11n
Em 2004 o IEEE formou uma fora tarefa destinada a desenvolver um novo padro
802.11, com o objetivo de oferecer velocidades reais de transmisso superiores s
das redes cabeadas de 100 megabits, alm de melhorias com relao latncia, ao
alcance e confiabilidade de transmisso. Considerando que uma rede 802.11g
transmite pouco mais de 27 megabits de dados reais (descontando todo o overhead
do sistema de transmisso), a meta de chegar aos 100 megabits parecia bastante
ambiciosa.
Ponto de acesso da Asus e placa 802.11n da Linksys, ambos com trs antenas
Inicialmente, o mais comum era o uso das configuraes 2x3 e 3x3, com o uso de
trs antenas. Entretanto, conforme os preos foram caindo e os fabricantes se
viram obrigados a cortar custos, os pontos de acesso 2x2 (com apenas duas
antenas) passaram a ser mais comuns. Da mesma forma, produtos high-end, com 4
antenas (4x4) podem vir a se popularizar no futuro, conforme o custo dos
componentes for caindo.
D-Link DIR-615, exemplo de WAP 802.11n de 2x2 de baixo custo, com duas antenas
Graas ao uso do MIMO, os pontos de acesso 802.11n podem utilizar dois ou quatro
fluxos simultneos, o que dobra ou quadruplica a taxa de transmisso, atingindo
respectivamente 144.4 e 288.8 megabits.
A ideia que, por serem transmitidos por antenas diferentes, os sinais fazem
percursos diferentes at o receptor, ricocheteando em paredes e outros obstculos,
o que faz com que no cheguem exatamente ao mesmo tempo. O ponto de acesso
e o cliente utilizam um conjunto de algoritmos sofisticados para calcular a reflexo
do sinal e, assim, tirar proveito do que originalmente era um obstculo:
Este recurso chamado de Spatial Multiplexing. Voc pode imaginar que o sistema
funciona de forma similar ao que teramos utilizando trs (ou quatro) antenas
direcionais apontadas diretamente para o mesmo nmero de antenas instaladas no
cliente. A "mgica" do MIMO permitir que um resultado similar seja obtido mesmo
utilizando antenas ominidirecionais, que irradiam o sinal em todas as direes.
A maioria das solues (final de 2011) ainda utilizam apenas dois fluxos
simultneos, o que simplifica muito o projeto. Mesmo no caso dos pontos de acesso
2x3 ou 3x3, os transmissores extra so geralmente usados para melhorar a
diversidade, permitindo que o ponto de acesso transmita ou receba usando as duas
antenas que ofeream o melhor sinal em relao a cada cliente.
Para conseguir atingir 288.8 megabits utilizando apenas dois fluxos, utilizado o
sistema HT40, onde so utilizados dois canais simultaneamente (assim como no
Super G da Atheros), ocupando uma faixa de frequncia de 40 MHz. Somando tudo
isso a um pequeno arredondamento, chegamos aos 300 megabits divulgados pelos
fabricantes. Um ponto de acesso que combine o uso do HT40 com 4 rdios dobraria
a taxa terica, chegando a 600 megabits.
10, 11, 12 e 13 (o que resulta em uma faixa de frequncia de apenas 20 MHz) por
isso existe a opo de usar o sistema HT20, onde o ponto de acesso se limita a usar
uma faixa mais estreita, de apenas 20 MHz. A opo fica disponvel dentro das
configuraes do ponto de acesso, como neste screenshot da configurao de um
AP Belkin N1:
Este grfico da Intel mostra uma projeo da taxa de transferncia bruta usando
diferentes combinaes, de acordo com a qualidade do sinal. Veja que um ponto de
acesso que utilize dois fluxos simultneos, usando o sistema HT40, oferece, na
prtica, um throroughput superior ao de um que utilize 4 fluxos, mas utilize o HT20:
O grande problema que uma faixa de 40 MHz corresponde a quase toda a faixa de
frequncia usada pelas redes 802.11g, o que acentua o j crnico problema de
interferncia entre redes prximas. Prevendo isso, o padro 802.11n prev tambm
o uso da faixa dos 5 GHz, que pode ser usada para aliviar o problema.
Entretanto, nem todos os produtos oferecem suporte faixa dos 5 GHz, j que
incluir suporte a ela encarece um pouco os produtos. Em geral, os produtos
oferecem suporte faixa dos 2.4 GHz, ou oferecem suporte simultneo aos 2.4 e 5
GHz (produtos que oferecem suporte apenas aos 5 GHz so muito raros). Existem
tambm pontos de acesso "dual-band", que utilizam as duas faixas de frequncia
simultaneamente (usando automaticamente o que for suportado por cada cliente)
de forma a minimizar o problema de interferncia.
Com exceo dos poucos pontos de acesso 802.11n que so capazes de operar
apenas na faixa dos 5 GHz, a compatibilidade com os clientes 802.11g e 802.11b
mantida, de forma que possvel fazer a migrao de forma gradual. A principal
observao nesse caso que combinar clientes 802.11n com clientes 802.11g ou
Se voc est atualizando sua rede, uma boa opo pode ser manter o ponto de
acesso 802.11g atual e apenas adicionar o 802.11n, ficando com dois APs. Nesse
caso, configure os dois pontos de acesso com SSIDs diferentes (de forma que o
cliente possa realmente escolher qual utilizar na hora de de conectar rede), com
ambos ligados diretamente ao switch da rede. Mantenha-os a uma certa distncia
(se possvel em cmodos diferentes) para minimizar a interao entre eles (e,
consequentemente, a perda de desempenho em ambas as redes) e no se esquea
de usar canais diferentes na configurao de ambos.
Se possvel, configure o ponto de acesso 802.11n para utilizar a faixa dos 5 GHz, j
que alm de mais limpa, ela no interfere com os 2.4 GHz usados pelo AP 802.11g.
Caso isso no seja possvel (se o AP ou alguns dos clientes 802.11n forem limitados
faixa dos 2.4 GHz) ento prefira utilizar o modo HT20, que apesar de oferecer uma
taxa de transferncia mais baixa, interferir menos com o AP 802.11g.
Com essa configurao, voc ter essencialmente duas redes distintas, permitindo
que os clientes 802.11n e 802.11g disponham de toda a velocidade de suas
respectivas redes, sem perdas. Os dois APs podem ento conviver at que o ltimo
cliente 802.11g seja substitudo.
Segurana
Uma rede cabeada pode, por natureza, ser acessada apenas por quem tem acesso
fsico aos cabos. Isso garante uma certa segurana, j que para obter acesso
rede, um intruso precisaria ter acesso ao local. Nas redes wireless, por outro lado, o
sinal simplesmente irradiado em todas as direes, de forma que qualquer um,
usando um PC com uma antena suficientemente sensvel, pode captar o sinal da
rede e, se nenhuma precauo for tomada, ganhar acesso a ela.
Usar o WEP em uma rede atual como fechar a porta de casa com um arame. Ele
pode dar uma certa sensao de segurana, mas um invasor s teria o trabalho de
desenrol-lo para entrar. Usar o WEP de 128 bits equivale a dar mais voltas no
arame: apenas torna o processo um pouco mais demorado. Se voc ainda usa
equipamentos antigos, que esto limitados encriptao via WEP, recomendvel
substitu-los assim que possvel.
WPA e WPA2
Como uma medida emergencial at que fosse possvel completar o padro, foi
criado o WPA (Wired Protected Access), um padro de transio, destinado a
substituir o WEP sem demandar mudanas no hardware dos pontos de acesso e nas
placas antigas. O WPA foi criado em 2003 e praticamente todos os equipamentos
fabricados desde ento oferecem suporte a ele. Como no so necessrias
mudanas no hardware, um grande nmero de equipamentos antigos podem
ganhar suporte atravs de atualizaes de firmware.
O WPA abandonou o uso dos vetores de inicializao e do uso da chave fixa, que
eram os dois grandes pontos fracos do WEP. No lugar disso, passou a ser usado o
sistema TKIP (Temporal Key Integrity Protocol) onde a chave de encriptao
trocada periodicamente e a chave definida na configurao da rede (a passphrase)
usada apenas para fazer a conexo inicial.
Alm do padro WPA original, de 2003, temos tambm o WPA2, que corresponde
verso finalizada do 802.11i, ratificado em 2004. A principal diferena entre os dois
que o WPA original utiliza algoritmo RC4 (o mesmo sistema de encriptao usado
no WEP) e garante a segurana da conexo atravs da troca peridica da chave de
encriptao (utilizando o TKIP), enquanto o WPA2 utiliza o AES, um sistema de
encriptao mais seguro e tambm mais pesado.
Usar o AES garante uma maior segurana, o problema que ele exige mais
processamento, o que pode ser um problema no caso dos pontos de acesso mais
baratos, que utilizam controladores de baixo desempenho. Muitos pontos de acesso
e algumas placas antigas simplesmente no suportam o WPA2 (nem mesmo com
uma atualizao de firmware) por no terem recursos ou poder de processamento
suficiente.
Existem tambm casos onde o desempenho da rede mais baixo ao utilizar o WPA2
(pois apesar do firmware oferecer suporte ao algoritmo, o controlador usado no
ponto de acesso no possui potncia para criptografar os dados na velocidade
permitida pela rede) e tambm casos de clientes com placas antigas, ou com
ferramentas de configurao de rede que no suportam o AES e por isso no
conseguem se conectar rede, embora na grande maioria dos casos tudo funcione
sem maiores problemas.
Tanto ao usar o TKIP quanto ao usar o AES, importante definir uma boa
passphrase, com pelo menos 20 caracteres e o uso de caracteres aleatrios (em vez
da simples combinao de duas ou trs palavras, o que torna a chave muito mais
fcil de adivinhar). A passphrase uma espcie de senha que garante o acesso
rede. Como em outras situaes, de nada adianta um sistema complexo de
criptografia se as senhas usadas so fceis de adivinhar.
A passphrase apenas uma chave de acesso, que permite que o cliente ganhe
acesso rede. Sempre que um cliente se conecta, criado um tnel seguro entre
ele e o ponto de acesso, atravs do qual os dados so transferidos. Com isso,
mesmo que alguma pessoa mal intencionada saiba a passphrase, ela poder
apenas se conectar rede, sem contudo ter como snifar a conexo com o objetivo
Com isso, mesmo que voc voc esteja implantando uma rede de acesso pblico
(como em uma lanchonete ou caf, por exemplo) muito mais recomendvel ativar
o uso do TKIP ou do AES e colar uma placa com a passphrase na parede do que
deixar a rede aberta. No apenas isso ajuda a evitar o uso por parte de freeloaders
ocasionais (s quem realmente entrar no estabelecimento e ver a placa vai ter a
passphrase) mas garante a privacidade dos clientes, evitando que clientes mal
intencionados possam capturar o trfego da rede.
Enquanto escrevo, por exemplo, redes Wi-Fi abertas so a forma mais comum de
hackear contas do Facebook, j que como o site ainda no usa https ou outra forma
de encriptao para os logins, basta capturar o trfego da rede por algum tempo
para ter acesso a todos os logins e senhas de usurios do Facebook (bem como de
outros sites que tambm no utilizem https) que utilizaram a rede dentro daquele
espao de tempo. Existem softwares para o Android, como o FaceNiff, que
automatiza o processo, permitindo fazer tudo discretamente com um simples
smartphone.
WPA-Personal e WPA-Enterprise
O servidor RADIUS pode ser tanto uma mquina Linux (com o FreeRADIUS) quanto
um servidor Windows, cujo endereo indicado na configurao do ponto de
acesso. No caso do AP do screenshot abaixo, a opo de usar o WPA-Enterprise foi
renomeada para apenas "WPA" e a opo de usar o WPA-Personal aparece como
WPA-PSK:
Se for o caso, voc pode usar o nmap para descobrir o endereo IP do AP na base
da fora bruta. Para isso, instale o pacote "nmap" usando o gerenciador de pacotes
(no Linux), ou baixe-o no http://insecure.org/nmap/download.html, onde est
disponvel tambm uma verso Windows, que pode ser usada pelo prompt do DOS.
Com o programa instalado, use o comando "nmap -sS" no terminal, como root (no
Linux), ou usando uma conta com privilgios administrativos (no Windows), seguido
da faixa de endereos a ser pesquisada, como em:
O lendrio WRT54G
Ao mesmo tempo, surgiu uma grande segmentao dentro das linhas de produtos,
com os aparelhos oferecendo apenas as funes relacionadas s funes s quais
so destinados, muito embora o hardware suporte muito mais. Com isso, muitas
vezes produtos dentro da mesma linha so diferenciados apenas pelo software, com
o fabricante ativando ou desativando funes especficas dentro do firmware de
acordo com o modelo.
Instalando o DD-WRT, por outro lado, ele passa a oferecer funes muito mais
completas, oferecendo desde um servidor DHCP com possibilidade de definir
endereos estticos para os clientes, at funes avanadas de controle de banda.
Ele passa tambm a poder ser configurado como um repetidor, bridge ou cliente
wireless universal, capaz de conversar com produtos de diferentes fabricantes.
tempo eles passaram a oferecer suporte a um nmero cada vez maior de modelos e
a inclurem nova funes.
O Tomato por sua vez um firmware mais simples, com foco na facilidade de uso.
Ele tambm oferece suporte a QoS, controle de acesso e WDS, alm de oferecer
grficos de uso de banda, permitindo aumentar o nmero de conexes simultneas
(til ao baixar torrents) e assim por diante. A grande limitao que ele
compatvel apenas com um pequeno nmero de modelos baseados em chipsets
Broadcom, como o as variantes do WRT54G (G, GL, GS, TM, com exceo dos G e
GS de fabricao recente, que possuem apenas 2 MB de Flash), Buffalo WHR-G54 e
o Asus WL500GE, o que faz com que o uso seja muito mais restrito.
O DD-WRT uma boa opo para comear, j que a pgina inclui um bom
localizador de dispositivos suportados, com as instrues para cada um. De uma
forma geral, aparelhos baseados em SoCs Broadcom so os melhor suportados, mas
o suporte a modelos baseados em SoCs de outros fabricantes vem melhorando a
cada nova verso.
No Linux voc pode utilizar o comando "tftp", que instalado atravs do pacote de
mesmo nome. Para us-lo, rode o comando "tftp endereo_IP" e use os comandos
"binary" (transmisso binria), "rexmt 1" (tentar de novo a cada 1 segundo) e
timeout 60 (por 60 segundos), seguido do comando "put" e o nome do arquivo a
transferir, como em:
$ tftp 192.168.0.227
> binary
> rexmt 1
> timeout 60
> put dd-wrt.v24_micro_generic.bin
Em ambos os casos, o cliente ficar em loop tentado fazer a gravao. Neste
momento, reinicie o modem e ao acordar ele pegar uma das tentativas e a
gravao comear. Se no der certo pela primeira vez, tente novamente: existe
uma "janela" de atualizao, que fica ativa apenas por alguns segundos cada vez
que o modem iniciado.
Outra forma de fazer isso abrir uma janela do terminal e usar o comando "ping -t
192.168.0.227 -t" (ou apenas "ping 192.168.0.227) no Linux, o que far com que o
ping fique rodando continuamente. Ao reiniciar o AP, ele vai dar um "Destination
Host Unreachable" e em seguida voltar a responder. No exato momento em que
voc volta a receber respostas, clique no "Upgrade" e voc pegar a janela de
atualizao.
A atualizao em si rpida, mas bom deixar o AP quieto por uns 10 minutos por
garantia. Depois de concluda, reinicie o AP novamente e ele ressuscitar com o
novo crebro. O IP default do DD-WRT 192.168.1.1. Basta reconfigurar o PC para
usar um endereo dentro da mesma faixa e comear a se familiarizar com as
opes. A partir da verso 0.24 ele pede para definir o login e senha no primeiro
acesso, enquanto em verses antigas o login padro "root, password "admin".
Uma vez concluda, a instalao do DD-WRT se torna definitiva, sobrevivendo
mesmo a um hard-reset do router, que passa a apenas limpar as configuraes.
Para outros modems, o processo pode ser um pouco diferente, como no caso do
Asus WL500G Premium V2. Ele um roteador high-end, que possui 32 MB de RAM e
O principal sempre dar uma olhada nas instrues do localizador, que fornece as
informaes disponveis sobre cada modelo, e fazer uma busca no frum do projeto
caso ele no inclua instrues para o modelo que estiver em mos. Em caso de
problemas, voc pode quase sempre regravar a imagem do firmware do fabricante
(ou o prprio DD-WRT) via TFTP, seja usando o tftp2.exe ou uma ferramenta do
fabricante (como no caso dos modelos da Asus). Similar ao que temos no caso de
um PC configurado para dar boot via rede (que depende apenas do BIOS para a
funo), o sistema de boot via TFTP funciona mesmo que o firmware principal esteja
corrompido ou incompleto.
Concluindo, o DD-WRT possui tambm uma verso x86, que permite converter PCs
com placas de rede compatveis em roteadores bastante poderosos. Via de regra,
roteadores de consumo possuem quantidades muito limitadas de memria e
acabam ficando logo sobrecarregados ao receberem muitas requisies
simultneas, mesmo que rodando um sistema mais robusto como no caso do DDWRT. Um PC por outro lado possui no apenas muito mais memria, mas tambm
mais processamento, o que permite que mesmo um PC com 5 anos de idade ou
mais possa substituir um roteador enterprise muito mais caro. Esta verso
fornecida na forma de uma imagem de disco e pode ser instalada rapidamente a
partir de uma distribuio Linux live-CD.
Solucionando problemas
Por oferecer muito mais funes que os firmwares usados pelos fabricantes, o DDWRT acaba tambm consumindo mais processamento e memria, o que pode levar
a problemas inesperados.
A primeira coisa a ter em mente que a grande maioria dos roteadores e pontos de
acesso domsticos so desenvolvidos tendo como principal preocupao um baixo
custo de produo, e no a robustez ou funcionalidade. Produtos de melhor
qualidade existem, mas por serem mais caros eles acabam sendo pouco populares,
especialmente aqui no Brasil. O DD-WRT soluciona o problema do software,
permitindo que voc tenha acesso a funes que de outra forma estariam
disponveis apenas em modelos muito mais caros, mas por outro lado ele acaba
muitas vezes expondo as limitaes do hardware.
A soluo nesse caso desativar os servios que no for utilizar, liberando mais
memria. Os principais candidatos so:
Telnet: O servidor telnet consome cerca de 800 KB, que num roteador low-end
correspondem a quase 10% da memria total. Se voc no costuma usar o acesso
via linha de comando com frequncia, pode desativ-lo no "Services > Services >
Telnet".
ttraff Daemon: Este servio monitora o uso de banda e permite gerar grficos de
acesso. Ele usado por exemplo pelos grficos disponveis no "Status > Bandwidth"
(sem o ttraff o grfico reinicia depois de 4 GB transferidos). O ttraff no consome
grandes quantidades de memria, mas voc tambm pode desativ-lo no "Services
> Services > ttraff Daemon" caso no precise da funo.
Voc pode amenizar o problema aumentando a opo "TCP Timeout" para 600 na
seo "Administration > Management" (fim da pgina) e mantendo a UDP Timeout
em 120. Se o seu router tem apenas 8 MB de RAM, deixe a opo "Maximum Ports"
em 1024 (caso contrrio ele poder ficar sem memria disponvel), mas se voc
est usando um modelo com 16 MB ou mais, voc pode seguramente aumentar o
valor para 4096, o que dar muito mais espao para o sistema gerenciar a
conexo.