1 / 25

MIP x HIP Um Estudo Sobre Segurança Em Redes Móveis

MIP x HIP Um Estudo Sobre Segurança Em Redes Móveis. Gino Dornelles Calebe Augusto do Santos Florianópolis, 2008. Cenário. Necessidade de conexão Dispositivos portáteis Mobilidade Conexão ativa durante mudança de rede de acesso Redes Wireless Protocolos que permitam mobilidade.

nizana
Download Presentation

MIP x HIP Um Estudo Sobre Segurança Em Redes Móveis

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MIP x HIPUm Estudo Sobre Segurança Em Redes Móveis Gino Dornelles Calebe Augusto do Santos Florianópolis, 2008 INE5630 Segurança em Computação Distribuída

  2. Cenário • Necessidade de conexão • Dispositivos portáteis • Mobilidade • Conexão ativa durante mudança de rede de acesso • Redes Wireless • Protocolos que permitam mobilidade INE5630 Segurança em Computação Distribuída

  3. Desafios da Mobilidade • Localização do usuário móvel • Roteamento • Protocolos fixos à rede de origem • Transferência dinâmica entre pontos de conexão • Segurança • Propostas para Segurança > MIP e HIP INE5630 Segurança em Computação Distribuída

  4. Mobile IP • IETF criou suporte para mobilidade em redes IP nas versões IPv4 e IPv6 A proposta do protocolo Mobile IP (MIP) é de que o IP seja estendido para permitir que o terminal, antes fixo, visite uma rede estrangeira e mantenha a comunicação ininterrupta sem mudar o seu endereço IP original. [ALB04] INE5630 Segurança em Computação Distribuída

  5. Mobile IP • Nó móvel apresenta dois endereços IP: • Home address • Care-of-address • Home Address: Este endereço não muda, mesmo que o usuário seja atendido por uma célula conectada a outra rede física • Care-Of-Address: Este endereço muda todas as vezes que o usuário muda de rede física INE5630 Segurança em Computação Distribuída

  6. Mobile IP Roteadores • Home Agent (HA) • Roteador da Rede Nativa do dispositivo móvel • Efetua todo o processo de autenticação • Redireciona todos os pacotes recebidos da Internet para o Foreign Agent • Foreign Agent (FA) • Roteador da Rede Estrangeira, onde o dispositivo móvel se encontra no momento • Encaminha os pacotes recebidos do Home Agent até o dispositivo móvel INE5630 Segurança em Computação Distribuída

  7. Arquitetura Mobile IP INE5630 Segurança em Computação Distribuída

  8. Registro • O registro é o processo que consiste em atualizar a localização de um nó móvel (MN) junto ao seu home address (HA) • Essa atualização deve ser feita a cada mudança de domínio administrativo ou após o tempo de validade do registro anterior expirar INE5630 Segurança em Computação Distribuída

  9. Mecanismo de Registro INE5630 Segurança em Computação Distribuída

  10. Tunelamento • Tunelamento é o processo no qual o HA intercepta os pacotes destinados a um MN e os envia ao local em que tal MN se encontra através do encapsulamento • O tunelamento faz parte do processo de roteamento do protocolo Mobile IP INE5630 Segurança em Computação Distribuída

  11. Roteamento e Tunelamento no Mobile IPv4 INE5630 Segurança em Computação Distribuída

  12. Segurança em Roteamento de Pacotes • Problema > Autenticação do nó móvel • Proposta > utilização do IPSec O IPSec introduz o conceito de Associação de Segurança, através de um conjunto de parâmetros que permite negociar algoritmos de cifra que serão utilizados • Associações no IPsec: Modo Transporte e Modo Túnel INE5630 Segurança em Computação Distribuída

  13. Modo Transporte INE5630 Segurança em Computação Distribuída

  14. Modo Túnel INE5630 Segurança em Computação Distribuída

  15. HIP (Host Identity Protocol) • Alternativa ao MIP • introduz um namespace exclusivo ao host para o processo de identificação durante o ciclo de comunicação • Permitir ao host ser localizado através de identificadores invariáveis das camadas superiores INE5630 Segurança em Computação Distribuída

  16. HIP - Características • Separação da localização e identificador • Novo espaço de nome consistindo de Host Identifiers (HI) • Host Identity Tags (HITs) são representações tipicamente de 128 bits para as HIs INE5630 Segurança em Computação Distribuída

  17. Ligação IP na arquitetura atual e Ligação dinâmica usando HIP INE5630 Segurança em Computação Distribuída

  18. HIP (Host Identity Protocol) • Hash da chave pública do nó para fazer a identificação do mesmo durante o processo de validação junto à rede visitada • Mesma chave pública que gerou o hash é usada para criptografar os dados durante a comunicação • Ao contrário do mundo real, com o protocolo HIP um mesmo nó pode ter várias identidades • Mais viável um host criar várias chaves privadas temporárias do que utilizar uma única chave privada permanente, para evitar o rastreamento de atividades que realizou ao longo do tempo INE5630 Segurança em Computação Distribuída

  19. Ligação Dinâmica Usando HIP A camada de identidade do host utiliza um identificador (HI - Host Identifier) que representa a identidade de um nó na rede e possui uma ligação dinâmica com o endereço IP, o qual continua desempenhando a função de localizador do nó na topologia da rede e é utilizado pelo serviço de roteamento INE5630 Segurança em Computação Distribuída

  20. Arquitetura utilizando HIP INE5630 Segurança em Computação Distribuída

  21. Ligação Dinâmica Usando HIP • O HI (Host Identifier) é uma chave pública de uma tupla de chaves pública-privada, na qual a chave pública é acessível para outros nós HIP e a chave privada representa a identidade do host proprietário (somente ele tem a sua posse) • A HIT (Host Identity Tag) é um valor codificado de 128 bits calculado por uma função de hashing sobre o HI. A HIT tem tamanho fixo, o que facilita sua utilização por outros protocolos, é auto certificadora (autentica um host sem a necessidade de uma entidade externa) e possui uma única chave privada correspondente INE5630 Segurança em Computação Distribuída

  22. Estabelecimento de uma sessão HIP • Nó iniciador envia ao outro host (respondedor) uma mensagem inicial contendo as HITs dos dois hosts • Respondedor retorna uma segunda mensagem contendo um desafio computacional que deve ser resolvido para que a comunicação continue • Nó iniciador deve enviar uma terceira mensagem, contendo a resolução do desafio e a autenticação do respondedor, se a mensagem não contiver o desafio computacional resolvido, ela é descartada • Respondedor retornar uma quarta mensagem autenticando o host iniciador e, enfim, são estabelecidas duas associações de segurança IPSec, uma em cada direção do tráfego, e os dados da camada de transporte passam a ser encapsulados INE5630 Segurança em Computação Distribuída

  23. Estabelecimento de uma sessão HIP INE5630 Segurança em Computação Distribuída

  24. Conclusões e Observações • Modelos para a implantação de mobilidade são recentes e ainda passam por mudanças • MIP apresenta períodos longos de espera pelo registro de atualização • HIP utiliza o conceito de identidade criptográfica para cifrar as informações como forma de implementação de segurança para a transmissão de pacotes • Implementações para linux. Dentro da proposta do MIP pode-se consultar MIPL - Mobile IPv6 for Linux [MOB 2006]. E para o HIP existe o Infra-Hip [HIP 2006] • Estudo de outros modelos ( Hi³) INE5630 Segurança em Computação Distribuída

  25. Bibliografia • BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo sobre segurança em redes móveis. 2007. Monografia. Faculdade Salesiana de Vitoria in http://www.multicast.com.br/sergio/artigos/monografia-pos-seguranca-mobile-pi-x-hip.pdf INE5630 Segurança em Computação Distribuída

More Related