Baixe o app para aproveitar ainda mais
Prévia do material em texto
Eduroam Acesso sem fio seguro para Comunidade Acadêmica Federada Débora C. Muchaluat Saade Ricardo Campanha Carrano Edelberto Franco Silva Colaborador Luiz Claudio Schara Magalhães A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (M CT I ) e r e s po n s á v e l pe l o Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Ciência, Tecnologia e Inovação Ministério da Educação Ministério da Saúde Ministério da Cultura Ministério da Débora C. Muchaluat Saade Ricardo Carrano Edelberto Franco Silva Colaborador Luiz Claudio Schara Magalhães Eduroam: acesso sem fio seguro para Comunidade Acadêmica Federada Débora C. Muchaluat Saade Ricardo Carrano Edelberto Franco Silva Colaborador Luiz Claudio Schara Magalhães Rio de Janeiro Escola Superior de Redes 2013 Eduroam: acesso sem fio seguro para Comunidade Acadêmica Federada Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Coordenação Luiz Coelho Edição Pedro Sangirardi Revisão Lincoln da Mata Coordenação Acadêmica de Gestão de Identidade Renato Duarte Equipe ESR (em ordem alfabética) Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Sergio Ricardo de Souza e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 1.1.0 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br Dados Internacionais de Catalogação na Publicação (CIP) S112e Saade, Débora Cristina M. Eduroam: Acesso Sem Fio Seguro para Comunidade Acadêmica Federada / Débora C. Muchaluat Saade, Ricardo Carrano, Edelberto Franco Silva; Colaborador Luiz Claudio Schara Magalhães. – Rio de Janeiro: RNP/ESR, 2013. 158 p. : il. ; 28 cm. Bibliografia: p. 143-144. ISBN 978-85-63630-25-4 1. Redes de Computadores – Segurança. 2. Redes sem fio. 3. Autenticação. 4. Eduroam (education roaming). I. Carrano, Ricardo. II. Silva, Edelberto Franco. III. Título. CDD 004.66 iii Sumário 1. Visão geral do eduroam Introdução 1 O projeto eduroam-br 3 Tecnologias utilizadas no eduroam 3 RADIUS 4 IEEE 802.11i 4 IEEE 802.1X 5 Arquitetura IEEE 802.1X 5 Comunidade Acadêmica Federada 5 Funcionamento do eduroam 6 Autenticação na instituição de origem 7 Interconexão com América Latina e Europa 7 2. Redes sem fio IEEE 802.11 Introdução 9 Redes IEEE 802.11 9 IEEE 802.11 e Wi-Fi 10 IEEE 802.11 – arquitetura e modos de operação 10 Modos de operação: ad hoc 10 Modos de operação: infraestruturado 11 Componentes em redes ad hoc 12 Componentes em redes infraestruturadas 12 Arquitetura: Basic Service Set 12 iv Arquitetura: Independent BSS 13 Arquitetura: infrastructure BSS 13 Arquitetura: Extended Service Set 14 Identificadores 14 Fluxo de dados em um ESS 14 SSID 15 Sistemas de distribuição 15 Conectando-se a uma rede sem fio 16 Varredura Passiva e Ativa 16 Beacons 17 Recebendo beacons 17 Varredura Passiva 18 Múltiplos APs e ESSIDs 18 Varredura Ativa 19 Estados de uma estação 19 Autenticação 20 Associação 20 Troca de mensagens para associação 20 Depois da associação 21 Reassociação 21 Desassociação e Desautenticação 22 Hand over 22 IEEE 802.11 – Camadas PHY e MAC 22 Camada física (PHY) 22 Canais na faixa de 2,4 GHz 23 Canais na faixa de 5GHz 24 Taxas do IEEE 802.11 24 Camada MAC 25 CSMA/CA 26 O backoff exponencial 26 O quadro 802.11 27 Endereços MAC 28 Endereço de destino 28 Vazão efetiva das redes Wi-Fi 29 v Segurança em redes IEEE 802.11 30 O problema da segurança 30 Problemas típicos das redes sem fio 30 Padrões de segurança no Wi-Fi 31 WEP 32 WEP: cifragem 32 WEP: integridade 33 Problemas do WEP 33 WPA 1 34 WPA 1: TKIP 34 WPA 2 35 WPA: Personal versus Enterprise 35 WPA Enterprise: esquema 36 IEEE 802.1X e EAP 36 Robust Security Network (RSN) 37 Recomendações de segurança 37 Requisitos eduroam 38 Atividade Prática 1 – Configurar AP para autenticar em servidor RADIUS 38 Cadastrando o AP no servidor RADIUS 38 Configurando roteador com DD-WRT 39 Configurando o roteador sem fio Linksys WRT54G 41 3. Métodos de autenticação Introdução 43 Autenticação em redes 802.11 43 IEEE 802.11i 44 IEEE 802.1X 45 Arquitetura IEEE 802.1X 45 O protocolo EAP 46 Transação EAP 47 Exemplo de transação EAP 48 Métodos EAP 49 TLS (Transport Layer Security) 50 TTLS e PEAP 50 vi Métodos de autenticação interna 51 Password Authentication Protocol (PAP) 51 Microsoft Challenge-Handshake Authentication Protocol (MSCHAP) 52 PAP e MSCHAPv2 – disponibilidade atual 52 Outros métodos (menos usados) 53 Métodos EAP e eduroam 53 Atividade Prática 2 – Configurar clientes com diferentes métodos de autenticação 54 Configuração de dispositivos para TTLS/PAP 54 Configurações para Android 54 Configurações para Windows 55 Configurações para Linux (Ubuntu) 57 Configuração de dispositivos para PEAP/MSCHAPv2 58 Configurações para Android 58 Configurações para Windows XP 59 4. RADIUS – Visão geral e conceitos fundamentais Introdução 63 Cliente RADIUS 64 Servidor RADIUS 64 Serviços oferecidos pelo RADIUS 64 RADIUS e EAP 65 RADIUS e IEEE 802.11 65 NAS 65 Suplicante 66 RADIUS e eduroam 66 O protocolo RADIUS 66 Formato da mensagem RADIUS 67 Tipos de mensagens RADIUS 67 Outros campos das mensagens RADIUS 68 Alguns atributos transportados nas mensagens RADIUS 68 Exemplo (parte 1) 69 Exemplo (parte 2) 69 Exemplo (parte 3): Cliente autenticado e pacote de Access-Accept retornado ao NAS 70 Comandos do FreeRADIUS 70 vii Atividade Prática 3 – Instalação e configuração de um servidor RADIUS 71 Instalando o RADIUS 71 Configurando o RADIUS sem federação 71 Configurando o ponto de acesso para autenticar em servidor RADIUS 77 5. LDAP – Visão geral e conceitos fundamentais Introdução 79 Surgimento do LDAP 80 Versões do LDAP 80 Operação do LDAP 81 Cliente e Servidor LDAP 81 Protocolo LDAP 82 Organização e estruturas do LDAP 82 Modelos LDAP 83 Modelo de Informação do LDAP 83 Tipos de classe de objeto 83 Directory Information Tree 84 Descriçãoda árvore e das entradas – LDIF 84 Esquemas LDAP 85 Esquema brEduPerson 85 Classes de objetos no esquema brEduPerson 86 OpenLDAP 86 OpenLDAP: iniciando e parando o servidor 87 Atividade Prática 4 – Instalação e configuração de um servidor LDAP 87 6. Roaming no eduroam: conceitos e funcionamento Introdução 97 Estrutura hierárquica 98 Realms (domínio) 98 Infraestrutura do provedor de acesso 99 Processo de autenticação local 99 Processo de Autenticação Remota 100 Servidor de encaminhamento – proxy RADIUS 100 Atividade Prática 5 – Configuração de proxy para a federação (roaming) 101 viii Configurando o proxy da federação 104 Teste de roaming 106 7. RadSec: Segurança na comunicação RADIUS Introdução 107 Deficiências na segurança do RADIUS 108 Vulnerabilidades do MD5 108 Vantagens do RadSec 109 Compatibilidade RADIUS UDP vs RadSec 109 Autenticação com RadSec 110 Implementações 112 O radsecproxy 112 Comandos do radsecproxy 113 Atividade Prática 6 – Configuração do proxy com RadSec 113 Instalação do RadSec em cada instituição 114 8. RADIUS Accounting: conceitos e finalidade Introdução 129 RADIUS Accounting 130 Accounting e RadSec 130 Mensagens de accounting 131 Atributos das mensagens de accounting 131 Atributos Acct-Status-Type 132 Troca de mensagens 133 Accounting e roaming 133 Atividade Prática 7 – Configuração do accounting e banco de dados PostgreSQL 134 Instalação e configuração do suporte ao accounting 134 Instalação do PostgreSQL 135 Configurando FreeRADIUS para accounting 135 Uso do phppgadmin para visualizar os dados coletados 137 Outras ferramentas de visualização 140 Considerações finais 141 Bibliografia 143 ix A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica- ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá- veis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos edu- cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA). A metodologia da ESR A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi- cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro- blema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren- dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente . Escola Superior de Redes x As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua- ção do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las. Sobre o curso O curso aborda todos os conhecimentos necessários para a construção do ambiente de autenticação seguro e distribuído oferecido pelo eduroam. O texto está estruturado em oito capítulos. Após a introdução, que oferece uma visão geral do serviço eduroam, são estudadas as redes sem fio padrão IEEE 802.11, seus mecanismos de segurança e métodos de autenticação. O padrão RADIUS, utilizado para implementar o mecanismo de autentica- ção distribuído, assim como o LDAP, recomendado para o armazenamento das credenciais dos usuários, são abordados na sequência. Os últimos capítulos são dedicados a tópicos especiais sobre o serviço RADIUS, como as configurações que permitem a mobilidade (roaming) de usuários entre instituições, o RadSec, que oferece comunicação segura entre servidores RADIUS, e a funcionalidade de accounting, que permite o registro das estatísti- cas de autenticação e uso da rede. Para realização do curso em 24 horas, divididas em 6 sessões de 4 horas cada, é recomen- dada a seguinte distribuição: Sessão 1: Capítulos 1 e 2 executando a Atividade Prática 1 no fim da sessão; Sessão 2: Capítulo 3 executando a Atividade Prática 2 no fim da sessão; Sessão 3: Capítulo 4 executando a Atividade Prática 3 no fim da sessão; Sessão 4: Capítulo 5 executando a Atividade Prática 4 no fim da sessão; Sessão 5: Capítulo 6 executando a Atividade Prática 5 no fim da sessão; Sessão 6: Capítulos 7 e 8 executando a Atividade Prática 6 (após o capítulo 7) e a Atividade Prática 7 no fim da sessão. xi A quem se destina Analistas, gerentes de redes e gerentes de TI de instituições que tenham interesse em ofere- cer o serviço eduroam. É ainda destinado a profissionais que desejem adquirir conhecimen-tos sobre infraestruturas distribuídas de autenticação e acesso seguro em redes sem fio. Convenções utilizadas neste livro As seguintes convenções tipográficas são usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. Largura constante Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo Indica referência complementar disponível em site ou página na internet. Símbolo Indica um documento como referência complementar. Símbolo Indica um vídeo como referência complementar. Símbolo Indica um arquivo de aúdio como referência complementar. Símbolo Indica um aviso ou precaução a ser considerada. Símbolo Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão. Símbolo Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação. Permissões de uso Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: SAADE, Débora Christina Muchaluat; CARRANO, Ricardo Campanha; SILVA, Edelberto Franco. Eduroam: acesso sem fio seguro para Comunidade Acadêmica Federada. Rio de Janeiro: Escola Superior de Redes, RNP, 2013. xii Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: info@esr.rnp.br Sobre os autores Débora Christina Muchaluat Saade é professora associada do Departamento de Ciência da Computação da Universidade Federal Fluminense (UFF). É engenheira de computação formada pela PUC-Rio e possui mestrado e doutorado em informática pela mesma univer- sidade. É bolsista de produtividade em Desenvolvimento Tecnológico e Extensão Inovadora pelo CNPq e foi Jovem Cientista do Estado do Rio de Janeiro pela Faperj. Suas áreas de pesquisa são redes de computadores, redes sem fio, sistemas multimídia e hipermídia, TV digital interativa e telemedicina. Já coordenou diversos projetos de pesquisa financiados pelo CNPq e Faperj e foi coordenadora do projeto piloto Eduroam-br, financiado pela RNP e realizado em parceria com a UFMS, UFRJ e diversas outras instituições, implantando o serviço piloto eduroam no Brasil. Ricardo Campanha Carrano é engenheiro de telecomunicações formado em 1995 pela Universidade Federal Fluminense. Em 2008, obteve o título de Mestre em Engenharia de Telecomunicações pela mesma instituição e atualmente cursa o doutorado em Compu- tação, também na UFF, onde atua como Professor do Departamento de Engenharia de Telecomunicações. Foi empresário e participou da implantação de provedores de acesso no início da Internet comercial no Brasil, em 1995. Atuou como Engenheiro de Redes para a ONG internacional One Laptop per Child (OLPC) e já participou de diversos projetos de pesquisa financiados pela RNP, pelo MEC e por empresas privadas. Edelberto Franco Silva se tornou Bacharel em Sistemas de Informação pela Faculdade Metodista Granbery em 2006, e obteve o título de Mestre em Computação pela Univer- sidade Federal Fluminense em 2011. Atualmente é Doutorando em Computação pela Universidade Federal Fluminense. Participou de diversos projetos de pesquisa, possuindo experiência na área de Ciência da Computação, com ênfase em redes, atuando principal- mente nos temas relacionados a redes sem fio, Internet do Futuro e segurança. Luiz Claudio Schara Magalhães é graduado em Engenharia Elétrica com ênfase em Sis- temas pela PUC-Rio em 1989, Mestre em Ciência de Computação pela PUC-Rio em 1993 e Doutor em Ciência da Computação pela University of Illinois at Urbana-Champaign em 2002. Vem atuando como professor da Universidade Federal Fluminense desde 1994 no Departa- mento de Engenharia de Telecomunicações. Coordenou e participou de diversos projetos de pesquisa financiados pela RNP, FAPERJ, CNPq e FINEP, incluindo o projeto piloto Eduroam-br. Seus maiores interesses são redes sem fio, computação móvel e Internet do Futuro. Renato Duarte é formado em Ciência da Computação pela UniCarioca e trabalha há treze anos na área. Atualmente é responsável pela área acadêmica de Mídias de Suporte à Cola- boração Digital e coordena a equipe de analistas das unidades da Escola Superior de Redes da Rede Nacional de Ensino e Pesquisa (ESR-RNP). É responsável pela infraestrutura de TI de apoio à coordenação da ESR, e pelo preparo e validação dos laboratórios para execução das atividades práticas dos cursos da ESR. 1 C ap ítu lo 1 - Vi sã o ge ra l d o ed ur oa m ob je tiv os conceitos 1 Visão geral do eduroam Compreender os principais conceitos envolvidos no serviço eduroam, desenvolvendo uma visão geral do serviço e de suas tecnologias-chave. Serviço eduroam, autenticação e roaming, Federação Acadêmica. Introdução O education roaming (eduroam) é uma iniciativa da Trans-European Research and Education Networking Association (Terena) para oferecer serviço de acesso sem fio seguro desenvol- vido para a comunidade internacional de educação e pesquisa. O serviço eduroam permite que estudantes, pesquisadores e a equipe de instituições participantes obtenham conectivi- dade à internet, através de conexão sem fio segura, dentro de seus campi e quando visitam as instituições que participam da federação eduroam, de forma transparente. Para ilustrar os ganhos trazidos pelo eduroam, imaginemos que o professor José Silva, da Universidade Estadual de Campinas (Unicamp), participa de uma banca na Universidade Federal do Rio de Janeiro (UFRJ). Para que possa verificar seu e-mail, ele solicita uma conta, e os administradores na UFRJ gentilmente criam a conta provisória “jsilva”, com a senha “senha123”. No dia seguinte, o professor José visita a Universidade Federal Fluminense (UFF), onde dará uma palestra. Nesse caso, para que ele possa se conectar, os administradores da UFF criam a conta “jose.silva”, segundo sua própria política para a criação de logins, e atribuem a essa conta a senha “senha1234”, também de acordo com sua política local. Depois de algumas semanas de seu retorno para Campinas, José Silva volta a viajar e, dessa vez, embarca para o Mato Grosso do Sul, onde, em visita à Universidade Federal de Mato Grosso do Sul (UFMS), receberá um terceiro par de login e senha: “silvaj” (o professor pediu o login “jsilva”, mas este já era utilizado por outro usuário) e senha “123senha”. Passados mais alguns meses, o professor retorna à UFRJ e, ao pedir um acesso, é lembrado de que já possui uma conta naquela instituição. Mas será “jsilva”, “jose.silva” ou “silvaj”? E a senha, qual seria? Esse exemplo expõe ao menos duas deficiências graves nesse esquema improvisado de autenticação. A primeira é a dificuldade que as instituições visitadas terão em criar e, eventu- almente, em remover essas contas. Qual o processo para esse tipo de solicitação? Por quanto tempo essas contas devem permanecer válidas? Quem é o responsável, caso haja abusos? Em segundo lugar, vem a óbvia dificuldade do visitante. Ele não pode esperar que se criem os mesmos logins e senhas em todas as instituições visitadas. Como memorizar todas elas? 2 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê mic a Fe de ra da O eduroam oferece uma resposta para esses problemas. As credenciais usadas pelo professor José Silva, de nosso exemplo, serão as criadas em sua instituição de origem (a Unicamp, no caso). Não haverá necessidade de criação de contas em nenhuma das instituições visitadas para acesso à rede sem fio. Por favor, gostaria de acessar a rede? jsilva senha123 silvaj 123senha jose.silva senha1234 jsilva senha123 silvaj 123senha jose.silva senha1234 Anote o login e a senha! Por favor, gostaria de acessar a rede? Anote o login e a senha! Por favor, gostaria de acessar a rede? Anote o login e a senha! Por favor, gostaria de acessar a rede? Você já tem conta aqui, certo? ? ? ? 1 2 43 Conforme se pode ver no mapa da Figura 1.2, o eduroam está presente em diversas instituições ao redor do mundo, organizadas em três confederações: uma na Europa, outra na América do Norte e a terceira na Ásia/Oceania. A América Latina iniciou sua inserção a partir do projeto piloto Eduroam-br, apoiado pela RNP em parceria com a Cooperação Latino-Americana de Redes Avançadas (RedClara). Em 2012, Brasil e Peru foram autorizados a atuar como roaming operators, oferecendo o serviço eduroam na América Latina. Figura 1.1 Problema de gestão a partir de bases completamente isoladas. 3 C ap ítu lo 1 - Vi sã o ge ra l d o ed ur oa m 48 393 763 1224 16 3337 67 29 8 NORTH AMERICA SOUTH AMERICA AFRICA ASIA AUSTRALIA EUROPE Pacific Ocean Atlantic Ocean Indian Ocean O projeto eduroam-br O projeto eduroam-br iniciou-se em 2011 a partir da motivação de integração das uni- versidades brasileiras ao serviço eduroam mundial. A RNP, junto com as universidades Federal Fluminense, Federal do Rio de Janeiro e Federal de Mato Grosso do Sul deu início ao piloto que contou posteriormente com mais sete voluntárias (UFSC, Unicamp, UFRGS, UFES, UFMG, UFPA e PUCRS). O projeto piloto Eduroam-br foi concluído em julho de 2012, tornando-se um serviço no portfólio da RNP. Tecnologias utilizadas no eduroam O serviço eduroam é uma arquitetura distribuída de servidores de autenticação, onde o pedido de autenticação de um usuário é sempre tratado em sua instituição de origem. Quando um usuário está em sua própria instituição, o pedido de autenticação desse usuário para acesso à rede de sua instituição é tratado pelo servidor de autenticação local. Quando um usuário estiver visitando uma instituição parceira, o pedido de autenticação desse usuário para acesso à rede da instituição visitada é enviado ao servidor de autenticação de sua instituição de origem para que suas credenciais sejam verificadas. O serviço eduroam se baseia na utilização do padrão internacional Remote Authentication Dial In User Service (RADIUS), publicado pelo Internet Engineering Task Force (IETF). A infra- estrutura de rede necessária para oferecer o serviço, basicamente, utiliza pontos de acesso sem fio IEEE 802.11 e se apoia no padrão IEEE 802.1X e no padrão IEEE 802.11i para prover mecanismos de acesso seguro. As informações utilizadas para autenticação de usuários, preferencialmente, devem ser armazenadas em diretórios utilizando bases LDAP. Além disso, cada instituição deve garantir a credibilidade das credenciais de seus usuários. Sendo assim, o serviço eduroam pressupõe uma relação de confiança entre as instituições participantes, seguindo o conceito de fede- ração. Por isso, para que uma instituição brasileira possa oferecer o serviço eduroam, esta deve ser um provedor de identidade (IdP) da Comunidade Acadêmica Federada (CAFe). Figura 1.2 Demonstração dos continentes inseridos no projeto eduroam após o ingresso da América Latina (situação em dezembro de 2012) [eduroam, 2012]. Saiba mais Para saber mais sobre a CAFe, visite o site da RNP: http://www.rnp. br/servicos/cafe.html l 4 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da RADIUS O Remote Authentication Dial In User Service (RADIUS) é um padrão IETF, especificado na RFC 2865, que oferece serviço de Autenticação, Autorização e Auditoria (AAA) consolidado no mercado como uma solução robusta. O protocolo RADIUS opera sobre o protocolo de transporte UDP e utiliza, por padrão, a porta 1812. Desenvolvido no início da década de 90 e sendo continuamente atualizado, o RADIUS consegue satisfazer os requisitos das tecnolo- gias emergentes. O servidor RADIUS em conjunto com a infraestrutura IEEE 802.11i é um dos métodos mais seguros para controle de acesso às redes sem fio. qServidores RADIUS são responsáveis por: 1 Receber solicitações de conexão. 1 Autenticar usuários. 1 Retornar todas as informações de configuração necessárias para o cliente (NAS – Network Access Server) prover conectividade a um usuário. 1 Podem atuar como um cliente proxy de outros servidores de autenticação. O objetivo do processo de autenticação é a garantia de que o emissor de uma mensagem é, de fato, quem ele diz ser. Em geral, a autenticação ocorre entre um cliente e um servidor e pode ser feita através da apresentação de uma identidade e suas credenciais correspon- dentes, como a senha associada, tickets, tokens e certificados digitais. Servidores RADIUS podem ainda funcionar como um cliente proxy, encaminhando as solicitações de autenticação até outro servidor para que seja realizada a verificação das credenciais do cliente. IEEE 802.11i A emenda IEEE 802.11i, publicada em 2004, foi desenvolvida justamente para sanar as ques- tões de segurança em redes sem fio 802.11. Uma versão provisória da emenda foi publicada em 2003 com alterações compatíveis com os equipamentos já fabricados, para combater a crescente descrença na tecnologia WiFi. Essa primeira versão do IEEE 802.11i se conven- cionou chamar WPA1, enquanto WPA2 serve para designar a implementação final do IEEE 802.11i, que requeria mudanças no hardware dos dispositivos. O WPA2 é a implementação completa de segurança para rede local sem fio e é recomendada para o uso corporativo. Um aspecto importante é que ela permite autenticar usuários em vez de máquinas. É preciso reconhecer que os mecanismos de chave pré-compartilhada se tornam inseguros pelo reuso constante e ocasional exposição da chave (em avisos públicos ou pela divulgação boca a boca) e pela necessidade de troca constante, cada vez que um membro da equipe deixa a instituição – um procedimento raramente executado. Por esses motivos, a autenticação de usuários, como prevista no WPA2, é fundamental. Para alcançar esse objetivo, o IEEE 802.11i recomenda o emprego de outra tecnologia pré-existente, o IEEE 802.1X (nesse caso, o X é maiúsculo). Figura 1.3 Logotipo da Comunidade Acadêmica Federada. 5 C ap ítu lo 1 - Vi sã o ge ra l d o ed ur oa m IEEE 802.1X O padrão IEEE 802.1X é um arcabouço (framework) de autenticação para as tecnologias de rede da família IEEE 802. Na verdade, o IEEE 802.1X apenas descreve o encapsulamento de um padrão pré-existente, o Extensible Authentication Protocol (EAP), sobre os padrões IEEE 802. O EAP foi criado pelo IETF, descrito originalmente na RFC 2284, e posteriormente atualizado pela RFC 3748. Inicialmente o EAP era usado apenas sobre enlaces Point-to-Point Protocol (PPP). Foi justamente o padrão IEEE 802.1X que ampliou seu uso para outros tipos de enlace. O EAP não descreve um mecanismo de autenticação. Essa autenticação é realizada por um protocolo de extensão chamado de Método EAP. Os métodos podem sermais ou menos adaptados às necessidades específicas de uma rede. Arquitetura IEEE 802.1X Suplicante Autenticador Servidor de Autenticação EAPOL RADIUS método EAP EAP 802.1X 802.1 1 802.1X 802.1 1 RADIUS UDP/IP 802.3 RADIUS UDP/IP 802.3 a) b) Na arquitetura IEEE 802.1X, apresentada na Figura 1.4, chama-se de suplicante o dispositivo que busca autenticação. No caso das redes sem fio, o suplicante é o cliente que se associa à rede através de um ponto de acesso (AP – Access Point). O ponto de acesso tem a função de autenticador e seu papel é intermediar o processo, enviando a informação do suplicante a um Servidor de autenticação RADIUS, que consulta a base de dados de usuários. Entre o suplicante e o autenticador, o protocolo usado é o EAP e, entre o autenticador e o servidor de autenticação, é utilizado o protocolo RADIUS. Comunidade Acadêmica Federada A Comunidade Acadêmica Federada (CAFe) é uma federação de identidade que reúne insti- tuições de ensino e pesquisa brasileiras. Através da CAFe, um usuário mantém todas as suas informações na instituição de origem e pode acessar serviços oferecidos pelas instituições que participam da federação. Como se pode observar, o conceito envolvido na CAFe segue o mesmo do eduroam, uma vez que a CAFe possibilita que cada usuário tenha uma conta única em sua instituição de origem, válida para todos os serviços oferecidos à federação, eliminando a necessidade de múltiplas senhas de acesso e processos de cadastramento. Figura 1.4 Comunicação entre o suplicante, o autenticador e o servidor de autenticação RADIUS [Gant, 2002]. 6 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Instituições pertencentes à CAFe podem atuar como provedor de identidade (IdP) e pro- vedor de serviço (ISP), sendo que a RNP, que mantém esse serviço, provê subsídio completo no custo associado ao uso do serviço da CAFe a essas instituições. Além disso, nenhum dos acordos atuais prevê qualquer custo para os provedores de serviço. A relação de confiança entre instituições participantes da federação permite que o usuário se autentique unica- mente em sua instituição de origem, que fornece as garantias de autenticidade e credibili- dade necessárias às demais instituições. A base de dados LDAP, que armazena as credenciais para acesso ao serviço eduroam no Brasil, é a mesma base LDAP utilizada pela instituição provedora de identidade na federação CAFe. Funcionamento do eduroam qO eduroam utiliza estrutura hierárquica de servidores RADIUS em três níveis: 1 Confederação. 1 Federação (país). 1 Instituição. Maior Nível de Confederação Servidor RADIUS (resiliente) Maior Nível de Federação Servidor RADIUS Nível Institucional Servidores RADIUS .BR .AR inst-1 inst-2 inst-3 inst-4 Na estrutura hierárquica de três níveis utilizada no serviço eduroam (representada na Figura 1.5), o terceiro nível compreende as instituições participantes. Cada instituição é representada por ao menos um servidor RADIUS e sua base de dados LDAP. Já no segundo nível há o ponto central do país (federação), ao qual a instituição é subordinada. Como primeiro nível dessa hierarquia tem-se o servidor da confederação, que é aquele que interliga todos os servidores das federações participantes. Usuários de cada instituição participante do eduroam possuem como identificação seu domínio associado. Assim como no Domain Name System (DNS), os domínios (Fully Qualified Domain Name – FQDN) são formados conforme sua subordinação. Por exemplo, a Universi- dade Federal Fluminense, que é subordinada ao ponto central do Brasil, representado pelo “.br”, terá como domínio final “@uff.br”. Figura 1.5 Hierarquia de servidores RADIUS no eduroam. 7 C ap ítu lo 1 - Vi sã o ge ra l d o ed ur oa m Autenticação na instituição de origem Servidor da Federação eduroam.br proxy RADIUS inst2.edu.br Servidor RADIUS inst1.edu.br Servidor RADIUS inst2.edu.br Servidor LDAP inst1.edu.br Servidor LDAP inst2.edu.br Usuário em roaming Instituição de OrigemInstituição Visitada AP No serviço eduroam, o acesso à internet através de uma instituição parceira é denominado roaming e possibilita ao visitante utilizar sua própria credencial para autenticação. Como exemplificado na Figura 1.6, pode-se imaginar um usuário da instituição inst2.edu.br (exemplo: visitante@inst2.edu.br) visitando a instituição inst1.edu.br. O pedido de autori- zação de acesso desse usuário será recebido pelo servidor RADIUS da instituição visitada, que por sua vez, ao verificar que o domínio relacionado ao usuário não corresponde a um domínio local, encaminhará a solicitação ao servidor de nível acima (federação). Uma vez encontrada a instituição de origem do usuário, a requisição é então encaminhada a ela, que realiza a verificação necessária e retorna a resposta pelo caminho contrário. Interconexão com América Latina e Europa EDUROAMProxy LATLR CLARA Proxys ETLR GEANT uff.br ufrj.br ufms.br ufsc.br unicamp.br ufrgs.bruni.edu.peinictel-uni.edu.pe .pe .pe .br .nl .dk Figura 1.6 Exemplo de consulta à base local para usuário em roaming entre instituições. Figura 1.7 Disposição da hierarquia de servidores latino-americanos e servidores eduroam raiz. 8 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da A infraestrutura de servidores de autenticação eduroam no âmbito nacional se interliga à rede eduroam internacional por meio do servidor RADIUS, que representa a confede- ração latinoamericana. Esse servidor, por sua vez, possui conexão com os servidores redundantes no nível da confederação eduroam internacional. A Figura 1.7 apresenta esse esquema de interconexão, indicando algumas instituições brasileiras e peruanas que oferecem o serviço eduroam. Como comentado, Brasil e Peru foram os primeiros países da América Latina credenciados como operadores de roaming do eduroam. 9 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 ob je tiv os conceitos 2 Redes sem fio IEEE 802.11 Conhecer as principais características do padrão IEEE 802.11, assim como os riscos associados a seu uso e suas demandas de segurança. Compreender a necessidade de um sistema de autenticação robusto. Redes sem fio IEEE 802.11. Arquitetura de uma rede IEEE 802.11. Camada física (PHY) e camada MAC. Esquemas de segurança WEP e WPA (1 e 2, Personal e Enterprise). Introdução Redes locais sem fio têm diversos usos, dentre os quais se destaca o acesso à internet. Esse uso bastante comum é resultado da proliferação de dispositivos móveis, como laptops, tablets e smartphones, nos quais os modelos que possuem interfaces de rede sem fio são cada vez mais comuns. Esses dispositivos móveis e portáteis trazem conforto e flexibilidade aos usuários. Redes sem fio também podem ser usadas por computadores fixos, em locais onde o cabea- mento pode ser difícil ou impossível de ser feito, como prédios históricos, e para instalações provisórias, que não compensam o custo de fazer uma instalação cabeada ou onde fios expostos (pela falta de tubulação adequada) podem atrapalhar a circulação das pessoas. Redes IEEE 802.11 q 1 O IEEE 802.11 é o padrão de redes locais sem fio. 2 Ele foi pensado como uma extensão do padrão de redes com fio Ethernet (IEEE 802.3). 1 O padrão IEEE 802.11 evolui constantemente, através dacriação de emendas. 2 A emendas “a”, “g” e “n” determinam camadas físicas. 2 A emenda “i” trouxe mais segurança. O Institute of Electrical and Electronic Engineers (IEEE) é uma organização profissional sem fins lucrativos. Seu objetivo é promover o conhecimento em áreas de engenharia elétrica, computação e telecomunicações. Isso é feito através da publicação de revistas e promoção de congressos. Outra das suas atribuições é o estabelecimento de padrões baseados em consenso. Um padrão recebe um número, como o IEEE 802.11, que é um subpadrão do grupo de redes locais e metropolitanas (802), e especifica uma tecnologia de rede local sem fio. 10 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da O IEEE 802.11 tem emendas, como o IEEE 802.11g, IEEE 802.11a e IEEE 802.11n. As emendas complementam o padrão, atendendo a novas demandas, adaptando o padrão a regulamen- tações nacionais e acrescentando novas tecnologias para implementação da camada física, que determina a técnica de transmissão e modulação do sinal no meio sem fio. Das três emendas citadas (“a”, “g” e “n”), cada uma estabelece um padrão diferente para redes sem fio. As emendas “g” e “a” funcionam respectivamente em 2.4 e 5GHz a taxa de 54Mbps e a emenda “n” usa técnicas adicionais para atingir taxas de até 300Mbps em 2.4GHz e 5GHz. IEEE 802.11 e Wi-Fi q 1 Wi-Fi não é o mesmo que IEEE 802.11. 1 IEEE 802.11 é um padrão. 1 Wi-Fi é um certificado, dado pela Wi-Fi Alliance, que garante que os produtos com esse certificado falarão entre si. 1 Um produto Wi-Fi não tem de implementar todo o padrão IEEE 802.11, apenas a parte necessária para interoperar. 1 Por isso, podemos dizer que Wi-Fi é um perfil do IEEE 802.11. Apesar de muitas vezes serem usados como sinônimos, Wi-Fi não é o mesmo que IEEE 802.11. O último é um padrão, enquanto o primeiro se refere à certificação da Wi-Fi Alliance, uma cooperativa de indústrias que busca a interoperação de redes sem fio. Todos os produtos com a certificação Wi-Fi podem interoperar. Por outro lado, a certificação Wi-Fi não requer a implementação completa do padrão IEEE 802.11. Apenas o perfil esco- lhido, e de forma que permita interoperação. IEEE 802.11 – arquitetura e modos de operação qO padrão IEEE 802.11 define dois modos de operação, que resultam em duas arquiteturas distintas: 1 Modo infraestruturado: 2 Todo o tráfego é intermediado por pontos de acesso (AP). 1 Modo ad hoc: 2 Não há pontos de acesso, apenas clientes que se comunicam diretamente. Uma rede IEEE 802.11 pode operar em um de dois diferentes modos. Cada um serve a um propósito diferente. O modo sem infraestrutura, chamado modo ad hoc, serve para troca ocasional de informações, ao passo que o modo infraestruturado serve para estender uma rede com fio. Estudaremos ambos os modos a seguir. Modos de operação: ad hoc q 1 O modo ad hoc serve para interconectar máquinas que estejam próximas para comu- nicação ocasional. 1 Por exemplo, para trocar arquivos entre os participantes de uma reunião ou para a cooperação entre alunos em uma sala de aula. 1 As máquinas não têm ligação com redes cabeadas, a não ser que seja rodado software de roteamento. 11 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 Para estabelecer comunicação ocasional entre máquinas vizinhas, usa-se o modo chamado ad hoc. O modo ad hoc permite o estabelecimento de redes locais par-a-par (peer-to-peer) com múltiplas máquinas. Essas máquinas podem, então, trocar informações usando qualquer aplicação de rede. A pilha de protocolos TCP/IP roda sobre máquinas em uma rede ad hoc da mesma forma que roda sobre Ethernet. Deve ficar claro que uma rede ad hoc é formada por máquinas que conseguem falar entre si diretamente, ou seja, em um único salto, por exemplo, diversos laptops dentro da mesma sala de reunião. A conectividade em múltiplos saltos é possível através da emenda IEEE 802.11s ou do uso de protocolos de roteamento para redes ad hoc, no nível de aplicação (como OLSR ou AODV, entre outros), mas esse cenário está fora do escopo deste livro. Modos de operação: infraestruturado q 1 O modo infraestruturado foi feito para estender uma rede com fio. 1 Requer hardware especial: o ponto de acesso. 2 Access Point ou AP. 1 Faz a interface da rede com fio com a rede sem fio. 1 Toda a comunicação passa pelo AP. 2 Mesmo aquela entre dois nós sem fio que poderiam formar uma rede ad hoc entre si. O modo ad hoc não requer nenhum outro hardware além dos computadores com placas de rede sem fio. Já o modo infraestruturado requer um equipamento para fazer a tradução entre os pacotes da rede sem fio e os pacotes da rede com fio. Esse hardware pode ser até um computador comum fazendo esse papel de gateway de nível de enlace (bridge – ponte). No entanto, o mais comum é ter hardware especializado, chamado de ponto de acesso (Access Point ou AP). O papel do AP é receber pacotes da rede sem fio e enviá-lo para a rede com fio e vice-versa. No modo infraestruturado, a comunicação entre um nó da rede sem fio e outro nó qualquer (isto é, da rede com fio ou sem fio) sempre passará pelo AP. Mesmo que os pontos pudessem se comunicar diretamente (ou seja, ambos os nós têm interfaces de rede sem fio e estão próximos o suficiente para permitir comunicação entre eles), ainda assim o primeiro enviaria os pacotes para o AP e este os enviaria para a outra máquina da rede sem fio. A maior parte das redes sem fio atuais usa o modo infraestruturado. Os pontos de acesso usados em redes pequenas, como as feitas por usuários domésticos, normalmente imple- mentam outras funções, além de servirem de interface entre a rede com fio e a rede sem fio. Eles incluem um switch, para permitir a ligação de máquinas com fio (pontos de acesso puros só têm uma interface de rede), e separam uma porta desse switch para ser a ligação “externa” da rede (normalmente denominada porta WAN). Essa porta estaria ligada normal- mente ao modem ADLS ou modem para TV a cabo (cable modem). Muitas vezes o próprio dispositivo incorpora um cable modem ou modem ADSL. 12 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Componentes em redes ad hoc Para construir redes ad hoc, bastam computadores com adaptadores de rede sem fio. Conforme ilustrado na Figura 2.1, esses computadores devem estar próximos o suficiente para garantir sua comunicação direta. Nesse tipo de configuração, as interfaces de rede das estações falam entre si em vez de com o ponto de acesso. Componentes em redes infraestruturadas Adaptador Sem Fio (Cartão) Ponto de Acesso Sem fio Ponto de Acesso Sem fio Rede Cabeada Área de cobertura Área de cobertura Adaptador Sem Fio (USB) Adaptador Sem Fio (PCI) Antena extensora de cobertura Nas redes com infraestrutura, são necessários, além dos adaptadores de rede sem fio, pontos de acesso. Os pontos de acesso fazem a interface entre a rede com fio e a rede sem fio. Além disso, são necessários cabeamento e elementos de interconexão (como switches e roteadores) para ligar a rede à internet (e possivelmente interligar vários pontos de acesso). Arquitetura: Basic Service Set Uma rede 802.11 é composta de um ou mais conjuntos de estações que se comunicam. Um conjunto de estações que se comunica é definido como um Basic Service Set (BSS). Uma estação (nó da rede sem fio) é chamada de STA (station). Figura 2.1 Exemplo de uma rede ad hoc. Figura 2.2 Exemplo de ligaçãoentre duas redes sem fio por meio cabeado entre os pontos de acesso. 13 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 Arquitetura: Independent BSS Um BSS independente (Independent Basic Service Set – IBSS) é um conjunto de estações que consegue se comunicar entre si. Ele é também chamado de ad hoc BSS ou rede ad hoc. Arquitetura: infrastructure BSS Adaptador Sem Fio (Cartão) Ponto de Acesso Sem fio Área de cobertura Uma rede infraestruturada foi definida como aquela que contém um ponto de acesso. Toda comunicação passa pelo ponto de acesso e, se duas estações do mesmo BSS querem falar uma com a outra, o quadro será transmitido da estação origem para o ponto de acesso, e deste para a estação destino. Apesar de diminuir a capacidade disponível na rede sem fio, isso torna a sua implementação muito mais simples, já que estações não precisam se preocupar se outras estão ou não dentro de sua área de cobertura, basta estar na área de cobertura do ponto de acesso. Dessa forma, se uma estação com fio deseja enviar um pacote para uma estação na rede sem fio, ela enviará o pacote para o ponto de acesso, que reenviará o pacote para a estação sem fio de destino. Se uma estação sem fio quer enviar um pacote para outra estação sem fio, em outro BSS, ela enviará para seu próprio ponto de acesso (ao qual está associada), que reenviará o quadro para o ponto de acesso associado à estação de destino, que reenviará o quadro para a estação sem fio de destino. Todas essas tarefas requerem que as estações se registrem com os APs. Isso é chamado de uma associação e tem algumas outras atribuições, como auxiliar a segurança da rede. A forma de associação vai ser vista posteriormente, mas requer a troca de tráfego de controle entre o AP e a estação. Figura 2.3 Exemplo de uma rede ad hoc, onde os nós se comunicam diretamente. Figura 2.4 Exemplo de uma rede sem fio infraestruturada, com a presença de um ponto de acesso. 14 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Arquitetura: Extended Service Set Adaptador Sem Fio (Cartão) Ponto de Acesso Sem fio Ponto de Acesso Sem fio Rede Cabeada Área de cobertura Área de cobertura Adaptador Sem Fio (USB) Adaptador Sem Fio (PCI) Antena extensora de cobertura Um único BSS pode não ser suficiente para cobrir uma área extensa ou pode ser necessário colocar mais APs para servir um número maior de usuários. Nesse caso, é necessário interligar os BSSs para que estações possam falar entre si, formando um Service Set Estendido (Extended Service Set – ESS). Um ESS é um conjunto de BSSs interligados por uma rede, que é chamada de sistema de distribuição (Distribution System – DS). Um nome, chamado de ESSID (identificador de ESS), é usado para identificar um ESS. Todos os BSSs pertencentes ao mesmo ESS têm o mesmo ESSID. A ideia é que cada AP que pertença ao mesmo ESS funcione como um switch numa rede que tenha vários switches interligados. Um switch aprende quais endereços MAC estão atrás de cada porta e envia o quadro para o switch certo dependendo do MAC. Da mesma forma, um AP sabe todos os MACs das estações que o estão usando para comunicação e os publica. Isso também permite mobili- dade entre APs de um mesmo ESS. Identificadores Enquanto o ESSID é um nome associado a uma rede, o BSSID é um endereço, normalmente o endereço MAC do ponto de acesso que define o BSS. Para redes ad hoc, é criado um número aleatório de 46 bits (IBSSID). O BSSID formado só de bits 1 é reservado para quadros de controle que são usados para busca de pontos de acesso para associação. O ESSID será usado para associações (definindo a rede), enquanto o BSSID será usado para o encaminhamento dos quadros enquanto eles vêm de e vão para os pontos de acesso. Fluxo de dados em um ESS Uma das vantagens do padrão IEEE 802.11 é a possibilidade de deslocamento entre dife- rentes APs, sem perder conexão de rede enquanto estiver se movimentando por eles. O padrão permite agrupar vários BSSs dentro de um ESS. Isso significa que o ESS consiste em um ou vários BSSs que compartilham o mesmo Identificador de Serviço Básico (SSID). Estações que farão parte do mesmo ESS podem se comunicar com outras estações do grupo, mesmo estando em BSS distintas. Figura 2.5 Exemplo de ligação/ extensão de duas redes sem fio. 15 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 BSS 3 BSS 1 BSS 2 BSS 4 AP1 AP2 AP3 AP4 Na Figura 2.6, quatro BSSs permitem a mobilidade de estações de forma transparente entre células de APs distintos. SSID O Identificador de Serviço Básico (SSID) é utilizado para o controle dos APs com os quais as estações desejam se associar. A estação não deve tentar uma associação com o AP, caso ela não tenha o mesmo SSID configurado para iniciar tal mecanismo. q 1 O SSID serve para identificar a rede que um cliente está usando. 1 No ponto de acesso, o SSID vem pré-configurado com um nome padrão de fábrica: 2 Ex.: SSID = linksys, nos APs da marca Linksys. 1 Esse nome deve ser modificado pelo administrador da rede. Já se pensou que o SSID seria a primeira forma de segurança de uma rede. Como o SSID tem de ser conhecido para que uma estação entre na rede, se o SSID não for divulgado, não seria possível entrar na rede. O problema é que é trivial descobrir o SSID, ouvindo (sniffing) o tráfego da rede. Então, a ocultação do SSID não deve ser vista como segurança. A função do SSID não é a de prover segurança, mas a de permitir o convívio de diferentes redes na mesma área. Estações e pontos de acesso ignoram quadros que têm um SSID diferente do seu, permitindo o com- partilhamento do canal. Sistemas de distribuição qUm sistema de distribuição (Distribution System – DS) é uma rede de nível de enlace que interliga os APs (BSSs) de um ESS. Se as redes sem fio forem pensadas como uma extensão das redes com fio (no modo infra- estruturado), é normal esperar que exista uma rede com fio ligada a cada ponto de acesso. No entanto, como a rede sem fio é obviamente uma rede de enlace, não se pode esperar que um ESS consiga se comunicar através de um roteador. A interligação entre APs (que definem os BSSs) que formam um ESS tem que ser no nível de enlace, isto é, usando apenas elementos como hubs e switches. Figura 2.6 Exemplo de BSSs distintos com mesmo SSID, formando um ESS. 16 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Um sistema de distribuição (Distribution System – DS) é uma rede que interliga os múltiplos APs de um ESS. Na Figura 2.6, um sistema de distribuição interliga os quatro APs. Existem também os sistemas de distribuição sem fio (WDS, do inglês Wireless Distribution System), que usam as próprias interfaces sem fio dos APs, mas esse mecanismo não é padronizado e apresenta problemas de desempenho. Conectando-se a uma rede sem fio qO processo de criar uma conexão virtual entre um computador (estação) e a rede (através de um ponto de acesso) tem vários passos: 1 Varredura: encontrar os pontos de acesso (scan). 1 Seleção: escolher o ponto de acesso desejado. 1 Autenticação: identificar-se à rede. 1 Associação: associar-se ao ponto de acesso. Em uma rede com fio, o processo de conexão é material, isto é, é feita uma conexão física, usando um cabo entre o computador e o elemento ativo de rede. O elemento ativo mais comum é umswitch. O cabo normalmente não é um único segmento, mas um conjunto de segmentos, dada a prevalência do cabeamento estruturado. Numa rede sem fio, obviamente isso é impossível, dada a ausência de cabos. O método de fazer uma conexão virtual entre o computador e o elemento ativo (o ponto de acesso) é chamado de associação. Para haver uma associação, o computador tem de descobrir quais pontos de acesso estão disponíveis, já que pode não haver nenhum indício físico (isto é, os pontos de acesso podem não estar no local ou não estar visíveis). O processo de descobrir os pontos de acesso é chamado de varredura e será explicado a seguir. Uma vez descobertos os pontos de acesso disponíveis, a estação escolhe um deles para se associar. A forma como essa seleção é feita não faz parte do padrão, ficando a cargo de cada fabricante. Uma forma usual é selecionar o ponto de acesso cujos beacons (quadros perió- dicos enviados pelo AP) são recebidos com a maior potência. A próxima fase se inicia com a troca de quadros de autenticação. Como veremos, apesar do nome, esses quadros não proveem um mecanismo realmente confiável de autenticação. Por isso, uma etapa adicional de autenticação ocorrerá após o término da associação. Esse processo será estudado em detalhes adiante. Como não existe segurança física na rede sem fio, em contraste com uma rede com fio onde as tomadas de rede estão dentro das instalações físicas, mais um passo é necessário antes de permitir que a conexão virtual seja usada para trafegar dados para além do ponto de acesso. Esse passo é a autenticação, onde a estação vai se identificar como elegível para usar a rede. Varredura Passiva e Ativa q 1 O processo de identificação da existência de redes é chamado de varredura. 1 Existem dois tipos de varredura: 2 Varredura Passiva: ouvindo os quadros de beacons. 2 Varredura Ativa: envio de Probe Request. 1 A varredura pode ser realizada para uma rede específica (usando um determinado Basic Service Set ID – BSSID) ou para qualquer rede (BSSID = Broadcast). 17 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 O processo de encontrar quais pontos de acesso estão disponíveis é chamado de varredura, porque a estação muda seu canal para descobrir pontos de acesso em todos os canais, var- rendo a faixa de frequência destinada ao IEEE 802.11. A varredura é ativa se a estação envia um quadro especial (probe request) para identificar a existência de redes nas proximidades do usuário. Ou passiva, se a estação apenas escuta quadros especiais enviados pelos pontos de acesso (beacons). A varredura também pode ser realizada para uma rede específica (usando um determinado Basic Service Set ID – BSSID) ou para qualquer rede (BSSID = Broadcast). Beacons q 1 Quadros de sinalização disseminados pelo AP (em broadcast) a intervalos regulares. 1 Fazem o anúncio da existência do AP na rede. 1 São mensagens curtas. 1 O intervalo de transmissão é ajustável (o default é um quadro a cada 100 ms). Beacons são quadros curtos enviados periodicamente pelos APs para avisar de sua pre- sença e passar algumas informações necessárias para as estações que podem querer se associar a eles. O beacon carrega, entre outras informações, o nome (SSID) da rede e qual o método de segurança (WEP, WPA) usado pela rede ou se a rede é aberta. Recebendo beacons Envio de Beacons AP1 AP2 EM (Estação Móvel) A Figura 2.7 mostra várias estações móveis e dois APs com suas respectivas áreas de cobertura. Os APs disseminam beacons na área de cobertura, contendo mensagens de tempo de sincronização, serviço da camada física (quais taxas de transmissão podem ser usadas) e valor do SSID, entre outras. Figura 2.7 Envio de beacons a todas as estações móveis em seu raio de alcance. 18 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Caso exista interseção das áreas de cobertura, uma estação pode receber vários beacons. A Figura 2.7 ilustra essa situação. A estação em destaque recebe beacons de dois pontos de acesso. APs e estações podem coexistir na mesma área e usando a mesma frequência, visto que os protocolos de acesso ao meio (assunto a ser estudado adiante) estabelecem regras que permitem esse uso compartilhado. No entanto, o normal é que os APs próximos sejam colocados em canais ortogonais (não interferentes). Como o processo de varredura passa por todas as frequências, a estação será capaz de descobrir os pontos de acesso indepen- dente do canal em que operam. Varredura Passiva q 1 A estação sintoniza um canal e espera por quadros de beacon. 1 Como os quadros contêm informações do ponto de acesso, a estação pode criar uma lista de pontos de acesso. 1 O sistema é eficiente em relação à energia por não exigir a transmissão de quadros pela estação. A varredura passiva refere-se ao processo de procurar por beacons em cada canal. Esses beacons são enviados pelos APs ou estações (no caso de redes ad hoc), para que estações obtenham informações sobre as redes disponíveis (como o valor do SSID da rede). A estação fazendo a varredura tenta, então, se associar com o BSS utilizando o SSID e outras informa- ções encontradas. Múltiplos APs e ESSIDs EM descobre: BSS1, AP1 BSS2, AP2 BSS3, AP3 Envio de Beacons AP1 AP2 AP3 AP4 EM (Estação Móvel) Figura 2.8 Estação móvel recebe beacons de todos os APs que o cobrem. 19 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 A Figura 2.8 mostra uma estação móvel (Estação Móvel – EM) e quatro APs. A estação consegue ouvir beacons vindo dos APs que têm a EM presente na sua área de cobertura. Nesse exemplo, a EM recebe notificações de AP1, AP2 e AP3. Como dissemos, a escolha de qual o melhor AP não está no padrão. Dependerá, por exemplo, de qual rede o usuário tem direito de acesso no caso de múltiplas redes ou se todos têm o mesmo ESSID, o AP cujo nível de sinal recebido (RSSI) for o maior entre os demais APs. As interfaces com o usuário normal- mente mostrarão as múltiplas redes encontradas (e outras informações, como canal, codifi- cação e nível de sinal) e permitirão que o usuário escolha a qual rede ele quer se associar. Varredura Ativa q 1 A estação móvel envia um probe request para cada canal da lista de canais. 1 A estação móvel espera por uma resposta do(s) AP(s). 1 A estação móvel processa o probe response. Na varredura ativa, a estação envia um quadro do tipo probe request. Esse mecanismo ativo é utilizado pelas estações clientes para assegurar a presença de uma rede a qual elas desejem se associar. Esse quadro pode conter o valor do SSID requerido pela estação cliente. Se o SSID for vazio, então todos os pontos de acesso que ouvirem o probe request vão responder. AP1 AP2 AP3 EM (Estação Móvel) Probe Request A Figura 2.9 mostra uma estação móvel (EM) iniciando a varredura ativa, enviando o quadro probe request. Se a requisição tiver um determinado valor de SSID, apenas os APs cujo SSID for equivalente ao solicitado pela EM durante a varredura ativa enviarão o probe response. Se a requisição contiver um valor nulo para o SSID, todos os pontos de acesso naquele canal responderão com o probe response. Estados de uma estação Em um dado momento, uma estação pode estar em um dos três estados: 1. Não autenticada e não associada. 2. Autenticada e não associada. 3. Autenticada e associada. Figura 2.9 Varredura ativa de uma MS em busca de SSID. 20 Ed ur oa m : a ce ss o se m fi o segu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Para se autenticar, uma estação trocará quadros de autenticação e, para se associar, quadros de associação. Apenas quando associada, uma estação consegue trocar dados com a rede. Autenticação q 1 Os quadros de autenticação (authentication request e response) trocados nessa fase proveem duas opções: 2 Open system: sistema aberto. 2 Chave pré-compartilhada (PSK). 1 Essa fase de autenticação foi tornada obsoleta pelo IEEE 802.11i. Como veremos adiante, existem dois tipos de autenticação distintos no IEEE 802.11, o primeiro – “Sistema Aberto” (onde o campo Authentication Algorithm Number tem o valor 0) não provê nenhuma autenticação de fato, ao passo que o segundo (Authentication Algorithm Number =1) corresponde ao uso de senhas pré-compartilhadas. O IEEE 802.11i, que é o mecanismo de autenticação usado pelo eduroam, tornou essa fase de autenticação obsoleta e oferece um mecanismo muito mais efetivo e seguro, que permite a autenticação de usuários. De fato, o esquema de autenticação com chaves pré-comparti- lhada não é mais recomendado pelo padrão, apesar de ainda estar disponível nos pontos de acesso, sobretudo os de uso doméstico. Associação q 1 Após a autenticação, a estação pode tentar se associar enviando um quadro association request. 1 Após se associar, ela pode utilizar o AP para acessar a rede da qual faz parte. 1 A estação móvel pode se associar somente a uma única BSS. Uma vez que a estação móvel tenha sido devidamente autenticada, pode tentar se associar ao AP. Em outras palavras, a associação refere-se ao estado em que a estação cliente passa a fazer parte de uma BSS. Troca de mensagens para associação O AP cria uma entrada para a EM; Envia um ID de associação à EM; O AP tem o MAC da EM. Ba rr am en to AP (1) Association Request Tráfego (2) Association Response (inclui o AID) EM (Estação Móvel) Um valor de [1 a 2007)08:00:45:37:41:7d AIDEndereço MAC da EM Figura 2.10 Passo a passo da associação de uma EM a um AP. 21 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 A Figura 2.10 mostra os estágios de associação de uma estação móvel junto ao AP: 1 O primeiro passo é enviar uma requisição de associação (Association Request) ao AP. 1 Recebendo essa requisição e a aceitando, o AP cria uma entrada para a estação e envia uma mensagem de anúncio ARP (gratuitous ARP) na rede cabeada com o endereço MAC da estação. Isso a registra nos elementos ativos (switches). Em seguida, envia uma iden- tificação (ID) de associação para a estação via um quadro association response. Nesse intervalo de tempo, o AP já dispõe do endereço físico (MAC) da estação. 1 Uma vez associado, AP e estação começam a trocar dados. Depois da associação PC AP3 EM (Estação Móvel) Um valor de [1 a 2007)08:00:45:37:41:7d 08:00:45:37:41:7d Endereço MAC do EM AP2 AIDEndereço MAC da EM AP1 AIDEndereço MAC da EM AID Uma vez associada, quadros enviados da rede cabeada para a estação serão recebidos pelo AP no qual a estação está associada (num mecanismo semelhante ao proxy-ARP). O AP, então, construirá um quadro no formato do IEEE 802.11 e o enviará à estação móvel. Reassociação q 1 Quando a estação se desloca, pode haver necessidade de mudança de AP. 1 A reassociação é o processo de mudar a associação de um AP antigo para um novo AP quando uma estação móvel estiver se deslocando entre áreas distintas. 1 Também pode ocorrer quando a estação sai temporariamente da área de um AP e retorna. 1 APs adjacentes podem interagir uns com os outros durante essa operação. A reassociação define o processo pelo qual uma estação muda sua associação de um AP a outro. Apesar de cada fabricante utilizar mecanismos proprietários para realizar a reasso- ciação, o nível do sinal recebido entre AP e estação continua sendo um dos fatores determi- nantes para esse mecanismo ocorrer sem interrupção. A reassociação também pode ser usada por uma estação quando, por algum motivo, esta perde conectividade com o AP. Como o AP já havia autenticado e associado a estação anterior- mente, ela não precisa passar por todo o processo de autenticação/associação novamente. Ao se reassociar, a estação móvel envia para o novo AP o endereço do AP antigo. Isso permite que o AP antigo encaminhe eventuais quadros remanescentes, destinados à estação. Figura 2.11 Encaminhamento pelo AP a EM de um quadro vindo do PC. 22 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da Desassociação e Desautenticação q 1 Para o AP terminar uma associação ou autenticação, ela usa os quadros de disassociation e deauthentication. 1 Um campo chamado reason code traz o motivo. É possível que um AP queira terminar uma associação ou autenticação. Para isso, ele usa os quadros de desassociação (disassociation) e desautenticação (deauthentication). No único campo desses quadros, o reason code, vem o motivo do término da relação. Hand over q 1 Apesar de não definir como deve ser feito, o IEEE 802.11 traz a base para um meca- nismo de mobilidade semelhante ao da rede celular. 1 Estações móveis podem se locomover dentro da área de cobertura de um ESS, mudando de um AP para outro. 1 Os APs trocam quadros para atualizar a posição da estação e receber quadros armazenados O IEEE 802.11 permite o hand over (isto é, mobilidade) no nível de enlace. Uma estação móvel pode trocar de AP dentro de um ESS ao se mover da área de cobertura de um AP para outro. Os APs trocam mensagens na reassociação, que permite que o estado (se existir) seja exportado de um AP para outro. IEEE 802.11 – Camadas PHY e MAC Camada de Enlace (MAC) 802.2 LLC 802.11 MAC Camada Física (PHY) 802.11 FHSS 802.11 DSSS 802.11a OFDM 802.11b HR/DSSS 802.11g ERP O padrão IEEE 802.11 descreve a camada física e a camada MAC de uma rede sem fio. Em termos do modelo de referência OSI, a camada física (PHY) do IEEE 802.11, corresponderia à camada 1, ao passo que a camada MAC seria uma parte do que o modelo OSI chama camada de enlace (data link layer) ou camada 2. A parte superior da camada 2 consistiria na subca- mada de controle (LLC), descrita pelo padrão IEEE 802.2, conforme ilustra a Figura 2.12. A camada física é responsável pela codificação e transmissão dos dados no meio físico, ou seja, descreve as técnicas de codificação e modulação. Assim, enquanto a camada física trata de bits, na camada de enlace, a unidade de informação é o quadro (frame). A rigor, o termo pacote deve ser usado apenas no contexto da camada três (camada de rede), que no caso de uma rede TCP/IP é a camada IP. Assim, nos referiremos sempre a quadros IEEE 802.11, sendo os “pacotes IP” transportados por “quadros 802.11”. Camada física (PHY) q 1 Diz respeito às técnicas de transmissão e modulação. 1 Camada 1 do modelo OSI de referência. Figura 2.12 Camadas PHY (física) e MAC do padrão 802.11. 23 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 q 1 Evoluiu no IEEE 802.11 (b,a,n,g = bang!). 2 802.11 – infravermelho, FHSS (2,4GHz) e DSSS (2.4GHz). 2 802.11b – DSSS (2.4GHz). 2 802.11a – OFDM (5 GHz). 2 802.11g – ERP (diversos) (2.4GHz). 2 802.11n – novo PHY (2.4GHz e 5GHz). Ao longo de sua evolução o padrão IEEE 802.11 incorporou uma série de técnicas de modu- lação e codificação distintas. Redes 802.11 utilizam duas faixas do espectro de uso não licenciado na maior parte do mundo, inclusiveno Brasil. Essas faixas são chamadas Industrial, Scientific and Medical (ISM) e, como o nome indica, são reservadas para uso industrial, médico e científico, e podem ser usadas por qualquer dispositivo, contanto que a potência transmitida não ultrapasse certos valores legais. A primeira é a chamada banda S-ISM, que abrange as frequências entre 2,4 e 2,5 GHz. Essa é a faixa utilizada pelas implementações 802.11b e 802.11g. Trata-se de uma porção do espectro com diversos dispositivos emitentes, como fornos de micro-ondas e alguns modelos de telefones sem fio. É também usada por dispositivos IEEE 802.15.1 (bluetooth). Por conta de seu uso não licenciado e da extrema popularidade dos dispositivos que nela operam, a faixa do espectro de 2,4 GHz já se encontra extremamente disputada nas princi- pais áreas urbanas do mundo. As características de propagação e o baixo poder de pene- tração dessas frequências implicam a necessidade de visada direta para distâncias maiores do que algumas dezenas de metros, considerando as potências legalmente aceitáveis. A segunda faixa do espectro utilizada por dispositivos 802.11, no caso os que seguem a emenda “a”, é chamada banda C-ISM e abrange as frequências entre 5,725 e 5,875 GHz. Os dispositivos 802.11a não alcançaram a mesma popularidade dos dispositivos 802.11b ou 802.11g e também por isso sua operação está menos sujeita a interferência, apesar de a necessidade de visada direta ser ainda maior nessas frequências. Canais na faixa de 2,4 GHz 1 2 3 4 5 6 7 8 9 10 11 2,412 2,437 2,462 Freq (GHz) Canais Canal Freq. Central (MHz) 1 2 3 4 5 6 7 8 9 10 11 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 Na faixa de 2,4GHz, cada canal está separado por 5MHz. Assim, o canal 1 tem a frequência central em 2.412MHz, enquanto a frequência central do canal 2 é 2.417MHz (2.412+5). No entanto, os padrões “b” e “g” empregam canais de transmissão com 22MHz de largura, o que implica que uma transmissão em um canal usará frequências de canais adjacentes, como indicado na Figura 2.13. Figura 2.13 Demonstração dos canais da faixa 2,4GHz. 24 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da É fácil ver que uma separação de cinco canais é necessária para que duas transmissões possam ocorrer simultaneamente. Por esse motivo, é sugerido o uso dos canais 1, 6 e 11, chamados canais ortogonais ou não interferentes, quando se pretende a instalação de várias redes ou pontos de acesso próximos. Apesar de no Brasil a Anatel regulamentar apenas o uso de 11 canais, existem países, como o Japão, onde 14 canais estão disponíveis para o uso de redes Wi-Fi. Canais na faixa de 5GHz Canal Freq. Central (MHz) 36 40 44 48 52 56 60 64 5180 5200 5220 5240 5260 5280 5300 5320 MHz MHz MHz MHz MHz MHz MHz MHz 5180 5200 5220 5240 5260 5280 5300 5320 5 MHz Canais do padrão 802.11a Na faixa de 5GHz, os canais são numerados também em intervalos de 5MHz, iniciando do canal 0 (frequência central 5.000MHz até o canal 199 (frequência central em 5.995MHz). No padrão 802.11a os canais têm 20MHz de largura, o que também implica a interferência entre canais adjacentes, por isso, os canais para Wi-Fi nessa faixa são alocados com inter- valos de quatro canais: 36, 40, 44 etc. Na verdade, a banda de 5GHz é subdividida em três subfaixas, onde o limite de potência permitido varia. A primeira subfaixa, representada na Figura 2.14, possui oito canais ortogo- nais alocados entre 5.150MHz e 5.350MHz, sendo o primeiro o canal 36 (frequência central 5.180MHz, seguido pelo 40, 44, e assim por diante, até o canal 64). As outras subfaixas são 5470-5725 MHz (para os canais 100, 104, 108, ..., 140) e 5725-5850 MHz (para os canais 149, 153, 157 e 161), perfazendo um total de 23 canais não interferentes (ao passo que na faixa de 2.4GHz existem apenas 3). Taxas do IEEE 802.11 q 1 Redes multitaxas. 2 b – 1, 2, 5.5 e 11 Mbps. 2 g – 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 e 54 Mbps. 2 g puro – 6, 9, 12, 18, 24, 36, 48 e 54 Mbps. 2 a – 6, 9, 12, 18, 24, 36, 48 e 54 Mbps. Figura 2.14 Demonstração dos canais da faixa 5GHz. 25 C ap ítu lo 2 - Re de s se m fi o IE EE 8 02 .1 1 q 1 Controle de taxa é item sensível. 2 Interoperabilidade. 2 Compromisso entre eficiência e robustez. A possibilidade de estações operando com codificações diversas coexistirem na mesma rede aumenta a complexidade dos projetos práticos de redes sem fio. A necessidade de todas as estações, seja qual for sua taxa de associação (isto é, a codificação sendo usada para comunicação entre dois pares), reconhecerem as informações de controle obriga o uso da codificação na taxa base para os dados de controle, sendo que a taxa base é a mais baixa suportada pelo padrão. O resultado é que a taxa nominal é muito maior do que a efetiva- mente disponível como banda útil para dados. Por isso, os cálculos de disponibilidade de banda são complexos, visto ser impossível definir, a priori, qual será a taxa de associação das diversas estações. Os pontos de acesso possuem mecanismos que permitem estabelecer uma taxa de asso- ciação mínima. Esses mecanismos são úteis porque impedem que estações muito afastadas se associem a um ponto de acesso usando uma taxa baixa, o que diminuiria a disponibili- dade de banda para todas as estações associadas àquele ponto de acesso. Essa restrição tende a reduzir o raio de associação (a distância que uma estação precisa estar do ponto de acesso), o que permite maior densidade de pontos de acesso. No entanto, isso pode gerar zonas de sombra e causar conexões intermitentes, já que flutuações do nível de sinal são norma para redes sem fio. Além disso, a taxa de transmissão entre uma estação e um ponto de acesso deve satisfazer um compromisso delicado. Transmissões a taxas mais baixas são mais robustas (menos susceptíveis a erros), mas ocupam o meio por mais tempo, ao passo que transmissões a taxas maiores fazem uso mais eficiente do meio compartilhado, mas são mais susceptíveis a erros. O algoritmo de adaptação de taxa, cujo trabalho é encontrar essa taxa de transmissão ótima, não faz parte do padrão IEEE 802.11, ficando sua implementação a cargo dos fabri- cantes de dispositivos Wi-Fi. Camada MAC q 1 A camada MAC define as regras para uso compartilhado do meio. 2 MAC = Medium Access Control (Controle de Acesso ao Meio). 1 A ideia é evitar colisões (em vez de detectá-las). 2 Ethernet – CSMA/CD (detecta colisão). 2 Wi-Fi – CSMA/CA (evita colisão). 1 Também é importante aumentar a confiabilidade. 2 Perda de quadros por corrupção é mais comum em redes sem fio. Apesar dos objetivos comuns, o controle de acesso ao meio descrito no padrão IEEE 802.11 difere do descrito na respectiva camada MAC do padrão IEEE 802.3 (Ethernet) justamente por conta das características do meio de propagação sem fio. A transmissão de rádio, em espaço livre, traz desafios que uma rede cabeada não apresenta. Em uma rede Ethernet é possível detectar durante a transmissão quando uma colisão ocorreu e, dessa forma, retransmitir os quadros perdidos. Em redes sem fio, no entanto, isso não acontece. Transmissores de rádio não são capazes de escutar o meio ao mesmo tempo em que transmitem, o que dificulta uma proposta de detecção de colisão. Além disso, os custos de 26 Ed ur oa m : a ce ss o se m fi o se gu ro p ar a Co m un id ad e A ca dê m ic a Fe de ra da uma colisão em redes sem fio são altos se comparados aos mesmos
Compartilhar