21
PPPoE PPPoE versus versus Hotspot Hotspot Por Patrick Brandão – Por Patrick Brandão – TMSoft TMSoft www.tmsoft.com.br www.tmsoft.com.br

PPPoE versus Hotspot

  • Upload
    indra

  • View
    137

  • Download
    7

Embed Size (px)

DESCRIPTION

PPPoE versus Hotspot. Por Patrick Brandão – TMSoft www.tmsoft.com.br. Pré-requisitos. Conhecimento intermediário de redes. Hotspot. Hotspot não é um protocolo Definição de Hotspot: - PowerPoint PPT Presentation

Citation preview

Page 1: PPPoE versus Hotspot

PPPoEPPPoEversusversus

HotspotHotspotPor Patrick Brandão – TMSoftPor Patrick Brandão – TMSoft

www.tmsoft.com.brwww.tmsoft.com.br

Page 2: PPPoE versus Hotspot

Pré-requisitosPré-requisitos

►Conhecimento intermediário de Conhecimento intermediário de redesredes

Page 3: PPPoE versus Hotspot

HotspotHotspot

►Hotspot não é um protocoloHotspot não é um protocolo►Definição de Hotspot:Definição de Hotspot:

Técnica onde ao passar por um Técnica onde ao passar por um firewall/roteador, o roteamento de todos os firewall/roteador, o roteamento de todos os protocolos são negados (bloqueados). Pacotes protocolos são negados (bloqueados). Pacotes tcp para a porta 80 (http) de todos os destinos tcp para a porta 80 (http) de todos os destinos são redirecionados para uma porta de serviço são redirecionados para uma porta de serviço http dentro do firewall/roteador.http dentro do firewall/roteador.

Efeito: em vez do site desejado pelo cliente, Efeito: em vez do site desejado pelo cliente, aparecerá a tela de autenticação.aparecerá a tela de autenticação.

Após se autentica-se, o roteamento de pacotes Após se autentica-se, o roteamento de pacotes é liberado para o ip/mac do cliente. O cliente é é liberado para o ip/mac do cliente. O cliente é conduzido a alguma página (ou a mesma que conduzido a alguma página (ou a mesma que ele ia visitar originalmente) após autenticação.ele ia visitar originalmente) após autenticação.

Page 4: PPPoE versus Hotspot

HotspotHotspot► Fluxograma:Fluxograma:

Registrado?

Apresentar telade autenticação

Não

Sim

Login e senhaCorretos?

Apresentar telaSucesso!

Registrar eliberar no firewall

Cliente Internet

AlertarAcesso negado

SimNão

Page 5: PPPoE versus Hotspot

HotspotHotspot

Ethernet ou 802.11a/b/g/n/i

Dados

IPv4

► Encapsulamento de dadosEncapsulamento de dados Nenhum encapsulamento adicional necessário.Nenhum encapsulamento adicional necessário. Nenhum overhead além do normal.Nenhum overhead além do normal.

Cliente Internet

TCP/UDP

Page 6: PPPoE versus Hotspot

HotspotHotspot►VantagensVantagens

Em caso de perda de pacotes, o protocolo TCP Em caso de perda de pacotes, o protocolo TCP reenvia os dados, apenas percepção de reenvia os dados, apenas percepção de lentidão.lentidão.

Permite uso de DHCP e ZeroConf, nenhuma Permite uso de DHCP e ZeroConf, nenhuma configuração é necessária no computador do configuração é necessária no computador do cliente.cliente.

Em redes wireless:Em redes wireless:► Interferências e perdas excessivas causam lentidão Interferências e perdas excessivas causam lentidão

mas o usuário não percebe nada além disso.mas o usuário não percebe nada além disso.

►DesvantagensDesvantagens O firewall só consegue identificar o cliente O firewall só consegue identificar o cliente

baseado no IP/MAC, caso sejam clonados não baseado no IP/MAC, caso sejam clonados não haverá como o firewall saber a diferença entre haverá como o firewall saber a diferença entre o cliente verdadeiro e o cracker.o cliente verdadeiro e o cracker.

Page 7: PPPoE versus Hotspot

PPPoEPPPoE

► Soma de dois protocolosSoma de dois protocolos Criado para permitir um túnel privado entre Criado para permitir um túnel privado entre

dois computadores em uma rede onde existem dois computadores em uma rede onde existem vários computadores.vários computadores.

PPPPPP►Redes onde 2 computadores são ligados por linha Redes onde 2 computadores são ligados por linha

serialserial

Ethernet ou 802.11a/b/g/nEthernet ou 802.11a/b/g/n►Redes de acesso múltiplo e uso de broadcast para Redes de acesso múltiplo e uso de broadcast para

descoberta de vizinhos.descoberta de vizinhos.

Page 8: PPPoE versus Hotspot

PPPoEPPPoE►Detalhes do protocolo PPPDetalhes do protocolo PPP

Redes onde 2 computadores são ligados por linha Redes onde 2 computadores são ligados por linha serialserial

Um computador só tem um vizinho: aquele que Um computador só tem um vizinho: aquele que está do outro lado do cabo, assim, não é está do outro lado do cabo, assim, não é necessário endereço físico (MAC) para enviar necessário endereço físico (MAC) para enviar quadros. O endereço de destino é sempre o quadros. O endereço de destino é sempre o mesmo (FF).mesmo (FF).

Flag(7E)

Address(FF)

Control(03)

Flag(7E)

Pacote de dadosProtocolo

Dados

IPv4

TCP/UDP

PPP Frame

Page 9: PPPoE versus Hotspot

PPPoEPPPoE►Detalhes do protocolo Ethernet ou Detalhes do protocolo Ethernet ou

802.11a/b/g/n802.11a/b/g/n Rede de acesso múltiploRede de acesso múltiplo Um computador pode ter vários vizinhos, assim, é Um computador pode ter vários vizinhos, assim, é

necessário enviar um broadcast (pacote recebido necessário enviar um broadcast (pacote recebido por todos) para perguntar quem é o computador por todos) para perguntar quem é o computador que possui o serviço desejado.que possui o serviço desejado.

Para enviar um dado para outro computador, é Para enviar um dado para outro computador, é necessário saber seu endereço MACnecessário saber seu endereço MAC

MACDestino

MACOrigem

VLANTAG

Framecheck

Pacote de dadosTypeLength

Dados

IPv4

TCP/UDP

Ethernet Frame

Page 10: PPPoE versus Hotspot

PPPoEPPPoE► União dos protocolos: PPPoEUnião dos protocolos: PPPoE

No PPP, o destino é fixo, sempre FF, no Ethernet, No PPP, o destino é fixo, sempre FF, no Ethernet, o destino é um MAC address, assim destino do o destino é um MAC address, assim destino do protocolo PPP descartado.protocolo PPP descartado.

O protocolo ethernet é diretamente relacionado a O protocolo ethernet é diretamente relacionado a tecnologia de transmissão, assim, não há como tecnologia de transmissão, assim, não há como modificá-lo, o PPP então será parte dos dados.modificá-lo, o PPP então será parte dos dados.

O servidor PPPoE terá vários túneis, cada um com O servidor PPPoE terá vários túneis, cada um com um computador diferente, porém pode acontecer um computador diferente, porém pode acontecer de vários computadores chegarem até o servidor de vários computadores chegarem até o servidor com o mesmo MAC. Para resolver isso, cada túnel com o mesmo MAC. Para resolver isso, cada túnel MAC a MAC deve possuir sua identificação: Id da MAC a MAC deve possuir sua identificação: Id da sessão (session id). Mesmo que o MAC se repita, o sessão (session id). Mesmo que o MAC se repita, o id da sessão garantirá a identificação única de id da sessão garantirá a identificação única de cada túnel.cada túnel.

Page 11: PPPoE versus Hotspot

PPPoEPPPoE►Definição de PPPoEDefinição de PPPoE

Protocolo de encapsulamento de dados em uma Protocolo de encapsulamento de dados em uma rede de acesso múltiplo para dar impressão de rede de acesso múltiplo para dar impressão de que dois computadores possuem um link de ponto que dois computadores possuem um link de ponto a ponto entre si.a ponto entre si.

MACDestino

MACOrigem

VLANTAG

Framecheck

Pacote de dadosTypeLength

Dados

IPv4

TCP/UDP

TypeCode

Version SessionID

PPPoE Payload (Pacote)PPPoE Frame

Ethernet Frame

Page 12: PPPoE versus Hotspot

PPPoEPPPoE► Como funciona: descoberta do servidorComo funciona: descoberta do servidor

Um computador que deseja se conectar a um Um computador que deseja se conectar a um servidor PPPoE deve primeiro descobrir quem é o servidor PPPoE deve primeiro descobrir quem é o servidor. Para isso ele deve saber o MAC do servidor. Para isso ele deve saber o MAC do servidor.servidor.

Para descobrir o MAC do servidor PPPoE, o cliente Para descobrir o MAC do servidor PPPoE, o cliente PPPoE (discador) deve enviar um PADI (pacote PPPoE (discador) deve enviar um PADI (pacote que pergunta: quem aqui na rede é o servidor que pergunta: quem aqui na rede é o servidor PPPoe?).PPPoe?).

PADI: PADI: PPPoE Active Discovery InitiationPPPoE Active Discovery Initiation►MAC de origem: mac da interface de rede do cliente.MAC de origem: mac da interface de rede do cliente.►MAC de destino: broadcast.MAC de destino: broadcast.

Page 13: PPPoE versus Hotspot

PPPoEPPPoE► Como funciona: descoberta do servidorComo funciona: descoberta do servidor

Os servidores PPPoE (podem existir vários na Os servidores PPPoE (podem existir vários na mesma rede sem problemas) que receberem o mesma rede sem problemas) que receberem o PADI enviarão para o cliente uma oferta (PADO).PADI enviarão para o cliente uma oferta (PADO).

PADO: PADO: PPPoE Active Discovery OfferPPPoE Active Discovery Offer►MAC de origem: mac da interface de rede do servidor MAC de origem: mac da interface de rede do servidor

PPPoEPPPoE►MAC de destino: mac do cliente que enviou o PADIMAC de destino: mac do cliente que enviou o PADI►Nome do serviço AC Access concentrator)Nome do serviço AC Access concentrator)

Caso haja vários servidores enviando o PADO:Caso haja vários servidores enviando o PADO:►Se o cliente estiver configurado para conectar em algum Se o cliente estiver configurado para conectar em algum

especifico, ele só processará os PADO com o mesmo especifico, ele só processará os PADO com o mesmo nome de AC que ele.nome de AC que ele.

►Se o cliente não filtrar nenhum AC, o PADO processado Se o cliente não filtrar nenhum AC, o PADO processado será o primeiro que chegar, os demais são ignorados.será o primeiro que chegar, os demais são ignorados.

Page 14: PPPoE versus Hotspot

PPPoEPPPoE► Como funciona: inicio de sessãoComo funciona: inicio de sessão

Ao receber um PADO, o cliente que escolher se Ao receber um PADO, o cliente que escolher se conectar a um servidor PPPoE deve enviar um conectar a um servidor PPPoE deve enviar um pedido de conexão (PADR).pedido de conexão (PADR).

PADR: PADR: PPPoE Active Discorevy RequestPPPoE Active Discorevy Request►Mac de origem: mac do clienteMac de origem: mac do cliente►Mac de destino: mac do servidorMac de destino: mac do servidor

Ao receber um PADR, o servidor que aceitar Ao receber um PADR, o servidor que aceitar atender o cliente deverá alocar um ID de sessão atender o cliente deverá alocar um ID de sessão para o mesmo (Session ID) e enviar um PADS.para o mesmo (Session ID) e enviar um PADS.

PADS (PPPoE Active Discovery Session)PADS (PPPoE Active Discovery Session)►Mac de origem: mac do servidorMac de origem: mac do servidor►Mac de destino: mac do clienteMac de destino: mac do cliente► ID da sessão.ID da sessão.

Page 15: PPPoE versus Hotspot

PPPoEPPPoE► Como funciona: negociação de parâmetrosComo funciona: negociação de parâmetros

Depois de receber um PADS, cliente e servidor Depois de receber um PADS, cliente e servidor iniciarão negociação de protocolos PPP.iniciarão negociação de protocolos PPP.►Negociar autenticação de usuário e senha (PAP, CHAP, MS-Negociar autenticação de usuário e senha (PAP, CHAP, MS-

CHAP, MS-CHAP2).CHAP, MS-CHAP2).►Negociação de criptografia (MPPE), requer uso de *CHAP*.Negociação de criptografia (MPPE), requer uso de *CHAP*.►Negociação de parâmetros IP (endereço IP).Negociação de parâmetros IP (endereço IP).►Se houver negação em algum estágio das negociações, um Se houver negação em algum estágio das negociações, um

PADT é enviado. Em caso de sucesso, a sessão é iniciada.PADT é enviado. Em caso de sucesso, a sessão é iniciada.

► Como funciona: fim da sessãoComo funciona: fim da sessão PADT (PPPoE Active Discovery Termination)PADT (PPPoE Active Discovery Termination)

►Mac de origem: mac do computador que deseja finalizar a Mac de origem: mac do computador que deseja finalizar a sessão, pode ser o cliente ou o servidor.sessão, pode ser o cliente ou o servidor.

►Mac de destino: o outro computador.Mac de destino: o outro computador.►Resultado: a sessão/conexão é finalizada.Resultado: a sessão/conexão é finalizada.

Page 16: PPPoE versus Hotspot

PPPoEPPPoE

►Manutenção da sessãoManutenção da sessão Para saber que o cliente está ativo, o servidor mantém Para saber que o cliente está ativo, o servidor mantém

uma manutenção através do protocolo LCP (Link Control uma manutenção através do protocolo LCP (Link Control Protocol).Protocol).

LCP Echo Request: enviado do servidor para o cliente, LCP Echo Request: enviado do servidor para o cliente, que deverá responder um LCP Echo Reply. O LCP Echo que deverá responder um LCP Echo Reply. O LCP Echo Request é enviado com freqüência (de 3 a 60 segundos).Request é enviado com freqüência (de 3 a 60 segundos).

O servidor saberá se o cliente está morto se ele ficar O servidor saberá se o cliente está morto se ele ficar sem responder ao envio de vários Echo Reply.sem responder ao envio de vários Echo Reply.

LCP Failure Times é o número de pacotes LCP Echo LCP Failure Times é o número de pacotes LCP Echo Request sem resposta. Quando atingido o número limite, Request sem resposta. Quando atingido o número limite, o servidor considera o cliente morto. A sessão é o servidor considera o cliente morto. A sessão é exterminada.exterminada.

Caso o cliente voltar a transmitir após a sessão ser Caso o cliente voltar a transmitir após a sessão ser exterminada, o servidor irá ignorá-lo, e opcionalmente, exterminada, o servidor irá ignorá-lo, e opcionalmente, enviar um PADT.enviar um PADT.

Page 17: PPPoE versus Hotspot

PPPoEPPPoE► Sessão PPPoESessão PPPoE

ClientePPPoE

ServidorPPPoE

PADI

PADR

PADO

PADS

PADT

Túnel Estabelecido MAC a MAC com o mesmo ID.Manutenção constante com LCP Echo Request/Reply.

Page 18: PPPoE versus Hotspot

PPPoEPPPoE► ProblemasProblemas

Quando a rede entre o cliente e o servidor apresenta perda de Quando a rede entre o cliente e o servidor apresenta perda de pacotes, os pacotes PPPoE Echo Request, responsáveis pela pacotes, os pacotes PPPoE Echo Request, responsáveis pela manutenção do túnel podem não chegar até a outra ponta até manutenção do túnel podem não chegar até a outra ponta até que Failure-times seja atingido, o outro lado será erroneamente que Failure-times seja atingido, o outro lado será erroneamente considerado morto, resultando em finalização da sessão.considerado morto, resultando em finalização da sessão.

Redes wirelessRedes wireless►Como o cliente depende do túnel para transferir dados, Como o cliente depende do túnel para transferir dados,

todas as conexões que passam pelo túnel (downloads, MSN, todas as conexões que passam pelo túnel (downloads, MSN, vídeos) são instantaneamente interrompidos no momento vídeos) são instantaneamente interrompidos no momento da queda pois o IP do cliente está associado ao túnel e sem da queda pois o IP do cliente está associado ao túnel e sem IP não há como manté-las.IP não há como manté-las.

►O túnel é executado do MAC da interface para o MAC do O túnel é executado do MAC da interface para o MAC do servidor, no caso em que o cliente é desassociado do Access servidor, no caso em que o cliente é desassociado do Access Point por falha de sinal, interferência ou reboot do AP, o Point por falha de sinal, interferência ou reboot do AP, o Windows finaliza todos os processos que dependem daquela Windows finaliza todos os processos que dependem daquela interface, resultando em desconexão imediata do túnel, que interface, resultando em desconexão imediata do túnel, que por sua vez resulta na queda de todas as conexões IP que por sua vez resulta na queda de todas as conexões IP que dependiam dele.dependiam dele.

Page 19: PPPoE versus Hotspot

PPPoEPPPoE►VantagensVantagens

Túnel privado entre cliente e servidor, o que impossibilita Túnel privado entre cliente e servidor, o que impossibilita um cracker se infiltrar ou clonar IP/MAC sem passar pelos um cracker se infiltrar ou clonar IP/MAC sem passar pelos mesmos estágios de inicio de sessão, onde a autenticação mesmos estágios de inicio de sessão, onde a autenticação poderá impeli-lo.poderá impeli-lo.

Permite uso de criptografia MPPE, a mesma de VPNs da Permite uso de criptografia MPPE, a mesma de VPNs da Microsoft, garante privacidade de dados ao cliente mesmo Microsoft, garante privacidade de dados ao cliente mesmo em redes sem criptografia (wireless aberto ou rede em redes sem criptografia (wireless aberto ou rede cabeada).cabeada).

►DesvantagensDesvantagens Requer criação/configuração de discador PPPoE no Requer criação/configuração de discador PPPoE no

computador do cliente, o que aumenta o suporte técnico computador do cliente, o que aumenta o suporte técnico para usuários leigos.para usuários leigos.

Desconexões constantes são extremamente irritantes Desconexões constantes são extremamente irritantes para os usuários do provedor.para os usuários do provedor.

Não possui a flexibilidade de comunicação do hotspot cuja Não possui a flexibilidade de comunicação do hotspot cuja tela de login pode ser usada para transmitir mensagens.tela de login pode ser usada para transmitir mensagens.

Page 20: PPPoE versus Hotspot

ResumoResumo►HotspotHotspot

Permite “maquiar” problemas na rede, tornando-os menos Permite “maquiar” problemas na rede, tornando-os menos perceptíveis.perceptíveis.

Prove serviços de comunicação com o usuário na tela de login.Prove serviços de comunicação com o usuário na tela de login. Depende da criptografia no meio de transmissão para prover Depende da criptografia no meio de transmissão para prover

privacidade e segurança.privacidade e segurança. Funciona em qualquer tipo de rede, com pouca ou muita Funciona em qualquer tipo de rede, com pouca ou muita

qualidade, grande ou pequena.qualidade, grande ou pequena. Indicado para redes wireless com qualidade duvidosa.Indicado para redes wireless com qualidade duvidosa.

► PPPoEPPPoE Prove criptografia, segurança e privacidade.Prove criptografia, segurança e privacidade. Sensível a redes ruins e intermitências na conexão física (cabo Sensível a redes ruins e intermitências na conexão física (cabo

de rede ou associação com AP).de rede ou associação com AP). Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet).Indicado para redes de cabo (fibra ótica, xDSL, FastEthernet). Quanto maior o caminho entre o cliente e o servidor PPPoE, Quanto maior o caminho entre o cliente e o servidor PPPoE,

maior a chance de perdas de pacotes, o que pode afetar a maior a chance de perdas de pacotes, o que pode afetar a manutenção do túnel e provocar quedas.manutenção do túnel e provocar quedas.

Em redes wireless simples ou onde o servidor PPPoE é o próprio Em redes wireless simples ou onde o servidor PPPoE é o próprio AP, o que ajuda a resolver o problema acima.AP, o que ajuda a resolver o problema acima.

Page 21: PPPoE versus Hotspot

SistemasSistemas►MyAuth2 (MyAuth2 (http://www.myauth.com.brhttp://www.myauth.com.br))

Possui autenticação Hotspot e PPPoEPossui autenticação Hotspot e PPPoE

►MyAuth3 (MyAuth3 (http://www.myauth.com.brhttp://www.myauth.com.br)) Possui autenticação HotspotPossui autenticação Hotspot Possui autenticação PPPoE (Plugin PPPoE Server)Possui autenticação PPPoE (Plugin PPPoE Server) Possui servidor RADIUS completo para autenticar Possui servidor RADIUS completo para autenticar

hotspot ou PPPoE executados em outros sistemas hotspot ou PPPoE executados em outros sistemas (mikrotik, cisco, ikarus, staros, chilispot, etc...)(mikrotik, cisco, ikarus, staros, chilispot, etc...)

►MikrotikMikrotik Possui autenticação hotspot e pppoe. Depende de Possui autenticação hotspot e pppoe. Depende de

servidor RADIUS para alguns tipos de soluções.servidor RADIUS para alguns tipos de soluções.