NSIS 中的 NATFW 信令在移动 IPv6 下的研究.doc

精品论文nsis 中的 natfw 信令在移动 ipv6 下的研究温兴华 北京邮电大学信息与通信工程系，北京 (100876) e-mail: 摘要：随着网络技术特别是移动 ipv6 技术的发展，移动办公己经成为了生活工作的需要。为了网络安全而广泛应用的防火墙技术在与移动 ipv6 应用过程中出现了很多问题，本文对 防火墙技术在移动 ipv6 网络环境中应用的过程中出现的问题进行了详细的分析，对 nsis 协议进行了详细的介绍，其中重点研究了 nsis 协议中的 natfw nslp 信令应用。natfw nslp 信令应用中提出可以通过信令改变信令所经过的路径上的防火墙的规则。可以应用 natfw nslp 协议来解决防火墙穿越的问题。目前，网络中部署的大部分防火墙不支持移 动 ipv6，利用 nsis 协议的 nat/fw nslp 配置防火墙策略是一种通过信令方式使移动 ip 消息穿越防火墙的方案，应用 natfw nslp 协议，参与通讯的节点发出信令，创建 nsis 会话，通过安全认证建立了 nsis 会话后，就可以通过对防火墙规则的改变来解决因为移动性而带来的穿越问题。关键词：移动 ipv6；nsis；natfw；防火墙穿越1.引言近几年来，internet技术的迅速发展和网络的日益普及使人们对计算机的传统认识发生 了巨大的变化。人们传统的生活、工作方式都收到internet的网络化、信息化的巨大的影响， 并渗透到社会的各个方面，internet已成为人们的一种重要、有效的工具。e-mail, ftp,网络 商城、各种信息的查询与发布系统等已经成为人们进行各种信息交流不可缺少的重要的工 具。然而，目前基于ipv4的互联网在实际应用中越来越暴露出其不足之处。随着人们对移动办公的需要以及个人手提电脑的普及、无线技术的发展，无线互联网逐 渐受到重视，己经提到了议事议程。国内外很多专家认为:笔记本电脑、掌上型电脑、个人 数字助理(pda)将代表连入internet的主流设备。越来越多的人成为了移动办公的一分子，包 括远程计算机人员、移动售货员以及其它一些经常需要跑来跑去的人，这些人急切的希望能 从企业网的计算机中或是互联网上获得所需的数据。不断增加的移动办公人群、对网络越来 越强的依赖和移动计算技术的发展推动着移动计算机与其他计算机相连的需求的不断发展。 移动计算机的优点是用户可以随便改变他们的互联网接入点，在这个基础上，让人们能够随 时、随地访问internet，这成为当前internet技术研究的一个热点。在这种背景下出现了新的 互联网协议ipv6。ipv6就是为了解决现行internet出现的问题而诞生的。ipv6继承了ipv4的优点，并根据 ipv4多年来运行的经验进行了大幅度的修改和功能扩充，根据对移动性的需要更多地考虑到 了移动ip的实现，比ipv4处理性能更加强大、高效。与互联网发展过程中涌现的其它技术概念相比，ipv6可以说是引起争议最少的一个。人们也已形成共识，认为ipv6取代ipv4是必然发展趋势。基于ipv6的移动ipv6可以使用户在不中断网络连接的情况下随意漫游，给用户带 来了极大的方便。但在移动ip的环境中。主机可以随意进行移动，并且可以使用包括无线信 道在内的多种传输媒介，由此也决定了它将面对更多的安全问题。所以在扩展现有的ip网络、 提供更多增强功能的同时，必须仔细地考虑它对网络安全的影响，使得移动ip必须在实现的 过程中进行安全扩展、增加额外的安全措施，以防范可能的针对移动ip的攻击；由于移动ip 必须与现有的ip网络共存，因此移动ip不仅要解决现有的各种各样安全手段带来的不便，还 要尽可能的利用现有的安全手段保护移动ip的安全，这就需要调整、扩展基本的移动ip技术，-7-使之能够与现有的安全手段很好的协同工作。本文首先在第2部分简要介绍了在目前防火墙在应用过程中与移动ipv6产生的矛盾。第4 章介绍nsis的natfw nslp协议。第3章在对当前的存在的主要问题的分析后，提出基于 natfw nslp的解决方案。方案的核心就是应用natfw nslp改变防火墙的规则，解决由 于移动性而带来的矛盾。第4章对提出的解决方案进行分析，给出简单算法和模拟试验。最 后一章是对全文的总结，并对下一步工作进行展望。2.移动 ipv6 下防火墙穿越需求作为一个重要的安全设备，防火墙被广泛应用在现有的网络中。然而当前的防火墙本质 上都是为固定网络而设计的，很难支持移动ipv61。在现有的典型的移动ipv6网络中，我们 目前所研究和讨论的各种情形都是不含有防火墙设备的理想情形，一旦在移动ipv6网络中加 入现有的防火墙设备，那么移动ipv6的消息便被防火墙所阻塞。移动ipv6消息不能通过防火 墙的主要原因有两个。一是，一旦mn移动到一个新的链路，发送或来自mn的数据通信由 于有新的转交地址coa标识，这就引起通信被当作是一个新的连接。另一个主要的原因是防 火墙不能识别移动ipv6的控制消息，例如bu，ba，coti，hoti等等，其中的每一个消息都 将被防火墙认为是一个新的连接。2.1 移动节点在一个有防火墙保护的网络内假设移动节点a在一个有防火墙保护的网络内。（1）当移动节点连接到网络时，它需要一个当地ip地址(coa)，根据当前的配属点发送 绑定更新给家乡代理。按照移动ipv6(mipv6)的说明，绑定更新和认证将由ipsec esp保护。 然而，作为一个默认的规则，很多防火墙会把esp包丢掉。这可能导致mn和ha之间的绑定 更新和认证会被丢掉。（2）现在假设网外的节点b尝试和移动节点a建立一个连接。（a）b发送一个包给mn的家乡地址；（b）这个包将被mn的ha截取，经由隧道方式发送给mn的coa；（c）当到达被防火墙保护的移动节点a时，包可能已被丢掉，因为进入的包可能不匹 配任何一个存在的状态；（d）b将不能联系到移动节点a而且不能建立连接。 尽管ha己经更新了mn的位置，当mn在一个有防火墙保护的网络内时，防火墙可能还是阻止cn建立通讯。（3）假设一个在mn a和外部节点b的连接。mn a可能想使用最优路径(ro)，以便包 可以直接的在mn和cn之间进行交换不必经由ha。然而防火墙保护的mn可能引出的问题 是，迂回路由过程(return routability procedure)必须在使用ro前完成。按照mipv6说明，迂 回路由测试(return routability test rrt)的家乡测试(hot)消息必须用隧道模式由ipsec保护。 然而因为防火墙不能分析由esp加密的包，防火墙可能丢掉任何被esp保护的包。防火墙可 能会丢掉家乡测试消息而且阻止rrt,程序的完成，使得rrt不能进行，从而不能实现最优路 径。（4）假设mn a成功的发送了绑定更新给他的ha (cn)，问题1(问题3)被解决。接着从 ha(cn)发送消息到mn的coa。然而还是会因为没有任何相应的状态在防火墙使得防火墙将 进来的包丢掉。需要在防火墙创造适当的状态规则使得mn可以与其他节点进行通讯。（5） 当mn a移动时，它可能移动到一个被别的不同防火墙保护的网络。mn a可能发送bu给它的cn。然而，进来的包都可能因为mn归属的新的网络的防火墙没有任何mn的安 全关联被防火墙丢掉。2.2 通讯节点在一个有防火墙保护的网络内(1) mn b使用它的家乡地址 hoa b在和一个cn(cn a)建立通讯连接时，如果mn(mn b)想利用移动ipv6协议提供的移动性支持建立与cn a的通讯。通讯状态由被防火墙保护的 cn a创建，因此创建的状态是基于a的ip地址的(ipa)和节点b家乡地址(iphoab)。如果mn b决定发起和节点a的路由最优化过程，而路由最优化需要mn b发送绑定更新 到节点a，以便创建一个实体绑定高速缓冲器变换mn的家乡地址为它当前的转交地址。然 而，在绑定更新之前，移动节点必须首先完成rrt。mn b必须发送一个经由ha的初始家乡测试(home test init hoti)消息，和一个直接发送 给cn a的初始转换测试(care of test init coti)消息。coti消息的发送使用b的coa当作源地 址。这样的包不能匹配防火墙保护的任何实体，从而coti消息将被防火墙丢掉。hoti是一个移动包头，协议类型不同于已存在的状态，hoti也将被丢掉。这样的结果 就是，rrt不能完成，路由最优化不能实现。每个包必须通过节点b的ha，在b的ha和b之 间使用隧道。(2)假定对cn的绑定更新是成功的，防火墙仍可能丢掉一些包: (a)来自coa的，因为由coa发送过来的包不能匹配下层包过滤。(b) cn发给coa的包，如果上层包过滤己经实现。发送给mn的coa的上层包不匹配上 层包过滤。由此可见发送到(来自)coa的通讯的包过滤需要创建防火墙规则。要求防火墙依照检测 到的，来自外部，被防火墙保护的网络节点的绑定更新消息更新连接状态，可是因为当前的 防火墙没有办法检查绑定更新的合法性所以不能安全的更改状态信息。没有合法性检查的绑 定更新而改变防火墙的状态可能导致dos攻击。恶意的节点可能发送伪装的绑定更新强制防 火墙改变它的状态信息，从而导致防火墙丢掉来自合法地址的包。一个网络入侵者可能可以使用一个地址更新使得它自己的通讯进入网络。(3) 假设对cn的绑定更新是成功的，cn可能被不同的防火墙保护其结果可能是mn改变 ip地址，进入的包和出去的包可能可以通过不同的防火墙。新的防火墙可能没有任何cn的 关联状态，进入的也包括出去的)通讯可能会在防火墙处被丢掉。2.3 家乡代理在一个有防火墙保护的网络内假设mn移动到一个有防火墙保护的网络，以下的几种情况可能存在2:(1) 如果防火墙阻碍esp通讯，很多mipv6信令(例如绑定更新，hot)在防火墙会被丢掉。 因为绑定更新，hot和其它的mipv6信令必须由ipsec esp保护，防火墙将会阻止mn绑定更 新高速缓冲器和最优路径的实施。(2) 如果防火墙保护的ha阻碍未被要求进人的通讯，防火墙会丢掉建立连接要求的来 自的cn的包，还有来自mn的包。(3) 如果ha在网络内被几个防火墙保护，mn/cn的ip地址改变可能导致在到ha或来自ha的通讯通过一个不同的防火墙，对数据流它没有相应的状态对应。防火墙会将包丢掉。 因此，我们急需一种在移动 ipv6 网络环境中的一个防火墙的穿越机制。3.nsis 解决方案及在移动 ip 环境下穿越防火墙2001年11月ietf成立了nsis（next steps in signaling）工作组，致力于研究下一代信令 的需求、体系结构以及协议实现等问题。nsis工作组提出通用的ip层信令框架，并为网络实 体提供模型。它主要解决沿着数据路径的网络控制状态建立问题，并根据模块化的要求将信 令协议分成了两层，这种体系结构在很大程度上决定了nsis的灵活性和可扩展性。nsis基本的设计思想是把信令传输和信令应用分离开来，将信令协议分为两层：信令应用层3（nslp，nsis signaling layer protocol）和信令传输层4（ntlp，nsis transport layerprotocol）。其协议体系结构如图1所示：图1 nsis协议体系结构nsis natfw信令的主要目的是能够进行通讯5，穿过即使是有nat和防火墙的网络。 nsis natfw nslp信令可用来沿着数据路径动态的在所有natfw中间盒中安装增加的政 策规则。配置防火墙匹配nslp提供的政策规则以便可以向前发送数据包。配置nat匹配由 nslp信令提供的政策规则来翻译数据包。除nsis natfw信令主要目的外，nsis natfw 节点还可以要求阻塞特定的数据流，nilp为下层传输层使用协议gist6。应用本方案主要解决在移动ipv6环境下，mn、ha、cn分别或同时处于防火墙后，由 于地址改变引起的移动ip信令或数据无法穿越防火墙的问题7。在本部分的余下内容，用于分析本方案在用于移动ip环境下mn、ha、cn分别处于防 火墙之后的信令流程的操作步骤，在这其中又分为mn向cn发送数据（mn位数据发送方ds） 和cn向mn发送数据（cn为数据发送方ds）两种情况，共六种操作流程8 。4.实验及结果分析我们在ns2平台上完成了nsis协议的仿真实现，ns2版本使用allinone-2.29，移动ipv6的环境使用mobiwan补丁，在此之上实现ntlp和nslp两层信令的状态机。具体的源代码可以获得下载。下面是一个具体的仿真情形，其拓扑结构如下：图2 仿真拓扑图在1.0.0、1.1.0、1.2.0分别仿真设计一个防火墙，其规则设置为“all deny”mn移动前，cn 与mn进行通信，开始数据流被防火墙阻挡，在cn向mn的nsis信令发送后，nsis的nat/fw nslp在各个节点状态的建立，防火墙规则被修改，使移动前cn与mn通信的数据流正常通 过。各状态建立时间如下图表所示：表 1 mn 移动前各节点建立状态时间图3 mn移动前为数据进行穿越的nsis信令状态建立时间图mn移动后，在11.502时获得转交地址，转交地址coa为1.2.6，同时向ha发送bu消息， 为使bu消息通过路径上的防火墙，同样需要利用nsis协议进行防火墙穿越。在各个节点状态的建立时间如下：表 2 mn 移动后向 ha 发起信令各节点建立状态时间图4 mn移动后为bu进行穿越的nsis信令状态建立时间图之后的hoti和hot消息以及三角路由的数据包与上图中的路径相同，同样需要nsis协 议对防火墙进行穿越，与为bu消息的穿越类似。rtt过程中的coti、cot消息，mn发送给 cn的bu消息，需要nsis协议在新的路径上穿越防火墙，具体的防火墙探测和状态建立时间 如下图：表 3 mn 移动后向 cn 发起信令各节点建立状态时间5.结论图5 mn移动后在新路径进行穿越的nsis信令状态建立时间图本文通过详细介绍了nsis信令协议nslp，它允许主机依照数据流的需要沿着路径发送 信令配置防火墙。natfw nslp处理在数据路径上的动态配置的请求。在研究了众多的穿 越防火墙的方法后选取使用nsis信令协议解决防火墙穿越的问题。当防火墙是nsis可以识 别的，允许nsis信令通过的时候，可以通过信令的发送便得防火墙外面的节点通过网内节 点的认证与授权，允许经过认证和授权的网外的节点可以获得通过防火墙的权利，并可以通 过信令改变防火墙的规则，使得防火墙的穿越问题得以解决。参考文献1 f. le s. faccin. rfc4487-mobile ipv6 and firewalls problem statement. may 20062 f. bao y. qiu. solution of mipv6 friendly firewall.draft-qiu-mip6-friendlyfirewall-01.april 20073 m. stiemerling h. tschofenig. nat/firewall nsis signaling layer protocol(nslp). draftietf-nsis-nslpnatfw-14. march 5, 20074 h. schulzrinne r.hancock.gist: general internet signaling transport. draft-ietf-nsis-ntlp-13. april 2007 5 yang shen miao fuyou. firewall traversal for mobile ipv6. draft-miao-mip6-ft-02.may, 20066 h.tschofenig f. le mobile ipv6 - nsis interaction for firewall traversal. draft-thiruvengadam-nsis-mip6-fw-06. march 2, 20077 x. fu c. werner. nat/fw nslp state machine. draft-werner-nsis-natfw-nslpstatemachine-01. july 17, 2005 8 t. sanda x. fu. applicability statement of nsis protocols in mobile environments. draft-ietfnsis-applicabilitymobility-signaling-06. march 5, 2007an application of firewall traversal based on nsis inmipv6 environmentwen xinghuadepartment of information and telecommunication engineering, beijing university of posts andtelecommunications, beijing (100876)abstractwith the development of network technology especially the mobile ipv6, mobile work became moreand more important to peoples life and work. now, although firewalls are deployed wi