Você está na página 1de 8

Avaliando a Sobrecarga Introduzida nas Redes 802.

11 pelos
Mecanismos de Seguranca WEP e VPN/IPSec

Paulo Ditarso Maciel Junior, Bruno Astuto Arouche Nunes,

Carlos Alberto Vieira Campos, Lus Felipe Magalhaes de Moraes

Laborat rio de Redes de Alta Velocidade RAVEL


o
Programa de Engenharia de Sistemas e Computacao COPPE/UFRJ

Caixa Postal: 68.511 21941-972 Rio de Janeiro, RJ

pdmjr,bastuto,carlosvc,moraes @cos.ufrj.br

Resumo. Apresenta-se neste artigo uma an alise comparativa da sobrecarga intro

duzida nas Redes 802.11b pelos mecanismos de seguranc a WEP e VPN/IPSec. E anal
isado o comportamento dos trafegos TCP e UDP, sob alguns cenarios de redes locais

sem o em funcao do n mero de conex es ativas e da soluc ao de seguranc a utilizada.

u
o

De posse desta an lise, pode-se estimar de maneira mais adequada, a aplicac ao destes
a

mecanismos no ambiente de rede sem o desejado, tomando como base o protocolo da


camada de transporte utilizado e o nvel de seguranc a pretendido.

Abstract. In this article it is presented a comparative analysis of the overhead introduced in IEEE 802.11 networks, by security mechanisms as WEP and VPN/IPSec. TCP
and UDP trafc behavior are analysed under different wireless environments, concerning the number of active connections and security solution implemented. Through this
analysis, it is possible to estimate the most appropriate security mechanism to be applied in the intended wireless environment, concerning the transport layer protocol used
and the wanted security level.

1. Introducao

O padr o IEEE 802.11b [1] e uma das solucoes mais adotadas para redes locais sem o
a

(Wireless Local Area Networks - WLANs). Esse padr o est cada vez mais presente nas empresas,
a
a
hot is, f bricas e lugares p blicos como aeroportos, universidades, hospitais e centros comerciais,
e
a
u
oferecendo a possibilidade de acesso a rede com suporte a mobilidade.
`
`
O problema desta tecnologia emergente, est na sua falta de seguranca, devido a para

`
ticularidades do meio fsico de transmiss o. Como os dados s o transmitidos pelo ar, n o ex
a
a
a
istem limites denidos como no caso das redes cabeadas. Dessa forma, e possvel interceptar

informacoes mesmo que a longas dist ncias, sem necessariamente estar no mesmo ambiente ou

a
pr dio da WLAN.
e
As redes sem o, geralmente, est o conectadas a infra-estrutura da rede cabeada,
a
`
tornando-se assim, mais f cil para o invasor ganhar acesso a toda base de dados da empresa.
a
Por isso, e extremamente importante a implementac ao de mecanismos e sistemas de seguranc a

as WLANs. Todavia, a escolha destes mecanismos e sistemas deve ser criteriosa, devido a sua
`
`
Esse trabalho foi realizado com recursos da CAPES e da FAPERJ.

sobrecarga adicional inserida no tr fego da rede. Dentro desse contexto, este trabalho apresenta
a
uma avaliacao dessa sobrecarga em alguns cen rios de utilizac ao do padr o IEEE 802.11b.

a
O presente artigo est organizado da seguinte forma. Na secao 2, s o apresentados os
a

a
principais mecanismos de seguranca utilizados em redes sem o. Na secao 3, s o descritos os

a
cen rios onde as medicoes foram realizadas em funcao do tipo de tr fego, n mero de conex es e
a

a
u
o
o protocolo de transporte utilizado. A avaliac ao dos resultados obtidos e mostrada na secao 4. Por

m, as conclus es e trabalhos futuros s o apresentados na secao 5.


o
a

2. Mecanismos de Seguranca utilizados nas WLANs

Existem v rias propostas para implementar seguranc a em WLANs como por exemplo,
a

a utilizacao de Firewalls [2], mecanismos de autenticac ao como o Kerberos e o RADIUS [3],

implementacao de novos protocolos para garantir privacidade e autenticac ao no padr o IEEE

a
802.11 [1], propostas baseadas no padr o IEEE 802.1x [4] e a utilizac ao de Redes Virtuais Privadas
a

(Virtual Private Network - VPNs).


Em [5], as solucoes de seguranc a s o classicadas em: baseadas e n o-baseadas em

a
a
padr es. Dentre as baseadas em padr es, destaca-se o algoritmo de criptograa Wired Equivao
o
lent Privacy - WEP [1], por fazer parte da especicacao padr o do IEEE 802.11. Das solucoes

n o-baseadas em padr es, as VPNs atrav s do Protocolo IP Seguro (IP Security Protocol - IPSec)
a
o
e
[6, 7] s o as mais utilizadas e possuem um alto nvel de seguranc a. Por outro lado, quanto maior
a

for esse nvel de seguranca, maior ser a sobrecarga no sistema, como mostrado na secao 4. Nas

secoes abaixo, ser o descritos os mecanismos WEP e VPN/IPSec.

a
2.1. O Mecanismo Wired Equivalent Privacy - WEP
O padr o IEEE 802.11 utiliza o protocolo WEP na camada de enlace para autenticar e
a
criptografar os dados que ser o transmitidos na rede sem o. A gura 1 mostra como o WEP
a
funciona:

Figura 1: O funcionamento do WEP

O Vetor de Inicializac ao - VI de 24 bits e concatenado com a chave secreta, que pode ser

de 40 ou 104 bits, resultando em uma chave composta de 64 ou 128 bits. Esta, por sua vez, serve
de entrada para um gerador de n meros pseudo-aleat rios (PRNG) que e baseado no algoritmo
u
o

RC4 [8].
A sada do PRNG e uma seq encia pseudo-aleat ria de bits baseada na chave composta e

u
o
com o mesmo tamanho do texto a ser criptografado. Esse texto e obtido atrav s da concatenac ao

do texto puro com o resultado do processo para checagem de integridade (Integrity Check Value
- ICV) que utiliza o algoritmo de checagem de redund ncia CRC-32 (Cyclic Redundancy Check).
a

A seq encia de bits pseudo-aleat ria e utilizada para criptografar o texto atrav s de uma operac ao
u
o
e

bin ria XOR. O resultado do XOR e concatenado com o VI e enviado pelo emissor atrav s do
a

e
meio de transmiss o.
a
O receptor usa o VI que vem no incio do pacote e a chave secreta compartilhada para gerar

a mesma seq encia criada pelo PRNG e decriptografar o texto cifrado. Ent o, aplica-se o CRCu
a
32 e compara-o com o ICV concatenado ao texto puro para checar a integridade da mensagem
recebida.
O IEEE 802.11 dene dois m todos de autenticac ao:
e

Autenticac ao com sistema aberto (Open System Authentication): a estacao pode associar

se com qualquer ponto de acesso e escutar todos os dados que s o transmitidos sem cripa
tograa. Este m todo basea-se na transmiss o da identidade da estacao que quer ser aute
a

enticada para a estacao que realizar a autenticac ao;

Autenticac ao com chave pr -compartilhada (Pre-Shared Key Authentication): m todo

e
e
baseado no mecanismo desao-resposta (challenge-response).

Figura 2: A autenticacao no protocolo WEP

A gura 2 ilustra este processo de autenticac ao. A estacao A envia uma requisic ao e a sua

identicacao (Auth Req; Sta ID) para a estacao B. B responde com uma mensagem contendo um

desao de 128 bits (Challenge). A estacao A copia o desao em uma nova mensagem, criptografa

com a chave WEP pr -compartilhada e reenvia para B (Response). A estacao B checa a resposta
e

de A e responde com o resultado do procedimento de autenticac ao (Result).

2.2. O Mecanismo Virtual Private Network - VPN com IP Secure - IPSec


Foi utilizado o IPSec para estabelecer a VPN entre o ponto de acesso e as estacoes sem

o. O IPSec prov seguranc a atrav s de criptograa e/ou autenticac ao na camada IP.


e

Dentre v rias propriedades desej veis em comunicac ao de dados segura, pode-se citar: a
a
a

condencialidade, a integridade e a autencidade, como as mais comuns. O IPSec fornece estas caractersticas na utilizacao de dois protocolos: Cabecalho de Autenticac ao (Authentication Header

AH) [9] e o Encapsulamento Seguro do Campo de Dados (Encapsulating Security Payload - ESP)
[10]. O AH e o ESP suportam dois modos de operacao: transporte e t nel.

u
Modo Transporte: O modo transporte prov protecao para os protocolos da camada supee

usado, geralmente, em comunicac oes m-a-m entre estacoes.


rior (TCP e UDP, por exemplo). E

Neste modo o ESP criptografa e, opcionalmente, autentica o campo de dados do pacote IP. O AH
autentica o campo de dados IP e campos do cabecalho IP. A Figura 3(b) ilustra o ESP e o AH no

modo transporte.
Modo T nel: Tipicamente utilizado para estabelecer VPNs, prov protecao ao pacote IP
u
e

completo. Os campos do AH e ESP s o adicionados ao pacote IP e tudo passa a ser tratado


a

como o campo de dados do pacote IP de um novo pacote, inclusive com um novo cabecalho IP. A

Figura 3(c) mostra o funcinamento do IPSec em modo t nel. O ESP criptografa e, opcionalmente,
u
autentica todo o pacote IP interno. O AH autentica o pacote IP interno e partes do cabecalho

externo.

Figura 3: Formato do pacote IPSec.

3. Ambientes dos Testes


Nesta secao, ser o descritas as caractersticas e a congurac ao do ambiente que foram

realizados os testes.
3.1. Equipamentos
Foram utilizados quatro equipamentos para a realizac ao dos experimentos com a seguinte

conguracao:

Pentium 166MHz, 16MB de RAM, placa WLAN PCMCIA 11Mbps, placa Ethernet
100Mbps (ponto de acesso);
Pentium III 1GHz, 256MB de RAM, placa WLAN PCMCIA 11Mbps (estacao sem o);

Pentium III 700MHz, 256MB de RAM, placa Ethernet 100Mbps (estacao com o);

Pentium IV 1.8GHz, 256MB de RAM, placa WLAN PCMCIA 11Mbps (estacao m vel).

As interfaces de rede sem o est o de acordo com o padr o IEEE 802.11b, cujo protocolo
a
a
de acesso ao meio e o CSMA/CA e o a banda passante nominal e de 11 Mbps.

3.2. Programas Necessarios


O sistema operacional no ponto de acesso e o OpenBSD 3.2 e as demais estacoes utilizam

o Windows XP. Foi estabelecida uma VPN atrav s do protocolo ESP com autenticac ao do IPSec
e

funcionando em modo t nel. Para isto, utiliza-se o daemon ISAKMP [11] no ponto de acesso e o
u
programa SSH Sentinel [12] como cliente VPN nas estacoes sem o. A VPN utiliza uma chave

pr -compartilhada para a autenticac ao e o algoritmo 3DES-CBC (168 bits) para criptograa. O


e

outro mecanismo de seguranca utilizado foi o protocolo WEP com a chave composta no tamanho

de 128 bits.
Foi utilizado o programa IP Trafc [13] para geracao do tr fego TCP e UDP, e para mon
a
itorar a rede. Com ele pode-se exportar as estatsticas do traf go monitorado para uma posterior

e
an lise.
a
3.3. Conguracao dos Cen rios de Testes

a
, sem nenhum obst culo fsico entre os
a

Os testes foram realizados em uma sala de 35


equipamentos. O mesmo conjunto de testes foram executados sob dois cen rios diferentes:
a

Cen rio 1: comunicac ao entre uma estacao sem o e uma estacao com o, como pode ser
a

visto na gura 4(a).


Cen rio 2: comunicac ao entre duas estacoes sem o, como pode ser visto na gura 4(b).
a

Figura 4: Cenarios de realizacao dos testes

Utiliza-se o IP Trafc para gerar um tr fego CBR com o tamanho de pacote IP de 1500
a
bytes, para evitar fragmentac ao, e um intervalo entre pacotes de 1 milisegundo para saturar o canal.

Para cada cen rio, foi avaliado o comportamento do tr fego TCP e UDP tanto para uma unica
a
a

conex o, quanto para oito conex es simult neas. Atrav s de testes realizados com a ferramenta IP
a
o
a
e
Trafc, percebeu-se que com mais de oito conex es o aumento na vaz o n o foi signicante. Com
o
a a
isso, os testes foram realizados com uma e com oito conex es.
o
Em cada congurac ao dos testes descritos acima, variou-se o nvel de seguranc a. Primeiro,

foi monitorado o tr fego sem nenhum mecanismo de seguranca. Depois, observou-se o compora

tamento do mesmo tr fego sob a criptograa do WEP com 128 bits. Em seguida, foi medido o
a
tr fego passando por uma VPN. Por m, o monitoramento do tr fego passando pelo mais alto nvel
a
a

de seguranc a alcancado com estas tecnologias, que e a aplicacao da criptograa tanto na camada

de enlace com o WEP de 128 bits, quanto na camada de rede com a VPN.

4. Avaliacao dos Resultados Obtidos

As guras 5(a) e 5(b) apresentam o tr fego TCP, sob diferentes nveis de seguranca, para
a

uma e para oito conex es ativas respectivamente. Ambas comportam-se de maneira semelhante,
o
com um pequeno ganho na vaz o no tr fego com oito conex es devido o aumento da carga no
a
a
o

canal, atingindo assim a vaz o m xima. E importante observar a grande perda ocorrida na vaz o
a
a
a
do canal devido ao aumento no grau de seguranca da comunicac ao.

Para 8 conex es ativas, o tr fego sem seguranca atinge uma vaz o m dia de aproximadao
a

a
e
mente 5 Mbps. O tr fego criptografado com o algoritmo WEP de 128 bits apresenta-se com uma
a
vaz o m dia pr xima de 2,7 Mbps. Uma perda de aproximadamente 46% em relacao a vaz o
a
e
o
`
a
m xima obtida. Quando e estabelecida a VPN a vaz o cai ainda mais. Com o nvel m ximo de
a

a
seguranca, atingido com o WEP e VPN ao mesmo tempo, a vaz o m dia cai para 1,6 Mbps. Cerca

a
e
de 33% da vaz o atingida pelo tr fego sem seguranca, ou seja, uma queda de aproximadamente
a
a

67%. A mesma an lise aplica-se aos tr fegos com uma conex o ativa, por m, com uma pequena
a
a
a
e
reducao nos valores m dios obtidos.

e
Este comportamento e devido a sobrecarga introduzida na rede pelos mecanismos de

`
seguranca adotados. No WEP, al m do tempo computacional requerido para as operacoes de

sem segurana
wep128
vpn
wep128+vpn

10000

8000
Vazo (Kbit/s)

Vazo (Kbit/s)

8000
6000
4000

sem segurana
wep128
vpn
wep128+vpn

10000

2000

6000
4000
2000

0
0

50

100 150 200 250 300 350 400 450 500


Tempo (s)

50

(a) Uma conex o TCP


a

6000
4000
2000

sem segurana
wep128
vpn
wep128+vpn

10000
8000
Vazo (Kbit/s)

8000
Vazo (Kbit/s)

(b) Oito conex es TCP


o

sem segurana
wep128
vpn
wep128+vpn

10000

100 150 200 250 300 350 400 450 500


Tempo (s)

6000
4000
2000

0
0

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(c) Uma conex o UDP


a

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(d) Oito conex es UDP


o

Figura 5: A vazao da rede no cenario 1 em funcao do numero de conexoes e do protocolo

de transporte

criptograa e decriptograa, os quadros da camada de enlace possuem 8 bytes de informacoes

adicionais, compostas pelo VI e pelo ICV. A VPN no modo t nel protege todo o pacote IP atrav s
u
e
de criptograa, encapsula o cabecalho ESP ao pacote, aplica o algoritmo de autenticac ao, e por

m, adiciona um novo cabecalho IP ao pacote gerado. Isso signica que, al m do tempo gasto nas

e
operacoes de criptograa e autenticac ao, s o inseridos ainda mais dados de controle na rede do

a
que com o WEP. Ao mesmo tempo que s o inseridos dados de controle no tr fego da rede, existe
a
a
ainda o processo de fragmentac ao e defragmentac ao dos pacotes que ultrapassam o tamanho da

unidade m xima de transfer ncia (Maximum Transfer Unit - MTU).


a
e
As guras 5(c) e 5(d) representam as mesmas medicoes apresentadas acima, agora no

protocolo UDP. Vericou-se novamente o mesmo comportamento de queda na vaz o com relacao
a

as implementac oes de seguranc a, com uma perda ainda mais acentuada quando utiliza-se VPN.

Comparando os resultados com os obtidos para o tr fego TCP, verica-se uma vaz o ligeiramente
a
a
maior no UDP, j que n o existe tr fego de controle para este protocolo.
a
a
a
A gura 6 ilustra o tr fego TCP para uma conex o ativa nos dois cen rios apresentados.
a
a
a
O cen rio 1, gura 6(a), com a comunicac ao entre uma estacao sem o e outra com o, e na gura
a

6(b), o cen rio 2 com a comunicac ao entre uma estacao sem o e um computador port til. No
a

a
cen rio 2, notou-se a reducao nas vaz es encontradas em relacao ao cen rio 1, pelo fato de exisa

a
tirem duas estacoes disputando o meio de transmiss o atrav s do protocolo CSMA/CA. Diferente

a
e
do cen rio 1 onde tem-se apenas uma unica estacao disputando o meio sem o, e toda comunicac ao
a

entre o ponto de acesso e a estacao com o e atrav s do padr o Ethernet que e baseado no pro

e
a

tocolo de acesso ao meio CSMA/CD. Al m disso, o padr o Ethernet utlizado tem uma taxa de
e
a

sem segurana
wep128
vpn
wep128+vpn

10000

8000
Vazo (Kbit/s)

Vazo (Kbit/s)

8000
6000
4000
2000

sem segurana
wep128
vpn
wep128+vpn

10000

6000
4000
2000

0
0

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(a) Cen rio 1 com uma conex o TCP


a
a

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(b) Cen rio 2 com uma conex o TCP


a
a

Figura 6: A vazao em diferentes cenarios

transmiss o nominal de 100 Mbps, enquanto no padr o 802.11b e de 11 Mbps.


a
a

A gura 7 apresenta todos os resultados obtidos dos experimentos descritos acima e aplicados no cen rio 2. Foi constatada mais uma vez a inu ncia na vaz o da rede devido a aplicac ao
a
e
a
`

de uma comunicacao com diferentes nveis de seguranc a.

5. Conclus es e Trabalhos Futuros


o
Neste trabalho foi apresentado um estudo sobre a inu ncia da sobrecarga introduzida
e
nas redes 802.11b pelos mecanismos de seguranc a WEP e VPN/IPSec. Os resultados obtidos

mostraram que esses mecanismos introduzem informacoes adicionais de controle na rede que re
duziram a vaz o da rede. Constatou-se que a utilizacao de VPN provendo seguranc a em ambientes
a

sem o, adiciona uma alta sobrecarga no sistema dimuindo a vaz o efetiva m dia em aproximadaa
e
mente 60%, conforme o esperado. Com o protocolo WEP, a reducao m dia foi de aproximada
e
mente 34%.
Para WLANs que n o necessitam de um alto nvel de seguranc a, recomenda-se a utilizac ao
a

do protocolo de criptograa WEP com 128 bits. J em ambientes que a condencialidade dos
a
dados e uma prioridade, recomenda-se a utilizac ao de VPNs. Entretanto, como a reducao da vaz o

a
pode chegar a 60%, algumas aplicac oes que necessitem de um requisito mnimo de qualidade de

servico podem ser prejudicadas, como por exemplo, aplicac oes multimdias.

Como trabalhos futuros, pretende-se estender a avaliacao realizada a outras m tricas de

`
e
desempenho, como retardo m-a-m, variacao do atraso jitter e taxa de perda. Al m disso,

e
deseja-se avaliar outros mecanimos de seguranc a tais como, 802.1x, DHCP Seguro e sistemas

de autenticac ao como RADIUS e Kerberos. Por m, pretende-se modelar analiticamente a sobre


carga adicionada pelos mecanismos de seguranc a citados acima.

Refer ncias
e
[1] 802.11b, Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specication:
Higher-Speed Physical Layer Extension in the 2.4 GHz Band. IEEE Std 802.11b, 1999.
[2] W. W. U. Murthy, O. Bukhres and E. Vanderdez, Firewalls for Security in Wireless Networks,
in Thisty-First Annual Hawaii International Conference on System Scicens, jan 1998.
[3] H. M. A. Prasad and J. Kruys, Security Architecture for Wireless LANs: Corporate & Public
Environment, IEEE VTC2000, 2000.

sem segurana
wep128
vpn
wep128+vpn

10000

8000
Vazo (Kbit/s)

Vazo (Kbit/s)

8000
6000
4000

sem segurana
wep128
vpn
wep128+vpn

10000

2000

6000
4000
2000

0
0

50

100 150 200 250 300 350 400 450 500


Tempo (s)

50

(a) Uma conex o TCP


a

6000
4000
2000

sem segurana
wep128
vpn
wep128+vpn

10000
8000
Vazo (Kbit/s)

8000
Vazo (Kbit/s)

(b) Oito conex es TCP


o

sem segurana
wep128
vpn
wep128+vpn

10000

100 150 200 250 300 350 400 450 500


Tempo (s)

6000
4000
2000

0
0

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(c) Uma conex o UDP


a

50

100 150 200 250 300 350 400 450 500


Tempo (s)

(d) Oito conex es UDP


o

Figura 7: A vazao da rede no cenario 2 em funcao do numero de conexoes e do protocolo

de transporte

[4] 802.1x, Standard for Port Based Network Access Control. IEEE Std 802.11b, 2000.
[5] M. Casole, WLAN Security - Status, Problems and Perspective, in European Wireless 2002, feb
2002.
[6] R. A. S. Kent, Security Architecture for the Internet Protocol, IETF RFC 2401, nov 1998.
[7] N. D. R. Thayer and R. Glenn, IP Security Document Roadmap, IETF RFC 2411, nov 1998.
[8] RC4: Encrypty Algoritm of RSA Security, 2003. http://www.rsasecurity.com.
[9] R. A. S. Kent, IP Authentication Header, IETF RFC 2402, nov 1998.
[10] R. A. S. Kent, IP Encapsulating Security Payload (ESP), IETF RFC 2406, nov 1998.
[11] M. S. D. Maughan, M. Schertler and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), IETF RFC 2408, nov 1998.
[12] SSH Sentinel: Client Software for VPN/IPSec, 2003. http://www.ssh.com.
[13] IP Trafc: a Tool for Generation and Monitoring of Trafc, 2003. http://www.zti-telecom.com.