[要約] RFC 7186は、NHDP(Neighborhood Discovery Protocol)におけるセキュリティ脅威に関する情報を提供する。その目的は、NHDPのセキュリティ上の問題を理解し、適切な対策を講じるためのガイダンスを提供することである。
Internet Engineering Task Force (IETF) J. Yi
Request for Comments: 7186 LIX, Ecole Polytechnique
Category: Informational U. Herberg
ISSN: 2070-1721 Fujitsu Laboratories of America
T. Clausen
LIX, Ecole Polytechnique
April 2014
Security Threats for the Neighborhood Discovery Protocol (NHDP)
Neighborhood Discovery Protocol(NHDP)のセキュリティ脅威
Abstract
概要
This document analyzes common security threats of the Neighborhood Discovery Protocol (NHDP) and describes their potential impacts on Mobile Ad Hoc Network (MANET) routing protocols using NHDP. This document is not intended to propose solutions to the threats described.
このドキュメントでは、Neighborhood Discovery Protocol(NHDP)の一般的なセキュリティ脅威を分析し、NHDPを使用したモバイルアドホックネットワーク(MANET)ルーティングプロトコルへの潜在的な影響について説明します。このドキュメントは、説明されている脅威の解決策を提案することを意図したものではありません。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7186.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7186で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. NHDP Threat Overview . . . . . . . . . . . . . . . . . . . . 4
4. Detailed Threat Description . . . . . . . . . . . . . . . . . 5
4.1. Jamming . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.2. Denial-of-Service Attack . . . . . . . . . . . . . . . . 5
4.3. Eavesdropping and Traffic Analysis . . . . . . . . . . . 6
4.4. Incorrect HELLO Message Generation . . . . . . . . . . . 7
4.4.1. Identity Spoofing . . . . . . . . . . . . . . . . . . 7
4.4.2. Link Spoofing . . . . . . . . . . . . . . . . . . . . 8
4.5. Replay Attack . . . . . . . . . . . . . . . . . . . . . . 9
4.6. Message Timing Attacks . . . . . . . . . . . . . . . . . 9
4.6.1. Interval Time Attack . . . . . . . . . . . . . . . . 10
4.6.2. Validity Time Attack . . . . . . . . . . . . . . . . 10
4.7. Indirect Channel Overloading . . . . . . . . . . . . . . 10
4.8. Attack on Link Quality Update . . . . . . . . . . . . . . 11
5. Impact of Inconsistent Information Bases on Protocols using
NHDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5.1. MPR Calculation . . . . . . . . . . . . . . . . . . . . . 12
5.1.1. Flooding Disruption due to Identity Spoofing . . . . 12
5.1.2. Flooding Disruption due to Link Spoofing . . . . . . 13
5.1.3. Broadcast Storm . . . . . . . . . . . . . . . . . . . 14
5.2. Routing Loops . . . . . . . . . . . . . . . . . . . . . . 15
5.3. Invalid or Nonexistent Paths to Destinations . . . . . . 16
5.4. Data Sinkhole . . . . . . . . . . . . . . . . . . . . . . 16
6. Future Work . . . . . . . . . . . . . . . . . . . . . . . . . 16
7. Security Considerations . . . . . . . . . . . . . . . . . . . 17
8. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 18
9. References . . . . . . . . . . . . . . . . . . . . . . . . . 18
9.1. Normative References . . . . . . . . . . . . . . . . . . 18
9.2. Informative References . . . . . . . . . . . . . . . . . 18
The Neighborhood Discovery Protocol (NHDP) [RFC6130] allows routers to acquire topological information up to two hops away from themselves, by way of periodic HELLO message exchanges. The information acquired by NHDP is used by other protocols, such as the Optimized Link State Routing Protocol version 2 (OLSRv2) [RFC7181] and Simplified Multicast Forwarding (SMF) [RFC6621]. The topology information, acquired by way of NHDP, serves these routing protocols by detecting and maintaining local 1-hop and 2-hop neighborhood information.
Neighborhood Discovery Protocol(NHDP)[RFC6130]を使用すると、ルーターは、定期的なHELLOメッセージ交換を介して、ルーターから最大2ホップ離れたトポロジ情報を取得できます。 NHDPによって取得された情報は、Optimized Link State Routing Protocolバージョン2(OLSRv2)[RFC7181]やSimplified Multicast Forwarding(SMF)[RFC6621]などの他のプロトコルによって使用されます。 NHDPを介して取得したトポロジ情報は、ローカルの1ホップおよび2ホップの近隣情報を検出および維持することにより、これらのルーティングプロトコルに対応します。
As NHDP is typically used in wireless environments, it is potentially exposed to different kinds of security threats, some of which are of particular significance as compared to wired networks. As radio signals can be received as well as transmitted by any compatible wireless device within radio range, there is commonly no physical protection as otherwise known for wired networks. NHDP does not define any explicit security measures for protecting the integrity of the information it acquires; however, it suggests that the integrity protection be addressed in a fashion appropriate to the deployment of the network.
NHDPは通常ワイヤレス環境で使用されるため、さまざまな種類のセキュリティ脅威にさらされる可能性があり、そのいくつかは有線ネットワークと比較して特に重要です。無線信号は、無線範囲内の任意の互換性のあるワイヤレスデバイスで受信および送信できるため、有線ネットワークでは他の方法で知られているような物理的保護は一般的にありません。 NHDPは、取得する情報の完全性を保護するための明示的なセキュリティ対策を定義していません。ただし、ネットワークの展開に適した方法で整合性保護に対処することをお勧めします。
This document is based on the assumption that no additional security mechanism such as IPsec is used in the IP layer, as not all MANET deployments may be able to accommodate such common IP protection mechanisms (e.g., because of limited resources of MANET routers). The document analyzes possible attacks on and misconfigurations of NHDP and outlines the consequences of such attacks/misconfigurations to the state maintained by NHDP in each router (and, thus, made available to protocols using this state).
このドキュメントは、すべてのMANET展開がそのような一般的なIP保護メカニズムに対応できるとは限らないため(たとえば、MANETルーターのリソースが限られているため)、IPsecなどの追加のセキュリティメカニズムはIPレイヤーで使用されないという前提に基づいています。このドキュメントでは、NHDPへの攻撃の可能性と設定ミスを分析し、そのような攻撃/設定ミスが各ルーターのNHDPによって維持される状態に及ぼす影響の概要を説明します(したがって、この状態を使用するプロトコルで利用可能になります)。
This document is not intended to propose solutions to the threats described. [RFC7185] provides further information on how to enable integrity protection to NHDP, which can help mitigating the threats described related to identity spoofing.
このドキュメントは、説明されている脅威の解決策を提案することを意図したものではありません。 [RFC7185]は、NHDPの整合性保護を有効にする方法に関する詳細情報を提供します。これは、IDスプーフィングに関連して説明されている脅威を軽減するのに役立ちます。
It should be noted that many NHDP implementations are configurable, and so an attack on the configuration system (such as [RFC6779]) can be used to adversely affect the operation of an NHDP implementation.
多くのNHDP実装は構成可能であるため、構成システムへの攻撃([RFC6779]など)を使用して、NHDP実装の動作に悪影響を及ぼす可能性があることに注意してください。
The NHDP MIB module [RFC6779] might help monitoring some of the security attacks mentioned in this document. [MGMT-SNAP] provides a snapshot of OLSRv2-routed MANET management as currently deployed, while [MANET-MGMT] is intended to provide specific guidelines on MANET network management considering the various MIB modules that have been written.
NHDP MIBモジュール[RFC6779]は、このドキュメントで言及されているセキュリティ攻撃の監視に役立つ場合があります。 [MGMT-SNAP]は、現在展開されているOLSRv2でルーティングされるMANET管理のスナップショットを提供し、[MANET-MGMT]は、作成されたさまざまなMIBモジュールを考慮したMANETネットワーク管理に関する特定のガイドラインを提供することを目的としています。
This document uses the terminology and notation defined in "Generalized Mobile Ad Hoc Network (MANET) Packet/Message Format" [RFC5444], "Mobile Ad Hoc Network (MANET) Neighborhood Discovery Protocol (NHDP)" [RFC6130], and "Internet Security Glossary, Version 2" [RFC4949].
このドキュメントでは、「一般化されたモバイルアドホックネットワーク(MANET)パケット/メッセージ形式」[RFC5444]、「モバイルアドホックネットワーク(MANET)近隣探索プロトコル(NHDP)」[RFC6130]、および「インターネットセキュリティ」で定義されている用語と表記法を使用します。用語集、バージョン2 "[RFC4949]。
Additionally, this document introduces the following terminology:
さらに、このドキュメントでは次の用語を紹介しています。
NHDP router: A MANET router, running NHDP as specified in [RFC6130].
NHDPルーター:[RFC6130]で指定されているNHDPを実行するMANETルーター。
Attacker: A device that is present in the network and intentionally seeks to compromise the information bases in NHDP routers.
攻撃者:ネットワークに存在し、意図的にNHDPルーターの情報ベースを危険にさらそうとするデバイス。
Compromised NHDP router: An attacker that is present in the network and generates syntactically correct NHDP control messages. Control messages emitted by a compromised NHDP router may contain additional information, or omit information, as compared to a control message generated by a non-compromised NHDP router located in the same topological position in the network.
侵害されたNHDPルーター:ネットワークに存在し、構文的に正しいNHDP制御メッセージを生成する攻撃者。ネットワーク内の同じトポロジー位置にある妥協のないNHDPルーターによって生成された制御メッセージと比較して、侵害されたNHDPルーターによって送信された制御メッセージには、追加情報が含まれるか、情報が省略される場合があります。
Legitimate NHDP router: An NHDP router that is not a compromised NHDP router.
正当なNHDPルーター:侵害されたNHDPルーターではないNHDPルーター。
NHDP defines a HELLO messages exchange, enabling each NHDP router to acquire topological information describing its 1-hop and 2-hop neighbors, and specifies information bases for recording this information.
NHDPはHELLOメッセージ交換を定義し、各NHDPルータが1ホップおよび2ホップのネイバーを記述するトポロジ情報を取得できるようにし、この情報を記録するための情報ベースを指定します。
An NHDP router periodically transmits HELLO messages using a link-local multicast on each of its interfaces with a hop-limit of 1 (i.e., HELLOs are never forwarded). In these HELLO messages, an NHDP router announces the IP addresses as heard, symmetric, or lost neighbor interface addresses.
NHDPルーターは、ホップ制限が1の各インターフェースでリンクローカルマルチキャストを使用してHELLOメッセージを定期的に送信します(つまり、HELLOは転送されません)。これらのHELLOメッセージでは、NHDPルーターがIPアドレスを、聞いた、対称の、または失われたネイバーインターフェイスアドレスとしてアナウンスします。
An Attacker has several ways of harming this neighbor discovery process: it can announce "wrong" information about its identity, postulate nonexistent links, and replay HELLO messages. These attacks are presented in detail in Section 4.
攻撃者は、このネイバー探索プロセスに危害を加えるいくつかの方法があります。IDに関する「間違った」情報をアナウンスし、存在しないリンクを仮定し、HELLOメッセージを再生することができます。これらの攻撃については、セクション4で詳しく説明します。
The different ways of attacking an NHDP deployment may eventually lead to inconsistent information bases, not accurately reflecting the correct topology of the MANET. The consequence is that protocols using NHDP will base their operation on incorrect information, causing routing protocols to not be able to calculate correct (or any) paths, degrade the performance of flooding operations based on reduced relay sets, etc. These consequences to protocols using NHDP are described in detail in Section 5.
NHDP展開を攻撃するさまざまな方法により、最終的に情報ベースの一貫性が失われ、MANETの正しいトポロジが正確に反映されない可能性があります。その結果、NHDPを使用するプロトコルは不正な情報に基づいて操作を行うため、ルーティングプロトコルは正しい(または任意の)パスを計算できなくなり、リレーセットの削減に基づくフラッディング操作のパフォーマンスが低下します。 NHDPについては、セクション5で詳しく説明します。
For each threat, a description of the mechanism of the corresponding attack is given, followed by a description of how the attack affects NHDP. The impacts from each attack on protocols using NHDP are given in Section 5.
各脅威について、対応する攻撃のメカニズムの説明と、攻撃がNHDPにどのように影響するかについて説明します。 NHDPを使用するプロトコルに対する各攻撃の影響は、セクション5に記載されています。
For simplicity in the description, the examples given assume that NHDP routers have a single interface with a single IP address configured. All the attacks apply, however, for NHDP routers with multiple interfaces and multiple addresses as well.
説明を簡単にするために、例では、NHDPルーターに単一のIPアドレスが構成された単一のインターフェースがあることを前提としています。ただし、すべての攻撃は、複数のインターフェイスと複数のアドレスを持つNHDPルーターにも適用されます。
One vulnerability, common for all protocols operating a wireless ad hoc network, is that of "jamming", i.e., that a device generates massive amounts of interfering radio transmissions, which will prevent legitimate traffic (e.g., control traffic as well as data traffic) on part of a network. Jamming is a form of interference and overload with the threat consequence of disruption [RFC4593].
ワイヤレスアドホックネットワークを運用するすべてのプロトコルに共通する1つの脆弱性は、「妨害」の脆弱性です。つまり、デバイスが大量の干渉無線送信を生成し、正当なトラフィック(制御トラフィックとデータトラフィックなど)を妨げます。ネットワークの一部。妨害は、妨害の脅威の結果を伴う干渉と過負荷の形式です[RFC4593]。
Depending on lower layers, this may not affect transmissions: HELLO messages from an NHDP router with "jammed" interfaces may be received by other NHDP routers. As NHDP identifies whether a link to a neighbor is unidirectional or bidirectional, a routing protocol that uses NHDP for neighborhood discovery may ignore a link from a jammed NHDP router to a non-jammed NHDP router. The jammed router (a router with jammed carrier) would appear simply as "disconnected" for the unjammed part of the network, which is able to maintain accurate topology maps.
下位層によっては、これは送信に影響を与えない場合があります。「妨害された」インターフェースを持つNHDPルーターからのHELLOメッセージは、他のNHDPルーターによって受信される場合があります。 NHDPは、ネイバーへのリンクが単方向か双方向かを識別するため、NHDPを使用して近隣探索を行うルーティングプロトコルは、妨害されたNHDPルーターから妨害されていないNHDPルーターへのリンクを無視する場合があります。妨害されたルーター(キャリアが妨害されたルーター)は、ネットワークの妨害されていない部分に対しては単に「切断された」ように見え、正確なトポロジーマップを維持できます。
If a considerable amount of HELLO messages are lost or corrupted due to collisions caused by a jamming attack, neighbor NHDP routers are not able to establish links between themselves any more. Thus, NHDP will present empty information bases to the protocols using it.
妨害攻撃による衝突が原因でかなりの量のHELLOメッセージが失われたり破損したりすると、ネイバーNHDPルーターは、それらの間でリンクを確立できなくなります。したがって、NHDPはそれを使用するプロトコルに空の情報ベースを提示します。
A denial-of-service (DoS) attack can be a result of misconfiguration of legitimate NHDP routers (e.g., very short HELLO transmission interval) or malicious behavior of compromised NHDP routers [ACCT2012], so-called Byzantine routers [RFC4593]. DoS is a form of interference and overload with the threat consequence of disruption [RFC4593].
サービス拒否(DoS)攻撃は、正当なNHDPルーターの設定ミス(HELLO送信間隔が非常に短いなど)や、侵害されたNHDPルーター[ACCT2012]、いわゆるビザンチンルーター[RFC4593]の悪意のある動作の結果である可能性があります。 DoSは干渉と過負荷の一種であり、混乱の脅威の結果です[RFC4593]。
By transmitting a huge amount of HELLO messages in a short period of time, NHDP routers can increase channel occupation as described in Section 4.1. Furthermore, a compromised NHDP router can spoof a large amount of different IP addresses and send HELLOs to its neighbors to fill their Link/Neighbor Sets. This may result in memory overflow, and it makes the processing of legitimate HELLO messages impossible. A compromised NHDP router can also use link spoofing in its HELLO messages, generating huge 2-hop Sets in adjacent NHDP routers and therefore potentially a memory overflow. Moreover, protocols such as SMF and OLSRv2, using the 2-hop information for multipoint relay (MPR) calculation, may exhaust the available computational resources of the router if the Neighbor Set and 2-hop Sets have too many entries.
短期間に大量のHELLOメッセージを送信することにより、NHDPルーターは、セクション4.1で説明されているように、チャネルの占有を増やすことができます。さらに、侵害されたNHDPルーターは、大量の異なるIPアドレスを偽装し、HELLOをネイバーに送信して、リンク/ネイバーセットを満たすことができます。これにより、メモリオーバーフローが発生し、正当なHELLOメッセージの処理が不可能になります。侵害されたNHDPルーターは、HELLOメッセージでリンクスプーフィングを使用して、隣接するNHDPルーターで巨大な2ホップセットを生成し、メモリオーバーフローを引き起こす可能性もあります。さらに、SMFやOLSRv2などのプロトコルは、マルチポイントリレー(MPR)計算に2ホップ情報を使用しており、近隣セットと2ホップセットのエントリが多すぎる場合、ルーターの利用可能な計算リソースを使い果たす可能性があります。
By exhausting the memory, CPU, and/or channel resources of a router in a DoS attack or a misconfiguration, NHDP routers may not be able to accomplish their specified tasks of exchanging 1-hop and 2-hop neighborhood information, and thereby disturbing the operation of routing protocols using NHDP.
DoS攻撃または設定ミスでルーターのメモリ、CPU、チャネルリソースを使い果たすことにより、NHDPルーターは、1ホップおよび2ホップの近隣情報を交換するという指定されたタスクを実行できず、 NHDPを使用したルーティングプロトコルの操作。
In some MANETs, the routers are powered by battery. Another consequence of a DoS attack in such networks is that the power will be drained quickly by unnecessary processing, transmitting, and receiving of messages.
一部のMANETでは、ルーターはバッテリーで動作します。そのようなネットワークでのDoS攻撃のもう1つの結果は、メッセージの不必要な処理、送信、および受信によって電力が急速に消耗されることです。
Eavesdropping, sometimes referred to as sniffing, is a common and easy passive attack in a wireless environment. Once a packet is transmitted, any adjacent NHDP router can potentially obtain a copy, for immediate or later processing. Neither the source nor the intended destination can detect this. A malicious NHDP router can eavesdrop on the NHDP message exchange and thus learn the local topology. It may also eavesdrop on data traffic to learn source and destination addresses of data packets, or other header information, as well as the packet payload.
盗聴は、スニッフィングとも呼ばれ、ワイヤレス環境では一般的で簡単な受動的攻撃です。パケットが送信されると、隣接するNHDPルーターは、即時または後で処理するために、潜在的にコピーを取得できます。ソースも目的の宛先もこれを検出できません。悪意のあるNHDPルーターがNHDPメッセージ交換を傍受し、ローカルトポロジを学習する可能性があります。また、データトラフィックを傍受して、データパケットの送信元アドレスと宛先アドレス、またはその他のヘッダー情報、およびパケットペイロードを学習することもあります。
Eavesdropping does not pose a direct threat to the network or to NHDP, in as much as that it does not alter the information recorded by NHDP in its information bases and presented to other protocols. However, eavesdropping can provide network information required for enabling other attacks, such as the identity of communicating NHDP routers, detection of link characteristics, and NHDP router configuration. The compromised NHDP routers may use the obtained information to launch subsequent attacks, and they may also share NHDP routing information with other NHDP or non-NHDP entities. [RFC4593] would categorize the threat consequence as disclosure.
盗聴は、NHDPによって情報ベースに記録され、他のプロトコルに提示される情報を変更しない限り、ネットワークまたはNHDPに直接的な脅威をもたらすことはありません。ただし、盗聴により、通信するNHDPルーターのID、リンク特性の検出、NHDPルーターの構成など、他の攻撃を可能にするために必要なネットワーク情報が提供される可能性があります。侵害されたNHDPルーターは、取得した情報を使用して後続の攻撃を開始し、NHDPルーティング情報を他のNHDPまたは非NHDPエンティティと共有する場合もあります。 [RFC4593]は脅威の結果を開示として分類します。
Traffic analysis normally follows eavesdropping, which is the process of intercepting messages in order to deduce information from communication patterns. It can be performed even when HELLO messages are encrypted (encryption is not a part of NHDP), for example:
トラフィック分析は通常、盗聴を追跡します。これは、通信パターンから情報を推測するためにメッセージを傍受するプロセスです。 HELLOメッセージが暗号化されている場合でも実行できます(暗号化はNHDPの一部ではありません)。次に例を示します。
o Triggered HELLO messages: an attacker could figure out that messages are triggered and determine that there was a change of symmetric neighbors of an NHDP router sending the HELLO (as well get the frequency).
o トリガーされたHELLOメッセージ:攻撃者はメッセージがトリガーされたことを理解し、HELLOを送信するNHDPルーターの対称ネイバーの変更があったことを確認できます(頻度も取得します)。
o Message size: the message grows exactly by x bytes per neighbor. Depending on which cipher is used for the encryption, some information about the size could be inferred, and thus the number of neighbors could be guessed.
o メッセージサイズ:メッセージはネイバーごとにxバイトだけ正確に増加します。暗号化に使用されている暗号に応じて、サイズに関するいくつかの情報が推測され、その結果、ネイバーの数が推測されます。
[RFC4593] would categorize the threat consequence as disclosure.
[RFC4593]は脅威の結果を開示として分類します。
An NHDP router performs two distinct tasks: it periodically generates HELLO messages, and it processes incoming HELLO messages from neighbor NHDP routers. This section describes security attacks involving the HELLO generation.
NHDPルーターは2つの異なるタスクを実行します。それは定期的にHELLOメッセージを生成し、隣接するNHDPルーターからの着信HELLOメッセージを処理します。このセクションでは、HELLO生成を伴うセキュリティ攻撃について説明します。
Identity spoofing implies that a compromised NHDP router sends HELLO messages, pretending to have the identity of another NHDP router, or even a router that does not exist in the networks. A compromised NHDP router can accomplish this by using an IP address, which is not its own, in an address block of a HELLO message, and associating this address with a LOCAL_IF Address Block TLV [IJNSIA2010].
IDスプーフィングとは、侵害されたNHDPルーターがHELLOメッセージを送信し、別のNHDPルーター、またはネットワークに存在しないルーターのIDを偽装することを意味します。侵害されたNHDPルーターは、HELLOメッセージのアドレスブロックで独自のものではないIPアドレスを使用し、このアドレスをLOCAL_IFアドレスブロックTLV [IJNSIA2010]に関連付けることにより、これを実現できます。
An NHDP router receiving that HELLO message from a neighbor will assume that it originated from the NHDP router with the spoofed interface address. As a consequence, it will add a Link Tuple to that neighbor with the spoofed address, and include it in its next HELLO messages as a heard neighbor (and possibly as a symmetric neighbor after another HELLO exchange).
ネイバーからそのHELLOメッセージを受信するNHDPルーターは、スプーフィングされたインターフェイスアドレスを持つNHDPルーターから発信されたと想定します。結果として、スプーフィングされたアドレスを持つそのネイバーにリンクタプルを追加し、それを次のHELLOメッセージにリッスンされたネイバーとして(そしておそらく別のHELLO交換後の対称ネイバーとして)含めます。
Identity spoofing is particularly harmful if a compromised NHDP router spoofs the identity of another NHDP router that exists in the same routing domain. With respect to NHDP, such a duplicated, spoofed address can lead to an inconsistent state up to two hops from an NHDP router. [RFC4593] would categorize the threat consequences as disclosure and deception.
侵害されたNHDPルーターが同じルーティングドメインに存在する別のNHDPルーターのIDを偽装する場合、IDスプーフィングは特に有害です。 NHDPに関しては、そのような重複したスプーフィングされたアドレスは、NHDPルーターから最大2ホップの不整合な状態を引き起こす可能性があります。 [RFC4593]は、脅威の結果を開示と詐欺に分類します。
Figure 1 depicts a simple example. In that example, NHDP router A is in radio range of NHDP router C, but not of the compromised NHDP router X. If X spoofs the address of A, that can lead to conflicts for a routing protocol that uses NHDP, and therefore for wrong path calculations as well as incorrect data traffic forwarding.
図1に簡単な例を示します。その例では、NHDPルーターAは、NHDPルーターCの無線範囲にありますが、侵害されたNHDPルーターXの無線範囲にはありません。パス計算および不正なデータトラフィック転送。
.---. .---. .---.
| A |----| C |----| X |
'---' '---' '---'
Figure 1
図1
Figure 2 depicts another example. In this example, NHDP router A is two hops away from NHDP router C, reachable through NHDP router B. If the compromised NHDP router X spoofs the address of A, NHDP router D will take A as its 1-hop neighbor, and C may think that A is indeed reachable through D.
図2に別の例を示します。この例では、NHDPルーターAはNHDPルーターCから2ホップ離れており、NHDPルーターBを介して到達可能です。侵害されたNHDPルーターXがAのアドレスを偽装すると、NHDPルーターDはAを1ホップのネイバーとして扱い、CはAがDを通じて実際に到達可能であると考えます。
.---. .---. .---. .---. .---.
| A |----| B |----| C |----| D |----| X |
'---' '---' '---' '---' '---'
Figure 2
図2
Similar to identity spoofing, link spoofing implies that a compromised NHDP router sends HELLO messages, signaling an incorrect set of neighbors. This is sometimes referred to as falsification [RFC4593], and in NHDP it may take either of two forms:
IDスプーフィングと同様に、リンクスプーフィングは、侵害されたNHDPルータがHELLOメッセージを送信し、不正なネイバーのセットをシグナリングすることを意味します。これは偽造[RFC4593]と呼ばれることもあり、NHDPでは次の2つの形式のいずれかになります。
o A compromised NHDP router can postulate addresses of non-present neighbor NHDP routers in an address block of a HELLO, associated with LINK_STATUS TLVs.
o 侵害されたNHDPルーターは、LINK_STATUS TLVに関連付けられているHELLOのアドレスブロックに存在しない隣接NHDPルーターのアドレスを仮定できます。
o A compromised NHDP router can "ignore" otherwise existing neighbors by not advertising them in its HELLO messages.
o 侵害されたNHDPルーターは、HELLOメッセージでそれらをアドバタイズしないことで、既存のネイバーを「無視」できます。
The effect of link spoofing with respect to NHDP are twofold, depending on the two cases mentioned above:
NHDPに関するリンクスプーフィングの影響は、上記の2つのケースに応じて2つあります。
o If the compromised NHDP router ignores existing neighbors in its advertisements, links will be missing in the information bases maintained by other routers, and there may not be any connectivity for these NHDP routers to or from other NHDP routers in the MANET.
o 侵害されたNHDPルーターがそのアドバタイズで既存のネイバーを無視すると、他のルーターによって維持されている情報ベースでリンクが失われ、これらのNHDPルーターがMANET内の他のNHDPルーターとの間で接続できない可能性があります。
o On the other hand, if the compromised NHDP router advertises nonexistent links, this will lead to inclusion of topological information in the information base, describing nonexistent links in the network (which, then, may be used by other protocols using NHDP in place of other, existing, links).
o 一方、侵害されたNHDPルーターが存在しないリンクをアドバタイズすると、ネットワークに存在しないリンクを説明するトポロジー情報が情報ベースに含まれます(これは、NHDPを他のプロトコルの代わりに使用する他のプロトコルで使用される場合があります) 、既存、リンク)。
[RFC4593] would categorize the threat consequences as usurpation, deception, and disruption.
[RFC4593]は、脅威の結果を横領、詐欺、および混乱に分類します。
A replay attack implies that control traffic from one region of the network is recorded and replayed in a different region at (almost) the same time, or in the same region at a different time. This may, for example, happen when two compromised NHDP routers collaborate on an attack, one recording traffic in its proximity and tunneling it to the other compromised NHDP router, which replays the traffic. In a protocol where links are discovered by testing reception, this will result in extraneous link creation (basically, a "virtual" link between the two compromised NHDP routers will appear in the information bases of neighboring NHDP routers). [RFC4593] would categorize this as a falsification and interference threat with threat consequences of usurpation, deception, and disruption.
リプレイ攻撃とは、ネットワークの1つのリージョンからの制御トラフィックが記録され、別のリージョンで(ほぼ)同時に、または同じリージョンで別の時間にリプレイされることを意味します。これは、たとえば、2つの侵害されたNHDPルーターが攻撃に協力して、1つがその近くのトラフィックを記録し、他の侵害されたNHDPルーターにトンネリングしてトラフィックを再生するときに発生する可能性があります。受信のテストによってリンクが発見されるプロトコルでは、これにより無関係なリンクが作成されます(基本的に、2つの侵害されたNHDPルーター間の「仮想」リンクが隣接するNHDPルーターの情報ベースに表示されます)。 [RFC4593]は、これを改ざんおよび干渉の脅威として分類し、横取り、欺瞞、および混乱の脅威をもたらします。
While this situation may result from an attack, it may also be intentional: if data traffic is also relayed over the "virtual" link, the link being detected is indeed valid for use. This is, for instance, used in wireless repeaters. If data traffic is not carried over the virtual link, an imaginary, useless link between the two compromised NHDP routers has been advertised and is being recorded in the information bases of their neighboring NHDP routers.
この状況は攻撃に起因する可能性がありますが、それは意図的なものである可能性もあります。データトラフィックも「仮想」リンクを介して中継される場合、検出されているリンクは実際に有効です。これは、例えば、無線中継器で使用されます。データトラフィックが仮想リンクを介して伝送されない場合、侵害された2つのNHDPルーター間の架空の無用なリンクがアドバタイズされ、隣接するNHDPルーターの情報ベースに記録されています。
Compared to incorrect HELLO message attacks described in Section 4.4, the messages used in replay attacks are legitimate messages sent out by (non-malicious) NHDP routers and replayed at a later time or different locality by malicious routers. This makes this kind of attack harder to be detect and to counteract; integrity checks cannot help in this case, as the original message's Integrity Check Value (ICV) was correctly calculated.
セクション4.4で説明されている不正なHELLOメッセージ攻撃と比較して、リプレイ攻撃で使用されるメッセージは(悪意のない)NHDPルーターによって送信され、後で悪意のあるルーターによって異なる場所で再生される正当なメッセージです。これにより、この種の攻撃を検出して対処することが困難になります。この場合、元のメッセージの整合性チェック値(ICV)が正しく計算されたため、整合性チェックは役に立ちません。
In NHDP, each HELLO message contains a "validity time" (the amount of time that information in that control message should be considered valid before being discarded) and may contain an "interval time" field (the amount of time until the next control message of the same type should be expected) [RFC5497].
NHDPでは、各HELLOメッセージに「有効期間」(その制御メッセージの情報が破棄される前に有効と見なされる時間)が含まれ、「間隔時間」フィールド(次の制御メッセージまでの時間)が含まれる場合があります。同じタイプが期待されます)[RFC5497]。
A use of the expected interval between two successive HELLO messages is for determining the link quality in NHDP: if messages are not received within the expected intervals (e.g., a certain fraction of messages are missing), then this may be used to exclude a link from being considered as useful, even if (some) bidirectional communication has been verified. If a compromised NHDP router X spoofs the identity of an existing NHDP router A and sends HELLOs indicating a low interval time, an NHDP router B receiving this HELLO will expect the following HELLO to arrive within the interval time indicated. If that expectation is not met, the link quality for the link A-B will be decreased. Thus, X may cause NHDP router B's estimate of the link quality for the link A-B to fall below the minimum considered useful, so the link would not be used [CPSCOM2011]. [RFC4593] would categorize the threat consequence as usurpation.
2つの連続するHELLOメッセージ間の予想される間隔の使用は、NHDPのリンク品質を決定するためです。メッセージが予想される間隔内に受信されない場合(たとえば、メッセージの特定の部分が欠落している場合)、これを使用してリンクを除外できます。 (一部の)双方向通信が検証されていても、有用であると見なされていません。侵害されたNHDPルーターXが既存のNHDPルーターAのIDを偽装し、短いインターバル時間を示すHELLOを送信する場合、このHELLOを受信するNHDPルーターBは、次のHELLOが示されたインターバル時間内に到着することを期待します。その期待が満たされない場合、リンクA-Bのリンク品質が低下します。したがって、Xにより、NHDPルーターBによるリンクA-Bのリンク品質の推定値が有用と見なされる最小値を下回る可能性があるため、リンクは使用されません[CPSCOM2011]。 [RFC4593]は、脅威の結果を横領として分類します。
A compromised NHDP router X can spoof the identity of an NHDP router A and send a HELLO using a low validity time (e.g., 1 ms). A receiving NHDP router B will discard the information upon expiration of that interval, i.e., a link between NHDP router A and B will be "torn down" by X. The sending of a low validity time can be caused by intended malicious behaviors or simply misconfiguration in the NHDP routers. [RFC4593] would categorize the threat consequence as usurpation.
侵害されたNHDPルーターXは、NHDPルーターAのIDを偽装し、低い有効時間(1ミリ秒など)を使用してHELLOを送信できます。受信NHDPルーターBは、その間隔の満了時に情報を破棄します。つまり、NHDPルーターAとBの間のリンクはXによって「破棄」されます。低い有効期間の送信は、意図的な悪意のある動作または単にNHDPルータの設定ミス。 [RFC4593]は、脅威の結果を侵害として分類します。
Indirect Channel Overloading is when a compromised NHDP router X by its actions causes other legitimate NHDP routers to generate inordinate amounts of control traffic. This increases channel occupation and the overhead in each receiving NHDP router that processes this control traffic. With this traffic originating from legitimate NHDP routers, the malicious device may remain undetected in the wider network. It is a form of interference and overload with the threat consequence of disruption [RFC4593].
間接チャネルオーバーロードは、そのアクションによって侵害されたNHDPルーターXが他の正当なNHDPルーターに制御トラフィックの量を過度に生成させる場合です。これにより、チャネル制御と、この制御トラフィックを処理する各受信NHDPルータのオーバーヘッドが増加します。このトラフィックは正規のNHDPルーターから発信されているため、悪意のあるデバイスがより広いネットワークで検出されないままになる可能性があります。これは、混乱の脅威となる干渉と過負荷の形式です[RFC4593]。
Figure 3 illustrates Indirect Channel Overloading with NHDP. A compromised NHDP router X advertises a symmetric spoofed link to the nonexistent NHDP router B (at time t0). Router A selects X as MPR upon reception of the HELLO then triggers a HELLO at t1. Overhearing this triggered HELLO, the attacker sends another HELLO at t2, advertising the link to B as lost; this causes NHDP router A to deselect the attacker as MPR, and to send another triggered message at t3. The cycle may be repeated, where the link X-B is advertised alternately as LOST and SYM.
図3は、NHDPによる間接チャネルオーバーロードを示しています。侵害されたNHDPルーターXは、対称的なスプーフィングされたリンクを存在しないNHDPルーターBにアドバタイズします(時刻t0)。ルータAは、HELLOを受信するとXをMPRとして選択し、t1でHELLOをトリガーします。このトリガーされたHELLOを傍受した攻撃者は、t2で別のHELLOを送信し、Bへのリンクを失われたものとしてアドバタイズします。これにより、NHDPルーターAは、攻撃者をMPRとして選択解除し、t3で別のトリガーされたメッセージを送信します。サイクルは繰り返され、リンクX-BはLOSTとSYMとして交互にアドバタイズされます。
MPRs(X) MPRs()
.---. .---. .---. .---.
| A | | A | | A | | A |
'---' '---' '---' '---'
| | | |
| SYM(B) | | LOST(B) |
| | | |
.---. .---. .---. .---.
| X | | X | | X | | X |
'---' '---' '---' '---'
. .
. .
. .
..... .....
. B . . B .
..... .....
t0 t1 t2 t3
t0 t1 t2 tz
Figure 3
図3
According to NHDP [RFC6130]:
NHDP [RFC6130]によれば、
Link quality is a mechanism whereby a router MAY take considerations other than message exchange into account for determining when a link is and is not a candidate for being considered as HEARD or SYMMETRIC. As such, it is a "link admission" mechanism.
リンク品質は、ルーターがメッセージ交換以外の考慮事項を考慮に入れて、リンクがいつHEARDまたはSYMMETRICと見なされる候補ではないかを判断できるメカニズムです。そのため、これは「リンクアドミッション」メカニズムです。
Section 14.4 of NHDP [RFC6130] then lists several examples of which information can be used to update link quality. One of the listed examples uses packet exchanges between neighbor routers (as described in [RFC5444]), e.g., an NHDP router may update the link quality of a neighbor based on receipt or loss of packets if they include a sequential packet sequence number.
NHDP [RFC6130]のセクション14.4には、リンク品質の更新に使用できる情報の例がいくつかリストされています。リストされた例の1つは、[[RFC5444]で説明されているように)隣接ルーター間のパケット交換を使用します。たとえば、NHDPルーターは、連続するパケットシーケンス番号が含まれている場合、パケットの受信または損失に基づいて、隣接ルーターのリンク品質を更新できます。
NHDP does not specify how to acquire link quality updates normatively; however, attack vectors may be introduced if an implementation chooses to calculate link quality based on packet sequence numbers. The consequences of such threats would depend on specific implementations. For example, if the link quality update is based on a sequential packet sequence number from neighbor routers, a compromised NHDP router can spoof packets appearing to be from another legitimate NHDP router that skips some packet sequence numbers. The NHDP router receiving the spoofed packets may degrade the link quality as it appears that several packets have been dropped. Eventually, the router may remove the neighbor when the link quality drops below HYST_REJECT.
NHDPは、リンク品質の更新を標準的に取得する方法を指定していません。ただし、実装がパケットシーケンス番号に基づいてリンク品質を計算することを選択した場合、攻撃ベクトルが導入される可能性があります。そのような脅威の結果は、特定の実装に依存します。たとえば、リンク品質の更新が隣接ルーターからの連続したパケットシーケンス番号に基づいている場合、侵害されたNHDPルーターは、一部のパケットシーケンス番号をスキップする別の正当なNHDPルーターからのパケットを偽装する可能性があります。スプーフィングされたパケットを受信するNHDPルータは、いくつかのパケットがドロップされたように見えるため、リンク品質を低下させる可能性があります。最終的に、リンク品質がHYST_REJECTを下回ると、ルーターはネイバーを削除する可能性があります。
This section describes the impact on protocols that use NHDP when NHDP fails to obtain and represent accurate information, possibly as a consequence of the attacks described in Section 4. This description emphasizes the impacts on the MANET protocols OLSRv2 [RFC7181] and SMF [RFC6621].
このセクションでは、おそらくセクション4で説明した攻撃の結果として、NHDPが正確な情報の取得と表現に失敗した場合にNHDPを使用するプロトコルへの影響について説明します。 。
MPR selection (as used in [RFC7181] and [RFC6621], for example) uses information about a router's 1-hop and 2-hop neighborhood, assuming that (i) this information is accurate, and (ii) each 1-hop neighbor is apt to act as MPR, depending on the willingness it reports. Thus, a compromised NHDP router may seek to manipulate the 1-hop and 2-hop neighborhood information in a router so as to cause the MPR selection to fail, leading to a flooding disruption of traffic control messages. This can result in incomplete topology advertisement or can degrade the optimized flooding to classical flooding.
MPR選択([RFC7181]や[RFC6621]などで使用される)は、ルーターの1ホップおよび2ホップ近傍に関する情報を使用します。それが報告する意欲に応じて、MPRとして行動する傾向があります。したがって、侵害されたNHDPルーターは、ルーターの1ホップおよび2ホップの近隣情報を操作してMPR選択を失敗させ、トラフィック制御メッセージのフラッディングを中断させる可能性があります。これにより、トポロジアドバタイズが不完全になったり、最適化されたフラッディングが従来のフラッディングに低下したりする可能性があります。
A compromised NHDP router can spoof the identify of other routers in order to disrupt the MPR selection, so as to prevent certain parts of the network from receiving flooded traffic [IJNSIA2010].
侵害されたNHDPルーターは、MPR選択を妨害するために他のルーターのIDを偽装し、ネットワークの特定の部分がフラッディングされたトラフィックを受信するのを防ぐことができます[IJNSIA2010]。
In Figure 4, a compromised NHDP router X spoofs the identity of B. The link between X and C is correctly detected and listed in X's HELLOs. Router A will receive HELLOs indicating links from B:{B-E}, X:{X-C, X-E}, and D:{D-E, D-C}, respectively. For router A, X and D are equal candidates for MPR selection. To make sure the X can be selected as MPR for router A, X can set its willingness to the maximum value.
図4では、侵害されたNHDPルーターXがBのIDを偽装しています。XとCの間のリンクが正しく検出され、XのHELLOにリストされています。ルータAは、それぞれB:{B-E}、X:{X-C、X-E}、およびD:{D-E、D-C}からのリンクを示すHELLOを受信します。ルータAの場合、XとDはMPR選択の同等の候補です。 XをルーターAのMPRとして選択できるようにするために、Xはその意欲を最大値に設定できます。
.---. .---. .---.
| E |----| D |----| C |
'---' '---' '---'
| | .
| | .
.---. .---. .---.
| B |----| A |----| X |
'---' '---' '---'
spoofs B
Figure 4
図4
If B and X (i) accept MPR selection and (ii) forward flooded traffic as if they were both B, identity spoofing by X is harmless. However, if X does not forward flooded traffic (i.e., does not accept MPR selection), its presence entails flooding disruption: selecting B over D renders C unreachable by flooded traffic.
BとXが(i)MPR選択を受け入れ、(ii)フラッディングされたトラフィックを両方ともBであるかのように転送する場合、XによるIDスプーフィングは無害です。ただし、Xがフラッディングされたトラフィックを転送しない場合(つまり、MPR選択を受け入れない場合)、Xが存在するとフラッディングが中断されます。DよりもBを選択すると、フラッディングされたトラフィックによってCに到達できなくなります。
.---.
| D |
'---'
|
|
.---. .---. .---. .---. .---.
| X |----| A |----| B |----| C |----| E |...
'---' '---' '---' '---' '---'
spoofs E
Figure 5
図5
In Figure 5, the compromised NHDP router X spoofs the identity of E, i.e., routers A and C both receive HELLOs from a router identifying itself as E. For router B, routers A and C present the same neighbor sets and are equal candidates for MPR selection. If router B selects only router A as MPR, C will not relay flooded traffic from B or transiting via B, and router X (and routers to the "right" of it) will not receive flooded traffic.
図5では、侵害されたNHDPルーターXがEのIDを偽装しています。つまり、ルーターAとCの両方が自身をEとして識別するルーターからHELLOを受信しています。ルーターBの場合、ルーターAとCは同じネイバーセットを提示し、 MPRの選択。ルーターBがルーターAのみをMPRとして選択した場合、CはBからのフラッディングトラフィックを中継せず、B経由で中継せず、ルーターX(およびその「右側」のルーター)はフラッディングトラフィックを受信しません。
A compromised NHDP router can also spoof links to other NHDP routers, thereby making itself appear as the most appealing candidate to be MPR for its neighbors, possibly to the exclusion of other NHDP routers in the neighborhood. (In particular, this can occur if the compromised NHDP router spoofs links to all other NHDP routers in the neighborhood, plus to one NHDP router outside the neighborhood.) By thus excluding other legitimate NHDP routers from being selected as MPR, the compromised NHDP router will receive and be expected to relay all flooded traffic (e.g., traffic control messages in OLSRv2 or data traffic in SMF) that it can then drop or otherwise manipulate.
侵害されたNHDPルーターは、他のNHDPルーターへのリンクをスプーフィングすることもできるため、近隣のMPRとして最も魅力的な候補として表示され、近隣の他のNHDPルーターが除外される可能性があります。 (特に、これは、侵害されたNHDPルーターが近隣の他のすべてのNHDPルーターに加えて、近隣外の1つのNHDPルーターにスプーフする場合に発生する可能性があります。)このようにして、他の正当なNHDPルーターがMPRとして選択されないようにして、侵害されたNHDPルーターは、すべてのフラッディングされたトラフィック(たとえば、OLSRv2のトラフィック制御メッセージまたはSMFのデータトラフィック)を受信して中継することが期待されます。
In the network in Figure 6, the compromised NHDP router X spoofs links to the existing router C, as well as to a fictitious W. Router A receives HELLOs from X and B, reporting X: {X-C, X-W}, B: {B-C}. All else being equal, X appears a better choice for MPR than B, as X appears to cover all neighbors of B, plus W.
図6のネットワークでは、侵害されたNHDPルーターXが既存のルーターCと架空のWにリンクをスプーフします。ルーターAはXとBからHELLOを受信し、X:{XC、XW}、B:{BCを報告します。 }。他のすべてが等しい場合、XはBよりもMPRの方がより適切に選択されます。XはBのすべての近傍とWをカバーするように見えるためです。
,---. .....
| S | . C .
'---' .....
| .
| .
.---. .---. .---. .---. .---.
| D |----| C |----| B |----| A |----| X |
'---' '---' '---' '---' '---'
.
.
.....
. W .
.....
Figure 6
図6
As router A will not select B as MPR, B will not relay flooded messages received from router A. The NHDP routers on the left of B (starting with C) will, thus, not receive any flooded messages from router A or transiting router A (e.g., a message originating from S).
ルータAはMPRとしてBを選択しないため、BはルータAから受信したフラッディングメッセージをリレーしません。したがって、Bの左側にあるNHDPルータ(Cで始まる)は、ルータAまたは中継ルータAからフラッディングメッセージを受信しません。 (例えば、Sから発信されたメッセージ)。
A compromised NHDP router may attack the network by attempting to degrade the performance of optimized flooding algorithms so as to be equivalent to classic flooding. This can be achieved by forcing an NHDP router into choosing all its 1-hop neighbors as MPRs. In MANETs, a broadcast storm caused by classic flooding is a serious problem that can result in redundancy, contention, and collisions [MOBICOM99].
侵害されたNHDPルーターは、最適化されたフラッディングアルゴリズムのパフォーマンスを低下させて従来のフラッディングと同等にすることにより、ネットワークを攻撃する可能性があります。これは、NHDPルーターにそのすべての1ホップネイバーをMPRとして選択させることで実現できます。 MANETでは、古典的なフラッディングによって引き起こされるブロードキャストストームは、冗長性、競合、および衝突を引き起こす可能性のある深刻な問題です[MOBICOM99]。
As shown in Figure 7, the compromised NHDP router X spoofs the identity of NHDP router B and, spoofs a link to router Y {B-Y} (Y does not have to exist). By doing so, the legitimate NHDP router A has to select the legitimate NHDP router B as its MPR in order for it to reach all its 2-hop neighbors. The compromised NHDP router Y can perform this identity-and-link spoofing for all of NHDP router A's 1-hop neighbors, thereby forcing NHDP router A to select all its neighbors as MPR and disabling the optimization sought by the MPR mechanism.
図7に示すように、侵害されたNHDPルーターXはNHDPルーターBのIDを偽装し、ルーターY {B-Y}へのリンクを偽装します(Yは存在する必要はありません)。そうすることで、正当なNHDPルータAは、すべての2ホップネイバーに到達するために、正当なNHDPルータBをMPRとして選択する必要があります。侵害されたNHDPルーターYは、NHDPルーターAのすべての1ホップネイバーに対してこのアイデンティティとリンクのスプーフィングを実行できるため、NHDPルーターAはすべてのネイバーをMPRとして選択し、MPRメカニズムが求める最適化を無効にすることができます。
.---.
| B |
'---'
|
|
.---. .---. .....
| A |----| X | . . . Y .
'---' '---' .....
spoofs B
Figure 7
図7
Inconsistent information bases, provided by NHDP to other protocols, can also cause routing loops. In Figure 8, the compromised NHDP router X spoofs the identity of NHDP router E. NHDP router D has data traffic to send to NHDP router A. The topology recorded in the information base of router D indicates that the shortest path to router A is {D->E->A}, because of the link {A-E} reported by X. Therefore, the data traffic will be routed to NHDP router E. As the link {A-E} does not exist in NHDP router E's information bases, it will identify the next hop for data traffic to NHDP router A as being NHDP router D. A loop between the NHDP routers D and E is thus created.
NHDPが他のプロトコルに提供する一貫性のない情報ベースも、ルーティングループを引き起こす可能性があります。図8では、侵害されたNHDPルーターXがNHDPルーターEのIDを偽装しています。NHDPルーターDには、NHDPルーターAに送信するデータトラフィックがあります。ルーターDの情報ベースに記録されているトポロジは、ルーターAへの最短パスが{ Xによって報告されたリンク{AE}のため、D-> E-> A}。したがって、データトラフィックはNHDPルーターEにルーティングされます。リンク{AE}はNHDPルーターEの情報ベースに存在しないため、は、NHDPルータAへのデータトラフィックのネクストホップをNHDPルータDとして識別します。NHDPルータDとEの間にループが作成されます。
.---. .---. .---. .---. .---.
| A |----| B |----| C |----| D |----| E |
'---' '---' '---' '---' '---'
|
|
.---.
| X |
'---'
spoofs E
Figure 8
図8
By reporting inconsistent topology information in NHDP, the invalid links and routers can be propagated as link state information with traffic control messages and results in route failure. As illustrated in Figure 8, if NHDP router B tries to send data packets to NHDP router E, it will choose router A as its next hop, based on the information about the nonexistent link {A-E} reported by the compromised NHDP router X.
NHDPで一貫性のないトポロジ情報を報告することにより、無効なリンクとルーターは、トラフィック制御メッセージを含むリンク状態情報として伝播され、ルート障害が発生する可能性があります。図8に示すように、NHDPルーターBがデータパケットをNHDPルーターEに送信しようとすると、侵害されたNHDPルーターXによって報告された存在しないリンク{A-E}に関する情報に基づいて、ルーターAをネクストホップとして選択します。
With the ability to spoof multiple identities of legitimate NHDP routers (by eavesdropping, for example), the compromised NHDP router can represent a "data sinkhole" for its 1-hop and 2-hop neighbors. Data packets that come across its neighbors may be forwarded to the compromised NHDP router instead of to the real destination. The packet can then be dropped, manipulated, duplicated, etc., by the compromised NHDP router. As shown in Figure 8, if the compromised NHDP router X spoofs the identity of NHDP router E, all the data packets to E that cross NHDP routers A and B will be sent to NHDP router X, instead of to E.
正当なNHDPルーターの複数のIDを(盗聴などにより)偽装する機能により、侵害されたNHDPルーターは、その1ホップおよび2ホップネイバーの「データシンクホール」を表す可能性があります。ネイバーを通過するデータパケットは、実際の宛先ではなく、侵害されたNHDPルーターに転送される可能性があります。次に、パケットは、侵害されたNHDPルーターによってドロップ、操作、複製などされます。図8に示すように、侵害されたNHDPルーターXがNHDPルーターEのIDを偽装すると、NHDPルーターAおよびBを通過するEへのすべてのデータパケットは、EではなくNHDPルーターXに送信されます。
This document does not propose solutions to mitigate the security threats described in Section 4. However, this section aims at driving new work by suggesting which threats discussed in Section 4 could be addressed by deployments or applications.
このドキュメントでは、セクション4で説明されているセキュリティの脅威を軽減するソリューションを提案していません。ただし、このセクションでは、セクション4で説明されている脅威が展開またはアプリケーションで対処できることを示唆することで、新しい取り組みを推進することを目的としています。
o Section 4.1: Jamming - If a single router or a small area of the MANET is jammed, protocols could be specified that increase link metrics in NHDP for the jammed links. When a routing protocol such as OLSRv2 uses NHDP for neighborhood discovery, other paths leading "around" the jammed area would be preferred, and therefore would mitigate the threat to some extent.
o セクション4.1:妨害-単一のルーターまたはMANETの小さな領域が妨害された場合、妨害されたリンクのNHDPのリンクメトリックを増加させるプロトコルを指定できます。 OLSRv2などのルーティングプロトコルが近隣探索にNHDPを使用する場合、妨害エリアの「周辺」につながる他のパスが優先されるため、ある程度脅威を軽減します。
o Section 4.2: DoS - A DoS attack using a massive amount of HELLO messages can be mitigated by admitting only trusted routers to the network. [RFC7185] specifies a mechanism for adding Integrity Check Values (ICVs) to HELLO messages and therefore providing an admittance mechanism for NHDP routers to a MANET. (Note that adding ICVs creates a new DoS attack vector, as ICV verification requires CPU and memory resources.) However, using ICVs does not address the problem of compromised routers. Detecting compromised routers could be addressed in new work. [RFC7185] mandates implementation of a security mechanism that is based on shared keys and makes excluding single compromised routers difficult;
o セクション4.2:DoS-大量のHELLOメッセージを使用したDoS攻撃は、信頼できるルーターのみをネットワークに許可することで軽減できます。 [RFC7185]は、HELLOメッセージに整合性チェック値(ICV)を追加するためのメカニズムを指定し、それにより、NHDPルーターのMANETへのアドミタンスメカニズムを提供します。 (ICVを追加すると、新しいDoS攻撃ベクトルが作成されることに注意してください。ICV検証にはCPUとメモリリソースが必要です。)ただし、ICVを使用しても、ルーターのセキュリティ侵害の問題には対処できません。侵害されたルーターの検出は、新しい作業で対処できます。 [RFC7185]共有キーに基づくセキュリティメカニズムの実装を義務付け、単一の危険にさらされたルーターを除外することを困難にします。
work could be done to facilitate revocation mechanisms in certain MANET use cases where routers have sufficient capabilities to support asymmetric keys.
ルーターが非対称キーをサポートするのに十分な機能を備えている特定のMANETユースケースで、失効メカニズムを容易にするための作業を行うことができます。
o Section 4.3: Eavesdropping - [RFC7185] adds ICVs to HELLO messages but does not encrypt them. Therefore, eavesdropping of control traffic is not mitigated. Future work could provide encryption of control traffic for sensitive MANET topologies. Note that, other than using a single shared secret key, providing encryption of traffic among a set of neighbors (when that set is potentially undetermined) is nontrivial, especially without multiplying overheads. With traffic analysis, attackers could still deduce the network information like HELLO message triggering and HELLO message size, even though the HELLO messages are encrypted.
o セクション4.3:盗聴-[RFC7185]はICLOをHELLOメッセージに追加しますが、暗号化しません。したがって、制御トラフィックの盗聴は軽減されません。将来の作業では、機密性の高いMANETトポロジの制御トラフィックの暗号化が提供される可能性があります。単一の共有秘密鍵を使用する以外に、ネイバーのセット間でトラフィックの暗号化を提供すること(そのセットが潜在的に不明である場合)は、特にオーバーヘッドを増加させることなく、簡単ではないことに注意してください。トラフィック分析を使用すると、HELLOメッセージが暗号化されていても、攻撃者はHELLOメッセージのトリガーやHELLOメッセージのサイズなどのネットワーク情報を推測できます。
o Section 4.4.2: Link spoofing - [RFC7185] provides certain protection against link spoofing, but an NHDP router has to "trust" the originator of a HELLO that the advertised links are correct. For example, if a router A reports a link to B, routers receiving HELLOs from A have to trust that B is actually a (symmetric) neighbor of A. New protocol work could address protection of links without overly increasing the space and time overheads. An immediate suggestion for deployments is to protect routers against being compromised and to distribute keys only to trusted routers.
o セクション4.4.2:リンクスプーフィング-[RFC7185]は、リンクスプーフィングに対する一定の保護を提供しますが、NHDPルーターは、アドバタイズされたリンクが正しいことをHELLOの発信者に「信頼」する必要があります。たとえば、ルーターAがBへのリンクを報告する場合、AからHELLOを受信するルーターは、Bが実際にAの(対称)ネイバーであることを信頼する必要があります。新しいプロトコルは、スペースと時間のオーバーヘッドを過度に増やすことなくリンクの保護に対処できます。展開の当面の提案は、ルーターが危険にさらされないように保護し、信頼できるルーターにのみキーを配布することです。
o Section 4.5: Replay Attacks - [RFC7185] uses ICVs and timestamps to provide some protection against replay attacks. It is still feasible to replay control messages within a limited time. A suggestion for deployments is to provide time synchronization between routers. New work could provide time synchronization mechanisms for certain MANET use cases or specify a mechanism using nonces instead of timestamps in HELLO messages.
o セクション4.5:リプレイ攻撃-[RFC7185]は、ICVとタイムスタンプを使用して、リプレイ攻撃に対する保護を提供します。限られた時間内に制御メッセージを再生することは依然として可能です。配置の提案はルータ間の時間同期を提供することです。新しい作業により、特定のMANETユースケースに時間同期メカニズムを提供したり、HELLOメッセージでタイムスタンプの代わりにナンスを使用するメカニズムを指定したりできます。
o Section 4.4.1: Identity spoofing; Section 4.6: Message timing attacks; Section 4.7: Indirect channel overloading; and Section 4.8: Attack on link quality update - [RFC7185] provides protection against these attacks, assuming the routers are not compromised.
o セクション4.4.1:IDスプーフィング。セクション4.6:メッセージタイミング攻撃。セクション4.7:間接チャネルの過負荷。セクション4.8:リンク品質の更新に対する攻撃-[RFC7185]は、ルーターが危険にさらされていないと想定して、これらの攻撃に対する保護を提供します。
This document does not specify a protocol or a procedure. The document, however, reflects on security considerations for NHDP and MANET routing protocols using NHDP for neighborhood discovery.
このドキュメントでは、プロトコルや手順を指定していません。ただし、このドキュメントでは、NHDPおよび近隣探索にNHDPを使用するMANETルーティングプロトコルのセキュリティに関する考慮事項を反映しています。
The authors would like to gratefully acknowledge the following people for valuable comments and technical discussions: Teco Boot, Henning Rogge, Christopher Dearlove, John Dowdell, Joseph Macker, and all the other participants of the IETF MANET working group.
著者は貴重なコメントと技術的な議論のために以下の人々に感謝します:Teco Boot、Henning Rogge、Christopher Dearlove、John Dowdell、Joseph Macker、およびIETF MANETワーキンググループの他のすべての参加者。
[RFC5444] Clausen, T., Dearlove, C., Dean, J., and C. Adjih, "Generalized Mobile Ad Hoc Network (MANET) Packet/Message Format", RFC 5444, February 2009.
[RFC5444] Clausen、T.、Dearlove、C.、Dean、J。、およびC. Adjih、「Generalized Mobile Ad Hoc Network(MANET)Packet / Message Format」、RFC 5444、2009年2月。
[RFC5497] Clausen, T. and C. Dearlove, "Representing Multi-Value Time in Mobile Ad Hoc Networks (MANETs)", RFC 5497, March 2009.
[RFC5497] Clausen、T.およびC. Dearlove、「Representing Multi-Value Time in Mobile Ad Hoc Networks(MANETs)」、RFC 5497、2009年3月。
[RFC6130] Clausen, T., Dearlove, C., and J. Dean, "Mobile Ad Hoc Network (MANET) Neighborhood Discovery Protocol (NHDP)", RFC 6130, April 2011.
[RFC6130] Clausen、T.、Dearlove、C。、およびJ. Dean、「Mobile Ad Hoc Network(MANET)Neighborhood Discovery Protocol(NHDP)」、RFC 6130、2011年4月。
[ACCT2012] Jhaveri, R. and S. Patel, "DoS Attacks in Mobile Ad Hoc Networks: A Survey", Second International Conference on Advanced Computing & Communication Technologies (ACCT), January 2012.
[ACCT2012] Jhaveri、R。およびS. Patel、「モバイルアドホックネットワークにおけるDoS攻撃:調査」、第2回国際コンピューティングおよび通信技術に関する国際会議(ACCT)、2012年1月。
[CPSCOM2011] Yi, J., Clausen, T., and U. Herberg, "Vulnerability Analysis of the Simple Multicast Forwarding (SMF) Protocol for Mobile Ad Hoc Networks", Proceedings of the IEEE International Conference on Cyber, Physical, and Social Computing (CPSCom), October 2011.
[CPSCOM2011] Yi、J.、Clauseen、T。、およびU. Herberg、「モバイルアドホックネットワーク用のシンプルマルチキャストフォワーディング(SMF)プロトコルの脆弱性分析」、IEEE International Conference on Cyber、Physical、and Socialコンピューティング(CPSCom)、2011年10月。
[IJNSIA2010] Herberg, U. and T. Clausen, "Security Issues in the Optimized Link State Routing Protocol version 2", International Journal of Network Security & Its Applications, April 2010.
[IJNSIA2010] Herberg、U。およびT. Clausen、「最適化されたリンクステートルーティングプロトコルバージョン2のセキュリティ問題」、International Journal of Network Security&its Applications、2010年4月。
[MANET-MGMT] Nguyen, J., Cole, R., Herberg, U., Yi, J., and J. Dean, "Network Management of Mobile Ad hoc Networks (MANET): Architecture, Use Cases, and Applicability", Work in Progress, February 2013.
[MANET-MGMT] Nguyen、J.、Cole、R.、Herberg、U、Yi、J。、およびJ. Dean、「モバイルアドホックネットワーク(MANET)のネットワーク管理:アーキテクチャ、使用例、および適用性」 、作業中、2013年2月。
[MGMT-SNAP] Clausen, T. and U. Herberg, "Snapshot of OLSRv2-Routed MANET Management", Work in Progress, February 2014.
[MGMT-SNAP]クラウセン、T。およびU.ヘルバーグ、「OLSRv2でルーティングされたMANET管理のスナップショット」、作業中、2014年2月。
[MOBICOM99] Ni, S., Tseng, Y., Chen, Y., and J. Sheu, "The Broadcast Storm Problem in a Mobile Ad Hoc Network", Proceedings of the 5th annual ACM/IEEE international conference on Mobile computing and networking, 1999.
[MOBICOM99] Ni、S.、Tseng、Y.、Chen、Y.、J。Sheu、「モバイルアドホックネットワークにおけるブロードキャストストーム問題」、モバイルコンピューティングに関する第5回年次ACM / IEEE国際会議の議事録、ネットワーキング、1999。
[RFC4593] Barbir, A., Murphy, S., and Y. Yang, "Generic Threats to Routing Protocols", RFC 4593, October 2006.
[RFC4593] Barbir、A.、Murphy、S。、およびY. Yang、「ルーティングプロトコルに対する一般的な脅威」、RFC 4593、2006年10月。
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, August 2007.
[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、RFC 4949、2007年8月。
[RFC6621] Macker, J., "Simplified Multicast Forwarding", RFC 6621, May 2012.
[RFC6621] Macker、J。、「Simplified Multicast Forwarding」、RFC 6621、2012年5月。
[RFC6779] Herberg, U., Cole, R., and I. Chakeres, "Definition of Managed Objects for the Neighborhood Discovery Protocol", RFC 6779, October 2012.
[RFC6779] Herberg、U.、Cole、R。、およびI. Chakeres、「Definition of Managed Objects for the Neighborhood Discovery Protocol」、RFC 6779、2012年10月。
[RFC7181] Clausen, T., Dearlove, C., Jacquet, P., and U. Herberg, "The Optimized Link State Routing Protocol Version 2", RFC 7181, April 2014.
[RFC7181] Clausen、T.、Dearlove、C.、Jacquet、P。、およびU. Herberg、「The Optimized Link State Routing Protocol Version 2」、RFC 7181、2014年4月。
[RFC7185] Herberg, U., Dearlove, C., and T. Clausen, "Integrity Protection for the Neighborhood Discovery Protocol (NHDP) and Optimized Link State Routing Protocol Version 2 (OLSRv2)", RFC 7185, April 2014.
[RFC7185] Herberg、U.、Dearlove、C.、T。Clausen、「Integrity Protection for the Neighborhood Discovery Protocol(NHDP)and Optimized Link State Routing Protocol Version 2(OLSRv2)」、RFC 7185、2014年4月。
Authors' Addresses
著者のアドレス
Jiazi Yi LIX, Ecole Polytechnique 91128 Palaiseau Cedex France
Jiazi Yi LIX、Ecole Polytechnique 91128 Palaiseau Cedex France
Phone: +33 1 77 57 80 85
EMail: jiazi@jiaziyi.com
URI: http://www.jiaziyi.com/
Ulrich Herberg Fujitsu Laboratories of America 1240 E Arques Ave Sunnyvale, CA 94085 USA
うlりch へrべrg ふじつ ぁぼらとりえs おf あめりか 1240 え あrくえs あゔぇ すんyゔぁぇ、 か 94085 うさ
EMail: ulrich@herberg.name
URI: http://www.herberg.name/
Thomas Heide Clausen LIX, Ecole Polytechnique 91128 Palaiseau Cedex France
Thomas Heide Clausen LIX、Ecole Polytechnique 91128 Palaiseau Cedex France
Phone: +33 6 6058 9349
EMail: T.Clausen@computer.org
URI: http://www.thomasclausen.org/