A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

STUN – Simple Traversal of UDP Through NATs Márcio Leal de Melo Dahia.

Apresentações semelhantes


Apresentação em tema: "STUN – Simple Traversal of UDP Through NATs Márcio Leal de Melo Dahia."— Transcrição da apresentação:

1 STUN – Simple Traversal of UDP Through NATs Márcio Leal de Melo Dahia

2 Roteiro Introdução - NAT Tipos de NAT Problemas STUN Principios básicos Tipos de Mensagens Cenário STUN no mercado Conclusões Bibliografia

3 Introdução - NAT NAT (Network Adress Translator) Contornar limitação da quantidade de endereços IP Endereços IP “não roteáveis” usados na rede privada Intervalo 1: Classe A a Intervalo 2: Classe B a Intervalo 3: Classe C a IPs “roteáveis”, compartilhados por várias máquinas de acordo com a necessidade NAT é o dispositivo capaz de fazer a tradução bidirecional entre endereços privados e públicos

4 Funcionamento de um NAT

5 Tipos de NAT(1/3) Full Cone Requisições de um determinado endereço interno são mapeados para o mesmo endereço externos Acesso de fora para dentro via endereço externo

6 Tipos de NAT (2/3) Restricted Cone Semelhante ao Full Cone, porém Acesso externo apenas para máquinas para respostas a requisições feitas previamente Port Restricted Cone Semelhante ao Restricted Cone, porém Acesso restrito a porta de requisição

7 Tipos de NAT (3/3) Symmetric O endereço e porta a serem recebidos dependem do endereço externo a ser acessado Como o Port Restricted, o acesso externo é permitido apenas para resposta

8 Problemas (1/5) Necessidade crescente de acesso bidirecional nas bordas da rede Aplicações como: Voz sobre IP – receber ligação Instant Messengers – ser contatado por amigos Compartilhamento de arquivos – permitir upload Etc. etc. etc.

9 Problemas (2/5) Grande parte soluções necessitam modificações na middlebox... Port-forwarding

10 Problemas (3/5) Universal Plug-and-Play (UPnP) Cisco, Microsoft, Nokia Hardware upnp-habilitado pode ser configurado pela aplicação

11

12 Problemas (4/5) Aplication Layer Gateway (ALG) Camada de software no NAT que permite a “passagem” de protocolos previamente definidos

13 Problemas (5/5)...Ou são muito pesadas (Uso de Relays) Servidor intermediando a comunicação entre os pontos

14 STUN (1/2) RFC 3489 – Março de 2003 Permite que entidades atrás de NAT Descubram a presença de NAT Descubram o tipo de NAT Descubram seu endereço público Quantidade arbitrária de NATs Não atravessa Symmetric NATs

15 STUN (2/2) Principio básico Servidor conectado diretamente à rede 2 IPs e 2 portas Um dispositivo na rede pública conhece o endereço externo do dispositivo atrás do NAT Características do protocolo UDP Magro e simples Servidor não precisa manter sessões com o cliente Ideal para altas demandas de pouco conteúdo

16 STUN – Configuração de Análise

17 STUN – Tipos de mensagem Protocolo tipo cliente-servidor Shared Secret (Request, Response e Error) Requisita login/senha para as próximas mensagens TCP (TLS) Expira (entre 10 e 30 min.) Binding (Request, Response e Error) Protocolo propriamente Dito (UDP) Diversos parâmetros

18 STUN – Binding Request RESPONSE-ADDRESS Indica para que endereço a resposta deve ser enviada CHANGE-REQUEST Indica que o servidor deve enviar a resposta com IP OU porta diferentes

19 STUN – Binding Response MAPPED-ADDRESS Indica qual o endereço público do cliente SOURCE-ADDRESS Indica IP do servidor CHANGED-ADDRESS Indica IP e porta para onde a resposta foi enviada REFLECTED-FROM IP e porta do cliente que fez o request

20 STUN – Binding Ambos USERNAME/PASSWORD Definidos pelo Shared Secret MESSAGE-INTEGRITY HMAC (Keyed-Hashing for Message Authentication ) Error ERROR-CODE UNKNOWN-ATTRIBUTES

21 STUN - Cenário Suponha uma aplicação multimídia que necessite saber se Está na Internet diretamente Tem um Firewall que bloqueia UDP Tem um Firewall que permite UDP de saída Qual o tipo de NAT

22 STUN - Cenário Sim Não Sim Não Sim Não Teste 1 Resp? UDP bloqueado IP público Firewall de UDP simétrico Mesmo IP? Resp? Teste 2 NAT Full Cone NAT Symmetric NAT Restricted NAT Port Restricted Teste 2 Resp? Teste 3 Teste 1 Resp? Binding request simples (sem mudanças de IP) Binding request. Mudança de IP e porta (CHANGE-ADDRESS) Binding request. Apenas mudança de porta (CHANGE-ADDRESS) Sim Não Binding request simples usando o endereço e porta secundários do servidor Mesmo IP?

23 STUN no mercado Implementação Open Source disponível

24 STUN no mercado VoIP (OpenPhone)

25 STUN no mercado XTunnels Solução OpenSource de conectividade Usa STUN, mas não exclusivamente

26 Conclusão Deve ser visto como um Co-protocolo Não funciona com Symmetric NAT Máquina intermediária (Relay) Não faz milagres Servidor é um ponto de falha na rede Segurança, Tolerância a falha

27 Bibliografia IETF RFC STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs). IETF RFC1918. Address Allocation for Private Internets. Jeff Tyson. How Network Address Translation Works. Newport Networks. White paper: Solving the Firewall and NAT Traversal Issues for Multimedia over IP Services. networks.com/whitepapers/nat-traversal.htmlhttp://www.newport- networks.com/whitepapers/nat-traversal.html UPnP Forum. Implentaçao STUN. OpenVoIP. Xtunnels.


Carregar ppt "STUN – Simple Traversal of UDP Through NATs Márcio Leal de Melo Dahia."

Apresentações semelhantes


Anúncios Google