Atravessando Firewalls em IP
Móvel
Por MARCIO BELO ([email protected])
PPGC/IC/UFF
Disciplina Computação Móvel
Prof. Julius Leite
Abril de 2003
Introdução (1)
Tunelamento
Introdução (2)
Rede Privada
Rede Pública
Objetivos
• Prover ao Mobile Node o mesmo nível de
conectividade e segurança que ele dispõe
quando está em seu Home Link
Requisitos para a solução
• O Foreign Link é na parte pública da Internet:
não existe um Firewall separando-o dela
• Firewall não precisa saber nada sobre IP Móvel
• Funcionar com redes privadas de endereços
Internet não roteáveis [RFC1918]
• Funcionar na presença de outros Firewalls entre
o Home Agent e o Firewall no perímetro da rede
privada
Atravessando Firewalls usando
SKIP (1)
• Já é um RFC, ou seja, implementado
• Consideraremos:
– Firewall deve implementar SKIP
– Mobile Node possui a chave pública do Firewall e
vice-versa
– Firewall e nodo móvel devem implementar algoritmos
de autenticação e encriptação
– Mobile Node deve ser capaz de reconhecer se está
“dentro” da rede privada
– Home Agent também deve saber se está recebendo
uma requisição de dentro da rede privada ou de fora
Atravessando Firewalls usando
SKIP (2)
• Procedimento de registro:
– Mobile Node conecta a um Foreign Link e obtém um IP
– MN determina se está fora ou dentro de sua rede privada.
Prosseguimos considerando MN externo:
– MN registra care-of externo no Mobile Agent, através de
tunelamento seguro (Registration Request) ao Firewall
– O Firewall determina a identidade do MN e descobre como a
mensagem foi codificada
– O Firewall encaminha a mensagem para o Home Agent
– Home Agent recebe a mensagem e a processa
– Caso OK, Home Agent retorna uma mensagem de confirmação
– Firewall envia através do tunelamento a mensagem para o MN
– MN determina a identidade do Firewall. Caso seja válida, verifica
também a validade do Home Agent
Mensagem
encaminha ao
Firewall
• Parte clara: texto puro
• Parte escura: texto
codificado
Fluxo de Dados (1)
Fluxo de Dados (2)
Análise do método usando SKIP
• Baixa complexidade
• Não necessita de negociação de parâmetros de
segurança antes de uma transmissão
• Overhead do cabeçalho SKIP em cada pacote
• Criptógrafos reclamam que o tipo de codificação
é indicado em texto puro no cabeçalho do
pacote SKIP
• Por consenso, o grupo do IETF aponta o
ISAKMP/Oakley como o futuro padrão para
gerenciamento de chaves
Método ISAKMP/Oakley
• Existe uma negociação de parâmetros de
segurança entre o MN e o Firewall
• O MN pode negociar uma máscara de IPs
com o Firewall, evitando desta forma
negociar novamente parâmetro de
segurança num mesmo Foreign Link
• Os pacotes não conterão um cabeçalho
de gerenciamento de chave, como ocorre
com o SKIP
Referências
• “Mobile IP – The Internet Unplugged”,
James D. Solomon, Chapter 9
• “Sun's SKIP Firewall Traversal for Mobile
IP”, RFC2356, IETF
Apresentação pode ser obtida em:
http://www.ic.uff.br/~mbelo