La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Corso di Reti di calcolatori e Sicurezza di Pamela PerettiProf. Stefano Bistarelli.

Presentazioni simili


Presentazione sul tema: "Corso di Reti di calcolatori e Sicurezza di Pamela PerettiProf. Stefano Bistarelli."— Transcript della presentazione:

1 Corso di Reti di calcolatori e Sicurezza di Pamela PerettiProf. Stefano Bistarelli

2 Introduzione La grande diffusione di dispositivi portatili ha favorito la domanda daccesso ad Internet indipendentemente dalla tecnologia e dal punto daccesso stesso. La classica ipotesi per cui un terminale si vede assegnato sempre lo stesso punto di accesso alla rete globale non è più sufficiente a rispondere allesigenza di mobilità degli individui.

3 Mobilità Ma chi è un utente mobile? È forse un individuo che si connette ad una rete wireless e poi si sposta allinterno di un edificio?

4 Mobilità O è un utente che vuole mantenere attiva la propria connessione wireless attraverso diverse reti mentre viaggia da Pescara a Milano?

5 Mobile IP Sviluppato allinterno dellInternet Engineering Task Force, Mobile IP è un protocollo che permette di gestire la mobilità degli host a livello di rete in maniera indipendente dalle caratteristiche delle singole sotto-reti daccesso. Il principio di funzionamento del protocollo è semplice e deriva dallesigenza di sopperire ai limiti imposti, dalla pila protocollare TCP/IP, nei confronti della mobilità.

6 Mobile IP Obbiettivi di Mobile Ip sono: Trasparenza in quanto la mobilità è trasparente alle applicazioni ed ai protocolli di livello di trasporto, ad esempio le connessioni TCP non terminano in seguito ad una variazione del punto daccesso ad Internet da parte degli host. Compatibilità in modo tale che un host mobile può interagire con uno fisso anche se questultimo non implementa lo standard Mobile IP. Sicurezza Mobile IP fornisce meccanismi per garantire lautenticità dei messaggi scambiati.

7 Entità architetturali Casa Moreno Genitori Moreno è un ragazzo che abita con i suoi genitori…

8 Entità architetturali …ma a Moreno piace viaggiare quindi è costretto a cambiare spesso casa e quindi anche il suo indirizzo spesso cambia…

9 Entità architetturali CasaNuovo indirizzo ?

10 Entità architetturali Home Agent Indirizzo permanente Home Network Foreing Agent Mobile Node Foreing Network Ogni nodo mobile è caratterizzato da due indirizzi IP: il primo, detto home address, è permanente e viene assegnato dallHome Network, il secondo, detto care-of address (COA), è temporaneo e rispecchia la posizione corrente del Mobile Node allinterno di una Foreign Network. COA

11 Esempio instradamento indiretto CasaNuovo indirizzo

12 Instradamento indiretto Home Agent Mobile Node Indirizzo permanente Foreing Agent

13 Instradamento indiretto Vantaggio Trasparenza in quanto il corrispondente non si accorge dello spostamento del Mobile node da una rete allaltra dato che continua a inviare i pacchetti verso lHome Agent. Svantaggio Problema dellinstradamento triangolare

14 Esempio instradamento diretto CasaNuovo indirizzo

15 Instradamento diretto Home Agent Foreing Agent

16 Instradamento diretto Vantaggio Superamento del problema dellinstradamento triangolare Svantaggio Introduzione di complessità aggiuntiva

17 Descrizione del protocollo Le principali funzioni supportate dallo standard Mobile IP sono: Agent Advertisement Attraverso messaggi denominati Agent Advertisement, i mobility agent (Home Agent e Foreign Agent) rendono nota la propria disponibilit à a fornire un servizio. Registration Permette ad un Mobile Node di registrare il care-of address, ottenuto in una foreing network, con il proprio Home Agent. Tunneling A seguito della registrazione di un Mobile Node, l Home Agent deve intercettare i datagrammi destinati al Mobile Node (avranno il campo destination address coincidente con l home address), effettuare un opportuna procedura d incapsulamento ed inviarli verso il care-of address. Il percorso seguito da un datagramma incapsulato è detto tunnel.

18 Agent Advertisement I mobility agent devono rendere nota la propria disponibilit à a fornire un servizio e devono pubblicizzarla. Questo è possibile attraverso una procedura denominata Agent Discovery in base alla quale il mobility agent deve mandare periodicamente in broadcast un messaggio ICMP di scoperta dei router su tutti i link cui è connesso, tali messaggi prendono il nome di Agent Advertisement Message. Mobility Agent

19 Agent Advertisement RBHFMGV reserved type = 16 type = 9 code = 0 c hecksum router address campi standard di ICMP length sequence # registration lifetime 0 o più care-of addresses 0 8 16 24 Estensione dei mobilitity agent advertisement Un Foreign Agent deve pubblicizzare almeno un care-of address Specifica il tempo di validità del messaggio H/F: è settato in base alla funzione svolta dal mobility agent se svolge la funzione di Home Agent o Foreing Agent. R: è settato per richiedere al nodo mobile di registrarsi

20 Procedura di registrazione La procedura di registrazione è un meccanismo flessibile che permette al Mobile Node di comunicare informazioni di raggiungibilit à al proprio Home Agent. In particolare attraverso tale meccanismo il Mobile Node può: richiedere un servizio di reinstradamento, quando si trova in una Foreign Network, può comunicare il care-of address, può rinnovare una registrazione ed infine può deregistrarsi quando torna nella propria Home Network.

21 Procedura di registrazione Registration request Registration request rilanciata allHome Agent Registration replay rilanciata al Mobile Node Registration replay

22 Contesti di sicurezza Per garantire l autenticit à dei messaggi di registrazione ogni coppia di entit à architetturali (MN-HA, MN-FA, FA-HA) può condividere un Mobility Security Association, ovvero un estensione da applicare a tali messaggi. Ogni estensione conterr à una Security Parameter Index (SPI), cio è un indice dipendente dal contesto di sicurezza utilizzato.

23 Contesti di sicurezza Utilizzo di un Timestamp Il Mobile Node che desidera registrarsi invier à un Registration Request Message con il campo Identification contenente una fotografia dell istante in cui invia il messaggio (il Timestamp). In seguito alla ricezione di tale messaggio, l Home Agent dovr à verificare che il campo Identification contenga un valore simile al proprio, e solo in quel caso la registrazione va a buon fine.

24 Contesti di sicurezza Utilizzo di un pseudorandom number Il Mobile Node in corrispondenza di ogni messaggio di registrazione inserir à nei 32 bit meno significativi del campo Identification un valore generato casualmente e copier à nella restante parte i 32 bit pi ù significativi del campo Identification contenuto nell ultimo Registration Reply Message ricevuto. Procedendo in questo modo entrambe le entit à architetturali invieranno un valore che sar à controllato nel successivo messaggio ricevuto.

25 Esempio registrazione home agent HA: 128.119.40.7 foreign agent COA: 79.129.13.2 Mobile agent MA: 128.119.40.186 Registration Reply HA: 128.119.40.7 MA: 128.119.40.186 Lifetime: 4999 Identification: 714 encapsulation format … Registration Request COA:79.129.13.2 HA: 128.119.40.7 MA: 128.119.40.186 Lifetime: 9999 identification: 714 encapsulation format … Registration Reply HA: 128.119.40.7 MA: 128.119.40.18 Lifetime: 4999 Identification: 714 …. COA:79.129.13.2 … Agent Advertisement Registration Request COA:79.129.13.2 HA: 128.119.40.7 MA: 128.119.40.186 Lifetime: 9999 identification:714 …

26 Procedura di Tunneling Quando il Mobile Node accede ad Internet dalla propria Home Network opera senza l ausilio del protocollo Mobile IP, viene quindi considerato come un qualsiasi host fisso. Quando invece è connesso ad una Foreign Network le tre entit à architetturali (Home Agent, Foreign Agent e Mobile Node) devono cooperare fra di loro per garantire la corretta consegna dei datagrammi.

27 IPoverIP Ip header Ip payload Ip header Ip payload New Ip header IPoverIP è lalgoritmo standard utilizzato da Mobile IP per incapsulare i datagrammi. Lincapsulamento si ottiene inserendo, prima del datagramma originario, un nuovo header IP. Ad eccezione del campo TTL che viene decrementato di una unità, lheader interno non subisce nessun tipo di modifica. Per quanto riguarda gli indirizzi IP presenti nellheader esterno questi rispecchieranno il mittente ed il destinatario del datagramma (generalmente Home Agent e Foreign Agent).

28 Tunneling Home Agent Foreing Agent Tunnel 1.Lhome Agent riceve un datagramma destinato al Mobile Node allora lo incapsula in un nuovo datagramma (usando lalgoritmo IPoverIP) e lo immette nel tunnel indirizzandolo al COA (79.129.13.2) 2.Il Foreing Agent riceve il datagramma lo disincapsula e rilancia il datagramma originale al Mobile Node (allindirizzo 128.119.40.186) Indirizzo permanente 128.119.40.186 Care-of-address 79.129.13.2

29 Riferimenti CNR IASI NetLab Tesi di Laurea in Ingegneria delle Telecomunicazioni Progettazione ed implementazionedi un sistema AAA per Mobile IP di Paolo Pucciarini. Libro di testo Internet e reti di calcolatori Kurose e Ross della McGrow-Hill. Le slide sono on-line allindirizzo http://tecweb.unich.it/cleis nella pagina del corso di Reti degli Elaboratori e Sicurezza.


Scaricare ppt "Corso di Reti di calcolatori e Sicurezza di Pamela PerettiProf. Stefano Bistarelli."

Presentazioni simili


Annunci Google