure of mobile nodes to and from its local access link based on link- or IP-layer mechanisms. Whatever signaling on the access link is thereby decisive must be securely bound to the mobile node identity. A MAG uses this binding to ascribe the signaling to the mobile node and accordingly initiate route update signaling with an LMA. The binding must be robust to spoofing because it would otherwise facilitate impersonation of the mobile node by a third party, denial of service, or man-in-the-middle attacks.
MAGは、リンクまたはIP層のメカニズムに基づいて、ローカルアクセスリンクへのモバイルノードの到着と出発を監視します。それにより、アクセスリンクでの信号が何であれ、決定的なものはモバイルノードのIDにしっかりと結合する必要があります。MAGはこのバインディングを使用して、モバイルノードへのシグナリングを帰し、それに応じてLMAを使用したルート更新シグナリングを開始します。サードパーティ、サービスの拒否、または中間攻撃によるモバイルノードのなりすましを促進するため、バインディングはスプーフィングに堅牢でなければなりません。
An attacker that is able to forge the mobile node identity of a mobile node can trick a MAG into redirecting data plane packets for the mobile node to the attacker. The attacker can launch such an impersonation attack against a mobile node that resides on the same link as the attacker, or against a mobile node on a different link. If the attack is on-link, the redirection of packets from the mobile node to the attacker is internal to the MAG, and it involves no route update signaling between the MAG and an LMA. On-link attacks are possible in a regular IPv6 network [4] that does not use Secure Neighbor Discovery [5].
モバイルノードのモバイルノードIDを築くことができる攻撃者は、Magをだまして、攻撃者へのモバイルノードのデータプレーンパケットをリダイレクトすることができます。攻撃者は、攻撃者と同じリンクに存在するモバイルノード、または別のリンクのモバイルノードに対してこのようななりすまし攻撃を開始できます。攻撃がリンクにある場合、モバイルノードから攻撃者へのパケットのリダイレクトはMAGの内部であり、MAGとLMAの間のルートアップデートシグナリングは含まれません。安全な近隣発見[5]を使用しない通常のIPv6ネットワーク[4]では、リンク攻撃が可能です。
Off-link impersonation requires the attacker to fabricate handoff signaling of the mobile node and thus trick the MAG into believing that the mobile node has handed over onto the MAG's access link. The attack is conceivable both if the attacker and the mobile node are on separate links that connect to different MAGs, as well as if they are on separate, possibly virtual per-mobile-node links that connect to the same MAG. In the former case, two MAGs would think they see the mobile node and both would independently perform route update signaling with the LMA. In the latter case, route update signaling is likely to be performed only once, and the redirection of packets from the mobile node to the attacker is internal to the MAG. The mobile node can always recapture its traffic back from the attacker through another run of handoff signaling. But standard mobile nodes are generally not prepared to counteract this kind of attack, and even where network stacks include suitable functionality, the attack may not be noticeable early enough at the link or IP layer to quickly institute countermeasures. The attack is therefore disruptive at a minimum, and may potentially persist until the mobile node initiates signaling again upon a subsequent handoff.
オフリンクのなりすましでは、攻撃者がモバイルノードのハンドオフ信号を製造する必要があり、したがって、雑誌をだまして、モバイルノードが雑誌のアクセスリンクに引き渡されたと信じるようにします。攻撃は、攻撃者とモバイルノードが異なる雑誌に接続する個別のリンクにある場合、およびそれらが同じマグに接続する別々の、場合によっては仮想モバイルノードリンクにある場合に考えられます。前者の場合、2つの雑誌はモバイルノードが表示され、両方がLMAとのルート更新シグナリングを独立して実行すると考えていました。後者の場合、ルート更新シグナリングは一度だけ実行される可能性が高く、モバイルノードから攻撃者へのパケットのリダイレクトはMAGの内部です。モバイルノードは、別のハンドオフシグナル伝達を通じて、攻撃者からトラフィックをいつでも再捕獲できます。しかし、標準のモバイルノードは一般にこの種の攻撃に対抗する準備ができていません。ネットワークスタックに適切な機能が含まれる場合でも、攻撃はリンクまたはIPレイヤーで迅速に対策を制定するのに十分早く目立たない場合があります。したがって、攻撃は少なくとも破壊的であり、モバイルノードがその後のハンドオフ時に再びシグナリングを開始するまで潜在的に持続する可能性があります。
Impersonation attacks can be prevented at the link layer, particularly with cellular technologies where the handoff signaling between the mobile node and the network must be authenticated and is completely controlled by the wireless link layer. Cellular access technologies provide a variety of cryptographic and non-cryptographic attack barriers at the link layer, which makes mounting an impersonation attack, both on-link and off-link, very difficult. However, for non-cellular technologies that do not require link-layer authentication and authorization during handoff, impersonation attacks may be possible.
リンクレイヤーでは、モバイルノードとネットワーク間のハンドオフシグナリングを認証する必要があり、ワイヤレスリンクレイヤーによって完全に制御されるセルラーテクノロジーでは、リンクレイヤーでのなりすまし攻撃を防ぐことができます。Cellular Access Technologiesは、リンクレイヤーでさまざまな暗号化および非暗号化攻撃の障壁を提供するため、リンクとオフリンクの両方でなりすまし攻撃を非常に困難にします。ただし、ハンドオフ中にリンク層認証と承認を必要としない非細胞技術の場合、なりすまし攻撃が可能になる場合があります。
An attacker that can forge handoff signaling may also cause denial of service against the localized mobility management domain. The attacker can trick a MAG into believing that a large number of mobile nodes have attached to the local access link and thus induce it to initiate route update signaling with an LMA for each mobile node assumed on link. The result of such an attack is both superfluous signaling overhead on the control plane as well as a high number of needless entries in the LMA's and MAG's routing tables. The unexpected growth of the routing tables may eventually cause the LMA to reject legitimate route update requests, and it may cause the MAG to ignore handoffs of legitimate mobile nodes onto its local access link. It may also decrease the LMA's and MAG's forwarding speed for inbound and outbound data plane packets due to higher route lookup latencies, and it may for the same reason slow down their responsiveness to control plane packets. An adverse side effect of this attack is that the LMA, and hence the localized mobility management domain as a whole, becomes more susceptible to flooding packets from external attackers (see Section 4). The high number of superfluous routes increases the probability that a flooding packet, sent to a random IP address within the localized mobility management domain, matches an existing routing table entry at the LMA and gets tunneled to a MAG, which in turn performs address resolution on the local access link. At the same time, fewer flooding packets can be dropped directly at the LMA on the basis of a nonexistent routing table entry.
ハンドオフシグナリングを築くことができる攻撃者は、ローカライズされたモビリティ管理ドメインに対してサービスの拒否を引き起こす可能性もあります。攻撃者は、多数のモバイルノードがローカルアクセスリンクに接続されていると信じるように雑誌をだまして、リンクで想定される各モバイルノードのLMAを使用したルート更新シグナルを開始するように誘導することができます。このような攻撃の結果は、コントロールプレーン上のオーバーヘッドとLMAとMAGのルーティングテーブルには多数の不必要なエントリがあります。ルーティングテーブルの予期しない成長により、最終的にLMAが正当なルート更新リクエストを拒否する可能性があり、MAGがローカルアクセスリンクへの合法的なモバイルノードのハンドオフを無視する可能性があります。また、ルートルックアップレイテンシーが高いため、インバウンドおよびアウトバウンドデータプレーンパケットのLMAとMAGの転送速度を低下させる可能性があり、同じ理由でコントロールプレーンパケットに対する応答性を遅くする可能性があります。この攻撃の不利な副作用は、LMA、したがってローカライズされたモビリティ管理ドメイン全体が、外部攻撃者からの洪水パケットの影響を受けやすくなることです(セクション4を参照)。余分なルートの数が多いと、ローカライズされたモビリティ管理ドメイン内のランダムなIPアドレスに送信される洪水パケットがLMAの既存のルーティングテーブルエントリと一致し、MAGにトンネルを取得する確率が増加し、次にアドレス解像度を実行します。ローカルアクセスリンク。同時に、存在しないルーティングテーブルエントリに基づいて、LMAで直接ドロップできる洪水パケットは少なくなります。
A threat related to the ones identified above, but not limited to handoff signaling, is IP spoofing [6]. Attackers use IP spoofing mostly for reflection attacks or to hide their identities. The threat can be reasonably contained by a wide deployment of network ingress filtering [7] in routers, especially within access networks. This technique prevents IP spoofing to the extent that it ensures topological correctness of IP source address prefixes in to-be-forwarded packets. Where the technique is deployed in an access router, packets are forwarded only if the prefix of their IP source address is valid on the router's local access link. An attacker can still use a false interface identifier in combination with an on-link prefix. But since reflection attacks typically aim at off-link targets, and the enforcement of topologically correct IP address prefixes also limits the effectiveness of identity concealment, network ingress filtering has proven adequate so far. On the other hand, prefixes are not limited to a specific link in a localized mobility management domain, so merely ensuring topological correctness through ingress filtering becomes insufficient. An additional mechanism for IP address ownership verification is necessary to prevent an attacker from sending packets with an off-link IP source address.
上で特定されたものに関連する脅威は、ハンドオフシグナル伝達に限定されない脅威は、IPスプーフィングです[6]。攻撃者は、主に反射攻撃やアイデンティティを隠すためにIPスプーフィングを使用します。この脅威は、特にアクセスネットワーク内のルーターでのネットワークイングレスフィルタリング[7]の幅広い展開によって合理的に含まれる可能性があります。この手法は、IPソースアドレスのプレフィックスのトポロジーレクシー性を保証するパケットのトポロジカルな正しさを保証する程度まで、IPスプーフィングを防ぎます。手法がアクセスルーターに展開されている場合、IPソースアドレスのプレフィックスがルーターのローカルアクセスリンクで有効である場合にのみ、パケットが転送されます。攻撃者は、オンリンクプレフィックスと組み合わせて誤ったインターフェイス識別子を使用できます。しかし、反射攻撃は通常、オフリンクのターゲットを目指しており、トポロジー的に正しいIPアドレスプレフィックスの施行はアイデンティティの隠蔽の有効性も制限するため、ネットワークイングレスフィルタリングはこれまで適切であることが証明されています。一方、プレフィックスは、ローカライズされたモビリティ管理ドメインの特定のリンクに限定されないため、侵入フィルタリングを通じてトポロジーの正確性を保証するだけでは不十分です。IPアドレスの所有権検証のための追加のメカニズムは、攻撃者がオフリンクIPソースアドレスでパケットを送信できないようにするために必要です。
An attacker that can interpose between a mobile node and a MAG during link- and/or IP-layer handoff signaling may be able to mount a man-in-the-middle attack on the mobile node, spoofing the mobile node into believing that it has a legitimate connection with the localized mobility management domain. The attacker can thus intercept, inspect, modify, or drop data plane packets sourced by or destined to the mobile node.
リンクおよび/またはIPレイヤーのハンドオフシグナリング中にモバイルノードとMAGの間に干渉できる攻撃者は、モバイルノードに中間の攻撃をマウントし、モバイルノードをスプーフィングしてそれを信じることができる場合があります。ローカライズされたモビリティ管理ドメインと正当なつながりがあります。したがって、攻撃者は、モバイルノードによって調達または運命づけられたデータプレーンパケットを傍受、検査、変更、またはドロップすることができます。
A localized mobility management domain uses individual host routes for data plane traffic of different mobile nodes, each between an LMA and a MAG. Creation, maintenance, and deletion of these routes cause control traffic within the localized mobility management domain. These characteristics are transparent to mobile nodes as well as external correspondent nodes, but the functional differences within the domain may influence the impact that a denial-of-service attack from the outside world can have on the domain.
ローカライズされたモビリティ管理ドメインは、それぞれがLMAとMAGの間の異なるモバイルノードのデータプレーントラフィックに個別のホストルートを使用します。これらのルートの作成、メンテナンス、および削除により、ローカライズされたモビリティ管理ドメイン内の制御トラフィックが発生します。これらの特性は、モバイルノードと外部特派員ノードに対して透明ですが、ドメイン内の機能的な違いは、外界からのサービス拒否攻撃がドメインに与える影響に影響を与える可能性があります。
A denial-of-service attack on an LMA may be launched by sending packets to arbitrary IP addresses that are potentially in use by mobile nodes within the localized mobility management domain. Like a border router, the LMA is in a topological position through which a substantial amount of data plane traffic goes, so it must process the flooding packets and perform a routing table lookup for each of them. The LMA can discard packets for which the IP destination address is not registered in its routing table. But other packets must be encapsulated and forwarded. A target MAG as well as any mobile nodes attached to that MAG's local access link are also likely to suffer damage because the unrequested packets must be decapsulated and consume link bandwidth as well as processing capacities on the receivers. This threat is in principle the same as for denial of service on a regular IPv6 border router, but because the routing table lookups may enable the LMA to drop part of the flooding packets early on or, on the contrary, additional tunneling workload is required for packets that cannot be dropped, the impact of an attack against localized mobility management may be different.
LMAに対するサービス拒否攻撃は、ローカライズされたモビリティ管理ドメイン内のモバイルノードが使用する可能性のある任意のIPアドレスにパケットを送信することにより、起動することができます。ボーダールーターのように、LMAはかなりの量のデータプレーントラフィックが進むトポロジカル位置にあるため、洪水パケットを処理し、それぞれのルーティングテーブル検索を実行する必要があります。LMAは、IP宛先アドレスがルーティングテーブルに登録されていないパケットを破棄できます。ただし、他のパケットをカプセル化して転送する必要があります。ターゲットマグと、そのMAGのローカルアクセスリンクに添付されたモバイルノードも、レシーブの断片化されていないため、リンク帯域幅を消費するだけでなく、レシーバーの容量を処理する必要があるため、損傷を受ける可能性もあります。この脅威は原則として、通常のIPv6ボーダールーターのサービス拒否と同じですが、ルーティングテーブルの検索により、LMAが洪水パケットの一部を早期にドロップできるようにする可能性があるため、または反対に、追加のトンネルワークロードが必要になるため、ドロップできないパケット、ローカライズされたモビリティ管理に対する攻撃の影響は異なる場合があります。
In a related attack, the attacker manages to obtain a globally routable IP address of an LMA or a different network entity within the localized mobility management domain and perpetrates a denial-of-service attack against that IP address. Localized mobility management is, in general, somewhat resistant to such an attack because mobile nodes need never obtain a globally routable IP address of any entity within the localized mobility management domain. Hence, a compromised mobile node cannot pass such an IP address off to a remote attacker, limiting the feasibility of extracting information on the topology of the localized mobility management domain. It is still possible for an attacker to perform IP address scanning if MAGs and LMAs have globally routable IP addresses, but the much larger IPv6 address space makes scanning considerably more time consuming.
関連する攻撃では、攻撃者は、ローカライズされたモビリティ管理ドメイン内のLMAまたは異なるネットワークエンティティのグローバルにルーティング可能なIPアドレスを取得し、そのIPアドレスに対するサービス拒否攻撃を実行します。ローカライズされたモビリティ管理は、一般に、このような攻撃に対してやや耐性があるため、モバイルノードはローカライズされたモビリティ管理ドメイン内のエンティティのグローバルにルーティング可能なIPアドレスを取得する必要はありません。したがって、侵害されたモバイルノードは、そのようなIPアドレスをリモート攻撃者に渡すことができず、ローカライズされたモビリティ管理ドメインのトポロジに関する情報を抽出する可能性を制限することはできません。MAGSとLMAがグローバルにルーティング可能なIPアドレスを持っている場合、攻撃者がIPアドレススキャンを実行することはまだ可能ですが、はるかに大きいIPv6アドレススペースにより、スキャンはかなり時間がかかります。
This document describes threats to network-based localized mobility management. These may either occur on the interface between an LMA and a MAG, or on the interface between a MAG and a mobile node. Mitigation measures for the threats, as well as the security considerations associated with those measures, are described in the respective protocol specifications [3][8] for the two interfaces.
このドキュメントは、ネットワークベースのローカライズされたモビリティ管理に対する脅威について説明しています。これらは、LMAとMAGの間のインターフェース、またはMAGとモバイルノードの間のインターフェイスで発生する場合があります。脅威に対する緩和策、ならびにこれらの測定に関連するセキュリティ上の考慮事項は、2つのインターフェイスのそれぞれのプロトコル仕様[3] [8]で説明されています。
The authors would like to thank the NETLMM working group, especially Jari Arkko, Charles Clancy, Gregory Daley, Vijay Devarapalli, Lakshminath Dondeti, Gerardo Giaretta, Wassim Haddad, Andy Huang, Dirk von Hugo, Julien Laganier, Henrik Levkowetz, Vidya Narayanan, Phil Roberts, and Pekka Savola (in alphabetical order) for valuable comments and suggestions regarding this document.
著者は、Netlmmワーキンググループ、特にJari Arkko、Charles Clancy、Gregory Daley、Vijay Devarapalli、Lakshminath Dondeti、Gerardo Giaretta、Wassim Haddad、Andy Huang、Dirk Von Hugo、Julien Laganier、Henk Levkowetz、Vivyanierこの文書に関する貴重なコメントと提案について、ロバーツ、およびペッカサボラ(アルファベット順)。
[1] Kempf, J., Ed., "Problem Statement for Network-Based Localized Mobility Management", RFC 4830, April 2007.
[1] Kempf、J.、ed。、「ネットワークベースのローカライズされたモビリティ管理の問題ステートメント」、RFC 4830、2007年4月。
[2] Manner, J. and M. Kojo, "Mobility Related Terminology", RFC 3753, June 2004.
[2] Mather、J。およびM. Kojo、「Mobility関連用語」、RFC 3753、2004年6月。
[3] Levkowetz, H., Ed., "The NetLMM Protocol", Work in Progress, October 2006.
[3] Levkowetz、H.、ed。、「The Netlmm Protocol」、2006年10月、進行中の作業。
[4] Nikander, P., Kempf, J., and E. Nordmark, "IPv6 Neighbor Discovery (ND) Trust Models and Threats", RFC 3756, May 2004.
[4] Nikander、P.、Kempf、J。、およびE. Nordmark、「IPv6 Neighbor Discovery(ND)Trustモデルと脅威」、RFC 3756、2004年5月。
[5] Arkko, J., Kempf, J., Zill, B., and P. Nikander, "SEcure Neighbor Discovery (SEND)", RFC 3971, March 2005.
[5] Arkko、J.、Kempf、J.、Zill、B。、およびP. Nikander、「Secure Neighbor Discovery(Send)」、RFC 3971、2005年3月。
[6] CERT Coordination Center, "CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks", September 1996.
[6] 証明書調整センター、「CERT Advisory CA-1996-21 TCP Syn洪水とIPスプーフィング攻撃」、1996年9月。
[7] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[7] Ferguson、P。およびD. Senie、「ネットワークイングレスフィルタリング:IPソースアドレススプーフィングを採用するサービス拒否攻撃の敗北」、BCP 38、RFC 2827、2000年5月。
[8] Laganier, J., Narayanan, S., and F. Templin, "Network-based Localized Mobility Management Interface between Mobile Node and Access Router", Work in Progress, June 2006.
[8] Laganier、J.、Narayanan、S。、およびF. Templin、「モバイルノードとアクセスルーター間のネットワークベースのローカライズされたモビリティ管理インターフェイス」、2006年6月、進行中の作業。
Authors' Addresses
著者のアドレス
Christian Vogt Institute of Telematics Universitaet Karlsruhe (TH) P.O. Box 6980 76128 Karlsruhe Germany
キリスト教VOGTテレマティクス大学Karlsruhe(Th)P.O。Box 6980 76128 Karlsruheドイツ
EMail: chvogt@tm.uka.de
James Kempf DoCoMo USA Labs 3240 Hillview Avenue Palo Alto, CA 94304 USA
James Kempf Docomo USA Labs 3240 Hillview Avenue Palo Alto、CA 94304 USA
EMail: kempf@docomolabs-usa.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。