Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Samankaltaiset tiedostot
Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Miksi? Miten? Miten? S Televerkot yrityksissä Luento 2: Network Address Translation. Internet

Kuva maailmasta Pakettiverkot (Luento 1)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Siirtyminen IPv6 yhteyskäytäntöön

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Antti Vähälummukka 2010

OSI ja Protokollapino

TW- EAV510 / TW- EAV510 AC: OpenVPN

OpenVPN LAN to LAN - yhteys kahden laitteen välille

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

WL54AP2. Langattoman verkon laajennusohje WDS

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Internet Protocol version 6. IPv6

PPTP LAN to LAN - yhteys kahden laitteen välille

TW- LTE REITITIN: GRE- OHJEISTUS

Service Level Agreement. Service Level Agreement. IP verkkopalvelu. S Verkkopalvelujen tuotanto Luento 1: Service Level Agreement

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

S Teletekniikan perusteet

T Tietokoneverkot kertaus

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

Luennon runko. TLT-2600 Verkkotekniikan jatkokurssi. DNS: nimestä osoitteeksi. DNS: nimestä osoitteeksi (2)

TW- EAV510/TW- EAV510AC:

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

TLT-2600 Verkkotekniikan jatkokurssi

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

PPTP LAN to LAN - yhteys kahden laitteen välille

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

TW-EAV510AC-LTE OpenVPN ohjeistus

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

TW- EAV510/TW- EAV510AC: PPTP- OHJEISTUS

Yhdysliikennejärjestelyt suomessa sekä tekniikan kuvaus

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Tietoliikenne II (2 ov)

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

T Tietokoneverkot

Kytkimet, reitittimet, palomuurit

Yleinen ohjeistus Linux tehtävään

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Linux palomuurina (iptables) sekä squid-proxy

Verkkotekniikan jatkokurssi Mobile IPv

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Turvallinen etäkäyttö Aaltoyliopistossa

Introduction to exterior routing

WWW-sivu. Miten Internet toimii? World Wide Web. HTML-koodi. HTTP-istunto URL <#>

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Miten Internet toimii?

DNA LAAJAKAISTA TUOTEKUVAUS

Opinnäytetyön loppuseminaari

TVP 2003 kevätkurssi. Kertaus Otto Alhava

Liikkuvien isäntäkoneiden reititys

5. Mobile IP (RFC 3220)

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

TeleWell TW /100 Mbps laajakaistareititin palomuuri, hakkerisuoja DHCP palvelin/reititin

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

TW- EAV510/TW- EAV510AC: GRE- OHJEISTUS

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

1.1 Palomuuri suunnitelma

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Verkkoliikennettä Java[ssa lla] Jouni Smed

Projektina gradu. Miten? Missä? Milloin? Miksi?

Transkriptio:

Lic.(Tech.) Marko Luoma (1/33) Lic.(Tech.) Marko Luoma (2/33) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut Verkossa käytetään lokaaleja IP osoitteita. Osoitteita, jotka on tarkoitettu testi sekä sisäiseen käyttöön: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Sama osoiteavaruus on käytössä molemmissa verkoissa: Lokaaleja osoitteita (kaksi riippumatonta organisaatiota voi käyttää sisäisesti samoja osoitteita) Globaaleja osoitteita (toinen organisaatioista on saattanut kuulua jonkun muun operaattorin verkkoon ja kuitenkin halunnut säilyttää ko verkon osoitteet) Lic.(Tech.) Marko Luoma (3/33) Lic.(Tech.) Marko Luoma (4/33) Miten? Vaihtoehtoja Hyödynnetään havaintoa, että vain pieni osa yksittäisen nysä/tynkä alueen (stub network) laitteista kommunikoi alueen ulkopuolelle Saman aikaisesti (dynaamisuus) Yleensäkään (staattisuus) Tynkäalue voi olla mikä tahansa internet, joka on muun verkon kannalta yhdestä pisteestä liitetty Network Address Translation (NAT) Yhdyskäytävä suorittaa jokaiselle IP paketille IP otsikon osoitteen muunnoksen IP otsikon muunnos Siirto otsikon muunnos TCP pseudo otsikko Sovellustason muunnos Realm Specific IP (RSIP) Yhdyskäytävä luovuttaa päätelaitteelle julkisen osoitteen rajalliseksi ajaksi (vertaa DHCP) Informaatio tunneloidaan paikallisessa alueessa yhdyskäytävälle, joka välittää varsinaisen paketin julkiseen verkkoon Pääosa liikenteestä on paikallista > pätee suurelta osin yritysten lähiverkkoihin

Lic.(Tech.) Marko Luoma (5/33) Network Address Translation Lic.(Tech.) Marko Luoma (6/33) Network Address Translation NATin toiminta on kuvattu pääpiirteissään seuraavissa RFC:ssä: RFC2663: IP Network Address Translator (NAT) Terminology and Considerations RFC3022: Traditional IP Network Address Translator (Traditional NAT) RFC2766: Network Address Translation Protocol Translation (NAT PT) RFC2694: DNS extensions to Network Address Translators (DNS_ALG) RFC2709: Security Model with Tunnel mode IPsec for NAT Domains RFC2993: Architectural Implications of NAT RFC3235: Network Address Translator (NAT) Friendly Application Design Guidelines NATin tehtävä on muuntaa IP pakettien osoitekenttien sisältöä niiden kulkiessa kahden osoitereaalisaation välillä, joihin NAT on yhteydessä. Periaatessa: yksinkertainen Teknisesti: toimintaan liittyy useita vaiheita jotka aiheuttavat ongelmia 130.233.154.176 130.233.154.254 10/8 Src=130.233.154.254 Dst=130.233.154.176 10.38.0.16 Src=10.38.0.16 Dst=130.233.154.176 NAT tarjoaa yhdyskäytäväpalvelua kahden osoitereaalisaation välillä NAT ei ole itsessään reititin Välityspalvelulla tarkoitetaan osoitteen muunnosta muotoon, joka mahdollistaa normaalin välittämisen toisessa osoitereaalisaatiossa NAT voi kuitenkin olla integroituna reitittimen ohjelmistoon NAT voi puuttua reititysilmoituksiin tarkastamalla, että tynkäalueen muunnettavia osoitteita (verkkoja) ei mainosteta muualle tiin. NAT 10.38.0.0/24 130.233.224.0 Lic.(Tech.) Marko Luoma (7/33) 10.10.0.0/24 10/8 0.0.0.0 10.10.0.0 10.38.0.0 10.233.224.0 130.233.224.0 130.233.224.0/24 10.233.224.0/24 Staattinen NAT Niille päätelaitteille, joilla on jatkuva tarve kommunikoida muun maailman kanssa tehdään staattinen kuvaus 130.233.154.0/24 10/8 130.233.154.240 < > 10.38.0.3 130.233.154.241 < > 10.38.0.16 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > 10.38.0.110 130.233.154.244 < > 10.38.0.228 Vaihtoehdot Lic.(Tech.) Marko Luoma (8/33) Dynaaminen NAT Mikäli ei ole tietoa tarpeista tai ne ovat satunnaisia, varataan joukko osoitteita, joita NAT hyödyntää dynaamisesti B 130.233.154.240 < > 10.38.0.3 25 130.233.154.241 < > B 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > B 130.233.154.244 < > 10.38.0.228 130.233.154.245 < > 130.233.154.246 < > 10.38.0.0/24 130.233.154.247 < > 130.233.154.248 < >

Lic.(Tech.) Marko Luoma (9/33) Dynaaminen NAT toiminta Lic.(Tech.) Marko Luoma (10/33) Dynaaminen NAT toiminta Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Tilakoneella on kolme tilaa Osoitteen varaaminen Lokaalin verkon päätelaite aloittaa kommunikaation NATin kautta tai ulkoapäin halutaan kommunikoida lokaalin verkon päätelaitteelle. Globaali osoite liitetään lokaaliin osoitteeseen, jonka jälkeen kaikki yhteydet kyseisestä lokaalista osoitteesta saavat NATissa kyseisen globaalin osoitteen. Osoitteen haku ja muunnos Kyseiseltä lokaalin verkon päätelaitteelta on tullut paketteja jo aiemmin ja sille on tehty jo osoitteen liittäminen Suoritetaan tarvittavat muunnokset ja aktivoidaan mahdollisesti tarvittavat sovellusriippuvat osat (ALG) Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Lic.(Tech.) Marko Luoma (11/33) Lic.(Tech.) Marko Luoma (12/33) Dynaaminen NAT toiminta Porttitason NAT (NAPT) Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Osoitteen vapauttaminen Lokaalin päätelaitteen kommunikaatio globaaliin verkkoon on päättynyt eikä globaalia osoitetta enää tarvitse varata sen käyttöön. Viimeisellä TCP yhteydellä on tullut FIN ja siihen liittyvä kuittaus Paketteja ei ole liikkunut 5 minuuttiin Avoimella TCP yhteydellä ei ole toimintaa x tuntiin NAPT? NAT PT NAPTissa useat päätelaitteet jakavat saman globaalin IP osoitteen Hyödynnetään porttinumeroita asiakkaiden erottelussa Vaarana ylivuoto Esimerkki: Julkisia osoitteita on 255 kpl Lokaaleja osoitteita on 1000 kpl Liikenteestä 50 % suuntautuu ulos B 130.233.154.250:8080 < > 10.38.0.3:80 25 130.233.154.250:4434 < > 10.38.100.1:143 B 130.233.154.251:5000 < > 10.38.0.60:123 B 130.233.154.252:4400 < > 10.38.8.60:600 5 130.233.154.253:2500 < > 10.38.11.60:20 B 130.233.154.254:8000 < > 10.38.0.100:22 10/8 130.233.154.254/30 10.38.0.0/16

Lic.(Tech.) Marko Luoma (13/33) Protokolla NAT (NAT PT) NATin vaikutuksia Lic.(Tech.) Marko Luoma (14/33) Protokolla NAT vastaa perinteistä NATia mutta suorittaa osoitemuunnoksen protokollatasolla IPv4 < > IPv6 Lähtökohtaisesti IPv4 osoitteita on varattu joukko IPv6 verkon käyttöön Kaksi varianttia, kuten normaalissa NATissa NAT PT NAPT PT NAT PT on viimeinen keino saada yhdysliikenne toimimaan Suositeltava ratkaisu päätelaitteiden kaksoispinot Tunnelointi Protkolla riippuvat VLAN verkot v6 v4 Seuraus 1 IP otsikon sisältö muuttuu (binäärinen) Vaikutus IP otsikon tarkistussumma täytyy laskea uudestaan Tarkistussumma on yhden komplementti > tarvitsee laskea erotus muuttuneelle osoittekentälle ja lisätä se tarkistussummaan TCP:n tarkistussumman täytyy laskea uudelleen (TCPn pseudo otsikko sisältää IP osoitteet). Sama yhden komplementti laskenta kuin IP:lle Lic.(Tech.) Marko Luoma (15/33) Lic.(Tech.) Marko Luoma (16/33) NATin vaikutuksia Application Level Gateway Seuraus 2 Sovellusprotokollan sisältämä osoitetieto muuttuu Perinteinen päästä päähän integriteetti katoaa Vaikutus Mikäli osoite on koodattu numeroina voi paketin pituus muuttua (10.38.0.16 < > 130.233.154.242) TCPn tarkistussumma vaatii muutoksen TCPn järjestysnumero (sequence number)ja kuittausnumero (acknowledge number) vaativat muutokset. Tarvitaan erillinen tilakone huolehtimaan lähtevien pakettien ja vastaanotettujen kuittausten välisestä sidonnaisuudesta ALG on NATin spesifinen toteutus tietylle sovellusprotokollalle Sidottu tiettyyn protokollaporttiin tuleviin paketteihin Suorittaa yksittäisen protokollan vaatimat muutokset paketin rakenteeseen Ylläpitää tilakonetta yskittäisille datavoille, jotta tarvittavat muutokset voidaan suorittaa. Tyypillisiä ALG protokollia FTP HTTP ICMP Telnet H.323

Kysymys: www asiakas Lic.(Tech.) Marko Luoma (17/33) Julkisesta verkosta lokaaliin verkkoon? Miten tiin kytketty päätelaite voi ottaa yhteyden NATin takana olevaan toiseen päätelaitteeseen? NAT www palvelin Ongelma: www palvelin käyttää lokaalia osoitetta (esim 10/8 verkosta), koska sen pääasiallinen käyttö on sisäinen www palvelu 10 verkon osoitteet eivät ole tiedossa julkisenverkon puolella Lic.(Tech.) Marko Luoma (18/33) Julkisesta verkosta lokaaliin verkkoon? Ratkaisu: Käytetään nimipalvelua hyväksi Operoidaan täydellisillä piirinimillä Nimeen liitetään julkisenverkon NAT osoite (staattinen tai dynaaminen) www asiakas Käytetään DNS ALGtä luomaan tarvittavat tilakoneet DNS www palvelin NAT Kaksinkertainen NAT Lic.(Tech.) Marko Luoma (19/33) Kaksinkertainen NAT Lic.(Tech.) Marko Luoma (20/33) Esimerkki: Organisaatiolla Oli aiemmin 256 osoitteen lohko (130.233.154.0) Vaihtoivat 512 osoitteeseen (130.233.254.0/23) Sisäisesti säilytettiin vanha osoiteavaruus. Operaattori Jakoi luovutetun 256 osoitteen lohkon uudelle käyttäjälle (130.233.154.0/24) 130.233.254.0/23 130.233.154.0/24 Ongelma: Kuinka kaksi konetta voivat kommunikoida keskenään, kun niillä on konfliktoivat osoitteet (tarkoituksella)

Lic.(Tech.) Marko Luoma (21/33) Lic.(Tech.) Marko Luoma (22/33) Kaksinkertainen NAT Monikotisuus Ratkaisu: Operoidaan piirinimillä Canis.lupus.fi Tarvitaan DNS ALG, joka ottaa huomioon onko haettu laite julkisessa vai lokaalissa Src= versiossa osoiteavaruutta Dst=130.233.254.100 Mikäli ulkoisessa avaruudessa annetaan pseudo osoite, joka muutetaan NAT:ssa todelliseksi Mikäli sisäisessä annetaan sisäinen osoite Src=130.233.254.100 Dst= NAT Src=10.10.0.100 Dst= DNS Resp 10.10.0.100 Src= Dst=10.10.0.100 Query Canis.lupus.fi Canis.lepus.fi Periaatteessa NAT on tarkoitettu tynkäalueisiin, eli on vain yksi liityntä ulkomaailmaan Vikaantumisriski on suuri Monikotisuudella saavutetaan varmuutta mutta toisaalta tarvittava logiikka kasvaa Kuinka taata, että kaikki yhteyden paketit kulkevat yksittäisen NATin kautta TCPn tilakone sekoaa, jos paketteja puuttuu runsaasti Kuinka NATien välinen konfiguraatio pysyy hallinnassa Samoja osoitteita ei jaeta useammassa paikassa kerrallaan Tynkäalue Lic.(Tech.) Marko Luoma (23/33) Lic.(Tech.) Marko Luoma (24/33) Jaettu tynkäalue Tunnelointi Tynkäalue voi olla myös paloiteltu useampaan osaan eri puolille operaattorin verkkoa Näiden yhdistämiseen tarvitaan Vuokrajohtoa (ei eleganttia) VPN (usein turhaan) Kaksinkertainen NAT (turhan hankalaa) Tunnelointia 10.10.1.100 10.10.1.110 Tunneloinnissa IP paketti välitetään toisen paketin hyötykuormana Tunnelilla on määrätyt päätepisteet Alku, jossa kehystetään Loppu, jossa puretaan Kehystyksessä Voidaan kopioida alkuperäisen paketin välitystietoja, jos halutaan vaikuttaa paketin välitykseen julkisessa verkossa (ToS kenttä) Src=10.10.1.110 Dst=10.10.1.100 Src=174.128.101.15 Dst= Src=10.10.1.110 Dst=10.10.1.100 10.10.1.100 174.128.101.15 10.10.1.110

Entäpä tästä tiin Lic.(Tech.) Marko Luoma (25/33) NATin ongelmia Lic.(Tech.) Marko Luoma (26/33) Kommunikointi tiin Kaksi erillistä NATtia Kaksi erillistä julkista osoiteavaruutta Yksi NAT Yksi julkinen osoiteavaruus Yksi asiakasosoite (tunnelin toinen pää) 174.128.101.15 10.10.1.100 10.10.1.110 Edellyttää harvaa liikennematriisia Vain pieni osajoukko päätelaitteista kommunikoi tynkäalueen ulkopuolle tai ulkopuolelta kommunikoidaan pieneen osaan tynkäalueen päätelaitteista Muuten hyöty pienenee Osoitteiden uudelleen käytettävyydessä Prosessoinnin raskaudessa Lisää riskiä globaalisti vääriin osoitekonfiguraatioihin Pienentää tiettyjen sovellusten kapasiteettia (ftp, http jne) Piilottaa loppukäyttäjän identiteetin Monimutkaistaa nimipalvelua Ei sovi IPSecin kanssa IPSecissä hyödynnetään osoitteita, joten osoitemuutos johtaa salausavaimen korruptoitumiseen Realm Specific IP Lic.(Tech.) Marko Luoma (27/33) Realm Specific IP Lic.(Tech.) Marko Luoma (28/33) RSIP on määritelty seuraavissa RFC:ssä: RFC3102: Realm Specific IP: Framework RFC 3103: Realm Specific IP: Protocol Specification RFC3104: RSIP Support for End to end IPsec RFC3105: Finding an RSIP Server with SLP RSIP on tarkoitettu korvaamaan NATin käyttö siellä missä se on mahdollista RSIP ei riko päästä päähän integriteettiä RSIP vaatii päätelaitteisiin muutoksia Komponentit RSIP palvelin Hallinnoi julkisia osoitteita RSIP yhdyskäytävä Yhdyskäytävä, joka toimii RSIP tunnelin päätepisteenä RSIP asiakas Tarjoa sovellukselle läpinäkyvän yhteyden julkiseen verkkoon palvelimelta saamalla osoiteella

Lic.(Tech.) Marko Luoma (29/33) Lic.(Tech.) Marko Luoma (30/33) RSIP toiminta RSIP Toiminta muistuttaa DHCP:n toimintaa RSIP voi perustua myös porttitason toimintaan src=130.233.254.121 dst=130.233.224.100 130.233.154.0/24 10.38.15.254 src=10.38.15.254 dst=10.38.15.10 RSIP address response 130.233.154.121 src=10.38.15.10 dst=10.38.15.254 RSIP address query src=10.38.15.10 dst=10.38.15.254 src=130.233.254.121 dst=130.233.224.100 10.38.15.10 DHCP: Haetaan koneelle IP osoite RSIP: Haetaan koneelle IP osoite, jota käytetään kommunikointiin julkiseen verkkoon IP osoitteella on elinaika, jonka jälkeen varaus täytyy vahvistaa uudelleen Yhdyskäytävän täytyy pitää kirjaa kenelle (mille lokaalille osoitteelle) tunneloidaan mikäkin paketti samasta julkisesta osoitteesta RSIP voi perustua myös muihin kanavointi kriteereihin IPSec!!! Lic.(Tech.) Marko Luoma (31/33) Lic.(Tech.) Marko Luoma (32/33) Kommunikointi julkisesta verkosta? IPv6 < > IPv4 RSIP voidaan yhdistää DNS:n kanssa kuten NAT Piirinimen haku liittää julkisen osoitteen käyttöön. Kyseinen liitos informoidaan lokaalin verkon päätelaitteelle Raskas prosessi Haku ei välttämättä johda liikenteeseen Porttitason toiminnassa??? RSIP ei ole primäärinen ratkaisu julkisten palveluiden toteuttamiselle RSIP tarjoaa joustavan menetelmän lokaalin verkon siirtymiselle IPv6:n käyttöön Julkiseen verkkoon kulkevat paketit tunneloidaan lokaalissa verkossa Päätelaitteelta edellytetään kahta protokollapinoa Oletusarvo nykyisissä TCP/IP ohjelmistoissa

Lic.(Tech.) Marko Luoma (33/33) RSIP ongelmia Suurin yksittäinen ongelma VAATII TUKEA PÄÄTELAITTEELTA Useita, vastaanottaja riippuvaisia, IP osoitteita Tunnelointi Muita ongelmia Levitys ja jakeluliikenteen toteuttaminen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute