Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
1schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
KM-/VS-SeminarWintersemester 2002/2003
Betreuer: Martin Gutbrod
2schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Übersicht
EinleitungAAASzenarien
Remote dial-inMobile dial-inMobile telephony
Design von DiameterFeaturesProtokoll LayoutAnwendungen
Ausblick
3schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Einleitung
DiameterNetzwerk Protokoll
IETF „proposed standard“ seit 27. Januar 2003
Ersetzt RADIUS
Anwendungen in verschiedenen Umgebungen durch Modularität
4schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
AAA
AuthenticationDie Identität eines Nutzers überprüfen
AuthorizationHerausfinden, ob dem Nutzer Rechte gewährt werden
NetzwerkzugangZugang mit hoher BandbreiteNutzung von Diensten
AccountingDaten zur Nutzung von Ressourcen sammeln, z.B. für
VerkehrskontrolleAbrechnung
5schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Remote dial-in
User NAS
AAA Server
Home ISP
1
4
2 3
6schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Remote dial-in
Beispiel: Anwender wählt sich von zu Hause im Firmennetzwerk ein
Bisheriger de facto Standard hierfür: RADIUSErmöglichte erstmals Zentralisierung von AA Funktionen auf einem Server
ProblemeLangsam in großen Netzen
Keine Staukontrolle
7schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile dial-in
User NAS
AAA Server AAA Server
Visited ISP Home ISP
1
6
2 5
3
4
8schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile dial-in
Beispiel: Einwahl ins Firmennetz per Internet Service Provider
ProblemeQuality of Service sicherstellen
Staukontrolle
Abrechnung
Authentication ohne „shared secret“
9schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile telephony
SIPPhone
SIPPhone
SIPProxy
SIPProxy
CHx
CHy
VisitedDomain
AAABrokers
HomeDomain
CalledDomain
SIPProxy
1
2
3
4
5 7 9
6 8
AAASvr
AAASvr
AAASvr
10schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile telephony
Beispiel: Zugang zum Firmennetz aus dem fahrenden AutoZusätzliche Probleme
Konstante IP-Adresse
Shared Secret
Kontakte/Verträge zwischen allen möglichen Domains
Broker
11schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
FeaturesSCTP statt UDP
Flußkontrolle
Staukontrolle und -vermeidung
Zuverlässiger Transport
TCP möglich, aber ohne SCTP Vorteile
Keep-alive messagesVersagen eines Peers wird schneller erkannt
Peer-to-Peer ArchitekturAuch „Server“ dürfen Anfragen stellen oder Verbindung abbrechen
12schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
ZeitstempelVerhindert Replay-Attacken
Platz für ErweiterungenHersteller-definierbar
Garantiert zukünftige Erweiterbarkeit
IPSec und TLSDank IPSec und Transport Layer Security ist kein „shared secret“ mehr nötig
End-to-End Sicherheit mit CMSVerhindert Manipulationen auf dem (unsicheren) Übertragungsweg durch Verschlüsselung
13schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
Protokoll Layout
14schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Ver | Message Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|R P E T r r r r| Command-Code |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Application-ID |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Hop-by-Hop Identifier |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| End-to-End Identifier |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| AVPs ...+-+-+-+-+-+-+-+-+-+-+-+-+-
15schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Anwendungen
NASREQNetwork Access Server Requirement
Ersatz RADIUSIn allen dial-in Szenarien verwendet
Mobile IPv4Netzwerkzugang in Bewegung
EAPExtensible Authentication Protocol
PPP ProtokollVerpackt in Diameters AVPs
IPFIXDatenflußinformationen sammeln
16schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Ausblick
IETF proposed standard
Erste ImplementierungenMoby Dick Projekt
Open Source
Ersatz für RADIUSImplementierung komplexer
Sicherheitsbedingungen schwerer zu implementieren