250 likes | 337 Views
MIP x HIP Um Estudo Sobre Segurança Em Redes Móveis. Gino Dornelles Calebe Augusto do Santos Florianópolis, 2008. Cenário. Necessidade de conexão Dispositivos portáteis Mobilidade Conexão ativa durante mudança de rede de acesso Redes Wireless Protocolos que permitam mobilidade.
E N D
MIP x HIPUm Estudo Sobre Segurança Em Redes Móveis Gino Dornelles Calebe Augusto do Santos Florianópolis, 2008 INE5630 Segurança em Computação Distribuída
Cenário • Necessidade de conexão • Dispositivos portáteis • Mobilidade • Conexão ativa durante mudança de rede de acesso • Redes Wireless • Protocolos que permitam mobilidade INE5630 Segurança em Computação Distribuída
Desafios da Mobilidade • Localização do usuário móvel • Roteamento • Protocolos fixos à rede de origem • Transferência dinâmica entre pontos de conexão • Segurança • Propostas para Segurança > MIP e HIP INE5630 Segurança em Computação Distribuída
Mobile IP • IETF criou suporte para mobilidade em redes IP nas versões IPv4 e IPv6 A proposta do protocolo Mobile IP (MIP) é de que o IP seja estendido para permitir que o terminal, antes fixo, visite uma rede estrangeira e mantenha a comunicação ininterrupta sem mudar o seu endereço IP original. [ALB04] INE5630 Segurança em Computação Distribuída
Mobile IP • Nó móvel apresenta dois endereços IP: • Home address • Care-of-address • Home Address: Este endereço não muda, mesmo que o usuário seja atendido por uma célula conectada a outra rede física • Care-Of-Address: Este endereço muda todas as vezes que o usuário muda de rede física INE5630 Segurança em Computação Distribuída
Mobile IP Roteadores • Home Agent (HA) • Roteador da Rede Nativa do dispositivo móvel • Efetua todo o processo de autenticação • Redireciona todos os pacotes recebidos da Internet para o Foreign Agent • Foreign Agent (FA) • Roteador da Rede Estrangeira, onde o dispositivo móvel se encontra no momento • Encaminha os pacotes recebidos do Home Agent até o dispositivo móvel INE5630 Segurança em Computação Distribuída
Arquitetura Mobile IP INE5630 Segurança em Computação Distribuída
Registro • O registro é o processo que consiste em atualizar a localização de um nó móvel (MN) junto ao seu home address (HA) • Essa atualização deve ser feita a cada mudança de domínio administrativo ou após o tempo de validade do registro anterior expirar INE5630 Segurança em Computação Distribuída
Mecanismo de Registro INE5630 Segurança em Computação Distribuída
Tunelamento • Tunelamento é o processo no qual o HA intercepta os pacotes destinados a um MN e os envia ao local em que tal MN se encontra através do encapsulamento • O tunelamento faz parte do processo de roteamento do protocolo Mobile IP INE5630 Segurança em Computação Distribuída
Roteamento e Tunelamento no Mobile IPv4 INE5630 Segurança em Computação Distribuída
Segurança em Roteamento de Pacotes • Problema > Autenticação do nó móvel • Proposta > utilização do IPSec O IPSec introduz o conceito de Associação de Segurança, através de um conjunto de parâmetros que permite negociar algoritmos de cifra que serão utilizados • Associações no IPsec: Modo Transporte e Modo Túnel INE5630 Segurança em Computação Distribuída
Modo Transporte INE5630 Segurança em Computação Distribuída
Modo Túnel INE5630 Segurança em Computação Distribuída
HIP (Host Identity Protocol) • Alternativa ao MIP • introduz um namespace exclusivo ao host para o processo de identificação durante o ciclo de comunicação • Permitir ao host ser localizado através de identificadores invariáveis das camadas superiores INE5630 Segurança em Computação Distribuída
HIP - Características • Separação da localização e identificador • Novo espaço de nome consistindo de Host Identifiers (HI) • Host Identity Tags (HITs) são representações tipicamente de 128 bits para as HIs INE5630 Segurança em Computação Distribuída
Ligação IP na arquitetura atual e Ligação dinâmica usando HIP INE5630 Segurança em Computação Distribuída
HIP (Host Identity Protocol) • Hash da chave pública do nó para fazer a identificação do mesmo durante o processo de validação junto à rede visitada • Mesma chave pública que gerou o hash é usada para criptografar os dados durante a comunicação • Ao contrário do mundo real, com o protocolo HIP um mesmo nó pode ter várias identidades • Mais viável um host criar várias chaves privadas temporárias do que utilizar uma única chave privada permanente, para evitar o rastreamento de atividades que realizou ao longo do tempo INE5630 Segurança em Computação Distribuída
Ligação Dinâmica Usando HIP A camada de identidade do host utiliza um identificador (HI - Host Identifier) que representa a identidade de um nó na rede e possui uma ligação dinâmica com o endereço IP, o qual continua desempenhando a função de localizador do nó na topologia da rede e é utilizado pelo serviço de roteamento INE5630 Segurança em Computação Distribuída
Arquitetura utilizando HIP INE5630 Segurança em Computação Distribuída
Ligação Dinâmica Usando HIP • O HI (Host Identifier) é uma chave pública de uma tupla de chaves pública-privada, na qual a chave pública é acessível para outros nós HIP e a chave privada representa a identidade do host proprietário (somente ele tem a sua posse) • A HIT (Host Identity Tag) é um valor codificado de 128 bits calculado por uma função de hashing sobre o HI. A HIT tem tamanho fixo, o que facilita sua utilização por outros protocolos, é auto certificadora (autentica um host sem a necessidade de uma entidade externa) e possui uma única chave privada correspondente INE5630 Segurança em Computação Distribuída
Estabelecimento de uma sessão HIP • Nó iniciador envia ao outro host (respondedor) uma mensagem inicial contendo as HITs dos dois hosts • Respondedor retorna uma segunda mensagem contendo um desafio computacional que deve ser resolvido para que a comunicação continue • Nó iniciador deve enviar uma terceira mensagem, contendo a resolução do desafio e a autenticação do respondedor, se a mensagem não contiver o desafio computacional resolvido, ela é descartada • Respondedor retornar uma quarta mensagem autenticando o host iniciador e, enfim, são estabelecidas duas associações de segurança IPSec, uma em cada direção do tráfego, e os dados da camada de transporte passam a ser encapsulados INE5630 Segurança em Computação Distribuída
Estabelecimento de uma sessão HIP INE5630 Segurança em Computação Distribuída
Conclusões e Observações • Modelos para a implantação de mobilidade são recentes e ainda passam por mudanças • MIP apresenta períodos longos de espera pelo registro de atualização • HIP utiliza o conceito de identidade criptográfica para cifrar as informações como forma de implementação de segurança para a transmissão de pacotes • Implementações para linux. Dentro da proposta do MIP pode-se consultar MIPL - Mobile IPv6 for Linux [MOB 2006]. E para o HIP existe o Infra-Hip [HIP 2006] • Estudo de outros modelos ( Hi³) INE5630 Segurança em Computação Distribuída
Bibliografia • BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo sobre segurança em redes móveis. 2007. Monografia. Faculdade Salesiana de Vitoria in http://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf INE5630 Segurança em Computação Distribuída