A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Atravessando Firewalls em IP Móvel

PublicouGabrielhenrique Cotta Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Atravessando Firewalls em IP Móvel"— Transcrição da apresentação:

1 Atravessando Firewalls em IP Móvel
Por MARCIO BELO PPGC/IC/UFF Disciplina Computação Móvel Prof. Julius Leite Abril de 2003

2 Introdução (1) Tunelamento
IP Móvel: Mobile Node migra para outra sub-rede (foreign link) Mantém o mesmo IP à medida que muda seu ponto de acesso à Internet. Sem uso de Firewalls

3 Introdução (2) Rede Pública Rede Privada
Rede Privada: separada da Internet por hospedeiros impondo restrições de acesso (firewalls). Hospedeiros podem possuir endereços privados, não roteáveis na Internet Rede Pública: hospedeiros são capazes de se comunicar com outros através da rede pública sem restrições impostas por um firewall Firewall: impõe restrições nos pacotes que entram e deixam a rede por ele protegida. Pacotes não o atravessam sem antes eles atenderem uma determinada especificação ou então haver uma negociação envolvendo algum tipo de autenticação. Por usarem endereços IPs privados, todos os pacotes Internet endereçados para nodos da rede privada devem ser direcionados para o endereço (chamado real) do firewall.

4 Objetivos Prover ao Mobile Node o mesmo nível de conectividade e segurança que ele dispõe quando está em seu Home Link

5 Requisitos para a solução
O Foreign Link é na parte pública da Internet: não existe um Firewall separando-o dela Firewall não precisa saber nada sobre IP Móvel Funcionar com redes privadas de endereços Internet não roteáveis [RFC1918] Funcionar na presença de outros Firewalls entre o Home Agent e o Firewall no perímetro da rede privada O Foreign Link é na parte pública da Internet: não existe um FireWall separando-o dela: (...) Firewall não precisa saber nada sobre IP Móvel: basta que ele implemente autenticação de cabeçalho do IP, Encapsulamento de segurança do Payload IP, e implementar um protocolo de gerenciamento de chaves, como o SKIP Funcionar com redes privadas de endereços Internet não-roteáveis [RFC1918]: ou seja, numa rede cujos endereços utilizados internamente são privados Funcionar na presença de outros Firewalls entre o Home Agent e o Firewall no perímetro da rede privada: para fins de simplicidade, consideraremos nos exemplos a existência de apenas um firewall

6 Atravessando Firewalls usando SKIP (1)
Já é um RFC, ou seja, implementado Consideraremos: Firewall deve implementar SKIP Mobile Node possui a chave pública do Firewall e vice-versa Firewall e nodo móvel devem implementar algoritmos de autenticação e encriptação Mobile Node deve ser capaz de reconhecer se está “dentro” da rede privada Home Agent também deve saber se está recebendo uma requisição de dentro da rede privada ou de fora Já é um RFC, ou seja, implementado: novo livro cita como um Internet Draft, porém no momento da produção desta apresentação o padrão já havia sido estabelecido: RFC2356. É um protocolo sessionless. Consideraremos: Firewall deve implementar SKIP: algoritmo de gerenciamento de chaves. Repare que isso não quebra os novos requisitos, pois a grande maioria dos firewalls implementam esse algoritmo. Mobile Node possui a chave pública do Firewall e vice-versa: configurado manualmente. Alternativamente, pode haver uma maneira de trocar essas chaves dinamicamente usando um dos mecanismos definidos pelo protocolo SKIP (on-line certificate directory service). O Home Agent e o Firewall também devem conhecer cada um a chave pública do outro. Firewall e nodo móvel devem implementar algoritmos de autenticação e encriptação: assumiremos os algoritmos Keyed MD5 authentication [rfc1828] e Triple-DES encryption [rfc1851]. Devem ser implementados a nível de hardware ou software. Mobile Node deve ser capaz de reconhecer se está “dentro” da rede privada: deve ser configurado com um intervalo de endereços IP que são conhecidos como pertencentes à rede privada Home Agent também deve saber se está recebendo uma requisição de dentro da rede privada ou de fora: o home agent também deve ser configurado com o intervalo de endereços IPs que pertencem à rede privada. Isso permite que o home agent sabe ser o Mobile Node está tentando registrar um endereço care-of, para que desta forma ele modifique seu funcionamento para entregar pacotes pelo tunelamento para o firewall e o mesmo possa repassá-los para o endereço care-of.

7 Atravessando Firewalls usando SKIP (2)
Procedimento de registro: Mobile Node conecta a um Foreign Link e obtém um IP MN determina se está fora ou dentro de sua rede privada. Prosseguimos considerando MN externo: MN registra care-of externo no Mobile Agent, através de tunelamento seguro (Registration Request) ao Firewall O Firewall determina a identidade do MN e descobre como a mensagem foi codificada O Firewall encaminha a mensagem para o Home Agent Home Agent recebe a mensagem e a processa Caso OK, Home Agent retorna uma mensagem de confirmação Firewall envia através do tunelamento a mensagem para o MN MN determina a identidade do Firewall. Caso seja válida, verifica também a validade do Home Agent Mobile Node conecta a um Foreign Link e obtém um IP: via DHCP, PPP´s IPCP (dinâmicos) ou configuração manual (estático) MN determina se está fora ou dentro de sua rede privada: faz isso consulta a lista de endereços conhecidos com pertencentes à rede privada, ou seja, determina de seu endereço care-of pertence à rede privada ou a Internet pública. Atenção que mesmo dentro da rede privada o MB pode estar em outro enlace, porém não precisará se preocupar com o atravessamento do firewall, pois estará dentro dele. Consideraremos a partir daqui que o care-of é externo. MN registra care-of no Mobile Agent: é montada uma mensagem Registration Request normal (UDP/IP). O MN depois gera um cabeçalho IP externo com endereço de origem care-of e de destino do Firewall. O campo IP Protocol é setado como SKIP, para identificar o próximo cabeçalho. Finalmente o MN monta o cabeçalho SKIP, contendo uma chave de autenticação. É usada a chave pública do Firewall. O Firewall determina a identidade do MN e descobre como a mensagem foi codificada: a identidade do MN é validada através do envio da chave pública do mesmo. Com essa chave é feito o procedimento de decodificação da mensagem, verificando se ela é válida ou não. O Firewall encaminha a mensagem para o Home Agent: o Firewall verifica que o IP do remetente (care-of) é externo. Se a sub-rede isolada pelo Firewall usa endereços privados, é feito um tunelamento para a entrega da mensagem de registro (Registration Request) para o Home Agent. Caso use endereços internet, essa mensagem é apenas repassada. Home Agent recebe a mensagem e a processa: neste momento é feita uma validação da identidade do MN através do MN Authetication Extension da pilha. Caso OK, Home Agent retorna uma mensagem de confirmação: é envia a mensagem Registration Reply. Novamente, se o Home Link usa endereços privados e o endereço care-of não pertence a mensagem rede, a mensagem é encaminha para o Firewall Firewall envia através do tunelamento a mensagem para o MN MN determina a identidade do Firewall. Caso seja válida, verifica também a validade do Home Agent: o MN usa o cabeçalho SKIP para identificar a identidade do Firewall e determinar como decifrar o pacote. Caso seja validade, o MN decodifica a mensagem Registration Reply e verifica a identidade do Home Agent através da validação Mobile Home Authentication Extension.

8 Mensagem encaminha ao Firewall
Parte clara: texto puro Parte escura: texto codificado

9 Fluxo de Dados (1) Consideramos que o processo de registro foi feito com sucesso. Mobile Node envia pacotes para um nodo: MN envia um pacote seguro pelo tunelamento para o Firewall; O Firewall verifica a autenticidade e decodifica o pacote. Depois encaminha para o nodo correspondente. O Nodo responde com um pacote enviado para MN através do Home Agent. O Home Agent intercepta o pacote e o envia através do tunelamento para o Firewall. O Firewall envia a mensagem através do tunelamento para o endereço care-of do MN. O MN verifica a autenticidade e decodifica o pacote. O pacote, após decodificado, é finalmente consumido

10 Fluxo de Dados (2) Ocorre o processo inverso

11 Análise do método usando SKIP
Baixa complexidade Não necessita de negociação de parâmetros de segurança antes de uma transmissão Overhead do cabeçalho SKIP em cada pacote Criptógrafos reclamam que o tipo de codificação é indicado em texto puro no cabeçalho do pacote SKIP Por consenso, o grupo do IETF aponta o ISAKMP/Oakley como o futuro padrão para gerenciamento de chaves Baixa complexidade: comparado a proposta ISAKMP/Oakley. Não necessita de negociação de parâmetros de segurança antes de uma transmissão: chaves não precisam ser trocadas antes do envio de um pacote. Overhead do cabeçalho SKIP em cada pacote: 20 ou mais bytes enviados a cada transmissão. Criptógrafos reclamam que o tipo de codificação é indicado em texto puro no cabeçalho do pacote SKIP: no campo IP Protocol desprotegido é indicado o texto 57, indicado que a seguir vem um cabeçalho SKIP. Isso permite um hacker saber quais algoritmos de codificação estão envolvidos Por consenso, o grupo do IETF aponta o ISAKMP/Oakley como o futuro padrão para gerenciamento de chaves: este padrão ainda está em desenvolvimento.

12 Método ISAKMP/Oakley Existe uma negociação de parâmetros de segurança entre o MN e o Firewall O MN pode negociar uma máscara de IPs com o Firewall, evitando desta forma negociar novamente parâmetro de segurança num mesmo Foreign Link Os pacotes não conterão um cabeçalho de gerenciamento de chave, como ocorre com o SKIP Existe uma negociação de parâmetros de segurança entre o MN e o Firewall: aumenta o overhead para criar o tunelamento O MN pode negociar uma máscara de IPs com o Firewall, evitando desta forma negociar novamente parâmetro de segurança num mesmo Foreign Link: facilita a mobilidade do MN dentro de um mesmo enlace (Foreign Link) Os pacotes não conterão um cabeçalho de gerenciamento de chave, como ocorre com o SKIP: evitando desta forma identificar qual o algoritmo de encriptação utilizado para codificar o pacote

13 Apresentação pode ser obtida em:
Referências “Mobile IP – The Internet Unplugged”, James D. Solomon, Chapter 9 “Sun's SKIP Firewall Traversal for Mobile IP”, RFC2356, IETF Apresentação pode ser obtida em:

Carregar ppt "Atravessando Firewalls em IP Móvel"

Apresentações semelhantes

Sistemas Paralelos e Distribuídos

Sistemas Paralelos e Distribuídos
Redes de computadores I

Redes de computadores I
Leandro Alonso Xastre Thiago T. C. de Felipo

Leandro Alonso Xastre Thiago T. C. de Felipo
Mobile IP Edgard Jamhour PUC-PR.

Mobile IP Edgard Jamhour PUC-PR.
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Segurança de Perímetro

Segurança de Perímetro
INTERNET MÓVEL O deslocamento dentro de uma área de abrangência pequena, restrita a uma única rede como, por exemplo, o campus de uma universidade, é chamado.

INTERNET MÓVEL O deslocamento dentro de uma área de abrangência pequena, restrita a uma única rede como, por exemplo, o campus de uma universidade, é chamado.
Segurança da Camada de Transporte

Segurança da Camada de Transporte
Multicast: Tendências, Desafios e Aplicações.. Multicast O que é ? Trata-se de uma comunicação multiponto que permite o envio de informações a diversos.

Multicast: Tendências, Desafios e Aplicações.. Multicast O que é ? Trata-se de uma comunicação multiponto que permite o envio de informações a diversos.
Esdras Degaspari Leite

Esdras Degaspari Leite
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Criptografia e segurança de redes Chapter 14

Criptografia e segurança de redes Chapter 14
Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16
IPv6 Gerência de Mobilidade. Mobilidade em redes Trabalhos de campo Acesso a arquivos em viagem Verificar mensagens Consultas em bases dados...

IPv6 Gerência de Mobilidade. Mobilidade em redes Trabalhos de campo Acesso a arquivos em viagem Verificar mensagens Consultas em bases dados...
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Prof. Rafael Guimarães, PhD

Prof. Rafael Guimarães, PhD
SSL/TLS Universidade Federal do Rio de Janeiro Escola Politécnica

SSL/TLS Universidade Federal do Rio de Janeiro Escola Politécnica
Tópicos Especiais em Comunicação de Dados IV: Roteamento na Internet

Tópicos Especiais em Comunicação de Dados IV: Roteamento na Internet
Fundamentos de Segurança da Informação

Fundamentos de Segurança da Informação

Apresentações semelhantes

Anúncios Google