250 likes | 422 Views
S-38.310 Diplomityöseminaari 17.8.2004 Autokonfigurointi ja palveluarkkitehtuurit Ad Hoc -verkoissa. Niko Suominen. Ohjelma. Työn tausta Yleiskuva langattomien verkkojen rakenteesta Palveluvaatimukset Ratkaistavat ongelmat ja ratkaisuehdotuksia IP-osoitteistus
E N D
S-38.310 Diplomityöseminaari 17.8.2004Autokonfigurointi ja palveluarkkitehtuurit Ad Hoc -verkoissa Niko Suominen Niko Suominen
Ohjelma • Työn tausta • Yleiskuva langattomien verkkojen rakenteesta • Palveluvaatimukset • Ratkaistavat ongelmat ja ratkaisuehdotuksia • IP-osoitteistus • Globaalit yhteydet Ad Hoc –verkoista • Tarjottavat palvelut • Palveluiden paikallistaminen • Tietoturvanäkökulmia • Johtopäätökset ja ehdotuksia jatkotutkimukselle Niko Suominen
Työn tausta • Valvojana professori Jorma Jormakka • Ohjaajana professori Jorma Jormakka • Tehty tietoverkkolaboratoriolle TKK:lla • Työ on osa ulkopuolisen tahon rahoittamaa tilaustutkimusta • Kirjallisuuskatsaus Ad Hoc –verkkoihin sovellettaviin autokonfigurointiprotokolliin ja vaatimusten mukaisten arkkitehtuuriehdotusten luominen niiden pohjalta Niko Suominen
Langattomien verkkojen rakenne • Perinteinen WLAN-verkko • Tukiasemia (Access Point) • Runkoverkko tukiasemien välillä • Päätelaite ottaa yhteyden tukiasemaan • Melko staattinen topologia • Runkoverkossa perinteinen reititysprotokolla (esim. RIP tai OSPF) • Ei langatonta reititysprotokollaa • Verkkovierailu (Roaming) • IEEE 802.11x Niko Suominen
Langattomien verkkojen rakenne(2) Niko Suominen
Langattomien verkkojen rakenne(3) • Ad Hoc -verkko • Ei tukiasemia • Jokainen laite toimii reitittimenä ja pääteasemana • Topologia voi vaihdella vapaasti • Vaatii Ad Hoc –reititysprotokollan • proaktiivinen (esim. DSDV) • reaktiivinen (esim. AODV) • Ns. Multi-Hop –reititys • Osa laitteista voi toimia yhdyskäytävänä muihin verkkoihin Niko Suominen
Langattomien verkkojen rakenne(4) Niko Suominen
Palveluvaatimukset • Toimiva sisäinen reititys Ad Hoc –verkossa • Globaalit yhteydet runkoverkkoon globaali IP-osoitteistus • Autokonfiguroitava • Globaalin liikkuvuuden tuki toivottavaa (verkko tai pääteasema liikkuu) • Ad Hoc –verkoissa mahdollisuus käyttää runkoverkossa olevia tietokantapalveluita • Palvelut löydettävä (Service Discovery) automaattisesti Niko Suominen
Palveluvaatimukset (2) • Ratkaisu vaatii: • Globaalien IP-osoitteiden autokonfiguroinnin tilattomasti tai tilallisesti • Sopivan protokollan palveluiden paikallistamiseen • Runkoverkossa olevia palveluhotelleja (Data Warehouse) palvelujen tuottamiseen Ad Hoc –verkon asemille • Sopivan rajapinnan palveluhotelleille • Riittävät tietoturvaominaisuudet Niko Suominen
Ratkaisuja Niko Suominen
IP-osoitteistus • Ad Hoc –verkon sisällä käytössä tilaton IP-osoitteiden autokonfiguraatio (IETF Draft) • Toimii IPv4:llä ja IPv6:lla • Tuottaa site local –tason osoitteita: • IPv4: 169.254.0.0/16 • IPv6: fec0:0:0:ffff/64 • Täysin tilaton • Strong / Weak Duplicate Address Detection (DAD) –menetelmät suojaavat verkon päällekkäiskonfiguroinneilta • Toimii AODV:n kanssa yhdessä tai täysin erillisenä protokollana • Ei mahdollista globaaleja yhteyksiä yksin Niko Suominen
IP-osoitteistus (2) • Ad Hoc –verkon sisällä käytössä mDNS (multicast DNS) sisäisiin nimi-osoite –muunnoksiin (IETF Draft) • Täysin hajautettu DNS-arkkitehtuuri • Ei vaadi muutoksia sovellusten toimintaan • Sisäisten osoitteiden rinnalle vaaditaan globaalit IP-osoitteet runkoverkkoon suuntautuvaa liikennettä varten • Tarvitaan myös perinteiset DNS-palvelimet globaaleihin osoitemuunnoksiin • Sijaitsevat runkoverkossa Niko Suominen
Globaalit yhteydet Ad Hoc -verkoista • Ratkaisu 1: • Mobile IP:n NeMo (Network Mobility) –laajennusta käyttäen voidaan koko verkolle antaa kiinteä IPv6-prefiksi ja verkko voi liikkua vapaasti (HA) • Ad Hoc –verkossa tietyt laitteet toimivat yhdyskäytävinä runkoverkkoon ja mainostavat kiinteää kotiverkkoprefiksiään Ad Hoc –verkon asemille • Muut Ad Hoc –verkon laitteet konfiguroivat tilattomasti globaalin IPv6-osoitteensa • AODV:llä tai ICMP:llä selvitetään yhdyskäytävän sijainti • Sallii katkeamattomat TCP-yhteydet verkon liikkuessa Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (2) • Ratkaisu 2: • IPv4-pohjainen • Käytössä Mobile IP ilman NeMo-tukea • Osa Ad Hoc –verkoin laitteista toimii vierasagentteina ja jakavat globaaleja IP-osoitteita verkon pääteasemille • Vierasagentit siirtävät omat konfigurointiasetuksensa automaattisesti runkoverkosta itselleen • Mahdollistaa verkon lähes vapaan liikkumisen Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (3) • Ratkaisut 3 ja 4: • Ei globaalin liikkuvuuden tukea • Käytössä NAT- tai NAPT-tekniikat • Vain yhdyskäytäväreitittimet tietävät globaalit osoitteet • Rikkovat päästä-päähän yhteydellisyyden • Tekevät ongelman yksinkertaisemmaksi • Mutta vaikeuttaa mm. VoIP-signalointia Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (4) • Ratkaisu 5: • DHCP-pohjainen • Yhdyskäytäväreitittimet toimivat DHCP-agentteina Ad Hoc –verkoissa • DHCP-palvelimet rungossa • DHCP-viestien välittäminen Ad Hoc –verkoissa vaatii tulvittamisen tehoton • Ei mahdollista automaattista verkon liikkuvuuden tukea Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (5) • Perinteiset DNS-palvelimet sijaitsevat runkoverkossa • Mobile IP:tä käytettäessä Ad Hoc –verkon laitteet ovat aina saavutettavissa kiinteällä IP:llä • Ilman Mobile IP:tä tarvitaan hakemistopalveluita tietyn laitteen (palvelun) paikallistamiseen Niko Suominen
Tarjottavat palvelut • Palveluhotellit rungossa • HTTP-pohjaisia WWW-palvelimia • Salattu yhteys (SSL/TLS) • Käyttäjän tunnistus • Palvelinpuolen ohjelmointikielellä toteutettu käyttöliittymä • Turvallinen tietokanta -Hajautetut Jini-palvelut -Jaetut levyresurssit -VoIP-mahdollisuus -Viestinvälityspalvelut Niko Suominen
Palveluiden paikallistaminen (vaihtoehtoja) • Service Location Protocol v2 • Mahdollistaa myös parametrien konfiguroinnin • Suositeltu vaihtoehto • Jini Java-pohjaisten hajautettujen sovellusten yhteydessä • DNS-pohjainen palveluhakemisto • Anycast • UPnP ja Salutation Niko Suominen
Tietoturvanäkökulmia • Molemminpuoleinen käyttäjän tunnistus pakollista • Tunnistus valtuutuksia varten • Man in the Middle -hyökkäys • Vahva salaus yhteyksiin ja tietokantoihin • Luottamuksellisuus • Eheys ja kiistämättömyys • DoS-tilanteiden mahdollisuus minimoitava • Tilattomat ratkaisut usein luotettavampia mutta epäturvallisempia hajautettujen elementtien vuoksi • Tilalliset ratkaisut alttiimpia palveluestohyökkäyksille, mutta helpommin hallittavia Niko Suominen
Johtopäätökset ja ehdotuksia jatkotutkimuksille • Täydellistä arkkitehtuuria ei ole • Käytettävä arkkitehtuuri on valinta monen asian väliltä • Ratkaisut simuloitava ja tarpeen vaatiessa toteutettava testiratkaisu • Puutteet korjattava simuloinnin ja testien perusteella Niko Suominen
Kiitos Kysymyksiä? Niko Suominen