28/03/031 La mobilité des utilisateurs et IPv6 6WIND [email protected].
Transcript of 28/03/031 La mobilité des utilisateurs et IPv6 6WIND [email protected].
28/03/03 1
La mobilité des utilisateurs La mobilité des utilisateurs et IPv6et IPv6
6WIND
28/03/03 2
Les différents besoins Les différents besoins de mobilitéde mobilité
• Mobilité d’utilisateurs Pas de conservation des sessions lors du mouvement
Roadwarrior (Utilisateurs itinérants dans des réseaux fixes)
Conservation des sessions lors du mouvement Sans fils (L2) L3 : Sans fils avec changement de domaine (infrastructure fixe) Ad-hoc (infrastructure très mobile)
• Mobilité de réseaux (Nemo)
Besoins très différents, solutions différentes
28/03/03 3
Roadwarrior - NomadismeRoadwarrior - Nomadisme
• Besoin :Un utilisateur d’ordinateur portable se déplace et
souhaite utiliser facilement sa machine où qu’il soit. Il n’est pas nécessaire de conserver les sessions
existantes lors du déplacement.
=> C’est plus un problème de configuration automatique des terminaux
28/03/03 4
Road Warrior: Internet AccessRoad Warrior: Internet AccessCorrespondent Host
Mobile Host
Home Network
ForeignNetwork
DNS
28/03/03 5
Road Warrior: Intranet AccessRoad Warrior: Intranet Access
Correspondent Host
Mobile Host
ForeignNetwork
Home Network
C
Mobile Host
Secured tunnel
Keep the Home address
Virtualy at Home
28/03/03 6
Solutions de niveau 2Solutions de niveau 2• Quand la partie du réseau dans laquelle on se déplace
est homogène et de taille « limitée », une solution de niveau 2 est plus efficace.
• Exemples: GPRS / UMTS, Solutions radios professionnelles, à la limite 802.11…
• Contre-exemple: PDA passant d’une couverture 802.11 à GPRS
Hétérogénéité des technos L2, Inter-domaine au niveau administratif
28/03/03 7
Solutions de niveau 3Solutions de niveau 3
• IP utile lorsque: différentes technologies L2 sont utilisées, le réseau met en jeu différentes entités administratives.
• Solutions pour conserver les sessions : MIPv4MIPv6
28/03/03 8
Mobile IP version 4Mobile IP version 4Correspondent Host
MobileHost
Home Agent
1) Agent Discovery,find a global care-of- address
2) Registration•notify home agent
3) Tunneling•forward packets from the home network to the foreign network
28/03/03 9
MIPv4: Problèmes liés aux AdressesMIPv4: Problèmes liés aux Adresses
• La Home Address DOIT être une adresse publique
• La Care of Address DEVRAIT être une adresse publique :La signalisation MIPv4 NE traverse PAS les NAT, et
recquiert des ALG spécifiques (non déployées).La traversée des NAT par les tunnels directs au dessus
d’IP n’est pas encore résolue (pas de standard).
28/03/03 10
Mobile IP version 6 (MIPv6)Mobile IP version 6 (MIPv6)
• Deux types de réseaux : Home Network Foreign Network
• Trois acteurs : Mobile Node (MN) Home Agent (HA) Correspondant (CN)
• Le Mobile a deux types d’adresses : Home Address : permanente pendant ses déplacements (H@) Care of Address : liée au réseau visité (Co@)
28/03/03 11
MIPv6: basicsMIPv6: basicsHA
C
Home @, Co@
Home @, Co@
Home network
Foreign network
Communication
Binding Update and ACKs in Mobility Options
IP in IP Tunnel
Source routing with Care-of-Address
28/03/03 12
Sécurisation MIPv6 (1)Sécurisation MIPv6 (1)
• Les Binding Update DOIVENT être authentifiés
• Defini à l’ IETFSi on dispose d’une PKI ou d’un secret partagé IPsec
Cas usuel : Mobile Home AgentUn draft décrit les details IPSec (SPD, SAD, …)
Sinon utiliser une authentification faible, Technique dite de “Return Routability” Définie dans le draft #18
28/03/03 13
Shared Key
Sécurisation MIPv6 (2)Sécurisation MIPv6 (2)
HA
C
Care-of Test Init (CoTI ) From Co@ to CN@Includes CoT cookie
Home Test Init (HoTI ) From H@ to CN@Includes HoT cookie
Care-of Test (CoT ) From CN@ to Co@Includes CoT cookie
Home Test (HoTI) From H@ to CN@Includes HoT cookie
Secured Tunnel
Shared Key
Authenticated BU / ACK
28/03/03 14
Sécurisation MIPv6 (3)Sécurisation MIPv6 (3)
• Pour usurper un Binding Update, il est nécessaire de :Découvrir le secret partagé.
Interception du traffic entre le MN et le CNInterception du traffic entre le HA et le CN
Envoyer la fausse BUUsurpation de la Home Address
Ces conditions sont considerées comme ‘raisonnablement’ difficiles à remplir
28/03/03 15
Mobile IPv4 and IPv6Mobile IPv4 and IPv6
• Mobile IPv6 est intrinséquement plus efficace que mobile IPv4 Pas de triangulationDispose de l’adressage v6 PAS de NAT
• IPv6 retenu pour l’UMTS• Problèmes de securité:
Résolus
28/03/03 16
Quelques optimisations associées Quelques optimisations associées (1)(1)
• Coopération entre les points d’accès
Fast HandoverPréparation de l’auto-configurationDAD
Transfert de ‘contexte’Contrôle d’accèsTravaux du groupe Seamoby
28/03/03 17
Quelques optimisations associées Quelques optimisations associées (2)(2)
• Hierarchical MIPv6
MAP
C
BU, H@ RCo@Local BU, LCo@ RCo@
RCo@ = Regional Co@
LCo@ = on-link Co@