Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.1
Mobilkommunikation Kapitel 8: Netzwerkprotokolle/Mobile IP
Motivation Datentransfer Kapselung Sicherheit IPv6
Probleme Mikromobilitätsunterstützung DHCP Ad hoc-Netzwerke Routingprotokolle
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.2
Motivation für Mobile IP
Wegwahl basiert auf IP-Zieladresse, Netzwerk-Präfix (z.B. 129.13.42) legt
physikalisches Subnetz fest wird das Subnetz gewechselt so muss auch die IP-Adresse passend
gewechselt werden (normales IP) oder ein spezieller Routing-Eintrag vorgenommen werden
Spezifische Routen zum Endgerät? anpassen aller Routing-Einträge, damit Pakete umgeleitet werden skaliert nicht mit Anzahl der mobilen Geräte und u.U. häufig wechselnden
Aufenthaltsorten, SicherheitsproblemeWechseln der IP-Adresse?
je nach Lokation wird entsprechende IP-Adresse gewählt wie sollen Rechner nun gefunden werden - DNS-Aktualisierung dauert
lange TCP-Verbindungen brechen ab, Sicherheitsprobleme!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.3
Anforderungen an Mobile IP (RFC 3344, ex. 3220, ex. 2002)
Transparenz mobile Endgeräte behalten ihre IP-Adresse Wiederaufnahme der Kommunikation nach Abtrennung möglich Anschlusspunkt an das Netz kann gewechselt werden
Kompatibilität Unterstützung der gleichen Schicht 2-Protokolle wie IP keine Änderungen an bisherigen Rechnern und Router mobile Endgeräte können mit festen kommunizieren
Sicherheit alle Registrierungsnachrichten müssen authentifiziert werden
Effizienz und Skalierbarkeit möglichst wenige zusätzliche Daten zum mobilen Endgerät (diese ist ja
evtl. über eine schmalbandige Funkstrecke angebunden) eine große Anzahl mobiler Endgeräte soll Internet-weit unterstützt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.4
Terminologie
Mobile Node (MN) Knoten, der den Ort des Netzanschlusses wechseln kann,
ohne seine IP-Adresse ändern zu müssenHome Agent (HA)
Einheit im „Heimatnetz“ des MN, typischerweise Router verwaltet Aufenthaltsort des MN, tunnelt IP-Datagramme zur COA
Foreign Agent (FA) Einheit im momentanen „Fremdnetz“ des MN, typ. Router weiterleiten der getunnelten Datagramme zum MN, stellt meist auch
default-Router für den MN dar, stellt COA zur VerfügungCare-of Address (COA)
Adresse des für den MN aktuell gültigen Tunnelendpunkt stellt aus Sicht von IP aktuelle Lokation des MN dar kann z.B. via DHCP gewählt werden
Correspondent Node (CN) Kommunikationspartner
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.5
Beispielnetz
Mobiles Endgerät
Internet
Router
Router
Router
Endgerät
FA
HA MN
Heimatnetz
Fremdnetz(physikalisches HeimatSubnetz für MN)
(aktuelles physikalisches Subnetz für MN)
CN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.6
Datentransfer zum Mobilrechner
Internet
Sender
FA
HA MN
Heimatnetz
Fremdnetz
Empfänger
1
2
3
1. Sender sendet an IP-Adresse von MN, HA fängt Paket ab (proxy ARP)2. HA tunnelt Paket an COA, hier FA, durch Kapselung3. FA leitet das Paket an MN weiter
CN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.7
Datentransfer vom Mobilrechner
Internet
Empfänger
FA
HA MN
Heimatnetz
Fremdnetz
Sender
1
1. Sender sendet ganz normal an IP-Adresse des Empfängers, FA dient als Standard-RouterCN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.8
Übersicht
CN
routerHA
routerFA
Internet
router
1.
2.
3.home
networkMN
foreignnetwork
4.
CN
routerHA
routerFA
Internet
router
homenetwork
MN
foreignnetwork
COA
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.9
Netzintegration
Agent Advertisement HA und FA senden periodisch spezielle Nachrichten über ihr
Vorhandensein in die jeweiligen physikalischen Subnetze MN hört diese Nachrichten und erkennt, ob er sich im Heimat- oder einem
Fremdnetz befindet (Standardfall falls im Heimatnetz) MN kann eine COA aus den Nachrichten des FA ablesen
Registrierung (stets begrenzte Lebensdauer!) MN meldet via FA seinem HA die COA, dieser bestätigt via FA an MN diese Aktionen sollen durch Authentifizierung abgesichert werden
Bekanntmachung typischerweise macht nun der HA die IP-Adresse des MN bekannt, d.h.
benachrichtigt andere Router, daß MN über ihn erreichbar ist Router setzen entsprechend ihre Einträge, diese bleiben relativ stabil, da
HA nun für längere Zeit für MN zuständig ist Pakete an MN werden nun an HA gesendet, Änderungen an
COA und FA haben darauf keine Einfluss
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.10
Agent advertisement
Typ = 16Länge = 6 + 4 * #COAsR: Registrierung erforderlichB: beschäftigt, keine weiteren RegistrierungenH: HeimatagentF: FremdagentM: Minimale KapselungG: GRE-Kapselungr: =0, ignoriert (früher: Van Jacobson-Kompression)T: FA unterstützt Rücktunnel (reverse tunneling)reserviert: =0, ignoriert
Präferenz 1Router Adresse 1
#AdressenTyp
Adresslänge LebensdauerPrüfsumme
COA 1COA 2
Typ SequenznummerLänge
0 7 8 15 16 312423Code
Präferenz 2Router Adresse 2
. . .
Lebensdauer d. Registr.
. . .
R B H F M G r reserviertT
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.11
Registrierung
t
MN HAregistrationrequest
registration
reply
t
MN FA HAregistrationrequestregistrationrequest
registration
reply
registration
reply
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.12
Mobile IP Registrierungsanforderung
HeimatagentHeimatadresse
Typ = 1 Lebensdauer0 7 8 15 16 312423
T x
Identifizierung
COA
Erweiterungen . . .
S B DMG r
S: simultane BindungenB: Broadcast-DatagrammeD: Entkapselung beim MNM: mininale KapselungG: GRE-Kapselungr: =0, ignoriertT: Rücktunnel angefordertx: =0, ignoriert
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.13
Beispielcodes:erfolgreiche Registrierung
0 Registrierung akzeptiert1 Registrierung akzeptiert, aber simultane Mobilitätsbindungen nicht unterstützt
Registrierung durch FA abgelehnt65 administrativ verboten66 unzureichende Ressourcen67 Mobilrechner konnte nicht authentifiziert werden68 Heimatagent konnte nicht authentifiziert werden69 angeforderte Lebensdauer zu lang
Registrierung durch HA abgelehnt129 administrativ verboten131 Mobilrechner konnte nicht authentifiziert werden133 nicht übereinstimmende Registrierungskennung135 zu viele simultane Mobilitätsbindungen
Mobile IP Registrierungsantwort
HeimatagentHeimatadresse
Typ = 3 Lebensdauer0 7 8 15 16 31
Code
Identifizierung
Erweiterungen . . .
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.14
Kapselung
originaler IP-Kopf originale Nutzdaten
neue Nutzdatenneuer IP-Kopf
äußerer Kopf innerer Kopf originale Nutzdaten
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.15
Kapselung I
Einkapseln eines Paketes in ein anderes als Nutzlast z.B. IPv6 in IPv4 (6Bone), Multicast in Unicast (Mbone) hier z.B. IP-in-IP-Kapselung, minimale Kapselung oder GRE (Generic Routing
Encapsulation)IP-in-IP-Kapselung (verpflichtend im Standard, RFC 2003)
Tunnel zwischen HA und COA
Care-of Adresse COAIP-Adresse des HAs
TTLIP-Identifikation
IP-in-IP IP-PrüfsummeFlags Fragment Offset
GesamtlängeTOSVer. IHL
IP-Adresse des MNsOriginale Sender IP-Adresse des CNs
TTLIP-Identifikation
Schicht 4-Protokoll IP-PrüfsummeFlags Fragment Offset
GesamtlängeTOSVer. IHL
TCP/UDP/ ... Nutzlast
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.16
Kapselung II
Minimale Kapselung (optional) vermeidet die Wiederholung gleicher Felder z.B. TTL, IHL, Version, TOS kann nur bei unfragmentierten Paketen eingesetzt werden, da nun kein
Platz mehr für eine Fragmentkennung vorgesehen ist
Care-of Adresse COAIP-Adresse des HAs
TTL
IP-Identifikation
Min. Encap. IP-Prüfsumme
Flags Fragment Offset
GesamtlängeTOSVer. IHL
IP-Adresse des MNsOriginale Sender IP-Adresse (falls S=1)
SSchicht-4-Protokoll IP-Prüfsumme
TCP/UDP/ ... Nutzlast
reserviert
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.17
Generic Routing Encapsulation
originalerKopf originale Daten
neue Datenneuer Kopf
äußerer Kopf GRE Kopf originale Datenoriginaler
Kopf
Care-of Adresse COAIP-Adresse des HAs
TTLIP-Identifikation
GRE IP-PrüfsummeFlags Fragment offset
LängeDS(TOS)Ver. IHL
IP-Adresse des MNsIP-Adresse des CNs
TTLIP-Identifikation
Schicht-4-Protok. IP-PrüfsummeFlags Fragment offset
LängeTOSVer. IHL
TCP/UDP/ ... Nutzlast
Routing (optional)Sequenznummer (optional)
Schlüssel (optional)Offset (optional)Prüfsumme (optional)
ProtokollRec. Rsv. Ver.C R K S s
RFC 2784
reserved1 (=0)checksum (optional)protocolreserved0 ver.C
RFC 1701
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.18
Optimierung des Datenpfades
Triangular Routing Sender sendet alle Pakete via HA zum MN unnötige Verzögerung und Netzlast
Lösungsansätze Lernen des aktuellen Aufenthaltsorts von MN durch einen Sender direktes Tunneln zu diesem Ort HA kann einen Sender über den Ort von MN benachrichtigen große Sicherheitsprobleme
Wechsel des FA Pakete „im Flug“ während des Wechsels gehen verloren zur Vermeidung kann der neue FA den alten FA benachrichtigen, der alte
FA kann nun die noch ankommenden Pakete an den neuen FA weiterleiten diese Benachrichtigung hilft evtl. dem alten FA auch, Ressourcen für den
MN wieder freizugeben
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.19
Wechsel des Foreign Agent
Sender HA FAalt FAneu MN
t
Data Data DataUpdate
ACK
Data DataOrtswechseldes MNs
RegistrationUpdateACK
DataData Data
Warning
RequestUpdate
ACK
DataData
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.20
Reverse Tunneling (alt: RFC 2344, neu: RFC 3024)
Internet
Empfänger
FA
HA MN
Heimatnetz
Fremdnetz
Sender
3
2
1
1. MN sendet an FA (kann gekapselt sein)2. FA tunnelt Paket an HA durch Kapselung3. HA leitet das Paket normal an Empfänger weiter
CN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.21
Eigenschaften von Mobile IP mit Reverse Tunneling
Router akzeptieren oft nur „topologisch korrekte“ Adressen ein durch den FA gekapseltes Paket des MN ist nun topologisch korrekt weiterhin Multicast und TTL-Problematik nun gelöst (TTL im Heimatnetz
richtig, nun aber u.U. zu weit vom Ziel)Reverse Tunneling löst nicht
Problematik der firewalls, hier könnte dann der umgekehrte Tunnel zur Umgehung der Schutzmechanismen missbraucht werden (tunnel hijacking)
Optimierung der Wege, d.h. Pakete werden normalerweise über den Tunnel zum HA geleitet, falls Tunneln nicht ausgeschaltet ist (u.U. doppeltes Triangular-Routing)
Der Standard ist rückwärtskompatibel Erweiterungen können einfach integriert werden und kooperieren mit
Implementierungen ohne die Erweiterung Im Agent Advertisement kann Wunsch nach Reverse Tunneling
angegeben werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.22
Mobile IP und IPv6
Mobile IP für IPv4 entwickelt, IPv6 erleichtert aber vieles Sicherheit ist integriert und nicht aufgesetzt, Authentifizierung aller
Aktionen wurde von vornherein bedacht COA kann über Autokonfiguration erhalten werden (DHCPv6 wäre ein
mögliches Protokoll hierfür) FA wird nicht mehr benötigt, da nun alle Router das sog. Router
Advertisement beherrschen, dieses kann nun an Stelle des speziellen Agent Advertisement eingesetzt werden; Adressen sind immer co-located
MN kann automatisch Sender über COA benachrichtigen, senden via HA entfällt dann (automatische Wegoptimierung)
„sanfte“ Wechsel, d.h. ohne Paketverluste, zwischen verschiedenen Subnetzen werden unterstützt
MN sendet dazu seinem vorherigen Router die neue COA der alte Router kapselt nun automatisch alle noch eingehenden Pakete für MN
und leitet sie zur neuen COA weiter die Authentizität bleibt dabei stets gewährleistet
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.23
Einige Probleme mit Mobile IP
Sicherheit Authentifizierung mit FA problematisch, da u.U. nicht unter eigener
Kontrolle (fremde Organisation) kein Protokoll für die Schlüsselverwaltung und -verteilung im Internet
standardisiert Patent- und Exportproblematik
Firewalls verhindern typischerweise den Einsatz von Mobile IP, spezielle
Konfigurationen sind nötig (z.B. reverse tunneling)QoS
häufige erneute Reservierungen im Fall von RSVP Tunneln verhindert das Erkennen eines gesondert zu behandelten
DatenstromsSicherheit, Firewalls, QoS etc. sind aktueller Gegenstand vieler Arbeiten
und Diskussionen!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.24
Sicherheit in Mobile IP
Sicherheitsanforderungen(Security Architecture for the Internet Protocol, RFC 1825) Integrität (Integrity)
Daten können auf dem Weg vom Sender zum Empfänger nicht verändert werden, ohne dass der Empfänger es bemerkt
Authentizität (Authentication)Absender = Sender und empfangene = gesendete Daten
Vertraulichkeit (Confidentiality)Nur Sender und Empfänger können die Daten lesen
Nicht-Zurückweisbarkeit (Non-Repudiation)Sender von Daten kann nicht abstreiten, diese gesendet zu haben
Verkehrsflussanalyse (Traffic Analysis)Erstellung von Bewegungsprofilen sollte nicht möglich sein
Rückspielsicherung (Replay Protection)Abgefangene gültige Registrierung, die erneut gesendet wird, wird als ungültig erkannt
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.25
unverschlüsselter Teil verschlüsselter Teil
Sicherheitsarchitektur bei IP
Zwischen zwei oder mehreren kommunizierenden Partnern muss die Verwendung von Sicherheitsmechanismen abgestimmt werden. Alle Partner müssen die gleichen Verfahren und Parameter verwenden (Security Association).
Für die Sicherung von IP-Nachrichten werden zwei Header definiert: Authentication-Header
Sichert die Integrität und die Authentizität von IP-Datagrammen Bei Verwendung von asymmetrischen Verschlüsselungsverfahren wird auch die
Nicht-Zurückweisbarkeit erfüllt
Encapsulation Security Payload Schützt die Vertraulichkeit zwischen zwei Kommunikationspartnern
Authentification-HeaderIP-Header UDP/TCP-PaketAuthentication-HeaderIP-Header UDP/TCP-Packet
ESP-HeaderIP-Header verschlüsselte Daten
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.26
Für die Sicherung von Registrierungen wurde eine „Mobile Security Association“ definiert, in der die Vereinbarungen zwischen dem mobilen Knoten, dem Heimatagenten und dem Fremdagenten getroffen werden.
Erweiterungen der IP-Sicherheitsarchitektur Authentication-Erweiterung der Registrierung
Verhindern des wiederholten Rücksendens von Registrierungen Zeitstempel: 32 bit Zeitstempel + 32 bit Zufallszahl Einmalwerte („nonces“):
32 bit Zufallszahl (MH) + 32 bit Zufallszahl (HA)
Registration Reply
Registration RequestRegistration Request
Sicherheitsarchitektur bei Mobile IP
MH FA HARegistration Reply
MH-HA-AuthenticationMH-FA-Auth. FA-HA-Auth.
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.27
Schlüsselvergabe durch den Heimatagenten
Der Heimatagent dient als „Schlüsselverteilzentrale“
Fremdagent unterhält Security Association mit Heimatagent Mobiler Knoten registriert eine neue Bindung mit dem Heimatagenten Heimatagent antwortet mit neuem Sitzungsschlüssel für Fremdagent
und mobilem Knoten
FA MH
HA
Antwort:EHA-FA {Sitzungsschlüssel}EHA-MH {Sitzungsschlüssel}
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.28
IP-Mikromobilitätsunterstützung
Mikromobilitätsunterstützung: Effizienter, lokaler handover innerhalb eines Fremdnetzes
ohne Involvierung des Heimatagenten Reduzierung des Steuerverkehrs im Backbone Speziell benötigt im Fall einer Routenoptimierung
Beispielansätze: Cellular IP HAWAII Hierarchical Mobile IP (HMIP)
Wichtige Kriterien: Sicherheit, Effizienz, Skalierbarkeit, Transparenz, Verwaltbarkeit
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.29
Cellular IP
Funktion: „CIP-Knoten“ verwalten Routing-
Einträge (soft state) für MNs Mehrfache Einträge möglich Routing-Einträge aktualisiert
basierend auf Paketen gesendet vom MN
CIP-Gateway: Mobile IP-Tunnelendpunkt Initiale Verarbeitung der
RegistrierungSicherheit:
Alle CIP-Knoten teilen„Netzschlüssel“
MN-Schlüssel: MD5(Netzschlüssel, IP-Adresse)
MN bekommt Schlüssel bei Registrierung
CIP-Gateway
Internet
BS
MN1
Daten-/Steuer-pakete
von MN 1
Mobile IP
BSBS
MN2
Pakete vonMN2 zu MN 1
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.30
Cellular IP: Sicherheit
Vorteile: Initiale Registrierung umfasst Authentifizierung der MNs
und wird zentral vom CIP-Gateway abgearbeitet Alle Steuermeldungen des MNs werden authentifiziert Schutz vor Wiedereinspielung (Zeitstempel)
Potentielle Probleme: MNs können direkt die Routing-Einträge beeinflussen Netzschlüssel vielen Komponenten bekannt
(Risiko der Kompromittierung groß) Keine Mechanismen für erneute Schlüsselvergabe Keine Wahl des Algorithmus (immer MD5, prefix+suffix Modus) Proprietäre Mechanismen (nicht z.B. IPSec AH)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.31
Cellular IP: weitere Punkte
Vorteile: einfache und elegante Architektur weitgehend selbst konfigurierend (nur wenig Verwaltung nötig) Integration in Firewalls / private Adressen können unterstützt werden
Mögliche Probleme: nicht transparent für MNs (zusätzliche Steuernachrichten notwendig) Public-key-Verschlüsselung von MN-Schlüsseln evtl. problematisch bei
ressourcenschwachen MNs Mehrwegeweiterleitung von Daten kann zur ineffizienten
Bandbreitennutzung führen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.32
HAWAII
Funktion: MN erhält co-located COA
und registriert mit HA Handover: MN behält COA,
neue BS antwortet Reg.-Anfrageund aktualisiert Router
MN sieht BS als Fremdagent an
Sicherheit: MN-FA-Authentifizierung verpflichtend Challenge/Response-Erweiterungen
verpflichtend BS
12
3
BackboneRouter
Internet
BS
MN
BS
MN
CrossoverRouter
DHCPServer
HA
DHCP
Mobile IP
Mobile IP
1
24
34
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.33
HAWAII: Sicherheit
Vorteile: Gegenseitige Authentifizierung und C/R-Erweiterungen verpflichtend Nur Infrastrukturkomponenten können Routing-Einträge verändern
Mögliche Probleme: Co-located COA wirft zusammen mit DHCP Sicherheitsfragen auf
(DHCP hat keine starke Authentifizierung) Dezentralisierte sicherheitskritische Funktionen in Basisstationen
(Verarbeitung der Mobile IP-Registrierung während eines handover) Authentifizierung von HAWAII-Protokollnachrichten nicht spezifiziert
(potenzielle Angreifer: stationäre Knoten im Fremdnetz) MN-Authentifizierung erfordert PKI- oder AAA-Infrastruktur
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.34
HAWAII: weitere Merkmale
Vorteile: Weitgehend transparent für MNs
(MN sends/receives standard Mobile IP messages)
Explizite Unterstützung für dynamisch zugewiesene Heimatadressen
Mögliche Probleme: Mischung von co-located COA- und FA-Konzepten kann evtl. nicht von
allen MN-Implementierungen unterstützt werden
Unterstützung privater Adressen auf Grund der co-located COA nicht möglich
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.35
Hierarchical Mobile IPv6 (HMIPv6)
Funktion: Netz enthält einen mobility anchor point
(MAP) Abbildung von regionaler COA (RCOA) auf link
COA (LCOA) Bei einem handover informiert ein MN nur den
MAP bekommt neue LCOA, behält RCOA
Der HA wird nur dann kontaktiert, wenn sich der MAP ändert
Sicherheit: keine HMIP-spezifischen
Sicherheitsmerkmale binding updates sollten authentifiziert werden
MAP
Internet
AR
MN
AR
MN
HA
bindingupdate
RCOA
LCOAoldLCOAnew
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.36
Hierarchical Mobile IP: Sicherheit
Vorteile: Lokale COAs können verborgen bleiben, was zumindest einen gewissen
Grad an Privatheit hinsichtlich des Aufenthaltsorts bietet Direkte Datenweiterleitung zwischen CNs am gleichen Subnetz ist möglich
(könnte jedoch relativ gefährlich hinsichtlich der Sicherheit sein)
Mögliche Probleme: Dezentralisierte sicherheitskritische Funktionen
(handover Verarbeitung) in mobility anchor points MNs können (müssen!) direkt die Routing-Einträge mit Hilfe von binding
updates verändern (Authentifizierung notwendig)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.37
Hierarchical Mobile IP: weitere Merkmale
Vorteile: Handover benötigt nur eine minimale Anzahl an Änderungen in Routing-
Tabellen
Integration in Firewalls und die Unterstützung von privaten Adressen sind möglich
Mögliche Probleme: Nicht transparent für MNs
Handover-Effizienz in drahtlosen, mobilen Szenarien: Komplexe MN-Operationen
Alle Routing-Rekonfigurationsnachrichten werden über die drahtlose Verbindung geschickt
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.38
DHCP: Dynamic Host Configuration Protocol
Anwendung Vereinfachung der Installation und Verwaltung von vernetzten Rechnern liefert Rechnern notwendige Informationen über IP-Adresse, DNS-Server-
Adresse, Domain-Namen, Subnetz-Masken, Router etc. damit weitgehend automatische Integration eines Rechners in das Internet
bzw. IntranetClient/Server-Modell
ein Client sendet via MAC-Broadcast eine Anfrage an einen DHCP-Server (unter Umständen über ein DHCP-Relay)
Client Relay
ClientServer
DHCPDISCOVER
DHCPDISCOVER
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.39
DHCP - Protokollmechanismen
Ze it
Server(nicht ausgewählt)
Client Server(ausgewählt)Initialisierung
Sammeln der Antworten
Auswahl der Konfiguration
Initialisierung komplett
Geregelter Abbau
Bestätigung der Konfiguration
Löschen des Kontexts
Bestimmung derKonfiguration
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST(reject)
DHCPACK
DHCPRELEASE
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST(Optionen)
Bestimmung derKonfiguration
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.40
DHCP Charakteristika
Server mehrere Server können konfiguriert werden, Koordination z.Zt. noch nicht
standardisiert (d.h. manuelles Aufsetzen)Erneuerung der Konfiguration
IP-Adressen müssen regelmäßig erneut angefordert werden, dafür existiert ein vereinfachtes Verfahren
Optionen verfügbar für Router, Netzmaske, NTP (Network Time Protocol)-
Timeserver, SLP (Service Location Protocol)-Verzeichnis, DNS (Domain Name System)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.41
Ad hoc-Netzwerke
Mobile IP braucht eine Infrastruktur Home Agent/Foreign Agent im Festnetz DNS, Routing etc. nicht für Mobilität ausgelegt
Oft keine Infrastruktur vorhanden abgelegene Gegenden, spontane Treffen, Katastrophen auch Kosten können gegen eine Infrastruktur sprechen!
Hauptproblem: Wegwahl keine Standard-Router vorhanden potentiell muss jeder Knoten weiterleiten können
A B C
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.42
Lösung: Drahtlose Ad-hoc-Netze
Netze ohne Infastruktur Nutzung von Endgeräten der Netzteilnehmer für die Vernetzung
Beispiele Single-hop: Alle Partner sind maximal
eine Funkstrecke voneinander entfernt Bluetooth Pikonetze, PDAs in einem Raum,
Spielkonsolen…
Multi-hop: Überbrückung größerer Distanzen, Umgehung von Hindernissen
Bluetooth Scatternet, TETRA-Polizeifunk, Auto-zu-Auto-Netze…
Internet: MANET (Mobile Ad-hoc Networking) Gruppe
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.43
Manet: Mobile Ad-hoc Networking
Fest-netz
MobileEnd-geräte
MobileRouter
Manet
Mobile IP, DHCP
Router Endgerät
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.44
Schwierigkeit Nummer 1: Wegewahl
Außerordentlich dynamische Netztopologie Gerätemobilität plus Änderung des Kanals Auseinanderbrechen und Verschmelzen von Netzen möglich Asymmetrische Verbindungen
N1
N4
N2
N5
N3
N1
N4
N2
N5
N3
gute Verbindungschlechte Verbindung
Zeit = t1 Zeit = t2
N6
N7
N6N7
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.45
Traditionelle Routing-Algorithmen
Distance Vector periodischer Austausch mit den physikalischen Nachbarn wer über welche
Distanz erreicht werden kann Auswahl des kürzesten Pfades bei Wegalternativen
Link State periodische Benachrichtigung aller Router über den Zustand aller
physikalischen Verbindungen Router erhalten also ein „vollständiges“ Bild des Netzes
Beispiel ARPA Packet Radio Network (1973), Einsatz von DV-Routing alle 7,5s Austausch der Routing-Tabelle mit Verbindungsqualität Aktualisierung der Tabellen auch durch Empfang von Paketen Routing-Probleme wurden versucht mit begrenztem Fluten zu lösen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.46
Wegewahl in Ad-hoc-Netzen
DIE große Frage bisheriger Forschungsarbeiten Es existieren weit über 50 verschiedene Verfahren Am einfachsten: Fluten!
Grund Klassische Verfahren aus dem Festnetzbereich versagen
Zu langsame Konvergenz, zu großer Overhead Hohe Dynamik, geringe Bandbreite, geringe Rechenleistung
Metriken für eine Wegewahl Minimale
Anzahl Knoten, Datenverluste, Verzögerung, Stausituationen, Interferenzen, … Maximale
Stabilität der Verbindungsstruktur, Batterielaufzeit der Knoten, Zeit des Zusammenhalts der Knoten, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.47
Hauptprobleme traditioneller Routing-Algorithmen
Dynamik der Topologie häufige Änderung der Verbindungen, Teilnehmer, Verbindungsqualitäten
systeminhärent
Begrenzte Leistung der mobilen Geräte periodische Aktualisierungen der Routing-Tabellen benötigt viel Energie
ohne Nutzdaten zu senden, Ruhemodus unmöglich ohnehin begrenzte Bandbreite der Geräte zusätzlich durch Austausch der
Routing-Information geschmälert Verbindungen können asymmetrisch sein, d.h. richtungsabhängige
Übertragungsqualitäten besitzen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.48
DSDV (Destination Sequenced Distance Vector)
Frühe Arbeit anforderungsgesteuerte Version: AODV
Erweiterung des Distance Vector Routing
Sequenznummer für jede Routenaktualisierung Sicherstellung, dass Aktualisierungen in der richtigen Reihenfolge
ausgeführt werden vermeidet dadurch Schleifen und Inkonsistenzen
Dämpfung der Änderungen Speichern der Zeitdauer zwischen erster und bester Ankündigung eines
Weges Zurückhalten einer Aktualisierung, wenn sie vermutlich nicht stabil ist
(basierend auf der gespeicherten Zeit)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.49
Dynamic Source Routing I
Trennung der Routing-Aufgabe in Auffinden und Aufrechterhalten
Auffinden eines Weges nur wenn wirklich ein Weg zum Senden von Daten zu einem bestimmten
Ziel benötigt wird und noch keiner vorhanden ist
Aufrechterhaltung eines Weges nur während ein Weg aktuell benutzt wird, muss dafür gesorgt werden,
dass er weiterhin funktioniert
Keine periodischen Aktualisierungen notwendig!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.50
Dynamic Source Routing II
Auffinden eines Weges Aussenden eines Broadcast-Pakets mit Zieladresse und Kennung bei Empfang eines Broadcast-Pakets
falls Empfänger, dann Rücksendung an Absender falls Paket bereits früher erhalten (Kennung), verwerfen sonst eigene Adresse anhängen und als Broadcast weiterleiten
Sender erhält Paket mit aktuellem Weg (Adressliste) zurück
Optimierungen Begrenzung durch maximale „Ausdehnung“ des mobilen Netzes (falls
bekannt) Caching von Weginformationen mit Hilfe von vorbeikommenden Paketen
kann dann für eigene oder fremde Wegwahl ausgenutzt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.51
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
RSenden von C nach O
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.52
DSR: Auffinden eines Weges
Rundruf
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R[O,C,4711]
[O,C,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.53
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
[O,C/G,4711]
[O,C/G,4711]
[O,C/B,4711]
[O,C/E,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.54
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
[O,C/G/I,4711]
[O,C/B/A,4711]
[O,C/B/D,4711]
[O,C/E/H,4711]
(alternativ: [O,C/E/D,4711])
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.55
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
[O,C/B/D/F,4711]
[O,C/G/I/K,4711]
[O,C/E/H/J,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.56
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
[O,C/E/H/J/L,4711](alternativ: [O,C/G/I/K/L,4711])
[O,C/G/I/K/M,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.57
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
[O,C/E/H/J/L/N,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.58
DSR: Auffinden eines Weges
B
A
CG
I
D
K
L
E
H
F J
Q
P
M
N
O
R
Weg: M, K, I, G
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.59
Dynamic Source Routing III
Aufrechterhaltung eines Weges nach dem Senden
Warten auf die Quittung auf Schicht 2 (falls vorhanden) Mithören im Medium, ob Paket weitergeleitet wird (falls möglich) Anforderung einer expliziten Bestätigung
falls Probleme erkannt werden kann der Sender informiert oder lokal ein neuer Weg gesucht werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.60
Interferenz-basiertes Routing
Wegwahlentscheidung basiert auf Annahmen über Interferenzen
S1
N5
N3
N4
N1 N2
E1
E2N6
N8
S2
N9N7Nachbarn
(d.h. in Funkreichweite)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.61
Beispiele für Interferenz-basiertes Routing
Least Interference Routing (LIR) Bestimmung der Kosten eines Weges basierend auf der Anzahl von
Empfängern, die eine Sendung hören könntenMax-Min Residual Capacity Routing (MMRCR)
Bestimmung der Kosten eines Weges basierend auf einer Wahrscheinlichkeitsfunktion von erfolgreichen Übertragungen und Interferenzen
Least Resistance Routing (LRR) Bestimmung der Kosten eines Weges basierend auf Interferenz,
zusammengesetzt aus Informationen über Störung, Jamming und anderen Übertragungen
LIR relativ einfach zu implementieren, da nur Informationen über die direkten Nachbarn benötigt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.62
Die Vielfalt von Ad hoc Routing-Protokollen
Flach proaktiv
FSLS – Fuzzy Sighted Link State FSR – Fisheye State Routing OLSR – Optimised Link State Routing Protocol TBRPF – Topology Broadcast Based on Reverse Path Forwarding
reaktiv AODV – Ad hoc On demand Distance Vector DSR – Dynamic Source Routing
Hierarchisch CGSR – Clusterhead-Gateway Switch Routing HSR – Hierarchical State Routing LANMAR – Landmark Ad Hoc Routing ZRP – Zone Routing Protocol
Unterstützt durch geographische Ortsangaben DREAM – Distance Routing Effect Algorithm for Mobility GeoCast – Geographic Addressing and Routing GPSR – Greedy Perimeter Stateless Routing LAR – Location-Aided Routing
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.63
Weitere Schwierigkeiten und Forschungsgebiete
Autokonfiguration Zuweisung von Adresse, Funktion, Profil, Programm, …
Diensteerkennung Auffinden von Diensten, Dienstanbietern
Multicast Ansprechen einer Gruppe von Empfängern
Dienstgüte Aufrechterhaltung einer Übertragungsqualität
Leistungssteuerung Minimierung von Interferenz, Energiesparmaßnahmen
Sicherheit Datenintegrität, Schutz vor Attacken (z.B. Denial of Service)
Skalierbarkeit 10 Knoten? 100 Knoten? 1000 Knoten? 10000 Knoten?
Integration mit Festnetzen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.64
Clustering von ad-hoc-Netzwerken
Internet
Supergruppe
Gruppe
Basisstation
Gruppenzugang
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.65
Weiterentwicklung: Drahtlose Sensornetze (WSN)
Gemeinsamkeiten mit MANETs Selbstorganisierend, multi-hop Typ. drahtlos, sollten energieeffizient sein
Unterschiede zu MANETs Anwendungen: MANET umfassender, genereller
WSNs spezifischer Geräte: MANET leistungsfähiger, höhere Datenraten, mehr Ressourcen
WSN eher begrenzt, eingebettet, interagierend mit Umgebung Anzahl: MANET eher klein (einige Dutzend Geräte)
WSN kann sehr groß sein (tausende Geräte) Idee: im MANET ist EInzelknoten wichtig, adressorientiert
im WSN ist das Netz wichtig, einzelne Knoten eher vernachlässigbar, datenzentriert
Mobilitätsmuster, Dienstgüte, Energie, Kosten, …
Beispiel:www.scatterweb.net
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.66
Ein typisches drahtloses Sensornetz
Integration von Sensorknoten (SN) und Gateways (GW)
SN
GWSN
SN
SN SN
SN SN
SN
SNSN
SN
GW
GW
GW
Bluetooth
EthernetSN
GPRS WLAN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.67
Beispiel: ScatterWeb-Sensorknoten
Sensorknoten Sensoren
Helligkeit, Geräusche, Gase,Vibration, Bewegung, Druck, …
Mikrophon/Lautsprecher, Kamera, IR Sender/Empfänger, Display, Präzise Uhr
Kommunikation über 868 MHz Transceiver Reichweiten bis zu 2 km LOS, 500 m Gebäude
Software Einfache Programmierung in C Optional: Betriebssysteme TinyOS, Contiki … Optional: TCP/IP, web server … Routing, management, flashing …
Embedded Sensor Board
Modular Sensor BoardWeitere Information:www.scatterweb.net
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.68
Beispiel: ScatterWeb-Gateways
USB Einfache Integration in die PC-World Ermöglicht eine Programmierung
über die Luft (Punkt-zu-Punkt oderals Rundruf, auch zuverlässiger Multi-hop)
Ethernet RJ45 Adapter für 10/100 Mbit/s Power-over-Ethernet (802.3af) Standard Internet-Protokolle (IP, TCP, HTTP, HTTPS, ARP, DHCP) Integrierter Webserver mit Applets zur Steuerung des Sensornetzes Sicherer Zugang zum Sensornetze von einem
beliebigen Browser im InternetAll-in-one
WLAN, Ethernet, Bluetooth, GPS, GSM/GPRS, USB, seriell …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.69
Sensornetze: Herausforderungen/Forschungsgebiete
Langlebige, autonome Netze Nutzung von Umgebungsenergie „Integrieren und vergessen“ Selbstheilend
Selbstkonfigurierende Netze Wegewahl Datenaggregation Lokalisierung
Verwaltung drahtloser Sensornetze Werkzeuge für Zugriff und Programmierung Verteilung von Aktualisierungen
Skalierbarkeit, Dienstgüte, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.70
Wegewahl in Sensornetzen unterscheidet sich…
Keine IP-Adressen, sondern einfache, lokal gültige KennungenBeispiel: Directed Diffusion
Interest Messages Interesse an Sensordaten: Attribut/Wert-Paar (z.B. Temperatur > 25°C) Gradient: Speichern der Richtung, aus der Interesse bekundet wurde
Data Messages Rücksenden der Daten in Richtung der Gradienten Zähler (hop count) garantiert kürzesten Pfad
Sink
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.71
Energiebewusste Wegewahl
Nur Sensorknoten mit ausreichend Energie leiten Daten für andere Knoten weiter
Beispiel: Weiterleitung über solargetriebene Knoten kann als kostenlos bzgl. der Energie betrachtet werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.72
Sonnenbewusste Wegewahl
Solarbetriebene Knoten Senden Aktualisierungen bzgl. ihres Status an die Nachbarn
Entweder proaktiv oder beim Mithören vorbeikommenden Verkehrs Veranlassen damit Nachbarknoten Pakete über sie umzuleiten
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.73
Beispiel: Software zur Steuerung eines Sensornetzes
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/ MC SS05 8.74
Drahtlose Sensornetze heute
Eine erste Generation ist verfügbar Diverse Sensorknoten und Gateways Auch spezielle Sensoren: Kameras, Körpertemperatur… Grundlegende Software
Routing, Energiesparmaßnahmen, Verwaltung
Diverse Prototypen für unterschiedliche Anwendungen Umgebungsüberwachung, Industrieautomatisierung, Tierüberwachung …
Neue Möglichkeiten der Überwachung, noch viel Forschung nötig Sensornetze sind vergleichsweise günstig und flexibel Auch Überwachung und Schutz von Gütern
Chemikalien, Lebensmittel, Fahrzeuge, Maschinen, Containern … Viele Anwendungen auch außerhalb dem Militärischen
Strafverfolgung, Katastropheneinsatz, Industrie, Privatbereiche, …