1 / 52

Mobile IPv6 セキュリティ

Mobile IPv6 セキュリティ. Arnaud Ebalard ( アルノー・エバラール ) - EADS コーポレート・リサーチ・センター・フランス Guillaume Valadon ( ギョーム・バラドン) - 東京大学/ パリ第 6 大学情報学研究所. 概要. IPv6 Mobile IPv6 セキュリティと Mobile IPv6 デフォルトの保護 IPsec. IPv6. IPv4 との違い. 機能上の変更 エンド・ツー・エンドの通信 ARP の代わりに ICMPv6 を用いる 構造上の変更 固定長ヘッダ

denzel
Download Presentation

Mobile IPv6 セキュリティ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mobile IPv6 セキュリティ • Arnaud Ebalard (アルノー・エバラール ) • - EADSコーポレート・リサーチ・センター・フランス • Guillaume Valadon (ギョーム・バラドン) • - 東京大学/パリ第6大学情報学研究所

  2. 概要 • IPv6 • Mobile IPv6 • セキュリティとMobile IPv6 • デフォルトの保護 • IPsec

  3. IPv6

  4. IPv4との違い • 機能上の変更 • エンド・ツー・エンドの通信 • ARPの代わりにICMPv6を用いる • 構造上の変更 • 固定長ヘッダ • ソースにおける断片化、チェックサムなし • ヘッダのチェイン化による拡張/オプション

  5. IPv6ヘッダ • Functional changes: • End-to-End communications • ARP replacement uses ICMPv6 • Structural changes: • Fixed length header • Fragmentation at the source; no checksum • Extensions/options through header chaining

  6. 拡張

  7. ルーティングヘッダ

  8. IPv6アドレス • 階層的/地理的 • 64ビット・プレフィックス • 動的に生成されるインターフェイスID

  9. 自動設定 • ICMPv6を基にしたメカニズム • ステップ • アクセスルータによって通知されたIPv6プレフィックスの検索(RS/RA:ルータ要請/ルータ通知) • 固有インターフェイスIDの生成 • グローバルアドレスの生成:プレフィックスおよび固有のインターフェイスIDの連結

  10. Mobile IPv6RFC 3775

  11. なぜ? • どこにいても同じIPv6アドレスを使用 • トランスポート層に対してのメディア変更を透過的にする • 移動中の接続を維持 • ラップトップ/PDAを、今日の携帯電話の使用方と同じ方法で使用

  12. 課題 • ルーティングが地理的なものであり、IPアドレスが二重の機能を持っている • 識別子: 機器の識別 • ロケータ: ネットワーク上の地理的位置 • アーキテクチャ上の制約 • 実際のエンドノードとの互換性 • 実際のルーティングシステムを変更していない • MIPv6は、エンドポイントに実装されているのみ

  13. どのように ? • プロトコルをIPv6スタックに統合 • 2つのIPv6アドレスを利用して、識別子とロケータの機能を分離 • HoA(ホームアドレス) • CoA(気付アドレス) • 3つの新たなエンティティ • 移動ノード(MN)、 CoAに関係なく、HoAで通信可能 • ホームエージェント(HA)、 HoAと現在のCoAを対応付ける • 対応ノード(CN)

  14. 動作 ? HoA: MNのパーマネントアドレス(識別子) CoA: 出先ネットワークにおけるMNのアドレス(ロケータ)

  15. 詳細

  16. 新たな拡張機能 • パケットのイングレスフィルタリング通過を可能にする。IPv6ヘッダには常に、 HoAではなくCoAが含まれる • トポロジーの正確さを維持 • タイプ2ルーティングヘッダ • 以前導入されたタイプ0ルーティングヘッダの制限バージョン(ただし、アドレスを1つだけ持つ) • パケットの本当の終点アドレス(HoA)をMNに提供 • ホームアドレスオプション(HAO) • パケットの本当の始点アドレス(HoA)をMNから提供

  17. タイプ2ルーティングヘッダ

  18. ホームアドレスオプション(HAO)

  19. 三角ルーティング 最適なルーティングを提供

  20. 困難な課題 • 安定した状態でのMN-CN間の通信の最適化 • ルーティングプレーンを利用した、識別子とロケータ間の関係の確保 • HoAおよびCoAにおいてMNが通信可能であることを検証 • CNに送信される対応付け更新(BU:Binding Update)に署名する鍵を生成する

  21. リターンルータビリティ手順 HoT: Home of Test    (ホームテスト) CoT: Care of Test    (気付テスト)

  22. RRP要約 • 目標:三角ルーティングの回避 • 仮説:MN-CN間に信頼関係が存在しない • 欠如:データの完全性/機密性を提供しない • 効率性とセキュリティのトレードオフ

  23. セキュリティ およびMobile IPv6

  24. 可能性のあるターゲット • ネットワークインフラを保護 • ステートレスな動作、慎重な設計 • MN-HA間の通信を保護(シグナリングとデータ) • IPsec • MN-CN間の直接通信を保護(シグナリングとデータ) • リターンルータビリティ手順 • 信号伝達 MN <-> HA • トンネル MN<-> • 信号伝達 MN <-> CN • データトラフィック <-> CN • リターンルータビリティ手順

  25. インフラの保護

  26. 課題とソリューション • アドバイス:「既存のインターネットに害を及ぼすな」 • スプーフィング(なりすまし)防止 • HoA所有者の証明 • 特化した拡張:HAOおよびタイプ2ルーティングヘッダ • DoS防止 • インフラに対して:「1つのメッセージが受信され、1つのメッセージが送信される」 • CNに対して:ステートレスな交換

  27. MN-CN間の通信

  28. リターンルータビリティ手順 • HoT/HoTI、CoT/CoTI および BU/BACKの交換 • CN:MNがHoAとCoAの両方でトラフィックを受信/送信できることを検証する • MN:CNに対して送信されるBUに署名する鍵を生成する • 想定される問題(MiTM、盗聴) • ホームネットワークに対する攻撃者 • フォーリンネットワークに対する攻撃者 • 両ネットワークに対する攻撃者

  29. MN-HA間の通信

  30. IPsec • IPsecに対する根拠 • IPv6スタックにおいて必須 • エンド・ツー・エンド通信 • 保護されるべきもの • シグナリングメッセージ(即ち、BUおよびBACK) • データトラフィック(即ち、MN-HA間のトンネル) • リターンルータビリティ手順(即ち、HoTI/HoT) • MIPv6/IPsec/IKE のやりとりに関連する問題

  31. シグナリングトラフィック

  32. BU BACK 基本 SA1 SA2 SA1: HoAからHA@に送られるBU => トランスポートモードのESP SA2: HA@からHoAに送られるBACK=> トランスポートモードのESP

  33. IPsecとMIPv6の連携 • 対応付け更新 (BU) • 送信:IPsec保護、HAOオプションによるCoAとHoAの切り替え • 受信:IPsec処理前のアドレス切り替え • 対応付け確認通知:タイプ2ルーティングヘッダに適用される処理と同種

  34. ブートストラッピング • SA(セキュリティアソシエーション)の設定は、BU/BACK送信前に実行されなければならない • 静的鍵交換では問題なし • 動的鍵交換では、誰かが、HoA に関連するSAのネゴシエーションのため、 CoAを利用するようIKEデーモンに命令しなければならない。HoAはまだ有効ではない • PF_KEY SADB_X_EXT_PACKET拡張 • ネゴシエーションを起動したBUパケットを含む • CoAをIKEデーモンに提供する

  35. データトラフィック

  36. トンネルモードSAのマイグレーション • 最初に、トンネルモードのSP(セキュリティポリシー)/SAがMNのHoAを利用する(設定時間にはCoAが分かっていない) • SAトンネルのエンドポイントの自動更新がMN/HAにおいて実行される • MNがBUを送信し、HAがそれを受信すると、MIPv6スタックがPF_KEY MIGRATEメッセージを送信する • メッセージの受信が、以下を起動する • カーネルによるSP/SA更新 • [IKEデーモンの内部構造の更新]

  37. Mobile IPv6 IKEデーモン 1. PF_KEY MIGRATE 4. MAJ SPD & SAD ユーザランド PF_KEYソケット カーネル 2. MAJ SPD 3. MAJ SAD SPD SAD

  38. 結論

  39. 結論 • 識別子とロケータの分離は、今日のインターネットと互換性がある • 「境界セキュリティ」の終焉? • ビルトイン型セキュリティのメカニズム:IPsecおよびRRP

  40. 想定される展開

  41. 今後の取り組み • MN-MN間のトラフィックにIPsec保護を活用する • 新たな前提条件:MN-MN間の信頼関係(例:PKI環境) • IKEv2統合

  42. デモンストレーション

  43. 実装 • Tests effectues avec MIPL et Shisa • descriptions succintes des resultats • la demo est la pour ca • preparer des slides en cas de demo bonaldi

  44. presentation de la demo/testbed • ping6 ? • stream video/audio ? <- couillu :-p

  45. 結論実装 • retourner a la maison • migrate pour dynamic keying

  46. ご質問は?それともコーヒー?

More Related