Adicionar à colecção (s) Adicionar a salvo
  1. Engenharia
  2. Ciência da computação
  3. Software em linguagem de montagem

Gino-Calebe

Propaganda 
MIP x HIP
Um Estudo Sobre Segurança
Em Redes Móveis
Gino Dornelles
Calebe Augusto do Santos
Florianópolis, 2008
INE5630 Segurança em Computação Distribuída
1
Cenário






Necessidade de conexão
Dispositivos portáteis
Mobilidade
Conexão ativa durante mudança de rede de
acesso
Redes Wireless
Protocolos que permitam mobilidade
INE5630 Segurança em Computação Distribuída
2
Desafios da Mobilidade






Localização do usuário móvel
Roteamento
Protocolos fixos à rede de origem
Transferência dinâmica entre pontos de
conexão
Segurança
Propostas para Segurança > MIP e
HIP
INE5630 Segurança em Computação Distribuída
3
Mobile IP

IETF criou suporte para mobilidade em redes IP
nas versões IPv4 e IPv6
A proposta do protocolo Mobile IP (MIP) é de que o
IP seja estendido para permitir que o terminal,
antes fixo, visite uma rede estrangeira e mantenha
a comunicação ininterrupta sem mudar o seu
endereço IP original. [ALB04]
INE5630 Segurança em Computação Distribuída
4
Mobile IP



Nó móvel apresenta dois endereços IP:
• Home address
• Care-of-address
Home Address: Este endereço não muda, mesmo
que o usuário seja atendido por uma célula
conectada a outra rede física
Care-Of-Address: Este endereço muda todas as
vezes que o usuário muda de rede física
INE5630 Segurança em Computação Distribuída
5
Mobile IP Roteadores

Home Agent (HA)
Roteador da Rede Nativa do dispositivo móvel
 Efetua todo o processo de autenticação
 Redireciona todos os pacotes recebidos da
Internet para o Foreign Agent


Foreign Agent (FA)
Roteador da Rede Estrangeira, onde o
dispositivo móvel se encontra no momento
 Encaminha os pacotes recebidos do Home
Agent até o dispositivo móvel

INE5630 Segurança em Computação Distribuída
6
Arquitetura Mobile IP
INE5630 Segurança em Computação Distribuída
7
Registro


O registro é o processo que consiste em
atualizar a localização de um nó móvel (MN)
junto ao seu home address (HA)
Essa atualização deve ser feita a cada
mudança de domínio administrativo ou após
o tempo de validade do registro anterior
expirar
INE5630 Segurança em Computação Distribuída
8
Mecanismo de Registro
INE5630 Segurança em Computação Distribuída
9
Tunelamento


Tunelamento é o processo no qual o HA
intercepta os pacotes destinados a um MN e
os envia ao local em que tal MN se encontra
através do encapsulamento
O tunelamento faz parte do processo de
roteamento do protocolo Mobile IP
INE5630 Segurança em Computação Distribuída
10
Roteamento e Tunelamento
no Mobile IPv4
INE5630 Segurança em Computação Distribuída
11
Segurança em Roteamento de
Pacotes


Problema > Autenticação do nó móvel
Proposta > utilização do IPSec
O IPSec introduz o conceito de Associação de
Segurança, através de um conjunto de
parâmetros que permite negociar algoritmos de
cifra que serão utilizados

Associações no IPsec: Modo Transporte e Modo
Túnel
INE5630 Segurança em Computação Distribuída
12
Modo Transporte
INE5630 Segurança em Computação Distribuída
13
Modo Túnel
INE5630 Segurança em Computação Distribuída
14
HIP (Host Identity Protocol)



Alternativa ao MIP
introduz um namespace exclusivo ao host
para o processo de identificação durante o
ciclo de comunicação
Permitir ao host ser localizado através de
identificadores invariáveis das camadas
superiores
INE5630 Segurança em Computação Distribuída
15
HIP - Características



Separação da localização e identificador
Novo espaço de nome consistindo de Host
Identifiers (HI)
Host Identity Tags (HITs) são
representações tipicamente de 128 bits para
as HIs
INE5630 Segurança em Computação Distribuída
16
Ligação IP na arquitetura atual e
Ligação dinâmica usando HIP
INE5630 Segurança em Computação Distribuída
17
HIP (Host Identity Protocol)




Hash da chave pública do nó para fazer a
identificação do mesmo durante o processo de
validação junto à rede visitada
Mesma chave pública que gerou o hash é usada
para criptografar os dados durante a comunicação
Ao contrário do mundo real, com o protocolo HIP
um mesmo nó pode ter várias identidades
Mais viável um host criar várias chaves privadas
temporárias do que utilizar uma única chave
privada permanente, para evitar o rastreamento de
atividades que realizou ao longo do tempo
INE5630 Segurança em Computação Distribuída
18
Ligação Dinâmica Usando HIP
A camada de identidade do host utiliza um
identificador (HI - Host Identifier) que
representa a identidade de um nó na rede e
possui uma ligação dinâmica com o
endereço IP, o qual continua
desempenhando a função de localizador do
nó na topologia da rede e é utilizado pelo
serviço de roteamento
INE5630 Segurança em Computação Distribuída
19
Arquitetura utilizando HIP
INE5630 Segurança em Computação Distribuída
20
Ligação Dinâmica Usando HIP


O HI (Host Identifier) é uma chave pública de
uma tupla de chaves pública-privada, na qual a
chave pública é acessível para outros nós HIP e a
chave privada representa a identidade do host
proprietário (somente ele tem a sua posse)
A HIT (Host Identity Tag) é um valor codificado
de 128 bits calculado por uma função de hashing
sobre o HI. A HIT tem tamanho fixo, o que facilita
sua utilização por outros protocolos, é auto
certificadora (autentica um host sem a necessidade
de uma entidade externa) e possui uma única
chave privada correspondente
INE5630 Segurança em Computação Distribuída
21
Estabelecimento de uma
sessão HIP




Nó iniciador envia ao outro host (respondedor) uma mensagem
inicial contendo as HITs dos dois hosts
Respondedor retorna uma segunda mensagem contendo um desafio
computacional que deve ser resolvido para que a comunicação
continue
Nó iniciador deve enviar uma terceira mensagem, contendo a
resolução do desafio e a autenticação do respondedor, se a
mensagem não contiver o desafio computacional resolvido, ela é
descartada
Respondedor retornar uma quarta mensagem autenticando o host
iniciador e, enfim, são estabelecidas duas associações de segurança
IPSec, uma em cada direção do tráfego, e os dados da camada
de transporte passam a ser encapsulados
INE5630 Segurança em Computação Distribuída
22
Estabelecimento de uma
sessão HIP
INE5630 Segurança em Computação Distribuída
23
Conclusões e Observações





Modelos para a implantação de mobilidade são
recentes e ainda passam por mudanças
MIP apresenta períodos longos de espera pelo
registro de atualização
HIP utiliza o conceito de identidade criptográfica
para cifrar as informações como forma de
implementação de segurança para a transmissão de
pacotes
Implementações para linux. Dentro da proposta do
MIP pode-se consultar MIPL - Mobile IPv6 for Linux
[MOB 2006]. E para o HIP existe o Infra-Hip [HIP
2006]
Estudo de outros modelos ( Hi³)
INE5630 Segurança em Computação Distribuída
24
Bibliografia

BALDO. JARDEL PAVAN. Mobile IP x HIP: Um estudo sobre
segurança em redes móveis. 2007. Monografia. Faculdade
Salesiana de Vitoria in
http://www.multicast.com.br/sergio/artigos/monografia-posseguranca-mobile-pi-x-hip.pdf
INE5630 Segurança em Computação Distribuída
25
Documentos relacionados
CCO-129-16
CCO-129-16
5. COMPUTAÇÃO - CH TOTAL: 3.320 Ano 1 – 1º
5. COMPUTAÇÃO - CH TOTAL: 3.320 Ano 1 – 1º
Computação Paralela e Distribuída
Computação Paralela e Distribuída
vaga de estágio - Portal de Editais
vaga de estágio - Portal de Editais
Atraindo e Isolando Hackers
Atraindo e Isolando Hackers
Química ou Engenharia Química?
Química ou Engenharia Química?
Estrutura Curricular: Curso Superior de Tecnologia em
Estrutura Curricular: Curso Superior de Tecnologia em
Resumo_19970215
Resumo_19970215
Honeypots
Honeypots
estágio desenvolvimento java - INF
estágio desenvolvimento java - INF
Habilitação - Etec Pedro Badran
Habilitação - Etec Pedro Badran
cálculo da margem de segurança de sistemas de - PRP
cálculo da margem de segurança de sistemas de - PRP
PLANO DE ENSINO Curso: Ciência da Computação Série: 1º
PLANO DE ENSINO Curso: Ciência da Computação Série: 1º
FICHA DE INSCRIÇÃO - MONITORIA Observações: Selecionado
FICHA DE INSCRIÇÃO - MONITORIA Observações: Selecionado
Download
Propaganda