atravessando firewalls em ip móvel por marcio belo ([email protected]) ppgc/ic/uff disciplina...
TRANSCRIPT
Atravessando Firewalls em IP Móvel
Por MARCIO BELO ([email protected])PPGC/IC/UFF
Disciplina Computação MóvelProf. Julius Leite
Abril de 2003
Introdução (1)
Tunelamento
Introdução (2)
Rede Privada Rede Pública
Objetivos
• Prover ao Mobile Node o mesmo nível de conectividade e segurança que ele dispõe quando está em seu Home Link
Requisitos para a solução
• O Foreign Link é na parte pública da Internet: não existe um Firewall separando-o dela
• Firewall não precisa saber nada sobre IP Móvel• Funcionar com redes privadas de endereços
Internet não roteáveis [RFC1918]• Funcionar na presença de outros Firewalls entre
o Home Agent e o Firewall no perímetro da rede privada
Atravessando Firewalls usando SKIP (1)
• Já é um RFC, ou seja, implementado• Consideraremos:
– Firewall deve implementar SKIP– Mobile Node possui a chave pública do Firewall e
vice-versa– Firewall e nodo móvel devem implementar algoritmos
de autenticação e encriptação– Mobile Node deve ser capaz de reconhecer se está
“dentro” da rede privada– Home Agent também deve saber se está recebendo
uma requisição de dentro da rede privada ou de fora
Atravessando Firewalls usando SKIP (2)
• Procedimento de registro:– Mobile Node conecta a um Foreign Link e obtém um IP– MN determina se está fora ou dentro de sua rede privada.
Prosseguimos considerando MN externo:– MN registra care-of externo no Mobile Agent, através de
tunelamento seguro (Registration Request) ao Firewall– O Firewall determina a identidade do MN e descobre como a
mensagem foi codificada– O Firewall encaminha a mensagem para o Home Agent– Home Agent recebe a mensagem e a processa– Caso OK, Home Agent retorna uma mensagem de confirmação– Firewall envia através do tunelamento a mensagem para o MN– MN determina a identidade do Firewall. Caso seja válida,
verifica também a validade do Home Agent
Mensagem encaminha ao
Firewall
• Parte clara: texto puro
• Parte escura: texto codificado
Fluxo de Dados (1)
Fluxo de Dados (2)
Análise do método usando SKIP
• Baixa complexidade• Não necessita de negociação de parâmetros de
segurança antes de uma transmissão• Overhead do cabeçalho SKIP em cada pacote• Criptógrafos reclamam que o tipo de codificação
é indicado em texto puro no cabeçalho do pacote SKIP
• Por consenso, o grupo do IETF aponta o ISAKMP/Oakley como o futuro padrão para gerenciamento de chaves
Método ISAKMP/Oakley
• Existe uma negociação de parâmetros de segurança entre o MN e o Firewall
• O MN pode negociar uma máscara de IPs com o Firewall, evitando desta forma negociar novamente parâmetro de segurança num mesmo Foreign Link
• Os pacotes não conterão um cabeçalho de gerenciamento de chave, como ocorre com o SKIP
Referências
• “Mobile IP – The Internet Unplugged”, James D. Solomon, Chapter 9
• “Sun's SKIP Firewall Traversal for Mobile IP”, RFC2356, IETF
Apresentação pode ser obtida em:
http://www.ic.uff.br/~mbelo