Seguridad en IP móvil La autentificación de los mensajes de registro entre el MN y el HA es fundamental. De lo contrario un impostor podría suplantar al MN Los mensajes de registro tienen una extensión de autentificación basada en una clave hash MD5 y un timestamp, para evitar los ‘replay attacks’. La autentificación es obligatoria para el registro del MN en el HA y opcional en los demás casos
Comunicación de hosts de la HN con el MN (Gp:) 147.156.135.22
A D B HN: 147.156.0.0/16 FN: 152.48.0.0/16 MN FA HA X 1: Un datagrama de MN a X (que está en la HN) llega sin problemas usando las rutas estándar (D-B-A). 2: Pero un datagrama de X a MN no llega: X lanza una ARP Request (buscando la MAC de X) que no es respondida. X no sabe que MN está fuera de su red. 3: Para evitarlo se utiliza el ‘Proxy ARP’: el HA ‘suplanta’ al MN y responde en su lugar a la ARP Request, anunciando su propia MAC para la IP del MN. 4: Para asegurar la rápida actualización de las ARP caches, cuando el MN se va de la HN el HA manda un mensaje ARP anunciando su dirección MAC para la IP del MN, sin esperar ningún ARP Request. Esto se conoce como ‘Gratuitous ARP’. (Gp:) ARP Request: ¿quién es 147.156.135.22?
Características de IP móvil El MN y el FA deben tener comunicación a nivel de enlace, sin routers intermedios. El túnel es unidireccional, los datagramas de vuelta (desde el MN al CN) siguen la ruta normal estándar, sin túneles (salvo que el CN sea también un MN). Pero si los routers tienen filtros rechazarán datagramas que vengan de la FN (Foreign Network) con dirección de origen HA (Home Address); en ese caso hay que hacer el túnel bidireccional (camino de vuelta a través del HA).
Problema de IP móvil en routers con filtros (Gp:) 147.156.135.22
A D C B Internet Red 147.156.0.0/16 Red 152.48.0.0/16 No aceptar paquetes con IP origen ? 152.48.0.0/16 permit ip 152.48.0.0 0.0.255.255 any deny ip any any 1: El MN envía un datagrama hacia el CN siguiendo la ruta normal (D-B-C). 2: El router B revisa la dirección de origen del datagrama y lo rechaza pues no cumple la condición impuesta para esa interfaz MN CN
Túnel bidireccional: Solución al problema de routers con filtros (Gp:) 147.156.135.22
A D C B Internet Red 147.156.0.0/16 Red 152.48.0.0/16 No aceptar paquetes con IP origen ? 152.48.0.0/16 permit ip 152.48.0.0 0.0.255.255 any deny ip any any 1: MN envía a D un datagrama para CN 3: B revisa el datagrama y lo acepta pues la dirección de origen es D. Lo envía por tanto hacia A Túnel bidireccional 4: A desencapsula el datagrama y lo envía a CN por la ruta normal MN CN 2: D encapsula el datagrama y lo envía hacia A a través del túnel (Gp:) 1
(Gp:) 2
(Gp:) 3
(Gp:) 4
IP móvil sin ‘Foreign Agent’ A 147.156.0.0/16 por A A 152.48.0.0/16 por D A D C B Internet A 147.156.0.0/16 por A A 152.48.0.0/16 por D Red 147.156.0.0/16 Red 152.48.0.0/16 Ping 147.156.135.22 Al MN se le asigna una IP de la red visitada (por DHCP u otro mecanismo) Esta IP actúa como Care of Address (‘co-located Care of Address’) El túnel va directamente desde el Home Agent hacia el Mobile Node Evita establecer un FA en cada red, pero requiere disponer en la red visitada de un rango de direcciones reservado para CoA y el software del host es más complejo (Gp:) Paquetes encapsulados
HA (Gp:) 152.48.11.12 (CoA) (Gp:) MN
CN (Gp:) 147.156.135.22 (Gp:) Túnel IP de HA hacia MN
Encapsulado de IP Móvil Túnel HA ? FA: Túnel HA ? MN: Túnel FA ? HA: Túnel MN ? HA: Datagrama original IP origen IP destino Cabecera IP original Cabecera IP túnel Ida: Vuelta:
Documentos sobre IP Móvil (IETF) RFCs (IPv4): IP Móvil: RFC 2002 (10/96) RFC 3220 (1/02) RFC 3344 (8/02) Encapsulado: RFC 2003, RFC 2004, RFC 1701 Aplicabilidad de IP Móvil: RFC 2005 MIBs de IP Móvil: RFC 2006
Desarrollos en curso Optimización de ruta: Intenta evitar el problema de la ineficiencia debida a la triangulación El HA informa al CN de la CoA asociada con el MN para que éste cree su propio túnel directo, sin hacer uso del HA El HA informa al CN de la nueva CoA del MN cada vez que ésta cambia Otros desarrollos: Seguridad y autentificación Calidad de Servicio
IP móvil e IPv6 Aún no está estandarizado para IPv6. El borrador está en Principales diferencias: En vez de túneles se utiliza la cabecera de routing (de IPv6). El CN envía directamente los datagramas al MN. Esto conlleva automáticamente la optimización de ruta La cabecera de routing resuelve también el problema de los routers con filtros sin recurrir al uso de túneles inversos No existen ‘Foreign Agents’ (pero si ‘Home Agents’) No se requiere el uso de Proxy ARP y Gratuitous ARP. En su lugar se emplea el protocolo ‘Neighbour Discovery’ de IPv6 (RFC 2461) Los protocolos son más sencillos, robustos y eficientes
Página anterior | Volver al principio del trabajo | Página siguiente |