INFOKOMMUNIKÁCIÓS RENDSZEREK ÉS ALKALMAZÁSOK

Átírás

1 BME Műszaki menedzser mesterszak Információmenedzsment szakirány TCP hivatkozási modell, összes protokoll INFOKOMMUNIKÁCIÓS RENDSZEREK ÉS ALKALMAZÁSOK IP alapú kommunikáció 2. BME Távközlési és Médiainformatikai Tanszék Budapest, Új típusú forgalmak A hagyományos Best-effort forgalom mellett ftp, web, ,... Megjelennek új típusú forgalmak is: Beszéd (pl. Voice over IP) Videó Új és más követelményeket támasztanak a hálózattal szemben: Pl. késleltetés Adatkommunikáció és hagyományos távközlés egybeolvadása A hagyományos távközlési funkciókat az IP egyre inkább képes átvenni De változtatások szükségesek, hogy teljesen alkalmas legyen: Valós idejű forgalmak, pl. hang Mobil elvárások Nagyobb sebességigény 3 4 Next Generation Network Architektúra QoS Paraméterek M e n e d z s m e n t Alkalmazások és tartalom Kommunikációs alkalmazások és kontroll Mobile data funkciók Összeköttetés Mobile Mobility Hozzáférési hál. Mobile telephony Kiszolgálók Telephony services Gerinchálózat Hozzáférési hál. Fixed Clients Telephony Messaging Positioning VoIP Hozzáférési hál. CATV Egyéb IP/hálózat Egyéb telefon hálózat Forrás: The Internet NG Project Statisztikus szemlélet Késleltetés - Delay / Delay Variation: E[delay], Var[delay], Pr[delay >x] Csomagvesztés - Packet Loss: Pr [drop] Hozzáférés - Accessibility: Pr[blocking] Szolgáltatatási szemlélet Valós idejű (real-time) szolgáltatás garantált késleltetés/ késleltetés ingadozás Emelt szintű (premium) szolgáltatások garantált sávszélesség Best effort szolgáltatás 5 6 1

2 QoS paraméter Késleltetés 2 IP QoS architektúra A feldolgozási és a terjedési késleltetés független a forgalomtól nem befolyásolja a késleltetés ingadozást A QoS az átviteli és a sorbanállási késleltetés optimalizálásával foglalkozik A sorbanállási késleltetés a felső határa a késleltetés ingadozásnak Admission control Control plane Buffer mangerment Traffic shaping Data plane QoS Routing Congestion avoidance Traffic policing Resource Reservation Packet Queuing and Marking scheduling Traffic classification Management plane Metering Policy Service restoration Service level agreement 7 8 Általános követelmények Létezzen megvalósítás, amely egyszerű, skálázható, nagy sebességgel működőképes DiffServ követelmény: csak aggregált állapotváltozók a hálózat belsejében Gerinchálózati követelmény: lehetőleg még aggregált állapotváltozók sem QoS biztosításához szükséges technikák Forgalomleírás Forgalom-formázás Várakozásisor-menedzsment Csomagütemezés Hívásengedélyezés QoS-útvonalválasztás Erőforrás-foglalás IP hálózat alapvetően kapcsolat- és állapotmentes, ellentétben az áramkörkapcsolt PSTN-nel Forgalomleíró technikák Sztochasztikus modellek Markovi On/off Determinisztikus korlátok Forgalom formázó módszerek lyukas vödör formázó Forgalmi típusok Valós idejű toleráns intoleráns Elasztikus Forgalomleírás alkalmazásai Felhasználási terület SLA (service level agreement) ellenőrzés, betartatás analitikus teljesítmény-vizsgálat

3 Forgalom formázó módszerek: Leaky/token bucket Lyukas vödör - leaky bucket token bucket (lyukas vödör analógia) Víz beömlése A lyukon a víz konstans sebességgel folyik ki Vödör mélysége 13 p tokens r = token rate p = peak rate >= r b = token bucket length (max. nr of tokens) r b Várakozásisor-menedzsment funkciók Feladat: csomagok tárolása, továbbítása, eldobása Cél: állandósult sorhossz minimalizálása a link maximális kihasználása mellett adatfolyamok kiéheztetése nélkül Megoldások csoportosítása mikor és melyik csomagok dobják el? (melyik sorból) Drop From Front Random Early Detection Explicit Congestion Notification 14 1 Random Early Detection Értesítés küldése a torlódási helyzetről Visszajelzés a torlódásról: csomagvesztés TCP újraküldési mechanizmusa kezeli max p Dobási valség 0 nincs dobás Dobás növekvő valséggel min th max th 100% Átlagos telítettség Explicit Congestion Notification (ECN) hálózati rétegbeli megoldás adatcsomag megjelölése (a sor teljes telítettsége előtt) tájékoztatás adatvesztés nélkül RED-hez hasonló megjelölési szabály is elképzelhető Csomagkiszolgálók / Csomagütemezők (Schedulers) Prioritásos kiszolgáló, Round-Robin, Generalized Processor Sharing EDF, J-EDF, Hierarchikus kiszolgálók Ütemezők a QoS architektúrában Feladata: Kapcsoló, útvonalválasztó kimeneti linkjén a csomagtovábbítási sorrendet határozza meg Cél: Kapcsolatok (osztályok) különböző kezelése ezáltal QoS biztosítása

4 Követelmények az ütemezőkkel szemben Prioritásos kiszolgáló Elkülönítés és megosztás Késleltetési korlátok Sávszélesség szétosztás Hatékonyság hatékonyabb: ua. az e2e QoS terheltebb hálózatnál Védelem rosszul viselkedő felhasználók meghibásodott eszközök best-effort forgalom Rugalmasság eltérő QoS igényű osztályok Egyszerűség nagy sebességű környezetben implementálható 19 A legnagyobb prioritású, nem üres sorból szolgál ki Alacsonyabb prioritású sorok kiéheztetése Kis késleltetésű forgalmat a legnagyobb prioritású sorba! Non-preemptive linkeknél a hosszú kis prioritású csomagok növelik a késleltetést 20 Round-Robin, Fair - queuing Minden sorból egy-egy csomagot szolgál ki egymás után Hívásengedélyezés alapjai, elemei Központosított, elosztott Foglalás alapú, mérés alapú Folyamszintű, aggregált Nincs kiéheztetés Kiszolgálás erősen függ a többi sortól Jitter-forrás A hívásengedélyezés feladata Garantált minőségű szolgáltatás (Quality of Service, QoS) Csomagkapcsolt eset: késleltetés, késleltetés ingadozás, csomagvesztési arány,... Garantált szolgáltatásminőség: IP, ATM Hívásengedélyezés (Call Admission Control, CAC) Az új igényt beengedjük-e a hálózatba? Beengedés: ha az új és a meglévő folyamok minősége garantált De: kihasználtság garantált minőség A hívásengedélyezés jelentősége Kell-e hívásengedélyezés? Jobb minőség Rosszabb hálózat elérhetőség Torlódásmenedzsment: Preventív Reaktív Adatfolyamok: elasztikus v. folyam jellegű Hívásengedélyezés: folyam jellegűre mindenképp, elasztikusra:??

5 Párbeszéd: A hívásengedélyezés folyamata A döntés helye: IntServ/ATM: minden egyes útvonalválasztó/kapcsoló DiffServ: Bemeneti útvonalválasztó vagy sávszélesség bróker Különböző protokollok Továbbiakban az algoritmust vizsgáljuk Hívásengedélyezési módszerek Forgalmi leíró adatblokk tartalma: Forgalmi paraméterek: új igény, új számítás Előre definiált osztályok: előre számítható N osztály: N dimenziós döntési hiperfelület folyamok száma 1. osztály elfogadás elutasítás 2. osztály folyamok száma Szolgáltatási modellek QoS szolgáltatási architektúrák Integrált szolgáltatás (Integrated Services) Megkülönböztetett szolgáltatás (Differentiated Services) Elemek osztályozók, forgalomformázók, ütemezők, várakozási sor menedzsment beengedés szabályozók (forgalom leírás) torlódás-védelem, terhelés-megosztás útválasztás, szolgáltatás minőségi útválasztás (Quality of Service Routing) Integrált szolgáltatási modell IntServ - Integrated Services Szolgáltatási modell Többszörös szolgáltatási osztályok Folyam szintű szolgáltatásminőség biztosítás Protokoll támogatás Explicit erőforrás menedzsment IP szinten Integrált szolgáltatási modell Architektúrális tulajdonságok Folyamonkénti állapotinformációk tárolása az útválasztókban Jelzésrendszer támogatás, felépítése jelzési protokoll segítségével Beengedés szabályozás kontroll Erőforrás foglaló protokoll Kiszolgáló támogatás Csomagosztályozók Forgalom formázók Ütemezők Erőforrás foglaló protokoll Feladata Folyamok azonosítása Állapotinformációk nyilvántartása folyamonként, kimeneti interfészekhez

6 IS példa I. Beengedés szabályozás Sávszélesség és késleltetés garancia folyamonként Állapotinformációk mentése IS példa II. Erőforrás foglalás Minden csomópontban lefoglalódik a szükséges erőforrás Állapotinformációk mentése küldő fogadó küldő fogadó IS példa III. - Adatfolyam Csomagok továbbítása a folyam állapotának megfelelően küldő fogadó Garantált szolgáltatások Guaranteed Services Szolgáltatási szerződés végfelhasználó a hálózatnak: a megadott forgalomnál nem küld többet a hálózatba hálózat a végfelhasználónak: felső korlát a folyam minden csomagja késleltetésére a szerződött forgalom feletti csomagokat átsorolja a legjobb szándékú szolgáltatási osztályba Algoritmikus támogatás Szabályozási sík A beengedés szabályozás a legrosszabb esetre számol Adat sík Folyamonkénti osztályozás és ütemezés a hálózati csomópontokban Szabályozott terhelési szolgáltatások Controlled Load Service Szolgáltatási szerződés végfelhasználó a hálózatnak: a megadott forgalomnál nem küld többet a hálózatba hálózat a végfelhasználónak: szolgáltatás hasonló lesz, mint egy terheletlen hálózatban legjobb szándékú átvitel esetében a szerződött forgalom feletti csomagokat átsorolja a legjobb szándékú szolgáltatási osztályba Algoritmikus támogatás Szabályozási sík a beengedés szabályozás mérés alapú aggregátumok alapján dönt Adat sík aggregátumok ütemezése Az RSVP foglalási modellje Szimplex: Folyamokhoz egy irányban végez erőforrás foglalást unicast: Egy küldő és egy fogadó között multicast: Egy küldő és több fogadó között Visszafelé foglaló protokoll: Az adatfolyam fogadója indítja az erőforrás foglalást Az RSVP rugalmas állapotokat (soft states) épít fel dinamikusan támogatva a fogadók csoportját, vagy az útvonalat Az RSVP nem útválasztó protokoll. Működése viszont függ az útválasztó protokoll működésétől, ami a jelzési és adat üzeneteket továbbítja. Az RSVP felépítése teljesen független az útválasztó, beengedési protokolltól és az ütemezéstől. Átlátszó működést szolgáltat olyan tartományok számára amelyek nem támogatják az RSVP-t

7 Differenciált szolgáltatási modell Kétféle hálózati csomópont definiál az a modell Határ csomópont (Edge router) Folyam formázás, és folyam policy osztályonként (traffic shaping, traffic policing) Minden rajta áthaladó csomagot az osztályának megfelelően jelöl meg (packet marking) Belső csomópont (Core router) A csomagokat osztályuknak megfelelően kezeli Szolgáltatók (ISP) által definiált szolgáltatások Szolgáltató és felhasználó szerződése a kívánt szolgáltatás elérésére (SLA Service Level Agreement) Felhasználó lehet egy ügyfél egy tartomány és akár egy másik ISP is Differenciált szolgáltatások architektúrája Bemeneti útválasztó (ingress router) Policy és forgalom formázás DSCP beállítása a DS mezőben (Differentiated Service Code Point) Belső útválasztók (core router) Csomóponti viselkedés (PHB - Per Hop Behavior) megvalósítása Csomagok kiszolgálása a DSCP alapján belső csomópont bemeneti (ingress) úv. SLA1 DSCP határ csomópont DS-1 PHB kimeneti (egress) úv. bemeneti (ingress) úv. SLA2 DSCP DS-2 kimeneti (egress) úv. SLA DS szolgáltatási osztályok Szolgáltatási szint szerződés (SLA) megállapodás két tartomány határán Alapvető szolgáltatások legjobb szándékú (best effort) rugalmas elvárású felhasználások biztosított szolgáltatások (assured services) gyorsított szolgáltatások (expedited/premium services) Gyorsított szolgáltatások Virtuális csatorna létrehozása az osztályhoz tartozó folyamok számára Szolgáltatási szerződés végfelhasználó: a megadott forgalomnál nem küld többet a hálózatba hálózat: nem lesz csomagvesztés és alacsony lesz a késleltetés Algoritmikus támogatás Szabályozási sík: beengedés szabályozás Adat sík: abszolút prioritásos ütemező Biztosított szolgáltatások Megkülönböztetés csomagvesztési precedencia alapján alcsoportok létrehozása felhasználói profil definiálása (lyukas vödör) Szolgáltatási szerződés végfelhasználó: a megadott forgalomnál nem küld többet a hálózatba hálózat: alacsonyabb vesztés, mint a legjobb szándékú átvitelnél, torlódás esetén, a legjobb szándékú folyamok csomagjait dobja el Algoritmikus támogatás Adat sík: WRR + RED ütemezés Tartományok szabályzása Minden tartományhoz egy BB (Bandwidth Broker) tartozik Általában a határcsomópontokban végez erőforrás allokálást A BB felelős a tartományon belüli beengedés szabályzásért Nem egyszerű a megvalósítása A teljes tartomány állapota alapján kell döntenie Egyszerű meghibásodási lehetőség Még kutatási téma!

8 Real Time Transport Protocol, RTP RFC 1889 RTP végpont-végpont adatátviteli szolgáltatást nyújt valós idejű alkalmazások számára Audio, video Multicast, unicast hálózatokban Az adatátvitel kiegészül egy vezérlő protokollal: RTCP Mellyel lehetséges az adatátvitel monitorozása Minimális vezérlési funkciók megvalósítása Azonosítási feladatok elvégzése RTP Jellemzői: Az UDP szegényes szolgáltatásai ellenére az RTP ügyel a csomagsorrendre és időzítést is végez A csomagokkal együtt továbbít: Időbélyeg - timestamp Sorszám - sequence number Csomag típus - packet type Visszacsatolást a sikeres megérkezésről Ennek ellenére az RTP viszont: Nem kapcsolat orientált Nem garantálja a célbajutást Nem erőforrás lefoglaló protokoll RTP funkciók RTP fejléc Szegmentálást/összeillesztést az UDP végzi Újra sorrendezés (ha szükséges) Csomagvesztés detektálás minőségi becslésekhez, visszaállításhoz Médiumokon belüli szinkronizálás Késleltetés jitter eltüntetése play-out bufferrel sampling clock kezelés Médiumok közötti szinkronizálás Szájmozgás szinkronizáció (audio és video) QoS visszacsatolás és igényelt sávszélesség (rate) adaptáció Forrás azonosítás Mixer, Translator (fordító) Mixer, Translator (2) Mixer: Többszörös média adatfolyam egy folyamba összefogása (új kódolással) mixer: alacsony sávszélességű hálózatokban (dial-up) Új forrásként jelenik meg önálló azonosítóval Translator (fordító): Egy média adatfolyam Kódolások konverzióját is végezheti Protokoll fordítás (ATM - IP), tűzfal Minden csomagban: source address = translator address

9 Mixer Mixer: Közvetítő rendszer, mely egy vagy több forrástól fogad RTP csomagokat (szükség szerint változtathat azok formátumán), és új RTP csomagként továbbítja őket Mivel az időzítések a forrásokban nem szinkronizáltak, a mixer még időzítési beállításokat is végez. Saját időzítést alkalmaz a kombinált adatfolyamra Így minden, mixertől származó adatcsomagban a szinkronizációs forrásként a mixer kerül megadásra Translator - fordító Translator: Közvetítő rendszer, mely RTP csomagokat továbbít a sértetlen szinkronizációs forrásazonosítóval Példák Eszközök, melyek különböző kódolásokat konvertálnak mixelés nélkül Ismétlők (replicators) multicastból unicastba Alkalmazás szintű szűrők tűzfalakban Monitor Monitor: Egy olyan alkalmazás, mely RTCP csomagokat fogad az RTP kapcsolatokban résztvevőktől, és megbecsüli az adott QoS jellemzőket, hiba diagznósit végez és hosszú távú statisztikákat készít A monitorozó funkció A résztvevő alkalmazásokba lehetnek beépítve Lehetnek külön alkalmazások is, melyek nem vesznek részt a kapcsolatokban nem küldenek és fogadnak RTP adatcsomagokat,. Ezek a third party monitor ok Real-Time Control Protocol (RTCP) Feladatai QoS felügyelet, monitorozás Torlódásvezérlés Forrás azonosítók Médiák közötti szinkronizáció Vezérlési jelzések (Visszacsatolás megoldása az RTP mellett) RTCP RTCP csomagtípusok Sender report SR Elküldött bájtok -> küldési sebesség becslése timestamp -> szinkronizáció Reception report RR Az elküldött és a várt csomagok száma -> csomagvesztés, érkezési idők ingadozása (jitter), körülfordulási késleltetés Source Description Items SDES Név, , hely,... CNAME (canonical name = user@host) a médián keresztüli felhasználó azonosítás Bye BYE App Specific Functions APP Minden kapcsolatban résztvevő rendszeresen küld RTCP csomagokat az RTP működése ezeken alapul Real-Time Streaming Protocol (RTSP) Számos időszinkronizált, folyamatos audio és video streamátvitelt és vezérlést végez Az adatforrások lehetnek élőadások és tároltak Unicast és multicast támogatása RTSP nem felelős az adatfolyamok célba juttatásáért De a média stream védelme a vezérlő streammel lehetséges RTSP kapcsolat alatt az RTSP kliens több megbízható kapcsolatot is létesíthet a szerverrel az RTSP igények kiszolgálására Az RTSP által vezérelt adatfolyam lehet RTP, de az RTSP működése nem függ ettől a protokolltól

10 RTSP protokoll jellemzői Kiterjeszthető Új eljárások és paraméterek könnyen hozzáadhatók Könnyen elemezhető (parsing) HTTP és MIME parserek használhatóak Biztonságos Minden HTTP webes biztonsági hitelesítési eljárás alkalmazható Szállítási réteg független UDP, RDP (Reliable Datagram Protocol), TCP Multi-server képesség Egy média több szerveren is elhelyezkedhet, a szüksége kapcsolatokat automatikus képes kiépíteni Rögzítő eszközök vezérlése Visszajátszás és rögzítés vezérlés RTSP protokoll jellemzői Adatfolyam vezérlés és konferencia meghívás elkülönített kezelése Professzionális alkalmazásokhoz illeszthető Frame-szintű pontosság SMPTE időbélyegekkel SMPTE relatív időbélyeg: a klip kezdete óta eltelt idő Proxy és tűzfal barát Alkalmazási és szállítási rétegbeli tűzfalkezelés HTTP támogatás Szerver vezérlési lehetőség Kliens kezdeményezheti és állhatja meg az adatfolyamot Képesség egyeztetés RTSP állapotok SETUP Erőforrások lefoglalása RTSP kapcsolat létesítése PLAY és RECORD Adatátvitel indítása PAUSE Az adatfolyam átmeneti megállítása az erőforrások felszabadítása nélkül TEARDOWN: Az adatfolyam erőforrásainak felszabadítása RTSP működése Kliensszerver architektúra client (browser software) HTTP GET Session/presentation desription RTSP SETUP RTSP PLAY RTP audio RTP video RTCP RTSP PAUSE RTSP TEARDOWN web server media server Voice over IP (VoIP) Egyszerűsített működés coding packetization Packet switching De-coding De-packetization

11 Szabványok ITU-T: H.323 Együttműködési problémák ETSI s Tiphon project IETF: Session Initiation Protocol SIP ITU-T H.323 szabvány Umbrella standard: multimedia kommunikáció LAN-okon, melyek nem biztosítanak Quality of Service-t Entitások Terminals, Gateways, Gatekeepers, MCU-k Protokollok Parts of H RAS, Q.931 H.245 RTP/RTCP Audio/video codecs H.323 architektúra és komponensek Terminál Végpont egy LAN-on Kétirányú, valós idejű, kommunikációt biztosít más H.323 entitásokkal Kötelező támogatnia: Hang audió kodekek (Voice - audio codecs) Signaling és setup - Q.931, H.245, RAS Nem kötelező: Video- Adatátvitel Terminal Gatekeeper Gateway Terminal Terminal Terminal Terminal Router Router MCU Átjárók Gatekeeper Interfészek a helyi hálózatok és az áramkörkapcsolt (telefonos) hálózat között Kommunikációs eljárásokat és formátumokat konvertál az adott két rendszer között Hívás felépítés és bontás Hang tömörítése és csomagokra bontása pl: IP/PSTN átjáró A gatekeeper egy opcionális elem a H.323 rendszerben Hívásengedélyezés Címfeloldás A gatekeeper feladata lehet: Végpontok közötti közvetlen hívások engedélyezése Hívások továbbítása, routolása: Követés/keresés (follow-me/find-me), átirányítás ha foglalt, stb

12 Audió kodekek Analóg-digitális konverzió kötelező: G.711 Általános: G és G.729 Beszédszünetek elnyomása (Silence suppression) Voice Activity Detection, VAD Voice Activity Detection VAD Beszéddetekció Túlnyúlás Beszéddetekció Túlnyúlás Jel-háttérzaj határ 1. mondat 2. mondat Zajküszöb Beszéd levágása Beszéd levágása SIP SIP és a DNS SIP = Session Initiation Protocol Készítői: mmusic working group Főbb feladatok Kezdeményezése és lezárása felhasználók közötti multimédia kapcsolatoknak Felhasználók keresése (mobilitás, proxy) Regisztráció támogatása HTTP-szerű INVITE: kapcsolat kezdeményezés BYE: lezárás REGISTER: címek regisztrálása szerverrekkel SIP közel azonos eljárásokat használ SIP lehetővé teszi, hogy az címek érvényes SIP címek legyenek Következmények: A meglévő routing rendszereket képes használni A SIP igények továbbítása re triviális Névjegykártyákon helymegtakarítás Agents - ügynökök Szerverek User Agent Client - UAC SIP Request-ek kezdeményezése User Agent Server - UAS Hívások fogadása, visszautasítása elhelyezés Softswitch-ek IP és soft telefonok Kézi és vezetéknélküli eszközök DSL/Cable eszközök PBX/UnPBX Proxy Szerver A SIP hálózat szíve, mely minden szolgáltatási megvalósítást tartalmaz Redirect Szerver Routing infromációkat szolgáltat a kezdeményező végpontnak Location Szerver Felhasználói mobilitás támogatás Regisztráció Lehetővé teszi az előfizetők mozgását

13 SIP Architektúra Erőforrás lefoglalás Request Response 2 SIP Redirect Server Location Service H.323 Helyi hívásengedélyezés A hívásfelépítés előtt Nincs információ az elérhető sávszélességről Más alkalmazásoknak kell a GK-t értesíteni SIP Proxy SIP Proxy SIP: RSVP, DiffServ + hívási előfeltételek 8 SIP Client SIP Client (User Agent Server) Biztonságtechnika Adatbiztonság Adatbiztonság az adatforrások védelméről gondoskodik Hálózatbiztonság az adatok kódolásáról és biztonságos továbbításáról gondoskodik számítógépek, illetve hálózatok között Adatbiztonság alatt számítógépek, illetve azok külső berendezéseinek védelmét értjük illetéktelen személyek hozzáférése ellen Számítógép védelménél figyelembe kell venni a gép funkcióját Meghatározza a védelmi szint(ek)et A biztonsági szintek és a közöttük lévő határvonal meghatározására szolgál a biztonsági stratégia (Security Policy SP) Adatbiztonság alapszintjei felhasználói név + jelszó jogok beállítása operációs rendszeren belül telepített programokra géphez csatolt külső berendezésekhez IP cím, illetve Ethernet hálózati kártya cím adatbázisa engedélyezésekhez tűzfal (firewall) egységes hálózat védelme Hálózatbiztonság Az Internet elterjedésével növekedett az adatokhoz való globális hozzáférés megkönnyítette az illetéktelen személyek által való hozzáférést Az adatok hálózaton való továbbítása szükségessé teszi a hálózatbiztonság stratégiájának kifejlesztését Szükséges: Hálózatbiztonság szintjeinek részletesebb kidolgozása Az IP protokoll biztonságtechnika fejlesztése

14 Hálózatbiztonság alapszintjei védett jelszó a jelszavakat tartalmazó file kódolt jelszavakat tartalmaz Pl. /etc/passwd - UNIX kódolt jelszavak továbbítása a hálózaton keresztül Autentikáció általánosságban a forrás identitásának ellenőrzése Kódolás adatok titkossága, korlátozott mértékben a forgalom titkossága titkosítási kulcsok nyilvános és titkos kulcs (public key, private key) - alkalmazásával OSI modell különböző rétegein végezhető kódolás: adatkapcsolati, hálózati, szállítási, alkalmazási IPSec Internet Protocol Security protokoll biztonságos Interneten keresztüli adatátvitel céljára Szolgáltatások: hitelesítés Kódolás különböző titkosítási módszerek alkalmazása Az IPSec hoszt, vagy átjáró (gateway) titkosítja a csomagokat, és tovább küldi őket egy virtuálisan létrehozott csatornán keresztül Túloldalon egy másik IPSec hoszt, vagy átjáró fogadja a csomagokat, és feloldja a titkosítást Egy VPN (Virtual Private Network) jön létre, mely szavatolja a csomagok biztonságos szállítását és védelmét az Interneten keresztül Security Association (SA) feladata Az SA egy szimplex kapcsolat, mely biztonsági szolgáltatást nyújt a hálózati forgalomnak A szolgáltatás alapja autentikáció (AH), vagy Encapsulating Security Payload (ESP) Általánosan kétirányú forgalomról beszélünk a hosztok, vagy az átjárók között, ahol 1 SA szükségeltetik irányonként SA azonosítója: Security Parameters Index (SPI) célállomás IP címe alkalmazott biztonsági protokoll azonosítója (AH vagy ESP) SA típusai szállítási mód (transport mode) hoszt hoszt kapcsolat esetén Egyszerű IP csomag (IPv4, vagy IPv6) csatorna-mód (tunnel mode) IP csatornára alkalmazott SA, hoszt tűzfal, tűzfal hoszt, tűzfal, tűzfal - tűzfal között. IP csomagba csomagolt IP datagram Hoszt: támogatja mindkettőt Átjáró: általában elég a csatorna mód támogatása Autentikáció Az IP Authentication Header (AH) kapcsolatmentes integritást adatforrások autentikációját nem kötelezően visszajátszás elleni védettséget (antireplay service) nyújt. Az AH egyedül, illetve az Encapsulating Security Payload (ESP) titkosítási protokollal együtt alkalmazható Az autentikációs fejléc formátuma (Authentication Header - AH) Next Header Payload RESERVED Len Security Parameters Index (SPI) Sequence Number Field A u t h e n t i c a t i o n D a t a (variable)

15 Encapsulating Security Payload IP Encapsulating Security Payload (ESP) Adattitkosítást nem kötelezően kapcsolatmentes integritást adatforrások autentikációját visszajátszás elleni védettséget nyújt adatok titkosítását csak az ESP-vel lehet elérni A titkosítás a többi szolgáltatástól függetlenül választható DE! a titkosítással együtt integritási és autentikáció szolgáltatást is érdemes beállítani. Csak titkosítás alkalmazásánál a betolakodó könnyen hamisíthat csomagokat, hogy megtámadja a hálózatot titkosítási algoritmus megfejtése végett. IKE Az IKE protokoll viszony-orientált (sessionoriented) biztonságtechnikai asszociáció (Security Association SA) használatán, létesítésén, karbantartásán alapul IKE jellemzők Titkosítási technikák Az IKE protokoll, kérés- válasz (request- response) típusú protokoll, kezdeményező reagáló A kezdeményezőt saját IPsec modulja irányítja az IKE SA, vagy egy SA köteg létrehozásában (2 fázisban), a kimenő IP csomag és a biztonságtechnikai stratégia-adatbázis (Security Policy Database, SPD) összehasonlításának végeredménye alapján Az IPsec SPD meghatározza, hogy az IKE mit hozzon létre, de semmit sem szól arról, hogy hogyan Egy stratégia beállítás védelmi halmaz, minimálisan a következőket határozza meg: titkosítási algoritmus hash algoritmus Diffie-Hellman csoport használt autentikáció mód Titkosítási hash algoritmusok Titkosítási hash algoritmusok A hash függvény egy olyan h függvény, mely minimálisan a következő két tulajdonsággal rendelkezik: a bemenő tetszőleges véges bit-hosszúságú x halmazt leképezi a kimenő h(x) re,mely rögzített bit-hosszúságú (tömörítés) a megadott x és h alapján könnyű kiszámolni a h(x)-t (könnyű kiszámítás) Titkos kulcsú titkosítás A titkos kulcsú titkosítás (secret key cryptography) hagyományos titkosítást foglal magába. A létrehozott titkos kulcson osztoznak a kommunikáló felek, miközben e kulcs segítségével kódolják és dekódolják az üzenetet Gyakran szimmetrikus titkosításnak is nevezik Kétféle rejtjelezés használatos a titkos kulcsú titkosítás esetében Blokk rejtjelezés (block ciphers) adatok blokkjaival dolgozik (1 blokk 64 bit) áramló rejtjelezés (stream ciphers) adatok alapegységével dolgozik (egyszerre 1 bittel, vagy 1 bájttal). Nyilvános kulcsú titkosítás A nyilvános kulcsú titkosítási rendszer egy olyan titkosítási rendszer, melyben a felhasználó két, matematikailag egymástól függő kulcsot használ a titkosításhoz. nyilvános kulcsot (public key) megjelenhet nyilvánosan anélkül, hogy a rendszer biztonságát veszélyeztetné. A titkosított üzenet dekódolásához nem elégséges a titkos kulcsot (private key) csak a tulajdonosok birtokolhatják. A titkosított üzenet csak a nyilvános és egyidejűleg a titkos kulcs ismeretében vállhat érthetővé kívülállónak lehetetlen az egyik kulcsból a másikat matematikailag meghatározni A nyilvános kulcsú titkosítási rendszer nem csak egy üzenet titkosítására szolgál, de hitelességének és sértetlenségének védelmére is alkalmas

16 Digitális aláírás Ha a felhasználó a küldendő üzenet hitelességét és sértetlenségét is védeni akarja, akkor digitális aláírást (digital signature) kell használni A digitális aláírás létrehozásának algoritmusa a következő: a kulcs-generátor véletlenszerűen létrehoz egy nyilvános kulcspárat az aláírás-algoritmus, melynek bemenő információja az üzenet és a titkos kulcs, kimenő paramétere pedig a megadott üzenet digitális aláírása az aláírást ellenőrző algoritmus, melynek bemenő paramétere a digitális aláírás és a nyilvános kulcs, kimenő paramétere pedig az üzenet és egy információs bit, mely az aláírás hitelességéről értesít. IPv4 biztonság Autentikáció Szállítási mód: autentikációs fejléc (AH) az IP fejlécet követi, megelőzve a felsőbb réteg fejlécét (pl. TCP, UDP, ICMP, vagy más) Orig IPv4 Header (any options) Csatorna-mód: az autentikáció alkalmazható hoszt és átjáró esetében a védelem az egész belső csomagra vonatkozik New IPv4 Header (any options) AH IPv4 IPv4-be csomagolva AH TCP Data Orig IPv4Header (any options) TCP Data Az IPv6 Az IP által továbbított csomagokat hagyományosan datagramnak hívják Minden egyes csomag fejlécből aktuális adatból áll Version IHL IPv4 fejléc formátuma Type of Service Identification Time to Live Protocol 32 bits (4 Bytes) Source Address Total Length Flags Fragment Offset Header Checksum IP fejléc hossza általában 20 bájt Az új IPv6 alap fejléc 64 bites fejlécből 2 db 128 bites címből (forrás és cél) áll együttesen 320 bit hosszú, azaz 40 bájt. Destination address Options (variable) DATA (variable) Padding Az IPv6 alap fejléc formátum 40 Octet, 8 mező Version Class Flow Label Payload Length Next Header Hop Limit 128 bit Source Address 128 bit Destination Address IPv6 kiegészítő fejlécek Az ajánlott fejlécsorrend: IPv6 Header Hop-by-hop Options Header Destination Options Header (1) Routing Header Fragment Header Authentication Header Destination Options Header (2) Upper Layer Header (pl. TCP vagy UDP)

17 Fejléc tömörítés Az eljárás alapvetően pont-pont linkekre működik, de többszörös hozzáférésű linkek és multicast irányában is előnyös Alapja: vannak mezők, melyek ugyanazon folyamhoz tartozó egymást követő csomagokban konstansok maradnak csak nagyon ritkán változnak az A csomagok között nem változó mezőket egyáltalán nem szükséges továbbítani általános alapelv az, hogy alkalmanként kell csak teljes fejlécet küldeni, a pótlólag küldött tömörített fejlécek csak a változásokat tartalmazzák. Az IPv6 címzési rendszere Az IPv6 címzése alapjában hasonlít az IPv4 címzésére 128 bites címek a 32 bites helyett Az IPv6 címek az alhálózathoz csatlakozó interfészeket vagy azok egy csoportját azonosítják alhálózati interfészeket jelöl és NEM csomópontokat! Három típus: Unicast címek egyedi interfészt azonosítanak Anycast címek interfészek egy csoportját azonosítják, a csomagot ezek egyikéhez juttatják el. Multicast címek interfészek egy csoportját azonosítják, a csomagot ezek mindegyikéhez eljuttatják Az IPv6 címzési rendszere 3 Az IPv6 címtér rendkívül nagy (2 128 ) négyzetméterenként több millió címet jelent címek kijelölése és útvonalválasztása hierarchia kialakítását teszi szükségessé csökkenti a hatékonyságot címtér elméleti használhatóságát (méretét) Az IPv6 cím típusát a cím kezdő bitjei szabják meg hosszuk változó - Format Prefix (FP) IPv6 címek írásmódja 128 bit = 16 oktet = 32 x 4bit hexadecimális írásmóddal FECD:BA98:0000:0000:00CD:BA98:0000:3200 FECD:BA98:0:0:CD:BA98:0:3200 A sorozatos nullák kihagyhatóak FECD:BA98::CD:BA98:0:3200 IPv4 kompatibilis címek - kevert írásmód 0:0:0:0:0:0: :: Hálózati prefix jelölés a CIDR-ben használttal megegyező módon teljes IPv6 cím/prefix hossz bitekben 12AB:0000:0000:CD30:FFFF:DEC8:0000:0000/60 12AB:0:0:CD30:0:0:0:0/60 12AB:0:0:CD30::/ Címtípusok Címtípusok Unicast 2 Link lokális címek FE80::800:D212:2345/64 csak linken egyedi, nem lehet vele a linken kívül kommunikálni Site lokális címek FEC0::120D:0:800:D212:2345/64 csak site-n belül egyedi, nem lehet vele site-n kívül kommunikálni Nem specifikált címek 0:0:0:0:0:0:0:0 => :: Loopback cím 0:0:0:0:0:0:0:1 => ::1 NSAP címek OSI architektúra szerinti hálózati azonosító IPX címek Címek Novell hálózatok támogatására 010 Registry ID m-o-p Interface ID Provider ID Subcriber ID Subnet ID Szolgáltató alapú (provider-based) unicast címek Globális kommunikációra használják a Classless Inter Domain Routing (CIDR) alatti IPv4 címekre hasonlítanak 3 bitet (010) a szolgáltató alapú cím típus azonosítására Registry ID: azt az Internet cím nyilvántartót azonosítja, aki az Internet szolgáltatóhoz rendeli a szolgáltató azonosítókat, akik a saját címtartományukat osztják fel az előfizetők között. Subscriber ID: egyazon szolgáltató azonosítóhoz tartozó előfizetőket különbözteti meg. Subnet ID: egyedi fizikai linket azonosít. Egy fizikai linken több alhálózat is lehet, de egy adott alhálózat nem foghat át több fizikai linket. Interface ID: a subnet prefixszel azonosított interfész csoportból egy adott interfészt azonosít. 3 n bits m bits o bits p bits 125-n

18 Címtípusok Unicast 3 Helyi használatú (local-use) címek Helyi hálózaton belüli csak a helyi hálózatban ismertek, azon kívül nem Helyi plug and play kommunikációra használhatók Típusai a link és a site lokális unicast címek Link lokális Site lokális 10 bits n bits 118-n bits Interface ID 10 bits n bits m bits 118-m-n bits Subnet Interface ID ID Automatikus címkonfiguráció Link-lokális cím generálása MAC címból (FFFF közbeiktatásával) Szomszédság keresés (Neighbor Discovery) Szomszédsági azonosítás kérés (Neighbour Soliciation) Szomszédsági azonosítás (Neighbour Advertisement) Router azonosítás (Router Discovery) Útválasztó azonosítás kérés (Router Solicitation) Útválasztó azonosítás (Router Advertisement) Globális egyedi cím létrehozása Állapotmentes címlétrehozás (Stateless autoconfiguration) csak a hálózati előtagot kapja meg Állapot alapú címlétrehozáa (Statefull autoconfiguration, DHCPv6) a teljes IPv6 címét megkapja VoIPv6 Architektúra: PSTN to IPv6 Áttérés IPv4-ről IPv6-ra Dupla protokoll verem (Dual Stack) megoldás IPv4 és IPv6 protokollok egymás melletti működése Alagút (Tunneling) technikák Protokoll csomagok IP csomagokba való ágyazása Először IPv6 átvitele IPv4 felett (IPv6<->IPv4<->IPv6) A később IPv4 átvitele IPv6 felett (IPv4<->IPv6<->IPv4) Protokoll fordítás (Translation) megoldások Protokoll információkat hordozó fejlécből másik protokoll fejléc létrehozása fordítási szabályok alkalmazásával IPv4 és IPv6 fejlécek egymásra fordítása (IPv4<->IPv6) Az NIIF/HUNGARNET hálózat Az európai kutatói hálózat Jellemzői Nagysebességű európai gerinchálózat Összekapcsolja a Nemzeti Kutatói Hálózatokat (NRN National Reserch Network) Az EU támogatja a kiépítést és a működtetést A DANTE (Cambridge, Nagybritannia) szervezi, üzemelteti Fejlődési fázisok TEN TEN GÉANT GÉANT

19 Első fázis: TEN-34 TEN Trans-European Network Kapacitások (Mbps): - gerinchálózat: Mbps - végpontok: 2-10 Mbps Összeköttetések: - menedzselt bérelt vonalak - egyedi ATM kapcsolatok IP hálózat: - azonos router-ek - központilag menedzselt IP hálózat Második fázis: TEN-155 Kapacitások (Mbps): - gerinchálózat: 155 Mbps - végpontok: 10-34/45 Mbps ATM hálózat: - azonos ATM kapcsolók - központilag menedzselt ATM network IP hálózat: - azonos router-ek - központilag menedzselt IP hálózat Harmadik fázis: GÉANT GÉANT - Gigabit European Advanced Network Technology Kapacitások: - gerinchálózat: 10 Gbps - végpontok: 34 Mbps-2,5 Gbps Összeköttetések: - WDM kapcsolatok - SDH kapcsolatok IP hálózat: - azonos router-ek - központilag menedzselt nagysebességű IP hálózat Negyedik fázis: GÉANT2 Kapacitások: - gerinchálózat: n 10 Gbps - végpontok: 34 Mbps-10 Gbps Összeköttetések: - Optikai kapcsolatok - WDM kapcsolatok - SDH kapcsolatok IP hálózat: - azonos router-ek - központilag menedzselt nagysebességű IP hálózat