Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Protocolli per reti mobili Hotspot 2.0: Wi-Fi semplice e sicuro Anno Accademico 2013/2014 Candidato: Federico Vibrati matr. N46/1895 INDICE Introduzione……………………………………………………………………………………………3 Capitolo 1: HOTSPOT 2.0…………………………………………………………………………………….6 1.1 Wi-fi Certified Passpoin….………………………………………………………………………........7 1.2 Vantaggi per il mondo aziendale…………………………………………………………………….8 Capitolo 2 : CRESCITA ESPONENZIALE DELLA RICHIESTA DI DATI………………10 2.1 Un passaggio globale ai dispositivi mobili…………………………………………………………11 2.2 L’impatto delle connessioni machine-to-machine…………………………………………….12 2.3 Il traffico Wi-fi offload supera il traffico cellulare……………………………………………..13 Capitolo 3: PROBLEMI DI UTILIZZO DEGLI HOTSPOT ODIERNI……………………14 Capitolo 4: MINACCE ALLA SICUREZZA DEGLI HOTSPOST OGGI…………………16 Capitolo 5: HOTSPOT 2.0 & 802.11u……………………………………………………………….18 5.1 Scoperta e selezione della rete…………………………………………………………………………19 5.2 Elementi aggiuntivi nelle frame probe response e beacon……………………………….20 5.3 Altri fattori relativi alla selezione dell’Hotspot………………………………………………….24 1 Capitolo 6 : PROTOCOLLI DI ADVERTISEMENT………………………………………………28 6.1 ANQP……………………………………………………………………………………………………………….28 6.2 GAS…………………………………………………………………………………………………………………..31 Capitolo 7 : SICUREZZA DEGLI HOTSPOT CON TECNOLOGIA HOTSPOST 2.0…………32 7.1 Tecniche di autenticazione……………………………………………………………………………….33 7.2 Scambio di messaggi sicuro………………………………………………………………………………35 CONCLUSIONI………………………………………………………………………………………..37 BIBLIOGRAFIA………………………………………………………………………………………..39 2 INTRODUZIONE Secondo la Wi-Fi Alliance, circa 200 milioni di famiglie utilizzano la rete Wi-Fi, ci sono circa 750.000 Hotspot Wi-Fi in tutto il mondo e ci sono circa 800 milioni di nuovi dispositivi Wi-Fi ogni anno. Fino a poco tempo fa gli operatori di rete mobile non consideravano il Wi-Fi come una valida estensione per le loro reti mobili, fino a quando con l'introduzione di dispositivi come gli smartphone la richiesta di traffico dati mobili è cresciuta esponenzialmente, per questo motivo operatori e aziende del settore sono alla ricerca di nuove soluzioni per poter offrire servizi sempre più soddisfacenti ai consumatori. La tecnologia che ha suscitato più interesse è Hotspot 2.0 sviluppata dalla Wi-Fi Alliance che porta novità importanti e sfrutta le caratteristiche principali introdotte con l'emendamento 802.11u. Lo scopo principale dell'Hotspost 2.0 è quello di rendere l'utilizzo della rete Wi-Fi semplice e sicuro come quello della rete cellulare. Parlerò delle caratteristiche generali dopo aver descritto le operazioni che un utente deve svolgere per connettersi ad una rete Wi-Fi che non supporta la tecnologia Hotspot 2.0; la procedura iniziale è quella di scanning con la quale è possibile visualizzare la lista delle reti a cui poter 3 accedere con il proprio dispositivo client, selezionarne una e inserire le credenziali di autenticazione. Ogni qual volta un utente voglia connettersi ad una rete Wi-Fi differente dovrà svolgere le medesime operazioni. La tecnologia Hotspot 2.0 automatizza l'intero processo, rendendo trasparente all'utente il passaggio che va dalla deassociazione ad un AP (Access Point) alla re-associazione ad un altro AP, come avviene nella rete cellulare, il tutto offrendo allo stesso tempo la massima sicurezza WPA2. Grazie a questa tecnologia, gli utenti sarebbero in grado di accedere in modo automatico e sicuro ad un Hotspot Wi-Fi disponibile, piuttosto che doverne cercare manualmente uno locale a cui poter accedere ed effettuare abbonamenti onerosi per avere una connessione cellulare. Per far si che questa nuova tecnologia si concretizzi sono necessari accordi tra gli enti che offrono servizi di rete Wi-Fi, solo così gli utenti non dovranno più utilizzare credenziali differenti per connettersi a differenti Hotspot ma pre-configureranno il proprio dispositivo con credenziali che saranno utilizzate dal connection manager per gestire l'associazione a diversi Hotspot. Nei seguenti capitoli andrò ad analizzare le motivazioni che hanno portato alla creazione della tecnologia Hotspot 2.0. Al giorno d’oggi si è verificato un aumento della richiesta della rete cellulare e alcuni studi hanno constatato che questo fenomeno con il passare del tempo tenderà ad aumentare. Gli Hotspot odierni presentano molte problematiche che riguardano la sicurezza e la fruibilità che portano l’utente alla scelta di alternative più semplici e sicure. Descriverò le specifiche tecniche di questa nuova tecnologia e in particolar modo, 4 come i processi di ricerca e selezione della rete siano stati resi del tutto automatizzati e come questa tecnologia renda una rete Wi-fi sicura alla pari della rete cellulare. 5 CAPITOLO 1 HOTSPOT 2.0 Nel 2010 CISCO, azienda specializzata nella fornitura di apparati di networking, e gli altri leader del settore sono entrati a far parte dell'Hotspot 2.0 Task Group all'interno della Wi-Fi Alliance. L'obiettivo principale è stato quello di creare un insieme di standard che avrebbero dovuto migliorare notevolmente l'esperienza utente, relativa all'utilizzo degli Hotspot Wi-Fi e allo stesso tempo supportare gli obiettivi dei Service Provider. Fare ciò significa rendere l'accesso alla rete tramite Hotspot Wi-Fi semplice e sicuro e fornire processi di connessione automatizzati. Per i Service Provider raggiungere questi obbiettivi significa aumentare le entrate economiche attraverso una soddisfazione maggiore del cliente, ottimizzando il processo di connessione, massimizzando l'utilizzo del Wi-Fi per i servizi dati ed aumentando le tariffe degli abbonamenti con l'attivazione di ulteriori servizi attraverso accordi di roaming. 6 1.1 Wi-fi certified Passpoint La Wi-Fi alliance ha lanciato nel giugno 2012 un programma di certificazione denominato “Wi-Fi Certified Passpoint” . Gli elementi principali di questa prima fase del programma di certificazione sono: - Ricerca e selezione della rete : operazioni di ricerca e selezione della rete sono effettuate da un dispositivo mobile in modo automatico, ed il connection manager del dispositivo seleziona una tra le reti disponibili sulla base di alcuni parametri; - Accesso alle reti Streamlined : i dispositivi mobili che effettuano l'accesso automaticamente ad una rete richiedente credenziali per l'autenticazione (ad esempio la SIM card) non necessitano di alcun intervento dell'utente; - Sicurezza : le trasmissioni OTA (Over-The-Air) saranno criptate utilizzando tecnologie di sicurezza di ultima generazione. Gli elementi chiave della seconda fase del programma Wi-Fi Certified Passpoint sono: - Immediate account provisioning : il processo di creazione di un nuovo account che dovrà essere utilizzato per l'associazione ad un AP è stato semplificato, sono stati eliminati molti passaggi ed è stato scelto un metodo unico per vari operatori; 7 - Fornire le politiche degli operatori per la selezione della rete : il connection manager utilizzerà queste regole per decidere a quale rete associarsi qualora ve ne sia più di una disponibile. 1.2 Vantaggi per il mondo aziendale Nelle pagine precedenti abbiamo potuto constatare quanto le novità introdotte con la tecnologia Hotspot 2.0 miglioreranno l'esperienza utente per quanto riguarda l'utilizzo delle reti Wi-Fi, ma questa tecnologia può portare vantaggi anche al mondo aziendale, cerchiamo di capire il perché. Le persone utilizzano il Wi-Fi prevalentemente all'interno di strutture tipicamente possedute da terzi che detengono anche le infrastrutture di rete, come per esempio le aziende. Un fenomeno che al giorno d'oggi si sta sviluppando un po' ovunque è l'utilizzo del Wi-Fi in luoghi pubblici, conseguente al boom dei dispositivi mobili come smartphone e tablet, che hanno la possibilità di connettersi ad una rete Wi-Fi. Queste location includono negozi, trasporti pubblici, hotel, scuole, ristoranti, ed è proprio in questi contesti che i service provider vogliono far connettere gli utenti automaticamente, sfruttando la rete Wi-Fi ad alta velocità della location in questione pur non essendo di loro proprietà o gestione. Hotspot 2.0 trasforma questo in realtà rendendo possibile la connessione a qualsiasi rete Wi-Fi interconnessa con il service provider centrale. É proprio in questo scenario che le aziende possono trarre vantaggio rivendendo la capacità WLAN ad una molteplicità di operatori. 8 In sostanza, portare nelle aziende la tecnologia Hotspot 2.0 assicura vantaggi in termini di introiti generati dalla rivendita della capacità Wi-Fi ai service provider, connessione automatizzata, sicurezza per accessi a Wi-Fi pubblici, SSID ridotti, visibilità degli utenti. Parimenti, esistono anche svantaggi: primo fra tutti l'incremento della richiesta di banda, la necessità di un maggiore livello di Wi-Fi, o ancora la stipula di accordi con i carrier e al tempo stesso un aumento dei requisiti. [1] 9 CAPITOLO 2 CRESCITA ESPONENZIALE DELLA RICHIESTA DI DATI MOBILI Entro il 2018, con circa 5 miliardi di utenti mobili e oltre 10 miliardi di dispositivi/connessioni mobile con velocità di rete sempre maggiori e dispositivi sempre più smart, il video mobile rappresenterà il 69% del traffico dati mobile. Milano, 13 febbraio 2014 – Secondo lo studio Cisco® Visual Networking Index™ Global Mobile Data Traffic Forecast for 2013 to 2018, il traffico dati mobile mondiale aumenterà di circa 11 volte nel corso dei prossimi quattro anni e raggiungerà un run rate annuale di 190 exabyte entro il 2018. L’aumento previsto nel traffico mobile è in parte dovuto alla crescita continua del numero di connessioni mobile Internet, come ad esempio quelle dai dispositivi personali e M2M (machine-to-machine), che supereranno i 10 miliardi entro il 2018 e saranno di 1,4 volte maggiori della popolazione mondiale (le Nazioni Unite stimano 7,6 miliardi di persone entro il 2018). 10 Il run rate annuale stimato dallo studio Cisco VNI Global Mobile Data Traffic Forecast pari a 190 exabyte di traffico di dati mobile per il 2018 equivale a: - 190 volte il traffico IP (Internet Protocol), fisso e mobile, generato nel 2000; - 42 trilioni di immagini (ad esempio MMS o Instagram) — 15 immagini al giorno per ciascuna persona sulla terra per un anno intero; - 4 trilioni di clip video (ad esempio YouTube) – oltre un clip video al giorno per ciascuna persona sulla terra per un anno intero. Il volume incrementale di traffico che si aggiunge al mobile Internet nel periodo 2017-2018 è pari a 5,1 exabyte al mese, ovvero oltre 3 volte la grandezza del mobile Internet globale nel 2013 (1,5 exabyte al mese).[2] 2.1 Un passaggio globale ai dispositivi mobili Globalmente, il 54% delle connessioni mobile saranno “smart” entro il 2018, rispetto al 21% nel 2013. I dispositivi e le connessioni smart hanno evoluto le funzionalità informatiche/multi-media ed hanno almeno connettività 3G. Entro il 2018, smartphone, computer portatili e tablet rappresenteranno il 94% del traffico dati mobile globale entro il 2018. Il traffico M2M rappresenterà il 5% del traffico dati mobile globale del 11 2018 mentre i cellulari rappresenteranno l’1% del traffico dati mobile globale entro il 2018. Gli altri dispositivi portatili rappresenteranno lo 0,1%. Il traffico cloud mobile crescerà di 12 volte dal 2013 l 2018, ad un tasso CAGR (compound annual growth rate) del 64%. 2.2 L’impatto delle connessioni machine-to-machine M2M si riferisce alle applicazioni che permettono ai sistemi wireless e wired di comunicare per supportare i sistemi GPS (global positioning satellite), di monitoraggio delle risorse, i contatori elettrici, di sicurezza e videosorveglianza. Un nuovo sotto-segmento, quello dei “dispositivi indossabili, si è aggiunto alla categoria di connessioni M2M per poter prevedere la traiettoria di crescita dell’Internet of Everything (IoE). I dispositivi mobile indossati dalle persone, come ad esempio gli orologi e gli occhiali intelligenti, i tracker medici e fitness, gli scanner indossabili che si connettono e comunicano tramite la rete sia direttamente che con la connessione integrata del cellulare o attraverso un altro dispositivo come uno smartphone via Wi-Fi e Bluetooth. Nel 2013, le connessioni M2M hanno rappresentato circa il 5% dei dispositivi mobile connessi in uso e hanno generato oltre l’1% del traffico dati mobile totale. 12 Entro il 2018, le connessioni M2M rappresenteranno circa il 20% dei dispositivi mobile connessi in uso e genereranno circa il 6% del traffico dati mobile totale. Globalmente, nel 2013, c’erano 21,7 milioni di dispositivi indossabili, mentre entro il 2018 saranno 176,9 milioni (un tasso CAGR del 52%). 2.3 Il traffico Wi-fi offload supera il traffico cellulare “Offload” si riferisce al traffico proveniente dai dispositivi dual mode che supportano la connessione cellulare e Wi-Fi (esclusi i computer portatili) su reti Wi-Fi e small cell. L’offloading avviene a livello utente o dispositivo quando si passa dalla connessione cellulare all’accesso Wi-Fi e small cell. Le previsioni dell’offload mobile incluse nello studio Cisco VNI Global Mobile Data Traffic Forecast (2013-2018) includono il traffico proveniente dagli hotspot pubblici e dalle reti Wi-Fi residenziali. Entro il 2018, la maggior parte del traffico dati generato da dispositivi mobili avverrà su Wi-Fi - “Offload” - (17,3 exabyte al mese); il restante rimarrà sulle reti mobile (15.9 exabyte per mese). Entro il 2018, l’offload del 52% del traffico mobile globale avverrà su reti Wi-Fi/small cell, up rispetto al 45% nel 2013 grazie anche all'arrivo della tecnologia Hotspost 2.0. 13 CAPITOLO 3 PROBLEMI DI UTILIZZO DEGLI HOTSPOT ODIERNI Processo di Login: negli hotspot odierni è utilizzata la tecnica Captive Portal, dopo la fase di associazione con un hotspot, l'utente deve avviare il browser web per immettere le credenziali ed autenticarsi. Nel caso in cui il browser web non sia la prima applicazione lanciata dopo la fase di associazione, i servizi offerti dall'hotspot non possono essere sfruttati. Questo è motivo di confusione per molti utenti, dato che il connection manager del dispositivo mobile indica una connessione attiva. Credenziali di durata limitata: il problema sorge quando un utente effettua l'autenticazione ad una rete Hotspot con credenziali a validità limitata (come accade ad esempio in un albergo). Quando il tempo finisce, l'accesso alla rete è improvvisamente perso, ma il connection manager continua ad indicare che il dispositivo è connesso. Selezione Hotspot: in molte località sono presenti più reti wi-fi a portata radio del dispositivo mobile. Nel caso in cui venga riconosciuto l'SSID (Service Set Identifier), ci si associa in genere a quella rete. Tuttavia, se non viene riconosciuto l'SSID, un utente deve effettuare un 14 lungo elenco di passaggi per ottenere l'accesso ad internet. Passaggi manuali che portano via molto tempo e che causano, di conseguenza, un consumo eccessivo di batteria. Hotspot gestiti dai partner di roaming: in situazioni in cui il dispositivo mobile deve accedere ad un hotspot gestito da un partner di roaming dell’home service provider, l'SSID sarà solitamente sconosciuto al dispositivo mobile. Ciò richiede un processo di login manuale che prevede l'intervento dell'utente; di conseguenza, i carriers perdono l’opportunità di influenzare la selezione della rete con le loro politiche di roaming. In questo modo vengono spesi gran parte dei soldi per il roaming verso operatori non graditi, il che riduce i livelli del servizio e accresce la frustrazione degli utenti. A causa di questi problemi di utilizzo nel corso degli anni , carriers, produttori di dispositivi e fornitori di software di terze parti hanno continuato a produrre soluzioni proprietarie per automatizzare il processo di login all’ hotspot . Oggi il mercato è fratturato con diverse soluzioni (non interoperabili) che presentano molti inconvenienti. E' il momento per l'industria hotspot di andare avanti . [3] 15 CAPITOLO 4 MINACCE ALLA SICUREZZA DEGLI HOTSPOT OGGI Molti degli attacchi riportati dalla stampa derivano dal fatto che gli hotspot di oggi impiegano associazioni aperte, che non offrono alcuna forma di sicurezza a livello di collegamento . Questo lascia gli utenti soggetti a diversi attacchi : Evil twin attack: un utente malintenzionato imposta un access point canaglia che avrà lo stesso SSID di un access point appartenente ad un fornitore di hotspot legittimo . Questo attacco può essere utilizzato per il furto di identità . Session hi-jacking: in questo attacco , un malintenzionato imita l’access point al quale l’utente è associato e provoca la de-associazione del suo dispositivo mobile dalla rete Wi-Fi . L'attaccante poi assume la sessione della vittima , con conseguente furto di servizio . Session side-jacking: in un attacco side-jacking , l'attaccante spia la comunicazione crittografica e intercetta i cookie di sessione della 16 vittima. L'attaccante può quindi accedere alle pagine private della vittima ( ad esempio, le pagine Facebook) . Intercettazioni: le comunicazioni Wi- Fi non crittografate possono essere intercettate da un utente malintenzionato. Questo rende soggette allo sfruttamento le informazioni personali come password, numeri di carte di credito , fotografie ed e-mail . Va notato che le reti private aziendali non soffrono di questi attacchi poiché utilizzano protocolli di sicurezza IEEE 802.11i e l'autenticazione EAP. Queste tecnologie sono già state sottoposte alla certificazione WPA2 -Enterprise della Wi-Fi Alliance . Se la tecnologia WPA2 potesse essere applicata alle reti di hotspot Wi-Fi , questi attacchi potrebbero essere mitigati nelle reti pubbliche. Uno degli ostacoli alla diffusione di WPA2 -Enterprise in hotspot è che le porte degli access point 802.1x bloccano tutte le comunicazioni prima della fase di autenticazione. Ciò vuol dire che l'uso di qualsiasi applicazione che sfrutta la connessione internet notificherà automaticamente il fallito tentativo. Un altro ostacolo alla diffusione di WPA2-Enterprise nell’ hotspot è la difficoltà nelle situazioni di roaming; tipicamente, se il gestore della connessione del dispositivo mobile non riconosce l'SSID della rete del partner di roaming , non potrà nemmeno effettuare un tentativo di associazione a quella rete. 17 CAPITOLO 5 HOTSPOT 2.0 & 802.11u Le nuove funzionalità apportate allo standard 802.11 tramite l'emendamento 802.11u nel febbraio del 2011 rappresentano la base su cui è stata sviluppata la tecnologia Hotspot 2.0. Una delle novità più importanti introdotta dall'emendamento 802.11u è la possibilità per un dispositivo mobile di ricevere informazioni aggiuntive relative alla rete (rispetto alla precedente versione dello standard 802.11) in fase di preassociazione; queste informazioni possono essere sfruttate dal connection manager del nostro dispositivo mobile per migliorare il processo di selezione automatica della rete. 18 Per far si che la tecnologia Hotspot 2.0 abbia successo tra gli utenti e le aziende, la Wi-Fi Alliance ha dovuto garantire un alto livello di sicurezza al pari della rete cellulare. Nessun utente acquisterebbe apparecchi mobili che prediligono la connessione alla rete Wi-Fi con scarsa sicurezza rispetto ad altri che garantiscono una rete cellulare sicura, per questo motivo il protocollo di sicurezza WPA2 sarà implementato in tutti gli Hotspot che supportano la tecnologia Hotspot 2.0. La presenza di WPA2 implica protocolli di autenticazione e l'utilizzo di algoritmi crittografici per uno scambio di informazioni sicuro. 5.1 Scoperta e selezione della rete Prima di giungere ai processi di autenticazione e di associazione, un dispositivo deve individuare gli AP disponibili con cui effettuare la connessione. A tale scopo è prevista una procedura di “scanning”[7], di cui esistono due diverse tipologie: attivo (prevede la ricezione di frame probe response) e quello passivo (prevede la ricezione di frame beacon). Sia che venga utilizzata la scansione passiva o quella attiva il dispositivo riceverà una frame che conterrà informazioni che riguardano le reti WiFi a cui può associarsi e sulla base di queste informazioni scegliere la più adatta. Questo processo di scanning che viene attuato sui dispositivi e che non utilizza la tecnologia Hotspot 2.0, è manuale e si basa sul riconoscimento dell'identificativo della rete (SSID). L'emendamento 802.11u non introduce modifiche rilevanti al processo di scoperta dei vari AP disponibili tuttavia, grazie ad una funzionalità 19 introdotta con questo emendamento, nel corso della procedura di scansione, il dispositivo avrà un maggior numero di informazioni presenti nelle frame beacon e probe response da analizzare e al tempo stesso da la possibilità di effettuare una query verso l'AP per ricevere ulteriori informazioni. Un cambiamento significativo introdotto dall'emendamento 802.11u è la possibilità di utilizzare un singolo SSID per pubblicizzare la connettività a più “home network”. Nel caso di un Hotspot pubblico, ad esempio, può notificare ai dispositivi mobili, tramite le frame probe response e beacon, la lista degli operatori con cui possiede accordi di roaming: nell'eventualità in cui la suddetta presenti il nominativo dell'operatore con cui l'utente possiede un abbonamento, quest'ultimo potrà avviare la connessione. [4] 5.2 Elementi aggiuntivi nelle frame probe response e beacon Come già detto in precedenza, i dispositivi ricevono informazioni importanti che riguardano la gestione della rete WLAN tramite frame beacon e probe response. In ogni frame beacon o probe response troviamo informazioni relative alle funzionalità dell'AP in un componente denominato “information element”. Uno dei cambiamenti principali introdotti dall'emendamento 802.11u è l'aggiunta di 20 informazioni in queste frame al fine di migliorare il processo di scoperta e selezione della rete. [5] Andiamo ad elencare gli elementi di maggior rilievo che sono stati aggiunti : Extended Capabilities element : Indica se un AP supporta le nuove funzionalità introdotte con l'emendamento 802.11u. I campi utilizzati per contenere informazioni riguardanti questo elemento erano già presenti nella versione precedente dello standard 802.11 anche se inutilizzati. Attualmente alcuni bit sono utilizzati per indicare alcune funzionalità riguardanti l'interworking ( i servizi di interworking consentono alle STA di accedere a servizi forniti da reti esterne con cui possiede accordi di sottoscrizione). L'Extended Capabilities element contiene diversi campi : - Interworking : se il bit è settato sta ad indicare che la STA (Station) o l'AP supportano le funzionalità di Interworking; - QoS Map : se il bit è settato indica il supporto al QoS Mapping (Quality of Service) da parte di una rete 802.11 alle reti esterne; - SSPN Interface : se il bit è settato indica che l'AP ha una “logical backend interface” per comunicare con i service provider esterni. 21 Interworking Element : In questo elemento troviamo informazioni che riguardano i servizi di interworking offerti. La presenza di questo elemento in una frame viene utilizzata in alcuni casi per capire se l'AP o una STA supporta le novità introdotte con l'emendamento 802.11u. Gli AP includono l'elemento di interworking nelle frame beacon e nelle probe response, mentre la STA include l'elemento nelle frame probe request e (re)association request. Inoltre, all'interno di questo elemento, vi sono informazioni importanti che riguardano la rete. Roaming Consortium Element : Il roaming consortium è un gruppo di service provider che hanno stretto accordi di roaming l'uno con l'altro. Un utente abbonato ad uno dei service provider appartenenti ad un determinato roaming consortium potrà utilizzare le proprie credenziali per connettersi in roaming a qualsiasi infrastruttura di rete di uno degli altri service provider del gruppo. Naturalmente il roaming consortium element indica ad un dispositivo mobile gli abbonati di quali service provider possono associarsi all'AP. 22 I Roaming Consortium sono identificati da un OI (Organization Identifier) che è assegnato dall'IEEE. Un OI spesso è lungo 24 bits, ma può essere anche 36 bits. Gli OI sono globalmente unici, identificano un produttore, un operatore o altre organizzazioni. La certificazione Wi-fi Passpoint richiede che i grandi operatori di rete – che offriranno credenziali di autenticazione ai loro abbonati – registrino e pubblicizzino un OI per le loro operazioni di rete, cosa non richiesta ai piccoli operatori. Durante la ricerca e la selezione della rete, il dispositivo riceverà questa lista di OI per poter controllare quali di essi possiedono politiche di roaming e connessione ricercate. Il Roaming Consortium Element può includere fino a 3 OI nella frame beacon, ma informerà il dispositivo se ci sono OI addizionali che possono essere richiesti da quest’ultimo attraverso una query ANQP. Advertisement Protocol Element : Ogni volta che lo standard 802.11 è stato modificato con l'introduzione di emendamenti, sono state aggiunte informazioni all'interno delle frame beacon e probe response. L'emendamento 802.11u non fa eccezione: l'aggiunta di informazioni relativa ai servizi di rete nelle 23 frame beacon e probe response è uno degli scopi principali affinché possa essere migliorato il processo di selezione della rete. Uno dei problemi riscontrati con l'aggiunta di informazioni è la crescita dimensionale delle suddette frame, tuttavia alcune o tutte le informazioni che riguardano le funzionalità di interworking saranno irrilevanti per alcuni dispositivi, soprattutto per quelli che non supportano l'emendamento 802.11u (dispositivi legacy). Per evitare di inviare frame beacon e probe response di grandi dimensioni anche quando non necessario, sarà divulgato solo un sottoinsieme di informazioni, mentre la restante parte sarà trasmessa alla STA solo su richiesta. L'Advertisement Protocol Element indica il protocollo di divulgazione delle informazioni utilizzato dalla STA per interrogare l'AP e ricevere informazioni aggiuntive. 5.3 Altri fattori relativi alla selezione dell’Hotspot Hotspot 2.0 offre molti parametri che possono avere una certa importanza nel processo di selezione della rete a cui connettersi.[6] Si possono individuare alcuni fattori di maggior rilievo: Nome e tipo di sede – può risultare utile la connessione ad un particolare hotspot che si trova in una determinata sede. Per esplicare il concetto prendiamo come esempio la rete di uno stadio sportivo che 24 può offrire specifici servizi: un fan ha la possibilità di usufruire di questi ultimi, assicurandosi che la sua connessione appartenga all'arena piuttosto che al bar o ad un qualsiasi altro locale nei paraggi. Hotspot 2.0 fornisce due campi nelle frame beacon, venue group e venue type codes, con valori presi dalla International Building Code. Questi ultimi sono generici codici pre-definiti come 'residenziale', 'educativo', 'biblioteca' o ' museo '. Al tempo stesso si può individuare un campo di testo per il 'venue name' in ANQP, in cui l'operatore hotspot può inserire una descrizione della sede. Indirizzamento IP – un hotspot può indicare il suo supporto ad indirizzi Ipv4 o Ipv6. Possibilità di connettersi ad Internet - generalmente un dispositivo mobile è alla ricerca di una connessione ad Internet. Dov'è che non si desidera una connessione? Forse in luoghi quali i musei dove sono presenti un 'walled garden' che offrono servizi specifici per i visitatori. Connessione incrociata Peer-to-Peer – questo riguarda la sicurezza. Un hotspot che permette di utilizzare il peer-to-peer da la possibilità agli utenti di poter accedere ad ulteriori dispositivi connessi allo stesso hotspot. Per questo motivo la tecnologia Hotspot 2.0 fa in modo che il traffico che va da utente ad utente debba essere prima controllato dalla funzione di firewall implementata nell'AP, al fine di ridurre i rischi e garantire una sicurezza maggiore. Capacità di connessione - protocolli di filtraggio – nello stesso modo in cui i router Wi-Fi aziendali o residenziali possono ridurre il traffico generato da alcuni protocolli che attraversa determinate porte, può 25 accadere che alcune reti Hotsport 2.0 possono subire delle restrizioni comunicate tramite il protocollo ANQP. Restrizioni relative ad un gruppo di indirizzi – Anche se la certificazione WPA-Enterprise è obbligatoria per le reti hotspot che utilizzano la tecnologia Hotspot 2.0, l'applicazione differisce non di poco rispetto a quella utilizza nelle reti WLAN aziendali e domestiche. Anche se ogni utente connesso ad un Hotspot sarà stato autenticato e garantito dal suo service provider, non devono necessariamente fidarsi l'uno dell'altro e consentire la condivisione di traffico. Un AP WPA cifra tutto il traffico dati, ma per supportare messaggi multicast ha bisogno di distribuire a sua volta una chiave multicast comune a tutti i client connessi alla stessa rete, in modo che ogni dispositivo sia in grado di leggere tutte le frame multicast. Per evitare attacchi dovuti a questa particolare situazione, alcune reti Hotspot con tecnologia Hotspot 2.0 disabilitano periodicamente il multicast anche se possibile farlo, specie nei luoghi in cui non è sempre vengono utilizzate frequentemente questo tipo di applicazioni. Classe di funzionamento – lista di canali di frequenza su cui opera l'Hotspot. Può essere utile quando, per esempio, un dispositivo mobile rileva un Hotspot nella banda dei 2,4 GHz, ma scopre che è dual-band e preferisce operare sulla banda dei 5 Ghz. Metriche WAN - il fattore limitante nella banda Internet è probabilmente il collegamento immediato dall'AP alla backhaul. ANQP 26 può fornire informazioni, tra cui la larghezze di banda downstream, upstream e il traffico corrente . Questo potrebbe essere utile per un dispositivo mobile che richiede una larghezza di banda minima (e grande) per una particolare applicazione, o potrebbe essere usato come tie-breaker tra due punti di accesso Hotspot equivalenti. HESSID – a volte un numero di Hotspot fornirà la copertura di sovrapposizione per una zona, per esempio in uno stadio sportivo o in un grande centro commerciale. Per questi luoghi, la tecnologia Hotspot 2.0 prevede un'etichetta per la zona in cui si trovano le reti Hotspot ed i dispositivi mobili avranno così un modo semplice per riconoscere quali punti di accesso offrono le stesse funzionalità. L'HESSID (Homogeneous Extended Service Set Identifier) deve essere un'etichetta univoca, quindi viene scelto uno dei BSSID (indirizzi MAC) dei punti di accesso nella zona. 27 CAPITOLO 6 PROTOCOLLI DI ADVERTISEMENT I protocolli di advertisement di cui parleremo in questo capitolo sono ANQP e GAS, vengono utilizzati per far sì che un dispositivo client che supporta le nuove funzionalità introdotte con l’emendamento 802.11u possa richiedere all’AP in fase di pre-associazione informazioni aggiuntive a quelle presenti all’interno delle frame beacon e probe response . 6.1 ANQP L' Access Network Query Protocol (ANQP) è un protocollo di divulgazione di informazioni grazie al quale è possibile trasmettere informazioni riguardante la rete che sono racchiuse all'interno degli elementi ANQP. Andiamo ad elencare quelli più rilevanti: - ANQP query list: all'interno di questo elemento troviamo la lista di elementi ANQP che la stazione mittente si aspetterà di trovare nel messaggio GAS Response; 28 - ANQP capability list: indentifica gli elementi ANQP che sono supportati dall'AP; - Venue name information: indica la sede in cui si trova la rete. Rappresenta un'informazione che può risultare utile al dispositivo nel processo di selezione della rete; - Emergency call number information: fornisce una lista di numeri di emergenza con le relative sedi; - Network authetication type information: informazioni relativi ai tipi di protocolli di autenticazione supportati; - Roaming Consortium list: fornisce le stesse informazioni che troviamo nell'elemento Roaming Consortium presente nelle frame beacon e probe response ma questa lista può contenere OI aggiuntivi; - IP Address Type Availability information; - NAI Realm list; - 3GPP Cellular Network information: questo campo include il Public Land Mobile Network (PLMN) ID, che comprende il Mobile Country Code (MCC) e il Mobile Network Code (MNC) di un operatore mobile; - AP Geospital Location: fornisce la longitudine, latitudine e altitudine della locazione in cui si trova l'AP; - AP Civic location; - AP Location public identifier URI; - Domain name list: include la lista di uno o più domini di operatori che gestiscono l'AP. Questa informazione è molto importante per la politica 29 utilizzata da Hotspost 2.0 per la selezione della rete, grazie a questo elemento un dispositivo può capire se si trova in una rete domestica o in una rete visitata. Ora andiamo ad elencare gli elementi ANQP che con l'introduzione dell'emendamento 802.11u non erano presenti ma che sono stati aggiunti dalla Wi-Fi Alliance per estendere le funzionalità di Hotspot 2.0: - Hotspost 2.0 query list: lista degli elementi ANQP Hotspost 2.0 richiesti dal client; - Hotspost 2.0 capability list; - Operator Friendly Name element: un campo con testo aperto utilizzato per identificare un Hotspot di un operatore locale. Il campo può essere ripetuto più volte anche in lingue differenti; - WAN metrics element : fornisce dettagli che riguardano la rete WAN; - Link Status (Up/Down/Test); - Symmetric Link (yes/no); - At Capacity(yes/no) ; - Downlink Speed; - UpLink Speed; - Downlink Load; - Uplink Load. 30 6.2 GAS The Generic Advertisement Service è un protocollo che trasporta servizi di divulgazione delle informazione come ANQP. Quando un dispositivo deve interrogare un AP per ricevere informazioni aggiuntive a quelle presenti nelle frame beacon o probe response invierà un messaggio GAS Request che includerà al suo interno specifici elementi ANQP (a seconda delle informazioni di cui ha bisogno) e l'AP risponderà con un messaggio GAS Response contenente al suo interno gli elementi ANQP richiesti dal client, oppure reinoltrerà la query ad un advertisement server nel caso in cui non riesca a soddisfare le richieste del client con le informazioni in suo possesso. Uno dei motivi per cui viene utilizzato il protocollo GAS è che prima dell'associazione il dispositivo mobile non ha ancora ottenuto un indirizzo IP. 31 CAPITOLO 7 SICUREZZA DEGLI HOTSPOST CON LA TECNOLOGIA HOTSPOT 2.0 Per far si che la tecnologia Hotspot 2.0 abbia successo tra gli utenti e le aziende, la Wi-Fi Alliance ha dovuto garantire un alto livello di sicurezza al pari della rete cellulare. Nessun utente acquisterebbe apparecchi mobili che prediligono la connessione a rete Wi-Fi con scarsa sicurezza rispetto ad altri che garantiscono una rete cellulare sicura, per questo motivo il protocollo di sicurezza WPA2 sarà implementato in tutti gli Hotspot che supportano la tecnologia Hotspot 2.0. La presenza di WPA2 implica protocolli di autenticazione e l'utilizzo di algoritmi crittografici per uno scambio di informazioni sicuro. [8] 7.1 Tecniche di autenticazione L'autenticazione basata su captive portal tipica degli Hotspot odierni non è supportata da Hotspot 2.0 che predilige il protocollo 802.1x. I metodi EAP supportati da Hotspot 2.0 sono: EAP-SIM nel caso in cui il dispositivo mobile possieda una Subscriber Identity Module (SIM); 32 EAP-AKA ( Authentication and Key Agreement) nel caso in cui un dispositivo mobile abbia una UMTS Subscriber Identity Module (USIM); EAP-TLS(Transport Layer Security) deve essere supportato da tutti i dispositivi mobili ed utilizza il certificato digitale X.509; EAP-TTLS(Tunneled Transport Layer Security)/MSCHAPv2 deve essere supportato da tutti i dispositivi mobili e vengono utilizzate come credenziali username e password. EAP-SIM e EAP-AKA sono utilizzate per le autenticazioni di dispositivi che possiedono un modulo SIM. EAP-TLS e EAP-TTLS: sono tipi più comuni di EAP, e sono stati scelti per ampliare le opzioni di credenziali client, in particolare per dispositivi come i tablet che posseggono una connessione wi-fi ma non un modulo SIM. EAP-TLS supporta i certificati sia per autenticazioni client che autenticazioni server mentre EAP-TTLS/MSCHAPv2 supporta, per quanto riguarda i client, la coppia di credenziali username/password mentre per i server un certificato. Utilizzando una variante di EAP, il cliente invia una richiesta di autenticazione all'AP, che viene poi trasmessa al corrispondete server di autenticazione per il controllo di validità delle credenziali. Se la validità è confermata, l'AP registra il dispositivo nella tabella utente e concede l'accesso all'Hotspot locale. Tuttavia 802.11u e Hotspot 2.0 forniscono meccanismi necessari ma non sufficienti per far si che tutti i problemi di sicurezza che affliggono 33 gli Hotspot siano risolti. Per esempio, nel caso in cui un utente ha delle credenziali valide impostate sul suo smartphone e cerca di autenticarsi con l'AP di una rete Hotspot, quest'ultimo per controllare che le credenziali siano valide dovrà avere accesso ai servizi di autenticazione del service provider a cui l'utente è abbonato. Gli AP della rete Hotspot potrebbero essere integrati direttamente con i server di autenticazione del service provider; naturalmente non tutti gli Hotspot saranno in grado di fare ciò, per questo motivo e per facilitare il processo, avremo degli aggregatori di roaming che saranno utilizzati come HUB. Nel modello roaming Hub, società di terze parti forniranno un servizio di intermediazione per l'autenticazione. La società di intermediazione stipula accordi con i fornitori di credenziali e si integra con i loro sistemi. Successivamente l'operatore di rete integra il servizio di autenticazione della compagnia intermediaria, guadagnando così l'accesso ai server o database che contengono le credenziali attraverso l'HUB di intermediazione. 34 7.2 Scambi di messaggi sicuro Per far si che lo scambio di messaggi tra l'AP ed i dispositivi client avvenga in modo sicuro, la tecnica Hotspot 2.0 utilizza un algoritmo crittografico noto come AES (advanced encryption standard) per cifrare i messaggi. La chiave utilizzata deve essere univoca e nel caso in cui più dispositivi client comunicano con lo stesso AP devono utilizzare chiavi diverse. Questo garantisce un grado di sicurezza accettabile. La differenza sostanziale che vi è tra Hotspot pubblici e quelli presenti all'interno di aziende o zone private, è la varietà di utenti che si connettono ad esso e non hanno nessun motivo di fidarsi l'uno dell'altro. La tecnologia Hotspot 2.0 prevede che, quando il tipo di rete è pubblica, gli utenti siano protetti l'uno dall'altro, per esempio nel caso in cui un dispositivo cerca di comunicare con un altro dispositivo connesso allo stesso Hotspot prima che il messaggio arrivi a destinazione deve essere controllato da una funzione di firewall integrata nell'AP. Hotspot 2.0 richiede anche l'implementazione di un proxy ARP sull'AP per prevenire attacchi di ARP spoofing. Similmente, mandare messaggi in boradcast o multicast richiede una chiave che deve essere condivisa da tutti i dispositivi connessi allo stesso Hotspot e può essere disabilitata dall'Hotspot passpoint in qualsiasi momento. Passpoint proibisce operazioni P2P, DLS e metodi DLS di comunicazione P2P con l'Hotspot. Bisogna fare in modo che un utente possa rendersi conto se è connesso ad una rete Hotspot che utilizza la tecnologia Hotspot 2.0 e quindi se sta utilizzando una connessione sicura o meno, ad esempio potrebbero essere introdotti specifici indicatori 35 sull'interfaccia del proprio dispositivo in modo tale che l'utente possa navigare in piena libertà e sicurezza. 36 CONCLUSIONI L’impatto della tecnologia Hotspot 2.0 sarà enorme, è considerata dagli operatori mobili la miglior alternativa alla rete cellulare che negli ultimi anni ha avuto una crescita esponenziale di richieste con conseguente sovraccarico della rete. Ormai questa tecnologia è stata anche ampiamente distribuita nei locali pubblici come alberghi, aeroporti, centri congressi, stadi e ospedali. Con Hotspot 2.0 sarà possibile collegare insieme questo gran numero di Wi-fi AP che andranno a formare una grande rete grazie agli accordi di roaming stipulati tra i vari service provider. Gli utenti saranno in grado di transitare da una rete Wi-fi all’altra senza problemi in qualsiasi posizione, non avranno più bisogno di conoscere l’SSID preciso della rete e di effettuare procedure di autenticazione. Al contrario avranno sempre una esperienza di navigazione ottimale. I benefici che possono essere ottenuti da questa tecnologia dipendono da due fattori fondamentali: da una parte abbiamo la crescita del numero di dispositivi che supportano l’emendamento 802.11u, che siano STA o AP. Dall’altra abbiamo il successo che l’Hotspot 2.0 avrà nel mercato consumer, in modo che questa tecnologia possa essere distribuita su larga scala ed il business model possa essere attuato in modo efficace. 37 Hotspot 2.0 è destinata ad emergere in modo davvero importante nel prossimo futuro trasformando radicalmente l’industria wireless. 38 BIBLIOGRAFIA [1]Hotspot 2.0 nelle aziende: la grande trasformazione di business http://www.01net.it/hotspot-2-0-nelle-aziende-la-grande-trasformazione-dibusiness/0,1254,1_ART_153416,00.html [2] Secondo lo studio Cisco Visual Networking Index il traffico di dati mobile globale crescerà di 11 volte dal 2013 al 2018 http://www.cisco.com/web/IT/press/cs14/20140213.html [3] The Future of Hotspots: Making Wi-Fi as Secure and Easy to Use as Cellular http://www.cisco.com/c/en/us/solutions/collateral/service-provider/serviceprovider-wi-fi/white_paper_c11-649337.pdf [4] How Interworking Works: A Detailed Look at 802.11u and Hotspot 2.0 Mechanisms http://a030f85c1e25003d7609b98377aee968aad08453374eb1df3398.r40.cf2.rackcdn.com/wp/wp-howinterworking-works.pdf [5] IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks— Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Amendment 9: Interworking with External Networks [6] Wi-Fi Certified Passpoint Architecture for Public Access http://www.arubanetworks.com/pdf/technology/whitepapers/WP_Passpoint_WiFi.pdf 39 [7] Avallone S. “Protocolli per reti mobili” 2014 [8] Hotspot 2.0 MAKING WI-FI AS EASY TO USE AND SECURE AS CELLULAR http://a030f85c1e25003d7609b98377aee968aad08453374eb1df3398.r40.cf2.rackcdn.com/wp/wp-hotspot-2.0.pdf 40
© Copyright 2024 ExpyDoc