Upload
idana
View
59
Download
1
Embed Size (px)
DESCRIPTION
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ – ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ . Β. Μάγκλαρης [email protected] www.netmode.ntua.gr 28 / 0 1/2013. ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ( SSL/TLS - Secure Sockets Layer / Transport Layer Security) Επανάληψη. - PowerPoint PPT Presentation
Citation preview
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ
ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ – ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ
Β. Μάγκλαρης[email protected]
www.netmode.ntua.gr
28/01/2013
ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ(SSL/TLS - Secure Sockets Layer / Transport Layer Security)
Επανάληψη
2
• 1η Φάση: Handshaking– Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή
(Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI
– Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στονS κρυπτογραφημένο με το Δημόσιο Κλειδί του S
• 2η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί– Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U
• ΠΑΡΑΤΗΡΗΣΗ:– Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή),
μόνο ο S (Server Based Authentication)– Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server
Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή όπου υπάρχουν Client Certificates) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) Επανάληψη
3
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) Επανάληψη
• UA 1 MTA 1 (Session 1)– User Agent Message Transfer Agent– SMTP (TCP Session 1)– Δυνατότητα SSL/TLS security
• MTA 1 MTA 2 (Session 2)– SMTP (TCP Session 2)– Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail
S/W – π.χ. sendmail)• MTA 2 (Mail Server) UA 2 (Session 3)
– Πρωτόκολλα POP/IMAP (TCP Session 3)– Δυνατότητα SSL/TLS
4
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (1)
• Επίπεδο Μεταφοράς Δεδομένων – Data Plane
– Μέσω καναλιών σταθερού εύρους: Μεταγωγή κυκλώματος - circuit switching π.χ. Τηλεφωνία PSTN Public Switched Telephone Network, ISDN Integrated Services Network (2B+D, 30B+D) 64Kbps voice B channels), Κινητή τηλεφωνία GSM
– Ημι-μόνιμα κυκλώματα cross-connects TDM, SDH/SONET & WDM
– Μέσω δυναμικής κατανομής καναλιού: Μεταγωγή πακέτου – packet switching (Internet), μεταγωγή ATM, μεταγωγή Ethernet
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (2)• Επίπεδο Ελέγχου – Control Plane
– Σηματοδοσία κατανομής καναλιού - ελέγχου μεταγωγής – δρομολόγησης μονίμων συνδέσεων circuit switching
• Σηματοδοσία in-band signaling (π.χ. ψηφιακή τηλεφωνία) • Σηματοδοσία κοινού καναλιού, εξαρτημένη από τις γραμμές των υπό έλεγχο
καναλιών – associated common channel signaling (π.χ. GSM & πρόσβαση ISDN - D Channel)
• Σηματοδοσία κοινού καναλιού, ανεξάρτητη από την δρομολόγηση της υπό έλεγχο κλήσης (π.χ. μέσω δικτύου κοινής σηματοδοσίας – common channel signaling network – σε ψηφιακά τηλεφωνικά δίκτυα κορμού (π.χ. έλεγχος διασύνδεσης παρόχων τηλεφωνίας με πρωτόκολλο SS7)
– Σηματοδοσία ελέγχου μεταγωγής – δρομολόγησης – δέσμευσης πόρων σε συνδέσεις packet switching
• Μέσα στα διακινούμενα πακέτα (π.χ. επικεφαλίδες Ethernet, TCP/IP, MPLS & ATM cells)
• Πακέτα υλοποίησης πρωτοκόλλων DNS, ARP, δρομολόγησης μέσα σε αυτόνομο σύστημα OSPF, δρομολόγησης μεταξύ αυτονόμων συστημάτων BGP
• Σηματοδοσία για video – voice over IP: H323 (Multi-Conference Unit – MCU),
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (3)• Επίπεδο Διαχείρισης – Management Plane
– Τηλεφωνικά δίκτυα (σταθερά & κινητά): Κλειστά διαχειριστικά συστήματα ανάλογα με τον προμηθευτή τηλεπικοινωνιακού εξοπλισμού κέντρων μεταγωγής, εξοπλισμού πολυπλεξίας SDH κλπ.
– Διαχείριση δικτύων Internet – Intranet - Extranet: SNMP (UDP)
– [Διαχείριση δικτύων OSI: CMIP/CMIS]
– Δίκτυα ενοποιημένων τηλεπικοινωνιακών υπηρεσιών: Συστήματα διαχείρισης TMN (Telecommunications Management Network) βασισμένα σε πρωτόκολλα OSI
– Διαχείριση οπτικών δικτύων DWDM: Με χρήση scripts, Java - JMX, Web Services, Q3 - TL1 - Corba…
ΟΡΙΣΜΟΙ
• Ευφυές Δίκτυο – Intelligent Network:Διαχωρισμός ευφυίας δικτύου κορμού από μεταγωγή (βάσεις δεδομένων, υπηρεσίες προστιθέμενης αξίας)– Προσαρμογή σε ανάγκες συνδρομητών– Δυνατότητα αυτοδιαχείρισης συνδρομητών– Εκμετάλλευση πολλαπλών παρόχων από συνδρομητές, βελτιστοποίηση διασύνδεσης δικτύων – Βελτιστοποίηση παροχής υπηρεσιών (π.χ. Δρομολόγηση, περιαγωγή – roaming)
ΠΑΡΑΔΕΙΓΜΑΤΑ ΥΠΗΡΕΣΙΩΝ ΕΥΦΥΟΥΣ ΔΙΚΤΥΟΥ
• Τηλεφώνημα χωρίς χρέωση (800 ΧΧΧ...)• Υπηρεσίες πληροφόρησης (900 ΧΧΧ ...)• Χρέωση με πιστωτική κάρτα• Universal Personal Telecommunications• Τηλε-ψηφοφορία• Εταιρικά Εικονικά Δίκτυα (VPN)• Φραγές, προωθήσεις, διασκέψεις, χρεώσεις καλουμένου,
Caller ID κλπ.• Δυναμική δρομολόγηση κλήσεων ελαχίστου κόστους• Φορητότα αριθμού (Number Portability)
ΙΣΤΟΡΙΚΟ Εξέλιξη τηλεφωνίας
POTS (Plain Old Telephone Service), PSTN (Public Switched Telephone Network), ISDN (Integrated Services Digital Network), GSM/GPRS (κινητή τηλεφωνία 2ας γενιάς) – SPC Stored Program Control – 1960/70– CCS Common Channel Signaling Network
• Σηματοδοσία – πριν την εγκατάσταση κλήσης (call setup)• Σηματοδοσία ξεχωριστή από την κλήση• SS7 – 1970/80
– IN/1 (Intelligent Network) – 1980/1990• Service Control Point (SCP) – εξωτερικές βάσεις δεδομένων (π.χ.
για 800-XXX…, 900-xxxx κλπ.)• ITU: IN CS-1 (Capability Set 1)• Bellcore (USA): AIN (Advanced Intelligent Network)
– 3G, UMTS κινητή τηλεφωνία 3ης γενίας– VoIP (Voice over IP), H.323 (ITU - T) or SIP (Internet – IETF)
signaling
ΑΡΧΙΤΕΚΤΟΝΙΚΗ IN (Intelligent Network)
Intelligent Network (IN) - Έννοιες
Exchange
STP SCP
SSP
Service Control Point (a network element (ΝΕ) που περιέχει κάποια ειδική υπηρεσία η οποία λέγεται database ή register)
Service Switching Point (επιτρέπει την υλοποίηση service triggering σε ένα Τ/Κ -exchange)
MAP INAP CAP
Intelligence => Πρόσβαση σε διάφορες databases =(εφαρμογές)
ISUP
Operator implements service logic (IN Service)
Τυπική κλήση με IN διαδικασία (1)
SSP
Exchange
SCP
1.
2.3.
4.
5.Exchange
1. Υποδοχή κλήσης στο (Τ/Κ) Exchange
2. Ενεργοποίηση Trigger στη κλήση Βασικού τύπου στο SSP3. SSP ζητά πληροφορία από SCP (database)
4. SCP επιστρέφει πληροφορία
5. Δρομολόγηση κλήσης στο επόμενο Τ/Κ
Τυπικά triggers: Τμήμα ή καλούμενος αριθμός Access code ή ώρα κλήσης Time (hour, day) ή Τοποθεσία (άλλος πάροχος) (mobile system)
ΦΟΡΗΤΟΤΑ ΑΡΙΘΜΟΥDN: Directory Number
STP: Signaling Transfer Point SSP: Service Switching Point (Client-ΕXC)
SCP: Service Control Point (Data Base)LNP: Local Number Portability (Φορητότητα)
Application protocols
Protocol layers (”levels”) του SS7
MTP - Message Transfer Part ( Sequenced ordered delivery)SCCP - Signalling Connection Control Part UP - User Part AP - Application Part
TUP – Telephone User PartISUP – ISDN User PartTCAP = Transaction Capabilities Application Part
CAP INAPMAP ISUP
TCAP
SCCP
TUP
MTP level 3
MTP level 2 (link-layer protocol)
MTP level 1 (64 kbit/s PCM time slot)
routing
SS7 με χρήση του SCCP
Signalling connection, not circuit switched connection (= call)
SSP STP SCP
MTP
User(AP)
User(AP)
User(AP)
User(AP)
MTP MTP
SCCP SCCPSSN analysis
User applications
SCCP (Signalling Connection Control Part)
Κλήση από PSTN σε κινητό Mobile Call
(STP)
(SCP)
PSTNPLMN
(SSP)(SSP)BSSMS
PLMN(Home)(Visitor)
(STP)
HLR
GMSC
(SSP)
VMSC
VLR
IAM
6
2
Where is the subscriber?
5Routing Info
3Provide Roaming
4
SCP
1
IAM
514 581 ...
ISUP
MAP over TCAP
Signalingover SS7
ΣΗΜΕΡΙΝH ΚΑΤΑΣΤΑΣΗ• SS7 & IN σε περιβάλλον εναλλακτικών παρόχων σταθερής και
κινητής τηλεφωνίας• Περιαγωγή (roaming), φορητότητα αριθμών, GSM 3G• ISDN Signaling VoIP SIP (Session Initiation Protocol, IETF)• IP Telephony (Real-time Transport Protocol - RTP over UPD, RTP
Control Protocol – RTCP over TCP)– Σαν υπηρεσία των ISPs ή– Σαν «ελεύθερη» υπηρεσία στο Internet, π.χ. Skype: Αρχιτεκτονική
peer-to-peer (p2p) overlay (εξέλιξη Kazaa), proprietary voice/video coding
– Σηματοδοσία: ITU Η.323 IETF SIP (TCP/UDP port 5060), διαλειτουργικότητα με SS7, μεταφορά υπηρεσιών IN σε περιβάλλον IP
– Υποστήριξη VoIP μέσω ευφυών κινητών τηλεφώνων (iPhone, Android): Viber (σύνδεση TCP τηλέφωνου με Viber servers για SIP-like signaling, TCP Port 5242 ή 4244)
• Video Conferencing σε IP– H.323 Multi-Conferencing Unit (MCU) SIP Gateway, Skype p2p– Real-Time Transport (RTP), fast video coding
• IPTV: Set-top Box σε τηλεοπτική συσκευή ή Multimedia PC– Broadcasting (HD)TV, Video on Demand, Streaming
ΔΙΕΥΘΥΝΣΕΙΣ H.323 - SIP• Η.323: Αριθμοί τύπου Ε.164 (μέγιστο 15 αριθμοί), IP,
email, URI (Universal Resource Identifier: URL – Universal Resource Locator ή/και URN Universal Resource Name) http://en.wikipedia.org/wiki/Uniform_resource_identifier– Αντιστοίχιση IP, H.323 Name (email,
[email protected]) με GDS (Global Dialing Scheme, π.χ. 0011892106544721) μέσω εξυπηρετητών αριθμοδότησης - Gatekeepers (π.χ. Public Gatekeeper pgk.vc.dfn.de)
• SIP: Μόνο URI και χρήση DNS– Παράδειγμα: sip:username:password@host:5860, ή TLS secure
sips:username:password@host:5061)
19
ΣΥΓΚΛΗΣΗ ΤΕΞΛΕΠΙΚΟΙΝΩΝΙΩΝ
• Υπηρεσίες Triple-Play (Internet, Voice, Video) πάνω σε ενοποιημένα δίκτυα IP
• Converging σε IP Multimedia System (IMS)
• Ανοικτό θέμα: Διασύνδεση Επιπέδων Ελέγχου σε περιβάλλον πολλαπλών διαχειριστικών περιοχών
ΑΠΟ ΤΙΣ ΠΟΛΛΕΣ ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΔΙΑΣΥΝΔΕΣΗ ΕΠΙΠΕΔΩΝ ΕΛΕΓΧΟΥ ΠΟΛΛΑΠΛΩΝ ΑΥΤΟΝΟΜΩΝ ΔΙΚΤΥΩΝ (Multi-domain Control Protocols) ΟΙ ΜΟΝΕΣ ΠΟΥ ΕΧΟΥΝ ΠΕΤΥΧΕΙ ΜΕΧΡΙ ΣΗΜΕΡΑ ΕΙΝΑΙ ΔΥΟ:
• SS7 (διεθνής τηλεφωνία)• BGP (Internet)
20
SIP: Session Initiation Protocol [RFC 3261]
Βασικά στοιχεία:• Τηλεφωνικές/video κλήσεις πάνω από την υποδομή του Internet
• Οι χρήστες ταυτίζονται μπορούν να ταυτιστούν με διευθύνσεις email ή ονόματα εκτός από τηλεφωνικούς αριθμούς
• Δυνατότητα να επικοινωνήσεις με κάποιον καλούμενο, ανεξάρτητα με την IP που έχει και με το σημείο στο οποίο βρίσκεται
21
Το υλικό που ακολουθεί είναι από:
ΥΠΗΡΕΣΙΕΣ SIP• Για την εγκαθίδρυση μιας σύνδεσης το SIP (Session Initial Protocol)
παρέχει μηχανισμούς:– Ενημέρωσης του υποδοχέα της κλήσης ότι κάποιος χρήστης θέλει να
επικοινωνήσει μαζί του– Επιλογής του επιθυμητού τύπου κωδικοποίησης του μέσου
επικοινωνίας, τόσο από τον καλών όσο και από τον καλούμενο χρήστη– Τερματισμού της κλήσης
• Για το προσδιορισμό της IP διεύθυνσης του καλούμενου:– Αντιστοιχεί ένα αναγνωριστικό στη τρέχουσα IP του καλούμενου
• Για τη σωστή διαχείριση μιας κλήσης, μπορεί να:– Προσθέσει νέα media streams κατά τη διάρκεια της κλήσης– Αλλάξει αν χρειαστεί τη κωδικοποίηση του μέσου κατά τη διάρκεια της
κλήσης– Προσκαλέσει και άλλους χρήστες στη τρέχουσα συνομιλία– Μεταβιβάσει τη κλήση ή να την κρατήσει σε αναμονή
ΠΑΡΑΔΕΙΓΜΑ SIP ΜΗΝΥΜΑΤΟΣ
• HTTP message syntax• SDP: Session Description Protocol• Το Call-ID είναι μοναδικό για κάθε
κλήση
• Στο παράδειγμα μας δε γνωρίζουμε την IP διεύθυνση του χρήστη Bob. Επομένως είναι απαραίτητη η χρήση ενδιάμεσων SIP εξυπηρετητών
• Ο χρήστης Alice αποστέλλει και λαμβάνει SIP μηνύματα χρησιμοποιώντας την default πόρτα του SIP (5060)
• Στο εν λόγω παράδειγμα ο χρήστης Alice καθορίζει μέσω της επικεφαλίδας ότι ο SIP client θα αποστέλλει και θα λαμβάνει SIP μηνύματα πάνω από UDP συνδέσεις
Δημιουργία κλήσης SIP σε γνωστή IP address
• Στo SIP invite μήνυμα της η Alice δηλώνει την IP address, το port, και το επιθυμητό encoding (PCM ulaw)
• O Bob στο “200 OK” message δηλώνει την IP address, το port και το επιθυμητό encoding (GSM)
• Η επικοινωνία στο SIP μπορεί να γίνει είτε πάνω από TCP ή UDP. Στην περίπτωση αυτή γίνεται με χρήση RTP/UTP.
• Το default port είναι το 5060
24
SIP Registrar
25
Όταν ο χρήστης Bob ενεργοποιεί τον SIP client της συσκευής του, γίνεται αποστολή μηνύματος καταχώρησης στον server που εξυπηρετεί τον συγκεκριμένο χρήστη
Απόσπασμα επικεφαλίδας μηνύματος καταχώρησης
SIP Proxy
26
• H Alice αποστέλλει “invite message” στο proxy server που την εξυπηρετεί και αφορούν τον Bob (e.g. [email protected])
• O proxy server είναι υπεύθυνος για την δρομολόγηση των SIP μηνυμάτων στον καλούμενο, ενδεχομένως μέσω ενδιάμεσων proxy
• Ο καλούμενος στέλνει απάντηση μέσω της ίδιας αλληλουχίας proxy servers
• O proxy server της Alice στέλνει στην Alice την IP διεύθυνση του Bob
• O proxy server της Alice είναι κάτι ανάλογο με τον τοπικό DNS server του δικτύου της
Παράδειγμα: Ο [email protected] καλεί τον [email protected]
• (1) O Jim στέλνει INVITE message στον umass SIP proxy
• (2) O SIP Proxy προωθεί το μήνυμα στον upenn SIP registrar server
• (3) O upenn server επιστρέφει redirect message για επικοινωνία με [email protected]
• (4) O umass proxy στέλνει INVITE message στον eurocom registrar.
• (5) O eurocom registrar προωθεί το INVITE message στον SIP client του Keith
• (6-8) SIP response message στον client του Jim
• (9) Κατευθείαν επικοινωνία μεταξύ των SIP clients
27
«All IP» Services
• IP Multimedia Subsystem (IMS) — 3GPP• Multi-Media Domain (MMD) — 3GPP2
• Voice και video over IP με QoS– Καθόλου εξοπλισμός circuit-switched για
μεταγωγή τηλεφωνίας• Χρήση του SIP μεταξύ των συνδρομητών• Χρήση IMS μεταξύ παρόχων
IMS Architecture
PS
UESGSN
Internet
HSS
IMS
P-CSCF
GGSN
Application Server
SIP phone
Media Server
Gi/Mb
Mw Mg
MbMb
Gi
Mn
MGCF
TDM
IM-MGW
ISUP
Mb
Mb
CxGo
Signaling
CSCF — Call Session Control FunctionIM-MGW — IM-Media GatewayMGCF — Media Gateway Control FunctionMRF — Media Resource Function
MRF
Gm
SIP
Mp
PSTN
CPE
ISC
CSCF