Segurança, Mobilidade e Multihoming

Universidade Federal do Rio de Janeiro – UFRJDisciplina: Redes de Computadores II - 2009/2Professores: Otto C. M. B. Duarte e Luís Henrique M. K. Costa Aluno: Lyno Henrique Gonçalves Ferraz

IntroduçãoArquitetura

Novos Identificadores Nova Pilha

ProtocoloMobilidadeMultihomingConclusãoReferências

Problemas da arquitetura atual Ambiguidade do IP Mobilidade Multihoming Segurança

▪ Ataques de negação de serviço▪ Autenticação▪ Encriptação

Compatibilidade IPv6

HI – Host Identity Identificador de uma estação Chave pública de um par de chaves

pública/privada Autenticação e proteção contra homem-no-

meio HIT – Host Identity Tag

Hash do HI de 128 bits LSI – Local Scope Identifier

Representação Local do HI de 32 ou 128 bits

Camada de transporte Associa-se a

identificadores Nova camada

Camada de Identificação

Camada de Rede

Camada de Transporte Processos ligam-se a camada de

transporte através de sockets Sockets são Identificados por <porta, IP>

Camada de Identificação Esconde a camada de Rede da de

Transporte Novos sockets <porta, identificador> Tradução para endereços IP

BEX - Base Exchange 4 mensagens Objetivos

▪ Criação de associação segura ESP▪ Diffie-Hellman▪ Criação de chave de sessão

I1 Inicia o processo BEX Solicita uma conexão HIP

R1 Desafio Parâmetros iniciais Diffie-Hellman Assinado

I2 Solução do Desafio Parâmetros iniciais Diffie-Hellman Assinado

R2 Assinado Finaliza o procedimento

SPI – Secure Parameter Index Identifica uma associação segura

▪ IP do destinatário▪ Número SPI

Pacotes não carregam identificadores Pacotes carregam somente SPI

Mobilidade Nó se move e mantém as conexões

ativas Processos não veem mudanças Associações Seguras

▪ Pacotes carregam somente SPI▪ IP irrelevante▪ Novo IP deve ser anunciado

Localizador (LOCATOR) IP Pode conter mais informações para

camada inferiores Informa IP(s) onde o nó é alcançável

UPDATE Mensagem de atualização Autenticado Carrega o LOCATOR

Caso sem troca de nova chave de sessão

Esp info = SPI velho e o novoEcho req e res = requisição e resposta de ECHO

UPDATE(Localizador, Esp info, Seq)

Nó Móvel Nó Parado

UPDATE(Esp info, Seq, Ack, Echo req)

UPDATE(Ack, Echo res)

Diversos caminhos Diversas interfaces (multihoming de

estação final) Caminhos redundantes (multihoming de

rede)Localizadores Múltiplos

Anúncio de localizadores paralelosMecanismo básico

Não há suporte completo

HIP Nova camada

▪ Camada de identificação Separação de localizador e identificador

▪ Mobilidade▪ Multihoming

HI▪ Identificador – chave pública

BEX▪ Segurança

[1] Pekka Nikander, "Applying Host Identity Protocol to the Internet Addressing Architecture",in 2004 International Symposium on Applications and the Internet (SAINT'04)

[2] Petri Jokela, Pekka Nikander, Jan Melen, Jukka Ylitalo, and Jorma Wall, Ericsson Research, NomadicLab,"Host Identity Protocol: Achieving IPv4 IPv6 handovers without tunneling"

[3] Moskowitz, R., Nikander, P., Jokela, P. and Henderson, T., "Host Identity Protocol,", RFC 5201, April 2008.

[4] Jokela, P., Moskowitz, R. and Nikander, P., "Using the Encapsulating Security Payload (ESP) Transport Format with the Host Identity Protocol (HIP)", RFC 5202, April 2008.

[5] Laganier, J., Koponen, T. and Eggert, L., "Host Identity Protocol (HIP) Registration Extension", RFC 5203, April 2008.

[6] Laganier, J. and Eggert, L., "Host Identity Protocol (HIP) Rendezvous Extension", RFC 5204, April 2008.

[7] Nikander, P. and Laganier, J., "Host Identity Protocol (HIP) Domain Name System (DNS) Extension", RFC 5205, April 2008.

[8] Nikander, P., Henderson, T., Vogt, C. and Arkko, J. "End-host Mobility and Multihoming with the Host Identity Protocol", RFC 5206, April 2008.

Dúvidas?