Πανεπιστήμιο Αιγαίου. Σχολή Θετικών Επιστημών. Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων

Transcript

1 Πανεπιστήμιο Αιγαίου Σχολή Θετικών Επιστημών Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Διπλωματική Εργασία Μελέτη ασύρματων τοπικών και μητροπολιτικών δικτύων επικοινωνιών. Ασύρματο δίκτυο επικοινωνίας του Δήμου Τρικκαίων Ονοματεπώνυμο Κάντζιος Δημήτριος Επιβλέπων: Καμπουράκης Γεώργιος Λέκτορας Σάμος,Σεπτέμβριος 2010

2 Η Διπλωματική Εργασία παρουσιάστηκε ενώπιον του Διδακτικού Προσωπικού του Πανεπιστημίου Αιγαίου Σε Μερική Εκπλήρωση των απαιτήσεων για το Δίπλωμα του Μηχανικού Πληροφοριακών και Επικοινωνιακών Συστημάτων

3 Η ΤΡΙΜΕΛΗΣ ΕΠΙΤΡΟΠΗ ΔΙΔΑΣΚΟΝΤΩΝ ΕΓΚΡΙΝΕΙ ΤΗ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ ΚΑΝΤΖΙΟΥ ΔΗΜΗΤΡΙΟΥ Καμπουράκης Γεώργιος,Επιβλέπων Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Κωνσταντίνου Ελισάβετ, Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Βουγιούκας Δημοσθένης,Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΣΕΠΤΕΜΒΡΙΟΣ 2010

4 Περίληψη Η εργασία αυτή πραγματοποιήθηκε με σκοπό τη συγκέντρωση όσο το δυνατών περισσοτέρων στοιχείων πάνω στις σύγχρονες ασύρματες επικοινωνίες και τη ραγδαία και ταχύτατη ανάπτυξη αυτών. Το πρώτο μέρος αναφέρεται στο γνωστό πρωτόκολλο και στη λειτουργία και τα χαρακτηριστικά των ασύρματων τοπικών δικτύων. Γίνεται μια εκτενής αναφορά στον τρόπο λειτουργίας,τους μηχανισμούς ασφαλείας του Wi-Fi καθώς και στη δομή αυτού. Στο δεύτερο μέρος αναλύεται το ισχυρό πρωτόκολλο και η υπεροχή του έναντι των άλλων κατηγοριών επίγειας και εναέριας επικοινωνίας. Σε αντιστοιχία με το πρώτο μέρος και εδώ αναλύονται τα τεχνικά χαρακτηριστικά των ασύρματων μητροπολιτικών δικτύων,οι τοπολογίες,οι μηχανισμοί ασφαλείας και όλα τα επιπρόσθετα στοιχεία της τεχνολογίας WiMAX. Τέλος, στο τρίτο μέρος γίνεται αναφορά στην πρωτοπορία του Δήμου Τρικκαίων πάνω στις ασύρματες επικοινωνίες και αναλύεται η μορφή του δικτύου και οι δυνατότητες του. Επίσης παρουσιάζονται τα τεχνικά χαρακτηριστικά των υποστηριζόμενων συσκευών και αναλύονται οι μηχανισμοί ασφαλείας και η λειτουργία τους.

5 Ευχαριστίες Η εκπόνηση της εργασίας ήταν αποτέλεσμα πολλών συντελεστών οι οποίοι με την πολύτιμη βοήθεια τους με οδήγησαν στο επιθυμητό αποτέλεσμα. Αρχικά θέλω να ευχαριστήσω τον κύριο Γκρίτζαλη Στέφανο για την ανάθεση της εργασίας και όλη την υποστήριξή του αυτό το διάστημα.στη συνέχεια θα ήθελα να ευχαριστήσω τον κύριο Καμπουράκη Γεώργιο ο οποίος εμπιστεύτηκε το θέμα της Διπλωματικής εργασίας και την προσπάθειά μου και συνέχισε την καθοδήγηση και την υποστήριξη που ο προκάτοχος του μου εδειξε.επιπλέον η τελική παρουσίαση δε θα ήταν εφικτή χωρίς την άμεση κινητοποίηση του κυρίου Σχοινά Αλέξανδρου ο οποίος την κατάλληλη στιγμή επιτάχυνε τη διαδικασία και δεν χάθηκε πολύτιμος χρόνος. Βέβαια εδώ θα πρεπει να ευχαριστήσω και την ομάδα του e-trikala με επικεφαλής τους κυρίους Ράπτη Οδυσσέα και Βάλλα Γεώργιο οι οποίοι με ενδιαφέρον μου εμπιστεύτηκαν τα στοιχεία της εταιρίας και της λειτουργίας του ασύρματου δικτύου της πόλης. Τέλος,θέλω να ευχαριστήσω την οικογένεια μου και την Αριάδνη που με επιμονή και υπομονή στέκονται δίπλα μου σε κάθε προσπάθεια όλα αυτά τα χρόνια και με υποστηρίζουν.

6 "Είμαι συγγραφέας αυτής της διπλωματικής εργασίας και κάθε βοήθεια την οποία είχα για την προετοιμασία της είναι πλήρως αναγνωρισμένη και αναφέρεται στην εργασία. Επίσης έχω αναφέρει τις όποιες πηγές από τις οποίες έκανα χρήση δεδομένων, ιδεών ή λέξεων, είτε αυτές αναφέρονται ακριβώς είτε παραφρασμένες. Επίσης βεβαιώνω ότι αυτή η εργασία προετοιμάστηκε από εμένα προσωπικά ειδικά για τη συγκεκριμένη διπλωματική εργασία".

7 Συντομογραφίες 3GPP AAA AP ARP ASN ATM BS CDP DHCP DL DOCSIS DS ETSI FDD FDM FTP IEEE IKE L2TP LLC MAC MBWA MPDU NAS NAT OFDM OFDMA OSPF PDA PKC PKI POTS PPP PSTN PTM PTP QAM RF RFC RIP 3 rd Generation Partnership Project Authentication Authorization Accounting Access Point Address Resolution Protocol Access Service Network Asynchronous Transfer Mode Base Station Cisco Discovery Protocol Dynamic Host Configuration Protocol Downlink Data Over Cable Service Interface Specification Distribution System European Telecommunications Standards Institute Frequency Division Duplexing Frequency Division Multiplexing File Transfer Protocol Institute of Electrical and Electronics Engineers Internet Key Exchange Layer 2 Tunneling Protocol Logical Link Control Medium Access Control Mobile Broadband Wireless Access MAC Protocol Data Unit Network Access Server Network Addressing Translation Orthogonal FDM OFDM Access Open Shortest Path First Personal Digital Assistant Public Key Cryptography Public Key Infrastructure Plain Old Telephone Service Point to Point Protocol Public Switched Telephone Network Point To Multipoint Point To Point Quadrature Amplitude Modulation Radio Frequency Request ForComments,an Internet Engineering Task Force (IETF) memorandum on Internet systems and standards Routing Information Protocol

8 RS SA SAID SNMP SS SSH SSL STA TDD TDM TEK UDP UMTS URI URL WAP WDS WEP Wi-Fi WISP WM WPA Repeater Station Security Associations SA Identifier Simple Network Management Protocol Subscriber Station Secure Shell Secure Socket Layer user STAtion Time Division Duplexing Time Division Multiplexing Traffic Encryption Key User Datagram Protocol Universal Mobile Telecommunications System Uniform Resource Identifier Uniform Resource Locator Wireless Application Protocol Wireless Distribution System Wireless Equivalent Privacy Wireless Fidelity Wireless Internet Service Provider Wireless Medium Wi-Fi Protected Access

9 Περιεχόμενα Εισαγωγή Ασύρματα Τοπικά Δίκτυα Εισαγωγή στην Ασφάλεια ασύρματων τοπικών δικτύων επικοινωνιών ΙΕΕΕ Υποπρότυπα ΙΕΕΕ Εισαγωγή στο λειτουργικό μοντέλο ΙΕΕΕ Η στοίβα πρωτοκόλλων του Δομή πλαισίων Υπηρεσίες Εφαρμογές Ασυρμάτων LAN Πλεονεκτήματα των WLAN Εξέταση WLAN από την πλευρά του χρήστη/πελάτη Εύρος/Κάλυψη Όγκος Δεδομένων Επιδράσεις πολλαπλών μονοπατιών Ακεραιότητα Διαλειτουργικότητα με Ασύρματη Υποδομή Παρεμβολή και Συνύπαρξη Απλότητα/Ευκολία χρήσης Ασφάλεια Κόστος Κλιμάκωση Διάρκεια μπαταρίας για κινητές πλατφόρμες Προστασία Ρυθμίσεις WLAN Ανεξάρτητα WLAN Δομημένα WLAN Μικροκυψέλες και Περιήγηση Εισαγωγή στα ασύρματα μητροπολιτικά δίκτυα επικοινωνιών και στα χαρακτηριστικά τους Η αρχιτεκτονική ασφάλειας των SWMAN Το σύστημα 3GPP εναντίον WLAN και WMAN Τεχνολογία WMAN Χρήση WMAN Η Υπηρεσία Ασφαλείας SWMAN, τα πρότυπα και τα πρωτόκολλα...40

10 2.6 Ενσωματωμένα(φορητά) Δίκτυα Υπολογιστών Πρωτόκολλο Ασύρματης Εφαρμογής (WAP) Τι είναι το WAP Σχεδιασμένο εξαρχής για Μητροπολιτικά Δίκτυα Εφαρμογές Ασύρματης Ευρυζωνικής Πρόσβασης Συνολικός Όγκος, Κλιμάκωση,Ποιότητα Υπηρεσιών, Ασφάλεια Συνολικός Όγκος Κλιμάκωση Κάλυψη Ποιότητα Υπηρεσιών, QoS Ασφάλεια Οφέλη των προτύπων a WiMAX- Όχι απλά ένα ακόμα πρότυπο Αγορές για το WiMAX Επιχειρηματικοί χρήστες Last Mile to the Home Δυναμικά Σημεία (Hotspots) Απομακρυσμένες Περιοχές Παρασκήνιο και Τεχνικά χαρακτηριστικά του a Υποστήριξη έξυπνης κεραίας Επιλογή δυναμικής συχνότητας σε μη Εξουσιοδοτημένο φάσμα Πλέγμα Επάρκεια Φάσματος Ανεξάρτητος Πυρήνας Πρωτοκόλλου Εύρος ζώνης κατ απαίτηση(πακέτο-πακέτο) Προσαρμογή Διαμόρφωσης Λειτουργικό Μοντέλο Αρχιτεκτονική και συχνότητες λειτουργίας Η στοίβα πρωτοκόλλων του Δομή πλαισίων Το υποεπίπεδο ασφαλείας MAC Διαδικασία αρχικοποίησης και εισόδου στο δίκτυο Το πρωτόκολλο PKM Γενικά Διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης...64

11 Επανακλείδωση και συγχρονισμός κλειδιών Γενική θεώρηση των μηχανισμών ασφαλείας Ασφάλεια στο πρότυπο ΙΕΕΕ Το πρωτόκολλο PKM έκδοση Γενικά Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης μεταξύ SS και BS Γενικά Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης βασισμένη σε PKCs Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης βασισμένη σε EAP Διαδικασία 3-way exchange/handshake Ιεραρχία κλειδιών PKMv Ενθυλάκωση Εισαγωγή στo e-trikala Ασύρματο δίκτυο Τρικάλων Mikrotik-Gennet Software. Υπηρεσίες, Πρωτόκολλα και Θύρες IP διευθύνσεις και ARP ΙP Διευθυνσιοδότηση Address Resolution Protocol Χαρακτηριστικό Proxy(εξουσιοδότης) ARP Αναρίθμητες Διεπιφάνειες BGP Command Reference SSH (Secure Shell) Server and Client Telnet Server and Client FTP ( Πρωτόκολλο Μεταφοράς Αρχείων) Server IP Security Internet Key Exchange-Συναλλαγή Κλειδιού Δικτύου Diffie-Helman MODP Groups WEB Proxy Λειτουργία Logging Access List Άμεση Λίστα Πρόσβασης Διαφανής Λειτουργία Μέθοδοι HTTP Options GET...96

12 HEAD POST PUT TRACE DHCP Client και Server Bandwidth Control Scheduler και Shaper discs Εικονικές Διεπιφάνειες OSPF Areas (Περιοχές) Networks- Δίκτυα RIP CNDP Τηλεφωνία ΙΡ SNMP Υπηρεσία L2TP Διεπιφάνεια ΝΑΤ PPTP ΝΤΡ (Network Time Protocol) RouterOS VLANs RouterOS Firewall Filters Ροή Δεδομένων (Packet Flow) Κανόνες Firewall Peer to peer φιλτράρισμα κίνησης Τύπος Υπηρεσίας (Type of Service) Firewall Chains Wireless Client και Wireless Access Point Λίστα Σύνδεσης Λίστα Πρόσβασης Διεπιφάνεια Εικονικού Σημείου Πρόσβασης (Virtual Access Point Interface) Διαμόρφωση Διεπιφάνειας WDS Align-Ευθυγράμμιση Πίνακας Διαχείρισης Ενέργειας Μετάδοσης-Manual Transmit Power Table Σάρωση Δικτύου-Network Scan Προφίλ Ασφαλείας-Security Profiles...114

13 WPA WEP...114

14 Εισαγωγή Επικοινωνία. Μία έννοια τόσο αρχαία όσο και σημαντική. Χαρακτηριστικό στοιχείο στις σχέσεις όλων των οντοτήτων στη φύση και ζωτικής σημασίας για τον άνθρωπο. Από την αρχαιότητα έως τις μέρες μας, η προσπάθεια του ανθρώπου να επικοινωνεί με τους συνανθρώπους του δε σταμάτησε ποτέ. Πάντα ένιωθε την ανάγκη αποστολής και λήψης ερεθισμάτων προκειμένου να έρθει σε επαφή με το περιβάλλον του και να προσαρμοστεί σε αυτό. Η προσπάθειά του αυτή οδήγησε σταδιακά στη βελτίωση των τρόπων επικοινωνίας και των μέσων αυτής έτσι ώστε να φτάσει στο σημερινό υψηλό επίπεδο. Κανείς δε φανταζόταν τις προηγούμενες δεκαετίες τη σημερινή μορφή επικοινωνίας, η οποία διαμορφώθηκε από τη ραγδαία ανάπτυξη της επιστήμης των υπολογιστών και λίγοι φανταζόμαστε πόσο ακόμη υψηλά θα φτάσει το επίπεδο των υπολογιστικών συστημάτων και κατ' επέκταση των επικοινωνιακών συστημάτων. Ένας επιστημονικός κλάδος πλούσιος σε ενδιαφέρον και γεμάτος εκπλήξεις για τους επίδοξους χρήστες. Ένα από τα χαρακτηριστικά της εποχής μας είναι οι εθισμένοι στις πληροφορίες άνθρωποι (information junkies) : οι άνθρωποι που πρέπει να βρίσκονται στο διαδίκτυο συνεχώς. Για αυτούς τους κινητούς χρήστες,τα σύστροφα ζεύγη, τα ομοαξονικά καλώδια και οι οπτικές ίνες είναι άχρηστα. Οι χρήστες αυτοί χρειάζονται τη δόση των δεδομένων τους για το φορητό υπολογιστή,τον υπολογιστή τσέπης,το κινητό τηλέφωνό τους ή τον υπολογιστή ρολόι τους,χωρίς να είναι προσδεδεμένοι στην επίγεια επικοινωνιακή υποδομή. Για τους χρήστες αυτούς, η απάντηση είναι οι ασύρματες επικοινωνίες. 14

15 1 Ασύρματα Τοπικά Δίκτυα 1.1 Εισαγωγή στην Ασφάλεια ασύρματων τοπικών δικτύων επικοινωνιών ΙΕΕΕ Στο πρόσφατο παρελθόν, η αγορά των ασύρματων τηλεπικοινωνιών γνώρισε τεράστια ανάπτυξη. Η ασύρματη τεχνολογία τώρα προσεγγίζει ή είναι ικανή να προσεγγίσει εικονικά κάθε περιοχή στην επιφάνεια της γης. Εκατοντάδες εκατομμύρια ανθρώπων ανταλλάσσουν πληροφορίες κάθε μέρα χρησιμοποιώντας φυλλομετρητές, κινητά τηλέφωνα και άλλα προϊόντα ασύρματων τηλεπικοινωνιών. Με τεράστια επιτυχία στην ασύρματη τηλεφωνία και στην αποστολή μηνυμάτων, δύσκολα εκπλήσσει το γεγονός ότι η ασύρματη επικοινωνία αρχίζει να εφαρμόζεται στο βασίλειο των προσωπικών και επιχειρησιακών υπολογιστών. Χωρίς πλέον να βρίσκονται υπό τον ζυγό των ενσύρματων δικτύων, οι άνθρωποι έχουν πλέον τη δυνατότητα πρόσβασης και διαμοιρασμού της πληροφορίας σε μια παγκόσμια κλίμακα, σχεδόν οπουδήποτε το επιχειρήσουν. Το παρόν κεφάλαιο ασχολείται με την ασφάλεια τη λειτουργία του γνωστού προτύπου ΙΕΕΕ , η αλλιώς των ασύρματων τοπικών επικοινωνιών (Wireless Local Area Networks,WLAN). Ο συγκεκριμένος τύπος δικτύων ανήκει στην οικογένεια των προτύπων ΙΕΕΕ 802, η οποία μεταξύ άλλων περιλαμβάνει και το γνωστό μας ΙΕΕΕ καλούμενο και ως Ethernet. Για τα ασύρματα τοπικά δίκτυα συχνά επίσης χρησιμοποιείται ο όρος Wi-Fi που προέρχεται από τα αρχικά των λέξεων Wireless Fidelity(Ψηφιακή Πιστότητα) και έχει επικρατήσει ως de facto όρος για τα υψηλής συχνότητας ασύρματα τοπικά δίκτυα που βασίζονται στο πρότυπο Ουσιαστικά αποτελεί ένα ασύρματο τρόπο διασύνδεσης, ενώ δίνει τη δυνατότητα σύνδεσης με το Διαδίκτυο(Internet) και άλλα ετερογενή δίκτυα, όπως τα κινητά δίκτυα επικοινωνιών δεύτερης και τρίτης γενιάς. Οι ασύρματες τεχνολογίες πρόσβασης χρησιμοποιούνται για να αντικαταστήσουν ή να επεκτείνουν ένα κοινό ενσύρματο δίκτυο (Ethernet) και επιτρέπουν στον κινούμενο χρήστη την ασύρματη μετάδοση και λήψη δεδομένων. Σήμερα, οι ρυθμοί ανάπτυξης και η διάδοση που γνωρίζουν τα ασύρματα τοπικά δίκτυα είναι τουλάχιστον εντυπωσιακά. Τα ασύρματα δίκτυα που ακολουθούν το πρότυπο αποτελούνται από τις κάτωθι τέσσερις βασικές μονάδες: Σημείο πρόσβασης(access Point, AP): Το ΑΡ είναι η μονάδα που παίζει το ρόλο γέφυρας μεταξύ του ενσύρματου και του ασύρματου δικτύου, μετατρέποντας κατάλληλα τα πλαίσια (πακέτα) που ανταλλάσσονται μεταξύ αυτών. Επιτελεί και πολλές άλλες λειτουργίες που θα αναφερθούν στη συνέχεια. Σύστημα διανομής(distribution System, DS): Το σύστημα διανομής ενώνει τα διάφορα ΑΡ του ίδιου δικτύου, επιτρέποντάς τους να ανταλλάσσουν πλαίσια. Ασύρματο μέσο μετάδοσης (Wireless Medium): Έχουν οριστεί διάφορα φυσικά στρώματα που χρησιμοποιούν είτε ραδιοσυχνότητες είτε υπέρυθρες ακτίνες για τη μετάδοση τω πλαισίων μεταξύ των σταθμών του ασύρματου δικτύου. Σταθμοί (Stations): Οι σταθμοί που ανταλλάσσουν πληροφορία μέσω του ασύρματου δικτύου συνήθως είναι φορητές συσκευές όπως για παράδειγμα φορητοί υπολογιστές (laptops) ή υπολογιστές παλάμης (PDAs) χωρίς όμως αυτό να είναι απαραίτητο. 15

16 Όπως περιγράφεται στο σχήμα 1-1, η βασική δομική μονάδα κάθε δικτύου αποκαλείται Basic Service Set (BSS) και αποτελείται από μια ομάδα σταθμών που επικοινωνούν μεταξύ τους. Τα όρια του BSS καθορίζονται από την περιοχή ραδιοκάλυψης, που ονομάζεται Basic Service Area (BSA). Ένας σταθμός σε ένα BSS μπορεί να επικοινωνεί με οποιονδήποτε άλλο σταθμό στο ίδιο BSS. Όσον αφορά την αρχιτεκτονική τοπολογία τους τα δίκτυα αυτά εμφανίζονται με δύο οργανωτικές μορφές: Τη δομημένη (Infrastructure mode) και την τυχαία (ad hoc mode) (σχήματα 1-2&1-3). AP_4 BSA_2 AP_2 Χρήστης Χρήστης BSA_1 Εξυπηρετητής AP_1 Χρήστης Χρήστης AP_3 Σχήμα 1-1.Κινητικότητα χρηστών σε ένα WLAN και BSA (infrastructure mode) Η πρώτη που καλείται τεχνικά και με τον όρο Extended Service Set (ESS) απαιτεί τη χρήση APs, στα οποία συνδέονται οι χρήστες. Πολλά συνεργαζόμενα APs είναι δυνατόν να προσφέρουν ευρεία κάλυψη, σύνδεση με το Διαδίκτυο, καθώς και υπηρεσίες περιαγωγής (Roaming) μεταξύ ομογενών αλλά και ετερογενών δικτύων διαφορετικών παρόχων (providers). Η δεύτερη, που καλείται και ως Independent BSS (IBSS), δεν απαιτεί τη χρήση ΑΡ και κάθε ασύρματος σταθμός μπορεί να εκπέμψει απευθείας σε οποιονδήποτε άλλο βρίσκεται μέσα στην εμβέλεια του. Η συγκεκριμένη μορφή εξυπηρετεί ιδιαίτερα σε περιπτώσεις όπου το ασύρματο δίκτυο θα πρέπει να είναι δυνατό να «στηθεί» οπουδήποτε και σε ελάχιστο χρόνο. Όπως είναι φυσικό, από την πλευρά της ασφαλείας, η δομημένη μορφή οργάνωσης προσφέρει στο διαχειριστή του δικτύου μια σχετικά σταθερή πλατφόρμα πάνω στην οποία μπορεί να αναπτύξει τις πολιτικές ασφαλείας του. 16

17 Περιοχή Ραδιοκάλυψης Σχήμα 1-2.Λειτουργία και οργανωτική δομή Ad hoc. Περιοχή Ραδιοκάλυψης Ενσύρματο δίκτυο Σχήμα 1-3.Λειτουργία και οργανωτική δομή Infrastructure Με σκοπό τη βελτίωση και την εξέλιξη του προτύπου δημιουργήθηκαν στο πέρασμα του χρόνου διάφορες εξελίξεις του, που αλλιώς ονομάζονται και υποπρότυπα. 1.2 Υποπρότυπα ΙΕΕΕ a Περιγραφή: Ένα πρότυπο φυσικού επιπέδου για WLAN δίκτυα στη συχνότητα των 5GHz. Καθορίζει οκτώ διαθέσιμα κανάλια ραδιοσυχνοτήτων (το διαθέσιμο φάσμα συχνοτήτων σε μερικές χώρε μπορεί να επιτρέπει τη χρήση δώδεκα καναλιών). Ο μέγιστος ρυθμός σύνδεσης είναι 54Mbps σε κάθε κανάλι αλλά ο συνολικός όγκος 17

18 πληροφορίας που μπορεί να εξάγει ο χρήστης μπορεί να φτάσει μόλις το μισό και όλοι οι άλλοι χρήστες του ίδιου καναλιού μοιράζονται αυτό τον όγκο δεδομένων. Ο ρυθμός δεδομένων μειώνεται όσο η απόσταση ανάμεσα στο χρήστη και το σημείο πρόσβασης της ραδιοσυχνότητας αυξάνεται. Σχόλια: Στα περισσότερα γραφεία, ο συνολικός όγκος δεδομένων θα είναι μεγαλύτερος από του b. Επίσης, ο μεγαλύτερος αριθμός καναλιών (οκτώ έναντι τριών) δίνει μεγαλύτερη προστασία ενάντια σε πιθανή παρεμβολή από γειτονικά σημεία πρόσβασης b Περιγραφή: Ένα πρότυπο φυσικού επιπέδου για WLAN δίκτυα στη συχνότητα των κυμάτων 2.4GHz. Καθορίζει τρία διαθέσιμα κανάλια συχνοτήτων. Ο μέγιστος ρυθμός σύνδεσης είναι 11Mbps αλλά ο συνολικός όγκος εξόδου πληροφορίας του χρήστη πρέπει να είναι το μισό αυτού επειδή οι χρήστες του ίδιου καναλιού μοιράζονται το συνολικό όγκο. Ο ρυθμός δεδομένων μειώνεται όσο η απόσταση μεταξύ του χρήστη και του σημείου πρόσβασης αυξάνεται. Σχόλια: Τα προϊόντα του προτύπου είναι σε μαζική παραγωγή με μία ευρεία γκάμα σε ανταγωνιστικές τιμές. Οι εγκαταστάσεις αυτού ίσως να αντιμετωπίσουν προβλήματα από περιορισμούς ταχύτητας στο μέλλον καθώς ο αριθμός των ενεργών χρηστών αυξάνεται και το όριο των τριών ραδιοκαναλιών μπορεί να προκαλέσει παρεμβολές σε γειτονικά σημεία πρόσβασης. Για να παρθεί η απόφαση αν θα επιλεγεί το πρότυπο a ή το b,απαιτείται σκέψη σχετικά με την απόδοση, την ακτίνα και θέματα διαλειτουργικότητας. Για το λόγο αυτό υπάρχουν μερικές γενικές οδηγίες για τη λήψη της σωστής απόφασης. Χρήση του b εάν: 1. Οι απαιτήσεις ακτίνας είναι ενδεικτικές (significant). Για μεγαλύτερες δυνατότητες όπως μεγάλες αποθήκες ή πολυκαταστήματα, το b θα παρέχει τουλάχιστον μια πολυδάπανη λύση εξαιτίας των αρκετών σημείων πρόσβασης. 2. Υπάρχει ήδη μια μεγάλη επένδυση σε τεχνολογικό εξοπλισμό του b. Τα αρκετά υψηλά κόστη που σχετίζονται με τη μεταφορά ενός συστήματος b, μεγάλης κλίμακας, σε ένα a, δημιουργούν δυσκολία στην πώληση για τους οικονομικούς αναλυτές αποφάσεων μιας εταιρίας. 3. Οι τελικοί χρήστες είναι αραιά διαμοιρασμένοι. Εάν υπάρχουν αρκετοί τελικοί χρήστες που επιδιώκουν να χρησιμοποιήσουν ολόκληρη την υποδομή, τότε το b προφανώς θα αναζητήσει απαιτήσεις απόδοσης εφόσον υπάρχουν αρκετοί χρήστες που ανταγωνίζονται για το κάθε σημείο πρόσβασης και το συνολικό όγκο δεδομένων. Χρήση του a εάν: 1. Υπάρχει ανάγκη για πολύ υψηλότερη απόδοση. Μέχρι στιγμής ο κύριος λόγος επιλογής του a είναι η ανάγκη να υποστηριχτούν υψηλότερες τελικές εφαρμογές εμπλέκοντας το βίντεο, τη φωνή και τη μετάδοση μεγάλων, σε μέγεθος, εικόνων και αρχείων. Αυτές τις εφαρμογές πιθανότατα το b δε θα καταφέρει να τις υποστηρίξει. 2. Παρουσιάζεται ενδεικτική RF παρεμβολή στη μπάντα συχνοτήτων 2.4GHz.Η αυξανόμενη χρήση των ασύρματων τηλεφώνων και των συσκευών Bluetooth συχνότητας 2.4GHz, θα μπορούσε να δημιουργήσει πλήθος στο φάσμα συχνοτήτων και να μειώσει σημαντικά την απόδοση των b ασύρματων LAN. Με τη χρήση του a στη συχνότητα των 5GHz θα αποφευχθούν οι παρεμβολές. 18

19 3. Οι τελικοί χρήστες είναι πυκνά διαμοιρασμένοι. Μέρη όπως εργαστήρια υπολογιστών, αεροδρόμια και αίθουσες συνεδρίων χρειάζεται να υποστηρίξουν πολλούς τελικούς χρήστες σε μια κοινή περιοχή ανταγωνισμού για το ίδιο σημείο πρόσβασης, με κάθε έναν από αυτούς να διαμοιράζεται τον συνολικό όγκο δεδομένων. Η χρήση του a θα κρατήσει σε υψηλή συγκέντρωση τους τελικούς χρήστες προσφέροντας μεγαλύτερο τελικό όγκο δεδομένων d Περιγραφή: Το d είναι συμπληρωματική έκδοση του στο στρώμα Μέσου Ελέγχου Πρόσβασης(MAC) για να προωθηθεί παγκοσμίως η χρήση των WLAN. Επιτρέπει στα σημεία πρόσβασης να επικοινωνούν στα επιτρεπτά κανάλια συχνοτήτων,με αποδεκτά επίπεδα ενέργειας των συσκευών των χρηστών. Τα πρότυπα δε μπορούν νόμιμα να λειτουργήσουν σε μερικές χώρες. Ο σκοπός του 11d είναι να προστεθούν χαρακτηριστικά και περιορισμοί για να επιτραπεί στα WLAN να λειτουργήσουν μέσα στους κανονισμούς των χωρών αυτών. Σχόλια: Σε χώρες όπου οι απαιτήσεις συχνοτήτων στο φυσικό επίπεδο είναι διαφορετικές από αυτές της βορείου Αμερικής, η χρήση των WLAN επιβραδύνεται. Οι κατασκευαστές εξοπλισμού δε θέλουν να παράγουν ευρεία γκάμα προϊόντων ειδικευμένων ανά χώρα και οι χρήστες που ταξιδεύουν δεν επιθυμούν να έχουν μια τσάντα γεμάτη με κάρτες WLAN που να ειδικεύονται ανά χώρα. Το αποτέλεσμα θα είναι λύσεις μόνιμου λογισμικού ανά χώρα e Περιγραφή: Συμπληρωματικό στο επίπεδο MAC για να παρέχει ποιότητα υπηρεσιών για εφαρμογές LAN. Εφαρμόζεται στα φυσικά πρότυπα a, b και g του Ο σκοπός του είναι να παρέχει τάξεις(βαθμίδες) υπηρεσιών με διαχειριζόμενα επίπεδα ποιότητας υπηρεσιών για εφαρμογές δεδομένων, φωνής και βίντεο. Σχόλια: Το 11e θα έπρεπε να παρέχει μερικά χρήσιμα χαρακτηριστικά για τη διαφοροποίηση των ρευμάτων κίνησης δεδομένων. Πολλοί κατασκευαστές WLAN έχουν στοχεύσει στην ποιότητα υπηρεσιών, ως το χαρακτηριστικό για να διαφοροποιήσουν τα προϊόντα τους, έτσι θα υπάρξει αφθονία αρχικών προσφορών πριν το 11e ολοκληρωθεί εντελώς.όμως οι επιτυχίες ή οι αποτυχίες αυτών των προϊόντων θα προσδιορίσουν το βαθμό προθυμίας των κατασκευαστών προκειμένου να δεχτούν το 11e f Περιγραφή: Είναι ένα έγγραφο «προτεινόμενης πρακτικής» όπου επιδιώκεται η διαλειτουργικότητα των σημείων πρόσβασης μέσα σε ένα δίκτυο WLAN πολλών επενδυτών. Το πρότυπο καθορίζει την καταχώρηση των σημείων πρόσβασης μέσα σε ένα δίκτυο και την ανταλλαγή πληροφορίας ανάμεσα σε σημεία πρόσβασης όταν ένας χρήστης μεταφέρεται από ένα δίκτυο σε ένα άλλο. Σχόλια: Το f μειώνει την κατοχύρωση επενδυτή (παρόχου) και επιτρέπει υποδομές πολλαπλών παρόχων g Περιγραφή: Ένα πρότυπο φυσικού επιπέδου για τα WLAN στις συχνότητες των 2,4GHz και των 5GHz. Κατηγοριοποιεί τρία διαθέσιμα κανάλια ραδιοσυχνοτήτων. Ο μέγιστος ρυθμός σύνδεσης είναι 54Mbps ανά κανάλι-συγκρινόμενος με 11Mbps στο 19

20 11b. Το πρότυπο g χρησιμοποιεί διαμόρφωση ορθογωνικής πολύπλεξης διαίρεσης συχνότητας(ofdm) αλλά, για οπισθοδρομική συμβατότητα με το b, υποστηρίζει επίσης συμπληρωματική διαμόρφωση κωδικοποίησης κλειδιού (CCK) και, ως επιλογή για ταχύτερους ρυθμούς σύνδεσης, επιτρέπει διαμόρφωση ελικοειδούς δυαδικής κωδικοποίησης πακέτων (PBCC). Σχόλια: Οι ταχύτητες είναι παρόμοιες με αυτές του 11a το πισωγύρισμα συμβατότητας ίσως αποτελεί δελεαστική επιλογή αλλά υπάρχουν θέματα διαμόρφωσης: Τα συγκρουόμενα ενδιαφέροντα μεταξύ των παρόχων κλειδιών διαίρεσαν την υποστήριξη μέσα στην ομάδα εργασίας του ΙΕΕΕ για τα πλάνα της OFDM και PBCC διαμόρφωσης. Η ομάδα συμβιβάστηκε συμπεριλαμβάνοντας και τους δυο τύπους διαμόρφωσης στο προσχέδιο του προτύπου. Με την προσθήκη της υποστήριξης CCK διαμόρφωσης του 11b, το τελικό αποτέλεσμα είναι τρεις τύποι διαμόρφωσης. Αυτό είναι ίσως κάτι πιο μικρό, πιο αργό και πιο σύνθετο συγκρινόμενο με το 11a. Όμως,υπάρχουν πλεονεκτήματα για τους παρόχους/επενδυτές που επιδιώκουν να προμηθεύσουν με προϊόντα διπλής λειτουργίας 2.4GHz και 5GHz, τα οποία χρησιμοποιούν OFDM και για τις δυο λειτουργίες και θα μειώσουν το κόστος του.υλικού κατασκευής h Περιγραφή: Αυτό το πρότυπο είναι συμπληρωματικό στο στρώμα MAC για να συμφωνεί με τους ευρωπαϊκούς κανονισμούς των WLAN 5GHz. Οι ευρωπαϊκοί κανονισμοί για τη συχνότητα των 5GHz απαιτούν από τα προϊόντα να έχουν έλεγχο ισχύος μετάδοσης(tcp) και δυναμική επιλογή συχνότητας(dfs). To TCP οριοθετεί την ισχύ της μετάδοσης στην ελάχιστη απαιτούμενη προκειμένου να προσεγγιστεί και ο πιο απομακρυσμένος χρήστης. Η DFS επιλέγει το κανάλι ραδιοσυχνότητας στο σημείο πρόσβασης για να ελαχιστοποιήσει την παρεμβολή με άλλα συστήματα. Σχόλια: Η ολοκλήρωση του 11h παρέχει μεγαλύτερη αποδοχή μέσα στην Ευρώπη για σύμμορφα προϊόντα WLAN 5GHz i Περιγραφή: Συμπληρωματικό για το στρώμα MAC για να βελτιώσει την ασφάλεια. Προσαρμόστηκε στα φυσικά πρότυπα του a, b, και g. Παρέχει μια εναλλακτική στην ασύρματη ισότιμη ιδιωτικότητα (WEP) με νέες μεθόδους κρυπτογράφησης και αυθεντικοποίησης διαδικασιών. Το ΙΕΕΕ 802.1x διαμορφώνει ένα μέρος κλειδιού του i. Σχόλια: Η ασφάλεια είναι βασική αδυναμία των WLAN. Οι επενδυτές δε βελτίωσαν την κατάσταση εφόσον ταξίδευαν τα προϊόντα τους χωρίς να έχουν ρυθμίσει αρχικά χαρακτηριστικά ασφαλείας. Επί προσθέτως, η αδυναμίες του αλγορίθμου WEP εκτέθηκαν. Όλα αυτά τα θέματα ξεπερνιούνται με την ειδίκευση 11i η οποία είναι ένα τμήμα ενός συνόλου χαρακτηριστικών ασφαλείας.( TKIP,AES) n (Υπό) πρότυπο που αναφέρεται σε προσπάθειες αύξησης της ταχύτητας των a, b, και g στα 108 Mbps ή και υψηλότερα. Μέχρι στιγμής το υποπρότυπο n δεν είναι ακόμα επίσημο Ένα ακόμα ενδιαφέρον σημείο στην περίπτωση των ασύρματων δικτύων είναι η συμβατότητα μεταξύ των διαφόρων συσκευών που υλοποιούνται από διαφορετικούς κατασκευαστές. Για το σκοπό αυτό έχει δημιουργηθεί ένας μη κερδοσκοπικός οργανισμός με την ονομασία Wi-Fi Alliance ( του οποίου μέλημα είναι ο έλεγχος της συμβατότητας Wi-Fi προϊόντων διαφορετικών κατασκευαστών. Για το λόγο αυτό έχει υιοθετηθεί και το εμπορικό σήμα (logo) που παρουσιάζεται στο σχήμα 1-4, το οποίο γνωστοποιεί στον καταναλωτή ότι το προϊόν 20

21 που σκοπεύει να αγοράσει είναι συμβατό με τη Wi-Fi τεχνολογία. Παράλληλα, το συγκεκριμένο σήμα εγγυάται στον καταναλωτή ότι δε θα συναντήσει ιδιαίτερα προβλήματα σε περίπτωση που προσπαθήσει να συνδεθεί ασύρματα με συσκευές διαφορετικών κατασκευαστών από τη δική του. Ανάμεσα στα πλεονεκτήματα της τεχνολογίας Wi-Fi ξεχωρίζουμε την ευκολία υλοποίησης ενός Wi-Fi δικτύου ακόμα και από μη εξειδικευμένα άτομα και το σχετικά μικρό κόστος απόκτησης σημείων πρόσβασης καθώς και αντίστοιχων προσαρμογέων δικτύου (Network Interface Cards, NICs) για τους σταθμούς των χρηστών. Όπως ισχύει στην περίπτωση των δικτύων κινητής τηλεφωνίας, για την υπηρεσία περιαγωγής μεταξύ δικτύων Wi-Fi που ανήκουν σε διαφορετικούς παρόχους απαιτούνται ειδικές συμφωνίες περιαγωγής (roaming agreements) είτε μεταξύ των ιδιοκτητών τέτοιων δικτύων είτε μέσω ειδικών εταιριών περιαγωγής (roaming brokers). Σχήμα 1-4.Εμπορικό σήμα για προϊόντα Wi-Fi 1.3 Εισαγωγή στο λειτουργικό μοντέλο ΙΕΕΕ Η παρούσα ενότητα έχει ως σκοπό να αναλύσει εν συντομία ορισμένα βασικά χαρακτηριστικά του λειτουργικού μοντέλου των Wi-Fi στη δομημένη μορφή του( infrastructure mode). Όπως αναφέρθηκε, η λειτουργία αυτή προϋποθέτει την ύπαρξη ενός τουλάχιστον ΑΡ. Αμέσως μόλις ο φορητός εξοπλισμός (συσκευή /τερματικό /σταθμός) του χρήστη) (user STAtion,STA) τεθεί σε λειτουργία, θα αναζητήσει ασύρματα δίκτυα προκειμένου να συνδεθεί. Κάθε ΑΡ κάνει γνωστή την ύπαρξή του στις συσκευές των χρηστών, εκπέμποντας σύντομα ραδιομηνύματα σε κανονικά χρονικά διαστήματα που είναι συνήθως 10 φορές (έως 100 φορές) το δευτερόλεπτο. Τα μηνύματα αυτά ονομάζονται (πλαίσια) φάροι (Beacon Frames) και επιτρέπουν σε κάθε ME να ανακαλύψει την ταυτότητα των APs. Πολλές φορές ο σταθμός είναι προ-διαμορφωμένος να αναζητά συγκεκριμένο δίκτυο (APs) ή μπορεί να επιτρέπεται να συνδεθεί σε οποιοδήποτε ΑΡ ανακαλύψει. Η διαδικασία ανακάλυψης των AP, δηλαδή των πλαισίων beacons που αυτά εκπέμπουν ονομάζεται σάρωση (scanning). Έτσι, ο STA πρέπει να σαρώσει (δοκιμάσει) με τη σειρά του όλες τις διαθέσιμες ραδιοσυχνότητες και να περιμένει συνήθως 0.1 δευτερόλεπτα σε καθεμία από αυτές μήπως εκπέμπεται κάποιο beacon. Οπωσδήποτε, η σάρωση αυτών των συχνοτήτων απαιτεί αρκετό χρόνο ειδικά σε περιπτώσεις μετάβαση από ένα AP σε ένα άλλο. Παραδείγματος χάριν, όταν ο χρήστης μετακινείται στο χώρο και το σήμα του δικτύου εξασθενεί, ο STA πρέπει να βρει γρήγορα ένα άλλο ΑΡ του δικτύου να συνδεθεί προκειμένου να μη διακοπεί η τρέχουσα σύνδεση. Για το σκοπό αυτό ο STA έχει τη δυνατότητα να αποστείλει ένα διερευνητικό μήνυμα (probe request message),ανιχνεύοντας την ύπαρξη APs στο χώρο. Κάθε ΑΡ που θα λάβει το διερευνητικό μήνυμα θα απαντήσει με ένα μήνυμα (probe response) γνωστοποιώντας την ύπαρξή του στο STA. Η διαδικασία ανίχνευσης είναι δυνατό να καταλήγει σε μία σε μία λίστα επιτρεπόμενων δικτύων (APs) στα οποία ο STA μπορεί να συνδεθεί. Συνήθως ο STA θα προσπαθήσει να συνδεθεί στο AP που διαθέτει το πιο ισχυρό σήμα. Αρχικά αποστέλλει μια αίτηση σύνδεσης στο ΑΡ που ονομάζεται authentication request message. Υποθέτοντας προς το παρόν ότι το AΡ δε χρησιμοποιεί μηχανισμούς 21

22 ασφαλείας και εν προκειμένου να αυθεντικοποιηθεί, θα αποστείλει με τη σειρά του στο STA ένα μήνυμα (authentication response) αποδοχής. Ακολούθως, ο STA αποστέλλει μια αίτηση συσχέτισης (association request) στο ΑΡ, και αυτό του απαντάει με ένα μήνυμα response που αποτελεί ένδειξη επιτυχούς συσχέτισης και σύνδεσης στο δίκτυο. Από εκείνη τη στιγμή και πέρα ο STA και το ΑΡ μπορού να ανταλλάξουν δεδομένα. Γενικά μπορούμε να πούμε πως η όλη διαδικασία σύνδεσης( συσχέτισης) συνοψίζεται στα ακόλουθα βήματα: Ο σταθμός αναζητά και επιλέγει ένα αναγνωριστικό δικτύου SSID (Service Set Identifier) προκειμένου να συνδεθεί. Κατά συνέπεια ο σταθμός δεν έχει αυθεντικοποιηθέι αλλά ούτε και συσχετισθεί ακόμα με το δίκτυο. Ο σταθμός αυθεντικοποιείται στο ΑΡ. Στο σημείο αυτό ο σταθμός θεωρείται αυθεντικοποιημένος αλλά ακόμα δεν έχει συσχετισθεί με το δίκτυο. Ο σταθμός αποστέλει μια αίτηση (πλαίσιο) συσχέτισης στο ΑΡ και ακολούθως λαμβάνει αντίστοιχα από αυτό μια απάντηση. Το αποτέλεσμα είναι ο σταθμός να θεωρείται τόσο ότι έχει πιστοποιήσει την ταυτότητά του όσο και ότι έχει συσχετισθεί με το δίκτυο μέσω ΑΡ. Το πρότυπο ΙΕΕΕ ορίζει τρεις διαφορετικές κατηγορίες μηνυμάτων (πλαισίων): Μηνύματα ελέγχου (control messages): Σύντομα μηνύματα που ειδοποιούν τις ασύρματες συσκευές για διάφορα γεγονότα, όπως το πότε θα αρχίσουν ή να σταματήσουν να εκπέμπουν, αν έχει συμβεί κάποιο λάθος στην επικοινωνία, επιβεβαίωση παραλαβής δεδομένων, κλπ. Μηνύματα διαχείρισης (management messages): Μηνύματα που χρησιμοποιούνται για την ανταλλαγή πληροφοριών μεταξύ STA και ΑΡ. Παραδείγματος χάριν μηνύματα Beacon, Probe, Association, Authentication. Μηνύματα δεδομένων (data messages): Χρησιμοποιούνται για τη μεταφορά των δεδομένων μεταξύ STA και ΑΡ μετά από επιτυχή σύνδεση. Κάθε μια από τις παραπάνω κατηγορίες έχει μια κεφαλίδα με διάφορα πεδία που χρησιμοποιούνται στο υποεπίπεδο Medium Access Control (MAC) του επιπέδου ζεύξης δεδομένων του Όπως ήδη αναφέρθηκε, στην περίπτωση που υπάρχουν περισσότερα από ένα APs στο χώρο και ο χρήστης περιάγει (roams) ο STA μπορεί να αποφασίσει, οποιαδήποτε στιγμή διαπιστώσει ότι το σήμα εξασθενεί, να επιχειρήσει να συσχετισθεί με με κάποιο άλλο (νέο) ΑΡ που διαθέτει ισχυρότερο σήμα. Η διαδικασία ξεκινάει στέλνοντας διαχειριστικό μήνυμα αποσυσχέτισης (disassociation message) στο παλιό ΑΡ και ακολούθως επιχειρεί σύνδεση με το νέο ΑΡ στέλνοντας ένα μήνυμα επανασυσχέτισης (reassociation message). Το τελευταίο περιέχει κάποιες βασικές πληροφορίες για το παλιό ΑΡ έτσι ώστε το νέο να μπορέσει να επικοινωνήσει με το παλιό ΑΡ, να επιβεβαιώσει ότι έγινε μετάβαση και πιθανώς να μεταφέρει τυχόν πληροφορίες για το χρήστη και την υπηρεσία που ελάμβανε εκείνη τη στιγμή. 1.4 Η στοίβα πρωτοκόλλων του Με δεδομένο το γεγονός ότι τα πρωτόκολλα που χρησιμοποιούνται από όλες τις παραλλαγές του ΙΕΕΕ 802 έχουν πολλά κοινά στοιχεία στη δομή τους, η παρούσα ενότητα περιορίζεται στην παρουσίαση μιας μερικής άποψης της στοίβας πρωτοκόλλων του ΙΕΕΕ Παρατηρούμε λοιπόν ότι σε όλες τις παραλλαγές του το επίπεδο συνδέσμου μετάδοσης δεδομένων υποδιαιρείται σε δύο ή και περισσότερα υποεπίπεδα. Έτσι, στο το δεύτερο επίπεδο υποδιαιρείται στο υποεπίπεδο ελέγχου προσπέλασης μέσου (MAC), που ορίζει τον τρόπο με τον οποίο γίνεται η εκχώρηση του καναλιού ή το ποιος σταθμός θα μεταδώσει την επόμενη 22

23 χρονική στιγμή, και στο υποεπίπεδο ελέγχου λογικού συνδέσμου (Logical Link Layer, LLC). Το τελευταίο είναι επιφορτισμένο με το να κάνει διαφανή στο επίπεδο δικτύου τον τρόπο που τα δεδομένα μεταδίδονται, δηλαδή ποια παραλλαγή του χρησιμοποιείται. Καθεμία από τις τεχνικές μετάδοσης του φυσικού επιπέδου επιτρέπει τη μετάδοση ενός πλαισίου MAC από ένα σταθμό σε ένα άλλο. Ανώτερα Επίπεδα Υποεπίπεδο ελέγχου λογικού συνδέσμου (LLC) Υποεπίπεδο ελέγχου προσπέλασης μέσου (MAC) Επίπεδο συνδέσμου μετάδοσης δεδομένων με υπέρυθρες με FHSS a/g με DSSS με OFDM b με HR-DSSS Φυσικό Επίπεδο 1.5 Δομή πλαισίων Σχήμα 1-5. Τμήμα της στοίβας πρωτοκόλλων του Όπως αναφέρθηκε παραπάνω, το πρότυπο υποστηρίζει τρεις διαφορετικές κατηγορίες πλαισίων MAC που είναι τα πλαίσια δεδομένων, ελέγχου και διαχείρισης. Στο σχήμα 1-6 περιγράφεται η γενική μορφή ενός πλαισίου δεδομένων Το πρώτο πεδίο που ονομάζεται έλεγχος πλαισίου (frame control) αποτελείται από 11 υποπεδία. Το πεδίο έκδοση πρωτοκόλλου (protocol version) επιτρέπει τη λειτουργία διαφορετικών εκδόσεων του πρωτοκόλλου στην ίδια κυψέλη. Τα επόμενα δυο πεδία, τύπος (type) και υποτύπος (subtype), δείχνουν τον τύπο του πλαισίου (δεδομένα, έλεγχος, διαχείριση). Τα δύο bit από DS και προς DS χρησιμοποιούνται προκειμένου να προσδιορίζεται εάν το πλαίσιο κατευθύνεται ή προέρχεται από το σύστημα διανομής πλαισίων (distribution system) μεταξύ των κυψελών, που μπορεί να είναι ενσύρματο (π.χ. Ethernet) ή ασύρματο. Στη συνέχεια, το bit MF (More Fragments) σημαίνει ότι θα ακολουθήσουν περισσότερα θραύσματα(fragments). Το bit R (retry) σημαίνει ότι έχουμε αναμετάδοση του πλαισίου που στάλθηκε νωρίτερα. Αμέσως μετά το bit PM ( Power Management) χρησιμοποιείται από τον ΑΡ για να θέσει τον παραλήπτη σε κατάσταση νάρκης (power save mode, 0) ή να τον επανενεργοποιήσει (active mode, 1). Στη συνέχεια το bit MD (More Data) σημαίνει ότι ο αποστολέας έχει επιπλέον πλαίσια προς αποστολή. Αν το bit WEP (Wired Equivalent Privacy ) ή Protected Frame (PF) έχει την τιμή 0 σημαίνει ότι το πλαίσιο δεν προστατεύεται κρυπτογραφικά από τον αλγόριθμο WEP ή κάποιον άλλο (CCMP, TKIP), ενώ αν είναι 1 το αντίθετο. Τέλος το 23

24 bit ORD (Order) αν είναι 1 προσδιορίζει στον παραλήπτη ότι πρέπει να επεξεργαστεί τα πλαίσια που λαμβάνει, τοποθετώντας τα σε αύξουσα σειρά (strictly ordered). 30 bytes 2 bytes Έλεγχος πλαισίου (Frame control) Διάρκεια (Duration ID) Διεύθυνση 1 (Address 1) Διεύθυνση 2 (Address 2) Διεύθυνση 3 (Address 3) Ακολουθία (Sequence Control) Διεύθυνση 4 (Address 4) Δεδομένα (Data Άθροισμα Ελέγχου (CRC-32) 2 bytes Έκδοση Τύπος Δευτερεύον τύπος Προς DS Από DS MF R PM MD WEP (PF) OR D 2 bits Σχήμα 1-6.Πλαίσιο δεδομένων του Ακολούθως, το πεδίο διάρκεια (Duration ID) του πλαισίου δεδομένων δείχνει πόσο χρόνο θα απασχολήσουν το κανάλι μετάδοσης το πλαίσιο και η επιβεβαίωση του. Το πιο σημαντικό ίσως τμήμα της MAC κεφαλίδας είναι τα τμήματα διευθύνσεων που ακολουθούν. Προφανώς οι δύο από αυτές περιέχουν τις διευθύνσεις προέλευσης και προορισμού, όπως ακριβώς στην περίπτωση του Ethernet (802.3). Παραδείγματος χάριν, τη διεύθυνση του STA και την τελική διεύθυνση προορισμού. Η τελευταία μπορεί να είναι μια διεύθυνση αποκλειστικής διανομής (unicast) ή μια διεύθυνση πολυδιανομής (multicast), δηλαδή το πλαίσιο θα παραδοθεί σε περισσότερους από ένα STA ή ακόμα και σε όλους τους STA που βρίσκονται μέσα στην εμβέλεια του πομπού. Η τελευταία περίπτωση ονομάζεται εκπομπή ή ευρεία μετάδοση (broadcasting) και αποτελεί ειδική περίπτωση της πολυδιανομής. Σε αντίθεση με το Ethernet, οι MAC κεφαλίδες του είναι περισσότερο σύνθετες. Έτσι ανάλογα με την περίπτωση, όπως ήδη αναφέρθηκε, μπορεί να έχουμε μέχρι τέσσερις διευθύνσεις. Αναλυτικότερα, οι διευθύνσεις αυτές αφορούν: Τη διεύθυνση του πομπού (Transmitter Address, AT) Τη διεύθυνση του δέκτη(receiver Address, RA) Τη διεύθυνση πηγής (Source Address, SA) δηλαδή τη διεύθυνση της συσκευής που δημιούργησε το αρχικό μήνυμα, Τη διεύθυνση προορισμού (Destination Address, DA) δηλαδή τη διεύθυνση της συσκευής που είναι ο τελικός παραλήπτης. Σύμφωνα λοιπόν με τα παραπάνω, όταν το δίκτυο λειτουργεί Ad Hoc, τότε η MAC κεφαλίδα περιέχει μόνο δύο διευθύνσεις (SA & DA), γιατί όλοι οι STA επικοινωνούν απευθείας μεταξύ τους. Αντίθετα, όταν το δίκτυο λειτουργεί σε Infrastructure mode, όλοι οι STA στέλνουν τις πληροφορίες τους μέσω των ΑΡ που είναι συνδεδεμένα και αυτά αναλαμβάνουν να τα προωθήσουν στους τελικούς προορισμούς τους. Στην περιπτωση αυτή απαιτούνται τρεις διευθύνσεις: SA=TA (UA πηγή/πομπός), RA (η διεύθυνση του ΑΡ) και DA (τελικός προορισμός). Ο ίδιος αριθμός (τριών) διευθύνσεων χρησιμοποιείται και προς την αντίθετη φορά, δηλαδή: 24

25 SA (συσκευή που δημιούργησε το μήνυμα), TA( η διεύθυνση του ΑΡ),RA=DA (UA προορισμός δέκτης). Τέλος, όλες οι διευθύνσεις χρησιμοποιούνται στην περίπτωση που υπάρχει επιπλέον μετάδοση από ένα ΑΡ σε ένα άλλο, δηλαδή ασύρματη γεφύρωση (bridging) μεταξύ κυψελών. Πρέπει να σημειωθεί ότι οι διευθύνσεις MAC, άρα και τα συγκεκριμένα πεδία, είναι πολύ σημαντικά για την ασφάλεια, λόγω του ότι οι επιτιθέμενοι πολύ συχνά προσπαθούν να τα αλλάξουν, προκειμένου για παράδειγμα να προσποιηθούν νόμιμους χρήστες του δικτύου. Η περίπτωση αυτή αποτελεί κλασικό παράδειγμα επίθεσης πλαστοπροσωπίας με πιθανό σκοπό την υφαρπαγή της σύνδεσης (session hijacking). Επίσης, είναι πολύ σημαντικό ζήτημα ασφαλείας με τις διευθύνσεις MAC είναι ότι αυτές δεν είναι δυνατό να προστατευτούν, δηλαδή μεταδίδονται σε μορφή αρχικού κειμένου (cleartext). Αυτό γιατί πρέπει να είναι ορατές από οποιαδήποτε εμπλεκόμενη συσκευή του δικτύου προκειμένου τα πλαίσια να μπορούν να φτάσουν στον τελικό προορισμό τους. Στη συνέχεια, το πεδίο ακολουθία (Sequence Control) επιτρέπει την αρίθμηση των θραυσμάτων. Έτσι τα πρώτα 12 bit προσδιορίζουν το πλαίσιο ενώ τα υπόλοιπα 4 τον αύξοντα αριθμό θραύσματος. Το πεδίο δεδομένα (Data) περιέχει το ωφέλιμο φορτίο (pay load), το οποίο μπορεί να έχει μήκος μέχρι 2312 bytes και ακολουθείται από το πεδίο κυκλικός κώδικας πλεονασμού ή απλώς άθροισμα ελέγχου (Cyclic Redundancy Check, CRC /checksum) για την ανίχνευση λαθών κατά τη μετάδοση. Αντίθετα με τα πλαίσια δεδομένων τα πλαίσια ελέγχου και διαχείρισης είναι μικρότερα. Τα πλαίσια διαχείρισης για παράδειγμα δεν περιέχουν τέταρτη διεύθυνση, ενώ τα πλαίσια ελέγχου περιέχουν μια οι δύο διευθύνσεις και δεν περιέχουν πεδίο δεδομένων και ακολουθίας. Τα περισσότερα ενδιαφέροντα από πλευράς ασφαλείας είναι τα πλαίσια διαχείρισης, αφού όπως θα δούμε στα επόμενα, εμπλέκονται στα πρωτόκολλα ασφαλείας που χρησιμοποιεί το δίκτυο. Αναλυτικά ένα πλαίσιο διαχείρισης μπορεί να είναι: Beacon (αναγγελία μόνο χωρίς αναμενόμενη απάντηση), Probe(αίτηση και απάντηση), Authenticate( αίτηση και απάντηση), Associate (αίτηση και απάντηση), Reassociate (αίτηση και απάντηση), Disassociate (αίτηση και απάντηση), Deauthenticate (αίτηση και απάντηση). Όπως φαίνεται στο σχήμα 1-7 τα πλαίσια διαχείρισης αποτελούνται από δύο μέρη. Το πρώτο από αυτά είναι ένα σύνολο από σταθερά πεδία ( fixed fields), ενώ το δεύτερο από διάφορα στοιχεία (elements). Για παράδειγμα, τα πλαίσια beacon απαρτίζονται από τα παρακάτω στοιχεία: 25

26 Περιεχόμενα Τύπος MAC Κεφαλίδα (beacon) Επικεφαλίδα Σταθερά πεδία ανάλογα με τον τύπο του πλαισίου Στοιχείο 1 Στοιχείο 2 Στοιχείο 3 Στοιχείο n Χρονοσφραγίδα (Timestamp-microseconds ) Μεσοδιάστημα Beacon (Interval) Δυνατότητες (Capability Information ) SSID (Αναγνωριστικό δικτύου ) Σταθερό πεδίο Σταθερό πεδίο Σταθερό πεδίο Στοιχείο Υποστηριζόμενες ταχύτητες Στοιχείο Ράδιο-παράμετροι Στοιχείο Σημαίες κατάστασης νάρκης (Power save flags) Στοιχείο Σχήμα 1-7.Γενική μορφή πλαισίων διαχείρισης και πλαίσιο Beacon 1.6 Υπηρεσίες Σύμφωνα με το πρότυπο ΙΕΕΕ κάθε ασύρματο δίκτυο πρέπει να παρέχει εννέα υπηρεσίες που εντάσσονται στις εξής δύο κατηγορίες: (α) Υπηρεσίες διανομής και (β) Υπηρεσίες σταθμών. Οι πέντε συνολικά υπηρεσίες διανομής αναφέρονται στη διαχείριση των μελών κάθε κυψέλης καθώς και στην αλληλεπίδραση με άλλους σταθμούς εκτός αυτής. Οι υπηρεσίες αυτές παρέχονται από τα APs και σχετίζονται με την κινητικότητα των σταθμών, όπως σύνδεση (συσχέτιση), αποσύνδεση, κλπ. Από την άλλη μεριά, οι τέσσερις υπηρεσίες σταθμών σχετίζονται με γεγονότα που συμβαίνουν μέσα σε κάθε κυψέλη και λαμβάνουν χώρα, αφού πραγματοποιηθεί η σύνδεση κάποιου σταθμού με ένα ΑΡ. Αναλυτικότερα: Συσχέτιση (Association): Όπως ήδη αναφέρθηκε παραπάνω, η υπηρεσία αυτή χρησιμοποιείται από τους σταθμούς των χρηστών προκειμένου να συνδεθούν σε κάποιο ΑΡ. Αμέσως μόλις κάποιος σταθμός μετακινηθεί στην εμβέλεια ενός ΑΡ του ανακοινώνει την ταυτότητα και τις δυνατότητες του. Από την πλευρά του το ΑΡ μπορεί να αποδεχθεί ή να απορρίψει τον κινητό σταθμό. Ο σταθμός θα πρέπει επίσης να αυθεντικοποιήσει το ΑΡ. Αποσυσχέτιση (Disassociation): Αποσυσχέτιση μπορεί να εκκινηθεί είτε από το STA είτε από το AP σε οποιαδήποτε στιγμή αυτό κριθεί σκόπιμο. Επανασυσχέτιση (Reassociation): Κάνοντας χρήση της συγκεκριμένης υπηρεσίας ένας σταθμός μπορεί να μετακινηθεί σε ένα άλλο (νέο) ΑΡ. Η δυνατότητα αυτή είναι ιδιαίτερα χρήσιμη σε σταθμούς που μετακινούνται από κυψέλη σε κυψέλη έτσι ώστε η σύνδεση να μεταφερθεί ομαλά στο νέο σημείο πρόσβασης χωρίς την απώλεια δεδομένων. Διανομή (Distribution): Η υπηρεσία αυτή καθορίζει τον τρόπο με τον οποίοθα δρομολογούνται τα πλαίσια που αποστέλλονται στα APs. Έτσι, σε περίπτωση που ο αποδέκτης βρίσκεται σε περιοχή εκτός κυψέλης, τα πλαίσια πρέπει να προωθηθούν μέσω του ασύρματου δικτύου ή μιας ασύρματης γέφυρας. 26

27 Ενοποίηση (Integration): Η υπηρεσία αυτή σχετίζεται με το ετερογενές περιβάλλον δικτύωσης. Πιο συγκεκριμένα, αν ένα πλαίσιο δρομολογηθεί διαμέσου ενός δικτύου που δεν ακολουθεί το πρότυπο , τότε η υπηρεσία της ενοποίησης είναι υπεύθυνη για τη μετατροπή του πλαισίου από το στη μορφή που απαιτεί το δίκτυο προορισμού. Πιστοποίηση ταυτότητας (Authentication): Ο κάθε σταθμός είναι υποχρεωμένος να πιστοποιήσει την ταυτότητά του πριν του επιτραπεί να στείλει και να λάβει δεδομένα. Ακύρωση πιστοποίησης ταυτότητας (Deauthenication): Σε περίπτωση εγκατάλειψης του δικτύου από ένα σταθμό, ακυρώνεται παράλληλα η πιστοποίηση που είχε λάβει, με αποτέλεσμα ο σταθμός να μη μπορεί πλέον να χρησιμοποιήσει τους πόρους του δικτύου. Προστασία απορρήτου ή Εμπιστευτικότητα (Confidentiality): Οι πληροφορίες που αποστέλλονται μέσω του δικτύου θα πρέπει να κρυπτογραφούνται ώστε να διατηρείται το απόρρητο των επικοινωνιών. Παράδοση δεδομένων (Data delivery): Λόγω του ότι το βασίζεται μοντέλο του Ethernet η μετάδοση δεν είναι 100% αξιόπιστη. Είναι ευθύνη των ανώτερων επιπέδων να αντιμετωπίσουν τυχόν σφάλματα και να είναι δυνατό να τα επανορθώσουν. 1.7 Εφαρμογές Ασυρμάτων LAN Τα ασύρματα τοπικά δίκτυα αυξήθηκαν ραγδαία έναντι των ενσύρματων παρέχοντας συχνά συνδεσιμότητα μεταξύ μιας ραχοκοκαλιάς δικτύου και ενός κινητού χρήστη. Η ακόλουθη λίστα περιγράφει μερικές από τις πολυάριθμες εφαρμογές που έγιναν πράξη μέσω της ισχύος και της ευελιξίας των ασύρματων LAN. Γιατροί και νοσοκόμες σε νοσοκομεία είναι περισσότερο παραγωγικοί επειδή μικρές χειροσυσκευές ή φορητοί υπολογιστές με δυνατότητα WLAN υποστήριξης μεταφέρουν πληροφορίες ασθενών στιγμιαία. Συμβουλευτικές ή οικονομικές και λογιστικές ομάδες ή μικρότερες ομάδες εργασίας αυξάνουν την παραγωγικότητα με γρήγορη εγκατάσταση δικτύου. Διαχειριστές δικτύων σε δυναμικά περιβάλλοντα ελαχιστοποιούν τις λειτουργικές κινήσεις, προσθήκες και αλλαγές με το WLAN και έτσι μειώνεται το κόστος του τοπικού δικτύου. Ιστότοποι εκπαίδευσης σε επιχειρήσεις και φοιτητές σε πανεπιστήμια χρησιμοποιούν ασύρματη συνδεσιμότητα για να επιτύχουν πρόσβαση σε πληροφορίες, ανταλλαγή πληροφοριών και μάθηση. Οι διαχειριστές δικτύων, οι οποίοι εγκαθιστούν δικτυωμένους υπολογιστές σε πεπαλαιωμένα κτίρια, βρίσκουν την υποδομή των ασύρματων τοπικών δικτύων ως λύση δραστικά χαμηλού κόστους. Εργάτες μεγάλων αποθηκών χρησιμοποιούν τα WLAN για να ανταλλάζουν πληροφορίες με την κεντρική βάση δεδομένων και να αυξάνουν την παραγωγικότητά τους. Διαχειριστές δικτύων θέτουν σε ισχύ τα ασύρματα τοπικά δίκτυα εφεδρικά,για υποστήριξη σημαντικών εφαρμογών που τρέχουν σε ενσύρματα δίκτυα. Ανώτερα διοικητικά στελέχη σε αίθουσες συσκέψεων λαμβάνουν ταχύτερα αποφάσεις επειδή έχουν πληροφορία άμεσου χρόνου στη διάθεση τους. 27

28 1.8 Πλεονεκτήματα των WLAN Μεταφερσιμότητα: Τα συστήματα WLAN μπορούν να παρέχουν στους χρήστες τοπικών δικτύων χρονικά άμεση πρόσβαση πληροφορίας οπουδήποτε μέσα στον οργανισμό τους. Αυτή η μεταφερσιμότητα υποστηρίζει παραγωγικότητα και δυνατότητες υπηρεσιών απίθανες στα ενσύρματα δίκτυα. Ταχύτητα εγκατάστασης και απλότητα: Η εγκατάσταση ενός ασύρματου δικτύου μπορεί να είναι γρήγορη και εύκολη και να εξαλείψει την ανάγκη εγκατάστασης καλωδίου δια μέσω τοίχων και οροφών. Ευελιξία Εγκατάστασης: Η ασύρματη τεχνολογία επιτρέπει σε ένα δίκτυο να πάει όπου το καλώδιο δε μπορεί. Μειωμένα έξοδα ιδιοκτησίας: Ενώ η αρχική επένδυση που απαιτείται για τον εξοπλισμό των WLAN είναι υψηλότερη από τον εξοπλισμό του ενσύρματου, τα συνολικά έξοδα και τα έξοδα της διάρκειας ζωής αυτού είναι σημαντικά χαμηλότερα. Τα μακροπρόθεσμα οφέλη κόστους είναι τεράστια σε δυναμικά περιβάλλοντα όπου απαιτούνται συχνές κινήσεις, προσθήκες και αλλαγές. Κλιμάκωση: Τα συστήματα WLAN μπορούν να διαμορφωθούν σε μία ποικιλία από τοπολογίες προκειμένου να αντεπεξέλθουν στις ανάγκες ειδικών εφαρμογών και εγκαταστάσεων. Οι διαμορφώσεις αυτές εύκολα μεταβάλλονται και το εύρος των peer to peer δικτύων είναι διαθέσιμο για ένα μικρό αριθμό χρηστών ώστε γεμίσουν δίκτυα υποδομής χιλιάδων χρηστών όπου επιτρέπεται η κίνηση σε μία ευρεία περιοχή. 1.9 Εξέταση WLAN από την πλευρά του χρήστη/πελάτη Εύρος/Κάλυψη Η απόσταση πάνω από την οποία τα κύματα RF επικοινωνούν είναι μία λειτουργία του σχεδιασμού προϊόντος( συμπεριλαμβανομένης της ισχύος μετάδοσης και το σχεδιασμό του δέκτη) και του μονοπατιού μετάδοσης, ειδικά σε εσωτερικά περιβάλλοντα. Διακοπές από φυσικά αντικείμενα κτιρίων,συμπεριλαμβάνοντας τοίχους,μέταλλα, ακόμα και ανθρώπους, μπορεί να επιδράσει τον τρόπο που μεταδίδεται η ενέργεια, και κατά συνέπεια τι εύρος και τι κάλυψη ένα συγκεκριμένο σύστημα μπορεί να πετύχει. Τα περισσότερα ασύρματα LAN χρησιμοποιούν RF επειδή τα ραδιοκύματα μπορούν να διαπεράσουν πολλούς εσωτερικούς τοίχους και επιφάνειες. Το εύρος/ακτίνα για τυπικά συστήματα WLAN ποικίλει από 30 έως 150μέτρα. Η κάλυψη μπορεί να επεκταθεί, και αληθινή ελευθερία κινητικότητας μπορεί να επιτευχθεί μέσω μικρο-κυψελών Όγκος Δεδομένων Όπως και στα ενσύρματα δίκτυα,ο πραγματικός όγκος δεδομένων στα ασύρματα εξαρτάται από το προϊόν και από το πώς αυτό είναι διαμορφωμένο/ρυθμισμένο. Παράγοντες που επηρεάζουν το συνολικό όγκο είναι συμφόρηση εναέριων κυμάτων( αριθμός χρηστών), παράγοντες μετάδοσης όπως η ακτίνα και οι πολλαπλές διαδρομές, ο τύπος του WLAN που χρησιμοποιείται καθώς και η καθυστέρηση και το μποτιλιάρισμα στα ενσύρματα τμήματα του WLAN. Οι τυπικοί ρυθμοί δεδομένων κυμαίνονται από 1 έως 11Mbps. 28

29 1.9.3 Επιδράσεις πολλαπλών μονοπατιών Ένα σήμα ραδιοσυχνότητας μπορεί να ακολουθήσει πολλαπλά μονοπάτια από τον πομπό έως τον δέκτη. Οι αντανακλάσεις των σημάτων ενδέχεται να τα κάνουν ασθενέστερα ή ισχυρότερα,κάτι το οποίο μπορεί να επηρεάσει το συνολικό όγκο δεδομένων. Οι επιρροές στα πολλαπλά μονοπάτια εξαρτώνται από τις επιφάνειες αντανάκλασης στο περιβάλλον,την απόσταση από τον πομπό έως το δέκτη, το σχεδιασμό του προϊόντος και την τεχνολογία ραδιοκύματος.(σχήμα 1-8) Σχήμα 1-8.Διαδρομή ραδιο-σημάτων μέσω πολλαπλών μονοπατιών Ακεραιότητα Τα περισσότερα ασύρματα δίκτυα παρέχουν σταθερή βιομηχανική διασύνδεση με ενσύρματα συστήματα συμπεριλαμβανομένου του Ethernet( Αιθέρας) και τον tokenδακτύλιο(802.5). Τα πρότυπα βασίζονται στο ότι η διαλειτουργικότητα καθιστά το ασύρματο τμήμα του δικτύου διαφανές στο υπόλοιπο δίκτυο. Οι κόμβοι των WLAN υποστηρίζονται από συστήματα διαχείρισης δικτύων (NOS) με τον ίδιο τρόπο όπως κάθε άλλος κόμβος τοπικού δικτύου διαμέσου συσκευών οδήγησης δικτύου. Εφόσον εγκατασταθούν, τα NOS αντιμετωπίζουν τους ασύρματους κόμβους όπως κάθε άλλο στοιχείο του δικτύου Διαλειτουργικότητα με Ασύρματη Υποδομή Υπάρχουν πολλοί τύποι διαλειτουργικότητας που είναι πιθανοί ανάμεσα στα WLAN. Αυτό εξαρτάται τόσο από την επιλογή τεχνολογίας όσο και από τις εξειδικευμένες εφαρμογές του παρόχου. Προϊόντα από διαφορετικούς παρόχους πάνω στην ίδια τεχνολογία και εφαρμογή τυπικά επιτρέπουν την ανταλλαγή προσαρμογέων και σημείων πρόσβασης. Ένας ενδεχόμενος στόχος για την ειδίκευση του , ο οποίος τέθηκε από μια επιτροπή χρηστών και παρόχων WLAN,είναι να επιτρέπει σε συμβατικά προϊόντα να διαλειτουργούν χωρίς κατηγορηματική συνεργασία μεταξύ των παρόχων Παρεμβολή και Συνύπαρξη Η μη επιτρεπόμενη φύση των WLAN σημαίνει ότι άλλα προϊόντα τα οποία μεταδίδουν ενέργεια στο ίδιο φάσμα συχνοτήτων μπορούν να δημιουργήσουν μερική παρεμβολή σε ένα σύστημα WLAN. Οι φούρνοι μικροκυμάτων είναι ένα πιθανό σενάριο, αλλά οι κατασκευαστές WLAN σχεδιάζουν τα προϊόντα τους έτσι ώστε να υπολογίζεται και παρεμβολή των μικροκυμάτων. Ένα άλλο σενάριο είναι η συνύπαρξη πολλών WLAN συστημάτων. Από τη στιγμή που τοποθετούνται μαζί WLAN από διάφορους παρόχους,ίσως δημιουργείται παρεμβολή μεταξύ αυτών ενώ 29

30 σε άλλα η συνύπαρξη δε δημιουργεί παρεμβολή. Βέβαια σε αυτό το θέμα βρίσκεται αμέσως λύση με τους κατάλληλους παρόχους Απλότητα/Ευκολία χρήσης Οι χρήστες χρειάζονται μόνο λίγες καινούριες πληροφορίες για να επωφεληθούν από τα WLAN. Τα προϊόντα των ασύρματων δικτύων περιλαμβάνουν μια ποικιλία διαγνωστικών εργαλείων για να επιλύουν προβλήματα που σχετίζονται με τα ασύρματα στοιχεία του συστήματος. Όμως, τα προϊόντα αυτά είναι σχεδιασμένα έτσι ώστε οι περισσότεροι χρήστες να χρειαστούν αυτά τα εργαλεία σπάνια. Τα WLAN απλοποιούν τη διαδικασία της εγκατάστασης και της παραμετροποίησης. Από τη στιγμή που μόνο το σημείο πρόσβασης απαιτεί καλωδίωση,οι διαχειριστές δικτύων είναι ελεύθεροι από τη διαδικασία τοποθέτησης καλωδίου στους τελικούς χρήστες. Η έλλειψη καλωδίων επίσης καθιστά τις κινήσεις, τις προσθήκες και τις αλλαγές στο δίκτυο ασήμαντες δραστηριότητες. Τελικά, η φορητή φύση των WLAN επιτρέπει στους διαχειριστές προ-παραμετροποιούν και να αντιμετωπίζουν σφάλματα ολόκληρων δικτύων προτού τα εγκαταστήσουν σε απομακρυσμένες τοποθεσίες. Εφόσον παραμετροποιηθούν, τα WLAN μπορούν να μεταφερθούν από ένα μέρος σε ένα άλλο με μικρή ή καμία τροποποίηση Ασφάλεια Επειδή η ασύρματη τεχνολογία έχει τις ρίζες της στις στρατιωτικές εφαρμογές, η ασφάλεια ήταν ένα μεγάλο σχεδιαστικό κριτήριο για τις ασύρματες συσκευές. Εφοδιασμοί ασφαλείας τυπικά δημιουργήθηκαν μέσα σε ασύρματα τοπικά δίκτυα,κάνοντάς τα πιο ασφαλή από τα ενσύρματα. Είναι εξαιρετικά δύσκολο για μη σκόπιμους δέκτες να υποκλέψουν μέσα από την κίνηση των WLAN. Τεχνικές πολύπλοκης κρυπτογράφησης το κάνουν αδύνατο αλλά περισσότερο αδύνατο είναι να αποκτηθεί μη εξουσιοδοτημένη πρόσβαση στο δίκτυο. Γενικά, ξεχωριστοί κόμβοι πρέπει να είναι ασφαλείς προτού τους επιτραπεί να πάρουν μέρος στην κίνηση του δικτύου Κόστος Η πραγματοποίηση ενός WLAN δικτύου περιλαμβάνει έξοδα για τις υποδομές τόσο των ασύρματων σημείων πρόσβασης όσο και για τους προσαρμογείς των χρηστών. Τα κόστη των υποδομών αυτών αυτά εξαρτώνται αρχικά από τον αριθμό των σημείων πρόσβασης που αναπτύσσονται. Η τιμή των σημείων πρόσβασης έχει εύρος από 800$ έως 2000$. Ο αριθμός των σημείων πρόσβασης εξαρτάται από την επιθυμητή κάλυψη της περιοχής και/η στο αριθμό των χρηστών και στον τύπο υπηρεσιών που αυτοί επιθυμούν. Επίσης, οι τιμές των WLAN προσαρμογέων των χρηστών κυμαίνονται από 200$ έως 700$. Το κόστος εγκατάστασης και συντήρησης ενός ασύρματου δικτύου είναι γενικά χαμηλότερο από αυτό ενός ενσύρματου δικτύου κυρίως για δύο λόγους. Πρώτον, ένα WLAN εξαλείφει άμεσα έξοδα καλωδίωσης και του συνεργείου που χρειάζεται για την εγκατάσταση του καλωδίου και την επισκευή του. Δεύτερον, επειδή τα WLAN απλοποιούν τις κινήσεις,τις προσθήκες και τις αλλαγές, μειώνουν τα άμεσα έξοδα του downtime των χρηστών και τις λειτουργικές δαπάνες διαχείρισης. 30

31 Κλιμάκωση Τα ασύρματα δίκτυα μπορούν να σχεδιαστούν έτσι ώστε να είναι εξαιρετικά απλά ή αρκετά σύμπλοκα. Επίσης μπορούν να υποστηρίξουν μεγάλο αριθμό κόμβων και/ή μεγάλων περιοχών προσθέτοντας σημεία πρόσβασης προκειμένου να ενισχύσουν ή να επεκτείνουν την κάλυψη Διάρκεια μπαταρίας για κινητές πλατφόρμες Τα προϊόντα των τελικών χρηστών συχνά εξασθενούν και μένουν από ενέργεια μπαταρίας. Έτσι, οι κατασκευαστές των WLAN τυπικά αναπτύσσουν ειδικές σχεδιαστικές τεχνικές για να μεγιστοποιήσουν την ενέργεια χρήσης και τη διάρκεια ζωής της μπαταρίας των συσκευών των τελικών χρηστών Προστασία Η εκπεμπόμενη ισχύς των ασύρματων δικτύων είναι πολύ χαμηλή, αρκετά πιο κάτω από αυτή των κινητών τηλεφώνων. Καθώς τα ραδιοκύματα εξασθενούν γρήγορα με την απόσταση, πολύ μικρή έκθεση σε RF ενέργεια δέχονται όσοι κινούνται στην περιοχή ενός WLAN συστήματος. Τα ασύρματα τοπικά δίκτυα συναντούν πολύ αυστηρούς κανονισμούς από τις κυβερνήσεις και τη βιομηχανία για την ασφάλεια (εκπομπής). Επομένως, ποτέ δεν έχουν προσδοθεί δυσμενείς επιδράσεις στην υγεία από τη χρήση των WLAN Ρυθμίσεις WLAN Ανεξάρτητα WLAN Η απλούστερη διαμόρφωση WLAN είναι ένα ανεξάρτητο (peer to peer) ασύρματο τοπικό δίκτυο το οποίο συνδέει ένα σύνολο υπολογιστών με ασύρματους προσαρμογείς. Ανά πάσα στιγμή, δύο ή περισσότεροι ασύρματοι προσαρμογείς, που βρίσκονται ο ένας μέσα στην ακτίνα του άλλου, μπορούν να στήσουν ένα ανεξάρτητο δίκτυο (Σχήμα 1-9). Αυτά τα δίκτυα τυπικά δεν απαιτούν διαχείριση ή διαμόρφωση εκ των προτέρων. Σχήμα 1-9.Ανεξάρτητο WLAN Τα σημεία πρόσβασης μπορούν να επεκτείνουν την ακτίνα των ανεξάρτητων WLAN ενεργώντας ως αναμεταδότες (Σχήμα 1-10),διπλασιάζοντας αισθητά την απόσταση μεταξύ των ασύρματων υπολογιστών. 31

32 Σχήμα 1-10.Ανεξάρτητο WLAN επεκτεινόμενης ακτίνας με χρήση σημείου πρόσβασης ως αναμεταδότη Δομημένα WLAN Στα δομημένα WLAN, πολλαπλά σημεία πρόσβασης συνδέουν το ασύρματο δίκτυο με το ενσύρματο και επιτρέπουν στους χρήστες να διαμοιραστούν επαρκώς πόρους του δικτύου. Τα σημεία πρόσβασης όχι μόνο παρέχουν επικοινωνία με το ενσύρματο δίκτυο αλλά μεσολαβούν και στην κίνηση του ασύρματου δικτύου στο άμεσο περιβάλλον.επίσης, τα πολλαπλά σημεία πρόσβασης μπορούν να παρέχουν κάλυψη για ένα ολόκληρο κτίριο ή ακόμα για μια πανεπιστημιούπολη. (Σχήμα 1-11) Σχήμα 1-11.Δομημένο WLAN Μικροκυψέλες και Περιήγηση Οι ασύρματες τηλεπικοινωνίες περιορίζονται στο πόσο μακριά μεταδίδονται τα σήματα,σε σχέση με την ισχύ εκπομπής που παρέχεται. Τα WLAN χρησιμοποιούν κυψέλες, παρόμοιες με αυτές των κινητών τηλεφώνων, για να επεκτείνουν την ακτίνα της ασύρματης συνδεσιμότητας. Σε κάθε σημείο, οποιαδήποτε στιγμή, ένας φορητός υπολογιστής εξοπλισμένος με έναν προσαρμογέα WLAN σχετίζεται με ένα απλό σημείο πρόσβασης και τη μικροκυψέλη του, ή αλλιώς την περιοχή κάλυψης του. Οι ατομικές μικροκυψέλες επικαλύπτονται έτσι ώστε να παρέχουν συνεχή επικοινωνία μέσα σε ένα ασύρματο δίκτυο (Σχήμα 1-12). 32

33 Σχήμα 1-12.Υποστήριξη της σύνδεσης ανάμεσα σε σημεία πρόσβασης του WLAN 33

34 2 Εισαγωγή στα ασύρματα μητροπολιτικά δίκτυα επικοινωνιών και στα χαρακτηριστικά τους Τα μητροπολιτικά ασύρματα δίκτυα επικοινωνιών, τα οποία βασίζονται στη σουίτα προτύπων ΙΕΕΕ wirelessman και προσφέρουν ευρυζωνική ασύρματη πρόσβαση (BWA) κερδίζουν ολοένα και περισσότερο το ενδιαφέρον των παρόχων των σχετικών υπηρεσιών, των κατασκευαστών και προμηθευτών ασύρματου εξοπλισμού, αλλά σιγά-σιγά και των τελικών καταναλωτών. Η τεχνολογία BWA θεωρείται σήμερα από πολλούς ο καλύτερος τρόπος για την κάλυψη των κλιμακούμενων αναγκών των επιχειρήσεων, της ζήτησης για γρήγορο Διαδίκτυο και ολοκληρωμένες υπηρεσίες δεδομένων, φωνής και εικόνας. Προς αυτή την κατεύθυνση, η τεχνολογία BWA είναι ικανή να επεκτείνει τα υπάρχοντα δίκτυα οπτικών ινών και να παράσχει μεγαλύτερη χωρητικότητα από αυτή των ενσύρματων δικτύων και της τεχνολογίας DSL. Επιπλέον, ένα από τα βασικά πλεονεκτήματα της εν λόγω τεχνολογίας είναι ότι ένα δίκτυο BWA είναι δυνατόν να δημιουργηθεί σε διάστημα λίγων εβδομάδων, αναπτύσσοντας ένα μικρό αριθμό σταθμών πρόσβασης ή βάσης π.χ. επάνω σε κτίρια ή στύλους. Όπως και με τα δίκτυα και , το πρότυπο ανήκει στην οικογένεια των προτύπων ΙΕΕΕ 802. Το πρότυπο είναι επίσης γνωστό ως WiMAX από τα αρχικά των λέξεων worldwide interoperability for microwave access, κατ αντιστοιχία του ότου Wi-Fi για το πρότυπο Παρόλα αυτά, ο όρος WiMAX δεν αναφέρεται ο ίδιος σε κάποιο πρότυπο, αλλά αποτελεί εμπορικό όνομα για κάθε σύστημα ή εφαρμογή που ακολουθεί τη συλλογή προτύπων ΙΕΕΕ Στο πλαίσιο αυτό, ο μη κερδοσκοπικός οργανισμός, WiMAX Forum, o οποίος ιδρύθηκε το 2001, έχει ως σκοπό να υποβοηθήσει την ανάπτυξη των ευρυζωνικών ασύρματων δικτύων επικοινωνιών, που βασίζονται στο πρότυπο IEEE , εξασφαλίζοντας τη συμβατότητα και διαλειτουργικότητα μεταξύ των διαφόρων συσκευών BWA και προωθώντας την υιοθέτησή τους από διάφορους παρόχους των σχετικών υπηρεσιών. 34

35 Πίνακας 1.Σύγκριση Ασύρματων Τεχνολογιών ΙΕΕΕ IEEE Std (Bluetooth) IEEE Std (Wi-Fi) IEEE Std (WiMAX) Εφαρμογή WPAN WLAN WMAN Περιοχή κάλυψης 100 m(class 1) 10 m(class 2) 1 m(class 3) 105 m(σε εξωτερικούς χώρους) 45 m (σε κλειστούς χώρους) 50 km (LOS) 8 km (NLOS) Μέγιστη τιμή ρυθμού δεδομένων 1 Mbps (Version 1.2) 3 Mbps (Version 2) 11 Mbps (802.11b) 54 Mbps (802.11a/g) 70 Mbps Μπάντα συχνοτήτων GHz 2.4 GHz (802.11b/g) 5 GHz (802.11a) 2-66 GHz Η ανάπτυξη του προτύπου IEEE αποτελεί ευθύνη της ομάδας με το διακριτικό τίτλο ΙΕΕΕ Working Group on Broadband Access (BWA) Standards. Ιστορικά, η ανάπτυξη του τοποθετείται τον Αύγουστο του 1999 κατά τη διάρκεια μιας συνάντησης που διοργανώθηκε από το National Wireless Electronics Systems Testbed (N-WEST), που ανήκει στο Αμερικανικό ινστιτούτο προτύπων και τεχνολογίας(nist). Η συγκεκριμένη προσπάθεια καλωσορίστηκε από την επιτροπή IEEE 802, η οποία στη συνέχεια δημιούργησε σχετική ομάδα μελέτης( study group). Ακολουθώντας μια πορεία ανάπτυξης δύο ετών το αρχικό πρότυπο ΙΕΕΕ , το οποίο κάλυπτε συστήματα λειτουργούν στις αδειοδοτημένες περιοχές συχνοτήτων από 10-66GHz, εγκρίθηκε προς έκδοση το Δεκέμβριο του Κατόπιν ήρθαν δύο προσθήκες στο αρχικό πρότυπο: το c το Δεκέμβριο του 2002 και το a- καλύπτει αδειοδοτημένες και μη αδειοδοτημένες περιοχές συχνοτήτων από 2-11 GHz- τον Ιανουάριο του Τον Οκτώβριο του 2004 εκδίδεται η αναθεώρηση του αρχικού προτύπου Μέχρι στιγμής, ακολούθησαν δύο προσθήκες στο πρότυπο , η πρώτη εκδόθηκε το Δεκέμβριο του 2005 με το διακριτικό f και η δεύτερη το Φεβρουάριο του 2006(802.16e). Η τελευταία(ιεεε 2005) επικεντρώνει το ενδιαφέρον στην κινητικότητα των χρηστών και αναφέρεται ορισμένες φορές και ως Mobile WiMAX. Ωστόσο, το e δε θα πρέπει να συγχέεται με το υπό ανάπτυξη πρότυπο , γνωστό και ως Mobile Broadband Wireless Access (MBWA), το οποίο έχει ως στόχο την παροχή υψηλής ποιότητας ευρυζωνικών υπηρεσιών κινητής ασύρματης πρόσβασης. Ο στόχος του ΙΕΕΕ e είναι να προσφέρει υπηρεσίες δεδομένων υψηλών ταχυτήτων με σκοπό την επέκταση και τη συμπλήρωση των αντίστοιχων υπηρεσιών των δικτύων 3G. Συγκεκριμένα, το υπο-πρότυπο ΙΕΕΕ e εισάγει και περιγράφει την έννοια της κινητικότητας των χρηστών από ένα BS σε ένα άλλο. Στο υπο-πρότυπο αυτό 35

36 ορίζεται ότι ένας κινητός χρήστης έχει τη δυνατότητα να συνεχίσει να εξυπηρετείται από το δίκτυο ακόμα και αν κινείται με ταχύτητες, οι οποίες προσεγγίζουν τα 120Km/h. Με την πρόσφατη ανάπτυξη των προϊόντων κινητών υπολογιστών να εξελίσσεται στην αγορά, οι καταναλωτές αναζητούν ένα εξαρτώμενο υπολογιστικό περιβάλλον, ελεύθερο από ιούς, παραβιαστές (hackers) και εισβολείς ιδιωτικότητας (ασφάλειας). Η αγορά απαιτεί ένα Ασφαλές Ασύρματο Μητροπολιτικό Δίκτυο( SWMAN).Το ερώτημα είναι το εξής :εάν είναι εφικτό να πραγματοποιηθεί (ένα εξαρτώμενο και ασφαλές) μία εξαρτώμενη και ασφαλής υπηρεσία SWMAN με τη χρήση της ήδη υπάρχουσας τεχνολογίας,την ποιότητα υπηρεσιών (QoS) και την ασφαλή μετάδοση πάνω σε ένα ετερογενές περιβάλλον. Πολλοί χειριστές και πάροχοι υπηρεσιών μπορεί να μην είναι εξοικειωμένοι με το πρότυπο , αλλά αυτή η ασύρματη τεχνολογία θα φέρει επανάσταση στη βιομηχανία της ευρυζωνικής ασύρματης πρόσβασης. Το πρότυπο , «η διεπαφή από αέρος για σταθερά ευρυζωνικά ασύρματα συστήματα πρόσβασης», είναι επίσης γνωστό ως η εναέρια διεπαφή ΙΕΕΕ ασυρμάτων ΜΑΝ. Αυτή η τεχνολογία έχει σχεδιαστεί για να παρέχει ασύρματη ευρυζωνική πρόσβαση μέχρι και το τελευταίο σημείο ενός μητροπολιτικού δικτύου, με επιδόσεις συγκρίσιμες με αυτές που προσφέρονται από την παραδοσιακή καλωδίωση, το DSL ή το Τ1. Τα κυρίαρχα πλεονεκτήματα των συστημάτων που βασίζονται στο εξαρτώνται από διάφορους παράγοντες: η ικανότητα γρήγορης παροχής ακόμα και σε περιοχές δυσπρόσιτες για καλωδιακές υποδομές, η αποφυγή υπερβολικών εξόδων εγκατάστασης, η ικανότητα της υπέρβασης των φυσικών περιορισμών που έχει η παραδοσιακή καλωδιακή υποδομή. Παρέχοντας μια καλωδιακή ευρυζωνική σύνδεση σε μια υπο-εξυπηρέτηση περιοχή διαμέσου καλωδίου ή DSL,μπορεί να είναι χρονοβόρα ή δαπανηρή διαδικασία, με το έκπληκτο αποτέλεσμα πολλές περιοχές στις Η.Π.Α. και ανά τον κόσμο να μην έχουν πρόσβαση στην ευρυζωνική συνδεσιμότητα. Η ασύρματη τεχνολογία του παρέχει έναν ευέλικτο, δραστικό ως προς το κόστος,βασισμένο σε πρότυπα τρόπο συμπλήρωσης των κενών στην ευρυζωνική κάλυψη και δημιουργεί νέες προοπτικές στις ευρυζωνικές υπηρεσίες, αθέατες σε ένα «καλωδιωμένο» κόσμο. Βασισμένο στην ειδίκευση εκατοντάδων μηχανικών της βιομηχανίας των επικοινωνιών, το ΙΕΕΕ καθιέρωσε μια ιεραρχία συμπληρωματικών ασύρματων προτύπων. Αυτά περιέχουν το για προσωπικά δίκτυα(pan),το για τοπικά δίκτυα(lan), το για μητροπολιτικά δίκτυα(μαν) και το προτεινόμενο για ευρεία δίκτυα(wan). Κάθε πρότυπο παρουσιάζει τη βελτιστοποιημένη τεχνολογία για μία ξεχωριστή αγορά και ένα μοντέλο χρήσης, και είναι σχεδιασμένο για να συμπληρώσει τα άλλα. Ένα καλό παράδειγμα είναι η διάδοση των ασύρματων τοπικών δικτύων στο σπίτι ή στη βιομηχανία αλλά και τα εμπορικά Hot Spots(Δυναμικά Σημεία ) που βασίζονται στο Αυτή η διάδοση των WLAN οδηγεί στην απαίτηση για ευρυζωνική συνδεσιμότητα στο διαδίκτυο, την οποία το μπορεί να καλύψει παρέχοντας ευρεία σύνδεση με τον πάροχο internet. Για χειριστές και παρόχους Internet,τα συστήματα που είναι βασισμένα στο παρουσιάζουν μια ευκόλως αναπτυσσόμενη «Τρίτη οδό», ικανή να διανέμει ευέλικτη και προσιτή ευρυζωνική πρόσβαση σε εκατομμύρια συνδρομητές οικιακής και επιχειρησιακής χρήσης σε όλο τον κόσμο. 36

37 Σχήμα 2-1.Ιεραρχία προτύπων Οι κινητοί χρήστες κινούνται μέσω πολλών διαφορετικών κυψελών, εξειδικευμένων δικτύων, ορίων και περιοχών ασφαλείας. Καθώς η επικοινωνία εγκαθίσταται από μια περιοχή σε μία άλλη, μία κακόβουλη ή ενδίδουσα περιοχή μπορεί ενδεχομένως να προσβάλλει ασύρματες συσκευές μέσω κακόβουλων λήψεων,να διακόψει την επικοινωνία ή να προκαλέσει άρνηση υπηρεσιών (DoS). Στο κείμενο που ακολουθεί οι πτυχές ασφαλείας του ασύρματου δικτύου εξετάζονται γύρω από το εξής: μία σύλληψη(σενάριο) του Ασφαλούς Ασύρματου Μητροπολιτικού Δικτύου (SWMAN) παρέχει ασφαλή τεχνολογική λύση στις απαιτήσεις της αγοράς φορητών υπολογιστικών συστημάτων. Τα ασύρματα δίκτυα γίνονται ευπαθή σε επιθέσεις εισβολέων λόγω της φύσης της λειτουργίας τους. Οι φορητές συσκευές είναι αυτόνομες μονάδες που περιφέρονται από ένα δίκτυο σε πολλά δίκτυα. Σε αντίθεση με τα ενσύρματα δίκτυα,όπου ένας εισβολέας /επιτιθέμενος χρειάζεται να επικεντρωθεί σε ένα στόχο, τα ασύρματα δίκτυα μπορούν να βρεθούν ευκολότερα στο στόχο του επιτιθέμενου,περνώντας μέσα από την περιοχή αυτού. Καθώς οι χρήστες περιφέρονται σε αναξιόπιστα δίκτυα, οι συνδέσεις εγκαθίστανται από το ένα δίκτυο στο άλλο. Οι συνδέσεις μπορούν να διακοπούν κατά τη διάρκεια της αλλαγής δικτύου. Για παράδειγμα είναι πιθανό η νέα περιοχή να είναι κακόβουλη. Αυτή η περιοχή δρα ως ένας πράκτορας του επιτιθέμενου, που δεν εγκαθιδρύει μια εξαρτημένη(αξιόπιστη) σύνδεση με τον επιδιωκόμενο κινητό χρήστη. Αντ» αυτού, συνδέεται με μία κακόβουλη οντότητα,της οποίας σκοπός είναι να αιχμαλωτίσει την ταυτότητα του χρήστη και την πληροφορία του συνθηματικού. Έτσι, η ασφάλεια είναι απαίτηση στην εγκαθίδρυση συνδέσεων και στη διεξαγωγή αυτών στο φορητό περιβάλλον. Η αυθεντικοποίηση των φορητών-κινητών χρηστών και στις δύο πλευρές(η μεταδίδουσα και η λαμβάνουσα πλευρά) της συναλλαγής είναι υψίστης σημασίας από άποψη ασφάλειας. Η αποτυχία διακοπτόμενης υπηρεσίας είναι συχνή στις ασύρματες επικοινωνίες. Όμως τα περισσότερα Web Sites δεν είναι ικανά να εγκαθιδρύουν τους κινητούς χρήστες. Το SSL δεν επαναυθεντικοποιεί πελάτη από τη στιγμή που η σύνδεση εγκαθίσταται σε μια συνεδρία HTTP. Οι επιτιθέμενοι μπορούν να επωφεληθούν αυτής της αδυναμίας στα ασύρματα δίκτυα. Σήμερα συνεργαζόμενα τμήματα όλων των κόμβων σε ένα δίκτυο ολοκληρώνονται με τη χρήση πολλών ad hoc( εξειδικευμένων) ασύρματων πρωτοκόλλων. Μεταξύ αυτών, ίσως μια λύση η οποία είναι στην κορυφή της λίστας,είναι η αυθεντικοποίηση κόμβων με την από- 37

38 κεντρικοποίηση εξειδικευμένων ασύρματων δικτύων. Επιπλέον, καθώς τα ασύρματα εξειδικευμένα δίκτυα επικοινωνούν απευθείας μεταξύ τους διαμέσου ασύρματων συνδέσμων, χωρίς τη συμμετοχή επιπρόσθετης υποδομής, η ανάγκη εμπιστοσύνης εμπλέκοντας εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα μεταξύ των κόμβων επικοινωνίας- γίνεται εξαιρετικά ισχυρή απαίτηση ασφαλείας. 2.1 Η αρχιτεκτονική ασφάλειας των SWMAN Η αρχιτεκτονική περιέχει ένα SWMAN δίκτυο πρόσβασης και ένα SWMAN δίκτυο πυρήνα. Το σχήμα 2-2 δείχνει την προαναφερθείσα αρχιτεκτονική. Σχήμα 2-2.Αρχιτεκτονική SWMAN 2.2 Το σύστημα 3GPP εναντίον WLAN και WMAN Το 3GPP είναι ένας παγκόσμιος οργανισμός ειδίκευσης για ένα κινητό σύστημα 3 ης γενιάς. Το σύστημα κυψελών ειδικεύεται μέσα στο 3GPP, γνωστό και ως Universal Mobile Telecommunications System(UMTS).Το GMS/GPRS είναι επιτυχές λαμβάνοντας IP υπηρεσίες. Ο ρυθμός μετάδοσης δεδομένων στα 2Mb/s και το κόστος του περαιτέρω σχεδιασμού είναι υψηλό. Το WLAN γίνεται μια σημαντική λύση. Γι «αυτό το λόγο τα ασύρματα LAN κερδίζουν δημοσιότητα η οποία παρέχει προσιτή υπηρεσία και ρυθμούς δεδομένων που ξεπερνούν το 3G. Επαρκείς μετρήσεις ασφαλείας και αρχιτεκτονική ασφαλείας εκλείπουν από το παρόν WLAN. Το ασύρματο μητροπολιτικό δίκτυο αναβαθμίζει το WLAN ώστε να καλύπτει μία γεωγραφική περιοχή, κυρίως μια πόλη ή ένα νομό.αναφερόμενοι στην ασφάλεια του WMAN, τα πρωτόκολλα που τρέχουν στο επίπεδο ζεύξης δεδομένων χρησιμοποιώντας το πρωτόκολλο διαδικτύου (IP) είναι το Extensible Authentication Protocol (EAP) και το Authentication Authorization and Accounting (AAA) ως μηχανισμοί ασφαλούς μεταφοράς. 38

39 2.3 Τεχνολογία WMAN Τα ασύρματα MAN παρέχουν παρόμοιες υπηρεσίες με τα WLAN, όπως αρχικά πρόσβαση στο διαδίκτυο μιας ολόκληρης πόλης. Οι εναέριες διασυνδέσεις για τα WMAN όπως καθορίζονται από το IEEE ,γνωστό ως ασύρματο MAN, παρέχουν ανακριβή πρόσβαση σε κτίρια μέσω εξωτερικών κεραιών που επικοινωνούν με ένα βασικό σταθμό. Τα WMAN εξυπηρετούν αποκλειστικά νομαδικούς χρήστες και δουλεύουν στις υπό αξιοποίηση συχνότητες των 10-66GHz,οι οποίες παρουσιάζουν μοναδικές σχεδιαστικές προκλήσεις λόγω του μικρού μήκους κύματος και της Line Of Sight απαίτησης. Το a καθορίζει διασυνδέσεις για συχνότητες 2-11GHz,αλλά με χαμηλότερους ρυθμούς δεδομένων και ακαθόριστη γραμμή θέας (LOS). Οι τελικοί χρήστες απαιτούν ποικίλες υπηρεσίες συμπεριλαμβάνοντας διαδοχική διαίρεση χρόνου πολύπλεξης φωνής και δεδομένων, συνδεσιμότητα IP και φωνή σε πακέτα μέσω IP. Για να υποστηριχτούν αυτές οι υπηρεσίες,το μέσο ελέγχου πρόσβασης (MAC) πρέπει να προσαρμόζει τόσο συνεχόμενη όσο και ξαφνική κίνηση. Το a MAC παρέχει μια ευρεία ποικιλία τύπων υπηρεσίας ανάλογων των κλασικών κατηγοριών ασύγχρονης μετάδοσης υπηρεσιών όπως νεότερες κατηγορίες, σαν την frame rate-guaranteed. 2.4 Χρήση WMAN Το κινητό ασύρματο δίκτυο ξεκινά με τα τηλέφωνα: είτε τα απλά τηλέφωνα κυψέλης είτε τα τηλέφωνα αυτοκινήτων που διατίθενται στη αγορά προσκολλώνται στα καλά διαμορφωμένα πρότυπα και έχουν υπηρεσίες που υπόκεινται σε αρχιτεκτονική πολύ όμοια με αυτή που παρουσιάζεται στο σχήμα 2-2. Τυπικά,παρουσιάζεται πως η επικάλυψη κυψελών διαμορφώνεται-λειτουργεί μέσα στην εναέρια διεπαφή και παρέχει στο χρήστη μια συνδεσιμότητα στον πύργο κυψελών,και τελικά, στο δίκτυο τηλεφωνία PSTN και στα άλλα δίκτυα που είναι διαθέσιμα σε έναν κινητό «ασύρματο» χρήστη. Αυτό θα μπορούσε να είναι το σημείο εισόδου/εξόδου στο κοινό δίκτυο και τελικά να παρέχει σύνδεση στο διαδίκτυο και σε άλλα δίκτυα. Το σχήμα 2-3 απεικονίζει τα βασικά στοιχεία των κινητών ασύρματων δικτύων και την πρώιμη εφαρμογή τους. Σχήμα 2-3.Βασικά στοιχεία κινητών δικτύων Το σχήμα 2-4 παρουσιάζει μερικές από τις πιο κοινές χρήσεις της ασύρματης τεχνολογίας σήμερα και τις κυρίαρχες περιοχές εφαρμογής. Υπάρχει ένας αριθμός WAP συσκευών που είναι διαθέσιμες στο κοινό και οι περισσότερες μας είναι οικείες. 39

40 Υπάρχει φυσικά το κινητό τηλέφωνο, ο φορητός Η/Υ και ο υπολογιστής μεγέθους παλάμης PDA. Υπάρχουν επίσης συσκευές που παρέχουν τόσο τηλεφωνικές υπηρεσίες όσο και λειτουργικότητα ηλεκτρονικού υπολογιστή. Αυτές οι συσκευές μπορούν επίσης να έχουν πρόσβαση στο διαδίκτυο και να εντοπίζουν intranets που έχουν σχεδιαστεί να υποστηρίζουν τις επεκτεινόμενες λειτουργίες που παρέχουν. Ο ρόλος όλων αυτών των συσκευών είναι να διευρύνουν την πρόσβαση των εργαζομένων εν κινήσει ώστε να λαμβάνουν υπηρεσίες και να προσπελαύνουν ζωτικές πληροφορίες για τη δουλειά τους,όπου στο παρελθόν ήταν προσιτές μόνο από ένα γραφείο, σε ένα ισχυρά καλωδιωμένο δίκτυο. Σχήμα 2-4.Κοινές χρήσεις ασύρματης τεχνολογίας Τα χαρακτηριστικά και η παροχή κάθε ασύρματου συστήματος εξαρτάται σε μεγάλο βαθμό από τη φύση της υπάρχουσας υποδομής, το δίκτυο επικοινωνίας που παρέχει υποστήριξη και συνδεσιμότητα σε πηγές στο δημόσιο δίκτυο τηλεφωνίας και στο διαδίκτυο. Οι επιχειρήσεις και οι ιδιώτες χρήστες έχουν την τάση να εκτιμούν και να αποδέχονται το κύριο χαρακτηριστικό κλειδί του Wi-Fi και συχνά δίνουν βάση στο ακόλουθο στοιχείο: μικρότερο κόστος ανάπτυξης. Από τη στιγμή που δεν υπάρχει ανάγκη καλωδίωσης και διαχείρισης όλων των συσκευών απευθείας από ένα καλωδιωμένο δίκτυο, τα έξοδα αυτά αυτομάτως αποφεύγονται. Η ανάπτυξη σε γενικές γραμμές απλοποιείται και είναι εφικτή πιο εύκολα από νέους υπαλλήλους, τμήματα, διαμερίσματα και περιοχές. 2.5 Η Υπηρεσία Ασφαλείας SWMAN, τα πρότυπα και τα πρωτόκολλα Η εμπιστευτικότητα είναι μια υπηρεσία ασφαλείας που επιτυγχάνει να αποτρέψει την ακούσια ή εκούσια υποκλοπή του περιεχομένου ενός μηνύματος. Οι υπηρεσίες ασφαλείας του SWMAN παρέχονται με κρυπτογράφηση συμμετρικού 40

41 κλειδιού. Το SWMAN δε θα πρέπει να συμβιβάζεται με την αρχιτεκτονική ασφαλείας του UTMS. Έτσι,η αυθεντικοποίηση βασίζεται στην αυθεντικοποίηση UTMS και σε μια συμφωνία διαδικασίας κλειδιού.(ακα) Το πρότυπο ΙΕΕΕ καθορίζει τις απαιτήσεις των WMAN για μητροπολιτικά ασύρματα δίκτυα. Το είναι πρόσφατη εισαγωγή στην τεχνολογία ασύρματης δικτύωσης και υπόσχεται να παραδώσει συνδέσμους ευρυζωνικής ταχύτητας χωρίς τη μίσθωση ακριβών κυκλωμάτων ή εγκαθιστώντας ακριβή οπτική ίνα. Για πολλά χρόνια,οι εταιρίες τηλεπικοινωνιών υλοποίησαν τεράστιες επενδύσεις κεφαλαίου για να υποστηρίξουν το απλό τηλεφωνικό σύστημα (POTS) και διαπιστώσανε πισωγυρίσματα σε αυτές τις επενδύσεις. Χτίζοντας το «τελευταίο» μίλι καλωδιακής σύνδεσης σε ένα γραφείο κτιρίου ή μια γειτονιά είναι ακριβό και απαιτεί τεράστια επένδυση. Προκειμένου να παρακαμφθούν το εύρος ζώνης και οι προσδοκίες μίσθωσης των επικοινωνιακών εταίρων, και να παραδώσουν ταχύτητες καλωδιακού modem,το παρουσιάζεται ως μια ζωτική εναλλακτική. Στο , οι βασικοί σταθμοί είναι συνδεδεμένοι με το δημόσιο δίκτυο. Ο μεγαλύτερος βασικός σταθμός με τη σειρά του εξυπηρετεί μικρότερους συνδρομητικούς σταθμούς. Το λειτουργεί στο εύρος 2-11GHz, με μια ακτίνα πάνω από 50km για τη μετάδοση φωνής και βίντεο,σε ταχύτητες πάνω από 70 Mbps. Οι χαμηλές συχνότητες στο πρότυπο δεν απαιτούν γραμμή θέας (LoS) για να λειτουργήσουν. Το πλεονέκτημα που δίνει αυτή η έλλειψη της γραμμής θέας(los) ανάμεσα στον αποστολέα και στον παραλήπτη διευρύνει το φάσμα των προϊόντων που μπορούν να προσφερθούν. Η λέξη ασύρματος είναι συνώνυμη με την έλλειψη ασφάλειας. Όμως το a δρομολογεί τα θέματα ασφαλείας που παρουσίαζαν τεράστιες ελλείψεις στα πρότυπα a/b,τα οποία επέτρεπαν πειρατεία διεύθυνσης IP, εξαπάτηση MAC,επιθέσεις εισβολέων. Τα χαρακτηριστικά ασφάλειας του a είναι πολλά υποσχόμενα σε σχέση με το επειδή είναι καλύτερα σχεδιασμένα. Η ιδιωτικότητα στο πρότυπο έχει δύο βασικά στοιχεία: επισφράγιση πρωτοκόλλου για κρυπτογράφηση διαχείριση πρωτοκόλλου κλειδιού (PKM) Προκειμένου ένας συνδρομητικός σταθμός να συνδεθεί σε ένα δίκτυο πρέπει ο κεντρικός σταθμός να εγκρίνει τη σύνδεση. Μόνο τότε μπορεί ο SS να έχει ασφαλή συσχέτιση με τον BS. Από τη στιγμή που ο SS συσχετίζεται με τον BS,μοιράζεται ένα ιδιωτικό κλειδί κρυπτογράφησης με αυτόν και η επικοινωνία μεταξύ των μπορεί να πραγματοποιηθεί με κρυπτογραφικά μηνύματα. Το σχήμα 2-5 δείχνει τους βασικούς συσχετισμούς ασφάλειας. Όταν ένας SS θέλει να συνδεθεί σε ένα BS, στέλνει ένα μήνυμα Πληροφορίας Αυθεντικοποίησης (ΑΙ) το οποίο περιέχει το πιστοποιητικό Χ.509 του πρώτου. Μόλις ο SS ταυτοποιήσει τον εαυτό του στον BS στέλνει ένα μήνυμα Αίτησης Εξουσιοδότησης (AR). Αυτό το μήνυμα είναι μία αίτηση για πρόσβαση στο δίκτυο και περιέχει λεπτομερείς πληροφορίες ασφάλειας. Από τη στιγμή που ο BS λάβει το ΑΙ και το ΑR μήνυμα,επικυρώνει την ταυτότητα του SS,ελέγχει τις άδειές του και αν αυτές γίνουν αποδεκτές ο BS εκδίδει μια ταυτότητα Ασφαλούς Συσχέτισης (SAID) και ένα κλειδί επικύρωσης (ΑΚ). Για να αποφύγει τις επαναληπτικές επιθέσεις,η απάντηση επικύρωσης έχει έναν αριθμό ακολουθίας. Επιπλέον,το κλειδί έχει καθορισμένη διάρκεια ζωής και περιοδικά,ο SS πρέπει να επανεξουσιοδοτείται από τον BS. Το χαρακτηριστικό ασφάλειας προστατεύει το 41

42 δίκτυο από τις επαναληπτικές επιθέσεις και ενισχύει συχνές αλλαγές των ιδιωτικών κλειδιών. Σχήμα 2-5.Βασικοί συσχετισμοί ασφαλείας Από τη στιγμή που ένας SS εξουσιοδοτηθεί, ενισχύεται από την αρχικοποίηση του κλειδιού κρυπτογράφησης κυκλοφορίας (ΤΕΚ), για κάθε σχέση ασφάλειας, με κάθε υπηρεσία να ζητά τη δική της ασφαλή σχέση. Το ΤΕΚ είναι υπεύθυνο για τη διαχείριση των κλειδιών που χρησιμοποιούνται για την κρυπτογράφηση της πραγματικής κίνησης δεδομένων. Ο SS στέλνει ένα αίτημα κλειδιού στον BS και αυτός με τη σειρά του απαντά με τη δημιουργία ενός τυχαίου ιδιωτικού κλειδιού. Αφού αποκτηθεί ένα ιδιωτικό κλειδί από κάθε SS,όλη η κίνηση δεδομένων κρυπτογραφείται από αλγορίθμους συμμετρικού κλειδιού. Το επιβάλει αυστηρή πιστοποίηση στον SS. Το ψηφιακά υπογεγραμμένο πιστοποιητικό Χ.509 που προκύπτει είναι μοναδικό σε κάθε SS και δε μπορεί να πλαστογραφηθεί εύκολα. Επιπρόσθετη ασφάλεια παρέχεται από το διπλό στρώμα της εναλλαγής κλειδιών. Όπως προαναφέρθηκε,από τη στιγμή που κάθε υπηρεσία έχει ένα διαφορετικό κλειδί, αν το κλειδί μιας υπηρεσίας υποχωρήσει, τότε ολόκληρο το σύστημα υποχωρεί. Ο περιορισμένος χρόνος ζωής ενός ιδιωτικού κλειδιού αποτρέπει επιτιθέμενο από το να κατέχει αρκετά δεδομένα ώστε να πραγματοποιήσει κρυπτανάλυση. 2.6 Ενσωματωμένα(φορητά) Δίκτυα Υπολογιστών Ο πιο σημαντικό παράγοντας σε αυτά και σε άλλα δίκτυα είναι πως ποικίλες ανεξάρτητες συσκευές διασυνδέονται μεταξύ τους και διαμοιράζονται δεδομένα. Ένα δίκτυο εκτός σώματος (off-body) συνδέεται με άλλα δίκτυα σε άλλα συστήματα όπου ο χρήστης δε δύναται να έχει μαζί του ή να τα μεταφέρει,τη στιγμή όπου ένα προσωπικό,φορητό- εντός σώματος δίκτυο(wearable) συνδέει τις συσκευές μεταξύ τους, τους υπολογιστές, τις περιφερειακές συσκευές,αισθητήρες και άλλα υποσυστήματα. Ο ερχομός των φορητών υπολογιστών και των ασύρματων τεχνολογιών επικοινωνίας όπως το ΙΕΕΕ , επίσης γνωστό ως Wi-Fi,εξασφάλισε συνδεσιμότητα ανεξάρτητα με το χώρο ή το χρόνο( πότε ή που). Όμως αυτή η ελεύθερη ροή πληροφορίας πρέπει να ελεγχθεί προκειμένου να διαδώσει δεδομένα αποτελεσματικά σε ένα φορητό δίκτυο(εναλλακτικά Δίκτυο φορητότητας).επί προσθέτως, επειδή τα φορητά δίκτυα πρέπει να λειτουργούν κάτω από αρκετούς περιορισμούς, έχουν μοναδικές απαιτήσεις,λαμβάνοντας υπόψη κυρίως την 42

43 κινητικότητα, το εύρος ζώνης, την κατανάλωση ενέργειας τη μεταφερσιμότητα, την ασφάλεια, τα επίπεδα ακτινοβολίας και τη συνδεσιμότητα στο διαδίκτυο. Ο βαθμός κινητικότητας (mobility) είναι εξαρτημένος από τις εφαρμογές. Για παράδειγμα ένας υπάλληλος μιας παραγωγικής μονάδας χρειάζεται επικοινωνία με το κατάστημα, με τον μεταφορέα μέσα στην πόλη αλλά και με τον πωλητή στη γύρω περιοχή. Θέματα συνδεσιμότητας επεκτείνονται πίσω από τις ανάγκες ενός απλού χρήστη και το επίπεδο συνεργασίας και τεχνολογικής του ενσωμάτωσης πρέπει να συνυπολογίζονται. Επιπλέον, τόσο τα προσωπικά όσο και τα μη ενσωματωμένα δίκτυα δεν πρέπει να έχουν απαιτήσεις γραμμής μετάδοσης-θέας. Το εύρος ζώνης ειδικεύεται επίσης ανάλογα με την εφαρμογή. Για παράδειγμα,οι τεχνικοί αεροσκαφών που χρησιμοποιούν διαδραστικά πολυμέσα για το σχεδιασμό εγγράφων, θα χρειαζόταν επιπρόσθετο εύρος ζώνης,την ώρα που πολύ χαμηλοί ρυθμοί δεδομένων είναι αρκετοί για έναν υπάλληλο διανομών. Συνδέοντας αρκετές συσκευές σε ένα σύστημα με μικρή διαθέσιμη φορητή ενέργεια συνήθως δημιουργούνται επιπλοκές. Διάφοροι παράγοντες επηρεάζουν τη διάρκεια ζωής μπαταρίας μιας συσκευής συμπεριλαμβανομένης της δομής της κυκλοφορίας(traffic patterns) και των αδρανών λειτουργιών όπως αυτή της αναστολής, αλλά και του κύκλου εποπτείας μετάδοσης-παραλαβής. Οι πρόοδοι σε μεγάλη κλίμακα τόσο της επεξεργασίας του σήματος όσο της τεχνολογίας της μπαταρίας βελτιώνουν τη διαχείριση ενέργειας τόσο σε υποδομές Υλικού όσο και Λογισμικού. Όταν ένας χρήστης είναι ενσωματωμένος σε μία φορητή κοινότητα,η ιδιωτικότητα και η ασφάλεια είναι υψίστης σημασίας,ειδικά όταν πρόκειται για ασύρματο μέσο,το οποίο είναι εκ φύσης το λιγότερο ασφαλές. Οι στρατιωτικές εφαρμογές πρέπει να συναντούν ελάχιστη πιθανότητα υποκλοπής ή ελάχιστη πιθανότητα συνθηκών ανίχνευσης,όπως και να παρέχουν αμυντική λειτουργία ενάντια σε εκπομπές παρασίτων. Παρόλο που οι μελέτες για τις επιβλαβείς επιδράσεις της ακτινοβολίας των κινητών και άλλων ασύρματων συσκευών στερούνται οριστικότητας,η ασφάλεια γίνεται μια περισσότερο σημαντική σχεδιαστική σκέψη. Γενικά είναι επιθυμητό να συγκρατηθεί η ακτινοβολία στην επιφάνεια του ρουχισμού και μακριά από ο σώμα,ειδικά όσο ο αριθμός των φορητών ηλεκτρονικών συσκευών και η χρήση αυτών αυξάνεται. Τελικά,όλες οι φορητές συσκευές πρέπει να συνδεθούν στο διαδίκτυο,κάτι που μπορεί να επιτευχθεί με τρεις τρόπους. Μία προσέγγιση, χρησιμοποιεί μια εξουσιοδοτημένη πύλη(proxy gateway) σε κάποιο σημείο πρόσβασης εκτός σώματος, για να συνδεθεί στο διαδίκτυο,με όλα τα ενσωματωμένα υποσυστήματα να επικοινωνούν μέσω ενός μη IP πρωτοκόλλου. Αυτή η προσέγγιση χρησιμοποιεί επαρκώς δυσεύρετες IPv4 διευθύνσεις αλλά στον proxy ενδέχεται να δημιουργηθεί μποτιλιάρισμα επειδή ενδέχεται να υπερσυσσωρευτούν αιτήματα. Μια άλλη λύση ενώνει τη λειτουργικότητα του proxy με έναν ενσωματωμένο κόμβο,παραχωρώντας μια διεύθυνση IP, πάλι με επικοινωνία μη IP υποσυστημάτων. Μια τρίτη προσέγγιση παραχωρεί συγκεκριμένες IP διευθύνσεις σε συσκευές προκειμένου να απλοποιηθεί η επικοινωνία. Όμως,η κάθε συσκευή πρέπει να υποστηρίζει IP και με επαρκείς υπολογιστικούς πόρους να χειριστεί θέματα IP. 2.7 Πρωτόκολλο Ασύρματης Εφαρμογής (WAP) Με την αυξανόμενη ανάγκη πρόσβασης στο διαδίκτυο,οι σχεδιαστές ιστού απαριθμούν τώρα μια νέα πρόκληση στην παροχή υποστήριξης της φορητότητας. Επιπροσθέτως,η φορητή πρόσβαση βασίζεται στις διάφορες απαιτήσεις πληροφορίας παρά τη συμβατική χρήση του ιστού. Η παροχή του προγράμματος λεωφορείου(δρομολόγειο,αφίξεις,αναχωρήσεις) στο κινητό ενώ περιμένει κανείς το 43

44 επόμενο λεωφορείο στο δρόμο για τη δουλειά, η ανάγνωση του ηλεκτρονικού ταχυδρομείου πριν την άφιξη στο γραφείο και ο έλεγχος της εταιρείας ενός πελάτη πριν την πρώτη συνάντηση, είναι όλα παραδείγματα της ανάγκης ασύρματης-κινητής πρόσβασης στο διαδίκτυο και άλλων υπηρεσιών αυτού. Το WAP δίνει τη δυνατότητα εύκολης και ταχείας διανομής σχετικών πληροφοριών και υπηρεσιών σε κινητούς χρήστες που έχουν ασύρματα τερματικά με περιορισμένες απεικονίσεις και ικανότητες μεταφοράς δεδομένων Τι είναι το WAP Το WAP είναι μια ανοιχτή παγκόσμια προδιαγραφή που δίνει τη δυνατότητα σε κινητούς χρήστες να πραγματοποιήσουν εύκολα και στιγμιαία πρόσβαση σε πληροφορίες και διάδραση με υπηρεσίες. Το πρότυπο WAP βασίστηκε στα πρότυπα του διαδικτύου( HTML, XML, TCP/IP). Αποτελείται από μια WML προδιαγραφή, ένα WML κείμενο(script) και μια διεπιφάνεια ασύρματης τηλεφωνικής εφαρμογής(wtai). 2.8 Σχεδιασμένο εξαρχής για Μητροπολιτικά Δίκτυα Τον Ιανουάριο του 2003, το ΙΕΕΕ «αποδέχτηκε» το πρότυπο a το οποίο καλύπτει τις ζώνες συχνοτήτων από 2GHz έως 11GHz. Αυτό το πρότυπο είναι μια επέκταση του για τις συχνότητες των 10-66GHz που εκδόθηκε τον Απρίλιο του Αυτά τα φάσματα συχνοτήτων κάτω των 11GHz καθιστούν δυνατή την απόδοση (non of sight) γραμμής εμβέλειας εκτός θέας, καθιστώντας το a την κατάλληλη τεχνολογία για απομακρυσμένες εφαρμογές όπου εμπόδια, όπως δέντρα και κτίρια, παρουσιάζονται συχνά και για εκεί όπου βασικοί σταθμοί(bs) ίσως χρειάζεται να είναι ατημέλητα στοιβαγμένοι σε οροφές σπιτιών ή κτιρίων,παρά σε πύργους(επικοινωνίας) ή βουνά. Η πιο κοινή τροποποίηση του a αποτελείται από έναν BS τοποθετημένο σε ένα κτίριο ή έναν πύργο που επικοινωνεί με μία «από σημείο σε σημείο» βάση με συνδρομητικούς σταθμούς, οι οποίοι βρίσκονται σε σπίτια ή επιχειρήσεις. Το a έχει ακτίνα 40km με μια τυπική επικάλυψη κυψέλης 6,5-10km. Μέσα σε αυτή την τυπική κάλυψη, η απόδοση της non line of sight και του συνολικού όγκου δεδομένων είναι βέλτιστες. Επί προσθέτως, το a παρέχει μια ιδανική ασύρματη τεχνολογία μεταφοράς για να συνδέει τα ασύρματα τοπικά δίκτυα και τα εμπορικά Hotspot με το διαδίκτυο. Η ασύρματη τεχνολογία του a επιτρέπει στις επιχειρήσεις να αναπτύξουν ευέλικτα νέα Hotspots σε περιοχές όπου παραδοσιακές καλωδιακές συνδέσεις θα ήταν μη διαθέσιμες ή χρονοβόρο να εγκατασταθούν και προσφέρει παρόχους υπηρεσιών παγκοσμίως με ένα νέο ευέλικτο τρόπο, προκειμένου να διεγείρει την ανάπτυξη του τμήματος της αγοράς της ευρυζωνικής πρόσβασης ανά περιοχές. Με ρυθμούς μετάδοσης δεδομένων μέχρι 75Mbps, ένας απλός τομέας ενός BS- όπου τομέας ορίζεται ένα απλό ζεύγος αποστολής /λήψης στον BS- παρέχει επαρκές εύρος ζώνης για να υποστηρίζει στιγμιαία περισσότερες από 60 επιχειρήσεις με συνδεσιμότητα επιπέδου Τ1 και εκατοντάδες σπίτια με συνδεσιμότητα ρυθμού DSL,χρησιμοποιώντας 20MHz από το εύρος καναλιού. Για να υποστηριχτεί ένα επικερδές επιχειρησιακό μοντέλο,οι πάροχοι πρέπει να στηρίζουν μια τάξη πελατών υψηλού εισοδήματος και τον κύριο όγκο των συνδρομητών περιοχής. Το βοηθά αυτή την απαίτηση υποστηρίζοντας διαφορετικά επίπεδα υπηρεσιών τα οποία εμπεριέχουν υψηλά επίπεδα εγγυημένων Τ1 υπηρεσιών,ή τη μέγιστη δυνατή 44

45 ταχύτητα DSL υπηρεσιών για οικιακούς χρήστες. Η ειδίκευση του προτύπου εμπεριέχει επίσης εύρωστα χαρακτηριστικά ασφαλείας και ποιότητα υπηρεσιών που χρειάζεται για να υποστηριχτούν υπηρεσίες χαμηλής καθυστέρησης,όπως φωνής και βίντεο. Η υπηρεσία φωνής του a μπορεί να είναι είτε παραδοσιακή TDM ή VoIP. 2.9 Εφαρμογές Ασύρματης Ευρυζωνικής Πρόσβασης Το πρότυπο θα βοηθήσει τη βιομηχανία να παρέχει λύσεις διαμέσου πολλαπλών ευρυζωνικών τομέων. 1.Ενίσχυση κυψελών Οι πάροχοι ραχοκοκαλιάς (backbone) στην Αμερική απαιτείται να μισθώνουν γραμμές σε παρόχους υπηρεσιών- τρίτες οντότητες μέσω διακανονισμού ο οποίος έτεινε να κάνει την ενσύρματη υποστήριξη(backhaul) σχετικά προσιτή. Το αποτέλεσμα είναι ότι περίπου 20% των πύργων κυψελών έγιναν ασύρματα υποστηριζόμενοι στις Η.Π.Α..Στην Ευρώπη, όπου είναι λιγότερο συνηθισμένο για τοπικούς φορείς συναλλαγών να μισθώνουν τις γραμμές τους σε ανταγωνιστικές τρίτες οντότητες, οι πάροχοι υπηρεσιών χρειάζονται προσιτές εναλλακτικές. Ακολούθως, η ασύρματη ανέλιξη χρησιμοποιείται κατά προσέγγιση στο 80% των πύργων κυψελών της Ευρώπης. Με την ενδεχόμενη απομάκρυνση των απαιτήσεων μίσθωσης από FCC(Federal Communications commisision), οι πάροχοι υπηρεσιών κυψέλης στις H.Π.Α. θα δουν την ασύρματη ανέλιξη σαν μια εναλλακτική με επιρροή στο κόστος. Το εύρωστο εύρος ζώνης της τεχνολογίας a, το καθιστά μια εξαίρετη επιλογή για την ανάπτυξη εμπορικών επιχειρήσεων όπως Hotspots καθώς και εφαρμογές υποστήριξης(backhaul) από σημείο σε σημείο. 2.Εύρος ζώνης κατ απαίτηση Η ασύρματη πρόσβαση τελευταίου σημείου μπορεί να βοηθήσει στην επιτάχυνση της ανάπτυξης των Hotspots και τα οικιακά-μικρού γραφείου ασύρματα LAN, ειδικά σε περιοχές όπου δεν εξυπηρετούνται από καλώδιο ή DSL ή σε περιοχές όπου η τοπική τηλεφωνική εταιρία ίσως έχει χρονικά μεγάλο πρόγραμμα στην παροχή ευρυζωνικής υπηρεσίας. Η ευρυζωνική συνδεσιμότητα στο διαδίκτυο είναι υψίστης σημασίας για πολλές επιχειρήσεις, λαμβάνοντας υπόψη ότι αυτοί οι οργανισμοί ενδέχεται να επανατοποθετηθούν σε περιοχές όπου η υπηρεσία είναι διαθέσιμη. Στη σημερινή αγορά, τοπικοί φορείς συναλλαγών γνωρίζουν ότι χρειάζεται διάστημα τριών μηνών ή περισσότερο για να παρέχουν μια Τ1 γραμμή για έναν επιχειρηματικό πελάτη, αν η υπηρεσία δεν είναι ήδη διαθέσιμη στο κτίριο. Παλαιότερα κτίρια σε μητροπολιτικά δίκτυα μπορεί να παρουσιάσουν ένα κουβάρι(μάζα καλωδίων), το οποίο καθιστά δύσκολη την ανάπτυξη ευρυζωνικών συνδέσεων σε συγκεκριμένους επιχειρησιακούς ενοίκους(tenants). Η ασύρματη τεχνολογία a δίνει τη δυνατότητα σε ένα πάροχο υπηρεσιών να παρέχει υπηρεσία με ταχύτητα συγκρίσιμη με μια λύση καλωδίωσης και σε αισθητά μειωμένο κόστος. Επιπλέον, ο πάροχος δύναται να προσφέρει άμεσα, διαμορφώσιμη, «κατ απαίτηση» συνδεσιμότητα υψηλής ταχύτητας για προσωρινά γεγονότα, συμπεριλαμβανομένων εμπορικών επιδείξεων οι οποίες μπορούν να δημιουργήσουν εκατοντάδες χιλιάδες χρήστες για hotspots. Σε αυτές τις περιπτώσεις, οι χειριστές χρησιμοποιούν a λύσεις για backhaul στο κεντρικό δίκτυο(core 45

46 network). Η ασύρματη τεχνολογία δίνει επίσης τη δυνατότητα στους παρόχους να κλιμακώσουν (είτε προς τα πάνω είτε προς τα κάτω-αυξομειώσουν) τα επίπεδα υπηρεσιών, κυριολεκτικά μέσα σε δευτερόλεπτα από το αίτημα του πελάτη! Η κατ απαίτηση συνδεσιμότητα επίσης ωφελεί επιχειρήσεις όπως construction sites τα οποία έχουν σποραδικές απαιτήσεις ευρυζωνικής συνδεσιμότητας. Οι πολύτιμες «κατ απαίτηση» ευρυζωνικές υπηρεσίες τελευταίου σημείου κάλυψης παρουσιάζουν ένα μοναδικό ευκαιριακό όφελος για τους χειριστές. 3.Ευρυζωνικότητα κατοικήσιμης περιοχής: γεμίζοντας τα κενά της καλωδιακής και DSL κάλυψης. Πρακτικοί περιορισμοί αποτρέπουν τις τεχνολογίες καλωδίου και DSL στο να προσεγγίσουν πολλούς πιθανούς ευρυζωνικούς πελάτες. Το παραδοσιακό DSL μπορεί μόνο να προσεγγίσει απόσταση 5km από το κεντρικό γραφείο switch, και αυτός ο περιορισμός σημαίνει ότι πολλές αστικές και προαστιακές περιοχές ενδέχεται να στερούνται DSL σύνδεσης. Το καλώδιο έχει επίσης τους περιορισμούς του. Πολλά παλιά καλωδιακά δίκτυα δεν έχουν εξοπλιστεί να παρέχουν ένα κανάλι επιστροφής και η μετατροπή αυτών ώστε να υποστηρίζουν υψηλές ταχύτητες ευρυζωνικότητας μπορεί να κοστίσει ακριβά. Το κόστος της εγκατάστασης καλωδίου είναι επίσης χαρακτηριστικά αποτρεπτικό για καλωδιακή ευρυζωνική υπηρεσία σε περιοχές με χαμηλή πυκνότητα συνδρομητών. Η παρούσα γενιά των αποκλειστικών ασύρματων συστημάτων είναι σχετικά ακριβή για μαζική εγκατάσταση-ανάπτυξη, διότι, χωρίς ένα πρότυπο, πολλές οικονομικές διαβαθμίσεις είναι πιθανές. Αυτή η ασάφεια κόστους θα αλλάξει με την είσοδο των βασισμένων σε πρότυπα συστημάτων, που θα βασίζονται στο Επιπροσθέτως, το εύρος λύσεων του a, η απουσία της απαίτησης γραμμής θέας, το υψηλό εύρος ζώνης και η έμφυτη ευελιξία με το χαμηλό κόστος, βοηθούν να ξεπεραστούν οι περιορισμοί των παραδοσιακών ενσύρματων και των μονοπωλιακών ασύρματων τεχνολογιών. 4.Περιοχές υπο-εξυπηρέτηση Η ασύρματη τεχνολογία του Internet που βασίζεται στο ΙΕΕΕ είναι επίσης μια φυσική επιλογή για τις αγροτικές ή απομακρυσμένες περιοχές με χαμηλή πυκνότητα πληθυσμού. Σε τέτοιες περιοχές, οι τοπικές αρχές και οι κυβερνήσεις εργάζονται μαζί με ένα τοπικό ασύρματο πάροχο υπηρεσιών διαδικτύου (WISP) προκειμένου να λάβουν υπηρεσία. Πρόσφατες στατιστικές έρευνες έδειξαν ότι υπάρχουν περισσότεροι από 2500 WISPs που επωφελούνται από την εξαίρεση αδείας και εξυπηρετούν πάνω 6000 αγορές στις Η.Π.Α..Σε διεθνή βάση, οι περισσότερες αναπτύξεις γίνονται σε επιτρεπτό φάσμα και πραγματοποιούνται από τοπικούς φορείς συναλλαγών, οι οποίοι απαιτούν υπηρεσίες φωνής σε συνδυασμό με την υψηλή ταχύτητα δεδομένων. Αυτό συμβαίνει επειδή σε αυτές τις περιοχές, η καλωδιακή υποδομή είτε είναι ανύπαρκτη είτε δεν προσφέρει την ποιότητα παροχής αξιόπιστης φωνής, επιτρέποντας μόνο δεδομένα υψηλής ταχύτητας. Ο όρος «Ασύρματος Τοπικός Βρόγχος» χρησιμοποιείται συχνά για να περιγράψει τέτοιες εφαρμογές, από τη στιγμή που χρησιμοποιείται ως υποκατάστατο για το παραδοσιακό χάλκινο καλώδιο τηλεφώνου σε ένα τοπικό βρόγχο. 5.Καλύτερα συνδεδεμένη ασύρματη υπηρεσία Καθώς ο αριθμός των hotspots πολλαπλασιάζεται, οι χρήστες φυσιολογικά θα επιθυμούν μα συνδέονται σε έναν WISP ακόμη και αν περιφέρονται 46

47 έξω από το σπίτι τους ή την δουλειά τους, ή πηγαίνοντας σε μια άλλη πόλη η οποία έχει επίσης WISP Συνολικός Όγκος, Κλιμάκωση,Ποιότητα Υπηρεσιών, Ασφάλεια Συνολικός Όγκος Χρησιμοποιώντας μια εύρωστη απεικόνιση διαμόρφωσης, το διανέμει ένα υψηλό συνολικό όγκο σε μακρινές εμβέλειες, με ένα υψηλό επίπεδο επάρκειας φάσματος, και με ανεκτικότητα στις ανακλάσεις σήματος. Η δυναμική προσαρμοστική διαμόρφωση (Dynamic Adaptive Mod) επιτρέπει στον BS να ανταλλάξει το συνολικό όγκο για εμβέλεια. Για παράδειγμα, αν ο BS δε μπορεί να ιδρύσει( μια ισχυρή σύνδεση) έναν εύρωστο σύνδεσμο σε έναν απομακρυσμένο συνδρομητή χρησιμοποιώντας τη μέγιστη δυνατή διάταξη διαμόρφωσης 64QAM (Quadrature Amplitude Modulation), η διάταξη μειώνεται σε 16QAM ή QPSK (Quadrature Phase Shift Keying), η οποία μειώνει το συνολικό όγκο και αυξάνει τη δραστική εμβέλεια Κλιμάκωση Προκειμένου να συνδυαστεί ο εύκολος συνδυασμός κυψέλης, τόσο στο επιτρεπόμενο με άδεια φάσμα, όσο και στο φάσμα εξαιρούμενης αδείας, το υποστηρίζει εύρη ζώνης ευέλικτων καναλιών. Για παράδειγμα, αν ένας χειριστής προσδιορίζεται από 20MHz του φάσματος, αυτός ο χειριστής μπορεί να χωριστεί σε δύο τομείς, 10MHz ο καθένας, ή σε τέσσερεις τομείς από 5MHz ο καθένας. Συγκεντρώνοντας ενέργεια σε αυξανόμενα στενούς τομείς, ο χειριστής μπορεί να αυξήσει τον αριθμό των χρηστών ενώ ταυτόχρονα να διατηρεί καλή εμβέλεια και συνολικό όγκο. Για να κλιμακώσει την κάλυψη ακόμα περισσότερο, ο χειριστής μπορεί να επαναχρησιμοποιήσει το ίδιο φάσμα σε δύο ή περισσότερους τομείς, δημιουργώντας κατάλληλη απομόνωση ανάμεσα στις κεραίες του BS Κάλυψη Σε συνδυασμό με την υποστήριξη μιας εύρωστης και δυναμικής αναπαράστασης διαμόρφωσης, το IEEE υποστηρίζει επίσης τεχνολογίες που αυξάνουν την κάλυψη, συμπεριλαμβανομένης της τοπολογίας πλέγματος(mesh topology) και των τεχνικών «έξυπνης κεραίας». Καθώς η τεχνολογία ραδιοκυμάτων αυξάνεται και τα κόστη πέφτουν, η ικανότητα να αυξηθεί η κάλυψη και ο συνολικός όγκος χρησιμοποιώντας πολλαπλές κεραίες, για τη δημιουργία ποικιλίας μετάδοσης και/ή παραλαβής, θα ενισχύσει σε τεράστιο βαθμό την κάλυψη σε ακραία περιβάλλοντα Ποιότητα Υπηρεσιών, QoS Η διαθεσιμότητα φωνής είναι εξαιρετικά σημαντική, ειδικά σε υπόεξυπηρετούμενες διεθνείς αγορές. Για το λόγο αυτό, το πρότυπο ΙΕΕΕ a περιέχει χαρακτηριστικά ποιότητας φωνής και βίντεο, τα οποία απαιτούν δίκτυο χαμηλής καθυστέρησης. Τα χαρακτηριστικά της παροχής/αίτησης του MAC, 47

48 δίνουν τη δυνατότητα στον χειριστή να παρέχει στιγμιαία υψηλά εγγυημένα επίπεδα υπηρεσιών σε επιχειρήσεις, όπως επιπέδου Τ1 και υψηλού όγκου «βέλτιστης παροχής» σε σπίτια, παρόμοιες με τις υπηρεσίες καλωδιακού επιπέδου, όλες μέσα στην περιοχή κυψέλης του BS Ασφάλεια Χαρακτηριστικά κρυπτογράφησης και ιδιωτικότητας συμπεριλαμβάνονται στο πρότυπο προκειμένου να υποστηρίξουν ασφαλείς μεταδόσεις και να παρέχουν αυθεντικοποίηση και κρυπτογράφηση δεδομένων.μια αναλυτική προσέγγιση παρουσιάζεται σε μεταγενέστερο κεφάλαιο Οφέλη των προτύπων Τα πρότυπα είναι σημαντικά για την ασύρματη βιομηχανία επειδή δίνουν τη δυνατότητα σε οικονομίες κλίμακας( economies of scale) να ρίξουν το κόστος του εξοπλισμού, να ενισχύσουν τη διαλειτουργικότητα και να μειώσουν το ρίσκο επένδυσης για τους χειριστές. Χωρίς ευρεία βιομηχανικά πρότυπα, οι κατασκευαστές εξοπλισμού πρέπει να παρέχουν όλα τα Hardware και Software οικοδομικά συστατικά και πλατφόρμες, συμπεριλαμβανομένης της βασικής σιλικόνης(τσιπ), το σταθμό συνδρομητή, τον βασικό σταθμό καθώς και το λογισμικό πρωταρχικής διαχείρισης του δικτύου, που χρησιμοποιείται για να παρέχει υπηρεσίες και να διαχειρίζεται το σταθμό συνδρομητή. Με το , οι προμηθευτές μπορούν να εξοφλήσουν την ερευνά τους και το κόστος ανάπτυξης δια μέσου πολύ υψηλότερου όγκου παραγωγής. Για παράδειγμα, ένας προμηθευτής τσιπ σιλικόνης, μπορεί να προμηθεύει το συγκεκριμένο συστατικό σε πολλούς κατασκευαστές εξοπλισμού, σε πολύ χαμηλότερο κόστος από ότι θα ήταν πιθανό αν οι κατασκευαστές συσκευών ήταν απαραίτητο να διαμορφώσουν κατάλληλο chip για χρήση μόνο από τον εξοπλισμό τους. Τα πρότυπα επίσης διακρίνουν ελάχιστα κριτήρια απόδοσης για τον εξοπλισμό, δίνοντας τη δυνατότητα μιας κοινής-ευρυζωνικής πρόσβασης πλατφόρμας, όπου οι κατασκευαστές εξοπλισμού μπορούν να χρησιμοποιήσουν ως βάση για επερχόμενες καινοτομίες και γρήγορη διοχέτευση στην αγορά. Με αυτή την ευρεία(επιχειρηματική) βιομηχανική υποστήριξη, το επιτρέπει στους κατασκευαστές συσκευών και στους επενδυτές λύσεων να πράξουν όπως θεωρούν καλύτερα, πετυχαίνοντας βελτιώσεις τιμής και απόδοσης και είσοδο μαζικών ευκαιριών αγοράς που δεν εξισώνονται με τις μονοπωλιακές προσεγγίσεις a WiMAX- Όχι απλά ένα ακόμα πρότυπο Τον περασμένο καιρό πραγματοποιήθηκε μια καταιγίδα αντιπαραθέσεων σχετικά με την οικονομική κατάσταση και τις απολαβές των επενδύσεων σε Wi-Fi Hotspots. Αυτό που σχεδόν όλες οι διαφωνίες αγνόησαν εντελώς είναι το πρότυπο το οποίο καραδοκεί στον ορίζοντα και θα αναιρέσει την παρούσα αδιαφορία. Αυτό είναι η ειδίκευση x για ασύρματα μητροπολιτικά δίκτυα, η οποία διαμορφώνεται και προωθείται από τη βιομηχανική ομάδα WiMAX, της οποίας τα ισχυρότερα μέλη είναι η Intel και η Nokia. Όπως στο Wi-Fi η ονομασία WiMAX εχει γίνει ευρέως αποδεκτή ως όνομα για το ίδιο το πρότυπο. 48

49 Η Intel αποκάλεσε το ,χωρίς να υπερβάλλει, το σημαντικότερο πράγμα από τη στιγμή ύπαρξης του ίδιου του Internet.Τον Ιούλιο του 2003, το WiMAX παρουσίασε τα πρώτα προφίλ συστήματος και με τα τεστ διαλειτουργικότητας στο παγκόσμιο συνέδριο της Ουάσιγκτον, σε ένα σημαντικό βήμα εμπρός για τη δημιουργία του προτύπου a, επικυρώθηκε από το ΙΕΕΕ ως εμπορική τεχνολογία. Καθώς μια πλήρης έκδοση του προτύπου είναι στα σκαριά, αυτή η πρώτη διάθεση στο κοινό θα καλύψει την υπάρχουσα ασύρματη τεχνολογία ενώ οι υποστηρικτές της επικεντρώνονται τόσο στο εύρος ζώνης σε απομακρυσμένες ασύρματες περιοχές όσο και στο Backhaul( ενίσχυση) των Hotspots. Η Intel ξεκίνησε να φτιάχνει WMAN chips το 2003 και τα πρώτα προϊόντα WiMAX εμφανίστηκαν στις αρχές του Αυτοί οι προμηθευτές δίνουν τελικά στην ασύρματη ευρυζωνικότητα το στήριγμα που χρειαζόταν, με μια βάση προτύπων, ικανή να αναλάβει και να καλύψει τις ενσύρματες επιλογές για δικτύωση μεγάλων αποστάσεων. Ο μη κερδοσκοπικός οργανισμός (WiMAX) έχει παρόμοιο ρόλο με τον όμιλο Wi-Fi για τα LAN, υποστηρίζει την ανάπτυξη προϊόντων ασύρματων MAN βασισμένα στο και εργάζεται πάνω σε πιστοποιήσεις προτύπων και δοκιμές διαλειτουργικότητας. Η αρχική έκδοση του προτύπου λειτουργέι στη ζώνη συχνοτήτων 10-66GHz και απαιτεί πύργους για τη γραμμή θέας, αλλά η επέκταση a χρησιμοποιεί τη χαμηλότερη συχνότητα των 2-11GHz, η οποί διευκολύνει ρυθμιστικά θέματα και δεν απαιτεί γραμμή θέας. Υποστηρίζει μια ακτίνα 50km που δε συγκρίνεται με τα μέτρα ακτίνας του Wi-Fi και με ρυθμούς μετάδοσης δεδομένων 70Mbps. Υπάρχει μια πληθώρα ασύρματων προτύπων αλλά μόνο το WiMAX δρομολογεί τα στοιχεία που χρειάζονται για να γίνει ένα ισχυρό ασύρματο δίκτυο πραγματικότητα, και που οι υπάρχουσες ασύρματες ευρυζωνικές τεχνολογίες πρόσβασης απέτυχαν να παρέχουν. Είναι ένα απλό πρότυπο για σταθερή ευρυζωνική πρόσβαση και ευρυζωνικότητα, ασύρματη ενίσχυση των WLAN, χαμηλό κόστος επέκτασης, υψηλή εξελισιμότητα και την υποστήριξη των προμηθευτών με τη δύναμη να οδηγήσουν το πρότυπο σε ταχύτατη προώθηση. Η ασύρματη ευρυζωνική πρόσβαση παρέχει περισσότερη χωρητικότητα σε χαμηλότερο κόστος από το DSL ή το καλώδιο που επεκτείνεται ως τα δίκτυα ίνας, και υποστηρίζει πολυμέσα και γρήγορες εφαρμογές διαδικτύου στην επιχείρηση είτε στο σπίτι. Αλλά είχε συγκρατηθεί από την έλλειψη προτύπων έτσι ώστε οι λύσεις να έχουν βασιστεί στις προσπάθειες μεμονωμένων επενδυτών. Η τυποποίηση μέσω της προδιαγραφής του ΙΕΕΕ, αυξάνει τη δυνατότητα για: Να παγώσει τη λειτουργίας της ενσύρματης ευρυζωνικότητας να καταστήσει την ασύρματη ως τη βασική πλατφόρμα του μέλλοντος. Να επεκτείνει την εμβέλεια του Wi-Fi έτσι ώστε ο μύθος της υπάρχουσας ασύρματης τεχνολογίας να γίνει πραγματικότητα. Να παρέχει εναλλακτική ή συμπληρωματική επιλογή στην 3G τεχνολογία. Να παρέχει μια οικονομικά βιώσιμη υποδομή επικοινωνιών για την ανάπτυξη χωρών, και περιοχές «κινητικότητας» σε αναπτυγμένα κράτη. 49

50 Αγορές για το WiMAX Ο μεγαλύτερος ενθουσιασμός για το WiMAX εντοπίζεται στην ικανότητα κινητικότητας(mobility) και στο ρόλο του ως ενισχυτής ή ακόμα ως αντικαταστάτης του δημόσιου Wi-Fi. Όμως ο πρωταρχικός στόχος και η βασική εστίαση του θέματος περιστρέφονται γύρω από την ασύρματη ευρυζωνική πρόσβαση σε σπίτια και επιχειρήσεις. Αυτός ο τομέας «αποικείται» από μια ορδή Αμερικανών φορέων, οι οποίοι χρησιμοποιούν ακριβό εξοπλισμό και ποικίλες εκδόσεις έξυπνων κεραιών, OFDM και ενσύρματων επικοινωνιών. ArrayComm, Alvarion, IPWireless, Navini και Beamreach είναι ισχυρά ονόματα του χώρου, αν και η πλειοψηφία αυτών θα επικεντρώσει εκ νέου τα προϊόντα της γύρω από το WiMAX Επιχειρηματικοί χρήστες Μόνο το 5% των εμπορικών υποδομών παγκοσμίως εξυπηρετείται από δίκτυα οπτικών ινών, η κύρια μέθοδος για τις μεγαλύτερες επιχειρήσεις να έχουν ευρυζωνική πρόσβαση σε υπηρεσίες πολυμέσων και δεδομένων. Στον «καλωδιωμένο» κόσμο, αυτά τα δίκτυα επεκτείνονται στον επιχειρηματικό χώρο και την ευρεία περιοχή μέσω καλωδίου ή DSL, επιλογές και οι δύο πολύ ακριβές εξαιτίας των αλλαγών υποδομής που απαιτούνται. Οι επιχειρήσεις μπορούν να χρησιμοποιήσουν το WiMAX αντί για Τ1 με κόστος 10% χαμηλότερο. Οι βασικοί σταθμοί κοστίζουν περίπου $ και υποστηρίζουν το 60% των επιχειρησιακών πελατών με συνδέσεις τάξεως Τ Last Mile to the Home Μια εναλλακτική χαμηλού κόστους θα τερμάτιζε τον πόλεμο μεταξύ του καλωδίου και της ADSL σύνδεσης και θα κανε την επανάσταση του ευρυζωνικού σπιτιού πραγματικότητα Δυναμικά Σημεία (Hotspots) Οι χειριστές δυναμικών σημείων Wi-Fi είναι ικανοί να χτίσουν ένα Hotspot με εξοπλισμό αξίας μερικών χιλιάδων δολαρίων, αλλά στη συνέχεια να το δέσουν στο δημόσιο δίκτυο και αυτό υπό κανονικές συνθήκες με ακριβή Τ1 ή DSL. Η υποστήριξη από το WiMAX θα μπορούσε να μειώσει δραστικά τα έξοδα των δυναμικών σημείων παρόλο που υπάρχει η δυνατότητα από τις WiMAX Hotzones (Δυναμικές Περιοχές) να παρακάμψουν συνολικά το Wi-Fi Απομακρυσμένες Περιοχές Η πιο προσοδοφόρα αγορά για τους προμηθευτές είναι οι απομακρυσμένες περιοχές, ειδικά στις αναπτυσσόμενες χώρες αλλά και στις αγροτικές περιοχές των Η.Π.Α. όπου δεν υπάρχει υποδομή κυψέλης ή καλωδίου ούτε η θέληση και το κεφάλαιο για την επένδυση στο χτίσιμο αυτών. Η κύρια εναλλακτική του BWA στην αγορά αυτή είναι ο δορυφόρος. Ακόμη νωρίς στον κύκλο ζωής του-και ενδεχομένως μια ισχυρή τεχνολογία για να ενοποιηθεί με το WiMAX, ο δορυφόρος έχει αυστηρούς 50

51 περιορισμούς του «προς τα πάνω» εύρους ζώνης, της διαθεσιμότητας φάσματος και επίσης πάσχει από κατάσταση καθυστέρησης(latency) σε υψηλό βαθμό. Μια από τις ενδεχομένως πιο προσοδοφόρες αγορές για BWA απομακρυσμένων περιοχών, φυσικά, είναι η Κίνα και συζητήσεις είχαν πραγματοποιηθεί μεταξύ της κινέζικης κυβέρνησης και του ΙΕΕΕ με όραμα την καθιέρωση του ως κινέζικο εθνικό πρότυπο για τη σταθερή ασύρματη ευρυζωνική πρόσβαση στα 3.5GHz. Οι κινέζοι χειριστές ετοίμασαν βασικούς σταθμούς WiMAX πριν το πρότυπο, τσιπ χαμηλού κόστους, και η Alvarion προμήθευσε με εξοπλισμό τέτοιου τύπου την China Unicorm για ένα δίκτυο που θα κάλυπτε αρχικά έξι πόλεις Παρασκήνιο και Παρόλο που το project του ξεκίνησε πίσω στο 1998, η κύρια εργασία πραγματοποιήθηκε στο διάστημα σε μια ανοικτή διαδικασία συναίνεσης. Ο σκοπός ήταν να γίνει η ευρυζωνική και ασύρματη πρόσβαση περισσότερο ευρεία και φθηνά διαθέσιμη διαμέσου ενός προτύπου για ασύρματα μητροπολιτικά δίκτυα. Το αρχικό όραμα για το ήταν ότι έπρεπε να στηθούν βασικοί σταθμοί οι οποίοι θα συνδέονται σε δημόσιο δίκτυο. Ο καθένας από αυτούς τους σταθμούς θα μπορούσε να υποστηρίξει εκατοντάδες σταθερούς συνδρομητικούς σταθμούς, πιθανότατα στοιβαγμένους σε στέγες σπιτιών. Ο BS τότε θα χρησιμοποιούσε το πρότυπο του στρώματος ελέγχου μέσου πρόσβασης (MAC)- μια κοινή διεπαφή που καθιστά τα δίκτυα διαλειτουργικά-και να διαθέσει σχεδόν στιγμιαία εύρος καθόδου και ανόδου σε συνδρομητές σύμφωνα με τις ανάγκες τους. Το για ΜΑΝ μπορεί επίσης να δέσει πάνω στα δυναμικά σημεία του , το οποίο εξυπηρετεί τόσο τα ασύρματα LAN όσο και τους τελικούς χρήστες απευθείας. Με το κινητό πρότυπο, οι χρήστες θα είναι ικανοί να χρησιμοποιήσουν τον BS του WMAN για να επικοινωνούν μέσω φορητής συσκευής καθώς κινούνται σε ακτίνα 50km. Η πρώτη έκδοση του εκδόθηκε τον Απρίλιο του 2002 και διευθυνσιοδότησε σταθερές, με γραμμή θέας συνδέσεις για το σύνδεσμο «πρώτο μίλι/ τελευταίο μίλι»(για τον πιο κοντινό έως τον πιο μακρινό σύνδεσμο). Επικεντρώθηκε στην επαρκή χρήση ποικίλων επιτρεπτών συχνοτήτων στο εύρος ζώνης των 10-66GHz. Τα προϊόντα του δεν έχουν υιοθετήσει ποτέ μια κοινή προσέγγιση. Ανόμοια με το Wi-Fi, αρκετοί πρωταρχικοί προμηθευτές ισάξιου εξοπλισμού μπορούν να επιτύχουν τη απόδοση του WiMAX. Προσφέρει την υψηλότερη απόδοση εύρους ζώνης, τεχνολογία πέρα από απλή ραδιομετάδοση και στην καλωδιωμένη πλευρά- MMDS και είναι στο ίδιο επίπεδο με το δορυφόρο. Παρόλο που-ακόμα και με την επερχόμενη κινητή έκδοση του προτύπου- το WiMAX δε μπορεί να είναι τόσο ευρείας περιοχής όσο το 3G, αποδίδει πολύ υψηλότερους ρυθμούς και με επαρκή ανάπτυξη εξάπλωσης θα μπορούσε να μειώσει σημαντικά τη χρήση των δικτύων κυψελών σε πολλές περιοχές. Η επόμενη έκδοση του προτύπου, η a, που εκδόθηκε τον Απρίλιο του 2003, είναι αυτή που έσπρωξε στην κυριολεξία το WiMAX στο να υιοθετηθεί ως η κυρίαρχη ασύρματη ευρυζωνική τεχνολογία. Αυτό ισχύει και για τα σταθερά ενσύρματα αλλά επεκτείνει 51

52 την ακτίνα του WiMAX από 50 έως 80km και λειτουργεί στη χαμηλή ζώνη συχνοτήτων 2-11GHz. Έτσι μπορεί να γίνει αποδεκτό από μη εξουσιοδοτημένους χειριστές(unlicensed operators).χρησιμοποιεί σημείο προς σημεία ή (κατ επιλογή) τοπολογίες πλέγματος και δεν απαιτεί γραμμή οπτικής επαφής. Ειδικότερα, χρησιμοποιεί επιτρεπόμενες ζώνες συχνοτήτων στα 3.5GHz-10.5GHz διεθνώς, ghz και μη επιτρεπόμενες των 2.4GHZ και 5.725GHz-5825GHz. Μια σημαντική παράμετρος του x είναι ότι καθορίζει ένα στρώμα MAC το οποίο υποστηρίζει πολλαπλές προδιαγραφές φυσικού επιπέδου. Αυτό είναι χαρακτηριστικό μεγάλης σημασίας εφόσον δίνει τη δυνατότητα στους κατασκευαστές εξοπλισμού να διαφοροποιήσουν τις προσφορές τους-για παράδειγμα νέες προσεγγίσεις για τη χρήση έξυπνης κεραίας-χωρίς να στερούνται διαλειτουργικότητας αλλά και για να προσαρμόσουν τον εξοπλισμό στο φάσμα συχνοτήτων που χρησιμοποιείται. Επιπρόσθετα στοιχεία ήταν τα εξής:802.16c/d που εκδόθηκε τον Ιανουάριο του 2003,διευθυνσιοδοτεί τη διαλειτουργικότητα παρέχοντας λεπτομερή προφίλ συστημάτων και διευκρινίσεις των συνδυασμών των επιλογών, ως βάση για τις δοκιμές συμμόρφωσης και διαλειτουργικότητας. Το φόρουμ του WiMAX, παρουσίασε το πρώτο από αυτά τα τεστ στο συνέδριο WCA τον Ιούλιο του 2003 και επιπρόσθετη εργασία εκπονήθηκε κατά τη διάρκεια του ίδιου έτους από αυτόν τον οργανισμό και το ΙΕΕΕ. Το πρωτόκολλο C συσχετίζει τα πρωτόκολλα, εξετάζει τις δομές ακολουθίας και τους σκοπούς δοκιμής ενώ το D καθορίζει τα τυπογραφικά λάθη και τα πρωτόκολλα που δεν καλύπτονται από το C και δημιουργεί τα σχεδιαγράμματα των συστημάτων e, το οποίο προσθέτει την κινητικότητα(mobility) στο πρότυπο και στην πραγματικότητα «σφάζει με το γάντι» την κυψελοειδή τεχνολογία. Αυτό το στοιχείο του προτύπου έχει μονοπωλήσει το ενδιαφέρον της Nokia, η οποία μπορεί να δει ένα νέο ρεύμα εισοδήματος τόσο σε BS όσο και σε επίπεδο φορητής συσκευής Τεχνικά χαρακτηριστικά του a Το a λειτουργεί στα 124Mbps στο κανάλι των 28MHz( στη ζώνη των 10-66GHz) και στα 70Mbps σε χαμηλότερη συχνότητα(2-11ghz). Βασικές πρωταρχικές τεχνολογίες στο a OFDM Ορθογωνική Πολύπλεξη Διαίρεσης Συχνότητας Υποστήριξη για OFDM, η οποία μπορεί να συνεχίσει να εφαρμόζεται με πολλούς τρόπους από διαφορετικούς χειριστές( η ακριβής παραλλαγή της OFDM μπορεί να γίνει ο διαφοροποιητής κλειδιού τους). Η OFDM είναι καθιερωμένη και ενσωματώνεται σε μερικές υπηρεσίες μεταφοράς νέας γενιάς τόσο καλά ώστε να είναι θεμελιώδης για την ψηφιακή τηλεόραση. Μεταδίδει πολλαπλά συστήματα στιγμιαία διαμέσου ενός καλωδίου ή ασύρματου μονοπατιού μετάδοσης, σε ξεχωριστές συχνότητες, με το στοιχείο ορθογωνικότητας να διατηρεί αποστάσεις μεταξύ των συχνοτήτων, προκειμένου να αποφευχθούν παρεμβολές. Η OFDM υποστηρίζεται επίσης από το πρότυπο a για ασύρματα LAN. Το a έχει τρεις PHY επιλογές: μια OFDM με 256 υπομεταφορείς, η μόνη επιλογή που υποστηρίζεται στην Ευρώπη από την ETSI και της οποίας ο αντίπαλος (HiperMAN) έχει πρότυπα που πιθανότατα θα εντάσσονται στο WiMAX. 52

53 Υποστήριξη έξυπνης κεραίας ΟΙ μηχανισμοί έξυπνης κεραίας είναι οι σημαντικότερες μέθοδοι βελτίωσης της επάρκειας φάσματος σε μη κυψελοειδή δίκτυα. Τα πρότυπα επιτρέπουν σε χειριστές να υποστηρίζουν μια ποικιλία αυτών των μηχανισμών, οι οποίοι μπορούν να γίνουν διαφοροποιητής κλειδιού απόδοσης Επιλογή δυναμικής συχνότητας σε μη Εξουσιοδοτημένο φάσμα Πλέγμα Η λειτουργία πλέγματος είναι προαιρετική τοπολογία για επικοινωνία συνδρομητή προς συνδρομητή σε γραμμές non of sight του a. Συμπεριλαμβάνεται στα πρότυπα για να επιτρέπει επικάλυψη ad hoc δικτύων στο μη εξουσιοδοτημένο φάσμα και να επεκτείνει τα όρια του εύρους των WMAN σε χαμηλό κόστος. Η υποστήριξη του πλέγματος έχει επεκταθεί και στις εξουσιοδοτημένες συχνότητες Σχήμα 2-6Τοπολογία Πλέγματος Παρόλο που έχει τοπολογία υψηλής πολυπλοκότητας και αποστολή/λήψη μηνυμάτων, το πλέγμα είναι μια καλή εναλλακτική για τις συνηθισμένες NLOS, καθώς κλιμακώνεται καλά και διευθυνσιοδοτεί εξουσιοδοτημένη παρεμβολή. Επιτρέπει σε μια κοινότητα να διαμοιραστεί πυκνά με συνδέσεις WiMAX, σε χαμηλό κόστος, με εύρωστες επικοινωνίες καθώς υπάρχουν πολλαπλά μονοπάτια κυκλοφορίας για να επιλέξει κανείς Επάρκεια Φάσματος Είναι σημαντικό να υποστηρίζονται δύσκολα περιβάλλοντα χρηστών, με εκατοντάδες χρήστες ανά κανάλι σε υψηλό εύρος ζώνης και συνδυασμό συνεχούς αλλά και στιγμιαίας κίνησης-κυκλοφορίας. 53

54 Ανεξάρτητος Πυρήνας Πρωτοκόλλου Το WiMAX μπορεί να μεταφέρει IPv4, IPv6, Ethernet ή ATM και άλλα, υποστηρίζοντας πολλαπλές υπηρεσίες στη στιγμή και με την απαιτούμενη ποιότητα υπηρεσιών Εύρος ζώνης κατ απαίτηση(πακέτο-πακέτο) Η εξαίρεση «b» του σχετίζεται με την ποιότητα των υπηρεσιών (QoS), η οποία επιτρέπει χειρισμό NLOS χωρίς αυστηρή παραμόρφωση του σήματος από κτίρια καιρικά φαινόμενα και οχήματα. Επίσης υποστηρίζει ευφυή προτεραιότητα διαφορετικών μορφών κίνησης ανάλογα με την πίεση χρόνου. Οι μηχανισμοί στο MAC των WMAN παρέχονται για να διαφοροποιούν τις QoS και να υποστηρίζουν διαφορετικές ανάγκες για διαφορετικές εφαρμογές. Για παράδειγμα, το βίντεο και η φωνή απαιτούν χαμηλή καθυστέρηση αλλά ανέχονται ένα μικρό ρυθμό σφαλμάτων, την ώρα που οι περισσότερες εφαρμογές δεδομένων πρέπει να είναι απαλλαγμένες από σφάλματα, αλλά μπορούν να προσαρμοστούν με την καθυστέρηση. Το πρότυπο προσαρμόζει αυτές τις δυο διαφορετικές μεταδόσεις χρησιμοποιώντας κατάλληλα χαρακτηριστικά στο στρώμα MAC,κάτι το οποίο είναι περισσότερο επαρκές από το να εφαρμόζεται σε στρώμα ελέγχου που επικαλύπτουν το MAC Προσαρμογή Διαμόρφωσης Πολλά συστήματα της περασμένης δεκαετίας εμπεριείχαν σταθερή διαμόρφωση, προσφέροντας εναλλαγή μεταξύ υψηλότερων ιεραρχικά διαμορφώσεων για υψηλούς ρυθμούς δεδομένων, με την απαίτηση όμως βελτιστοποιημένων συνδέσμων, ή περισσότερες ισχυρές διαμορφώσεις οι οποίες θα λειτουργούν σε χαμηλούς ρυθμούς δεδομένων. Το a υποστηρίζει προσαρμόσιμη διαμόρφωση ισοσταθμίζοντας διαφορετικούς ρυθμούς δεδομένων και ποιότητα σύνδεσης για να προσθέσει τη μέθοδο διαμόρφωσης σχεδόν στιγμιαία για βέλτιστα δεδομένα και για να κάνει πιο επαρκή τη χρήση του εύρους ζώνης. FDD και TDD Το πρότυπο επίσης υποστηρίζει τόσο διπλεξία διαίρεσης συχνότητας όσο και διπλεξία διαίρεσης χρόνου προκειμένου να πραγματοποιείται διαλειτουργικότητα με κυψελοειδή ή άλλα ασύρματα συστήματα. Η FDD, η κυρίαρχη μέθοδος διπλεξίας, έχει αναπτυχθεί ευρέως στην τηλεφωνία κυψέλης. Απαιτεί δύο ζευγάρια καναλιών, ένα για μετάδοση και ένα για λήψη, με μερικό διαχωρισμό συχνότητας μεταξύ τους προκειμένου να αποφευχθεί αυτό-παρεμβολή. Σε ρυθμιστικά περιβάλλοντα, όπου δεν υπάρχουν δομημένα ζεύγη καναλιών, η TDD χρησιμοποιεί ένα απλό κανάλι και για τις δύο μεταφορές(ανόδου-καθόδου) και κάνει δυναμική ανάθεση εύρους ζώνης που εξαρτάται από τις απαιτήσεις κίνησης Λειτουργικό Μοντέλο Αρχιτεκτονική και συχνότητες λειτουργίας. Το βασικό οργανωτικό στοιχείο ενός δικτύου είναι η κυψέλη. Μια κυψέλη απαρτίζεται από έναν ή περισσότερους σταθμούς πρόσβασης/βάσης και 54

55 πολλαπλούς σταθμούς συνδρομητών ή χρηστών. Ανάλογα με τη συχνότητα εκπομπής, ένας SS μπορεί να βρίσκεται ή όχι σε θέση οπτικής επαφής(line of Sight/Non line of sight) με την κεραία του BS. Ένας BS είναι επιφορτισμένος με διάφορες εργασίες μέσα στην κυψέλη που ανήκει, όπως διαχείριση του μέσου πρόσβασης(medium access) για τους σταθμούς χρηστών, ανάθεση πόρων, διαχείριση κλειδιών,κλπ. Όπως είναι φυσικό οι σταθμοί πρόσβασης, που διαθέτουν κεραίες κάλυψης τομέων(sectored) ή πολυκατευθυντικές(omnidirectional), τοποθετούνται στις ταράτσες κτιρίων ή σε άλλες ψηλές τοποθεσίες ώστε να παρέχουν τη μέγιστη δυνατή κάλυψη. Στην πράξη οι κυψέλες καλύπτουν ακτίνα που φτάνει τα 8 χιλιόμετρα. Παρόλα αυτά, σε ιδανικές συνθήκες η ακτίνα ενδέχεται να φτάσει τα 30 ή ακόμα και τα 50 χιλιόμετρα. Επιπροσθέτως, αντί των τοπολογιών από σημείο σε σημείο(point to point, PTP) και από ένα σημείο σε πολλά(point to multipoint,ptm) υπάρχει η δυνατότητα να χρησιμοποιηθεί να χρησιμοποιηθεί και η τοπολογία πλέγματος(mesh topology), με σκοπό να αυξηθεί σημαντικά η συνολική εμβέλεια μια υλοποίησης Επιπλέον, εκτός των BS και SS ένα δίκτυο μπορεί να περιλαμβάνει και άλλα δικτυακά στοιχεία όπως σταθμούς επαναληπτών (Repeater Stations, RS) και δρομολογητές (Routers), οι οποίοι επιτρέπουν τη σύνδεση του δικτύου με ένα ή περισσότερα δίκτυα κορμού(backbone networks). Δίκτυο Κορμού(Core Network) Παρόχου Υπηρεσιών Hotspot WISP MS MS BS BS/RS BS/RS Τοπικός Πάροχος Υπηρεσιών Κεντρικά Γραφεία Εταιρίας SS SS Οικείες Σχήμα 2-7.Παράδειγμα τοπολογίας δικτύου Από την πλευρά της αρχιτεκτονικής του δικτύου εισάγονται δυο λογικές ενότητες λειτουργιών, οι οποίες σε ένα τυπικό σενάριο αντιστοιχούν σε παρόχους υπηρεσιών ή εταιρικούς τομείς: 55

56 Το δίκτυο πρόσβασης (Access Service Network, ASN) που παρέχει υπηρεσίες πρόσβασης στο δίκτυο, αποτελείται από BSs και εισάγει την πύλη ASN (ASN Gateway) ωε κεντρικό ελεγκτή. Τι δίκτυο εξυπηρέτησης σύνδεσης (Connectivity Service Network, CSN), το οποίο παρέχει IP συνδεσιμότητα και αποτελείται από IP στοιχεία δικτύου, όπως routers, DHCP εξυπηρετητές, υποδομή AAA, διαδικτυακές πύλες(interworking gateways) διασύνδεσης με άλλους παρόχους WiMAX CSNs ή ετερογενή δίκτυα (3GPP,3GPP2 κλπ). Εκτός από τις προαναφερθείσες δικτυακές οντότητες ορίζονται και οι διεπαφές (interfaces) (R1,R2, κλπ) μεταξύ αυτών, οι οποίες αντιπροσωπεύουν τα πρωτόκολλα και τα μηνύματα που απαιτούνται για τη μεταξύ τους επικοινωνία. Ορισμένες από αυτές, όπως για παράδειγμα η R3 μεταξύ ASN και CSN είναι εξωτερικές του ASN, διασυνδέοντας διαφορετικά δίκτυα. Άλλες, όπως η R6 μεταξύ του BS και της ASN gateway, τοποθετούνται στο εσωτερικό του δικτύου ASN. Σε σενάρια περιαγωγής(roaming) χρηστών WiMAX, εμπλέκονται δύο CSNs το (τοπικό) CSN δίκτυο εξυπηρέτησης και το οικείο CSN δίκτυο, δηλαδή το δίκτυο στο οποίο ο χρήστης είναι εγγεγραμμένος ως συνδρομητής. R2 ASN 1(Access Service Network R1 BS BS ASN Gateway R3 CSN εξυπηρετητής R5 (Roaming) Οικείο CSN SS/MS ASN 2 ASN Gateway Σχήμα 2-8.Παράδειγμα τοπολογίας δικτύου Τα δίκτυα που ακολουθούν το πρότυπο IEEE σχεδιάστηκαν ώστε να λειτουργούν σε μία ευρεία μπάντα αδειοδοτημένων και μη αδειοδοτημένων συχνοτήτων η οποία εκτείνεται από τα 2 ως τα 66GHz, υποστηρίζοντας (θεωρητικές) ταχύτητες ως 75 Mbps, όπως παρουσιάζεται στον παρακάτω πίνακα. Όπως αναφέρθηκε προηγουμένως η εμβέλεια των δικτύων ξεπερνά τα 50χλμ. Όταν υπάρχει οπτική επαφή. Η μετάδοση στη μπάντα συχνοτήτων 10-66GHz απαιτεί οπτική επαφή μεταξύ BS και SS αφού σε αυτές τις συχνότητες το μήκος κύματος είναι πολύ μικρό και άρα ευαίσθητο σε εξασθένιση, λόγω φυσικών εμποδίων ή παρεμβολών. Εντούτοις οι ταχύτητες που επιτυγχάνονται σε αυτή την περιοχή 56

57 συχνοτήτων είναι οι υψηλότερες δυνατές. Από την άλλη πλευρά η μετάδοση σε αδειοδοτημένες περιοχές συχνοτήτων από 2 έως 11GHz δεν απαιτεί οπτική επαφή μεταξύ BS και SS. Εξαιτίας αυτού, η ισχύς του σήματος μεταξύ των δύο άκρων ποικίλλει με αποτέλεσμα να απαιτούνται συχνές επανεκπομπές. Τέλος, οι μη αδειοδοτημένες περιοχές μεταξύ 2 και 11GHz διατηρούν τα ίδια φυσικά χαρακτηριστικά εκπομπής με τις αντίστοιχες αδειοδοτημένες, αλλά δεν παρέχεται εγγύηση ότι θα υπάρχει υψηλό επίπεδο παρεμβολών από άλλα παρόμοια ραδιοσυστήματα που χρησιμοποιούν τις ίδιες ακριβώς ραδιοσυχνότητες. Πίνακας 2.Μπάντες συχνοτήτων ΙΕΕΕ a Ολοκληρώθηκε Δεκέμβριος 2001 Ιανουάριος 2003 Φάσμα Συχνοτήτων GHz 2-11 GHz Συνθήκες (Channel Conditions) Οπτική Επαφή(Line of Sight) μόνο Σχεδιάστηκε για συνθήκες που δεν υπάρχει οπτική επαφή Ταχύτητα (Raw Bit Rate) Mbps Mbps Διαμόρφωση (Modulation) UL/DL Duplexing QPSK,16 QAM,64 QAM,Single Carrier TDD/FDD QPSK,16 QAM,64 QAM,(256QAM) Single Carrier OFDM 256 Sub-carriers OFDMA 2048 Sub-carriers TDD/FDD Εύρος Καναλιών (Channel Bandwidths) 20, 25 και 28 MHz Μεταξύ 1.25 και 20 MHz Ακτίνα Κυψέλης (Cell Radius) Τυπικά:2-5 km Τυπικά:6-9 km Η στοίβα πρωτοκόλλων του Με δεδομένο το γεγονός ότι τα πρωτόκολλα που χρησιμοποιούνται από όλες τις παραλλαγές του ΙΕΕΕ802 έχουν πολλά κοινά στοιχεία στη δομή τους, η παρούσα ενότητα περιορίζεται στην παρουσίαση μιας μερικής άποψης της στοίβας πρωτοκόλλων του ΙΕΕΕ Μια πρώτη παρατήρηση είναι ότι η γενική δομή της στοίβας του ΙΕΕΕ είναι παρόμοια με αυτή των άλλων δικτύων της οικογένειας 802 αλλά με περισσότερα επίπεδα. Το χαμηλότερο (φυσικό) επίπεδο (PHY) είναι επιφορτισμένο με τη μετάδοση, εκτελώντας λειτουργίες όπως επιλογή συχνοτήτων, διαχείριση ισχύος του σήματος κλπ. 57

58 Οι προδιαγραφές για το φυσικό επίπεδο του WiMAX κινούνται στη λογική των περιοχών συχνοτήτων 10-66GHz (LOS) και 2-11GHz(NLOS). Έτσι, στις μπάντες συχνοτήτων από 10 έως 66GHz, κάθε BS εκπέμπει σήμα, χρησιμοποιώντας σύστημα πολύπλεξης με διαίρεση χρόνου (TDM) για την υποδιαίρεση του φάσματος σε κανάλια και των καναλιών σε χρονικές θυρίδες, ενώ σε κάθε SS διατίθενται χρονοθυρίδες (timeslots) με σειριακό τρόπο. Η ανοδική (Uplink, UP) μετάδοση από ένα SS βασίζεται στην τεχνική Time Division Multiple Access (TDMA). Ο τύπος της ραδιο-διεπαφής γι» αυτή τη μπάντα συχνοτήτων ονομάζεται Wirelless MAN- SC( single carrier). Για την κατανομή εύρους ζώνης υποστηρίζεται τόσο η μέθοδος αμφίδρομης επικοινωνίας με διαίρεση συχνότητας όσο και η αμφίδρομη επικοινωνία με διαίρεση χρόνου. Από την άλλη μεριά το πρότυπο IEEE a ορίζει τρεις τύπους ραδιο-διεπαφής: Wireless MAN SC2:(διαμόρφωση Single Carrier) Wireless MAN OFDM:(χρησιμοποιεί OFDM με 256 point transform) Wireless MAN OFDMA:(χρησιμοποιεί OFDM με 2048 point transform) Επίσης πρέπει να σημειωθεί ότι το a αποτελεί προσπάθεια σύγκλισης με το Αξίζει επίσης να αναφέρουμε ότι η τεχνική διαμόρφωσης της ορθογώνιας πολύπλεξης με διαίρεση συχνότητας (OFDM), και η βελτιωμένη OFDMA είναι πολύ ανθεκτικές σε ότι αφορά το φαινόμενο της πολυδιόδευσης (multipath fading), ειδικότερα στις συχνότητες άνω των 2GHz. Πάνω από το επίπεδο φυσικής μετάδοσης υπάρχει το υποεπίπεδο σύγκλισης, το οποίο κάνει διαφανείς τις διάφορες χρησιμοποιούμενες τεχνολογίες μετάδοσης στο επίπεδο συνδέσμου μετάδοσης δεδομένων. Το επίπεδο συνδέσμου μετάδοσης δεδομένων αποτελείται με τη σειρά του από τρία υποεπίπεδα. Το χαμηλότερο από αυτά είναι υπεύθυνο για την προστασία του απορρήτου και την ασφάλεια. Είναι επιφορτισμένο δηλαδή με λειτουργίες, όπως κρυπτογράφηση, αποκρυπτογράφηση και διαχείριση κλειδιών. Πάνω από αυτό βρίσκεται τι κοινό τμήμα του επιπέδου MAC. Η διαχείριση του καναλιού λαμβάνει χώρα σε αυτό το επίπεδο. Το μοντέλο ορίζει ότι ο BS ελέγχει το σύστημα, χρονοπρογραμματίζοντας αποτελεσματικά τα κατερχόμενα (Downlink, DL) κανάλια, ενώ παίζει μεγάλο ρόλο και στη διαχείριση των ανερχόμενων (UP) καναλιών. Το τελευταίο υποεπίπεδο του επιπέδου συνδέσμου μετάδοσης δεδομένων έχει τη θέση του υποεπιπέδου ελέγχου λογικού συνδέσμου (LLC) που υπάρχει στα άλλα πρωτόκολλα της οικογένειας 802. Αυτό είναι υπεύθυνο για τη διασύνδεση με το επίπεδο δικτύου. Λάβετε υπόψη ότι το σχεδιάστηκε ώστε να συνεργαστεί τόσο με τα πρωτόκολλα αυτοδύναμων πακέτων, όπως τα PPP, IP, όσο και με το Asynchronous Transfer Mode (ATM). 58

59 Ανώτερα Επίπεδα Υποεπίπεδο σύγκλισης ανάλογα με την υπηρεσία [ATM, IP, 802.1Q] Κοινό τμήμα υποεπιπέδου ελέγχου προσπέλασης μέσου(mac)[fragmentation,packing,qos,arq] Επίπεδο συνδέσμου μετάδοσης δεδομένων Υποεπίπεδο ασφαλείας (MAC privacy/security sublayer) Υποεπίπεδο σύγκλισης της μετάδοσης QPSK QAM-16 QAM-64 OFDM OFDMA Φυσικό υποεπίπεδο εξαρτώμενο από το μέσο Σχήμα 2-9.Τμήμα της στοίβας πρωτοκόλλων του Δομή πλαισίων Όπως παρουσιάζεται στο σχήμα 2-10, όλα τα πλαίσια MAC ξεκινούν με μια γενική κεφαλίδα. Η κεφαλίδα ακολουθείται προαιρετικά από το ωφέλιμο φορτίο και από ένα επίσης προαιρετικό άθροισμα ελέγχου, όπως για παράδειγμα τα πλαίσια που ζητούν υποδοχές του καναλιού, δεν είναι απαραίτητο να φέρουν ωφέλιμο φορτίο. Λόγω της διόρθωσης σφαλμάτων στο φυσικό επίπεδο το άθροισμα ελέγχου είναι και αυτό προαιρετικό. Το πεδίο KP δείχνει αν το ωφέλιμο φορτίο είναι κρυπτογραφημένο. Ακολούθως, το πεδίο Τύπος καθορίζει τον τύπο του πλαισίου, προσδιορίζοντας αν χρησιμοποιείται ομαδοποίηση και κατακερματισμός. Στη συνέχεια, το πεδίο ΑΕ υποδεικνύει την παρουσία ή την απουσία του τελικού αθροίσματος ελέγχου. Το πεδίο ΚΚ προσδιορίζει ποιο από τα κλειδιά κρυπτογράφησης (αν υπάρχει) έχει χρησιμοποιηθεί. Κατόπιν, το πεδίο Μήκος περιέχει το συνολικό μήκος πλαισίου, συμπεριλαμβανομένης της κεφαλίδας. Αμέσως μετά το πεδίο Αναγνωριστικό σύνδεσης προσδιορίζει σε ποια ακριβώς σύνδεση ανήκει το εν λόγω πλαίσιο. Τέλος, το πεδίο CRC κεφαλίδας περιέχει το άθροισμα ελέγχου μόνο για την κεφαλίδα. Bits byte 4 bytes 0 KP Τύπος ΑΕ ΚΚ Μήκος Αναγνωριστικό σύνδεσης CRC κεφαλίδας Δεδομένα (Frame Body) CRC Σχήμα 2-10.Γενική μορφή πλαισίου ΙΕΕΕ Το υποεπίπεδο ασφαλείας MAC Το υποεπίπεδο ασφαλείας MAC είναι υπέυθυνο για τις υπηρεσίες ασφαλείας που προσφέρονται στα πλαίσια MAC. Συγκεκριμένα, το επίπεδο αυτό παρέχει υπηρεσίες ιδιωτικότητας στους συνδρομητές, κρυπτογραφώντας τις συνδέσεις 59

60 μεταξύ SS και BS. Επιπλέον, το υποεπίπεδο ασφαλείας MAC προστατεύει τους παρόχους υπηρεσιών από μη εξουσιοδοτημένους χρήστες, οι οποίοι προσπαθούν να χρησιμοποιήσουν τους πόρους και τις υπηρεσίες του δικτύου τους (theft of service). Στο πλάισιο αυτό χρησιμοποιείται ένα αυθεντικοποιημένο πρωτόκολλο διαχείρισης κλειδιών πελάτη-εξυπηρετητή, στο οποίο ο εξυπηρετητής (BS) ελέγχει τη διανομή των κλειδιών στον πελάτη (SS). Η όλη διαδικασία υποστηρίζεται και ενισχύεται περαιτέρω με τη χρήση ψηφιακών πιστοποιητικών για την πιστοποίηση της ταυτότητάς του SS στο BS. Το εν λόγω επίπεδο αποτελείται από δύο βασικά πρωτόκολλα: Πρωτόκολλο ενθυλάκωσης(encapsulation protocol): το πρωτόκολλο αυτό ορίζει τις κρυπτογραφικές σουίτες που υποστηρίζουν τις υπηρεσίες εμπιστευτικότητας (κρυπτογράφησης) μεταξύ BS και SS. Οι σουίτες περιλαμβάνουν πληροφορίες για τους αλγορίθμους πιστοποίησης ταυτότητας και κρυπτογράφησης που θα χρησιμοποιηθούν, καθώς και τους κανόνες εφαρμογής τους στα MAC Protocol Data Units (MPDUs). Πρωτόκολλο διαχείρισης κλειδιού(key management protocol): το συγκεκριμένο πρωτόκολλο αναφέρεται στη διαχείριση και διανομή των κλειδιών από το BS στο SS. Συγκεκριμένα, το χρησιμοποιούμενο πρωτόκολλο ονομάζεται Privacy Key Management (PKM) και είναι γνωστό από την εφαρμογή του στους Data Over Cable Service Interface (DOCSIS) συμβατούς καλωδιακούς διαπο-διαμορφωτές (cable modems). Σε συμφωνία με τη λογική των πρωτοκόλλων ISAKMP, IPsec(IKE), CCMP το υποεπίπεδο ασφαλείας MAC χρησιμοποιεί τη λογική των συσχετισμών ασφαλείας(security Association, SA), η οποία στα πλαίσια του αναφέρεται στο σύνολο των παραμέτρων και πληροφοριών που διαμοιράζονται μεταξύ BS και SS με σκοπό την εξασφάλιση ή και την προστασία των διακινούμενων μεταξύ τους δεδομένων. Το σύνολο των παραμέτρων που μια SA περιέχει μπορεί να είναι κλειδιά κρυπτογράφησης και διανύσματα αρχικοποίησης για τον κάθε χρησιμοποιούμενο αλγόριθμο, κλπ. Κάθε SA αναγνωρίζεται μοναδικά από μια ταυτότητα που αναφέρεται ως Security Association Identifier (SAID). Το πρότυπο ορίζει τρεις διακριτούς τύπους SAs: Κύρια SA( Primary SA): για κάθε SS υπάρχει μοναδική κύρια SA, η οποία εγκαθιδρύεται μεταξύ BS και SS κατά τη διαδικασία αρχικοποίησης του SS. Το SAID της κύριας SA ισούται πάντοτε με τη βασική ταυτότητα σύνδεσης (Basic Connection ID, CID) του συγκεκριμένου SS. Στατική SA( Static SA): οι στατικές SAs δημιουργούνται από ένα BS κατά τη διάρκεια αρχικοποίησης ενός SS, και χρησιμοποιούνται εσωτερικά από το ίδιο το BS. Παραδείγματος χάριν, ένα SS είναι δυνατό να έχει εγγραφεί σε πολλαπλές υπηρεσίες. Τότε θα υπάρχουν τόσες στατικές SAs όσες και οι αντίστοιχες υπηρεσίες. Δυναμική SA(Dynamic SA): μια δυναμική SA δημιουργείται και καταστρέφεται, όποτε απαιτείται (on the fly) σε απάντηση της εκκίνησης ή του τερματισμού μιας υπηρεσίας (service flow). Σημειώστε ότι οι στατικές και οι δυναμικές SAs 60

61 μπορούν να διαμοιράζονται μεταξύ αρκετών SSs, σε περίπτωση πολυδιανομής (multicast) ή εκπομπής (broadcast). Τα κλειδιά που αναφέρονται σε μια SA έχουν και αυτά μια συγκεκριμένη διάρκεια ζωής, η οποία καθορίζεται από το υπεύθυνο BS. Κατά συνέπεια, κάθε SS είναι υποχρεωμένο να ζητήσει ανανέωση κλειδιών από το αντίστοιχο BS πριν από τη λήξη τους. Όπως ήδη ειπώθηκε παραπάνω, το πρωτόκολλο που χρησιμοποιείται για τη διαχείριση κλειδιών είναι το PKM. Ο τύπος της SA που χρησιμοποιείται κάθε φορά εξαρτάται από το είδος της σύνδεσης. Όπως ορίζεται από τις σχετικές προδιαγραφές Baseline Privacy plus Interface Specification (BPI+),στο και για ένα δεδομένο SS, όλη η ανερχόμενη κίνηση από το SS στο BS προστατεύεται, είναι δηλαδή κρυπτογραφημένη, χρησιμοποιώντας την κύρια SA του SS. Αν και τυπικά το ίδιο συμβαίνει και με την κατερχόμενη κίνηση αποκλειστικής διανομής, επιλεκτικά κάποιο μέρος της είναι δυνατό να προστατεύεται από αντίστοιχες στατικές ή δυναμικές SAs. Τονίζεται ότι η πολυδιανομή ή εκπομπή που απευθύνεται σε πολλά SSs ταυτόχρονα, μπορεί να προστατευθεί μόνο από δυναμικές ή στατικές SAs και όχι από κύριες, οι οποίες, όπως ειπώθηκε είναι μοναδικές για κάθε SS. Επίσης, η επικοινωνία μεταξύ SS και BS στο είναι προσανατολισμένη στη σύνδεση (connection oriented). Κάθε σύνδεση έχει μια μοναδική ταυτότητα και δύο θυρίδες (slot maps): μια ανοδική (Uplink map, UL_MAP) και μια καθοδική (Downlink map, DL_MAP). Επιπλέον, τυπικά υπάρχουν τριών ειδών συνδέσεις μεταξύ ενός SS και BS: (α) Η κύρια σύνδεση διαχείρισης για εκπομπές, διαδικασία ranging και γενικές διαχειριστικές διαδικασίες, (β) η δευτερεύουσα διαχειριστική σύνδεση για διαχείριση της IP συνδεσιμότητας και (γ) μια ή περισσότερες συνδέσεις μεταφοράς για μετάδοση δεδομένων. Από τις τρεις μόνο οι (β) και (γ) δικαιούνται προστασίας Διαδικασία αρχικοποίησης και εισόδου στο δίκτυο. Πριν ένα SS αποκτήσει πρόσβαση στο δίκτυο θα πρέπει να εκτελέσει ορισμένες διαδικασίες, οι οποίες συνοψίζονται στα αμέσως παρακάτω: Ανίχνευση και συγχρονισμός(scanning & synchronization): Tο SS είναι υποχρεωμένο να ανιχνεύσει το κατερχόμενο σήμα από το BS και ακολούθως να προσπαθήσει να συγχρονιστεί με αυτό. Σε περίπτωση που στο πρόσφατο παρελθόν είχε χρησιμοποιηθεί κάποιο κατερχόμενο κανάλι τότε το SS θα προσπαθήσει να συγχρονιστεί πρώτα με αυτό, χρησιμοποιώντας τις ίδιες ακριβώς παραμέτρους. Διαφορετικά, είναι απαραίτητο να ανιχνεύσει όλα τα πιθανά κανάλια στην κατερχόμενη μπάντα συχνοτήτων. Όταν τέλος ανιχνευτεί και επιλεγεί κάποιο κανάλι, το SS προσπαθεί να συγχρονιστεί με αυτό, ανιχνεύοντας τα περιοδικά πλαίσια της ακολουθίας συγχρονισμού (preamble). Εντοπισμός των παραμέτρων των κατερχόμενων και ανερχόμενων καναλιών(uplink/downlink channel parameters detection): Αμέσως μετά το συγχρονισμό του SS με το BS, ο σταθμός αναζητά τα μηνύματα περιγραφητή κατερχόμενου και ανερχόμενου καναλιού (Uplink/downlink channel Descriptor, UCD/DCD), τα οποία εκπέμπονται περιοδικά από το BS. Τα δύο αυτά 61

62 μηνύματα φέρουν πληροφορίες που αφορούν τα φυσικά χαρακτηριστικά των δύο καναλιών αντίστοιχα. Παραδείγματος χάριν μεταφέρουν πληροφορίες σχετικές με τη τον τύπο διαμόρφωσης (modulation) και τη μέθοδο διόρθωσης σφαλμάτων( Forward Error Correction, FEK). Διαπραγμάτευση των δυνατοτήτων του SS (SS capabilities negotiation): Μετά την ολοκλήρωση της διαδικασίας ranging, η οποία επιτρέπει στο SS να συγχρονιστεί με το σήμα που εκπέμπεται από το BS και να λάβει τα αναγνωριστικά σύνδεσης (CIDs), που επιλέχθηκαν από το τελευταίο, ακολουθεί η φάση της διαπραγμάτευσης των δυνατοτήτων του SS. Συγκεκριμένα, το SS αποστέλλει στο BS τις δυνατότητες που διαθέτει σε φυσικό επίπεδο, συμπεριλαμβανομένων των σχημάτων διαμόρφωσης και κωδικοποίησης (coding) που υποστηρίζει. Η αποδοχή ή η απόρριψη παραμέτρων εξαρτάται από το BS. Πιστοποίηση ταυτότητας του SS, εξουσιοδότηση και εγγραφή (MS authentication, authorization & restristration): Κατά τη διάρκεια της φάσης αυτής το SS πρέπει να πιστοποιήσει την ταυτότητα του στο BS και εκείνο να το εξουσιοδοτήσει να χρησιμοποιήσει τους πόρους του δικτύου. Το πρωτόκολλο που χρησιμοποιείται για την ολοκλήρωση της συγκεκριμένης φάσης είναι το PKM. Σύμφωνα με το πρότυπο ΙΕΕΕ σε κάθε SS ανατίθεται ένα ψηφιακό πιστοποιητικό Χ.509 (Public Key Certificate, PKC) κατά τη φάση της κατασκευής του. Το πιστοποιητικό αυτό πιστοποιεί ουσιαστικά το υλικό της συσκευής, μέσω της μοναδικής MAC διεύθυνσης της και υπογράφεται από τον κατασκευαστή της ή από μία εξωτερική αρχή πιστοποίησης (Certification Authority, CA). Αξίζει να σημειωθεί ότι ένα PKC σύμφωνα με το πρότυπο Χ.509 περιέχει διάφορα στοιχεία-πεδία όπως: το όνομα και το δημόσιο κλειδί της οντότητας που πιστοποιεί την ταυτότητά της, ημερομηνίες έκδοσης και λήξης, ένα σειριακό αριθμό, το όνομα της οντότητας που υπογράφει το πιστοποιητικό κ.α. Το πλέον σημαντικό, όμως, είναι πως κάθε PKC φέρει την ψηφιακή υπογραφή της CA που το εκδίδει-γεγονός που εξασφαλίζει την ακεραιότητα και αυθεντικότητά του. Συγκεκριμένα το πρότυπο ορίζει: Each SS carries a unique X.509 digital certificate issued by the SS»s manufacturer. The digital certificate contains the SS»s Public Key and SS MAC address...all SS»s shall have factory-installed RSA private/public key pairs or provide an internal algorithm to generate. Εννοείται ότι το ιδιωτικό κλειδί του SS είναι αποθηκευμένο με τέτοιο τρόπο στο υλικό της συσκευής, ώστε να είναι πολύ δύσκολη ή αδύνατη η προσπέλαση ή η αντιγραφή του από το χρήστη ή άλλα άτομα. Επίσης, κάθε BS θα πρέπει να διαθέτει όλα τα δημόσια κλειδιά των αρχών πιστοποίησης των κατασκευαστών ή άλλων αρχών πιστοποίησης που εκδίδουν πιστοποιητικά για συσκευές Τονίζεται ότι το πρότυπο ΙΕΕΕ δεν υποχρεώνει τα BSs να διαθέτουν ψηφιακά υπογεγραμμένα πιστοποιητικά προκειμένου να είναι δυνατή η πιστοποίηση της ταυτότητας τους στο κάθε SS. Αυτό σημαίνει ότι η διαδικασία πιστοποίησης ταυτότητας δεν είναι αμοιβαία, αφού μόνο το SS αυθεντικοποιείται στο BS και το αντίθετο. Μόλις ολοκληρωθεί η διαδικασία αυθεντικοποίησης και εξουσιοδότησης, το SS προχωράει στη φάση εγγραφής στέλνοντας ένα μήνυμα αίτησης εγγραφής(registration request) στο BS, το οποίο απαντάει με ένα μήνυμα registration response. Ακολούθως, το SS μπορεί να αποκτήσει διεύθυνση IP 62

63 μέσω του πρωτοκόλλου Dynamic Host Configuration Protocol (DHCP), καθώς και άλλες απαραίτητες παραμέτρους σύνδεσης στο BS Το πρωτόκολλο PKM Γενικά Όπως ήδη αναφέρθηκε, το πρωτόκολλο PKM που χρησιμοποιείται στο έχει ως βάση( ή καλύτερα ακολουθεί πολύ στενά) τις σχετικές προδιαγραφές DOCSIS, οι οποίες αναπτύχθηκαν από τα εργαστήρια Cable Laboratories για την αγορά της καλωδιακής τηλεόρασης και αναφέρονται ως Baseline Privacy plus Interface specification ή απλώς BPI+. Το PKM χρησιμοποιείται από τους σταθμούς των χρηστών για να πιστοποιήσουν την ταυτότητα τους, να αποκτήσουν εξουσιοδότηση, και κλειδιά κρυπτογράφησης από τα αντίστοιχα BSs. Επίσης, το ίδιο πρωτόκολλο εκτελείται για περιοδική (επαν)εξουσιοδότηση και επανακλείδωση (ανανέωση κλειδιών, re-keying). Το PKM χρησιμοποιεί Χ.509 ψηφιακά πιστοποιητικά και τον αλγόριθμο κρυπτογράφησης two-key triple Data Encryption Standard (2 key 3-DES) για την εξασφάλιση των μηνυμάτων που ανταλλάσσονται μεταξύ SS και BS. Αρχικά, το πρωτόκολλο εγκαθιδρύει ένα συμμετρικό κλειδί εξουσιοδότησης(authorization Key, AK), το οποίο διαμοιράζεται μεταξύ του SS και του BS. Το κλειδί ΑΚ χρησιμοποιείται για την εξασφάλιση των επόμενων μηνυμάτων PKM, που αφορούν τη δημιουργία κλειδιών κρυπτογράφησης δεδομένων (Traffic Encryption Keys, TEKs). Το BS πιστοποιεί την ταυτότητα του SSκατά τη διάρκεια της πρώτης φάσης της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης. Έτσι, όπως ήδη αναφέρθηκε, κάθε SS διατηρεί ένα ψηφιακό πιστοποιητικό συσκευής που εκδίδεται από τον κατασκευαστή της. Το πιστοποιητικό περιέχει το RSA δημόσιο κλειδί και άλλες μοναδικές πληροφορίες για τη συσκευή, όπως η MAC διεύθυνση της, ο σειριακός αριθμός της και η ταυτότητα του κατασκευαστή (Manufacturer ID). Το ιδιωτικό κλειδί που αντιστοιχεί στο δημόσιο που περιέχει το πιστοποιητικό είναι αποθηκευμένο με ασφαλή τρόπο( temper-resistant) μέσα στη συσκευή. ManufacturerCert countryname=<χώρα του κατασκευαστή> [stateofprovincename=<περιφέρεια>* [localityname=<πόλη> OrganizationName=<Όνομα Εταιρείας> organizationaluniyname=<τοποθεσία κατασκευής> CommonName=<Όνομα εταιρείας><αρχή πιστοποίησης> MS/SSCert countryname=<χώρα του κατασκευαστή> OrganizationName=<Όνομα Εταιρείας> organizationaluniyname=<τοποθεσία κατασκευής> commonname=<σειριακός αριθμός συσκευής> commonname=<διεύθυνση MAC του MS/SS Π.χ.00:60:21:Α5:0Α:24> Σχήμα 2-11.Γενική μορφή πιστοποιητικών κατασκευαστή (ManufacturerCert) και MS (MSCert) 63

64 Κατά την πρώτη φάση της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης, το SS αποστέλλει το πιστοποιητικό του στο BS. Το BS με τη σειρά του πρέπει να επαληθεύσει το πιστοποιητικό που λαμβάνει, ελέγχοντας το συντακτικό του, τις πληροφορίες που περιέχει καθώς και την υπογραφή του- κάτι που μπορεί να περιέχει επαλήθευση αλυσίδας πιστοποιητικών (certificate chain). Εφόσον το πιστοποιητικό θεωρηθεί έγκυρο, το BS θα κρυπτογραφήσει (ενθυλακώσει) το κλειδί ΑΚ, με το δημόσιο κλειδί του SS που περιέχεται στο πιστοποιητικό και θα το αποστείλει στο SS. Σημειώστε ότι μόνο το SS είναι σε θέση να απενθυλακώσει το κλειδί ΑΚ, αφού μόνο αυτό κατέχει το αντίστοιχο ιδιωτικό κλειδί. Γενικά μπορούμε αν πούμε πως η χρήση ψηφιακών πιστοποιητικών προστατεύει αποτελεσματικά το BS από επιθέσεις πλαστοπροσωπίας (masquerading),δηλαδή της υπόδησης της ταυτότητας εξουσιοδοτημένων χρηστών του δικτύου Διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης. Η διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης, η οποία περιγράφεται στο σχήμα 2-12, αποτελείται από δύο φάσεις, που σκοπό έχουν αφενός μεν να πιστοποιήσουν την ταυτότητα του SS, αφετέρου να μεταφέρουν με ασφάλεια τα κλειδιά AK και ΤΕΚ από το BS στο SS. Συγκεκριμένα: Μήνυμα 1 (Πληροφορίες αυθεντικοποίησης): SS->BS {SS authentication information message}: Το SS αρχικοποιεί τη διαδικασία, αποστέλλοντας ένα μήνυμα που περιέχει τις πληροφορίες αυθεντικοποίησης στο BS. Το συγκεκριμένο μήνυμα είναι προαιρετικό και μπορεί να αγνοηθεί από το BS γιατί το δεύτερο κατά σειρά μήνυμα περιέχει περίπου τις ίδιες πληροφορίες με το παρόν. Το μήνυμα μεταφέρει τις ακόλουθες πληροφορίες: (α) Τη διεύθυνση MAC του SS, (β) το ψηφιακό πιστοποιητικό Χ.509 του SS που έχει εκδοθεί από τον κατασκευαστή της συσκευής (SSCert), (γ) το δημόσιο κλειδί RSA του SS (περιέχεται στο πιστοποιητικό), (δ) μια λίστα από με τις κρυπτογραφικές δυνατότητες του SS, η οποία περιλαμβάνει τα αναγνωριστικά των κρυπτογραφικών σουιτών που το SS υποστηρίζει, (ε) το αναγνωριστικό της κύριας SA του SS (SAID), (στ) το PKC του κατασκευαστή της συσκευής SS (ή καλύτερα της CA που υπογράφει το PKC του SS). Με τη λήψη του μηνύματος το BS είναι σε θέση να επιβεβαιώσει την εγκυρότητα της κύριας SA που το SS διατηρεί και να επαληθεύσει την εγκυρότητα της αλυσίδας (certificate chain) των πιστοποιητικών. Μεταξύ των ελέγχων που το BS πρέπει να εκτελέσει στην αλυσίδα πιστοποιητικών του SS είναι αν κάποιο από αυτά έχει λήξει (expired), έχει ανακληθεί (revoked), αν η υπογραφή του είναι έγκυρη και από οντότητα (CA) που το BS εμπιστεύεται. Επιπλέον, το BS λαμβάνει γνώση των κρυπτογραφημένων δυνατοτήτων που υποστηρίζει το SS. 64

65 BS MS 1.Πληροφορίες Αυθεντικοποίησης 2.Αίτηση Εξουσιοδότησης 3.Απάντηση εξουσιοδότησης Φάση Ι: Εγκαθίδρυση Κλειδιού ΑΚ Το MS Θεωρείται εξουσιοδοτημένο Η διαδικασία εξουσιοδότησης ολοκληρώθηκε 4.Αίτηση κλειδιού[1] 5.Απάντηση στην αίτηση κλειδιού[1] 4.Αίτηση κλειδιού[n] 5.Απάντηση στην αίτηση κλειδιού[n] Σχήμα 2-12.Μηνύματα πρωτοκόλλου PKM Μήνυμα 2: (Αίτηση εξουσιοδότησης): SS->BS {SS authorization request message}: Αμέσως μετά το μήνυμα 1, το SS αποστέλλει ένα μήνυμα αίτησης εξουσιοδότησης στο BS. Το συγκεκριμένο μήνυμα ουσιαστικά αιτείται στο BS για αποστολή κλειδιού AK και των SAIDs όλων των στατικών SAs στις οποίες το SS είναι εξουσιοδοτημένο να μετέχει. Το μήνυμα μεταφέρει τις ακόλουθες πληροφορίες: (α) το σειριακό αριθμό και την ταυτότητα του κατασκευαστή της συσκευής (manufacturer ID) του SS, (β) τη διεύθυνση MAC του SS, (γ) το ψηφιακό πιστοποιητικό Χ.509 του SS που έχει εκδοθεί από το κατασκευαστή της συσκευής (SSCert),(δ) το δημόσιο κλειδί RSA του SS (περιέχεται στο πιστοποιητικό), (ε) μια λίστα με τις κρυπτογραφικές δυνατότητες του SS, η οποία περιλαμβάνει τα αναγνωριστικά των κρυπτογραφικών σουιτών που το SS υποστηρίζει, (στ) το αναγνωριστικό της κύριας SA του SS (SAID), που πρέπει να ισούται με τη βασική ταυτότητα σύνδεσης (CID) του συγκεκριμένου SS, (ζ) το PKC 65

66 του κατασκευαστή της συσκευής SS (ή καλύτερα της CA που υπογράφει το PKC του SS) (Manufacturer Cert). Μήνυμα 3: (Απάντηση εξουσιοδότησης): BS->SS {BS authorization reply message}: Με τη λήψη του δεύτερου μηνύματος από ένα SS, το BS επαληθεύει το PKC του SS και ελέγχει το σύνολο των κρυπτογραφικών δυνατοτήτων που αυτό διαθέτει. Αν το BS υποστηρίζει τουλάχιστον μια κοινή κρυπτογραφική σουίτα με το SS και ο έλεγχος του πιστοποιητικού έχει θετικό αποτέλεσμα, το BS αποστέλλει στο SS ένα μήνυμα απάντησης εξουσιοδότησης, το οποίο περιέχει: (α) ένα μοναδικό κλειδί εξουσιοδότησης (ΑΚ) ενθυλακωμένο (κρυπτογραφημένο) με το δημόσιο κλειδί του SS, (β) ένα σειριακό αριθμό κλειδιού μήκους 4-bits (ΑΚSEqNo), (γ) τη διάρκεια ζωής του κλειδιού ΑΚ (ΑΚLifetime), (δ) το αναγνωριστικό (SAID) της κύριας SA και τις παραμέτρους της, καθώς και μηδέν οι περισσότερες στατικές SAs για τις οποίες το SS είναι εξουσιοδοτημένο να αποκτήσει κλειδιά. Με αυτό τον τρόπο το SS λαμβάνει γνώση για όλες τις στατικές SAs που το αφορούν και το BS διαθέτει (αντίστοιχα) πληροφορίες. Το αναγνωριστικό της κύριας SA και του SS (SAID), το οποίο είναι απαραίτητο να ισούται με τη βασική ταυτότητα σύνδεσης (CID) του συγκεκριμένου SS. Το SS είναι υποχρεωμένο για λόγους ασφαλείας να ανανεώνει περιοδικά το κλειδί ΑΚ. Η διαδικασία ξεκινάει από το ίδιο, αποστέλλοντας στο BS ένα μήνυμα αίτησης εξουσιοδότησης (μήνυμα 2). Εξαιτίας της υποχρεωτικής περιοδικής επανακλείδωσης, τόσο το BS όσο και το SS θα πρέπει να είναι ικανά να διατηρούν ταυτοχρόνως ενεργά δύο διαφορετικά κλειδιά ΑΚ(παλαιό και νέο) με επικαλυπτόμενες διάρκειες ζωής, ώστε να μπορούν να υποστηρίξουν την ομαλή μετάβαση από το παλαιό κλειδί ΑΚ στο νέο. Και τούτο γιατί κατά τη διάρκεια της διαδικασίας επανακλείδωσης είναι δυνατόν να συμβούν διακοπές με αποτέλεσμα το SS να αποτύχει να ανανεώσει το τρέχον κλειδί ΑΚ πριν αυτό λήξει, με άμεσο αποτέλεσμα τη διακοπή της υπηρεσίας. Μήνυμα 4: (Αίτηση κλειδιού): SS->BS {SS key request message}: Αμέσως μόλις το SS λάβει το τρίτο μήνυμα- χορήγησης εξουσιοδότησης-από το BS, προχωράει στη δεύτερη φάση της διαδικασίας, δηλαδή στην απόκτηση κλειδιών ΤΕΚ. Το SS πρέπει να αποκτήσει κλειδιά ΤΕΚ τόσο για την κύρια SA (SAID), όσο και για τις στατικές SAs που περιέχονται στο μήνυμα 3,αν φυσικά προσδιοριζόταν κάποια. Για το λόγο αυτό το SS ξεκινάει μια χωριστή μηχανή κατάστασης κλειδιού ΤΕΚ(ΤΕΚ state machine) για κάθε κλειδί SAID που προσδιόριζε το προηγούμενο κατά σειρά μήνυμα. Όλες οι μηχανές κατάστασης κλειδιού ΤΕΚ εκτελούνται στο SS και είναι υπεύθυνες για τη διαχείριση των κλειδιών που έχουν συσχετισθεί με τη SAID στην οποία αντιστοιχούν. Αυτό σημαίνει ότι κάθε μηχανή είναι υπεύθυνη και για την ανανέωση των κλειδιών ΤΕΚ της αντίστοιχης SAID μέσω μηνυμάτων αίτησης κλειδιού (key request). Έτσι, το παρόν μήνυμα μεταφέρει τις ακόλουθες πληροφορίες: (α) το σειριακό αριθμό και την ταυτότητα του κατασκευαστή της συσκευής(manufacturer ID) του SS,(β) τη διεύθυνση MAC του SS, (γ) το δημόσιο κλειδί RSA του SS (περιέχεται στο πιστοποιητικό), (δ) την ταυτότητα του συσχετισμού ασφαλείας (SAID) για τον οποίο ζητείται με το συγκεκριμένο μήνυμα κλειδί ΤΕΚ και (ε)μια σύνοψη (digest) του ίδιου του μηνύματος με τον αλγόριθμο 66

67 Keyed-Hashing for Message Authentication( HMAC).Η σύνοψη αυθεντικοποιεί το ωφέλιμο φορτίο του μηνύματος key request και το προστατεύει από ανεπιθύμητες μεταβολές, ενώ βρίσκεται καθ» οδό. Μήνυμα 5: (Απάντηση στην αίτηση κλειδιού) :BS->SS {BS key reply message} :Με τη λήψη ενός μηνύματος key request το BS πρέπει να επαληθεύσει την ταυτότητα του αποστολέα (SS) και να επαναλάβει τον υπολογισμό της σύνοψης HMAC προκειμένου να είναι σε θέση να αντιληφθεί οποιαδήποτε παραποίηση του από τυχόν επιτιθέμενους. Ακολούθως και εφόσον οι προηγούμενοι έλεγχοι εκτελεσθούν με επιτυχία, το BS απαντάει στην αίτηση key request που λαμβάνει από ένα SS με ένα μήνυμα key reply. Κρίνεται απαραίτητο να σημειωθεί ότι το BS για κάθε SAID διατηρεί συνεχώς δύο ενεργά κλειδιά ΤΕΚ (μαζί με όλες τις παραμέτρους τους). Η διάρκεια ζωής του πρώτου κλειδιού επικαλύπτει αυτή του δεύτερου έτσι ώστε κάθε νέα «γενιά» κλειδιού (ΤΕΚ) ενεργοποιείται στα μισά της ζωής του επόμενού του. Το εν λόγω μήνυμα μεταφέρει τις ακόλουθες πληροφορίες ΤΕΚ, οι οποίες, όπως ειπώθηκε, αντιστοιχούν στην SAID που περιείχε το αντίστοιχο μήνυμα key-reply: (α) το ενθυλακωμένο κλειδί ΤΕΚ με χρήση αλγορίθμου κρυπτογράφησης 3- DES. Το κλειδί κρυπτογράφησης (Key Encryption Key, KEK) 3-DES προκύπτει από το κλειδί ΑΚ, που είναι γνωστό στο SS από το τρίτο κατά σειρά μήνυμα. (β) Το διάνυσμα αρχικοποίησης του αλγορίθμου (DES)- Cipher Block Chaining (CBC), (γ) ένα σειριακό αριθμό κλειδιού ΤΕΚ (key sequence number), (δ) την εναπομένουσα διάρκεια ζωής (key lifetime) και των δύο- παλαιού και νέου-ενεργών γενεών κλειδιού ΤΕΚ. Η συγκεκριμένη πληροφορία αφενός βοηθάει το SS να υπολογίσει το πότε ακριβώς το BS θα ακυρώσει την ισχύ ενός κλειδιού ΤΕΚ, αφετέρου το βοηθάει να προγραμματίσει το πότε πρέπει να ξεκινήσει διαδικασία επανακλείδωσης. (ε) Μια σύνοψη του ίδιου του μηνύματος με τη συνάρτηση HMAC Επανακλείδωση και συγχρονισμός κλειδιών Για να μη συμβαίνουν διακοπές στις παρεχόμενες υπηρεσίες, το BS διατηρεί δύο ταυτόχρονα κλειδιά ΤΚ με επικαλυπτόμενες διάρκειες ζωής για κάθε SS. Σε αντίθετη περίπτωση και εφόσον ένα SS αποτύχει να επαν(εξουσιοδοτηθεί) πριν από τη λήξη του τρέχοντος κλειδιού ΑΚ που διαθέτει, το BS θα θεωρήσει το SS ως μη εξουσιοδοτημένο και θα προβεί στη διαγραφή όλων των κλειδιών ΤΕΚ που διαθέτει γι «αυτό το SS από τους πίνακες κλειδιών του. Το BS αντιλαμβάνεται ότι απαιτείται αλλαγή κλειδιού ΤΚ, όταν λάβει ένα μήνυμα αίτησης εξουσιοδότησης(μήνυμα 2) από κάποιο SS και διαπιστώσει ότι διαθέτει μόνο ένα ενεργό κλειδί ΑΚ για το συγκεκριμένο SS. Το γεγονός αυτό σηματοδοτεί την έναρξη της μεταβατικής περιόδου κλειδιού ΑΚ (ΑΚ transition period). Ακολούθως, το BS αποστέλλει ένα μήνυμα 3 (authorization reply) με το νέο κλειδί ΑΚ στο SS. Έτσι το παλαιό- πριν από τη διαδικασία επανακλείδωσης- κλειδί ΑΚ θα παραμείνει ενεργό μέχρι τη λήξη του, ενώ το νέο κλειδί ΑΚ θα έχει διάρκεια ζωής ίση με την με την εναπομένουσα του παλαιού κλειδιού συν τη δική του. Τονίζεται ότι η διάρκεια ζωής ενός κλειδιού καθορίζεται πάντοτε από το BS. Ο σειριακός αριθμός κάθε νέου κλειδιού ΑΚ θα ισούται με αυτόν του παλαιού +1 (modulo 16). 67

68 Όπως ακριβώς με τα κλειδιά ΑΚ, το BS και το SS πρέπει να διατηρούν συνεχώς δύο ενεργά κλειδιά ΤΕΚ για κάθε SAID που έχουν εγκαθιδρύσει. Ο σειριακός αριθμός κάθε νέου κλειδιού ΤΕΚ θα ισούται με αυτόν του παλαιού +1(modulo 4). Παρόλα αυτά σημειώστε ότι υπάρχει μια σημαντική διαφορά μεταξύ των δύο αυτών κλειδιών (ΑΚ&ΤΕΚ). Ενώ ένα κλειδί ΑΚ χρησιμεύει για την προστασία των μηνυμάτων καθόδου (DL) που μεταφέρουν κλειδιά ΤΕΚ, τα κλειδιά ΤΕΚ εξασφαλίζουν την κίνηση δεδομένων και προς τις δύο κατευθύνσεις(dl&ul). Σε κάθε περίπτωση το BS είναι υπεύθυνο για τη μετάβαση (επανακλείδωση) ενός κλειδιού ΤΕΚ. Συγκεκριμένα, το BS μεταβαίνει μεταξύ των δύο ενεργών κλειδιών ΤΕΚ ανάλογα με την κατεύθυνση (ανοδική ή καθοδική) που αυτά χρησιμοποιούνται. Έτσι, αμέσως μόλις λήξει η διάρκεια ζωής του παλαιού κλειδιού ΤΕΚ μιας SAID που χρησιμοποιείται για υπηρεσίες εμπιστευτικότητας, το BS θα χρησιμοποιήσει αμέσως το νέο. Επίσης, μια ανοδική χρονική περίοδος μετάβασης (transition period) ξεκινάει από τη στιγμή που το BS αποστέλλει ένα μήνυμα key reply ( με το νέο κλειδί ΤΕΚ) και θεωρείται λήξασα μόλις το παλαιό κλειδί ΤΕΚ παύσει να ισχύει. Η διαδικασία αυτή δίνει το περιθώριο στο SS προκειμένου και αυτό να μεταβεί ομαλά στο νέο κλειδί ΤΕΚ. Πάντοτε και ανεξαρτήτως αν το SS έχει λάβει ή όχι το νέο κλειδί ΤΕΚ, μόλις το παλαιό κλειδί ΤΕΚ λήξει, το BS θα μεταβεί στο νέο κλειδί και θα το χρησιμοποιήσει για την κρυπτογράφηση της καθοδικής κίνησης. Επιπλέον, όσο αφορά τη χρήση των δύο ενεργών κάθε φορά κλειδιών ΤΕΚ, το BS χρησιμοποιεί το παλαιότερο εκ των δύο, και βέβαια σε ισχύ ΤΕΚ, για την κρυπτογράφηση της καθοδικής κίνησης. Με αυτό τον τρόπο το BS εξασφαλίζει ότι το SS είναι σε θέση να απενθυλακώσει τα μηνύματα που λαμβάνει, γιατί σίγουρα θα διαθέτει το παλαιότερο εκ των δύο κλειδιών ΤΕΚ, όμως αντίθετα ενδέχεται να μην έχει λάβει επιτυχώς το νέο. Με άλλα νέα, για την κρυπτογράφηση της καθοδικής κίνησης το BS θα χρησιμοποιεί ένα κλειδί ΤΕΚ μόνο για το δεύτερο μισό της συνολικής διάρκειας ζωής του εν λόγω κλειδιού. Το BS θα μεταβεί στο νέο κλειδί μόλις λάβει ένα μήνυμα key request από το SS. Από την άλλη μεριά, για την απενθυλάκωση της ανοδικής κίνησης που λαμβάνει το BS μπορεί να εφαρμόσει οποιοδήποτε από τα δύο κλειδιά που διαθέτει σε ισχύ( και προσδιορίζεται από το SS στην κεφαλίδα του MPDU). Αυτό σημαίνει ότι το BS είναι δυνατόν να χρησιμοποιεί, δηλαδή να αποκρυπτογραφεί με το ίδιο κλειδί ΤΕΚ για όλη τη διάρκεια ζωής του κλειδιού αλλά για την ανοδική κίνηση Γενική θεώρηση των μηχανισμών ασφαλείας Το αρχικό υποεπίπεδο ασφαλείας του προτύπου ΙΕΕΕ είναι μάλλον απλουστευμένο και δε λαμβάνει υπόψη του διάφορες κατηγορίες απειλών. Ανεπαρκές μήκος κλειδιών και λανθασμένη χρήση των αλγορίθμων: Η αρχική επιλογή για παροχή υπηρεσιών εμπιστευτικότητας στα MPDUs που μεταδίδονται ήταν ο αλγόριθμος DES-CBC με κλειδί μήκους 56 bits. Το ανά MPDU διάνυσμα αρχικοποίησης (IV) υπολογιζόταν με βάση (α) την αρχική τιμή IV,η οποία αποστελλόταν από το BS στο SS κατά τη φάση εγκαθίδρυσης κλειδιών ΤΕΚ και (β) ένα ανά MPDU μετρητή από το φυσικό επίπεδο. Η συγκεκριμένη προσέγγιση παρουσιάζει πολλές αδυναμίες. Παραδείγματος χάριν, το μήκος του κλειδιού θεωρείται για τα σημερινά δεδομένα πολύ μικρό. Επιπλέον, για να είναι αποτελεσματικό το CBC mode είναι γνωστό ότι απαιτεί μη προβλέψιμο IV. Έτσι, ένα σταθερό IV στο οποίο εφαρμόζεται κάθε φορά η 68

69 συνάρτηση XOR με τον MPDU μετρητή δεν αποτελεί ασφαλή λύση. Η διαδικασία επανακλείδωσης ΤΕΚ και συγκεκριμένα το κλειδί ΤΕΚ στα μηνύματα key reply προστατεύεται με χρήση του αλγορίθμου 2- key 3-DES σε Encrypt-Decrypt-Encrypt (EDE)mode. Συγκεκριμένα, το κλειδί ΚΕΚ μήκους 128 bits χωρίζεται σε δύο ίσα μέρη: το πρώτο περιλαμβάνει τα 64bits που βρίσκονται αριστερά (leftmost), ενώ το άλλο τα δεξιότερα 64bits (rightmost). Η διαδικασία κρυπτογράφησης 3-DES αποτελείται από τρεις λειτουργίες DES, οι οποίες είναι: DES κρυπτογράφηση με το leftmost 64-bit ΚΕΚ, DES αποκρυπτογράφηση με το rightmost 64-bit KEK και DES κρυπτογράφηση με το leftmost 64-bit KEK. Αυτές οι τρεις DES λειτουργίες εκτελούνται, χρησιμοποιώντας το Electronic Codebook (ECB) mode, το οποί γενικά δε θεωρείται ασφαλές. Η ακεραιότητα των MPDUs δεν προστατεύεται: Για υπηρεσίες ενθυλάκωσης (ανά MPDU) χρησιμοποιείται το DES-CBC mode, που όμως δεν προστατεύει παράλληλα και την ακεραιότητα του κάθε MPDU. Απουσία αμοιβαίας πιστοποίησης ταυτότητας: Μόνο το SS είναι υποχρεωμένο να πιστοποιήσει την ταυτότητα του στο BS και όχι το αντίθετο. Το γεγονός αυτό όχι μόνο δεν εξασφαλίζει τους χρήστες από επιθέσεις τύπου MITM, όταν ο επιτιθέμενος υποδύεται ένα σταθμό βάσης του δικτύου, αλλά παράλληλα παρακάμπτει κάθε μηχανισμό ελέγχου πρόσβασης στο δίκτυο. 69

70 Plaintext 64 bits TEK Ciphertext 64 bits TEK Κρυπτογράφηση 56 Bits DES ECB mode Κρυπτογράφηση 56 Bits DES ECB mode Leftmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Leftmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Αποκρυπτογράφηση Αποκρυπτογράφηση 56 Bits DES ECB mode 56 Bits DES ECB mode Rightmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Rightmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Κρυπτογράφηση 56 Bits DES ECB mode Κρυπτογράφηση 56 Bits DES ECB mode Leftmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Ciphertext 64 bits TEK Plaintext 64 bits TEK Leftmost 64 bits του κλειδιού ΚΕΚ μήκους 128 bits Σχήμα 2-13.Κρυπτογράφηση του κλειδιού ΤΕΚ με χρήση 3-DES Μικρά σε μήκος πεδία Key-ID: Για την εξοικονόμηση εύρους ζώνης το αναγνωριστικό(πεδίο) του κλειδιού ΑΚ έχει μήκος 4bits, ενώ το αντίστοιχο για κλειδί ΤΕΚ έχει μήκος μόνο 2bits. Παρόλα αυτά, το συγκεκριμένο γεγονός αφήνει ανοιχτό το ενδεχόμενο επαναχρησιμοποίησης του ίδιου κλειδιού χωρίς αυτό να γίνει αντιληπτό. Για παράδειγμα, ο επιτιθέμενος μπορεί να επανακάμψει παλαιότερα μηνύματα, ξεγελώντας το SS να ενθυλακώσει μηνύματα PKM ή MPDUs δεδομένων με παλαιότερα κλειδιά. Απουσία προστασίας από επανεκπομπή: Το πρωτόκολλο PKM δεν προστατεύεται από επιθέσεις επανεκπομπής. Επίσης δεν υπάρχει κάποια μέθοδος για έλεγχο της επικαιρότητας(liveness) της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης και των επιμέρους μηνυμάτων της. Αυτό επιτρέπει σε ένα επιτιθέμενο να προσπαθήσει να ξεγελάσει ένα SS να αποδεχθεί ένα παλαιό κλειδί ΑΚ ως νέο. Θυμηθείτε επίσης ότι το κλειδί ΑΚ προστατεύει τη διαδικασία αποστολής κλειδιών ΤΕΚ από το BS στο SS. Ως αποτέλεσμα, ο επιτιθέμενος έχει τη δυνατότητα να εξαπολύσει μια επίθεση 70

71 επανεκπομπής με σκοπό να «σπάσει» την κρυπτογράφηση 3-DES-ECB, η οποία, όπως ειπώθηκε, δεν θεωρείται ασφαλής, αποκαλύπτοντας έτσι το κλειδί ΤΕΚ 2.18 Ασφάλεια στο πρότυπο ΙΕΕΕ Στόχος της αρχιτεκτονικής και των επιμέρους χαρακτηριστικών ασφαλείας που ορίζει το πρότυπο είναι αφενός μεν ο έλεγχος πρόσβασης στα δίκτυα των παρόχων υπηρεσιών WMAN, αφετέρου η παροχή ισχυρών υπηρεσιών εμπιστευτικότητας, ακεραιότητας και προστασίας από επανεκπομπή (replayprotection) στα δεδομένα των χρηστών και του δικτύου. Το αναθεωρημένο πρότυπο ΙΕΕΕ e (IEEE 2005) προσφέρουν πολλές βελτιώσεις έναντι του προκατόχου του στις παρεχόμενες υπηρεσίες ασφαλείας. Κατ» αρχάς, για έλεγχο πρόσβασης στο δίκτυο μπορούν πλέον να χρησιμοποιηθούν εκτός από ασύμμετρες μεθόδους (PKC) και συμμετρικές μέθοδοι, όπως προ-συμφωνημένα κλειδιά και κάρτες Subscriber Identity Modules (SIM). Έτσι, ένα SS μπορεί να αυθεντικοποιηθεί στο BS είτε άμεσα μέσω ψηφιακών πιστοποιητικών, είτε με έμμεσο τρόπο, πιστοποιώντας την ταυτότητα του σε έναν εξυπηρετητή αυθεντικοποίησης (Authentication Server, AS), χρησιμοποιώντας το πλαίσιο 802.1Χ. Στην τελευταία περίπτωση το BS απλώς προωθεί τα μηνύματα αυθεντικοποίησης που ανταλλάσσονται μεταξύ SS και AS, όπως ακριβώς ένα ασύρματο σημείο πρόσβασης (Access Point, AP) στο πρότυπο i. Με το πέρας της διαδικασίας ο AS ενημερώνει το BS για το αποτέλεσμα της και του αποστέλλει το κύριο κλειδί συνόδου (Master Session Key, MSK). Επίσης, το βελτιωμένο πρότυπο υποστηρίζει αμοιβαία πιστοποίηση ταυτότητας SS και BS, κάτι το οποίο εξασφαλίζει τους χρήστες από επιθέσεις τύπου ΜΙΤΜ, όταν ο επιτιθέμενος υποδύεται ένα σταθμό βάσης δικτύου. Εκτός αυτού το πρότυπο ΙΕΕΕ αναθεωρηθεί τους αλγορίθμους που χρησιμοποιούνται για κρυπτογράφηση και ακεραιότητα ανά MPDU, αυξάνει τα μήκη των κλειδιών και προσθέτει προστασία από επανεκπομπή παλιότερων μηνυμάτων. Μια ακόμα πολύ σημαντική προσθήκη είναι η αποτελεσματική υποστήριξη της κινητικότητας των χρηστών (mobility), έτσι ώστε ένας σταθμός να είναι σε θέση να συσχετισθεί με ένα νέο BS και να αποκτήσει τα απαραίτητα κλειδιά πολύ γρηγορότερα. Ακόμα οι σχετικές προδιαγραφές ορίζουν και υπηρεσίες πολυδιανομής ή εκπομπής( Multicast& Broadcast Service, MBS). Η υπηρεσία MBS επιτρέπει στους παρόχους υπηρεσιών WMAN να διανέμουν αποτελεσματικά το σχετικό περιεχόμενο, όπως για παράδειγμα μια τηλεοπτική εκπομπή, στους εγγεγραμμένους στην υπηρεσία συνδρομητές. Ο πάροχος ελέγχει το ποιος λαμβάνει την υπηρεσία, διανέμοντας προηγουμένως ένα κλειδί ομάδας (group key) στους συνδρομητές-μέλη. Το εν λόγω κλειδί που καλείται MBS Traffic Key(MTK) χρησιμοποιείται για την κρυπτογράφηση των μεταδιδόμενων δεδομένων στους συνδρομητές-μέλη Το πρωτόκολλο PKM έκδοση Γενικά Στο πρότυπο ΙΕΕΕ e (ΙΕΕΕ 2005), το οποίο αποτελεί προσθήκη στο , το βελτιωμένο υποεπίπεδο ασφαλείας (σχήμα 2-12) ονομάζεται πλέον extended privacy sublayer, σε αντίθεση με αυτό του που χαρακτηρίζεται πλέον ως basic privacy sublayer. Το τελευταίο υποστηρίζει δυό εκδόσεις του πρωτοκόλλου PKM: την έκδοση 1 (PKMv1), η οποία είναι(σχεδόν) όμοια με αυτή του 71

72 basic privacy sublayer εκτός του ότι υποστηρίζει νέους αλγορίθμους κρυπτογράφησης συμπεριλαμβανομένων των 3DES-ECB και AES-ECB από τη μία μεριά, και του AES-CCM (Counter mode with CBC_MAC) από την άλλη( όπως και το πρότυπο i), για την προστασία της εμπιστευτικότητας των κλειδιών και των MPDUs αντίστοιχα. Επίσης, η μέθοδος HMAC-Secure Hash Algorithm (SHA)-1 χρησιμοποιείται για την προστασία της ακεραιότητας των μηνυμάτων διαχείρισης κλειδιών. Εξάλλου, το πρωτόκολλο PKMv2 διαθέτει συγκριτικά αρκετά προχωρημένα χαρακτηριστικά ασφαλείας, όπως αμοιβαία πιστοποίηση ταυτότητας SS και BS, διάφορους συνδυασμούς πρωτοκόλλων αυθεντικοποίησης βασισμένους σε RSA και Extensible Authentication Protocol (EAP) μεθόδους, πρόσθετους αλγορίθμους προστασίας της ακεραιότητας, καθώς και πρωτόκολλα διαχείρισης κλειδιών. Επίσης, όπως θα δούμε στα επόμενα, στην κεφαλίδα ενθυλάκωσης (encapsulation header) κάθε MPDU περιλαμβάνεται ένας μονοτονικά αυξανόμενος μετρητής μήκους 32bits για προστασία από επανεκπομπή. Μέθοδοι ΕΑΡ ΕΑΡ Πιστοποίηση Ταυτότητας RSA-based Ενθυλάκωση/ Απενθυλάκωση ΕΑΡ Ενθυλάκωση/ Απενθυλάκωση ΕΑΡ Διαχείριση πρωτοκόλλου ΡΚΜ Ενθυλάκωση/Aπενθυλάκωση Επεξεργασία και Aυθεντικοποίηση δεδομένων μηνυμάτων ελέγχου PHY-SAP(Physical Service Access Point) Σχήμα 2-14.Το υποεπίπεδο ιδιωτικότητας στο πρότυπο ΙΕΕΕ e Αξίζει ακόμα να αναφερθεί ότι το πρωτόκολλο PKMv2 αποτελεί το τμήμα των προδιαγραφών e, οι οποίες προσθέτουν υποστήριξη της κινητικότητας των χρηστών(mobility). Σύμφωνα με αυτό το σενάριο και σε συμφωνία με το πρότυπο ΙΕΕΕ , όταν ένας SS κινείται, είναι συχνά επιθυμητό να είναι ικανό να προαυθεντικοποιείται σε ένα BS με το οποίο είναι πολύ πιθανό να συσχετισθεί στο άμεσο μέλλον. Η λειτουργία αυτή είναι πολύ σημαντική προκειμένου να μην υπάρχουν καθυστερήσεις και διακοπή της παρεχόμενης υπηρεσίας σε περιπτώσεις μεταγωγής (hand-off). Ως αποτέλεσμα, η λειτουργία ή υπηρεσία της προ-αυθεντικοποίησης αποτελεί εγγενές χαρακτηριστικό του πρωτοκόλλου PKMv2. Εκτός αυτού, το πρότυπο ορίζει μια ιεραρχία κλειδιών ( key hierarchy), που επιτρέπει σε ένα SS να πιστοποιεί μια φορά την ταυτότητα του σε ένα Authentication Authorization 72

73 Accounting (AAA)εξυπηρετητή, ανεξαρτήτως του πλήθους των BSs που αυτό μπορεί να συσχετισθεί αργότερα Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης μεταξύ SS και BS Γενικά Το πρωτόκολλο PKMv2 υποστηρίζει δύο διαφορετικές μεθόδους για υπηρεσίες πιστοποίησης ταυτότητας: (α) το SS και το BS μπορούν να αλληλοπιστοποιήσουν την ταυτότητα τους, χρησιμοποιώντας ψηφιακά πιστοποιητικά (RSA-based) ή και (β) μια υποστηριζόμενη μέθοδο EAP(EAP-based) με χρήση συμμετρικού κλειδιού. Στην περίπτωση που χρησιμοποιείται συνδυασμός των μεθόδων εξουσιοδότησης RSA και EAP, η πρώτη θεωρείται ότι παρέχει αμοιβαία πιστοποίηση συσκευών (device authentication), ενώ η δεύτερη πιστοποίηση της ταυτότητας του χρήστη (user authentication) Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης βασισμένη σε PKCs. Η διαδικασία αμοιβαίας πιστοποίησης ταυτότητας και εξουσιοδότησης μεταξύ SS και BS που βασίζεται σε PKCs (RSA-based) αποτελείται από τρία μηνύματα και ένα ακόμα προαιρετικό μήνυμα αναγγελίας από το SS στο BS, τα οποία περιγράφονται αμέσως παρακάτω: Μήνυμα 1: (Αίτηση εξουσιοδότησης): SS->BS (Authorization request message}: Αμέσως μετά το προαιρετικό μήνυμα αναγγελίας, το SS αρχικοποιεί τη διαδικασία αμοιβαίας αυθεντικοποίησης που βασίζεται σε RSA δημόσια κλειδιά, αποστέλλοντας ένα μήνυμα αίτησης εξουσιοδότησης στο BS. Το μήνυμα μεταφέρει τις ακόλουθες πληροφορίες : (α) Ένα τυχαίο αριθμό (node) μήκους 64bits, που καλείται SS_Random (β) το ψηφιακό πιστοποιητικό Χ.509 του SS (SSCert), (γ) μια λίστα με τις κρυπτογραφικές δυνατότητες του SS, η οποία περιέχει τα αναγνωριστικά των σουιτών εμπιστευτικότητας και ακεραιότητας που το SS υποστηρίζει,(δ) το αναγνωριστικό της κύριας SA του SS(SAID), το οποίο ισούται με τη βασική ταυτότητα σύνδεσης(cid) του συγκεκριμένου SS και έχει αποδοθεί σε αυτό κατά τη διαδικασία αρχικοποίησης και εισόδου στο δίκτυο. Σημειώστε ότι κατά το συγκεκριμένο μήνυμα δεν υπογράφεται ψηφιακά από το SS με αποτέλεσμα το BS που το λαμβάνει να μην είναι σε θέση να αντιληφθεί και να ξεχωρίσει μια πλαστή από μια νόμιμη αίτηση. Μήνυμα 2: (Απάντηση εξουσιοδότησης): BS->SS {Authorization reply message} : Με τη λήψη του μηνύματος authorization request, το BS αποστέλλει στο SS ένα μήνυμα απάντησης εξουσιοδότησης, που περιέχει : (α) τον τυχαίο αριθμό SS_Random, (β) το δικό του τυχαίο αριθμό μήκους 64bits BS_Random, (γ) ένα (προ)πρωτεύον κλειδί εξουσιοδότησης (preprimary AK, pre-pak) ενθυλακωμένο με το δημόσιο RSA κλειδί του SS,(δ) ένα σειριακό αριθμό κλειδιού μήκους 64bits (pre-pakseqno), (ε) τη διάρκεια ζωής του κλειδιού ΑΚ (pre-paklifetime), (στ) το αναγνωριστικό (SAID) της κύριας 73

74 SA και τις παραμέτρους της, καθώς και μηδέν οι περισσότερες στατικές SAs για τις οποίες το SS είναι εξουσιοδοτημένο να αποκτήσει κλειδιά. Το αναγνωριστικό της κύριας SA του SS, που πρέπει να ισούται με τη βασική ταυτότητα σύνδεσης (CID) του συγκεκριμένου SS, (ζ) το δικό του ψηφιακό πιστοποιητικό (BSCert), το οποίο έχει τη μορφή που περιγράφεται στο σχήμα 19 και (η) μια ψηφιακή υπογραφή RSA σε όλα τα προηγούμενα περιεχόμενα του μηνύματος. Η υπογραφή θα χρησιμοποιηθεί από το SS για να επιβεβαιώσει την αυθεντικότητα του δευτέρου αυτού μηνύματος. Με τη λήψη του μηνύματος, το SS θα πρέπει να ελέγξει την εγκυρότητα του ψηφιακού πιστοποιητικού του BS. Μεταξύ των ελέγχων που το SS είναι απαραίτητο να εκτελέσει στην αλυσίδα πιστοποιητικών είναι αν κάποιο από αυτά έχει λήξει, έχει ανακληθεί, αν η υπογραφή του είναι έγκυρη και από οντότητα (CA) που το BS εμπιστεύεται. Για το λόγο αυτό κρίνεται αναγκαίο να διαθέτει όλα τα δημόσια κλειδιά των αρχών πιστοποίησης των κατασκευαστών ή άλλων αρχών πιστοποίησης (WiMAX) που εκδίδουν πιστοποιητικά για BSs. Μετά από τον παραπάνω έλεγχο το SS οφείλει να επαληθεύσει την επικαιρότητα (liveness) της διαδικασίας, συγκρίνοντας την τοπική τιμή SS_Random με αυτή που περιείχε το μήνυμα που έλαβε. Ακολούθως, απενθυλακώνει το κλειδί ΑΚ, χρησιμοποιώντας το ιδιωτικό του κλειδί και εξάγει τις υπόλοιπες παραμέτρους. Επιπλέον, το SS επιβάλλεται να επαληθεύσει και την υπογραφή που φέρει το μήνυμα 2, χρησιμοποιώντας το δημόσιο κλειδί του BS. Όπως και στην περίπτωση του PKMv1, το SS είναι υποχρεωμένο για λόγους ασφαλείας να ανανεώνει περιοδικά το κλειδί AK. Η διαδικασία (επαν)εξουσιοδότησης είναι ακριβώς ίδια με τη διαδικασία εξουσιοδότησης. BSCert CountryΝame=<Χώρα που το BS λειτουργεί> organizationname=<όνομα του παρόχου της υποδομής /υπηρεσιών> organizationaluniyname=<wirelessman> commonname=<σειριακός αριθμός συσκευής> commonname=<bsid π.χ. 00:60:21:Α5:0Α:22> BSID=Base Station ID Σχήμα 2-15.Γενική μορφή πιστοποιητικών BS (BSCert) Μήνυμα 3: (Επιβεβαίωση εξουσιοδότησης): SS->BS { Authorization Acknowledgement message} :Το παρόν μήνυμα αφενός παρέχει εγγυήσεις στο BS ότι το SS με το οποίο ανταλλάσσει τα μηνύματα είναι εξουσιοδοτημένο να λαμβάνει υπηρεσίες και αφετέρου επιβεβαιώνει την επικαιρότητα της όλης διαδικασίας από την πλευρά του BS. Το παρόν μήνυμα μεταφέρει τις ακόλουθες πληροφορίες: (α) τον τυχαίο αριθμό BS_Random,(β) τον κωδικό αποτελέσματος της αίτησης εξουσιοδότησης(auth Result Code), ο οποίος προσδιορίζει το αποτέλεσμα (επιτυχία ή αποτυχία), (γ) τον κωδικό λάθους(error Code) που καθορίζει το λόγο απόρριψης της αίτησης εξουσιοδότησης και (δ) μια RSA υπογραφή (SigSS) με το ιδιωτικό κλειδί του SS σε όλα τα προηγούμενα περιεχόμενα του μηνύματος. 74

75 Αμοιβαία πιστοποίηση ταυτότητας και εξουσιοδότησης βασισμένη σε EAP Η βασισμένη σε μεθόδους 802.1Χ/EAP διαδικασία αμοιβαίας πιστοποίησης ταυτότητας και εξουσιοδότησης μεταξύ SS και BS στο PKMv2 είναι παρόμοια και αντίστοιχη με τη διαδικασία αυθεντικοποίησης 802.1Χ/EAP που καθορίζεται στο πρότυπο ΙΕΕΕ i (RSNA). Στα πλαίσια των προδιαγραφών e το BS λειτουργεί ως authenticator αν και κάτι τέτοιο δεν είναι απαραίτητο. Παραδείγματος χάριν, το BS και ο authenticator είναι δυνατό να υλοποιούνται ως ανεξάρτητες μηχανές. Η διαδικασία ολοκληρώνεται είτε με ένα μήνυμα EAP-Success, είτε με ένα EAP-Failure. Στην πρώτη περίπτωση τα δύο μέρη έχουν στη διάθεσή τους το κλειδί Primary Master Key(PMK), το οποίο παράγεται από το κλειδί MSK. Εννοείται επίσης ότι ο AS( εφόσον χρησιμοποιείται κάποιος) παραδίδει με το πέρας της διαδικασίας EAP το κλειδί MSK στoν authenticator ή στο BS. Ακολούθως, τα δύο μέρη (SS και BS) εκτελούν τη διαδικασία way exchange/handshake προκειμένου να αποδείξουν το ένα στο άλλο κατοχή του κλειδιού PKM. Να τονίσουμε εδώ ότι η διαδικασία way exchange/handshake είναι παρόμοια με και αντίστοιχη με την 802.1Χ/EAP 4-way exchange που καθορίζεται στο πρότυπο ΙΕΕΕ i (RSNA). Θα πρέπει επίσης να αναφερθεί ότι σε περίπτωση που η διαδικασία EAP αποτελεί συνέχεια της αντίστοιχης RSA,τα μηνύματα EAP προστατεύονται από το κλειδί EAP Integrity Key (EIK), το οποίο δημιουργείται από το κλειδί pre-pak. Επίσης, τα μηνύματα EAP περιέχουν ένα σειριακό αριθμό κλειδιού PAK(παράγεται από το κλειδί pre-pak) για προστασία από επανεκπομπή καθώς και μια σύνοψη, χρησιμοποιώντας το κλειδί EIK και τον αλγόριθμο(aes) Cipher-based MAC (CMAC). Τα δυο μέρη (SS και BS) παράγουν κλειδί PKM από το κλειδί MSK (AAA key), που, όπως ειπώθηκε προηγουμένως αποτελεί προϊόν της διαδικασίας πιστοποίησης ταυτότητας EAP, κάνοντας χρήση των 160LSBs του κλειδιού MSK. Σκοπός όλης αυτής της διαδικασίας είναι αφενός μεν η αμοιβαία αυθεντικοποίηση-εξουσιοδότηση των δυο μερών, αφετέρου δε η εγκαθίδρυση κλειδιών ΤΕΚ και ΚΕΚ, τα οποία θα επιτρέψουν στο SS να έχει πρόσβαση στις υπηρεσίες του δικτύου Διαδικασία 3-way exchange/handshake Η διαδικασία ΙΕΕΕ way exchange/handshake ολοκληρώνεται στα ακόλουθα τρία μηνύματα: Μήνυμα 1 : BS->SS {PKMv2 SA-TEK-Challenge message) : Το BS αρχικοποιεί τη χειραψία, αποστέλλοντας ένα μήνυμα πρόσκλησης στο SS. Το μήνυμα αυτό περιέχει: (α) μια τιμή nonce BS_Random, (β) το σειριακό αριθμό κλειδιού ΑΚ μήκους 4 bits, (γ) την ταυτότητα του κλειδιού ΑΚ (AKID) μήκους 64 bits, από το οποίο προκύπτει το κλειδί CMAC_KEY_x/ HMAC_KEY_x που προστατεύει το παρόν μήνυμα- ή του νέου κλειδιού ΑΚ, εφόσον το μήνυμα αφορά επαν-αυθεντικοποίηση, (δ) τη διάρκεια ζωής του κλειδιού PKM και (ε) μια κρυπτογραφική σύνοψη HMAC ή CMAC του μηνύματος με το κλειδί που προσδιορίζει την τιμή AKID. Και σε αυτό το μήνυμα η τιμή nonce χρησιμοποιείται για τον έλεγχο της επικαιρότητας της διαδικασίας καθώς και για προστασία από επιθέσεις επανεκπομπής. 75

76 Μήνυμα 2: SS->BS { PKMv2 SA-TEK-Request message} : Με τη λήψη του μηνύματος πρόσκλησης από το BS, το SS ελέγχει την ακεραιότητα του, επαναλαμβάνοντας τον υπολογισμό της σύνοψης, επαληθεύει το πεδίο AKID με τις τοπικές αντίστοιχες τιμές και δημιουργεί ένα μήνυμα αίτησης κλειδιού ΤΕΚ, το οποίο περιλαμβάνει τα ακόλουθα πεδία : (α) μια τιμή nonce SS_Random, (β) την τιμή nonce BS_Random που περιείχε το μήνυμα 1,(γ) το σειριακό αριθμό κλειδιού ΑΚ,(δ) την ίδια με το μήνυμα 1 ταυτότητα του (νέου) κλειδιού ΑΚ (AKID), (ε) μια λίστα με τις κρυπτογραφικές δυνατότητες του SS, η οποία περιέχει τα αναγνωριστικά των κρυπτογραφικών σουιτών που το SS υποστηρίζει, (στ)διάφορες παραμέτρους διαμόρφωσης του πρωτοκόλλου PKMv2 και (ζ) μια κρυπτογραφική σύνοψη HMAC ή CMAC του μηνύματος. Μήνυμα 3: BS->SS { PKMv2 SA-TEK-Response message} : Με τη λήψη του μηνύματος αίτησης από το SS, το BS ελέγχει την ακεραιότητα του, επαναλαμβάνοντας τον υπολογισμό της σύνοψης και δημιουργεί ένα μήνυμα απάντησης κλειδιού ΤΕΚ, το οποίο περιλαμβάνει τα ακόλουθα πεδία: (α) την τιμή nonce SS_Random που περιείχε το μήνυμα 2, (β) την τιμή nonce BS_Random που περιείχε το μήνυμα 1, (γ) το σειριακό αριθμό κλειδιού ΑΚ, (δ) την ίδια με το μήνυμα 1 ταυτότητα του (νέου) κλειδιού ΑΚ (AKID), (ε),μια λίστα αναγνωριστικών (SAID) μαζί με τις επιμέρους AES κρυπτογραφημένες παραμέτρους τους για τις οποίες το SS είναι εξουσιοδοτημένο. Για κάθε SAID αποκλειστικής διανομής (unicast) περιλαμβάνονται: το αντίστοιχο (κρυπτογραφημένο) κλειδί ΤΕΚ, η εναπομένουσα διάρκεια ζωής (Key Lifetime) του, ο σειριακός αριθμός του (Key sequence number) καθώς και το διάνυσμα αρχικοποίησης για CBC (CBC IV). Αντίστοιχα, για SA πολυδιανομής ή εκπομπής περιλαμβάνονται τα κρυπτογραφημένα κλειδιά Group TEK (GTEK) και Group KEK(GKEK), η εναπομένουσα διάρκεια ζωής του κλειδιού GTEK, ο σειριακός αριθμός του καθώς και το σχετικό CBC IV. Ο τύπος και το μήκος του κλειδιού GTEK ισούνται με αυτά του κλειδιού ΤΕΚ. Για την ενθυλάκωση (κρυπτογράφηση) όλων των παραπάνω κλειδιών (ΤΕΚ,GTEK,GKEK) χρησιμοποιείται το κλειδί ΚΕΚ, που προκύπτει με τη σειρά του από το κλειδί ΑΚ. (στ) Μια κρυπτογραφική σύνοψη HMAC ή CMAC του μηνύματος. Με τη λήψη και την επιβεβαίωση του παρόντος μηνύματος από το SS ολοκληρώνεται η διαδικασία 3-way exchange/handshake. Αργότερα, εφόσον απαιτηθεί επανασυχέτιση με το ίδιο BS ή κάποιο κλειδί ΤΕΚ λήξει, τα δύο μέρη δεν είναι υποχρεωμένα να επαναλάβουν την πλήρη διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης (RSA based ή/ και 802.1X/EAP). Δεδομένου ότι το κλειδί ΑΚ δεν έχει λήξει, το SS και το BS μπορούν να επαναλάβουν τη διαδικασία 3-way exchange/handshake προκειμένου να ανανεώσουν το κλειδί ΤΕΚ. Επίσης, η διαδικασία επανακλείδωσης ΤΕΚ για ένα SS είναι δυνατό να εκτελεστεί, ανταλλάσσοντας μηνύματα PKMv2 Key Request και PKMv2 Key Reply με το αντίστοιχο BS. Λάβετε υπόψη ότι σε κάθε φάση το κλειδί ΚΕΚ και τα άλλα κλειδιά ακεραιότητας δεν αλλάζουν. Για την ανανέωση του κλειδιού GTEK το BS εκπέμπει ένα σήμα PKMv2 Group-Key-Update-Command message που περιέχει το νέο κλειδί GTEK ενθυλακωμένο με χρήση του κλειδιού GKEK σε όλα τα μέλη της ομάδας. Το πρότυπο e ορίζει δύο τύπους μηνύματος PKMv2 Group Key Update Command: τα GKEK update mode και GTEK update mode. Ο 76

77 πρώτος χρησιμοποιείται για την ανανέωση του κλειδιού GTEK για υπηρεσίες πολυδιανομής ή εκπομπής. Τα συγκεκριμένα μηνύματα περιέχουν επίσης ένα μετρητή (Key Push Counter) για προστασία από επιθέσεις επανεκπομπής. Όπως ακριβώς ισχύει για το κλειδί GTEK, οι παράμετροι για το κλειδί GKEK περιλαμβάνουν το νέο κλειδί GKEK ενθυλακωμένο με χρήση του κλειδιού ΚΕΚ, το σειριακό αριθμό του καθώς και την εναπομένουσα διάρκεια ζωής του. Μην ξεχνάτε επίσης, ότι εφόσον τα κλειδιά GTEK και GKEK είναι κοινά για όλα τα μέλη μιας συγκεκριμένης ομάδας οποιοδήποτε εξουσιοδοτημένο αλλά κακόβουλο μέλος είναι σε θέση να προσποιηθεί BS (impersonation attack) Ιεραρχία κλειδιών PKMv2 Η ιεραρχία κλειδιών του πρωτοκόλλου PKMv2 ορίζει ποια ακριβώς κλειδιά είναι διαθέσιμα, για ποιο σκοπό καθώς και το πώς αυτά δημιουργούνται. Τα κλειδιά μπορεί να προέρχονται από δύο πηγές, οι οποίες αντιστοιχούν στις δύο μεθόδους αυθεντικοποίησης και εξουσιοδότησης (RSA,EAP) που υποστηρίζει το πρότυπο Έτσι, τα κλειδιά που χρησιμοποιούνται για την προστασία της ακεραιότητας των μηνυμάτων διαχείρισης (management frames) και για την ασφαλή μεταφορά κλειδιών ΤΕΚ παράγονται από τα κύρια κλειδιά που δημιουργούν οι δύο αυτές διαδικασίες πιστοποίησης ταυτότητας και εξουσιοδότησης. Συγκεκριμένα, η σχετική διαδικασία που βασίζεται σε PKCs καταλήγει στη δημιουργία του κλειδιού pre-pak, ενώ η αντίστοιχη, η οποία βασίζεται στο πλαίσιο 802.1Χ/EAP καταλήγει στο κλειδί MSK. Όλες οι διαδικασίες παραγωγής κλειδιών βασίζονται στον αλγόριθμο /συνάρτηση Dot16 Key Derivation Function (Dot16KDF). Ο εν λόγω αλγόριθμος αποτελεί μια εκδοχή του (AES) CTR mode και είναι δυνατό να χρησιμοποιηθεί για την παραγωγή ενός αυθαίρετου πλήθους κλειδιών από κάποιο διαθέσιμο κύριο κλειδί( source keying material). Ο αλγόριθμος ορίζεται διαφορετικά ανάλογα με το αν το Message Authentication Code (MAC) mode που προσδιορίζεται στα its πολιτικής αυθεντικοποίησης (authentication policy bits) είναι CMAC ή HMAC. Στο σημείο αυτό πρέπει να αναφερθεί ότι πριν από την αρχική διαδικασία εξουσιοδότησης τα δύο μέρη έχουν τη δυνατότητα να διαπραγματευτούν την έκδοση πρωτοκόλλου PKM που θα χρησιμοποιήσουν (PKMv1/PKMv2), τους μηχανισμούς εξουσιοδότησης (RSAbased ή/και 802.1X/EAP) καθώς και τον αλγόριθμο ακεραιότητας (HMAC/CMAC). Αναλυτικότερα, στην περίπτωση του CMAC ο αλγόριθμος ορίζεται ως εξής(ιεεε 2005): Dot16KDF(key,astring,keylength) { result=null; Kin=Truncate (key,128); for (i=0;i<=int((keylength-1)/128);i++){ result=result CMAC(Kin,i astring keylength); } 77

78 } return Truncate (result,keylength); Στην περίπτωση που χρησιμοποιείται το HMAC ο αλγόριθμος ορίζεται ως: Dot16KDF(key,astring,keylength) { } } result=null; Kin=Truncate (key,160); for (i=0;i<=int((keylength-1)/160);i++){ result=result SHA-1(i astring keylength Kin); return Truncate (result,keylength); Στους παραπάνω δύο ορισμούς το όρισμα key είναι το κρυπτογαρφικό κλειδί που χρησιμοποιείται από τον υφιστάμενο αλγόριθμο σύνοψης (digest algorithm) που μπορεί να είναι ο SHA-1 ή ο AES-CMAC. Το astring μήκους 1byte χρησιμοποιείται για την αλλαγή της εξόδου του αλγορίθμου, ενώ το όρισμα keylength προσδιορίζει το μήκος του κλειδιού που θα παραχθεί. Η συνάρτηση Truncate(x,y) αποκόπτει τα (πλήθους) y δεξιότερα bits μιας τιμής (κλειδιού στην περίπτωσή μας) χ, εφόσον βέβαια ισχύει η ανισότητα y x. Το σχήμα 20 περιγράφει τη διαδικασία παραγωγής του κλειδιού ΑΚ, όταν έχει χρησιμοποιηθεί η διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε ψηφιακά πιστοποιητικά (RSA-based). Παρατηρούμε ότι από το κλειδί pre-pak τα δύο μέρη (SS&BS) δημιουργούν το κλειδί ακεραιότητας ΕΙΚ και το κλειδί ΡΑΚ μήκους 160 bits το καθένα. 78

79 Κλειδί Pre-PAK μήκους 256 Bits (στάλθηκε από το BS στο MS κατά τη διάρκεια της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε PKCs) Pre-PAK Dot16KDF(pre-PAK,MS MAC Address BSID EIK+PAK, 320) Κλειδί ΕΙΚ (160Bits) Κλειδί ΡΑΚ (160Bits) EIK PAK AK Dot16KFD(PAK,SS MAC Address BSID AK,160) Σχήμα 2-16.Παραγωγή κλειδιού ΑΚ από το κλειδί ΡΑΚ(RSA-based) Αντίστοιχα το σχήμα 2-17 περιγράφει τη διαδικασία παραγωγής του κλειδιού ΑΚ, όταν χρησιμοποιούνται και οι δύο διαδικασίες πιστοποίησης ταυτότητας και αυθεντικοποίησης σε συνδυασμό (RSA-based καταλήγει στο κλειδί PAK και η 801.1X/EAP based καταλήγει στο κλειδί MSK). 79

80 Κλειδί MSK μήκους 512 Bits (Διαθέσιμο από τη διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε 801.Χ ΕΑΡ) Κλειδί Pre-PAK Μήκους 256 Bits (στάλθηκε από το BS στο MS κατά τη διάρκεια της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε PKCs) MSK PΜ Κ Truncate (MSK,160) Κλειδί PMΚ (160 bits) Pre-PAK Dot16KDF(pre-PAK,MS MAC Address BSID EIK+PAK,320) Κλειδί ΕΙΚ(160 Bits) Κλειδί PAK(160 bits) PAK EIK Dot16KDF(PAK PMΚ,MS MAC Address BSID PAK AK,160) AK Σχήμα 2-17.Παραγωγή του κλειδιού ΑΚ από τα κλειδιά ΡΑΚ & ΡΜΚ(RSA-based and EAPbased) Η Τρίτη περίπτωση περιγράφεται στο σχήμα Εδώ το κλειδί ΑΚ παράγεται από το κλειδί MSK. Αυτό αποτελεί κατάληξη της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται στο πλαίσιο 802.1Χ/EAP. Θυμηθείτε επίσης ότι τα κλειδιά ΤΕΚ παραδίδονται μέσω της διαδικασίας 3-way exchange/handshake. Όπως είδαμε, η ακεραιότητα των μηνυμάτων που ανταλλάσσονται κατά τη διάρκεια της εν λόγω διαδικασίας προστατεύεται από μια κρυπτογραφική σύνοψη HMAC ή CMAV με το κλειδί CMAC_KEY_x/HMAC_KEY_x που προσδιορίζει την τιμή AKID. Επίσης, τα κλειδιά ΤΕΚ,GTEK για κάθε SAID που μεταφέρει το μήνυμα 3 προστατεύονται από το κλειδί KEK. Η διαδικασία παραγωγής όλων των παραπάνω κλειδιών αποκλειστικής διανομής (unicast) από το κλειδί ΑΚ περιγράφεται στο σχήμα

81 Κλειδί MSK μήκους 512 Bits (Διαθέσιμο από τη διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε 802.1Χ/ΕΑΡ) MSK Truncate (MSK,160) Κλειδί PMK(160 bits) PMK AK Dot16KDF(PMK, MS MAC Address BSID AK,160 Σχήμα 2-18.Παραγωγή του κλειδιού ΑΚ από το κλειδί MSK(802.1X/EAP-based) Κλειδί ΑΚ(160 Bits) A K CMAC MAC mode HMAC Dot16KDF (AK,MS MAC Address BSID CMAC_KEYS+KEK,384) CMAC_KEY_ U (128 bits) CMAC_KEY_D (128 bits) KEK (128 bits) Dot16KDF (AK,MS MAC Address BSID HMAC_KEYS+KEK,448) HMAC_KEY_ U (160 bits) HMAC_KEY_D (160 bits) KEK (128 bits) Σχήμα 2-19.Παραγωγή κλειδιών HMAC/CMAC/KEK Από το κλειδί ΑΚ 81

82 Από τη άλλη μεριά το σχήμα 2-20 αναπαριστά τη διαδικασία δημιουργίας κλειδιών αυθεντικοποίησης μηνυμάτων EAP, αυτή τη φορά από το κλειδί EIK. Η συγκεκριμένη περίπτωση αφορά το σενάριο όπου η διαδικασία 802.1Χ/EAP αποτελεί συνέχεια της αντίστοιχης RSA. Συγκεκριμένα, τα κλειδιά CMAC_KEY_x και HMAC_KEY_x χρησιμοποιούνται για την παραγωγή της τιμής CMAC ή της σύνοψης HMAC που περιλαμβάνεται στα αυθεντικοποιημένα μηνύματαeap(pkmv2 Authenticated-EAP-Transfer message). Για μεγαλύτερη διευκόλυνση του αναγνώστη, στο σχήμα 2-21 παρέχεται ένας πλήρης «χάρτης» ιεραρχίας κλειδιών για το πρωτόκολλο PKMv2. Τέλος, όπως ήδη αναφέρθηκε, το κλειδί ΜΤΚ χρησιμοποιείται για την κρυπτογράφηση των δεδομένων της υπηρεσίας MBS. Το εν λόγω κλειδί παράγεται από τον αλγόριθμο ΜΤΚ<=DotKDF(MAK,MGTEK MTK,128), όπου το MGTEK είναι το κλειδί GTEK για την υπηρεσία MBS. Ένα SS μπορεί να λάβει το κλειδί GTEK, ανταλλάσσοντας μηνύματα PKMv2 Key Request και PKMv2 Key Reply με ένα BS ή λαμβάνοντας ένα μήνυμα PKMv2 Group Key Update Command από ένα BS. Κλειδί ακεραιότητας ΕΙΚ (160 bits)-eap Integrity Key CMAC MAC mode HMAC Dot16KDF (EIK,MS MAC Address BSID CMAC_KEYS,256 ) CMAC_KEY_U (128 bits) CMAC_KEY_D (128 bits) Dot16KDF (EIK,MS MAC Address BSID HMAC_KEYS,256) HMAC_KEY_U (160 bits) HMAC_KEY_D (160 bits) Σχήμα 2-20.Παραγωγή κλειδιού αυθεντικοποίησης HMAC/CMAC από το κλειδί ΕΙΚ 82

83 Κλειδί Pre-PAK μήκους 128 Bits (στάλθηκε από το BS Στο MS Κατά τη διάρκεια της διαδικασίας πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε PKCs) Pre-pak Dot16KDF (pre-pak,ms MAC Address BSID EIK+PAK,320) Κλειδί MSK μήκους 512 Bits (Διαθέσιμο από τη διαδικασία πιστοποίησης ταυτότητας και εξουσιοδότησης που βασίζεται σε 802.1Χ/ΕΑΡ) MSK Truncate (MSK,160) Κλειδί PMK (160 bits) Κλειδί ΕΙΚ(160 bits) Κλειδί PAK (160 bits) PMK PAK EIK Dot16KDF (PAK,SS MAC Address BSID AK, 160) Dot16KDF (PAK,MS MAC Address BSID AK, 160) AK AK Dot16KDF(PAK PKM,MS MAC Address BSID PAK AK,160) AK Κλειδί ΑΚ(160 Bits) A K CMAC MAC mode HMAC Dot16KDF (AK,MS MAC Address BSID CMAC_KEYS+KEK,384) Dot16KDF (AK,MS MAC Address BSID HMAC_KEYS+KEK,448) CMAC_KEY_ U (128 bits) CMAC_KEY_D (128 bits) KEK (128 bits) HMAC_KEY _U (160 bits) HMAC_KEY _D (160 bits) KEK (128 bits) Κλειδί ακεραιότητας ΕΙΚ (160 bits)-eap Integrity Key CMAC MAC mode HMAC Dot16KDF (EIK,MS MAC Address BSID CMAC_KEYS,256) CMAC_KEY_U (128 bits) CMAC_KEY_D (128 bits) Dot16KDF (EIK,MS MAC Address BSID HMAC_KEYS,256) HMAC_KEY_U (160 bits) HMAC_KEY_D (160 bits) Σχήμα 2-21.Χάρτης ιεραρχίας κλειδιών πρωτοκόλλου PKMv2 83

84 2.21 Ενθυλάκωση Οι συσκευές που ακολουθούν το πρότυπο ΙΕΕΕ χρησιμοποιο υν τους αλγορίθμους AES-CCM ή DES-CBC για ενθυλάκωση (κρυπτογράφηση) των MPDUs αποκλειστικής διανομής και πολυδιανομής που μεταδίδονται. Σημειώστε ότι ο DES- CBC μπορεί να χρησιμοποιηθεί (και) από το πρότυπο e/2004 για λόγους συμβατότητας αλλά δεν παρέχει ικανοποιητική προστασία. Αναλυτικότερα, για την κρυπτογράφηση των MPDUs εφαρμόζεται ο αλγόριθμος (AES) Counter mode (CTR mode)-128, ένας μετρητής ανά MPDU (Packet Number, PN) μήκους 4bytes για προστασία από επανεκπομπή και μία τιμή ελέγχου ακεραιότητας(integrity Check Value,ICV ή Message Integrity Code, MIC) με χρήση του (AES) CBC-MAC μήκους 8 bytes. Όπως και στο πρότυπο i, το CCM χρησιμοποιεί το ίδιο κλειδί για υπηρεσίες εμπιστευτικότητας και ακεραιότητας (τόσο για το ανερχόμενο κανάλι όσο και για το κατερχόμενο). Συνολικά, όπως φαίνεται και στο σχήμα 2-22, η διαδικασία ενθυλάκωσης προσθέτει σε κάθε MPDU 12 bytes. Επίσης,οι προδιαγραφές του CCM απαιτούν τη δημιουργία πρώτου τμήματος (block) για τους υπολογισμούς του CBC-MAC (block B 0 )και τμημάτων Α i γι» αυτούς του CTR mode (blocks Α i ). Η δομή των εν λόγω τμημάτων περιγράφεται στα σχήματα 2-23 και Το CCM απαιτεί επίσης την παραγωγή μιας διαφορετικής τιμής nonce μήκους 13bytes για κάθε MPDU. Για το σκοπό αυτό, επιλέγονται τα πρώτα 5 bytes της MAC κεφαλίδας (GMH), ο μετρητής PN μήκους 4 bytes και ακόμα 4 bytes με την τιμή 0. Στο σημείο αυτό να υπογραμμιστεί ότι ένας μεγαλύτερος σε μήκος μετρητής θα επέτρεπε την αποστολή περισσότερων MPDUs χωρίς να χρειάζεται επανακλείδωση( αλλαγή του κλειδιού ΤΕΚ). Ταυτόχρονα όμως θα επιβάρυνε με επιπλέον bytes το κάθε MPDU. Γι» αυτό το πρότυπο ΙΕΕΕ ορίζει το μήκος του μετρητή PN στα 4 bytes, κάτι που υπαγορεύει την αλλαγή του κλειδιού ΤΕΚ μετά από εκπομπή 2 32 MPDUs. Ο συγκεκριμένος μετρητής ξεκινά με την τιμή 1,όταν ανανεώνεται το κλειδί ΤΕΚ και αυξάνεται μονοτονικά μέχρι να φτάσει τη μέγιστη τιμή του. Επιπλέον, ο μετρητής PN χρησιμοποιείται και για προστασία από επανεκπομπή παλαιών MPDUs. Λάβετε υπόψη ότι στην περίπτωση του δεν υπάρχει πεδίο πρόσθετων δεδομένων αυθεντικοποίησης (Additional Authentication Data, AAD), όπως συμβαίνει στο i Counter mode Cipher block Chaining Message authentication code Protocol (CCMP). Κατά συνέπεια-εφόσον το ίδιο κλειδί ΤΕΚ χρησιμοποιείται για την προστασία των δεδομένων και στις δύο κατευθύνσεις (UL&DL)- ο μετρητής ΡΝ διαμοιράζεται μεταξύ των πλαισίων UP και DL. Έτσι, όλες οι τιμές του μετρητή PN που έχουν στο περισσότερο σημαντικό bit (Most Significant Bit, MSB) την τιμή 1 χρησιμοποιούνται για το κανάλι UP, δηλαδή για την προστασία των MPDUs που αποστέλλονται από το SS στο BS, ενώ όσες έχουν ως MSB την τιμή 0 για το κανάλι DL. 84

85 Bits byte 4 bytes 0 KP Τύπος ΑΕ ΚΚ Μήκος Αναγνωριστικό σύνδεσης CRC κεφαλίδας Δεδομένα (Frame Body) CRC 6 bytes GMH PN 4 bytes Δεδομένα n bytes ICV 8 bytes CRC-32 Κρυπτογραφημένα n+12 bytes GMH=Generic MAC Header PN=Packet Number Σχήμα 2-22.Λειτουργία ενθυλάκωσης(και απενθυλάκωσης)ιεεε CCM Bytes Σημαίες (Flags) Τα πρώτα 5 Bytes Της GMH Δεσμευμένο 0x PN Το μήκος των δεδομένων σε bytes(μη συμπεριλαμβανομένων επιπλέον ψηφίων (Padding ) Τιμή Nonce μήκους 13 bytes Σχήμα 2-23.Δομή του πρώτου τμήματος(block Bo) για τον υπολογισμό του MIC(CBC- MAC) Bytes Σημαίες (Flags) Τα πρώτα 5 Bytes Της GMH Δεσμευμένο 0x PN Μετρητής I (Counter i) Αντιστοιχεί στο τμήμα Αi Τιμή Nonce μήκους 13 bytes Σχήμα 2-24.Δομή τμήματος i(block Ai) Για το CTR mode 85

86 3. Εισαγωγή στo e-trikala Το e-trikala Α.Ε. είναι μια δημοτική επιχείρηση του Δήμου Τρικκαίων για την e- εξυπηρέτηση του πολίτη. Μια Δημοτική Ανώνυμη Εταιρία του Δήμου, η οποία προέρχεται από τη μετεξέλιξη του γραφείου του Δήμου για το Ε.Π. «Η Κοινωνία της Πληροφορίας» και έγκειται στο νέο νόμο περί σύστασης ανώνυμων εταιριών Ο.Τ.Α. Στόχος είναι η δημιουργία χρηστικών προϊόντων για τις συναλλαγές και την από απόσταση εξυπηρέτηση πολιτών. Σήμερα, το e-trikala έχει τη δυνατότητα να προτείνει έργα μικρής κλίμακας με μέγιστη απόδοση στις σχέσεις Δήμου-Δημότη και λύσεις «με το κλειδί στο χέρι» για: Δωρεάν Ασύρματο Δίκτυο: Ένα απαραίτητο δίκτυο ευρυζωνικής πρόσβασης, ικανό να καλύψει τα όρια ενός Δήμου με χαμηλό κόστος και μέγιστη ασφάλεια, καθώς το λογισμικό που χρησιμοποιείται δεσμεύει την περιήγηση σε ιστοσελίδες ασφαλούς περιεχομένου. Διαχείριση αιτημάτων: Μια καινοτόμα υπηρεσία για την καταγραφή και τη διεκπεραίωση των καθημερινών λειτουργικών προβλημάτων ενός Δήμου (π.χ. λάμπες σκουπίδια κ.α.). Ένα πρόγραμμα που αποτελεί εργαλείο στα χέρια του Δήμου για την καλύτερη εξυπηρέτηση του δημότη. Μέσα από μια αυτοματοποιημένη διαδικασία και με τη χρήση λογισμικού ανοιχτού κώδικα, προσαρμόζεται ο αποδοτικός συντονισμός των υπηρεσιών του κάθε Δήμου στις ανάγκες των πολιτών. Τηλε-Ιατρική: Η εφαρμογή της τεχνολογίας στον τομέα της υγείας. Με αξιόπιστες συσκευές, εύκολες στη χρήση, δίνεται η δυνατότητα στον πολίτη να κάνει μόνος του μια σειρά εξετάσεων, οι οποίες μέσα από ένα σύγχρονο κέντρο τηλεπρόνοιας αποστέλονται για άμεση ιατρική διάγνωση σε οποιοδήποτε σημείο. Πρωταρχικός στόχος είναι η βελτίσωση της ποιότητας ζωής του πολίτη αλλά και η αντιμετώπιση εκτάκτων περιστατικών. Ζωντανή κάλυψη Δημοτικού Συμβουλίου μέσω Διαδικτύου και ενεργή συμμετοχή πολιτών σε αποφάσεις μέσω ηλεκτρονικών σημοψηφισμάτων: Έχοντας ως εργαλείο την τεχνολογία, ξεκινά άμεσα η πορεία προς τον «Ψηφιακό Δήμο». Με τη χρήση κατάλληλων καμερών, μεταδίδονται ζωντανά όλες οι συνεδριάσεις των δημοτικών συμβουλίων και σε συνδυασμό με ένα πρότυπο forum ηλεκτρονικής δημοκρατίας ( οι πολίτες έχουν τη δυνατότητα ανταλλαγής απόψεων με τους αιρετούς για τρέχοντα ζητήματα της πόλης. Ρύθμιση κυκλοφοριακού και ελεγχόμενη στάθμευση: Όταν το κυκλοφοριακό αποτελεί ένα από τα σημαντικότερα προβλήματα των πόλεων, το e-trikala δημιουργεί εργαλεία που επιτρέπουν την ορθολογική εφαρμογή μέτρων. Με τη χρήση κινητών 3ης γενιάς (PDA) απλουστεύεται ο έλεγχος της στάθμευσης και η χρονοχρέωση με αποστολή SMS οργανώνει και μεγιστοποιεί για το Δήμο την απόδοση του συστήματος ελεγχόμενης στάθμευσης. 86

87 3.1 Ασύρματο δίκτυο Τρικάλων Η αρχή έγινε το 2004 με τη δημιουργία τεσσάρων κόμβων και μέχρι το 2009 προστέθηκαν ακόμη έντεκα νέοι κόμβοι. Οι εταιρίες χορήγησης hardware είναι η Cisco και η Mikrotik και προμηθεύσανε το e-trikala τόσο με accesspoints όσο και με routerboards. Ως προς την τροφοδοσία του δικτύου μπορούμε να τη χαρακτηρίσουμε ως συνδυαστική. Τέσσερις κόμβοι τροφοδότησης Wi-MAX οι οποίοι χρησιμοποιούνται πιλοτικά και μετατρέπονται σε Wi-Fi διασποράς. Επιπλέον, υπάρχουν άλλοι τέσσερις κόμβοι οι οποίοι έχουν άμεση τροφοδότηση ίνας και,εν τέλει, υπάρχει ασύρματη τροφοδότηση από backbone των υπολοίπων επτά ασύρματων κόμβων. Η ισχύς της εκπομπής είναι 0,1 W, όσο δηλαδή είναι το καθορισμένο νομικό πλαίσιο. Το δίκτυο και η συνολική εικόνα και λειτουργία αυτού ελέγχεται από server, μέσω του οποίου έχουμε τη δυνατότητα παραγωγής στατιστικών δεδομένων και ακολούθως μελέτης αυτών, παραγωγής και διαχείρισης κωδικών χρηστών, καθώς και ασφαλούς διαχείρισης πληροφορίας, αφού στο δίκτυο κλειδώνουν σελίδες με πορνογραφικό και βίαιο υλικό, online games και torrents. Το bandwidth του δικτύου είναι 5.4MBit, συμμετρικό με οπτική ίνα, ενώ αυτή τη στιγμή υπάρχουν περίπου ενεργοί χρήστες. Για την πρόσβαση στο δίκτυο οι χρήστες μπορούν να προμηθευτούν δωρεάν τους κωδικούς πρόσβασης από το γραφείο KEΠ του Δήμου, απλά δίνοντας τα προσωπικά τους στοιχεία και την αστυνομική τους ταυτότητα. Για τις περιοχές εντός εμβέλειας του δικτύου, οι χρήστες μπορούν να έχουν πρόσβαση με απλό εξοπλισμό (laptops, pdas και συσκευές συμβατές με Wi-Fi τεχνολογία) και δεν απαιτείται απόκτηση κάποιου άλλου εξοπλισμού ασύρματης δικτύωσης. Το τμήμα έρευνας και ανάπτυξης της e-trikala Α.Ε., ακολουθώντας τις τεχνολογικές εξελίξεις με σκοπό τη μέγιστη δυνατή εξυπηρέτηση των πολιτών, μελέτησε και υλοποίησε εναλλακτικούς τρόπους διασύνδεσης και δημιούργησε ένα συνδυαστικό δίκτυο. Πλέον, 5 από τους 15 κόμβους τροφοδοτούνται από την οπτική ίνα (μεγαλύτερος όγκος δεδομένων με μεγαλύτερες ταχύτητες για μεγαλύτερο αριθμό χρηστών) και 4 συνδέονται με την τεχνολογία μετάδοσης Wi-Max (πιλοτική λειτουργία). Πίνακας με τους συνολικούς κόμβους του δικτύου της πόλης Δημαρχείο-Ασκληπιού (οπτική ίνα) Φρούριο (οπτική ίνα) Κλωτσοτήρας (wi-max) ΔΕΗ (wi-max) ΕΚΕ (οπτική ίνα) ΙΚΑ (wi-max) Στάδιο Μετεώρων Ματσόπουλος (οπτική ίνα) Ανάλυψη Αμπελάκια 87

88 Νάκας Γαλήνη (wi-max) Ασκληπιού1 (οπτική ίνα) Ασκληπιού2 Χάρτης με τους συνολικούς κόμβους της πόλης 3.2 Mikrotik-Gennet Software. Υπηρεσίες, Πρωτόκολλα και Θύρες Στη συνέχεια παρουσιάζονται τα χαρακτηριστηκά λειτουργίας του GennETRouterOS της Mikrotik IP διευθύνσεις και ARP Οι ΙΡ διευθύνσεις παρέχονται ως ταυτοποίηση όταν υπάρχει επικοινωνία με συσκευές άλλων δικτύων που χρησιμοποιούν το πρωτόκολλο TCP/IP. Αλληλοδιαδόχως, η επικοινωνία μεταξύ συσκευών σε ένα φυσικό δίκτυο πραγματοποιείται με τη βοήθεια του πρωτόκολλου ανάλυσης διεύθυνσης (Address Resolution Protocol) και με ARP διευθύνσεις. 88

89 3.2.3 ΙP Διευθυνσιοδότηση Οι διευθύνσεις ΙΡ παρέχονται για τους σκοπούς ενός γενικού host ταυτοποίησης σε ΙΡ δίκτυα. Η τυπική (IΡv4)διεύθυνση αποτελείται από τέσσερα octets. Για κατάλληλη διυθυνσιοδότηση ο δρομολογητής χρειάζεται επίσης την τιμή της μάσκας δικτύου. Το id μας δείχνει ποια bit από την ολοκληρωμένη διεύθυνση ΙΡ αναφέρονται στη διεύθυνση του host και ποια στη διεύθυνση του δικτύου. Η τιμή της διεύθυνσης δικτύου υπολογίζεται από δυαδικό AND χειρισμό των τιμών της μάσκας δικτύου και της διεύθυνσης ΙΡ. Είναι επίσης πιθανό να καθοριστεί μια διεύθυνση ΙΡ ακολουθούμενη από / και πλήθος bits που εκχωρούνται σε μια μάσκα δικτύου. Στις περισσότερες περιπτώσεις αρκεί να καθοριστεί η διεύθυνση, η μάσκα υποδικτύου και τα arguments της διεπιφάνειας. Το επίθεμα δικτύου και η διεύθυνση μετάδοσης υπολογίζονται αυτόματα. Είναι εφικτό να προστεθούν πολλαπλές διευθύνσεις σε μια διεπιφάνεια ή να αφεθεί η διεπιφάνεια χωρίς να εκχωρηθούν διευθύνσεις σε αυτή. Το να αφήσουμε μια φυσική διεπιφάνεια χωρίς διεύθυνση ΙΡ, δεν είναι πρέπον όταν υπάρχει γεφύρωση μεταξύ χρησιμοποίούμενων διεπαφιφανειών. Στην περίπτωση της γεφύρωσης, η διεύθυνση μπορεί να εκχωρηθεί σε οποιαδήποτε διεπιφάνεια στη γέφυρα (σύνδεσμο), αλλά ουσιαστικά η διεύθυνση αυτή θα ανήκει στη διεπιφάνεια της γέφυρας. Το λειτουργικό σύστημα του δρομολογητή GENNET έχει τους ακόλουθους τύπους διευθύνσεων: Στατική-χειροκίνητη εκχώρηση διεπιφάνειας από ένα χρήστη. Δυναμική-αυτόματη εκχώρηση διεπιφάνειας από εγκαθιδρούμενες PPP, PPPtP ή PPPoE συνδέσεις Address Resolution Protocol Ακόμα και αν τα ΙΡ πακέτα διευθυνσιοδοτούνται χρησιμοποιώντας ΙΡ διευθύνσεις, οι διευθύνσεις hardware πρέπει να χρησιμοποιούνται για να μεταφέρουν στην πραγματικότητα δεδομένα από έναν host σε έναν άλλο. Το ARP χρησιμοποιείται για να αντιστοιχίσει ΙΡ διευθύνσεις του επιπέδου 3 του OSI με MAC διευθύνσεις του επιπέδου 2 του OSI. Ένας δρομολογητής έχει έναν πίνακα με τις παρούσες χρησιμοποιούμενες ARP εγγραφές. Κανονικά ο πίνακας συμπληρώνεται δυναμικά αλλά, προκειμένου να αυξηθεί η ασφάλεια του δικτύου, μπορεί να συμπληρωθεί στατικά από τιμές συμπλήρωσης στατικών εγγραφών Χαρακτηριστικό Proxy(εξουσιοδότης) ARP Ένας δρομολογητής με πλήρη διαμόρφωση proxy ARP χαρακτηριστικού ενεργεί ως ένας καθαρός ΑRP εξουσιοδότης μεταξύ δύο άμεσα συνδεδεμένων δικτύων. Ας μελετήσουμε το εξής σενάριο δικτύου: Υποθέτουμε ότι ο host A θέλει να επικοινωνήσει με τον host C. Για να συμβεί αυτό πρέπει να γνωρίζει τη MAC διεύθυνση του host C. Ο host A έχει μάσκα υποδικτύου /24. Αυτό κάνει τον host A να πιστεύει ότι είναι απευθείας συνδεδεμένος στο συνολικό /24 δίκτυο. Όταν ένας υπολογιστής επιδιώκει να επικοινωνήσει με έναν άλλο σε ένα δίκτυο άμεσης σύνδεσης, στέλνει ένα ARP αίτημα. Για το λόγο αυτό, ο host A στέλνει ένα ARP αίτημα για τη MAC διεύθυνση του host C. Τα μεταδιδόμενα (broadcast) αιτήματα ARP στέλνονται στις μεταδιδόμενες 89

90 MAC διευθύνσεις FF:FF:FF:FF:FF:FF:FF. Από τη στιγμή που το ARP αίτημα είναι μεταδιδόμενο,θα προσεγγίσει όλους τους host στο δίκτυο Α,συμπεριλαμβανομένου και του δρομολογητή R1, αλλά δε θα φτάσει τον host C, επειδή οι δρομολογητές δεν προωθούν τη μετάδοση (broadcast) εξ αρχής. Ένας δρομολογητής με ενεργοποιημένη το proxy ARP γνωρίζει οτι ο host C βρίσκεται σε ένα άλλο υποδίκτυο και θα απαντήσει με τη δική του MAC διεύθυνση. Ο δρομολογητής με (ενεργοποιημένη) δυνατότητα proxy ARP, πάντα απαντά με τη δική του MAC διεύθυνση εάν έχει μια δρομολόγηση στον προορισμό του. Αυτή η συμπεριφορά μπορεί να είναι χρήσιμη, για παράδειγμα εάν είναι επιθυμητό να διαμορφωθούν dialin(ppp,pppoe,pptp) ΙΡ διευθύνσεις για clients, από τον ίδιο χώρο διευθύνσεων, όπως συνηθίζεται στο συνδεδεμένο LAN Αναρίθμητες Διεπιφάνειες Οι αναρίθμητες διεπιφάνειες μπορούν να χρησιμοποιηθούν σε σειριακούς συνδέσμους σημείου προς σημείο π.χ. MOXA ή Cyclades Interface. Μια ιδιωτική διεύθυνση πρέπει να τοποθετηθεί στη διεπιφάνεια με το δίκτυο προκειμένου να γίνει ίδια με τη διεύθυνση στο δρομολογητή, στην άλλη πλευρά του p2p συνδέσμου (είναι πιθανό να μην υπάρχει ΙΡ σε αυτή τη διεπιφάνεια, αλλά υπάρχει μια ΙΡ για αυτόν το δρομολογητή BGP Command Reference Το πρωτόκολλο οριοθέτησης πύλης (Border Gateway Protocol) επιτρέπει το στήσιμο ενός συστήματος δυναμικής δρομολόγησης ευρύτερης περιοχής (interdomain),το οποίο αυτομάτως ενημερώνει τους πίνακες δρομολόγησης των συσκευών που τρέχουν το BGP, σε περίπτωση αλλαγής της τοποθεσίας δικτύου. Tο GENNETRouterOS υποστηρίζει την τέταρτη έκδοση του BGP, όπως καθορίζεται στο RFC1771. Ξεκινώντας από την έκδοση 2.9, το GENNETRouterOS, έχει έναν ολοκαίνουριο εξοπλισμό BGP, ο οποίος παρέχει ειδικευμένη λειτουργικότητα που απέχει από τις προηγούμενες εκδόσεις. Το BGP είναι το πρωτόκολλο δρομολόγησης του πυρήνα του διαδικτύου. Διατηρεί έναν πίνακα από προθέματα δρομολόγησης, τα οποία δίνουν ξεκάθαρα την πληροφορία πρόσβασης στρώματος δικτύου (NRLI) ανάμεσα σε αυτόνομα συστήματα (AS). Το BGP περιγράφεται ως πρωτόκολλο διανύσματος μονοπατιού ή πρωτόκολλο πολιτικής δρομολόγησης (policy), τονίζοντας τον τρόπο που επιλέγει τη βέλτιστη δρομολόγηση προς τον προορισμό. Ανόμοια με άλλα πρωτόκολλα δρομολόγησης, το BGP δε χρησιμοποιεί τεχνικές μονάδες για την επιλογή του καλύτερου μονοπατιού αλλά πολιτικές διαχείρισης. Η παρούσα έκδοση του BGP, Border Gateway Protocol 4, γίνεται πιο σαφής στο RFC1771. Οι δρομολογήσεις που προέκυψαν από το BGP πρωτόκολλο είναι εγκατεστημένες στη λίστα δρομολόγησης με εύρος 200 δρομολογήσεων για το ibgp (internal BGP) και 20 δρομολογήσεων για το ebgp (external BGP) SSH (Secure Shell) Server and Client Ο SSH Client αυθεντικοποιεί το Server και κρυπτογραφεί την κυκλοφορία μεταξύ του Client και του Sever. Tο SSH μπορεί να χρησιμοποιηθεί ακριβώς όπως το telnet. Έχουμε σε εφαρμογή τον Client, του λέμε που θέλουμε να συνδεθούμε, δίνουμε το username και το password μας και όλα δουλεύουν το ίδιο μετά την παραπάνω διαδικασία. Μετά από αυτό, δεν έχουμε τη δυνατότητα να πούμε ότι 90

91 χρησιμοποιούμε SSH. Το SSH χαρακτηριστικό μπορεί να χρησιμοποιηθεί με ποικίλους SSH Telnet-Clients προκειμένου να συνδεθούν και να διαχειριστούν με ασφάλεια στο δρομολογητή. Το GENNETRouterOS υποστηρίζει: πρότυπα πρωτοκόλλων SSH 1.3, 1.5 και 2.0 λειτουργίες Server για ασφαλή διαχείριση του Router τερματισμό συνεδρίας Telnet με 40bit RSA SSH κρυπτογράφηση ασφαλές FTP ενώ δεν υποστηρίζεται αυθεντικοποίηση προ-διαμοιρασμένου κλειδιού. Το GENNETRouterOS έχει ελεγθεί με τα ακόλουθα SSH Telnet τερματικά: putty secure CRT Open SSH GNU/LINUX Client Telnet Server and Client Tο GENNETRouterOS έχει ενσωματωμένα χαρακτηριστικά Server και Client. Αυτά τα δύο χρησιμοποιούνται για την επικοινωνία άλλων συστημάτων πάνε σε ένα δικτύο. Telnet Server Το πρωτόκολλο Telnet έχει την τάση να παρέχει μια γενική και δίκαιη, αμφίδρομη eightbit byte λειτουργία επικοινωνίας. Ο βασικός στόχος είναι να επιτρέπεται μια πρότυπη μέθοδος διεπιφάνειας μεταξύ τερματικών συσκευών. Το GENNETRouterOS ενισχύει το βιομηχανικό πρότυπο του Telnet Server. Χρησιμοποιεί τη θύρα 23 η οποία δεν πρέπει να είναι απενεργοποιημένη στο δρομολογητή προκειμένου να χρησιμοποιηθεί το χαρακτηριστικό.μπορεί κανείς να ενεργοποιήσει / απενεργοποιήσει αυτή την υπηρεσία ή να επιτρέψει τη χρήση της για συγκεκριμένες ΙΡ διευθύνσεις. Telnet Client Ο Telnet Client χρησιμοποιείται για τη σύνδεση σε άλλους host στο δίκτυο μέσω του πρωτοκόλλου Telnet FTP ( Πρωτόκολλο Μεταφοράς Αρχείων) Server Το GENNETRouterOS χρησιμοποιεί το χαρακτηριστικό FTP Server. Έχει την τάση να χρησιμοποιείται για ανέβασμα (uploading) πακέτων λογισμικού, διαμόρφωση script διαδικασιών εισαγωγής και εξαγωγής, καθώς και για καταχώρηση Hotspot Servlet σελίδων. Το GENNETRouterOS έχει χαρακτηριστικό βιομηχανικού προτύπου FTP Server. Χρησιμοποιεί τις θύρες 20 και 21 για επικοινωνία με άλλους host στο διαδίκτυο. Τα ανεβασμένα αρχεία καθώς και η διαμόρφωση ή τα αρχεία εφεδρείας μπορούν να είναι προσβάσιμα από το μενού αρχείων. Εκεί μπορεί να γίνει διαγραφή 91

92 άχρηστων αρχείων από το δρομολογητή. Η εξουσιοδότηση για την υπηρεσία FTP χρησιμοποιεί το σύστημα χρηστών του δρομολογητή με τα ονόματα χρήστη και τα συνθηματικά τους IP Security Το IPSec υποστηρίζει ασφαλείς (κρυπτογραφημένες) επικοινωνίες πάνω σε IP δίκτυα. Κρυπτογράφηση: Εφόσον το πακέτο είναι src-natted, αλλά προτού τοποθετηθεί στην ουρά της διεπιφάνειας, η βάση δεδομένων πολιτικής του IPSec, συμβουλεύεται να βρει αν το πακέτο θα πρεπε να είναι κρυπτογραφημένο. Η βάση δεδομένων Ασφαλείας Πολιτικής (SPD) είναι μια λίστα από κανόνες οι οποίοι έχουν δύο μέρη: Ταίριασμα πακέτων (packet matching): πηγή/προορισμός πακέτου, πρωτόκολλα και θύρες (για TCP και UDP) συγκρίνονται με τις τιμές των κανόνων πολιτικής, μία μετά την άλλη Action: αν ο κανόνας ταιριάζει, η ενέργεια που καθορίζεται από τον κανόνα πραγματοποιείται Accept: συνεχίζει με το πακέτο σα να μην υπάρχει IPSec Drop: drop πακέτου Encrypt: κρυπτογράφηση πακέτου Κάθε κανόνας SPD μπορεί να συσχετισθεί με αρκετούς Συσχετισμούς Ασφαλείας (Security Associations-SA) που καθορίζουν τις παραμέτρους κρυπτογράφησης του πακέτου (κλειδί, αλγόριθμος, SPI). Πρέπει να σημειωθεί ότι το πακέτο μπορεί να κρυπτογραφηθεί μόνο αν υπάρχει χρήσιμη SA για τον κανόνα πολιτικής. Ρυθμίζοντας το επίπεδο ασφαλείας των κανόνων SPD, ο χρήστης μπορεί να ελέγχει τι συμβαίνει όταν δεν υπάρχει έγκυρη SA για τον κανόνα πολιτικής: Use-εάν δεν υπάρχει έγκυρη SA, στείλε το πακέτο μη-κρυπτογραφημένο (όπως ο κανόνας accept) Acquire-αποστολή του μη κρυπτογραφημένου πακέτου αλλά απαίτηση από το δαίμονα ΙΚΕ για εγκαθίδρυση νέας SA. Recuire-drop πακέτου και αίτηση στον δαίμονα ΙΚΕ για εγκαθίδρυση νέας SA. Αποκρυπτογράφηση: Όταν το κρυπτογραφημένο πακέτο λαμβάνεται από έναν τοπικό host (μετά το dst-nat και το φίλτρο εισόδου), αναζητείται η κατάλληλη SA για να το αποκρυτπογραφήσει (χρησιμοποιώντας πηγή πακέτου, προορισμό, πρωτόκολλο ασφαλείας και τιμή SPI). Εάν δε βρεθεί SA, το πακέτο χάνεται. Εάν βρεθεί, το πακέτο αποκρυπτογραφείται. Έπειτα, τα πεδία του αποκρυπτογραφημένου πακέτου 92

93 συγκρίνονται με τον κανόνα πολιτικής όπου η SA είναι συνδεδεμένη. Αν το πακέτο δεν ταιριάζει με τον κανόνα πολιτικής, χάνεται (διαγράφεται). Αν το πακέτο αποκρυπτογραφηθεί ορθά (ή αυθεντικοποιηθεί ορθά), λαμβάνεται ακόμα μια φορά και διέρχεται από dst-nat και δρομολόγηση (όπου αποφασίζεται τι θα κάνει- είτε θα προωθηθεί είτε θα παραδοθεί τοπικά) ξανά. Εδώ αξίζει να σημειωθεί ότι προτού προωθηθεί και εισχωρήσει στα πεδία του firewall, ένα πακέτο που δεν αποκρυπτογραφήθηκε σε τοπικό host, συγκρίνεται με SPD αντιστρέφοντας τους κανόνες ταιριάσματος. Αν το SPD απαιτεί κρυπτογράφηση (υπάρχει έγκυρη SA που σχετίζεται με τον κανόνα του ταιριάσματος (SPD), το πακέτο χάνεται. Αυτό ονομάζεται πολιτική ελέγχου εισερχομένων Internet Key Exchange-Συναλλαγή Κλειδιού Δικτύου Το ΙΚΕ είναι ένα πρωτόκολλο που παρέχει αυθεντικοποιημένο υλικό κλειδώματος για πλαίσιο (Framework) Internet Security Association and Key Management Protocol (ISAKMP). Υπάρχουν άλλα σχήματα συναλλαγής κλειδιού που δουλεύουν με το ISAKMP, αλλά το ΙΚΕ είναι το πιο ευρέως χρησιμοποιούμενο. Μαζί, παρέχουν μέσα αυθεντικοποίησης για hosts και αυτόματη διαχείριση συσχετίσεων ασφαλείας. Το μεγαλύτερο χρονικό διάστημα ο δαίμονας ΙΚΕ δεν κάνει τίποτα. Υπάρχουν δύο πιθανές καταστάσεις όταν ενεργοποιείται: Υπάρχει μερική κίνηση που εντοπίζεται από έναν κανόνα πολιτικής, η οποία χρειάζεται να κρυπτογραφηθεί ή να αυθεντικοποιηθεί αλλά η πολιτική δεν έχει καμία SΑ. Έτσι, η πολιτική ειδοποιεί το δαίμονα γι αυτό, και αυτός με τη σειρά του αρχικοποιεί συνδέσεις με τον απομακρυσμένο host. O IKE δαίμονας ανταποκρίνεται σε απομακρυσμένη σύνδεση. Και στις δύο περιπτώσεις, οι ομότιμοι ιδρύουν συνδέσεις και εκτελούν δύο φάσεις. Φάση 1: Οι ομότιμοι συμφωνούν σε ποιον αλγόριθμο θα χρησιμοποιήσουν στα μηνύματα ΙΚΕ που θα ακολουθήσουν και αυθεντικοποιούνται. Επίσης δημιουργείται το υλικό του κλειδιού που χρησιμοποιείται για να ασφαλίσει τα κλειδιά για όλες τις SA και να προστατέψει τις διαδοχικές συναλλαγές ISAKMP μεταξύ των host. Φάση 2: Οι ομότιμοι εγκαθιδρύουν μία ή περισσότερες SA που θα χρησιμοποιηθούν από το IPSec για την κρυπτογράφηση δεδομένων. Όλες οι SA που ιδρύθηκαν από ΙΚΕ δαίμονα θα έχουν lifetime (ισόβιες) τιμές (είτε όριο χρόνου, έπειτα από το οποίο η SA θα είναι άκυρη, ή πλήθος δεδομένων που μπορούν να κρυπτογραφηθούν από αυτή την SA, ή και τα δύο). Υπάρχουν 2 ισόβιες τιμές- η soft και η hard. Όταν η SA προσεγγίζει το soft χρονικό όριό, ο δαίμονας ΙΚΕ λαμβάνει μια ειδοποίηση και ξεκινά μία άλλη συναλλαγή φάσης 2, για να αντικαταστήσει αυτή της SA με μία καινούρια. Αν η SA φτάσει στο hard όριο ζωής της, τότε πετιέται. Το ΙΚΕ μπορεί κατόπιν επιλογής να παρέχει μία Τέλεια Μυστικότητα Προώθησης (Perfect Forward Secrecy- PFS), η οποία είναι ιδιότητα των συναλλαγών κλειδιού, που με τη σειρά της δηλώνει ότι η συμφωνία για το ΙΚΕ κατά τη 93

94 μακροπρόθεσμη φάση 1 δε θα επιτρέπει εύκολα σε όλα τα IPSec δεδομένα- που προστατεύονται από SAs ιδρυμένες στη φάση αυτή- να αποκτήσουν πρόσβαση. Δηλαδή, δημιουργείται επιπλέον υλικό κλειδιού για κάθε φάση 2. Η δημιουργία υλικού κλειδιού είναι υπολογιστικά πολύ ακριβή. Παραδείγματος χάριν, η χρήση ομάδας mod 8192 μπορεί να διαρκέσει αρκετά δευτερόλεπτα ακόμη και σε πολύ γρήγορους υπολογιστές. Συνήθως λαμβάνει μέρος μια φορά σε κάθε συναλλαγή φάσης 1, η οποία πραγματοποιείται μόνο μια φορά μεταξύ ζεύγους host κι έπειτα φυλάσσεται για μεγάλο διάστημα. Η PFS προσθέτει επίσης αυτή την ακριβή λειτουργία σε κάθε συναλλαγή φάσης Diffie-Helman MODP Groups Το πρωτόκολλο Diffie-Helman (DF) επιτρέπει σε δύο μέρη (parties), χωρίς διαμοιραζόμενη μυστικότητα αρχικά (shared secret), να δημιουργήσουν μια με τρόπο ασφαλή. Τα Modular Exponential (MODP) που υποστηρίζονται είναι τα κάτωθι: ΙΚΕ Traffic Για να αποφευχθούν προβλήματα με ΙΚΕ πακέτα σπάσε ένα κανόνα SPD και απαίτησε κρυπτογράφηση χωρίς ακόμα να έχουν εγκαθιδρυθεί SA (όπου πιθανότατα το πακέτο προσπαθεί να εγκαθιδρύσει). Τα πακέτα τοπικής προέλευσης με θύρα UDP 500 δεν επεξεργάζονται με SPD. Κατά τον ίδιο τρόπο τα πακέτα με θύρα προορισμού UDP 500, που πρέπει να διανεμηθούν τοπικά, δεν προωθούνται σε έλεγχο πολιτικής εισόδου. Setup Procedure Προκειμένου το IPSec να δουλέψει με αυτόματο keying χρησιμοποιώντας ΙΚΕ-ISAKMP, πρέπει να διαμορφωθούν οι εγγραφές πολιτικής ομότιμου και προαίρεσης. Για μη αυτόματο keying,πρέπει να διαμορφωθούν οι εγγραφές πολιτικής και μη αυτόματη SA WEB Proxy Το GENNETRouterOS υποστηρίζει τα ακόλουθα χαρακτηριστικά Server: Regular HTTP Proxy Transparent Proxy: Μπορεί να είναι διαφανής και κανονικός ταυτόχρονα Λίστα Πρόσβασης ανά πηγή, προορισμό, URL και απαιτούμενη μέθοδο Λίστα Πρόσβασης cache (διακρίνει ποια αντικείμενα θα έχουν cache ανάκτηση και ποια όχι) Άμεση Λίστα Πρόσβασης (διακρίνει ποιες πηγές θα πρέπει να προσπελαστούν άμεσα και ποιες μέσω ενός proxy Server) Λειτουργία Logging Ο μεσολαβητής Ιστού (web proxy) διαμορφώνει λειτουργία cache αντικειμένου διαδικτύου, αποθηκεύοντας αντικείμενα Internet που έχουν ζητηθεί,δεδομένα διαθέσιμα μέσω HTTP και FTP πρωτοκόλλων,σε ένα σύστημα που βρίσκεται πιο 94

95 κοντά στον παραλήπτη από ότι το site όπου προέρχονται τα δεδομένα. Εδώ, το πιο κοντά σημαίνει αυξανόμενη αξιοπιστία μονοπατιού, ταχύτητα ή και τα δύο. Οι web browsers μπορούν στη συνέχεια να χρησιμοποιήσουν τον τοπικό cache proxy για να επιταχύνουν την πρόσβαση και να μειώσουν την κατανάλωση εύρους ζώνης. Στήνοντας έναν web proxy, πρέπει να είμαστε σίγουροι ότι εξυπηρετεί μόνο τους δικούς μας clients και δε χρησιμοποιείται άσκοπα ως αναμεταδότης Access List Η λίστα πρόσβασης είναι διαμορφωμένη κατά τον ίδιο τρόπο που έχουν διαμορφωθεί οι κανόνες του τοίχους προστασίας του δρομολογητή. Οι κανόνες επεξεργάζονται από την κορυφή προς τα κάτω. Αρχικά, ο κανόνας ταιριάσματος διακρίνει ποια απόφαση θα ληφθεί γι αυτή τη σύνδεση. Υπάρχει ένα σύνολο έξι κατηγοριοποιών όπου διακρίνουν τους συντελεστές ταιριάσματος. Αν κανείς από αυτούς δε διακρίνεται, ο συγκεκριμένος κανόνας θα ταιριάξει κάθε σύνδεση. Αν η σύνδεση έχει ταιριάξει από έναν κανόνα, η ιδιότητα δράσης αυτού επιλέγει αν θα επιτραπεί ή όχι η σύνδεση. Αν η συγκεκριμένη σύνδεση δεν ταιριάζει κάποιον κανόνα, τότε θα επιτραπεί. Εξ` αρχής, υπάρχει ένας κανόνας που αποτρέπει αίτημα σύνδεσης σε θύρες άλλες εκτός των 443 και 563. Περιγραφή της Access List Action (επιτρέπεται/απαγορεύεταιι, αρχική ρύθμιση: επιτρέπεται) : διακρίνει εάν θα περάσει ή θα αρνηθεί ταιριασμένα πακέτα. dst-address (IP address/netsmask): διεύθυνση προορισμού του πακέτου ΙΡ dst-port (port {1,10}): μια λίστα ή ένα εύρος των θυρών για τις οποίες προορίζεται το πακέτο. Local port (port): διακρίνει τη θύρα του Web Proxy μέσω της οποίας το πακέτο παραλήφθηκε. Αυτή η τιμή πρέπει να ταιριάζει με μία από τις θύρες στις οποίες ακούει ο Web Proxy. Method (any connect delete get head oprions post put trace): μέθοδος HTTP που χρησιμοποιείται στο αίτημα. Src-address (IP address/netmask): διεύθυνση πηγής του πακέτου ΙΡ url (wildcard): η URL του αιτήματος HTTP Άμεση Λίστα Πρόσβασης Αν διακρίνεται η ιδιότητα του γονικού proxy, είναι πιθανόν να πούμε στον proxy server είτε να προσπαθήσει να περάσει το αίτημα στον γονικό proxy, είτε να το αναλύσει προχωρώντας με άμεση σύνδεση με τον αιτούμενο Server. H λίστα άμεσης πρόσβασης είναι διαμορφωμένη ακριβώς όπως η λίστα πρόσβασης proxy εκτός του τμήματος action. Περιγραφή 95

96 action (allow/deny;default: allow): διακρίνει την ενέργεια που θα εφαρμοστεί σε ταιριασμένα πακέτα. dst-address (IP address/netsmask): διεύθυνση προορισμού του πακέτου ΙΡ dst-port (port {1,10}): μια λίστα ή ένα εύρος των θυρών για τις οποίες προορίζεται το πακέτο. Local port (port): διακρίνει τη θύρα του Web Proxy μέσω της οποίας το πακέτο παραλήφθηκε. Αυτή η τιμή πρέπει να ταιριάζει με μία από τις θύρες στις οποίες ακούει ο Web Proxy. Method (any connect delete get head oprions post put trace): μέθοδος HTTP που χρησιμοποιείται στο αίτημα. Src-address (IP address/netmask): διεύθυνση πηγής του πακέτου ΙΡ url (wildcard): η URL του αιτήματος HTTP Διαφανής Λειτουργία Το χαρακτηριστικό διαφανούς proxy διαμορφώνει αιτήματα caching αόρατα στον τελικό χρήστη. Με αυτό τον τρόπο ο τελικός χρήστης δεν αντιλαμβάνεται ότι η σύνδεση του επεξεργάζεται από τον proxy και ως εκ τούτου δε χρειάζεται να πραγματοποιήσει περαιτέρω ρυθμίσεις του λογισμικού που χρησιμοποιεί. Το χαρακτηριστικό μπορεί επίσης να συνδυαστεί με γέφυρα ώστε να απλοποιήσει την ανάπτυξη του web proxy στην υπάρχουσα υποδομή. Για να ενεργοποιηθεί η διαφανής λειτουργία, τοποθετείται ένας κανόνας firewall στον προορισμό ΝΑΤ, καθορίζοντας ποιες συνδέσεις, για παράδειγμα η εισερχόμενη κίνηση, σε ποίες θύρες θα πρέπει να ανακατευθυνθούν στον proxy. Σημείωση: Μόνο η κίνηση HTTP υποστηρίζεται από τη διαφανή λειτουργία στον web proxy. Τα πρωτόκολλα HTTPS και FTP δε λειτουργούν κατ` αυτό τον τρόπο Μέθοδοι HTTP Options Αυτή η μέθοδος είναι μια αίτηση πληροφορίας σχετικά με τις διαθέσιμες επιλογές επικοινωνίας στην αλυσίδα μεταξύ του Client και του Server, ταυτοποιούμενη από την Request-URI. Η μέθοδος επιτρέπει στον Client να προσδιορίσει τις επιλογές και (ή) τις απαιτήσεις που σχετίζονται με ένα πόρο χωρίς να αρχικοποιείται καμία ανάκτηση πόρων GET Αυτή η μέθοδος ανακτά οποιαδήποτε πληροφορία αναγνωρίζεται από την Request-URI. Αν η Request-URI αναφέρεται σε μια διεργασία επεξεργασίας δεδομένων, τότε η ανταπόκριση στη μέθοδο GET πρέπει να περιέχει δεδομένα που παρήχθησαν από τη διεργασία, όχι τον πηγαίο κώδικα της επεξεργασίας διεργασιών, 96

97 εκτός και αν η πηγή (source) είναι το αποτέλεσμα διεργασίας. Η μέθοδος GET μπορεί να γίνει μια GET υπο συνθήκη αν το μήνυμα αίτησης περιέχει ένα if modified since,if unmodified since, if match, if none match, ή if range πεδίο κεφαλίδας. Η υπό συνθήκη GET μέθοδος χρησιμοποιείται για να μειώσει την κίνηση δικτύου ξεκαθαρίζοντας ότι η μεταφορά της οντότητας πρέπει να πραγματοποιηθεί μόνο κάτω από συνθήκες που πριγράφονται από τα υποσυνθήκη πεδία κεφαλίδας. Η μερική GET μέθοδος τείνει να μειώσει την άσκοπη χρήση του δικτύου κάνοντας αιτήσεις μόνο σε τμήματα οντοτήτων που δεν έχουν ακόμα μεταφέρει δεδομένα, τα οποία κρατούνται από έναν client.η απάντηση σε μία αίτηση GET είναι cacheable να και μονο αν συναντά τις απαιτήσεις για HTTP caching HEAD Αυτή η μέθοδος μοιράζεται όλα τα χαρακτηριστικά της μεθόδου GET εκτός του ότι ο server δεν πρέπει να επιστρέψει ένα μήνυμα στην απάντηση. Αυτό ανακτά τη μεταπληροφόρηση της οντότητας που υποδηλώνεται από το αίτημα, το οποίο οδηγεί σε μια ευρεία χρήση αυτού για τον ελέγχο εγκυρότητας συνδέσμων υπερκειμένου, προσβασιμότητα και πρόσφατη προσαρμογή. Η απάντηση σε ένα αίτημα HEAD μπορεί να είναι cacheable με τρόπο κατά τον οποίο η πληροφορία που περιέχεται στην απάντηση να μπορεί να χρησιμοποιηθεί για ενημέρωση προηγούμενης cacheable οντότητας, που έχει αναγνωριστεί από Request-URI POST Η μέθοδος POST απαιτεί ότι ο αρχικός-γνήσιος server αποδέχεται την οντότητα που εμπερικλείεται στην αίτηση ως νέο υφιστάμενο του πόρου που αναγνωρίστηκε από τη Request-URI. H πραγματική ενέργεια που πραγματοποιείται από τη μέθοδο POST αποφασίζεται από τον αρχικό server και συνληθως είναι Request-URI εξαρτώμενη. Οι απαντήσεις στη μέθοδο POST δεν είναι cacheable, εκτός αν η απάντηση περιέχει κατάλληλα cache-control και expirers πεδία κεφαλίδων PUT Η PUT απαιτεί την καταχώρηση της περιεχόμενης οντότητας βάσει της Request-URI. Αν μια άλλη οντότητα υπάρχει βάσει της Request-URI, η περιεχόμενη οντότητα πρέπει να ληφθεί υπόψη ως ανανεωμένη (νεότερη) έκδοση της πρώτης, που βρίσκεται στον αρχικό server. Αν η Request-URI δε στοχεύει σε έναν υπάρχων πόρο, ο αρχικός server θα πρέπει να δημιουργήσει ένα νέο resource γι` αυτή τη URI.Αν η αίτηση περάσει από μια cache και η Request-URI αναγνωρίζει μία ή περισσότερες οντότητες cached, αυτές αντιμετωπίζονται ως πεπαλαιωμένες. Οι απαντήσεις σε αυτή τη μέθοδο δεν είναι cacheable TRACE Αυτή η μέθοδος επικαλείται μια απομακρυσμένη loop-back εφαρμογή στρώματος του μηνύματος αίτησης. Ο τελικός παραλήπτης της αίτησης πρέπει να αντανακλά το ληφθέν μήνυμα στον client ως ένα τμήμα οντότητας των 200 (ΟΚ) απαντήσεων. Επίσης, τελικός παραλήπτης είναι είτε ο server προέλευσης ή ο 97

98 πρώτος proxy ή πύλη για να λάβει μια MAX-FORWARDS τιμή του 0 στο αίτημα. Ένα αίτημα TRACE δεν πρέπει να περιέχει οντότητα. Οι απαντήσεις σε αυτή τη μέθοδο ΔΕΝ ΠΡΕΠΕΙ να είναι cached DHCP Client και Server Το DHCP (Dynamic Host Configuration Protocol) χρειάζεται για την εύκολη κατανομή των ΙΡ διευθύνσεων σε ένα δίκτυο. Η εφαρμογή του GENNETRouterOS περιέχει εξίσου τμήματα server και client και είναι σύμμορφη με το RFC2131. Γενική χρήση του DHCP IP assigment in LAN, καλωδιακό modem και ασύρματα συστήματα. Διατήρηση ΙΡ ρυθμίσεων σε συστήματα καλωδιακών modem. Οι διευθύνσεις ΙΡ μπορούν να στηριχτούν σε MAC διευθύνσεις χρησιμοποιώντας το χαρακτηριστικό στατικής μίσθωσης (static lease). O DHCP server μπορεί να χρησιμοποιηθεί με το χαρακτηριστικό Hotspot του GENNETRouterOS για να παρέχει αυθεντικοποίηση και λογαριασμό σε DHCP clients Bandwidth Control O έλεγχος του bandwidth είναι ένα σύνολο μηχανισμών που ελέγχουν το ρυθμό καταμερισμού δεδομένων, την variability καθυστέρησης, χρονικής παράδοσης, και αξιοπιστία παράδοσης. Το λειτουργικό σύστημα του GENNETRouter υποστηρίζει τους ακόλουθους κανόνες queuing: PFIFO-packets first in-first out BFIFO-byte first in-first out SQF-Stohastic Fairness Queuing RED-Random Early Detected PCQ-Per Connection Qeue HTB-Hierarchical Token Bucket Με τον όρο QoS (ποιότητα υπηρεσίας) εννοείται ότι ο δρομολογητής πρέπει να ιεραρχήσει και να διαμορφώσει την κυκλοφορία-κίνηση του δικτύου. Η QoS δεν είναι τόσο για να περιορίζει αλλά περισσότερο για να παρέχει ποιότητα. Παρακάτω παρουσιάζονται μερικά χαρακτηριστικά του μηχανισμού Bandwidth Control του GENNETRouterOS: Όριο ρυθμού δεδομένων για συγκεκριμένες ΙΡ διευθύνσεις, υποδίκτυα, πρωτόκολλα, θύρες και άλλες παραμέτρους. 98

99 Όριο κυκλοφορίας peer to peer Ιεράρχηση-προτεραιότητα μερικών ροών πακέτων έναντι κάποιων άλλων Χρήση burst (εκρηκτικών) ουρών για γρηγορότερη περιήγηση ιστού Εφαρμογή ουρών σε fixed time intervals Διαμοιρασμός διαθέσιμης κίνησης μεταξύ των χρηστών ή εξαρτώμενη από το φορτίου του καναλιού Το queuing εφαρμόζεται σε πακέτα που φεύγουν από δρομολογητή διαμέσου μιας πραγματικής διεπιφάνειας (π.χ. οι ουρές εφαρμόζονται στην εξερχόμενη διεπιφάνεια, σχετικά με τη ροή κυκλοφορίας), ή κάποια από τις τρεις επιπρόσθετες εικονικές διεπιφάνειες (global-in, global-out, global-total). Η QoS διαμορφώνεται από τρόπους-μέσα απώλειας πακέτων. Στην περίπτωση του πρωτοκόλλου TCP, τα dropped πακέτα ξανα-στέλνονται, έτσι δε χρειάζεται να επικρατεί ανησυχία ότι με τη shaping θα χαθεί πληροφορία TCP. Οι κύριοι όροι που χρησιμοποιούνται για να περιγράψουν το επίπεδο QoS των εφαρμογών δικτύου είναι: queuring discipline (qdisc): Ένας αλγόριθμος που κρατά και διατηρεί μια ουρά πακέτων. Διακρίνει τη σειρά των εξερχόμενων πακέτων (αυτό σημαίνει ότι η πειθαρχία-κανόνας ουράς μπορεί να επαναδιατάξει τα πακέτα) και ποια πακέτα να ρίξει εάν δε υπάρχει χώρος γι αυτά. CIR (Commited Iformation Rate): Ο εγγυημένος ρυθμός δεδομένων. Αυτό σημαίνει πως πρέπει να λαμβάνεται ο ρυθμός κίνησης, ο ποίος δεν ξεπερνά την τιμή αυτή. MIR (Maximal Iformation Rate): Ο μέγιστος ρυθμός δεδομένων που θα παρέχει ο δρομολογητής. Priority: Η διάταξη της σημαντικότητας για το ποια κίνηση θα επεξεργαστεί. Μπορεί να δοθεί προτεραιότητα σε μερική κίνηση προκειμένου να κατακρατηθεί πριν κάποια άλλη κίνηση. Contention Ratio: Ο λόγος στον οποίο ο καθορισμένος ρυθμός δεδομένων διαμοιράζεται μεταξύ των χρηστών (όταν ο ρυθμός καταμερισμού δεδομένων σε ένα αριθμό συνδρομητών). Αυτός ο αριθμός συνδρομητών έχει απλό όριο ταχύτητας, που εφαρμόζεται σε όλους μαζί ταυτόχρονα. Για παράδειγμα ο λόγος ανταγωνισμού 1:4 σημαίνει ότι τα κατανεμημένα δεδομένα μπορούν να διαμοιραστούν σε όχι περισσότερους από 4 χρήστες. Πρωτού σταλούν δεδομένα σε μια διεπεφάνεια, αυτή επεξεργάζεται από μια queuing discipline. Εξ αρχής, οι queuing disciplines είναι ρυθμισμένες από /queu interface- γι αυτή τη συγκεκριμένη διεπεφάνεια αγνοείται. Δηλαδή, όταν ένα πακέτο δεν ταιριάζει με κάποιο φίλτρο, αποστέλλεται διαμέσου της διεπιφάνειας με την υψηλότερη προτεραιότητα. 99

100 Scheduler και Shaper discs Μπορούμε να κατηγοριοποίησουμε τις queuing disciplines βάσει της επιρροής τους στη ροή των πακέτων: schedulers: queuing discs οι οποίες επαναπρογραμματίζουν πακέτα συμβουλευόμενες τον αλγόριθμό τους και αποβάλλουν πακέτα τα οποία δε χωρούν στην ουρά. Οι schedulers queuing disciplines είναι οι PFIFO, BFIFO, SQF, PCQ, RED. Shapers: queuing discs οι οποίες επίσης διαμορφώνουν οριοθέτηση. Shapers είναι οι PCQ και HTB Εικονικές Διεπιφάνειες Υπάρχουν τρεις εικονικές διεπιφάνειες στο GENNETRouterOS που προστίθενται στις πραγματικές. Global in: παρουσιάζει όλες τις διεπιφάνειες εισόδου γενικά (INGRESS queue). Πρέπει να σημειωθεί ότι οι ουρές που επισυνάπτονται στη global in αναφέρονται στην κίνηση που λαμβάνεται από το δρομολογητή, πριν από το φιλτράρισμα των πακέτων. Η global in queuing εκτελείται αμέσως μετά τη mangle και τη dst-nat. Global out:παρουσιάζει όλες τις διεπιφάνειες εξόδου γενικά. Οι ουρές που επισυνάπτονται σε αυτή ενεργούν πριν από αυτές που επισυνάπτονται σε συγκεκριμένη διεπιφάνεια. Global total: παρουσιάζει μια εικονική διεπιφάνεια διαμέσου της οποίας όλα τα δεδομένα-που διέρχονται από το δρομολογητή-τη διαπερνούν. Όταν επισυνάπτουμε μια disc σε μια global total, ο περιορισμός-οριοθέτηση λαμβάνει μέρος και στις δύο κατευθύνσεις. Για παράδειγμα, αν τεθεί total max limit σε , θα ληφθεί upload+download=256 kbps (μέγιστο) OSPF Το πρωτόκολλο OSPF (Open Shortest Path First) είναι το πρωτόκολλο κατάστασης-συνδέσμου και φροντίζει τις δρομολογήσεις στη δομή δυναμικού δικτύου, η οποία μπορεί να απασχολήσει διαφορετικά μονοπάτια στα υποδίκτυα του. Επιλέγει πάντα το συντομότερο μονοπάτι στο υποδίκτυο. To OSPF χρησιμοποιεί αλγόριθμο συνδέσμου-κατάστασης (link-state) για να χτίσει και να υπολογίσει το συντομότερο μονοπάτι σε όλους τους γνωστούς προορισμούς. Το συντομότερο μονοπάτι υπολογίζεται χρησιμοποιώντας τον αλγόριθμο του Dijkstra. Επίσης, το πρωτόκολλο κατανέμει πληροφορία δρομολόγησης μεταξύ των δρομολογητών που ανήκουν σε ένα απλό αυτόνομο σύστημα (AS). Ένα AS είναι μια ομάδα δρομολογητών που συναλλάσσονται πληροφορίες δρομολόγησης μέσω ενός κοινού πρωτόκολλου δρομολόγησης. Προκειμένου να ανακαλύψει το OSPF όλους τους δρομολογητές, πρέπει να ρυθμιστεί σε ένα κανόνα συνεργασίας (πρέπει να σημειωθεί ότι οι δρομολογητές πρέπει να έχουν το ίδιο MTU για όλα τα δίκτυα που διαφημίζονται από το πρωτόκολλο OSPF).Τέλος, το πρωτόκολλο εκκινείται αμέσως μετά την εισαγωγή μιας εγγραφής στη λίστα δικτύων OSPF. 100

101 Areas (Περιοχές) Το OSPF επιτρέπει συλλογές δρομολογητών να ομαδοποιούνται. Τέτοιες ομάδες ονομάζονται περιοχές. Κάθε μια περιοχή τρέχει ένα ξεχωριστό αντίγραφο του βασικού αλγορίθμου link-state. Δηλαδή, κάθε περιοχή έχει τη δική της βάση δεδομένων link-state και το δικό της ανταποκρινόμενο γράφο. Η δομή μιας περιοχής είναι αόρατη από το εξωτερικό της. Αυτή η απομόνωση της γνώσης δίνει τη δυνατότητα στο πρωτόκολλο να επηρεάσει τη δρομολόγηση με μια αξιοσημείωτη μείωση της κίνησης. Καθώς η συμπεριφορά του αυτόνομου συστήματος πρέπει να συγκρίνεται με μια περιοχή (domain) απλού link-state, δρομολογητές πρέπει να είναι το μέγιστο σε μια περιοχή (area) Networks- Δίκτυα Μπορούν να υπάρξουν δίκτυα σημείου προς σημείο ή δίκτυα πολλαπλής πρόσβασης. Τα Multi-Access δίκτυα μπορούν να είναι ένα ευρύ δίκτυο (ένα απλό μήνυμα μπορέι να σταλεί σε όλους τους δρομολογητές). Για να εκκινηθέι το πρωτόκολλο OSPF, πρέπει να καθοριστούν τα δίκτυα στα οποία θα τρέξει και το ID της περιοχής για καθένα από αυτά RIP Το GENNETRouterOS είναι εξοπλισμένο με την έκδοση RIP1 και RIP 2. Το RIP δίνει τη δυνατότητα σε δρομολογητές σε αυτόνομα συστήματα να ανταλλάσουν πληροφορίες δρομολόγησης. Χρησιμοποιεί πάντα το καλύτερο διαθέσιμο μονοπάτι (αυτό με τις λιγότερες μεταβάσεις). Το Routing Iformation Protocol είναι ένα πρωτόκολλο από μια σειρά πρωτοκόλλων δρομολόγησης, τα οποία βασίζονται στον αλγόριθμο Bellman-Ford (ή διανύσματος απόστασης). Το Internet Gateway Protocol (IGP) επιτρέπει στους δρομολογητές να ανταλλάσουν πληροφορία δρομολόγησης κατά μήκος ενός απλού αυτόνομου συστήματος με τον τρόπο των περιοδικών RIP αναβαθμίσεων. Οι δρομολογητές μεταδίδουν τις δικές τους RIP αναβαθμίσεις σε γειτονικά δίκτυα και δέχονται και τις αντίστοιχες από αυτά, προκειμένου να σιγουρέψουν ότι ο πίνακας δρομολόγησης ανταποκρίνεται στην παρούσα κατάσταση του δικτύου και ότι όλα τα βέλτιστα μονοπάτια είναι διαθέσιμα. Το βέλτιστο μονοπάτι θεωρείται αυτό με τη λιγότερη μέτρηση μεταβάσεων (δηλαδή που περιέχει τους λιγότερους δρομολογητές) CNDP Το πρωτόκολλο GENNET Neighbor Discovery διευκολύνει τη ρύθμιση και τη διαχείριση του δικτύου δίνοντας τη δυνατότητα σε κάθε δρομολογητή GENNET να ανακαλύψει άλλους συνδεδεμένους GENNET δρομολογητές και να μάθει πληροφορίες σχετικά με το σύστημα, αλλά και χαρακτηριστικά τα οποία είναι ενεργοποιημένα. Οι δρομολογητές GENNET μπορούν αυτόματα να χρησιμοποιήσουν τη ληφθείσα πληροφορία προκειμένου να ρυθμίσουν μερικά χαρακτηριστικά με ελάχιστη ή καθόλου παραμετροποίηση. Χαρακτηριστικά CNDP: δουλεύει σε συνδέσεις επιπέδου ΙΡ δουλεύει σε όλες τις μη-δυναμικές διεπιφάνειες κατανέμει βασική πληροφορία στην έκδοση του λογισμικού 101

102 κατανέμει πληροφορίες σε ρυθμισμένα χαρακτηριστικά τα οποία πρέπει να διαλειτουργούν με άλλους δρομολογητές GENNET. To GENNETOS δύναται να ανακαλύπτει τόσο CNDP όσο και CDP (Cisco Discovery Protocol) συσκευές. Η βασική λειτουργία του CNDP είναι να βοηθιέται με την αυτόματη παραμετροποίηση των χαρακτηριστικών, τα οποία είναι διαθέσιμα μόνο μεταξύ των δρομολογητών GENNET. Προς το παρόν, αυτό χρησιμοποιείται για το χαρακτηριστικό Packet Packer. To Packet Packer μπορεί να ενεργοποιηθεί σε μια βάση ανά διεπιφάνεια. Τότε, το πρωτόκολλο CNDP θα κρατήσει πληροφορία σχετικά με το ποιοι δρομολογητές έχουν ενεργοποιήσει το χαρακτηριστικο unpack και το Packet Packer θα χρησιμοποιηθεί για την κίνηση μεταξύ τους. Ειδικά χαρακτηριστικά δουλεύει σε διεπιφάνειες που υποστηρίζουν το πρωτόκολλο ΙΡ και έχουν τουλάχιστον μια διεύθυνση ΙΡ και σε όλες τις Ethernet διεπιφάνειες, ακόμα και χωρίς ΙΡ διευθύνσεις. ενεργοποιείται εξ αρχής για όλες τις Ethernet διεπιφάνειες-ethernet, wireless,eoip,ipip tunnels, PPP Static Server όταν παλαιότερες εκδόσεις του OS αναβαθμίζονται από μια έκδοση χωρίς εύρεση σε μία με εύρεση, οι παρούσες Ethernet διεπιφάνειες δεν ενεργοποιούνται αυτόματα για CNDP χρησιμοποιεί τη θύρα πρωτοκόλλων UDP 5678 ένα UDP πακέτο με πληροφορία δρομολογητή στέλνεται στη διεπιφάνεια κάθε 60 sec κάθε 30 sec ο δρομολογητής ελέγχει αν μερικές από τις γειτονικές εγγραφές δεν είναι πεπαλαιωμένες αν δε λαμβάνεται πληροφορία από γείτονα για πάνω από 180 sec, τότε η γειτονική πληροφορία διαγράφεται Τηλεφωνία ΙΡ Το χαρακτηριστικό ΙΡ τηλεφωνίας του GENNETRouterOS επιτρέπει τις επικοινωνίες VoIP χρησιμοποιώντας δρομολογητές εξοπλισμένους με το ακόλουθο hardware φωνητικής θύρας: Quicknet LineJACK ή PhoneJACK αναλογικές τηλεφωνικές κάρτες ISDN κάρτες Voicetronix OpenLine4 (ήταν VaPCI)-4 κάρτες αναλογικών τηλεφωνικών γραμμών 102

103 Zaptel Wildcard X100P IP κάρτα τηλεφωνίας- 1 αναλογική τηλεφωνική γραμμή Η τηλεφωνία ΙΡ, γνωστή ως Voice over IP, είναι η μετάδοση τηλεφωνικών κλήσεων διαμέσου ενός δικτύου δεδομένων, ενός από αυτά που συνθέτουν το διαδίκτυο. Υπάρχουν τέσσερις τρόποι με τους οποίους μπορεί να μιλήσει κανείς χρησιμοποιώντας VoIP: υπολογιστής προς υπολογιστής. Αυτός σίγουρα είναι ο ευκολότερος τρόπος να χρησιμοποιηθεί το VoIP και δε χρειάζεται πληρωμή για κλήσεις μεγάλων αποστάσεων υπολογιστής προς τηλέφωνο. Αυτή η μέθοδος μας επιτρέπει να καλέσουμε οποιονδήποτε (ο οποίος κατέχει τηλέφωνο) από τον υπολογιστή μας. Όπως και στην κλήση υπολογιστή προς υπολογιστή, απαιτείται λογισμικό client. Το λογισμικό τυπικά είναι ελεύθερο αλλά οι κλήσεις ίσως έχουν μια μικρή χρέωση ανά λεπτό. τηλέφωνο προς υπολογιστή. Επιτρέπει σε ένα τυπικό χρήστη τηλεφώνου να πραγματοποιήσει μια κλήση σε ένα χρήστη υπολογιστή. τηλέφωνο σε τηλέφωνο. Διαμέσου της χρήσης των gateways, μπορεί κανείς να συνδεθεί απευθείας με οποιοδήποτε τηλέφωνο στον κόσμο. Υποστηριζόμενο Hardware Quicknet Tecnologies κάρτες Internet PhoneJACK (ISA) or PCI για σύνδεση αναλογικού τηλεφώνου (FXS θύρα) Internet LineJACK (ISA) για σύνδεση αναλογικής τηλεφωνικής γραμμής (FXO θύρα) ή τηλεφώνου (FXS θύρα) ISDN client κάρτες (PCI) για σύνδεση ISDN γραμμής Voicetronix OpenLine4 κάρτα για σύνδεση 4 αναλογικών τηλεφωνικών γραμμών (FXO θύρες) Zaptel Wildcard X100P IP κάρτα τηλεφωνίας (από Υποστηριζόμενες Υπηρεσίες Linux) για σύνδεση μιας αναλογικής τηλεφωνικής γραμμής (FXO θύρα) Υποστηριζόμενα πρότυπα Το λειτουργικό του GENNETRouter υποστηρίζει ΙΡ τηλεφωνία σε συνεργασία με την International Telecommunication Union-(ITU-T). H ειδίκευση τηλεπικοινωνιών 103

104 H.323v4 είναι μια ειδίκευση για τη μετάδοση πολυμέσων (φωνή, βίντεο και δεδομένα) διαμέσου ενός ΙΡ δικτύου. Η Η.323v4 περιέχει : H.245, H.225, Q.931, H.450.1, RTP(Real Time Protocol) Επίσης υποστηρίζονται οι ακόλουθοι κωδικοποιητές ήχου: G.711 (η παλμοκωδική διαμόρφωση (PCM) 64kbps), G (η τεχνική συμπίεσης 6.3kbps που μπορεί να χρησιμοποιηθεί για συμπίεση σήματος ήχου σε πολύ χαμηλό ρυθμό), GSM (η κωδικοποίηση 13.2kbps), LPC-10 (η κωδικοποίηση 2.5kbps), G.729 και G.729a (η CS-ACELP κωδικοποίηση λογισμικού 8kbps), G.728 ( η τεχνική κωδικοποίησης 16kbps που υποστηρίζεται μόνο σε κάρτες Quicknet LineJACK). Στις γραμμές PSTN υπάρχει μια γνωστή καθυστέρηση του σήματος που προκαλείται από την εναλλαγή (switching) και τη συμπίεση του σήματος από τις συσκευές του τηλεφωνικού δικτύου (έτσι εξαρτάται από την απόσταση μεταξύ των ομότιμων) η οποία είναι γενικά αρκετά χαμηλή. Η καθυστέρηση επίσης παρουσιάζεται σε ΙΡ δίκτυα. Η βασική διαφορά μεταξύ ενός PSTN και ενός IP δικτύου είναι ότι στο ΙΡ δίκτυο η καθυστέρηση είναι περισσότερο τυχαία. Η πραγματική καθυστέρηση πακέτου μπορεί να ποικίλει σύμφωνα με την αύξηση των συμφορημένων δικτύων (αν ένα δίκτυο έχει συμφόρηση, μερικά πακέτα μπορεί ακόμη και να χαθούν). Επίσης, μπορεί να πραγματοποιηθεί και αναδιάταξη πακέτων. Για να αποτραπεί η απώλεια σήματος που προκαλείται από τυχαίο jitter ή ανακατανομή πακέτων στο ΙΡ δίκτυο- και να διακοπεί το σήμα ήχου-ένας jitter buffer είναι παρόν στις συσκευές ΙΡ. Ο jitter buffer καθυστερεί περισσότερο το πραγματικό διαμορφούμενο playback των πακέτων. Όσο πιο μεγάλος είναι ο buffer, τόσο μεγαλύτερη είναι και η συνολική καθυστέρηση αλλά πολύ λιγότερα τα πακέτα που χάνονται, εξαιτίας του timeout. Η συνολική καθυστέρηση από τη στιγμή εγγραφής του φωνητικού σήματος μέχρι το blayback του είναι το άθροισμα των ακόλουθων τριών χρόνων καθυστέρησης: χρόνος καθυστέρησης στο σημείο εγγραφής (περίπου 38msec) χρόνος καθυστέρησης του δικτύου ΙΡ (1...5msec και πάνω) χρόνος καθυστέρησης του σημείου playback (η καθυστέρηση του jitter) SNMP Υπηρεσία Το SNMP είναι ένα πρωτόκολλο εφαρμογής στρώματος. Καλείται απλό επειδή λειτουργεί με τον εξής τρόπο: ο σταθμός διαχείρισης κάνει ένα αίτημα και η διαχειριζόμενη συσκευή (πράκτορας SNMP) απαντά στο αίτημα αυτό. Στο SNMPv1 υπάρχουν τρεις βασικές ενέργειες-get,set και TRAP. Το RouterOS υποστηρίζει μόνο την GET που σημαίνει ότι μπορούμε να χρησιμοποιήσουμε αυτή τη λειτουργία μόνο για monitoring δικτύου. Οι host λαμβάνουν μηνύματα SNMP στη UDP μηνυμάτων TRAP, που λαμβάνονται στη θύρα UDP 162) θύρα 161 (εκτός των L2TP Διεπιφάνεια Το L2TP είναι ένα ασφαλές πρωτόκολλο για tunnel μεταφέροντας την ΙΡ κίνηση χρησιμοποιώντας ΡΡΡ. Το πρωτόκολλο ενσωματώνει το ΡΡΡ σε εικονικές 104

105 γραμμές οι οποίες τρέχουν σε ΙΡ, relay πλαισίου (Frame Relay) και άλλα πρωτόκολλα (που δεν υποστηρίζονται μέχρι στιγμής από το GENNETRouterOS). To L2TP συνεργάζεται με PPP και ΜΡΡΕ (Microsoft κρυπτογράφηση σημείο προς σημείο) προκειμένου να φτιάξει κρυπτογραφημένους συνδέσμους). Ο σκοπός του πρωτοκόλλου αυτού είναι να επιτρέπει στο στρώμα 2 και στα τελικά σημεία ΡΡΡ να επανατοποθετηθούν σε διαφορετικές συσκευές που διασυνδέονται από ένα packet-switched δίκτυο. Με το L2TP, ένας χρήστης έχει μια σύνδεση στρώματος 2 σε ένα συγκεντρωτή πρόσβασης-lac(πχ bank modem, ADSL DSLAM κλπ) και ο συγκεντρωτής άγει ξεχωριστά ΡΡΡ πλαίσια στον Server Πρόσβασης Δικτύου-ΝΑS. Αυτό επιτρέπει στην πραγματική επεξεργασία των πακέτων ΡΡΡ να διαχωριστεί από τον τερματισμό του κυκλώματος L2 απευθείας σε ένα NAS (ή χρησιμοποιώντας L2TP). Επίσης ίσως να είναι χρήσιμο να χρησιμοποιηθεί L2TP όπως ακριβώς κάθε άλλο πρωτόκολλο tunneling με ή χωρίς κρυπτογράφηση. Το πρότυπο L2TP λέει ότι ο πιο ασφαλής τρόπος να κρυπτογραφηθούν δεδομένα είναι η χρήση του L2TP μέσω IPSec (σημειώστε ότι είναι η αρχική λειτουργία για Microsoft L2TP Client) καθώς όλος ο έλεγχος L2TP και τα πακέτα δεδομένων για ένα tunnel εμφανίζονται ως ομογενοποιημένα UDP/IP πακέτα δεδομένων στο σύστημα IPSec. Το L2TP περιέχει αυθεντικοποίηση ΡΡΡ και η δημιουργία λογαριασμού για κάθε σύνδεση L2T. Η πλήρης αυθεντικοποίηση και ο λογαριασμός κάθε σύνδεσης μπορούν να γίνουν μέσω ένος Radius client ή τοπικά. Υποστηρίζονται οι κρυπτογραφήσεις MPPE 40bit RC4 και MPPE 128bit RC4. Η κίνηση LT2P χρησιμοποιεί πρωτόκολλο UDP τόσο για τον έλεγχο όσο και για τα πακέτα δεδομένων. Η θύρα UDP/701 χρησιμοποιείται μόνο για εγκαθίδρυση σύνδεσης, ενώ επιπρόσθετη κίνηση χρησιμοποιεί κάθε διαθέσιμη UDP θύρα (η οποία μπορεί ή όχι να είναι 1701). Αυτό σημαίνει ότι η L2TP μπορεί να χρησιμοποιηθεί με τα περισσότερα firewall και δρομολογητές (ακόμα και με ΝΑΤ), επιτρέποντας στη UDP κίνηση να δρομολογείται διαμέσου του firewall ή του δρομολογητή ΝΑΤ Η μετάφραση διεύθυνσης δικτύου (Network Address Translation) είναι μια δυνατότητα του δρομολογητή που αντικαθιστά την πηγή και (ή) τις διευθύνσεις προορισμών ΙΡ του ΙΡ πακέτου, καθώς αυτό διέρχεται από το δρομολογητή. Χρησιμοποιείται κοινώς για να επιτρέψει σε πολλαπλούς host σε ένα ιδιωτικό δίκτυο την πρόσβαση στο internet, χρησιμοποιώντας μια απλή δημόσια ΙΡ διεύθυνση. Ειδικότερα, το ΝΑΤ επιτρέπει στους host σε τοπικά δίκτυα να χρησιμοποιήσουν ένα σύνολο ΙΡ διευθύνσεων για εσωτερικές επικοινωνίες και ένα άλλο σύνολο ΙΡ διευθύνσεων για εξωτερικές. Ένα τοπικό δίκτυο που χρησιμοποιεί το ΝΑΤ αναφέρεται ως natted. Για να λειτουργήσει το ΝΑΤ, πρέπει να υπάρξει μια πύλη ΝΑΤ σε κάθε natted δίκτυο. Η πύλη ΝΑΤ (δρομολογητής ΝΑΤ) διαμορφώνει ΙΡ διεύθυνση ξαναγράφοντας τον τρόπο με τον οποίο ένα πακέτο ταξιδεύει από/προς ένα LAN. Υπάρχουν δύο τύποι ΝΑΤ: πηγαίο ΝΑΤ ή srcnat. Αυτός ο τύπος ΝΑΤ διαμορφώνεται σε πακέτα που έχουν προέλευση από natted δίκτυα. Ένας δρομολογητής ΝΑΤ αντικαθιστά την ιδιωτική πηγή διεύθυνσης ενός ΙΡ πακέτου με μια νέα δημόσια διεύθυνση, 105

106 καθώς αυτό ταξιδεύει μέσω του δρομολογητή. Ένας αντίστροφος χειρισμός εφαρμόζεται στη λήψη πακέτων που ταξιδεύουν στην άλλη κατεύθυνση. ΝΑΤ προορισμού ή dstnat. Αυτός ο τύπος ΝΑΤ διαμορφώνεται σε πακέτα που έχουν προορισμό το natted δίκτυο. Χρησιμοποιείται κοινώς για να κάνει τους host σε ένα ιδιωτικό δίκτυο προσβάσιμους από το internet. Ένας ΝΑΤ δρομολογητής που διαμορφώνει dstnat, αντικαθιστά τη διεύθυνση προορισμού ΙΡ ενός πακέτου καθώς αυτό ταξιδεύει μέσω ενός υπολογιστή προς ένα ιδιωτικό δίκτυο PPTP To ΡΡΤΡ (Point to Point Tunnel Protocol) είναι ένα ασφαλές tunnel για μεταφορά της κίνησης ΙΡ χρησιμοποιώντας ΡΡΡ. Το ΡΡΤΡ εμπεριέχει το ΡΡΡ σε εικονικές γραμμές που τρέχουν πάνω σε ΙΡ. Επιπλέον χρησιμοποιεί τη συνεργασία των ΡΡΡ και ΜΡΡΕ για να δημιουργήσει κρυπτογραφημένους συνδέσμους. Ο σκοπός αυτού του πρωτοκόλλου είναι να φτιάξει ισχυρά διαχειρίσιμες ασφαλείς συνδέσεις μεταξύ των δρομολογητών και των PPTP Clients. To PPTP περιέχει αυθεντικοποίηση ΡΡΡ και λογαριασμό για κάθε ΡΡΤΡ σύνδεση. Η πλήρης αυθεντικοποίηση και ο λογαριασμός (accounting) κάθε σύνδεσης μπορούν να πραγματοποιηθούν μέσω ενός Radius Client ή τοπικά. Οι κρυπτογραφήσεις που υποστηρίζονται είναι οι MPPE 40bit RC4 και η MPPE 128bit RC4 ενώ οι χρησιμοποιείται η θύρα TCP 1723 και το ΙΡ πρωτόκολλο GRE (Genering Routing Encapsulation, IP Protocol ID 47), όπως καθορίζεται από το Internet Assigned Numbers Authority (IANA). To PPTP μπορεί να χρησιμοποιεί με τα περισσότερα firewalls και δρομολογητές ενεργοποιώντας τη κίνηση που προορίζεται για τη θύρα TCP 1723 και τη δρομολόγηση του πρωτοκόλλου κίνησης( κυκλοφορίας) 47 διαμέσου ενός firewall ή ενός δρομολογητή ΝΤΡ (Network Time Protocol) To πρωτόκολλο Network Time χρησιμοποιείται για να συγχρονίζει μερικούς ΝΤΡ Servers σε ένα δίκτυο. 3.3 RouterOS VLANs To VLAN είναι εφαρμογή του 802.1Q VLAN πρωτοκόλλου για το GENNETRouterOS. Επιτρέπει να έχουμε πολλαπλά εικονικά LAN σε μία απλή Ethernet ή ασύρματη διεπιφάνεια, δίνοντας τη δυνατότητα να βελτιώσουμε την επάρκεια των LAN. Υποστηρίζει μέχρι 4095 vlan διεπιφάνειες, κάθε μια από τις οποίες έχει μοναδική VLAN ID ανά συσκευή ethernet. Πολλοί δρομολογητές, συμπεριλαμβανομένου των Cisco και των Linux based, και πολλές εναλλαγες του στρώματος 2, το υποστηρίζουν. Ειδικότερα, τα VLAN είναι ένας απλός τρόπος ομαδοποίησης ενός συνόλου θυρών switch έτσι ώστε να διαμορφώσουν ένα λογικό δίκτυο, ξεχωριστό από κάθε άλλη παρόμοια ομάδα. Με μία απλή εναλλαγή (switch) αυτό είναι αμέσως μια τοπική διαμόρφωση. Όταν το VLAN επεκτείνει παραπάνω από ένα switch, οι σύνδεσμοι inter-switch πρέπει να γίνουν κορμοί, στους οποίους τα πακέτα σημειώνονται προκειμένου να φανεί σε ποια VLAN ανήκουν. Το GENNETRouterOS μπορεί να χρησιμοποιηθεί ( καθώς και το Cisco IOS και το Linux) για να σημειωθούν αυτά τα πακέτα αλλά και να αποδεχτούν και να 106

107 δρομολογήσουν ήδη σημειωμένα πακέτα. Ένα VLAN λειτουργεί στο στρώμα 2 του OSI και μπορεί να χρησιμοποιηθεί ακριβώς όπως όλες οι διεπιφάνειες δικτύου χωρίς περιορισμού. Επιπλέον, το VLAN διέρχεται από γέφυρες Ethernet (για γέφυρες GENNETRouterOS πρέπει να ενεργοποιήσουμε τη λειτουργία forwardprotocols σε ip,arp και other. Για άλλη γεφύρωση πρέπει να πραγματοποιηθούν ανάλογες(analogical) ρυθμίσεις. Μπορούν επίσης να μεταφερθούν VLANs διαμέσου ασύρματων συνδέσμων και να τοποθετηθούν πολλαπλές VLANδιεπιφάνειες σε μια απλή ασύρματη διεπιφάνεια. Πρέπει να σημειωθεί ότι καθώς το VLAN δεν είναι πλήρες πρωτόκολλο tunnel (π.χ. δεν έχει επιπρόσθετα πεδία για τη μεταφορά MAC διευθύνσεων του αποστολέα και του παραλήπτη), εφαρμόζεται ο ίδιος περιορισμός στη γεφύρωση μέσω VLAN με αυτόν στη γεφύρωση απλών ασύρματων διεπιφανειών. Με άλλα λόγια, όταν ασύρματοι clients μπορούν να συμμετέχουν σε εισαγωγή VLAN σε ασύρματη διεπιφάνεια, δεν είναι πιθανό να έχουμε εισαγωγή VLAN σε ασύρματη διεπιφάνεια σε λειτουργία σταθμού, γεφυρωμένη με άλλη διεπιφάνεια. 3.4 RouterOS Firewall Filters Το τείχος προστασίας επιδρά στο φιλτράρισμα πακέτων και επιπλέον παρέχει λειτουργίες ασφαλείας που χρησιμοποιούνται για τη διαχείριση της ροής δεδομένων προς, από και διαμέσου του δρομολογητή. Σε συνδυασμό με το ΝΑΤ (Network Address Translation) παρέχει ένα εργαλείο για την αποτροπή με εξουσιοδοτημένης πρόσβασης σε απευθείας συνδεόμενα δίκτυα και καθιστά τον ίδιο το δρομολογητή ως ένα φίλτρο για την εξερχόμενη κίνηση-κυκλοφορία. Τα τείχη προστασίας κρατούν τις απειλές μακριά από ευαίσθητα δεδομένα τα οποία είναι διαθέσιμα στο εσωτερικό του δικτύου. Όποτε διαφορετικά δίκτυα γίνονται προσβάσιμα ταυτόχρονα, υπάρχει πάντα η απειλή ότι κάποιος από το εξωτερικό του δικτύου θα διαρρήξει το LAN. Τέτοιες διαρρήξεις μπορεί να έχουν ως αποτέλεσμα κλοπή ιδιωτικών δεδομένων, αλλαγή ή καταστροφή πολύτιμων δεδομένων, ή ακόμα και σβήσιμο ολόκληρων σκληρών δίσκων. Τα τείχη προστασίας χρησιμοποιούνται ως μέσα αποτροπής των ρίσκων ασφαλείας που μπορεί να προκύπτουν από τη σύνδεση σε άλλα δίκτυα. Το RouterOS παρέχει ευρεία χαρακτηριστικά ασφαλείας, όπως ιδιότητες κάλυψης (masquerade), τα οποία επιτρέπουν το κρύψιμο της υποδομής του δικτύου μας από το εξωτερικό περιβάλλον Ροή Δεδομένων (Packet Flow). To GENNETRouterOS απλοποιεί τη δημιουργία και τη χρήση sophιsticated πολιτικών τείχους προστασίας. Στην πραγματικότητα, μπορεί κανείς εύκολα να δημιουργήσει μια απλή πολιτική για να φιλτράρει την κίνηση ή να ενεργοποιήσει το πηγαίο ΝΑΤ χωρίς να απαιτείται να γνωρίζει τα πακέτα που επεξεργάζονται από το δρομολογητή. Αλλά στην περίπτωση που θέλει να χρησιμοποιήσει περισσότερο πολύπλοκες πολιτικές, οφείλει να γνωρίζει τις λεπτομέρειες της διεργασίας που πραγματοποιείται. Η ροή δεδομένων διαμέσου του δρομολογητή απεικονίζεται στο ακόλουθο διάγραμμα. 107

108 Διάγραμμα απεικόνισης ροής δεδομένων μέσω του δρομολογητή. Όπως φαίνεται στο διάγραμμα, ένα πακέτο μπορεί να εισέλθει στο μεταφορέα (conveyer) με δύο τρόπους: είτε το πακέτο προέρχεται από μια διεπιφάνεια είτε έχει προέλευση από το δρομολογητή. Αντίστοιχα, ένα πακέτο έχει δύο τρόπους να εξέλθει από τον μεταφορέα: διαμέσου μιας διεπιφάνειας εξόδου ή,στην περίπτωση που το πακέτο έχει τοπικό προορισμό, στην τοπική επεξεργασία (process). Όταν το πακέτο φθάνει στη διεπιφάνεια του δρομολογητή, οι κανόνες firewall εφαρμόζονται με την ακόλουθη σειρά: Αρχικά εφαρμόζονται οι κανόνες ΝΑΤ. Οι κανόνες του firewall της ακολουθίας εισόδου και της δρομολόγησης θα εφαρμοστούν εφόσον το πακέτο περάσει από το σύνολο κανόνων του ΝΑΤ. Αν το πακέτο πρέπει να προωθηθεί μέσω του δρομολογητή, οι κανόνες firewall της ακολουθίας προώθησης (forward chain) εφαρμόζονται στη συνέχεια. Όταν ένα πακέτο αφήνει τη διεπιφάνεια, εφαρμόζονται οι κανόνες firewall της εξερχόμενης ακολουθίας (outgoing chain) και στη συνέχεια οι κανόνες ΝΑΤ και το queuing. Επιπρόσθετες κατευθύνσεις από τα boxes ΙPSec δείχνουν την επεξεργασία των κρυπτογραφημένων πακέτων ( πρέπει αρχικά να 108

109 κρυπτογραφηθούν/αποκρυπτογραφηθούν και μετά να επεξεργαστούν ως συνήθως). Αν το πακέτο είναι γεφυρωμένο, η απόφαση δρομολόγησης (Routing Decision) αλλάζει απόφαση προώθησης γεφύρωσης (Bridge Forwardin Decision). Σε περίπτωση που η γέφυρα προωθεί μη ΙΡ πακέτα, όλα τα στοιχεία που χρησιμοποιούν το πρωτόκολλο ΙΡ δεν έχουν εφαρμογή Κανόνες Firewall Ένας κανόνας είναι μια έκφραση σε μια ξεκάθαρη διατύπωση, η οποία υποδεικνύει στο δρομολογητή τι να κάνει με ένα συγκεκριμένο πακέτο. Ο κανόνας αποτελείται από δύο λογικά μέρη: το σύνολο ταιριάσματος (matcher set) και το σύνολο ενέργειας (action set). Για κάθε πακέτο πρέπει να καθοριστεί ένας κανόνας με το κατάλληλο ταίριασμα και την κατάλληλη ενέργεια. Η διαχείριση των κανόνων τειχών προστασίας μπορεί να είναι προσβάσιμη επιλέγοντας την επιθυμητή ακολουθία. Αν χρησιμοποιήσουμε την κονσόλα WinBox, επιλέγουμε την επιθυμητή ακολουθία και στη συνέχεια πατάμε το πλήκτρο List στη γραμμή εργαλείων για να ανοίξουμε το παράθυρο με τους κανόνες Peer to peer φιλτράρισμα κίνησης Το GENNETRouterOS παρέχει ένα τρόπο φιλτραρίσματος κίνησης για τα πιο δημοφιλή p2p προγράμματα που χρησιμοποιούν διαφορετικά p2p πρωτόκολλα Τύπος Υπηρεσίας (Type of Service) Τα μονοπάτια του διαδικτύου ποικίλλουν στην ποιότητα της υπηρεσίας που παρέχουν. Μπορεί να διαφέρουν σε κόστος, αξιοπιστία, καθυστέρηση και συνολικό όγκο δεδομένων. Αυτή η κατάσταση οδηγεί σε ένα συμβιβασμό, για παράδειγμα το μονοπάτι με τη μικρότερη καθυστέρηση μπορεί να προσεγγίζει το αργότερο. Για το λόγο αυτό, το βέλτιστο μονοπάτι που πρέπει να ακολουθήσει ένα πακέτο διαμέσου του διαδικτύου μπορεί να εξαρτάται από τις ανάγκες της εφαρμογής και του χρήστη. Επειδή το δίκτυο από μόνο του δεν έχει τη γνώση σχετικά με το πως να βελτιστοποιήσει την επιλογή μονοπατιού για συγκεκριμένη εφαρμογή ή χρήστη, το πρωτόκολλο ΙΡ παρέχει μια λειτουργία για πρωτόκολλο ανωτέρου στρώματος για να μεταφέρουν στοιχεία-συμβουλές (hints) στο στρώμα διαδικτύου σχετικά με τον τρόπο που θα πρέπει να γίνονται οι συμβιβασμοί (tradeoffs) για ένα συγκεκριμένο πακέτο. Η λειτουργία αυτή ονομάζεται Type of Service (τύπος υπηρεσίας). Ο βασικός κανόνας είναι πως αν ένας host κάνει κατάλληλη χρήση της λειτουργίας TOS, η υπηρεσία δικτύου του πρέπει τουλάχιστον να είναι τόσο καλή όσο στην περίπτωση που ο host δεν είχε χρησιμοποιήσει τη λειτουργία. Η ΤOS είναι ένα βασικό πεδίο ενός IP πακέτου και χρησιμοποιείται από πολλές δικτυακές εφαρμογές και hardware προκειμένου να δείξει πως πρέπει να μεταχειρίζεται η κυκλοφορία από την πύλη. Το GENNETRouterOS λειτουργεί με το πλήρες TOS byte.δε χρησιμοποιεί bits λογαριασμού η ψηφία κράτησης σε αυτό το byte(επειδή έχουν επαναπροσδιοριστεί πολλές φορές και η προσέγγιση αυτή το κάνει πιο ευέλικτο). Αυτό σημαίνει ότι είναι πιθανό να λειτουργήσει με σημάδια (marks) DiffServ (Differential Services Codepoint,DSCP)και κωδικοσημεία ECN (Explicit Congestion Notification), τα οποία χρησιμοποιούν το ίδιο πεδίο στην κεφαλίδα του πρωτοκόλλου ΙΡ. 109

110 Παρακάτω παρουσιάζονται οι σταθερές τιμές normal -κανονική υπηρεσία (ToS=0) low cost-ελαχιστοποιημένο κόστος (ToS=2) max reliability-μεγιστοποίηση αξιοπιστίας (ToS=4) max throughtput-μεγιστοποίηση του συνολικού όγκου πληροφορίας (ToS=8) low delay-ελαχιστοποίηση καθυστέρησης (ToS=16) Firewall Chains Οι κανόνες φιλτραρίσματος του τείχους προστασίας κατηγοριοποιούνται σε ακολουθίες-αλυσίδες (chains). Επιτρέπει σε ένα πακέτο να ταιριάξει βάσει ενός κοινού κριτηρίου σε μια άλλη αλυσίδα. Ας υποθέσουμε, για παράδειγμα, ότι τα πακέτα πρέπει να ταιριάξουν σύμφωνα με τις IP διευθύνσεις και τις θύρες. Η αντιστοιχία βάσει των διευθύνσεων μπορούν να γίνουν σε μια αλυσίδα χωρίς να διακρίνονται οι θύρες του πρωτοκόλλου ενώ ανάλογα, η αντιστοιχία βάσει των θυρών πρωτοκόλλου μπορεί να γίνει σε ξεχωριστή αλυσίδα χωρίς να διακρίνονται οι διεθύνσεις ΙΡ. 3.5 Wireless Client και Wireless Access Point To GENNETRouterOS παρέχει μία πλήρη υποστήριξη των IEEE a, b και g ασύρματων δικτυακών προτύπων. Υπάρχουν αρκετά επιπρόσθετα χαρακτηριστικά που στηρίζουν την ασύρματη δικτύωση στο RouterOS- WPA(Wi-Fi protected access), WEP(Wired Equivalent Privacy), κρυπτογράφηση ΑΕS software και hardware, WDS(Wirelless Distribution System), DFS (Dynamic Frequency Selection), Aligment Mode (για θέση κεραιών και παρατήρηση του ασύρματου σήματος,vap (Virtual Access Point). To Nstreme πρωτόκολλο είναι το κατάλληλο (π.χ. ασυμβατότητα με άλλους vendor-πωλητές) ασύρματο πρωτόκολλο που καλείται να βελτιώσει τους ασύρματους συνδέσμους σημείου προς σημείο και σημείο προς πολλαπλά σημεία. Η ειδική έκδοση του Nstreme,που ονομάζεται Nstreme2,λειτουργεί με ένα ζεύγος ασύρματων καρτών (Atheros AR5210 και νεότερες ΜAC μόνο). Μία για τη μετάδοση δεδομένων και μία για τη λήψη δεδομένων. Τα πλεονεκτήματα του πρωτοκόλλου Nstreme είναι τα εξής: Εκλογή των clients. Η εκλογή μειώνει το χρόνο πρόσβασης του μέσου, επειδή η κάρτα δε χρειάζεται να σιγουρεύει κάθε στιγμή ότι το εναέριο μέσο είναι ελεύθερο για τη μετάδοση δεδομένων( ο μηχανισμός εκλογής το φροντίζει) Πολύ χαμηλή υπέρβαση πρωτοκόλλου ανά πλαίσιο επιτρέποντας υπερυψηλούς ρυθμούς δεδομένων Καθόλου όρια πρωτοκόλλων στην απόσταση του συνδέσμους καμία υποβάθμιση ταχύτητας πρωτοκόλλου για συνδέσμους μεγάλης απόστασης 110

111 Δυναμική Προσθήκη πρωτοκόλλου η οποία εξαρτάται από τον τύπο της κίνησης και τη χρήση πόρων. Η κάρτα Atheros ελέγθηκε για αποστάσεις μεγαλύτερες των 20km παρέχοντας ταχύτητα σύνδεσης μέχρι 80Mbits. Με κατάλληλες κεραίες και την κατάλληλη καλωδίωση η μέγιστη απόσταση μπορέι να φτάνει τα 50km. Αυτές οι τιμές του ack-timeout λήφθηκαν από διάφορες δοκιμές τόσο του κατασκευαστή όσο και από διάφορους χρήστες Πρέπει να σημειωθεί ότι αυτές δεν είναι οι ακριβείς τιμές. Μπορεί να ποικίλλουν από +/-15microseconds, σύμφωνα με το hardaware που χρησιμοποιήθηκε και από πολλούς παράγοντες. Επίσης μπορεί να χρησιμοποιηθεί τιμή dynamic ack-timeout. Ο δρομολογητής θα απομονώσει τη ρύθμιση ack-timeout αυτόματα στέλνοντας περιοδικά πακέτα με ένα διαφορετικό ack-timeout. Οι τιμές ack-timeout από τις οποίες λήφθηκε το πλαίσιο ack, αποθηκεύονται και χρησιμοποιούνται αργότερα για να απομονώσουν το πραγματικό ack-timeout. Το πρωτόκολλο Nstreme μπορεί να χειριστεί σε τρεις λειτουργίες: λειτουργία σημείου προς σημείο. Ελεγχόμενη λειτουργία σημείο προς σημείο με ένα ραδιομεταδότη σε κάθε πλευρά. Διπλή ραδιολειτουργία σημείου προς σημείο (Nstreme2). Το πρωτόκολλο θα χρησιμοποιήσει δύο ραδιομεταδότες στιγμιαία (έναν για τη μετάδοση δεδομένων και έναν για τη λήψη), επιτρέποντας υπερταχεία σύνδεση σημείου προς σημείο. Σημείο προς πολλαπλά σημεία. Ελεγχόμενη λειτουργία σημείου προς πολλαπλά σημεία με εκλογή clients (όπως AP-controlled TokenRing). 111