Indice. Introduzione 1

Transcript

1 Indice Introduzione 1 Capitolo 1 - Il sistema GSM / GPRS La genesi del GSM Il sistema cellulare Componenti del sistema GSM Stack protocollare di segnalazione Il GPRS Introduzione Nuove caratteristiche Componenti e stack protocollare 16 Capitolo 2 - Il Wi-Fi e le WLAN Panoramica Lo standard b Componenti 20

2 Indice Caratteristiche Il livello fisico Il livello data link: MAC Caratteristiche La tecnica CSMA/CA Trasporto e autenticazione: 802.1x ed EAP Extensive Autentication Protocol (EAP) Autenticazione delle porte per reti 802.1x 29 Capitolo 3 - Rete, trasporto e accesso: IP, UDP e RADIUS Internet Protocol (IP) Introduzione Caratteristiche e servizi Indirizzi IP User Datagram Protocol (UDP) Remote Authentication Dial In User Service (RADIUS) Introduzione Formato dei messaggi Procedura di autenticazione 39 ii

3 Indice Capitolo 4 - WLAN e operatori mobili: una possibile implementazione Obiettivi Struttura del sistema Funzionamento del sistema Accounting e tariffazione Una possibile implementazione Il modello Excilan Architettura della piattaforma Excilan 50 Conclusioni 53 Bibliografia 55 iii

4

5 Introduzione In questi ultimi anni il grande sviluppo della tecnologia wireless ha portato alla continua e progressiva ricerca di soluzioni volte a modificare e, per quanto possibile, trasformare il mondo delle reti di telecomunicazioni cablate che ci circonda in un mondo senza fili. Questa rivoluzione ebbe inizio già dai primi anni 90, quando cominciò a far capolino la tecnologia di telefonia cellulare GSM, tecnologia che nel giro di un decennio avrebbe letteralmente contagiato miliardi di utenti sparsi in tutto il mondo. Nello stesso arco di tempo abbiamo assistito allo sviluppo di Internet non solo come grande rete delle reti ma anche come risposta al desiderio di multimedialità, di condivisione di dati sempre up-to-date e di notizie in tempo reale, al sogno di essere sempre collegati con tutto e tutti. I ritmi della vita contemporanea, specialmente di chi lavora nelle più diverse ore del giorno come di chi ha la necessità di spostarsi frequentemente da un posto di lavoro ad un altro o da casa all ufficio al ristorante all albergo, impongono di sfruttare ogni minuto della giornata:

6 Introduzione per questo avere la possibilità di un accesso ad Internet in mobilità per diverse situazioni (metrò, aeroporto, coffee bar, sala conferenze, hotel, etc.) è una prospettiva allettante. Come è allettante e molteplice la varietà di nuovi servizi Internet votati alle informazioni in tempo reale, ad esempio per quanto riguarda il turismo (dagli orari dei treni ai percorsi guidati nelle città d arte con servizi informazioni e guide turistiche accessibili da un palmare) oppure l egovernment (dai database comunali per certificazioni e pagamenti on-line all informatizzazione del fisco). Le tecnologie esistenti consentono di sopperire ad una richiesta di connessione ad Internet ad alta velocità, ma limitano l utente a postazioni fisse (ADSL, modem via cavo, Gigabit Ethernet, etc.). Per questo le nuove tecnologie wireless note sotto la sigla IEEE sembrano essere candidate a sopperire alla mancanza di flessibilità e mobilità delle reti cablate, specialmente come ultimo miglio della rete. Un ulteriore vantaggio alla diffusione del wireless per l utente finale viene anche dal punto di vista economico, visto il trend di discesa costante del prezzo dei componenti wireless (schede di rete, access point, router / gateway). Resta comunque il gravoso problema della gestione degli accessi alla rete in questo nuovo scenario: essendo distribuita capillarmente nella sua periferia, la rete può sì invogliare gli utenti finali ad usufruire dei servizi offerti ma deve essere al tempo stesso accattivante, immediata e di facile utilizzo sempre dal lato end-user. Da questo punto di vista le registrazioni (manuali oppure on-line) a WISP (Wireless Internet Service Provider) necessarie per la fornitura del servizio possono diventare spiacevoli e difficilmente gestibili, data la varietà e non omogeneità di questi fornitori 2

7 Introduzione d accesso sparsi sul territorio: verosimilmente l utente avrebbe bisogno di gestire una coppia username / password quasi per ogni diverso ambiente frequentato. L architettura esaminata in questa tesi è stata proposta per la prima volta da tre ricercatori Nokia verso la fine del 2001 [1], per essere ripresa, completata relativamente alle tematiche di tariffazione e pubblicata sulla rivista IEEE Wireless Communications Magazine nel dicembre 2002 [2]. L idea è quella di sfruttare le SIM card contenute nei telefonini GSM dotati di funzionalità GPRS come identificatori univoci dell utente. Ricevendo informazioni dall operatore mobile relativo alla SIM è possibile autenticare, autorizzare e far pagare l utente per un servizio di accesso Internet fornito da un WISP. Della coppia username / password per l autenticazione l username è costituito dal numero di telefono cellulare dell utente e la password scompare all interno della rete, gestita dalla segnalazione tra i componenti di gestione degli WISP e degli operatori mobili. Il bacino di utenti potenziali è così pari a tutti i possessori di una SIM GSM, e la complessità della tecnologia di rete è nascosta dietro la semplicità di fornire il proprio numero di telefono nella home page del WISP che l utente vuole utilizzare. 3

8

9 Capitolo 1 Il sistema GSM / GPRS 1.1 La genesi del GSM Il GSM (Global System for Mobile Communications), lo standard europeo per gli operatori di telefonia mobile, vide la luce dopo quasi un decennio di studi e ricerca: è questo il tempo che intercorse tra la prima seduta del Groupe Spécial Mobile tenutasi nel dicembre 1982 a Stoccolma e l implementazione dei primi sistemi nel La creazione di questo gruppo di lavoro, descritta in [3], è dovuta al CEPT (Conférence Européenne des Poste et Télécommunications), l istituto per le standardizzazioni al quale nei primi anni 80 facevano riferimento i Ministeri delle Poste e Telecomunicazioni di più di venti paesi europei. L intento del Groupe Spécial Mobile era quello di creare un sistema di comunicazione radiomobile all interno di una banda comune predefinita, già sancita nel 1978 in 50 MHz intorno alla frequenza di 900 MHz, e di superare le restrizioni dei sistemi analogici allora esistenti: il limitato numero di utenti (dovuto agli alti costi e alla scarsa portabilità

10 Capitolo 1 dei terminali mobili, nonché all inefficienza della tecnologia analogica FM in uso); la conseguente scarsa scalabilità del sistema nell eventualità di una futura richiesta di servizi in mobilità; l incompatibilità tra i vari sistemi adottati all interno dei confini nazionali (TACS in Gran Bretagna, Radiocom2000 e in seguito NMT in Francia, C-450 in Germania, RTMS e in seguito TACS in Italia, etc.). Le riunioni del Groupe Spécial Mobile divennero sempre più frequenti fino alla formazione nel 1986 di un nucleo permanente: al suo interno quattro working group lavoravano per la definizione dei servizi, per le specifiche di radiotrasmissione, per l implementazione dei servizi dati e per tutte le altre problematiche restanti. Come molte delle attività di standardizzazione del CEPT, nel 1989 il gruppo passò sotto il controllo dell ETSI (European Telecommunications Standard Institute) sorto l anno precedente; a differenza del CEPT, l ETSI era aperto non solo a delegati governativi, ma anche a membri provenienti dall industria, ai gestori di telefonia ed agli utenti. Si arrivò così alla definizione delle specifiche GSM900 (1990) già guardando ad un adattamento per la banda di frequenze di 150 MHz attorno a 1.8 GHz: le specifiche di questo sistema (il DCS1800) vennero fissate l anno seguente. Nel 1992 i primi operatori cominciarono a commercializzare il servizio, inizialmente dedicato alla telefonia senza fili, poi integrato dalla comunicazione dati, fax e SMS. 6

11 Il sistema GSM / GPRS 1.2 Il sistema cellulare L idea di dividere il territorio in celle fu la soluzione per risolvere il problema del limitato numero di frequenze (e quindi di canali trasmissivi) che una stazione radio base (BS) può utilizzare simultaneamente per non avere problemi di interferenza. Suddividendo le aree di copertura in celle disgiunte, dimensionate in base alla morfologia del territorio ed alla densità di utenti, è possibile riutilizzare le frequenze in celle sufficientemente distanti da non avere interferenze apprezzabili (in figura 1.1 è mostrato un pattern formato da 7 celle esagonali). La BS può essere posizionata al centro della cella oppure ad un vertice per coprire più celle Figura 1.1 Modello di una copertura cellulare In questo modo si ottiene un ulteriore vantaggio: data la scarsità di autonomia propria dei terminali mobili (MT) è possibile ridurre ed 7

12 Capitolo 1 ottimizzare il consumo di potenza nei dispositivi portatili, ed è inoltre possibile stimare la posizione degli stessi all interno della cella misurando il livello di potenza ricevuto dalla BS. Fondamentale è quindi il controllo della mobilità dei MT, ovvero delle informazioni relative alla localizzazione di un utente e al suo passaggio da una cella ad un altra (handoff / handover). La trasmissione sul canale radio avviene sfruttando una combinazione di tecniche di accesso al mezzo. Con la Frequency Division Multiple Access (FDMA) i due range di frequenze disponibili di 25 MHz ( MHz da MT a BS e MHz da BS a MT) sono divisi in canali di uguale ampiezza per separare i diversi flussi di traffico; sono così disponibili 124 canali duplex in parallelo di banda 200 KHz ciascuno. Il Time Division Multiple Access (TDMA) consente di avere più flussi su ogni singolo canale poiché ogni MT non ha l uso esclusivo del canale assegnatogli, ma può trasmettere un pacchetto di dati (data burst) solo per un periodo di tempo ben determinato, definito slot temporale. Facendo riferimento a [4], nel GSM ogni slot dura 577 µs e la trama è composta da 8 slot, per una durata complessiva di ms. Emerge così il problema della sincronizzazione tra MT e BS al fine di poter ricostruire la globalità del traffico: è la BS ad inviare un segnale di riferimento temporale che i MT sfruttano per individuare l esatto momento in cui trasmettere. Col TDMA si possono inoltre apportare contromisure ai tipici problemi del canale radio quali la tempo varianza, il fading selettivo in frequenza e l interferenza da co-canale: per combattere quest ultima in particolare è usata una tecnica a espansione dello spettro chiamata frequency hopping che prevede di trasmettere ogni data burst su frequenze diverse, cosicché se ad una 8

13 Il sistema GSM / GPRS frequenza sulle i frequenze disponibili vi è interferenza selettiva nel caso peggiore questa andrà ad agire sul segnale trasmesso ogni i slot temporali. 1.3 Componenti del sistema GSM Figura 1.2 Componenti di un sistema cellulare La Mobile Station (MS) è l interfaccia tra l utente e la rete. Essa è composta da un apparecchio mobile (ME Mobile Equipment) identificato internazionalmente in modo univoco dall International Mobile Station 9

14 Capitolo 1 Equipment Identity (IMEI), e da un Subscriber Identity Module (SIM), una smart card dove sono memorizzate le informazioni relative all utente: non solo l identità come suggerisce il nome ma ogni sua caratteristica rilevante ai fini del servizio, come ad esempio i parametri dell algoritmo di autenticazione, la chiave di autenticazione, la chiave di cifratura, informazioni di localizzazione dinamica, i codici PIN e PUK, il Mobile Station ISDN Number (MSISDN), ovvero il numero di telefono internazionale, e l IMSI (International Mobile Subscriber Identity). Quest ultimo è un numero di 15 cifre al massimo (vedi figura 1.3) che identifica in modo univoco l utente. Esso è formato da diverse parti: MCC (mobile country code): 3 cifre, identifica un paese; MNC (mobile network code): 2 cifre, identifica un gestore all interno del paese; MSIN (mobile subscriber identification number): 10 cifre al massimo, identifica un utente del gestore. MCC MNC MSIN 3 cifre 2 cifre max. 10 cifre Figura 1.3 Struttura del IMSI La stazione base (definita anche BTS, Base Transceiver Station) è l anello di giunzione tra la rete radiomobile e quella cablata. La BTS contiene le apparecchiature per la trasmissione e ricezione radio e svolge alcune funzioni per il processing del segnale (ad es. codifica per il canale 10

15 Il sistema GSM / GPRS radio). Per mantenere le dimensioni di queste stazioni contenute, il controllo e la gestione dei protocolli e degli algoritmi (ad es. per l handover) è effettuato nella Base Station Controller (BSC), che può controllare anche più d una BTS. Il Mobile Switching Center (MSC) è dedicato alla commutazione, alle discipline di routing, all allocazione e all amministrazione delle risorse radio e alla mobilità degli utenti. Attraverso la rete di segnalazione SS#7 è collegato agli Home Location Register (HLR) e Visitor Location Register (VLR), i database del servizio. In generale, è presente un HLR per ogni gestore ed un VLR per ogni MSC, ma questa struttura può variare a seconda del numero degli utenti, della capacità di processing e di memoria dei commutatori e della struttura della rete. Le informazioni di ogni utente sono contenute nell HLR: IMSI, servizi abilitati, dati di autenticazione, tariffazione, roaming, discipline di routing. Il VLR immagazzina i dati dei terminali mobili che transitano nell area gestita dal relativo MSC. Se un terminale esce dalla sua home network entrando in un altra (visited network) viene interrogato il relativo VLR, il quale se non ha al momento dati corrispondenti a quell utente interroga a sua volta l HLR di competenza; se l utente è abilitato al roaming con il gestore della visited network l HLR trasmette le informazioni richieste al VLR, abilitando il routing per le chiamate dell utente verso la visited network. Nell Autentication Center (AUC) sono conservati i dati confidenziali, le chiavi per l autenticazione e le autorizzazioni ai servizi abilitati degli utenti. L Equipment Identity Register (EIR) contiene i numeri di serie, forniti dal costruttore, dei terminali mobili (IMEI) al fine di tenere 11

16 Capitolo 1 sotto controllo la presenza di software obsoleti nei terminali stessi o di bloccare l accesso a terminali dichiarati rubati. 1.4 Stack protocollare di segnalazione In riferimento al modello OSI esaminiamo ora le principali funzioni nei vari livelli dello stack protocollare relativo alla segnalazione. Le interfacce tra i diversi componenti del sistema sono state denominate con lettere dell alfabeto (vedi figura 1.4): Figura 1.4 Interfacce tra i componenti della rete GSM Le interfacce Um e Abis sono specifiche del GSM, mentre le interfacce A, B, C, E sono relative alla rete di segnalazione Signaling 12

17 Il sistema GSM / GPRS System Number 7 (SS#7). Lo stack protocollare dei livelli di segnalazione tra stazione mobile e MSC è mostrato in figura 1.5. Così come spiegato in [5], nel MT a livello fisico si ha l implementazione dei canali logici di segnalazione su onde radio (via TDMA/FDMA, multiframes, codifica di canale, etc.); a livello data link troviamo il Link Access Procedure on Dm channels (LAPDm), ovvero un adattamento specifico alle interfacce radio del LAPD per la rete ISDN, ed è responsabile del trasferimento protetto dei messaggi di segnalazione tra MS e BTS sul canale radio; il livello rete è suddiviso in tre sottolivelli: GSM-specific ISDN-specific Layer 3 CM MM CM MM RRM RRM RRM RRM SCCP SCCP Layer 2 MTP3 MTP3 Layer 1 LAPDm Radio LAPDm Radio L LAPD 64Kbps LAPD 64Kbps MTP2 64Kbps MTP2 L1 Um Abis A MT BST BSC MSC Figura 1.5 Stack protocollare per la segnalazione nel GSM Radio Resource Management (RRM), che gestisce frequenze e canali, ma soprattutto si occupa di iniziare, mantenere e abbattere connessioni RR che permettono la comunicazione punto-punto tra MS e la rete; 13

18 Capitolo 1 Mobility Management (MM), che si occupa delle informazioni, scambiate con il suo corrispondente MSC, relative alla mobilità del MT, quali localizzazione, identificazione, autenticazione e monitoraggio (inserzione e/o estrazione di SIM, accensione e/o spegnimento); Connection Management (CM), che è dedicato al controllo delle chiamate, alla segnalazione DTMF, allo Short Message Service (SMS). Nel BTS all interfaccia Abis si ha la mappatura di LAPDm in LAPD con il corrispondente passaggio su canale fisico in rame. Nel BSC (che come il BTS processa i dati in transito solo fino al RRM al livello 3) all interfaccia A il trasporto dei messaggi di segnalazione avviene sulla rete SS#7 su canali a 64 kbit/s o 2048 kbit/s. A livello data link i Message Transfer Part 2 e 3 (MTP2 e MTP3) si occupano del trasporto sicuro dei messaggi, mentre a livello rete il Signaling Connection Control Part (SCCP) è usato per l implementazione e l identificazione di connessioni logiche distinte. 1.5 Il GPRS Introduzione Le reti GSM offrono un servizio di trasmissione dati con un rate massimo di 9.6 kbps basato su commutazione di circuito, con il canale occupato dall utente per l intera comunicazione. Per offrire servizi dati di 14

19 Il sistema GSM / GPRS migliore qualità e competitività l ETSI ha pubblicato specifiche GSM Fase 2+ per introdurre nei sistemi GSM basati su TDMA la tecnologia Global Packet Radio Service (GPRS). Essa prevede l utilizzazione di canali radio multipli derivanti dalla suddivisione degli slot temporali che nel GSM erano usati ciascuno da un utente soltanto: questi canali potranno essere a loro volta attribuiti ad un unico utente oppure suddivisi tra diversi utenti. L allocazione delle risorse radio è dinamica e la commutazione è a pacchetto in modalità datagramma. Figura 1.6 Canali radio multipli nel GPRS Nuove caratteristiche Quando tutti gli otto slot vengono assegnati al medesimo utente, come emerge da [6], è possibile raggiungere la velocità (teorica) di Kbit/s poiché ogni slot consente una velocità trasmissiva che dipende dal codice a correzione d errore (code scheme CS) utilizzato. Grazie alla commutazione di pacchetto le risorse radio vengono 15

20 Capitolo 1 utilizzate solo quando un utente sta trasmettendo o ricevendo dati, e la connettività è così condivisa tra un grande numero di utenti all interno della stessa cella. In [7] si vede come questa efficienza di utilizzo dello spettro permetta di evitare il dimensionamento tradizionale della rete GPRS sul volume di traffico delle ore di punta, che porterebbe alla allocazione sovrabbondante di canali rispetto alla media delle chiamate. Parimenti con la migrazione di parte del traffico dati dalla rete a circuito GSM sulla rete GPRS (come ad esempio quello relativo alla segnalazione oppure agli SMS), il carico di traffico può essere smaltito in modo più efficiente. Inoltre il GPRS permette una completa interoperabilità con il mondo di Internet, e i terminali dotati di funzionalità GPRS possono essere visti come host mobili in grado di fruire degli stessi servizi di Internet forniti agli host cablati (FTP, web browsing, posta elettronica, telnet, etc.) Componenti e stack protocollare In figura 1.7 è schematizzata la rete GSM / GPRS e si vedono i componenti aggiuntivi che formano il backbone della rete a pacchetto, quali: il Serving GPRS Support Node (SGSN): esso ha il compito della gestione degli utenti mobili attivi e del routing dei pacchetti dati da e verso i MT; il Gateway GPRS Support Node (GGSN): esso è il punto di giunzione con le altre reti a pacchetto, maschera alle reti esterne la specificità della 16

21 Il sistema GSM / GPRS rete GPRS e gestisce la tariffazione. Figura 1.7 Architettura logica della rete GSM / GPRS Per quanto riguarda il piano di segnalazione a livello utente, come da figura 1.8, nel MT troviamo partendo dal basso il livello fisico con l implementazione della tecnologia a radiofrequenza. Il livello data link con il protocollo MAC è dedicato ai meccanismi di ritrasmissione in caso di errori, al controllo di accesso alle risorse radio e alla prevenzione di collisioni. Il livello rete con il Radio Link Control (RLC) può provvedere alla richiesta di ritrasmissione di un blocco di dati. Al livello di trasporto il Logical Link Control (LLC) è il corrispondente dei protocolli di trasporto UDP/TCP della rete di backbone cablata, mentre al livello superiore il SubNetwork Dependant Convergence Protocol (SNDCP) gestisce la mobilità, il criptaggio e la compressione dei dati. 17

22 Capitolo 1 Nella BSS (che comprende BTS e BSC) sono gestiti solo i primi 3 livelli mentre nel SGSN avviene il passaggio dallo stack precedentemente descritto all architettura TCP/IP. Ad un livello superiore è presente poi il GPRS Tunneling Protocol (GTP) che comprende un sottoprotocollo opzionale, detto GPRS Tunneling Protocol for Charging (GTP ), che è stato standardizzato per lo scambio di informazioni relative alla tariffazione. Figura Stack protocollare di segnalazione nel GPRS 18

23 Capitolo 2 Il Wi-Fi e le WLAN 2.1 Panoramica Le reti wireless si stanno rapidamente diffondendo per la loro comodità d uso, per il progressivo abbattersi dei prezzi dei componenti, per le velocità trasmissive e il livello di sicurezza che hanno ormai raggiunto standard qualitativi soddisfacenti anche per grandi attività business-tobusiness. Lo standard di riferimento è dovuto ai gruppi di lavoro facenti parte l IEEE : con Wi-Fi (Wireless Fidelity) si indica il gruppo b che ha già standardizzato il suo lavoro nel Recentemente è stato formalizzato lo standard g che quintuplica la velocità trasmissiva (fino a 54 Mbit/s) dello standard b pur rimanendovi compatibile; inoltre sono state introdotte nuove funzionalità relative a privacy e sicurezza grazie al lavoro del gruppo i e 802.1x. Queste architetture sono state sviluppate per la creazione di Wireless Local Area Networks (WLANs) e nel seguito accenneremo ai protocolli dei vari livelli dello stack OSI ed a come essi si rapportano allo schema seguito dai gruppi di lavoro dell IEEE 802, guardando più in dettaglio a quelli

24 Capitolo 2 direttamente relazionati con l argomento centrale di questa tesi. 2.2 Lo standard b Componenti DS AP AP BSS BSS Figura 2.1 Rete wireless in modalità infrastruttura Le WLAN possono essere di due tipi: modalità infrastruttura, dove si definisce un area di copertura wireless nella quale la connettività è fornita alle stazioni mobili (portatili, PDA, PC con scheda wireless, stampanti, etc.) da un Access Point (AP). Esso ha caratteristiche di base station: è collegato alla rete cablata (ad esempio una LAN aziendale oppure un modem ADSL) e svolge attività 20

25 Il Wi-Fi e le WLAN di routing da e verso la rete wireless e all interno della stessa. L insieme degli utenti serviti dallo stesso access point completa l insieme della Basic Service Set (BSS). Una BSS si può estendere fino ad un centinaio di metri, conformemente alla posizione dell access point (esterno, interno, per soffitti, etc.) e alla conformazione dell ambiente (geometria, presenza di ostacoli, etc.). Un Extended Service Set (ESS) è formato dall insieme di due o più BSS che formano una sottorete nella quale i vari access point sono connessi ad un Distribution System (DS) che opera come una rete di backbone. BSS Figura 2.2 Rete wireless ad-hoc ad-hoc networks, dove non è presente un nodo che ha funzioni di server; le stazioni wireless comunicano tra loro in modalità peer-to-peer. Generalmente questa configurazione è idonea in situazioni di reti limitate per numero di utenti e dimensioni (ad esempio saloni conferenza, interconnessione di dispositivi personali) oppure in ambiti nei quali non vi è l esigenza oppure la possibilità di installare un infrastruttura (ad esempio campo di battaglia). 21

26 Capitolo Caratteristiche La banda di frequenze utilizzate per la trasmissione nel Wi-fi è quella intorno ai 2.4 GHz nella regione ISM (Industrial Scientific Medical) esente da licenze nello spettro elettromagnetico. La velocità trasmissiva è di massimo 11 MBit/s, e negli standard a/g può arrivare a 54 Mbit/s. Figura 2.3 Bande di frequenza ISM deregolamentate Lo standard a è però incompatibile con b/g in quanto sfrutta un altro range di frequenze ISM deregolamentate intorno ai 5 GHz. 2.3 Il livello fisico Le WLAN rientrano nella classe di reti ad accesso multiplo a un 22

27 Il Wi-Fi e le WLAN mezzo condiviso, in questo caso al canale radio. A livello fisico è di primaria importanza contrastare la possibilità di subire l interferenza di trasmissioni terze e al tempo stesso impedire che la trasmissione sia intercettata da terzi: si utilizzano così tecniche spread spectrum con le quali si espande lo spettro del segnale da trasmettere su una banda molto più grande del segnale originario, in modo da mascherare il segnale utile ad un ricevitore terzo rendendolo per esso simile a rumore. Upper layers Network LLC MAC Physical IEEE 802 Project Upper layers Network Data link Physical OSI Model Figura 2.4 Modello di riferimento per lo stack protocollare Per lo standard sono state previste due tecniche relative alla trasmissione radio, descritte in [8]: il Frequency Hopping Spread Spectrum (FHSS), che prevede di impiegare una frequenza diversa, scelta in modo pseudocasuale fra un set di 79, per ogni slot temporale di trasmissione. Per comunicare il trasmettitore ed il ricevitore devono condividere l algoritmo di generazione della sequenza pseudocasuale e la sequenza di inizializzazione; 23

28 Capitolo 2 il Direct Sequence Spread Spectrum (DSSS), che prevede di trasmettere al posto del generico bit vero l OR esclusivo di quel bit con n bit (nbit chipping code; nell si ha n=11) generati in un modo pseudocasuale noto a trasmettitore e ricevitore. La trasmissione di questa nuova sequenza di bit avviene attraverso la modulazione CCK (Complementary Code Keying). In questo modo lo spettro del segnale è espanso di n volte rispetto a quello originario. Come meccanismo di gestione della frequenza nel nuovo standard g si usa anche la modulazione OFDM (Orthogonal Frequency Division Multiplexing), che si basa sulla trasformata veloce di Fourier (FFT) per sovrapporre un massimo di 52 canali e lasciarne inalterata l individualità e l ortogonalità. 2.4 Il livello data link: MAC Caratteristiche Il protocollo MAC (Medium Access Control) specifica le funzioni e i protocolli necessari per il controllo e l accesso al mezzo condiviso, per le operazioni di framing e per l interazione con la rete cablata di backbone. In [9] emerge che per lo standard sono adattate con successo le specifiche dell Ethernet (o 802.3) utilizzando: il carrier sense multiple access (CSMA) per il controllo di accesso al 24

29 Il Wi-Fi e le WLAN mezzo, ma con collision avoidance (CSMA/CA) a differenza di Ethernet che impiega il sistema collision detection (CSMA/CD); uno schema di accesso distribuito senza un sistema di controllo centralizzato. La grossa differenza con lo standard risiede quindi solamente nel mezzo fisico sottostante e nella funzionalità riscontro dei pacchetti inviati. Il livello MAC fornisce nove servizi logici: autenticazione, deautenticazione, associazione, deassociazione, riassociazione, distribuzione, integrazione, privacy e invio dei dati Questi sono tutti presenti negli AP, mentre i terminali usano solo autenticazione, deautenticazione, privacy e consegna dei dati. Esiste inoltre una funzionalità di gestione e di trasferimento dati. La funzionalità di gestione MAC viene gestita dall entità MLME (MAC Layer Management Entity) che ha il suo corrispondente nell entità PLME (Physical Layer Management Entity): queste due entità si scambiano informazioni sulle funzionalità del mezzo fisico attraverso un database chiamato MIB (Management Information Base). Esso raccoglie e gestisce le variabili (quali ad esempio velocità di trasmissione possibili, livelli di potenza, tipi di antenna utilizzabili) che cercano di rendere la connessione wireless più simile ad una cablata, cosicché i gestori della rete possano sfruttare una vista strutturata dei parametri (la specifica formale del database MIB si trova nell allegato D delle specifiche ). I dati da trasferire gestiti dal MAC provengono dal livello superiore Logical Link Control (LLC) che passa al livello sottostante pacchetti denominati MSDU (MAC Service Data Unit). Il trasferimento di dati MAC è controllato da due diverse funzioni di 25

30 Capitolo 2 coordinamento: DCF (Distributed Coordination Function), che definisce il modo in cui il mezzo di trasmissione viene condiviso fra i membri della rete wireless. Questo è dovuto al fatto che per un collegamento senza fili è più complesso individuare e gestire le collisioni rispetto ad un link cablato (si pensi ad esempio al problema dell hidden node); PCF (Point Coordination Function), che fornisce una gestione centralizzata del traffico per i trasferimenti di dati sensibili al ritardo e richiedono un accesso esente da contese La tecnica CSMA/CA Collision Avoidance (CA) significa che ciascuna stazione (AP o terminale) prima di trasmettere sul canale radiomobile debba accertarsi che le altre stazioni siano inattive. Dopo l ultimo messaggio di riscontro (di acknowledgement - ACK) inviato da una stazione il minimo tempo di attesa prima della trasmissione successiva di dati è pari a un DIFS (DCF InterFrame Space), mentre il periodo di tempo tra l arrivo di un pacchetto di dati e la risposta con un ACK è detto SIFS (Short InterFrame Space). Se la stazione Altro vuole trasmettere ma il canale è occupato dalla trasmissione tra Origine e Destinazione (vedi figura 2.5), deve attende che la trasmissione in corso venga completata più un tempo pari a DIFS più un ritardo casuale compreso in un intervallo detto finestra di contesa (o contention window). Con MPDU in figura si indica la MAC Protocol Data 26

31 Il Wi-Fi e le WLAN Unit, ovvero a fancy name for frame citando [9]. Origine Dati SIFS Destinazione ACK DIFS finestra di contesa Altro Dati ritardo nell accesso Figura 2.5 Funzionamento del CSMA/CA La finestra di contesa è suddivisa in un numero intero di slot temporali la cui durata varia in base alla velocità trasmissiva sul mezzo fisico (velocità maggiori portano a slot più brevi). La stazione Altro per scegliere lo slot per il suo tentativo di trasmissione (ogni slot è così equiprobabile) genera un numero intero casuale, e se è il numero minore rispetto a tutte le altre stazioni allora può trasmettere. Altrimenti l algoritmo si ripete aumentando esponenzialmente la durata della finestra ad ogni tentativo di trasmissione fallito fino ad una dimensione massima. La lunghezza della finestra è resettata quando una trasmissione va a buon fine. In presenza di diverse stazioni in competizione per l accesso al mezzo, se si assumono lunghe finestre di contesa l algoritmo resta stabile anche in condizioni di massimo traffico da smaltire. 27

32 Capitolo Trasporto e autenticazione: 802.1x ed EAP Extensive Autentication Protocol (EAP) Negli ultimi anni le tematiche maggiormente al centro dell interesse sono state relative alla sicurezza per le WLAN: dopo essere stato totalmente violato nel 2001 il WEP (Wired Equivalent Privacy), ovvero il protocollo progettato per essere il punto di riferimento della sicurezza per il wireless, si è cercato di correre ai ripari. L Extensive Authentication Protocol (EAP), definito dalla RFC 2284 dell IETF [10], è stato inizialmente sviluppato per l utilizzo con il Point-to- Point Protocol (PPP) come protocollo di trasporto ottimizzato per procedure di autenticazione e non come un sistema di autenticazione a se stante, introducendo così ulteriore flessibilità alla rete. In questo modo EAP permette di incapsulare una grande varietà di metodi di autenticazione: EAP-MD5 o CHAP (Challenge Handshake Authentication Protocol), la versione meno sicura poiché utilizza per l autenticazione nomi utenti e password che possono essere facilmente diffusi, è vulnerabile agli attacchi a dizionario e non supporta le chiavi WEP dinamiche; LEAP (Lighweight EAP), una delle prime versioni proprietarie dovuta a Cisco, che è vulnerabile però agli attacchi a dizionario tipo man-in-themiddle; EAP-TLS (Transport Layer Security), che utilizza una Public Key Infrastructure (PKI) richiesta in ciascun dispositivo interessato assieme ad un certificato X.509; è un metodo molto sicuro grazie all utilizzo di chiavi pubbliche e private asimmetriche; 28

33 Il Wi-Fi e le WLAN EAP-TTLS, la cui unica differenza dal precedente è che i certificati siano in possesso solo dei server RADIUS (vedi cap. 3); EAP-SIM, progettato da Nokia per l autenticazione hardware di una SIM card; PEAP (Protected EAP), altro protocollo sviluppato da Cisco che risolve la mancanza della protezione dell identità dell utente o della negoziazione EAP, l assenza di meccanismi standard per lo scambio delle chiavi, l assenza di un supporto per la frammentazione e il riassemblaggio e la mancanza del supporto della riconnessione rapida Autenticazione delle porte per reti 802.1x Il protocollo 802.1x, definito nel 2001 dall IEEE, è una versione LAN-based per protocolli di autenticazione a livello link layer. Esso definisce una procedura per autenticare un utente tramite il permesso fornito da un autorità centrale, e riprende i protocolli di autenticazione delle porte utilizzati negli anni dai server di accessi dial-up. L 802.1x prevede per le LAN tre attori principali: il richiedente (tipicamente il software del client); l autenticatore (tipicamente l AP); il server di autenticazione (tipicamente, ma non necessariamente, un server RADIUS). Nelle specifiche i primi due attori sono definiti come Port Authentication Entities (PAE). 29

34 Capitolo 2 Tra il richiedente e l autenticatore può essere utilizzato il protocollo EAP over Lan (EAPoL) oppure EAP over Wireless (EAPoW), mentre tra l autenticatore e il server di autenticazione è utilizzato il protocollo RADIUS. Richiedente EAP Autenticatore EAP Server di autenticazione EAPOL RADIUS 1. EAPOL-Start 2. Request/Identity 3. Response/Identity 4. EAP-Request 3. Radius-Access-Request 4. Radius-Access-Challenge 5. EAP-Response 5. Radius-Access-Request 6. EAP-Success 6. Radius-Access-Accept 7. EAP-Logoff Accesso consentito Accesso bloccato Figura 2.6 Scambio di messaggi EAPOL La procedura parte dal client, che tenta di connettersi all AP mediante un messaggio di avvio (1. EAPOL-Start). L AP rileva il richiedente e attiva la relativa porta in modo da consentire solo l inoltro di messaggi 802.1x/EAP, impedendo ogni altro traffico. Poi l AP invia un messaggio di EAP-Request/Identity (2.) per ottenere l identità del richiedente, la cui risposta (3. EAP-Response/Identity) viene inoltrata al 30

35 Il Wi-Fi e le WLAN server di autenticazione (AS) attraverso il protocollo RADIUS. L AS per fornire l autenticazione potrà richiedere informazioni aggiuntive (quali ad esempio la risposta cifrata ad una stringa di challenge: per maggiori informazioni si veda il paragrafo 3.3.3), richiesta che verrà inoltrata dall AP al client attraverso un messaggio EAP-Request (4.). Il client risponderà con un messaggio EAP-Response (5.) che verrà inviato su RADIUS dall AP all AS, che in caso di validità della risposta autenticherà l utente informando l AP il quale a sua volta invierà al client un messaggio EAP- Success (6.) attivando completamente la porta di comunicazione e permettendo l accesso. Quando il client vorrà abbattere la connessione invierà un messaggio EAP-Logoff (7.) e la porta abilitata ritornerà nello stato bloccato. Richiedente EAP Autenticatore EAP Server di autenticazione RADIU S Association Request 2. Association EAPOL 3. EAPOL-Start 4. Request/Identity 5. Response/Identity 6. EAP-Request 5. Radius-Access-Request 6. Radius-Access-Challenge 7. EAP-Response 7. Radius-Access-Request 8. EAP-Success 9. EAPOL-Key (WEP) 8. Radius-Access-Accept Figura 2.7 Scambio di messaggi EAPOL su una rete

36 Capitolo 2 L IEEE per adattare lo standard 802.1x alle reti wireless ha stabilito che il concetto di porta per le reti cablate diventi porta logica nelle reti , ovvero un associazione tra una stazione mobile e un access point; su questa porta logica, una volta stabilita (vedi fig. 2.7), è possibile la negoziazione definita dall 802.1x in quanto essa richiede un link attivo. Inoltre lo scambio di trame EAPoL può essere sfruttato nelle reti wireless per distribuire dinamicamente le chiavi di sicurezza per il WEP, con un nuovo messaggio 9. EAPOL-Key (WEP) dall AP al client a seguito dell EAP-Success. 32

37 Capitolo 3 Rete, trasporto e accesso: IP, UDP e RADIUS 3.1 Internet Protocol (IP) Introduzione Il protocollo IP [11] è nato ed è stato sviluppato per interconnettere in modo scalabile reti tra di loro eterogenee. Secondo il modello OSI l IP si inserisce al livello di rete (livello 3), ed è previsto per tutti i nodi della rete (host, router, authentication server, etc.) in modo da creare un infrastruttura per un unica rete di reti dal punto di vista logico Caratteristiche e servizi Il modello di servizio di IP si può riassumere in 2 espressioni: connectionless, ovvero non è allestita nessuna connessione end-to-end

38 Capitolo 3 per lo scambio dei pacchetti; ogni datagramma contiene tutte le informazioni necessarie per arrivare a destinazione; best effort, ovvero nessuna garanzia di effettiva e corretta consegna dei datagrammi inviati sulla rete: i pacchetti possono essere persi, consegnati in modo non ordinato oppure con ritardo eccessivo, o anche duplicati a causa di ritrasmissioni. Sono in fase di sviluppo e sperimentazione delle architetture per cercare di ovviare a questi problemi, dovuti alla grande semplicità di IP che d altra parte è anche la sua forza Indirizzi IP Lo schema di indirizzamento utilizzato da IP è globalmente univoco, composto da una stringa di 32 bit raggruppati 8 alla volta e rappresentati con i relativi numeri decimali separati da punti; è inoltre gerarchico perché composto da una parte che definisce la rete di appartenenza e da un altra parte relativa al singolo host della rete. I bit più significativi dell indirizzo identificano la classe di appartenenza: il primo bit posto a 0 identifica la classe A, i primi due bit posti a 1 e 0 la classe B, i primi tre bit posti a 1, 1 e 0 la classe C. Esiste anche una classe D (primi bit 1110) relativa agli indirizzi multicast ed una classe E che attualmente non viene utilizzata. Il numero di bit dedicati all identificativo di rete e di host sono mostrati in figura

39 Rete, trasporto e accesso: IP, UDP e RADIUS classe A 0 network host da a B 10 network host da a C 110 network host da a bit Figura 3.1 Classi A, B, C di indirizzi IP Gli indirizzi possibili sono così 2 32 (a parte un numero limitato di indirizzi speciali e riservati), originariamente suddivisi nelle classi sopra descritte pensando ad uno sviluppo di Internet con poche reti con milioni di utenti (classe A), un numero maggiore di reti con migliaia di utenti (classe B) e moltissime reti con pochi utenti (classe C). Per svincolarsi da questa rigida divisione è stata sviluppata il subnetting: attraverso una subnet mask si sfrutta una parte di host id per creare un subnet id in modo da suddividere e razionalizzare gli utenti in sottoreti. 3.2 User Datagram Protocol (UDP) UDP è il più semplice tra i protocolli di trasporto, ovvero di livello 4: 35

40 Capitolo 3 esso estende il servizio di consegna di messaggi tra host ad una comunicazione tra processi. La molteplicità dei processi attivi sugli host è rispettata e servita dal protocollo grazie ad una caratteristica di demultiplexing che permette la condivisione delle risorse di rete tra tutti i processi. Oltre a questa funzionalità, UDP non aggiunge nulla alle caratteristiche del livello di trasporto sottostante. L identificazione dei processi è effettuata tramite il concetto astratto di porta, un numero relativo ad una comunicazione tra processi. Esistono delle well-known ports per certi processi ben definiti (53 per Domain Name Server, 22 per SMTP, etc.) usate per l intero scambio di informazioni o come punto di partenza per poi spostarsi su altre porte decise dagli host lasciando le well-known ports libere per altri utenti. UDP non implementa alcun tipo di controllo di flusso né di inoltro affidabile o consegna ordinata: fornisce solo il demultiplexing dei messaggi con in più la possibilità di verificare la correttezza dei messaggi stessi attraverso un checksum. 3.3 Remote Authentication Dial In User Service (RADIUS) Introduzione Il protocollo RADIUS è uno standard de facto descritto in [12] per il 36

41 Rete, trasporto e accesso: IP, UDP e RADIUS trasporto delle informazioni di autenticazione, autorizzazione e configurazione tra un richiedente (che può essere un gateway della rete dove risiede l utente, in generale un Network Access Server - NAS) e un Authentication Server nel quale sono contenute le entry user id - password. Ovvero, in riferimento a quanto spiegato precedentemente, è lo standard de facto per il trasporto di EAP su reti IP. Nel prossimo futuro una volta sanciti i nuovi standard per l UMTS (Universal Mobile Telecommunication System) il RADIUS potrebbe essere soppiantato da un nuovo protocollo chiamato DIAMETER, attualmente ancora in fase di definizione e standardizzazione da parte dell IETF. Il NAS in questo protocollo è il client che inoltra la richiesta di autorizzazione e autenticazione di un utente: esso invia le informazioni dell utente al server o al proxy RADIUS designato e reagisce in base alle risposte ricevute. La sicurezza dell operazione sta nella condivisione di un segreto tra client e server che non circola mai sulla rete; inoltre lo scambio di user id e password sul RADIUS avviene sempre sotto cifratura. RADIUS usa UDP come protocollo di trasporto e la sua well-known port è la Formato dei messaggi Per quanto riguarda l autenticazione lo scambio di informazioni può avvenire con quattro tipi di messaggi diversi: Access-Request (code = 1), dal client al server; 37

42 Capitolo 3 Access-Challenge (code = 11), dal server al client, poi inoltrato all utente; Access-Accept (code = 2), dal server al client indicante il successo dell autenticazione; Access-Reject (code = 3, dal server al client indicante l autenticazione non riuscita CODE IDENTIFIER LENGTH AUTHENTICATOR ATTRIBUTES ~ ~ Figura 3.2 Formato messaggio RADIUS Altri possibili valori del campo code sono: 4 per Accounting- Request, 5 per Accounting-Response, 12 per Status Server, 13 per Status- Client e 255 riservato. Nel messaggio RADIUS (figura 3.2) il campo identifier di 8 bit è un contatore progressivo dello scambio dei messaggi. Il campo length di 16 bit specifica la lunghezza in bit dell intero messaggio inclusi gli attributi. Il campo authenticator è formato da 16 ottetti e contiene un valore utilizzato per autenticare la risposta fornita dal server RADIUS. Il campo attributes contiene i dettagli e le informazioni per l autenticazione e l autorizzazione dell utente nel formato Type Length Value; la fine degli attributi è determinata dal campo length del 38

43 Rete, trasporto e accesso: IP, UDP e RADIUS messaggio Procedura di autenticazione Quando il client ha ricevuto le informazioni dall utente richiedente l autorizzazione, esso crea per il server un messaggio di Access-Request che ha nel campo authenticator un numero casuale e negli attributi lo user id e la password dell utente. Il server alla ricezione del messaggio controlla se il client è valido (grazie al segreto condiviso), e in caso affermativo nel suo database se le informazioni ricevute combaciano con una delle sue entry. Qualora questo non accada, il server restituisce al client un messaggio di Access-Reject che può contenere un messaggio di testo relativo alla mancata autenticazione. NAS Server RADIUS Access-Request Access-Challenge Access-Request Access-Accept Figura 3.3 Diagramma spazio-temporale procedura di autenticazione RADIUS 39

44 Capitolo 3 Altrimenti il server può chiedere un ulteriore verifica rispondendo con un messaggio di Access-Challenge che il client inoltra all utente: il tentativo consiste nell inviare un numero casuale che l utente dovrà crittografare attraverso algoritmi salvati in propri particolari dispositivi (smart card, software, etc.) e mandare indietro al client per essere inserito negli attributi di un nuovo messaggio Access-Request. Se tutte le informazioni combaciano, il server può rispondere con un Access-Accept nel quale inserisce una lista di valori di configurazione per l utente per il tipo di servizio autorizzato. Il NAS riceve le informazioni per l autenticazione dall utente NAS Server Access- Request Server e utente condividono lo stesso segreto? Server NAS Access- Reject NO Autenticazione fallita Server NAS Access- Challenge SI Il NAS inoltra le informazioni di challenge e riceve risposta NAS Server Access- Request Server NAS Access- Reject La risposta è corretta? NO Server NAS Access- Accept SI Autenticazione ottenuta Figura 3.4 Diagramma di flusso procedura di autenticazione RADIUS 40

45 Capitolo 4 WLAN e operatori mobili: una possibile implementazione 4.1 Obiettivi Data la vastissima copertura di popolazione e territorio degli operatori di telefonia cellulare, è stata sviluppata una soluzione, descritta in [2], per fornire connettività IP-based sfruttando l infrastruttura GSM / GPRS per authentication, authorization e accounting (AAA). In questo modo non è necessaria alcuna registrazione presso intermediari da parte dell utente finale del servizio (ad esempio, il gestore dell access point); è l IMSI che identifica univocamente l utente ed è sufficiente, oltre all implementazione tecnologica, sancire accordi economici e di roaming tra i gestori, gli WISP e alcune finanziarie per avere un bacino d utenza potenziale pari a tutti i possessori di una SIM card.

46 Capitolo Struttura del sistema La soluzione che presenteremo di operatore mobile WLAN (OWLAN) prevede la gestione sia dell infrastruttura di roaming per il GSM sia di quella per l AAA via IP: i due mondi sono uniti dall Authentication Server (AS), che per la rete IP del gestore appare come un server AAA, mentre per il sistema GSM svolge funzioni di VLR segnalando attraverso la rete SS#7 (figura 4.1). Figura 4.1 Architettura per il roaming GSM in un operatore mobile WLAN Il mobile equipment (ME) implementa i protocolli di autenticazione dello standard IEEE 802.1x, mentre il metodo di autenticazione della SIM è implementato attraverso l EAP/SIM. In questo modo è possibile incapsulare i pacchetti EAP nell IEEE 802.1x attraverso trame EAPOL (vedi cap. 2). Lo stack è completato nella parte inferiore dai livelli data link e fisico schematizzati per brevità in L2/L1. 42

47 WLAN e operatori mobili: una possibile implementazione L idea di base è che siano il terminale mobile e il server di autenticazione a scambiarsi i messaggi EAP di autenticazione e gli apparati attraversati (access point ed eventualmente un access controller non rappresentato) li trasportino inalterati, come mostrato in figura 4.2. Figura 4.2 Stack protocollare di autenticazione L Access Point mappa i messaggi EAPOL sulla rete AAA attraverso il protocollo RADIUS. L Authentication Server deve implementare così sia il RADIUS sia ad un livello superiore l EAP/SIM per comunicare con il terminale mobile. Ma deve includere anche il protocollo Mobile Application Part (MAP) di trasporto per la rete radiomobile per essere in grado di ricevere le informazioni di autenticazione ed autorizzazione dall HLR (e dall Authentication Center collegato all HLR e non mostrato in figura). 43

48 Capitolo Funzionamento del sistema Abbiamo visto come nel sistema GSM l IMSI sia un identificativo univoco dell identità dell utente. Nell architettura d accesso WLAN in esame, dati gli obiettivi di connettività IP e Internet, il formato di identificazione utente è dato dal Network Access Identifier (NAI). Esso consiste di una parte formata dallo username seguita dal e dal nome del dominio. L IMSI è mappato nel NAI in questo modo: le cifre del IMSI, precedute da un 1, formano l username; dopo il le cifre del MNC precedute dalla stringa mnc; dopo un punto le cifre del MCC precedute dalla stringa mcc; dopo un punto il nome del dominio. Figura 4.3 Mappa dell IMSI nel Network Access Identifier La porzione del NAI contenente l MNC e l MCC consente ai server AAA di inoltrare la richiesta di autenticazione dell AP al corretto Authentication Server. La procedura di autenticazione è schematizzata in figura 4.4. L AP (passo 1) trasmette al terminale mobile un pacchetto di EAP-Request di tipo Identity, al fine di conoscere l identità del suo interlocutore. Il terminale 44

49 WLAN e operatori mobili: una possibile implementazione risponde con un EAP-Response/Identity (passo 2) che contiene un NAI, che viene poi instradato verso il corretto AS grazie alla parte relativa al dominio. L AS inizia la sequenza per l autenticazione della SIM inviando un pacchetto EAP-Request/SIM/Start (passo 3) indirizzato al terminale, il quale risponde con un EAP-Response/SIM/Start (passo 4) contenente un lungo numero casuale (nonce; questo non poteva essere fatto al primo EAP- Response perché il pacchetto Identity non può contenere altri dati oltre al NAI). Figura 4.4 Sequenza messaggi di autenticazione WLAN L AS ottiene dall HLR il profilo utente e le triplette GSM (un numero casuale RAND su 128 bit, la risposta SRES su 32 bit che dovrà combaciare con quella calcolata dal terminale in base all algoritmo della specifica SIM e una chiave lunga 64 bit Kc di cifratura) basate sull IMSI 45