Segurança, Mobilidade e Multihoming
Universidade Federal do Rio de Janeiro – UFRJ
Disciplina: Redes de Computadores II - 2009/2
Professores: Otto C. M. B. Duarte e Luís Henrique M. K. Costa
Aluno: Lyno Henrique Gonçalves Ferraz


Introdução
Arquitetura
 Novos Identificadores
 Nova Pilha






Protocolo
Mobilidade
Multihoming
Conclusão
Perguntas e Respostas
Referências

Problemas da arquitetura atual
 Ambiguidade do IP
 Mobilidade
 Multihoming
 Segurança
▪ Ataques de negação de serviço
▪ Autenticação
▪ Encriptação
 Compatibilidade IPv6

HI – Host Identity
 Identificador de uma estação
 Chave pública de um par de chaves pública/privada
 Autenticação e proteção contra homem-no-meio

HIT – Host Identity Tag
 Hash do HI de 128 bits

LSI – Local Scope Identifier
 Representação Local do HI de 32 ou 128 bits

Camada de transporte
 Associa-se a
identificadores

Nova camada
 Camada de Identificação

Camada de Rede

Camada de Transporte
 Processos ligam-se a camada de transporte
através de sockets
 Sockets são Identificados por <porta, IP>

Camada de Identificação
 Esconde a camada de Rede da de Transporte
 Novos sockets <porta, identificador>
 Tradução para endereços IP

BEX - Base Exchange
 4 mensagens
 Objetivos
▪ Criação de associação segura ESP
▪ Diffie-Hellman
▪ Criação de chave de sessão

I1
 Inicia o processo BEX
 Solicita uma conexão HIP

R1
 Desafio
 Parâmetros iniciais Diffie-Hellman
 Assinado

I2
 Solução do Desafio
 Parâmetros iniciais Diffie-Hellman
 Assinado

R2
 Assinado
 Finaliza o procedimento

SPI – Secure Parameter Index
 Identifica uma associação segura
▪ IP do destinatário
▪ Número SPI
 Pacotes não carregam identificadores
 Pacotes carregam somente SPI

Mobilidade
 Nó se move e mantém as conexões ativas
 Processos não veem mudanças
 Associações Seguras
▪ Pacotes carregam somente SPI
▪ IP irrelevante
▪ Novo IP deve ser anunciado

Localizador (LOCATOR)
 IP
 Pode conter mais informações para camada
inferiores
 Informa IP(s) onde o nó é alcançável

UPDATE
 Mensagem de atualização
 Autenticado
 Carrega o LOCATOR

Caso sem troca de nova chave de sessão
Nó Móvel
Nó Parado
UPDATE(Localizador, Esp info, Seq)
UPDATE(Esp info, Seq, Ack, Echo req)
UPDATE(Ack, Echo res)
Esp info = SPI velho e o novo
Echo req e res = requisição e resposta de ECHO

Diversos caminhos
 Diversas interfaces (multihoming de estação final)
 Caminhos redundantes (multihoming de rede)

Localizadores Múltiplos
 Anúncio de localizadores paralelos

Mecanismo básico
 Não há suporte completo

HIP
 Nova camada
▪ Camada de identificação
 Separação de localizador e identificador
▪ Mobilidade
▪ Multihoming
 HI
▪ Identificador – chave pública
 BEX
▪ Segurança
1. Qual é o duplo papel exercido pelo IP?
O IP é utilizado para endereçar as estações e
ao mesmo tempo identificá-las.
2. Qual a proposta básica do HIP?
Realizar a separação de identificadores e
localizadores ao criar uma nova camada na
pilha TCP/IP, a camada de identificação.
3. O que são HI, HIT e LSI?



HI - Host Identity. Chave pública única
globalmente que serve como identificador de
uma estação.
HIT - Host Identity Tag. Hash de 128 bits do HI
usado para representá-lo.
LSI - Local Scope Identifier. Representação
local do HI que pode ter 32 ou 128 bits.
4. O que é BEX?
O BEX (Base Exchange) é um protocolo de 4
mensagens que serve para criar associações
seguras fim-a-fim. O protocolo oferece
alguma segurança contra ataques de negação
de serviço, autenticação e privacidade.
5. Como é feito o suporte à mobilidade e
multihoming?
Os processos se conectam-se a camada de
transporte através de sockets. Esses sockets, que
eram definidos por IP e porta, nessa nova
arquitetura são definidos por identificador e porta.
Então, quaisquer procedimentos que envolvam o IP,
sejam mudanças devido à mobilidade ou escolha de
um IP dentre vários possíveis (multihoming), não
serão percebidos pelos processos.
[1] Pekka Nikander, "Applying Host Identity Protocol to the Internet Addressing Architecture",
in 2004 International Symposium on Applications and the Internet (SAINT'04)
[2] Petri Jokela, Pekka Nikander, Jan Melen, Jukka Ylitalo, and Jorma Wall, Ericsson Research,
NomadicLab,
"Host Identity Protocol: Achieving IPv4 IPv6 handovers without tunneling"
[3] Moskowitz, R., Nikander, P., Jokela, P. and Henderson, T., "Host Identity Protocol,", RFC
5201, April 2008.
[4] Jokela, P., Moskowitz, R. and Nikander, P., "Using the Encapsulating Security Payload (ESP)
Transport Format with the Host Identity Protocol (HIP)", RFC 5202, April 2008.
[5] Laganier, J., Koponen, T. and Eggert, L., "Host Identity Protocol (HIP) Registration
Extension", RFC 5203, April 2008.
[6] Laganier, J. and Eggert, L., "Host Identity Protocol (HIP) Rendezvous Extension", RFC 5204,
April 2008.
[7] Nikander, P. and Laganier, J., "Host Identity Protocol (HIP) Domain Name System (DNS)
Extension", RFC 5205, April 2008.
[8] Nikander, P., Henderson, T., Vogt, C. and Arkko, J. "End-host Mobility and Multihoming with
the Host Identity Protocol", RFC 5206, April 2008.

Dúvidas?
Download

HIP – Host Identity Protocol