Elaborato Suppa Teresa N46001064

Scuola Politecnica e delle Scienze di Base
Corso di Laurea in Ingegneria Informatica
Elaborato finale in Protocolli per reti mobili
IEEE 802.11u e Hotspot 2.0
Anno Accademico 2013/14
Candidato:
Teresa Suppa
matr. N46001064
1
[Dedica]
2
Indice
Indice............................................................................................................................. 3
Introduzione ................................................................................................................. 4
Capitolo 1: IEEE 802.11u ........................................................................................... 6
1.1 Descrizione Generale ........................................................................................... 6
1.2 I protocolli di Advertisement ................................................................................ 9
1.3 Sicurezza............................................................................................................. 11
1.1 QoS e Emergency Services ................................................................................ 11
Capitolo 2: Hotspot 2.0 ............................................................................................. 13
2.1 Autenticazione sicura ......................................................................................... 18
2.2 Problemi nell’utilizzo di Hotspot ....................................................................... 19
2.3 Minacce alla sicurezza in Hotspot ..................................................................... 20
1.1 L’impatto di Hotspot 2.0 ................................................................................... 21
Conclusioni ................................................................................................................. 22
Bibliografia ................................................................................................................. 23
3
Introduzione
Le reti wireless sono un’importante forma di comunicazione che sfrutta la propagazione di onde
elettromagnetiche nello spazio libero, le quali sono trasmesse in specifiche bande frequenziali. La
Wireless Local Area network, termine inglese abbreviato in WLAN, indica una “rete locale senza
fili”. I vantaggi di questo tipo di rete sono la facilità d'installazione, la flessibilità, e costi inferiori.
Per consentire lo sviluppo delle reti LAN sono stati definiti alcuni standard tra cui l’IEEE 802 che è
un progetto sviluppato dall’IEEE. Al suo interno esistono diversi gruppi di lavoro ( working group ),
che si occupano di specifici aspetti del problema e ad ognuno dei quali è assegnato un identificativo
numerico. Il gruppo di lavoro IEEE 802.11 si è formato nel 1990 con l’obiettivo di specificare il
livello PHY e MAC delle reti WLAN, il cui primo standard è stato rilasciato nel 1997. L’obiettivo
fondamentale di questo standard è di descrivere le funzioni e i servizi richiesti per operare in una
rete wireless.
IEEE 802.11 include una famiglia di standard, cercando di garantire un’interoperabilità tra i diversi
emendamenti. In particolare, in questo elaborato tratteremo dello standard IEEE 802.11u. Lo
standard è stato pubblicato il 25 febbraio 2011; nasce con lo scopo di aggiungere delle nuove
funzionalità per i dispositivi di comunicazione mobili come computer portatili o telefoni multimode. IEEE 802.11u copre i casi in cui il dispositivo di un utente non sia pre-autorizzato a
utilizzare una rete che dovrà essere in grado di consentire l’accesso basato sul rapporto dell’utente
con una rete esterna (ad esempio hotspot), o indicare che l’iscrizione on-line è possibile, o
consentire l’accesso a una serie strettamente limitata di servizi quali i servizi di emergenza .
La tecnologia basata sullo standard IEEE 802.11u è Hotspot 2.0, un approccio di accesso pubblico
Wi-Fi della Wi-Fi Alliance, noto anche come HS2 e Wi-Fi Certified Passpoint. L’idea è di fare in
modo che i dispositivi mobili possano connettersi automaticamente a un servizio Wi-Fi ogni volta
che l’utente inserisce una zona Hotspot 2.0. Se un dispositivo supporta sia lo standard che Hotspot
2.0, si connette automaticamente ad una rete.
Questo tipo di tecnologia si è sviluppata in particolar modo perchè ci sono sempre più persone e
aziende che volontariamente forniscono una rete Internet attraverso le reti wireless, sia per
4
motivazioni idealistiche sia per attirare clienti nei loro esercizi commerciali. Anche gli enti pubblici,
soprattutto i comuni, possono installare delle reti wireless in aree pubbliche a disposizione della
cittadinanza.
Con il diffondersi dei collegamenti via cavo o via ADSL si è avuto un notevole incremento degli
utenti che vanno a realizzare piccole reti locali. Queste reti sono però poco sicure e possono essere
forzate con semplicità permettendo l’intercettazione del traffico wireless che costituisce un rischio
per la privacy e l’accesso abusivo alla rete. Per questo motivo le reti basate sullo standard IEEE
802.11u e sulla tecnologia Hotspot 2.0 cercano di implementare dei meccanismi per garantire una
più robusta sicurezza per i clienti che fanno uso della rete.
5
Capitolo 1: IEEE 802.11u
IEEE 802.11u è il nono emendamento IEEE 802.11-2007 che permette l’interazione di WLAN con
le reti esterne. Esso è stato pubblicato nel Febbraio del 2011 e permette di individuare e selezionare
automaticamente le reti, fornendo informazioni su di essa prima dell’associazione. Gli obiettivi
principali sono quelli di migliorare il servizio d’iscrizione, fornire supporto alle chiamate di
emergenza, garantire la segmentazione del traffico dati degli utenti e incrementare il servizio di
pubblicità.
802.11u ha identificato una serie di requisiti obbligatori che devono essere soddisfatti dalle reti:
Network selection: metodo mediante il quale si verifica se una rete supporta un particolare
Subscription Service Provider Network (SSPN) senza autenticazione; inoltre consente ad un client
con più credenziali di scegliere la rete corretta.
SSPN Interface: specifica le informazioni di autorizzazione che sono fornite al livello MAC.
QoS Mapping: definisce il mapping .
Media Indipendent Handover (MIH)
Emergency Sequence: definisce le funzionalità per effettuare chiamate di emergenza.
1.1 Descrizione Generale
Una delle funzioni più importanti per qualsiasi rete Wi-Fi è il processo mediante il quale le stazioni
client (computer portatili, tablet, cellulari, etc.) scoprono gli Access Point (AP) e ne determinano le
loro capacità. I clients possono usare tecniche di scanning attivo (utilizzando i probes) o passivo
(attraverso i beacons) per scoprire gli AP, conoscere la rete, determinare quale di essa è la migliore,
ed eseguire il collegamento. Purtroppo, questo processo dipende dal riconoscere l’utente attraverso
il nome di rete: l’SSID.
802.11u sostanzialmente, non modifica il processo mediante il quale è individuata una rete, tuttavia,
lo abilita alla scoperta di nuove informazioni durante il processo di scanning e permette al client di
poter interrogare l’ AP per ricevere delle ulteriori informazioni. Un cambiamento rilevante con
l’emendamento 802.11u è la possibilità di identificare con un unico SSID più “home network”.
6
Per migliorare il processo d’individuazione di una rete, il protocollo 802.11u aggiunge dei nuovi
elementi rilevanti al frame che sono: extended capabilities che indica se un AP supporta 802.11u;
interworking che identifica la capacità del servizio di interworking; advertisement protocol che
permette al client di interrogare l’AP sulla rete per ottenere più informazioni prima di creare la
connessione; roaming consortium che identifica i providers o gruppi di roaming.
Extended Capabilities Element
Questo elemento esisteva già da prima che fosse pubblicato l’emendamento 802.11u e alcuni dei sui
bit non utilizzati ora sono da supporto all’interworking. Esso è caratterizzato da: interworking bit
settato a 1 per indicare che supporta l’interworking, QoS Map bit, SSPN Interface che è un bit
impostato per indicare che l’AP ha un’interfaccia per fornire servizi ai provider esterni.
Interworking Element
In questo elemento, vi sono informazioni rilevanti per la rete.
Access Network Options: indica i tipi di accesso a una rete (private, public, etc). Per quanto
riguarda l’accesso ad Internet, quest’ultimo può essere specificato o meno. Quando si utilizzano reti
non protette (autenticazione aperta) in alcuni casi sono aggiunti dei passaggi prima di poter
effettuare l’accesso alla rete. Infatti, per le reti non protette sono aggiunte informazioni ASRA, in
questo modo dopo aver effettuato il collegamento alla rete si viene indirizzati a un URL in cui sono
spiegati i termini e le condizioni d’ uso.
Venue Info: specifica le informazioni riguardanti le sedi. Esso è un campo opzionale, anche se
specificarlo, significa migliorare il comportamento della rete selezionata da parte degli utenti o dei
dispositivi client.
HESSID: identifica un Extended Service Set (ESS), il quale rappresenta un insieme di servizi di
base che garantisce a tutti i provider di poter accedere alla stessa rete esterna. HESSID assume la
forma di un indirizzo MAC (6 byte), ed ha un valore univoco. Anche questo campo è opzionale.
7
Roaming Consortium Element
Il Roaming Consortium è un gruppo di service provider, identificati dall’Organization Identifier (OI)
il quale è assegnato dall’IEEE (per la prima metà è simile ad un indirizzo MAC). Un OI può essere
di 24 bit oppure di 36 bit. Esso identifica un produttore, un operatore o un’altra organizzazione in
maniera globalmente univoca. Durante il processo di rilevamento e selezione della rete, il
dispositivo riceverà una lista di OI e verifica se qualcuno di essi soddisfi le politiche di connessione
e di roaming e le richieste. Il Roaming Consortium Element può contenere fino a 3 OI nel frame
beacon, ma dovrà comunicare al dispositivo un’eventuale aggiunta di OI ottenuti tramite
interrogazioni ANQP.
Advertisement Protocol Element
Lo scopo di 802.11u è principalmente quello di migliorare il processo di selezione di una rete con
l’aggiunta di nuove informazioni sui servizi di rete offerte dall’AP. In questo modo però l’AP
consuma molto tempo di trasmissione. Per evitarne la saturazione, con il frame beacon viene
trasmesso solo un sottoinsieme di informazioni di interworking, le altre vengono fornite solo se
richieste dall’utente. In questo modo l’AP comunica solo le informazioni più importanti per tutte le
stazioni, e poi cerca di pubblicizzare un modo mediante il quale una STA possa conoscere ulteriori
informazioni se lo desidera. L’Advertisement Protocol element facilita questa funzionalità,
individuando i protocolli advertisement con i quali le STA possono interrogare l’AP. Quando
quest’ultimo riceve tali query può rispondere direttamente o delegare un server Advertisement
esterno per la risposta.
8
1.2 I protocolli di Advertisement
Come specificato precedentemente, 802.11u supporta i protocolli di advertisement, in particolar
modo GAS e ANQP. Attraverso questi protocolli un dispositivo client può richiedere ad un AP
informazioni aggiuntive sulla rete che non sono contenute nei frame beacon.
ANQP
Access Network Query Protocol è un protocollo di ricerca mediante il quale è possibile trasmettere
informazioni relative a una rete le quali sono racchiuse negli elementi ANQP. Gli elementi più
rilevanti sono:
-
ANQP Query list: la Query list è inviata dalle stazioni nella GAS Request, indica la lista di
elementi ANQP che vuole ricevere nella GAS Response;
-
ANQP Capability list: identifica gli elementi ANQP supportati dalle AP;
-
Venue Name Information: indica il nome della sede per la rete, è utile all’utente per
selezionare la rete;
-
Emergency Call Number information: specifica una lista di posizioni con i relativi numeri di
emergenza;
-
Network Authentication Type information: se la rete non è sicura, permette di aggiungere
dei nuovi passi prima dell’accesso (ASRA):
1) Accettazione dei termini e delle condizioni
2) Inscrizione on-line, può richiedere infatti che l’utente crei un account di un certo tipo
3) Re indirizzamento HTTP /HTTPS
4) Re indirizzamento DNS
-
Roaming Consortium list: fornisce le stesse informazioni contenute nel roaming consortium
information element;
9
-
IP Address Type Availability information:
1) IPv6
2) IPv4
-
NAI (Network Access Identifies) Realm list: identifica tutti I NAI realms disponibili tramite
il BSS. NAI è un formato standardizzato per identificare gli utenti che richiedono l’accesso
alla rete;
-
3GPP Cellular Network information: identifica la rete cellulare 3GPP disponibile tramite
l’AP. In particolare questo campo identifica l’ID Public Land Mobile Network (PLMN),
composta da Mobile Country Code (MCC) e Mobile Network Code (MNC) del gestore della
telefonia;
-
AP Geospatial Location: fornisce la posizione dell’AP in longitudine, latitudine e altitudine;
-
AP Civic Location: fornisce la posizione dell’AP in formato civico (nazione, città, etc.);
-
AP Location Public Identifier URI: fornisce un riferimento Uri in cui possono essere
recuperate le informazioni riguardanti la posizione;
-
Domain Name List: elenca uno o più nomi del dominio per l’organismo che gestisce l’AP;
-
Emergency Alert Identifier URI: fornisce un URI per il recupero di messaggi;
-
Emergency NAI: fornisce una stringa NAI la quale può essere utilizzata dal client con
autenticazione EAP per accedere ai servizi di emergenza;
-
ANQP vendor-specif list.
GAS
Generic Advertisement Service (GAS) è un framework che provvede al trasporto dei servizi di
advertisement come ANQP. Quando un device deve interrogare l’AP utilizza il processo di scambio
di frame (GAS Request/Response) definito dal protocollo GAS. Il device invia una GAS Request
all’interno della quale è contenuta la lista di elementi ANQP che vuole ricevere dall’AP,
quest’ultimo risponde con una GAS Response contenente gli elementi ANQP richiesti.
10
1.3 Sicurezza
Essa è uno degli aspetti più importanti che bisogna considerare sulla base delle preferenze
dell’utente. Infatti, è proprio quest’ultimo a decidere di volere una rete protetta o meno. Una
possibile modalità per l’utente di poter indicare le proprie preferenze è attraverso l’adozione di AHP,
una tecnica Multi Criteria Decision Making (MCDM).
1.4 QoS e Emergency Services
I cambiamenti nell’industria dei cellulari sono stati uno dei motivi principali per cui sono stati creati
i protocolli d'interworking. 802.11u incorpora un metodo con cui le politiche QoS di un provider di
rete possono essere mappate sulla WLAN per l’end-to-end QoS. L’obiettivo primario di 802.11u
QoS è di mappare le Layer-3 QoS priorities di uno SSPN all'over-the-air Layer 2 Wi-Fi priority. Per
raggiungere questo obiettivo 802.11u introduce il QoS Map Set Information element. Quest’ultimo
contiene un elenco di user priorities (UP), su cui una serie di valori DSCP sono mappati.
Quando la stazione riceve la QoS map, la utilizza per mappare la priorità IP-layer ad una priorità
802.11. Poiché i frame sono passati dal livello IP stack di rete del dispositivo al livello MAC,
vengono mappati in base alla politica 802.11u fornita dall’AP. Allo stesso modo, gli AP seguono
queste mappature nel downlink dei frame QoS ricevute dalla rete cablata e inviati al client. Questa
mappatura consente politiche end-to-end che sono richieste dai service provider.
802.11u fornisce un mezzo per i dispositivi in modo che possano conoscere i servizi di emergenza
messi a loro disposizione prima dell’associazione e durante il collegamento. Il supporto a livello di
collegamento dei servizi d'emergenza viene fornito tramite alcune funzioni primarie:
-
Individuazione dei servizi di emergenza da parte di dispositivi non associati.
11
-
Annunci speciali che forniscono dettagli importanti di emergenza, come ad esempio URI
che fornisce ulteriori informazioni su uno specifico allarme di emergenza.
-
Supporto opzionale per i servizi di emergenza non autenticati.
12
Capitolo 2: Hotspot 2.0
L’obiettivo delle industrie di oggi giorno è quello di migliorare l’esperienza degli utenti durante il
processo di roaming garantendo la stessa facilità di connessione che si ha con la propria rete
domestica anche alle reti visited. Più semplice diventa il processo di connessione, più sarà probabile
che quella rete venga utilizzata. Questo lavoro è conosciuto come Hotspot 2.0 del quale è in corso il
driver da parte della Wi-Fi Alliance (WFA) che certifica anche l’interoperabilità.
Hotspot 2.0 permette ad un mobile device di scoprire gli AP che hanno un accordo di roaming con
la rete principale dell’utente e quindi di permettere la connessione in modo sicuro. La prima uscita
di Hotspot 2.0 fu completata nel Giugno del 2012.
Hotspot 2.0 Task Group
Nel 2010, la CISCO e le altre industrie leader nel settore sono entrate a far parte dell’Hotspot Task
Group della Wi-Fi Alliance. L’obiettivo era quello di definire un insieme di standard per migliorare
notevolmente l’esperienza dell’utente nell’utilizzo di Hotspot. Il soddisfacimento di tutto ciò
garantisce un accesso più semplice e più sicuro alla rete.
Gli elementi chiave dell'Hotspot 2.0 Task Group relativi alla prima versione sono i seguenti:
Individuazione e selezione della rete: i dispositivi potranno scoprire e selezionare
automaticamente le reti Wi-Fi alla quale connettersi in base alle preferenze dell’utente e
l’ottimizzazione della rete.
Accesso alla rete streamlined: i dispositivi accedono automaticamente alla rete sulla base
dell’emissione di credenziali e non è richiesto alcun intervento da parte dell’utente.
Sicurezza: le trasmissioni over-the-air saranno crittografate utilizzando la tecnologia di ultima
generazione (Wi-Fi Certified WPA2-Enterprise ).
Gli elementi chiave della seconda versione di questo programma sono invece:
Immediate account provisioning: semplifica il processo di creazione di un nuovo account per
l’associazione con l’AP eliminando alcuni passaggi che l’utente era costretto a fare prima.
Fornitore della politica per la selezione di un operatore di rete: definisce il criterio per poter
selezionare la rete migliore alla quale associarsi tra quelle disponibili.
13
Hotspot 2.0 Release 1
Si concentra esattamente sulla sicurezza over-the-air, sul rilevamento e sulla selezione della rete. Le
chiavi di attivazione dei protocolli sono IEEE 802.11u, insieme a IEEE 802.1x, metodi EAP
selezionati e IEEE 802.11i. Questi ultimi tre sono parte del programma di certificazione WPA2Enterprise nella Wi-Fi Alliance, e sono standard su tutti gli smartphone. Come abbiamo visto IEEE
802.11u supporta dei protocolli che permettono ad un mobile device di interrogare un AP per
ottenere ulteriori informazione su di una rete. I due protocolli principali sono GAS e ANQP.
Hotspot 2.0 Release 2
Nella Release 2 di Hotspot 2.0, la WFA si sta focalizzando nel fornire credenziali di protezione e
politiche di selezione della rete sul dispositivo dell’utente. Hotspot 2.0 utilizza la crittografia a
chiave pubblica in modo che il dispositivo mobile abbia la prova che sia connesso ad un
provisioning server (aka server d'iscrizione online) gestito dalla scelta dell’utente di SP e non un
server canaglia gestito da un attaccante o da un altro SP. Il tipo di credenziale da provisioning viene
scelto dall’SP dalla seguente lista:
-
User-provided username e password
-
SP-provided username e password. In questo caso, la password può essere abbastanza lunga
riducendo al minimo la probabilità del successo di un attacco, ma questo non è un problema
per l’utente poiché viene indirizzato direttamente nel connection manager del dispositivo
mobile.
-
SP-provided x.509v3 certificato client rilasciato all’AP utilizzando EST (Enrollment of
Secure Transport ) protocollo in fase di sviluppo in IETF.
-
SP pre-provided client certificate. Questo certificato può essere provisioning con qualsiasi
metodo out-of-band che l’SP vuole utilizzare e normalmente viene fatto prima che l’utente
ottenga il proprio dispositivo mobile.
Il provisioning delle credenziali può essere utilizzato con smartphone, tablet, computer portatili, e
qualsiasi altra cosa che utilizza la connettività Wi-Fi. Ciò che è interessante di questo approccio
rispetto a quelli precedenti, che utilizzano un indirizzo MAC o un cookie per l’identificazione, è che
supporta il roaming e l’airlink sicuro. Non solo è possibile che l’utente si connetta automaticamente
ad AP appartenenti all’operatore, per il quale ha firmato per il servizio, ma anche con tutti i partner
di roaming di tale operatore (se tale funzione è abilitata nel pacchetto dei servizi). La possibilità di
14
connettersi automaticamente ad Internet da vari punti di accesso aumenta notevolmente l’utilità di
un servizio Wi-Fi, e più il processo di connessione è trasparente più sarà probabile che il servizio
venga utilizzato. Il provisioning delle credenziali apre nuove opportunità di guadagno per i service
provider, poiché ci sono centinaia di milioni di Wi-Fi attivati su dispositivi che non dispongono di
SIM-card.
Il processo di credential provisioning richiede un po’ d'iterazione con l’utente per configurare il
servizio, acquisire le credenziali, e collegarsi alla rete. Un problema di questo processo è che le
credenziali terminano all’interno della cache del browser invece che all’interno del connection
manager. Questo impedisce a quest’ultimo di poterle utilizzare in futuro per connettersi
automaticamente alla rete Wi-Fi.
In queste figure è mostrato la sequenza dei passi che l’utente deve eseguire per poter acquisire le
credenziali nonché il processo da eseguire ogni volta per ottenere la connessione. Poiché questi
passaggi sono manuali, molto spesso gli utenti poco tecnici non riescono a capirli e questo comporta
un provisioning senza successo. Questo può portare l’utente ad accettare delle credenziali canaglia
che vogliono attaccare il dispositivo. Per evitare tutto ciò, questo processo deve essere semplificato
sia per l’utente che per service provider.
Con Hotspot 2.0 l’utente viene indirizzato ad un portale dove si iscrive al servizio e riceve
informazioni. Dopo di che, un'OMA-DM (Open Mobile Alliance – Device Manager) MO
(Management Object), che contiene i dati di provisioning, viene inviata al connection manager del
15
dispositivo mobile senza che l’utente debba effettuare ulteriori azioni. In questo modo il connection
manager può utilizzare automaticamente le nuove credenziali per accessi alla rete Wi-Fi in futuro.
Il processo di selezione e scoperta della rete
Quando un utente con un mobile device HS2.0 entra nel raggio di un AP che supporta Hotspot 2.0,
si apre automaticamente una finestra di dialogo con quell’AP per determinare le sue capacità.
Questo viene fatto utilizzando i pacchetti ANQP che sono inscritti al livello 2 da parte del servizio
GAS (in questo punto il dispositivo non è ancora collegato e non ha ancora un indirizzo IP). È lo
scambio di pacchetti ANQP che consente al dispositivo di apprendere automaticamente le capacità
di un AP. Alcune delle capacità più importanti sono:
1) Il nome di dominio del gestore di rete. Se l’AP fa parte della rete domestica dell’utente,
allora non è necessario il processo di roaming e l’utente può passare direttamente
all’autenticazione. Se l’AP non è sulla rete domestica dell’utente, allora sarà necessario il
roaming.
2) Se è necessario il roaming, la lista di partener roaming supportata dall’AP deve essere
passata al dispositivo tramite il protocollo ANQP. Questo può essere fornito sotto forma di
un PLMN (Public Land Mobile Network) ID, un realm, o un organizational identifier (OI).
Altri attributi che possono essere inoltrati al dispositivo includono la larghezza di banda e il carico
sulla rete di accesso. Si tratta d'informazioni utili se vi sono più di un AP in grado di vagare sulla
rete principale. Altre informazioni sono passate come parte del processo HS2.0.
Una volta che il dispositivo conosce i partener di roaming e l’identità dell’operatore AP, costruisce
politiche di selezione della rete per determinare l’AP al quale aderire. La politica di base di
Passpoint Release 1 è quella in cui il dispositivo sia in grado, in assenza di preferenze configurate
16
dall’utente, di preferire un’AP di Hotspot 2.0 compatibili rispetto a un’AP legacy e un AP gestito
dall’operatore home dell’utente su uno gestito da un operatore visited.
La capacità di un dispositivo di memorizzare le funzionalità di una rete Wi-Fi fa si che venga
modificata l’esperienza Wi-Fi di un utente insieme alla natura degli SSID (Service Set IDentifier).
In passato gli utenti e i dispositivi dovevano ricordare l’SSID, che veniva fornito loro per la
connessione, per garantire gli accessi anche nel futuro. Con HS2.0 l’importanza di SSID viene
ridotta, e quello che conta è l’AP visited che ha effettuato un accordo di roaming con il provider
della rete di casa. In realtà l’idea di base di avere un AP che pubblicizzi più SSID con scopi diversi
sarà notevolmente ridotta a favore di Hotspot 2.0 basato su advertisement. Ciò dovrebbe migliorare
anche le prestazioni delle reti di telefonia mobile, poiché riduce il traffico airlink associato con i
beacons da questi SSID aggiuntivi.
La Wi-Fi Alliance ha introdotto anche i propri Hotspot 2.0 ANQP element per estendere le
funzionalità di query. Questi elementi sono:
-
HS Query List: come 802.11u Query List, questa lista identifica gli elementi Hotspot 2.0
richiesti.
-
HS Capability List: indica gli elementi ANQP di Hotspot 2.0 che possono essere restituiti
dall’AP.
-
Operator Friendly Name element: un campo di testo aperto utilizzato per identificare
l’operatore locale Hotspot.
-
WAN Metrics element: fornisce i dettagli sulla connessione WAN disponibile attraverso la
rete WLAN: WAN info (link, status, symmetric link, capacità); Downlink Speed; Uplink
Speed; Downlink Load; Uplink Load; Load Measurement Duration (indica il tempo in cui
sono state effettuate il downlink e uplink). Questo elemento potrebbe essere molto utile per
la selezione della rete, in particolar modo quando i cellulari si trovano in modalità offload.
La WAN Metrics information aiuta i dispositivi a selezionare il portale meno congestionato
e con un'alta larghezza di banda per la rete.
-
Connection Capability element: indica lo stato di connessione della parte relativa alla
comunicazione e ai protocolli utilizzati. Identifica la disponibilità di protocolli IP comuni
(TCP, UDP, IPsec) e porti (21, 80, 443, 5060). Questo elemento sarà importante per i client
che cercano di determinare se un particolare servizio è disponibile e permette di gestire le
connessioni in base alle esigenze applicative.
-
NAI Home Realm Query: questo elemento è una query inviata dai client per scoprire i realm
supportati. Nella sua Request, il client include il NAI realm per il quale è dotato di
17
credenziali di autenticazione. L’AP confronta l’elenco delle query del client con i NAI realm
che può raggiungere e quindi risponde al client.
-
Operating Class Indication element: fornisce un elenco di frequenze Wi-Fi supportato dagli
AP dell’ESS.
2.1 Autenticazione sicura
Uno dei problemi più gravi della tecnologia di Hotspot è proprio la selezione automatica di una rete
in quanto vi è una totale mancanza di sicurezza. L’obiettivo primario di 802.11u e Hotspot 2.0 è la
risoluzione di questo problema.
I protocolli d'interworking garantiscono una sicurezza abbastanza robusta fornendo informazioni ai
client. In particolare durante il processo di selezione della rete, il client scopre gli operatori di
dominio, i roaming consortium, gli authentication realms, e i tipi EAP supportati da una rete Wi-Fi
prima di poter creare l’associazione. Per garantire che le reti siano completamente protette, Hotspot
2.0 stabilisce che gli AP debbano supportare WPA2-Enterprise, e i seguenti tipi EAP: Transport
Layer Security (TLS), TTLS/MSCHAPv2, Subscriber Identity Module (SIM), AKA, AKA’. Tutti i
dispositivi devono supportare EAP-TLS e EAP-TTLS, mentre i dispositivi cellulari devono
supportare EAP-SIM e EAP-AKA (vengono utilizzati per l’autenticazione).
Qualunque sia il metodo EAP utilizzato, il punto di accesso (o il service provider) deve essere
identificato dal dispositivo mobile e viceversa. Quando l’autenticazione è completata, chiavi
univoche sono distribuite al punto di accesso e al dispositivo per crittografare il traffico
bidirezionale – le chiavi non sono condivise tra i client che si trovano sullo stesso punto di accesso.
A questo punto quasi tutti i carriers hanno bisogno di gestire una vasta gamma di dispositivi mobili
sulle loro reti. Alcuni di questi dispositivi avranno schede SIM (smartphone), altri invece ne
saranno sprovvisti (Apple Ipad). Di conseguenza, la maggior parte, se non tutte, le reti Hotspot
dovranno supportare diversi tipi di credenziali insieme ai metodi EAP ad essi associati; inoltre quasi
tutti gli operatori di Hotspot hanno la necessità di fornire username e password per i loro clienti
walk-up.
802.11u e Hotspot 2.0 forniscono una necessaria, ma non sufficiente soluzione per risolvere il
problema della sicurezza di Hotspot. Esso richiede che l’operatore di rete integri i suoi punti di
accesso con il server AAA e l’user database. Tuttavia, per rendere questi servizi di sicurezza utili
per gli utenti, i server AAA devono consentire l’accesso ai realms di autenticazione per gli utenti
che dispongono di credenziali validi. Un semplice utilizzo di questa tecnologia è il provider di
servizi Wi-Fi in luoghi pubblici. Un telefono cellulare può avere credenziali valide con il service
provider, ma l’Hotspot deve avere accesso ai servizi di autenticazione del service provider. In alcuni
18
casi i servizi di roaming saranno utilizzati come hub per facilitare questo processo. Nel modello hub
di roaming, viene fornito un servizio d'intermediazione da parte di una società, il quale forma un
rapporto con i service provider e si integra con i loro sistemi, quindi l’operatore di rete si integra
con il servizio di autenticazione della società d’intermediazione, così avviene l’accesso alle
credenziali attraverso l’hub d’intermediazione. Oltre alla carrier wireless, qualsiasi organizzazione
che offra credenziali ai propri clienti potrebbe fungere da archivio delle credenziali, per l’utilizzo
del Wi-Fi pubblico. Tali società includono produttori di dispositivi, fornitori di servizi email, social
media, società di vendite al dettaglio, fornitori di servizi a banda larga fissa e molti altri. Oltre
all’IEEE e alla Wi-Fi Alliance, altre organizzazioni del settore stanno lavorando per promuovere e
testare questo complesso ecosistema. La Wireless Broadband Alliance, in collaborazione con la WiFi Alliance, ha creato un suo programma, il Next Generation Hotspot (NGH) conducendo studi per
testare l’uso e l’interoperabilità d’integrazione backend tra operatori e provider AAA. Il “end-toend international roaming” e “seamless interoperability across name and visited network operators”
sono due elementi principali delle prove NGH.
Ci sono tre pilastri tecnologici in NGH: IEEE 802.11u, WPA2-Enterprise, e l’autenticazione basata
su EAP.
2.2 Problemi nell’utilizzo di Hotspot
Il crescente utilizzo di Hotspot comporta da un lato alcuni problemi di usabilità da parte dell’utente,
tra i quali:
Processo di login: dopo l’associazione con un Hotspot, l’utente deve avviare un browser per
immettere le proprie credenziali. Se questa non è la prima applicazione ad essere lanciata dopo
19
l’associazione, i servizi offerti da hotspot non sono disponibili. Questo è fonte di ambiguità per
l’utente poiché il connection manager del dispositivo indica che esso è connesso.
Credenziali con validità limitata: i problemi si verificano quando l’utente è stato autenticato con
credenziali limitate nel tempo. Quando il tempo si esaurisce, l’accesso alla rete viene
improvvisamente perso, mentre il connection manager continua ad indicare che il dispositivo è
connesso.
Selezione dell’Hotspot: in molte zone sono presenti, a portata radio del dispositivo, più reti Wi-Fi.
Se il dispositivo riconosce un Service Set Identifier (SSID), in genere si associa a quella rete. Se
invece, non viene riconosciuto l’SSID, l’utente deve effettuare una serie di passi per ottenere
l’accesso alla rete: prima di tutto deve avviare il connection manager del dispositivo, selezionare
l’SSID per connettersi alla rete, avviare un browser, digitare un nuovo URL, e quindi immettere le
credenziali. Questi passi richiedono un po’ di tempo e inoltre causano consumo di batteria e quindi
il dispositivo è soggetto ad errori.
Hotspot guidati da parteners di roaming: nelle circostanze in cui un dispositivo deve accedere a
un hotspot gestito da un partener di roaming dell’home service provider, l’SSID molto spesso sarà
sconosciuto al dispositivo. Questo richiede l’intervento di login manuale che include l’intervento
dell’utente. Ciò comporta il versamento di costi elevati di roaming verso operatori non graditi e
riduce il livello del servizio.
A causa di questi problemi di usabilità, alcuni membri della Wi-Fi Alliance si unirono per
sviluppare la Wireless Service Provider roaming (WSPr) 1.0. La specifica è stata completata nel
2003, in seguito è stata ufficialmente ritirata e la Wi-Fi Alliance ha scelto di non sviluppare una
certificazione WSPr. WSPr 1.0 ed è stato uno dei primi tentativi di automatizzare il processo di
login e l’autenticazione. Esso fornisce un accesso automatizzato, grazie all’integrazione di strutture
dati XML all’interno delle pagine web consegnate ai dispositivi durante il WebAuth. WSPr ha
riscontrato un successo limitato.
Nel corso degli anni, i carriers, i produttori di dispositivi e fornitori di software di terze parti hanno
continuato a produrre soluzioni per automatizzare il processo di login.
2.3 Minacce alla sicurezza in Hotspot
Molti degli attacchi di cui sono soggetti i dispositivi derivano dal fatto che Hotspot utilizzi
associazioni libere, non garantendo in questo modo forme di protezione a livello di collegamento. I
principali attacchi ai quali sono esposti:
20
Evil twin attack: in questo attacco, un utente malintenzionato imposta un punto di accesso rogue il
cui SSID è impostato con lo stesso nome di quello di un punto di accesso messo in atto da un
provider di hotspot legittimo. Esso può essere usato per commettere il furto d’identità.
Session hi-jacking: un attaccante imita il punto di accesso al quale il cellulare dell’utente è
associato provocando la de-associazione dalla rete. L’attaccante assume la sessione della vittima
con furto di servizio.
Session side-jacking: l’attaccante spia le comunicazioni e intercetta i cookie di sessione della
vittima. Inoltre esso può accedere alle pagine web personali della vittima.
Intercettazioni: quando le comunicazioni Wi-Fi non sono crittografate possono essere intercettate
da utenti malintenzionati.
Bisogna notare che le reti private aziendali non soffrono di questi attacchi perché utilizzano
protocolli di sicurezza IEEE 802.11i e autenticazione EAP. Queste tecnologie sono state certificate
dalla WPA2-Enterprise della Wi-Fi Alliance, e se potessero essere associate anche alle reti Wi-Fi di
hotspot esse non sarebbero soggette a questi tipi di attacchi. Uno degli impedimenti alla diffusione
di WPA2-Enterprise in hotspot è che le porte dei punti di accesso di 802.1x bloccano qualsiasi tipo
di comunicazione prima dell’autenticazione. Un altro impedimento alla diffusione di WPA2Enterprise in hotspot è la difficolta di gestire situazioni di roaming. In genere, se il connection
manager del dispositivo non riconosce l’SSID per la rete di un partener di roaming non può
nemmeno tentare di unirsi a quella rete.
2.4 L’impatto di Hotspot 2.0
L’impatto che ha avuto Hotspot sul settore è enorme, tutto ciò è testimoniato dal sovraccarico del
traffico dati sulle reti. Con Hotspot un utente è in grado di muoversi senza problemi in reti Wi-Fi da
qualsiasi postazione. Inoltre essi non devono preoccuparsi o conoscere gli SSID e i protocolli di
autenticazione, quindi la loro esperienza di connessione migliora. I proprietari di sedi e gli operatori
possono monetizzare al meglio i loro investimenti di rete Wi-Fi attraverso questi accordi di roaming
e gli insediamenti che essi comportano. Un operatore di telefonia mobile che distribuisce una rete
Wi-Fi in uno stadio può monetizzare tale attività, consentendo agli abbonati di altri operatori di
vagare su quella rete. La tecnologia Hotspot 2.0 ha trasformato radicalmente l’industria wireless, ed
ha riscontrato un elevato incremento nel 2013.
21
Conclusioni
Le reti Wi-Fi sono una componente essenziale per soddisfare la crescente domanda di banda larga
mobile. Il valore di business della rete Wi-Fi continuerà ad espandersi offrendo agli utenti una
connessione coerente e portatile.
802.11u e Hotspot 2.0 incrementano l’opportunità in termini di accesso pubblico ad una rete, e
inoltre il loro impatto ha un’ampia implicazione sull’utente finale, sulle piccole imprese, e sui
carrier. Dato che questa tecnologia prolifera, la realtà di una connessione wireless sicura e
universale diventerà sempre più tangibile. Queste tecnologie forniscono delle informazioni
aggiuntive sulla rete prima dell’associazione e in questo modo i dispositivi client e l’utente finale
possono, in modo intelligente e automatico e con precisione, selezionare la rete giusta che supporta
i servizi giusti. Con questo miglioramento dei processi di rilevamento e di selezione della rete si è
cercato di rendere queste reti il più sicuro possibile, infatti con la normalizzazione di WPA2Enterprise gli utenti possono utilizzare in tutta sicurezza le reti pubbliche.
802.11u, Hotspot 2.0 e Passpoint™, insieme ad altre iniziative del settore come il WBA Next
Generation Hotspot, sono stati sviluppati per poter essere utilizzati in un campo abbastanza ampio.
La certificazione Passpoint rimuove molti degli ostacoli per l’accesso sicuro, silenzioso e semplice
alle reti Wi-Fi di Hotspot e invece di fare in modo che ogni service provider si leghi a un SSID,
esso consente ad un singolo SSID di indentificare più service provider, compresi gli operatori di
cellulari, MSO, etc. Questo permette ai service provider di estendere i propri servizi, mentre il
consumatore sarà in grado di sfruttare le relazioni commerciali esistenti con gli altri hotspot.
22
Bibliografia
[1]
CISCO, The Future of Hotspots: Making Wi-Fi as Secure
and Easy to Use as Cellular, 9 pagine.
[2]
IEEE Computer Society, 802.11u-2011, 25 Febbraio 2011, 208 pagine.
[3]
Perminder Dhawan, Amit Mukhopadhyay, e Carlos Urrutia-Valdés, Macro and
Small Cell/Wi-Fi Networks: An Analysis of Deployment Options as the Solution for
the Mobile Data Explosion, 21 pagine.
[4]
SlideShare,
http://www.slideshare.net/zahidtg/hotspot-20-making-wifi-as-easy-to-,
23/11/2014
[5]
SlideShare,
http://www.slideshare.net/mjarski/how-80211u-and-hotspot-20-work,
23/11/2014
[6]
Stefan Winter (RESTENA, editor), Scott P. Armitage (Loughborough University,
UK), Wenche Backman-Kamila (CSC/Funet), Maja Gorecka-Wolniewicz
(PSNC/UMK), Zbigniew Ołtuszyk (PIONIER), Marko Stojakovic (AMRES),
Marina Vermezovic (AMRES), Tomasz Wolniewicz (PSNC/UMK), with
contributions from JRA3 T1 team members, Deliverable DJ3.1.2,3, GÉANT,
8/04/2013, 88 pagine.
[7]
http://www.ingegneria-informatica.unina.it/, Federico Vibrato, 23/11/2014.
[8]
Modeling User Preferences for Vertical Handover in 3G-WLAN Interworking
Environment on top of IEEE 802.11u, Vishal Gupta Department of Computer
Science and \Information Systems Birla Institute of Technology and Science – Pilani
Pilani, India, 6 pagine.
[9]
Eduroam and IEEE 802.11u, Dave Stephenson, Wireless Networking Business Unit
Strategic Initiatives and CTO Office, CISCO, 27 Febbraio 2012, 24 pagine.
[10]
IEEE 802.11u Overview, Klaas Wierenga, TF-Mobility Loughborough, 7 Maggio
2009, 10 pagine.
[11]
Wi-Fi Certified Passpoint Architecture for Public Access, Aruba White Paper, 15
pagine.
[12]
Slide “Protocolli per reti mobili”, Stefano Avallone, 2013/2014.
23