PPPoE e Wireless LAN
Con l’introduzione delle tecnologie broadband come i cable modem, usati per far viaggiare Internet sulla TV via cavo e l’ADSL, gli Internet Service Providers hanno adottato una metodologia per risolvere il problema dell’autenticazione degli utenti nell’ambito broadband. Nella loro configurazione standard, L’ADSL e i cable modem sono in grado di emulare una rete ethernet: sebbene l’uso del DHCP avrebbe semplificato l’amministrazione lato ISP e la configurazione lato utente, non avrebbe permesso l’identificazione univoca dell’utente per l’erogazione dei servizi acquistati o per il pagamento in caso di “pay per use”.
Questo problema è stato risolto con l’introduzione del protocollo Point-to-Point Protocol over Ethernet (PPPoE). In breve, questa tecnologia permette di incapsulare il protocollo PPP, usato nella sua accezione più comune sui collegamenti via modem, sul mezzo trasmissivo ethernet. In questo modo, traendo vantaggio della velocità del mezzo ethernet, è possibile riconoscere l’utente e fornire servizi adeguati, quali altri protocolli (ad esempio IPX e NetBIOS), e IP statici. Attraverso l’adozione di PPPoE è quindi possibile personalizzare i servizi erogati in base all’utente anziché in base all’ubicazione stessa dell’utente.
Analogamente alle tecnologie ADSL e cable modem, la wireless LAN è in grado di emulare una rete ethernet. Anche in ambito wireless è possibile sfruttare quindi la tecnologia PPPoE ad esempio fornendo servizi personalizzati all’utente quali l’IP address fisso e access lists basate a livello utente.
PPPoE è paragonabile all’uso di IEEE 802.1x a livello autenticazione, ma offre alcuni vantaggi. Non tutti i produttori hanno scelto di implementare 802.1x nei loro Access Point, in special modo sugli AP a basso costo, pertanto tutti gli AP che non dispongono di funzionalità 802.1x devono essere sostituiti. Inoltre 802.1x non copre la funzionalità di crittografia dati, mentre PPPoE offre un’architettura scalabile che vedremo in seguito. PPPoE, inoltre, non richiede l’uso di indirizzamenti a livello 3 (esempio IP) direttamente sulla ethernet, offuscando di fatto la topologia della rete interna, inoltre non richiede una infrastruttura PKI per l’autenticazione dell’utente. PPPoE, di contro ha un problema relativo alla lunghezza dei pacchetti trasmessi, chiamata Maximum Transmission Unit (MTU). In pratica la lunghezza dei pacchetti non può superare i 1492 bytes, causando problemi di performance su una grossa mole di dati trasmessi.
L’uso di PPPoE richiede che una macchina, sia essa un router od un server, funga da collegamento tra la rete interna e la rete Wireless. Questa macchina, denominata Access Concentrator, avrà il compito di autenticare e autorizzare in primo luogo l’utente, successivamente di codificare e decodificare il protocollo PPPoE
È bene ricordare che durante la configurazione dell’Access Concentrator, lo scambio delle password tra il server e il client non deve essere di tipo Password Authentication Protocol (PAP), in quanto le password vengono scambiate in chiaro con questa metodologia. Si suggeriscono metodologie alternative, quali l’uso di CHAP e MS-CHAPv2.
L’uso di PPPoE in alcune tipologie di ambienti non ha vantaggi rispetto a IEEE 802.1x, ma la soluzione PPPoE è l’ideale qualora non si possa usare 802.1x congiuntamente ad IPSec, ad esempio dove 802.1x non è disponibile e negli ambienti SOHO. Nei prossimi capitoli verranno descritti in maniera dettagliata quali ambienti possono essere l’ideale per la soluzione PPPoE.
Crittografia
Possiamo paragonare pertanto la wireless LAN a una rete pubblica di accesso. Ad esempio, nella Rete Telefonica Commutata (RTC), un aggressore può intercettare le password e i dati inserendosi nel sistema di distribuzione solitamente posizionato sulla strada. La wireless LAN è soggetta a vari attacchi ed è sempre suggeribile aggiungere un livello di crittografia in più rispetto a quanto offerto da WEP.
Il protocollo PPP e di conseguenza PPPoE, offre un’architettura di crittografia chiamata Microsoft Point-To-Point Encryption Protocol (MPPE). Questa estensione del Compression Control Protocol (CCP) è stata introdotta da Microsoft per applicare la sicurezza nel protocollo di VPN chiamato Point-to-Point Tunneling Protocol (PPTP). MPPE è basato sull’algoritmo Rivest-Shamir-Adleman (RSA) RC4 per effettuare la crittografia dei pacchetti e può usare una chiave crittografica fino a 128-bit. Inoltre MPPE può negoziare una modalità detta stateless che permette di cambiare la chiave di crittografia ogni qual volta esso si collega.
È abbastanza semplice introdurre l’uso di MPPE su collegamento basato su PPPoE, anche se non tutte le piattaforme supportano l’uso congiunto delle due tecnologie. PPPoE con l’estensione MPPE può essere un modo semplice per affrontare il problema di sicurezza in ambito wireless.