yhhhh S-38.310 Diplomityöseminaari 17.8.2004 Autokonfigurointi ja palveluarkkitehtuurit Ad Hoc -verkoissa Niko Suominen Niko Suominen
Ohjelma Työn tausta Yleiskuva langattomien verkkojen rakenteesta Palveluvaatimukset Ratkaistavat ongelmat ja ratkaisuehdotuksia IP-osoitteistus Globaalit yhteydet Ad Hoc –verkoista Tarjottavat palvelut Palveluiden paikallistaminen Tietoturvanäkökulmia Johtopäätökset ja ehdotuksia jatkotutkimukselle Niko Suominen
Työn tausta Valvojana professori Jorma Jormakka Ohjaajana professori Jorma Jormakka Tehty tietoverkkolaboratoriolle TKK:lla Työ on osa ulkopuolisen tahon rahoittamaa tilaustutkimusta Kirjallisuuskatsaus Ad Hoc –verkkoihin sovellettaviin autokonfigurointiprotokolliin ja vaatimusten mukaisten arkkitehtuuriehdotusten luominen niiden pohjalta Niko Suominen
Langattomien verkkojen rakenne Perinteinen WLAN-verkko Tukiasemia (Access Point) Runkoverkko tukiasemien välillä Päätelaite ottaa yhteyden tukiasemaan Melko staattinen topologia Runkoverkossa perinteinen reititysprotokolla (esim. RIP tai OSPF) Ei langatonta reititysprotokollaa Verkkovierailu (Roaming) IEEE 802.11x Niko Suominen
Langattomien verkkojen rakenne(2) Niko Suominen
Langattomien verkkojen rakenne(3) Ad Hoc -verkko Ei tukiasemia Jokainen laite toimii reitittimenä ja pääteasemana Topologia voi vaihdella vapaasti Vaatii Ad Hoc –reititysprotokollan proaktiivinen (esim. DSDV) reaktiivinen (esim. AODV) Ns. Multi-Hop –reititys Osa laitteista voi toimia yhdyskäytävänä muihin verkkoihin Niko Suominen
Langattomien verkkojen rakenne(4) Niko Suominen
Palveluvaatimukset Toimiva sisäinen reititys Ad Hoc –verkossa Globaalit yhteydet runkoverkkoon globaali IP-osoitteistus Autokonfiguroitava Globaalin liikkuvuuden tuki toivottavaa (verkko tai pääteasema liikkuu) Ad Hoc –verkoissa mahdollisuus käyttää runkoverkossa olevia tietokantapalveluita Palvelut löydettävä (Service Discovery) automaattisesti Niko Suominen
Palveluvaatimukset (2) Ratkaisu vaatii: Globaalien IP-osoitteiden autokonfiguroinnin tilattomasti tai tilallisesti Sopivan protokollan palveluiden paikallistamiseen Runkoverkossa olevia palveluhotelleja (Data Warehouse) palvelujen tuottamiseen Ad Hoc –verkon asemille Sopivan rajapinnan palveluhotelleille Riittävät tietoturvaominaisuudet Niko Suominen
Ratkaisuja Niko Suominen
IP-osoitteistus Ad Hoc –verkon sisällä käytössä tilaton IP-osoitteiden autokonfiguraatio (IETF Draft) Toimii IPv4:llä ja IPv6:lla Tuottaa site local –tason osoitteita: IPv4: 169.254.0.0/16 IPv6: fec0:0:0:ffff/64 Täysin tilaton Strong / Weak Duplicate Address Detection (DAD) –menetelmät suojaavat verkon päällekkäiskonfiguroinneilta Toimii AODV:n kanssa yhdessä tai täysin erillisenä protokollana Ei mahdollista globaaleja yhteyksiä yksin Niko Suominen
IP-osoitteistus (2) Ad Hoc –verkon sisällä käytössä mDNS (multicast DNS) sisäisiin nimi-osoite –muunnoksiin (IETF Draft) Täysin hajautettu DNS-arkkitehtuuri Ei vaadi muutoksia sovellusten toimintaan Sisäisten osoitteiden rinnalle vaaditaan globaalit IP-osoitteet runkoverkkoon suuntautuvaa liikennettä varten Tarvitaan myös perinteiset DNS-palvelimet globaaleihin osoitemuunnoksiin Sijaitsevat runkoverkossa Niko Suominen
Niko Suominen
Globaalit yhteydet Ad Hoc -verkoista Ratkaisu 1: Mobile IP:n NeMo (Network Mobility) –laajennusta käyttäen voidaan koko verkolle antaa kiinteä IPv6-prefiksi ja verkko voi liikkua vapaasti (HA) Ad Hoc –verkossa tietyt laitteet toimivat yhdyskäytävinä runkoverkkoon ja mainostavat kiinteää kotiverkkoprefiksiään Ad Hoc –verkon asemille Muut Ad Hoc –verkon laitteet konfiguroivat tilattomasti globaalin IPv6-osoitteensa AODV:llä tai ICMP:llä selvitetään yhdyskäytävän sijainti Sallii katkeamattomat TCP-yhteydet verkon liikkuessa Niko Suominen
Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (2) Ratkaisu 2: IPv4-pohjainen Käytössä Mobile IP ilman NeMo-tukea Osa Ad Hoc –verkoin laitteista toimii vierasagentteina ja jakavat globaaleja IP-osoitteita verkon pääteasemille Vierasagentit siirtävät omat konfigurointiasetuksensa automaattisesti runkoverkosta itselleen Mahdollistaa verkon lähes vapaan liikkumisen Niko Suominen
Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (3) Ratkaisut 3 ja 4: Ei globaalin liikkuvuuden tukea Käytössä NAT- tai NAPT-tekniikat Vain yhdyskäytäväreitittimet tietävät globaalit osoitteet Rikkovat päästä-päähän yhteydellisyyden Tekevät ongelman yksinkertaisemmaksi Mutta vaikeuttaa mm. VoIP-signalointia Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (4) Ratkaisu 5: DHCP-pohjainen Yhdyskäytäväreitittimet toimivat DHCP-agentteina Ad Hoc –verkoissa DHCP-palvelimet rungossa DHCP-viestien välittäminen Ad Hoc –verkoissa vaatii tulvittamisen tehoton Ei mahdollista automaattista verkon liikkuvuuden tukea Niko Suominen
Globaalit yhteydet Ad Hoc –verkoista (5) Perinteiset DNS-palvelimet sijaitsevat runkoverkossa Mobile IP:tä käytettäessä Ad Hoc –verkon laitteet ovat aina saavutettavissa kiinteällä IP:llä Ilman Mobile IP:tä tarvitaan hakemistopalveluita tietyn laitteen (palvelun) paikallistamiseen Niko Suominen
Tarjottavat palvelut Palveluhotellit rungossa -VoIP-mahdollisuus HTTP-pohjaisia WWW-palvelimia Salattu yhteys (SSL/TLS) Käyttäjän tunnistus Palvelinpuolen ohjelmointikielellä toteutettu käyttöliittymä Turvallinen tietokanta -Hajautetut Jini-palvelut -Jaetut levyresurssit -VoIP-mahdollisuus -Viestinvälityspalvelut Niko Suominen
Palveluiden paikallistaminen (vaihtoehtoja) Service Location Protocol v2 Mahdollistaa myös parametrien konfiguroinnin Suositeltu vaihtoehto Jini Java-pohjaisten hajautettujen sovellusten yhteydessä DNS-pohjainen palveluhakemisto Anycast UPnP ja Salutation Niko Suominen
Tietoturvanäkökulmia Molemminpuoleinen käyttäjän tunnistus pakollista Tunnistus valtuutuksia varten Man in the Middle -hyökkäys Vahva salaus yhteyksiin ja tietokantoihin Luottamuksellisuus Eheys ja kiistämättömyys DoS-tilanteiden mahdollisuus minimoitava Tilattomat ratkaisut usein luotettavampia mutta epäturvallisempia hajautettujen elementtien vuoksi Tilalliset ratkaisut alttiimpia palveluestohyökkäyksille, mutta helpommin hallittavia Niko Suominen
Johtopäätökset ja ehdotuksia jatkotutkimuksille Täydellistä arkkitehtuuria ei ole Käytettävä arkkitehtuuri on valinta monen asian väliltä Ratkaisut simuloitava ja tarpeen vaatiessa toteutettava testiratkaisu Puutteet korjattava simuloinnin ja testien perusteella Niko Suominen
Kiitos Kysymyksiä? Niko Suominen