Transcript Autokonfigurointivaihtoehdot ja palveluarkkitehtuurit Ad Hoc-verkoissa

S-38.310 Diplomityöseminaari 17.8.2004
Autokonfigurointi ja
palveluarkkitehtuurit Ad Hoc verkoissa
Niko Suominen
Niko Suominen
1
Ohjelma
•
•
•
•
Työn tausta
Yleiskuva langattomien verkkojen rakenteesta
Palveluvaatimukset
Ratkaistavat ongelmat ja ratkaisuehdotuksia
–
–
–
–
–
IP-osoitteistus
Globaalit yhteydet Ad Hoc –verkoista
Tarjottavat palvelut
Palveluiden paikallistaminen
Tietoturvanäkökulmia
• Johtopäätökset ja ehdotuksia jatkotutkimukselle
Niko Suominen
2
Työn tausta
•
•
•
•
Valvojana professori Jorma Jormakka
Ohjaajana professori Jorma Jormakka
Tehty tietoverkkolaboratoriolle TKK:lla
Työ on osa ulkopuolisen tahon
rahoittamaa tilaustutkimusta
• Kirjallisuuskatsaus Ad Hoc –verkkoihin
sovellettaviin autokonfigurointiprotokolliin
ja vaatimusten mukaisten
arkkitehtuuriehdotusten luominen niiden
pohjalta
Niko Suominen
3
Langattomien verkkojen rakenne
• Perinteinen WLAN-verkko
–
–
–
–
–
Tukiasemia (Access Point)
Runkoverkko tukiasemien välillä
Päätelaite ottaa yhteyden tukiasemaan
Melko staattinen topologia
Runkoverkossa perinteinen reititysprotokolla (esim.
RIP tai OSPF)
– Ei langatonta reititysprotokollaa
– Verkkovierailu (Roaming)
– IEEE 802.11x
Niko Suominen
4
Langattomien verkkojen rakenne(2)
Bob
4.
Fixed link
3.
1.
2.
Access point and router
Alice
WLAN
connection
Wireless node
Niko Suominen
5
Langattomien verkkojen rakenne(3)
• Ad Hoc -verkko
–
–
–
–
Ei tukiasemia
Jokainen laite toimii reitittimenä ja pääteasemana
Topologia voi vaihdella vapaasti
Vaatii Ad Hoc –reititysprotokollan
• proaktiivinen (esim. DSDV)
• reaktiivinen (esim. AODV)
– Ns. Multi-Hop –reititys
– Osa laitteista voi toimia yhdyskäytävänä muihin
verkkoihin
Niko Suominen
6
Langattomien verkkojen rakenne(4)
Bob
2.
Intermediate node
1.
Alice
WLAN connection
Niko Suominen
7
Palveluvaatimukset
• Toimiva sisäinen reititys Ad Hoc –verkossa
• Globaalit yhteydet runkoverkkoon  globaali IPosoitteistus
– Autokonfiguroitava
• Globaalin liikkuvuuden tuki toivottavaa (verkko
tai pääteasema liikkuu)
• Ad Hoc –verkoissa mahdollisuus käyttää
runkoverkossa olevia tietokantapalveluita
• Palvelut löydettävä (Service Discovery)
automaattisesti
Niko Suominen
8
Palveluvaatimukset (2)
• Ratkaisu vaatii:
– Globaalien IP-osoitteiden autokonfiguroinnin
tilattomasti tai tilallisesti
– Sopivan protokollan palveluiden
paikallistamiseen
– Runkoverkossa olevia palveluhotelleja (Data
Warehouse) palvelujen tuottamiseen Ad Hoc
–verkon asemille
– Sopivan rajapinnan palveluhotelleille
– Riittävät tietoturvaominaisuudet
Niko Suominen
9
Ratkaisuja
Niko Suominen
10
IP-osoitteistus
• Ad Hoc –verkon sisällä käytössä tilaton IPosoitteiden autokonfiguraatio (IETF Draft)
– Toimii IPv4:llä ja IPv6:lla
– Tuottaa site local –tason osoitteita:
• IPv4: 169.254.0.0/16
• IPv6: fec0:0:0:ffff/64
– Täysin tilaton
– Strong / Weak Duplicate Address Detection (DAD) –
menetelmät suojaavat verkon
päällekkäiskonfiguroinneilta
– Toimii AODV:n kanssa yhdessä tai täysin erillisenä
protokollana
– Ei mahdollista globaaleja yhteyksiä yksin
Niko Suominen
11
IP-osoitteistus (2)
• Ad Hoc –verkon sisällä käytössä mDNS
(multicast DNS) sisäisiin nimi-osoite –
muunnoksiin (IETF Draft)
– Täysin hajautettu DNS-arkkitehtuuri
– Ei vaadi muutoksia sovellusten toimintaan
• Sisäisten osoitteiden rinnalle vaaditaan globaalit
IP-osoitteet runkoverkkoon suuntautuvaa
liikennettä varten
• Tarvitaan myös perinteiset DNS-palvelimet
globaaleihin osoitemuunnoksiin
– Sijaitsevat runkoverkossa
Niko Suominen
12
om
.c
ain
m
.do
p
c
t
tp._ cast
t
h
_ ulti
R
T
r P ith m
o
f
w
ery
Qu
Query
ast
Answer
unic
h
t
i
er w
Answ
A user looking for www server
Que
Niko Suominen
ry
A host offering http service
13
Globaalit yhteydet Ad Hoc verkoista
• Ratkaisu 1:
– Mobile IP:n NeMo (Network Mobility) –laajennusta
käyttäen voidaan koko verkolle antaa kiinteä IPv6prefiksi ja verkko voi liikkua vapaasti (HA)
– Ad Hoc –verkossa tietyt laitteet toimivat
yhdyskäytävinä runkoverkkoon ja mainostavat
kiinteää kotiverkkoprefiksiään Ad Hoc –verkon
asemille
– Muut Ad Hoc –verkon laitteet konfiguroivat tilattomasti
globaalin IPv6-osoitteensa
– AODV:llä tai ICMP:llä selvitetään yhdyskäytävän
sijainti
– Sallii katkeamattomat TCP-yhteydet verkon liikkuessa
Niko Suominen
14
Home agent
Steven
Tunneling
New link
Mobile Router (MR)
Normal forwarding
Active link
Alice
Mobile network
with static prefix
Niko Suominen
15
Globaalit yhteydet Ad Hoc –
verkoista (2)
• Ratkaisu 2:
– IPv4-pohjainen
– Käytössä Mobile IP ilman NeMo-tukea
– Osa Ad Hoc –verkoin laitteista toimii
vierasagentteina ja jakavat globaaleja IPosoitteita verkon pääteasemille
– Vierasagentit siirtävät omat
konfigurointiasetuksensa automaattisesti
runkoverkosta itselleen
– Mahdollistaa verkon lähes vapaan liikkumisen
Niko Suominen
16
The database of the home agent
Home agent
Steven
Tunneling
Pre-(auto)configured manet addresses
Normal forwarding
Agent advertisement
Transfer
Alice
Configuration information for the foreign agent
Foreign agent
Niko Suominen
17
Globaalit yhteydet Ad Hoc –
verkoista (3)
• Ratkaisut 3 ja 4:
– Ei globaalin liikkuvuuden tukea
– Käytössä NAT- tai NAPT-tekniikat
– Vain yhdyskäytäväreitittimet tietävät globaalit
osoitteet
– Rikkovat päästä-päähän yhteydellisyyden
– Tekevät ongelman yksinkertaisemmaksi
• Mutta vaikeuttaa mm. VoIP-signalointia
Niko Suominen
18
Globaalit yhteydet Ad Hoc –
verkoista (4)
• Ratkaisu 5:
– DHCP-pohjainen
– Yhdyskäytäväreitittimet toimivat DHCPagentteina Ad Hoc –verkoissa
– DHCP-palvelimet rungossa
– DHCP-viestien välittäminen Ad Hoc –
verkoissa vaatii tulvittamisen  tehoton
– Ei mahdollista automaattista verkon
liikkuvuuden tukea
Niko Suominen
19
Globaalit yhteydet Ad Hoc –
verkoista (5)
• Perinteiset DNS-palvelimet sijaitsevat
runkoverkossa
• Mobile IP:tä käytettäessä Ad Hoc –verkon
laitteet ovat aina saavutettavissa kiinteällä
IP:llä
• Ilman Mobile IP:tä tarvitaan
hakemistopalveluita tietyn laitteen
(palvelun) paikallistamiseen
Niko Suominen
20
Tarjottavat palvelut
• Palveluhotellit rungossa
– HTTP-pohjaisia WWW-palvelimia
•
•
•
•
Salattu yhteys (SSL/TLS)
Käyttäjän tunnistus
Palvelinpuolen ohjelmointikielellä toteutettu käyttöliittymä
Turvallinen tietokanta
-Hajautetut Jini-palvelut
-Jaetut levyresurssit
-VoIP-mahdollisuus
-Viestinvälityspalvelut
Niko Suominen
21
Palveluiden paikallistaminen
(vaihtoehtoja)
• Service Location Protocol v2
– Mahdollistaa myös parametrien konfiguroinnin
– Suositeltu vaihtoehto
• Jini Java-pohjaisten hajautettujen
sovellusten yhteydessä
• DNS-pohjainen palveluhakemisto
• Anycast
• UPnP ja Salutation
Niko Suominen
22
Tietoturvanäkökulmia
• Molemminpuoleinen käyttäjän tunnistus pakollista
– Tunnistus valtuutuksia varten
– Man in the Middle -hyökkäys
• Vahva salaus yhteyksiin ja tietokantoihin
– Luottamuksellisuus
– Eheys ja kiistämättömyys
• DoS-tilanteiden mahdollisuus minimoitava
• Tilattomat ratkaisut usein luotettavampia mutta
epäturvallisempia hajautettujen elementtien vuoksi
• Tilalliset ratkaisut alttiimpia palveluestohyökkäyksille,
mutta helpommin hallittavia
Niko Suominen
23
Johtopäätökset ja ehdotuksia
jatkotutkimuksille
• Täydellistä arkkitehtuuria ei ole
• Käytettävä arkkitehtuuri on valinta monen
asian väliltä
• Ratkaisut simuloitava ja tarpeen vaatiessa
toteutettava testiratkaisu
• Puutteet korjattava simuloinnin ja testien
perusteella
Niko Suominen
24
Kiitos
Kysymyksiä?
Niko Suominen
25