Kungliga Tekniska Högskolan, Institutionen för Teleinformatik
VT 2001, Period 3, 2G1305 Internetworking/Internetteknik
I kursen Internet Working på Kungliga Tekninska Högskolan i Stockholm fick vi i uppgift att välja mellan att skriva en analytiska uppsats eller att utföra en mer praktisk uppgift. Jag valde att skriva om Mobil IP: ”Analyses and Conciderations of security problems in Mobile IP based Networks”, d.v.s. en analytisk uppgift. Den häruppsatsen kommer att beskriva vad som karaktäriserar mobila IP protokoll, för att sedan tittat på problem inom säkerheten som uppkommer i och med mobil IP.
Mobil IP är ett relativt nytt internet
protokoll designad för att stödja mobilitet hos användarna. Protokollet
möjliggör att en mobil nod kan bibehålla och använda samma IP-adress även
om den flyttar anslutningspunkt till ett annat lokalt nätverk någon annan
stans i Internet. Användarna kan återuppta pågående aktiviteter där de
slutade så fort de kopplar upp sig på Internet och samtidigt behålla
kopplingen till sitt privata hemnätverk.
Mobilitet medför dock ökade säkerhetsrisker jämfört med de ursprungliga stationära noderna och operationerna. Hostars mobilitet börjar bli en viktigare och viktigare fråga eftersom efterfrågan på bärbara datorer ökar och att man i framtiden självklart ska kunna surfa och skicka mail via mobiltelefonen. Det är nästan självklart att alla I framtiden alltid ska kunna vara uppkopplade. Exempel på användning idag är WAP och 3G, UMTS, CDMA 2000 m.m.
Innehållsförteckning
4. Vad är och hur fungerar mobil IP
5.
Säkerhetsaspekter inom mobil IP
5.2
AAA (Authentication, Authorization and Accounting)
5.2.2
MD5 som krypteringsalgoritm
Motiven till att införa stöd för mobilitet i IP är att det råder en stor efterfrågan att Internet blir mer flexibelt. Man ska kunna vara uppkopplade vart som helst med sin bärbara dator eller palm pilot, samtidigt som hela telekombranschen integreras med Internet. Utvecklingen har gått från ett Internet med stationära hoster, där en host kan förklaras som en nod i ett komplext nätverk av noder förbundna med varandra, till att även inkludera mobila och flexibla hoster. Tanken bakom mobil IP är att en nod i nätet skall kunna förflytta sig från ett nät till ett annat utan att behöva ändra dess IP-adress och att paket fortfarande kommer att levereras till den mobila nodens nya plats i nätet.
Dessa mobila temporära hoster på Internet gör att säkerheten försvåras i jämförelse med de statiska näten med stationära datorer. En stor del av de mobila enheterna kommer också att anslutas med trådlösa tekniker och det gör dem ännu mer utsatta för intrång och skadegörelse.
Det största problemet idag med mobila hoster är relaterat till säkerhetsaspekter. Problemen uppstår när en mobil host ansluter sig till ett annat nätverk än sitt eget ”hemnätverk”.
Syfte med denna uppsats är att förstå och analysera problem inom säkerheten vid mobil IP, och ge förslag på utveckling och förbättring inom mobil IP.
Detta leder till följande frågeställningar:
·
Vad är mobil IP?
·
Vad finns det för analytiska problem inom säkerheten
för mobil IP?
· Hur kommer fortsatt utveckling inom mobile IP att se ut?
Jag har i huvudsak gjort en undersökning genom att studera material på Internet. Utöver detta har jag insamlat primärdata i form av föreläsningar samt sekundärdata från artiklar och kurslitteratur.
Mobile Node (MN): Enheten har en fast hemadress i hemnätverket, vilken andra hostar använder när de adressera deras paket till den mobila noden oavsett var den befinner sig.
Home Agent (HA): En router som innehåller en lista av registrerade mobila noder i en besökslista. Listan används för att skicka vidare paket adresserade till en mobil nods IP-adress när den mobila noden inte är hemma. Den fångar upp paket med den mobila nodens adress och tunnlar det till den mobila nodens tillfälliga adressen, till c/o adressen.
Foreign Agent (FA): En router som assisterar en lokal närbelägen mobil nod som är hemifrån. Den förmedlar information mellan den mobila noden och hemagenten. Den tillhandahar en c/o-adress och skickar vidare paket som hemagenten tunnlat och skickar vidare paketet till den mobila noden. Den främmande agenten agerar endast när den blir uppmanad att utföra något och den har en minimal roll i jämförelse med hemagenten och den mobila noden.
Care-of-address (c/o-adress): En adress som identifierar den mobila nodens tillfälliga position när den inte är ansluten till hemnätverket. Paket som skickas till c/o-adresssen levereras genom den existerande Internet routingmekanismen, d.v.s. ingen mobil IP procedur är nödvändig för att en adress ska skickas till en c/o-adress.
Correspondent Node (CN): Noden som skickar paketet som är adresserat till den mobila noden.
Home Address: En parmanent IP adress som är tilldelad en mobil nod. Den är oförändrad oavsett var den mobila noden ansluter sig till internet.
Mobil agent: En agent som stödjer mobilitet, vilket kan vara både hemagenten eller den främmande agenten.
Tunnel: Vägen som leder paket från hemagenten, HA, till den främmande agenten, FA.
”IP in IP”- inkapsling: När IP-paket skickas används IP in IP inkapsling. Det är lätt att visa hur tekniken fungerar. På paketet med dess IP-adress sätts ett nytt IP-huvud på. Det ursprungliga paketet kan ses som en del av det nya paketet med den nya IP-adressn, se figur 1.
Mobil IP är ett internetprotokoll som är designat för att stödja mobila hostar. Målet är att möjliggöra att en host alltid är ansluten till internet oavsett var den befinner sig. Med mobil IP är det meningen att man ska kunna spåra en mobil host utan att behöva ändra dess mobila hosts IP-adress och därför är mobil IP en bra lösning för mobilitet i det globala Internet. Mobil IP möjliggör att mobila noder kan bevara all pågående kommunikation vid förflyttning eller vid byte av anknytning från ett nätverk till ett annat.
Mobil IP rekomenderades i juni
1996 av IESG (Internet Engineering Steering Group) och blev i november 1996
publicerad och accepterad som en standard. Den mobila IP standarden utvecklades
av IETFs (Internet Engineering Task Force) arbetsgrupp ”IP Routing for
Wireless / Mobile Hosts”. Alla officiella standarder för internet publiceras
som ”Request for Comments” (RFCs) och information om IETFs Mobile IP
finns beskrivet i RFC 2002-2006:
RFC 2002, defininerar självaste Mobila internetprotokollet.
RFCs 2003,
2004, definierar tre olika typer av tunneling som används vid Mobil IP.
RFC 2005,
beskriver tillämpning av mobil IP
RFC 2006,
beskriver den mobila IP Management Information Base (MIB). Den Mobila IP MIB
är en samling av de variabler som kan användas vid implementation av en
mobil nod och för konfiguration av en manager station som använder
version2 av Simple Network Management Protocol (SNMPv2).
Byggstenarna i mobil IP är:
Varje nod i sitt lokala ”hemnätverk” har en primäradress. Om en mobil nod flyttar till ett annat lokalt nätverk och i en helt annan domän, tilldelas noden en ny adress. Den tilldelade adressen kallas för sekundäradressen eller för care-of addressen (c/o-adressen).
En HA har till uppgift att hålla reda på var "hemnoderna" för tillfället befinner sig samt "tunnlar" datapaket till FA. En FA är oftast en router i det nya nätverket som ger ut sin IP-adress som nodens c/o-adress. Den mobila noden MN har nu två adresser och den meddelar sitt hemmanätverks att den har en ny adress, c/o-adressen. Denna operation måste skyddas med en stark autenticering. I hemnätverket registrerar HA att noden har flyttats. FAs fungerar som en mellanhand och tillhandahåller den s.k. care-of-adressen, och tar förmedlar data från HA och till den mobila noden.
Figur 2: Hur HA, FA och MH kan förhålla sig till varandra
När HA, som brukar vara en router, upptäcker paket som ska till MN tar HA hand om dessa, använder ”IP in IP” för att tunnla paketen till MNs c/o-adress. Om MN fick adressen till FA som c/o-adress kommer också tunneln att sluta hos FA som i sin tur skickar paketet vidare till MN. Paket i andra riktiningen, alltså från MN ut på nätet, hanteras oftast på vanligt sätt utan att gå förbi hemmanätet, se figur 2.
När mobila noder kopplar upp sig på främmande nätverk uppstår vissa säkerhetsproblem. Den mobila noden ska kunna behålla den service och säkerhet den har på sitt lokala hemnätverk. Den ska även kunna skydda all sin information och ha en säker dataöverföring när den besöker ett främmande nätverk. Det främmande nätverket ska även kunna skydda sina nätverks resurser och sin lokala trafik när det har främmande mobila noder uppkopplade mot sig. Säkerhetsriskerna som uppkommer med mobilt IP är bland annat:
Det mest grundläggande meddelandet i mobilt IP är en Registration Request. Det skickas med User Datagram Protokoll (UDP) och de viktigaste fälten är hemadress, Home Agent, c/o-address och Extensions.
Extensions består av en eller flera tillägg och ett av tilläggen som används vid autentifiering är Mobile-Home Authentication Extension och den använder sig i sin tur av Mobile Security Association. Det finns stora likheter mellan Mobile Security Association (MSA) och den vanliga Security Association (SA). MSA är en kollektion av säkerhetsöverenskommelser mellan noder.
Det mest uppenbara sättet för
en inkräktare att komma över data är att han styr om strömmen av paket som
är avsedda för den mobila noden till sig själv istället. Om det inte fanns
autentifiering skulle fienden bara kunna skicka ett nytt Registration Request
till hemagenten. Alla mobila noder, främmande agenter och hemagenter måste stödja
Mobile Security Association och dess extension måste ligga först i paketet.
Ett problem är att det inte är säkert att den mobila noden har en MSA
tillsammans med hemagenten, det är inte ens säkert att MN har en hemadress. För
att komma tillrätta med detta problem kan Mobilt IP använda sig av så kallade
AAA-servrar.
När MN
kopplar upp sig mot ett främmande nätverk kommunicera den med ett urval godkända
korresponderande noder. Dessa noder måste godkännas av både det främmande
och det egna hemnätverket. De data som skickas till och från den mobila noden
måste också godkännas av det främmande nätverket för att kunna passera
brandväggar som omger nätverket. Datat måste även kunna skickas på ett säkert
sätt för att den mobila noden ska behålla samma säkerhet som när den är
uppkopplad mot sitt privata hemnätverk. Nätverk som har främmande mobila
noder uppkopplade mot sig måste vidta nödvändiga åtgärder för att se till
att den mobila noden inte ska ha tillgång till alla nätverks resurser, som
t ex servrar och skrivare.
Ofta är det nödvändigt förutom autentifiering att också få reda på om en nod har rätt att utföra vissa uppgifter eller har rätt till information. Auktorisering av noder så att de kan använda sig av tjänster leder också fram till att betalningsinformation, accounting, får betydelse.
AAA baseras på att en klient som tillhör hemnätverket och behöver använda sig av en tjänst i ett annat nätverk i en annan domän måste identifiera sig på något sätt, visa en nyckel av något slag. Agenten, den korresponderande noden som mottager klienten eller MN behöver inte veta hur nyckeln ska tolkas utan den checkar med local authority (AAAL) i sin domän. Eftersom de två kommer från samma nätverk antas de vara auktoriserade med varandra. AAAL behöver inte heller veta hur nyckeln ska tolkas men den vet hur den ska kontakta en AAA-server på klientens hemdomän (AAAH) som kan autentifiera klienten. Protokollet förutsätter att AAA-servrarna tillhör ett nätverk så att de om de inte har någon SA med varandra kan få reda på det genom att fråga andra servrar i nätverket. En annan förutsättning är att klienten har en SA med AAAH men eftersom de tillhör samma domän är det inget konstigt.
Efter den inledande autentifieringen får den mobila noden använda sig av önskad tjänst utan att AAA-servrarna behöver kontaktas igen.
Varje mobil nod som inte har en hemadress måste ha en mobile node AAA Authentication extension (MN-AAA) så den kan bli autentifierad av AAAL. Samtidigt som AAAL autentifierar MN genererar den också nycklar som den skickar med i ett Registration Reply. Nycklarna används sedan av MN för att etablera en Security Association med hemagenten. På samma sätt använder MN en annan medskickad nyckel för att skapa en SA med fjärragenten. Nycklarna som skickas krypteras i enlighet med SA mellan MN och AAAL. En vanlig algoritm är MD5.
En AAA-server identifierar en klient genom dess Network Access Identifier (NAI) och genom att inkludera den NAI-informationen med en mobil ”registration request” kan AAA-servern snabbt identifiera clientens ursprung. NAI brukar ha formatet ”användare@domän”, vilket är ett bra sätt för att identifiera clienter som inte tillhör nätverket i domänen.
Som tidigare sagts behöver en mobil nod inte ha en hemadress men kan få tillgång till ett främmande nät ändå. Detta realiseras med hjälp av AAA-servrarna som även kan distribuera nycklar för autentifiering. Med NAI kan en mobil nod autentifiera sig själv utan att specificera hemadressen för att sedan få en adress tilldelad sig.
MD5
är algoritmen som oftast används i Mobilt IP. För de flesta funktioner måste
MD5 stödjas medan alternativa algoritmer är valfria. MD5 är en hashalgoritm
som producerar ett 128-bitars unikt meddelande. Algoritmen kan också användas
som krypteringsalgoritm och det är så den används vid nyckeldistribution. En
ström tillverkas med hjälp av SA mellan MN och AAAL tillsammans med
IP-adressen för MN.
Paket som skickas till MN förmedlas via hemagenten HA men paket som skickas av MN går direkt till destination. Mottagaren kan då se var paketet kommer ifrån genom att iakta avsändaradressen på paketet och lokaliser till vilket nätverk och domän MN är ansluten till för tillfället. Bakåttunnling kan lösa detta problem och det genom genom att alla paket från MN tunnlas till hemagenten innan de skickas vidare destinationadressen. En mottagare ser då bara att paketet kommer ifrån den mobila nodens vanliga hemmanät. Bakåttunnling genererar ett nytt problem. En inkräktare kan nu genom att kapa en egen tunnel skicka egna meddelanden genom tunneln till hemagenten för att få det att se ut som att han tillhör hemmanätet. En lösning är att kräva autentifiering av alla meddelanden som skickas till skillnad från den vanliga tunneln där endast registreringsmeddelanden autentifieras.
IPsec används tillsammans med mobil IP och erbjuder autentiserad och konfidentiell service för att skydda all data mot passiva och aktiva attacker och för att hjälpa dem passera säkerhetspunkter som t.ex. brandväggar.
IPsec använder
två protokoll för att erbjuda en säker data överföring, Authentication
Header (AH) och Encapsulating Security Payload (ESP). AH är designad
för att autentisera och skydda integriteten av ett helt datagram och för att
kontrollera att innehållet inte har ändrats på vägen. ESP protokollet
erbjuder konfidentiell dataöverföring (kryptering). Det kan även erbjuda
samma tjänst som AH gör. Användningen av protokollen för tunnling av IP-paket medför ett skydd
mot både passiva och aktiva attacker mot paketen. Den gör det också möjligt för paketen att passera de
brandväggar som omger både de hem och främmande nätverk som den mobila noden
kan koppla upp sig mot.
En brandvägg är ett system eller flera system som utför kontroll mellan ett privat nätverk och Internet. Brandväggen gör det genom olika funktioner så som paketfiltrering och kryptering. Brandväggen jämför kända komponenter i paketet t.ex. hemadress eller portnummer och bestämmer enligt en säkerhets policy om paketet får gå igenom brandväggen eller inte. Därför kan det var en bra idé att låta agenterna vara en del av brandväggen i Mobilt IP.
Mobil IP ger användare möjligheten att alltid vara uppkopplade mot Internet. Mobil IP användning har inte riktigt ännu tagit fart, men är helt klart på frammars. För att nämna exempel på pågående utveckling har vi det Europeiska UMTS-systemet och det Nord Amerikanska CDMA 2000-systemet under utveckling. I takt med ökad användning kommer även kraven på säkerhet inom mobil IP att öka.
Mobilt IP är ett protokoll vad gäller säker kommunikation även om det fortfarande finns en del frågetecken och än så länge ger det inte ett fullständigt och säkert skydd. Det löser inte det vanliga problemet med nyckeldistribution utan baserar den säkerheten på andra protokoll. Bortsett från detta löser protokollet uppgiften att tillhandahålla ett säkert paket för mobila noder.
Fördelen
med mobilt IP är att det inte kräver några stora förändringar på routrar,
högre protokoll som TCP och UDP eller på det befintliga Internet
Genom användningen av två IP-adresser och agenter ökar säkerhetsriskerna. Dessa kan elimineras genom att använda AAA, bakåttunnling, MD5-kryptering och säkerhetsprotokoll som IPsec mm.
Tunnling bör
användas åt båda hållen, dvs både mellan hemagenten och den mobila noden
och den mobila noden och hemagenten. Då kan datagrammen skickas på ett säkrare
sätt åt båda hållen och samtidigt undvika att datagrammen kastas bort av
filtrerande routrar och brandväggar. Det
här systemet med agenter och tunnlar ökar dock belastningen och trafiken på nätet.
Tunnlar är också väldigt prestandakrävande varför de bör användas med
viss försiktighet men naturligtvis med säkerheten i åtanke. Direkta tunnlar,
dvs. tunnlar mellan korresponderande nod och mobil nod, kan vara ett bra
alternativ. Det krävs dock att säkerhetsnivån är den samma som för vanlig
tunnling mellan agenter.
AAA Registration Keys for Mobile IP, http://www.ietf.org/internet-drafts/draft-ietf-mobileip-aaa-key-04.txt
IP Mobility Support (RFC 2002), http://www.ietf.org/rfc/rfc2002.txt
Mobile IP Authentication, Authorization, and Accounting Requirements (RFC 2977),
http://www.ietf.org/rfc/rfc2977.txt
Ollikainen, Ville, Mobile IP explained, 10th April 1999 http://www.tml.hut.fi/Opinnot/Tik-111.550/1999/Esitelmat/MobileIP/Mobip.html
Perkins, Charles E., Mobile Networking Through Mobile IP, http://www.computer.org/internet/v2n1/perkins.htm
Reverse Tunneling for Mobile IP, revised (RFC 3024), http://www.ietf.org//rfc/rfc3024.txt
Stevens, W. Richard, TCP/IP Illustrated, Volume 1, 17th edition, 2000, s 14
http://www.it.kth.se/~d91-fta/exjobb/draft/ip4-in-ip4.txt
http://www.cs.huji.ac.il/~anker/com-seminar/mobile/mobile-ip/sem_presentation/index.htm
http://www.ir.bbn.com/projects/moips/draft-ietf-mobileip-ipsec-use-00.txt