ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ

ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ – ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ

Β. Μάγκλαρηςmaglaris@netmode.ntua.gr

www.netmode.ntua.gr

28/01/2013

ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ(SSL/TLS - Secure Sockets Layer / Transport Layer Security)

Επανάληψη

2

• 1η Φάση: Handshaking– Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή

(Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI

– Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στονS κρυπτογραφημένο με το Δημόσιο Κλειδί του S

• 2η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί– Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U

• ΠΑΡΑΤΗΡΗΣΗ:– Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή),

μόνο ο S (Server Based Authentication)– Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server

Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή όπου υπάρχουν Client Certificates) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) Επανάληψη

3

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) Επανάληψη

• UA 1 MTA 1 (Session 1)– User Agent Message Transfer Agent– SMTP (TCP Session 1)– Δυνατότητα SSL/TLS security

• MTA 1 MTA 2 (Session 2)– SMTP (TCP Session 2)– Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail

S/W – π.χ. sendmail)• MTA 2 (Mail Server) UA 2 (Session 3)

– Πρωτόκολλα POP/IMAP (TCP Session 3)– Δυνατότητα SSL/TLS

4

ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (1)

• Επίπεδο Μεταφοράς Δεδομένων – Data Plane

– Μέσω καναλιών σταθερού εύρους: Μεταγωγή κυκλώματος - circuit switching π.χ. Τηλεφωνία PSTN Public Switched Telephone Network, ISDN Integrated Services Network (2B+D, 30B+D) 64Kbps voice B channels), Κινητή τηλεφωνία GSM

– Ημι-μόνιμα κυκλώματα cross-connects TDM, SDH/SONET & WDM

– Μέσω δυναμικής κατανομής καναλιού: Μεταγωγή πακέτου – packet switching (Internet), μεταγωγή ATM, μεταγωγή Ethernet

ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (2)• Επίπεδο Ελέγχου – Control Plane

– Σηματοδοσία κατανομής καναλιού - ελέγχου μεταγωγής – δρομολόγησης μονίμων συνδέσεων circuit switching

• Σηματοδοσία in-band signaling (π.χ. ψηφιακή τηλεφωνία) • Σηματοδοσία κοινού καναλιού, εξαρτημένη από τις γραμμές των υπό έλεγχο

καναλιών – associated common channel signaling (π.χ. GSM & πρόσβαση ISDN - D Channel)

• Σηματοδοσία κοινού καναλιού, ανεξάρτητη από την δρομολόγηση της υπό έλεγχο κλήσης (π.χ. μέσω δικτύου κοινής σηματοδοσίας – common channel signaling network – σε ψηφιακά τηλεφωνικά δίκτυα κορμού (π.χ. έλεγχος διασύνδεσης παρόχων τηλεφωνίας με πρωτόκολλο SS7)

– Σηματοδοσία ελέγχου μεταγωγής – δρομολόγησης – δέσμευσης πόρων σε συνδέσεις packet switching

• Μέσα στα διακινούμενα πακέτα (π.χ. επικεφαλίδες Ethernet, TCP/IP, MPLS & ATM cells)

• Πακέτα υλοποίησης πρωτοκόλλων DNS, ARP, δρομολόγησης μέσα σε αυτόνομο σύστημα OSPF, δρομολόγησης μεταξύ αυτονόμων συστημάτων BGP

• Σηματοδοσία για video – voice over IP: H323 (Multi-Conference Unit – MCU),

ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (3)• Επίπεδο Διαχείρισης – Management Plane

– Τηλεφωνικά δίκτυα (σταθερά & κινητά): Κλειστά διαχειριστικά συστήματα ανάλογα με τον προμηθευτή τηλεπικοινωνιακού εξοπλισμού κέντρων μεταγωγής, εξοπλισμού πολυπλεξίας SDH κλπ.

– Διαχείριση δικτύων Internet – Intranet - Extranet: SNMP (UDP)

– [Διαχείριση δικτύων OSI: CMIP/CMIS]

– Δίκτυα ενοποιημένων τηλεπικοινωνιακών υπηρεσιών: Συστήματα διαχείρισης TMN (Telecommunications Management Network) βασισμένα σε πρωτόκολλα OSI

– Διαχείριση οπτικών δικτύων DWDM: Με χρήση scripts, Java - JMX, Web Services, Q3 - TL1 - Corba…

ΟΡΙΣΜΟΙ

• Ευφυές Δίκτυο – Intelligent Network:Διαχωρισμός ευφυίας δικτύου κορμού από μεταγωγή (βάσεις δεδομένων, υπηρεσίες προστιθέμενης αξίας)– Προσαρμογή σε ανάγκες συνδρομητών– Δυνατότητα αυτοδιαχείρισης συνδρομητών– Εκμετάλλευση πολλαπλών παρόχων από συνδρομητές, βελτιστοποίηση διασύνδεσης δικτύων – Βελτιστοποίηση παροχής υπηρεσιών (π.χ. Δρομολόγηση, περιαγωγή – roaming)

ΠΑΡΑΔΕΙΓΜΑΤΑ ΥΠΗΡΕΣΙΩΝ ΕΥΦΥΟΥΣ ΔΙΚΤΥΟΥ

• Τηλεφώνημα χωρίς χρέωση (800 ΧΧΧ...)• Υπηρεσίες πληροφόρησης (900 ΧΧΧ ...)• Χρέωση με πιστωτική κάρτα• Universal Personal Telecommunications• Τηλε-ψηφοφορία• Εταιρικά Εικονικά Δίκτυα (VPN)• Φραγές, προωθήσεις, διασκέψεις, χρεώσεις καλουμένου,

Caller ID κλπ.• Δυναμική δρομολόγηση κλήσεων ελαχίστου κόστους• Φορητότα αριθμού (Number Portability)

ΙΣΤΟΡΙΚΟ Εξέλιξη τηλεφωνίας

POTS (Plain Old Telephone Service), PSTN (Public Switched Telephone Network), ISDN (Integrated Services Digital Network), GSM/GPRS (κινητή τηλεφωνία 2ας γενιάς) – SPC Stored Program Control – 1960/70– CCS Common Channel Signaling Network

• Σηματοδοσία – πριν την εγκατάσταση κλήσης (call setup)• Σηματοδοσία ξεχωριστή από την κλήση• SS7 – 1970/80

– IN/1 (Intelligent Network) – 1980/1990• Service Control Point (SCP) – εξωτερικές βάσεις δεδομένων (π.χ.

για 800-XXX…, 900-xxxx κλπ.)• ITU: IN CS-1 (Capability Set 1)• Bellcore (USA): AIN (Advanced Intelligent Network)

– 3G, UMTS κινητή τηλεφωνία 3ης γενίας– VoIP (Voice over IP), H.323 (ITU - T) or SIP (Internet – IETF)

signaling

ΑΡΧΙΤΕΚΤΟΝΙΚΗ IN (Intelligent Network)

Intelligent Network (IN) - Έννοιες

Exchange

STP SCP

SSP

Service Control Point (a network element (ΝΕ) που περιέχει κάποια ειδική υπηρεσία η οποία λέγεται database ή register)

Service Switching Point (επιτρέπει την υλοποίηση service triggering σε ένα Τ/Κ -exchange)

MAP INAP CAP

Intelligence => Πρόσβαση σε διάφορες databases =(εφαρμογές)

ISUP

Operator implements service logic (IN Service)

Τυπική κλήση με IN διαδικασία (1)

SSP

Exchange

SCP

1.

2.3.

4.

5.Exchange

1. Υποδοχή κλήσης στο (Τ/Κ) Exchange

2. Ενεργοποίηση Trigger στη κλήση Βασικού τύπου στο SSP3. SSP ζητά πληροφορία από SCP (database)

4. SCP επιστρέφει πληροφορία

5. Δρομολόγηση κλήσης στο επόμενο Τ/Κ

Τυπικά triggers: Τμήμα ή καλούμενος αριθμός Access code ή ώρα κλήσης Time (hour, day) ή Τοποθεσία (άλλος πάροχος) (mobile system)

ΦΟΡΗΤΟΤΑ ΑΡΙΘΜΟΥDN: Directory Number

STP: Signaling Transfer Point SSP: Service Switching Point (Client-ΕXC)

SCP: Service Control Point (Data Base)LNP: Local Number Portability (Φορητότητα)

Application protocols

Protocol layers (”levels”) του SS7

MTP - Message Transfer Part ( Sequenced ordered delivery)SCCP - Signalling Connection Control Part UP - User Part AP - Application Part

TUP – Telephone User PartISUP – ISDN User PartTCAP = Transaction Capabilities Application Part

CAP INAPMAP ISUP

TCAP

SCCP

TUP

MTP level 3

MTP level 2 (link-layer protocol)

MTP level 1 (64 kbit/s PCM time slot)

routing

SS7 με χρήση του SCCP

Signalling connection, not circuit switched connection (= call)

SSP STP SCP

MTP

User(AP)

User(AP)

User(AP)

User(AP)

MTP MTP

SCCP SCCPSSN analysis

User applications

SCCP (Signalling Connection Control Part)

Κλήση από PSTN σε κινητό Mobile Call

(STP)

(SCP)

PSTNPLMN

(SSP)(SSP)BSSMS

PLMN(Home)(Visitor)

(STP)

HLR

GMSC

(SSP)

VMSC

VLR

IAM

6

2

Where is the subscriber?

5Routing Info

3Provide Roaming

4

SCP

1

IAM

514 581 ...

ISUP

MAP over TCAP

Signalingover SS7

ΣΗΜΕΡΙΝH ΚΑΤΑΣΤΑΣΗ• SS7 & IN σε περιβάλλον εναλλακτικών παρόχων σταθερής και

κινητής τηλεφωνίας• Περιαγωγή (roaming), φορητότητα αριθμών, GSM 3G• ISDN Signaling VoIP SIP (Session Initiation Protocol, IETF)• IP Telephony (Real-time Transport Protocol - RTP over UPD, RTP

Control Protocol – RTCP over TCP)– Σαν υπηρεσία των ISPs ή– Σαν «ελεύθερη» υπηρεσία στο Internet, π.χ. Skype: Αρχιτεκτονική

peer-to-peer (p2p) overlay (εξέλιξη Kazaa), proprietary voice/video coding

– Σηματοδοσία: ITU Η.323 IETF SIP (TCP/UDP port 5060), διαλειτουργικότητα με SS7, μεταφορά υπηρεσιών IN σε περιβάλλον IP

– Υποστήριξη VoIP μέσω ευφυών κινητών τηλεφώνων (iPhone, Android): Viber (σύνδεση TCP τηλέφωνου με Viber servers για SIP-like signaling, TCP Port 5242 ή 4244)

• Video Conferencing σε IP– H.323 Multi-Conferencing Unit (MCU) SIP Gateway, Skype p2p– Real-Time Transport (RTP), fast video coding

• IPTV: Set-top Box σε τηλεοπτική συσκευή ή Multimedia PC– Broadcasting (HD)TV, Video on Demand, Streaming

ΔΙΕΥΘΥΝΣΕΙΣ H.323 - SIP• Η.323: Αριθμοί τύπου Ε.164 (μέγιστο 15 αριθμοί), IP,

email, URI (Universal Resource Identifier: URL – Universal Resource Locator ή/και URN Universal Resource Name) http://en.wikipedia.org/wiki/Uniform_resource_identifier– Αντιστοίχιση IP, H.323 Name (email,

maglaris@netmode.ntua.gr) με GDS (Global Dialing Scheme, π.χ. 0011892106544721) μέσω εξυπηρετητών αριθμοδότησης - Gatekeepers (π.χ. Public Gatekeeper pgk.vc.dfn.de)

• SIP: Μόνο URI και χρήση DNS– Παράδειγμα: sip:username:password@host:5860, ή TLS secure

sips:username:password@host:5061)

19

ΣΥΓΚΛΗΣΗ ΤΕΞΛΕΠΙΚΟΙΝΩΝΙΩΝ

• Υπηρεσίες Triple-Play (Internet, Voice, Video) πάνω σε ενοποιημένα δίκτυα IP

• Converging σε IP Multimedia System (IMS)

• Ανοικτό θέμα: Διασύνδεση Επιπέδων Ελέγχου σε περιβάλλον πολλαπλών διαχειριστικών περιοχών

ΑΠΟ ΤΙΣ ΠΟΛΛΕΣ ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΔΙΑΣΥΝΔΕΣΗ ΕΠΙΠΕΔΩΝ ΕΛΕΓΧΟΥ ΠΟΛΛΑΠΛΩΝ ΑΥΤΟΝΟΜΩΝ ΔΙΚΤΥΩΝ (Multi-domain Control Protocols) ΟΙ ΜΟΝΕΣ ΠΟΥ ΕΧΟΥΝ ΠΕΤΥΧΕΙ ΜΕΧΡΙ ΣΗΜΕΡΑ ΕΙΝΑΙ ΔΥΟ:

• SS7 (διεθνής τηλεφωνία)• BGP (Internet)

20

SIP: Session Initiation Protocol [RFC 3261]

Βασικά στοιχεία:• Τηλεφωνικές/video κλήσεις πάνω από την υποδομή του Internet

• Οι χρήστες ταυτίζονται μπορούν να ταυτιστούν με διευθύνσεις email ή ονόματα εκτός από τηλεφωνικούς αριθμούς

• Δυνατότητα να επικοινωνήσεις με κάποιον καλούμενο, ανεξάρτητα με την IP που έχει και με το σημείο στο οποίο βρίσκεται

21

Το υλικό που ακολουθεί είναι από:

ΥΠΗΡΕΣΙΕΣ SIP• Για την εγκαθίδρυση μιας σύνδεσης το SIP (Session Initial Protocol)

παρέχει μηχανισμούς:– Ενημέρωσης του υποδοχέα της κλήσης ότι κάποιος χρήστης θέλει να

επικοινωνήσει μαζί του– Επιλογής του επιθυμητού τύπου κωδικοποίησης του μέσου

επικοινωνίας, τόσο από τον καλών όσο και από τον καλούμενο χρήστη– Τερματισμού της κλήσης

• Για το προσδιορισμό της IP διεύθυνσης του καλούμενου:– Αντιστοιχεί ένα αναγνωριστικό στη τρέχουσα IP του καλούμενου

• Για τη σωστή διαχείριση μιας κλήσης, μπορεί να:– Προσθέσει νέα media streams κατά τη διάρκεια της κλήσης– Αλλάξει αν χρειαστεί τη κωδικοποίηση του μέσου κατά τη διάρκεια της

κλήσης– Προσκαλέσει και άλλους χρήστες στη τρέχουσα συνομιλία– Μεταβιβάσει τη κλήση ή να την κρατήσει σε αναμονή

ΠΑΡΑΔΕΙΓΜΑ SIP ΜΗΝΥΜΑΤΟΣ

• HTTP message syntax• SDP: Session Description Protocol• Το Call-ID είναι μοναδικό για κάθε

κλήση

• Στο παράδειγμα μας δε γνωρίζουμε την IP διεύθυνση του χρήστη Bob. Επομένως είναι απαραίτητη η χρήση ενδιάμεσων SIP εξυπηρετητών

• Ο χρήστης Alice αποστέλλει και λαμβάνει SIP μηνύματα χρησιμοποιώντας την default πόρτα του SIP (5060)

• Στο εν λόγω παράδειγμα ο χρήστης Alice καθορίζει μέσω της επικεφαλίδας ότι ο SIP client θα αποστέλλει και θα λαμβάνει SIP μηνύματα πάνω από UDP συνδέσεις

Δημιουργία κλήσης SIP σε γνωστή IP address

• Στo SIP invite μήνυμα της η Alice δηλώνει την IP address, το port, και το επιθυμητό encoding (PCM ulaw)

• O Bob στο “200 OK” message δηλώνει την IP address, το port και το επιθυμητό encoding (GSM)

• Η επικοινωνία στο SIP μπορεί να γίνει είτε πάνω από TCP ή UDP. Στην περίπτωση αυτή γίνεται με χρήση RTP/UTP.

• Το default port είναι το 5060

24

SIP Registrar

25

Όταν ο χρήστης Bob ενεργοποιεί τον SIP client της συσκευής του, γίνεται αποστολή μηνύματος καταχώρησης στον server που εξυπηρετεί τον συγκεκριμένο χρήστη

Απόσπασμα επικεφαλίδας μηνύματος καταχώρησης

SIP Proxy

26

• H Alice αποστέλλει “invite message” στο proxy server που την εξυπηρετεί και αφορούν τον Bob (e.g. bob@hisdomain.com)

• O proxy server είναι υπεύθυνος για την δρομολόγηση των SIP μηνυμάτων στον καλούμενο, ενδεχομένως μέσω ενδιάμεσων proxy

• Ο καλούμενος στέλνει απάντηση μέσω της ίδιας αλληλουχίας proxy servers

• O proxy server της Alice στέλνει στην Alice την IP διεύθυνση του Bob

• O proxy server της Alice είναι κάτι ανάλογο με τον τοπικό DNS server του δικτύου της

Παράδειγμα: Ο jim@umass.edu καλεί τον keith@eurecom.fr

• (1) O Jim στέλνει INVITE message στον umass SIP proxy

• (2) O SIP Proxy προωθεί το μήνυμα στον upenn SIP registrar server

• (3) O upenn server επιστρέφει redirect message για επικοινωνία με keith@eurecom.fr

• (4) O umass proxy στέλνει INVITE message στον eurocom registrar.

• (5) O eurocom registrar προωθεί το INVITE message στον SIP client του Keith

• (6-8) SIP response message στον client του Jim

• (9) Κατευθείαν επικοινωνία μεταξύ των SIP clients

27

«All IP» Services

• IP Multimedia Subsystem (IMS) — 3GPP• Multi-Media Domain (MMD) — 3GPP2

• Voice και video over IP με QoS– Καθόλου εξοπλισμός circuit-switched για

μεταγωγή τηλεφωνίας• Χρήση του SIP μεταξύ των συνδρομητών• Χρήση IMS μεταξύ παρόχων

IMS Architecture

PS

UESGSN

Internet

HSS

IMS

P-CSCF

GGSN

Application Server

SIP phone

Media Server

Gi/Mb

Mw Mg

MbMb

Gi

Mn

MGCF

TDM

IM-MGW

ISUP

Mb

Mb

CxGo

Signaling

CSCF — Call Session Control FunctionIM-MGW — IM-Media GatewayMGCF — Media Gateway Control FunctionMRF — Media Resource Function

MRF

Gm

SIP

Mp

PSTN

CPE

ISC

CSCF