mip x hip um estudo sobre segurança em redes móveis

INE5630 Segurança em Computação DistriINE5630 Segurança em Computação Distribuídabuída

11

MIP x HIPMIP x HIPUm Estudo Sobre Um Estudo Sobre

Segurança Em Redes Segurança Em Redes MóveisMóveis

Gino DornellesGino DornellesCalebe Augusto do SantosCalebe Augusto do Santos

Florianópolis, 2008Florianópolis, 2008


22

CenárioCenário

Necessidade de conexãoNecessidade de conexão Dispositivos portáteisDispositivos portáteis MobilidadeMobilidade Conexão ativa durante mudança de Conexão ativa durante mudança de

rede de acesso rede de acesso Redes WirelessRedes Wireless Protocolos que permitam mobilidadeProtocolos que permitam mobilidade


33

Desafios da MobilidadeDesafios da Mobilidade

Localização do usuário móvelLocalização do usuário móvel RoteamentoRoteamento Protocolos fixos à rede de origemProtocolos fixos à rede de origem Transferência dinâmica entre pontos Transferência dinâmica entre pontos

de conexãode conexão SegurançaSegurança Propostas para Segurança > Propostas para Segurança > MIPMIP

e e HIPHIP


44

Mobile IPMobile IP

IETF criou suporte para mobilidade em redes IP IETF criou suporte para mobilidade em redes IP nas versões IPv4 e IPv6nas versões IPv4 e IPv6

A proposta do protocolo Mobile IP (A proposta do protocolo Mobile IP (MIPMIP) é de que o ) é de que o IP seja estendido para permitir que o terminal, IP seja estendido para permitir que o terminal, antes fixo, visite uma rede estrangeira e mantenha antes fixo, visite uma rede estrangeira e mantenha a comunicação ininterrupta sem mudar o seu a comunicação ininterrupta sem mudar o seu endereço IP original. [ALB04]endereço IP original. [ALB04]


55

Mobile IP Mobile IP Nó móvel apresenta dois endereços IP:Nó móvel apresenta dois endereços IP:

• Home address Home address • Care-of-addressCare-of-address

Home AddressHome Address: Este endereço não muda, : Este endereço não muda, mesmo que o usuário seja atendido por uma mesmo que o usuário seja atendido por uma célula conectada a outra rede físicacélula conectada a outra rede física

Care-Of-AddressCare-Of-Address: Este endereço muda : Este endereço muda todas as vezes que o usuário muda de rede todas as vezes que o usuário muda de rede físicafísica


66

Mobile IP RoteadoresMobile IP Roteadores Home Agent (HA)Home Agent (HA)

Roteador da Rede Nativa do dispositivo Roteador da Rede Nativa do dispositivo móvel móvel

Efetua todo o processo de autenticaçãoEfetua todo o processo de autenticação Redireciona todos os pacotes recebidos da Redireciona todos os pacotes recebidos da

Internet para o Foreign AgentInternet para o Foreign Agent Foreign Agent (FA)Foreign Agent (FA)

Roteador da Rede Estrangeira, onde o Roteador da Rede Estrangeira, onde o dispositivo móvel se encontra no momentodispositivo móvel se encontra no momento

Encaminha os pacotes recebidos do Home Encaminha os pacotes recebidos do Home Agent até o dispositivo móvelAgent até o dispositivo móvel


77

Arquitetura Mobile IPArquitetura Mobile IP


88

RegistroRegistro

O registro é o processo que consiste em atualizar a localização de um nó móvel (MN) junto ao seu home address (HA)

Essa atualização deve ser feita a cada mudança de domínio administrativo ou após o tempo de validade do registro anterior expirar


99

Mecanismo de RegistroMecanismo de Registro


1010

TunelamentoTunelamento

Tunelamento é o processo no qual o HA intercepta os pacotes destinados a um MN e os envia ao local em que tal MN se encontra através do encapsulamento

O tunelamento faz parte do processo de roteamento do protocolo Mobile IP


1111

Roteamento e Roteamento e Tunelamento no Mobile Tunelamento no Mobile

IPv4IPv4


1212

Segurança em Roteamento Segurança em Roteamento de Pacotesde Pacotes

Problema > Autenticação do nó móvelProblema > Autenticação do nó móvel Proposta > utilização do Proposta > utilização do IPSecIPSec

O IPSec introduz o conceito de Associação de Segurança, através de um conjunto de parâmetros que permite negociar algoritmos de cifra que serão utilizados

Associações no IPsec: Modo Transporte e Associações no IPsec: Modo Transporte e Modo TúnelModo Túnel


1313

Modo TransporteModo Transporte


1414

Modo TúnelModo Túnel


1515

HIP (Host Identity HIP (Host Identity Protocol)Protocol) Alternativa ao MIPAlternativa ao MIP introduz um namespace exclusivo ao

host para o processo de identificação durante o ciclo de comunicação

Permitir ao host ser localizado através de

identificadores invariáveis das camadas superiores


1616

HIP - CaracterísticasHIP - Características

Separação da localização e identificadorSeparação da localização e identificador

Novo espaço de nome consistindo de Novo espaço de nome consistindo de Host Identifiers (HI)Host Identifiers (HI)

Host Identity Tags (Host Identity Tags (HITsHITs) são ) são representações tipicamente de 128 bits representações tipicamente de 128 bits para as HIspara as HIs


1717

Ligação IP na arquitetura atual Ligação IP na arquitetura atual e Ligação dinâmica usando HIPe Ligação dinâmica usando HIP


1818

HIP (Host Identity HIP (Host Identity Protocol)Protocol) Hash da chave pública do nó para fazer a

identificação do mesmo durante o processo de validação junto à rede visitada

Mesma chave pública que gerou o hash é usada para criptografar os dados durante a comunicação

Ao contrário do mundo real, com o protocolo HIP um mesmo nó pode ter várias identidades

Mais viável um host criar várias chaves privadas temporárias do que utilizar uma única chave privada permanente, para evitar o rastreamento de atividades que realizou ao longo do tempo


1919

Ligação Dinâmica Usando Ligação Dinâmica Usando HIPHIP

A camada de identidade do host utiliza um

identificador (HI - Host Identifier) que representa a identidade de um nó na rede e possui uma ligação dinâmica com o endereço IP, o qual continua

desempenhando a função de localizador do nó na topologia da rede

e é utilizado pelo serviço de roteamento


2020

Arquitetura utilizando Arquitetura utilizando HIPHIP


2121

Ligação Dinâmica Usando HIPLigação Dinâmica Usando HIP

O HI (Host Identifier) é uma chave pública de uma tupla de chaves pública-privada, na qual a chave pública é acessível para outros nós HIP e a chave privada representa a identidade do host proprietário (somente ele tem a sua posse)

A HIT (Host Identity Tag) é um valor codificado de 128 bits calculado por uma função de hashing sobre o HI. A HIT tem tamanho fixo, o que facilita sua utilização por outros protocolos, é auto certificadora (autentica um host sem a necessidade de uma entidade externa) e possui uma única chave privada correspondente


2222

Estabelecimento de uma Estabelecimento de uma sessão HIPsessão HIP

Nó iniciador envia ao outro host (respondedor) uma mensagem inicial contendo as HITs dos dois hosts

Respondedor retorna uma segunda mensagem contendo um desafio computacional que deve ser resolvido para que a comunicação continue

Nó iniciador deve enviar uma terceira mensagem, contendo a resolução do desafio e a autenticação do respondedor, se a mensagem não contiver o desafio computacional resolvido, ela é descartada

Respondedor retornar uma quarta mensagem autenticando o host iniciador e, enfim, são estabelecidas duas associações de segurança IPSec, uma em cada direção do tráfego, e os dados da camadade transporte passam a ser encapsulados


2323

Estabelecimento de uma Estabelecimento de uma sessão HIPsessão HIP


2424

Conclusões e ObservaçõesConclusões e Observações

Modelos para a implantação de mobilidade Modelos para a implantação de mobilidade são recentes e ainda passam por mudançassão recentes e ainda passam por mudanças

MIP apresenta períodos longos de espera MIP apresenta períodos longos de espera pelo registro de atualizaçãopelo registro de atualização

HIP utiliza o conceito de identidade criptográfica para cifrar as informações como forma de implementação de segurança para a transmissão de pacotes

Implementações para linux. Dentro da proposta do MIP pode-se consultar MIPL - Mobile IPv6 for Linux [MOB 2006]. E para o HIP existe o Infra-Hip [HIP 2006]

Estudo de outros modelos ( Hi³)


2525

BibliografiaBibliografia

BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo sobre segurança em redes móveis. 2007. Monografia. sobre segurança em redes móveis. 2007. Monografia. Faculdade Salesiana de Vitoria in Faculdade Salesiana de Vitoria in http://www.multicast.com.br/sergio/artigos/monografiahttp://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf-pos-seguranca-mobile-pi-x-hip.pdf

http://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf

http://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf

mip x hip um estudo sobre segurança em redes móveis

Documents