Università di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Corso di Protocolli per Reti Mobili

Transcript

1 Università di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Corso di Protocolli per Reti Mobili Mobile IP

2 Cosa si intende per mobilità? Il problema al quale il protocollo Mobile IP propone una soluzione è relativo ad una mobilità dal punto di vista del livello rete ESS wlan1 STA 8 STA 9 STA 7 AP gate mesh STA 1 MBSS STA 11 STA 10 mesh STA 2 mesh STA 3 mesh STA 4 STA 12 STA 13 mesh STA 5 AP gate mesh STA 6 STA 15 STA 14 ESS wlan1

3 Cosa si intende per mobilità? Muovendosi all'interno dell'extended Service Set (ESS) wlan1, STA 11 resta all'interno di una stessa rete LAN Il cambiamento del punto di attacco alla rete è gestito a livello MAC L'indirizzo IP di STA 11 resta invariato Mobile IP non interviene!

4 Cosa si intende per mobilità? Mobile IP interviene quando un nodo si sposta in una diversa rete di accesso es., spostamento tra reti WLAN, UMTS/LTE, Ethernet... IPv4 assume che l'indirizzo IP di un nodo identifichi univocamente il suo punto di accesso ad Internet Un nodo deve trovarsi nella rete corrispondente al proprio indirizzo IP per ricevere i pacchetti ad esso destinati Spostandosi in una rete diversa, il nodo riceve un nuovo indirizzo IP

5 Problemi associati alla mobilità Cosa succede se un nodo cambia il proprio indirizzo IP? Innanzitutto, l applicazione che stava inviando dati a quel nodo deve essere notificata di questo evento, altrimenti continuerà ad inviare pacchetti al vecchio indirizzo Il protocollo di livello trasporto TCP non consente di mantenere attiva una connessione se una delle due parti cambia indirizzo IP Molte applicazioni vedranno le proprie connessioni TCP abbattute e termineranno

6 Problemi associati alla mobilità È possibile fare in modo che un nodo mantenga il proprio indirizzo IP spostandosi in una nuova rete? È necessario che i router della rete sappiano instradare i pacchetti destinati al nodo mobile verso la sua nuova posizione Una soluzione è propagare tra i router della rete rotte specifiche per il nodo mobile È trasparente ai nodi mobili Comporta un carico insostenibile per i router, dato il numero sempre crescente di dispositivi mobili Occorre una soluzione diversa!

7 Elementi a supporto della mobilità Occorre introdurre i concetti di agenti a supporto della mobilità, rete domestica e rete visitata rete domestica: la rete il cui prefisso corrisponde a quello dell'indirizzo permanente del nodo mobile (es.: /24) indirizzo permanente: indirizzo nella rete domestica, può sempre essere usato per raggiungere il dispositivo mobile es.: agente domestico: entità che gestisce le funzioni di mobilità per conto del dispositivo mobile WAN corrispondente

8 Elementi a supporto della mobilità indirizzo permanente: rimane invariato (es.: ) care-of address: indirizzo presso la rete visitata (es.: ) rete visitata: rete in cui risiede attualmente il dispositivo mobile (es.: /24) corrispondente: entità che desidera comunicare con il nodo mobile WAN corrispondente agente ospitante: entità della rete visitata che gestisce la mobilità all interno di questa

9 Diversi approcci alla mobilità Il nodo mobile si fa parte attiva nella gestione della mobilità Due approcci: Instradamento indiretto: la comunicazione tra il corrispondente ed il nodo mobile avviene tramite l'agente domestico, che inoltra i messaggi ricevuti al nodo mobile Instradamento diretto: il corrispondente ottiene l'indirizzo presso la rete visitata e comunica direttamente con il nodo mobile

10 Mobilità: registrazione Rete domestica Rete visitata 2. L'agente ospitante contatta l'agente domestico per informarlo che il nodo mobile è presso la sua rete WAN corrispondente 1. Il nodo mobile contatta l'agente ospitante al suo ingresso nella rete visitata L'agente ospitante conosce tutti i dati del nodo mobile L'agente domestico conosce la posizione del nodo mobile

11 Mobilità: Instradamento indiretto Rete domestica 2. L agente domestico intercetta il datagramma e lo inoltra all agente ospitante 3. L agente ospitante riceve il datagramma e lo inoltra al dispositivo mobile Rete visitata WAN 1. Il corrispondente indirizza il datagramma all indirizzo permanente del nodo corrispondente 4. Il dispositivo mobile risponde direttamente al corrispondente

12 Mobilità: Instradamento indiretto Se l'utente mobile si sposta in un'altra rete: Effettua la registrazione presso il nuovo agente ospitante L'agente domestico viene informato del nuovo careof address del nodo mobile ed inoltra i pacchetti usando questo indirizzo Spostandosi tra diverse reti, le connessioni in corso possono essere mantenute! Può essere un problema la triangolazione corrispondente-agente domestico-nodo mobile Inefficiente quando corrispondente e nodo mobile si trovano nella stessa rete

13 Mobilità: Instradamento diretto Rete domestica 2. Il corrispondente effettua l inoltro presso l agente ospitante 3. L agente ospitante riceve il datagramma e lo inoltra al dispositivo mobile Rete visitata WAN 1. Il corrispondente richiede, e riceve, l indirizzo temporaneo del dispositivo mobile corrispondente 4. Il dispositivo mobile risponde direttamente al corrispondente

14 Mobilità: Instradamento diretto Risolve il problema della triangolazione Non è trasparente al corrispondente Il corrispondente deve innanzitutto richiedere il careof address del nodo mobile all'agente domestico Cosa succede se il nodo mobile si sposta in un'altra rete? Il corrispondente continua ad inviare i pacchetti al precedente care-of address del nodo mobile È necessaria una soluzione laboriosa che prevede l'impiego di agenti domestici d'appoggio

15 Mobile IP

16 Mobile IP Specificato in IETF RFC 3344 (ed altri) This document specifies protocol enhancements that allow transparent routing of IP datagrams to mobile nodes in the Internet Ogni nodo mobile è identificato Dal suo home address sempre, indipendentemente dal punto di accesso ad Internet Da un care-of address, che fornisce informazioni sul corrente punto di accesso ad Internet Mobile IP prevede la registrazione del care-of address e l'instradamento indiretto

17 Mobile IP: requisiti Un nodo mobile deve essere in grado di comunicare con altri nodi dopo aver cambiato il punto di accesso ad Internet e conservato il proprio indirizzo IP Un nodo mobile deve essere in grado di comunicare con altri nodi che non implementano le funzionalità introdotte da Mobile IP Tutti i messaggi che vengono usati per aggiornare un nodo riguardo la posizione di un nodo mobile devono essere autenticati Per proteggere da redirection attacks

18 Mobile IP: obiettivi ed assunzioni La quantità di messaggi amministrativi che un nodo mobile deve spedire sulla propria rete di accesso deve essere minimizzata La rete di accesso è tipicamente una rete wireless Il nodo mobile ha tipicamente risorse limitate ed è alimentato a batterie Mobile IP è pensato per nodi mobili che non cambiano punto di accesso ad Internet più frequentemente di una volta al secondo

19 Entità in Mobile IP Mobile node Un nodo che cambia il suo punto di accesso da una rete o sottorete ad un'altra senza cambiare indirizzo IP Deve essere in grado di rilevare quando cambia punto di accesso alla rete e quando torna nella propria rete domestica Home agent Un router sulla rete domestica del nodo mobile che mantiene la posizione corrente del nodo mobile ed inoltra i datagrammi destinati al nodo mobile mediante la tecnica del tunneling

20 Entità in Mobile IP Foreign agent Un router sulla rete visitata dal nodo mobile che riceve ed inoltra al nodo mobile i pacchetti ad esso destinato e tipicamente agisce da router di default per il nodo mobile Mobility agent Un home agent oppure foreign agent Correspondent node Un nodo (mobile o stazionario) con cui il nodo mobile sta comunicando

21 Terminologia Home address Un indirizzo IP assegnato al nodo mobile per un periodo esteso di tempo Non varia se il nodo cambia punto di accesso Home network Una rete il cui prefisso corrisponde a quello dell'home address Foreign network Una qualunque rete diversa dalla home network Care-of address Il punto di terminazione del tunnel usato per inviare dati al nodo mobile quando non è nella home network

22 Mobile IP Tre concetti chiave Agent Discovery Registrazione Tunneling

23 Agent Discovery È il metodo con il quale Un nodo mobile determina se è connesso alla home network oppure ad una foreign network Un nodo mobile rileva che si è spostato da una rete ad un'altra Un nodo mobile può ottenere un care-of address Fa uso di due tipi di messaggi Agent Advertisement Agent Solicitation Nessuna autenticazione è richiesta per tali messaggi

24 Agent Discovery Il messaggio Agent Advertisement estende il messaggio ICMP Router Advertisement (tipo 9, usato per annunciare l'indirizzo di un router che può essere usato come default gateway) aggiungendo un Mobility Agent Advertisement Extension Inviato in broadcast a livello MAC, a meno che non è inviato in risposta alla sollecitazione di un nodo L'indirizzo IP destinazione può essere (tutti i nodi su questo link) (limited broadcast) Il messaggio Agent Solicitation è identico al messaggio ICMP Router Solicitation (tipo 10)

25 Agent Advertisement message Type = 9 Code Checksum Num Addrs Addr Size Lifetime Router Address 1... Type = 16 Length Sequence Number Registration Lifetime RBHFMGrT reserved Care-of Address 1... Standard ICMP fields Mobility Agent Advertisement Extension Anche se Num Addrs = 0 (in tal caso Code=16 e non ci sono Router Address), il mobility agent deve instradare i messaggi del nodo mobile verso un default gateway Registration Lifetime: la durata massima di una registrazione che l'agent è disposto ad accettare R (registration required): la registrazione è richiesta (ad es. per l'accounting), anche se il care-of address è ottenuto in altra maniera

26 Agent Advertisement message Type = 9 Code Checksum Num Addrs Addr Size Lifetime Router Address 1... Type = 16 Length Sequence Number Registration Lifetime RBHFMGrT reserved Care-of Address 1... Standard ICMP fields Mobility Agent Advertisement Extension B (busy): il foreign agent non accetta (temporaneamente) registrazioni H (home agent): l'agente offre i servizi di home agent F (foreign agent): l'agente offre i servizi di foreign agent I bit M e G sono usati per indicare modalità di tunneling addizionali Se il bit F è settato, ci deve essere almeno un care-of address

27 Move detection Tecnica Lifetime-based Se il nodo mobile non ha ricevuto un nuovo Agent Advertisement da un agent prima della scadenza della sua Lifetime assume che ha perso contatto con l'agent Se il nodo mobile ha ricevuto un Agent Advertisement (non scaduto) da un altro agent, può tentare la registrazione con questo nuovo agent Altrimenti, il nodo mobile deve cercare di scoprire un nuovo agent con cui registrarsi

28 Move detection Tecnica Network prefix-based Il prefisso di rete può essere utilizzato per stabilire se un nuovo Agent Advertisement è stato ricevuto sulla stessa sottorete del corrente care-of address del nodo Se i prefissi sono diversi, il nodo mobile può assumere che si è spostato In tal caso, allo scadere della registrazione corrente, il nodo mobile può decidere di registrarsi con l'agent che ha inviato il nuovo Agent Advertisement Ammesso che non sia scaduta anche la Lifetime associata al nuovo Agent Advertisement

29 Returning home Un nodo mobile si accorge di essere ritornato nella sua home network quando riceve un Agent Advertisement dal suo home agent

30 Registrazione È il metodo con il quale un nodo mobile: Informa il proprio home agent del care-of address corrente Richiede il servizio di inoltro dei pacchetti al proprio home agent quando si trova presso una foreign network Rinnova una registrazione che sta per scadere Si de-registra quando torna nella home network Scopre il proprio home address e l'indirizzo dell'home agent, se il nodo mobile non è configurato con tali informazioni La registrazione crea un mobility binding presso l'home agent che associa per una certa Lifetime l'home address del nodo mobile al care-of address corrente

31 Registrazione La registrazione fa uso di due tipi di messaggi (entrambi inviati al porto UDP 434) Registration Request Registration Reply La registrazione comunica il care-of address del nodo mobile all'home agent Ci sono due tipi di care-of address foreign agent care-of address co-located care-of address A cui corrispondono due modalità di registrazione

32 Registrazione Un foreign agent care-of address è un indirizzo che il nodo mobile ha imparato dal messaggio Agent Advertisement inviato dal foreign agent Vantaggio: diversi nodi mobili possono condividere lo stesso care-of address, diminuendo il numero di indirizzi IP richiesti presso la foreign network Un co-located care-of address è un indirizzo che il nodo mobile ha imparato usando altri mezzi, come DHCP Vantaggio: il nodo mobile può funzionare anche in reti dove non c'è un foreign agent

33 Registrazione Rete domestica Rete visitata WAN La registrazione attraverso il foreign agent: 1. Registration Request 2. Registration Reply Deve essere usata quando il nodo mobile registra un foreign agent care-of address Dovrebbe essere usata quando il nodo mobile registra un co-located care-of address, ma ha ricevuto un Agent Advertisement con il bit R (Registration required) settato

34 Registrazione Rete domestica WAN 2 1 Rete visitata La registrazione diretta con l'home agent: 1. Registration Request 2. Registration Reply Deve essere usata quando il nodo mobile registra un co-located care-of address e non ha ricevuto un Agent Advertisement con il bit R (Registration required) settato Deve essere usata quando il nodo mobile si deregistra, essendo tornato nella propria home network

35 Registration Request message Type = 1 SBDMGrTx Lifetime Home Address Home Agent Care-of Address Identification D (Decapsulation): se settato, indica che il nodo mobile stesso deincapsula i pacchetti indirizzati al care-of address (ovvero il nodo mobile sta usando un co-located care-of address) Lifetime: la durata di una registrazione richiesta; se 0 indica deregistrazione Identification: valore usato dal nodo mobile per associare una Registration Reply ad una Registration Request e come protezione contro i replay attack

36 Registration Request message Type = 1 SBDMGrTx Lifetime Home Address Home Agent Care-of Address Identification Home Address: se il nodo mobile non ha un home address indica ; l'agent fornirà nella Registration Reply l'indirizzo da utilizzare Questa procedura va effettuata quando il nodo è nella home network Home Agent: se il nodo mobile non conosce l'indirizzo dell'home agent, indica l'indirizzo di broadcast della sottorete del proprio home address Ogni agente che riceve il messaggio, risponde con una Registration Reply che nega la registrazione e fornisce l'indirizzo dell'agent, che il nodo mobile può usare in un futuro tentativo di registrazione Questa procedura va effettuata quando il nodo è nella home network

37 Registration Reply message Type = 3 Code Lifetime Home Address Home Agent Identification Code = 0 indica che la registrazione è andata a buon fine Ci sono una serie di codici per indicare Il motivo per cui la registrazione è stata negata dall'home agent Il motivo per cui la registrazione è stata negata dal foreign agent

38 Esempio di registrazione home agent HA: foreign agent COA: ICMP agent adv. COA: visited network: /24 Mobile agent MA: registration req. COA: HA: MA: Lifetime: 9999 identification: 714 encapsulation format. registration req. COA: HA: MA: Lifetime: 9999 identification:714. registration reply time HA: MA: Lifetime: 4999 Identification: 714 encapsulation format. registration reply HA: MA: Lifetime: 4999 Identification: 714.

39 Instradamento Effettuata la registrazione, l'home agent conosce il care-of address del nodo mobile, che è un indirizzo sulla sottorete nella quale si trova il nodo mobile Home address Care-of Address Lifetime (s) Il correspondent node conosce l'home address del nodo mobile ed invia i pacchetti a tale indirizzo L'home agent intercetta tali pacchetti, li incapsula (la tecnica di tunneling di default è IP-in-IP) e li invia al foreign agent, che mantiene una visitor list Home Address Home Agent MAC Address Lifetime (s) :60:08:95:66:E :60:08:68:A2:56 200

40 Tunneling IP-in-IP Pacchetto inviato dall home agent al foreign agent: un pacchetto dentro il pacchetto Dal foreign agent al nodo mobile dest: dest: dest: IP header IP payload Home address dest: Pacchetto inviato dal corrispondente Care-of address

41 Tecniche per intercettare pacchetti Quando il nodo mobile si trova in una foreign network, il suo home agent funge da proxy ARP Quando riceve una ARP Request, l'home agent esamina il target IP address e se questo coincide con l'home address di un nodo per cui esiste un mobility binding, risponde con una ARP Reply contenente il proprio indirizzo MAC Quando il nodo mobile si registra presso una foreign network, il suo home agent invia un messaggio ARP gratuito (Request o Reply) in modo che gli altri nodi associno l'home address con l'indirizzo MAC dell'home agent

42 Tecniche per intercettare pacchetti Quando il nodo mobile ritorna nella propria home network, può ricevere direttamente i pacchetti ad esso destinati Effettua la de-registrazione per eliminare il mobility binding dalla tabella dell'home agent Invia un messaggio ARP gratuito per fare in modo che gli altri nodi associno l'home address del nodo mobile con il suo MAC address

43 Instradamento indiretto: rischi Vittima Attaccante WAN corrispondente Se nella sottorete della vittima c'è un mobility agent, l'attaccante può registrarsi usando come home address quello della vittima L'home agent nella sottorete della vittima intercetta i pacchetti destinati alla vittima e li inoltra all'attaccante! I messaggi di registrazione devono essere autenticati!

44 Autenticazione I messaggi Registration Request/Reply contengono un'estensione per la verifica dell'autenticità del mittente Viene inserita una checksum (message digest) calcolata con l'algoritmo MD5, che fa uso di una chiave di 128 bit Il calcolo corretto della checksum prova la conoscenza della chiave e quindi l'autenticità Il campo Identification nei messaggi di registrazione è usato come protezione contro i replay attack Tipicamente contiene l'ora dell'invio (timestamp)

45 Mobile IP: Estensioni

46 Ingress filtering Routing Table /24 51 iface iface0 IP src IP dst Iface1 IP src IP dst Non è sempre vero che un router instrada i pacchetti guardando solo l'indirizzo IP destinazione, può anche analizzare l'indirizzo IP sorgente Per prevenire attacchi di tipo IP spoofing, i router possono scartare i pacchetti ricevuti su un'interfaccia diversa da quella usata per instradare pacchetti verso l'indirizzo sorgente

47 Mobile IP: rischio di ingress filtering Home address Care-of address Dal nodo mobile al correspondent src: I pacchetti inviati dal correspondent node all'home agent e dall'home agent al foreign agent non vengono filtrati perchè gli indirizzi sono topologicamente corretti Ciò non è vero per i pacchetti inviati direttamente dal nodo mobile (usando il proprio home address) al correspondent node, che possono quindi essere filtrati!

48 Reverse Tunneling La soluzione proposta in IETF RFC 3024 ( Reverse Tunneling for Mobile IP, revised ) consiste nel creare un reverse tunnel dal foreign agent all'home agent Il pacchetto inviato lungo il tunnel ha il care-of address come IP sorgente L'home agent estrae ed inoltra il pacchetto, il cui IP sorgente è l'home address Il reverse tunnel e il (forward) tunnel dall'home agent verso il foreign agent sono simmetrici Stessa tecnica di tunneling, stessi end-point

49 Reverse Tunneling Quando il nodo mobile si trova in una foreign network, ascolta i messaggi Agent Advertisement Il flag 'T' nel Mobility Agent Advertisement Extension indica che il mobility agent supporta il reverse tunneling Se il nodo mobile intende utilizzare il reverse tunneling, setta a 1 il flag 'T' nel messaggio Registration Request La registrazione fallisce se il foreign agent o l'home agent non supportano il reverse tunneling

50 Modalità di consegna Sono possibili due modalità per la consegna dei pacchetti dal nodo mobile al foreign agent Direct Delivery Style deve essere implementata dagli agent che supportano il reverse tunneling è la modalità di consegna predefinita Encapsulating Delivery Style dovrebbe essere implementata dagli agent che supportano il reverse tunneling è usata se il nodo mobile inserisce un'apposita estensione (Encapsulating Delivery Style Extension) nel messaggio Registration Request

51 Direct Delivery Style and Reverse Tunneling Src: Dst: Src: Dst: Src: Dst: Home address Home agent address Care-of address Src: Dst: Correspondent address

52 Direct Delivery Style Il nodo mobile non incapsula i pacchetti che invia al foreign agent Il nodo mobile deve designare il foreign agent come il suo default gateway Altrimenti non è garantito che tutti i suoi pacchetti vengano incapsulati Il foreign agent individua i pacchetti mandati dal nodo mobile e modifica le sue funzioni di inoltro per incapsulare tali pacchetti prima di inoltrarli

53 Encapsulating Delivery Style and Reverse Tunneling Src: Dst: Src: Dst: Src: Dst: Src: Dst: Home address Home agent address Src: Dst: Correspondent address Care-of address Foreign agent Address

54 Encapsulating Delivery Style Il nodo mobile incapsula i pacchetti che invia al foreign agent Tali pacchetti sono esplicitamente inviati al foreign agent indicando il suo indirizzo nel campo IP destinazione Questa modalità consente l'invio di pacchetti multicast o broadcast Il foreign agent non modifica le sue funzioni di inoltro, ma verifica che il pacchetto è stato inviato dal nodo mobile, estrae il pacchetto interno, lo reincapsula e lo inoltra

55 Home Agent operations Se l'home agent de-incapsula ed inoltra i pacchetti ad esso destinati senza alcun controllo, può causare una falla nella sicurezza L'home agent inoltra il pacchetto solo se esiste un mobility binding Il cui care-of address è l'indirizzo sorgente dell'header IP esterno Il cui home address è l'indirizzo sorgente dell'header IP interno Altrimenti il pacchetto è scartato e l'evento loggato

56 Reverse Tunneling: rischi Il reverse tunnel può essere usato per altri attacchi es. un modo malintenzionato può camuffarsi da nodo mobile valido e re-direzionare un reverse tunnel esistente verso un altro home agent, magari anch'esso malintenzionato Per contrastare tali attacchi, è necessario che i messaggi di registrazione siano autenticati Come ulteriore misura, i nodi mobili devono settare il campo TTL nell'header IP dei messaggi Registration Request a 255 In questo modo, nodi malintenzionati che sono lontani più di un hop dal foreign agent non possono essere riconosciuti validi

57 Network Address Translation Network Address Translation (RFC 1631) consente ad un dispositivo di agire come intermediario tra una rete privata e la rete pubblica 2 S: , 5001 D: , 80 NAT translation table Private IP Port Public IP Port S: , 3345 D: , S: , 80 D: , S: , 80 D: ,

58 NAT Traversal Supponiamo che il nodo mobile si sposta in una rete dove non c'è un foreign agent Il nodo mobile ottiene (es., tramite DHCP) un indirizzo IP, ma questo è un indirizzo privato Tale indirizzo non può essere un care-of address I pacchetti sono indirizzati dall'home agent al care-of address, che quindi deve essere pubblico Si potrebbe usare come care-of address l'indirizzo IP pubblico sostituito dal NAT Funziona?

59 NAT e Tunneling IP-in-IP dest: dest: IP header IP payload Home address dest: Pacchetto inviato dal corrispondente? NAT public address

60 NAT Traversal Per effettuare la traduzione, il NAT ha bisogno della coppia (indirizzo IP, porto) Il Tunneling IP-in-IP non consente di trasportare l'informazione sul porto! Mobile IP non funziona in questo caso Altri scenari con lo stesso problema Nodo mobile registrato con un foreign agent, dove entrambi sono dietro lo stesso NAT Nodo mobile che usa un co-located care-of address ma il foreign agent richiede la registrazione, dove entrambi sono dietro lo stesso NAT

61 Tunneling IP-in-UDP La soluzione proposta in IETF RFC 3519 ( NAT Traversal for Mobile IP ) consiste nell'incapsulare i pacchetti spediti dall'home agent in datagrammi UDP Src addr: Dst addr: Src port = 434 Dst port MIP Tunnel Data Message Header Src addr = Dst addr = IP payload Outer IP header UDP header Encapsulated message Home address Home agent address dest: Correspondent address NAT public address

62 Tunneling IP-in-UDP Gli end-point del tunnel UDP sono identificati dagli indirizzi (src e dst) nell'header IP esterno e dai porti UDP (src e dst) Il nodo che incapsula non altera il pacchetto incapsulato Il nodo che estrae il pacchetto deve controllare che gli indirizzi IP esterni ed i porti siano quelli usati per il tunnel Se un reverse tunnel viene configurato, anch'esso deve usare il tunneling IP-in-UDP

63 Configurazione tunnel IP-in-UDP Il foreign agent (ove presente) setta il flag 'U' (introdotto da RFC 3519) nel Mobility Agent Advertisement Extension per indicare che supporta il tunneling UDP Il nodo mobile può inserire nella Registration Request una estensione (UDP Tunnel Request) per indicare all'home agent che è capace di gestire il tunneling IP-in-UDP e che contiene: flag 'F' (force): il nodo richiede l'uso di tunnel UDP flag 'R': la registrazione è fatta usando un co-located care-of address, ma attraverso un foreign agent Tipo di incapsulamento (IP-in-UDP, GRE-in-UDP,...)

64 Configurazione tunnel IP-in-UDP Se il nodo mobile si registra attraverso un foreign agent che non ha settato il flag 'U', allora non può inserire un'estensione UDP Tunnel Request L'home agent, se in grado di interpretare l'estensione UDP Tunnel Request, fornisce una risposta inserendo un'estensione UDP Tunnel Reply nel messaggio Registration Reply L'estensione UDP Tunnel Reply contiene: Reply code: indica se l'home agent accetta o declina l'uso di tunnel UDP Keepalive Interval: indica il valore per l'intervallo di keepalive che il nodo mobile dovrebbe adottare

65 Configurazione tunnel IP-in-UDP Se l'indirizzo IP sorgente ed il care-of address in una Registration Request differiscono, l'home agent assume che il nodo mobile è dietro un NAT Se la Registration Request contiene un'estensione UDP Tunnel Request, l'home agent risponde acconsentendo all'uso di tunnel UDP Altrimenti, l'home agent rifiuta l'uso di tunnel UDP, a meno che il nodo mobile non abbia settato il flag 'F' nell'estensione UDP Tunnel Request

66 Tunneling UDP: No foreign agent Src addr: Dst addr: Src port = 6120 Dst port = 434 Care-of address: IP header UDP header Reg. Request Home address Home agent address Co-located care-of address NAT public address IP header Src addr: Dst addr: UDP header Src port = 5030 Dst port = 434 Reg. Request Care-of address: NAT translation table Private IP Port Public IP Port

67 Tunneling UDP: No foreign agent La regola di traduzione NAT deve essere rispettata per far giungere i pacchetti dati correttamente a destinazione L'home agent deve usare l'indirizzo IP sorgente della Registration Request come il care-of address effettivo anziché il care-of address nella Registration Request Il nodo mobile deve usare lo stesso porto sorgente usato per spedire la Registration Request quando invia i pacchetti dati

68 Home address Tunneling UDP: foreign agent e co-located care-of address Home agent address Src addr: Dst addr: Src port = 6405 Dst port = 434 Care-of address: IP header UDP header Reg. Request Co-located FA MN care-of address Foreign agent address NAT public address IP header Src addr: Dst addr: UDP header Src port = 5128 Dst port = 434 Reg. Request Care-of address: NAT translation table Private IP Port Public IP Port

69 Tunneling UDP: foreign agent e co-located care-of address Nel caso in cui il nodo mobile registra un co-located care-of address attraverso il foreign agent, l'indirizzo IP sorgente della Registration Request è quello del foreign agent, non del mobile node In questa modalità, l'home agent deve inviare i dati direttamente al nodo mobile Il flag 'R' nell'estensione UDP Tunnel Request segnala all'home agent l'occorrenza di tale caso Il nodo mobile, ricevuta una Registration Reply positiva, deve inviare un messaggio keepalive Per installare nella tabella NAT una regola per i pacchetti che esso genera e riceve Per far conoscere all'home agent l'indirizzo pubblico e il porto associati al proprio indirizzo IP privato

70 Messaggi keepalive Le regole in una tabella NAT permangono per un tempo limitato (in genere un paio di minuti) L'arrivo di un pacchetto che corrisponde ad una regola ne prolunga la durata È dunque necessario che l'end-point del tunnel opposto all'home agent (nodo mobile o foreign agent) invii messaggi keepalive per rinfrescare la regola di un tunnel UDP Un messaggio di keepalive è un messaggio ICMP echo request diretto all'home agent incapsulato in un datagramma UDP secondo la regola NAT da rinfrescare

71 MIP Tunnel Data Message header Una Registration Request è un datagramma UDP generato nella rete interna del NAT Non ha bisogno di essere incapsulato Crea una regola nel NAT che consente il passaggio della Registration Reply Il MIP Tunnel Data Message header È inserito nei messaggi dati subito dopo l'header UDP e prima dell'header IP incapsulato per distinguere i messaggi dati da Registration Request e Reply 4 byte che includono un campo Type e un campo Next Header che indica il tipo di dati incapsulati

72 Reverse tunnel UDP Come vengono trattati i pacchetti inviati dal nodo mobile (in cui l'ip sorgente è l'home address)? Se il NAT traduce tutti gli indirizzi (sia pubblici che privati) il nodo mobile non riesce a mantenere la comunicazione è necessario il reverse tunneling Se invece il NAT è abbastanza intelligente da non tradurre indirizzi pubblici (e non c'è ingress filtering), non è indispensabile il reverse tunneling

73 Tunneling UDP: rischi I messaggi Registration Request contengono un'estensione per autenticare il care-of address contenuto nel messaggio Quando si crea un tunnel UDP, l'indirizzo dell'endpoint del tunnel usato dall'home agent è l'ip sorgente della Registration Request, non il care-of address in essa contenuto Questo indirizzo non è autenticato! Abilitando il NAT traversal, ci si espone al rischio che un attaccante possa modificare il care-of address del nodo mobile e quindi l'altro end-point del tunnel UDP

74 Riferimenti IETF Request for Comments (RFCs) 3344, 3024 J. Kurose, K. Ross, Reti di Calcolatori e Internet, Pearson