Tránh xung đột với lọc đầu vào bằng đường hầm nghịch

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 94 - 96)

Nhiều bộ định tuyến cài đặt các chính sách bảo mật như “lọc đầu vào (ingress filtering)” không cho phép các gói tin IP có địa chỉ nguồn không đúng về

topo của mạng. Trong những môi trường đó, các MN có thể sử dụng định tuyến đảo (reverse tunneling) với địa chỉ nguồn là địa chỉ COA của FA. Các gói tin khi đó sẽ

có thểđi qua các bộđịnh tuyến.

Trong [2] đặc tả chuẩn giao thức Mobile IP dựa trên một giả thiết rằng, việc

định tuyến cho các gói tin IP đơn đích (unicast) dựa trên địa chỉđích mà không dựa trên địa chỉ nguồn trong phần tiêu đề của gói tin IP. Do các lý do về an ninh (như

giả mạo địa chỉ IP), và các khuyến nghị về bảo mật, nhiều bộ định tuyến và tường lửa đã phá vỡ giả thiết này: các bộđịnh tuyến và tường lửa này đã áp dụng một luật lọc gói tin: “địa chỉ IP nguồn và địa chỉ IP đích trong tiêu đề một gói tin phải đúng

về mặt topo mạng”. Tuy nhiên, địa chỉ IP nguồn trong gói tin Mobile IP luôn là địa chỉ cố định. Do đó, gói tin từ Mobile IP sẽ không thểđi qua router hoặc tường lửa

đó.

Giải pháp cho vấn đề này được giải quyết trong khuyến nghị ở [11] . Theo

đó, một kênh thông tin nghịch (reverse tunnel) được thiết lập. Điểm bắt đầu của kênh thông tin nghịch này là địa chỉ COA của MN; điểm kết thúc của kênh là HA.

Hình 42: Gói tin quảng bá của Agent

Mỗi khi MN di chuyển vào một mạng ngoài, nó phát hiện FA bằng cách lắng nghe các quảng bá của Mobile IP agent (Hình 42 - bit “T” được thiết lập, Agent hỗ trợ tunneling). Các thông tin quảng bá sẽ cho MN biết FA hỗ trợ kênh thông tin nghịch hay không. MN sẽ yêu cầu dịch vụ này khi nó đăng ký qua FA đã chọn. Sau đó, MN lựa chọn kiểu gửi tin: trực tiếp (Direct Delivery Style) hoặc đóng gói (Encapsulating Delivery Style).

Với kiểu trực tiếp, MN gửi một gói trực tiếp về FA mà không đóng gói. MN coi FA như bộ định tuyến ngầm định (default router). FA nhận các gói tin và chuyển ngược về HA theo tunnel kiểu IP in IP (ngầm định) hoặc một kiểu tunnel

được thỏa thuận khi đăng ký . Địa chỉ nguồn của tiêu đề ngoài của gói tin là địa chỉ

COA của MN. Kiểu trực tiếp chỉ cho phép để chuyển các gói tin unicast.

Với kiểu đóng gói, MN đóng gói các gói tin và chuyển cho FA. MN phải gán giá trị địa chỉ của FA một cách rõ ràng trong tiêu đề gói tin chứ không được để ở chế độ “default router”. FA tách các gói tin và chuyển tiếp về cho HA bằng cách

đóng gói lại và sử dụng địa chỉ COA như là đầu vào của tunnel mới. Kiểu đóng gói có thể sử dụng để chuyển các gói tin unicast hay quảng bá (broadcast, multi-cast).

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 94 - 96)

Tải bản đầy đủ (PDF)

(121 trang)