TLT-2600 Verkkotekniikan jatkokurssi



Samankaltaiset tiedostot
Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Luennon runko. TLT-2600 Verkkotekniikan jatkokurssi. DNS: nimestä osoitteeksi. DNS: nimestä osoitteeksi (2)

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

TIETOLIIKENNEVERKKOJEN OPISKELU TTY:llä

Security server v6 installation requirements

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Introduction to exterior routing

Security server v6 installation requirements

OSI ja Protokollapino

Introduction to exterior routing

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Kuva maailmasta Pakettiverkot (Luento 1)

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Linux palomuurina (iptables) sekä squid-proxy

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Protokollien yleiset toiminnot

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Introduction to exterior routing

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Verkkoliikennettä Java[ssa lla] Jouni Smed

Järjestelmäarkkitehtuuri (TK081702)

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Salausmenetelmät (ei käsitellä tällä kurssilla)

SuomiCom-sähköpostiasetukset Microsoft Outlook 2016

The necessary product key can be found in the hand out given to you.

Tikon Ostolaskujenkäsittely versio SP1

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

SALITE.fi -Verkon pääkäyttäjän ohje

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa:

LoCCaM Riistakamerasovellus. Dimag Ky dimag.fi

Käyttöjärjestelmät: prosessit

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

TEHTÄVÄ 3: * Tehtävä 1, ** Tehtävä 2

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

WL54AP2. Langattoman verkon laajennusohje WDS

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

Web Service torilla tavataan!

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja:

3. IP-kerroksen muita protokollia ja

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

7.4 Variability management

Tiedonsiirto- ja rajapintastandardit

IPv6 - Ominaisuudet ja käyttöönotto

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

IP asetus -harjoitus Tietojenkäsittelyn koulutusohjelma

Directory Information Tree

TELEWELL TW-EA200 MODEEMIN ASENTAMINEN SILLATTUUN SAUNALAHDEN ADSL-LIITTYMÄÄN KÄYTTÄEN USB-VÄYLÄÄ

Antti Vähälummukka 2010

Nomis asiakaspäivät Nomis HelpDesk 2.0 demo

Hammastankohissin modernisointi. Heikki Laitasalmi

Visma Nova Webservice Versio 1.1 /

Tekijä Pitkä matematiikka Pisteen (x, y) etäisyys pisteestä (0, 2) on ( x 0) Pisteen (x, y) etäisyys x-akselista, eli suorasta y = 0 on y.

3. Kuljetuskerros 3.1. Kuljetuspalvelu End- to- end

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

SQL Server 2008 asennus

1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2

kynnysarvo (threshold)

kynnysarvo (threshold) varoitusarvo = tästä lähtien syytä varoa ruuhkaa aluksi 64 K RTT

Järjestelmäintegrointi osana sovellusten rakentamista

kynnysarvo (threshold)

Kytkimet, reitittimet, palomuurit

Android ohjelmointi. Mobiiliohjelmointi 2-3T5245

IPv6 &lanne Ciscon tuo2eissa

Retiisi Reaaliaikaiset Internet- palvelut ja SIP

Siemens Webserver OZW672

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Yhdysliikennejärjestelyt suomessa sekä tekniikan kuvaus

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Reititys 3. Multihoming, liikkuvuudenhallinta ja vielä vähän muutakin reitityksestä. luvut 18 ja verkkolähteet

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Foscam kameran asennus ilman kytkintä/reititintä

Sovellusarkkitehtuurit

812336A C++ -kielen perusteet,

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

Tietoliikenne II (2 ov)

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Introduction to exterior routing. Autonomous Systems

Pika-aloitusopas. Langaton IP-kamera. Tekninen tuki QG4_B

1 NETIKKA PUHENETTI -PALVELUIDEN KÄYTTÖÖNOTTO-OHJE Palvelut Käyttö Yleisimmät ongelmat Yhteystietoja...

Transkriptio:

TLT-2600 Verkkotekniikan jatkokurssi NAT ja NAT traversal Heikki Vatiainen <hessu@cs.tut.fi> TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 1 Network Address Translator NAT lyhyesti RF 1631 The IP Network Address Translator (NAT), toukokuu 1994, 10 sivua Uusi versio RF 3022 Traditional IP Network Address Translator (Traditional NAT), tammikuu 2001, 16 sivua RF 1631 määritteli osoitemuunnoksen (NAT) RF 3022 laajentaa muunnoksen koskemaan myös TP- ja UDPportteja: Network Address Port Translation (NAPT) RF 3022: Pelkästään osoitemuunnoksen tekevä NAT on Basic NAT Ongelmia Se miten NAPT tehdään ei ole tarkasti määritelty P2P-käyttö, esimerkiksi VOIP, on lisännyt painetta saada NATtien takana olevat laitteet toimimaan keskenään (NAT Traversal) TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 2

STUN 1/2 RF 3489 STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs), 47 sivua, maaliskuu 2003 Työn alla päivitys: draft-ietf-behave-rfc3489bis-02.txt Simple Traversal of UDP Through Network Address Translators (NAT) (STUN), 46 s. Menetelmä julkisen IP:n (ja portin) selvittämiseen Osoite- ja porttitietoa voidaan käyttää yhteyksien rakentamiseen suoraan NAT:ien välillä Ongelmia STUN ei ole käyttöjärjestelmän palvelu: jokainen sovellus sisältää STUN-toteutuksen Selvittelyn tulokset eivät aina ole varmoja TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 3 STUN 2/2 STUN jakaa NAT-toteutukset neljään eri luokkaan RF 3489 sisältää menetelmän NAT-toteutuksen luokan selvittämiseen Päivitys poistaa luokittelumenetelmän: syy NAT-toteutusten erilaisuus NAT voi vaihtaa toimintatapaansa esimerkiksi liikenteen perusteella STUN on tarkoitettu vain UDP:lle TP:lle on kehitetty myöhemmin muita menetelmiä (esim. STUNT) TP NAT Traversal on vaikeampi: NAT toteuttaa TP:n tilakoneen TP:lle ja UDP:lle on kehitteillä TURN draft-rosenberg-midcom-turn-08.txt Traversal Using Relay NAT (TURN), 40 sivua TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 4

10.1.1.2 A one NAT 130.230.52.42 130.230.52.43 NAT :100 :101 10.1.1.1 / 130.230.52.99 one NAT eli suppilo-nat Harmaa lähde-ip ja portti kuvataan aina samaan julkiseen IP:hen ja porttiin. Sopivasti katsoen paluuliikenne tulee suppilosta sisään. Tutkimusten mukaan tällä hetkellä yleisin NAT-tyyppi kotikäytössä STUNTin (viimeisellä sivulla) tekijöiden kokeilut http://midcom-p2p.sourceforge.net/ TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 5 B :202 10.1.1.2 A Restricted one NAT 130.230.52.42 130.230.52.43 NAT :100 :101 10.1.1.1 / 130.230.52.99 Restricted one NAT eli rajattu suppilo-nat Harmaa lähde-ip ja portti kuvataan aina samaan julkiseen IP:hen ja porttiin. Lisäksi kohde-ip:istä pidetään kirjaa. NAT ei hyväksy liikennettä kohteeseen muilta kuin B:ltä ja :ltä B 130.230.52.42 130.230.52.43 :202 TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 6

10.1.1.2 A Port Restricted one NAT 130.230.52.42 130.230.52.43 NAT :100 :101 10.1.1.1 / 130.230.52.99 Port Restricted one NAT eli porttirajattu suppilo-nat Kuten edellinen, mutta myös kohdeportista pidetään kirjaa. NAT ei hyväksy liikennettä kohteeseen muilta kuin B:ltä ja :ltä ja ainoastaan niistä porteista joihin A on jo liikennöinyt B :202 TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 7 10.1.1.2 A Symmetric NAT 130.230.52.42 130.230.52.43 130.230.52.99:1001 NAT :100 :101 10.1.1.1 / 130.230.52.99 130.230.52.99:1001 130.230.52.99:2002 Symmetric NAT eli symmetrinen NAT NAT muodostaa kuvauksen lähde- ja kohde-porttien ja osoitteiden perusteella NAT ei hyväksy liikennettä lähteeseen muilta kuin B:ltä ja :ltä ja ainoastaan niistä porteista joihin A on jo liikennöinyt B :202 130.230.52.99:2002 TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 8

NAT-tyyppien vertailua Suora liikennöinti suppilo-nattien välillä on mahdollista Julkinen kuvaus NATin harmaalla puolella olevalle päätepisteelle (IPosoite:portti) on aina sama riippumatta julkisen puolen päätepisteestä Kolmas osapuoli voi kertoa vastapuolille sopivat osoite- ja porttiparit kahdenvälistä kommunikointia varten Pelkkä suppilo-nat ei vaadi juurikaan NATin reittämistä Rajatun ja porttirajatun suppilo-natin tapauksessa molempien puolien pitää avata reikä, eli liikennöidä toisiaan kohti Symmetrinen NAT Sopivia kahdenvälisiä osoite- ja porttipareja ei voida selvittää kolmannen osapuolen avulla TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 9 STUN-protokolla STUN-asiakas selvittää STUN-palvelimen avulla NATin tyypin, sekä julkiset kuvaukset osoite- ja porttiparille Aloitus tapahtuu sopimalla jaettu salaisuus myöhempien viestien eheystarkistusta varten Shared Secret Request, SS Response ja SS Error Response Myöhemmät viestit Binding Request, Binding Response ja Binding Error Response Viestien hyötykuorma kulkee TLV-muotoisissa attribuuteissa Yksinkertaistettu protokollan toiminta on esitetty seuraavana TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 10

STUN-protokolla W:X A1:P1 -> W:X W:X -> A1:P1 n:kpl NATteja Bind Req: HANGE_REQUEST 0:0 Y:Z -> A1:P1 A1:P1 -> Y:Z Bind Rsp: HANGED_ADDRESS A2:P2, MAPPED_ADDRESS Y:Z A1:P1 A2:P2 STUN server Oletetaan jaetun salaisuuden noutamisen jo tapahtuneen STUN-asiakas tietää nyt julkisen päätepisteensä (Y:Z) sekä STUN-palvelimen toisen julkisen osoitteen ja portin (A2:P2) Mikäli W:X ei ole Y:Z, n > 0 TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 11 STUN-protokolla W:X A2:P2 -> W:X W:X -> A1:P1 n:kpl NATteja Bind Req: HANGE_REQUEST 1:1 Y:Z -> A1:P1 A2:P2 -> Y:Z Bind Rsp: HANGED_ADDRESS A2:P2, MAPPED_ADDRESS Y:Z A1:P1 A2:P2 STUN server Mikäli n > 0, selvittää rajoittavimman NATin tyypin Mikäli vastaus saapuu, kysessä on rajoittamaton suppilo-nat (one NAT) Kuka tahansa voi lähettää A:lle liikennettä julkisen päätepisteen Y:Z kautta Mikäli vastaus ei saavu, kysessä on symmetrinen tai jollain tapaa rajoitettu suppilo-nat TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 12

STUN-protokolla W:X A2:P2 -> W:X W:X -> A2:P2 n:kpl NATteja Bind Req: HANGE_REQUEST 0:0 Y2:Z2 -> A2:P2 A2:P2 -> Y2:Z2 Bind Rsp: HANGED_ADDRESS A2:P2, MAPPED_ADDRESS Y2:Z2 A1:P1 A2:P2 STUN server Mikäli Y2 ja Z2 ovat eri kuin ensimmäisen viestinvaihdon Y ja Z, kyseessä on Symmetrinen NAT Symmetrinen NAT varaa jokaiselle kohde- ja lähde- osoite- ja porttiparille oman kuvauksensa Mikäli Y2 ja Z2 ovat samat kuin ensimmäisen kerran Y ja Z, kyseessä on jollain tapaa rajoitettu suppilo-nat :n harmaa päätepiste ei ole muuttunut, joten kyseessä on suppilo-nat TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 13 STUN-protokolla W:X A1:P2 -> W:X W:X -> A1:P1 n:kpl NATteja Bind Req: HANGE_REQUEST 0:1 Y:Z -> A1:P1 A1:P2 -> Y:Z Bind Rsp: HANGED_ADDRESS A2:P2, MAPPED_ADDRESS Y:Z A1:P1,P2 A2:P2 STUN server Mikäli vastaus saapuu perille, kyseessä on rajoitettu suppilo-nat (Restricted one NAT) on liikennöinyt osoitteeseen A1, joten kuvaus on olemassa Mikäli vastaus ei saavu perille, kyseessä on porttirajoitettu suppilo-nat (Port Restricted one NAT) Vastaus ei saavu perille, koska ei ole liikennöinyt A1:n porttiin P2 TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 14

STUN käytössä RF:n tietoturvaan liittyvät huomautukset kannattaa lukea Useat SIP-toteutukset käyttävät STUN-protokollaa Skype ja Google talk käyttävät joko STUN-protokollaa tai sen johdannaisia TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 15 NAT traversal tulevaisuudessa Useat IETF:n työryhmät määrittelevät NATin käyttöön liittyviä asioita STUN on ongelmistaan huolimatta valmis ja käytössä. Muut ovat vasta tulossa. BEHAVE määrittelee STUNin uutta versiota sekä vaatimuksia NATin toimimiseen mahdollisimman UDP-yhteensopivasti This working group proposes to generate requirements documents and best current practices to enable NATs to function in as deterministic a fashion as possible. MIDOM (mahdollinen TURN-protokolla) This working group will focus its attention on communication with firewalls and network address translators (including translation between IPv6 and IPv4). TURN ei ole vielä MIDOM-työryhmän drafti TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 16

NAT traversal tulevaisuudessa MMUSI draft-ietf-mmusic-ice-06.txt Interactive onnectivity Establishment (IE): A Methodology for Network Address Translator (NAT) Traversal for Offer/Answer Protocols, 82 sivua IE käyttää sekä STUN- että MIDOM-työryhmän TURN-protokollaa Painetta NATtien läpäisyyn on tullut viime aikoina Suuri osa työstä on statuksella Work in progress. TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 17 NAT Traversal ja TP TP-yhteydet suoraan NAT-laitteiden ylitse ovat vielä huonosti toteutettu ja ymmärretty alue NAT-laitteet toteuttavat TP:n tilakoneen UDP-yhteydet kierrätetään (garbage collect) ajastimen perusteella TP-yhteyksissä seurataan kolmitiekättelyä sekä FIN/RSTsegmenttejä Toteutuksissa on eroja TP:n kolmitiekättely aiheuttaa ongelmia SYN, SYN/AK, AK SYN/AK ei tule takaisin koska edes SYN ei pääse perille Lupaavimmat menetelmät lähettävät yhdestä suunnasta SYNsegmentin (joka ei pääse perille) ja vastakkaisesta suunnasta tämän jälkeen SYN-segmetin, joka käyttää ensimmäisen SYNin aiheuttamaan reikää. TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 18

STUNT STUNT Simple Traversal of UDP Through NATs and TP too (STUNT) http://nutss.gforge.cis.cornell.edu/stunt.php Kehittäjänä mm. Paul Francis, NAT-RF:n kirjoittaja S. Guha and P. Francis. "haracterization and Measurement of TP Traversal through NATs and Firewalls," in Proceedings of Interet Measurement onference (IM), Berkeley, A, Oct 2005. NAT-toteutusten vertailua TP:n kannalta NAT-traversal-toteutusten vertailua http://nutss.gforge.cis.cornell.edu/publications.php TLT-2600 Verkkotekniikan jatkokurssi Tietoliikennetekniikan laitos 19

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute