Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Protocolli per reti mobili IEEE 802.11u e Hotspot 2.0 Anno Accademico 2013/14 Candidato: Teresa Suppa matr. N46001064 1 [Dedica] 2 Indice Indice............................................................................................................................. 3 Introduzione ................................................................................................................. 4 Capitolo 1: IEEE 802.11u ........................................................................................... 6 1.1 Descrizione Generale ........................................................................................... 6 1.2 I protocolli di Advertisement ................................................................................ 9 1.3 Sicurezza............................................................................................................. 11 1.1 QoS e Emergency Services ................................................................................ 11 Capitolo 2: Hotspot 2.0 ............................................................................................. 13 2.1 Autenticazione sicura ......................................................................................... 18 2.2 Problemi nell’utilizzo di Hotspot ....................................................................... 19 2.3 Minacce alla sicurezza in Hotspot ..................................................................... 20 1.1 L’impatto di Hotspot 2.0 ................................................................................... 21 Conclusioni ................................................................................................................. 22 Bibliografia ................................................................................................................. 23 3 Introduzione Le reti wireless sono un’importante forma di comunicazione che sfrutta la propagazione di onde elettromagnetiche nello spazio libero, le quali sono trasmesse in specifiche bande frequenziali. La Wireless Local Area network, termine inglese abbreviato in WLAN, indica una “rete locale senza fili”. I vantaggi di questo tipo di rete sono la facilità d'installazione, la flessibilità, e costi inferiori. Per consentire lo sviluppo delle reti LAN sono stati definiti alcuni standard tra cui l’IEEE 802 che è un progetto sviluppato dall’IEEE. Al suo interno esistono diversi gruppi di lavoro ( working group ), che si occupano di specifici aspetti del problema e ad ognuno dei quali è assegnato un identificativo numerico. Il gruppo di lavoro IEEE 802.11 si è formato nel 1990 con l’obiettivo di specificare il livello PHY e MAC delle reti WLAN, il cui primo standard è stato rilasciato nel 1997. L’obiettivo fondamentale di questo standard è di descrivere le funzioni e i servizi richiesti per operare in una rete wireless. IEEE 802.11 include una famiglia di standard, cercando di garantire un’interoperabilità tra i diversi emendamenti. In particolare, in questo elaborato tratteremo dello standard IEEE 802.11u. Lo standard è stato pubblicato il 25 febbraio 2011; nasce con lo scopo di aggiungere delle nuove funzionalità per i dispositivi di comunicazione mobili come computer portatili o telefoni multimode. IEEE 802.11u copre i casi in cui il dispositivo di un utente non sia pre-autorizzato a utilizzare una rete che dovrà essere in grado di consentire l’accesso basato sul rapporto dell’utente con una rete esterna (ad esempio hotspot), o indicare che l’iscrizione on-line è possibile, o consentire l’accesso a una serie strettamente limitata di servizi quali i servizi di emergenza . La tecnologia basata sullo standard IEEE 802.11u è Hotspot 2.0, un approccio di accesso pubblico Wi-Fi della Wi-Fi Alliance, noto anche come HS2 e Wi-Fi Certified Passpoint. L’idea è di fare in modo che i dispositivi mobili possano connettersi automaticamente a un servizio Wi-Fi ogni volta che l’utente inserisce una zona Hotspot 2.0. Se un dispositivo supporta sia lo standard che Hotspot 2.0, si connette automaticamente ad una rete. Questo tipo di tecnologia si è sviluppata in particolar modo perchè ci sono sempre più persone e aziende che volontariamente forniscono una rete Internet attraverso le reti wireless, sia per 4 motivazioni idealistiche sia per attirare clienti nei loro esercizi commerciali. Anche gli enti pubblici, soprattutto i comuni, possono installare delle reti wireless in aree pubbliche a disposizione della cittadinanza. Con il diffondersi dei collegamenti via cavo o via ADSL si è avuto un notevole incremento degli utenti che vanno a realizzare piccole reti locali. Queste reti sono però poco sicure e possono essere forzate con semplicità permettendo l’intercettazione del traffico wireless che costituisce un rischio per la privacy e l’accesso abusivo alla rete. Per questo motivo le reti basate sullo standard IEEE 802.11u e sulla tecnologia Hotspot 2.0 cercano di implementare dei meccanismi per garantire una più robusta sicurezza per i clienti che fanno uso della rete. 5 Capitolo 1: IEEE 802.11u IEEE 802.11u è il nono emendamento IEEE 802.11-2007 che permette l’interazione di WLAN con le reti esterne. Esso è stato pubblicato nel Febbraio del 2011 e permette di individuare e selezionare automaticamente le reti, fornendo informazioni su di essa prima dell’associazione. Gli obiettivi principali sono quelli di migliorare il servizio d’iscrizione, fornire supporto alle chiamate di emergenza, garantire la segmentazione del traffico dati degli utenti e incrementare il servizio di pubblicità. 802.11u ha identificato una serie di requisiti obbligatori che devono essere soddisfatti dalle reti: Network selection: metodo mediante il quale si verifica se una rete supporta un particolare Subscription Service Provider Network (SSPN) senza autenticazione; inoltre consente ad un client con più credenziali di scegliere la rete corretta. SSPN Interface: specifica le informazioni di autorizzazione che sono fornite al livello MAC. QoS Mapping: definisce il mapping . Media Indipendent Handover (MIH) Emergency Sequence: definisce le funzionalità per effettuare chiamate di emergenza. 1.1 Descrizione Generale Una delle funzioni più importanti per qualsiasi rete Wi-Fi è il processo mediante il quale le stazioni client (computer portatili, tablet, cellulari, etc.) scoprono gli Access Point (AP) e ne determinano le loro capacità. I clients possono usare tecniche di scanning attivo (utilizzando i probes) o passivo (attraverso i beacons) per scoprire gli AP, conoscere la rete, determinare quale di essa è la migliore, ed eseguire il collegamento. Purtroppo, questo processo dipende dal riconoscere l’utente attraverso il nome di rete: l’SSID. 802.11u sostanzialmente, non modifica il processo mediante il quale è individuata una rete, tuttavia, lo abilita alla scoperta di nuove informazioni durante il processo di scanning e permette al client di poter interrogare l’ AP per ricevere delle ulteriori informazioni. Un cambiamento rilevante con l’emendamento 802.11u è la possibilità di identificare con un unico SSID più “home network”. 6 Per migliorare il processo d’individuazione di una rete, il protocollo 802.11u aggiunge dei nuovi elementi rilevanti al frame che sono: extended capabilities che indica se un AP supporta 802.11u; interworking che identifica la capacità del servizio di interworking; advertisement protocol che permette al client di interrogare l’AP sulla rete per ottenere più informazioni prima di creare la connessione; roaming consortium che identifica i providers o gruppi di roaming. Extended Capabilities Element Questo elemento esisteva già da prima che fosse pubblicato l’emendamento 802.11u e alcuni dei sui bit non utilizzati ora sono da supporto all’interworking. Esso è caratterizzato da: interworking bit settato a 1 per indicare che supporta l’interworking, QoS Map bit, SSPN Interface che è un bit impostato per indicare che l’AP ha un’interfaccia per fornire servizi ai provider esterni. Interworking Element In questo elemento, vi sono informazioni rilevanti per la rete. Access Network Options: indica i tipi di accesso a una rete (private, public, etc). Per quanto riguarda l’accesso ad Internet, quest’ultimo può essere specificato o meno. Quando si utilizzano reti non protette (autenticazione aperta) in alcuni casi sono aggiunti dei passaggi prima di poter effettuare l’accesso alla rete. Infatti, per le reti non protette sono aggiunte informazioni ASRA, in questo modo dopo aver effettuato il collegamento alla rete si viene indirizzati a un URL in cui sono spiegati i termini e le condizioni d’ uso. Venue Info: specifica le informazioni riguardanti le sedi. Esso è un campo opzionale, anche se specificarlo, significa migliorare il comportamento della rete selezionata da parte degli utenti o dei dispositivi client. HESSID: identifica un Extended Service Set (ESS), il quale rappresenta un insieme di servizi di base che garantisce a tutti i provider di poter accedere alla stessa rete esterna. HESSID assume la forma di un indirizzo MAC (6 byte), ed ha un valore univoco. Anche questo campo è opzionale. 7 Roaming Consortium Element Il Roaming Consortium è un gruppo di service provider, identificati dall’Organization Identifier (OI) il quale è assegnato dall’IEEE (per la prima metà è simile ad un indirizzo MAC). Un OI può essere di 24 bit oppure di 36 bit. Esso identifica un produttore, un operatore o un’altra organizzazione in maniera globalmente univoca. Durante il processo di rilevamento e selezione della rete, il dispositivo riceverà una lista di OI e verifica se qualcuno di essi soddisfi le politiche di connessione e di roaming e le richieste. Il Roaming Consortium Element può contenere fino a 3 OI nel frame beacon, ma dovrà comunicare al dispositivo un’eventuale aggiunta di OI ottenuti tramite interrogazioni ANQP. Advertisement Protocol Element Lo scopo di 802.11u è principalmente quello di migliorare il processo di selezione di una rete con l’aggiunta di nuove informazioni sui servizi di rete offerte dall’AP. In questo modo però l’AP consuma molto tempo di trasmissione. Per evitarne la saturazione, con il frame beacon viene trasmesso solo un sottoinsieme di informazioni di interworking, le altre vengono fornite solo se richieste dall’utente. In questo modo l’AP comunica solo le informazioni più importanti per tutte le stazioni, e poi cerca di pubblicizzare un modo mediante il quale una STA possa conoscere ulteriori informazioni se lo desidera. L’Advertisement Protocol element facilita questa funzionalità, individuando i protocolli advertisement con i quali le STA possono interrogare l’AP. Quando quest’ultimo riceve tali query può rispondere direttamente o delegare un server Advertisement esterno per la risposta. 8 1.2 I protocolli di Advertisement Come specificato precedentemente, 802.11u supporta i protocolli di advertisement, in particolar modo GAS e ANQP. Attraverso questi protocolli un dispositivo client può richiedere ad un AP informazioni aggiuntive sulla rete che non sono contenute nei frame beacon. ANQP Access Network Query Protocol è un protocollo di ricerca mediante il quale è possibile trasmettere informazioni relative a una rete le quali sono racchiuse negli elementi ANQP. Gli elementi più rilevanti sono: - ANQP Query list: la Query list è inviata dalle stazioni nella GAS Request, indica la lista di elementi ANQP che vuole ricevere nella GAS Response; - ANQP Capability list: identifica gli elementi ANQP supportati dalle AP; - Venue Name Information: indica il nome della sede per la rete, è utile all’utente per selezionare la rete; - Emergency Call Number information: specifica una lista di posizioni con i relativi numeri di emergenza; - Network Authentication Type information: se la rete non è sicura, permette di aggiungere dei nuovi passi prima dell’accesso (ASRA): 1) Accettazione dei termini e delle condizioni 2) Inscrizione on-line, può richiedere infatti che l’utente crei un account di un certo tipo 3) Re indirizzamento HTTP /HTTPS 4) Re indirizzamento DNS - Roaming Consortium list: fornisce le stesse informazioni contenute nel roaming consortium information element; 9 - IP Address Type Availability information: 1) IPv6 2) IPv4 - NAI (Network Access Identifies) Realm list: identifica tutti I NAI realms disponibili tramite il BSS. NAI è un formato standardizzato per identificare gli utenti che richiedono l’accesso alla rete; - 3GPP Cellular Network information: identifica la rete cellulare 3GPP disponibile tramite l’AP. In particolare questo campo identifica l’ID Public Land Mobile Network (PLMN), composta da Mobile Country Code (MCC) e Mobile Network Code (MNC) del gestore della telefonia; - AP Geospatial Location: fornisce la posizione dell’AP in longitudine, latitudine e altitudine; - AP Civic Location: fornisce la posizione dell’AP in formato civico (nazione, città, etc.); - AP Location Public Identifier URI: fornisce un riferimento Uri in cui possono essere recuperate le informazioni riguardanti la posizione; - Domain Name List: elenca uno o più nomi del dominio per l’organismo che gestisce l’AP; - Emergency Alert Identifier URI: fornisce un URI per il recupero di messaggi; - Emergency NAI: fornisce una stringa NAI la quale può essere utilizzata dal client con autenticazione EAP per accedere ai servizi di emergenza; - ANQP vendor-specif list. GAS Generic Advertisement Service (GAS) è un framework che provvede al trasporto dei servizi di advertisement come ANQP. Quando un device deve interrogare l’AP utilizza il processo di scambio di frame (GAS Request/Response) definito dal protocollo GAS. Il device invia una GAS Request all’interno della quale è contenuta la lista di elementi ANQP che vuole ricevere dall’AP, quest’ultimo risponde con una GAS Response contenente gli elementi ANQP richiesti. 10 1.3 Sicurezza Essa è uno degli aspetti più importanti che bisogna considerare sulla base delle preferenze dell’utente. Infatti, è proprio quest’ultimo a decidere di volere una rete protetta o meno. Una possibile modalità per l’utente di poter indicare le proprie preferenze è attraverso l’adozione di AHP, una tecnica Multi Criteria Decision Making (MCDM). 1.4 QoS e Emergency Services I cambiamenti nell’industria dei cellulari sono stati uno dei motivi principali per cui sono stati creati i protocolli d'interworking. 802.11u incorpora un metodo con cui le politiche QoS di un provider di rete possono essere mappate sulla WLAN per l’end-to-end QoS. L’obiettivo primario di 802.11u QoS è di mappare le Layer-3 QoS priorities di uno SSPN all'over-the-air Layer 2 Wi-Fi priority. Per raggiungere questo obiettivo 802.11u introduce il QoS Map Set Information element. Quest’ultimo contiene un elenco di user priorities (UP), su cui una serie di valori DSCP sono mappati. Quando la stazione riceve la QoS map, la utilizza per mappare la priorità IP-layer ad una priorità 802.11. Poiché i frame sono passati dal livello IP stack di rete del dispositivo al livello MAC, vengono mappati in base alla politica 802.11u fornita dall’AP. Allo stesso modo, gli AP seguono queste mappature nel downlink dei frame QoS ricevute dalla rete cablata e inviati al client. Questa mappatura consente politiche end-to-end che sono richieste dai service provider. 802.11u fornisce un mezzo per i dispositivi in modo che possano conoscere i servizi di emergenza messi a loro disposizione prima dell’associazione e durante il collegamento. Il supporto a livello di collegamento dei servizi d'emergenza viene fornito tramite alcune funzioni primarie: - Individuazione dei servizi di emergenza da parte di dispositivi non associati. 11 - Annunci speciali che forniscono dettagli importanti di emergenza, come ad esempio URI che fornisce ulteriori informazioni su uno specifico allarme di emergenza. - Supporto opzionale per i servizi di emergenza non autenticati. 12 Capitolo 2: Hotspot 2.0 L’obiettivo delle industrie di oggi giorno è quello di migliorare l’esperienza degli utenti durante il processo di roaming garantendo la stessa facilità di connessione che si ha con la propria rete domestica anche alle reti visited. Più semplice diventa il processo di connessione, più sarà probabile che quella rete venga utilizzata. Questo lavoro è conosciuto come Hotspot 2.0 del quale è in corso il driver da parte della Wi-Fi Alliance (WFA) che certifica anche l’interoperabilità. Hotspot 2.0 permette ad un mobile device di scoprire gli AP che hanno un accordo di roaming con la rete principale dell’utente e quindi di permettere la connessione in modo sicuro. La prima uscita di Hotspot 2.0 fu completata nel Giugno del 2012. Hotspot 2.0 Task Group Nel 2010, la CISCO e le altre industrie leader nel settore sono entrate a far parte dell’Hotspot Task Group della Wi-Fi Alliance. L’obiettivo era quello di definire un insieme di standard per migliorare notevolmente l’esperienza dell’utente nell’utilizzo di Hotspot. Il soddisfacimento di tutto ciò garantisce un accesso più semplice e più sicuro alla rete. Gli elementi chiave dell'Hotspot 2.0 Task Group relativi alla prima versione sono i seguenti: Individuazione e selezione della rete: i dispositivi potranno scoprire e selezionare automaticamente le reti Wi-Fi alla quale connettersi in base alle preferenze dell’utente e l’ottimizzazione della rete. Accesso alla rete streamlined: i dispositivi accedono automaticamente alla rete sulla base dell’emissione di credenziali e non è richiesto alcun intervento da parte dell’utente. Sicurezza: le trasmissioni over-the-air saranno crittografate utilizzando la tecnologia di ultima generazione (Wi-Fi Certified WPA2-Enterprise ). Gli elementi chiave della seconda versione di questo programma sono invece: Immediate account provisioning: semplifica il processo di creazione di un nuovo account per l’associazione con l’AP eliminando alcuni passaggi che l’utente era costretto a fare prima. Fornitore della politica per la selezione di un operatore di rete: definisce il criterio per poter selezionare la rete migliore alla quale associarsi tra quelle disponibili. 13 Hotspot 2.0 Release 1 Si concentra esattamente sulla sicurezza over-the-air, sul rilevamento e sulla selezione della rete. Le chiavi di attivazione dei protocolli sono IEEE 802.11u, insieme a IEEE 802.1x, metodi EAP selezionati e IEEE 802.11i. Questi ultimi tre sono parte del programma di certificazione WPA2Enterprise nella Wi-Fi Alliance, e sono standard su tutti gli smartphone. Come abbiamo visto IEEE 802.11u supporta dei protocolli che permettono ad un mobile device di interrogare un AP per ottenere ulteriori informazione su di una rete. I due protocolli principali sono GAS e ANQP. Hotspot 2.0 Release 2 Nella Release 2 di Hotspot 2.0, la WFA si sta focalizzando nel fornire credenziali di protezione e politiche di selezione della rete sul dispositivo dell’utente. Hotspot 2.0 utilizza la crittografia a chiave pubblica in modo che il dispositivo mobile abbia la prova che sia connesso ad un provisioning server (aka server d'iscrizione online) gestito dalla scelta dell’utente di SP e non un server canaglia gestito da un attaccante o da un altro SP. Il tipo di credenziale da provisioning viene scelto dall’SP dalla seguente lista: - User-provided username e password - SP-provided username e password. In questo caso, la password può essere abbastanza lunga riducendo al minimo la probabilità del successo di un attacco, ma questo non è un problema per l’utente poiché viene indirizzato direttamente nel connection manager del dispositivo mobile. - SP-provided x.509v3 certificato client rilasciato all’AP utilizzando EST (Enrollment of Secure Transport ) protocollo in fase di sviluppo in IETF. - SP pre-provided client certificate. Questo certificato può essere provisioning con qualsiasi metodo out-of-band che l’SP vuole utilizzare e normalmente viene fatto prima che l’utente ottenga il proprio dispositivo mobile. Il provisioning delle credenziali può essere utilizzato con smartphone, tablet, computer portatili, e qualsiasi altra cosa che utilizza la connettività Wi-Fi. Ciò che è interessante di questo approccio rispetto a quelli precedenti, che utilizzano un indirizzo MAC o un cookie per l’identificazione, è che supporta il roaming e l’airlink sicuro. Non solo è possibile che l’utente si connetta automaticamente ad AP appartenenti all’operatore, per il quale ha firmato per il servizio, ma anche con tutti i partner di roaming di tale operatore (se tale funzione è abilitata nel pacchetto dei servizi). La possibilità di 14 connettersi automaticamente ad Internet da vari punti di accesso aumenta notevolmente l’utilità di un servizio Wi-Fi, e più il processo di connessione è trasparente più sarà probabile che il servizio venga utilizzato. Il provisioning delle credenziali apre nuove opportunità di guadagno per i service provider, poiché ci sono centinaia di milioni di Wi-Fi attivati su dispositivi che non dispongono di SIM-card. Il processo di credential provisioning richiede un po’ d'iterazione con l’utente per configurare il servizio, acquisire le credenziali, e collegarsi alla rete. Un problema di questo processo è che le credenziali terminano all’interno della cache del browser invece che all’interno del connection manager. Questo impedisce a quest’ultimo di poterle utilizzare in futuro per connettersi automaticamente alla rete Wi-Fi. In queste figure è mostrato la sequenza dei passi che l’utente deve eseguire per poter acquisire le credenziali nonché il processo da eseguire ogni volta per ottenere la connessione. Poiché questi passaggi sono manuali, molto spesso gli utenti poco tecnici non riescono a capirli e questo comporta un provisioning senza successo. Questo può portare l’utente ad accettare delle credenziali canaglia che vogliono attaccare il dispositivo. Per evitare tutto ciò, questo processo deve essere semplificato sia per l’utente che per service provider. Con Hotspot 2.0 l’utente viene indirizzato ad un portale dove si iscrive al servizio e riceve informazioni. Dopo di che, un'OMA-DM (Open Mobile Alliance – Device Manager) MO (Management Object), che contiene i dati di provisioning, viene inviata al connection manager del 15 dispositivo mobile senza che l’utente debba effettuare ulteriori azioni. In questo modo il connection manager può utilizzare automaticamente le nuove credenziali per accessi alla rete Wi-Fi in futuro. Il processo di selezione e scoperta della rete Quando un utente con un mobile device HS2.0 entra nel raggio di un AP che supporta Hotspot 2.0, si apre automaticamente una finestra di dialogo con quell’AP per determinare le sue capacità. Questo viene fatto utilizzando i pacchetti ANQP che sono inscritti al livello 2 da parte del servizio GAS (in questo punto il dispositivo non è ancora collegato e non ha ancora un indirizzo IP). È lo scambio di pacchetti ANQP che consente al dispositivo di apprendere automaticamente le capacità di un AP. Alcune delle capacità più importanti sono: 1) Il nome di dominio del gestore di rete. Se l’AP fa parte della rete domestica dell’utente, allora non è necessario il processo di roaming e l’utente può passare direttamente all’autenticazione. Se l’AP non è sulla rete domestica dell’utente, allora sarà necessario il roaming. 2) Se è necessario il roaming, la lista di partener roaming supportata dall’AP deve essere passata al dispositivo tramite il protocollo ANQP. Questo può essere fornito sotto forma di un PLMN (Public Land Mobile Network) ID, un realm, o un organizational identifier (OI). Altri attributi che possono essere inoltrati al dispositivo includono la larghezza di banda e il carico sulla rete di accesso. Si tratta d'informazioni utili se vi sono più di un AP in grado di vagare sulla rete principale. Altre informazioni sono passate come parte del processo HS2.0. Una volta che il dispositivo conosce i partener di roaming e l’identità dell’operatore AP, costruisce politiche di selezione della rete per determinare l’AP al quale aderire. La politica di base di Passpoint Release 1 è quella in cui il dispositivo sia in grado, in assenza di preferenze configurate 16 dall’utente, di preferire un’AP di Hotspot 2.0 compatibili rispetto a un’AP legacy e un AP gestito dall’operatore home dell’utente su uno gestito da un operatore visited. La capacità di un dispositivo di memorizzare le funzionalità di una rete Wi-Fi fa si che venga modificata l’esperienza Wi-Fi di un utente insieme alla natura degli SSID (Service Set IDentifier). In passato gli utenti e i dispositivi dovevano ricordare l’SSID, che veniva fornito loro per la connessione, per garantire gli accessi anche nel futuro. Con HS2.0 l’importanza di SSID viene ridotta, e quello che conta è l’AP visited che ha effettuato un accordo di roaming con il provider della rete di casa. In realtà l’idea di base di avere un AP che pubblicizzi più SSID con scopi diversi sarà notevolmente ridotta a favore di Hotspot 2.0 basato su advertisement. Ciò dovrebbe migliorare anche le prestazioni delle reti di telefonia mobile, poiché riduce il traffico airlink associato con i beacons da questi SSID aggiuntivi. La Wi-Fi Alliance ha introdotto anche i propri Hotspot 2.0 ANQP element per estendere le funzionalità di query. Questi elementi sono: - HS Query List: come 802.11u Query List, questa lista identifica gli elementi Hotspot 2.0 richiesti. - HS Capability List: indica gli elementi ANQP di Hotspot 2.0 che possono essere restituiti dall’AP. - Operator Friendly Name element: un campo di testo aperto utilizzato per identificare l’operatore locale Hotspot. - WAN Metrics element: fornisce i dettagli sulla connessione WAN disponibile attraverso la rete WLAN: WAN info (link, status, symmetric link, capacità); Downlink Speed; Uplink Speed; Downlink Load; Uplink Load; Load Measurement Duration (indica il tempo in cui sono state effettuate il downlink e uplink). Questo elemento potrebbe essere molto utile per la selezione della rete, in particolar modo quando i cellulari si trovano in modalità offload. La WAN Metrics information aiuta i dispositivi a selezionare il portale meno congestionato e con un'alta larghezza di banda per la rete. - Connection Capability element: indica lo stato di connessione della parte relativa alla comunicazione e ai protocolli utilizzati. Identifica la disponibilità di protocolli IP comuni (TCP, UDP, IPsec) e porti (21, 80, 443, 5060). Questo elemento sarà importante per i client che cercano di determinare se un particolare servizio è disponibile e permette di gestire le connessioni in base alle esigenze applicative. - NAI Home Realm Query: questo elemento è una query inviata dai client per scoprire i realm supportati. Nella sua Request, il client include il NAI realm per il quale è dotato di 17 credenziali di autenticazione. L’AP confronta l’elenco delle query del client con i NAI realm che può raggiungere e quindi risponde al client. - Operating Class Indication element: fornisce un elenco di frequenze Wi-Fi supportato dagli AP dell’ESS. 2.1 Autenticazione sicura Uno dei problemi più gravi della tecnologia di Hotspot è proprio la selezione automatica di una rete in quanto vi è una totale mancanza di sicurezza. L’obiettivo primario di 802.11u e Hotspot 2.0 è la risoluzione di questo problema. I protocolli d'interworking garantiscono una sicurezza abbastanza robusta fornendo informazioni ai client. In particolare durante il processo di selezione della rete, il client scopre gli operatori di dominio, i roaming consortium, gli authentication realms, e i tipi EAP supportati da una rete Wi-Fi prima di poter creare l’associazione. Per garantire che le reti siano completamente protette, Hotspot 2.0 stabilisce che gli AP debbano supportare WPA2-Enterprise, e i seguenti tipi EAP: Transport Layer Security (TLS), TTLS/MSCHAPv2, Subscriber Identity Module (SIM), AKA, AKA’. Tutti i dispositivi devono supportare EAP-TLS e EAP-TTLS, mentre i dispositivi cellulari devono supportare EAP-SIM e EAP-AKA (vengono utilizzati per l’autenticazione). Qualunque sia il metodo EAP utilizzato, il punto di accesso (o il service provider) deve essere identificato dal dispositivo mobile e viceversa. Quando l’autenticazione è completata, chiavi univoche sono distribuite al punto di accesso e al dispositivo per crittografare il traffico bidirezionale – le chiavi non sono condivise tra i client che si trovano sullo stesso punto di accesso. A questo punto quasi tutti i carriers hanno bisogno di gestire una vasta gamma di dispositivi mobili sulle loro reti. Alcuni di questi dispositivi avranno schede SIM (smartphone), altri invece ne saranno sprovvisti (Apple Ipad). Di conseguenza, la maggior parte, se non tutte, le reti Hotspot dovranno supportare diversi tipi di credenziali insieme ai metodi EAP ad essi associati; inoltre quasi tutti gli operatori di Hotspot hanno la necessità di fornire username e password per i loro clienti walk-up. 802.11u e Hotspot 2.0 forniscono una necessaria, ma non sufficiente soluzione per risolvere il problema della sicurezza di Hotspot. Esso richiede che l’operatore di rete integri i suoi punti di accesso con il server AAA e l’user database. Tuttavia, per rendere questi servizi di sicurezza utili per gli utenti, i server AAA devono consentire l’accesso ai realms di autenticazione per gli utenti che dispongono di credenziali validi. Un semplice utilizzo di questa tecnologia è il provider di servizi Wi-Fi in luoghi pubblici. Un telefono cellulare può avere credenziali valide con il service provider, ma l’Hotspot deve avere accesso ai servizi di autenticazione del service provider. In alcuni 18 casi i servizi di roaming saranno utilizzati come hub per facilitare questo processo. Nel modello hub di roaming, viene fornito un servizio d'intermediazione da parte di una società, il quale forma un rapporto con i service provider e si integra con i loro sistemi, quindi l’operatore di rete si integra con il servizio di autenticazione della società d’intermediazione, così avviene l’accesso alle credenziali attraverso l’hub d’intermediazione. Oltre alla carrier wireless, qualsiasi organizzazione che offra credenziali ai propri clienti potrebbe fungere da archivio delle credenziali, per l’utilizzo del Wi-Fi pubblico. Tali società includono produttori di dispositivi, fornitori di servizi email, social media, società di vendite al dettaglio, fornitori di servizi a banda larga fissa e molti altri. Oltre all’IEEE e alla Wi-Fi Alliance, altre organizzazioni del settore stanno lavorando per promuovere e testare questo complesso ecosistema. La Wireless Broadband Alliance, in collaborazione con la WiFi Alliance, ha creato un suo programma, il Next Generation Hotspot (NGH) conducendo studi per testare l’uso e l’interoperabilità d’integrazione backend tra operatori e provider AAA. Il “end-toend international roaming” e “seamless interoperability across name and visited network operators” sono due elementi principali delle prove NGH. Ci sono tre pilastri tecnologici in NGH: IEEE 802.11u, WPA2-Enterprise, e l’autenticazione basata su EAP. 2.2 Problemi nell’utilizzo di Hotspot Il crescente utilizzo di Hotspot comporta da un lato alcuni problemi di usabilità da parte dell’utente, tra i quali: Processo di login: dopo l’associazione con un Hotspot, l’utente deve avviare un browser per immettere le proprie credenziali. Se questa non è la prima applicazione ad essere lanciata dopo 19 l’associazione, i servizi offerti da hotspot non sono disponibili. Questo è fonte di ambiguità per l’utente poiché il connection manager del dispositivo indica che esso è connesso. Credenziali con validità limitata: i problemi si verificano quando l’utente è stato autenticato con credenziali limitate nel tempo. Quando il tempo si esaurisce, l’accesso alla rete viene improvvisamente perso, mentre il connection manager continua ad indicare che il dispositivo è connesso. Selezione dell’Hotspot: in molte zone sono presenti, a portata radio del dispositivo, più reti Wi-Fi. Se il dispositivo riconosce un Service Set Identifier (SSID), in genere si associa a quella rete. Se invece, non viene riconosciuto l’SSID, l’utente deve effettuare una serie di passi per ottenere l’accesso alla rete: prima di tutto deve avviare il connection manager del dispositivo, selezionare l’SSID per connettersi alla rete, avviare un browser, digitare un nuovo URL, e quindi immettere le credenziali. Questi passi richiedono un po’ di tempo e inoltre causano consumo di batteria e quindi il dispositivo è soggetto ad errori. Hotspot guidati da parteners di roaming: nelle circostanze in cui un dispositivo deve accedere a un hotspot gestito da un partener di roaming dell’home service provider, l’SSID molto spesso sarà sconosciuto al dispositivo. Questo richiede l’intervento di login manuale che include l’intervento dell’utente. Ciò comporta il versamento di costi elevati di roaming verso operatori non graditi e riduce il livello del servizio. A causa di questi problemi di usabilità, alcuni membri della Wi-Fi Alliance si unirono per sviluppare la Wireless Service Provider roaming (WSPr) 1.0. La specifica è stata completata nel 2003, in seguito è stata ufficialmente ritirata e la Wi-Fi Alliance ha scelto di non sviluppare una certificazione WSPr. WSPr 1.0 ed è stato uno dei primi tentativi di automatizzare il processo di login e l’autenticazione. Esso fornisce un accesso automatizzato, grazie all’integrazione di strutture dati XML all’interno delle pagine web consegnate ai dispositivi durante il WebAuth. WSPr ha riscontrato un successo limitato. Nel corso degli anni, i carriers, i produttori di dispositivi e fornitori di software di terze parti hanno continuato a produrre soluzioni per automatizzare il processo di login. 2.3 Minacce alla sicurezza in Hotspot Molti degli attacchi di cui sono soggetti i dispositivi derivano dal fatto che Hotspot utilizzi associazioni libere, non garantendo in questo modo forme di protezione a livello di collegamento. I principali attacchi ai quali sono esposti: 20 Evil twin attack: in questo attacco, un utente malintenzionato imposta un punto di accesso rogue il cui SSID è impostato con lo stesso nome di quello di un punto di accesso messo in atto da un provider di hotspot legittimo. Esso può essere usato per commettere il furto d’identità. Session hi-jacking: un attaccante imita il punto di accesso al quale il cellulare dell’utente è associato provocando la de-associazione dalla rete. L’attaccante assume la sessione della vittima con furto di servizio. Session side-jacking: l’attaccante spia le comunicazioni e intercetta i cookie di sessione della vittima. Inoltre esso può accedere alle pagine web personali della vittima. Intercettazioni: quando le comunicazioni Wi-Fi non sono crittografate possono essere intercettate da utenti malintenzionati. Bisogna notare che le reti private aziendali non soffrono di questi attacchi perché utilizzano protocolli di sicurezza IEEE 802.11i e autenticazione EAP. Queste tecnologie sono state certificate dalla WPA2-Enterprise della Wi-Fi Alliance, e se potessero essere associate anche alle reti Wi-Fi di hotspot esse non sarebbero soggette a questi tipi di attacchi. Uno degli impedimenti alla diffusione di WPA2-Enterprise in hotspot è che le porte dei punti di accesso di 802.1x bloccano qualsiasi tipo di comunicazione prima dell’autenticazione. Un altro impedimento alla diffusione di WPA2Enterprise in hotspot è la difficolta di gestire situazioni di roaming. In genere, se il connection manager del dispositivo non riconosce l’SSID per la rete di un partener di roaming non può nemmeno tentare di unirsi a quella rete. 2.4 L’impatto di Hotspot 2.0 L’impatto che ha avuto Hotspot sul settore è enorme, tutto ciò è testimoniato dal sovraccarico del traffico dati sulle reti. Con Hotspot un utente è in grado di muoversi senza problemi in reti Wi-Fi da qualsiasi postazione. Inoltre essi non devono preoccuparsi o conoscere gli SSID e i protocolli di autenticazione, quindi la loro esperienza di connessione migliora. I proprietari di sedi e gli operatori possono monetizzare al meglio i loro investimenti di rete Wi-Fi attraverso questi accordi di roaming e gli insediamenti che essi comportano. Un operatore di telefonia mobile che distribuisce una rete Wi-Fi in uno stadio può monetizzare tale attività, consentendo agli abbonati di altri operatori di vagare su quella rete. La tecnologia Hotspot 2.0 ha trasformato radicalmente l’industria wireless, ed ha riscontrato un elevato incremento nel 2013. 21 Conclusioni Le reti Wi-Fi sono una componente essenziale per soddisfare la crescente domanda di banda larga mobile. Il valore di business della rete Wi-Fi continuerà ad espandersi offrendo agli utenti una connessione coerente e portatile. 802.11u e Hotspot 2.0 incrementano l’opportunità in termini di accesso pubblico ad una rete, e inoltre il loro impatto ha un’ampia implicazione sull’utente finale, sulle piccole imprese, e sui carrier. Dato che questa tecnologia prolifera, la realtà di una connessione wireless sicura e universale diventerà sempre più tangibile. Queste tecnologie forniscono delle informazioni aggiuntive sulla rete prima dell’associazione e in questo modo i dispositivi client e l’utente finale possono, in modo intelligente e automatico e con precisione, selezionare la rete giusta che supporta i servizi giusti. Con questo miglioramento dei processi di rilevamento e di selezione della rete si è cercato di rendere queste reti il più sicuro possibile, infatti con la normalizzazione di WPA2Enterprise gli utenti possono utilizzare in tutta sicurezza le reti pubbliche. 802.11u, Hotspot 2.0 e Passpoint™, insieme ad altre iniziative del settore come il WBA Next Generation Hotspot, sono stati sviluppati per poter essere utilizzati in un campo abbastanza ampio. La certificazione Passpoint rimuove molti degli ostacoli per l’accesso sicuro, silenzioso e semplice alle reti Wi-Fi di Hotspot e invece di fare in modo che ogni service provider si leghi a un SSID, esso consente ad un singolo SSID di indentificare più service provider, compresi gli operatori di cellulari, MSO, etc. Questo permette ai service provider di estendere i propri servizi, mentre il consumatore sarà in grado di sfruttare le relazioni commerciali esistenti con gli altri hotspot. 22 Bibliografia [1] CISCO, The Future of Hotspots: Making Wi-Fi as Secure and Easy to Use as Cellular, 9 pagine. [2] IEEE Computer Society, 802.11u-2011, 25 Febbraio 2011, 208 pagine. [3] Perminder Dhawan, Amit Mukhopadhyay, e Carlos Urrutia-Valdés, Macro and Small Cell/Wi-Fi Networks: An Analysis of Deployment Options as the Solution for the Mobile Data Explosion, 21 pagine. [4] SlideShare, http://www.slideshare.net/zahidtg/hotspot-20-making-wifi-as-easy-to-, 23/11/2014 [5] SlideShare, http://www.slideshare.net/mjarski/how-80211u-and-hotspot-20-work, 23/11/2014 [6] Stefan Winter (RESTENA, editor), Scott P. Armitage (Loughborough University, UK), Wenche Backman-Kamila (CSC/Funet), Maja Gorecka-Wolniewicz (PSNC/UMK), Zbigniew Ołtuszyk (PIONIER), Marko Stojakovic (AMRES), Marina Vermezovic (AMRES), Tomasz Wolniewicz (PSNC/UMK), with contributions from JRA3 T1 team members, Deliverable DJ3.1.2,3, GÉANT, 8/04/2013, 88 pagine. [7] http://www.ingegneria-informatica.unina.it/, Federico Vibrato, 23/11/2014. [8] Modeling User Preferences for Vertical Handover in 3G-WLAN Interworking Environment on top of IEEE 802.11u, Vishal Gupta Department of Computer Science and \Information Systems Birla Institute of Technology and Science – Pilani Pilani, India, 6 pagine. [9] Eduroam and IEEE 802.11u, Dave Stephenson, Wireless Networking Business Unit Strategic Initiatives and CTO Office, CISCO, 27 Febbraio 2012, 24 pagine. [10] IEEE 802.11u Overview, Klaas Wierenga, TF-Mobility Loughborough, 7 Maggio 2009, 10 pagine. [11] Wi-Fi Certified Passpoint Architecture for Public Access, Aruba White Paper, 15 pagine. [12] Slide “Protocolli per reti mobili”, Stefano Avallone, 2013/2014. 23
© Copyright 2024 Paperzz