atravessando firewalls em ip móvel por marcio belo (mbelo@ic.uff.br) ppgc/ic/uff disciplina...

Atravessando Firewalls em IP Móvel

Por MARCIO BELO (mbelo@ic.uff.br)PPGC/IC/UFF

Disciplina Computação MóvelProf. Julius Leite

Abril de 2003

Introdução (1)

Tunelamento

Introdução (2)

Rede Privada Rede Pública

Objetivos

• Prover ao Mobile Node o mesmo nível de conectividade e segurança que ele dispõe quando está em seu Home Link

Requisitos para a solução

• O Foreign Link é na parte pública da Internet: não existe um Firewall separando-o dela

• Firewall não precisa saber nada sobre IP Móvel• Funcionar com redes privadas de endereços

Internet não roteáveis [RFC1918]• Funcionar na presença de outros Firewalls entre

o Home Agent e o Firewall no perímetro da rede privada

Atravessando Firewalls usando SKIP (1)

• Já é um RFC, ou seja, implementado• Consideraremos:

– Firewall deve implementar SKIP– Mobile Node possui a chave pública do Firewall e

vice-versa– Firewall e nodo móvel devem implementar algoritmos

de autenticação e encriptação– Mobile Node deve ser capaz de reconhecer se está

“dentro” da rede privada– Home Agent também deve saber se está recebendo

uma requisição de dentro da rede privada ou de fora

Atravessando Firewalls usando SKIP (2)

• Procedimento de registro:– Mobile Node conecta a um Foreign Link e obtém um IP– MN determina se está fora ou dentro de sua rede privada.

Prosseguimos considerando MN externo:– MN registra care-of externo no Mobile Agent, através de

tunelamento seguro (Registration Request) ao Firewall– O Firewall determina a identidade do MN e descobre como a

mensagem foi codificada– O Firewall encaminha a mensagem para o Home Agent– Home Agent recebe a mensagem e a processa– Caso OK, Home Agent retorna uma mensagem de confirmação– Firewall envia através do tunelamento a mensagem para o MN– MN determina a identidade do Firewall. Caso seja válida,

verifica também a validade do Home Agent

Mensagem encaminha ao

Firewall

• Parte clara: texto puro

• Parte escura: texto codificado

Fluxo de Dados (1)

Fluxo de Dados (2)

Análise do método usando SKIP

• Baixa complexidade• Não necessita de negociação de parâmetros de

segurança antes de uma transmissão• Overhead do cabeçalho SKIP em cada pacote• Criptógrafos reclamam que o tipo de codificação

é indicado em texto puro no cabeçalho do pacote SKIP

• Por consenso, o grupo do IETF aponta o ISAKMP/Oakley como o futuro padrão para gerenciamento de chaves

Método ISAKMP/Oakley

• Existe uma negociação de parâmetros de segurança entre o MN e o Firewall

• O MN pode negociar uma máscara de IPs com o Firewall, evitando desta forma negociar novamente parâmetro de segurança num mesmo Foreign Link

• Os pacotes não conterão um cabeçalho de gerenciamento de chave, como ocorre com o SKIP

Referências

• “Mobile IP – The Internet Unplugged”, James D. Solomon, Chapter 9

• “Sun's SKIP Firewall Traversal for Mobile IP”, RFC2356, IETF

Apresentação pode ser obtida em:

http://www.ic.uff.br/~mbelo