PPPoE versus Hotspot

1. PPPoEversusHotspot Por Patrick Brandão – TMSoft www.tmsoft.com.br

2. Pré-requisitos Conhecimento intermediário de redes

3. Hotspot • Hotspot não é um protocolo • Definição de Hotspot: • Técnica onde ao passar por um firewall/roteador, o roteamento de todos os protocolos são negados (bloqueados). Pacotes tcp para a porta 80 (http) de todos os destinos são redirecionados para uma porta de serviço http dentro do firewall/roteador. • Efeito: em vez do site desejado pelo cliente, aparecerá a tela de autenticação. • Após se autentica-se, o roteamento de pacotes é liberado para o ip/mac do cliente. O cliente é conduzido a alguma página (ou a mesma que ele ia visitar originalmente) após autenticação.

4. Hotspot • Fluxograma: Cliente Registrado? Internet Sim Não Apresentar tela Sucesso! Apresentar tela de autenticação Alertar Acesso negado Registrar e liberar no firewall Login e senha Corretos? Não Sim

5. Hotspot • Encapsulamento de dados • Nenhum encapsulamento adicional necessário. • Nenhum overhead além do normal. Dados TCP/UDP IPv4 Ethernet ou 802.11a/b/g/n/i Cliente Internet

6. Hotspot • Vantagens • Em caso de perda de pacotes, o protocolo TCP reenvia os dados, apenas percepção de lentidão. • Permite uso de DHCP e ZeroConf, nenhuma configuração é necessária no computador do cliente. • Em redes wireless: • Interferências e perdas excessivas causam lentidão mas o usuário não percebe nada além disso. • Desvantagens • O firewall só consegue identificar o cliente baseado no IP/MAC, caso sejam clonados não haverá como o firewall saber a diferença entre o cliente verdadeiro e o cracker.

7. PPPoE • Soma de dois protocolos • Criado para permitir um túnel privado entre dois computadores em uma rede onde existem vários computadores. • PPP • Redes onde 2 computadores são ligados por linha serial • Ethernet ou 802.11a/b/g/n • Redes de acesso múltiplo e uso de broadcast para descoberta de vizinhos.

8. PPPoE • Detalhes do protocolo PPP • Redes onde 2 computadores são ligados por linha serial • Um computador só tem um vizinho: aquele que está do outro lado do cabo, assim, não é necessário endereço físico (MAC) para enviar quadros. O endereço de destino é sempre o mesmo (FF). Dados TCP/UDP IPv4 PPP Frame Flag (7E) Address (FF) Control (03) Protocolo Flag (7E) Pacote de dados

9. PPPoE • Detalhes do protocolo Ethernet ou 802.11a/b/g/n • Rede de acesso múltiplo • Um computador pode ter vários vizinhos, assim, é necessário enviar um broadcast (pacote recebido por todos) para perguntar quem é o computador que possui o serviço desejado. • Para enviar um dado para outro computador, é necessário saber seu endereço MAC Dados TCP/UDP IPv4 Ethernet Frame MAC Destino MAC Origem VLAN TAG TypeLength Frame check Pacote de dados

10. PPPoE • União dos protocolos: PPPoE • No PPP, o destino é fixo, sempre FF, no Ethernet, o destino é um MAC address, assim destino do protocolo PPP descartado. • O protocolo ethernet é diretamente relacionado a tecnologia de transmissão, assim, não há como modificá-lo, o PPP então será parte dos dados. • O servidor PPPoE terá vários túneis, cada um com um computador diferente, porém pode acontecer de vários computadores chegarem até o servidor com o mesmo MAC. Para resolver isso, cada túnel MAC a MAC deve possuir sua identificação: Id da sessão (session id). Mesmo que o MAC se repita, o id da sessão garantirá a identificação única de cada túnel.

11. PPPoE • Definição de PPPoE • Protocolo de encapsulamento de dados em uma rede de acesso múltiplo para dar impressão de que dois computadores possuem um link de ponto a ponto entre si. Dados TCP/UDP IPv4 PPPoE Frame Type Code Session ID Version PPPoE Payload (Pacote) Ethernet Frame MAC Destino MAC Origem VLAN TAG TypeLength Frame check Pacote de dados

12. PPPoE • Como funciona: descoberta do servidor • Um computador que deseja se conectar a um servidor PPPoE deve primeiro descobrir quem é o servidor. Para isso ele deve saber o MAC do servidor. • Para descobrir o MAC do servidor PPPoE, o cliente PPPoE (discador) deve enviar um PADI (pacote que pergunta: quem aqui na rede é o servidor PPPoe?). • PADI: PPPoE Active Discovery Initiation • MAC de origem: mac da interface de rede do cliente. • MAC de destino: broadcast.

13. PPPoE • Como funciona: descoberta do servidor • Os servidores PPPoE (podem existir vários na mesma rede sem problemas) que receberem o PADI enviarão para o cliente uma oferta (PADO). • PADO: PPPoE Active Discovery Offer • MAC de origem: mac da interface de rede do servidor PPPoE • MAC de destino: mac do cliente que enviou o PADI • Nome do serviço AC Access concentrator) • Caso haja vários servidores enviando o PADO: • Se o cliente estiver configurado para conectar em algum especifico, ele só processará os PADO com o mesmo nome de AC que ele. • Se o cliente não filtrar nenhum AC, o PADO processado será o primeiro que chegar, os demais são ignorados.

14. PPPoE • Como funciona: inicio de sessão • Ao receber um PADO, o cliente que escolher se conectar a um servidor PPPoE deve enviar um pedido de conexão (PADR). • PADR: PPPoE Active Discorevy Request • Mac de origem: mac do cliente • Mac de destino: mac do servidor • Ao receber um PADR, o servidor que aceitar atender o cliente deverá alocar um ID de sessão para o mesmo (Session ID) e enviar um PADS. • PADS (PPPoE Active Discovery Session) • Mac de origem: mac do servidor • Mac de destino: mac do cliente • ID da sessão.

15. PPPoE • Como funciona: negociação de parâmetros • Depois de receber um PADS, cliente e servidor iniciarão negociação de protocolos PPP. • Negociar autenticação de usuário e senha (PAP, CHAP, MS-CHAP, MS-CHAP2). • Negociação de criptografia (MPPE), requer uso de *CHAP*. • Negociação de parâmetros IP (endereço IP). • Se houver negação em algum estágio das negociações, um PADT é enviado. Em caso de sucesso, a sessão é iniciada. • Como funciona: fim da sessão • PADT (PPPoE Active Discovery Termination) • Mac de origem: mac do computador que deseja finalizar a sessão, pode ser o cliente ou o servidor. • Mac de destino: o outro computador. • Resultado: a sessão/conexão é finalizada.

16. PPPoE • Manutenção da sessão • Para saber que o cliente está ativo, o servidor mantém uma manutenção através do protocolo LCP (Link Control Protocol). • LCP Echo Request: enviado do servidor para o cliente, que deverá responder um LCP Echo Reply. O LCP Echo Request é enviado com freqüência (de 3 a 60 segundos). • O servidor saberá se o cliente está morto se ele ficar sem responder ao envio de vários Echo Reply. • LCP Failure Times é o número de pacotes LCP Echo Request sem resposta. Quando atingido o número limite, o servidor considera o cliente morto. A sessão é exterminada. • Caso o cliente voltar a transmitir após a sessão ser exterminada, o servidor irá ignorá-lo, e opcionalmente, enviar um PADT.

17. PPPoE • Sessão PPPoE PADI PADO Cliente PPPoE Servidor PPPoE PADR PADS Túnel Estabelecido MAC a MAC com o mesmo ID. Manutenção constante com LCP Echo Request/Reply. PADT

18. PPPoE • Problemas • Quando a rede entre o cliente e o servidor apresenta perda de pacotes, os pacotes PPPoE Echo Request, responsáveis pela manutenção do túnel podem não chegar até a outra ponta até que Failure-times seja atingido, o outro lado será erroneamente considerado morto, resultando em finalização da sessão. • Redes wireless • Como o cliente depende do túnel para transferir dados, todas as conexões que passam pelo túnel (downloads, MSN, vídeos) são instantaneamente interrompidos no momento da queda pois o IP do cliente está associado ao túnel e sem IP não há como manté-las. • O túnel é executado do MAC da interface para o MAC do servidor, no caso em que o cliente é desassociado do Access Point por falha de sinal, interferência ou reboot do AP, o Windows finaliza todos os processos que dependem daquela interface, resultando em desconexão imediata do túnel, que por sua vez resulta na queda de todas as conexões IP que dependiam dele.

19. PPPoE • Vantagens • Túnel privado entre cliente e servidor, o que impossibilita um cracker se infiltrar ou clonar IP/MAC sem passar pelos mesmos estágios de inicio de sessão, onde a autenticação poderá impeli-lo. • Permite uso de criptografia MPPE, a mesma de VPNs da Microsoft, garante privacidade de dados ao cliente mesmo em redes sem criptografia (wireless aberto ou rede cabeada). • Desvantagens • Requer criação/configuração de discador PPPoE no computador do cliente, o que aumenta o suporte técnico para usuários leigos. • Desconexões constantes são extremamente irritantes para os usuários do provedor. • Não possui a flexibilidade de comunicação do hotspot cuja tela de login pode ser usada para transmitir mensagens.

20. Resumo • Hotspot • Permite “maquiar” problemas na rede, tornando-os menos perceptíveis. • Prove serviços de comunicação com o usuário na tela de login. • Depende da criptografia no meio de transmissão para prover privacidade e segurança. • Funciona em qualquer tipo de rede, com pouca ou muita qualidade, grande ou pequena. • Indicado para redes wireless com qualidade duvidosa. • PPPoE • Prove criptografia, segurança e privacidade. • Sensível a redes ruins e intermitências na conexão física (cabo de rede ou associação com AP). • Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet). • Quanto maior o caminho entre o cliente e o servidor PPPoE, maior a chance de perdas de pacotes, o que pode afetar a manutenção do túnel e provocar quedas. • Em redes wireless simples ou onde o servidor PPPoE é o próprio AP, o que ajuda a resolver o problema acima.

21. Sistemas • MyAuth2 (http://www.myauth.com.br) • Possui autenticação Hotspot e PPPoE • MyAuth3 (http://www.myauth.com.br) • Possui autenticação Hotspot • Possui autenticação PPPoE (Plugin PPPoE Server) • Possui servidor RADIUS completo para autenticar hotspot ou PPPoE executados em outros sistemas (mikrotik, cisco, ikarus, staros, chilispot, etc...) • Mikrotik • Possui autenticação hotspot e pppoe. Depende de servidor RADIUS para alguns tipos de soluções.