A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

PPPoE versus Hotspot Por Patrick Brandão – TMSoft www.tmsoft.com.br.

Apresentações semelhantes


Apresentação em tema: "PPPoE versus Hotspot Por Patrick Brandão – TMSoft www.tmsoft.com.br."— Transcrição da apresentação:

1 PPPoE versus Hotspot Por Patrick Brandão – TMSoft

2 Pré-requisitos Conhecimento intermediário de redes Conhecimento intermediário de redes

3 Hotspot Hotspot não é um protocolo Hotspot não é um protocolo Definição de Hotspot: Definição de Hotspot: Técnica onde ao passar por um firewall/roteador, o roteamento de todos os protocolos são negados (bloqueados). Pacotes tcp para a porta 80 (http) de todos os destinos são redirecionados para uma porta de serviço http dentro do firewall/roteador. Técnica onde ao passar por um firewall/roteador, o roteamento de todos os protocolos são negados (bloqueados). Pacotes tcp para a porta 80 (http) de todos os destinos são redirecionados para uma porta de serviço http dentro do firewall/roteador. Efeito: em vez do site desejado pelo cliente, aparecerá a tela de autenticação. Efeito: em vez do site desejado pelo cliente, aparecerá a tela de autenticação. Após se autentica-se, o roteamento de pacotes é liberado para o ip/mac do cliente. O cliente é conduzido a alguma página (ou a mesma que ele ia visitar originalmente) após autenticação. Após se autentica-se, o roteamento de pacotes é liberado para o ip/mac do cliente. O cliente é conduzido a alguma página (ou a mesma que ele ia visitar originalmente) após autenticação.

4 Hotspot Fluxograma: Fluxograma: Registrado? Apresentar tela de autenticação Não Sim Login e senha Corretos? Apresentar tela Sucesso! Registrar e liberar no firewall ClienteInternet Alertar Acesso negado SimNão

5 Hotspot Ethernet ou a/b/g/n/i Dados IPv4 Encapsulamento de dados Encapsulamento de dados Nenhum encapsulamento adicional necessário. Nenhum encapsulamento adicional necessário. Nenhum overhead além do normal. Nenhum overhead além do normal. ClienteInternet TCP/UDP

6 Hotspot Vantagens Vantagens Em caso de perda de pacotes, o protocolo TCP reenvia os dados, apenas percepção de lentidão. Em caso de perda de pacotes, o protocolo TCP reenvia os dados, apenas percepção de lentidão. Permite uso de DHCP e ZeroConf, nenhuma configuração é necessária no computador do cliente. Permite uso de DHCP e ZeroConf, nenhuma configuração é necessária no computador do cliente. Em redes wireless: Em redes wireless: Interferências e perdas excessivas causam lentidão mas o usuário não percebe nada além disso. Interferências e perdas excessivas causam lentidão mas o usuário não percebe nada além disso. Desvantagens Desvantagens O firewall só consegue identificar o cliente baseado no IP/MAC, caso sejam clonados não haverá como o firewall saber a diferença entre o cliente verdadeiro e o cracker. O firewall só consegue identificar o cliente baseado no IP/MAC, caso sejam clonados não haverá como o firewall saber a diferença entre o cliente verdadeiro e o cracker.

7 PPPoE Soma de dois protocolos Soma de dois protocolos Criado para permitir um túnel privado entre dois computadores em uma rede onde existem vários computadores. Criado para permitir um túnel privado entre dois computadores em uma rede onde existem vários computadores. PPP PPP Redes onde 2 computadores são ligados por linha serial Redes onde 2 computadores são ligados por linha serial Ethernet ou a/b/g/n Ethernet ou a/b/g/n Redes de acesso múltiplo e uso de broadcast para descoberta de vizinhos. Redes de acesso múltiplo e uso de broadcast para descoberta de vizinhos.

8 PPPoE Detalhes do protocolo PPP Detalhes do protocolo PPP Redes onde 2 computadores são ligados por linha serial Redes onde 2 computadores são ligados por linha serial Um computador só tem um vizinho: aquele que está do outro lado do cabo, assim, não é necessário endereço físico (MAC) para enviar quadros. O endereço de destino é sempre o mesmo (FF). Um computador só tem um vizinho: aquele que está do outro lado do cabo, assim, não é necessário endereço físico (MAC) para enviar quadros. O endereço de destino é sempre o mesmo (FF). Flag (7E) Address (FF) Control (03) Flag (7E) Pacote de dados Protocolo Dados IPv4 TCP/UDP PPP Frame

9 PPPoE Detalhes do protocolo Ethernet ou a/b/g/n Detalhes do protocolo Ethernet ou a/b/g/n Rede de acesso múltiplo Rede de acesso múltiplo Um computador pode ter vários vizinhos, assim, é necessário enviar um broadcast (pacote recebido por todos) para perguntar quem é o computador que possui o serviço desejado. Um computador pode ter vários vizinhos, assim, é necessário enviar um broadcast (pacote recebido por todos) para perguntar quem é o computador que possui o serviço desejado. Para enviar um dado para outro computador, é necessário saber seu endereço MAC Para enviar um dado para outro computador, é necessário saber seu endereço MAC MAC Destino MAC Origem VLAN TAG Frame check Pacote de dados Type Length Dados IPv4 TCP/UDP Ethernet Frame

10 PPPoE União dos protocolos: PPPoE União dos protocolos: PPPoE No PPP, o destino é fixo, sempre FF, no Ethernet, o destino é um MAC address, assim destino do protocolo PPP descartado. No PPP, o destino é fixo, sempre FF, no Ethernet, o destino é um MAC address, assim destino do protocolo PPP descartado. O protocolo ethernet é diretamente relacionado a tecnologia de transmissão, assim, não há como modificá- lo, o PPP então será parte dos dados. O protocolo ethernet é diretamente relacionado a tecnologia de transmissão, assim, não há como modificá- lo, o PPP então será parte dos dados. O servidor PPPoE terá vários túneis, cada um com um computador diferente, porém pode acontecer de vários computadores chegarem até o servidor com o mesmo MAC. Para resolver isso, cada túnel MAC a MAC deve possuir sua identificação: Id da sessão (session id). Mesmo que o MAC se repita, o id da sessão garantirá a identificação única de cada túnel. O servidor PPPoE terá vários túneis, cada um com um computador diferente, porém pode acontecer de vários computadores chegarem até o servidor com o mesmo MAC. Para resolver isso, cada túnel MAC a MAC deve possuir sua identificação: Id da sessão (session id). Mesmo que o MAC se repita, o id da sessão garantirá a identificação única de cada túnel.

11 PPPoE Definição de PPPoE Definição de PPPoE Protocolo de encapsulamento de dados em uma rede de acesso múltiplo para dar impressão de que dois computadores possuem um link de ponto a ponto entre si. Protocolo de encapsulamento de dados em uma rede de acesso múltiplo para dar impressão de que dois computadores possuem um link de ponto a ponto entre si. MAC Destino MAC Origem VLAN TAG Frame check Pacote de dados Type Length Dados IPv4 TCP/UDP Type Code Version Session ID PPPoE Payload (Pacote) PPPoE Frame Ethernet Frame

12 PPPoE Como funciona: descoberta do servidor Como funciona: descoberta do servidor Um computador que deseja se conectar a um servidor PPPoE deve primeiro descobrir quem é o servidor. Para isso ele deve saber o MAC do servidor. Um computador que deseja se conectar a um servidor PPPoE deve primeiro descobrir quem é o servidor. Para isso ele deve saber o MAC do servidor. Para descobrir o MAC do servidor PPPoE, o cliente PPPoE (discador) deve enviar um PADI (pacote que pergunta: quem aqui na rede é o servidor PPPoe?). Para descobrir o MAC do servidor PPPoE, o cliente PPPoE (discador) deve enviar um PADI (pacote que pergunta: quem aqui na rede é o servidor PPPoe?). PADI: PPPoE Active Discovery Initiation PADI: PPPoE Active Discovery Initiation MAC de origem: mac da interface de rede do cliente. MAC de origem: mac da interface de rede do cliente. MAC de destino: broadcast. MAC de destino: broadcast.

13 PPPoE Como funciona: descoberta do servidor Como funciona: descoberta do servidor Os servidores PPPoE (podem existir vários na mesma rede sem problemas) que receberem o PADI enviarão para o cliente uma oferta (PADO). Os servidores PPPoE (podem existir vários na mesma rede sem problemas) que receberem o PADI enviarão para o cliente uma oferta (PADO). PADO: PPPoE Active Discovery Offer PADO: PPPoE Active Discovery Offer MAC de origem: mac da interface de rede do servidor PPPoE MAC de origem: mac da interface de rede do servidor PPPoE MAC de destino: mac do cliente que enviou o PADI MAC de destino: mac do cliente que enviou o PADI Nome do serviço AC Access concentrator) Nome do serviço AC Access concentrator) Caso haja vários servidores enviando o PADO: Caso haja vários servidores enviando o PADO: Se o cliente estiver configurado para conectar em algum especifico, ele só processará os PADO com o mesmo nome de AC que ele. Se o cliente estiver configurado para conectar em algum especifico, ele só processará os PADO com o mesmo nome de AC que ele. Se o cliente não filtrar nenhum AC, o PADO processado será o primeiro que chegar, os demais são ignorados. Se o cliente não filtrar nenhum AC, o PADO processado será o primeiro que chegar, os demais são ignorados.

14 PPPoE Como funciona: inicio de sessão Como funciona: inicio de sessão Ao receber um PADO, o cliente que escolher se conectar a um servidor PPPoE deve enviar um pedido de conexão (PADR). Ao receber um PADO, o cliente que escolher se conectar a um servidor PPPoE deve enviar um pedido de conexão (PADR). PADR: PPPoE Active Discorevy Request PADR: PPPoE Active Discorevy Request Mac de origem: mac do cliente Mac de origem: mac do cliente Mac de destino: mac do servidor Mac de destino: mac do servidor Ao receber um PADR, o servidor que aceitar atender o cliente deverá alocar um ID de sessão para o mesmo (Session ID) e enviar um PADS. Ao receber um PADR, o servidor que aceitar atender o cliente deverá alocar um ID de sessão para o mesmo (Session ID) e enviar um PADS. PADS (PPPoE Active Discovery Session) PADS (PPPoE Active Discovery Session) Mac de origem: mac do servidor Mac de origem: mac do servidor Mac de destino: mac do cliente Mac de destino: mac do cliente ID da sessão. ID da sessão.

15 PPPoE Como funciona: negociação de parâmetros Como funciona: negociação de parâmetros Depois de receber um PADS, cliente e servidor iniciarão negociação de protocolos PPP. Depois de receber um PADS, cliente e servidor iniciarão negociação de protocolos PPP. Negociar autenticação de usuário e senha (PAP, CHAP, MS-CHAP, MS-CHAP2). Negociar autenticação de usuário e senha (PAP, CHAP, MS-CHAP, MS-CHAP2). Negociação de criptografia (MPPE), requer uso de *CHAP*. Negociação de criptografia (MPPE), requer uso de *CHAP*. Negociação de parâmetros IP (endereço IP). Negociação de parâmetros IP (endereço IP). Se houver negação em algum estágio das negociações, um PADT é enviado. Em caso de sucesso, a sessão é iniciada. Se houver negação em algum estágio das negociações, um PADT é enviado. Em caso de sucesso, a sessão é iniciada. Como funciona: fim da sessão Como funciona: fim da sessão PADT (PPPoE Active Discovery Termination) PADT (PPPoE Active Discovery Termination) Mac de origem: mac do computador que deseja finalizar a sessão, pode ser o cliente ou o servidor. Mac de origem: mac do computador que deseja finalizar a sessão, pode ser o cliente ou o servidor. Mac de destino: o outro computador. Mac de destino: o outro computador. Resultado: a sessão/conexão é finalizada. Resultado: a sessão/conexão é finalizada.

16 PPPoE Manutenção da sessão Manutenção da sessão Para saber que o cliente está ativo, o servidor mantém uma manutenção através do protocolo LCP (Link Control Protocol). Para saber que o cliente está ativo, o servidor mantém uma manutenção através do protocolo LCP (Link Control Protocol). LCP Echo Request: enviado do servidor para o cliente, que deverá responder um LCP Echo Reply. O LCP Echo Request é enviado com freqüência (de 3 a 60 segundos). LCP Echo Request: enviado do servidor para o cliente, que deverá responder um LCP Echo Reply. O LCP Echo Request é enviado com freqüência (de 3 a 60 segundos). O servidor saberá se o cliente está morto se ele ficar sem responder ao envio de vários Echo Reply. O servidor saberá se o cliente está morto se ele ficar sem responder ao envio de vários Echo Reply. LCP Failure Times é o número de pacotes LCP Echo Request sem resposta. Quando atingido o número limite, o servidor considera o cliente morto. A sessão é exterminada. LCP Failure Times é o número de pacotes LCP Echo Request sem resposta. Quando atingido o número limite, o servidor considera o cliente morto. A sessão é exterminada. Caso o cliente voltar a transmitir após a sessão ser exterminada, o servidor irá ignorá-lo, e opcionalmente, enviar um PADT. Caso o cliente voltar a transmitir após a sessão ser exterminada, o servidor irá ignorá-lo, e opcionalmente, enviar um PADT.

17 PPPoE Sessão PPPoE Sessão PPPoE Cliente PPPoE Servidor PPPoE PADI PADR PADO PADS PADT Túnel Estabelecido MAC a MAC com o mesmo ID. Manutenção constante com LCP Echo Request/Reply.

18 PPPoE Problemas Problemas Quando a rede entre o cliente e o servidor apresenta perda de pacotes, os pacotes PPPoE Echo Request, responsáveis pela manutenção do túnel podem não chegar até a outra ponta até que Failure-times seja atingido, o outro lado será erroneamente considerado morto, resultando em finalização da sessão. Quando a rede entre o cliente e o servidor apresenta perda de pacotes, os pacotes PPPoE Echo Request, responsáveis pela manutenção do túnel podem não chegar até a outra ponta até que Failure-times seja atingido, o outro lado será erroneamente considerado morto, resultando em finalização da sessão. Redes wireless Redes wireless Como o cliente depende do túnel para transferir dados, todas as conexões que passam pelo túnel (downloads, MSN, vídeos) são instantaneamente interrompidos no momento da queda pois o IP do cliente está associado ao túnel e sem IP não há como manté-las. Como o cliente depende do túnel para transferir dados, todas as conexões que passam pelo túnel (downloads, MSN, vídeos) são instantaneamente interrompidos no momento da queda pois o IP do cliente está associado ao túnel e sem IP não há como manté-las. O túnel é executado do MAC da interface para o MAC do servidor, no caso em que o cliente é desassociado do Access Point por falha de sinal, interferência ou reboot do AP, o Windows finaliza todos os processos que dependem daquela interface, resultando em desconexão imediata do túnel, que por sua vez resulta na queda de todas as conexões IP que dependiam dele. O túnel é executado do MAC da interface para o MAC do servidor, no caso em que o cliente é desassociado do Access Point por falha de sinal, interferência ou reboot do AP, o Windows finaliza todos os processos que dependem daquela interface, resultando em desconexão imediata do túnel, que por sua vez resulta na queda de todas as conexões IP que dependiam dele.

19 PPPoE Vantagens Vantagens Túnel privado entre cliente e servidor, o que impossibilita um cracker se infiltrar ou clonar IP/MAC sem passar pelos mesmos estágios de inicio de sessão, onde a autenticação poderá impeli- lo. Túnel privado entre cliente e servidor, o que impossibilita um cracker se infiltrar ou clonar IP/MAC sem passar pelos mesmos estágios de inicio de sessão, onde a autenticação poderá impeli- lo. Permite uso de criptografia MPPE, a mesma de VPNs da Microsoft, garante privacidade de dados ao cliente mesmo em redes sem criptografia (wireless aberto ou rede cabeada). Permite uso de criptografia MPPE, a mesma de VPNs da Microsoft, garante privacidade de dados ao cliente mesmo em redes sem criptografia (wireless aberto ou rede cabeada). Desvantagens Desvantagens Requer criação/configuração de discador PPPoE no computador do cliente, o que aumenta o suporte técnico para usuários leigos. Requer criação/configuração de discador PPPoE no computador do cliente, o que aumenta o suporte técnico para usuários leigos. Desconexões constantes são extremamente irritantes para os usuários do provedor. Desconexões constantes são extremamente irritantes para os usuários do provedor. Não possui a flexibilidade de comunicação do hotspot cuja tela de login pode ser usada para transmitir mensagens. Não possui a flexibilidade de comunicação do hotspot cuja tela de login pode ser usada para transmitir mensagens.

20 Resumo Hotspot Hotspot Permite maquiar problemas na rede, tornando-os menos perceptíveis. Permite maquiar problemas na rede, tornando-os menos perceptíveis. Prove serviços de comunicação com o usuário na tela de login. Prove serviços de comunicação com o usuário na tela de login. Depende da criptografia no meio de transmissão para prover privacidade e segurança. Depende da criptografia no meio de transmissão para prover privacidade e segurança. Funciona em qualquer tipo de rede, com pouca ou muita qualidade, grande ou pequena. Funciona em qualquer tipo de rede, com pouca ou muita qualidade, grande ou pequena. Indicado para redes wireless com qualidade duvidosa. Indicado para redes wireless com qualidade duvidosa. PPPoE PPPoE Prove criptografia, segurança e privacidade. Prove criptografia, segurança e privacidade. Sensível a redes ruins e intermitências na conexão física (cabo de rede ou associação com AP). Sensível a redes ruins e intermitências na conexão física (cabo de rede ou associação com AP). Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet). Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet). Quanto maior o caminho entre o cliente e o servidor PPPoE, maior a chance de perdas de pacotes, o que pode afetar a manutenção do túnel e provocar quedas. Quanto maior o caminho entre o cliente e o servidor PPPoE, maior a chance de perdas de pacotes, o que pode afetar a manutenção do túnel e provocar quedas. Em redes wireless simples ou onde o servidor PPPoE é o próprio AP, o que ajuda a resolver o problema acima. Em redes wireless simples ou onde o servidor PPPoE é o próprio AP, o que ajuda a resolver o problema acima.

21 Sistemas MyAuth2 (http://www.myauth.com.br) MyAuth2 (http://www.myauth.com.br)http://www.myauth.com.br Possui autenticação Hotspot e PPPoE Possui autenticação Hotspot e PPPoE MyAuth3 (http://www.myauth.com.br) MyAuth3 (http://www.myauth.com.br)http://www.myauth.com.br Possui autenticação Hotspot Possui autenticação Hotspot Possui autenticação PPPoE (Plugin PPPoE Server) Possui autenticação PPPoE (Plugin PPPoE Server) Possui servidor RADIUS completo para autenticar hotspot ou PPPoE executados em outros sistemas (mikrotik, cisco, ikarus, staros, chilispot, etc...) Possui servidor RADIUS completo para autenticar hotspot ou PPPoE executados em outros sistemas (mikrotik, cisco, ikarus, staros, chilispot, etc...) Mikrotik Mikrotik Possui autenticação hotspot e pppoe. Depende de servidor RADIUS para alguns tipos de soluções. Possui autenticação hotspot e pppoe. Depende de servidor RADIUS para alguns tipos de soluções.


Carregar ppt "PPPoE versus Hotspot Por Patrick Brandão – TMSoft www.tmsoft.com.br."

Apresentações semelhantes


Anúncios Google