Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Serviços de Fornecimento sem Fios (WPS)

Qual a função dos Serviços de Fornecimento sem Fios?

Um crescente número de utilizadores acede à Internet através de um número cada vez maior de redes públicas sem fios ou pontos activos Wi-Fi (wireless fidelity). A utilização do WPS (Wireless Provisioning Services, Serviços de Fornecimento sem Fios) oferece aos utilizadores móveis uma experiência de conectividade consistente e contínua a pontos activos Wi-Fi públicos, através do fornecimento automático do cliente e do acesso itinerante contínuo. O WPS permite que os Fornecedores de Serviços Internet Sem Fios (WISPs, Wireless Internet Service Providers) utilizem uma plataforma integrada baseada em normas para fornecer pontos activos Wi-Fi com segurança avançada, de fácil utilização e gestão. Além disso, o WPS permite às empresas fornecer, de modo fácil, acesso de convidado com segurança avançada a redes sem fios privadas.

Com o WPS, os WISPs e as empresas podem enviar informações de fornecimento e de configuração para clientes móveis quando estes se ligam à Internet ou à rede da empresa. Isto, por sua vez, permite uma configuração contínua, automática e segura dos clientes móveis, possibilitando uma experiência de inscrição uniforme na empresa e entre diferentes fornecedores de redes públicas e localizações de pontos activos.

A quem se aplica esta função?

Os Serviços de Fornecimento sem Fios foram concebidos para três tipos de organizações:

  • Fornecedor de Serviços de Pontos Activos (HSP)
    Os HSPs implementam pontos de acesso sem fios em locais públicos, tais como centros comerciais e aeroportos, mas não são Fornecedores de Serviços Internet (ISPs, Internet Service Providers). Em vez disso, o HSP contrata um ou mais ISPs e oferece um ou vários planos de serviço que o utilizador pode escolher quando pretende estabelecer uma conta para acesso à Internet.
  • Fornecedor de Serviço Internet Sem Fios (WISP)
    Os WISPs são ISPs que implementam pontos activos Wi-Fi em locais públicos ou que fornecem serviços externos de pontos activos Wi-Fi a um HSP.
  • Empresa
    As empresas podem utilizar a tecnologia WPS para fornecer acesso de convidado às suas redes.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Serviços de Fornecimento sem Fios

Descrição detalhada

O WSP é uma extensão dos serviços sem fios e interfaces de utilizador existentes no Windows XP e Windows Server 2003. Baseia-se nas funcionalidades sem fios já existentes no Windows, tal como a Configuração Zero sem Fios e as funcionalidades de segurança sem fios, como o Protocolo de Autenticação Extensível Protegida (PEAP, Protected Extensible Authentication Protocol) e Acesso Protegido Wi-Fi (WPA, Wi-Fi Protected Access). O WPS inclui também modificações ao Windows Server 2003. O componente Serviço de Autenticação da Internet (IAS, Internet Authentication Service) do Windows Server 2003 foi modificado para incluir autenticação de convidado dos clientes no processo de fornecimento.

O WPS inclui um componente de serviço de fornecimento que permite aos Fornecedores de Serviço Internet Sem Fios (WISPs) e às empresas enviar informações de fornecimento e configuração para um cliente móvel a tentar ligar à Internet ou à rede da empresa. Através da utilização dos Serviços de Fornecimento sem Fios, os WISPs podem oferecer serviços em várias localizações de rede e utilizar vários nomes de rede (identificadores do conjunto de serviço ou SSIDs). Depois de os utilizadores se inscreverem num WISP numa localização ou, no caso de pré-fornecimento, terem transferido as informações de fornecimento, podem ligar-se automaticamente à Internet posteriormente utilizando a rede fornecida pelo WISP nas diferentes localizações de pontos activos. O serviço de Configuração Zero sem Fios (WZC, Wireless Zero Configuration) irá escolher automaticamente a rede correcta do WISP, com base nos ficheiros de fornecimento indicados. O WSP permite também o roaming automático e contínuo entre fornecedores diferentes.

Além disso, quando o WPS é utilizado, o computador cliente mantém automaticamente actualizadas as informações de fornecimento armazenadas no computador cliente. Isto permite que o fornecedor altere as definições de rede, adicione novas localizações, etc., sem que haja interrupções no serviço ou sem que os utilizadores tenham de reconfigurar os seus sistemas.

Quando um utilizador liga o computador a um WISP e estabelece uma conta pela primeira vez, passa pelas quatro fases seguintes:

  • O computador identifica a rede do WISP num ponto activo Wi-Fi.
  • O utilizador é autenticado utilizando uma conta de convidado e o computador é ligado à rede Wi-Fi.
  • É efectuado o serviço de fornecimento ao cliente móvel e o utilizador estabelece uma conta com o WISP.
  • O utilizador é autenticado na rede Wi-Fi utilizando as credenciais da conta de novo utilizador.

Cada uma destas fases é descrita em detalhe no cenário seguinte.

Um utilizador chega a um ponto activo Wi-Fi com um computador portátil com o Windows XP com o Service Pack 2 ou o Windows Server 2003 com o Service Pack 1 e os Serviços de Fornecimento sem Fios. Quando o computador estiver ao alcance do sinalizador do ponto de acesso do WISP, ocorre o seguinte:

  1. O serviço de Configuração zero sem Fios (WZC, Wireless Zero Configuration) no computador cliente detecta as informações de do sinalizador do ponto de acesso, activado com um identificador do conjunto de serviço (SSID, service set identifier) de difusão. O SSID é equivalente ao nome da rede.
  2. O utilizador é informado pelo Windows de que está disponível uma rede sem fios. O utilizador visualiza as informações no Windows, incluindo o nome amigável da rede. Neste exemplo, o utilizador tem um código de promoção que utiliza para estabelecer a conta e clica em Ligar. Isto faz com que o cliente WPS ligue o computador do utilizador à rede sem fios utilizando uma conta de convidado com privilégios limitados.

Quando a conta de convidado é autenticada pela rede Wi-Fi, ocorre o seguinte:

  1. O WZC utiliza 802.1x e o PEAP (Protected Extensible Authentication Protocol) para ligar e autenticar como convidado na rede do WISP através do ponto de acesso, transmitindo automaticamente um nome de utilizador e uma palavra-passe em branco ao servidor de Serviço de Autenticação da Internet (IAS) do WISP (o IAS também é conhecido como servidor RADIUS da Microsoft). O ponto de acesso é ligado a um dispositivo de gateway que permite a passagem do tráfego do cliente para os serviços de fornecimento na rede, de modo a concluir o processo de inscrição, mas bloqueia o acesso do cliente à Internet.
  2. O servidor IAS (ou servidor RADIUS) é o autenticador PEAP e o ponto final TLS (Transport Layer Security) para os utilizadores que ligam como convidados. É criado o túnel TLS entre o cliente e o servidor IAS. Todas as mensagens subsequentes entre o cliente e o servidor passam por este túnel, que atravessa o ponto de acesso e o dispositivo de gateway.
  3. A autenticação do servidor é efectuada quando o servidor IAS verifica a sua identidade para o computador cliente utilizando um certificado que contém o objectivo da Autenticação do Servidor nas extensões de Utilização Avançada de Chaves (EKU, Enhanced Key Usage). Este certificado é emitido por uma Autoridade de Certificação (CA, certification authority) de raiz fidedigna pública em que o computador cliente confia.
  4. O servidor IAS autentica e autoriza o utilizador como Convidado. Na mensagem de aceitação de acesso (Access-Accept) enviada pelo servidor IAS ao cliente existe um contentor com um URL para as informações de fornecimento. Este URL fornece a localização do ficheiro principal XML ao motor dos Serviços de Fornecimento sem Fios em execução no cliente.

Quando é efectuado o serviço de fornecimento ao cliente e o utilizador cria uma conta, ocorre o seguinte:

  1. No computador cliente, o WPS transfere o ficheiro principal e os subficheiros XML do servidor de fornecimento. O ficheiro principal contém apontadores para subficheiros XML que controlam o progresso do cliente ao longo do processo. Quando o esquema de inscrição XML é transferido, o assistente de inscrição é iniciado no cliente, para que o utilizador proceda à criação e ao pagamento de uma conta com o WISP.
  2. Utilizando o assistente de inscrição no computador cliente, o utilizador executa o processo de inscrição numa conta. O utilizador introduz o código de promoção e os dados pessoais, tais como o nome, morada e número do cartão de crédito. Os dados introduzidos pelo utilizador são convertidos pelo cliente WPS num documento XML.
  3. O documento XML com os dados de inscrição do utilizador é enviado para a aplicação Web no servidor de fornecimento WISP.
  4. A aplicação Web verifica o código de promoção introduzido pelo utilizador na base de dados de códigos de promoção (por exemplo, uma base de dados de SQL Server). Se o código de promoção for válido, a aplicação Web continua a processar os dados do utilizador.
  5. A aplicação Web processa as informações de pagamento do utilizador. Uma vez o pagamento verificado e as informações de inscrição concluídas com êxito, a aplicação Web lê as informações de domínio e de grupo de segurança na base de dados de códigos de promoção, cria uma conta de utilizador nos serviços de identidade (como, por exemplo, Active Directory) e adiciona a conta ao grupo de segurança. A aplicação Web introduz também o nome do novo utilizador na base de dados de códigos de promoção.
  6. O servidor de fornecimento WISP envia um documento XML com as credenciais da nova conta para o cliente WPS (Serviços de Fornecimento sem Fios) no computador cliente. O computador cliente utiliza as credenciais para configurar o WZC e 802.1x sob o nome do WISP. A ligação é reiniciada com as credenciais baseadas na palavra-passe da nova conta de utilizador (nome de utilizador e palavra-passe).

O processo de ligação reiniciado é o seguinte:

  1. O serviço de Configuração Zero Sem fios (WZC) no computador cliente reinicia a associação ao SSID para o WISP.
  2. O WZC localiza o perfil 802.11 correcto que foi transferido com as outras informações do WISP no ficheiro principal XML. O WZC efectua a reassociação ao ponto de acesso utilizando o perfil correcto.
  3. O serviço WZC utiliza 802.1x para iniciar o processo de autenticação com uma combinação do Protocolo de Autenticação Extensível Protegida e do Protocolo de Autenticação Challenge Handshake da Microsoft versão 2 (PEAP-MSCHAPv2) e utiliza as credenciais da nova conta transmitidas ao 802.1x pelo cliente WPS.
  4. Quando o cliente inicia o processo de autenticação com PEAP-MSCHAPv2, é criado um túnel TLS entre o computador cliente do utilizador e o servidor IAS do WISP.
  5. Na segunda fase da autenticação PEAP-MSCHAPv2, o servidor IAS do WISP autentica e autoriza o pedido de ligação relativo à nova conta na base de dados de contas de utilizador (por exemplo, Active Directory). O servidor IAS envia uma mensagem de aceitação de acesso (Access-Accept) ao ponto de acesso. A mensagem de aceitação de acesso inclui atributos que especificam que o utilizador já pode aceder à Internet.
  6. O ponto de acesso dá instruções ao dispositivo de gateway no sentido de atribuir o cliente à rede de segmento lógico com acesso à Internet.

Porque é que esta alteração é importante?

O WPS facilita a utilização de pontos activos sem fios sem comprometer a segurança. O WPS, com o Windows Server 2003 Service Pack 1 e o Microsoft IAS (também conhecido como servidor RADIUS), torna mais fácil para os computadores dos utilizadores a identificação, ligação e o acesso itinerante entre pontos activos sem fios, com uma segurança avançada.

  • O modelo de ligação actual para inscrição e utilização do WISP não é seguro. A maioria dos pontos activos Wi-Fi está configurada para autenticação aberta e sem encriptação de dados. Normalmente, os utilizadores têm de iniciar um browser quando se inscrevem inicialmente no serviço WISP e nos inícios de sessão seguintes. O WSP atenua esta ameaça adicionando a encriptação e a autenticação às comunicações entre o cliente e a rede sem fios.
  • A implementação baseada no redireccionamento do browser apresenta muitos problemas de utilização. É possível que os utilizadores nem sequer saibam que têm de iniciar o browser para se ligarem. Outro exemplo do que pode acontecer ocorre quando o browser está definido para utilizar definições de proxy para aceder à Internet e o utilizador está ligado directamente à rede da empresa. Neste caso, o redireccionamento do browser não funciona e, para se ligar ao ponto activo, o utilizador teria de saber como desactivar as definições de proxy. Esta situação pode dar origem a chamadas de assistência dispendiosas para o WISP ou para a assistência técnica da empresa.
  • A implementação baseada no browser é vulnerável a ataques por intromissão, por exemplo, por um servidor front-end malicioso utilizando um ponto de acesso não controlado. Os utilizadores consultados por este ponto de acesso poderão, inconscientemente, estar a divulgar informações pessoais e informações sobre o cartão de crédito. Ao eliminar a necessidade de um início de sessão na Web, o WSP reduz a vulnerabilidade dos utilizadores de WISP a este tipo de ataque.
  • Sem software de cliente adicional para pontos activos, os utilizadores não conseguem detectar facilmente os pontos activos e não dispõem de um mecanismo unificado para se inscreverem nos mesmos. Não é fácil para os utilizadores obter informações sobre o WISP ou procurar as localizações de pontos activos desse WISP. Se os utilizadores se inscreverem num ponto activo, isso não implica necessariamente que fiquem configurados para utilizar automaticamente os outros pontos activos. Além disso, não existe nenhum mecanismo padrão que mantenha actualizadas as suas informações de fornecimento e configuração.
  • Existe software cliente para pontos activos suplementares que pode ajudar o utilizador a aceder à rede desse WISP específico. No entanto, o software suplementar também pode entrar em conflito com os serviços sem fios nativos do sistema operativo ou com o software cliente de outros fornecedores, podendo causar problemas de interoperabilidade ou até mesmo a instabilidade do sistema, uma vez que todos tentam controlar as definições sem fios de todo o sistema. Geralmente, as actualizações à configuração do WISP requerem actualizações ao software cliente. Por estas razões, em muitas empresas, os departamentos de TI têm relutância em implementar, para os seus utilizadores, software cliente para pontos activos de outros fabricantes.
  • Não existe nenhum mecanismo padrão entre WISPs para o processamento das inscrições de utilizadores e actualização das respectivas configurações. Como resultado, a experiência do utilizador torna-se fragmentada e a utilização de perfis itinerantes contínua e automática entre fornecedores pode revelar-se difícil.

Assistente de Registo de Rede Sem Fios

Descrição detalhada

O Assistente de Registo de Rede Sem Fios fornece a interface do utilizador para inscrição num ponto activo sem fios e guia o utilizador através do processo de fornecimento. O assistente cria o conteúdo a partir das informações de fornecimento (ficheiros XML) fornecidas pelo WISP. As informações de fornecimento podem ser transferidas dinamicamente ou pré-instaladas no sistema cliente. A pré-instalação pode ser fornecida por um OEM para novos sistemas, pelo departamento de TI numa organização ou através de um Web site do WISP. O WISP é o proprietário e cria as informações de fornecimento e orienta o utilizador no processo de inscrição e fornecimento. O exemplo que se segue apresenta uma experiência simples de utilização do Assistente de Registo de Rede sem Fios onde o utilizador tem um código de acesso pré-pago. O esquema XML e o assistente são flexíveis e permitem experiências de inscrição mais complexas.

Em primeiro lugar, o utilizador pode clicar com o botão direito do rato no ícone de rede sem fios na área de notificação e, em seguida, clicar em Ver Redes sem Fios Disponíveis ou pode responder à mensagem de notificação na área de notificação que indica a disponibilidade de uma nova rede sem fios ao alcance. Quando a opção Escolher uma rede sem fios for apresentada, o utilizador selecciona uma nova rede sem fios e coloca essa rede na lista de redes preferidas.

Em seguida, o utilizador selecciona um nome de rede (um SSID) e clica em Ligar para estabelecer ligação à rede sem fios. Com um ponto activo Wi-Fi baseado no WPS, o cliente detecta que existem mais informações de fornecimento sob a forma de ficheiros XML disponíveis sobre a rede e o fornecedor. Confirma então com o utilizador se as informações de fornecimento devem ser transferidas. Com uma rede não WPS, a experiência seria igual à do Windows XP actualmente: na ligação a uma rede segura, é pedida uma chave de segurança aos utilizadores, no caso da ligação a uma rede não segura, os utilizadores são avisados nesse sentido e têm de confirmar se, mesmo assim, pretendem ligar à rede.

Depois de concluída a transferência, o Assistente de Registo de Rede sem Fios é automaticamente iniciado e guia o utilizador no processo de inscrição. O primeiro ecrã apresenta um logótipo (ou faixa) personalizado e conteúdo do fornecedor.

Os ecrãs seguintes podem incluir a selecção de um plano de subscrição, a introdução de informações do cartão de crédito, informações pessoais, entre outros. Neste exemplo, existe apenas um plano e é pedido ao utilizador que introduza o seu código pré-pago ou promocional para obter acesso à rede. Em seguida, a Implementação de Pontos Activos Wi-Fi apresenta informações sobre o plano seleccionado, tais como as condições do contrato de serviços e a declaração de privacidade.

No último ecrã, o assistente pede aos utilizadores que indiquem as suas preferências para esta ligação. Estas preferências predefinidas podem ser definidas pelo fornecedor, mas também podem ser substituídas pelo utilizador. Por exemplo, se os utilizadores seleccionarem uma subscrição mensal com dados ilimitados, é provável que pretenda ligar sempre automaticamente à rede quando esta estiver ao alcance. Se os utilizadores escolherem um plano de pagamento progressivo, é provável que pretendam controlar quando estabelecem a ligação e escolher uma opção de ligação manual como preferência.

A segunda opção determina se o utilizador mantém automaticamente actualizadas as informações de fornecimento. Por exemplo, se o fornecedor adicionar novos nomes de redes, novas localizações ou alterar as definições da rede ou de segurança, o cliente pode actualizar automaticamente as informações sem que seja necessária a interacção do utilizador e desde que esteja ligado à rede.

Nas visitas seguintes aos pontos activos disponibilizados pelo fornecedor ou pelos parceiros de utilização de perfis itinerantes nas mesmas localizações ou em localizações diferentes, se a ligação automática estiver ligada, o utilizador terá de voltar a ligar o computador portátil ou retomar as operações quando se encontrar no modo de suspensão, para ficar automaticamente ligado. Quando estiver ligado, em vez de ser apresentado um SSID ou nome de rede críptico na caixa de diálogo Escolher uma rede sem fios (aberta a partir da janela de notificação Ver Redes sem Fios Disponíveis), é mostrado um nome amigável do fornecedor, juntamente com o respectivo logótipo.

A partir desta caixa de diálogo, os utilizadores podem também procurar as localizações de pontos activos disponíveis ou ver as informações de ajuda e suporte fornecidas pelo WISP. As informações de ajuda e de localização de pontos activos são transferidas como parte das informações de fornecimento. É possível procurar e visualizar as informações de localizações online ou offline.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

A interface de utilizador sem fios foi alterada – uma nova caixa de diálogo Ver Redes sem Fios Disponíveis substitui a caixa de diálogo existente.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

O WPS não requer alterações às aplicações existentes. Existem duas novas APIs com WPS. Uma das novas APIs permite adições e consultas através dos dados XML no computador. Esta API pode ser utilizada pelo utilizador (através de uma aplicação autónoma), por OEMs ou departamentos de TI, para pré-fornecimento do cliente a partir do Web site do WISP.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft