IP-in-IP

Werbung
Mobilkommunikation Kapitel 8:
Netzwerkprotokolle/Mobile IP
Motivation
 Datentransfer
 Kapselung
 Sicherheit
 IPv6

Probleme
 Mikromobilitätsunterstützung
 DHCP
 Ad hoc-Netzwerke
 Routingprotokolle

Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.1
Motivation für Mobile IP
Wegwahl

basiert auf IP-Zieladresse, Netzwerk-Präfix (z.B. 129.13.42) legt
physikalisches Subnetz fest
 wird das Subnetz gewechselt so muss auch die IP-Adresse passend
gewechselt werden (normales IP) oder ein spezieller Routing-Eintrag
vorgenommen werden
Spezifische Routen zum Endgerät?

anpassen aller Routing-Einträge, damit Pakete umgeleitet werden
 skaliert nicht mit Anzahl der mobilen Geräte und u.U. häufig wechselnden
Aufenthaltsorten, Sicherheitsprobleme
Wechseln der IP-Adresse?

je nach Lokation wird entsprechende IP-Adresse gewählt
 wie sollen Rechner nun gefunden werden - DNS-Aktualisierung dauert
lange
 TCP-Verbindungen brechen ab, Sicherheitsprobleme!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.2
Anforderungen an Mobile IP (RFC 3344, ex. 3220, ex. 2002)
Transparenz

mobile Endgeräte behalten ihre IP-Adresse
 Wiederaufnahme der Kommunikation nach Abtrennung möglich
 Anschlusspunkt an das Netz kann gewechselt werden
Kompatibilität

Unterstützung der gleichen Schicht 2-Protokolle wie IP
 keine Änderungen an bisherigen Rechnern und Router
 mobile Endgeräte können mit festen kommunizieren
Sicherheit

alle Registrierungsnachrichten müssen authentifiziert werden
Effizienz und Skalierbarkeit

möglichst wenige zusätzliche Daten zum mobilen Endgerät (diese ist ja
evtl. über eine schmalbandige Funkstrecke angebunden)
 eine große Anzahl mobiler Endgeräte soll Internet-weit unterstützt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.3
Terminologie
Mobile Node (MN)

Knoten, der den Ort des Netzanschlusses wechseln kann,
ohne seine IP-Adresse ändern zu müssen
Home Agent (HA)
Einheit im „Heimatnetz“ des MN, typischerweise Router
 verwaltet Aufenthaltsort des MN, tunnelt IP-Datagramme zur COA

Foreign Agent (FA)
Einheit im momentanen „Fremdnetz“ des MN, typ. Router
 weiterleiten der getunnelten Datagramme zum MN, stellt meist auch
default-Router für den MN dar, stellt COA zur Verfügung

Care-of Address (COA)

Adresse des für den MN aktuell gültigen Tunnelendpunkt
 stellt aus Sicht von IP aktuelle Lokation des MN dar
 kann z.B. via DHCP gewählt werden
Correspondent Node (CN)

Kommunikationspartner
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.4
Beispielnetz
HA
MN
Router
Heimatnetz
Mobiles Endgerät
Internet
FA
(physikalisches Heimat
Subnetz für MN)
Router
Fremdnetz
(aktuelles physikalisches
Subnetz für MN)
CN
Endgerät
Router
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.5
Datentransfer zum Mobilrechner
HA
2
MN
Internet
Heimatnetz
Empfänger
3
FA
Fremdnetz
1
CN
Sender
1. Sender sendet an IP-Adresse von MN,
HA fängt Paket ab (proxy ARP)
2. HA tunnelt Paket an COA, hier FA,
durch Kapselung
3. FA leitet das Paket an
MN weiter
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.6
Datentransfer vom Mobilrechner
1
HA
MN
Sender
Internet
Heimatnetz
FA
Fremdnetz
1. Sender sendet ganz normal an
IP-Adresse des Empfängers,
FA dient als Standard-Router
CN
Empfänger
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.7
Übersicht
COA
home
network
router
FA
router
HA
MN
foreign
network
Internet
CN
router
3.
home
network
router
HA
router
FA
2.
MN
4.
foreign
network
Internet
1.
CN
router
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.8
Netzintegration
Agent Advertisement

HA und FA senden periodisch spezielle Nachrichten über ihr
Vorhandensein in die jeweiligen physikalischen Subnetze
 MN hört diese Nachrichten und erkennt, ob er sich im Heimat- oder einem
Fremdnetz befindet (Standardfall falls im Heimatnetz)
 MN kann eine COA aus den Nachrichten des FA ablesen
Registrierung (stets begrenzte Lebensdauer!)

MN meldet via FA seinem HA die COA, dieser bestätigt via FA an MN
 diese Aktionen sollen durch Authentifizierung abgesichert werden
Bekanntmachung

typischerweise macht nun der HA die IP-Adresse des MN bekannt, d.h.
benachrichtigt andere Router, daß MN über ihn erreichbar ist
 Router setzen entsprechend ihre Einträge, diese bleiben relativ stabil, da
HA nun für längere Zeit für MN zuständig ist
 Pakete an MN werden nun an HA gesendet, Änderungen an
COA und FA haben darauf keine Einfluss
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.9
Agent advertisement
0
7 8
15 16
23 24
Typ
Code
Prüfsumme
#Adressen Adresslänge
Lebensdauer
Router Adresse 1
Präferenz 1
Router Adresse 2
Präferenz 2
31
...
Typ = 16
Länge = 6 + 4 * #COAs
Typ
Länge
Sequenznummer
R: Registrierung erforderlich
Lebensdauer d. Registr. R B H F M G r T reserviert
B: beschäftigt, keine weiteren
COA 1
Registrierungen
COA 2
H: Heimatagent
F: Fremdagent
...
M: Minimale Kapselung
G: GRE-Kapselung
r: =0, ignoriert (früher: Van Jacobson-Kompression)
T: FA unterstützt Rücktunnel (reverse tunneling)
reserviert: =0, ignoriert
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.10
Registrierung
MN
FA
HA
MN
HA
t
t
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.11
Mobile IP Registrierungsanforderung
0
7 8
Typ = 1
15 16
23 24
S B DMG r T x
Lebensdauer
Heimatadresse
Heimatagent
COA
31
Identifizierung
Erweiterungen . . .
S: simultane Bindungen
B: Broadcast-Datagramme
D: Entkapselung beim MN
M: mininale Kapselung
G: GRE-Kapselung
r: =0, ignoriert
T: Rücktunnel angefordert
x: =0, ignoriert
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.12
Mobile IP Registrierungsantwort
0
7 8
Typ = 3
15 16
31
Code
Lebensdauer
Heimatadresse
Heimatagent
Identifizierung
Beispielcodes:
Erweiterungen . . .
erfolgreiche Registrierung
0 Registrierung akzeptiert
1 Registrierung akzeptiert, aber simultane Mobilitätsbindungen nicht unterstützt
Registrierung durch FA abgelehnt
65 administrativ verboten
66 unzureichende Ressourcen
67 Mobilrechner konnte nicht authentifiziert werden
68 Heimatagent konnte nicht authentifiziert werden
69 angeforderte Lebensdauer zu lang
Registrierung durch HA abgelehnt
129 administrativ verboten
131 Mobilrechner konnte nicht authentifiziert werden
133 nicht übereinstimmende Registrierungskennung
135 zu viele simultane Mobilitätsbindungen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.13
Kapselung
originaler IP-Kopf originale Nutzdaten
neuer IP-Kopf
äußerer Kopf
neue Nutzdaten
innerer Kopf
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
originale Nutzdaten
MC SS05
8.14
Kapselung I
Einkapseln eines Paketes in ein anderes als Nutzlast

z.B. IPv6 in IPv4 (6Bone), Multicast in Unicast (Mbone)
 hier z.B. IP-in-IP-Kapselung, minimale Kapselung oder GRE (Generic Routing
Encapsulation)
IP-in-IP-Kapselung (verpflichtend im Standard, RFC 2003)

Tunnel zwischen HA und COA
Ver.
IHL
TOS
Gesamtlänge
IP-Identifikation
Flags
Fragment Offset
TTL
IP-in-IP
IP-Prüfsumme
IP-Adresse des HAs
Care-of Adresse COA
Ver.
IHL
TOS
Gesamtlänge
IP-Identifikation
Flags
Fragment Offset
TTL
Schicht 4-Protokoll
IP-Prüfsumme
Originale Sender IP-Adresse des CNs
IP-Adresse des MNs
TCP/UDP/ ... Nutzlast
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.15
Kapselung II
Minimale Kapselung (optional)

vermeidet die Wiederholung gleicher Felder
 z.B. TTL, IHL, Version, TOS
 kann nur bei unfragmentierten Paketen eingesetzt werden, da nun kein
Platz mehr für eine Fragmentkennung vorgesehen ist
Ver.
IHL
TOS
IP-Identifikation
TTL
Gesamtlänge
Flags
Min. Encap.
Fragment Offset
IP-Prüfsumme
IP-Adresse des HAs
Care-of Adresse COA
Schicht-4-Protokoll S
reserviert
IP-Prüfsumme
IP-Adresse des MNs
Originale Sender IP-Adresse (falls S=1)
TCP/UDP/ ... Nutzlast
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.16
Generic Routing Encapsulation
äußerer Kopf
RFC 1701
IHL
DS(TOS)
Länge
IP-Identifikation
Flags
Fragment offset
TTL
GRE
IP-Prüfsumme
IP-Adresse des HAs
Care-of Adresse COA
C R K S s Rec.
Rsv.
Ver.
Protokoll
Prüfsumme (optional)
Offset (optional)
Schlüssel (optional)
Sequenznummer (optional)
Routing (optional)
Ver.
IHL
TOS
Länge
IP-Identifikation
Flags
Fragment offset
TTL
Schicht-4-Protok.
IP-Prüfsumme
IP-Adresse des CNs
IP-Adresse des MNs
GRE
Kopf
neuer Kopf
originaler
Kopf
originale Daten
originaler
Kopf
originale Daten
neue Daten
Ver.
RFC 2784
C
reserved0
ver.
checksum (optional)
protocol
reserved1 (=0)
TCP/UDP/ ... Nutzlast
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.17
Optimierung des Datenpfades
Triangular Routing

Sender sendet alle Pakete via HA zum MN
 unnötige Verzögerung und Netzlast
Lösungsansätze

Lernen des aktuellen Aufenthaltsorts von MN durch einen Sender
 direktes Tunneln zu diesem Ort
 HA kann einen Sender über den Ort von MN benachrichtigen
 große Sicherheitsprobleme
Wechsel des FA
Pakete „im Flug“ während des Wechsels gehen verloren
 zur Vermeidung kann der neue FA den alten FA benachrichtigen, der alte
FA kann nun die noch ankommenden Pakete an den neuen FA weiterleiten
 diese Benachrichtigung hilft evtl. dem alten FA auch, Ressourcen für den
MN wieder freizugeben

Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.18
Wechsel des Foreign Agent
Sender
HA
Data
Update
FAalt
FAneu
Data
MN
Data
ACK
Data
Data
Update
ACK
Data
Ortswechsel
des MNs
Registration
Data
Data
Warning
Request
Update
ACK
Data
Data
t
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.19
Reverse Tunneling (alt: RFC 2344, neu: RFC 3024)
HA
MN
2
Internet
Heimatnetz
Sender
1
FA
Fremdnetz
CN
3
Empfänger
1. MN sendet an FA (kann gekapselt sein)
2. FA tunnelt Paket an HA
durch Kapselung
3. HA leitet das Paket normal an
Empfänger weiter
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.20
Eigenschaften von Mobile IP mit Reverse Tunneling
Router akzeptieren oft nur „topologisch korrekte“ Adressen

ein durch den FA gekapseltes Paket des MN ist nun topologisch korrekt
 weiterhin Multicast und TTL-Problematik nun gelöst (TTL im Heimatnetz
richtig, nun aber u.U. zu weit vom Ziel)
Reverse Tunneling löst nicht

Problematik der firewalls, hier könnte dann der umgekehrte Tunnel zur
Umgehung der Schutzmechanismen missbraucht werden (tunnel hijacking)
 Optimierung der Wege, d.h. Pakete werden normalerweise über den
Tunnel zum HA geleitet, falls Tunneln nicht ausgeschaltet ist (u.U.
doppeltes Triangular-Routing)
Der Standard ist rückwärtskompatibel

Erweiterungen können einfach integriert werden und kooperieren mit
Implementierungen ohne die Erweiterung
 Im Agent Advertisement kann Wunsch nach Reverse Tunneling angegeben
werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.21
Mobile IP und IPv6
Mobile IP für IPv4 entwickelt, IPv6 erleichtert aber vieles





Sicherheit ist integriert und nicht aufgesetzt, Authentifizierung aller
Aktionen wurde von vornherein bedacht
COA kann über Autokonfiguration erhalten werden (DHCPv6 wäre ein
mögliches Protokoll hierfür)
FA wird nicht mehr benötigt, da nun alle Router das sog. Router
Advertisement beherrschen, dieses kann nun an Stelle des speziellen
Agent Advertisement eingesetzt werden; Adressen sind immer co-located
MN kann automatisch Sender über COA benachrichtigen, senden via HA
entfällt dann (automatische Wegoptimierung)
„sanfte“ Wechsel, d.h. ohne Paketverluste, zwischen verschiedenen
Subnetzen werden unterstützt

MN sendet dazu seinem vorherigen Router die neue COA
 der alte Router kapselt nun automatisch alle noch eingehenden Pakete für MN
und leitet sie zur neuen COA weiter
 die Authentizität bleibt dabei stets gewährleistet
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.22
Einige Probleme mit Mobile IP
Sicherheit

Authentifizierung mit FA problematisch, da u.U. nicht unter eigener
Kontrolle (fremde Organisation)
 kein Protokoll für die Schlüsselverwaltung und -verteilung im Internet
standardisiert
 Patent- und Exportproblematik
Firewalls

verhindern typischerweise den Einsatz von Mobile IP, spezielle
Konfigurationen sind nötig (z.B. reverse tunneling)
QoS

häufige erneute Reservierungen im Fall von RSVP
 Tunneln verhindert das Erkennen eines gesondert zu behandelten
Datenstroms
Sicherheit, Firewalls, QoS etc. sind aktueller Gegenstand vieler Arbeiten
und Diskussionen!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.23
Sicherheit in Mobile IP
Sicherheitsanforderungen
(Security Architecture for the Internet Protocol, RFC 1825)






Integrität (Integrity)
Daten können auf dem Weg vom Sender zum Empfänger nicht verändert
werden, ohne dass der Empfänger es bemerkt
Authentizität (Authentication)
Absender = Sender und empfangene = gesendete Daten
Vertraulichkeit (Confidentiality)
Nur Sender und Empfänger können die Daten lesen
Nicht-Zurückweisbarkeit (Non-Repudiation)
Sender von Daten kann nicht abstreiten, diese gesendet zu haben
Verkehrsflussanalyse (Traffic Analysis)
Erstellung von Bewegungsprofilen sollte nicht möglich sein
Rückspielsicherung (Replay Protection)
Abgefangene gültige Registrierung, die erneut gesendet wird, wird als
ungültig erkannt
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.24
Sicherheitsarchitektur bei IP


Zwischen zwei oder mehreren kommunizierenden Partnern muss die
Verwendung von Sicherheitsmechanismen abgestimmt werden. Alle
Partner müssen die gleichen Verfahren und Parameter verwenden
(Security Association).
Für die Sicherung von IP-Nachrichten werden zwei Header definiert:

Authentication-Header

Sichert die Integrität und die Authentizität von IP-Datagrammen
 Bei Verwendung von asymmetrischen Verschlüsselungsverfahren wird auch die
Nicht-Zurückweisbarkeit erfüllt
IP-Header

Authentification-Header
Authentication-Header
UDP/TCP-Paket
UDP/TCP-Packet
Encapsulation Security Payload

Schützt die Vertraulichkeit zwischen zwei Kommunikationspartnern
unverschlüsselter Teil
IP-Header
verschlüsselter Teil
ESP-Header
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
verschlüsselte Daten
MC SS05
8.25
Sicherheitsarchitektur bei Mobile IP


Für die Sicherung von Registrierungen wurde eine „Mobile
Security Association“ definiert, in der die Vereinbarungen
zwischen dem mobilen Knoten, dem Heimatagenten und dem
Fremdagenten getroffen werden.
Erweiterungen der IP-Sicherheitsarchitektur

Authentication-Erweiterung der Registrierung
MH-FA-Auth.
FA-HA-Auth.
MH-HA-Authentication
Registration Request
MH

Registration Reply
Registration Request
FA
Registration Reply
HA
Verhindern des wiederholten Rücksendens von Registrierungen

Zeitstempel: 32 bit Zeitstempel + 32 bit Zufallszahl
 Einmalwerte („nonces“):
32 bit Zufallszahl (MH) + 32 bit Zufallszahl (HA)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.26
Schlüsselvergabe durch den Heimatagenten
Der Heimatagent dient als „Schlüsselverteilzentrale“
FA
HA



MH
Antwort:
EHA-FA {Sitzungsschlüssel}
EHA-MH {Sitzungsschlüssel}
Fremdagent unterhält Security Association mit Heimatagent
Mobiler Knoten registriert eine neue Bindung mit dem Heimatagenten
Heimatagent antwortet mit neuem Sitzungsschlüssel für Fremdagent
und mobilem Knoten
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.27
IP-Mikromobilitätsunterstützung
Mikromobilitätsunterstützung:

Effizienter, lokaler handover innerhalb eines Fremdnetzes
ohne Involvierung des Heimatagenten
 Reduzierung des Steuerverkehrs im Backbone
 Speziell benötigt im Fall einer Routenoptimierung
Beispielansätze:

Cellular IP
 HAWAII
 Hierarchical Mobile IP (HMIP)
Wichtige Kriterien:
Sicherheit, Effizienz, Skalierbarkeit, Transparenz, Verwaltbarkeit
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.28
Cellular IP
Funktion:
„CIP-Knoten“ verwalten RoutingEinträge (soft state) für MNs
 Mehrfache Einträge möglich
 Routing-Einträge aktualisiert
basierend auf Paketen gesendet
vom MN

CIP-Gateway:

Mobile IP-Tunnelendpunkt
 Initiale Verarbeitung der
Registrierung
Internet
Mobile IP
CIP-Gateway
Daten-/Steuerpakete
von MN 1
Sicherheit:
Alle CIP-Knoten teilen
„Netzschlüssel“
 MN-Schlüssel:
MD5(Netzschlüssel, IP-Adresse)
 MN bekommt Schlüssel bei
Registrierung
BS
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05

MN1
BS
BS
MN2
8.29
Pakete von
MN2 zu MN 1
Cellular IP: Sicherheit
Vorteile:

Initiale Registrierung umfasst Authentifizierung der MNs
und wird zentral vom CIP-Gateway abgearbeitet
 Alle Steuermeldungen des MNs werden authentifiziert
 Schutz vor Wiedereinspielung (Zeitstempel)
Potentielle Probleme:





MNs können direkt die Routing-Einträge beeinflussen
Netzschlüssel vielen Komponenten bekannt
(Risiko der Kompromittierung groß)
Keine Mechanismen für erneute Schlüsselvergabe
Keine Wahl des Algorithmus (immer MD5, prefix+suffix Modus)
Proprietäre Mechanismen (nicht z.B. IPSec AH)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.30
Cellular IP: weitere Punkte
Vorteile:

einfache und elegante Architektur

weitgehend selbst konfigurierend (nur wenig Verwaltung nötig)

Integration in Firewalls / private Adressen können unterstützt werden
Mögliche Probleme:

nicht transparent für MNs (zusätzliche Steuernachrichten notwendig)

Public-key-Verschlüsselung von MN-Schlüsseln evtl. problematisch bei
ressourcenschwachen MNs

Mehrwegeweiterleitung von Daten kann zur ineffizienten
Bandbreitennutzung führen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.31
HAWAII
Funktion:

MN erhält co-located COA 1
und registriert mit HA 2
 Handover: MN behält COA,
neue BS antwortet Reg.-Anfrage 3
und aktualisiert Router 4
 MN sieht BS als Fremdagent an
Internet
HA
Backbone
Router
Crossover
Router
Sicherheit:

MN-FA-Authentifizierung verpflichtend
 Challenge/Response-Erweiterungen
verpflichtend
4
BS
BS
Mobile IP
3
MN
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
2
Mobile IP
BS
MN
8.32
DHCP
Server
1
DHCP
HAWAII: Sicherheit
Vorteile:

Gegenseitige Authentifizierung und C/R-Erweiterungen verpflichtend
 Nur Infrastrukturkomponenten können Routing-Einträge verändern
Mögliche Probleme:

Co-located COA wirft zusammen mit DHCP Sicherheitsfragen auf
(DHCP hat keine starke Authentifizierung)
 Dezentralisierte sicherheitskritische Funktionen in Basisstationen
(Verarbeitung der Mobile IP-Registrierung während eines handover)
 Authentifizierung von HAWAII-Protokollnachrichten nicht spezifiziert
(potenzielle Angreifer: stationäre Knoten im Fremdnetz)
 MN-Authentifizierung erfordert PKI- oder AAA-Infrastruktur
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.33
HAWAII: weitere Merkmale
Vorteile:

Weitgehend transparent für MNs
(MN sends/receives standard Mobile IP messages)

Explizite Unterstützung für dynamisch zugewiesene Heimatadressen
Mögliche Probleme:

Mischung von co-located COA- und FA-Konzepten kann evtl. nicht von
allen MN-Implementierungen unterstützt werden

Unterstützung privater Adressen auf Grund der co-located COA nicht
möglich
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.34
Hierarchical Mobile IPv6 (HMIPv6)
Funktion:

Netz enthält einen mobility anchor point
(MAP)


Abbildung von regionaler COA (RCOA) auf link
COA (LCOA)
Bei einem handover informiert ein MN nur den
MAP


Internet
HA
RCOA
MAP
bekommt neue LCOA, behält RCOA
Der HA wird nur dann kontaktiert, wenn sich
binding
der MAP ändert
update
AR
LCOAnew LCOAold
Sicherheit:

keine HMIP-spezifischen
Sicherheitsmerkmale
 binding updates sollten authentifiziert werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
AR
MC SS05
MN
MN
8.35
Hierarchical Mobile IP: Sicherheit
Vorteile:

Lokale COAs können verborgen bleiben, was zumindest einen gewissen
Grad an Privatheit hinsichtlich des Aufenthaltsorts bietet

Direkte Datenweiterleitung zwischen CNs am gleichen Subnetz ist möglich
(könnte jedoch relativ gefährlich hinsichtlich der Sicherheit sein)
Mögliche Probleme:

Dezentralisierte sicherheitskritische Funktionen
(handover Verarbeitung) in mobility anchor points

MNs können (müssen!) direkt die Routing-Einträge mit Hilfe von binding
updates verändern (Authentifizierung notwendig)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.36
Hierarchical Mobile IP: weitere Merkmale
Vorteile:

Handover benötigt nur eine minimale Anzahl an Änderungen in RoutingTabellen

Integration in Firewalls und die Unterstützung von privaten Adressen sind
möglich
Mögliche Probleme:

Nicht transparent für MNs

Handover-Effizienz in drahtlosen, mobilen Szenarien:

Komplexe MN-Operationen

Alle Routing-Rekonfigurationsnachrichten werden über die drahtlose
Verbindung geschickt
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.37
DHCP: Dynamic Host Configuration Protocol
Anwendung

Vereinfachung der Installation und Verwaltung von vernetzten Rechnern
 liefert Rechnern notwendige Informationen über IP-Adresse, DNS-ServerAdresse, Domain-Namen, Subnetz-Masken, Router etc.
 damit weitgehend automatische Integration eines Rechners in das Internet
bzw. Intranet
Client/Server-Modell

ein Client sendet via MAC-Broadcast eine Anfrage an einen DHCP-Server
(unter Umständen über ein DHCP-Relay)
DHCPDISCOVER
DHCPDISCOVER
Server
Client
Client
Relay
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.38
DHCP - Protokollmechanismen
Client
Initialisierung
Server
(nicht ausgewählt)
Bestimmung der
Konfiguration
Server
(ausgewählt)
DHCPDISCOVER
DHCPDISCOVER
DHCPOFFER
DHCPOFFER
Bestimmung der
Konfiguration
Sammeln der Antworten
Auswahl der Konfiguration
DHCPREQUEST
(reject)
DHCPREQUEST
(Optionen)
Bestätigung der
Konfiguration
DHCPACK
Initialisierung komplett
Geregelter Abbau
DHCPRELEASE
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
Löschen des
Kontexts
8.39
DHCP Charakteristika
Server

mehrere Server können konfiguriert werden, Koordination z.Zt. noch nicht
standardisiert (d.h. manuelles Aufsetzen)
Erneuerung der Konfiguration

IP-Adressen müssen regelmäßig erneut angefordert werden, dafür existiert
ein vereinfachtes Verfahren
Optionen

verfügbar für Router, Netzmaske, NTP (Network Time Protocol)Timeserver, SLP (Service Location Protocol)-Verzeichnis,
DNS (Domain Name System)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.40
Ad hoc-Netzwerke
Mobile IP braucht eine Infrastruktur

Home Agent/Foreign Agent im Festnetz
 DNS, Routing etc. nicht für Mobilität ausgelegt
Oft keine Infrastruktur vorhanden

abgelegene Gegenden, spontane Treffen, Katastrophen
 auch Kosten können gegen eine Infrastruktur sprechen!
Hauptproblem: Wegwahl

keine Standard-Router vorhanden
 potentiell muss jeder Knoten weiterleiten können
A
B
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
C
MC SS05
8.41
Lösung: Drahtlose Ad-hoc-Netze
Netze ohne Infastruktur

Nutzung von Endgeräten der Netzteilnehmer für die Vernetzung
Beispiele

Single-hop: Alle Partner sind maximal
eine Funkstrecke voneinander entfernt


Bluetooth Pikonetze, PDAs in einem Raum,
Spielkonsolen…
Multi-hop: Überbrückung größerer Distanzen,
Umgehung von Hindernissen

Bluetooth Scatternet, TETRA-Polizeifunk,
Auto-zu-Auto-Netze…
Internet: MANET (Mobile Ad-hoc Networking) Gruppe
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.42
Manet: Mobile Ad-hoc Networking
Mobile
Router
Manet
Mobile
Endgeräte
Mobile IP,
DHCP
Festnetz
Router
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
Endgerät
MC SS05
8.43
Schwierigkeit Nummer 1: Wegewahl
Außerordentlich dynamische Netztopologie

Gerätemobilität plus Änderung des Kanals
 Auseinanderbrechen und Verschmelzen von Netzen möglich
 Asymmetrische Verbindungen
N7
N6
N7
N1
N1
N2
N3
N4
N3
N2
N4
N5
Zeit = t1
N5
Zeit = t2
gute Verbindung
schlechte Verbindung
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.44
N6
Traditionelle Routing-Algorithmen
Distance Vector

periodischer Austausch mit den physikalischen Nachbarn wer über welche
Distanz erreicht werden kann
 Auswahl des kürzesten Pfades bei Wegalternativen
Link State

periodische Benachrichtigung aller Router über den Zustand aller
physikalischen Verbindungen
 Router erhalten also ein „vollständiges“ Bild des Netzes
Beispiel

ARPA Packet Radio Network (1973), Einsatz von DV-Routing
 alle 7,5s Austausch der Routing-Tabelle mit Verbindungsqualität
 Aktualisierung der Tabellen auch durch Empfang von Paketen
 Routing-Probleme wurden versucht mit begrenztem Fluten zu lösen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.45
Wegewahl in Ad-hoc-Netzen
DIE große Frage bisheriger Forschungsarbeiten

Es existieren weit über 50 verschiedene Verfahren
 Am einfachsten: Fluten!
Grund

Klassische Verfahren aus dem Festnetzbereich versagen


Zu langsame Konvergenz, zu großer Overhead
Hohe Dynamik, geringe Bandbreite, geringe Rechenleistung
Metriken für eine Wegewahl

Minimale


Anzahl Knoten, Datenverluste, Verzögerung, Stausituationen, Interferenzen, …
Maximale

Stabilität der Verbindungsstruktur, Batterielaufzeit der Knoten, Zeit des
Zusammenhalts der Knoten, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.46
Hauptprobleme traditioneller Routing-Algorithmen
Dynamik der Topologie

häufige Änderung der Verbindungen, Teilnehmer, Verbindungsqualitäten
systeminhärent
Begrenzte Leistung der mobilen Geräte

periodische Aktualisierungen der Routing-Tabellen benötigt viel Energie
ohne Nutzdaten zu senden, Ruhemodus unmöglich
 ohnehin begrenzte Bandbreite der Geräte zusätzlich durch Austausch der
Routing-Information geschmälert
 Verbindungen können asymmetrisch sein, d.h. richtungsabhängige
Übertragungsqualitäten besitzen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.47
DSDV (Destination Sequenced Distance Vector)
Frühe Arbeit

anforderungsgesteuerte Version: AODV
Erweiterung des Distance Vector Routing
Sequenznummer für jede Routenaktualisierung

Sicherstellung, dass Aktualisierungen in der richtigen Reihenfolge
ausgeführt werden
 vermeidet dadurch Schleifen und Inkonsistenzen
Dämpfung der Änderungen

Speichern der Zeitdauer zwischen erster und bester Ankündigung eines
Weges
 Zurückhalten einer Aktualisierung, wenn sie vermutlich nicht stabil ist
(basierend auf der gespeicherten Zeit)
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.48
Dynamic Source Routing I
Trennung der Routing-Aufgabe in Auffinden und Aufrechterhalten
Auffinden eines Weges

nur wenn wirklich ein Weg zum Senden von Daten zu einem bestimmten
Ziel benötigt wird und noch keiner vorhanden ist
Aufrechterhaltung eines Weges

nur während ein Weg aktuell benutzt wird, muss dafür gesorgt werden,
dass er weiterhin funktioniert
Keine periodischen Aktualisierungen notwendig!
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.49
Dynamic Source Routing II
Auffinden eines Weges

Aussenden eines Broadcast-Pakets mit Zieladresse und Kennung
 bei Empfang eines Broadcast-Pakets

falls Empfänger, dann Rücksendung an Absender
 falls Paket bereits früher erhalten (Kennung), verwerfen
 sonst eigene Adresse anhängen und als Broadcast weiterleiten

Sender erhält Paket mit aktuellem Weg (Adressliste) zurück
Optimierungen
Begrenzung durch maximale „Ausdehnung“ des mobilen Netzes (falls
bekannt)
 Caching von Weginformationen mit Hilfe von vorbeikommenden Paketen


kann dann für eigene oder fremde Wegwahl ausgenutzt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.50
DSR: Auffinden eines Weges
Senden von C nach O
P
C
B
R
Q
G
I
E
M
K
A
O
H
L
D
F
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
N
J
MC SS05
8.51
DSR: Auffinden eines Weges
Rundruf
P
R
[O,C,4711]
C
B
Q
G
[O,C,4711]
I
E
M
K
A
O
H
L
D
F
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
N
J
MC SS05
8.52
DSR: Auffinden eines Weges
P
R
[O,C/G,4711]
C
G
[O,C/B,4711]
B
[O,C/G,4711]
Q
I
E
M
K
A
O
[O,C/E,4711] H
L
D
F
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
N
J
MC SS05
8.53
DSR: Auffinden eines Weges
P
C
B
R
Q
G
[O,C/G/I,4711]
I
E
M
K
A
H
[O,C/B/A,4711]
O
[O,C/E/H,4711]
L
D
F
N
J
[O,C/B/D,4711]
(alternativ: [O,C/E/D,4711])
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.54
DSR: Auffinden eines Weges
P
C
B
R
Q
G
[O,C/G/I/K,4711]
I
E
M
K
A
O
H
L
D
F
N
J
[O,C/E/H/J,4711]
[O,C/B/D/F,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.55
DSR: Auffinden eines Weges
P
C
B
R
Q
G
[O,C/G/I/K/M,4711]
I
E
M
K
A
O
H
L
D
F
N
J
[O,C/E/H/J/L,4711]
(alternativ: [O,C/G/I/K/L,4711])
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.56
DSR: Auffinden eines Weges
P
C
B
R
Q
G
I
E
M
K
A
O
H
L
D
F
N
J
[O,C/E/H/J/L/N,4711]
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.57
DSR: Auffinden eines Weges
P
C
B
R
Q
G
Weg: M, K, I, G
I
E
M
K
A
O
H
L
D
F
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
N
J
MC SS05
8.58
Dynamic Source Routing III
Aufrechterhaltung eines Weges

nach dem Senden

Warten auf die Quittung auf Schicht 2 (falls vorhanden)
 Mithören im Medium, ob Paket weitergeleitet wird (falls möglich)
 Anforderung einer expliziten Bestätigung

falls Probleme erkannt werden kann der Sender informiert oder lokal ein
neuer Weg gesucht werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.59
Interferenz-basiertes Routing
Wegwahlentscheidung basiert auf Annahmen über Interferenzen
N1
N2
E1
S1
N3
N4
S2
Nachbarn
(d.h. in Funkreichweite)
N5
N7
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
N6
E2
N9
N8
MC SS05
8.60
Beispiele für Interferenz-basiertes Routing
Least Interference Routing (LIR)

Bestimmung der Kosten eines Weges basierend auf der Anzahl von
Empfängern, die eine Sendung hören könnten
Max-Min Residual Capacity Routing (MMRCR)

Bestimmung der Kosten eines Weges basierend auf einer
Wahrscheinlichkeitsfunktion von erfolgreichen Übertragungen und
Interferenzen
Least Resistance Routing (LRR)

Bestimmung der Kosten eines Weges basierend auf Interferenz,
zusammengesetzt aus Informationen über Störung, Jamming und anderen
Übertragungen
LIR relativ einfach zu implementieren, da nur Informationen über die
direkten Nachbarn benötigt werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.61
Die Vielfalt von Ad hoc Routing-Protokollen
Flach


proaktiv
 FSLS – Fuzzy Sighted Link State
 FSR – Fisheye State Routing
 OLSR – Optimised Link State Routing Protocol
 TBRPF – Topology Broadcast Based on Reverse Path Forwarding
reaktiv
 AODV – Ad hoc On demand Distance Vector
 DSR – Dynamic Source Routing
Hierarchisch




CGSR – Clusterhead-Gateway Switch Routing
HSR – Hierarchical State Routing
LANMAR – Landmark Ad Hoc Routing
ZRP – Zone Routing Protocol
Unterstützt durch geographische Ortsangaben




DREAM – Distance Routing Effect Algorithm for Mobility
GeoCast – Geographic Addressing and Routing
GPSR – Greedy Perimeter Stateless Routing
LAR – Location-Aided Routing
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.62
Weitere Schwierigkeiten und Forschungsgebiete
Autokonfiguration

Zuweisung von Adresse, Funktion, Profil, Programm, …
Diensteerkennung

Auffinden von Diensten, Dienstanbietern
Multicast

Ansprechen einer Gruppe von Empfängern
Dienstgüte

Aufrechterhaltung einer Übertragungsqualität
Leistungssteuerung

Minimierung von Interferenz, Energiesparmaßnahmen
Sicherheit

Datenintegrität, Schutz vor Attacken (z.B. Denial of Service)
Skalierbarkeit

10 Knoten? 100 Knoten? 1000 Knoten? 10000 Knoten?
Integration mit Festnetzen
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.63
Clustering von ad-hoc-Netzwerken
Basisstation
Internet
Gruppenzugang
Gruppe
Supergruppe
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.64
Weiterentwicklung: Drahtlose Sensornetze (WSN)
Gemeinsamkeiten mit MANETs

Selbstorganisierend, multi-hop
 Typ. drahtlos, sollten energieeffizient sein
Unterschiede zu MANETs





Beispiel:
Anwendungen: MANET umfassender, genereller
www.scatterweb.net
 WSNs spezifischer
Geräte: MANET leistungsfähiger, höhere Datenraten, mehr Ressourcen
 WSN eher begrenzt, eingebettet, interagierend mit Umgebung
Anzahl: MANET eher klein (einige Dutzend Geräte)
 WSN kann sehr groß sein (tausende Geräte)
Idee: im MANET ist EInzelknoten wichtig, adressorientiert
 im WSN ist das Netz wichtig, einzelne Knoten eher vernachlässigbar,
datenzentriert
Mobilitätsmuster, Dienstgüte, Energie, Kosten, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.65
Ein typisches drahtloses Sensornetz
Integration von Sensorknoten (SN) und Gateways (GW)
SN
SN
GW
SN
Bluetooth
GW
SN
SN
SN
SN
SN
SN
SN
GW
GW
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
SN
SN
MC SS05
8.66
Beispiel: ScatterWeb-Sensorknoten
Sensorknoten

Sensoren

Helligkeit, Geräusche, Gase,
Vibration, Bewegung, Druck, …

Mikrophon/Lautsprecher, Kamera,
IR Sender/Empfänger, Display, Präzise Uhr
 Kommunikation über 868 MHz Transceiver


Reichweiten bis zu 2 km LOS, 500 m Gebäude
Software
Embedded Sensor Board

Einfache Programmierung in C
 Optional: Betriebssysteme TinyOS, Contiki …
 Optional: TCP/IP, web server …
 Routing, management, flashing …
Weitere Information:
www.scatterweb.net
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
Modular Sensor Board
MC SS05
8.67
Beispiel: ScatterWeb-Gateways
USB

Einfache Integration in die PC-World
 Ermöglicht eine Programmierung
über die Luft (Punkt-zu-Punkt oder
als Rundruf, auch zuverlässiger Multi-hop)
Ethernet





RJ45 Adapter für 10/100 Mbit/s
Power-over-Ethernet (802.3af)
Standard Internet-Protokolle (IP, TCP, HTTP, HTTPS, ARP, DHCP)
Integrierter Webserver mit Applets zur Steuerung des Sensornetzes
Sicherer Zugang zum Sensornetze von einem
beliebigen Browser im Internet
All-in-one

WLAN, Ethernet, Bluetooth,
GPS, GSM/GPRS, USB, seriell …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.68
Sensornetze: Herausforderungen/Forschungsgebiete
Langlebige, autonome Netze

Nutzung von Umgebungsenergie
 „Integrieren und vergessen“
 Selbstheilend
Selbstkonfigurierende Netze

Wegewahl
 Datenaggregation
 Lokalisierung
Verwaltung drahtloser Sensornetze

Werkzeuge für Zugriff und Programmierung
 Verteilung von Aktualisierungen
Skalierbarkeit, Dienstgüte, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.69
Wegewahl in Sensornetzen unterscheidet sich…
Keine IP-Adressen, sondern einfache, lokal gültige Kennungen
Beispiel: Directed Diffusion

Interest Messages

Interesse an Sensordaten: Attribut/Wert-Paar (z.B. Temperatur > 25°C)
 Gradient: Speichern der Richtung, aus der Interesse bekundet wurde

Data Messages

Rücksenden der Daten in Richtung der Gradienten
 Zähler (hop count) garantiert kürzesten Pfad
Sink
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.70
Energiebewusste Wegewahl
Nur Sensorknoten mit ausreichend Energie leiten Daten für andere
Knoten weiter
Beispiel: Weiterleitung über solargetriebene Knoten kann als kostenlos
bzgl. der Energie betrachtet werden
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.71
Sonnenbewusste Wegewahl
Solarbetriebene Knoten

Senden Aktualisierungen bzgl. ihres Status an die Nachbarn


Entweder proaktiv oder beim Mithören vorbeikommenden Verkehrs
Veranlassen damit Nachbarknoten Pakete über sie umzuleiten
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.72
Beispiel: Software zur Steuerung eines Sensornetzes
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.73
Drahtlose Sensornetze heute
Eine erste Generation ist verfügbar

Diverse Sensorknoten und Gateways
 Auch spezielle Sensoren: Kameras, Körpertemperatur…
 Grundlegende Software

Routing, Energiesparmaßnahmen, Verwaltung
Diverse Prototypen für unterschiedliche Anwendungen

Umgebungsüberwachung, Industrieautomatisierung, Tierüberwachung …
Neue Möglichkeiten der Überwachung, noch viel Forschung nötig

Sensornetze sind vergleichsweise günstig und flexibel
 Auch Überwachung und Schutz von Gütern


Chemikalien, Lebensmittel, Fahrzeuge, Maschinen, Containern …
Viele Anwendungen auch außerhalb dem Militärischen

Strafverfolgung, Katastropheneinsatz, Industrie,
Privatbereiche, …
Prof. Dr.-Ing. Jochen Schiller, http://www.jochenschiller.de/
MC SS05
8.74
Herunterladen