EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH



Podobne dokumenty
KONCEPCJA APLIKACJI VoIP WYKORZYSTUJĄCEJ MECHANIZMY IPSec

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

IPsec bezpieczeństwo sieci komputerowych

Protokół IPsec. Patryk Czarnik

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Protokół IPX (Internetwork Packet Exchange)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK. Konsola, TELNET, SSH 1

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

ZiMSK NAT, PAT, ACL 1

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Sieci wirtualne VLAN cz. I

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

WLAN bezpieczne sieci radiowe 01

Protokoły sieciowe - TCP/IP

Wirtualizacja zasobów IPv6 w projekcie IIP

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

Zastosowania PKI dla wirtualnych sieci prywatnych

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Multicasty w zaawansowanych usługach Internetu nowej generacji

ZiMSK. Routing dynamiczny 1

Przesyłania danych przez protokół TCP/IP

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Sieci Komputerowe Modele warstwowe sieci

Dr Michał Tanaś(

Kryteria bezpiecznego dostępu do sieci WLAN

Bezpieczne protokoły Materiały pomocnicze do wykładu

Politechnika Łódzka. Instytut Systemów Inżynierii Elektrycznej

Laboratorium 6.7.2: Śledzenie pakietów ICMP

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Plan Prezentacji Wprowadzenie Telefonia IP a bezpieczeństwo istotne usługi ochrony informacji i komunikacji w sieci Klasyczna architektura bezpieczeńs

ADRESY PRYWATNE W IPv4

Bezpieczeństwo w

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Sieci komputerowe - Wstęp do intersieci, protokół IPv4

Warstwy i funkcje modelu ISO/OSI

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

IPSEC z Mikrotik zero to hero Piotr Wasyk

Plan i problematyka wykładu. Sieci komputerowe IPv6. Rozwój sieci Internet. Dlaczego IPv6? Przykład zatykania dziur w funkcjonalności IPv4 - NAT

Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone. MASH.PL Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone Strona 1

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Testy współpracy. Asterisk z techniką WebRTC

Model OSI. mgr inż. Krzysztof Szałajko

Sieci komputerowe Warstwa transportowa

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6

Bezpieczny system telefonii VoIP opartej na protokole SIP

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Aplikacja inteligentnego zarządzania energią w środowisku domowym jako usługa Internetu Przyszłości

Przesył mowy przez internet

Charakterystyka grupy protokołów TCP/IP

Bezpieczeństwo bezprzewodowych sieci WiMAX

Transmisja danych multimedialnych. mgr inż. Piotr Bratoszewski

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

Mechanizmy zabezpieczeń transmisji w środowisku IPSec

Konfiguracja aplikacji ZyXEL Remote Security Client:

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

GMPLS based control plane for Optical Burst Switching Network

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Marcin Szeliga Sieć

Sterowanie ruchem w sieciach szkieletowych

BADANIE BEZPIECZEŃSTWA ZABEZPIECZONEJ USŁUGI MPLS VPN O ZESTAW PROTOKOŁÓW IPSEC

8. Tunele wirtualne VPN

Sieci komputerowe - warstwa transportowa

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

Sieci komputerowe - opis przedmiotu

OSI Data Link Layer. Network Fundamentals Chapter 7. ITE PC v4.0 Chapter Cisco Systems, Inc. All rights reserved.

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Elektrotechnika II stopień ogólnoakademicki. stacjonarne. przedmiot specjalnościowy. obowiązkowy polski semestr II semestr zimowy.

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Bezpieczeństwo Systemów Sieciowych

Mobilny Taktyczny System Łączności Bezprzewodowej

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Bezpieczne protokoły Główne zagadnienia wykładu

Komunikacja pomiędzy sterownikami PLC za pomocą łącza GSM GPRS

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

ZiMSK. VLAN, trunk, intervlan-routing 1

Bezpieczeństwo systemów komputerowych

WSIZ Copernicus we Wrocławiu

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Uniwersalny Konwerter Protokołów

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Systemy bezpieczeństwa sieciowego

PODSYSTEM RADIODOSTĘPU MOBILNEGO ZINTEGROWANEGO WĘZŁA ŁĄCZNOŚCI TURKUS

SIECI KOMPUTEROWE Protokoły sieciowe

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

Protokoły zdalnego logowania Telnet i SSH

Adresy w sieciach komputerowych

Transkrypt:

mgr inż. Urszula Ostrowska Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa tel.: 0-22 6830517, fax: 0-22 6839038, e-mail: ostrowska@wel.wat.edu.pl EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH Wstęp Proponowane w zaleceniach mechanizmy sieci IP są przeznaczone dla szybkich i niezawodnych sieci lokalnych oraz jeszcze szybszych sieci szkieletowych miejskich i rozległych. Obecnie uruchamiane są coraz to nowsze usługi jak telefonia VoIP, telekonferencje, radio i telewizja. Usługi te niestety znacznie obciążają wykorzystanie łączy dostępowych, mogą również powodować przeciążenia w sieci. Szerokopasmowe sieci IP są podatne na przenoszenie zwiększonego ruchu, ale gdy usługi przenoszone są w radiowych sieciach wąskopasmowych, realizacja usług telefonicznych i transmisji danych może być utrudniona, a nawet niemożliwa. Dodatkowo projektanci i architekci protokołów rodziny IPv6, aby uniknąć problemów z ograniczeniami funkcjonalnymi, wprowadzili do niego duże nadmiary informacyjne, np. w celu realizacji adresacji. Czasami adresacja realizowana jest wielopoziomowo - ma to miejsce, np. w przypadku wykorzystania protokołu IPSec w trybie tunelowym [1-6]. W tym trybie pakiety są szyfrowane wraz z nagłówkami, a następnie dołączany jest nowy Sec. Opisana problematyka stała się przyczyną tego, że zajęłam się mechanizmami kompresji nagłówków i multipleksacją pakietów IPv6 różnych usług. Proponowana przeze mnie metoda kompresji i multipleksacji pozwala na znaczne zmniejszenie nadmiarowości informacyjnej, a co za tym idzie zmniejszenie zapotrzebowania na przepustowość przez usługi VoIPv6 zabezpieczone mechanizmami IPSec. 1. Architektura protokołu IPSec Architektura IPSec opisana została w RFC 2401 [13]. Głównym jej zadaniem jest zapewnienie usług bezpieczeństwa w warstwie sieciowej pomiędzy dwoma użytkownikami końcowymi. Podstawowymi komponentami architektury bezpieczeństwa IPSec są (rys.1.): protokoły bezpieczeństwa: protokół uwierzytelniania (Authentication Header) oraz protokół szyfrowania (Encapsulating Security Payload); asocjacje bezpieczeństwa SA (Security Association); zarządzanie kluczami (Key Management) ręczne i automatyczne; algorytmy wykorzystywane w szyfrowaniu i uwierzytelnianiu.

Architektura Protokół Protokół Algorytm szyfrowania Algorytm uwierzytelniania Dziedzina implementacji Zarządzanie kluczami Rys. 1. Zależności pomiędzy elementami architektury bezpieczeństwa RFC 2411 [6] Protokół IPSec zapewnia: integralność wiadomości (integrity) otrzymana wiadomość nie została zmodyfikowana w trakcie transmisji; uwierzytelnianie wiadomości (authenticity) identyfikację nadawcy za pomocą kryptograficznego podpisanie danych; ochronę przed powtórzeniem (reply protection) gdy do stacji docelowej dociera ponownie odebrany już pakiet, jest on przez nią odrzucony; kontrolę dostępu (access control) niemożność wynegocjowania parametrów bezpieczeństwa powoduje odrzucenie połączenia; poufność danych (confidentially) zabezpiecza przed podsłuchem pasywnym, czyli celowym lub przypadkowym dostaniem się informacji w niepowołane ręce dzięki zastosowanym metodom kryptograficznym. Rys. 2. Protokoły IPSec Protokół IPSec korzysta z dwóch protokołów: protokołu nagłówka uwierzytelnienia () oraz protokołu szyfrowania wiadomości enkapsułowanych () (rys.2.). Protokoły i zostały opisane w dokumentach [14-15]. Protokół [7, 9-10] chroni cały pakiet IP przed modyfikacją - dane walidujące zabezpieczają zarówno nagłówek, a więc adres nadawcy i odbiorcy, jak i samą zawartość pakietu. Protokół ten nie zapewnia jednak tajności - dane nadal przesyłane są otwartym tekstem. Protokół [8-10] zapewnia integralność i tajność informacji poprzez zakodowanie całości lub części pakietu IP i przesłaniu go jako danych zwykłego pakietu IP. Rysunek 3 oraz 4 ilustruje opisane tryby. 2

Tryb tunelowy Pola zmienne: - klasa ruchu - etykieta ruchu - adres S/D Nowy Pola zmienne Hop-by-hop, Dest,Routing Dest, Opcje Pola stałe Autoryzacja z wyjątkiem pól zmiennych Nowy Nowe nagłówki Trailer ICV Szyfrowane Tryb transportowy Ochrona integralności Rys. 3. Tryb tunelowy Pola zmienne Hop-by-hop, Dest,Routing Dest Opcje Pola stałe Autoryzacja z wyjątkiem pól zmiennych Pola zmienne: - klasa ruchu - etykieta ruchu - adres S/D Hop-by-hop, Dest,Routing Trailer ICV Szyfrowane Ochrona integralności Rys. 4. Tryb transportowy Powyżej opisane protokoły mogą pracować w dwóch trybach: tryb tunelowy (Tunnel Mode) w trybie tym cały pakiet IP (dane i nagłówki) zostaje poddany ochronie oraz dołożony zostaje nowy ; tryb transportowy (Transport Mode) w trybie tym ochronie podlegają tylko nagłówki warstw wyższych oraz dane. 2. Proponowany mechanizm kompresji nagłówków Dla łączy wąskopasmowych (rys.5), które mogą występować w radiowych sieciach IPv6, zaproponowano wykorzystanie urządzenia brzegowego - adaptera sieciowego NA. Kompresja nagłówka IPSec Dekompresja nagłówka IPSec Kompresja nagłówka IPv6 RT RT Dekompresja nagłówka IPv6 Detekcja usług NRT Multipleksacja usług Detekcja usług NRT Obsługa karty LAN Obsługa interfejsu IF Obsługa interfejsu IF Obsługa karty LAN Rys. 5. Algorytm pracy NA 3

Zaimplementowano w nim procedurę dwupoziomowej kompresji nagłówka (rys.6, 7). W pierwszej kolejności kompresji podlega oryginalny v6, a w drugiej nagłówek IPSec (procedura CopmIPSecv6). Wymiana pakietów IPv6 jest realizowana w trybie tunelowym [1,6]. Przesyłane w sieci pakiety są klasyfikowane jako RT (ang. Real Time), NRT (ang. Non Real time) oraz sterujące. Klasyfikacja pakietów dla usług RT i NRT odbywa się na podstawie zawartości pól Traffic_Class i Flow_Label, a w przypadku pakietów sterujących na podstawie typu pakietu. Pakiety sterujące są wysyłane z największym priorytetem i w celu zapewnienia prawidłowej jakości usługom RT są one segmentowane i multipleksowane. Pakiety NRT również podlegają segmentacji i są wysyłane z najmniejszym priorytetem. Rys. 6. Koncepcja dwupoziomowej kompresji nagłówków LEGENDA: 1. Odebranie pakietu IPv6 z sieci LAN 2. Kompresja nagłówka IPv6 3. Szyfrowanie IPSec 4. Kompresja nagłówka IPSec 5. Wysłanie do sieci wąskopasmowej pakietu skompresowanego W procedurze kompresji (rys.3) i dekompresji (rys.4) zostały wykorzystane interfejsy gniazda. Gniazda są punktami końcowymi komunikacji pomiędzy jądrem systemu Linuks a aplikacją. Interfejs gniazda umożliwia warstwom wyższym współdzielenie informacji z warstwami transportowymi za pomocą globalnych struktur danych. Rys. 7. Koncepcja dwupoziomowej dekompresji nagłówków LEGENDA: 1. Odebranie pakietu IPv6 z interfejsu IF (z sieci wąskopasmowej) 2. Dekompresja nagłówka IPSec 3. Deszyfrowanie IPSec 4. Dekompresja IPv6 5. Wysłanie do sieci LAN pełnego pakietu 3. Środowisko badawcze oraz wyniki badań Aplikacja NA (Network Adapter) [7-11] została zaimplementowana na platformie Linuks. Została ona uruchomiona i przebadana w środowisku laboratoryjnym (rys.8). Sprawdzenie poprawności pracy aplikacji zrealizowano w sieci IPv6. Pomiędzy stacjami abonenckimi przesyłano pakiety ping6, które w początkowej chwili zostały poprzedzone pakietami 4

odkrywania otoczenia ND (Neighbor Discovery). Pakiety ping6 są obsługiwane przez NA tak, jak usługi NRT, zaś pakiety ND są pakietami sterującymi. Rys. 8. Stanowisko laboratoryjne Badania zostały wykonane dla dwóch scenariuszy: przy włączonej procedurze dwupoziomowej kompresji nagłówków (z CopmIPSecv6) oraz z kompresją jednopoziomową (adresu oryginalnego IPv6, bez włączonego mechanizmu kompresji IPSec) (rys.9). Na podstawie przeprowadzonych badań można stwierdzić, że procedura szyfrowania wprowadza opóźnienie (porównanie opóźnienia dla 2 wykresów). W początkowej fazie pracy aplikacji wymiana pakietów sterujących jest obciążona największym opóźnieniem, gdyż adaptery sieciowe NA muszą się zsynchronizować (jest to związane z utratą pojedynczego pakietu dla każdego kierunku transmisji). Następnie wymieniane są pakiety ping6, dla których opóźnienie jest stałe. Wtedy, gdy zanotowany jest wzrost opóźnienia (ok.7 pakietu), następuje przesłanie go pakietu sterującego ND. Opóźnienie pomiędzy pakietami NRT [s] 3 2 NA z CompIPSecv6 NA 1 0 0 2 4 6 8 10 Numer przesyłanego pakietu Rys. 9. Charakterystyka opóźnień pakietów NRT i sterujących Na rysunku 10 przedstawiono porównanie otrzymanych wyników jittera dla różnych obciążeń sieci oraz przy włączonej lub wyłączone kompresji nagłówka IPSec. Usługi RT zostały zrealizowane z wykorzystaniem aplikacji VoIPv6: PcPhone. 5

Jitter [ms] 350 300 NA z CompIPSecv6 NA z CompIPSecv6 oraz pakiet NRT = 107B NA z CompIPSecv6 oraz pakiet NRT = 1300B PcPhone PcPhone oraz pakiet NRT = 107B PcPhone oraz pakiet NRT = 1300B 250 200 150 100 50 0 0 10 20 30 40 50 60 70 80 90 100 Czas [s] Rys. 10. Jitter pakietów VoIPv6 (danych RT) w sieci przy pracy z i bez kompresji IPSec Na podstawie analizy charakterystyk można stwierdzić, że wartość jittera jest najmniejsza wtedy, gdy procedura CompIPSecv6 jest włączona. Gdy brak jest procedury CompIPSecv6, nie zapewniana jest priorytetyzacja usług RT, NRT i danych kontrolnych, dlatego wszystkie dane przesyłane są jednocześnie. Np. gdy przesyłane były dane NRT o wielkości 1300B, użytkownicy nie byli w stanie zrozumieć się, a połączenie po 30s było zrywane. Przy włączonej procedurze CompIPSecv6 taka sytuacja nie ma miejsca. 4. Podsumowanie Podsumowując, omówiona procedura CopmIPSecv6 zapewnia bezpieczny mechanizm realizacji usług RT i NRT. Umożliwia ona kompresję nagłówków oryginalnych i nagłówków IPSec. Dzięki temu w kanale wąskopasmowym można przenosić jednocześnie usługi RT i NRT nie zakłócając mechanizmów standardowych protokołu IPv6. Procedura CopmIPSecv6 wykorzystuje standardowy mechanizm IPSec wkompilowany w system Linuks. Do mechanizmów szyfrowania i deszyfrowania wykorzystany został interfejs fikcyjny. Dzięki temu stacja robocza, na której pracuje aplikacja NA z procedurą CopmIPSecv6, nie wymaga stosowania dodatkowych interfejsów sieciowych, potrzebnych do szyfrowania/deszyfrowania IPSec. Opóźnienie danych NRT wzrosło po dodaniu procedury CopmIPSecv6 do aplikacji NA. Wzrost opóźnienia związany jest z czasem potrzebnym na szyfrowanie i deszyfrowanie danych za pomocą IPSec. Zaletą zaimplementowanej procedury jest priorytetyzacja usług. Na podstawie przeprowadzonych badań można stwierdzić, że dane sterujące będą przesyłane zawsze w pierwszej kolejności, niezależnie od tego, czy odbywa się transmisja danych RT czy też NRT. W aplikacji została zrealizowana multipleksacja usług różnego typu. Dzięki temu mechanizmowi, pomimo transmisji danych RT, przesyłane są także dane NRT. NRT przesyłane są pomiędzy danymi RT tylko wtedy, gdy ich transmisja nie spowoduje przerwania połączenia RT. W najbliższym czasie planowane są badania mechanizmu w wąskopasmowych sieciach radiowych (łączność KF i UKF) oraz badanie wpływu metod szyfrowania na jakość usługi 6

RT. Dodatkowo należy przeprowadzić szczegółowe badania omówionego mechanizmu w obecności mechanizmu adaptacji wielkości strumieni pakietów VoIP. Bibliografia: [1] B.Singh, S.Sofat: Future of Internet Security IPSec: 01/26/2005 [2] S.Kent, R.Atkinson: Security Architecture for the Internet Protocol; IETF RFC 2401, 11.1998 [3] R.Thayer, N.Doraswamy: IP Security Document Roadmap, RFC 2411, IETF 1998 [4] S.Kent, R.Atkinson: IP Authentication Header, RFC 2402, IETF 1998 [5] S.Kent, R.Atkinson: IP Encapsulating Security Payload (), RFC 2406, IETF 1998 [6] S.Kent, K.Seo: Security Architecture for the Internet Protocol; RFC 4301, 12.2005 [7] U.Ostrowska: Koncepcja kompresji nagłówków IPSec usług czasu rzeczywistego w sieciach wąskopasmowych, SECON 2006 [8] U.Ostrowska: Efektywny bezpieczny mechanizm realizacji usług transmisji mowy i danych dla mobilnych wąskopasmowych sieci IPv6, KSTiT 2007 [9] J.Jarmakiewicz, P. Łubkowski: Implementacja aplikacji adaptera sieciowego, ITK WAT raport badawczy GRANT nr 0 T00A 16 25, Warszawa 2004 [10] M.Amanowicz, M.Antweiler, J.Jarmakiewicz, J.Krygier, P.Łubkowski, T.Aurich, R.Bryś, M.Lies, J.Milewski, P.Sevenich: Implementation of IPv6 protocol for tactical interoperable communications networks, RTO TICNET PROJECT, Final Raport, Brussels NATO IST, 2006 [11] J.Jarmakiewicz: Budowa modelu symulacyjnego łącza HF wykorzystującego adapter sieciowy. Weryfikacja i walidacja modelu. WIŁ raport badawczy GRANT nr 0 T00A 16 25, Warszawa 2004 [12] A.Metkowska, J.Jarmakiewicz: Mechanizm wspierania jakości usługi VoIP w warunkach przeciążeń sieci IPv6, KSTiT 2007 [13] S. Kent, K. Seo: Security Architecture for the Internet Protocol; RFC 4301, 12.2005 [14] S.Kent, R.Atkinson: IP Authentication Header, RFC 2402, IETF 1998 [15] S.Kent, R.Atkinson: IP Encapsulating Security Payload (), RFC 2406, IETF 1998 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres