8 – Tecnologias para WLANS - silvamello.org · System Interconnection), a camada de enlace e a camada física. No modelo IEEE 802 a camada de enlace corresponde a duas sub- camadas,

1

Planejamento de Sistemas de Comunicações Celulares e de Rádio Acesso

8 – Tecnologias para WLANS

CETUC-PUC/Rio

Planejamento de Sistemas de Comunicações Celulares e de Rádio Acesso 2

Sumário

  Tecnologias para WLANs   Home RF   Hiperlan e Hiperlan2   IEEE 802.11 – Camada MAC e camada PHY

  Evolução do padrão IEEE 802.11   IEEE 802.11b   IEEE 802.11a   IEEE 802.11g   Suplementos do padrão IEEE 802.11

  Equipamentos para redes WiFi   Topologia de redes WiFi

  Topologia Ad-Hoc   Topologia Infra-estruturada

2

CETUC-PUC/Rio


Visão histórica

  Em 1971, surge o protocolo que deu origem ao CSMA (carrier sense multiple access): interligação por satélite de 4 ilhas no Havaí (ALOHANET).

  Em 1990, os primeiros equipamentos começam a ser vendidos para utilização nas bandas ISM (900 MHz, 2,4 GHz, 5 GHz) que não requerem licenciamento mas são regulamentadas em termos de limites de emissão para limitar interferências.

  As primeiras tecnologias para WLANs eram soluções proprietárias, com baixas taxas de transmissão, confiabilidade muito limitada e segurança deficiente.

  A partir de 1997, começaram a surgir padrões criados por consórcios industriais e organismos como o IEEE (Institute of Electrical and Electronics Engineers) e o ETSI (European Telecommunication Standards Institute). Entre os principais padrões estão o HomeRF, HiperLAN, HiperLAN2 e IEEE 802.11.

CETUC-PUC/Rio


HomeRF

  A tecnologia HomeRF (Home Radio Frequency) foi desenvolvida por um consórcio de mais de 100 empresas, incluindo a Siemens e a Motorola, específicamente para aplicações domiciliares.

  O grupodesenvolveu a especificação SWAP (Shared Wireless Access Protocol), que utiliza técnica de acesso FHSS (Frequency Hopping Spread Spectrum) e opera na banda ISM de 2,4 GHz com alcance de apenas 50 m.

  A taxa típica de transmissão de 1,6 Mbps, tanto de voz como de dados   Desenvolvido como uma alternativa de menor custo para aplicações em

residências, como alternativas ao padrão IEEE 802.11   A impressionante penetração conseguida pelo IEEE 802.11 gerou redução

dos custos de equipamentos e fez com que sua aplicação se estendesse também às redes domésticas.

  Como conseqüência, embora exista ainda uma significativa base instalada de equipamentos HomeRF, principalmente nos E.U.A., esta tecnologia está se tornando obsoleta.

  O Home Radio Frequency Working Group desfez-se em janeiro de 2003 e não há posterior desenvolvimento da tecnologia.

3

CETUC-PUC/Rio


HiperLan

  HiperLAN é o acrônimo para High Performance Radio Local Area Network.   Padrão para WLANs desenvolvido pelo European Telecommunications

Standards Institute (ETSI).   Similar ao padrão IEEE 802.11, mas operando na faixa ISM de 5 GHz com

o objetivos oferecer taxas de transmissão mais elevadas.   O padrão HiperLAN foi aprovado em 1996 e oferece taxas máximas de

até 20 Mbps, com alcance típico de 50 metros em aplicações estáticas ou de baixa mobilidade (velocidades menores do que 1,4 m/s).

  Suporta tráfego síncrono e assíncrono para aplicações de som a 32 kbps, vídeo a 2 Mbps e dados a 20 Mbps.

  O padrão especifica as camadas física (PHY) e de controle de acesso ao meio (MAC). Inclui uma subcamada de controle de acesso (Channel Access and Control - CAC) que utiliza um mecanismo denominado Elimination-Yield Non-Preemptive Multiple Access (EY-NPMA) que minimiza colisões.

CETUC-PUC/Rio


HiperLan2

  A versão HiperLAN2, concluída em fevereiro de 2000, foi projetada para provêr acesso de alta velocidade a redes ATM, IP e ao backbone de redes UMTS, além de aplicações como WLAN corporativa ou domiciliar.

  Opera na banda ISM de 5GHz e permite a transmissão de som, vídeo e dados, com taxas de até 54 Mbps e qualidade de serviço (QoS).

  O padrão especifica a camada física, camada de controle de enlace de dados (Data Link Control – DLC) e uma camada de convergência.

  A camada física utiliza modulações BPSK, QPSK, 16QAM ou 64QAM, dependendo da condição do canal.

  Utiliza algoritimos DES e 3DES para autenticação entre pontos de acesso (APs) e terminais, provendo um bom nível de segurança.

  Boa parte dos objetivos para os quais este padrão foi projetado são atendidos pela família 802.11, embora a Hiperlan2 apresente o diferencial de QoS.

  Embora este diferencial seja pouco é irrelevante para acesso à Internet, há correntes que defendem que o desempenho técnico superior da HiperLAN 2 garantirá um nicho de mercado para esta tecnologia.

4

CETUC-PUC/Rio


Os padrões IEEE 802.11

  O IEEE produziu a série dos padrões designados IEEE 802.x, que abrangem originalmente LANs e MANs, e mais recentemente passaram a incluir as PANs.

  A família IEEE 802 é limitada a padronizar processos e procedimentos referentes às duas camadas inferiores do modelo da referência OSI (Open System Interconnection), a camada de enlace e a camada física.

  No modelo IEEE 802 a camada de enlace corresponde a duas sub-camadas, a LLC (Logical Link Control) e a MAC (Medium Access Control).

GE

RE

NC

IAM

EN

TO

GE

RE

NC

IAM

EN

TO

802.1

802.1

VIS

ÃO

GE

RA

L E

V

ISÃ

O G

ER

AL

E

AR

QU

ITE

TU

RA

802

AR

QU

ITE

TU

RA

802

SE

GU

RA

NÇ

AS

EG

UR

AN

ÇA

802.1

0802.1

0

802.3802.3 802.4802.4 802.5802.5 802.6802.6

PONTES PONTES 802.1802.1

802.2802.2

802.11802.11 802.12802.12 802.15802.15 802.16802.16 802.17802.17

EnlaceEnlace

FísicoFísico

LLCLLC

MACMAC

CETUC-PUC/Rio


Os grupos de trabalho IEEE 802.11

  O comitê encarregado da padronização, denominado IEEE 802 LAN/MAN Standards Committee, é dividido em grupos de trabalho (Working Groups - WGs).

  O WG 802.1 cria padrões para segurança e o WG 802.2 para controle de enlace lógico (Logical Link Control - LLC), que se aplicam tanto a redes cabeadas como sem fio.

  O WG 802.11 cria padrões pada WLANs, o 802.15 para WPANs e o WG 802.16 para WMANs.

GE

RE

NC

IAM

EN

TO

GE

RE

NC

IAM

EN

TO

802.1

802.1

VIS

ÃO

GE

RA

L E

V

ISÃ

O G

ER

AL

E

AR

QU

ITE

TU

RA

802

AR

QU

ITE

TU

RA

802

SE

GU

RA

NÇ

AS

EG

UR

AN

ÇA

802.1

0802.1

0

802.3802.3 802.4802.4 802.5802.5 802.6802.6

PONTES PONTES 802.1802.1

802.2802.2

802.11802.11 802.12802.12 802.15802.15 802.16802.16 802.17802.17

EnlaceEnlace

FísicoFísico

LLCLLC

MACMAC

5

CETUC-PUC/Rio


O padrão IEEE 802.11

  No início da década de 1990 a Federal Communications Comission (órgão regulador dos EUA) solicitou ao IEEE que desenvolvesse um padrão que permitisse a fabricação de equipamentos capazes de interoperabilidade.

  Foi criado o grupo de trabalho IEEE 802.11, responsável por padrões que especificam uma interface aérea entre um cliente sem fio e uma estação base ou ponto de acesso (Access Point) em redes de acesso local.

  Escopo das entidades e protocolos do padrão IEEE 802.11:

CETUC-PUC/Rio


A camada MAC do padrão IEEE 802.11

  O padrão 802.11 define apenas a sub-camada MAC da camada de enlace, que oferece dois tipos de controle de acesso, um assíncrono e outro síncrono, livre de contenção.

  Quando as estações se comunicam diretamente umas com as outras o controle é assíncrono e a coordenação da rede acontece de forma distribuída.

  O controle assíncrono é realizado por uma função de coordenação distribuída (Distributed Coordination Function - DCF). A DCF utiliza a técnica Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA), na qual a estação que deseja transmitir ativa seu receptor para detetar a presença de portadora no meio antes de iniciar sua transmissão.

  Este método é semelhante ao CSMA/CD utilizado nas redes Ethernet e também se baseia na detecção de portadoras, mas ao contrário deste, o CSMA/CA evita as colisões em lugar de detectá-las.

6

CETUC-PUC/Rio


Controle assíncrono no padrão IEEE 802.11

  Este método alternativo é utilizado porque os terminais do padrão 802.11 são half-duplex para reduzir seu custo e complexidade, não podendo transmitir e receber simultâneamente.

  A detecção de portadora é feita de duas maneiras: utilizando o sinal de avaliação de canal livre (CCA - Clear Channel Assessment), cuja implementação é obrigatória, ou utilizando pacotes RTS/CTS (Request To Send/Clear To Send) que implementam um esquema de detecção de portadora virtual utilizando um vetor de alocação do meio (NAV – Network Allocation Vector), cuja implementação é opcional.

  Se o meio estiver livre e permanecer neste estado por um tempo maior do que um intervalo de tempo bem definido (Interframe Space), a estação pode transmitir. Caso contrário, a transmissão é adiada por um de intervalo de espera aleatório, uniformemente distribuído em uma janelas de contenção (Content Window - CW), limitada por valores CWmin e CWmax.

CETUC-PUC/Rio


Controle síncrono no padrão IEEE 802.11

  Quando as estações não se comunicam diretamente mas através de um ponto de acesso (AP), o controle é síncrono.

  O controle síncrono é fornecido pela função de coordenação pontual (Point Coordination Function - PCF) que, basicamente, implementa o polling como método de acesso. O modo PCF é uma função opcional construída sobre o modo DCF e implementada através de um mecanismo de acesso ordenado ao meio que proporciona a oportunidade de transmitir sem contenção.

  O modo PCF utiliza um coordenador pontual, normalmente o AP, que acessa as estações ciclicamente dando-lhes a oportunidade de transmitir.

  O coordenador pontual divide o tempo de acesso em períodos de superquadros. Cada superquadro compreende um período livre de contenção (modo PCF) e um período com contenção (modo DCF).

7

CETUC-PUC/Rio


A camada física do padrão IEEE 802.11

  Sub-camada PLCP (Physical Layer Convergende Procedure), que converte os dados da camada MAC em quadros adequados à transmissão.

  Sub-camada PMD (Physical Medium Dependent), que recebe os quadros da camada PLCP e é responsável pela modulação, demodulação, detecção de portadora, transmissão e recepção.

CETUC-PUC/Rio


A sub-camada PLPC do padrão IEEE 802.11

  O padrão IEEE 802.11 emprega três tipos diferentes de quadros: quadros de gerenciamento, de controle e de dados.

  O quadro de gerenciamento é utilizado para a associação e desassociação de uma estação ao AP, para a sincronização e para o processo de autenticação.

  O quadro de controle é utilizado para o estabelecimento da conexão durante um CP (Contention Period), para um positive acknowledgment (ACK) durante um CP e para finalizar um CFP (Contention Free Period).

  O quadro de dados é utilizado para a transmissão de dados durante um CP ou um CFP e pode ser combinado com os quadros de polling e ACK durante o CFP.

  O campo Duration ID informa o tempo (em microsegundos) que o canal será alocado para a transmissão da unidade de dados do protocolo MAC (MAC protocol data unit - MPDU). As estações são endereçadas conforme o padrão de endereçamento MAC de 48 bits. O campo de payload de dados é de tamanho variável (de 0 a 2312 bytes). O campo Type indica o tipo do quadro (gerenciamento, controle ou dados). O algoritmo CRC-32 (Cyclic Redundancy Check - 32 bits) é utilizado para detecção de erro.

8

CETUC-PUC/Rio


A sub-camada PMD do padrão IEEE 802.11

  O padrão original IEEE 802.11, publicado em 1999 e permite taxas de transmissão de até 2 Mbps, operando na banda ISM de 2,4 GHz.

  A potência máxima é de 100 mW.

  Utiliza espalhamento espectral por salto em freqüência (Frequency Hopping Spread Spectrum - FHSS) ou espalhamento espectral de seqüência direta (Direct Sequence Spread Spectrum - DSSS).

  Além disto, especifica a operação na faixa de infra-vermelho, para aplicação exclusivamente em ambientes fechados, com transmissão pulsada de 4 ou 16 PPM, potência de 2 watts e taxa de 1,2 Mbps.

CETUC-PUC/Rio


Frequency Hoping Spread Spectrum (FHSS)

  Em cada intervalo de tempo, o sinal é transmitido por uma portadora distinta.

  A seqüência de portadoras de cada canal é dada por um “código”(seqüência pseudo-aleatória) estabelecido no momento da conexão.

  O uso de FHSS minimiza o efeito de desvanecimentos seletivos em freqüência em ambientes sujeitos a multipercurso e garante ainda a confidencialidade da conexão.

9

CETUC-PUC/Rio


Direct Sequence Spread Spectrum (DSSS)

  Cada sinal de informação a ser transmitido mi é multiplicado por um código ci com taxa de bits muito superior à sua.

  Na recepção, o sinal composto por todas as mensagens codificadas é multiplicado novamente pelos diferentes códigos.

  Os códigos são ortogonais (ciXcj=0, se i¹j), permitindo recuperar ós sinais de informação originais.

  A técnica permite multiplexar informações sem separação na freqüência e no tempo, e ainda reduzir efeitos de multipercurso pelo espalhamento espectral do sinal.

CETUC-PUC/Rio


Evolução dos padrões IEEE 802.11

  Apesar do estabelecimento do padrão, existência de três diferentes tecnologias de transmissão criava problemas de interoperabilidade dos dispositivos e vinha provocando a insatisfação de fornecedores e clientes.

  Em 1997 a Lucent, a 3Com, a Aironet (Cisco), a Intersil, a Nokia e a Symbol uniram-se e, para garantir a interoperabilidade entre produtos padrão IEEE 802.11 formaram a WECA (Wireless Ethernet Compatibility Alliance).

  A WECA é uma organização sem fins lucrativos com a missão de certificar produtos WLAN a interoperabilidade de produtos WLAN.

  A ratificação da segunda geração do padrão IEEE 802.11, o 802.11b também chamado de 802.11 HR (high rate), foi concretizada em setembro de 1999 a WECA já incluía, além dos já tradicionais fornecedores de WLAN, outros mais novos na área mas não menos importantes no mercado das telecomunicações, como a Ericsson, a Siemens e a Compaq. A WECA começou a testar e certificar os equipamentos de seus associados, com o selo Wireless Fidelity e surgiu o acrônimo Wi-Fi. A WECA, posteriormente, mudou seu nome para Wi-Fi Alliance.

10

CETUC-PUC/Rio


Evolução dos padrões IEEE 802.11

  Atualmente, apenas os padrões IEEE 802.11 a, b e g correspondem a diferentes implementações da camada física. O padrão 802.11h é uma versão do 802.11g em conformidade com algumas regulamentações específicas da Europa e está em fase de elaboração um novo padrão 802.11n, que permitirá taxas de transmissão de até 100 Mbps.

CETUC-PUC/Rio


Padrão IEEE 802.11b

  Primeiro padrão conhecido como Wi-Fi, é especificado para operar na banda ISM de 2,4 GHz utilizando DSSS e permitindo atingir taxas de 11 Mbps com alcance típico em ambientes fechados de 50 a 100 metros, dependendo da quantidade de paredes e número de obstruções. O sistema opera com 11 canais superpostos de 22 MHz.

ID do canal Freq. Central

1 2412 MHz

2 2417 MHz

3 2422 MHz

4 2427 MHz

5 2432 MHz

6 2437 MHz

7 2442 MHz

8 2447 MHz

9 2452 MHz

10 2457 MHz

11 2462 MHz

2400 [MHz]

2412 2483,5 2437 2462

canal 1 canal 6 canal 11

22 MHz

11

CETUC-PUC/Rio


Padrão IEEE 802.11b

  A potência máxima de transmissão dos equipamentos é tipicamente, 100 mW.

  O que é, de fato, limitado pela regulamentação, é a potência efetiva isotrópicamente irradiada (EIRP), dada pela potência do transmissor multiplicada pelo fator de ganho da antena.

  Nas Américas este limite é de 4 W sendo que, no Brasil, a ANATEL limitou a EIRP a 400 mW para cidades com mais de 500 mil habitantes. Na Europa o limite é de 100 mW e na China de apenas 10 mW. No Japão o limite é de 10 mW/MHz.

  Redes 802.11b utilizando os mesmos canais ou canais superpostos podem funcionar numa mesma região pois o sistema possui algoritmos para evitar colisões. Apesar deste mecanismo, redes que utilizam a mesma área devem utilizar, preferencialmente, canais não superpostos, como os canais 1, 6 e 11para evitar a redução de vazão resultante da divisão da capacidade do sistema.

CETUC-PUC/Rio


Padrão IEEE 802.11a

  Emitido também em 1999, opera na banda ISM de 5 GHz, menos congestionada

  Permite taxas de transmissão até 54 Mbps em canais de 20 MHz utilizando modulação OFDM (Orthogonal Frequency Division Multiplexing).

  Oferece um total de 12 canais sem superposição, 8 para utilização em ambientes fechados (indoor) e 4 para utilização em ambientes abertos (outdoor).

  No Japão, é permitido o uso de apenas 4 canais, enquanto que na Europa o sistema ainda não está regulamentado e seu uso não é permitido.

Canal Freqüência central Região

Uso Américas Japão

34 5170 MHz — X Indoor 36 5180 MHz X — Indoor 38 5190 MHz — X Indoor 40 5200 MHz X — Indoor 42 5210 MHz — X Indoor 44 5220 MHz X — Indoor 46 5230 MHz — X Indoor 48 5240 MHz X — Indoor 52 5260 MHz X — Indoor e

outdoor 56 5280 MHz X — Indoor e



outdoor

12

CETUC-PUC/Rio


Orthogonal Frequency Division Multiplexing (OFDM)

 Utiliza múltiplas portadoras separadas por um múltiplo inteiro da frequência de símbolos (ortogonalidade).

 Cada portadora transmite um subconjunto de dados a baixa taxa, de modo a minimizar a interferência entre símbolos em ambientes sujeitos a multipercurso.

CETUC-PUC/Rio


Padrão IEEE 802.11a

  A potência máxima é especificada em 50mW para produtos que operam na faixa de 5,15 a 5,25 GHz, 250mW para produtos que operam de 5,25 a 5,35 GHz e de 800mW para produtos operando entre 5,725 e 5,82-GHz.

  O limite regulamentado de EIRP nas Américas é de 160 mW para os canais 36 a 48 e de 800 mW para os canais 52 a 64.

  A certificação da Wi-Fi Alliance para o padrão 802.11a é denominada Wi-Fi5.

  Apesar das vantagens que apresenta pela maior velocidade, maior capacidade e operação em uma banda de freqüências menos congestionada, sua penetração foi muito menor do que a do padrão 802.11b. Isto se deve ao menor alcance, pela maior atenuação na banda de 5 GHz, e ao custo mais elevado.

13

CETUC-PUC/Rio


Padrão IEEE 802.11g

  O padrão IEEE 802.11g foi também emitido em 2002 e ratificado em junho de 2003.

  Opera na faixa de 2,4 GHz, com taxa máxima de 54 Mbps, utilizando tanto as técnicas OFDM como DSSS, aliando as vantagens de maior cobertura do 802.11b e maior taxa de cobertura do 802.11a.

  Utiliza a mesma canalização do 802.11b, sendo totalmente compatível (interoperável) com este padrão Entretanto, é preciso considerar que a presença de usuários 802.11b reduz significativamente a taxa de transmissão total de redes 802.11g.

  Embora este padrão permita atingir taxas equivalentes à do 802.11a, na prática o desempenho obtido é apenas um pouco superior ao das redes 802.11b. Isto se deve à canalização com apenas 3 canais sem superposição e ao fato de que as modulações com maior número de níveis só podem ser utilizadas quando a interferência é baixa e as condições de propagação muito favoráveis.

  Alguns fabricantes desenvolveram uma versão proprietária denominada SuperG, que atinge taxas de 108 Mbps, utilizando channel bonding, ou seja, a recepção combinada de mais de um canal no mesmo terminal.

CETUC-PUC/Rio


Comparação entre os padrões IEEE 802.11

Padrão 802.11 802.11a 802.11b 802.11g

Publicação Julho/ 1997 Setembro/1999 Setembro/1999 Julho/2003

Banda total 83,5 MHz 300 MHz 83,5 MHz 83,5 MHz

Banda de frequência s

2,4-2,4835 GHz

5,15-5,35 GHz 5,725-5,825 GHz

2,4-2,4835 GHz

2,4- 2,4835GHz

Técnica de

acesso DSSS, FHSS OFDM DSSS DSSS, OFDM

Taxa de transmissão 1 a 2 Mbps 6 a 54 Mbps 1 a 11 Mbps 1 a 54 Mbps

14

CETUC-PUC/Rio


Padrão IEEE 802.11n

  Este grupo tarefa foi formado em Janeiro de 2004 com o objetivo de desenvolver um padrão capaz de fornecer taxas reais de pelo menos 100 Mbps, com alcances ainda superiores aos dos padrões atuais.

  Isto deve ser conseguido pelo uso de técnicas MIMO (multiple-input multiple-output) que permitem o aumento da taxa de transmissão através de multiplexação espacial e da cobertura pela diversidade de antenas.

  As principais propostas em consideração no âmbito do 802.11n são o sistema WWiSE (World-Wide Spectrum Efficiency) e o sistema TGnSync. O processo de padronização e a publicação do padrão devem ser concluídos até o final de 2006.

CETUC-PUC/Rio


Padrões IEEE 802.11 e suplementos

802.11 PHY

802.11 MAC

higher layers

 802.11a   5 GHz OFDM   54 Mbps

 802.11b   2.4GHz DSSS   5.5, 11 Mbps

 802.11c   bridging tables

 802.11d   international roaming

 802.11e   quality of service

 802.11f   inter-access point protocols

 802.11g   2.4 GHz OFDM   54 Mbps

 802.11h   European regulatory extensions

 802.11i   enhanced security

15

CETUC-PUC/Rio


Suplementos do padrão IEEE 802.11

  IEEE 802.11d: Suplemento para permitir o uso de equipamentos 802.11 em regiões que possuem restrições diferentes ou adicionais às dos cinco grandes domínios reguladores (EUA, Canadá, Europa, Japão e Austrália). Sua especificação é muito similar ao do padrão 802.11b mas com modificações na camada MAC para permitir a adaptação do sistema a regras específicas no que diz respeito a freqüências de operação, máxima potência e largura de banada permitidas. Isto evita a necessidade de fabricação de diversos tipos diferentes de equipamento e é adequado para sistemas que ofereçam roaming global.

  IEEE 802.11e: O Task Group 802.11e é responsável por desenvolver os mecanismos de qualidade de serviço (Quality of Service QoS) para WLANs. A camada MAC do padrão 802.11e emprega TDMA na camada MAC e inclui mecanismos de controle de erro para aplicações sensíveis a retardo, como voz e video. Os equipamentos 802.11e que começam chegar ao mercado em 2005 oferecendo video em tempo real, audio de alta fidelidade e voz sobre IP (VoIP).

  IEEE 802.11f: Especifica o protocolo que permite o roaming entre APs de diferentes fabricantes, denominado Inter-Access Point Protocol (IAPP). Descreve os serviços dos access points (SAP), as primitivas, o conjunto de funções e os protocolos que deverão ser adotados por diferentes fornecedores para operarem em rede.

CETUC-PUC/Rio



  IEEE 802.11h: Extensão desenvolvida para resolver problemas de interferência de equipamentos 802.11a com equipamentos médicos e com os radares que utilizam a banda de 5 GHz, particularmente na Europa. O 802.11h inclui uma função de seleção dinâmica de frequência (Dynamic Frequency Selection - DFS) que, detectando a presença de outros dispositivos num canal, automaticamente muda a freqüência de operação da redes para canais menos interferidos. Possui ainda controle de potência de transmissão (Transmit Power Control - TPC) que reduz a potência de cada transmissor da rede a um nível adequado para minimizar interferências.

  IEEE 802.11i: O padrão 802.11i, ratificado em junho de 2004, fornece melhorias de segurança para redes Wi-Fi através de novos protocolos de cifragem denominados Temporal Key Integrity Protocol (TKIP) e Advanced Encryption Standard (AES).

  IEEE 802.11j: Proposta de padrão inclui canais adicionais na banda de 4.9 GHz a 5.0 GHz e modificações para satisfazer normas Japonesas referentes a potência de transmissão, modos de operação, canalização e emissões espúrias.

  IEEE 802.11k: Proposta que estabelece regras para seleção de canais, roaming e controle de potência de transmissão, de modo a maximizar a taxa de transmissão da rede como um todo.

16

CETUC-PUC/Rio



  IEEE 802.11h: Extensão desenvolvida para resolver problemas de interferência de equipamentos 802.11a com equipamentos médicos e com os radares que utilizam a banda de 5 GHz, particularmente na Europa. O 802.11h inclui uma função de seleção dinâmica de frequência (Dynamic Frequency Selection - DFS) que, detectando a presença de outros dispositivos num canal, automaticamente muda a freqüência de operação da redes para canais menos interferidos. Possui ainda controle de potência de transmissão (Transmit Power Control - TPC) que reduz a potência de cada transmissor da rede a um nível adequado para minimizar interferências.

  IEEE 802.11i: O padrão 802.11i, ratificado em junho de 2004, fornece melhorias de segurança para redes Wi-Fi através de novos protocolos de cifragem denominados Temporal Key Integrity Protocol (TKIP) e Advanced Encryption Standard (AES).

  IEEE 802.11j: Proposta de padrão inclui canais adicionais na banda de 4.9 GHz a 5.0 GHz e modificações para satisfazer normas Japonesas referentes a potência de transmissão, modos de operação, canalização e emissões espúrias.

  IEEE 802.11k: Proposta que estabelece regras para seleção de canais, roaming e controle de potência de transmissão, de modo a maximizar a taxa de transmissão da rede como um todo.

CETUC-PUC/Rio


Equipamentos de redes WiFi

17

CETUC-PUC/Rio


Adaptador do cliente

  O adaptador de cliente de rede sem fio (Wireless Client Adapter), permite ao terminal de usuário a comunicação direta com outros terminais em redes ad hoc ou através de pontos de acesso em redes infra-estruturadas.

  Os primeiros adaptadores de cliente surgiram na forma de cartões PCMCIA para laptops, placas PCI para desktops e jaquetas para PDAs.

  O partir do lançamento pela Intel de sua plataforma Centrino para laptops, que inclui o adaptador de cliente Wi-Fi, outros fabricantes passaram a adotar essa solução.

CETUC-PUC/Rio


Access Point (AP)

  O Access Point (AP) é utilizado em redes infra-estruturadas para permitir aos usuários tanto para a comunicação entre eles como para o acesso a outras redes de dados e à Internet.

  O AP pode ainda atuar como coordenador pontual para acesso síncrono.

  Os APs exercem também a função de roteadores funcionando como um servidor DHCP fazer tradução de endereços (função NAT) para atender vários usuários utilizando um único endereço IP.

  Alguns APs permitem também a conexão de antenas externas.

  Tipicamente, um AP suporta até 30 clientes num raio de 100 m, embora este alcance possa variar bastante.

18

CETUC-PUC/Rio


Wireless Bridge

  Uma wireless bridge permite conectar duas ou mais redes IEEE 802.11 físicamente separadas. Utilizando-se antenas diretivas, é possível alcançar distâncias de até poucos quilômetros.

  Alguns modelos de wireless bridge podem ser configurados em repeater mode, que lhes permite funcionar como repetidor ativo entre duas outras wireless bridges. Isto permite estabeler a comunicação a grandes distâncias mas também limita a taxa de transmissão, uma vez que os pacotes devem ser recebidos e retransmitidos em cada wireless bridge e os equipamentos são half-duplex.

CETUC-PUC/Rio


Wireless Bridge

  Uma workgroup bridge é um equipamente que permite conectar duas redes mas difere da wireless bridge por funcionar como um cliente conectando-se diretamente a um AP, sem a necessidade de outra bridge.

  Este tipo de equipamento é útil para oferecer cobertura em áreas de sombra ou estender a cobertura da rede IEEE 802.11 através da instalação em pontos em que não existe infra-estrutura cabeada para a conexão direta de um AP. As workgroup bridges permitem ainda a conexão cabeada direta de até 8 clientes através de um hub, dispensando neste caso a instalação de um AP adicional.

19

CETUC-PUC/Rio


Topologia de redes WiFi

  Topologia Ad hoc (ou peer-to-peer), na qual as estações de trabalho comunicam-se diretamente, sem a atuação de um AP como coordenador pontual.

  Topologia Infra-estrutura – Esta configuração envolve pelo menos um AP, que atua como coordenador pontual das estações a ele conectadas e através do qual é realizada a comunicação. Esta topologia na qual, ao contrário da topologia ad hoc não há comunicação direta entre os terminais de usuário, admite diferentes configurações, dependendo do número de APs envolvidos, tipo de cobertura e outros equipamentos utilizados.

CETUC-PUC/Rio


Topologia Ad-Hoc

  A topologia ad hoc permite que destops, laptops, PDAs comuniquem-se diretamente para transferência e compartilhamento de arquivos, além do compartilhamento de periféricos como impressoras conectados a alguma das estações de trabalho.

  Caso uma das estações esteja conectada à Internet ela pode servir de gateway para dar acesso às demais.O conjunto de estações que componentes da rede ad hoc é denominado um Independent Basic Service Set (IBSS) .

20

CETUC-PUC/Rio


Problema da estação escondida

  O problema do terminal escondido ocorre no controle assíncrono. As estação B está dentro da área de cobertura das estações A e C, mas cada uma delas não está dentro do alcance da outra. QuandoC desejar transmitir para B e iniciar um processo de detecção de portadora, não será capaz de detectar uma transmissão de A para B, provocando colisões.

  O mecanismo de portador virtual minimiza o problema pelo uso de dois quadros de controle, Request To Send (RTS) e Clear To Send (CTS). Antes da transmissão do quadro de dados a estação fonte transmite um curto quadro RTS, informando à estação receptora sua intenção de transmitir. A estação de destino responde com um quadro CTS para indicar que está disponível.

CETUC-PUC/Rio


Problema da estação exposta

  O problema da estação exposta ocorre em situações nas quais uma transmissão permissível é contida por que a estação que deseja transmitir detecta uma atividade no canal que, na verdade, não provocaria colisão na sua transmissão para a estação de destino.

  O problema da estação exposta reduz o throughput da rede.

21

CETUC-PUC/Rio


Topologia infra-estruturada

  Na topologia infra-estruturada as estações de trabalho comunicam-se através de um ou mais pontos de acesso, conectados a um sistema de distribuição comum (Distribution System - DS), através de um backbone que é responsável pelo transporte das unidades de dados MAC (MAC Service Data Units - MSDU).

  Segundo o padrão IEEE802.11, o DS é implementado de maneira independente e podendo ser uma LAN Ethernet IEEE 802.3, uma LAN Token bus IEEE 802.4, uma LAN Token ring IEEE8 02.5, uma MAN ou outra WLAN IEEE 802.11.

  Dependendo do número de APs e do uso de outros equipamentos, a topologia infra-estruturada admite diferentes configurações: unicelular, con superposição celular, multi-celular e multi-hop.

CETUC-PUC/Rio


Configuração uni-celular

  Uma configuração unicelular correponde a um Basic Service Set (BSS), ou seja, um conjunto de estações de trabalho equipadas com adaptadores de rede sem fio e associados a um único AP.

  Esta configuração é adequada quando um único AP consegue cobrir toda uma área necessária e fornecer um trhoughput sufuciente para atender adequadamente todas as estações.

22

CETUC-PUC/Rio


Configuração com superposição celular

  Na configuração com superposição celular utiliza um Extended Servive Set – ESS, que inclui mais de um AP e um conjunto de estações de trabalho. As áreas de coberturas dos APs são distintas mas apresentam superposição.

  A configuração é utilizada para estender a área de cobertura em relação à que seria conseguida com um único AP. A configuração permite grau de mobilidade restrita, ou seja, um terminais de usuário tipo laptop ou PDA podem realizar roaming mantendo sua conexão.

  Os APs podem estar sintonizados em canais distintos, o que minimiza interferências e aumenta a capacidade total da rede, ou no mesmo canal.

CETUC-PUC/Rio


Configuração multi-celular

  Nesta configuração as áreas de cobertura dos múltiplos APs são aproximadamente as mesmas. Os APs devem estar configurados para operação em canais diferentes de modo a minimizar a interferência.

  Como na configuração com superposição celular, os usuários podem estabelecer comunicação com mais de um AP, mas não simultâneamente. Alguns tipos de Access Points possuem uma função denominada Load Sharing que coordena a conexão dos terminais de modo distribuir a carga de tráfego entre os diversos APs.

  Esta configuração é adequada em regiões nas quais existe um grande número de usuários cuja demanda de tráfego é excessiva para ser atendida por um único AP.

23

CETUC-PUC/Rio


Configuração multihop

  Esta configuração utiliza uma Workgroup Bridge que se conecta ao sinal de um AP para alimentar um segundo AP que fornece cobertura em uma área distinta.

  Esta configuração é adequada para prover cobertura em áreas de sombra, permitindo posicionar o segundo AP em um local onde não exista Ethernet disponível.

  A configuração introduz uma limitação de capacidade para aplicações que requeiram acesso ao servidor já que, neste caso, os usuários de ambos os APs compartilham a capacidade do AP ligado ao servidor.

CETUC-PUC/Rio


Segurança em redes IEEE 802.11

 Mecanismos básicos de segurança em redes IEEE 802.11 e 802.11 b/a/g:   Controle de acesso pela identificação do endereço MAC;

  Controle de acesso pela identificação da rede (SSID - Service Set Identification);

  Wired Equivalent Protocol para autenticação, criptografia e integridade dos dados.

 Estes mecanismos oferecem segurança limitada.

24

CETUC-PUC/Rio


Controle de acesso por endereço MAC

  Os terminais de usuário são identificados pelo AP através de seu endereço MAC (Media Access Control).

  Para cada dispositivo de acesso fabricado existe um endereço MAC único.

  É possível configurar o AP para permitir acesso aos serviços da rede apenas a usuários com endereço MAC previamente registrado.

  Este mecanismo pode ser usado em redes corporativas, nas quais é possível ter registro dos equipamentos que devem ter acesso à rede.

  Ainda assim, é possível invadir a rede, através da interceptação do tráfego para a obtenção de endereços aceitos pelo AP, que são enviados em claro pelos usuários, ou mesmo pela geração aleatória de endereços até que um endereço válido seja encontrado.

CETUC-PUC/Rio


Controle de acesso por SSID

  Cada rede IEEE 802.11 é programada um identificador denominado SSID.

  O SSID vem programado de fábrica com um nome default que deve ser modificado pelo administrador da rede.

  Para conectar-se à rede, um terminal de usuário deve transmitir o SSID do AP.

  O AP pode estar programado para transmitir ou não seu SSID em modo broadcast. Neste caso, o terminal do usuário precisa conhecer previamente o SSID da rede.

  Entretanto, como o SSID segue em claro no pedido da associação, é possível a um terminal obter esta informação escutando pedidos de associação de outros terminais.

25

CETUC-PUC/Rio


Wired Equivalent Protocol (WEP)

  Conjunto básico de procedimentos de segurança criado com o objetivo de tornar o ambiente sem fio.

  Uma chave secreta compartilhada pelas partes envolvidas na comunicação é utilizada para prover:   Autenticação (controle de acesso), de modo a permitir que

apenas usuários autorizados tenham acesso à rede;   Confidencialidade, para evitar que usuários não autorizados

compreendam o tráfego capturado, ou seja, manter a confidencialidade do conteúdo das mensagens transmitidas através da rede;

  Integridade dos Dados, não permitindo que o conteúdo de mensagens seja modificado pela inserção ou remoção de dados entre o AP e os demais terminais.

CETUC-PUC/Rio


Conexão em sistema aberto

  No sistema aberto (Open System) a chave WEP é usada apenas para criptografia, não sendo requerida autenticação para a associação à rede.

  O terminal do usuário envia um pedido de autenticação que é respondido pelo AP com seu SSID. A associação é sempre bem sucedida.

  Qualquer estação pode associar-se ao AP e ouvir todos os dados que estão sendo enviados, ainda que não seja capaz de interpretá-los, caso estejam criptografados.

Pedido de aut enticação

Associa ção sempre permitida

Resposta ao pedido SSID

26

CETUC-PUC/Rio


Autenticação com chave compartilhada

  Na autenticação com chave compartilhada (Shared Key Authentication), após o pedido de autenticação o AP envia um texto desafio que o terminal do usuário deve encriptar com a chave compartilhada e retransmitir.

Pedido de autentica ção

Texto desafio

Resposta ao desafio (Texto desafio cifrado com a

chave compartilglhada )

Resultado da autentica ção

CETUC-PUC/Rio


Confidencialidade no protocolo WEP

  O protocolo WEP utiliza um algoritmo de cifragem RC4 (Ron’s Cipher 4) para prover confidencialidade.

  A chave WEP é estática e deve ser programada manualmente nos APs e terminais de usuário.

  Na primeira versão do padrão, o WEP utilizava uma chave de apenas 40 bits, concatenada com um vetor de inicialização (IV) de 24 bits, que se mostrou pouco resistente a ataques.

  Uma opção com chave de WEP de 104 bits que, concatenada com o IV, resulta em uma chave de cifragem de 128 bits, foi implementada.

  Alguns fabricantes implementam ainda uma opção com chave de cifragem de 256 bits (232 bits na chave WEP mais 24 bits do IV).

27

CETUC-PUC/Rio


Fragilidades do RC4

  Entretanto, verificou-se que o baixo comprimento da chave não era a única fraqueza do WEP.

  O RC4 é um algoritmo de fluxo, em que cada bit é cifrado individualmente, por uma transformação que variável.

  Algoritmos de fluxo são rápidos e exigem baixa complexidade de hardware do que algoritmos de bloco, mas o uso de uma mesma chave duas vezes os torna vulneráveis a ataques.

  O WEP utiliza o IV, concatenado com a chave WEP, para evitar a repetição da chave.

  Entretanto, como a chave WEP só pode ser modificada manualmente em todos os clientes da rede, o que raramente é feito na prática, e o IV possui apenas 24 bits, após um certo número de pacotes há uma alta probabilidade de que o IV e, consequentemente, a chave de cifragem sejam repetidos.

CETUC-PUC/Rio


Integridade de dados no WEP

  Para proteger a integridade dos dadoso protocolo WEP insere um verificador de integridade (ICV - Integrity Check Value) utilizando um algoritmo de redundância cíclica de 32 bits (Checksum CRC32 - Cyclic Redundancy Check 32 bits) em cada quadro transmitido.

  O CRC32 é independente da chave secreta e, como qualquer algoritmo CRC, é uma operação linear.

  Isto torna o algoritmo adequado para a detecção de erros de transmissão, mas não para garantia de integridade de dados.

  É possível mostrar que, utilizando a propriedade de linearidade do CRC32, um invasor pode fazer modificações controladas no pacote, substituindo a mensagem e corrigindo o ICV, sem que sejam detectadas por qualquer um dos dispositivos transmissores ou receptores.

28

CETUC-PUC/Rio


Mecanismos Avançados de Segurança

  Para corrigir as deficiências de segurança a WiFi Alliance criou o WiFi Protected Access (WPA e WPA2).

  O WPA começou a ser certificado em abril de 2003 e sua implementação tornou-se mandatória em novembro do mesmo ano.

  O WPA implementa um sub-conjunto do padrão de segurança 802.11i e o WPA2 corresponde à implementação completa deste padrão.

  O protocolo prevê a utilização de um servidor de autenticação padrão 802.1X mas, em redes de pequeno porte, é possível a implementação os modos WPA-Personal e WPA2 Personal com chaves pré-compartilhadas (PSK – preshared keys).

  Os modos que utilizam o servidor padrão 802.1X são denominados WPA-Entreprise e WPA2 Entreprise.

  No WPA o RC4 continua a ser utilizado, mas com uma chave de 128 bits e um IV de 48 bits, e é introduzido o protocolo (TKIP - Temporal Key Integrity Protocol) altera dinamicamente a chave utilizada.

  Além disto o CRC32 é substituído por um algoritmo incluindo contagem de quadros - Message Integrity Code (MIC).

CETUC-PUC/Rio


O padrão IEEE 802.11i

  O padrão 802.11i é um acréscimo ao IEEE 802.11 que especifica mecanismo de segurança mais completos e avançados.

  Foi publicado em junho de 2004 e substitui o protocolo WEP pelo WPA2.   Utiliza um algoritmo de cifragem em bloco denominado Advanced

Encryption Standard (AES).   A arquitetura do padrão 802.11i inclui um servidor de autenticação

compatível com os padrão IEEE 802.1X, Robust Network Security (RSN) para negociação dinâmica de algoritmos de encriptação e autenticação e um protocolo denominado CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), baseado em AES, para garantir confidencialidade, integridade dos dados e autenticação.

  O AES trabalha com chaves de 128, 196 ou 252 bits, mas não é compatível com equipamentos mais antigos baseados em WEP.

  A especificação TSN (Transitional Security Network) permite a coexistência de equipamentos com RSN e WEP em uma mesma rede.

29

CETUC-PUC/Rio


O padrão IEEE 802.1X

  O padrão IEEE 802.1X é utilizado para controle de acesso tanto em redes sem fio como em redes sem fio, sendo parte do grupo de protocolos IEEE 802.

  Baseia-se no EAP, Extensible Authentication Protocol, sendo a autenticação é realizada por uma entidade de terceira parte, normalmente um servidor RADIUS.

  No padrão 802.1X existem portas não-controladas e controladas, quesão entidades lógicas que podem existir na mesma porta da rede física.

  Uma porta não-controlada permite que o dispositivo conectado a ela se comunique com qualquer outro dispositivo da rede. Uma porta controlada limita os endereços da rede com os quais o dispositivo conectado pode se comunicar.

  O 802.1X permite que todos os clientes se conectem a portas controladas, mas essas portas somente transmitem o tráfego a servidores de autenticação. Uma vez que o cliente tiver sido autenticado, será permitido ao mesmo o acesso a portas não controladas.

CETUC-PUC/Rio


Autenticação em redes 802.1X

  São definidas três entidades.   Suplicante: é o cliente, entidade que que necessita ser autenticada.

O cliente executa um aplicativo que requer acesso aos recursos da rede e possui a capacidade de criptografar seu tráfego e de armazenar e trocar com segurança credenciais como chaves ou senhas;

  Autenticador: entidade que disponibiliza o acesso aos usuários da rede, no caso o AP. O AP implementa as funções de controle de acesso para permitir ou negar o acesso à rede.

  Servidor de autenticação (RADIUS): entidade que provê o serviço de autenticação ao autenticador. Este serviço determina, a partir das credenciais apresentadas pelo suplicante, as características do acesso permitido. A entidade servidor pode ser combinada com o autenticador ou pode ser acessada remotamente, através de uma rede a que o autenticador tenha acesso.

30

CETUC-PUC/Rio


Mecanismos de autenticação

  O mecanismo de autenticação utilizado é o EAP, um padrão IETF (Internet Engineering Taskforce) que pode ser usado com uma variedade de diferentes métodos de autenticação com base em senhas, certificados de chaves públicas ou outras credenciais.

  O EAP é, na verdade, um mecanismo geral que define funções comuns de autenticação e inclui cerca de 40 métodos específicos de autenticação.

  Os padrões WPA e WPA2 adotam 5 métodos de EAP como seus mecanismos oficiais de autenticação: LEAP, EAP-TLS, EAP-TTLS, MD5 e PEAP.

CETUC-PUC/Rio


Processo de autenticação

  O processo de autenticação se inicia quando um NAS (Network Access Server), que no caso de redes WiFi é o próprio AP, utiliza o método EAP para negociar uma PMK (Pair-wise Master Key) com o cliente.

  A PMK negociada é utilizada para encriptar a sessão de autenticação usando cifragem TKIP, no caso do WPA, ou cifragem AES, no caso do MPA2.

  As mensagens EAP são encapsuladas pelo protocolo EAPoL (EAP Over Lan), que leva os pacotes entre o suplicante e o autenticador.

  O protocolo RADIUS é responsável pelos mecanismos de autenticação e verificação de integridade de cada pacote transmitido entre o AP e o servidor RADIUS.

31

CETUC-PUC/Rio


Início da autenticação

  Inicialmente, a estação tenta conectar-se ao AP pela porta não-controlada. Como a estação ainda não foi autenticada, o AP emite um desafio de texto, sem formatação, à estação.

  A estação responde identificando-se.   O AP encaminha a mensagem de identidade da estação ao servidor RADIUS.

BD Usuários

EAPOL EAP Over RADIUS

O acesso do cliente à rede está bloqueado

Cliente (Suplicante)

Network

AP (Autenticador )

Sinal Dados

CETUC-PUC/Rio


Conclusão da autenticação   O servidor RADIUS procura no banco de dados (BD) a conta especificada

e solicita a credencial exigida à estação.   A estação envia suas credenciais ao AP pela porta não-controlada.   O servidor RADIUS valida as credenciais e envia uma chave de

autenticação criptografada ao AP.   O AP descriptografa a chave e a utiliza para criar uma nova chave,

específica para a estação. Essa chave é enviada à estação, onde é usada para criptografar a chave de autenticação mestre.

BD Usuários

EAP Over RADIUS

Após a autenticação pelo servidor, o acesso à rede está autorizad o

Cliente (Suplicante)

Network

Servidor de Autenticação

RADIUS

AP (Autenticador )

EAPOL

32

CETUC-PUC/Rio


Troca de mensagens de autenticação

Suplicante Estação Móvel

Autenticador AP

Servidor de Autenticação

RADIUS

802.11 Associate Request

802.11 802.3

802.11 Associate Response

EAPoL Start

EAP Request /Identity

EAP Reponse/Identity RADIUS Access Request

EAP Request

Acesso Bloqueado

RADIUS Access Challenge

EAP Reponse (Credenciais) RADIUS Access Request

EAP Success RADIUS Access Accept

EAPoL Key

Acesso Permitido

CETUC-PUC/Rio


LEAP (Lightweight Extensible Authentication Protocol)

  Desenvolvido pela Cisco Systems, que permite a outros fabricantes o desenvolvimento de produtos utilizando LEAP.

  Utiliza autenticação do usuário por nome e senha.

  Garante uma nova chave cada vez que o usuário se associa ao AP e implementa autenticação

  Não há suporte ao LEAP em sistemas operacionais Windows.

  O protocolo é vulnerável a ataques a não ser que senhas suficientemente complexas sejam utilizadas.

33

CETUC-PUC/Rio


EAP-TLS (Transport Layer Security)

  Combina criptografias simétrica, em a mesma chave é conhecida por ambas as partes, e assimétrica ou de chave pública (public key), em que uma terceira parte é responsável por autenticar a identidade dos usuários através de certificados.

  A chave pública é utilizada para encriptação e uma segunda chave, denominada chave privada (private key) utilizada para decriptação.

  Numa etapa inicial de negociação (handshake) é utilizada criptografia assimétrica, para autenticar os clientes e negociar uma chave secreta para uso na criptografia simétrica.

  o restante da conexão pode utilizar algoritmos de chave simétrica com esta chave.

  É um padrão aberto IETF que utiliza PKI (Public Key Infrastructure) para garantir segurança na comunicação cliente com o servidor RADIUS.

  A obtenção de uma senha ou chave não é suficiente para permitir a invasão, pois o invasor necessita ainda do certificado do cliente.

  Tem tido utilização limitada, devido aos inconvenientes da distribuição de certificados configurados individualmente e da necessidade do Certificado emitido por Autoridade Certificadora.

CETUC-PUC/Rio


PEAP (Protected EAP)

  O método PEAP é um protocolo aberto, proposto por alguns fabricantes, que ainda está em processo de aceitação no IETF.

  O PEAP oferece autenticação baseada em senha e exige que o servidor possua um certificado digital, mas não o cliente.

  As credenciais do usuário são protegidas por um túnel TLS e a estação é forçada a se reautenticar após um intervalo, para renovar a chave.

  Permite a utilização de diferentes protocolos para a autenticação da senha: CHAP (Challenge Authentication Protocol), MSCHAPv2 (Microsoft CHAP version2) e MD5 (Message Digest algorithm 5).

  O servidor de autenticação envia um desafio contendo um identificador (ID) da sessão e uma cadeia de caracteres arbitrária.

  O cliente remoto responde com o uma encriptação do conjunto de cadeia de caracteres recebida, cadeia de caracteres enviada, ID da sessão e senha do usuário.

  O servidor verifica a resposta do cliente e envia um indicador de conexão bem sucedida e uma resposta autenticada baseada na cadeia de caracteres enviada pelo cliente, na resposta encriptada do cliente e na senha do usuário. O cliente verifica a resposta e, se a mesma estiver correta, utiliza a conexão.

34

CETUC-PUC/Rio


EAP-TTLS e EAP-MD5

  O EAP-TTLS (Tunneled Transport Layer Security) é semelhante ao PEAP, com autenticação baseada em senha, certificado digital no servidor de autenticação mas não no cliente e credenciais do usuário são protegidas por um túnel TLS. Ao contrário do PEAP não é suportado pelos sistemas operacionais Windows, havendo necessidade de instalação de um Cliente de Autenticação.

  O EAP-MD5 (Message DIgest algorithm 5) é um padrão aberto IETF, mas oferece segurança mínima. Não suporta chaves dinâmicas e sua função de encriptação é vulnerável a ataques.

CETUC-PUC/Rio


Servidor Radius

  O servidor RADIUS, definida pela RFC 2865, é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA (Authentication, Authorization and Accounting).   Fase de autenticação (authentication): o servidor compara o nome do

usuário e a senha com os existentes no banco de dados local. Depois que as credenciais são confirmadas, o processo de autorização é iniciado;

  Fase de autorização (authorization): determina se a solicitação de acesso ao recurso deve ser aceita ou não;

  Fase de contabilidade (accounting): coleta informações sobre o uso do recurso para análise de tendências, auditoria, cobrança por tempo da sessão ou alocação de custos.

35

CETUC-PUC/Rio


Operação do RADIUS

  A arquitetura para redes sem fio inclui um servidor de acesso (Network Access Server - NAS), que é o próprio AP. A função do NAS é permitir a conexão remota via rede sem fio, gerenciar pedidos de conexão e liberá-los ou não.

  O AP é configurado para operar como um cliente RADIUS, nesse caso, cada pedido passa pelo AP, que repassa ao servidor RADIUS, e recebe um retorno do servidor e o encaminha à estação móvel.

  O usuário solicita conexão ao AP. Quando a conexão é estabelecida, o AP solicita um nome de conta e a senha para efetuar a autenticação. Depois de receber o nome do usuário e a senha, o AP cria um pacote com essas informações. Este pacote é enviado para o servidor RADIUS criptografado.

  O servidor RADIUS recebe a requisição e valida o nome do usuário e senha. Se o nome e senha conferirem, o RADIUS devolve ao AP uma autorização que inclui informações da rede do cliente e serviços que ele está autorizado a utilizar.

CETUC-PUC/Rio


Mensagens RADIUS

  O servidor RADIUS utiliza seis tipos de mensagens: Access Request, Access-Accept, Access-Reject, Access-Challenge, Acconting-Request e Accounting-Response.

  O padrão IEEE 802.11x provê a autenticação e integridade por pacote entre o servidor RADIUS e o AP.

  O AP e o servidor utilizam o protocolo RADIUS para se comunicar. Cada autenticador tem uma única chave secreta compartilhada com o servidor RADIUS.

  Todas as mensagens RADIUS contêm um campo Request Authenticator encriptado utilizando a chave compartilhada. Esse campo é configurado pelo servidor e verificado pelo autenticador.

Documents

8 – Tecnologias para WLANS - silvamello.org · System Interconnection), a camada de enlace e a camada física. No modelo IEEE 802 a camada de enlace corresponde a duas sub- camadas,