Überblick. Fragmentierung IPv4. IPv6 IPsec. Aufbau ICMP Adress Auflösung

Transkript

1 Überblick Fragmentierung IPv4 Aufbau ICMP Adress Auflösung IPv6 IPsec

2 TCP/IP Referenzmodell

3 Das Internet

4 Internet Protokoll (IP) RFC 791 (Request for Comments) IP arbeitet mit Datagrammen, deren Kopf min. 20 und max. 60 Bytes lang ist D.h. Es stehen 40 Bytes für Optionen zur Verfügung Daten liegen in High-Order vor, d.h. Auf Rechnern mit beispielsweise Pentium Prozessoren muss Umrechnung auf beiden Seiten erfolgen Übertragung erfolgt nach dem Best-Effort -Prinzip

5 Kommunikation im Internet Versenden von Paketen mit maximaler Größe von 64k möglich Durchschnittlich 1500 Bytes IP schreibt mindestlänge 576 Oktette vor Problem: Durchschnittliche Paketgröße > 576 Oktette!

6 Fragmentierung

7 Fragmentierung Strategie 1 Transparente Fragmentierung (z.b. ATM, dort als Segmentierung bezeichnet) Ausgangsgateway setzt Fragmente wieder zu Paketen zusammen Fragmentierung muss ggf. wiederholt werden (Overhead)

8 Fragmentierung Strategie 2 Einmal fragmentierte Pakete werden nicht wieder zusammengesetzt Jeder Host muss somit in der Lage sein zu reassemblieren Overhead, da jedes Fragment als eigenständig gilt (vollständiger Header) Geht ein Fragment verloren, gilt das ganze Paket als verloren

9 IP Header

10 IP-Header Version: Hier steht eine 4! IHL: Länge des Kopfes in Langworten (32 Bit), kann also zwischen 5 und 15 liegen Type of Service: 8 Bit, davon sind 3 Bit Priorität, mit 000 am geringsten 1 Bit für möglichst geringe Verzögerung (Delay) 1 Bit für möglichst hohen Durchsatz (Throughput) 1 Bit für möglichst hohe Zuverlässigkeit (Reliability) 2 ungenutze Bits

11 IP-Header Total Lenght: Gesamtlänge des Paketes, Header und Daten, max. 64k Identification: Dient zur Erkennung von Fragmenten die zum gleichen Paket gehören (haben alle gleiche Identifikation) 1 Bit ungenutzt 1 Bit DF: (Don't fragment) Wenn dieses Bit gesetzt ist, darf das Paket nicht fragmentiert werden 1 Bit MF: (More fragments) ist bei allen Fragmenten außer dem letzten gesetzt

12 IP-Header Fragment offset: Position des Fragments im Paket, vielfaches von 8, 8192 Fragmente pro Paket erlaubt Time To Live: Zähler, der bei jedem Hop reduziert wird, bei 0 wird das Paket verworfen und Quelle informiert Protocol: Vermittlungsschicht muss wissen, an welchen Transportprozess des Paket weitergereicht werden soll, z.b. TCP oder UDP, weitere im RFC 1700 Checksum: Modulo 2^16 Addition im Einerkomplement über den Header, Gesamtergebnis muss 0 sein, wegen TTL stets neu berechnet!

13 IP-Optionen Jede Option beginnt mit 1-Byte Identifikation Optional kann ein weiteres Feld für Besonderheiten eingefügt werden Danach folgen die Daten Optionen werden auf 4-Byte Grenze aufgefüllt 5 Optionen sind definiert

14 IP-Optionen Security: Kennzeichnet die Geheimhaltung, z.b. könnten bestimmte Länder umroutet werden Strict Source Routing: Die zu verwendende Route wird strikt vorgegeben, 9 Hops sind möglich, sinnvoll z.b. bei Verlust von Routingtabellen oder bei Zeitmessungen Loose Source Routing: Eine Reihe von Routern wird vorgegeben, zwischendrin können aber weitere liegen (politische oder wirtschaftliche Gründe)

15 IP-Optionen Record Route: Zeichnet den Verlauf eines Paketes auf, jeder Hop wird vermerkt, ebenfalls mit 9 Hops heute zu knapp bemessen Time Stamp: Wie Record Route, jedoch wird ein Zeitstempel mit abgespeichert, nützlich zur Fehlerbehandlung

16 IP-Adressen Jeder Router und jeder Host im Internet haben eigene IP IP Adresse muss eindeutig sein Adresse ist 32-Bit lang und wird üblicherweise byteweise dezimal dargestellt: w.x.y.z Dotted Decimal Notation (DDN) Rechner können mehrere verschiedene Adressen besitzen

17 IP-Adressen Anhand der IP-Adresse lässt sich erkennen, welcher Klasse sie zugeordnet ist Es gibt bis zu 126 Klasse A Netzen mit bis zu 16 Millionen Hosts Klasse B Netze mit Hosts (z.b. Uni) Klasse C, 2 Mio Netze mit 254 Hosts Adressen werden vom Network Information Center (NIC) vergeben um Konflikte zu vermeiden

18 IP-Adressen

19 Spezielle Adressen IP Adresse eigener Host (Initialisierung) 0 als Netzkennzeichnung => Host im eigenen Netz ist Broadcastadresse ist Loopback (Klasse D) Multicastadressen Private Adressbereiche 10.x.x.x, und Klasse E Netze experimentell

20 Spezielle Adressen

21 Subnetze Große Netzwerke speziell Klasse A und B lassen sich sinnvoller Weise in logische Gruppen (Teilnetze/Subnetze) unterteilen Neben Adresse wird Netzwerkmaske benötigt Eingehende Adresse wird mit der Maske UND- Verknüpft Anhand des Ergebnisses erkennt der Router, ob sein Subnetz gemeint ist Erspart umfangreiche Routingtabellen Ebenfalls im DDN Format

22 Classless Interdomain Routing RFC 1519 CIDR ist unabhängig von den vordefinierten Klassen Ein ISP kann ein Klasse B Netz aufteilen und mehreren Kunden Teile zuweisen Notation ist IP-Adresse/Anzahl der Netzwerkbits, z.b /26 statt / Netzwerkbits entsprechen den Maskenbits

23 Netzmaske

24 Internet Steuerprotokolle ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) RARP (Reverse Address Resolution Protocol) BOOTP (Bootstrap Protocol)

25 ICMP RFC 792 (Request for Comments) Schwerwiegende Probleme (z. B. Unterbrechung einer Leitung) werden zur Vermeidung von Folgefehlern mittels ICMP den Kommunikationspartnern mitgeteilt Ist in IP-Datagramm gekapselt

26 ICMP Es gibt verschiedene Nachrichtentypen, die jeweils verschiedene Header haben Einzelne Paketverluste werden nicht gemeldet (unzuverlässiger Datagrammdienst) ICMP meldet keine Fehler bzgl. ICMP-Pakete ICMP unterstützt den Austausch von Statusanfragen und Zustandsinformation zur Kontrolle und Fehlersuche im Netz (Test von Routen; Messen von Verzögerungen etc.) Bekannteste Anwendung: Ping

27 ICMP Typen

28 ICMP Header 5

29 ARP Problem: IP Adressen sind virtuell, d.h. sie werden von der Software verwaltet Für den Benutzer sind IP Adressen verständlich und vermitteln den Eindruck eines großen Netzes Die Rahmenübertragung findet aber auf Schicht 2 statt, hier sind IP-Adressen unverständlich Zur Datenübertragung ist deshalb die Hardwareadresse notwendig

30 ARP Lokal Möglichkeit 1: Alle lokalen Hardwareadressen werden von einem Server verwaltet Möglichkeit 2: Der Sender sendet ein Broadcast mit IP- Adresse des gewünschten Zielrechners Nur Zielrechner antwortet und übermittelt Hardwareadresse

31 ARP Optimierung Bei einer Anfrage sendet die Quelle gleich die eigene Hardwareadresse mit Eingehende HW-Adressen kommen in einen Cache Zur Erkennung neuer Hardware läuft Cache ab Neuer Rechner sendet zu Beginn Anfrage mit eigener IP, weil Doppelte IP würde erkannt werden (Bei Antwort) HW-Adresse wird allen mitgeteilt (für Cache)

32 1. Möglichkeit: ARP-Proxy ARP Global Router erkennt, dass sich die Anfrage auf ein anderes Netz bezieht Router gibt sich als Stellvertreter aus 2. Möglichkeit: Host ist bekannt, dass Empfänger in anderem Netz liegt IP-Paket mit Adressangabe wird an Router geschickt

33 Genereller Ablauf: ARP Global Rahmen mit IP-Paket wird zum Router gesendet Router liest IP-Paket aus Ziel wird aus Routingtabelle bestimmt Paket wird zum Zielrouter gesendet, im Beispiel in einem FDDI Rahmen, ggf. findet auch hier vorher ein Adress Auflösung statt Zielrouter holt die Information aus dem FDDI Rahmen und sendet HW-Adresse zurück (falls bekannt) oder sendet das Paket ins eigene LAN Dann wie gehabt

34 ARP Beispiel

35 ARP

36 ARP Hardware Address Type: Art der benutzten Hardware, enthält z.b. eine 1 für Ethernet Protocol Address Type: Art des verwendeten Protokolls, z.b. 0x0800 für IP HaddrLen/PaddrLen: Anzahl von Bytes, die für die Hardware- bzw. Protokolladresse benötigt werden

37 ARP Operation: Enthält entweder 1 oder 2 zur Unterscheidung zwischen Anfrage und Antwort (wichtig z.b. bei Ethernet) Sender Haddr/Paddr: Hardware- bzw. Protokolladresse des Senders Target Haddr/Paddr: Hardware- bzw. Protokolladresse des Empfängers wobei Target Haddr. im Anfragepaket 0 ist

38 RARP Ermittelt Protokolladresse (z.b. IP) zu einer Hardwareadresse Vorteil: Festplattenlose Rechner müssen eigene IP nicht fest verdrahten (flexibler und Bootsoftware kann unmodifiziert für viele Systeme verwendet werden) Nachteil: Anfrage geschieht über Broadcast (wird nicht geroutet) => jedes Subnetz benötigt eigenen Server

39 BOOTP Alternative zu RARP Erlaubt Endsystemen ohne Festplatte IP- Adresse und weitere Standardinformationen vom Server zu holen Verwendet UDP und TFTP => kann Netzweite Anfragen stellen

40 IPv6 IPv4 hat einen Adressraum von knapp 4Mrd. Durch enorme Zuwachszahlen im Internet wird der Adressraum bald erschöpft sein 1990 begann die IETF (Internet Engineering Task Force) mit Entwicklung eines neuen IP Ergebnis ist IPv6

41 Ziele von IPv6 Größerer Adressraum Reduzierung von Routing-Tabellen Vereinfachung des Protokoll, damit Router Pakete schneller abwickeln können Höhere Sicherheit (Authentifikation und Datenschutz) Mehr Gewicht auf Dienstarten (speziell Echtzeitanwendungen)

42 Ziele von IPv6 Unterstützung von Multicast durch Definition des Umfangs Einfache Adressänderung (z.b. für Reisen) Flexible Gestaltung, damit Weiterentwicklung möglich ist Unterstützung der alten Protokolle um einen sanften (langjährigen) Übergang zu gestatten

43 IPv6 IPv6 ist bezüglich der Headergestaltung flexibler geworden Es gibt einen Basisheader und beliebige optionale Header

44 IPv6 Basisheader Header beinhaltet keine Prüfsumme mehr!

45 IPv6 Basisheader Version: Versionsnummer des Protokolls Traffic Class: Verkehrsklasse zur Spezifikation allgemeiner Eigenschaften, z.b. wenn geringe Verzögerung erforderlich ist Flow Label: Bereitstellung einer Dienstklasse, ist dieser Wert gesetzt, werden alle Pakete über die gleiche Route gesendet (simuliert verbindungsorientierte Übertragung)

46 IPv6 Basisheader Payload Lenght: Länge des Nutzdatenfeldes (vgl. IPv4, dort war Gesamtlänge angegeben) Next Header: Enthält entweder den Typ des nächsten (optionalen) Headers oder den Typ der Datenart im Datenteil (z.b. TCP oder UDP) Hop Limit: Gibt an, nach wie vielen Hops das Paket verworfen wird Source/Destination Address: Jeweils 128-Bit Adressraum für Quell- und Zieladresse

47 IPv6 Header Beispiel für den NEXT-Header Zeiger: (a) Keine Optionen, NEXT zeigt auf Nachrichtentyp (b) NEXT zeigt auf Option ROUTE, NEXT von ROUTE gibt den Nachrichtentyp an

48 IPv6 Optionen Woran wird Beginn des Folgeheaders erkannt? (a) Einige Header haben feste Länge, Basisheader z.b. 40 Bytes, wird am Typ erkannt (b) Header die Optionen beinhalten, werden über das Feld HEADER LEN in ihrer Länge definiert

49 Sinn mehrerer Header Wirtschaftlichkeit Geringerer Overhead durch Maßschneiderung Beispiel: Fragmentierungsinformationen bei IPv4 stets mitgesendet aber selten benötigt Erweiterbarkeit Einführung neuer Standards möglich, ohne Protokoll grundlegend zu verändern (IPv4 Header -> IPv6) Experimentelle Header zweier Systeme können durchs Internet geroutet werden, sofern Routing Header vor experimentellen Headern stehen

50 Fragmentierung Wie bei IPv4 kommt ein Präfix vor jedes Fragment Da Basisheader keine Fragmentierungsinformationen mehr beinhaltet wird Fragmentheader benötigt Fragmente werden ausschließlich am Header erkannt Alle Fragmente haben gleiche Länge, außer dem letzten

51 Fragmentierung

52 Fragmentierung Wichtigster Unterschied: Unter IPv6 wird nicht von Routern fragmentiert! Bestimmung der MTU (Maximum Transfer Unit) ist nun Aufgabe des Hosts Prozess (Path MTU Discovery) verläuft normalerweise iterativ Router verwerfen zu große Pakete mit einer Fehlermeldung

53 IPv6 Adressierung Wegfall von Broadcast, statt dessen Unicast: Ansprechen eines Ziels Multicast: Gruppe von mehreren Computern, die ggf. verschiedene Standorte haben, ersetzt Broadcast, Gruppenzugehörigkeit ist jeder Zeit änderbar Anycast: Anfrage an redundante Server möglich, Zuweisung kann z.b. nach Last oder Nähe entschieden werden

54 IPv6 Adressierung Adressraum beträgt nun 128 Bit Entspricht ca. 3,4*10^38 Adressen Oder 667 Billiarden Adressen/mm^2 Erde Aufgrund der Darstellungslänge in DDN gibt es neue Schreibweise (jetzt in hex): z.b. 3ffe:400:280:0:0:0:0:1 oder kurz 3ffe:400:280::1 (EINE Gruppe von Nullen kann durch :: ausgespart werden)

55 IPv6 Adressierung IPv4 Adressen können durch ::ffff: dargestellt werden, entspricht ::ffff:8b12:2647 Schreibweise mit Präfix IPv6/Präfix, z.b. 3ffe:400:280:0:0:0:0:1/48 d.h =80 Bit für lokale Adressierung

56 Aufteilung der Adressen reserviert für spezielle Anwendungen 0::0/8 0,4% noch nicht zugeordnet 100::0/8 0,4% Abbildung von NSAP-Adressen 200::0/7 0,8% Abbildung von IPX-Adressen 400::0/7 0,8% noch nicht zugeordnet 600::0/7 0,8% noch nicht zugeordnet 800::0/5 3,1% noch nicht zugeordnet 1000::0/4 6,3% global eindeutige Adressen 2000::0/3 12,5% noch nicht zugeordnet 6000::0/3 12,5% noch nicht zugeordnet 8000::0/3 12,5% noch nicht zugeordnet A000::0/3 12,5% noch nicht zugeordnet C000::0/3 12,5% noch nicht zugeordnet E000::0/3 6,3% noch nicht zugeordnet F000::0/5 3,1% noch nicht zugeordnet F800::0/6 1,6% noch nicht zugeordnet FE00::0/7 0,8% noch nicht zugeordnet FE00::0/9 0,2% auf eine Verbindung begrenzte Adressen FE80::0/10 0,1% auf eine Einrichtung begrenzte Adressen FEC0::0/10 0,1% Multicast-Adressen FF00::0/8 0,4%

57 IPv6 Sonstiges Trotz des großen Adressraumes gibt es wiederum private Adressbereich, vergleichbar dem Bereich Einführung des Protokolls noch ungewiss Vorwiegendes Interesse in Europa und Asien, wenig Interesse Seitens der USA (da im Besitz von ca. 75% des IPv4 Adressraumes)

58 IPsec IP Security Protocol (IPsec) Gehört in IPv6 zum Standard Für IPv4 zusätzliche Installation notwendig

59 IPsec Implementierungen

60 IPsec Bietet Paketintegrität Verwendung von HMAC (Hash based Message Authentication) vorgeschrieben Hashwert durch symmetrische Verschlüsselung abgesichert Paketauthentifizierung Ergibt sich aus Paketintegrität Paketvertraulichkeit Inhalte der IP Pakete wird symmetrisch verschlüsselt

61 IPsec Bietet Verkehrsflussvertraulichkeit Durch Tunnelmodus gewährleistet Schutz vor Replay Angriffen Jedes Paket wird durch ARS (Anti Replay Service) auf Wiederholungen geprüft

62 Datenverschlüsselung Symmetrische Verschlüsselung Modus: Cypher Block Chaining mit explizitem Initialisierungsvektor Gängige Verfahren und Schlüssellängen (Triple )DES, Blowfish, IDEA, Cast, RC5 56 Bit (DES) 448 Bit (Blowfish)

63 DES im CBC Modus mit IV

64 Integritätsprüfung Vorgeschriebene Verfahren HMAC MD5 96 und HMAC SHA1 96 Gelten als sicher gegenüber Kollisionen Sicherheit beruht auf symmetrischen Schlüsseln, die per IKE (Internet Key Exchange) ausgetauscht wurden Die niederwertigen 32 Bit des 128 Bit langen Wertes werden entfernt

65 HMAC

66 Integritätsprüfung ICV=Integrity Check Value

67 Anti Replay Service Erkennung doppelter bzw. veralteter Pakete Pakete werden durch monoton steigende 32Bit Sequenznummer markiert Empfänger hat 32 oder 64 Bit Empfangsfenster Eintreffende Pakete links davon werden verworfen Pakete rechts davon verschieben das Fenster

68 Anti Replay Service

69 ARS Problem IPsec sieht u.u. vor, die Integritäts und Authentizitätsprüfung abzuschalten Dadurch können falsche Pakete mit zu großen Sequenznummern eingespielt werden ARS verschiebt Fenster zu schnell nach rechts Gültige Pakete werden verworfen Gefälschte Pakete werden erst nach Entschlüsselung erkannt

70 IPsec Sicherheitsassoziation (SA) Bestimmt das Verhalten von IPsec Verwendete Verschlüsselung Lebensdauer der SA Authentifizierungsprotokoll Verbindungsdaten werden jeweils in die Security Association Database (SAD) eingetragen Eine SA ist immer unidirektional Mehrere SAs über eine Verbindung möglich Z.B. bei Paketen mit verschiedener Sicherheitsstufe

71 Sicherheitsassoziation PFS=Perfect Forwarding Secrecy (siehe IKE Protokoll)

72 IPsec Sicherheitsassoziation (SA) Identifizierung der SA anhand des Security Parameter Index (SPI) Wichtig falls mehrere SAs innerhalb eine IP Verbindung mit gleichem Protokoll existieren und sich nur in Verschlüsselungsstärke unterscheiden SAs werden i.d.r. durch IKE Protokoll erzeugt Löschen der SA erfolgt auch durch IKE, wenn Verbindsdauer überschritten Maximale Anzahl von Daten übertragen

73 Security Policy Security Policy Database (SPD) Beinhaltet Regeln für die Behandlung ein und ausgehender Pakete discard Pakete werden nicht bearbeitet bypass Pakete umgehen IPsec apply Verweis auf SA wird zurückgeliefert und Datagramm entsprechend bearbeitet Falls keine SA existiert wird sie per IKE erzeugt

74 Betriebsmodi Tunnelmodus Einbettung des originalen IP Paketes Schütz das gesamte IP Paket Kann in allen Einsatzszenarien verwendet werden Transportmodus Schütz den Datenbereich des IP Paketes Kann nur für Host zu Host Verbindungen genutzt werden

75 Einsatzszenarien

76 Authentication Header Sichert Authentizität und Integrität der Daten ARS kann eingesetzt werden Dient nicht zur vertraulichen Datenübertragung Schutz erstreckt sich über das gesamte Paket (auch IP Kopf) NAT somit nicht möglich

77 Authentication Header

78 AH Paketformat

79 AH Paketformat Next Header Gibt Protokoll des Inhaltes an (Transportmodus) Im Tunnelmodus immer Wert 4 (IP) Payload Lenght Länge des Kopfes in Vielfachen von 64 Bit

80 Encapsulating Security Payload ESP Wie AH + Datenvertraulichkeit IP Kopf wird nicht mit authentifiziert Authentifizierungdaten werden hinten angehangen Erlaubte Variationen ESP mit Verschlüsselung (nicht sinnvoll) ESP mit Integritätscheck ESP mit beidem

81 Encapsulating Security Payload

82 ESP Paketformat

83 ESP Paketformat Initialisierungsvektor für CBC Padding Einige Verschlüsselungsalgorithmen erwarten vielfaches einer bestimmten Blocklänge Padding Länge 0 falls kein Padding verwendet wird Next Header Wie AH

84 Verarbeitung eines ESP Pakets

85 Zusammenfassung Ausschnitte aus der Vermittlungsschicht Routing Etwas Hardware IPv4 incl. ICMP ARP, RARP, BOOTP Fragmentierung IPv6