Eduroam - Acesso sem Fio Seguro para Comunidade Acadêmica Federada

Prévia do material em texto

Eduroam 
Acesso sem fio seguro 
para Comunidade 
Acadêmica Federada
Débora C. Muchaluat Saade
Ricardo Campanha Carrano 
Edelberto Franco Silva
Colaborador
Luiz Claudio Schara Magalhães
A RNP – Rede Nacional de Ensino 
e Pesquisa – é qualificada como 
uma Organização Social (OS), 
sendo ligada ao Ministério da 
Ciência, Tecnologia e Inovação 
(M CT I ) e r e s po n s á v e l pe l o 
Programa Interministerial RNP, 
que conta com a participação dos 
ministérios da Educação (MEC), da 
Saúde (MS) e da Cultura (MinC). 
Pioneira no acesso à Internet no 
Brasil, a RNP planeja e mantém a 
rede Ipê, a rede óptica nacional 
acadêmica de alto desempenho. 
Com Pontos de Presença nas 
27 unidades da federação, a rede 
tem mais de 800 instituições 
conectadas. São aproximadamente 
3,5 milhões de usuários usufruindo 
de uma infraestrutura de redes 
avançadas para comunicação, 
computação e experimentação, 
que contribui para a integração 
entre o sistema de Ciência e 
Tecnologia, Educação Superior, 
Saúde e Cultura.
Ciência, Tecnologia
e Inovação
Ministério da
Educação
Ministério da
Saúde
Ministério da
Cultura
Ministério da
Débora C. Muchaluat Saade 
Ricardo Carrano
Edelberto Franco Silva
Colaborador 
Luiz Claudio Schara Magalhães
Eduroam: 
acesso sem fio seguro 
para Comunidade 
Acadêmica Federada
Débora C. Muchaluat Saade 
Ricardo Carrano
Edelberto Franco Silva
Colaborador
Luiz Claudio Schara Magalhães
Rio de Janeiro
Escola Superior de Redes
2013
Eduroam: 
acesso sem fio seguro 
para Comunidade 
Acadêmica Federada
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP 
Rua Lauro Müller, 116 sala 1103 
22290-906 Rio de Janeiro, RJ
Diretor Geral 
Nelson Simões
Diretor de Serviços e Soluções 
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação 
Luiz Coelho
Edição 
Pedro Sangirardi
Revisão 
Lincoln da Mata
Coordenação Acadêmica de Gestão de Identidade 
Renato Duarte
Equipe ESR (em ordem alfabética) 
Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária Barbosa, 
Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Sergio Ricardo de Souza e 
Yve Abel Marcial.
Capa, projeto visual e diagramação 
Tecnodesign
Versão 
1.1.0
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de 
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e 
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a 
pessoas ou bens, originados do uso deste material. 
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição 
Escola Superior de Redes 
Rua Lauro Müller, 116 – sala 1103 
22290-906 Rio de Janeiro, RJ 
http://esr.rnp.br 
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
S112e Saade, Débora Cristina M. 
 Eduroam: Acesso Sem Fio Seguro para Comunidade Acadêmica Federada / 
 Débora C. Muchaluat Saade, Ricardo Carrano, Edelberto Franco Silva; Colaborador Luiz Claudio 
 Schara Magalhães. – Rio de Janeiro: RNP/ESR, 2013. 
 158 p. : il. ; 28 cm. 
 Bibliografia: p. 143-144. 
 ISBN 978-85-63630-25-4
 1. Redes de Computadores – Segurança. 2. Redes sem fio. 3. Autenticação. 4. Eduroam 
 (education roaming). I. Carrano, Ricardo. II. Silva, Edelberto Franco. III. Título.
 CDD 004.66
iii
Sumário
1. Visão geral do eduroam
Introdução 1
O projeto eduroam-br 3
Tecnologias utilizadas no eduroam 3
RADIUS 4
IEEE 802.11i 4
IEEE 802.1X 5
Arquitetura IEEE 802.1X 5
Comunidade Acadêmica Federada 5
Funcionamento do eduroam 6
Autenticação na instituição de origem 7
Interconexão com América Latina e Europa 7
2. Redes sem fio IEEE 802.11 
Introdução 9
Redes IEEE 802.11 9
IEEE 802.11 e Wi-Fi 10
IEEE 802.11 – arquitetura e modos de operação 10
Modos de operação: ad hoc 10
Modos de operação: infraestruturado 11
Componentes em redes ad hoc 12
Componentes em redes infraestruturadas 12
Arquitetura: Basic Service Set 12
iv
Arquitetura: Independent BSS 13
Arquitetura: infrastructure BSS 13
Arquitetura: Extended Service Set 14
Identificadores 14
Fluxo de dados em um ESS 14
SSID 15
Sistemas de distribuição 15
Conectando-se a uma rede sem fio 16
Varredura Passiva e Ativa 16
Beacons 17
Recebendo beacons 17
Varredura Passiva 18
Múltiplos APs e ESSIDs 18
Varredura Ativa 19
Estados de uma estação 19
Autenticação 20
Associação 20
Troca de mensagens para associação 20
Depois da associação 21
Reassociação 21
Desassociação e Desautenticação 22
Hand over 22
IEEE 802.11 – Camadas PHY e MAC 22
Camada física (PHY) 22
Canais na faixa de 2,4 GHz 23
Canais na faixa de 5GHz 24
Taxas do IEEE 802.11 24
Camada MAC 25
CSMA/CA 26
O backoff exponencial 26
O quadro 802.11 27
Endereços MAC 28
Endereço de destino 28
Vazão efetiva das redes Wi-Fi 29
v
Segurança em redes IEEE 802.11 30
O problema da segurança 30
Problemas típicos das redes sem fio 30
Padrões de segurança no Wi-Fi 31
WEP 32
WEP: cifragem 32
WEP: integridade 33
Problemas do WEP 33
WPA 1 34
WPA 1: TKIP 34
WPA 2 35
WPA: Personal versus Enterprise 35
WPA Enterprise: esquema 36
IEEE 802.1X e EAP 36
Robust Security Network (RSN) 37
Recomendações de segurança 37
Requisitos eduroam 38
Atividade Prática 1 – Configurar AP para autenticar em servidor RADIUS 38
Cadastrando o AP no servidor RADIUS 38
Configurando roteador com DD-WRT 39
Configurando o roteador sem fio Linksys WRT54G  41
3. Métodos de autenticação 
Introdução 43
Autenticação em redes 802.11 43
IEEE 802.11i 44
IEEE 802.1X 45
Arquitetura IEEE 802.1X 45
O protocolo EAP 46
Transação EAP 47
Exemplo de transação EAP 48
Métodos EAP 49
TLS (Transport Layer Security) 50
TTLS e PEAP 50
vi
Métodos de autenticação interna 51
Password Authentication Protocol (PAP) 51
Microsoft Challenge-Handshake Authentication Protocol (MSCHAP) 52
PAP e MSCHAPv2 – disponibilidade atual 52
Outros métodos (menos usados) 53
Métodos EAP e eduroam 53
Atividade Prática 2 – Configurar clientes com diferentes métodos de autenticação 54
Configuração de dispositivos para TTLS/PAP 54
Configurações para Android 54
Configurações para Windows 55
Configurações para Linux (Ubuntu) 57
Configuração de dispositivos para PEAP/MSCHAPv2 58
Configurações para Android 58
Configurações para Windows XP 59
4. RADIUS – Visão geral e conceitos fundamentais 
Introdução 63
Cliente RADIUS 64
Servidor RADIUS 64
Serviços oferecidos pelo RADIUS 64
RADIUS e EAP 65
RADIUS e IEEE 802.11 65
NAS 65
Suplicante 66
RADIUS e eduroam 66
O protocolo RADIUS 66
Formato da mensagem RADIUS 67
Tipos de mensagens RADIUS 67
Outros campos das mensagens RADIUS 68
Alguns atributos transportados nas mensagens RADIUS 68
Exemplo (parte 1) 69
Exemplo (parte 2) 69
Exemplo (parte 3): Cliente autenticado e pacote de Access-Accept retornado ao NAS 70
Comandos do FreeRADIUS 70
vii
Atividade Prática 3 – Instalação e configuração de um servidor RADIUS  71
Instalando o RADIUS 71
Configurando o RADIUS sem federação 71
Configurando o ponto de acesso para autenticar em servidor RADIUS  77
5. LDAP – Visão geral e conceitos fundamentais
Introdução 79
Surgimento do LDAP 80
Versões do LDAP 80
Operação do LDAP 81
Cliente e Servidor LDAP 81
Protocolo LDAP  82
Organização e estruturas do LDAP 82
Modelos LDAP 83
Modelo de Informação do LDAP 83
Tipos de classe de objeto 83
Directory Information Tree 84
Descriçãoda árvore e das entradas – LDIF 84
Esquemas LDAP 85
Esquema brEduPerson 85
Classes de objetos no esquema brEduPerson 86
OpenLDAP 86
OpenLDAP: iniciando e parando o servidor 87
Atividade Prática 4 – Instalação e configuração de um servidor LDAP 87
6. Roaming no eduroam: conceitos e funcionamento
Introdução 97
Estrutura hierárquica 98
Realms (domínio) 98
Infraestrutura do provedor de acesso 99
Processo de autenticação local 99
Processo de Autenticação Remota 100
Servidor de encaminhamento – proxy RADIUS 100
Atividade Prática 5 – Configuração de proxy para a federação (roaming) 101
viii
Configurando o proxy da federação 104
Teste de roaming 106
7. RadSec: Segurança na comunicação RADIUS
Introdução 107
Deficiências na segurança do RADIUS 108
Vulnerabilidades do MD5 108
Vantagens do RadSec 109
Compatibilidade RADIUS UDP vs RadSec 109
Autenticação com RadSec 110
Implementações 112
O radsecproxy 112
Comandos do radsecproxy  113
Atividade Prática 6 – Configuração do proxy com RadSec 113
Instalação do RadSec em cada instituição 114
8. RADIUS Accounting: conceitos e finalidade
Introdução 129
RADIUS Accounting 130
Accounting e RadSec 130
Mensagens de accounting 131
Atributos das mensagens de accounting 131
Atributos Acct-Status-Type 132
Troca de mensagens 133
Accounting e roaming 133
Atividade Prática 7 – Configuração do accounting e banco de dados PostgreSQL 134
Instalação e configuração do suporte ao accounting 134
Instalação do PostgreSQL 135
Configurando FreeRADIUS para accounting 135
Uso do phppgadmin para visualizar os dados coletados 137
Outras ferramentas de visualização 140
Considerações finais 141
Bibliografia  143
ix
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) 
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências 
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e 
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do 
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC. 
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto 
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e 
Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e 
execução de planos de capacitação para formação de multiplicadores para projetos edu-
cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil 
(UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de 
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na 
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza 
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não 
apenas como expositor de conceitos e informações, mas principalmente como orientador do 
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. 
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema 
semelhantes às encontradas na prática profissional, que são superadas por meio de análise, 
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências. 
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as 
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor 
busca incentivar a participação dos alunos continuamente . 
Escola Superior de Redes
x
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das 
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de 
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar. 
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo 
para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). 
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema 
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor 
levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando 
a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o 
aluno se coloque em posição de passividade, o que reduziria a aprendizagem. 
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). 
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e 
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto 
no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e 
oferecer explicações complementares. 
Terceira etapa: discussão das atividades realizadas (30 minutos). 
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, 
devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a 
comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, 
estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem 
soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso 
O curso aborda todos os conhecimentos necessários para a construção do ambiente de 
autenticação seguro e distribuído oferecido pelo eduroam. O texto está estruturado em 
oito capítulos. Após a introdução, que oferece uma visão geral do serviço eduroam, são 
estudadas as redes sem fio padrão IEEE 802.11, seus mecanismos de segurança e métodos 
de autenticação. O padrão RADIUS, utilizado para implementar o mecanismo de autentica-
ção distribuído, assim como o LDAP, recomendado para o armazenamento das credenciais 
dos usuários, são abordados na sequência. Os últimos capítulos são dedicados a tópicos 
especiais sobre o serviço RADIUS, como as configurações que permitem a mobilidade 
(roaming) de usuários entre instituições, o RadSec, que oferece comunicação segura entre 
servidores RADIUS, e a funcionalidade de accounting, que permite o registro das estatísti-
cas de autenticação e uso da rede.
Para realização do curso em 24 horas, divididas em 6 sessões de 4 horas cada, é recomen-
dada a seguinte distribuição:
Sessão 1: Capítulos 1 e 2 executando a Atividade Prática 1 no fim da sessão; 
Sessão 2: Capítulo 3 executando a Atividade Prática 2 no fim da sessão; 
Sessão 3: Capítulo 4 executando a Atividade Prática 3 no fim da sessão; 
Sessão 4: Capítulo 5 executando a Atividade Prática 4 no fim da sessão; 
Sessão 5: Capítulo 6 executando a Atividade Prática 5 no fim da sessão; 
Sessão 6: Capítulos 7 e 8 executando a Atividade Prática 6 (após o capítulo 7) e a Atividade 
Prática 7 no fim da sessão.
xi
A quem se destina
Analistas, gerentes de redes e gerentes de TI de instituições que tenham interesse em ofere-
cer o serviço eduroam. É ainda destinado a profissionais que desejem adquirir conhecimen-tos sobre infraestruturas distribuídas de autenticação e acesso seguro em redes sem fio.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico 
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. 
Largura constante
 
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída 
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem 
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide 
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. 
Símbolo 
Indica referência complementar disponível em site ou página na internet.
Símbolo 
Indica um documento como referência complementar.
Símbolo 
Indica um vídeo como referência complementar. 
Símbolo 
Indica um arquivo de aúdio como referência complementar.
Símbolo 
Indica um aviso ou precaução a ser considerada.
Símbolo 
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao 
entendimento do tema em questão.
Símbolo 
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou 
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP. 
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. 
Exemplo de citação: SAADE, Débora Christina Muchaluat; CARRANO, Ricardo Campanha; 
SILVA, Edelberto Franco. Eduroam: acesso sem fio seguro para Comunidade Acadêmica Federada. 
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
xii
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação: 
Escola Superior de Redes RNP 
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo 
Rio de Janeiro – RJ – 22290-906 
E-mail: info@esr.rnp.br
Sobre os autores
Débora Christina Muchaluat Saade é professora associada do Departamento de Ciência 
da Computação da Universidade Federal Fluminense (UFF). É engenheira de computação 
formada pela PUC-Rio e possui mestrado e doutorado em informática pela mesma univer-
sidade. É bolsista de produtividade em Desenvolvimento Tecnológico e Extensão Inovadora 
pelo CNPq e foi Jovem Cientista do Estado do Rio de Janeiro pela Faperj. Suas áreas de 
pesquisa são redes de computadores, redes sem fio, sistemas multimídia e hipermídia, TV 
digital interativa e telemedicina. Já coordenou diversos projetos de pesquisa financiados 
pelo CNPq e Faperj e foi coordenadora do projeto piloto Eduroam-br, financiado pela RNP 
e realizado em parceria com a UFMS, UFRJ e diversas outras instituições, implantando o 
serviço piloto eduroam no Brasil.
Ricardo Campanha Carrano é engenheiro de telecomunicações formado em 1995 pela 
Universidade Federal Fluminense. Em 2008, obteve o título de Mestre em Engenharia de 
Telecomunicações pela mesma instituição e atualmente cursa o doutorado em Compu-
tação, também na UFF, onde atua como Professor do Departamento de Engenharia de 
Telecomunicações. Foi empresário e participou da implantação de provedores de acesso 
no início da Internet comercial no Brasil, em 1995. Atuou como Engenheiro de Redes para 
a ONG internacional One Laptop per Child (OLPC) e já participou de diversos projetos de 
pesquisa financiados pela RNP, pelo MEC e por empresas privadas.
Edelberto Franco Silva se tornou Bacharel em Sistemas de Informação pela Faculdade 
Metodista Granbery em 2006, e obteve o título de Mestre em Computação pela Univer-
sidade Federal Fluminense em 2011. Atualmente é Doutorando em Computação pela 
Universidade Federal Fluminense. Participou de diversos projetos de pesquisa, possuindo 
experiência na área de Ciência da Computação, com ênfase em redes, atuando principal-
mente nos temas relacionados a redes sem fio, Internet do Futuro e segurança. 
Luiz Claudio Schara Magalhães é graduado em Engenharia Elétrica com ênfase em Sis-
temas pela PUC-Rio em 1989, Mestre em Ciência de Computação pela PUC-Rio em 1993 e 
Doutor em Ciência da Computação pela University of Illinois at Urbana-Champaign em 2002. 
Vem atuando como professor da Universidade Federal Fluminense desde 1994 no Departa-
mento de Engenharia de Telecomunicações. Coordenou e participou de diversos projetos de 
pesquisa financiados pela RNP, FAPERJ, CNPq e FINEP, incluindo o projeto piloto Eduroam-br. 
Seus maiores interesses são redes sem fio, computação móvel e Internet do Futuro.
Renato Duarte é formado em Ciência da Computação pela UniCarioca e trabalha há treze 
anos na área. Atualmente é responsável pela área acadêmica de Mídias de Suporte à Cola-
boração Digital e coordena a equipe de analistas das unidades da Escola Superior de Redes 
da Rede Nacional de Ensino e Pesquisa (ESR-RNP). É responsável pela infraestrutura de TI 
de apoio à coordenação da ESR, e pelo preparo e validação dos laboratórios para execução 
das atividades práticas dos cursos da ESR.
1
 
C
ap
ítu
lo
 1
 - 
Vi
sã
o 
ge
ra
l d
o 
ed
ur
oa
m
ob
je
tiv
os
conceitos
1
Visão geral do eduroam
Compreender os principais conceitos envolvidos no serviço eduroam, desenvolvendo 
uma visão geral do serviço e de suas tecnologias-chave.
 
Serviço eduroam, autenticação e roaming, Federação Acadêmica.
 
 
Introdução
O education roaming (eduroam) é uma iniciativa da Trans-European Research and Education 
Networking Association (Terena) para oferecer serviço de acesso sem fio seguro desenvol-
vido para a comunidade internacional de educação e pesquisa. O serviço eduroam permite 
que estudantes, pesquisadores e a equipe de instituições participantes obtenham conectivi-
dade à internet, através de conexão sem fio segura, dentro de seus campi e quando visitam 
as instituições que participam da federação eduroam, de forma transparente.
Para ilustrar os ganhos trazidos pelo eduroam, imaginemos que o professor José Silva, da 
Universidade Estadual de Campinas (Unicamp), participa de uma banca na Universidade 
Federal do Rio de Janeiro (UFRJ). Para que possa verificar seu e-mail, ele solicita uma conta, 
e os administradores na UFRJ gentilmente criam a conta provisória “jsilva”, com a senha 
“senha123”. No dia seguinte, o professor José visita a Universidade Federal Fluminense (UFF), 
onde dará uma palestra. Nesse caso, para que ele possa se conectar, os administradores 
da UFF criam a conta “jose.silva”, segundo sua própria política para a criação de logins, 
e atribuem a essa conta a senha “senha1234”, também de acordo com sua política local. 
Depois de algumas semanas de seu retorno para Campinas, José Silva volta a viajar e, dessa 
vez, embarca para o Mato Grosso do Sul, onde, em visita à Universidade Federal de Mato 
Grosso do Sul (UFMS), receberá um terceiro par de login e senha: “silvaj” (o professor pediu o 
login “jsilva”, mas este já era utilizado por outro usuário) e senha “123senha”. Passados mais 
alguns meses, o professor retorna à UFRJ e, ao pedir um acesso, é lembrado de que já possui 
uma conta naquela instituição. Mas será “jsilva”, “jose.silva” ou “silvaj”? E a senha, qual seria? 
Esse exemplo expõe ao menos duas deficiências graves nesse esquema improvisado de 
autenticação. A primeira é a dificuldade que as instituições visitadas terão em criar e, eventu-
almente, em remover essas contas. Qual o processo para esse tipo de solicitação? Por quanto 
tempo essas contas devem permanecer válidas? Quem é o responsável, caso haja abusos? 
Em segundo lugar, vem a óbvia dificuldade do visitante. Ele não pode esperar que se criem os 
mesmos logins e senhas em todas as instituições visitadas. Como memorizar todas elas? 
2
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
mic
a 
Fe
de
ra
da
O eduroam oferece uma resposta para esses problemas. As credenciais usadas pelo professor 
José Silva, de nosso exemplo, serão as criadas em sua instituição de origem (a Unicamp, no 
caso). Não haverá necessidade de criação de contas em nenhuma das instituições visitadas 
para acesso à rede sem fio. 
Por favor,
gostaria de
acessar a rede?
jsilva
senha123
silvaj
123senha
jose.silva
senha1234
jsilva
senha123
silvaj
123senha
jose.silva
senha1234
Anote o login
e a senha!
Por favor,
gostaria de
acessar a rede?
Anote o login
e a senha!
Por favor,
gostaria de
acessar a rede?
Anote o login
e a senha!
Por favor,
gostaria de
acessar a rede?
Você já tem
conta aqui, certo?
? ?
?
1 2
43
Conforme se pode ver no mapa da Figura 1.2, o eduroam está presente em diversas 
instituições ao redor do mundo, organizadas em três confederações: uma na Europa, outra 
na América do Norte e a terceira na Ásia/Oceania. A América Latina iniciou sua inserção a 
partir do projeto piloto Eduroam-br, apoiado pela RNP em parceria com a Cooperação 
Latino-Americana de Redes Avançadas (RedClara). Em 2012, Brasil e Peru foram autorizados 
a atuar como roaming operators, oferecendo o serviço eduroam na América Latina.
Figura 1.1 
Problema de gestão 
a partir de bases 
completamente 
isoladas.
3
 
C
ap
ítu
lo
 1
 - 
Vi
sã
o 
ge
ra
l d
o 
ed
ur
oa
m
48
393
763
1224
16
3337
67
29
8
NORTH
AMERICA
SOUTH
AMERICA
AFRICA
ASIA
AUSTRALIA
EUROPE
Pacific
Ocean
Atlantic
Ocean
Indian
Ocean
O projeto eduroam-br
O projeto eduroam-br iniciou-se em 2011 a partir da motivação de integração das uni-
versidades brasileiras ao serviço eduroam mundial. A RNP, junto com as universidades 
Federal Fluminense, Federal do Rio de Janeiro e Federal de Mato Grosso do Sul deu início 
ao piloto que contou posteriormente com mais sete voluntárias (UFSC, Unicamp, UFRGS, 
UFES, UFMG, UFPA e PUCRS). O projeto piloto Eduroam-br foi concluído em julho de 2012, 
tornando-se um serviço no portfólio da RNP. 
Tecnologias utilizadas no eduroam
O serviço eduroam é uma arquitetura distribuída de servidores de autenticação, onde o 
pedido de autenticação de um usuário é sempre tratado em sua instituição de origem. 
Quando um usuário está em sua própria instituição, o pedido de autenticação desse usuário 
para acesso à rede de sua instituição é tratado pelo servidor de autenticação local. Quando 
um usuário estiver visitando uma instituição parceira, o pedido de autenticação desse 
usuário para acesso à rede da instituição visitada é enviado ao servidor de autenticação de 
sua instituição de origem para que suas credenciais sejam verificadas.
O serviço eduroam se baseia na utilização do padrão internacional Remote Authentication 
Dial In User Service (RADIUS), publicado pelo Internet Engineering Task Force (IETF). A infra-
estrutura de rede necessária para oferecer o serviço, basicamente, utiliza pontos de acesso 
sem fio IEEE 802.11 e se apoia no padrão IEEE 802.1X e no padrão IEEE 802.11i para prover 
mecanismos de acesso seguro.
As informações utilizadas para autenticação de usuários, preferencialmente, devem ser 
armazenadas em diretórios utilizando bases LDAP. Além disso, cada instituição deve garantir 
a credibilidade das credenciais de seus usuários. Sendo assim, o serviço eduroam pressupõe 
uma relação de confiança entre as instituições participantes, seguindo o conceito de fede-
ração. Por isso, para que uma instituição brasileira possa oferecer o serviço eduroam, esta 
deve ser um provedor de identidade (IdP) da Comunidade Acadêmica Federada (CAFe).
Figura 1.2 
Demonstração 
dos continentes 
inseridos no projeto 
eduroam após o 
ingresso da América 
Latina (situação em 
dezembro de 2012) 
[eduroam, 2012].
Saiba mais
Para saber mais sobre 
a CAFe, visite o site da 
RNP: http://www.rnp.
br/servicos/cafe.html
l
4
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
RADIUS
O Remote Authentication Dial In User Service (RADIUS) é um padrão IETF, especificado na 
RFC 2865, que oferece serviço de Autenticação, Autorização e Auditoria (AAA) consolidado 
no mercado como uma solução robusta. O protocolo RADIUS opera sobre o protocolo de 
transporte UDP e utiliza, por padrão, a porta 1812. Desenvolvido no início da década de 90 
e sendo continuamente atualizado, o RADIUS consegue satisfazer os requisitos das tecnolo-
gias emergentes. O servidor RADIUS em conjunto com a infraestrutura IEEE 802.11i é um dos 
métodos mais seguros para controle de acesso às redes sem fio.
qServidores RADIUS são responsáveis por:
 1 Receber solicitações de conexão.
 1 Autenticar usuários.
 1 Retornar todas as informações de configuração necessárias para o cliente 
(NAS – Network Access Server) prover conectividade a um usuário.
 1 Podem atuar como um cliente proxy de outros servidores de autenticação.
O objetivo do processo de autenticação é a garantia de que o emissor de uma mensagem 
é, de fato, quem ele diz ser. Em geral, a autenticação ocorre entre um cliente e um servidor 
e pode ser feita através da apresentação de uma identidade e suas credenciais correspon-
dentes, como a senha associada, tickets, tokens e certificados digitais.
Servidores RADIUS podem ainda funcionar como um cliente proxy, encaminhando as 
solicitações de autenticação até outro servidor para que seja realizada a verificação das 
credenciais do cliente.
IEEE 802.11i
A emenda IEEE 802.11i, publicada em 2004, foi desenvolvida justamente para sanar as ques-
tões de segurança em redes sem fio 802.11. Uma versão provisória da emenda foi publicada 
em 2003 com alterações compatíveis com os equipamentos já fabricados, para combater 
a crescente descrença na tecnologia WiFi. Essa primeira versão do IEEE 802.11i se conven-
cionou chamar WPA1, enquanto WPA2 serve para designar a implementação final do IEEE 
802.11i, que requeria mudanças no hardware dos dispositivos. 
O WPA2 é a implementação completa de segurança para rede local sem fio e é recomendada 
para o uso corporativo. Um aspecto importante é que ela permite autenticar usuários em 
vez de máquinas. É preciso reconhecer que os mecanismos de chave pré-compartilhada se 
tornam inseguros pelo reuso constante e ocasional exposição da chave (em avisos públicos 
ou pela divulgação boca a boca) e pela necessidade de troca constante, cada vez que um 
membro da equipe deixa a instituição – um procedimento raramente executado. Por esses 
motivos, a autenticação de usuários, como prevista no WPA2, é fundamental. Para alcançar 
esse objetivo, o IEEE 802.11i recomenda o emprego de outra tecnologia pré-existente, o IEEE 
802.1X (nesse caso, o X é maiúsculo).
Figura 1.3 
Logotipo da 
Comunidade 
Acadêmica 
Federada.
5
 
C
ap
ítu
lo
 1
 - 
Vi
sã
o 
ge
ra
l d
o 
ed
ur
oa
m
IEEE 802.1X
O padrão IEEE 802.1X é um arcabouço (framework) de autenticação para as tecnologias de 
rede da família IEEE 802. Na verdade, o IEEE 802.1X apenas descreve o encapsulamento de um 
padrão pré-existente, o Extensible Authentication Protocol (EAP), sobre os padrões IEEE 802. 
O EAP foi criado pelo IETF, descrito originalmente na RFC 2284, e posteriormente atualizado 
pela RFC 3748. Inicialmente o EAP era usado apenas sobre enlaces Point-to-Point Protocol 
(PPP). Foi justamente o padrão IEEE 802.1X que ampliou seu uso para outros tipos de enlace. 
O EAP não descreve um mecanismo de autenticação. Essa autenticação é realizada por um 
protocolo de extensão chamado de Método EAP. Os métodos podem sermais ou menos 
adaptados às necessidades específicas de uma rede.
Arquitetura IEEE 802.1X
Suplicante
Autenticador Servidor de
Autenticação
EAPOL RADIUS
método EAP
EAP
802.1X
802.1 1
802.1X
802.1 1
RADIUS
UDP/IP
802.3
RADIUS
UDP/IP
802.3
a)
b)
Na arquitetura IEEE 802.1X, apresentada na Figura 1.4, chama-se de suplicante o dispositivo 
que busca autenticação. No caso das redes sem fio, o suplicante é o cliente que se associa à 
rede através de um ponto de acesso (AP – Access Point). O ponto de acesso tem a função de 
autenticador e seu papel é intermediar o processo, enviando a informação do suplicante a 
um Servidor de autenticação RADIUS, que consulta a base de dados de usuários. 
Entre o suplicante e o autenticador, o protocolo usado é o EAP e, entre o autenticador e o 
servidor de autenticação, é utilizado o protocolo RADIUS.
Comunidade Acadêmica Federada
A Comunidade Acadêmica Federada (CAFe) é uma federação de identidade que reúne insti-
tuições de ensino e pesquisa brasileiras. Através da CAFe, um usuário mantém todas as suas 
informações na instituição de origem e pode acessar serviços oferecidos pelas instituições 
que participam da federação. Como se pode observar, o conceito envolvido na CAFe segue 
o mesmo do eduroam, uma vez que a CAFe possibilita que cada usuário tenha uma conta 
única em sua instituição de origem, válida para todos os serviços oferecidos à federação, 
eliminando a necessidade de múltiplas senhas de acesso e processos de cadastramento. 
Figura 1.4 
Comunicação 
entre o suplicante, 
o autenticador 
e o servidor de 
autenticação 
RADIUS 
[Gant, 2002].
6
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Instituições pertencentes à CAFe podem atuar como provedor de identidade (IdP) e pro-
vedor de serviço (ISP), sendo que a RNP, que mantém esse serviço, provê subsídio completo 
no custo associado ao uso do serviço da CAFe a essas instituições. Além disso, nenhum dos 
acordos atuais prevê qualquer custo para os provedores de serviço. A relação de confiança 
entre instituições participantes da federação permite que o usuário se autentique unica-
mente em sua instituição de origem, que fornece as garantias de autenticidade e credibili-
dade necessárias às demais instituições.
A base de dados LDAP, que armazena as credenciais para acesso ao serviço eduroam no Brasil, 
é a mesma base LDAP utilizada pela instituição provedora de identidade na federação CAFe.
Funcionamento do eduroam
qO eduroam utiliza estrutura hierárquica de servidores RADIUS em três níveis:
 1 Confederação.
 1 Federação (país).
 1 Instituição.
Maior Nível de Confederação
Servidor RADIUS (resiliente)
Maior Nível de Federação
Servidor RADIUS
Nível Institucional
Servidores RADIUS
.BR .AR
inst-1 inst-2 inst-3 inst-4
Na estrutura hierárquica de três níveis utilizada no serviço eduroam (representada na Figura 1.5), 
o terceiro nível compreende as instituições participantes. Cada instituição é representada 
por ao menos um servidor RADIUS e sua base de dados LDAP. Já no segundo nível há o 
ponto central do país (federação), ao qual a instituição é subordinada. Como primeiro nível 
dessa hierarquia tem-se o servidor da confederação, que é aquele que interliga todos os 
servidores das federações participantes.
Usuários de cada instituição participante do eduroam possuem como identificação seu 
domínio associado. Assim como no Domain Name System (DNS), os domínios (Fully Qualified 
Domain Name – FQDN) são formados conforme sua subordinação. Por exemplo, a Universi-
dade Federal Fluminense, que é subordinada ao ponto central do Brasil, representado pelo 
“.br”, terá como domínio final “@uff.br”.
Figura 1.5 
Hierarquia de 
servidores RADIUS 
no eduroam.
7
 
C
ap
ítu
lo
 1
 - 
Vi
sã
o 
ge
ra
l d
o 
ed
ur
oa
m
Autenticação na instituição de origem
Servidor da Federação
eduroam.br
proxy RADIUS
inst2.edu.br
Servidor RADIUS
inst1.edu.br
Servidor RADIUS
inst2.edu.br
Servidor LDAP
inst1.edu.br
Servidor LDAP
inst2.edu.br
Usuário em roaming
Instituição de OrigemInstituição Visitada
AP
No serviço eduroam, o acesso à internet através de uma instituição parceira é denominado 
roaming e possibilita ao visitante utilizar sua própria credencial para autenticação.
Como exemplificado na Figura 1.6, pode-se imaginar um usuário da instituição inst2.edu.br 
(exemplo: visitante@inst2.edu.br) visitando a instituição inst1.edu.br. O pedido de autori-
zação de acesso desse usuário será recebido pelo servidor RADIUS da instituição visitada, 
que por sua vez, ao verificar que o domínio relacionado ao usuário não corresponde a um 
domínio local, encaminhará a solicitação ao servidor de nível acima (federação). Uma vez 
encontrada a instituição de origem do usuário, a requisição é então encaminhada a ela, que 
realiza a verificação necessária e retorna a resposta pelo caminho contrário.
Interconexão com América Latina e Europa
EDUROAMProxy LATLR
CLARA
Proxys ETLR
GEANT
uff.br ufrj.br ufms.br ufsc.br unicamp.br ufrgs.bruni.edu.peinictel-uni.edu.pe
.pe
.pe
.br
.nl .dk
Figura 1.6 
Exemplo de 
consulta à base 
local para usuário 
em roaming entre 
instituições.
Figura 1.7 
Disposição 
da hierarquia 
de servidores 
latino-americanos 
e servidores 
eduroam raiz.
8
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
A infraestrutura de servidores de autenticação eduroam no âmbito nacional se interliga 
à rede eduroam internacional por meio do servidor RADIUS, que representa a confede-
ração latinoamericana. Esse servidor, por sua vez, possui conexão com os servidores 
redundantes no nível da confederação eduroam internacional. A Figura 1.7 apresenta 
esse esquema de interconexão, indicando algumas instituições brasileiras e peruanas que 
oferecem o serviço eduroam. 
Como comentado, Brasil e Peru foram os primeiros países da América Latina credenciados 
como operadores de roaming do eduroam.
9
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
ob
je
tiv
os
conceitos
2
Redes sem fio IEEE 802.11 
Conhecer as principais características do padrão IEEE 802.11, assim como os riscos 
associados a seu uso e suas demandas de segurança. Compreender a necessidade 
de um sistema de autenticação robusto.
 
Redes sem fio IEEE 802.11. Arquitetura de uma rede IEEE 802.11. Camada física (PHY) 
e camada MAC. Esquemas de segurança WEP e WPA (1 e 2, Personal e Enterprise).
Introdução
Redes locais sem fio têm diversos usos, dentre os quais se destaca o acesso à internet. Esse 
uso bastante comum é resultado da proliferação de dispositivos móveis, como laptops, 
tablets e smartphones, nos quais os modelos que possuem interfaces de rede sem fio são 
cada vez mais comuns. Esses dispositivos móveis e portáteis trazem conforto e flexibilidade 
aos usuários.
Redes sem fio também podem ser usadas por computadores fixos, em locais onde o cabea-
mento pode ser difícil ou impossível de ser feito, como prédios históricos, e para instalações 
provisórias, que não compensam o custo de fazer uma instalação cabeada ou onde fios 
expostos (pela falta de tubulação adequada) podem atrapalhar a circulação das pessoas. 
Redes IEEE 802.11
q 1 O IEEE 802.11 é o padrão de redes locais sem fio.
 2 Ele foi pensado como uma extensão do padrão de redes com fio Ethernet (IEEE 802.3).
 1 O padrão IEEE 802.11 evolui constantemente, através dacriação de emendas.
 2 A emendas “a”, “g” e “n” determinam camadas físicas. 
 2 A emenda “i” trouxe mais segurança.
O Institute of Electrical and Electronic Engineers (IEEE) é uma organização profissional sem 
fins lucrativos. Seu objetivo é promover o conhecimento em áreas de engenharia elétrica, 
computação e telecomunicações. Isso é feito através da publicação de revistas e promoção 
de congressos. Outra das suas atribuições é o estabelecimento de padrões baseados em 
consenso. Um padrão recebe um número, como o IEEE 802.11, que é um subpadrão do grupo 
de redes locais e metropolitanas (802), e especifica uma tecnologia de rede local sem fio. 
10
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
O IEEE 802.11 tem emendas, como o IEEE 802.11g, IEEE 802.11a e IEEE 802.11n. As emendas 
complementam o padrão, atendendo a novas demandas, adaptando o padrão a regulamen-
tações nacionais e acrescentando novas tecnologias para implementação da camada física, 
que determina a técnica de transmissão e modulação do sinal no meio sem fio. Das três 
emendas citadas (“a”, “g” e “n”), cada uma estabelece um padrão diferente para redes sem 
fio. As emendas “g” e “a” funcionam respectivamente em 2.4 e 5GHz a taxa de 54Mbps e a 
emenda “n” usa técnicas adicionais para atingir taxas de até 300Mbps em 2.4GHz e 5GHz.
IEEE 802.11 e Wi-Fi
q 1 Wi-Fi não é o mesmo que IEEE 802.11.
 1 IEEE 802.11 é um padrão.
 1 Wi-Fi é um certificado, dado pela Wi-Fi Alliance, que garante que os produtos com 
esse certificado falarão entre si.
 1 Um produto Wi-Fi não tem de implementar todo o padrão IEEE 802.11, apenas a parte 
necessária para interoperar.
 1 Por isso, podemos dizer que Wi-Fi é um perfil do IEEE 802.11.
Apesar de muitas vezes serem usados como sinônimos, Wi-Fi não é o mesmo que IEEE 
802.11. O último é um padrão, enquanto o primeiro se refere à certificação da Wi-Fi Alliance, 
uma cooperativa de indústrias que busca a interoperação de redes sem fio. 
Todos os produtos com a certificação Wi-Fi podem interoperar. Por outro lado, a certificação 
Wi-Fi não requer a implementação completa do padrão IEEE 802.11. Apenas o perfil esco-
lhido, e de forma que permita interoperação.
IEEE 802.11 – arquitetura e modos de operação
qO padrão IEEE 802.11 define dois modos de operação, que resultam em duas 
arquiteturas distintas:
 1 Modo infraestruturado:
 2 Todo o tráfego é intermediado por pontos de acesso (AP).
 1 Modo ad hoc:
 2 Não há pontos de acesso, apenas clientes que se comunicam diretamente.
Uma rede IEEE 802.11 pode operar em um de dois diferentes modos. Cada um serve a um 
propósito diferente. O modo sem infraestrutura, chamado modo ad hoc, serve para troca 
ocasional de informações, ao passo que o modo infraestruturado serve para estender uma 
rede com fio. Estudaremos ambos os modos a seguir.
Modos de operação: ad hoc
q 1 O modo ad hoc serve para interconectar máquinas que estejam próximas para comu-
nicação ocasional. 
 1 Por exemplo, para trocar arquivos entre os participantes de uma reunião ou para a 
cooperação entre alunos em uma sala de aula. 
 1 As máquinas não têm ligação com redes cabeadas, a não ser que seja rodado 
software de roteamento.
11
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
Para estabelecer comunicação ocasional entre máquinas vizinhas, usa-se o modo chamado 
ad hoc. O modo ad hoc permite o estabelecimento de redes locais par-a-par (peer-to-peer) 
com múltiplas máquinas. Essas máquinas podem, então, trocar informações usando qualquer 
aplicação de rede. A pilha de protocolos TCP/IP roda sobre máquinas em uma rede ad hoc 
da mesma forma que roda sobre Ethernet.
Deve ficar claro que uma rede ad hoc é formada por máquinas que conseguem falar entre 
si diretamente, ou seja, em um único salto, por exemplo, diversos laptops dentro da mesma 
sala de reunião. A conectividade em múltiplos saltos é possível através da emenda IEEE 
802.11s ou do uso de protocolos de roteamento para redes ad hoc, no nível de aplicação 
(como OLSR ou AODV, entre outros), mas esse cenário está fora do escopo deste livro.
Modos de operação: infraestruturado
q 1 O modo infraestruturado foi feito para estender uma rede com fio.
 1 Requer hardware especial: o ponto de acesso. 
 2 Access Point ou AP.
 1 Faz a interface da rede com fio com a rede sem fio.
 1 Toda a comunicação passa pelo AP.
 2 Mesmo aquela entre dois nós sem fio que poderiam formar uma rede ad hoc entre si.
O modo ad hoc não requer nenhum outro hardware além dos computadores com placas 
de rede sem fio. Já o modo infraestruturado requer um equipamento para fazer a tradução 
entre os pacotes da rede sem fio e os pacotes da rede com fio. Esse hardware pode ser até um 
computador comum fazendo esse papel de gateway de nível de enlace (bridge – ponte). No 
entanto, o mais comum é ter hardware especializado, chamado de ponto de acesso (Access 
Point ou AP). O papel do AP é receber pacotes da rede sem fio e enviá-lo para a rede com fio e 
vice-versa. No modo infraestruturado, a comunicação entre um nó da rede sem fio e outro nó 
qualquer (isto é, da rede com fio ou sem fio) sempre passará pelo AP. Mesmo que os pontos 
pudessem se comunicar diretamente (ou seja, ambos os nós têm interfaces de rede sem fio 
e estão próximos o suficiente para permitir comunicação entre eles), ainda assim o primeiro 
enviaria os pacotes para o AP e este os enviaria para a outra máquina da rede sem fio.
A maior parte das redes sem fio atuais usa o modo infraestruturado. Os pontos de acesso 
usados em redes pequenas, como as feitas por usuários domésticos, normalmente imple-
mentam outras funções, além de servirem de interface entre a rede com fio e a rede sem 
fio. Eles incluem um switch, para permitir a ligação de máquinas com fio (pontos de acesso 
puros só têm uma interface de rede), e separam uma porta desse switch para ser a ligação 
“externa” da rede (normalmente denominada porta WAN). Essa porta estaria ligada normal-
mente ao modem ADLS ou modem para TV a cabo (cable modem). Muitas vezes o próprio 
dispositivo incorpora um cable modem ou modem ADSL. 
12
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Componentes em redes ad hoc
Para construir redes ad hoc, bastam computadores com adaptadores de rede sem fio. 
Conforme ilustrado na Figura 2.1, esses computadores devem estar próximos o suficiente 
para garantir sua comunicação direta. Nesse tipo de configuração, as interfaces de rede das 
estações falam entre si em vez de com o ponto de acesso.
Componentes em redes infraestruturadas
Adaptador
Sem Fio (Cartão)
Ponto de Acesso
 Sem fio
Ponto de Acesso
 Sem fio
Rede Cabeada
Área de cobertura Área de cobertura
Adaptador Sem Fio (USB)
Adaptador Sem Fio (PCI)
Antena extensora
de cobertura
Nas redes com infraestrutura, são necessários, além dos adaptadores de rede sem fio, 
pontos de acesso. Os pontos de acesso fazem a interface entre a rede com fio e a rede sem 
fio. Além disso, são necessários cabeamento e elementos de interconexão (como switches e 
roteadores) para ligar a rede à internet (e possivelmente interligar vários pontos de acesso).
Arquitetura: Basic Service Set
Uma rede 802.11 é composta de um ou mais conjuntos de estações que se comunicam. 
Um conjunto de estações que se comunica é definido como um Basic Service Set (BSS). 
Uma estação (nó da rede sem fio) é chamada de STA (station).
Figura 2.1 
Exemplo de uma 
rede ad hoc.
Figura 2.2 
Exemplo de ligaçãoentre duas redes 
sem fio por meio 
cabeado entre os 
pontos de acesso.
13
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
Arquitetura: Independent BSS
Um BSS independente (Independent Basic Service Set – IBSS) é um conjunto de estações que 
consegue se comunicar entre si. Ele é também chamado de ad hoc BSS ou rede ad hoc. 
Arquitetura: infrastructure BSS
Adaptador
Sem Fio (Cartão)
Ponto de Acesso
 Sem fio
Área de cobertura
Uma rede infraestruturada foi definida como aquela que contém um ponto de acesso. Toda 
comunicação passa pelo ponto de acesso e, se duas estações do mesmo BSS querem falar 
uma com a outra, o quadro será transmitido da estação origem para o ponto de acesso, e 
deste para a estação destino. Apesar de diminuir a capacidade disponível na rede sem fio, 
isso torna a sua implementação muito mais simples, já que estações não precisam se 
preocupar se outras estão ou não dentro de sua área de cobertura, basta estar na área de 
cobertura do ponto de acesso. Dessa forma, se uma estação com fio deseja enviar um 
pacote para uma estação na rede sem fio, ela enviará o pacote para o ponto de acesso, que 
reenviará o pacote para a estação sem fio de destino. Se uma estação sem fio quer enviar 
um pacote para outra estação sem fio, em outro BSS, ela enviará para seu próprio ponto de 
acesso (ao qual está associada), que reenviará o quadro para o ponto de acesso associado à 
estação de destino, que reenviará o quadro para a estação sem fio de destino.
Todas essas tarefas requerem que as estações se registrem com os APs. Isso é chamado de 
uma associação e tem algumas outras atribuições, como auxiliar a segurança da rede. 
A forma de associação vai ser vista posteriormente, mas requer a troca de tráfego de 
controle entre o AP e a estação.
Figura 2.3 
Exemplo de uma 
rede ad hoc, 
onde os nós 
se comunicam 
diretamente.
Figura 2.4 
Exemplo de uma 
rede sem fio 
infraestruturada, 
com a presença 
de um ponto de 
acesso.
14
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Arquitetura: Extended Service Set
Adaptador
Sem Fio (Cartão)
Ponto de Acesso
 Sem fio
Ponto de Acesso
 Sem fio
Rede Cabeada
Área de cobertura Área de cobertura
Adaptador Sem Fio (USB)
Adaptador Sem Fio (PCI)
Antena extensora
de cobertura
Um único BSS pode não ser suficiente para cobrir uma área extensa ou pode ser necessário 
colocar mais APs para servir um número maior de usuários. Nesse caso, é necessário 
interligar os BSSs para que estações possam falar entre si, formando um Service Set 
Estendido (Extended Service Set – ESS). Um ESS é um conjunto de BSSs interligados por uma 
rede, que é chamada de sistema de distribuição (Distribution System – DS). Um nome, 
chamado de ESSID (identificador de ESS), é usado para identificar um ESS. Todos os BSSs 
pertencentes ao mesmo ESS têm o mesmo ESSID. A ideia é que cada AP que pertença ao 
mesmo ESS funcione como um switch numa rede que tenha vários switches interligados. Um 
switch aprende quais endereços MAC estão atrás de cada porta e envia o quadro para o 
switch certo dependendo do MAC. Da mesma forma, um AP sabe todos os MACs das 
estações que o estão usando para comunicação e os publica. Isso também permite mobili-
dade entre APs de um mesmo ESS.
Identificadores
Enquanto o ESSID é um nome associado a uma rede, o BSSID é um endereço, normalmente o 
endereço MAC do ponto de acesso que define o BSS. Para redes ad hoc, é criado um número 
aleatório de 46 bits (IBSSID). O BSSID formado só de bits 1 é reservado para quadros de 
controle que são usados para busca de pontos de acesso para associação.
O ESSID será usado para associações (definindo a rede), enquanto o BSSID será usado para o 
encaminhamento dos quadros enquanto eles vêm de e vão para os pontos de acesso.
Fluxo de dados em um ESS
Uma das vantagens do padrão IEEE 802.11 é a possibilidade de deslocamento entre dife-
rentes APs, sem perder conexão de rede enquanto estiver se movimentando por eles. 
O padrão permite agrupar vários BSSs dentro de um ESS. Isso significa que o ESS consiste 
em um ou vários BSSs que compartilham o mesmo Identificador de Serviço Básico (SSID). 
Estações que farão parte do mesmo ESS podem se comunicar com outras estações do 
grupo, mesmo estando em BSS distintas.
Figura 2.5 
Exemplo de ligação/
extensão de duas 
redes sem fio.
15
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
BSS 3
BSS 1
BSS 2
BSS 4
AP1
AP2
AP3 AP4
Na Figura 2.6, quatro BSSs permitem a mobilidade de estações de forma transparente entre 
células de APs distintos. 
SSID
O Identificador de Serviço Básico (SSID) é utilizado para o controle dos APs com os quais as 
estações desejam se associar. A estação não deve tentar uma associação com o AP, caso ela 
não tenha o mesmo SSID configurado para iniciar tal mecanismo. 
q 1 O SSID serve para identificar a rede que um cliente está usando.
 1 No ponto de acesso, o SSID vem pré-configurado com um nome padrão de fábrica: 
 2 Ex.: SSID = linksys, nos APs da marca Linksys.
 1 Esse nome deve ser modificado pelo administrador da rede.
Já se pensou que o SSID seria a primeira forma de segurança de uma rede. Como o SSID tem 
de ser conhecido para que uma estação entre na rede, se o SSID não for divulgado, não seria 
possível entrar na rede.
O problema é que é trivial descobrir o SSID, ouvindo (sniffing) o tráfego da rede. Então, a 
ocultação do SSID não deve ser vista como segurança. A função do SSID não é a de prover 
segurança, mas a de permitir o convívio de diferentes redes na mesma área. Estações e 
pontos de acesso ignoram quadros que têm um SSID diferente do seu, permitindo o com-
partilhamento do canal.
Sistemas de distribuição
qUm sistema de distribuição (Distribution System – DS) é uma rede de nível de enlace 
que interliga os APs (BSSs) de um ESS.
Se as redes sem fio forem pensadas como uma extensão das redes com fio (no modo infra-
estruturado), é normal esperar que exista uma rede com fio ligada a cada ponto de acesso. 
No entanto, como a rede sem fio é obviamente uma rede de enlace, não se pode esperar 
que um ESS consiga se comunicar através de um roteador. A interligação entre APs (que 
definem os BSSs) que formam um ESS tem que ser no nível de enlace, isto é, usando apenas 
elementos como hubs e switches. 
Figura 2.6 
Exemplo de BSSs 
distintos com 
mesmo SSID, 
formando um ESS.
16
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Um sistema de distribuição (Distribution System – DS) é uma rede que interliga os múltiplos 
APs de um ESS. Na Figura 2.6, um sistema de distribuição interliga os quatro APs. Existem 
também os sistemas de distribuição sem fio (WDS, do inglês Wireless Distribution System), 
que usam as próprias interfaces sem fio dos APs, mas esse mecanismo não é padronizado e 
apresenta problemas de desempenho.
Conectando-se a uma rede sem fio
qO processo de criar uma conexão virtual entre um computador (estação) e a rede 
(através de um ponto de acesso) tem vários passos:
 1 Varredura: encontrar os pontos de acesso (scan).
 1 Seleção: escolher o ponto de acesso desejado.
 1 Autenticação: identificar-se à rede.
 1 Associação: associar-se ao ponto de acesso.
Em uma rede com fio, o processo de conexão é material, isto é, é feita uma conexão física, 
usando um cabo entre o computador e o elemento ativo de rede. O elemento ativo mais 
comum é umswitch. O cabo normalmente não é um único segmento, mas um conjunto de 
segmentos, dada a prevalência do cabeamento estruturado.
Numa rede sem fio, obviamente isso é impossível, dada a ausência de cabos. O método de 
fazer uma conexão virtual entre o computador e o elemento ativo (o ponto de acesso) é 
chamado de associação. Para haver uma associação, o computador tem de descobrir quais 
pontos de acesso estão disponíveis, já que pode não haver nenhum indício físico (isto é, os 
pontos de acesso podem não estar no local ou não estar visíveis). O processo de descobrir 
os pontos de acesso é chamado de varredura e será explicado a seguir.
Uma vez descobertos os pontos de acesso disponíveis, a estação escolhe um deles para se 
associar. A forma como essa seleção é feita não faz parte do padrão, ficando a cargo de cada 
fabricante. Uma forma usual é selecionar o ponto de acesso cujos beacons (quadros perió-
dicos enviados pelo AP) são recebidos com a maior potência. 
A próxima fase se inicia com a troca de quadros de autenticação. Como veremos, apesar do 
nome, esses quadros não proveem um mecanismo realmente confiável de autenticação. 
Por isso, uma etapa adicional de autenticação ocorrerá após o término da associação. 
Esse processo será estudado em detalhes adiante.
Como não existe segurança física na rede sem fio, em contraste com uma rede com fio onde 
as tomadas de rede estão dentro das instalações físicas, mais um passo é necessário antes 
de permitir que a conexão virtual seja usada para trafegar dados para além do ponto de 
acesso. Esse passo é a autenticação, onde a estação vai se identificar como elegível para 
usar a rede.
Varredura Passiva e Ativa
q 1 O processo de identificação da existência de redes é chamado de varredura.
 1 Existem dois tipos de varredura:
 2 Varredura Passiva: ouvindo os quadros de beacons.
 2 Varredura Ativa: envio de Probe Request.
 1 A varredura pode ser realizada para uma rede específica (usando um determinado 
Basic Service Set ID – BSSID) ou para qualquer rede (BSSID = Broadcast).
17
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
O processo de encontrar quais pontos de acesso estão disponíveis é chamado de varredura, 
porque a estação muda seu canal para descobrir pontos de acesso em todos os canais, var-
rendo a faixa de frequência destinada ao IEEE 802.11.
A varredura é ativa se a estação envia um quadro especial (probe request) para identificar 
a existência de redes nas proximidades do usuário. Ou passiva, se a estação apenas escuta 
quadros especiais enviados pelos pontos de acesso (beacons). A varredura também pode ser 
realizada para uma rede específica (usando um determinado Basic Service Set ID – BSSID) ou 
para qualquer rede (BSSID = Broadcast).
Beacons
q 1 Quadros de sinalização disseminados pelo AP (em broadcast) a intervalos regulares.
 1 Fazem o anúncio da existência do AP na rede.
 1 São mensagens curtas.
 1 O intervalo de transmissão é ajustável (o default é um quadro a cada 100 ms).
Beacons são quadros curtos enviados periodicamente pelos APs para avisar de sua pre-
sença e passar algumas informações necessárias para as estações que podem querer se 
associar a eles. O beacon carrega, entre outras informações, o nome (SSID) da rede e qual o 
método de segurança (WEP, WPA) usado pela rede ou se a rede é aberta.
Recebendo beacons
Envio de Beacons
AP1
AP2
EM (Estação Móvel)
A Figura 2.7 mostra várias estações móveis e dois APs com suas respectivas áreas de 
cobertura. Os APs disseminam beacons na área de cobertura, contendo mensagens de 
tempo de sincronização, serviço da camada física (quais taxas de transmissão podem ser 
usadas) e valor do SSID, entre outras. 
Figura 2.7 
Envio de beacons a 
todas as estações 
móveis em seu raio 
de alcance.
18
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Caso exista interseção das áreas de cobertura, uma estação pode receber vários beacons. 
A Figura 2.7 ilustra essa situação. A estação em destaque recebe beacons de dois pontos de 
acesso. APs e estações podem coexistir na mesma área e usando a mesma frequência, visto 
que os protocolos de acesso ao meio (assunto a ser estudado adiante) estabelecem regras 
que permitem esse uso compartilhado. No entanto, o normal é que os APs próximos sejam 
colocados em canais ortogonais (não interferentes). Como o processo de varredura passa 
por todas as frequências, a estação será capaz de descobrir os pontos de acesso indepen-
dente do canal em que operam.
Varredura Passiva
q 1 A estação sintoniza um canal e espera por quadros de beacon.
 1 Como os quadros contêm informações do ponto de acesso, a estação pode criar uma 
lista de pontos de acesso.
 1 O sistema é eficiente em relação à energia por não exigir a transmissão de quadros 
pela estação.
A varredura passiva refere-se ao processo de procurar por beacons em cada canal. Esses 
beacons são enviados pelos APs ou estações (no caso de redes ad hoc), para que estações 
obtenham informações sobre as redes disponíveis (como o valor do SSID da rede). A estação 
fazendo a varredura tenta, então, se associar com o BSS utilizando o SSID e outras informa-
ções encontradas.
Múltiplos APs e ESSIDs
EM descobre:
BSS1, AP1
BSS2, AP2
BSS3, AP3
Envio de Beacons
AP1
AP2
AP3
AP4
EM (Estação Móvel)
 
Figura 2.8 
Estação móvel 
recebe beacons 
de todos os APs 
que o cobrem.
19
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
A Figura 2.8 mostra uma estação móvel (Estação Móvel – EM) e quatro APs. A estação 
consegue ouvir beacons vindo dos APs que têm a EM presente na sua área de cobertura. 
Nesse exemplo, a EM recebe notificações de AP1, AP2 e AP3. Como dissemos, a escolha de 
qual o melhor AP não está no padrão. Dependerá, por exemplo, de qual rede o usuário tem 
direito de acesso no caso de múltiplas redes ou se todos têm o mesmo ESSID, o AP cujo nível 
de sinal recebido (RSSI) for o maior entre os demais APs. As interfaces com o usuário normal-
mente mostrarão as múltiplas redes encontradas (e outras informações, como canal, codifi-
cação e nível de sinal) e permitirão que o usuário escolha a qual rede ele quer se associar.
Varredura Ativa
q 1 A estação móvel envia um probe request para cada canal da lista de canais.
 1 A estação móvel espera por uma resposta do(s) AP(s).
 1 A estação móvel processa o probe response.
Na varredura ativa, a estação envia um quadro do tipo probe request. Esse mecanismo 
ativo é utilizado pelas estações clientes para assegurar a presença de uma rede a qual 
elas desejem se associar. Esse quadro pode conter o valor do SSID requerido pela estação 
cliente. Se o SSID for vazio, então todos os pontos de acesso que ouvirem o probe request 
vão responder.
AP1
AP2
AP3
EM (Estação Móvel) Probe Request
A Figura 2.9 mostra uma estação móvel (EM) iniciando a varredura ativa, enviando o quadro 
probe request. Se a requisição tiver um determinado valor de SSID, apenas os APs cujo SSID 
for equivalente ao solicitado pela EM durante a varredura ativa enviarão o probe response. 
Se a requisição contiver um valor nulo para o SSID, todos os pontos de acesso naquele canal 
responderão com o probe response.
Estados de uma estação
Em um dado momento, uma estação pode estar em um dos três estados:
1. Não autenticada e não associada.
2. Autenticada e não associada.
3. Autenticada e associada.
Figura 2.9 
Varredura ativa 
de uma MS em 
busca de SSID.
20
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
segu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Para se autenticar, uma estação trocará quadros de autenticação e, para se associar, quadros 
de associação. Apenas quando associada, uma estação consegue trocar dados com a rede.
Autenticação
q 1 Os quadros de autenticação (authentication request e response) trocados nessa fase 
proveem duas opções:
 2 Open system: sistema aberto.
 2 Chave pré-compartilhada (PSK).
 1 Essa fase de autenticação foi tornada obsoleta pelo IEEE 802.11i.
Como veremos adiante, existem dois tipos de autenticação distintos no IEEE 802.11, o 
primeiro – “Sistema Aberto” (onde o campo Authentication Algorithm Number tem o valor 0) 
não provê nenhuma autenticação de fato, ao passo que o segundo (Authentication Algorithm 
Number =1) corresponde ao uso de senhas pré-compartilhadas. 
O IEEE 802.11i, que é o mecanismo de autenticação usado pelo eduroam, tornou essa fase 
de autenticação obsoleta e oferece um mecanismo muito mais efetivo e seguro, que permite 
a autenticação de usuários. De fato, o esquema de autenticação com chaves pré-comparti-
lhada não é mais recomendado pelo padrão, apesar de ainda estar disponível nos pontos de 
acesso, sobretudo os de uso doméstico. 
Associação
q 1 Após a autenticação, a estação pode tentar se associar enviando um quadro 
association request.
 1 Após se associar, ela pode utilizar o AP para acessar a rede da qual faz parte.
 1 A estação móvel pode se associar somente a uma única BSS.
Uma vez que a estação móvel tenha sido devidamente autenticada, pode tentar se associar 
ao AP. Em outras palavras, a associação refere-se ao estado em que a estação cliente passa 
a fazer parte de uma BSS.
Troca de mensagens para associação
O AP cria uma entrada para a EM;
Envia um ID de associação à EM;
O AP tem o MAC da EM.
Ba
rr
am
en
to
AP
(1) Association
 Request
Tráfego
(2) Association
 Response
 (inclui o AID)
EM (Estação Móvel)
Um valor de [1 a 2007)08:00:45:37:41:7d
AIDEndereço MAC da EM
Figura 2.10 
Passo a passo da 
associação de uma 
EM a um AP.
21
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
A Figura 2.10 mostra os estágios de associação de uma estação móvel junto ao AP:
 1 O primeiro passo é enviar uma requisição de associação (Association Request) ao AP.
 1 Recebendo essa requisição e a aceitando, o AP cria uma entrada para a estação e envia 
uma mensagem de anúncio ARP (gratuitous ARP) na rede cabeada com o endereço MAC 
da estação. Isso a registra nos elementos ativos (switches). Em seguida, envia uma iden-
tificação (ID) de associação para a estação via um quadro association response. Nesse 
intervalo de tempo, o AP já dispõe do endereço físico (MAC) da estação.
 1 Uma vez associado, AP e estação começam a trocar dados. 
Depois da associação
PC
AP3
EM (Estação Móvel)
Um valor de [1 a 2007)08:00:45:37:41:7d
08:00:45:37:41:7d
Endereço MAC do EM
AP2
AIDEndereço MAC da EM
AP1
AIDEndereço MAC da EM
AID
Uma vez associada, quadros enviados da rede cabeada para a estação serão recebidos pelo 
AP no qual a estação está associada (num mecanismo semelhante ao proxy-ARP). O AP, 
então, construirá um quadro no formato do IEEE 802.11 e o enviará à estação móvel.
Reassociação
q 1 Quando a estação se desloca, pode haver necessidade de mudança de AP.
 1 A reassociação é o processo de mudar a associação de um AP antigo para um novo AP 
quando uma estação móvel estiver se deslocando entre áreas distintas.
 1 Também pode ocorrer quando a estação sai temporariamente da área de um AP 
e retorna.
 1 APs adjacentes podem interagir uns com os outros durante essa operação.
A reassociação define o processo pelo qual uma estação muda sua associação de um AP a 
outro. Apesar de cada fabricante utilizar mecanismos proprietários para realizar a reasso-
ciação, o nível do sinal recebido entre AP e estação continua sendo um dos fatores determi-
nantes para esse mecanismo ocorrer sem interrupção.
A reassociação também pode ser usada por uma estação quando, por algum motivo, esta 
perde conectividade com o AP. Como o AP já havia autenticado e associado a estação anterior-
mente, ela não precisa passar por todo o processo de autenticação/associação novamente. 
Ao se reassociar, a estação móvel envia para o novo AP o endereço do AP antigo. Isso permite 
que o AP antigo encaminhe eventuais quadros remanescentes, destinados à estação.
Figura 2.11 
Encaminhamento 
pelo AP a EM de um 
quadro vindo do PC.
22
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
Desassociação e Desautenticação
q 1 Para o AP terminar uma associação ou autenticação, ela usa os quadros de 
disassociation e deauthentication.
 1 Um campo chamado reason code traz o motivo.
É possível que um AP queira terminar uma associação ou autenticação. Para isso, ele usa os 
quadros de desassociação (disassociation) e desautenticação (deauthentication). No único 
campo desses quadros, o reason code, vem o motivo do término da relação.
Hand over
q 1 Apesar de não definir como deve ser feito, o IEEE 802.11 traz a base para um meca-
nismo de mobilidade semelhante ao da rede celular.
 1 Estações móveis podem se locomover dentro da área de cobertura de um ESS, 
mudando de um AP para outro.
 1 Os APs trocam quadros para atualizar a posição da estação e receber quadros armazenados
O IEEE 802.11 permite o hand over (isto é, mobilidade) no nível de enlace. Uma estação 
móvel pode trocar de AP dentro de um ESS ao se mover da área de cobertura de um AP para 
outro. Os APs trocam mensagens na reassociação, que permite que o estado (se existir) seja 
exportado de um AP para outro. 
IEEE 802.11 – Camadas PHY e MAC
Camada de Enlace (MAC)
802.2 LLC
802.11 MAC
Camada Física (PHY)
802.11
FHSS
802.11
DSSS
802.11a
OFDM
802.11b
HR/DSSS
802.11g
ERP
O padrão IEEE 802.11 descreve a camada física e a camada MAC de uma rede sem fio. Em 
termos do modelo de referência OSI, a camada física (PHY) do IEEE 802.11, corresponderia à 
camada 1, ao passo que a camada MAC seria uma parte do que o modelo OSI chama camada 
de enlace (data link layer) ou camada 2. A parte superior da camada 2 consistiria na subca-
mada de controle (LLC), descrita pelo padrão IEEE 802.2, conforme ilustra a Figura 2.12.
A camada física é responsável pela codificação e transmissão dos dados no meio físico, ou 
seja, descreve as técnicas de codificação e modulação. Assim, enquanto a camada física 
trata de bits, na camada de enlace, a unidade de informação é o quadro (frame).
A rigor, o termo pacote deve ser usado apenas no contexto da camada três (camada de 
rede), que no caso de uma rede TCP/IP é a camada IP. Assim, nos referiremos sempre a 
quadros IEEE 802.11, sendo os “pacotes IP” transportados por “quadros 802.11”.
Camada física (PHY)
q 1 Diz respeito às técnicas de transmissão e modulação.
 1 Camada 1 do modelo OSI de referência.
Figura 2.12 
Camadas PHY 
(física) e MAC do 
padrão 802.11.
23
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
q 1 Evoluiu no IEEE 802.11 (b,a,n,g = bang!).
 2 802.11 – infravermelho, FHSS (2,4GHz) e DSSS (2.4GHz).
 2 802.11b – DSSS (2.4GHz).
 2 802.11a – OFDM (5 GHz).
 2 802.11g – ERP (diversos) (2.4GHz).
 2 802.11n – novo PHY (2.4GHz e 5GHz).
Ao longo de sua evolução o padrão IEEE 802.11 incorporou uma série de técnicas de modu-
lação e codificação distintas.
Redes 802.11 utilizam duas faixas do espectro de uso não licenciado na maior parte do 
mundo, inclusiveno Brasil. Essas faixas são chamadas Industrial, Scientific and Medical (ISM) 
e, como o nome indica, são reservadas para uso industrial, médico e científico, e podem ser 
usadas por qualquer dispositivo, contanto que a potência transmitida não ultrapasse certos 
valores legais.
A primeira é a chamada banda S-ISM, que abrange as frequências entre 2,4 e 2,5 GHz. 
Essa é a faixa utilizada pelas implementações 802.11b e 802.11g. Trata-se de uma porção 
do espectro com diversos dispositivos emitentes, como fornos de micro-ondas e alguns 
modelos de telefones sem fio. É também usada por dispositivos IEEE 802.15.1 (bluetooth).
Por conta de seu uso não licenciado e da extrema popularidade dos dispositivos que nela 
operam, a faixa do espectro de 2,4 GHz já se encontra extremamente disputada nas princi-
pais áreas urbanas do mundo. As características de propagação e o baixo poder de pene-
tração dessas frequências implicam a necessidade de visada direta para distâncias maiores 
do que algumas dezenas de metros, considerando as potências legalmente aceitáveis. 
A segunda faixa do espectro utilizada por dispositivos 802.11, no caso os que seguem a 
emenda “a”, é chamada banda C-ISM e abrange as frequências entre 5,725 e 5,875 GHz. 
Os dispositivos 802.11a não alcançaram a mesma popularidade dos dispositivos 802.11b ou 
802.11g e também por isso sua operação está menos sujeita a interferência, apesar de a 
necessidade de visada direta ser ainda maior nessas frequências.
Canais na faixa de 2,4 GHz
1 2 3 4 5 6 7 8 9 10 11
2,412 2,437 2,462 Freq (GHz)
Canais
Canal
Freq.
Central
(MHz)
1 2 3 4 5 6 7 8 9 10 11
2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
Na faixa de 2,4GHz, cada canal está separado por 5MHz. Assim, o canal 1 tem a frequência 
central em 2.412MHz, enquanto a frequência central do canal 2 é 2.417MHz (2.412+5).
No entanto, os padrões “b” e “g” empregam canais de transmissão com 22MHz de largura, 
o que implica que uma transmissão em um canal usará frequências de canais adjacentes, 
como indicado na Figura 2.13. 
Figura 2.13 
Demonstração 
dos canais da faixa 
2,4GHz.
24
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
É fácil ver que uma separação de cinco canais é necessária para que duas transmissões 
possam ocorrer simultaneamente. Por esse motivo, é sugerido o uso dos canais 1, 6 e 11, 
chamados canais ortogonais ou não interferentes, quando se pretende a instalação de 
várias redes ou pontos de acesso próximos.
Apesar de no Brasil a Anatel regulamentar apenas o uso de 11 canais, existem países, como 
o Japão, onde 14 canais estão disponíveis para o uso de redes Wi-Fi.
Canais na faixa de 5GHz
Canal
Freq.
Central
(MHz)
36 40 44 48 52 56 60 64
5180 5200 5220 5240 5260 5280 5300 5320
MHz MHz MHz MHz MHz MHz MHz MHz
5180 5200 5220 5240 5260 5280 5300 5320
5 MHz
Canais do padrão 802.11a
Na faixa de 5GHz, os canais são numerados também em intervalos de 5MHz, iniciando do 
canal 0 (frequência central 5.000MHz até o canal 199 (frequência central em 5.995MHz).
No padrão 802.11a os canais têm 20MHz de largura, o que também implica a interferência 
entre canais adjacentes, por isso, os canais para Wi-Fi nessa faixa são alocados com inter-
valos de quatro canais: 36, 40, 44 etc.
Na verdade, a banda de 5GHz é subdividida em três subfaixas, onde o limite de potência 
permitido varia. A primeira subfaixa, representada na Figura 2.14, possui oito canais ortogo-
nais alocados entre 5.150MHz e 5.350MHz, sendo o primeiro o canal 36 (frequência central 
5.180MHz, seguido pelo 40, 44, e assim por diante, até o canal 64).
As outras subfaixas são 5470-5725 MHz (para os canais 100, 104, 108, ..., 140) e 5725-5850 MHz 
(para os canais 149, 153, 157 e 161), perfazendo um total de 23 canais não interferentes 
(ao passo que na faixa de 2.4GHz existem apenas 3).
Taxas do IEEE 802.11
q 1 Redes multitaxas.
 2 b – 1, 2, 5.5 e 11 Mbps.
 2 g – 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 e 54 Mbps.
 2 g puro – 6, 9, 12, 18, 24, 36, 48 e 54 Mbps. 
 2 a – 6, 9, 12, 18, 24, 36, 48 e 54 Mbps. 
Figura 2.14 
Demonstração 
dos canais da 
faixa 5GHz.
25
 
C
ap
ítu
lo
 2
 - 
Re
de
s 
se
m
 fi
o 
IE
EE
 8
02
.1
1 
q 1 Controle de taxa é item sensível.
 2 Interoperabilidade.
 2 Compromisso entre eficiência e robustez.
A possibilidade de estações operando com codificações diversas coexistirem na mesma rede 
aumenta a complexidade dos projetos práticos de redes sem fio. A necessidade de todas 
as estações, seja qual for sua taxa de associação (isto é, a codificação sendo usada para 
comunicação entre dois pares), reconhecerem as informações de controle obriga o uso da 
codificação na taxa base para os dados de controle, sendo que a taxa base é a mais baixa 
suportada pelo padrão. O resultado é que a taxa nominal é muito maior do que a efetiva-
mente disponível como banda útil para dados. Por isso, os cálculos de disponibilidade de 
banda são complexos, visto ser impossível definir, a priori, qual será a taxa de associação das 
diversas estações.
Os pontos de acesso possuem mecanismos que permitem estabelecer uma taxa de asso-
ciação mínima. Esses mecanismos são úteis porque impedem que estações muito afastadas 
se associem a um ponto de acesso usando uma taxa baixa, o que diminuiria a disponibili-
dade de banda para todas as estações associadas àquele ponto de acesso. Essa restrição 
tende a reduzir o raio de associação (a distância que uma estação precisa estar do ponto de 
acesso), o que permite maior densidade de pontos de acesso. No entanto, isso pode gerar 
zonas de sombra e causar conexões intermitentes, já que flutuações do nível de sinal são 
norma para redes sem fio.
Além disso, a taxa de transmissão entre uma estação e um ponto de acesso deve satisfazer 
um compromisso delicado. Transmissões a taxas mais baixas são mais robustas (menos 
susceptíveis a erros), mas ocupam o meio por mais tempo, ao passo que transmissões a 
taxas maiores fazem uso mais eficiente do meio compartilhado, mas são mais susceptíveis a 
erros. O algoritmo de adaptação de taxa, cujo trabalho é encontrar essa taxa de transmissão 
ótima, não faz parte do padrão IEEE 802.11, ficando sua implementação a cargo dos fabri-
cantes de dispositivos Wi-Fi.
Camada MAC
q 1 A camada MAC define as regras para uso compartilhado do meio.
 2 MAC = Medium Access Control (Controle de Acesso ao Meio).
 1 A ideia é evitar colisões (em vez de detectá-las).
 2 Ethernet – CSMA/CD (detecta colisão).
 2 Wi-Fi – CSMA/CA (evita colisão).
 1 Também é importante aumentar a confiabilidade.
 2 Perda de quadros por corrupção é mais comum em redes sem fio.
Apesar dos objetivos comuns, o controle de acesso ao meio descrito no padrão IEEE 802.11 
difere do descrito na respectiva camada MAC do padrão IEEE 802.3 (Ethernet) justamente 
por conta das características do meio de propagação sem fio. A transmissão de rádio, em 
espaço livre, traz desafios que uma rede cabeada não apresenta. Em uma rede Ethernet 
é possível detectar durante a transmissão quando uma colisão ocorreu e, dessa forma, 
retransmitir os quadros perdidos. Em redes sem fio, no entanto, isso não acontece.
Transmissores de rádio não são capazes de escutar o meio ao mesmo tempo em que 
transmitem, o que dificulta uma proposta de detecção de colisão. Além disso, os custos de 
26
 
Ed
ur
oa
m
: a
ce
ss
o 
se
m
 fi
o 
se
gu
ro
 p
ar
a 
Co
m
un
id
ad
e 
A
ca
dê
m
ic
a 
Fe
de
ra
da
uma colisão em redes sem fio são altos se comparados aos mesmos