Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouNathalie Guerreiro Alterado mais de 9 anos atrás
1
STUN – Simple Traversal of UDP Through NATs
Márcio Leal de Melo Dahia
2
Roteiro Introdução - NAT Tipos de NAT Problemas STUN STUN no mercado
Principios básicos Tipos de Mensagens Cenário STUN no mercado Conclusões Bibliografia
3
Introdução - NAT NAT (Network Adress Translator)
Contornar limitação da quantidade de endereços IP Endereços IP “não roteáveis” usados na rede privada Intervalo 1: Classe A a Intervalo 2: Classe B a Intervalo 3: Classe C a IPs “roteáveis”, compartilhados por várias máquinas de acordo com a necessidade NAT é o dispositivo capaz de fazer a tradução bidirecional entre endereços privados e públicos
4
Funcionamento de um NAT
5
Tipos de NAT(1/3) Full Cone
Requisições de um determinado endereço interno são mapeados para o mesmo endereço externos Acesso de fora para dentro via endereço externo
6
Tipos de NAT (2/3) Restricted Cone Port Restricted Cone
Semelhante ao Full Cone, porém Acesso externo apenas para máquinas para respostas a requisições feitas previamente Port Restricted Cone Semelhante ao Restricted Cone, porém Acesso restrito a porta de requisição
7
Tipos de NAT (3/3) Symmetric
O endereço e porta a serem recebidos dependem do endereço externo a ser acessado Como o Port Restricted, o acesso externo é permitido apenas para resposta
8
Problemas (1/5) Necessidade crescente de acesso bidirecional nas bordas da rede Aplicações como: Voz sobre IP – receber ligação Instant Messengers – ser contatado por amigos Compartilhamento de arquivos – permitir upload Etc. etc. etc.
9
Problemas (2/5) Port-forwarding
Grande parte soluções necessitam modificações na middlebox... Port-forwarding
10
Problemas (3/5) Universal Plug-and-Play (UPnP) Cisco, Microsoft, Nokia
Hardware upnp-habilitado pode ser configurado pela aplicação
12
Problemas (4/5) Aplication Layer Gateway (ALG)
Camada de software no NAT que permite a “passagem” de protocolos previamente definidos
13
Problemas (5/5) ...Ou são muito pesadas (Uso de Relays)
Servidor intermediando a comunicação entre os pontos
14
STUN (1/2) RFC 3489 – Março de 2003 Permite que entidades atrás de NAT
Descubram a presença de NAT Descubram o tipo de NAT Descubram seu endereço público Quantidade arbitrária de NATs Não atravessa Symmetric NATs
15
STUN (2/2) Principio básico Servidor conectado diretamente à rede
2 IPs e 2 portas Um dispositivo na rede pública conhece o endereço externo do dispositivo atrás do NAT Características do protocolo UDP Magro e simples Servidor não precisa manter sessões com o cliente Ideal para altas demandas de pouco conteúdo
16
STUN – Configuração de Análise
17
STUN – Tipos de mensagem
Protocolo tipo cliente-servidor Shared Secret (Request, Response e Error) Requisita login/senha para as próximas mensagens TCP (TLS) Expira (entre 10 e 30 min.) Binding (Request, Response e Error) Protocolo propriamente Dito (UDP) Diversos parâmetros
18
STUN – Binding Request RESPONSE-ADDRESS CHANGE-REQUEST
Indica para que endereço a resposta deve ser enviada CHANGE-REQUEST Indica que o servidor deve enviar a resposta com IP OU porta diferentes
19
STUN – Binding Response MAPPED-ADDRESS SOURCE-ADDRESS CHANGED-ADDRESS
Indica qual o endereço público do cliente SOURCE-ADDRESS Indica IP do servidor CHANGED-ADDRESS Indica IP e porta para onde a resposta foi enviada REFLECTED-FROM IP e porta do cliente que fez o request
20
STUN – Binding Ambos Error USERNAME/PASSWORD MESSAGE-INTEGRITY
Definidos pelo Shared Secret MESSAGE-INTEGRITY HMAC (Keyed-Hashing for Message Authentication ) Error ERROR-CODE UNKNOWN-ATTRIBUTES
21
STUN - Cenário Suponha uma aplicação multimídia que necessite saber se
Está na Internet diretamente Tem um Firewall que bloqueia UDP Tem um Firewall que permite UDP de saída Qual o tipo de NAT
22
Firewall de UDP simétrico
STUN - Cenário Binding request simples (sem mudanças de IP) Firewall de UDP simétrico Teste 1 Não Resp? Sim Mesmo IP? Sim Resp? Teste 2 Não Não Sim UDP bloqueado Teste 2 IP público Não Sim NAT Full Cone Resp? Teste 1 Binding request. Mudança de IP e porta (CHANGE-ADDRESS) Binding request simples usando o endereço e porta secundários do servidor Mesmo IP? Não NAT Symmetric Sim Resp? Sim NAT Restricted Teste 3 Não Binding request. Apenas mudança de porta (CHANGE-ADDRESS) NAT Port Restricted
23
STUN no mercado Implementação Open Source disponível
24
STUN no mercado VoIP (OpenPhone)
25
STUN no mercado XTunnels Solução OpenSource de conectividade
Usa STUN, mas não exclusivamente
26
Conclusão Deve ser visto como um Co-protocolo
Não funciona com Symmetric NAT Máquina intermediária (Relay) Não faz milagres Servidor é um ponto de falha na rede Segurança, Tolerância a falha
27
Bibliografia IETF RFC STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs). IETF RFC1918. Address Allocation for Private Internets. Jeff Tyson. How Network Address Translation Works. Newport Networks. White paper: Solving the Firewall and NAT Traversal Issues for Multimedia over IP Services. UPnP Forum. Implentaçao STUN. OpenVoIP. Xtunnels.
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.