Baixe o app para aproveitar ainda mais
Prévia do material em texto
SISTEMAS DE INFORMAÇÕES GERENCIAIS www.esab.edu.br 3 Sumário 1. Apresentação..........................................................................04 2. Redes sem Fio........................................................................05 3. Dispositivos WLAN.................................................................18 4. Protocolo 802.11.....................................................................30 5. Protocolo DFWMAC................................................................38 6. Associação, Autenticação e Roaming.....................................46 7. Resumo I .................................................................................52 8. Apresentação II.......................................................................53 9. Preauthentication (pré-autenticação)......................................54 10. Site Survey.............................................................................57 11. Wired Equivalent Provacy (WEP)...........................................61 12. Remote Authentication Dial-In User Service (RADIUS)..........66 13. Aplicações de Internet Móvel..................................................73 14. Resumo II................................................................................79 15. Apresentação III......................................................................80 16. O Modelo WAP........................................................................81 17. Os objetivos da Internet Móvel...............................................88 18. Redes WiMAX: Introdução....................................................101 19. Aplicações que necessitam de QoS.....................................105 20. Redes WiMAX: Regras para o Dimensionamento................113 21. Resumo III.............................................................................118 22. Bibliografia............................................................................119 23. Glossário...............................................................................121 www.esab.edu.br 4 Sejam Bem-vindos ao curso de Redes de Computadores, onde vamos conhecer as redes, como funcionam e como se comunicam e dispositivos. Neste primeiro eixo estudaremos: Associação, Autenticação e Roaming, Protocolo DFWMAC, Protocolo 802.11, Dispositivos WLAN e Redes Sem Fio, com esses elementos entenderemos os princípios de redes. www.esab.edu.br 5 Nesta primeira unidade conheceremos Redes sem Fio, Padrões, dispositivos, protocolos, associação, autenticação, sincronização, com todos os seus conceitos. Endereço de vídeo de Rede sem Fio: https://www.youtube.com/watch?v=mehf_6c_WjY Endereço de Padrões de Rede sem Fio https://www.youtube.com/watch?v=lcG6FVd-WAA 1.1 Padrão 802.11 O IEEE (Institute of Electrical and Eletronics Engineers) constituiu um grupo de pesquisa para criar padrões abertos que pudessem tornar a tecnologia sem fio cada vez mais realidade. Esse projeto, denominado de Padrão IEEE 802.11, nasceu em 1990, mas ficou por aproximadamente sete anos inerte. A causa principal era a baixa taxa de transferência de dados que a tecnologia inicialmente oferecia (na faixa de kbit/s). Conforme a taxa de transferência de dados passou a atingir a faixa de Mbit/s, a rede sem fio começou a ser vista como uma tecnologia promissora e a receber reais investimentos para a construção de equipamentos que possibilitassem a comunicação sem fio entre computadores. https://www.youtube.com/watch?v=mehf_6c_WjY https://www.youtube.com/watch?v=lcG6FVd-WAA www.esab.edu.br 6 Esse padrão IEEE 802.11 tem, entre outras, as seguintes premissas: suportar diversos canais; sobrepor diversas redes na mesma área de canal; apresentar robustez com relação à interferência; oferecer privacidade e controle de acesso ao meio. Atualmente o foco das redes de computadores sem fio (Wireless) se encontra no contexto das redes locais de computadores (Wireless Local Area Network - WLAN), tanto em soluções proprietárias como no padrão do IEEE. Algumas empresas como IBM, CISCO, Telecom e 3COM colocaram em prática alguns padrões proprietários, porém hoje essas e outras empresas baseiam seus produtos no padrão do IEEE devido às vantagens que o padrão aberto oferece: interoperabilidade, baixo custo, demanda de mercado, confiabilidade de projeto, entre outras. Uma rede Wi-Fi é uma rede que está em conformidade com a família de protocolos 802.11 do IEEE. Dentro desta família de protocolos existem 3 que se destacam, conforme visto na Tabela 1. Padrão Taxa de bits 802.11a até 54 Mbit/s (na banda de 5 GHz) 802.11b até 11 Mbit/s (na banda de 2,4GHz) 802.11g até 54 Mbit/s (na banda de 2,4GHz) Tabela 1 - Padrões 802.11 a, b e g, e suas principais características. A Tabela 2 apresenta um resumo comparativo destas 3 tecnologias de redes sem fios e a figura 1 ilustra o alcance de cada padrão conforme a modulação utilizada em um ambiente coberto, mantendo a mesma potência com antenas omnidirecionais de mesmo ganho. www.esab.edu.br 7 Padrão Alcance Compatibilidade Custo 802.11a 25 a 100 metros (coberto) Incompatível com o 802.11b e 802.11g Alto 802.11b 100 a 150 metros (coberto) Adoção generalizada. O mais baixo 802.11g 100 a 150 metros (coberto) Compatibilidade com o 802.11b a 11Mbit/s. Incompatível com o 802.11a. Baixo Tabela 2 - Comparativo de alcance, custo e compatibilidade entre os padrões 802.11 a, b e g. Estas tecnologias serão abordadas com mais detalhes nas próximas seções. Figura 1 – Representação do alcance das tecnologias IEEE 802.11 coberto (Fonte: 3Com). 1.2 Vantagens e desvantagens das redes sem fio As redes sem fio apresentam as seguintes vantagens: • Flexibilidade: dentro da área de cobertura, uma determinada estação pode se comunicar sem nenhuma restrição. Além disso, permite que a rede alcance lugares onde os fios não poderiam chegar. www.esab.edu.br 8 • Facilidade: a instalação pode ser rápida, evitando a passagem de cabos através de paredes, canaletas e forros, portanto uso mais eficiente do espaço físico. • Redução do custo agregado: mesmo mais dispendiosa que uma rede cabeada, estão agregadas vantagens como: melhor utilização dos investimentos em tecnologias existentes como laptops, rede de dados e voz, aplicativos, agilidade nas respostas aos clientes. • Diversas topologias: podem ser configuradas em uma variedade de topologias para atender a aplicações específicas. As configurações são facilmente alteradas, facilidade de expansão, manutenção reduzida. Em contrapartida, apresentam as seguintes desvantagens: • Flexibilidade: dentro da área de cobertura, uma determinada estação pode se comunicar sem nenhuma restrição. Além disso, permite que a rede alcance lugares onde os fios não poderiam chegar. • Qualidade de serviço: a qualidade do serviço provido ainda é menor que a das redes cabeadas. Tendo como principais razões para isso a pequena banda passante devido às limitações de radiotransmissão e a alta taxa de erro devido à interferência. • Custo: o preço dos equipamentos de Redes sem Fio é mais alto que os equivalentes em redes cabeadas. • Segurança: intrinsecamente, os canais sem fio são mais suscetíveis a interceptores não desejados. O uso de ondas de rádio na transmissão de dados também pode interferir em outros equipamentos de alta tecnologia, como por exemplo, equipamentos utilizados em hospitais. Além disso, equipamentos elétricos são capazes de interferir na transmissão acarretando em perdas de dados e alta taxa de erros na transmissão. www.esab.edu.br 9 • Baixa transferência de dados: embora a taxa de transmissão das Redes sem Fio esteja crescendo rapidamente, ela ainda é muito baixa se comparada com as redes cabeadas. 1.3 Uma rede sem fios Para ter uma rede sem fios simples são necessários 2 equipamentos: o Ponto de Acesso (PA) e a placa de rede sem fio. O Ponto de Acesso por um lado estáligado a uma rede com fios e por outro faz a comunicação através de ondas de rádio com outros equipamentos sem fios. A placa de rede instalada ou nativa em um equipamento, como por exemplo, um computador pessoal, se liga ao Ponto de Acesso e a rede propriamente dita através de ondas de rádio. A Figura 2 mostra exemplos de um Ponto de Acesso com 2 antenas (diversidade) e uma placa Wi-Fi PCMCIA (para equipamentos portáteis). Figura 2 - Exemplos de Equipamentos WLAN: Ponto de Acesso e Placa PCMCIA (Fonte: Dlink) Porém redes mais complexas necessitam de um planejamento cuidadoso e seleção dos equipamentos a utilizar. A figura 3 ilustra a interligação de vários edifícios recorrendo a equipamentos WLAN. Dentro de cada um dos edifícios terão de existir naturalmente um ou vários Pontos de Acesso para permitir o acesso à rede por parte dos usuários. www.esab.edu.br 10 Figura 3 - Interligação de vários edifícios com equipamentos WLAN (Fonte: Cisco Systems) No exterior procede-se à instalação de bridges com antenas específicas para cada caso, com o objetivo de permitir um ganho superior para que seja possível a comunicação a grandes distâncias. 1.4 Padrões 802.11 a, b e g A especificação IEEE 802.11 para WLAN define os protocolos de controle de acesso ao meio – MAC e de nível físico – PHY. Os padrões básicos e suas extensões especificam um número de opções. Somente algumas delas são implementadas adequadamente em produtos WLAN para consumidores e empresas. Muitos destes dispositivos se encontram atualmente disponíveis no mercado operando sobre as regras da camada física IEEE 802.11 a, b e g. Cada um destes protocolos de nível físico tem suas próprias variantes proprietárias. Suportam principalmente as funções de coordenação e distribuição (DCF) MAC [1]. Na faixa de frequências ISM – Industrial Scientific Medical – de 2,4 GHz, cartões de interface de redes (NIC’s) operam até 11 Mbit/s através de CCK (Complementary Code Keying - chaveamento de código complementar). Utilizam PBCC (Packet Binary Convolutional Coding - codificação convolucional de pacotes binários) até 33 Mbit/s e OFDM para taxa de dados de até 108 Mbit/s (e superiores). www.esab.edu.br 11 Como mostrado na Tabela 3, existem atualmente 6 faixas de frequência para a operação dos cartões WLAN no mundo. Esta lista inclui 2 alocações em cada uma das regiões EUA/Canadá (com as mesmas faixas de frequências utilizadas no Brasil), Europa e Japão. Para cada alocação de frequências, os órgãos governamentais de regulamentação estipulam um número de canais distintos, canais sem sobreposição e com restrições de potência que devem ser respeitadas. Todas as taxas de dados mencionadas anteriormente são as taxas máximas de bit que não correspondem à taxa efetiva de transferência de dados. Jurisdição Faixa (GHz) Canais Distintos Canais sem sobreposição Restrições de potência EUA, Canadá 2,401 – 2,4835 11 3 1W irradiado 5,15 – 5,35 8 8 50-250 mW irradiado 3 Brasil 2,400 – 2,4835 11 3 1W 5,15 – 5,35 8 8 EIRP £ 200 mW 5 5,47 – 5,725 11 11 250 mW e EIRP £ 1W 5,725 – 5,850 5 5 1W ETSI 1 (Europa) 2,401– 2,4835 13 4 100mW EIRP até 1 W 4 5,15 – 5,35; 5,47 – 5,725 19 19 Japão 2,4 – 2,495 14 4 10mW/MHz 2 4,9- 5;5,15- 5,25 8 8 10mW/MHz Tabela 3 - Alocação de frequências para NIC’s WLAN. www.esab.edu.br 12 1 – A Regulação varia conforme o país 2 – Para DSSS através de todos os canais 3 – Depende do canal 4 – 802.11a requer controle de potência dinâmico (802.11h - draft) 5 – Somente para uso interno O cartão NIC irá automaticamente reduzir a taxa de dados quando a comunicação não puder ser realizada na taxa especificada. Este problema aumenta devido às condições adversas do canal. Quanto à ocupação espectral, as figuras 4 e 5 representam os espectros dos canais disponíveis nas faixas de 2,4 e 5 GHz respectivamente. Figura 4 - Alocações de canais para padrão 802.11b (Fonte: Cisco Systems [2]) www.esab.edu.br 13 Figura 5 - Alocações de canais para padrão 802.11a (Fonte: Cisco Systems [2]) No Brasil, a utilização destas faixas é regulamentada pela Anatel – Agência Nacional de Telecomunicações e atualmente a Resolução 365/2004 [3] - regulamento sobre equipamentos de radiocomunicação de radiação restrita - contempla as exigências para a utilização destas faixas. Assim, por exemplo, para sistemas na faixa de 2400 a 2483,5 MHz em aplicações ponto a ponto com antenas diretivas de ganho superior a 6 dBi, a potência de pico máxima na saída do transmissor deve ser reduzida de 1 dB para cada 3 dB que o ganho direcional da antena exceder a 6 dBi. A tabela 4 apresenta a máxima potência de saída do transmissor permitida em função do ganho da antena diretiva a ser utilizada. www.esab.edu.br 14 Potencia máxima saída do transmissor Máximo Ganho da antena diretiva [W] [dBm] [dBi] 1 30 6 0,8 29 9 0,6 28 12 0,5 27 15 0,4 26 18 0,3 25 21 0,25 24 24 Tabela 4 – Redução da potência do transmissor para atender à Resolução 365/2004 da Anatel. Para sistemas na faixa de 5725 a 5850 MHz em aplicações ponto a ponto podem ser utilizadas antenas diretivas de ganho superior a 6 dBi sem reduzir a potência de pico máxima na saída do transmissor. Já para outros sistemas de DSSS, a potência deve ser diminuída na quantidade de decibéis que o ganho da antena exceder 6 dBi. Recentemente, a Resolução 397 de 06/04/2005 da Anatel - Regulamento sobre condições de uso de radiofrequências da faixa de 2.400 MHz a 2.483,5 MHz por equipamentos utilizando tecnologia de espalhamento espectral ou tecnologia de multiplexação ortogonal por divisão de frequência [4] - estabeleceu que as estações que possuam potência e.i.r.p superior a 400 mW instaladas em localidades com população superior a 500.000 habitantes devem ser licenciados. Essencialmente, os níveis físicos CCK/PBCC baseados no padrão 802.11b (2,4 GHz) são formas codificadas de BPSK (Binary-phase shift-keying) e QPSK (Quadrature-phase shift- keying). O esquema BPSK é usado para o preâmbulo de todos os www.esab.edu.br 15 pacotes. As técnicas PBCC e CCK são utilizadas para alcançar uma vantagem estatística com a energia modulada na presença de interferência ou “ganho de processamento”. Para atingir esta meta, símbolos redundantes são enviados para representar os padrões de bits. Os rádios compatíveis com IEEE 802.11b suportam 4 taxas de velocidade: 1, 2, 5,5 e 11 Mbit/s. As três maiores taxas são codificadas com a forma de onda QPSK de 11 megassímbolos por segundo (MS/s). A taxa de 1 Mbit/s é codificada em BPSK em 11 MS/s. Um modo PBCC proprietário de 22 Mbit/s está presente em alguns dispositivos, porém não é suportado pela especificação 802.11b. A especificação 802.11a em 5 GHz usa a modulação OFDM, enquanto que a especificação 802.11g em 2,4 GHz a propõe como uma das opções. Neste último caso, entretanto, prevê-se que a modulação OFDM deve ser o modo de operação principal. Este padrão básico OFDM consiste na modulação de 52 portadoras independentes. Quatro delas são “pilotos” BPSK ou portadoras de sincronização. Dependendo da taxa de dados, as demais 48 portadoras são moduladas em BPSK, QPSK, 16-QAM (Quadrature Amplitude Modulation) ou 64-QAM. As taxas de dados suportadas são 6, 9, 12, 18, 24, 36, 48 e 54 Mbit/s. As taxas de 36, 48 e 54 Mbit/s são “opcionais”, mas são raramente omitidas. Como CCK e PBCC, as formas de onda são codificadas. O ganho de processamento é, desta forma, realizado sobre o ganho da informação realmente transportada. Modos proprietários adicionais de até 108 Mbit/s (e superiores) também estão disponíveis. Mas eles requerem que todas as estações utilizem hardware similar. www.esab.edu.br 16 A Tabela 5 mostra um resumo dos diferentes modos de transmissão. Atualmente, as opções de camada física abrangem uma larga faixa de taxas de dados, esquemas de modulação, formatos de cabeçalhos/preâmbuloe modos proprietários adicionais. A máxima performance é obtida através do padrão 802.11a na faixa de frequência de 5 GHz. Atualmente, 802.11a suporta os modos proprietários de até 108 Mbit/s. Padrão Faixa GHz Padrões de Taxas Modos Preâm- bulo/ca- beçalho Modos pro- prietários adicionais 802.11 2.4 1 e 2 Mbi- t/s BPSK/ QPSK- chi- pped DSSS BPSK- chipped DSSS 802.11a 5 6, 9, 12, 18,24 Mbit/s 48 porta- doras + 4 pilotos OFDM OFDM 72 e 108 Mbi- t/s 802.11b 2.4 Modos 802.11b DSSS mais 5,5 e 11 Mbi- t/s BPSK/ QPSK- chi- pped CCK/ PBCC BPSK - chippedD- SSS preâmbu- lo, cabeça- lho curto opcional (QPSK) 22 Mbit/s PBCC 802.11g OFDM obrigató- rio 2.4 Modos 802.11b mais 6, 9, 12, 18 e 24 Mbit/s 48 porta- doras + 4 pilotos OFDM OFDM 72, 100 e 108 Mbit/s www.esab.edu.br 17 802.11g PBCC opcional 2.4 22 e 33 Mbit/s 8 PSK PBCC BPSK - chippedD- SSS preâmbu- lo, cabe- çalho cur- to opcio- nal (QPSK) 802.11g CCK-O- FDM opcional 2.4 Ao me- nos os modos 802.11g obrigató- rios 48 porta- doras + 4 pilotos OFDM BPSK - chippedD- SSS preâmbu- lo, cabeça- lho curto opcional (QPSK) Tabela 5 - Vários modos de nível físico para 802.11. www.esab.edu.br 18 Cartões de Interface de Rede (Network Interface Card – NIC) Cartões NIC 802.11 para WLAN são construídos em diversos formatos. Os mais comuns incluem PCI, PC card (Cardbus e/ou PCMCIA); Mini-PCI, USB e Compact-flash (CF+). Embora algumas configurações envolvam comunicações diretas entre NIC’s (modo Ad-hoc), muitos usuários se comunicam através de um Ponto de Acesso ou roteador sem fio. Um roteador sem fio provê um AP e outras funcionalidades adicionais. Os modos ad-hoc, infraestrutura e as funcionalidades do AP serão abordados no próximo tutorial parte II. A Tabela 6 compara os vários formatos e suas necessidades correspondentes de alimentação elétrica. Dependendo da implementação, cada AP e o roteador sem fio podem variar em tamanho e funcionalidades. Cartões para PC (PCMCIA/Cardbus) têm a mais ampla margem de eficiência para a alimentação. Dispositivos Compact Flash têm as mais severas restrições de tamanho e alimentação. www.esab.edu.br 19 Formato Tamanho [mm] Limite de consumo Uso Access Point / Roteador sem fio Variável Variável Conectado à rede cabeada PCI 106,68 X 167,64 X 12 375 mA de 3.3V aux 7,6A de 3,3V principal Interno a PC’s PC Card (PCMCIA- Cardbus) 85,5 X 54 X 5 (Tipo II) 1A @ 3,3 Cartão laptop removível Formato Tamanho [mm] Limite de consumo Uso Mini-PCI 45 X 70 X 7,5 (Tipo 1A) 45 X 70 X 5,5 (Tipo 1B) 375 mA de 3.3V aux 0,6A de 3,3V principal Cartão laptop interno USB Variável 500 mA @ 5V Laptop externo / adaptador PC Compact Flash 36,4 X 42,8 X 3,3 (Tipo I)* 36,4 X 42,8 X 3,3 (Tipo II)* 75mA @ 3,3Vpot. Nível 0 500mA@3,3Vpot. Nível 1 Cartão PDA / digital-câmera removível Tabela 6 - Comparação entre os vários formatos WLAN. *pode exceder as dimensões além do comprimento de 42,8 mm. www.esab.edu.br 20 Desconsiderando o formato, os NIC’s WLAN são geralmente construídos com um conjunto de chips. Este conjunto de chips pode ser ou não fornecido por um único fabricante. Na tendência atual, um NIC de conversão direta consiste de somente alguns circuitos integrados. Na figura 6 pode-se observar o diagrama de blocos típico de um cartão PCMCIA para WLAN. Figura 6 – Cartão PCMCIA típico para WLAN. Os principais CI’s (Circuitos Integrados) utilizados na maioria dos adaptadores WLAN são: o processador de banda base/MAC, o chip de rádio e o amplificador de potência (PA). Outros CI’s incluem chaveadores de RF, uma EEPROM (Electrically Erasable Programmable Read-Only Memory), um regulador de tensão e um oscilador controlado por tensão (VCO) que são externos ao chip do rádio. No topo destes componentes, os cartões NIC’s de 5 GHz frequentemente contêm um receptor com amplificador de baixo ruído (LNA – Low Noise Amplifier). Adicionalmente, os cartões NIC necessitam de no mínimo um filtro de entrada que pré seleciona o sinal de RF antes da entrada no receptor e nos filtros do transmissor de potência. www.esab.edu.br 21 Uma frequência de referência também é necessária. Frequentemente, esta referência é um módulo oscilador de cristal com temperatura compensada (TCXO – Temperature- Compensated crystal Oscillator) ou um cristal. Cartões NIC de 5 GHz utilizam dúzias de componentes passivos incluindo capacitores, indutores e resistores. O processador MAC/banda base é considerado o centro nervoso do cartão NIC. Ele comunica-se com o computador ou PDA associado enquanto controla e ajusta o circuito interno do rádio. Este processador combina as funções de MAC e o processamento de sinal banda base através da combinação do microcomputador central e de lógica específica. Incluindo neste tipo de chip estão os conversores Analógico-Digital (ADC’s) e Digital-Analógico (DAC’s). Estes conversores se comunicam com o chip de rádio e o amplificador de potência. A porção MAC do processador MAC / banda base controla as funcionalidades do processador de banda base. Desconsiderando a camada PHY, os blocos MAC são semelhantes em diversos padrões. Ele decide quando o cartão NIC deverá transmitir, receber ou ficar inativo. O cartão MAC também controla as conexões de hardware de baixo nível para o AP ou outro cartão NIC (dependendo do modo selecionado). No modo predominante que é chamado de função de coordenação distribuída (DCF – Distributed Coordination Function), cada MAC é responsável pela verificação se o canal está ocupado antes da transmissão. Se o canal está ocupado, o cartão MAC deve seguir um procedimento específico até poder tentar novamente. Este esquema é referido como CSMA/CA – Carrier Sense Multiple Access with Collission Avoidance – Múltiplo acesso www.esab.edu.br 22 com detecção de portadora para evitar colisão. Alternativas baseadas em MAC para este tipo de contenção, como o MAC 802.11e (draft) inclui agendamento TDMA (Time Division Multiple Access) e o uso de algorítimos típicos de polling. Desta maneira os algorítimos oferecem um aumento no desempenho de voz e tráfego multimídia. As funções adicionais de MAC incluem criptografia e a possibilidade de controle de potência. A criptografia é implementada sobre o protocolo WEP (Wireless Equivalent Privacy) entre outros a serem abordados no capítulo sobre segurança. A chave é inserida tanto manualmente ou através de um esquema de distribuição automática de chave. O padrão 802.11i (draft) enfoca este item. Em contraste, o 802.11h padroniza o controle de potência. A intenção do controle de potência é manter a máxima eficiência da rede, reduzindo o consumo dos equipamentos móveis. Na Europa, a especificação 802.11h é requerida para o padrão 802.11a. Isto garante que cada rádio emita a potência mínima necessária para a condição particular do enlace. O chip de rádio também integra muitas funções. Ele contém um sintetizador, filtros, amplificadores e misturadores (mixers). Ele contém muito pouca lógica. De fato, ele é controlado pelo MAC/ banda base. O rádio deve sintonizar a frequência pretendida. O sintetizador interno controla o VCO (Voltage-Controlled Oscillator – Oscilador Controlado por Tensão). Em consequência, a saída do VCO fornece a frequência de transmissão/recepção desejada. No modo de transmissão, o chip do rádio converte a forma de onda complexa em banda base proveniente do processador de banda base para o sinal de RF modulado. Quando no modo de recepção, ele converte o sinal de RF modulado (cujo nível de www.esab.edu.br 23 potência pode variar mais de 70 dB) para uma forma de onda complexa em banda base. O processador de banda base então decodifica a forma de onda. Para garantir um sinal recuperável, o processador de banda base controla o ganho do receptor e também o ganho de entrada (o LNA). Frequentemente, os sinais modulados que chegamdiretamente do chip de rádio são insuficientes para manter um enlace 802.11 confiável. Neste caso, um amplificador de potência pode ser usado para ampliar o nível de sinal. Os requisitos necessários para este PA é que consuma a mínima corrente possível enquanto minimiza a distorção. Ao mesmo tempo, deve maximizar a potência irradiada. Quase sempre, um algoritmo de controle que é proporcionado pelo processador de banda base pode ser usado para maximizar a eficiência dos PA’s. Ele poderia também controlar precisamente a potência de saída do cartão NIC. Finalmente, as chaves de RF selecionam o caminho para o sinal de RF. Eles conectam tanto o PA ou chip do receptor de rádio para uma das duas antenas. Estas antenas são espaçadas para ser provável que uma receba um sinal mais forte que a outra na presença de interferência por multipercurso (chamada diversidade). Esta interferência, conhecida como fringing ocorre devido às alternadas interferências construtivas e destrutivas que ocorrem quando o mesmo sinal segue múltiplos percursos até seu destino. Mais uma vez o processador de banda base é responsável pela tomada de decisão e envio dos sinais de controle apropriados. A figura 7 ilustra NIC’s PCMCIA e PCI. www.esab.edu.br 24 Figura 7 - Exemplos de NIC WLAN (Fontes: Cisco Systems, D-link e 3Com). 2.1 Pontos de Acesso (Access Point – AP) Um AP é um componente sem fio equivalente ao hub de uma rede tradicional, que tem a função de receber, armazenar e transmitir os dados entre a rede sem fio e a rede cabeada. Um AP é normalmente conectado à rede cabeada através de um cabo ethernet padrão, e se comunica com a rede sem fio através da antena. O AP ou a antena conectada ao mesmo é montada em um local elevado, geralmente na parte alta da parede ou no teto. Assim como ocorre em uma rede de telefonia celular, múltiplos AP podem suportar roaming quando as estações se movem de um AP para outro. A figura 8 ilustra um equipamento comercial para Ponto de Acesso. www.esab.edu.br 25 Figura 8 – Exemplo de Ponto de Acesso WLAN (Fonte: Cisco Systems – divisão Linksys) A área de cobertura de um AP pode situar-se tipicamente de 20 a 500 metros, podendo suportar de 15 a 250 usuários, dependendo da tecnologia utilizada, da configuração e do uso. A tabela 7 apresenta o máximo throughput esperado para ambiente IEEE 802.11 indoor. Distância [m] 802.11b [Mbit/s] 802.11a [Mbit/s] 802.11g somente [Mbit/s] 802.11g com RTS/CTS [Mbit/s] 3 5,8 24,7 24,7 11,8 15 5,8 19,8 24,7 11,8 30 5,8 12,4 19,8 10,6 45 5,8 4,9 12,4 8 60 3,7 0 4,9 4,1 75 1,6 0 1,6 1,6 100 0,9 0 0,9 0,9 Tabela 7 – Máximo throughput esperado para ambiente 802.11 indoor (Fonte: BroadCom Inc) É relativamente fácil a ampliação de uma rede sem fio simplesmente com a adição de mais AP’s. Isso diminuirá os congestionamentos na rede e poderá aumentar a área de cobertura do sistema. Outra facilidade é sobrepor mais de uma rede no mesmo ambiente, inclusive de diferentes padrões, conforme ilustra a figura 9. www.esab.edu.br 26 Figura 9 – Ponto de Acesso WLAN com as tecnologias 802.11a e 802.11g combinadas no mesmo equipamento (Fonte Cisco Systems). 2.2 Outdoor LAN Bridges (Ponte entre Prédios) Usado para a conexão de LANs entre diferentes prédios. Quando o custo de conexão utilizando-se da tecnologia de fibra óptica é alto ou inviável devido a barreiras tais como rios, estradas, tubulações de água, e etc., a conexão sem fio pode ser uma alternativa viável e econômica. A figura 10 ilustra uma LAN Bridge com antenas para uso externo. Essa solução pode também substituir o aluguel de linhas privativas (LP’s). Utilizam-se antenas direcionais de alto ganho para que se possa atingir grandes distâncias. Alguns AP’s podem ser utilizados como bridges. Figura 10 – Exemplo de outdoor LAN Bridge e antenas dipolo e prato parabólico (Fonte Cisco Systems [2]). www.esab.edu.br 27 Modos de Operação São dois os modos de operação de uma rede 802.11[5]: • Infraestrutura; • Ad-hoc. Em ambos os modos de operação, um SSID (Service Set Identifier), também conhecido como “Identificador da rede sem fio”, identifica a rede sem fio. O SSID é um parâmetro configurado no AP, para o modo de infraestrutura, ou para um cliente sem fio em ambos os modos. O SSID é periodicamente anunciado pelo AP ou pela estação usando um quadro MAC 802.11 conhecido como beacon frame – quadro de anúncio. Entretanto, algumas implementações de segurança recomendam a não divulgação do SSID em redes privadas e com acesso restrito. Esses modos de operação das redes 802.11 são apresentados a seguir. 2.3 Rede Infraestrutura A estação primeiramente identifica a rede sem fio e os AP’s disponíveis dentro da sua área de cobertura. Isso é feito através da monitoração dos quadros “anúncio” vindos dos AP’s, que anunciam cada um deles na rede sem fio, ou também através da sondagem (probe) de uma rede sem fio particular através do uso de probe frames – quadros de sondagem. www.esab.edu.br 28 A estação então escolhe uma rede das disponíveis e inicia o processo de autenticação com o AP. Uma vez que a estação e o AP se autenticaram o processo de associação é iniciado. O processo de associação permite que o AP e a estação troquem informações e funcionalidades. O AP pode usar essa informação e compartilhar com outros AP’s na rede para disseminar conhecimento da localização atual da estação na rede. Somente após a associação ser completada a estação pode transmitir e receber dados da rede. No modo de infraestrutura, todo o tráfego das estações tem que passar pelo AP para alcançar o destino que pode ser uma estação na rede sem fio ou na rede cabeada. O acesso à rede é gerenciado usando-se o protocolo CSMA/ CA (Carrier Sense Multiple Access - Collision Avoidance). As estações irão “ouvir”, ou seja, monitorar a rede por um período de tempo específico para verificar se há transmissão de dados de outras estações antes de tentar efetuar a transmissão dos seus dados. Isso identifica a parte referente à detecção de portadora (carrier sense) do protocolo CSMA/CA. A estação deve então esperar um período de tempo predefinido para que a rede fique “disponível” antes de iniciar a transmissão. Esse delay, mais o recebimento pela estação transmissora de um ACK, indicando uma recepção com sucesso, forma a parte referente à collision avoidance (evitar colisão) do protocolo CSMA/CA. Nota-se que no modo de infraestrutura, o AP é sempre o receptor e o transmissor. Devido a algumas estações não serem capazes de detectar/”ouvir” cada uma das outras, ambas estando no alcance do AP, cuidados especiais devem ser tomados para evitar colisões. Isso inclui um tipo de reconhecimento (reservation exchange) que pode ocorrer antes de um pacote de dados ser transmitido. É utilizado o RTS (Request to Send – requisição para transmitir) perfazendo a função de reconhecimento, além do NAV www.esab.edu.br 29 (Network Allocation Vector – Vetor Alocação de Rede) mantido para cada estação na rede sem fio. Com isso, se determinada estação não puder “ouvir” a transmissão de outra estação, ela escutará o CTS transmitido pelo AP indicando que outra estação está se comunicando com o AP e então evita a transmissão durante esse intervalo. Se durante o processo de escuta da rede o meio estiver livre, a estação envia um RTS para o AP, o qual envia um CTS para as estações, inclusive para a solicitante, a qual inicia a troca de pacotes. 2.4 Rede Ad-Hoc Nesse tipo de rede, os clientes sem fio comunicam-se diretamente com os outros sem o uso de AP. Essa rede também é chamada de peer-to-peer (ponto-a-ponto). Os clientes sem fio trabalhando em modo ad-hoc formam um IBSS. Um dos clientes, o primeiro cliente na IBSS, tem certas responsabilidades como se fosse um AP. Essas responsabilidades incluem o processo de anúncio da rede e a autenticação de novos membros dessa rede. Esse cliente não atua como uma parte(bridge) para permitir a troca de informações entre os clientes. Os clientes dessa rede devem ser explicitamente configurados para trabalhar em modo ad hoc. Pode-se ter um número máximo de membros em uma rede sem fio do tipo ad hoc. Com isso, o AP da célula origem fica sabendo da nova posição da estação móvel, e envia a informação a ela destinada, como se a referida estação estivesse em sua própria célula. www.esab.edu.br 30 A figura 2 apresenta o posicionamento na estrutura de camadas OSI [6] do protocolo 802.11. Figura 2: Camadas Física e de Enlace de uma rede 802.11. 3.1 Camada Física (PHY) As funções dessa camada são: • Codificação e decodificação de sinais; • Geração/remoção de parâmetros (preamble) para sincronização; • Recepção e transmissão de bits; • Inclui especificação do meio de transmissão. Na camada física, o 802.11 define uma série de padrões de transmissão e codificação para comunicações sem fio, sendo os mais comuns: FHSS (Frequency Hopping Spread Spectrum), DSSS (Direct Sequence Spread Spectrum) e OFDM (Orthogonal Frequency Division Multiplexing). www.esab.edu.br 31 Os padrões de rede sem fio para essa camada são: 802.11 A taxa de transmissão original desse padrão era de 2 Mbit/s usando-se FHSS e 2,4 GHz (frequência de operação). Entretanto, sob condições não ideais, uma taxa de transmissão de 1 Mbit/s era utilizada. 802.11b O maior avanço/inovação no padrão 802.11 foi a padronização de uma camada física que suportasse alta taxa de transmissão. Assim foi criado o IEEE 802.11b, que suporta taxas adicionais de 5,5 e 11 Mbit/s usando a mesma frequência de operação. O padrão de transmissão DSSS é utilizado para prover taxas de transmissão maiores. A taxa de 11 Mbit/s é atingida em condições ideais. Sob condições não ideais são utilizadas velocidades menores, de 5,5 Mbit/s, 2 Mbit/s ou 1 Mbit/s. Usa a mesma faixa de frequência dos fornos de micro-ondas, telefone sem fio, babá eletrônica, câmera de vídeo sem fio e equipamentos Bluetooth. 802.11a Esse padrão foi o primeiro a ser padronizado, mas somente agora está sendo largamente comercializado e utilizado. Opera a taxas de 54 Mbit/s na frequência de 5 GHz. Em vez de utilizar a modulação DSSS, o 802.11a usa OFDM, que permite que os dados sejam transmitidos por sub-frequências e grande taxa de transmissão (throughput). Essa tecnologia habilita a rede sem fio a transmitir vídeo e voz. Por operar em uma faixa de frequência diferente do 802.11b, não sofre interferências de outros tipos de equipamento e portanto fornece uma alta taxa de transmissão com sinal livre de interferências. Em condições ideais pode transmitir a 54 Mbit/s. Outras velocidades também podem ser alcançadas em caso de não haver condições ideais (48, 36, 24, 18, 12 e 6 Mbit/s). www.esab.edu.br 32 802.11g Opera a uma taxa de 54 Mbit/s, utilizando-se da faixa de frequência de 2,4 GHz e modulação OFDM. O padrão 802.11g é também compatível com o 802.11b e pode operar em taxas de transmissão que o 802.11b opera, com a modulação DSSS. Os adaptadores 802.11g podem conectar-se a um AP 802.11b e adaptadores 802.11b podem conectar- se a um AP 802.11g. Assim, o 802.11g fornece uma opção de upgrade/ migração para redes 802.11b, pois apresenta a mesma faixa de frequência de operação com uma taxa de transmissão mais elevada. Adaptadores 802.11b não podem sofrer upgrade para 802.11g através da atualização do firmware do adaptador – devem ser substituídos. Já no processo de migração do 802.11b para o 802.11a, todos os adaptadores de rede e os AP’s devem ser trocados ao mesmo tempo. Da mesma forma que o 802.11a, o 802.11g opera a 54 Mbit/s em condições favoráveis e a menores taxas (48, 36, 24, 18, 12 e 6 Mbit/s) para condições menos favoráveis [7]. 3.2 Camada de Enlace O padrão 802 define duas camadas separadas, o LLC (Logical Link Control) e o MAC (Media Access Control), para a camada de enlace de dados do modelo OSI. As funções da camada MAC são: • Aspectos de transmissão: reunir dados dentro de um pacote com endereços e campos detecção de erro. • Aspectos de recepção: abre pacote e executa reconhecimento de endereços e detecção de erros. • Controle de acesso ao meio de transmissão LAN. www.esab.edu.br 33 As funções da camada LLC são: • Provê interface para camadas superiores e executa controle de fluxo e erro de pacotes. O quadro MAC do 802.11, como mostrado na Figura 3, consiste em um cabeçalho (header) MAC, o corpo do quadro e o campo FCS (frame check sequence). Os números na figura representam o número de bytes de cada campo. Figura 3: Quadro MAC de uma rede 802.11. Fonte: André Pimenta Mathias – UFRJ. A descrição dos campos é apresentada a seguir. Frame Control Field (Campo de Controle do Quadro) Esse quadro contém informações de controle usado para definir o tipo de Quadro MAC 802.11. A estrutura desse quadro é mostrada na Figura 4. Figura 4: Quadro de Controle do Quadro MAC do 802.11. Fonte: André Pimenta Mathias – UFRJ. www.esab.edu.br 34 No quadro de controle, temos: • Protocol Version (versão do protocolo): Indica a versão corrente do protocolo 802.11 utilizado. As estações receptoras usam esse valor para determinar se a versão do protocolo do quadro recebido é suportada. • Type e Subtype: determina a função do quadro. Há 3 diferentes tipos de quadro: controle, dados e gerenciamento. Há múltiplos subtipos para cada tipo de quadro. Cada subtipo determina uma função específica desempenhada com o seu tipo de quadro associado. • To DS e From DS (do sistema de distribuição): Indica se o quadro está indo para o DS ou se é oriundo do DS. Esses campos somente são utilizados em quadro do tipo dados de estações associados a AP. • More Fragments: indica se mais fragmentos do quadro (dado ou gerenciamento) estão vindo. • Retry (retransmissão): indica se a informação (dado ou gerenciamento) está ou não sendo retransmitida. • Power Management: indica se a estação que transmitiu a informação está em active mode (modo ativo) ou em power- save-mode (modo economia de energia). • More Data: indica para uma estação operando em power- save-mode que o AP tem mais quadros para enviar. Isso é também usado por AP’s para indicar que quadros de broadcast/multicast adicionais serão enviados. • WEP: indica ou não se está sendo usado no quadro o processo de criptografia e autenticação. Isso pode ser configurado para todos os quadros de dados e gerenciamento que têm o subtype configurado para autenticação. • Order : indica se todos os quadros de dados recebidos devem ser processados em ordem. www.esab.edu.br 35 Duration/ID Field Esse campo é usado para todos os campos de controle, exceto com o subtype chamado Power Save (PS) Poll, para indicar o tempo restante necessário para receber a próxima transmissão. Quando é usado o subtipo PS Poll, esse campo contém a AID (Associaton Identity) da estação que está transmitindo. Para a reserva virtual usando-se CTS/RTS esse campo contém o período de tempo que o meio vai ficar ocupado. Address Field (Campo Endereço) Dependendo do tipo de quadro, os 4 campos de endereço irão conter uma combinação dos seguintes tipos de endereços, conforme ilustrado na tabela 1: • BSS Indentifier – BSSID (Identificador de BSS): BSSID unicamente identifica cada BSS. Quando o quadro é vindo de uma estação que opera em modo infra-estrutura BSS, BSSID é o endereço MAC do AP. Quando o quadro é vindo de uma estação que opera em modo ad hoc (IBSS), o BSSID é um número randômico gerado e localmente administrado pela estação que iniciou a transmissão. • Destination Address – DA (Endereço Destino): indica o endereço MAC do destino final para a recepção do quadro. • Source Address – AS (Endereço Fonte): indica o endereço MAC da fonte que originou (criou) e transmitiu inicialmente o quadro. • Receiver Address – RA (Endereço do Receptor): indica o endereço MAC dapróxima estação que irá receber o quadro. • Transmitter Address – TA (Endereço do Transmissor): indica o endereço MAC da estação que transmitiu o quadro na rede sem fio. www.esab.edu.br 36 To DS From DS end.1 end.2 end.3 end.4 0 0 DA SA BSSID — 0 1 DA BSSID SA — 1 0 BSSID SA DA — 1 1 RA TA DA SA Tabela 1: Campos de Endereço do Quadro MAC do 802.11. Fonte: IEEE 802.11 – Tutorial – Mustafá Ergen – University of California - Berkeley Sequence Control (Controle de Sequência) Esse campo contém dois subcampos, conforme mostra a Figura 5: • Sequence Number (Número de Sequência): indica o número de sequência de cada quadro. Esse número é sempre o mesmo para cada quadro enviado para o caso de um quadro fragmentado. Já para o próximo quadro não fragmentado, o número é incrementado até atingir 4095 e então retornar para o valor zero novamente. • Fragment Number (Número de Fragmento): indica o número para cada fragmento do quadro enviado. O valor inicial é zero e é incrementado para cada fragmento. Figura 5: Sub-campos do Controle de Sequência do Quadro MAC. Fonte: André Pimenta Mathias – UFRJ. www.esab.edu.br 37 3.3 Frame Body (Corpo do Quadro) Contém a informação específica de dados ou de gerenciamento. 3.4 Frame Check Sequence – FCS (Sequência de Verificação do Quadro) O transmissor do quadro aplica um CRC-32 (Cyclic Redundancy Check) sobre todos os campos do cabeçalho MAC e sobre o corpo do quadro para gerar o FCS. O receptor do quadro utiliza-se do mesmo CRC para determinar o seu próprio valor de FCS e então verificar se ocorreu ou não erro durante a transmissão. www.esab.edu.br 38 Além de definir um mecanismo para transmissão física usando radiofrequência ou infravermelho, o IEEE definiu um protocolo de acesso ao meio (subcamada MAC do nível de enlace de dados), denominado de DFWMAC (Distributed Foundation Wireless Medium Access Control), que suporta dois métodos de acesso: um método distribuído básico, que é obrigatório; e um método centralizado, que é opcional, podendo esses dois métodos coexistir (IEEE 802.11a), o protocolo de acesso ao meio das redes 802.11 também trata de problemas relacionados com estações que se deslocam para outras células (roaming) e com estações perdidas (hidden node). O método de acesso distribuído forma a base sobre a qual é construído o método centralizado. Os dois métodos, que também podem ser chamados de Funções de Coordenação (Coordination Functions), são usados para dar suporte à transmissão de tráfego assíncrono ou tráfego com retardo limitado (time bounded). Uma função de coordenação é usada para decidir quando uma estação tem permissão para transmitir. Na Função de Coordenação Distribuída (Distributed Coordination Functions - DCF), essa decisão é realizada individualmente pelos pontos da rede, podendo dessa forma ocorrer colisões. Na função de coordenação centralizada, também chamada de função pontual (Point Coordination Function - PCF), a decisão de quando transmitir é centralizada em um ponto especial que determina qual estação deve transmitir e em que momento, evitando teoricamente a ocorrência de colisões. www.esab.edu.br 39 Na sequência, seguem detalhes do funcionamento dessas duas funções. 4.1 Função de Coordenação Distribuída (DCF) Representa o método de acesso básico do protocolo DFWMAC. É uma função conhecida como CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) com reconhecimento. A DCF trabalha semelhantemente a função CSMA/CD da tecnologia de rede local cabeada (Padrão Ethernet 802.3), apenas com uma diferença: o protocolo CSMA/CD do Ethernet controla as colisões quando elas ocorrem, enquanto que o protocolo CSMA/ CA do padrão sem fio apenas tenta evitar as colisões. A utilização dessa função distribuída é obrigatória para todas as estações e pontos de acesso, nas configurações Ad Hoc e com infraestrutura, e ela, a DCF, trabalha da seguinte maneira, quando uma estação deseja transmitir: • A estação sente o meio para determinar se outra estação já está transmitindo. • Se o meio estiver livre, a estação transmite seu quadro, caso contrário, ela aguarda o final da transmissão. • Após cada transmissão com ou sem colisão, a rede fica em um modo onde as estações só podem começar a transmitir em intervalos de tempo a elas pré-alocados. • Ao findar uma transmissão, as estações alocadas ao primeiro intervalo têm o direito de transmitir. Se não o fazem, o direito passa as estações alocadas ao segundo intervalo, e assim sucessivamente até que ocorra uma transmissão, quando todo o processo reinicia. • Se todos os intervalos não são utilizados, a rede entra então no estado onde o CSMA comum é usado para acesso, podendo, dessa forma, ocorrer colisões. www.esab.edu.br 40 No método CSMA/CA pode ocorrer colisões e esse método não garante a entrega correta dos dados. Com isso, uma estação após transmitir um quadro, necessita de um aviso de recebimento que deve ser enviado pela estação destino. Para isso, a estação que enviou o quadro aguarda um tempo (timeout) pelo aviso de recebimento do quadro por parte da estação destino. Caso esse aviso não chegue no tempo considerado, a estação origem realiza novamente a transmissão do quadro. Para melhorar a transmissão de dados, o protocolo DFWMAC acrescenta ao método CSMA/CA com reconhecimento, um mecanismo opcional que envolve a troca de quadros de controle RTS (Request To Send) e CTS (Clear To Send) antes da transmissão de quadros de dados. Esse mecanismo funciona da seguinte forma: • Uma estação antes de efetivamente transmitir o quadro de dados, transmite um quadro de controle RTS, que carrega uma estimativa da duração no tempo da futura transmissão do quadro de dados. • A estação de destino em reposta ao quadro de controle RTS envia um quadro de controle CTS avisando que está pronta para receber o quadro de dados. Só então a estação transmissora envia o quadro de dados, que deve ser respondido com um reconhecimento (ACK) enviado pela estação receptora. • O quadro RTS basicamente possui as funcionalidades de reservar o meio para a transmissão do quadro de dados e de verificar se a estação de destino está pronta para receber o quadro de dados, sendo esta a última funcionalidade devido à possibilidade da estação de destino, estar operando no modo de economia de energia (modo power save). www.esab.edu.br 41 A Figura 6 apresenta a troca de dados para a transmissão de informações, usando o mecanismo opcional com RTS e CTS. Figura 6: DFWMAC com RTS-CTS. Fonte: André Pimenta Mathias – UFRJ. O mecanismo básico do controle de acesso DFWMAC é ilustrado na Figura 7, nela podemos observar que uma estação com quadros para transmitir deve “sentir” o meio livre por um período de tempo. Figura 7: DFWMAC Básico. Fonte: André Pimenta Mathias – UFRJ. O método de acesso CSMA/CA inclui os seguintes parâmetros: • Distributed Inter Frame Space (DIFS) – espaço entre quadros da DCF. Este parâmetro indica o maior tempo de espera, monitorando o meio, aguardando no mínimo um intervalo de silêncio para transmitir os dados. • Priority Inter Frame Space (PIFS) – espaço entre quadros www.esab.edu.br 42 da PFC. Tempo de espera entre o DIFS e o SIFS (prioridade média). Envia quadros de contenção de superquadros e é usado para o serviço de acesso com retardo. • Short Inter Frame Space (SIFS) – é usado para transmissão de quadros carregando respostas imediatas (curtas), como ACK. 4.2 Função de Coordenação Pontual (PCF) Trata-se de uma função opcional que pode ser inserida no protocolo DFWMAC, sendo construída sobre uma função de coordenação distribuída (DCF). É implementada através de um mecanismo de acesso ordenado ao meio, que suporta a transmissão de tráfego com retardo limitado ou tráfego assíncrono. Para a integração dessas duas funções – pontual e distribuída – é utilizado o conceito de superquadro, fazendo com que o protocolo possa trabalhar de uma formaem que a função pontual assuma o controle da transmissão, para evitar a ocorrência de colisões. Para isso, o protocolo DFWMAC divide o tempo em períodos denominados superquadros, que consiste em dois intervalos de tempo, consecutivos, que são usados da seguinte maneira: • No primeiro tempo, controlado pela PCF, o acesso é ordenado, o que evita a ocorrência de colisões; • No segundo tempo, controlado pela DCF, o acesso baseia- se na disputa pela posse do meio, podendo ocorrer colisões. Situações Típicas Algumas das situações típicas que ocorrem nas redes sem fio[8] são apresentadas a seguir. www.esab.edu.br 43 4.3 Roaming O roaming é uma importante característica de comunicação sem fio. Permite que estações mudem de célula e continuem enviando e recebendo informações. Sistemas de roaming empregam arquiteturas de microcélulas que usam pontos de acesso estrategicamente localizados. O roaming entre pontos de acesso é totalmente transparente para o usuário. Redes sem fio típicas dentro de prédios requerem mais que apenas um AP para cobrir todos os ambientes. Se um usuário passeia com uma estação (aparelho sem fio), a estação tem que se mover de uma célula para outra. A função do roaming funciona da seguinte forma: • Uma estação móvel, ao entrar em uma nova célula, e não estando em conversação, registra-se automaticamente pelo AP que controla a célula destino. • Na célula visitada, o AP desta, verificará se a estação móvel visitante não havia se registrado anteriormente. Caso esse procedimento não tenha sido efetuado, o referido AP informará ao AP da célula origem sobre a nova posição. 4.4 Hidden Nodes (Estações Escondidas) Verificando-se as Figuras 8 e 9, a estação A e a estação C não podem “escutar” as transmissões da outra, visto que estão fora da área de cobertura. Se ambas tentarem ao mesmo tempo transmitir pacotes para a estação B que se encontra dentro de sua área de cobertura, haverá colisão e consequente perda de pacotes. Com a utilização de 2 quadros chamados de RTS e CTS esse problema é resolvido. A origem envia o quadro RTS e o destino do pacote responde com um quadro CTS e com isso as www.esab.edu.br 44 demais estações suspendem suas transmissões por um período de tempo especificado por estes quadros (RTS/CTS). Esses quadros são considerados unidades atômicas de protocolo MAC. Estações que “escutam” RTS atrasam suas transmissões até “escutar” CTS. Na estação fonte (transmissora), qualquer tipo de falha pode causar a retransmissão do quadro. Isso é tratado como uma colisão e as regras para temporização de retransmissão são tratadas no DFWMAC - CSMA/CA. Para evitar que uma estação monopolize o meio, há contadores decrescentes de tempo e temporizadores para impedir que todas as estações que possuam quadros para transmissão utilizem o meio ao mesmo tempo e causem colisão. Com os temporizadores, cada estação tem os tempos configurados de forma aleatória, evitando colisões. O mecanismo RTS/CTS pode ser desabilitado nas seguintes situações: • Baixo uso de banda; • Onde as estações são concentradas em uma área onde todas as estações são capazes de “ouvir” as outras estações; • Onde não há muita concentração para o canal. Figura 8: Estações Escondidas. Fonte: IEEE 802.11 – Tutorial – Mustafá Ergen – University of California - Berkeley. www.esab.edu.br 45 Figura 9: Estações Escondidas – Uso de CTS-RTS. Fonte: IEEE 802.11 – Tutorial – Mustafá Ergen – University of California - Berkeley. www.esab.edu.br 46 A figura 10 representa o mecanismo de roaming com os processos de associação e autenticação. Figura 10: Processo de associação, autenticação e roaming Fonte: IEEE 802.11 – Tutorial – Mustafá Ergen – University of California - Berkeley. O processo poderá possuir as seguintes etapas: • A estação encontra o ap1, ela irá autenticar-se e associar-se a ele; • Com o movimento da estação, ela efetuará a pré-autenticação ao ap2; • Quando a associação com o ap1 não é mais desejada, a estação vai se associar com ap2; • Ap2 notifica ap1 da nova localização da estação e finaliza a associação prévia com ap1; • Neste ponto, ap2 pode estar fora de serviço. Ap2 poderia desassociar-se das estações associadas; A estação encontra o ap3, autentica-se e associa-se a ele. www.esab.edu.br 47 5.1 Gerenciamento MAC As principais funcionalidades do gerenciamento MAC são apresentadas a seguir. 5.2 Autenticação A Autenticação provê um mecanismo para uma estação provar a sua identidade a outra estação em uma WLAN. A Autenticação pode ser usada entre quaisquer 2 estações. Entretanto, é mais comum quando usada entre uma estação e um AP em uma rede do tipo infraestrutura. Nesse caso, a estação conecta-se a uma ESS e uma rede cabeada atrás dela através de um AP e a prova de sua identidade se faz necessária se a rede é para ser protegida contra acessos não autorizados. Há 2 tipos de algoritmo de autenticação: Open System Authentication (Sistema Aberto De Autenticação) e Shared Key Authentication Algorithm (Algoritmo de Autenticação de Chave Compartilhada). O primeiro algoritmo de autenticação (sistema aberto) apresenta resultado garantido de sucesso assim que duas estações façam a introdução de cada uma delas à outra. Nenhuma verificação adicional é necessária. O segundo algoritmo de autenticação (chave compartilhada) depende de ambas as estações terem uma cópia da chave WEP. Nesse sistema é usada a opção de criptografia WEP para criptografar e descriptografar um challenge text - texto desafio – como prova que as estações compartilham a mesma chave. Iniciando-se o processo de autenticação, a estação A envia sua prova de identidade à estação B. www.esab.edu.br 48 A estação B responde para a prova da estação A com a prova de identidade dela mesma e solicita que a estação A prove sua identidade através da correta criptografia do challenge text. A estação A então criptografa o texto usando as regras do WEP, enviando resultado de volta à estação B. A estação B entra descriptografa o quadro usando a chave apropriada e retorna um quadro de gerenciamento de autenticação para estação A com indicação de falha ou sucesso no processo de autenticação. Se a resposta for sucesso, o padrão informa que cada estação está autenticada pela outra. 5.3 Associação A Associação é o mecanismo através do qual o 802.11 provê mobilidade transparente às estações. A Associação pode somente ser feita após um processo de autenticação com sucesso ser completado. Quando uma estação requisita conexão a uma WLAN, ela envia uma requisição de associação para um AP. Essa requisição inclui informações sobre as capacidades da estação, taxas de dados que ela suporta, características de contenção (livre ou não), suporte ou não a WEP, e etc. A requisição de associação também inclui informações sobre o tempo que a estação pode ficar em power mode (economia de energia). Vale ressaltar que as políticas e algoritmos utilizados pelo AP para tomar a decisão de aceitar uma requisição de associação de uma estação móvel não são descritas no padrão 802.11. Quando o AP responde à solicitação, a resposta inclui uma solicitação de status. Esse status informa a estação os motivos do sucesso ou da falha na associação. Uma vez que a estação está associada, o AP é responsável por encaminhar dados da estação para o destino. Se o destino www.esab.edu.br 49 está na mesma BSS, o AP irá simplesmente transmitir os dados para a BSS. Se o destino está fora da BSS, o AP encaminhará os dados para o DS. Se o destino estiver em outra BSS, o AP encaminhará os dados para o AP da outra BSS, onde os dados serão encaminhados ao destino. Se o destino dos dados estiver inteiramente fora do ESS, o AP encaminhará os dados para o gateway da rede, que é a saída do DS para atingir o restante da rede. O gateway pode ser um AP, uma bridge, ou um roteador. Similarmente, quando os dados são enviados de fora doESS para uma estação móvel, o gateway deverá encaminhar o quadro para o AP correto, aquele no qual a estação está associada na sua BSS. Uma vez que a estação está associada, ela pode iniciar a troca de pacotes com o AP. Quando a estação perde contato com o AP, a estação deverá iniciar o processo de associação novamente para que possa continuar a trocar pacotes. Devido ao fato do DS ter que manter informações sobre a localização de cada estação sem fio e porque os dados podem ter sido encaminhados para um AP com o qual a estação não pode mais se comunicar, a estação usará o processo de requisição de associação depois da associação inicial. O AP que garantiu a reassociação normalmente se comunica com o AP com o qual a estação estava conectada inicialmente e força a finalização dessa associação. 5.4 Sincronização É o processo em que as estações em uma BSS têm de estar sincronizadas umas com as outras, tornando a comunicação possível. Esse processo envolve beaconing para anunciar a presença de um BSS, e a varredura, para encontrar uma BSS. Uma vez que a BSS é encontrada, a estação se conecta à mesma. www.esab.edu.br 50 Este processo é inteiramente distribuído, em uma rede IBSS e BSS, e trocam informações entre si usando uma base de tempo comum, provida por um TSF (Timer Synchronization Function – Função de Sincronização de Tempo). Em uma rede tipo Infraestrutura, o AP é responsável por transmitir periodicamente um quadro de anúncio que serve como sincronismo para as estações. A função de sincronização é muito simples. A estação atualizará seu TSF com o valor do timer recebido do AP no quadro de anúncio. 5.5 Varredura (Scanning) Para permitir que uma estação móvel comunique-se com outras estações em uma rede IBSS ou um AP em uma rede infraestrutura BSS, ela deve primeiramente encontrar as estações ou AP’s. Esse processo é conhecido como varredura e pode ser de 2 tipos: • Passivo: Essa modalidade envolve somente a “escuta” por tráfego 802.11. Isso reduz a potência gasta enquanto faz a varredura do meio. Esse processo faz com que a estação mude para um canal, ouça os “quadros de anúncio” e probe response frames – quadro de resposta da sondagem, extraindo a descrição de cada BSS de cada quadro recebido. Ao final do processo, a estação acumula informação sobre os BSS’s que estão nas proximidades. Energia é economizada em detrimento ao maior consumo de tempo. • Ativo: Nesse processo a estação faz a varredura para extrair as informações das demais estações e dos AP’s. Esse processo economiza tempo. Para isso a estação ativamente transmite queries - perguntas para extrair as respostas das estações em uma BSS. A estação move para um canal e transmite um quadro do tipo probe request – requisição de sondagem. Se houver BSS no canal que coincida com o SSID do quadro “requisição de sondagem”, a estação responderá enviando um quadro probe response – resposta de sondagem – para a estação que fez a pergunta. www.esab.edu.br 51 5.6 Privacidade do MAC A função de privacidade dos dados é provida pelo mecanismo WEP que será visto em detalhes na seção que trata de segurança em redes sem fio do tutorial parte III. 5.7 Filtro de endereço Pode haver mais que uma rede 802.11 operando dentro da mesma localidade (área física), usando o mesmo meio e o mesmo canal. Nessa situação, o receptor deve examinar mais do que o endereço de destino para tomar a decisão. O 802.11 incorpora pelo menos 3 endereços em cada quadro de dados e de gerenciamento que podem ser recebidos por uma determinada estação. Em adição ao endereço de destino, esses quadros também incluem o identificador de BSS (BSSID). A estação deve usar ambos, o endereço de destino e o BSSID quando for tomar decisões, como recomenda o padrão 802.11. www.esab.edu.br 52 Neste eixo conhecemos Redes sem Fio, Dispositivos WLAN, Protocolo 802.11, Protocolo DFWMAC e Associação, Autenticação e Roaming, já começamos a compreender melhor. Com estas aulas temos condições de conhecer os protocolos, dispositivos e necessidades de comunicação das Redes de computadores. www.esab.edu.br 53 Neste eixo estudaremos Preauthentication, Site Survey, WEP – Wired Equivalent Provacy, RADIUS – Remote Authentication Dial-In User Service e Aplicações de Internet Móvel. www.esab.edu.br 54 Nesta segunda unidade conheceremos sistemas de gerenciamento de energia, site survey, WEP, WPA, RADIUS e Aplicações de Internet Móvel. Uma estação móvel geralmente combina varredura (scanning) com autenticação. Como a estação verifica se há outras BSSs, ela iniciará o processo de autenticação quanto a mesma encontra uma nova BSS. Isso também reduz o tempo requerido para a estação fazer o processo de comunicação com a nova BSS, uma vez que ela perca a sua comunicação com a atual BSS. Alguns fabricantes preferem propagar a autenticação de uma estação de um AP para o outro através da rede DS. “O 802.11 não trata sobre esse procedimento e também não proíbe”. 6.1 Power Management (Gerenciamento de Energia) Em uma rede IBSS, esse processo é distribuído, gerenciado por cada uma das estações. O gerenciamento de energia é composto por 2 etapas: a entrada das estações no modo low power operating mode – modo de operação de baixa potência/ consumo –, e quando as estações desejam se comunicar com a estação que está no modo low power operating mode. Para uma estação entrar nesse modo, no qual o receptor e o transmissor são desligados para economizar energia, a estação deve completar uma verificação (handshake) do quadro de dados com outra estação com o bit de gerenciamento de energia (power management bit) setado no cabeçalho do quadro. www.esab.edu.br 55 Vale ressaltar que o padrão 802.11 não especifica quando a estação pode entrar ou sair do modo low power operating, somente como é feita a transição. O gerenciamento de energia para as redes IBSS e BSS é apresentado a seguir. 6.2 Power Management em IBSS Quando a estação estiver nesse modo, ela deve “acordar” para receber cada quadro de anúncio transmitido na rede. A estação deve também ficar acordada por certo período de tempo após o quadro de anúncio, chamado de announcement (anúncio) ou ATIM (ad hoc traffic indication message window). A estação pode novamente entrar no modo de economia de energia após a finalização da janela ATIM. A razão para que a estação fique acordada durante essa janela, é que outras estações que poderiam tentar enviar quadros para ela, irão anunciá-los durante a janela ATIM. O mecanismo de gerenciamento de energia impõe uma ligeira sobrecarga sobre a estação transmissora. As estações que querem transmitir devem enviar um quadro de anúncio em adição ao quadro de dados que ela deseja enviar ao destino. Elas devem também armazenar os quadros que serão encaminhados às estações que estão em modo de economia de energia até que esta acorde e reconheça o quadro ATIM. Cada transmissão de um quadro ATIM consome energia da estação transmissora. A estação receptora deve estar acordada para cada quadro de anúncio e janela ATIM, mas não precisa fazer qualquer transmissão a menos que ela receba um quadro ATIM destinado a ela. www.esab.edu.br 56 6.3 Power Management em BSS Em uma rede que trabalha no modo de infraestrutura, o mecanismo de gerenciamento de energia é centralizado no AP. Esse mecanismo permite uma maior economia de energia para as estações móveis do que aquela feita em redes do tipo IBSS. Isso ocorre porque o AP assume toda a responsabilidade de armazenar os quadros e enviá-los quando as estações requererem, permitindo que as estações permaneçam em modo de economia de energia por muito mais tempo. A estação informa o AP durante o processo de associação, o número de períodos de anúncio que a estação permanecerá em modo de economia de energia, para que esta possa acordar em um período específico da transmissão do quadro de anúncio para verificar se há algum quadro de dadosaguardando para ser recebido. A estação em modo de infraestrutura pode economizar muito mais energia do que se estivesse em modo ad-hoc porque não é necessário que ela acorde para verificar cada quadro de anúncio, nem que ela esteja acordada por certo período de tempo após o anúncio. A estação deverá somente acordar em períodos de tempo determinados pelo AP, quando quadros multicast estão sendo enviados. www.esab.edu.br 57 7.1 O que é Site Survey? O site survey é a realização de inspeção técnica nos locais onde serão instalados os equipamentos de rádio frequência da rede sem fio. Este levantamento tem a finalidade de dimensionar a área e identificar o local mais apropriado para a instalação do(s) AP(s), a quantidade de células e de pontos de acesso necessários para que as estações clientes tenham qualidade de sinal aceitável de recepção, acesso à rede e utilizar aplicações e recursos de modo compartilhado. Estes levantamentos devem ser realizados tanto nos ambientes internos (indoor) como nos ambientes externos (outdoor). 7.2 Inspeção da Área A Inspeção do Local é obrigatória em toda a instalação de rede sem fio, pois identifica o ambiente como um todo, possibilitando verificar as barreiras e fontes de interferências. Para este levantamento, além das ferramentas de análise podem ser utilizados Pontos de Acesso, Notebook’s, placas PCMCIA e PDA’s. Para garantir um resultado muito próximo da realidade, os equipamentos utilizados no levantamento deverão ser semelhantes ou até mesmo se possível no padrão especificado para a utilização no projeto. Caso contrário poderão gerar resultados inesperados na implantação. www.esab.edu.br 58 Existem empresas especializadas nesse tipo de levantamento e em ferramentas específicas no mercado para a realização de Inspeção do Local, principalmente para ambientes externos, onde são utilizados analisadores de espectro para esta finalidade. 7.3 Inspeção Indoor/Outdoor Este levantamento serve para a verificação da área mais adequada para a instalação do Ponto de Acesso, observando a existência de visada direta entre os pontos de origem e de destino, e de obstáculos como, por exemplo, prédios, árvores, morros, e etc., verificando a intensidade, qualidade e taxa de erros do sinal. Notebooks e Handhelds são equipamentos adequados para a realização da inspeção antes de definir as especificações finais do projeto. Deve-se verificar a desobstrução da primeira zona de Fresnel. Para tanto, deve-se traçar o perfil do enlace e compensando a curvatura da terra, verificar esta condição, conforme ilustra a figura 1. Figura 1: Enlace outdoor – Zona de Fresnel Fonte: Cisco Systems O desenho do sistema, considerando-se a sensibilidade do receptor, a perda no espaço livre (dependentes da distância e da faixa de frequência a serem utilizadas), as perdas nos cabos e conectores, a potência do transmissor e o ganho das antenas www.esab.edu.br 59 fornecerá a margem de desvanecimento que deverá ser adequada para a confiabilidade requerida para o enlace. Deve-se monitorar também o espectro, analisando a presença de sinais de outros sistemas na mesma faixa de frequência e as polarizações passíveis de serem utilizadas. 7.4 Recomendações Para um ambiente de rede sem fio mais adequado devem- se observar algumas recomendações feitas pela maioria dos fabricantes: • Os AP’s deverão ser posicionados em local onde haja visada para a maioria dos pontos remotos. • As antenas e AP’s deverão estar posicionadas de forma a cobrir todo o ambiente definido no projeto. Pode ser necessário o acréscimo de mais antenas e/ou AP’s, para que o sinal atinja todos os pontos projetados. • Fornos de micro-ondas, babás eletrônicas e telefones que estejam na frequência de 2,4 GHz podem interferir e até destruir o sinal. • Luminárias podem interferir na qualidade do sinal. 7.5 Segurança Com o avanço da tecnologia de comunicação sem fio e dos serviços ofertados através da internet que podem ser utilizados através de Laptops, PDA’s e celulares, torna-se cada vez mais urgente a necessidade de garantir a segurança das informações trafegadas. A comunicação utilizando como meio o ar requer maiores cuidados, pois qualquer pessoa utilizando um receptor apropriado poderá monitorar as transmissões sem ser notada. www.esab.edu.br 60 Para garantir a segurança das informações trafegadas nesse meio muitos protocolos foram e estão sendo desenvolvidos, utilizando-se de tecnologias de criptografia e autenticação para garantir a segurança destes dados. Serão abordados a seguir alguns destes protocolos que contribuem para o funcionamento das redes sem fio com segurança [9]. www.esab.edu.br 61 https://www.youtube.com/watch?v=WkRMIXW_J7Y Os serviços de segurança são amplamente tratados pelo protocolo WEP. Uma chave WEP é uma chave de criptografia que provê a privacidade dos dados transmitidos entre um cliente e o ponto de acesso criptografando os dados. Na transmissão os dados são criptografados antes de serem enviados e o receptor descriptografa os dados ao recebê-lo. Se um ponto de acesso estiver usando WEP e um cliente necessitar da chave corrente para o ponto de acesso, este cliente não poderá comunicar-se com ele ou obter acesso à rede antes disso de obtê- la. Políticas de segurança são únicas para cada organização. Mas para muitas redes, o uso de chaves WEP estáticas, que são aplicadas manualmente nos clientes e nos pontos de acesso, e em locais em que os equipamentos permanecem por dias ou semanas permanentemente conectados, não é suficiente. O IEEE 802.11 especificou o WEP como sendo um simples protocolo de criptografia. Contudo, esse protocolo usa um stream para criptografia RC4 simétrica, conforme ilustra a figura 2, o que permite que a chave para a criptografia estática seja relativamente fácil de ser quebrada [10]. https://www.youtube.com/watch?v=WkRMIXW_J7Y www.esab.edu.br 62 Figura 2: Formação do texto cifrado utilizando WEP - Fonte: 3Com 8.1 WI-FI Protected Access (WPA) O WPA - protocolo de proteção de redes sem fio - é um subset (subconjunto) de segurança apresentada no padrão IEEE 802.11. O padrão foi criado pelo WECA com todos os subconjuntos de segurança descritos na recomendação 802.11i para equipamentos 802.11, com objetivo de prover segurança para a redes sem fio. Tem suporte a WEP, TKIP (Temporal Key Integrity Protocol) e 802.1x, e possui vetor de inicialização da chave criptográfica de 48 bits. O WPA, conforme requerido na recomendação 802.1x, contém os avanços e melhorias para segurança no que diz respeito a Integridade, Autenticação e Privacidade, considerados a seguir 8.2 WPA – Autenticação No 802.11a autenticação 802.1x é opcional. Já quando se utiliza o WPA, a autenticação 802.1x é exigida. A autenticação WPA é uma combinação de sistemas abertos e 802.1x e utiliza as seguintes fases: • A primeira fase usa uma autenticação de sistema aberto para indicar a um cliente sem fio que pode enviar quadro para o ponto de acesso; • A segunda fase usa o 802.1x para executar a autenticação em nível de usuário. www.esab.edu.br 63 Para ambientes sem infraestrutura RADIUS, o WPA suporta o uso de chave pré-compartilhada. Já para ambientes com infraestrutura de RADIUS o WPA suporta EAP e RADIUS. 8.3 WPA – Criptografia Com o 802.1x, a troca de chaves de criptografia unicast é opcional. Adicionalmente, o 802.11 e o 802.1x não provêm o mecanismo para troca de chave de criptografia que é usada para o tráfego multicast e broadcast. Com o WPA, a troca destas chaves de criptografia para ambos é necessária. O TKIP altera a chave de criptografia única para todo o quadro, e é sincronizada a cada alteração entre o cliente e o ponto de acesso. Para a chave de criptografia multicast/global, o WPA inclui uma facilidade para o ponto de acesso, para avisar mudanças dos clientes sem fio conectados. Para o 802.11 a criptografia WEP é opcional. Para oWPA a criptografia usando o TKIP é necessária. O TKIP substitui o WEP com um novo algoritmo de criptografia que é mais forte que o algoritmo WEP e ainda pode ser executado usando as facilidades de cálculo presente no hardware existente do equipamento wireless. O TKIP provê também a verificação da configuração de segurança depois de determinar a chave de criptografia e a alteração de sincronização da chave de criptografia para cada quadro e determinação do start. O WPA define o uso do AES (Advanced Encription Standard), como uma substituição opcional para criptografia WEP. Pelo fato de não ser possível o suporte AES através de atualização de firmware em equipamentos sem fio existentes, este suporte para adaptadores de redes sem fio e nos pontos de acesso não é necessário. www.esab.edu.br 64 O WPA suporta chaves de 40 a 104 bits com vetor inicialização de 24 bits, e a combinação de 104 bits da chave com os 24 bits do vetor de inicialização gera uma chave de 128 bits. 8.4 WPA – Integridade dos dados Com o 802.11 e o WEP, a integridade dos dados é fornecida pelo ICV 32-bit que é incorporado ao payload (corpo) do quadro 802.11 e criptografado com WEP. Embora o ICV seja criptografado, é possível através de analisador de criptografia alterar bits no payload criptografado e atualizar o ICV criptografado sem ser detectado pelo receptor. Com o WPA, um novo método conhecido como Michael especifica um novo algoritmo que calcula um MIC (Message Integrity Code) de 8 bytes com as facilidades de cálculos disponíveis no hardware sem fio existente. O MIC é colocado entre a porção de dados do quadro 802.11 e o ICV de 4 bytes. O campo MIC é criptografado junto com os dados do quadro e o ICV. O Michael também provê uma proteção de resposta através do uso de um novo contador de campo no cabeçalho MAC do quadro 802.11. O WPA deverá substituir o atual WEP. Sua tecnologia de criptografia e de autenticação de usuário é mais avançada, ou seja, cada usuário tem uma senha exclusiva, que deve ser digitada no momento da ativação do WPA. A chave de criptografia será trocada periodicamente e de forma automática no decorrer da sessão. Esse mecanismo possibilita que um usuário não autorizado não se conecte facilmente a rede WLAN. A chave de criptografia dinâmica é uma das principais diferenças do WPA em relação ao WEP, que utiliza a mesma chave repetidamente. Esta característica do WPA também é conveniente porque não exige que se digitem manualmente as chaves de criptografia - ao contrário do WEP. Utiliza um CRC (Cyclic Redundant Check) linear, ou seja, uma chave RC4 criptografa a mensagem transmitida que será descriptografada e conferida pelo destino. Se o CRC calculado pelo destino for diferente do CRC original o pacote é descartado. www.esab.edu.br 65 A figura 3 ilustra os componentes do WPA. Figura 3: Componentes de autenticação e criptografia do WPA Fonte: Cisco Systems [11] www.esab.edu.br 66 Endereço de configuração de RADIUS: https://www.youtube.com/watch?v=zaE64bwc_Ys Para o processo de autenticação requerido pelo WPA, utiliza-se o protocolo 802.1x que poderá utilizar um servidor de autenticação como o RADIUS. O RADIUS é um serviço para autenticação de usuário remoto através de discagem e é um protocolo largamente desenvolvido que permite autenticação, autorização e uma auditoria de acessos a rede de forma centralizada. O RADIUS é descrito na RFC 2865 e RFC 2866 - RADIUS Accounting. Originalmente desenvolvido para acesso remoto dial- up, o RADIUS agora é suportado pelos Access Point, autenticando os usuários que utilizam dispositivos sem fio e outros serviços de acessos à rede, como o VPN. É necessário um cadastro com a base de usuários autorizados, senhas, políticas de acesso, e etc [12]. 9.1 Virtual Private Network (VPN) Em um hot spot, ambiente onde se disponibiliza o acesso à internet por meio da tecnologia WLAN, pode-se acessar uma rede corporativa e trafegar com dados em um ambiente seguro através da utilização de uma VPN, ou seja, de uma rede virtual privada construída sobre a infraestrutura de uma rede pública, para acesso remoto a rede corporativa. Em vez de utilizar links dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da Internet. https://www.youtube.com/watch?v=zaE64bwc_Ys www.esab.edu.br 67 A VPN surgiu da necessidade de utilizar redes de comunicação que não são confiáveis, para trafegar informações de forma segura. As redes públicas não são confiáveis, uma vez que os dados que nelas trafegam estão sujeitos a interceptação e captura. A VPN combina autenticação, criptografia e tunelamento dos dados em um canal seguro entre o usuário e a rede corporativa. Ela pode ser utilizada em uma rede sem fio para prover uma maior segurança aos usuários. A VPN pode utilizar três diferentes protocolos para estabelecer a conexão: PPTP (tunelamento ponto- a-ponto), L2F (Layer 2 Forwarding) ou L2TP (Layer 2 Tunneling Protocol), e IPSec (IP Security Protocol). Extensible Authentication Protocol (EAP) O EAP - protocolo de autenticação extensível - descrito na RFC 2284, é um protocolo genérico que permite que os pontos de acesso à rede suportem múltiplos métodos de autenticação. Entre eles estão: smart cards, TLS (Transport Layer Security), Kerberos, Microsoft, etc. Foi originalmente criado como extensão do PPP (Point-to-Point Protocol) que permite o desenvolvimento arbitrário de métodos de autenticação de acesso a redes. Como o PPP, os protocolos de autenticação tais como o CHAP (Challenge Handshake Authentication Protocol), o MS- CHAP e o MS-CHAP V2, especificam um mecanismo de autenticação que é selecionado durante a fase de estabelecimento da conexão. Durante a fase de autenticação da conexão, o protocolo de autenticação é usado para validar a conexão. O protocolo de autenticação por si só é uma série de mensagens de correção enviadas em uma ordem específica. Com o EAP, o mecanismo de autenticação definido não é alterado durante a fase de estabelecimento da conexão PPP. Ao contrário, cada enlace PPP negocia a execução do EAP durante a fase de autenticação da conexão. Quando a fase de autenticação da conexão é estabelecida, o enlace negocia o uso de um esquema de autenticação específico conhecido como EAP. www.esab.edu.br 68 Após este tipo de EAP ser estabelecido, é permitida a troca de mensagens entre o Access Client e o servidor de autenticação (servidor RADIUS), que pode variar baseado em parâmetros de conexão. A conversação consiste em solicitar informação de autenticação e responder. Os detalhes de autenticação dependem do tipo de EAP. De forma estrutural, o EAP é projetado para autenticar módulos de plug-in em acessos de clientes e servidor de autenticação e para conexão. Para suporte adicional de um novo tipo de EAP, uma biblioteca com os tipos de EAP é instalada nos clientes e no servidor de autenticação. Isto permite a facilidade de configuração de um novo plano de autenticação a qualquer tempo. O EAP provê alta flexibilidade para permitir maior segurança nos métodos de autenticação. O EAP é uma tecnologia importante para a segurança de componentes de conexão. Somando-se com o suporte PPP, o EAP é também reproduzido nas camadas do IEEE 802. O IEEE 802.1X define como o EAP é usado para a autenticação dos dispositivos IEEE 802, incluindo o IEEE 802.11b, AP sem fio e switches Ethernet. A diferença do IEEE 802.1X para PPP está somente nos métodos de autenticação suportados. 9.2 Protected EAP (PEAP) Ainda que o EAP permita flexibilidade de autenticação através do uso dos tipos de EAP, a conversação pode ser enviada sem codificação. Um usuário mal intencionado com acesso pode injetar pacotes dentro da conversação ou capturar uma mensagem de uma autenticação bem sucedida através de analisador. Este é um problema, especialmente para as conexões sem fio, onde um usuário externo mal intencionado pode monitorar a rede.
Compartilhar