Hotspot 2.0: Wi-Fi semplice e sicuro

Scuola Politecnica e delle Scienze di Base
Corso di Laurea in Ingegneria Informatica
Elaborato finale in Protocolli per reti mobili
Hotspot 2.0: Wi-Fi semplice e sicuro
Anno Accademico 2013/2014
Candidato:
Federico Vibrati
matr. N46/1895
INDICE
Introduzione……………………………………………………………………………………………3
Capitolo 1: HOTSPOT 2.0…………………………………………………………………………………….6
1.1 Wi-fi Certified Passpoin….………………………………………………………………………........7
1.2 Vantaggi per il mondo aziendale…………………………………………………………………….8
Capitolo 2 : CRESCITA ESPONENZIALE DELLA RICHIESTA DI DATI………………10
2.1 Un passaggio globale ai dispositivi mobili…………………………………………………………11
2.2 L’impatto delle connessioni machine-to-machine…………………………………………….12
2.3 Il traffico Wi-fi offload supera il traffico cellulare……………………………………………..13
Capitolo 3: PROBLEMI DI UTILIZZO DEGLI HOTSPOT ODIERNI……………………14
Capitolo 4: MINACCE ALLA SICUREZZA DEGLI HOTSPOST OGGI…………………16
Capitolo 5: HOTSPOT 2.0 & 802.11u……………………………………………………………….18
5.1 Scoperta e selezione della rete…………………………………………………………………………19
5.2 Elementi aggiuntivi nelle frame probe response e beacon……………………………….20
5.3 Altri fattori relativi alla selezione dell’Hotspot………………………………………………….24
1
Capitolo 6 : PROTOCOLLI DI ADVERTISEMENT………………………………………………28
6.1 ANQP……………………………………………………………………………………………………………….28
6.2 GAS…………………………………………………………………………………………………………………..31
Capitolo 7 : SICUREZZA DEGLI HOTSPOT CON TECNOLOGIA HOTSPOST 2.0…………32
7.1 Tecniche di autenticazione……………………………………………………………………………….33
7.2 Scambio di messaggi sicuro………………………………………………………………………………35
CONCLUSIONI………………………………………………………………………………………..37
BIBLIOGRAFIA………………………………………………………………………………………..39
2
INTRODUZIONE
Secondo la Wi-Fi Alliance, circa 200 milioni di famiglie utilizzano la rete
Wi-Fi, ci sono circa 750.000 Hotspot Wi-Fi in tutto il mondo e ci sono
circa 800 milioni di nuovi dispositivi Wi-Fi ogni anno. Fino a poco tempo
fa gli operatori di rete mobile non consideravano il Wi-Fi come una
valida estensione per le loro reti mobili, fino a quando con
l'introduzione di dispositivi come gli smartphone la richiesta di traffico
dati mobili è cresciuta esponenzialmente, per questo motivo operatori
e aziende del settore sono alla ricerca di nuove soluzioni per poter
offrire servizi sempre più soddisfacenti ai consumatori. La tecnologia
che ha suscitato più interesse è Hotspot 2.0 sviluppata dalla Wi-Fi
Alliance che porta novità importanti e sfrutta le caratteristiche principali
introdotte
con
l'emendamento
802.11u.
Lo
scopo
principale
dell'Hotspost 2.0 è quello di rendere l'utilizzo della rete Wi-Fi semplice e
sicuro come quello della rete cellulare.
Parlerò delle caratteristiche generali dopo aver descritto le operazioni
che un utente deve svolgere per connettersi ad una rete Wi-Fi che non
supporta la tecnologia Hotspot 2.0; la procedura iniziale è quella di
scanning con la quale è possibile visualizzare la lista delle reti a cui poter
3
accedere con il proprio dispositivo client, selezionarne una e inserire le
credenziali di autenticazione. Ogni qual volta un utente voglia
connettersi ad una rete Wi-Fi differente dovrà svolgere le medesime
operazioni. La tecnologia Hotspot 2.0 automatizza l'intero processo,
rendendo trasparente all'utente il passaggio che va dalla deassociazione ad un AP (Access Point) alla re-associazione ad un altro AP,
come avviene nella rete cellulare, il tutto offrendo allo stesso tempo la
massima sicurezza WPA2.
Grazie a questa tecnologia, gli utenti sarebbero in grado di accedere in
modo automatico e sicuro ad un Hotspot Wi-Fi disponibile, piuttosto
che doverne cercare manualmente uno locale a cui poter accedere ed
effettuare abbonamenti onerosi per avere una connessione cellulare.
Per far si che questa nuova tecnologia si concretizzi sono necessari
accordi tra gli enti che offrono servizi di rete Wi-Fi, solo così gli utenti
non dovranno più utilizzare credenziali differenti per connettersi a
differenti Hotspot ma pre-configureranno il proprio dispositivo con
credenziali che saranno utilizzate dal connection manager per gestire
l'associazione a diversi Hotspot.
Nei seguenti capitoli andrò ad analizzare le motivazioni che hanno
portato alla creazione della tecnologia Hotspot 2.0. Al giorno d’oggi si è
verificato un aumento della richiesta della rete cellulare e alcuni studi
hanno constatato che questo fenomeno con il passare del tempo
tenderà ad aumentare. Gli Hotspot odierni presentano molte
problematiche che riguardano la sicurezza e la fruibilità che portano
l’utente alla scelta di alternative più semplici e sicure. Descriverò le
specifiche tecniche di questa nuova tecnologia e in particolar modo,
4
come i processi di ricerca e selezione della rete siano stati resi del tutto
automatizzati e come questa tecnologia renda una rete Wi-fi sicura alla
pari della rete cellulare.
5
CAPITOLO 1
HOTSPOT 2.0
Nel 2010 CISCO, azienda specializzata nella fornitura di apparati di
networking, e gli altri leader del settore sono entrati a far parte
dell'Hotspot 2.0 Task Group all'interno della Wi-Fi Alliance. L'obiettivo
principale è stato quello di creare un insieme di standard che avrebbero
dovuto migliorare notevolmente l'esperienza utente, relativa all'utilizzo
degli Hotspot Wi-Fi e allo stesso tempo supportare gli obiettivi dei
Service Provider. Fare ciò significa rendere l'accesso alla rete tramite
Hotspot Wi-Fi semplice e sicuro e fornire processi di connessione
automatizzati. Per i Service Provider raggiungere questi obbiettivi
significa aumentare le entrate economiche attraverso una soddisfazione
maggiore del cliente, ottimizzando il processo di connessione,
massimizzando l'utilizzo del Wi-Fi per i servizi dati ed aumentando le
tariffe degli abbonamenti con l'attivazione di ulteriori servizi attraverso
accordi di roaming.
6
1.1 Wi-fi certified Passpoint
La Wi-Fi alliance ha lanciato nel giugno 2012 un programma di
certificazione denominato “Wi-Fi Certified Passpoint” . Gli elementi
principali di questa prima fase del programma di certificazione sono:
- Ricerca e selezione della rete : operazioni di ricerca e selezione della
rete sono effettuate da un dispositivo mobile in modo automatico, ed il
connection manager del dispositivo seleziona una tra le reti disponibili
sulla base di alcuni parametri;
- Accesso alle reti Streamlined : i dispositivi mobili che effettuano
l'accesso automaticamente ad una rete richiedente credenziali per
l'autenticazione (ad esempio la SIM card) non necessitano di alcun
intervento dell'utente;
- Sicurezza : le trasmissioni OTA (Over-The-Air) saranno criptate
utilizzando tecnologie di sicurezza di ultima generazione.
Gli elementi chiave della seconda fase del programma Wi-Fi Certified
Passpoint sono:
- Immediate account provisioning : il processo di creazione di un nuovo
account che dovrà essere utilizzato per l'associazione ad un AP è stato
semplificato, sono stati eliminati molti passaggi ed è stato scelto un
metodo unico per vari operatori;
7
- Fornire le politiche degli operatori per la selezione della rete : il
connection manager utilizzerà queste regole per decidere a quale rete
associarsi qualora ve ne sia più di una disponibile.
1.2 Vantaggi per il mondo aziendale
Nelle pagine precedenti abbiamo potuto constatare quanto le novità
introdotte con la tecnologia Hotspot 2.0 miglioreranno l'esperienza
utente per quanto riguarda l'utilizzo delle reti Wi-Fi, ma questa
tecnologia può portare vantaggi anche al mondo aziendale, cerchiamo
di capire il perché.
Le persone utilizzano il Wi-Fi prevalentemente all'interno di strutture
tipicamente possedute da terzi che detengono anche le infrastrutture di
rete, come per esempio le aziende. Un fenomeno che al giorno d'oggi si
sta sviluppando un po' ovunque è l'utilizzo del Wi-Fi in luoghi pubblici,
conseguente al boom dei dispositivi mobili come smartphone e tablet,
che hanno la possibilità di connettersi ad una rete Wi-Fi. Queste
location includono negozi, trasporti pubblici, hotel, scuole, ristoranti, ed
è proprio in questi contesti che i service provider vogliono far
connettere gli utenti automaticamente, sfruttando la rete Wi-Fi ad alta
velocità della location in questione pur non essendo di loro proprietà o
gestione. Hotspot 2.0 trasforma questo in realtà rendendo possibile la
connessione a qualsiasi rete Wi-Fi interconnessa con il service provider
centrale.
É proprio in questo scenario che le aziende possono trarre vantaggio
rivendendo la capacità WLAN ad una molteplicità di operatori.
8
In sostanza, portare nelle aziende la tecnologia Hotspot 2.0 assicura
vantaggi in termini di introiti generati dalla rivendita della capacità Wi-Fi
ai service provider, connessione automatizzata, sicurezza per accessi a
Wi-Fi pubblici, SSID ridotti, visibilità degli utenti. Parimenti, esistono
anche svantaggi: primo fra tutti l'incremento della richiesta di banda, la
necessità di un maggiore livello di Wi-Fi, o ancora la stipula di accordi
con i carrier e al tempo stesso un aumento dei requisiti. [1]
9
CAPITOLO 2
CRESCITA ESPONENZIALE DELLA RICHIESTA DI DATI MOBILI
Entro il 2018, con circa 5 miliardi di utenti mobili e oltre 10 miliardi di
dispositivi/connessioni mobile con velocità di rete sempre maggiori e
dispositivi sempre più smart, il video mobile rappresenterà il 69% del
traffico dati mobile.
Milano, 13 febbraio 2014 – Secondo lo studio Cisco® Visual Networking
Index™ Global Mobile Data Traffic Forecast for 2013 to 2018, il traffico
dati mobile mondiale aumenterà di circa 11 volte nel corso dei prossimi
quattro anni e raggiungerà un run rate annuale di 190 exabyte entro il
2018. L’aumento previsto nel traffico mobile è in parte dovuto alla
crescita continua del numero di connessioni mobile Internet, come ad
esempio quelle dai dispositivi personali e M2M (machine-to-machine),
che supereranno i 10 miliardi entro il 2018 e saranno di 1,4 volte
maggiori della popolazione mondiale (le Nazioni Unite stimano 7,6
miliardi di persone entro il 2018).
10
Il run rate annuale stimato dallo studio Cisco VNI Global Mobile Data
Traffic Forecast pari a 190 exabyte di traffico di dati mobile per il 2018
equivale a:
- 190 volte il traffico IP (Internet Protocol), fisso e mobile, generato nel
2000;
- 42 trilioni di immagini (ad esempio MMS o Instagram) — 15 immagini
al giorno per ciascuna persona sulla terra per un anno intero;
- 4 trilioni di clip video (ad esempio YouTube) – oltre un clip video al
giorno per ciascuna persona sulla terra per un anno intero.
Il volume incrementale di traffico che si aggiunge al mobile Internet nel
periodo 2017-2018 è pari a 5,1 exabyte al mese, ovvero oltre 3 volte la
grandezza del mobile Internet globale nel 2013 (1,5 exabyte al mese).[2]
2.1 Un passaggio globale ai dispositivi mobili
Globalmente, il 54% delle connessioni mobile saranno “smart” entro il
2018, rispetto al 21% nel 2013. I dispositivi e le connessioni smart
hanno evoluto le funzionalità informatiche/multi-media ed hanno
almeno connettività 3G.
Entro
il
2018,
smartphone,
computer
portatili
e
tablet
rappresenteranno il 94% del traffico dati mobile globale entro il 2018. Il
traffico M2M rappresenterà il 5% del traffico dati mobile globale del
11
2018 mentre i cellulari rappresenteranno l’1% del traffico dati mobile
globale entro il 2018. Gli altri dispositivi portatili rappresenteranno lo
0,1%.
Il traffico cloud mobile crescerà di 12 volte dal 2013 l 2018, ad un tasso
CAGR (compound annual growth rate) del 64%.
2.2 L’impatto delle connessioni machine-to-machine
M2M si riferisce alle applicazioni che permettono ai sistemi wireless e
wired di comunicare per supportare i sistemi GPS (global positioning
satellite), di monitoraggio delle risorse, i contatori elettrici, di sicurezza
e videosorveglianza. Un nuovo sotto-segmento, quello dei “dispositivi
indossabili, si è aggiunto alla categoria di connessioni M2M per poter
prevedere la traiettoria di crescita dell’Internet of Everything (IoE). I
dispositivi mobile indossati dalle persone, come ad esempio gli orologi e
gli occhiali intelligenti, i tracker medici e fitness, gli scanner indossabili
che si connettono e comunicano tramite la rete sia direttamente che
con la connessione integrata del cellulare o attraverso un altro
dispositivo come uno smartphone via Wi-Fi e Bluetooth.
Nel 2013, le connessioni M2M hanno rappresentato circa il 5% dei
dispositivi mobile connessi in uso e hanno generato oltre l’1% del
traffico dati mobile totale.
12
Entro il 2018, le connessioni M2M rappresenteranno circa il 20% dei
dispositivi mobile connessi in uso e genereranno circa il 6% del traffico
dati mobile totale.
Globalmente, nel 2013, c’erano 21,7 milioni di dispositivi indossabili,
mentre entro il 2018 saranno 176,9 milioni (un tasso CAGR del 52%).
2.3 Il traffico Wi-fi offload supera il traffico cellulare
“Offload” si riferisce al traffico proveniente dai dispositivi dual mode
che supportano la connessione cellulare e Wi-Fi (esclusi i computer
portatili) su reti Wi-Fi e small cell. L’offloading avviene a livello utente o
dispositivo quando si passa dalla connessione cellulare all’accesso Wi-Fi
e small cell. Le previsioni dell’offload mobile incluse nello studio Cisco
VNI Global Mobile Data Traffic Forecast (2013-2018) includono il traffico
proveniente dagli hotspot pubblici e dalle reti Wi-Fi residenziali.
Entro il 2018, la maggior parte del traffico dati generato da dispositivi
mobili avverrà su Wi-Fi - “Offload” - (17,3 exabyte al mese); il restante
rimarrà sulle reti mobile (15.9 exabyte per mese).
Entro il 2018, l’offload del 52% del traffico mobile globale avverrà su
reti Wi-Fi/small cell, up rispetto al 45% nel 2013 grazie anche all'arrivo
della tecnologia Hotspost 2.0.
13
CAPITOLO 3
PROBLEMI DI UTILIZZO DEGLI HOTSPOT ODIERNI
Processo di Login: negli hotspot odierni è utilizzata la tecnica Captive
Portal, dopo la fase di associazione con un hotspot, l'utente deve
avviare il browser web per immettere le credenziali ed autenticarsi. Nel
caso in cui il browser web non sia la prima applicazione lanciata dopo la
fase di associazione, i servizi offerti dall'hotspot non possono essere
sfruttati. Questo è motivo di confusione per molti utenti, dato che il
connection manager del dispositivo mobile indica una connessione
attiva.
Credenziali di durata limitata: il problema sorge quando un utente
effettua l'autenticazione ad una rete Hotspot con credenziali a validità
limitata (come accade ad esempio in un albergo). Quando il tempo
finisce, l'accesso alla rete è improvvisamente perso, ma il connection
manager continua ad indicare che il dispositivo è connesso.
Selezione Hotspot: in molte località sono presenti più reti wi-fi a
portata radio del dispositivo mobile. Nel caso in cui venga riconosciuto
l'SSID (Service Set Identifier), ci si associa in genere a quella rete.
Tuttavia, se non viene riconosciuto l'SSID, un utente deve effettuare un
14
lungo elenco di passaggi per ottenere l'accesso ad internet. Passaggi
manuali che portano via molto tempo e che causano, di conseguenza,
un consumo eccessivo di batteria.
Hotspot gestiti dai partner di roaming: in situazioni in cui il dispositivo
mobile deve accedere ad un hotspot gestito da un partner di roaming
dell’home service provider, l'SSID sarà solitamente sconosciuto al
dispositivo mobile. Ciò richiede un processo di login manuale che
prevede l'intervento dell'utente; di conseguenza, i carriers perdono
l’opportunità di influenzare la selezione della rete con le loro politiche
di roaming. In questo modo vengono spesi gran parte dei soldi per il
roaming verso operatori non graditi, il che riduce i livelli del servizio e
accresce la frustrazione degli utenti.
A causa di questi problemi di utilizzo nel corso degli anni , carriers,
produttori di dispositivi e fornitori di software di terze parti hanno
continuato a produrre soluzioni proprietarie per automatizzare il
processo di login all’ hotspot . Oggi il mercato è fratturato con diverse
soluzioni (non interoperabili) che presentano molti inconvenienti. E' il
momento per l'industria hotspot di andare avanti . [3]
15
CAPITOLO 4
MINACCE ALLA SICUREZZA DEGLI HOTSPOT OGGI
Molti degli attacchi riportati dalla stampa derivano dal fatto che gli
hotspot di oggi impiegano associazioni aperte, che non offrono alcuna
forma di sicurezza a livello di collegamento . Questo lascia gli utenti
soggetti a diversi attacchi :
Evil twin attack: un utente malintenzionato imposta un access point
canaglia che avrà lo stesso SSID di un access point appartenente ad un
fornitore di hotspot legittimo . Questo attacco può essere utilizzato per
il furto di identità .
Session hi-jacking: in questo attacco , un malintenzionato imita l’access
point al quale l’utente è associato e provoca la de-associazione del suo
dispositivo mobile dalla rete Wi-Fi . L'attaccante poi assume la sessione
della vittima , con conseguente furto di servizio .
Session side-jacking: in un attacco side-jacking , l'attaccante spia la
comunicazione crittografica e intercetta i cookie di sessione della
16
vittima. L'attaccante può quindi accedere alle pagine private della
vittima ( ad esempio, le pagine Facebook) .
Intercettazioni: le comunicazioni Wi- Fi non crittografate
possono
essere intercettate da un utente malintenzionato. Questo rende
soggette allo sfruttamento le informazioni personali come password,
numeri di carte di credito , fotografie ed e-mail .
Va notato che le reti private aziendali non soffrono di questi attacchi
poiché utilizzano protocolli di sicurezza IEEE 802.11i e l'autenticazione
EAP. Queste tecnologie sono già state sottoposte alla certificazione
WPA2 -Enterprise della Wi-Fi Alliance . Se la tecnologia WPA2 potesse
essere applicata alle reti di hotspot Wi-Fi , questi attacchi potrebbero
essere mitigati nelle reti pubbliche. Uno degli ostacoli alla diffusione di
WPA2 -Enterprise in hotspot è che le porte degli access point 802.1x
bloccano tutte le comunicazioni prima della fase di autenticazione. Ciò
vuol dire che l'uso di qualsiasi applicazione che sfrutta la connessione
internet notificherà automaticamente il fallito tentativo.
Un altro
ostacolo alla diffusione di WPA2-Enterprise nell’ hotspot è la difficoltà
nelle situazioni di roaming; tipicamente, se il gestore della connessione
del dispositivo mobile non riconosce l'SSID della rete del partner di
roaming , non potrà nemmeno effettuare un tentativo di associazione a
quella rete.
17
CAPITOLO 5
HOTSPOT 2.0 & 802.11u
Le nuove funzionalità apportate allo standard 802.11 tramite
l'emendamento 802.11u nel febbraio del 2011 rappresentano la base su
cui è stata sviluppata la tecnologia Hotspot 2.0. Una delle novità più
importanti introdotta dall'emendamento 802.11u è la possibilità per un
dispositivo mobile di ricevere informazioni aggiuntive relative alla rete
(rispetto alla precedente versione dello standard 802.11) in fase di preassociazione; queste informazioni possono essere sfruttate dal
connection manager del nostro dispositivo mobile per migliorare il
processo di selezione automatica della rete.
18
Per far si che la tecnologia Hotspot 2.0 abbia successo tra gli utenti e le
aziende, la Wi-Fi Alliance ha dovuto garantire un alto livello di sicurezza
al pari della rete cellulare. Nessun utente acquisterebbe apparecchi
mobili che prediligono la connessione alla rete Wi-Fi con scarsa
sicurezza rispetto ad altri che garantiscono una rete cellulare sicura, per
questo motivo il protocollo di sicurezza WPA2 sarà implementato in
tutti gli Hotspot che supportano la tecnologia Hotspot 2.0. La presenza
di WPA2 implica protocolli di autenticazione e l'utilizzo di algoritmi
crittografici per uno scambio di informazioni sicuro.
5.1 Scoperta e selezione della rete
Prima di giungere ai processi di autenticazione e di associazione, un
dispositivo deve individuare gli AP disponibili con cui effettuare la
connessione. A tale scopo è prevista una procedura di “scanning”[7], di
cui esistono due diverse tipologie: attivo (prevede la ricezione di frame
probe response) e quello passivo (prevede la ricezione di frame
beacon).
Sia che venga utilizzata la scansione passiva o quella attiva il dispositivo
riceverà una frame che conterrà informazioni che riguardano le reti WiFi a cui può associarsi e sulla base di queste informazioni scegliere la più
adatta. Questo processo di scanning che viene attuato sui dispositivi e
che non utilizza la tecnologia Hotspot 2.0, è manuale e si basa sul
riconoscimento dell'identificativo della rete (SSID).
L'emendamento 802.11u non introduce modifiche rilevanti al processo
di scoperta dei vari AP disponibili tuttavia, grazie ad una funzionalità
19
introdotta con questo emendamento, nel corso della procedura di
scansione, il dispositivo avrà un maggior numero di informazioni
presenti nelle frame beacon e probe response da analizzare e al tempo
stesso da la possibilità di effettuare una query verso l'AP per ricevere
ulteriori informazioni.
Un cambiamento significativo introdotto dall'emendamento 802.11u è
la possibilità di utilizzare un singolo SSID per pubblicizzare la
connettività a più “home network”. Nel caso di un Hotspot pubblico, ad
esempio, può notificare ai dispositivi mobili, tramite le frame probe
response e beacon, la lista degli operatori con cui possiede accordi di
roaming: nell'eventualità in cui la suddetta presenti il nominativo
dell'operatore con cui l'utente possiede un abbonamento, quest'ultimo
potrà avviare la connessione. [4]
5.2 Elementi aggiuntivi nelle frame probe response e
beacon
Come già detto in precedenza, i dispositivi ricevono informazioni
importanti che riguardano la gestione della rete WLAN tramite frame
beacon e probe response. In ogni frame beacon o probe response
troviamo informazioni relative alle funzionalità dell'AP in un
componente denominato “information element”. Uno dei cambiamenti
principali introdotti dall'emendamento 802.11u è l'aggiunta di
20
informazioni in queste frame al fine di migliorare il processo di scoperta
e selezione della rete. [5]
Andiamo ad elencare gli elementi di maggior rilievo che sono stati
aggiunti :
Extended Capabilities element :
Indica se un AP supporta le nuove funzionalità introdotte con
l'emendamento 802.11u. I campi utilizzati per contenere informazioni
riguardanti questo elemento erano già presenti nella versione
precedente dello standard 802.11 anche se inutilizzati. Attualmente
alcuni bit sono utilizzati per indicare alcune funzionalità riguardanti
l'interworking ( i servizi di interworking consentono alle STA di accedere
a servizi forniti da reti esterne con cui possiede accordi di
sottoscrizione).
L'Extended Capabilities element contiene diversi campi :
- Interworking : se il bit è settato sta ad indicare che la STA (Station) o
l'AP supportano le funzionalità di Interworking;
- QoS Map : se il bit è settato indica il supporto al QoS Mapping (Quality
of Service) da parte di una rete 802.11 alle reti esterne;
- SSPN Interface : se il bit è settato indica che l'AP ha una “logical
backend interface” per comunicare con i service provider esterni.
21
Interworking Element :
In questo elemento troviamo informazioni che riguardano i servizi di
interworking offerti. La presenza di questo elemento in una frame viene
utilizzata in alcuni casi per capire se l'AP o una STA supporta le novità
introdotte con l'emendamento 802.11u.
Gli AP includono l'elemento di interworking nelle frame beacon e nelle
probe response, mentre la STA include l'elemento nelle frame probe
request e (re)association request. Inoltre, all'interno di questo
elemento, vi sono informazioni importanti che riguardano la rete.
Roaming Consortium Element :
Il roaming consortium è un gruppo di service provider che hanno stretto
accordi di roaming l'uno con l'altro. Un utente abbonato ad uno dei
service provider appartenenti ad un determinato roaming consortium
potrà utilizzare le proprie credenziali per connettersi in roaming a
qualsiasi infrastruttura di rete di uno degli altri service provider del
gruppo. Naturalmente il roaming consortium element indica ad un
dispositivo mobile gli abbonati di quali service provider possono
associarsi all'AP.
22
I Roaming Consortium sono identificati da un OI (Organization
Identifier) che è assegnato dall'IEEE. Un OI spesso è lungo 24 bits, ma
può essere anche 36 bits. Gli OI sono globalmente unici, identificano un
produttore, un operatore o altre organizzazioni. La certificazione Wi-fi
Passpoint richiede che i grandi operatori di rete – che offriranno
credenziali di autenticazione ai loro abbonati – registrino e pubblicizzino
un OI per le loro operazioni di rete, cosa non richiesta ai piccoli
operatori.
Durante la ricerca e la selezione della rete, il dispositivo riceverà questa
lista di OI per poter controllare quali di essi possiedono politiche di
roaming e connessione ricercate. Il Roaming Consortium Element può
includere fino a 3 OI nella frame beacon, ma informerà il dispositivo se
ci sono OI addizionali che possono essere richiesti da quest’ultimo
attraverso una query ANQP.
Advertisement Protocol Element :
Ogni volta che lo standard 802.11 è stato modificato con l'introduzione
di emendamenti, sono state aggiunte informazioni all'interno delle
frame beacon e probe response. L'emendamento 802.11u non fa
eccezione: l'aggiunta di informazioni relativa ai servizi di rete nelle
23
frame beacon e probe response è uno degli scopi principali affinché
possa essere migliorato il processo di selezione della rete.
Uno dei problemi riscontrati con l'aggiunta di informazioni è la crescita
dimensionale delle suddette frame, tuttavia alcune o tutte le
informazioni che riguardano le funzionalità di interworking saranno
irrilevanti per alcuni dispositivi, soprattutto per quelli che non
supportano l'emendamento 802.11u (dispositivi legacy).
Per evitare di inviare frame beacon e probe response di grandi
dimensioni anche quando non necessario, sarà divulgato solo un
sottoinsieme di informazioni, mentre la restante parte sarà trasmessa
alla STA solo su richiesta. L'Advertisement Protocol Element indica il
protocollo di divulgazione delle informazioni utilizzato dalla STA per
interrogare l'AP e ricevere informazioni aggiuntive.
5.3 Altri fattori relativi alla selezione dell’Hotspot
Hotspot 2.0 offre molti parametri che possono avere una certa
importanza nel processo di selezione della rete a cui connettersi.[6]
Si possono individuare alcuni fattori di maggior rilievo:
Nome e tipo di sede – può risultare utile la connessione ad un
particolare hotspot che si trova in una determinata sede. Per esplicare il
concetto prendiamo come esempio la rete di uno stadio sportivo che
24
può offrire specifici servizi: un fan ha la possibilità di usufruire di questi
ultimi, assicurandosi che la sua connessione appartenga all'arena
piuttosto che al bar o ad un qualsiasi altro locale nei paraggi. Hotspot
2.0 fornisce due campi nelle frame beacon, venue group e venue type
codes, con valori presi dalla International Building Code. Questi ultimi
sono generici codici pre-definiti come 'residenziale', 'educativo',
'biblioteca' o ' museo '. Al tempo stesso si può individuare un campo di
testo per il 'venue name' in ANQP, in cui l'operatore hotspot può
inserire una descrizione della sede.
Indirizzamento IP – un hotspot può indicare il suo supporto ad indirizzi
Ipv4 o Ipv6.
Possibilità di connettersi ad Internet - generalmente un dispositivo
mobile è alla ricerca di una connessione ad Internet. Dov'è che non si
desidera una connessione? Forse in luoghi quali i musei dove sono
presenti un 'walled garden' che offrono servizi specifici per i visitatori.
Connessione incrociata Peer-to-Peer – questo riguarda la sicurezza. Un
hotspot che permette di utilizzare il peer-to-peer da la possibilità agli
utenti di poter accedere ad ulteriori dispositivi connessi allo stesso
hotspot. Per questo motivo la tecnologia Hotspot 2.0 fa in modo che il
traffico che va da utente ad utente debba essere prima controllato dalla
funzione di firewall implementata nell'AP, al fine di ridurre i rischi e
garantire una sicurezza maggiore.
Capacità di connessione - protocolli di filtraggio – nello stesso modo in
cui i router Wi-Fi aziendali o residenziali possono ridurre il traffico
generato da alcuni protocolli che attraversa determinate porte, può
25
accadere che alcune reti Hotsport 2.0 possono subire delle restrizioni
comunicate tramite il protocollo ANQP.
Restrizioni relative ad un gruppo di indirizzi – Anche se la certificazione
WPA-Enterprise è obbligatoria per le reti hotspot che utilizzano la
tecnologia Hotspot 2.0, l'applicazione differisce non di poco rispetto a
quella utilizza nelle reti WLAN aziendali e domestiche. Anche se ogni
utente connesso ad un Hotspot sarà stato autenticato e garantito dal
suo service provider, non devono necessariamente fidarsi l'uno
dell'altro e consentire la condivisione di traffico. Un AP WPA cifra tutto
il traffico dati, ma per supportare messaggi multicast ha bisogno di
distribuire a sua volta una chiave multicast comune a tutti i client
connessi alla stessa rete, in modo che ogni dispositivo sia in grado di
leggere tutte le frame multicast. Per evitare attacchi dovuti a questa
particolare situazione, alcune reti Hotspot con tecnologia Hotspot 2.0
disabilitano periodicamente il multicast anche se
possibile
farlo,
specie
nei
luoghi
in
cui
non è sempre
vengono
utilizzate
frequentemente questo tipo di applicazioni.
Classe di funzionamento – lista di canali di frequenza su cui opera
l'Hotspot. Può essere utile quando, per esempio, un dispositivo mobile
rileva un Hotspot nella banda dei 2,4 GHz, ma scopre che è dual-band e
preferisce operare sulla banda dei 5 Ghz.
Metriche WAN - il fattore limitante nella banda Internet è
probabilmente il collegamento immediato dall'AP alla backhaul. ANQP
26
può fornire informazioni, tra cui la larghezze di banda downstream,
upstream e il traffico corrente . Questo potrebbe essere utile per un
dispositivo mobile che richiede una larghezza di banda minima (e
grande) per una particolare applicazione, o potrebbe essere usato come
tie-breaker tra due punti di accesso Hotspot equivalenti.
HESSID – a volte un numero di Hotspot fornirà la copertura di
sovrapposizione per una zona, per esempio in uno stadio sportivo o in
un grande centro commerciale. Per questi luoghi, la tecnologia Hotspot
2.0 prevede un'etichetta per la zona in cui si trovano le reti Hotspot ed i
dispositivi mobili avranno così un modo semplice per riconoscere quali
punti di accesso offrono le stesse funzionalità.
L'HESSID (Homogeneous Extended Service Set Identifier) deve essere
un'etichetta univoca, quindi viene scelto uno dei BSSID (indirizzi MAC)
dei punti di accesso nella zona.
27
CAPITOLO 6
PROTOCOLLI DI ADVERTISEMENT
I protocolli di advertisement di cui parleremo in questo capitolo sono
ANQP e GAS, vengono utilizzati per far sì che un dispositivo client che
supporta le nuove funzionalità introdotte con l’emendamento 802.11u
possa richiedere all’AP in fase di pre-associazione informazioni
aggiuntive a quelle presenti all’interno delle frame beacon e probe
response .
6.1 ANQP
L' Access Network Query Protocol (ANQP) è un protocollo di
divulgazione di informazioni grazie al quale è possibile trasmettere
informazioni riguardante la rete che sono racchiuse all'interno degli
elementi ANQP.
Andiamo ad elencare quelli più rilevanti:
- ANQP query list: all'interno di questo elemento troviamo la lista di
elementi ANQP che la stazione mittente si aspetterà di trovare nel
messaggio GAS Response;
28
- ANQP capability list: indentifica gli elementi ANQP che sono
supportati dall'AP;
- Venue name information: indica la sede in cui si trova la rete.
Rappresenta un'informazione che può risultare utile al dispositivo nel
processo di selezione della rete;
- Emergency call number information: fornisce una lista di numeri di
emergenza con le relative sedi;
- Network authetication type information: informazioni relativi ai tipi di
protocolli di autenticazione supportati;
- Roaming Consortium list: fornisce le stesse informazioni che troviamo
nell'elemento Roaming Consortium presente nelle frame beacon e
probe response ma questa lista può contenere OI aggiuntivi;
- IP Address Type Availability information;
- NAI Realm list;
- 3GPP Cellular Network information: questo campo include il Public
Land Mobile Network (PLMN) ID, che comprende il Mobile Country
Code (MCC) e il Mobile Network Code (MNC) di un operatore mobile;
- AP Geospital Location: fornisce la longitudine, latitudine e altitudine
della locazione in cui si trova l'AP;
- AP Civic location;
- AP Location public identifier URI;
- Domain name list: include la lista di uno o più domini di operatori che
gestiscono l'AP. Questa informazione è molto importante per la politica
29
utilizzata da Hotspost 2.0 per la selezione della rete, grazie a questo
elemento un dispositivo può capire se si trova in una rete domestica o
in una rete visitata.
Ora andiamo ad elencare gli elementi ANQP che con l'introduzione
dell'emendamento 802.11u non erano presenti ma che sono stati
aggiunti dalla Wi-Fi Alliance per estendere le funzionalità di Hotspot 2.0:
- Hotspost 2.0 query list: lista degli elementi ANQP Hotspost 2.0 richiesti
dal client;
- Hotspost 2.0 capability list;
- Operator Friendly Name element: un campo con testo aperto utilizzato
per identificare un Hotspot di un operatore locale. Il campo può essere
ripetuto più volte anche in lingue differenti;
- WAN metrics element : fornisce dettagli che riguardano la rete WAN;
- Link Status (Up/Down/Test);
- Symmetric Link (yes/no);
- At Capacity(yes/no) ;
- Downlink Speed;
- UpLink Speed;
- Downlink Load;
- Uplink Load.
30
6.2 GAS
The Generic Advertisement Service è un protocollo che trasporta servizi
di divulgazione delle informazione come ANQP. Quando un dispositivo
deve interrogare un AP per ricevere informazioni aggiuntive a quelle
presenti nelle frame beacon o probe response invierà un messaggio
GAS Request che includerà al suo interno specifici elementi ANQP (a
seconda delle informazioni di cui ha bisogno) e l'AP risponderà con un
messaggio GAS Response contenente al suo interno gli elementi ANQP
richiesti dal client, oppure reinoltrerà la query ad un advertisement
server nel caso in cui non riesca a soddisfare le richieste del client con le
informazioni in suo possesso. Uno dei motivi per cui viene utilizzato il
protocollo GAS è che prima dell'associazione il dispositivo mobile non
ha ancora ottenuto un indirizzo IP.
31
CAPITOLO 7
SICUREZZA DEGLI HOTSPOST CON LA TECNOLOGIA HOTSPOT 2.0
Per far si che la tecnologia Hotspot 2.0 abbia successo tra gli utenti e le
aziende, la Wi-Fi Alliance ha dovuto garantire un alto livello di sicurezza
al pari della rete cellulare. Nessun utente acquisterebbe apparecchi
mobili che prediligono la connessione a rete Wi-Fi con scarsa sicurezza
rispetto ad altri che garantiscono una rete cellulare sicura, per questo
motivo il protocollo di sicurezza WPA2 sarà implementato in tutti gli
Hotspot che supportano la tecnologia Hotspot 2.0. La presenza di WPA2
implica protocolli di autenticazione e l'utilizzo di algoritmi crittografici
per uno scambio di informazioni sicuro. [8]
7.1 Tecniche di autenticazione
L'autenticazione basata su captive portal tipica degli Hotspot odierni
non è supportata da Hotspot 2.0 che predilige il protocollo 802.1x.
I metodi EAP supportati da Hotspot 2.0 sono:
EAP-SIM nel caso in cui il dispositivo mobile possieda una Subscriber
Identity Module (SIM);
32
EAP-AKA ( Authentication and Key Agreement) nel caso in cui un
dispositivo mobile abbia una UMTS Subscriber Identity Module (USIM);
EAP-TLS(Transport Layer Security) deve essere supportato da tutti i
dispositivi mobili ed utilizza il certificato digitale X.509;
EAP-TTLS(Tunneled Transport Layer Security)/MSCHAPv2 deve essere
supportato da tutti i dispositivi mobili e vengono utilizzate come
credenziali username e password.
EAP-SIM e EAP-AKA sono utilizzate per le autenticazioni di dispositivi
che possiedono un modulo SIM. EAP-TLS e EAP-TTLS: sono tipi più
comuni di EAP, e sono stati scelti per ampliare le opzioni di credenziali
client, in particolare per dispositivi come i tablet che posseggono una
connessione wi-fi ma non un modulo SIM.
EAP-TLS supporta i certificati sia per autenticazioni client che
autenticazioni server mentre EAP-TTLS/MSCHAPv2 supporta, per
quanto riguarda i client, la coppia di credenziali username/password
mentre per i server un certificato.
Utilizzando una variante di EAP, il cliente invia una richiesta di
autenticazione all'AP, che viene poi trasmessa al corrispondete server di
autenticazione per il controllo di validità delle credenziali. Se la validità
è confermata, l'AP registra il dispositivo nella tabella utente e concede
l'accesso all'Hotspot locale.
Tuttavia 802.11u e Hotspot 2.0 forniscono meccanismi necessari ma
non sufficienti per far si che tutti i problemi di sicurezza che affliggono
33
gli Hotspot siano risolti. Per esempio, nel caso in cui un utente ha delle
credenziali valide impostate sul suo smartphone e cerca di autenticarsi
con l'AP di una rete Hotspot, quest'ultimo per controllare che le
credenziali siano valide dovrà avere accesso ai servizi di autenticazione
del service provider a cui l'utente è abbonato. Gli AP della rete Hotspot
potrebbero essere integrati direttamente con i server di autenticazione
del service provider; naturalmente non tutti gli Hotspot saranno in
grado di fare ciò, per questo motivo e per facilitare il processo, avremo
degli aggregatori di roaming che saranno utilizzati come HUB.
Nel modello roaming Hub, società di terze parti forniranno un servizio di
intermediazione per l'autenticazione. La società di intermediazione
stipula accordi con i fornitori di credenziali e si integra con i loro sistemi.
Successivamente l'operatore di rete integra il servizio di autenticazione
della compagnia intermediaria, guadagnando così l'accesso ai server o
database che contengono
le
credenziali attraverso l'HUB
di
intermediazione.
34
7.2 Scambi di messaggi sicuro
Per far si che lo scambio di messaggi tra l'AP ed i dispositivi client
avvenga in modo sicuro, la tecnica Hotspot 2.0 utilizza un algoritmo
crittografico noto come AES (advanced encryption standard) per cifrare
i messaggi. La chiave utilizzata deve essere univoca e nel caso in cui più
dispositivi client comunicano con lo stesso AP devono utilizzare chiavi
diverse. Questo garantisce un grado di sicurezza accettabile. La
differenza sostanziale che vi è tra Hotspot pubblici e quelli presenti
all'interno di aziende o zone private, è la varietà di utenti che si
connettono ad esso e non hanno nessun motivo di fidarsi l'uno
dell'altro. La tecnologia Hotspot 2.0 prevede che, quando il tipo di rete
è pubblica, gli utenti siano protetti l'uno dall'altro, per esempio nel caso
in cui un dispositivo cerca di comunicare con un altro dispositivo
connesso allo stesso Hotspot prima che il messaggio arrivi a
destinazione deve essere controllato da una funzione di firewall
integrata nell'AP. Hotspot 2.0 richiede anche l'implementazione di un
proxy ARP sull'AP per prevenire attacchi di ARP spoofing. Similmente,
mandare messaggi in boradcast o multicast richiede una chiave che
deve essere condivisa da tutti i dispositivi connessi allo stesso Hotspot e
può essere disabilitata dall'Hotspot passpoint in qualsiasi momento.
Passpoint proibisce operazioni P2P, DLS e metodi DLS di comunicazione
P2P con l'Hotspot. Bisogna fare in modo che un utente possa rendersi
conto se è connesso ad una rete Hotspot che utilizza la tecnologia
Hotspot 2.0 e quindi se sta utilizzando una connessione sicura o meno,
ad
esempio
potrebbero
essere
introdotti
specifici
indicatori
35
sull'interfaccia del proprio dispositivo in modo tale che l'utente possa
navigare in piena libertà e sicurezza.
36
CONCLUSIONI
L’impatto della tecnologia Hotspot 2.0 sarà enorme, è considerata dagli
operatori mobili la miglior alternativa alla rete cellulare che negli ultimi
anni ha avuto una crescita esponenziale di richieste con conseguente
sovraccarico della rete. Ormai questa tecnologia è stata anche
ampiamente distribuita nei locali pubblici come alberghi, aeroporti,
centri congressi, stadi e ospedali. Con Hotspot 2.0 sarà possibile
collegare insieme questo gran numero di Wi-fi AP che andranno a
formare una grande rete grazie agli accordi di roaming stipulati tra i vari
service provider. Gli utenti saranno in grado di transitare da una rete
Wi-fi all’altra senza problemi in qualsiasi posizione, non avranno più
bisogno di conoscere l’SSID preciso della rete e di effettuare procedure
di autenticazione. Al contrario avranno sempre una esperienza di
navigazione ottimale.
I benefici che possono essere ottenuti da questa tecnologia dipendono
da due fattori fondamentali:
da una parte abbiamo la crescita del numero di dispositivi che
supportano l’emendamento 802.11u, che siano STA o AP.
Dall’altra abbiamo il successo che l’Hotspot 2.0 avrà nel mercato
consumer, in modo che questa tecnologia possa essere distribuita su
larga scala ed il business model possa essere attuato in modo efficace.
37
Hotspot 2.0 è destinata ad emergere in modo davvero importante nel
prossimo futuro trasformando radicalmente l’industria wireless.
38
BIBLIOGRAFIA
[1]Hotspot 2.0 nelle aziende: la grande trasformazione di business
http://www.01net.it/hotspot-2-0-nelle-aziende-la-grande-trasformazione-dibusiness/0,1254,1_ART_153416,00.html
[2] Secondo lo studio Cisco Visual Networking Index il traffico di dati mobile globale
crescerà di 11 volte dal 2013 al 2018
http://www.cisco.com/web/IT/press/cs14/20140213.html
[3] The Future of Hotspots: Making Wi-Fi as Secure and Easy to Use as Cellular
http://www.cisco.com/c/en/us/solutions/collateral/service-provider/serviceprovider-wi-fi/white_paper_c11-649337.pdf
[4] How Interworking Works: A Detailed Look at 802.11u and Hotspot 2.0
Mechanisms
http://a030f85c1e25003d7609b98377aee968aad08453374eb1df3398.r40.cf2.rackcdn.com/wp/wp-howinterworking-works.pdf
[5] IEEE Standard for Information technology—Telecommunications and information
exchange between systems—Local and metropolitan area networks—
Specific requirements
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications
Amendment 9: Interworking with External Networks
[6] Wi-Fi Certified Passpoint Architecture for Public Access
http://www.arubanetworks.com/pdf/technology/whitepapers/WP_Passpoint_WiFi.pdf
39
[7] Avallone S. “Protocolli per reti mobili” 2014
[8] Hotspot 2.0 MAKING WI-FI AS EASY TO USE AND SECURE AS CELLULAR
http://a030f85c1e25003d7609b98377aee968aad08453374eb1df3398.r40.cf2.rackcdn.com/wp/wp-hotspot-2.0.pdf
40

Download Report