Corso di Reti di calcolatori e Sicurezza Corso di Reti di calcolatori e Sicurezza

Corso di Reti di calcolatori e Sicurezza Corso di Reti di calcolatori e Sicurezza

Introduzione Introduzione

La grande diffusione di dispositivi portatili ha favorito la domanda d’accesso ad Internet indipendentemente dalla tecnologia e dal punto d’accesso stesso.

La classica ipotesi per cui un terminale si vede assegnato sempre lo stesso punto di accesso alla rete globale non è più sufficiente a rispondere all’esigenza di mobilità degli individui.

Mobilità Mobilità

Ma chi è un utente mobile?

È forse un individuo che si connette ad una rete wireless e poi si sposta all’interno di un edificio?

Mobilità Mobilità

O è un utente che vuole mantenere attiva la propria

connessione wireless attraverso diverse reti mentre viaggia da Pescara a Milano?

Mobile IP Mobile IP

Sviluppato all’interno dell’Internet Engineering Task Force, Mobile IP è un protocollo che permette di gestire la mobilità degli host a livello di rete in maniera indipendente dalle caratteristiche delle singole sotto-reti d’accesso.

Il principio di funzionamento del protocollo è semplice e deriva dall’esigenza di sopperire ai limiti imposti, dalla pila protocollare TCP/IP, nei confronti della mobilità.

Mobile IP Mobile IP

Obbiettivi di Mobile Ip sono:

 Trasparenza in quanto la mobilità è trasparente alle applicazioni ed ai protocolli di livello di trasporto, ad esempio le connessioni TCP non terminano in seguito ad una variazione del punto d’accesso ad Internet da parte degli host.

 Compatibilità in modo tale che un host mobile può interagire con uno fisso anche se quest’ultimo non implementa lo standard Mobile IP.

 Sicurezza Mobile IP fornisce meccanismi per garantire l’autenticità dei messaggi scambiati.

Entità architetturali Entità architetturali

Casa

Moreno

Genitori Moreno è un ragazzo che abita con i suoi genitori…

Entità architetturali Entità architetturali

…ma a Moreno piace viaggiare quindi è costretto a cambiare spesso casa e quindi anche il suo indirizzo spesso cambia…

Entità architetturali Entità architetturali

Casa Nuovo indirizzo

?

Entità architetturali Entità architetturali

Home Agent

Indirizzo permanente

Home Network

Foreing Agent Mobile Node

Foreing Network

Ogni nodo mobile è caratterizzato da due indirizzi IP: il primo, detto home address, è permanente e viene assegnato dall’Home Network, il secondo, detto care-of address (COA), è temporaneo e rispecchia la posizione corrente del Mobile Node all’interno di una Foreign Network.

COA

Esempio instradamento indiretto Esempio instradamento indiretto

Casa Nuovo indirizzo

Instradamento indiretto Instradamento indiretto

Home Agent

Mobile Node Indirizzo

permanente

Foreing Agent

Instradamento indiretto Instradamento indiretto

Vantaggio

 Trasparenza in quanto il corrispondente non si accorge dello spostamento del Mobile node da una rete all’altra dato che continua a inviare i pacchetti verso l’Home Agent.

Svantaggio

 Problema dell’instradamento triangolare

Esempio instradamento diretto Esempio instradamento diretto

Casa Nuovo indirizzo

Instradamento diretto Instradamento diretto

Home Agent

Foreing Agent

Instradamento diretto Instradamento diretto

Vantaggio

 Superamento del problema dell’instradamento triangolare Svantaggio

 Introduzione di complessità aggiuntiva

Descrizione del protocollo Descrizione del protocollo

Le principali funzioni supportate dallo standard Mobile IP sono:

 Agent Advertisement

Attraverso messaggi denominati Agent Advertisement, i mobility agent (Home Agent e Foreign Agent) rendono nota la propria disponibilità a fornire un servizio.

 Registration

Permette ad un Mobile Node di registrare il care-of address, ottenuto in una foreing network, con il proprio Home Agent.

 Tunneling

A seguito della registrazione di un Mobile Node, l’Home Agent deve intercettare i datagrammi destinati al Mobile Node (avranno il

Agent Advertisement Agent Advertisement

I mobility agent devono rendere nota la propria disponibilità a fornire un servizio e devono “pubblicizzarla”.

Questo è possibile attraverso una procedura denominata Agent Discovery in base alla quale il mobility agent deve mandare periodicamente in broadcast un messaggio ICMP di scoperta dei router su tutti i link cui è connesso, tali messaggi prendono il nome di Agent Advertisement Message.

Mobility Agent

Agent Advertisement Agent Advertisement

RBHFMGV reserved type = 16

type = 9 code = 0 checksum

router address

campi standard di ICMP

length sequence # registration lifetime

0 o più care-of addresses

0 8 16 24

Estensione dei mobilitity agent

advertisement

Un Foreign Agent deve pubblicizzare almeno un care-of address

Specifica il tempo di validità del messaggio

R: è settato per richiedere al nodo mobile di registrarsi

Procedura di registrazione Procedura di registrazione

La procedura di registrazione è un meccanismo flessibile che permette al Mobile Node di comunicare informazioni di raggiungibilità al proprio Home Agent.

In particolare attraverso tale meccanismo il Mobile Node può:

richiedere un servizio di reinstradamento, quando si trova in una Foreign Network,

può comunicare il care-of address,

può rinnovare una registrazione ed infine può deregistrarsi quando torna nella propria Home Network.

Procedura di registrazione Procedura di registrazione

Registration request Registration replay

rilanciata al Mobile Node Registration replay

Contesti di sicurezza Contesti di sicurezza

Per garantire l’autenticità dei messaggi di registrazione ogni coppia di entità architetturali (MN-HA, MN-FA, FA-HA) può condividere un

“Mobility Security Association”, ovvero un’estensione da applicare a tali messaggi.

Ogni estensione conterrà una Security Parameter Index (SPI), cioè un indice dipendente dal contesto di sicurezza utilizzato.

Contesti di sicurezza Contesti di sicurezza

Utilizzo di un Timestamp

Il Mobile Node che desidera registrarsi invierà un Registration Request Message con il campo Identification contenente una

“fotografia” dell’istante in cui invia il messaggio (il Timestamp).

In seguito alla ricezione di tale messaggio, l’Home Agent dovrà verificare che il campo Identification contenga un valore “simile” al proprio, e solo in quel caso la registrazione va a buon fine.

Contesti di sicurezza Contesti di sicurezza

Utilizzo di un “pseudorandom number”

Il Mobile Node in corrispondenza di ogni messaggio di registrazione inserirà nei 32 bit meno significativi del campo Identification un valore generato casualmente e copierà nella restante parte i 32 bit più significativi del campo Identification contenuto nell’ultimo Registration Reply Message ricevuto.

Procedendo in questo modo entrambe le entità architetturali invieranno un valore che sarà controllato nel successivo messaggio ricevuto.

Esempio registrazione Esempio registrazione

home agent

HA: 128.119.40.7 foreign agent

COA: 79.129.13.2 Mobile agent

MA: 128.119.40.186

Registration Reply

HA: 128.119.40.7

Registration Request

COA:79.129.13.2 HA: 128.119.40.7 MA: 128.119.40.186 Lifetime: 9999 identification: 714 encapsulation format

…

COA:79.129.13.2

…

Agent Advertisement

Registration Request

COA:79.129.13.2 HA: 128.119.40.7 MA: 128.119.40.186 Lifetime: 9999 identification:714

…

Procedura di Tunneling Procedura di Tunneling

Quando il Mobile Node accede ad Internet dalla propria Home Network opera senza l’ausilio del protocollo Mobile IP, viene quindi considerato come un qualsiasi host fisso.

Quando invece è connesso ad una Foreign Network le tre entità architetturali (Home Agent, Foreign Agent e Mobile Node) devono cooperare fra di loro per garantire la corretta consegna dei datagrammi.

IPoverIP IPoverIP

Ip header Ip payload

Ip header Ip payload New Ip header

IPoverIP è l’algoritmo standard utilizzato da Mobile IP per incapsulare i datagrammi.

L’incapsulamento si ottiene inserendo, prima del datagramma originario, un nuovo header IP.

Ad eccezione del campo TTL che viene decrementato di una unità, l’header interno non subisce nessun tipo di modifica.

Tunneling Tunneling

HomeAgent Foreing

Agent

Tunnel

1. L’home Agent riceve un datagramma destinato al Mobile Node allora lo incapsula in un nuovo datagramma (usando l’algoritmo IPoverIP) e lo immette nel tunnel indirizzandolo al COA (79.129.13.2)

2. Il Foreing Agent riceve il datagramma lo disincapsula e rilancia il datagramma originale al Mobile Node (all’indirizzo 128.119.40.186)

Indirizzo permanente

128.119.40.186 Indirizzo permanente 128.119.40.186

Care-of-address 79.129.13.2

Riferimenti Riferimenti

CNR IASI NetLab

Tesi di Laurea in Ingegneria delle Telecomunicazioni “Progettazione ed implementazionedi un sistema AAA per Mobile IP” di Paolo Pucciarini.

Libro di testo

Internet e reti di calcolatori Kurose e Ross della McGrow-Hill.

Le slide sono on-line all’indirizzo http://tecweb.unich.it/cleis nella pagina