Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Ασύρματες Επικοινωνίες Μέρος I Slide: 1/26
Περιεχόμενα ΙΕΕΕ 802.11 Εισαγωγή Λειτουργικό μοντέλο 802.11 Στοίβα πρωτοκόλλων του 802.11 Δομή πλαισίων 802.11 Υπηρεσίες 802.11 Slide: 2/26
802.11 εισαγωγή /1 Ο συγκεκριμένος τύπος δικτύων ανήκει στην οικογένεια των προτύπων IEEE 802, η οποία μεταξύ άλλων περιλαμβάνει και το γνωστό μας IEEE 802.3 καλούμενο και ως Ethernet. Για τα ασύρματα τοπικά δίκτυα συχνά επίσης χρησιμοποιείται ο όρος Wi-Fi που προέρχεται από τα αρχικά των λέξεων Wireless Fidelity (Ψηφιακή Πιστότητα) καιέχειεπικρατήσειωςde facto όρος για τα υψηλής συχνότητας ασύρματα τοπικά δίκτυα (WLAN). Ουσιαστικά αποτελεί ένα ασύρματο τρόπο διασύνδεσης, ενώ δίνει τη δυνατότητα σύνδεσης με το Διαδίκτυο (Internet) και άλλα ετερογενή δίκτυα, όπως τα κινητά δίκτυα επικοινωνιών δεύτερης (2/2.5G) και τρίτης γενιάς (3G). Οι ασύρματες τεχνολογίες πρόσβασης χρησιμοποιούνται για να αντικαταστήσουν ή να επεκτείνουν ένα κοινό ενσύρματο δίκτυο (Ethernet) και επιτρέπουν στον κινούμενο χρήστη την ασύρματη μετάδοση και λήψη δεδομένων. Slide: 3/26
802.11 εισαγωγή /2 Τα ασύρματα δίκτυα που ακολουθούν το πρότυπο 802.11 αποτελούνται από τις κάτωθι τέσσερις βασικές μονάδες: Σημείο πρόσβασης (Access Point - AP): Το AP είναι η μονάδα που παίζει το ρόλο γέφυρας μεταξύ του ενσύρματου και του ασύρματου δικτύου, μετατρέποντας κατάλληλα τα πλαίσια (πακέτα) που ανταλλάσσονται μεταξύ αυτών. Επιτελεί και πολλές άλλες λειτουργίες που θα αναφερθούν στη συνέχεια. Σύστημα διανομής (Distribution System): Το σύστημα διανομής ενώνει τα διάφορα AP του ίδιου δικτύου, επιτρέποντάς τους να ανταλλάσσουν πλαίσια. Ασύρματο μέσο μετάδοσης (Wireless Medium): Έχουν οριστεί διάφορα φυσικά στρώματα που χρησιμοποιούν είτε ραδιοσυχνότητες είτε υπέρυθρες ακτίνες για τη μετάδοση των πλαισίων μεταξύ των σταθμών του ασύρματου δικτύου. Σταθμοί (Stations): Οι σταθμοί που ανταλλάσσουν πληροφορία μέσω του ασυρμάτου δικτύου συνήθως είναι φορητές συσκευές όπως για παράδειγμα φορητοί υπολογιστές (laptops) ή υπολογιστές παλάμης (PDAs) χωρίς όμως αυτό να είναι απαραίτητο. Slide: 4/26
802.11 εισαγωγή /3 Η βασική δομική μονάδα κάθε 802.11 δικτύου αποκαλείται Basic Service Set (BSS) και αποτελείται από μία ομάδα σταθμών που επικοινωνούν μεταξύ τους. Τα όρια του BSS καθορίζονται από την περιοχή ραδιοκάλυψης, που ονομάζεται Basic Service Area (BSA). Ένας σταθμός σε ένα BSS μπορεί να επικοινωνεί με οποιονδήποτε άλλο σταθμό στο ίδιο BSS. Slide: 5/26
802.11 εισαγωγή /4 Όσον αφορά στην αρχιτεκτονική - τοπολογίατουςταδίκτυααυτά εμφανίζονται με δύο οργανωτικές μορφές: Τη δομημένη (Infrastructure mode) και την τυχαία (Ad-Hoc mode). Η πρώτη που καλείται τεχνικά και με τον όρο Extended Service Set (ESS) απαιτεί τη χρήση AP(s), στα οποία συνδέονται οι χρήστες. Πολλά συνεργαζόμενα APs είναι δυνατόν να προσφέρουν ευρεία κάλυψη, σύνδεση με το Διαδίκτυο, καθώς και υπηρεσίες περιαγωγής (roaming) μεταξύ ομοιογενών αλλά και ετερογενών δικτύων διαφορετικών παρόχων (providers). Η δεύτερη που καλείται και ως Independent BSS (IBSS), δεν απαιτεί τη χρήση AP και κάθε ασύρματος σταθμός μπορεί να εκπέμψει απευθείας σε οποιοδήποτε άλλο βρίσκεται μέσα στην εμβέλειά του. Η συγκεκριμένη μορφή εξυπηρετεί ιδιαίτερα σε περιπτώσεις όπου το ασύρματο δίκτυο θα πρέπει να είναι δυνατό να «στηθεί» οπουδήποτε και σε ελάχιστο χρόνο. Όπως είναι φυσικό, από την πλευρά της ασφάλειας, η δομημένη μορφή οργάνωσης προσφέρει στον διαχειριστή του δικτύου μια σχετικά σταθερή πλατφόρμα πάνω στην οποία μπορεί να αναπτύξει τις πολιτικές ασφαλείας του. Slide: 6/26
802.11 εισαγωγή /5 Slide: 7/26
802.11 εισαγωγή /6 Με σκοπό τη βελτίωση και την εξέλιξη του προτύπου 802.11 δημιουργήθηκαν στο πέρασμα του χρόνου διάφορες εξελίξεις του, που αλλιώς ονομάζονται και υποπρότυπα. IEEE 802.11a: Χρησιμοποιεί τη ζώνη συχνοτήτων των 5 GHz και OFDM. Η ταχύτητα μεταφοράς δεδομένων που αναπτύσσει είναι μικρότερη των 54 Μbps. IEEE 802.11b (Χρησιμοποιείται στην Ελλάδα): Χρησιμοποιεί τη ζώνη των 2.4 GHz και DSSS. Ταχύτητα μεταφοράς δεδομένων μικρότερη από 11Μbps. IEEE 802.11e: Παρέχει εγγυήσεις για ποιότητα υπηρεσίας (Quality of Service, QoS). IEEE 802.11f: Κινητικότητα των σταθμών μέσα σε ένα IP δίκτυο (Intra - network Handover). IEEE 802.11g: Επεκτείνει το 802.11b ώστε να προσεγγίζει ταχύτητες μεταφοράς δεδομένων που αγγίζουν τα 54 Μbps. IEEE 802.11i: Πρότυπο το οποίο επικεντρώνεται σε θέματα ασφάλειας στα WLANs. IEEE 802.11h: Η ομάδα αυτή θα προσπαθήσει να εισάγει στο 802.11a την δυνατότητα για καλύτερο έλεγχο συγκρούσεων (collisions). Slide: 8/26
Λειτουργικό μοντέλο 802.11 /1 Αμέσως μόλις o φορητός εξοπλισμός (συσκευή / τερματικό) του χρήστη (User Equipment, UE) τεθεί σε λειτουργία θα αναζητήσει ασύρματα δίκτυα προκειμένου να συνδεθεί. Κάθε AP κάνει γνωστή την ύπαρξή του στις συσκευές των χρηστών εκπέμποντας σύντομα ραδιο-μηνύματα σε κανονικά χρονικά διαστήματα - συνήθως 10 φορές (έως 100 φορές) το δευτερόλεπτο. Τα μηνύματα αυτά ονομάζονται φάροι (beacon frames) και επιτρέπουν σε κάθε ME να ανακαλύψει την ταυτότητα των APs. Πολλές φορές το UE είναι προ-διαμορφωμένο να αναζητά συγκεκριμένο(α) δίκτυα (APs) ή μπορεί να επιτρέπεται να συνδεθεί σε οποιοδήποτε AP ανακαλύψει. Η διαδικασία ανακάλυψης των AP, δηλαδή των beacons που αυτά εκπέμπουν ονομάζεται σάρωση (scanning). Έτσι, το UE πρέπει να σαρώσει (δοκιμάσει) με τη σειρά όλες τις διαθέσιμες ραδιοσυχνότητες και να περιμένει συνήθως 0.1 δευτερόλεπτα σε καθεμιά από αυτές μήπως εκπέμπεται κάποιο beacon. Οπωσδήποτε, η σάρωση όλων των συχνοτήτων απαιτεί αρκετό χρόνο ειδικά σε περιπτώσεις μετάβασης από ένα AP σε ένα άλλο. Παραδείγματος χάριν, όταν ο χρήστης μετακινείται στο χώρο και το σήμα του δικτύου εξασθενεί, το UE πρέπει να βρει γρήγορα ένα άλλο AP του δικτύου να συνδεθεί προκειμένου να μη διακοπεί η τρέχουσα σύνδεση. Για το σκοπό αυτό το UE μπορεί να αποστείλει ένα διερευνητικό μήνυμα (probe request message) ανιχνεύοντας την ύπαρξη APs στο χώρο. Κάθε AP που θα λάβει το διερευνητικό μήνυμα θα απαντήσει με ένα μήνυμα (probe response) γνωστοποιώντας την ύπαρξή του στο UE. Slide: 9/26
Λειτουργικό μοντέλο 802.11 /2 Γενικά μπορούμε να πούμε πως η όλη διαδικασία σύνδεσης (συσχέτισης) συνοψίζεται στα ακόλουθα βήματα: Ο σταθμός αναζητά και επιλέγει ένα αναγνωριστικό δικτύου SSID (Service Set Identifier) προκειμένου να συνδεθεί. Κατά συνέπεια ο σταθμός δεν έχει αυθεντικοποιηθεί (unauthenticated) αλλά ούτε και συσχετισθεί (unassociated) ακόμα με το δίκτυο. Ο σταθμός αυθεντικοποιείται στο AP. Στοσημείοαυτόοσταθμός θεωρείται αυθεντικοποιημένος (authenticated) αλλά ακόμα δεν έχει συσχετισθεί με το δίκτυο (unassociated). Ο σταθμός αποστέλλει μια αίτηση (πλαίσιο) συσχέτισης στο AP και ακολούθως λαμβάνει αντίστοιχα από αυτό μια απάντηση. Το αποτέλεσμα είναι ο σταθμός να θεωρείται τόσο ότι έχει πιστοποιήσει την ταυτότητά του (authenticated) όσο και ότι έχει συσχετισθεί (associated) με το δίκτυο μέσω του AP. Slide: 10/26
Λειτουργικό μοντέλο 802.11 /3 Το πρότυπο IEEE 802.11 ορίζει τρεις διαφορετικές κατηγορίες μηνυμάτων (πλαισίων): Μηνύματα ελέγχου (control messages): Σύντομα μηνύματα που ειδοποιούν τις ασύρματες συσκευές για διάφορα γεγονότα, όπως το πότε να αρχίσουν ή να σταματήσουν να εκπέμπουν, αν έχει συμβεί κάποιο λάθος στην επικοινωνία, επιβεβαίωση παραλαβής δεδομένων, κλπ. Μηνύματα διαχείρισης (management messages): Μηνύματα που χρησιμοποιούνται για την ανταλλαγή πληροφοριών μεταξύ UE και AP. Παραδείγματος χάριν, μηνύματα Beacon, Probe, Association, Authentication. Μηνύματα δεδομένων (data messages): Χρησιμοποιούνται για τη μεταφορά των δεδομένων μεταξύ UE και AP μετά από επιτυχή σύνδεση. Κάθε μια από τις παραπάνω κατηγορίες έχει μια κεφαλίδα με διάφορα πεδία που χρησιμοποιούνται στο υποεπίπεδο Medium Access Control (MAC) του επιπέδου ζεύξης δεδομένων του 802.11. Slide: 11/26
Λειτουργικό μοντέλο 802.11 /4 Στην περίπτωση που υπάρχουν περισσότερα από ένα APs στοχώροκαιοχρήστηςπεριάγει(roams) το UE μπορεί να αποφασίσει οποιαδήποτε στιγμή διαπιστώσει ότι το σήμα εξασθενεί να επιχειρήσει να συσχετισθεί με κάποιο άλλο (νέο) AP που διαθέτει ισχυρότερο σήμα. Η διαδικασία ξεκινάει στέλνοντας ένα διαχειριστικό μήνυμα αποσυσχέτισης (disassociation message) στο παλιό AP και ακολούθως επιχειρεί σύνδεση με το νέο AP στέλνοντας ένα μήνυμα επανασυσχέτισης (reassociation message). Το τελευταίο περιέχει κάποιες βασικές πληροφορίες για το παλιό AP έτσι ώστε το νέο να μπορέσει να επικοινωνήσει με το παλιό AP, να επιβεβαιώσει ότι έγινε μετάβαση και πιθανώς να μεταφέρει τυχόν πληροφορίες για το χρήστη και την υπηρεσία που ελάμβανε εκείνη τη στιγμή. Slide: 12/26
Λειτουργικό μοντέλο 802.11 /5 Σε όλες τις παραλλαγές του 802.11 το επίπεδο συνδέσμου μετάδοσης δεδομένων υποδιαιρείται σε δύο ή και περισσότερα υποεπίπεδα. Έτσι, στο 802.11 το δεύτερο επίπεδο υποδιαιρείται στο υποεπίπεδο ελέγχου προσπέλασης μέσου (Medium Access Control, MAC), που ορίζει τον τρόπο με τον οποίο γίνεται η εκχώρηση του καναλιού ή το ποιος σταθμός θα μεταδώσει την επόμενη χρονική στιγμή, και στο υποεπίπεδο έλεγχου λογικού συνδέσμου (Logical Link Layer, LLC). Τοτελευταίοείναιεπιφορτισμένομετονακάνειδιαφανήστοεπίπεδοδικτύου τον τρόπο που τα δεδομένα μεταδίδονται, δηλαδή ποια παραλλαγή του 802.11 χρησιμοποιείται. Κάθε μια από τις τεχνικές μετάδοσης του φυσικού επιπέδου επιτρέπει τη μετάδοση ενός πλαισίου MAC από ένα σταθμό σε ένα άλλο. Slide: 13/26
Λειτουργικό μοντέλο 802.11 /6 Το πρότυπο 802.11 υποστηρίζει τρεις διαφορετικές κατηγορίες πλαισίων MAC που είναι τα πλαίσια δεδομένων, ελέγχου, και διαχείρισης. Στο παρακάτω σχήμα περιγράφεται η γενική μορφή ενός πλαισίου δεδομένων. Slide: 14/26
Λειτουργικό μοντέλο 802.11 /7 Το πρώτο πεδίο που ονομάζεται έλεγχος πλαισίου (frame control) αποτελείται από 11 υποπεδία. Το πεδίο έκδοση πρωτοκόλλου (protocol version) επιτρέπει τη λειτουργία διαφορετικών εκδόσεων του πρωτοκόλλου στην ίδια κυψέλη (cell). Τα επόμενα δύο πεδία τύπος (type) και υποτύπος (subtype) δείχνουν τον τύπο του πλαισίου (δεδομένα, διαχείριση, έλεγχος). Τα δύο bit από DS και προς DS χρησιμοποιούνται προκειμένου να προσδιορίζεται εάν το πλαίσιο κατευθύνεται ή προέρχεται από το σύστημα διανομής πλαισίων (distribution system) που μπορεί να είναι ενσύρματο (π.χ. Ethernet) ήασύρματομεταξύτωνκυψελών. Slide: 15/26
Λειτουργικό μοντέλο 802.11 /8 Το bit MF (More Fragments) σημαίνει ότι θα ακολουθήσουν περισσότερα θραύσματα (fragments). Το bit R (Retry) σημαίνει ότι έχουμε αναμετάδοση πλαισίου που στάλθηκε νωρίτερα. Το bit PM (Power Management) χρησιμοποιείται από το AP για να θέσει τον παραλήπτη σε κατάσταση νάρκης (power save mode, 0) ή νατονεπανα-ενεργοποιήσει (active mode, 1). Στη συνέχεια το bit MD (More Data) σημαίνει ότι ο αποστολέας έχει επιπλέον πλαίσια προς αποστολή. Το bit WEP (Wired Equivalent Privacy) αν είναι 0 σημαίνει ότι δεν έχει χρησιμοποιηθεί ο αλγόριθμος WEP, ενώ αν είναι 1 το αντίθετο. Τέλος, το bit ORD (Order) αν είναι 1 προσδιορίζει στον παραλήπτη ότι πρέπει να επεξεργαστεί τα πλαίσια που λαμβάνει τοποθετώντας τα σε αύξουσα σειρά (strictly ordered). Slide: 16/26
Λειτουργικό μοντέλο 802.11 /9 Το πεδίο διάρκεια (Duration ID) του πλαισίου δεδομένων δείχνει πόσο χρόνο θα απασχολήσουν το κανάλι μετάδοσης το πλαίσιο και η επιβεβαίωσή του. Το πιο σημαντικό ίσως τμήμα της MAC κεφαλίδας είναι τα τμήματα διευθύνσεων που ακολουθούν. Προφανώς οι δύο από αυτές περιέχουν τις διευθύνσεις προέλευσης και προορισμού, όπως ακριβώς στην περίπτωση του Ethernet (802.3). Παραδείγματος χάριν, τη διεύθυνση του UE και τη τελική διεύθυνση προορισμού. Η τελευταία μπορεί να είναι μια διεύθυνση αποκλειστικής διανομής (unicast) ή μια διεύθυνση πολυδιανομής (multicast), δηλαδή το πλαίσιο θα παραδοθεί σε περισσότερα από ένα UE ή ακόμα και σε όλα τα UE που βρίσκονται μέσα στην εμβέλεια του πομπού. Η τελευταία περίπτωση ονομάζεται εκπομπή ή ευρεία μετάδοση (broadcasting) και αποτελεί ειδική περίπτωση της πολυδιανομής. Slide: 17/26
Λειτουργικό μοντέλο 802.11 /10 Σε αντίθεση με το Ethernet, οι MAC κεφαλίδες του 802.11 είναι περισσότερο σύνθετες. Έτσι, ανάλογα με την περίπτωση μπορεί να έχουμε μέχρι τέσσερις διευθύνσεις: Τη διεύθυνση του πομπού (Transmitter Address, TA). Τη διεύθυνση του δέκτη (Receiver Address, RA). Τη διεύθυνση πηγής (Source Address, SA), δηλαδή τη διεύθυνση της συσκευής που δημιούργησε το αρχικό μήνυμα. Τη διεύθυνση προορισμού (Destination Address, DA), δηλαδή τη διεύθυνση της συσκευής που είναι ο τελικός παραλήπτης. Slide: 18/26
Λειτουργικό μοντέλο 802.11 /11 Έτσι, όταν το δίκτυο λειτουργεί Ad-Hoc τότε η MAC κεφαλίδα περιέχει μόνο δύο διευθύνσεις (SA & DA) γιατί όλα τα UE επικοινωνούν απευθείας μεταξύ τους. Αντίθετα, όταν το δίκτυο λειτουργεί σε Infrastructure mode, όλα τα UE στέλνουν τις πληροφορίες τους μέσω των AP που είναι συνδεδεμένα και αυτά αναλαμβάνουν να τα προωθήσουν στους τελικούς προορισμούς τους. Στην περίπτωση αυτή απαιτούνται τρεις διευθύνσεις: SA = TA (UA πηγή / πομπός), RA (η διεύθυνσητουap) και DA (τελικός προορισμός). Ο ίδιος αριθμός(τριών) διευθύνσεων χρησιμοποιείται και προς την αντίθετη φορά δηλαδή: SA (συσκευή που δημιούργησε το μήνυμα), TA (η διεύθυνσητουap), RA = DA (UA προορισμός / δέκτης). Τέλος, όλες οι διευθύνσεις χρησιμοποιούνται στην περίπτωση που επιπλέον έχουμε μετάδοση από ένα AP σε ένα άλλο, δηλαδή ασύρματη γεφύρωση (bridging) μεταξύ κυψελών. Slide: 19/26
Λειτουργικό μοντέλο 802.11 /12 Οι διευθύνσεις MAC, άρα και τα συγκεκριμένα πεδία, είναι πολύ σημαντικά για την ασφάλεια, λόγω του ότι οι επιτιθέμενοι πολύ συχνά προσπαθούν να τα αλλάξουν προσποιούμενοι για παράδειγμα νόμιμους χρήστες του δικτύου. Η περίπτωση αυτή όπως ήδη ειπώθηκε στα προηγούμενα αποτελεί κλασσικό παράδειγμα επίθεσης hijacking. Επίσης, ένα πολύ σημαντικό ζήτημα ασφάλειας με τις διευθύνσεις MAC είναι ότι αυτές δεν μπορούν να προστατευτούν, δηλαδή μεταδίδονται σε μορφή αρχικού κειμένου (cleartext). Αυτό γιατί πρέπει να είναι ορατές από οποιαδήποτε εμπλεκόμενη συσκευή του δικτύου προκειμένου τα πλαίσια να μπορούν να φτάσουν στον τελικό προορισμό τους. Slide: 20/26
Λειτουργικό μοντέλο 802.11 /13 Το πεδίο ακολουθία (Sequence Control) επιτρέπει την αρίθμηση των θραυσμάτων. Έτσι, τα πρώτα 12 bit προσδιορίζουν το πλαίσιο ενώ τα υπόλοιπα 4, τον αύξοντα αριθμό θραύσματος. Το πεδίο δεδομένα (data) περιέχει το ωφέλιμο φορτίο, το οποίο μπορεί να έχει μήκος μέχρι 2312 bytes και ακολουθείται από το πεδίο Άθροισμα ελέγχου (Cyclic Redundancy Check, CRC) για την ανίχνευση λαθών στη μετάδοση. Slide: 21/26
Λειτουργικό μοντέλο 802.11 /14 Αντίθετα με τα πλαίσια δεδομένων τα πλαίσια ελέγχου και διαχείρισης είναι μικρότερα. Τα πλαίσια διαχείρισης για παράδειγμα δεν περιέχουν τέταρτη διεύθυνση, ενώ τα πλαίσια ελέγχου περιέχουν μια ή δύο διευθύνσεις και δεν περιέχουν πεδίο δεδομένων και ακολουθίας. Τα περισσότερο ενδιαφέροντα από πλευράς ασφαλείας είναι τα πλαίσια διαχείρισης αφού όπως θα δούμε στα επόμενα, εμπλέκονται στα πρωτόκολλα ασφάλειας που χρησιμοποιεί το δίκτυο. Αναλυτικά ένα πλαίσιο διαχείρισης μπορεί να είναι: Beacon (αναγγελία μόνο χωρίς αναμενόμενη απάντηση), Probe (αίτηση και απάντηση), Authenticate (αίτηση και απάντηση), Associate (αίτηση και απάντηση), Reassociate (αίτηση και απάντηση), Disassociate (αίτηση και απάντηση), Deauthenticate (αίτηση και απάντηση). Slide: 22/26
Λειτουργικό μοντέλο 802.11 /15 Όπως φαίνεται στο Σχήμα τα πλαίσια διαχείρισης αποτελούνται από δύο μέρη. Το πρώτο από αυτά είναι ένα σύνολο από σταθερά πεδία (fixed fields), ενώ το δεύτερο από διάφορα στοιχεία (elements). Για παράδειγμα, τα πλαίσια beacon (βλ. Σχήμα) απαρτίζονται από τα παρακάτω πεδία: Slide: 23/26
Λειτουργικό μοντέλο 802.11 /16 Σύμφωνα με το πρότυπο IEEE 802.11 (http://grouper.ieee.org/groups/802/11/) κάθε ασύρματο τοπικό δίκτυο πρέπει να παρέχει εννέα υπηρεσίες που εντάσσονται στις εξής δύο κατηγορίες: (α) Υπηρεσίες διανομής και (β) Υπηρεσίες σταθμών. Οι πέντε συνολικά υπηρεσίες διανομής αναφέρονται στη διαχείριση των μελών κάθε κυψέλης καθώς και στην αλληλεπίδραση με άλλους σταθμούς εκτός αυτής. Οι υπηρεσίες αυτές παρέχονται από τα APs και σχετίζονται με την κινητικότητα των σταθμών, όπως σύνδεση (συσχέτιση), αποσύνδεση, κλπ. Από την άλλη πλευρά, οι τέσσερις υπηρεσίες σταθμών σχετίζονται με γεγονότα που συμβαίνουν μέσα σε κάθε κυψέλη και λαμβάνουν χώρα αφού πραγματοποιηθεί η σύνδεση κάποιου σταθμού με ένα AP. Slide: 24/26
Λειτουργικό μοντέλο 802.11 /17 Συσχέτιση (Association): Όπως ήδη αναφέρθηκε παραπάνω, η υπηρεσία αυτή χρησιμοποιείται από τους σταθμούς των χρηστών προκειμένου να συνδεθούν σε κάποιο AP. Αμέσως μόλις κάποιος σταθμός μετακινηθεί στην εμβέλεια ενός AP του ανακοινώνει την ταυτότητα και τις δυνατότητές του. ΑπότηπλευράτουτοAP μπορεί να αποδεχθεί ή να απορρίψει τον κινητό σταθμό. Ο σταθμός θα πρέπει επίσης να αυθεντικοποιηθεί στο AP. Αποσυσχέτιση (Disassociation): Αποσυσχέτιση μπορεί να εκκινηθεί είτε από το UE είτε από το AP σε οποιαδήποτε στιγμή αυτό κριθεί σκόπιμο. Επανασυσχέτιση (Reassociation): Κάνοντας χρήση της συγκεκριμένης υπηρεσίας ένας σταθμός μπορεί να μετακινηθεί σε ένα άλλο (νέο) AP. H δυνατότητα αυτή είναι ιδιαίτερα χρήσιμη σε σταθμούς που μετακινούνται από κυψέλη σε κυψέλη έτσι ώστε η σύνδεση να μεταφερθεί ομαλά στο νέο σημείο πρόσβασης χωρίς την απώλεια δεδομένων. Διανομή (Distribution): Η υπηρεσία αυτή καθορίζει τον τρόπο με τον οποίο θα δρομολογούνται τα πλαίσια που αποστέλλονται στα APs. Έτσι, σε περίπτωση που ο αποδέκτης βρίσκεται εκτός κυψέλης, τα πλαίσια πρέπει να προωθηθούν μέσω του ασύρματου δικτύου ή μιας ασύρματης γέφυρας. Slide: 25/26
Λειτουργικό μοντέλο 802.11 /18 Ενοποίηση (Integration): Η υπηρεσία αυτή σχετίζεται με το ετερογενές περιβάλλον δικτύωσης. Πιο συγκεκριμένα, αν ένα πλαίσιο πρέπει να δρομολογηθεί διαμέσου ενός δικτύου που δεν ακολουθεί το πρότυπο 802.11 τότε η υπηρεσία της ενοποίησης είναι υπεύθυνη για τη μετατροπή του πλαισίου από 802.11 στη μορφή που απαιτεί το δίκτυο προορισμού. Πιστοποίηση ταυτότητας (Authentication): Ο κάθε σταθμός είναι υποχρεωμένος να πιστοποιήσει την ταυτότητά του πριν του επιτραπεί να στείλει και να λάβει δεδομένα. Ακύρωση πιστοποίησης ταυτότητας (Deauthentication): Σε περίπτωση εγκατάλειψης του δικτύου από ένα σταθμό, ακυρώνεται παράλληλα η πιστοποίηση που είχε λάβει, με αποτέλεσμα ο σταθμός να μην μπορεί πλέον να χρησιμοποιήσει τους πόρους του δικτύου. Προστασία απορρήτου ή εμπιστευτικότητα (Confidentiality): Οι πληροφορίες που αποστέλλονται μέσω του δικτύου θα πρέπει να κρυπτογραφούνται ώστε να διατηρείται το απόρρητο των επικοινωνιών. Παράδοση δεδομένων (Data delivery): Λόγω του ότι το 802.11 βασίζεται στο μοντέλο του Ethernet η μετάδοση δεν είναι 100% αξιόπιστη. Είναι ευθύνη των ανώτερων επιπέδων να αντιμετωπίσουν τυχόν σφάλματα και αν είναι δυνατόν να τα επιδιορθώσουν. Slide: 26/26