Diameter
-
Upload
rudolpho-calvey -
Category
Documents
-
view
52 -
download
1
description
Transcript of Diameter
1schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
KM-/VS-SeminarWintersemester 2002/2003
Betreuer: Martin Gutbrod
2schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Übersicht
Einleitung
AAA
SzenarienRemote dial-in
Mobile dial-in
Mobile telephony
Design von DiameterFeatures
Protokoll Layout
Anwendungen
Ausblick
3schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Einleitung
Diameter
Netzwerk Protokoll
IETF „proposed standard“ seit 27. Januar 2003
Ersetzt RADIUS
Anwendungen in verschiedenen Umgebungen durch Modularität
4schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
AAA
AuthenticationDie Identität eines Nutzers überprüfen
AuthorizationHerausfinden, ob dem Nutzer Rechte gewährt werden
Netzwerkzugang
Zugang mit hoher Bandbreite
Nutzung von Diensten
AccountingDaten zur Nutzung von Ressourcen sammeln, z.B. für
Verkehrskontrolle
Abrechnung
5schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Remote dial-in
User NAS
AAA Server
Home ISP
1
4
2 3
6schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Remote dial-in
Beispiel: Anwender wählt sich von zu Hause im Firmennetzwerk ein
Bisheriger de facto Standard hierfür: RADIUS
Ermöglichte erstmals Zentralisierung von AA Funktionen auf einem Server
Probleme
Langsam in großen Netzen
Keine Staukontrolle
7schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile dial-in
User NAS
AAA Server AAA Server
Visited ISP Home ISP
1
6
2 5
3
4
8schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile dial-in
Beispiel: Einwahl ins Firmennetz per Internet Service Provider
Probleme
Quality of Service sicherstellen
Staukontrolle
Abrechnung
Authentication ohne „shared secret“
9schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile telephony
SIP
Phone
SIP
Phone
SIP
Proxy
SIP
Proxy
CHx
CHy
Visited
Domain
AAA
Brokers
Home
Domain
Called
Domain
SIP
Proxy
1
2
3
4
5 7 9
6 8
AAA
Svr
AAA
Svr
AAA
Svr
10schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Szenarien: Mobile telephony
Beispiel: Zugang zum Firmennetz aus dem fahrenden Auto
Zusätzliche Probleme
Konstante IP-Adresse
Shared Secret
Kontakte/Verträge zwischen allen möglichen Domains
Broker
11schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
Features
SCTP statt UDP
Flußkontrolle
Staukontrolle und -vermeidung
Zuverlässiger Transport
TCP möglich, aber ohne SCTP Vorteile
Keep-alive messages
Versagen eines Peers wird schneller erkannt
Peer-to-Peer Architektur
Auch „Server“ dürfen Anfragen stellen oder Verbindung abbrechen
12schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
Zeitstempel
Verhindert Replay-Attacken
Platz für Erweiterungen
Hersteller-definierbar
Garantiert zukünftige Erweiterbarkeit
IPSec und TLS
Dank IPSec und Transport Layer Security ist kein „shared secret“ mehr nötig
End-to-End Sicherheit mit CMS
Verhindert Manipulationen auf dem (unsicheren) Übertragungsweg durch Verschlüsselung
13schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
Protokoll Layout
14schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Diameter
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Ver | Message Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |R P E T r r r r| Command-Code | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Application-ID | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Hop-by-Hop Identifier | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | End-to-End Identifier | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | AVPs ... +-+-+-+-+-+-+-+-+-+-+-+-+-
15schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Anwendungen
NASREQNetwork Access Server Requirement
Ersatz RADIUS
In allen dial-in Szenarien verwendet
Mobile IPv4Netzwerkzugang in Bewegung
EAPExtensible Authentication Protocol
PPP Protokoll
Verpackt in Diameters AVPs
IPFIXDatenflußinformationen sammeln
16schulze_diameter.pptChristian Schulze_03-Februar-07
TECHNISCHE UNIVERSITÄT
ZU BRAUNSCHWEIGCAROLO-WILHELMINA
Institut für Betriebssysteme und Rechnerverbund http://www.tu-bs.de http://www.ibr.cs.tu-bs.de
Ausblick
IETF proposed standard
Erste Implementierungen
Moby Dick Projekt
Open Source
Ersatz für RADIUS
Implementierung komplexer
Sicherheitsbedingungen schwerer zu implementieren