Por Patrick Brandão – TMSoft www.tmsoft.com.br PPPoE versus Hotspot Por Patrick Brandão – TMSoft www.tmsoft.com.br

Conhecimento intermediário de redes Pré-requisitos Conhecimento intermediário de redes

Hotspot Hotspot não é um protocolo Definição de Hotspot: Técnica onde ao passar por um firewall/roteador, o roteamento de todos os protocolos são negados (bloqueados). Pacotes tcp para a porta 80 (http) de todos os destinos são redirecionados para uma porta de serviço http dentro do firewall/roteador. Efeito: em vez do site desejado pelo cliente, aparecerá a tela de autenticação. Após se autentica-se, o roteamento de pacotes é liberado para o ip/mac do cliente. O cliente é conduzido a alguma página (ou a mesma que ele ia visitar originalmente) após autenticação.

Hotspot Fluxograma: Cliente Registrado? Internet Sim Não Apresentar tela Sucesso! Apresentar tela de autenticação Alertar Acesso negado Registrar e liberar no firewall Login e senha Corretos? Não Sim

Hotspot Encapsulamento de dados Nenhum encapsulamento adicional necessário. Nenhum overhead além do normal. Dados TCP/UDP IPv4 Ethernet ou 802.11a/b/g/n/i Cliente Internet

Hotspot Vantagens Desvantagens Em caso de perda de pacotes, o protocolo TCP reenvia os dados, apenas percepção de lentidão. Permite uso de DHCP e ZeroConf, nenhuma configuração é necessária no computador do cliente. Em redes wireless: Interferências e perdas excessivas causam lentidão mas o usuário não percebe nada além disso. Desvantagens O firewall só consegue identificar o cliente baseado no IP/MAC, caso sejam clonados não haverá como o firewall saber a diferença entre o cliente verdadeiro e o cracker.

PPPoE Soma de dois protocolos Criado para permitir um túnel privado entre dois computadores em uma rede onde existem vários computadores. PPP Redes onde 2 computadores são ligados por linha serial Ethernet ou 802.11a/b/g/n Redes de acesso múltiplo e uso de broadcast para descoberta de vizinhos.

PPPoE Detalhes do protocolo PPP Redes onde 2 computadores são ligados por linha serial Um computador só tem um vizinho: aquele que está do outro lado do cabo, assim, não é necessário endereço físico (MAC) para enviar quadros. O endereço de destino é sempre o mesmo (FF). Dados TCP/UDP IPv4 PPP Frame Flag (7E) Address (FF) Control (03) Protocolo Flag (7E) Pacote de dados

PPPoE Detalhes do protocolo Ethernet ou 802.11a/b/g/n Rede de acesso múltiplo Um computador pode ter vários vizinhos, assim, é necessário enviar um broadcast (pacote recebido por todos) para perguntar quem é o computador que possui o serviço desejado. Para enviar um dado para outro computador, é necessário saber seu endereço MAC Dados TCP/UDP IPv4 Ethernet Frame MAC Destino MAC Origem VLAN TAG Type Length Frame check Pacote de dados

PPPoE União dos protocolos: PPPoE No PPP, o destino é fixo, sempre FF, no Ethernet, o destino é um MAC address, assim destino do protocolo PPP descartado. O protocolo ethernet é diretamente relacionado a tecnologia de transmissão, assim, não há como modificá-lo, o PPP então será parte dos dados. O servidor PPPoE terá vários túneis, cada um com um computador diferente, porém pode acontecer de vários computadores chegarem até o servidor com o mesmo MAC. Para resolver isso, cada túnel MAC a MAC deve possuir sua identificação: Id da sessão (session id). Mesmo que o MAC se repita, o id da sessão garantirá a identificação única de cada túnel.

PPPoE Payload (Pacote) Definição de PPPoE Protocolo de encapsulamento de dados em uma rede de acesso múltiplo para dar impressão de que dois computadores possuem um link de ponto a ponto entre si. Dados TCP/UDP IPv4 PPPoE Frame Type Code Session ID Version PPPoE Payload (Pacote) Ethernet Frame MAC Destino MAC Origem VLAN TAG Type Length Frame check Pacote de dados

PPPoE Como funciona: descoberta do servidor Um computador que deseja se conectar a um servidor PPPoE deve primeiro descobrir quem é o servidor. Para isso ele deve saber o MAC do servidor. Para descobrir o MAC do servidor PPPoE, o cliente PPPoE (discador) deve enviar um PADI (pacote que pergunta: quem aqui na rede é o servidor PPPoe?). PADI: PPPoE Active Discovery Initiation MAC de origem: mac da interface de rede do cliente. MAC de destino: broadcast.

PPPoE Como funciona: descoberta do servidor Os servidores PPPoE (podem existir vários na mesma rede sem problemas) que receberem o PADI enviarão para o cliente uma oferta (PADO). PADO: PPPoE Active Discovery Offer MAC de origem: mac da interface de rede do servidor PPPoE MAC de destino: mac do cliente que enviou o PADI Nome do serviço AC Access concentrator) Caso haja vários servidores enviando o PADO: Se o cliente estiver configurado para conectar em algum especifico, ele só processará os PADO com o mesmo nome de AC que ele. Se o cliente não filtrar nenhum AC, o PADO processado será o primeiro que chegar, os demais são ignorados.

PPPoE Como funciona: inicio de sessão Ao receber um PADO, o cliente que escolher se conectar a um servidor PPPoE deve enviar um pedido de conexão (PADR). PADR: PPPoE Active Discorevy Request Mac de origem: mac do cliente Mac de destino: mac do servidor Ao receber um PADR, o servidor que aceitar atender o cliente deverá alocar um ID de sessão para o mesmo (Session ID) e enviar um PADS. PADS (PPPoE Active Discovery Session) Mac de origem: mac do servidor Mac de destino: mac do cliente ID da sessão.

PPPoE Como funciona: negociação de parâmetros Depois de receber um PADS, cliente e servidor iniciarão negociação de protocolos PPP. Negociar autenticação de usuário e senha (PAP, CHAP, MS-CHAP, MS-CHAP2). Negociação de criptografia (MPPE), requer uso de *CHAP*. Negociação de parâmetros IP (endereço IP). Se houver negação em algum estágio das negociações, um PADT é enviado. Em caso de sucesso, a sessão é iniciada. Como funciona: fim da sessão PADT (PPPoE Active Discovery Termination) Mac de origem: mac do computador que deseja finalizar a sessão, pode ser o cliente ou o servidor. Mac de destino: o outro computador. Resultado: a sessão/conexão é finalizada.

PPPoE Manutenção da sessão Para saber que o cliente está ativo, o servidor mantém uma manutenção através do protocolo LCP (Link Control Protocol). LCP Echo Request: enviado do servidor para o cliente, que deverá responder um LCP Echo Reply. O LCP Echo Request é enviado com freqüência (de 3 a 60 segundos). O servidor saberá se o cliente está morto se ele ficar sem responder ao envio de vários Echo Reply. LCP Failure Times é o número de pacotes LCP Echo Request sem resposta. Quando atingido o número limite, o servidor considera o cliente morto. A sessão é exterminada. Caso o cliente voltar a transmitir após a sessão ser exterminada, o servidor irá ignorá-lo, e opcionalmente, enviar um PADT.

PPPoE Sessão PPPoE PADI PADO Cliente PPPoE Servidor PPPoE PADR PADS Túnel Estabelecido MAC a MAC com o mesmo ID. Manutenção constante com LCP Echo Request/Reply. PADT

PPPoE Problemas Redes wireless Quando a rede entre o cliente e o servidor apresenta perda de pacotes, os pacotes PPPoE Echo Request, responsáveis pela manutenção do túnel podem não chegar até a outra ponta até que Failure-times seja atingido, o outro lado será erroneamente considerado morto, resultando em finalização da sessão. Redes wireless Como o cliente depende do túnel para transferir dados, todas as conexões que passam pelo túnel (downloads, MSN, vídeos) são instantaneamente interrompidos no momento da queda pois o IP do cliente está associado ao túnel e sem IP não há como manté-las. O túnel é executado do MAC da interface para o MAC do servidor, no caso em que o cliente é desassociado do Access Point por falha de sinal, interferência ou reboot do AP, o Windows finaliza todos os processos que dependem daquela interface, resultando em desconexão imediata do túnel, que por sua vez resulta na queda de todas as conexões IP que dependiam dele.

PPPoE Vantagens Desvantagens Túnel privado entre cliente e servidor, o que impossibilita um cracker se infiltrar ou clonar IP/MAC sem passar pelos mesmos estágios de inicio de sessão, onde a autenticação poderá impeli-lo. Permite uso de criptografia MPPE, a mesma de VPNs da Microsoft, garante privacidade de dados ao cliente mesmo em redes sem criptografia (wireless aberto ou rede cabeada). Desvantagens Requer criação/configuração de discador PPPoE no computador do cliente, o que aumenta o suporte técnico para usuários leigos. Desconexões constantes são extremamente irritantes para os usuários do provedor. Não possui a flexibilidade de comunicação do hotspot cuja tela de login pode ser usada para transmitir mensagens.

Resumo Hotspot Permite “maquiar” problemas na rede, tornando-os menos perceptíveis. Prove serviços de comunicação com o usuário na tela de login. Depende da criptografia no meio de transmissão para prover privacidade e segurança. Funciona em qualquer tipo de rede, com pouca ou muita qualidade, grande ou pequena. Indicado para redes wireless com qualidade duvidosa. PPPoE Prove criptografia, segurança e privacidade. Sensível a redes ruins e intermitências na conexão física (cabo de rede ou associação com AP). Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet). Quanto maior o caminho entre o cliente e o servidor PPPoE, maior a chance de perdas de pacotes, o que pode afetar a manutenção do túnel e provocar quedas. Em redes wireless simples ou onde o servidor PPPoE é o próprio AP, o que ajuda a resolver o problema acima.

Sistemas MyAuth2 (http://www.myauth.com.br) Possui autenticação Hotspot e PPPoE MyAuth3 (http://www.myauth.com.br) Possui autenticação Hotspot Possui autenticação PPPoE (Plugin PPPoE Server) Possui servidor RADIUS completo para autenticar hotspot ou PPPoE executados em outros sistemas (mikrotik, cisco, ikarus, staros, chilispot, etc...) Mikrotik Possui autenticação hotspot e pppoe. Depende de servidor RADIUS para alguns tipos de soluções.