IP Mobility -1

IP Mobility

Reti IIStefano Leonardi

IP Mobility -2

Host mobili

Dispositivi wireless o wired mobili Connessione alla rete attraverso:

Wireless LAN Reti cellulari Reti Satellitari LAN Etc….

Una rete di riferimento fornisce connettività IP IP mobility considera la mobilità tra reti

diverse Fornisce supporto per raggiungere un host

temporaneamente su rete ospite Necessario in quanto l’instradamento è basato

sul prefisso di rete

IP Mobility -3

Alternative

1. Modificare l’indirizzo dell’host Implica il reboot e la perdita delle connessioni a livello di trasporto

2. Propagare informazioni di instradamento basate sull’hostRichiede tabelle di instradamento di dimensione pari al numero degli host

IP Mobility -4

Caratteristiche di Mobile IP

1. Traparente alle applicazioni e ai protocolli di trasporto

2. Interoperabilità con lo standard IPv43. Scalabilità alla mobilità sull’inter-rete4. Sicurezza, autenticazione di host mobili

al di fuori della rete di riferimento5. Macro mobilità (possibilità di lavorare al

di fuori della propria rete di riferimento piuttosto che movimento ad alta velocità)

IP Mobility -5

Approccio generale

1. Host che visita una rete foreign ottiene un indirizzo IP locale

2. Host informa il router sulla rete home3. Router sulla rete home usa il secondo

indirizzo per inoltrare i datagram diretti all’host sulla rete foreign

4. Datagram sono inviati in tunnel attraverso incapsulamento IP-in-IP

5. Spostamento ad altra rete o ritorno alla rete home devono sempre essere notificati alla rete home

IP Mobility -6

Due approcci: 1. Care-of-Address

Rete foreign prevede un foreign agent

Host mobile si registra presso il foreign agent

Host mobile ottiene un care-of-address Foreign agent registra l’host presso l’home

agent

Foreign agent assegna uno degli indirizzi a sua disposizione come care-of-address

L’utente mobile non ha un unico indirizzo assegnato

IP Mobility -7

Due approcci: 2. Co-located Address

1. Rete foreign non prevede un foreign agent

Host usa DHCP per ottenere un co-located address temporaneo

Host si registra direttamento presso l’home agent

Approccio 2 implica l’installazione sugli host del software che gestisce la mobilità, cioe’ tutta la comunicazione con l’home agent

IP Mobility -8

Foreign agent discovery

Inviato dal router che ospita il foreign agent Usa ICMP router discovery

ICMP router discovery inviato periodicamente dai router

Può essere sollecitato con ICMP router solicitation

Extension mobility a ICMP router discovery Identificato dalla maggiore lunghezza del

messaggio ICMP

IP Mobility -9

Foreign agent discovery

Lifetime: tempo massimo di attesa per accettare richieste di registrazione

Sequence number: permette di identificare quando un messaggio è stato perso

Code:

IP Mobility -10

Registrazione

Prima di poter ricevere datagrams, il mobile host deve:

1. Registrarsi con un agente presso il foreign agent2. Registrarsi presso l’home agent per richiedere l’inoltro 3. Rinnovare una registrazione che è prossima alla

scadenza4. De-registrarsi se tornato alla rete home

Host che riceve il care-of-address demanda al foreign agent la registrazione presso l’home agent

Foreign agent inoltra all’host mobile i datagram ricevuti dall’home agent

IP Mobility -11

Registrazione

Inviati attraverso UDP (porta 434) Type: request o reply LIFETIME: care-of address mantenuto

nella binding-cache finchè il LIFETIME scade.

IP Mobility -12

Registrazione

HOME ADDRESS, HOME AGENT, CARE-OF-ADDRESS: indirizzi e home agent dell’host mobile

IDENTIFICATION: corrispondenza tra richieste e risposte FLAGS: specifiche dell’inoltro da parte dell’HOME AGENT

IP Mobility -13

Comunicazione con il foreign agent L’host mobile non ha un indirizzo IP valido

assegnato sulla rete Rilassamento delle regole di indirizzamento:

-- Host mobile indica il suo home address nell’intestazione dei datagram inviati al foreign agent-- Il foreign agent usa l’home address dell’host mobile anche sulla rete foreign

Il foreign agent non può eseguire ARP sull’home address dell’host mobile

Indirizzo hardware dell’host mobile deve essere comunicato e memorizzato in fase di registrazione

IP Mobility -14

Invio e ricezione di Datagram

I Datagram trasmessi all’esterno hanno l’home address come sorgente

L’ISP deve accordare la possibilità di trasmettere datagrams con qualsiasi indirizzo sorgente

I datagram di risposta saranno inviati all’Home address

L’home agent invierà i datagram al foreign agent attraverso incapsulamento IP al care-

of-address (può essere condiviso tra più utenti mobili) al co-located address

Il foreign agente estrae il pacchetto e lo invia all’host mobile sulla rete foreign

E’ possibile utilizzare lo stesso care-of-address per sorgenti e destinazioni multiple

IP Mobility -15

Instradamento

L’instradamento verso l’host mobile deve necessariamente passare attraverso l’home agent

Particolarmente inefficiente se l’host destinazione è vicino all’host mobile (2 crossing problem)

IP Mobility -16

Instradamento

E’ possibile propagare informazioni di instradamento specifiche del’host

Viene realizzato solo per reti che interagiscono significativamnete con l’host mobile

Occorre rimuovere queste informazioni quando l’host si sposta su un’altra rete.

IP Mobility -17

Comunicazione con Host sulla Rete Home Tutti i pacchetti inviati all’host mobile

devono passare attraverso l’home agent L’home agent verifica se l’host è

posizionato su una rete foreign o sulla rete home

Gli altri host della rete home inviano direttamente all’host di cui ottengono l’indirizzo fisico attraverso ARP

Quando l’host e’ su una rete foreign, l’home agent risponde con il suo indirizzo fisico e si cura in seguito di inviare i datagram sul tunnel IP-IP

IP Mobility -18

Sicurezza in IP mobility

Chiave di sessione con il router locale Centro di distribuzione delle chiavi Diffie-Hellman per cambiare la chiave

Autenticazione richiesta tra l’home agent e l’host mobile Algoritmo di default è MD5 Chiavi di 128 bits Foreign agent deve supportare

autenticazione attraverso questo metodo Altri algoritmi possono essere applicati

IP Mobility -19

Altre questioni rigurdanti la sicurezza

Tunneling del traffico verso l’host mobile al rispettivo care-of-address

ARP non è autenticato La comunicazione tra foreign e home

agent deve essere assicurata per evitare uso illegale

IP Mobility -20

Protezione verso le richieste di registrazione Home agent deve verificare che il

messaggio provenga dall’host mobile, non una risposta ad una registrazione precedente ripetuta da un’attaccante

Due metodi

Timestamps (obbligatario) Nonces (opzionale)

IP Mobility -21

Timestamps

I due nodi devono essere adeguatamente sincronizzati

Tempo inviato insieme con la richiesta

Differenza di default di 7 secondi tra richiesta e risposta

La sincronizzazione tra i messaggi deve essere protetta contro alterazioni

IP Mobility -22

Nounces

Nodo A include un nuovo numero random in ogni messaggio a B

A verifica se B restituisce lo stesso numero nel prossimo messaggio

Il codice di autenticazione è usata per proteggere contro le alterazioni

Auto-sincronizzazione: se la registrazione fallisce, il nuovo nounce è invata nella risposta

IP Mobility -23

Problematiche Inefficienza nell’instradamento Sicurezza: Esigenza di rendere IP mobile

deve convivere con le esigenze di sicurezza Firewalls, in particolare, provocano difficoltà

poichè bloccano i pacchetti in entrata che non soddisfano determinati criteri

Trasparenza: Opinioni discordi sulla necessità della sopravvivenza delle connessioni TCP agli spostamenti dell’host