北方交通大学 高福令 陈福
移动IP是目前唯一可以在Internet上为移动计算机提供无缝漫游的协议,它突破了计算机机房、电话插座和地域等的限制,使人们能够随时、随地、更加灵活地访问互联网、企业局域网(LAN)等,以便及时获得所需信息和进行商务活动。但移动IP通信既经过了无线链路,又通过了有线链路,增加了受外来攻击的概率。因此人们在享受丰富的信息资源和便捷服务的同时,也面临更大的网络信息安全方面的威胁,这些威胁的种类很多,概括起来可以归纳为三个类别:拒绝服务攻击、未授权访问和冒充,通过分析这些威胁,找出相应对策,可以避免或减少损失。
移动IP技术
移动IP协议(RFC2002)定义了移动节点(Mobile Node)、本地代理(Home Agent)和外地代理(Foreign Agent)三种功能实体。移动节点是一台主机,也可以是移动网络中的一台路由器,它在切换链路时不改变IP地址,也不中断正在进行的通信。每个移动节点有两个地址:本地地址和转交地址(Care-of-Address)。本地地址是移动节点的IP地址,当移动节点在互联网上移动时,它的本地地址是不变的;转交地址是连接本地代理和移动节点的隧道的出口,当移动节点切换到外地链路时,转交地址也随之而改变。本地代理和外地代理分别是连接移动节点的本地网络和外地网络的主机或路由器。
移动IP的三个基本功能是:
* 代理搜索:移动节点通过代理搜索确定它的当前位置,并获得一个转交地址。
* 注册:通过这个过程,移动节点向外地代理请求服务,并把它的转交地址通知本地代理。
* 数据转发:当移动节点连接在外地网络上时,为它发出的或发往它的数据进行路由选择。
1)移动节点通过发送代理请求或通过接收本地代理和外地代理发送的代理广播信息确定自己是连在本地网络还是外地网络上。如果是连在本地网络上,移动节点就可像固定节点一样工作,即它不再利用移动IP的其它功能;
2)如果移动节点连在外地网络上,它就从外地代理广播的代理广播信息中找到外地代理的转交地址,同时向本地代理注册得到的转交地址,途中可能经过外地代理。本地代理通过向移动节点发一条注册应答信息来通知对它的请求的处理——接收或拒绝;
3)注册完成后,本地代理截获发往移动节点的数据分组,封装后通过隧道将数据分组送到移动节点的转交地址。在那里数据分组被从隧道中取出,送往移动节点;
4)相反,由移动节点发出的数据分组通过标准的路由选择技术直接发送到目的节点而无需隧道技术。对移动节点的数据分组来说,外地代理完成默认路由器的功能。
威胁的种类和对策
根据以上移动IP工作的机制,下面便可分析移动IP中存在的各种安全威胁和对策。
1 拒绝服务攻击和对策
拒绝服务(DoS:Denial of Service)是指服务的中断,中断原因可能是系统被毁坏或暂时性不可用,如摧毁计算机硬盘、物理设备和耗尽所有可用内存。在移动IP中具体的攻击形式为:
(1)黑客向本地代理发出伪造的注册请求,把自己的IP地址当作移动节点的转交地址,在注册成功后,本地代理将根据黑客注册的转交地址,把目的地址是移动节点的数据分组通过隧道送给黑客,黑客得到应送给移动节点的数据,而真正的移动节点却被拒绝服务,因此再也收不到任何数据。
对付这种攻击的有效方法是:对移动节点和本地代理之间交换的所有注册信息进行有效的验证。移动节点与本地代理共享密钥,移动节点采用Keyed MD5(Message Digest 5)算法,计算注册请求信息和共享密钥的信息摘要,得到定长为16字节的信息摘要,移动节点把信息摘要放入注册请求信息的移动-本地认证扩展的认证域中,组成一个具有认证和完整性检查功能的注册请求信息。当此信息到达本地代理后,本地代理利用和移动节点共享的密钥计算信息得到信息摘要,把它与信息认证域中的信息摘要比较,如果相等,则说明是真正移动节点发出的注册请求,并且这个请求在传送过程中没有被篡改;如果不相等,则丢弃这个数据分组。本地代理向移动节点回送的注册应答信息同样采用信息摘要的方法。
(2)黑客以(TCP连接请求)数据分组不断“轰炸”服务器,服务器不得不处理这些请求,并为每一个请求分配一块内存和其他资源,服务器的CPU忙于处理这些无用的数据分组或耗尽内存,而无法响应其它有用信息。因为目前的单播数据分组的路由只依赖于目的地址,并不一定要查看源地址,因此黑客将数据分组的源地址设置成一个不存在的地址或一个合法的地址来欺骗,使得合法的移动节点被拒绝服务。
到目前为止,还没有较好的技术方法解决这类攻击,但“包过滤技术”(IP Filtering or packet filtering)可以减轻它的威胁。包过滤技术原理在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。路由器设置包过滤技术:如果有一个数据分组进入路由器后,路由器发现通常到达该数据分组源地址所属网络端口地址与其进入的端口不相符,则怀疑该源地址是假冒的,于是将该数据分组丢弃。但黑客可以继续假冒网络中的某个IP地址,发起攻击。如果所有的ISP都设置包过滤技术,就可以把这种攻击的数据分组封锁在其发起地,而不会秧及外面的网络。但包过滤技术也严重影响到了位于外地链路上的移动节点发出的数据分组,因为一个连接在外地链路上的移动节点发出的数据分组以本地地址为源地址,而路由器认为该地址应位于移动节点的本地链路上,因此将其丢弃。采用反向隧道技术可以解决包过滤技术给移动IP带来的这个问题。当移动节点注册时,可以申请反向隧道服务,将自己产生的数据分组加以隧道封装后再送到本地代理,根据移动节点采用的是外地转交地址还是配置转交地址,封装工作可以由外地代理或移动节点完成。封装后的数据分组的源地址和目的地址在拓扑上都是正确的,不会被过滤机制丢弃。
2 假冒
假冒与未授权访问有密切的关系,假冒是指通过出示伪造的凭证来冒充别的事物或别人的能力,可以通过包欺骗和重发攻击产生假冒。重发攻击就是一种假冒攻击,它利用身份验证机制中的漏洞先把信息记录下来,然后再发送出去。通常在窃听他人的数据分组后,会发生重发攻击,在移动IP中,最常用的重发攻击是,黑客通过窃取会话,截获数据分组,把一个有效的注册请求信息储存起来,然后向移动节点发送大量无用的数据分组,占用移动节点CPU的全部时间,再利用存储的有效注册请求信息向代理服务器注册伪造的转交地址。
为了防止这种重发攻击的发生,移动节点为每一个注册信息标识域产生一个唯一值,这个值使本地代理能够知道下一次注册请求的值是多少。移动IP共定义了两种标识域的填写方法,第一种是利用时间标签,移动节点将当前的日期和时间写进标识域,移动节点产生的这种标识域必须在本地代理允许的时间误差范围之内,否则本地代理将拒绝请求,并向移动节点提供同步时钟的信息。第二种采用Nonce,移动节点规定了本地代理发送的下一个注册应答信息标识域的低半部分中设置的值,本地代理也规定了移动节点发送的下一个注册请求信息标识域的高半部分中设置的值,如果任一方在收到的信息的标识域中的值与期望的不匹配,则将此信息丢弃。此措施使黑客存储的注册请求成为过时的信息,不被本地代理和移动节点理睬。
3 未授权访问
未授权访问是指未经授权的实体获得了访问网络的资格,并有可能篡改资源的情况。未授权访问一般是在不安全的传输通道上截取正在传输的信息或者利用协议或网络的弱点来实现的。网络上的数据分组是否被窃听主要取决于采用的技术,介质共享的网络最容易被窃听。而移动IP正是这样一种网络,其中的无线链路是非常脆弱的,为得到链路上传送的信息,黑客并不需要物理地连接到网络上,目前市场上可以用于窃听的设备和程序是很多的。例如可利用SNMP协议、TraceRoute程序、Whois协议和Finger协议等获得有关信息。
对于这种攻击,可以采用链路加密、节点对节点加密和端对端加密等方式处理,但本文认为最好的方法是采用端到端加密。端到端加密是指在通信的源对数据加密,在目的地对数据解密,中间链路上传输的全是密文。此方法的优点主要有:
* 不论链路是有线还是无线,在网络的任一点上,数据均得到保护,其它方法只能对网络的一部分有效。
* 只在目的地对数据解密,既保证了安全性,又降低了传输时延。
* 通过公网访问专网不会降低专网里数据的安全性。
ESP(Encapsulting Security Payload,封装安全净荷)协议提供了端到端的加密功能,它不仅对应用层数据和协议报头加密,也对传输层报头加密,并能提供验证和完整性检查。其它端到端加密协议还有SSH(Secure remote SHell,远程安全外壳)、SCP(Secure remote file Copy,远程文件安全拷贝)和SSL(Secure Sockets Layer,安全套接层)。
4 其它攻击
移动节点和网络本身对来自“内部的攻击”是非常脆弱的,其它网络亦如此。据美国联邦调查局的报告,计算机犯罪每年造成的经济损失高达50亿美元,而这些犯罪中的三分之二来自内部攻击。这些攻击一般与员工素质有关,对待这种攻击的对策如下:
(1)对用户和计算机采取严格的验证,取消用户名/口令的明码传输。
(2)对计算机间传送的数据采用端到端加密。
(3)对各部门的数据访问采用严格的等级限制。
另一种攻击是黑客利用内部的管理不善,突破网络的物理安全机制,建立到达网络的一条物理连接,如偷偷溜进一间会议室,将计算机连接到一个网络插座上,通过监听移动IP的代理广播信息和各节点的数据分组,推测出链路的网络前缀,并欺骗服务器而有可能获得一个 IP地址,攻击其它主机等。对于此类攻击,可采用以下措施:
(1)所有公共的网络接口,如会议室内的接口应设置为连接到外地代理上,把外地代理配置成实现与其代理广播信息中R比特有关的策略,并拒绝为链路上没有在本地代理注册的节点路由数据分组。
(2)将所有可能被窃听的链路节点全部移走,不论是移动的还是非移动的。
(3)加强机房管理、运行管理、安全组织和人事管理。
总结
总之,黑客的攻击是多种多样的,并不仅限于以上形式和手段,有些是预料不到的,因此在组建、应用网络时要进行风险管理,根据风险评估,确定风险缓解和安全成本,制定安全策略,避免安全威胁造成的损失或减少损失。
摘自《通讯世界》