Host Identity Protocol : Uma Proposta de Mobilidade IP

Transcrição

1 Host Identity Protocol : Uma Proposta de Mobilidade IP Luciano Eduardo Caciato Faculdade de Engenharia Elétrica e Computação Universidade Estadual de Campinas UNICAMP Pós Graduação em Interconexão de Redes de Computadores luciano@unicamp.br RESUMO Com o avanço da tecnologia e a grande demanda por mobilidade proporcionada pelo barateamento dos equipamentos de rede sem fio e a necessidade cada vez maior das pessoas estarem sempre conectadas à Internet não somente em seu trabalho mas em qualquer local em que estejam, tornase necessário que sejam investidos em novas tecnologias que resolvam esta nova tendência do mercado. O protocolo consolidado para a Internet é o TCP/IP, porém em sua concepção não foi prevista a mobilidade já que o projeto original se baseia em uma identificação única do host que está conectado em uma determinada rede, dentro de uma hierarquia. Com a mobilidade esta identificação deve ser possível em qualquer local onde estiver o host e garantir que esta comunicação seja confiável e segura. Neste artigo abordaremos o protocolo HI (HIP 1 ) na Internet, onde sua proposta é justamente de garantir a identificação do host em qualquer local, com confiabilidade e segurança. Palavras-chave HIP, HI, HIT, TCP/IP, Mobilidade sem fio e segurança. INTRODUÇÃO Atualmente, a Internet é utilizada por uma grande quantidade de usuários ao redor do mundo e desempenha um papel essencial na vida das pessoas e organizações. De fato, para cerca de 800 milhões de pessoas, seria impensável hoje se privar de aplicações como correio eletrônico, navegação da Web, sistemas 1 Host Identify Protocol (protocolo de identificação do Host) de mensagens instantâneas, aplicações de compartilhamento de arquivos, acesso a bancos, compras on-line, jogos em rede e até mesmo telefonia (VoIP). No entanto, essa grande dependência da rede nos faz hoje reféns da sua própria tecnologia, ou seja, grandes transformações não são possíveis em nome da preservação de investimentos e continuidade dos serviços. Antes de atingir esta amplitude e influência na vida das pessoas, a Internet nasceu pequena, projetada por acadêmicos para ser uma rede em que a mudança constante era a sua principal característica. A rede era uma fonte de experiências para transcender os limites do conhecimento sobre a capacidade dos seres humanos de utilizar os computadores para melhorar a comunicação entre si. Por este motivo, ela precisava ser flexível e se reinventar constantemente. Desde que a Internet foi criada, em 1969, várias transformações ocorreram. A mais drástica foi à introdução dos protocolos TCP/IP, que só se concretizou após cerca de 15 anos de sua existência. É interessante ressaltar também que a Web e o protocolo HTTP, praticamente sinônimos de Internet, somente foram introduzidos na década de 1990, portanto quando a Internet já estava na sua maioridade. Além disso, a Internet atual está funcionando há mais de 30 anos e está continuamente recebendo novas missões e ajustes necessários para uma nova categoria de serviços avançados e novas tecnologias de rede. A importância da Internet, o ritmo acelerado do desenvolvimento de novas tecnologias e a preservação dos investimentos e manutenção da estabilidade da rede, gera hoje uma situação de dualidade quanto à sua evolução. Por um lado, a rede está em constante evolução para atender novas demandas. Essas modificações, entretanto, não são profundas e faz da atual arquitetura da Internet uma 1

2 colcha de retalhos. Por outro lado, grandes transformações são limitadas. ENTENDENDO O PROBLEMA A Internet atual está continuamente recebendo novas missões e ajustes necessários para uma nova categoria de serviços avançados e novas tecnologias de rede. Portanto, novos desafios exigem mudanças e grandes desafios freqüentemente exigem grandes mudanças. Os usuários têm gerado demandas que impulsionam a Internet se tornar cada vez mais ubíqua, móvel e sem fio. Certamente na sua concepção original, mobilidade não era um requisito relevante, mas que hoje deve ser incorporada de maneira natural a sua arquitetura. Para isto acontecer devem ser criadas novas adaptações que permita essa mobilidade. Na Internet atualmente existem dois name space utilizados: o IP Address e Domain Names. O IP Address são utilizados para identificar a interface de rede do host e o vetor de direção do roteamento. Existem três problemas com o atual name space pois não gerenciam o readdressing dinamicamente, não fornece um anonimato consistente de maneira confiável e não fornece uma autenticação para os sistemas e datagramas. Desta forma, torna-se necessária uma tecnologia que garanta a autenticação de forma segura, anônima e que faça o readdressing do host na sua mobilidade. CONCEITOS Antes de falarmos sobre o HIP é importante lembramos alguns conceitos de mobilidade, multihoming e do TCP/IP, desta forma poderemos identificar as vantagens do protocolo HI. Defini-se mobilidade por uma entidade movendo-se mas mantendo as ligações ativas, sendo que a topologia e o endereço IP mudam conforme se movem. O multihoming consiste na técnica que permite aumentar a confiabilidade da ligação à Internet. Existem dois tipos de multihoming: o host multihoming e o site multihoming. Denomina-se host multihoming, quando um host possui mais do que um endereço IP público visível a nível global. Estes endereços podem ou não pertencer a diferentes ISPs 2. Um host multihoming pode possuir somente uma interface ou várias (vários endereços numa única interface ou um por interface). O site multihoming é quando este possui mais que uma ligação à Internet através de um ou mais ISPs distintos, conforme figura 1. Figura 1: Site com Multihoming O TCP/IP é baseado num modelo de referência de quatro camadas. Todos os protocolos pertencentes ao conjunto de protocolos TCP/IP estão localizados nas três camadas superiores deste modelo. A figura 2 a seguir mostra cada camada do modelo TCP/IP corresponde a uma ou mais camadas do modelo de referência OSI (Open Systems Interconnection) de sete camadas propostas pela ISO (International Standards Organization). Figura 2: Modelo TCP/IP 2 ISP: Internet Service Provider 2

3 O PROTOCOLO HI (HIP) HIP Host Identity Protocol (protocolo de identificação do host) tem a função de separar a ligação existente entre o nível de transporte e o nível de rede. Assim, propõe a criação de um host name space entre ambas as camadas. Desta forma, os sockets 3 deixam de ligar-se ao endereço IP, para se ligarem aos identificadores do host, este por sua vez encontra-se dinamicamente ligados ao endereço IP. requerem um HIP adicional, desde que a identidade pode ser implícita no índice do parâmetro de segurança (SPI) carregado dentro dos pacotes IPsec protegidos. A identidade do host para um host conhecido pode ser obtida como parte do processo de resolução do nome. COMO FUNCIONA O HIP A idéia fundamental é atribuir (estaticamente) um nome global para qualquer estação que utiliza o IP, fazendo este nome ser criptografado (chave pública). Esta identidade do host pode ser usada para autenticar transações. Uma camada do protocolo HIP é interposta efetivamente entre o IP e a camada de transporte, permitindo o desacoplamento de conexões de transporte de endereços IP e de todos os pacotes que carregam uma representação de identidade do host, implicitamente ou explicitamente. A identidade do host pode ser armazenada em uma DNS ou em uma infra-estrutura de chave pública (PKI 4 ) ou pode ser anônima, na qual pode ser utilizada para prevenir invasões de conexão. O HIP requer um handshake 5 inicial de quatro pacotes para iniciar a conexão, embora os datagramas possam ser criptografados e adicionados após os dois primeiros pacotes. Neste aspecto, ele opera como uma versão mais simples do protocolo da troca da chave de Internet (IKE - Internet Key Exchange). Quando usado com IPsec 6, os pacotes subseqüentes não 3 Socket em um computador é definido como a combinação de um endereço IP, um protocolo, e o número da porta do protocolo. 4 PKI: public key infrastructure: Uma infra-estrutura que suporta assinaturas digitais e outros serviços de segurança ativados por chave. 5 Handshake: Método de sinalização usado entre um computador e uma interface de rede, para indicar a disponibilidade de envio e recebimento de dados. 6 IPSec: é baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar informações de maneira segura, usando IPSec, devem concordar com um conjunto comum de regras e definições do IPSec. Com o uso do IPSec e das tecnologias associadas, os dois computadores são capazes de se autenticar mutuamente e manter uma comunicação segura, com dados Figura 3: Funcionamento do HIP Pela figura 3, quando um host muda seu endereço durante uma conexão no HIP, ele pode emitir um pacote de Readdress do HIP para qualquer par correspondente HIPenabled. O pacote de Readdress do HIP contém o número de seqüência do atual ESP 7 e o SPI para fornecer proteção ao denial-of-service (ataque de negação) e a proteção replay, sendo autenticado com uma assinatura HIP. A mobilidade do host pode ser assegurada através das atualizações seguras do DNS, apenas na mobilidade fim-a-fim, mas na proposta do HIP sugere uma otimização na forma de um pequeno suporte de infra-estrutura chamado de rendezvous server. O registro do DNS do servidor grava o endereço de um servidor rendezvous. Os usuários móveis emitirão um pacote de Readdress do HIP ao servidor rendezvous para mantê-lo atualizado com o atual endereço (que remove desse modo as atualizações do DNS na transação). A função de um servidor rendezvous é enviar simplesmente o pacote inicial do HIP a posição atual do servidor, em seguida o handshake prossegue com os endereços atuais. Note que este servidor rendezvous proposto se assemelha a um agente home do IP móvel. criptografados, mesmo usando um meio não seguro, como a Internet. 7 ESP: Encapsulating Security Payload - encapsulamento seguro do payload ou conteúdo dos dados 3

4 ARQUITETURA DO HIP O HIP introduz uma nova criptografia do name space para a identificação do host (HI) adicionando uma camada de identificação entre a camada de rede e a camada transporte da pilha TCP/IP. A modificação da pilha do IP é descrita na figura 4. Na arquitetura atual, cada processo é identificado por um ID (PID). O processo pode estabelecer conexões da camada de transporte para outros host (ou para o próprio host) e a conexão da camada de transporte é identificada usando os endereços IP da origem, do destino e a porta. Na camada IP, o IP Address é usado como uma identificação endpoint e na camada MAC é usado o endereço de hardware. No HIP a camada de transporte é modificada a conexão usando a identificação de origem e destino HIs obtendo a origem, o destino e a porta de destino. O HIP providencia a ligação entre os HIs e o IP Addresses usando a DNS. anônimo é fornecer privacidade e proteção para os hosts, caso não queira utilizar os HIs públicos. O HI nunca é usado diretamente na Internet. É armazenado em um repositório e passado ao HIP. O protocolo usado é o HIT (Host Identity Tag) de 128 bits, o qual é o hash 8 do HI. Uma outra representação do HI é o Local Scope Identity (LSI), o qual tem um tamanho de 32 bits, mas é local ao host. A sua finalidade principal é manter a compatibilidade com a API do IPv4. As principais vantagens de usar o HIT em vez do HI é que seu tamanho é fixo e a codificação do protocolo é mais fácil e não acarreta um overhead do pacote, ao contrário das chaves públicas. Apresenta também um formato consistente para o protocolo e de qualquer maneira da tecnologia subjacente da identidade usada. A função do HIT bem como o SPI 9 faz em IPSec, em vez de instanciar 32 bits de forma arbitrária para garantir a segurança para o datagrama, ele verifica a chave pública de identificação que pode validar a autenticação do pacote. A probabilidade de colisão de pacotes é pequena. Entretanto deve haver duas chaves públicas para um HIT. O HIT é uma sugestão de chave pública correta. A arquitetura do HIP resolve basicamente os problemas de readdressing dinâmicos, o anonimato e a autenticação. Com o IP Address esta função de identificação do endpoint, o problema da mobilidade torna-se trivial, como o nó pode facilmente mudar suas ligações do HIP e do IP Address enquanto se movem. O anonimato é fornecido temporariamente e anônimo nos HIs. Além disso, o name space é baseado em criptografia possibilitando a autenticação no HIs. PROBLEMAS COM SEGURANÇA Figura 4: A pilha atual IP e o HIP baseado na pilha O HI é tipicamente uma chave pública criptografada, ao qual retira a identificação do endpoint para o nó (node). Cada host terá menos um HI assinado para este kernel ou pilha. O HI pode ser público ou anônimo. O HI publico pode armazenar no diretório da DNS, ordenando para permitir que o host seja contatado por outros hosts. Um host pode ter diversos HIs, e isto pode ser gerado temporariamente durante a execução do estabelecimento de conexões com outros hosts. A principal finalidade do HIs Um dos maiores desafios é com relação a segurança na mobilidade. O grande desafio é conjugar novos requisitos com as limitações da arquitetura da Internet atual, onde se tem mostrado difícil a solução e caminhando para a necessidade de que seja redesenhada a pilha do protocolo TCP/IP. 8 Um hash é uma seqüencia de letras ou números geradas por um algorítmo de hashing. 9 SPI: Security Parameter Index, são identificadores de uma SA (Security Association) - Associações de Segurança 4

5 Os problemas de segurança derivam-se da necessidade de atribuir vários IPs ao mesmo host e o desejo de os usar de forma intercambiável. Neste cenário existem dois problemas de segurança básico, que são os ataques de : Roubo de endereço (address stealing); Inundação de endereço (address flooding) No item roubo de endereços, os atacantes reivindicam a posse de um endereço que está a ser usado por outro host, conforme a figura 5. O objetivo é lançar um ataque que pode ser de vários tipos: Masquerade (mudar os IPs de origem e / ou de destino); Main the middle; Figura 6: Falha na verificação da conectividade para o novo endereço Estes problemas podem ser minimizados com o HIP, pois uma das soluções é criar uma infraestrutura de chaves públicas. Lembrando que no HIP é adicionado na pilha TCP/IP uma camada para incluir o HI (Identificação do host), cada dispositivo tem um HI (embora possam ser temporários), os sockets deixam de estar associados ao IP, os HIs são chaves públicas e não requerem uma PKI explícita. CONCLUSÃO Figura 5: Falha de segurança na validação da atualização da localização No item Inundação de endereço, um atacante informa um grupo de hosts que está disponível no endereço da vítima. O grupo de hosts inocentes inunda a vítima com o tráfego, podendo causar um ataque do tipo Denial of Service (DoS 10 ),conforme figura DoS ou Negação de serviço: é a atividade maliciosa onde o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à Internet. Como vimos neste artigo temos diversos problemas com a Internet atual para suportar novas tecnologias. Cada vez mais adaptações são necessárias tornando sem dúvida uma concha de retalhos e que pode num futuro próximo chegar ao caos. Dentre os principais problemas percebemos que as pesquisas para a adaptação do protocolo TCP/IP para utilizar a mobilidade é, e está sendo muito trabalhosa justamente pelo motivo que este protocolo não suporta as novas necessidades. O HIP é uma proposta interessante e que poderá atender essas necessidades, sendo criado uma nova camada entre o IP e o Transporte (TCP) do protocolo TCP/IP e identificando o host que está sempre em movimento e é necessário a execução do Readdress dinâmico de sua nova localização, utilizando o HI ( Host Identity ) e o HIT (Host Identity Tag) e outras necessidades específicas não abordadas neste artigo, e com a ajuda do servidor rendezvous 5

6 que identifica onde está o servidor de localização. O HIP também possui uma boa segurança em seu protocolo, seu projeto pode prevenir problemas de ataque do tipo roubo de endereço e inundação de endereço, porém não atende a todos os requisitos de segurança. Além do HIP existem outras pesquisas que caminham para atender os requisitos da mobilidade como o HI 3 (Host Identity Indirection Infrastructure) e I 3 (secure-i3), que trata justamente da segurança. REFERÊNCIAS BIBLIOGRÁFICAS Ylitalo J., Nikander P., Artigo: A new Name Space for End-Points: Implementing secure Mobility and Multihoming across the two versions of IP, Nikander P, Arkko J., Ohlman B., Artigo: Host Identity Indirection Infrastructure (Hi3), Gurtov A., Joseph A. D., Artigo: Friends or Rivals: Insights from Integrating HIP and i3, Internet Engineering Task Force, Host Identity Protocol. Disponível em: < Acesso em: 13 de Jul Albertoni, F. X., SP, Laboratório Didático para o ensino de mobilidade IPv6, 2005, Disponível em: < >. Acesso em: 13 de Jul Proceedings of the Linux Symposium, Canadá, An Implementation of HIP for Linux, 2003, Disponível em: < ngs/all-reprints/reprint-candolin-ols2003.pdf>. Acesso em: 13 de Jul Frade, M. Leiria, Protocolos de segurança em ambientes móveis, 2006, Disponível em: < sentacoes/crsc2006_protocolosdeseguran%c3%a 7aNaMobilidade.pdf>. Acesso em: 13 de Jul