3.5.1. Tránh xung đột với lọc đầu vào bằng đường hầm nghịch
Nhiều bộ định tuyến cài đặt các chính sách bảo mật như “lọc đầu vào (ingress filtering)” không cho phép các gói tin IP có địa chỉ nguồn không đúng về
topo của mạng. Trong những môi trường đó, các MN có thể sử dụng định tuyến đảo (reverse tunneling) với địa chỉ nguồn là địa chỉ COA của FA. Các gói tin khi đó sẽ
có thểđi qua các bộđịnh tuyến.
Trong [2] đặc tả chuẩn giao thức Mobile IP dựa trên một giả thiết rằng, việc
định tuyến cho các gói tin IP đơn đích (unicast) dựa trên địa chỉđích mà không dựa trên địa chỉ nguồn trong phần tiêu đề của gói tin IP. Do các lý do về an ninh (như
giả mạo địa chỉ IP), và các khuyến nghị về bảo mật, nhiều bộ định tuyến và tường lửa đã phá vỡ giả thiết này: các bộđịnh tuyến và tường lửa này đã áp dụng một luật lọc gói tin: “địa chỉ IP nguồn và địa chỉ IP đích trong tiêu đề một gói tin phải đúng
về mặt topo mạng”. Tuy nhiên, địa chỉ IP nguồn trong gói tin Mobile IP luôn là địa chỉ cố định. Do đó, gói tin từ Mobile IP sẽ không thểđi qua router hoặc tường lửa
đó.
Giải pháp cho vấn đề này được giải quyết trong khuyến nghị ở [11] . Theo
đó, một kênh thông tin nghịch (reverse tunnel) được thiết lập. Điểm bắt đầu của kênh thông tin nghịch này là địa chỉ COA của MN; điểm kết thúc của kênh là HA.
Hình 42: Gói tin quảng bá của Agent
Mỗi khi MN di chuyển vào một mạng ngoài, nó phát hiện FA bằng cách lắng nghe các quảng bá của Mobile IP agent (Hình 42 - bit “T” được thiết lập, Agent hỗ trợ tunneling). Các thông tin quảng bá sẽ cho MN biết FA hỗ trợ kênh thông tin nghịch hay không. MN sẽ yêu cầu dịch vụ này khi nó đăng ký qua FA đã chọn. Sau đó, MN lựa chọn kiểu gửi tin: trực tiếp (Direct Delivery Style) hoặc đóng gói (Encapsulating Delivery Style).
Với kiểu trực tiếp, MN gửi một gói trực tiếp về FA mà không đóng gói. MN coi FA như bộ định tuyến ngầm định (default router). FA nhận các gói tin và chuyển ngược về HA theo tunnel kiểu IP in IP (ngầm định) hoặc một kiểu tunnel
được thỏa thuận khi đăng ký . Địa chỉ nguồn của tiêu đề ngoài của gói tin là địa chỉ
COA của MN. Kiểu trực tiếp chỉ cho phép để chuyển các gói tin unicast.
Với kiểu đóng gói, MN đóng gói các gói tin và chuyển cho FA. MN phải gán giá trị địa chỉ của FA một cách rõ ràng trong tiêu đề gói tin chứ không được để ở chế độ “default router”. FA tách các gói tin và chuyển tiếp về cho HA bằng cách
đóng gói lại và sử dụng địa chỉ COA như là đầu vào của tunnel mới. Kiểu đóng gói có thể sử dụng để chuyển các gói tin unicast hay quảng bá (broadcast, multi-cast).
3.5.2. Bổ sung tính năng cho firewall
Để Mobile IP có thể hoạt động một cách trong suốt, đáp ứng đúng yêu cầu
đặt ra của giao thức, các vấn đề liên quan tới hỗ trợ Mobile IP của hệ thống tường lửa được đề xuất trong [12] . Chúng cũng có thể ứng dụng cho Mobile IPv6 với những điều chỉnh nhỏ. Hai giải pháp có thểđược sử dụng cho firewall để hỗ trợ MN trong khi thực hiện kết nối qua Mobile IP là:
- Giải pháp thứ nhất dựa trên cơ chế chuyển tiếp ứng dụng (application proxying) khi mỗi MN thiết lập một phiên kết nối TCP (tới cổng 1080) tới firewall để trao đổi các gói tin UDP. Phương pháp này được thực hiện với giao thức SOCKS (phiên bản 5).
- Giải pháp thứ hai dựa trên mã hóa IP: dữ liệu từ MN tới firewall có thể được mã hóa và xác thực sử dụng một cơ chế giống như SKIP (Simple Key Management for Internet Protocols).
a) Giải pháp sử dụng SOCKS
Theo giải pháp sử dụng SOCKS, MN hoặc một nút khác được ủy quyền của MN, thiết lập một phiên kết nối TCP tới firewall để trao đổi các gói tin UDP. MN cũng sử dụng thư viện SOCKS đểđóng gói các dữ liệu gửi tới firewall.
Các bước trong giải pháp này sẽ bao gồm: - Thiết lập kết nối TCP tới cổng 1080
- Thương lượng việc lựa chọn phương thức và phiên bản - Yêu cầu và trả lời SOCK
b) Giải pháp dựa trên SKIP
Với giải pháp này, dữ liệu từ MN tới tường lửa có thể được mã hóa và xác thực sử dụng cơ chế bảo mật IP không có phiên (session-less) như SKIP. Giải pháp này loại bỏ yêu cầu thiết lập một phiên kết nối với tường lửa chỉđể trao đổi các gói tin UDP.
Giải pháp dựa trên SKIP rất hiệu quả trong kịch bản này bởi vì không tốn thời gian trao đổi gói tin UDP trước khi MN và tường lửa thiết lập quan hệ tin cậy lẫn nhau: tường lửa có thể bắt đầu chuyển tiếp các gói tin cho MN ngay khi tường lửa nhận được gói tin đầu tiên.