ip mobility ip mobility reti ii stefano leonardi
TRANSCRIPT
IP Mobility -1
IP Mobility
Reti IIStefano Leonardi
IP Mobility -2
Host mobili
Dispositivi wireless o wired mobili Connessione alla rete attraverso:
Wireless LAN Reti cellulari Reti Satellitari LAN Etc….
Una rete di riferimento fornisce connettività IP IP mobility considera la mobilità tra reti
diverse Fornisce supporto per raggiungere un host
temporaneamente su rete ospite Necessario in quanto l’instradamento è basato
sul prefisso di rete
IP Mobility -3
Alternative
1. Modificare l’indirizzo dell’host Implica il reboot e la perdita delle connessioni a livello di trasporto
2. Propagare informazioni di instradamento basate sull’hostRichiede tabelle di instradamento di dimensione pari al numero degli host
IP Mobility -4
Caratteristiche di Mobile IP
1. Traparente alle applicazioni e ai protocolli di trasporto
2. Interoperabilità con lo standard IPv43. Scalabilità alla mobilità sull’inter-rete4. Sicurezza, autenticazione di host mobili
al di fuori della rete di riferimento5. Macro mobilità (possibilità di lavorare al
di fuori della propria rete di riferimento piuttosto che movimento ad alta velocità)
IP Mobility -5
Approccio generale
1. Host che visita una rete foreign ottiene un indirizzo IP locale
2. Host informa il router sulla rete home3. Router sulla rete home usa il secondo
indirizzo per inoltrare i datagram diretti all’host sulla rete foreign
4. Datagram sono inviati in tunnel attraverso incapsulamento IP-in-IP
5. Spostamento ad altra rete o ritorno alla rete home devono sempre essere notificati alla rete home
IP Mobility -6
Due approcci: 1. Care-of-Address
Rete foreign prevede un foreign agent
Host mobile si registra presso il foreign agent
Host mobile ottiene un care-of-address Foreign agent registra l’host presso l’home
agent
Foreign agent assegna uno degli indirizzi a sua disposizione come care-of-address
L’utente mobile non ha un unico indirizzo assegnato
IP Mobility -7
Due approcci: 2. Co-located Address
1. Rete foreign non prevede un foreign agent
Host usa DHCP per ottenere un co-located address temporaneo
Host si registra direttamento presso l’home agent
Approccio 2 implica l’installazione sugli host del software che gestisce la mobilità, cioe’ tutta la comunicazione con l’home agent
IP Mobility -8
Foreign agent discovery
Inviato dal router che ospita il foreign agent Usa ICMP router discovery
ICMP router discovery inviato periodicamente dai router
Può essere sollecitato con ICMP router solicitation
Extension mobility a ICMP router discovery Identificato dalla maggiore lunghezza del
messaggio ICMP
IP Mobility -9
Foreign agent discovery
Lifetime: tempo massimo di attesa per accettare richieste di registrazione
Sequence number: permette di identificare quando un messaggio è stato perso
Code:
IP Mobility -10
Registrazione
Prima di poter ricevere datagrams, il mobile host deve:
1. Registrarsi con un agente presso il foreign agent2. Registrarsi presso l’home agent per richiedere l’inoltro 3. Rinnovare una registrazione che è prossima alla
scadenza4. De-registrarsi se tornato alla rete home
Host che riceve il care-of-address demanda al foreign agent la registrazione presso l’home agent
Foreign agent inoltra all’host mobile i datagram ricevuti dall’home agent
IP Mobility -11
Registrazione
Inviati attraverso UDP (porta 434) Type: request o reply LIFETIME: care-of address mantenuto
nella binding-cache finchè il LIFETIME scade.
IP Mobility -12
Registrazione
HOME ADDRESS, HOME AGENT, CARE-OF-ADDRESS: indirizzi e home agent dell’host mobile
IDENTIFICATION: corrispondenza tra richieste e risposte FLAGS: specifiche dell’inoltro da parte dell’HOME AGENT
IP Mobility -13
Comunicazione con il foreign agent L’host mobile non ha un indirizzo IP valido
assegnato sulla rete Rilassamento delle regole di indirizzamento:
-- Host mobile indica il suo home address nell’intestazione dei datagram inviati al foreign agent-- Il foreign agent usa l’home address dell’host mobile anche sulla rete foreign
Il foreign agent non può eseguire ARP sull’home address dell’host mobile
Indirizzo hardware dell’host mobile deve essere comunicato e memorizzato in fase di registrazione
IP Mobility -14
Invio e ricezione di Datagram
I Datagram trasmessi all’esterno hanno l’home address come sorgente
L’ISP deve accordare la possibilità di trasmettere datagrams con qualsiasi indirizzo sorgente
I datagram di risposta saranno inviati all’Home address
L’home agent invierà i datagram al foreign agent attraverso incapsulamento IP al care-
of-address (può essere condiviso tra più utenti mobili) al co-located address
Il foreign agente estrae il pacchetto e lo invia all’host mobile sulla rete foreign
E’ possibile utilizzare lo stesso care-of-address per sorgenti e destinazioni multiple
IP Mobility -15
Instradamento
L’instradamento verso l’host mobile deve necessariamente passare attraverso l’home agent
Particolarmente inefficiente se l’host destinazione è vicino all’host mobile (2 crossing problem)
IP Mobility -16
Instradamento
E’ possibile propagare informazioni di instradamento specifiche del’host
Viene realizzato solo per reti che interagiscono significativamnete con l’host mobile
Occorre rimuovere queste informazioni quando l’host si sposta su un’altra rete.
IP Mobility -17
Comunicazione con Host sulla Rete Home Tutti i pacchetti inviati all’host mobile
devono passare attraverso l’home agent L’home agent verifica se l’host è
posizionato su una rete foreign o sulla rete home
Gli altri host della rete home inviano direttamente all’host di cui ottengono l’indirizzo fisico attraverso ARP
Quando l’host e’ su una rete foreign, l’home agent risponde con il suo indirizzo fisico e si cura in seguito di inviare i datagram sul tunnel IP-IP
IP Mobility -18
Sicurezza in IP mobility
Chiave di sessione con il router locale Centro di distribuzione delle chiavi Diffie-Hellman per cambiare la chiave
Autenticazione richiesta tra l’home agent e l’host mobile Algoritmo di default è MD5 Chiavi di 128 bits Foreign agent deve supportare
autenticazione attraverso questo metodo Altri algoritmi possono essere applicati
IP Mobility -19
Altre questioni rigurdanti la sicurezza
Tunneling del traffico verso l’host mobile al rispettivo care-of-address
ARP non è autenticato La comunicazione tra foreign e home
agent deve essere assicurata per evitare uso illegale
IP Mobility -20
Protezione verso le richieste di registrazione Home agent deve verificare che il
messaggio provenga dall’host mobile, non una risposta ad una registrazione precedente ripetuta da un’attaccante
Due metodi
Timestamps (obbligatario) Nonces (opzionale)
IP Mobility -21
Timestamps
I due nodi devono essere adeguatamente sincronizzati
Tempo inviato insieme con la richiesta
Differenza di default di 7 secondi tra richiesta e risposta
La sincronizzazione tra i messaggi deve essere protetta contro alterazioni
IP Mobility -22
Nounces
Nodo A include un nuovo numero random in ogni messaggio a B
A verifica se B restituisce lo stesso numero nel prossimo messaggio
Il codice di autenticazione è usata per proteggere contro le alterazioni
Auto-sincronizzazione: se la registrazione fallisce, il nuovo nounce è invata nella risposta
IP Mobility -23
Problematiche Inefficienza nell’instradamento Sicurezza: Esigenza di rendere IP mobile
deve convivere con le esigenze di sicurezza Firewalls, in particolare, provocano difficoltà
poichè bloccano i pacchetti in entrata che non soddisfano determinati criteri
Trasparenza: Opinioni discordi sulla necessità della sopravvivenza delle connessioni TCP agli spostamenti dell’host