Parto configurando il server o il raspberry che dovrà fornire la connessione di rete al raspberry in cui installerò zeroshell.

Nel post
Raspberry – bridge wifi – ethernet

la configurazione della rete mi aveva portato a definire il file interfaces nella seguente maniera:

allow-hotplug eth0
iface eth0
inet static address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255 
auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf iface default inet dhcp 

Tale configurazione non permette la possibilità di connettersi in ssh o con l’interfaccia web con Zeroshell in quanto esso risponde all’indirizzo 192.168.0.75.

Quindi ho modificato:

address 192.168.0.1

network 192.0.0.0
broadcast 192.0.0.255

Quindi ho modificato il file dnsmasq nella seguente maniera:

nano /etc/dnsmasq.conf

interface=eth0 # Use interface eth0
listen-address=192.168.0.1 # Specify the address to listen on
bind-interfaces # Bind to the interface
server=208.67.222.222 # Use OpenDNS
domain-needed # Don’t forward short names
bogus-priv # Drop the non-routed address spaces.
dhcp-range=192.168.0.10,192.168.0.50,12h # IP range and lease time

tutto il resto della configurazione rimane invariata.

Per installare Zeroshell ho scaricato l’ultima versione dal sito:

https://zeroshell.org/download

e quindi scelta l’ultima versione.

Poi salvando il file .gz lo scompatto attraverso Winzip se sono sotto Windows.

a questo punto utlizzo w32diskimager per copiare l0immagine nella mia microsd da cui partirà il sistema operativo.

Quindi collego il raspberry nel quale ho installato Zeroshell.

E dal browser del raspberry o da un qualunque host collegato alla rete il cui server è il raspberry stesso posso digitare sul browser:

https://192.168.0.75 e comparirà la seguente schermata:

login admin

password zeroshell

Per poter permettere di accedere ad internet bisogna impostare il default gateway:

Si accede al Raspberry in cui è installato Zeroshell, si selezione

<I> IP manager

<G> Set Default Gateway

Si inserisce l’indirizzo IP presente nel Raspberry o Router che fa da gateway

Per usare la scheda wifi del raspberry bisogna seguire i seguenti passi:

<W> wifi manager

<N> new subsystemID

invio lasciando il nome di default

<1> Access Point

SSID dare il nome che si vuole alla rete wifi che comparirà nell’elenco delle wifi.

Hide ssid mettere no

per adesso scelgo di non usare la crittografia e lasciare la rete libera.

Attivare ssh per accedere al pannello di controllo

Si entra tramite il browser: https://192.168.0.75

quindi setup e scegliere il menù ssh, attivarlo e salvarlo.

Basta quindi aprire una sessione ssh:

ssh admin@192.168.0.75 e dopo aver immesso la password si è nel sistema.

Creare il bridge tra la WLAN00 e ETH0

sempre dal browser di va su setup e su network, impostare bridge scegliendo le due componenti precedenti.

Attivare il captive portal

Si va su CaptivePortal e si sceglie come interfaccia WLAN00.

Attivare dhcp

Sempre utilizzando l’interfaccia grafica si va su dhcp e si seleziona il bridge precedentemente scelto e come default gateway mettere quello impostato precedentemente (192.168.0.1) ad esempio

Installare Zeroshell in una rete comporta vari benefici:

• Bilanciamento e Failover di connessioni multiple a Internet;
• Connessioni UMTS/HSDPA mediante modem 3G;
• Server RADIUS per fornire autenticazione e gestione automatica delle chiavi di cifratura alle reti Wireless 802.11b, 802.11g e 802.11a supportando il protocollo 802.1x nella forma EAP-TLS, EAP-TTLS e PEAP; sono supportate le modalità WPA con TKIP e WPA2 con CCMP conforme allo standard 802.11i; il server RADIUS può inoltre, in base allo username, il gruppo di appartenenza o MAC Address del supplicant smistare l’accesso su di una VLAN 802.1Q assegnata ad un SSID;
• Captive Portal per il supporto del web login su reti wireless e wired. Zeroshell agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall di Zeroshell gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all’autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;
• Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sulla priorità di un pacchetto (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE, sui bridge e sui bonding (aggregati) di VPN. La classificazione del traffico può avvenire anche mediante i filtri Layer 7 che permettono il Deep Packet Inspection (DPI) e quindi di regolare la banda e la priorità da assegnare ai flussi di applicazioni come VoIP e P2P;
• HTTP Proxy con antivirus open source ClamAV in grado di bloccare in maniera centralizzata le pagine web contenenti Virus. Il proxy, realizzato con HAVP, potrà funziona in modalità transparent proxy, intendendo con ciò, che non è necessario configurare i web browser degli utenti per utilizzare il server proxy, ma, le richieste http verranno automaticamente reindirizzate a quest’ultimo. È ovvio, che in questo caso, la macchina che fa da proxy deve essere anche un gateway (router IP o bridge);
• Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros. In altre parole, un box Zeroshell con una di tali schede WI-FI può funzionare come Access Point per le reti IEEE 802.11 supportando i protocolli 802.1X, WPA per l’autenticazione e la generazione di chiavi dinamiche. Ovviamente l’autenticazione avviene tramite EAP-TLS o PEAP sfruttando il server RADIUS integrato;
• VPN host-to-lan con protocollo L2TP/IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all’interno di IPsec autenticato mediante IKE con certificati X.509;
• VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
• Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
• Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
• Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di rete comprese le VPN e le VLAN;
• Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;
• NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;
• TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero cluster di server reali visti con un unico indirizzo IP (l’indirizzo del Virtual Server). Le richieste sul server virtuale saranno smistate sui server reali in Round-Robin (ciclicamente) preservando le connessioni e le sessioni già esistenti. Si può così ottenere il load balancing su web farm, cluster SQL e farm di calcolo;
• Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;
• Server DHCP multi subnet con possibilità di assegnare l’indirizzo IP in base al MAC Address del richiedente;
• Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;
• Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);
• Client DNS dinamico che permette la rintracciabilità su WAN anche quando l’IP è dinamico. Gestione dinamica del record dns MX per l’instradamento SMTP della posta elettronica su mail server con IP variabile;
• Server e client NTP (Network Time Protocol) per mantenere gli orologi degli host sincronizzati;
• Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;
• Autenticazione Kerberos 5 mediante un KDC integrato e cross autenticazione tra domini;
• Autorizzazione LDAP, NIS e RADIUS;
• Autorità di certificazione X.509 per l’emissione e la gestione di certificati elettronici;
• Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication.

Ho riportato per semplicità le informazioni presenti nel sito http://www.zeroshell.net/

All’interno di esso vi è il link verso i possibili download.

La sicurezza deve seguire le seguenti tre regole:

Confidentiality, Integrity and Availability

Confidenzialità, Integrità e Disponibilità che rappresentano i tre elementi cardine che la sicurezza in ambito IT mira a garantire per quanto concerne i dati.

L’obiettivo dell’utilizzo di una VPN (Virtual Private Network – Rete Private Virtuale) è quello di assicurare, fra le altre cose, almeno due degli elementi della triade: la confidenzialità e l’integrità dei dati in transito.

Quando due entità o due utenti necessitano di dialogare fra loro attraverso una qualsiasi rete, ed in particolar modo su Internet, è possibile stabilire fra di essi un canale virtuale, e fare in modo che all’interno di questo canale “dedicato” i dati transitino in maniera sicura. Pensiamo proprio alla rete Internet e a due persone che devono interloquire fra loro attraverso la rete pubblica: nulla e nessuno potrà garantire che ciò che esse si comunicano non venga intercettato o copiato a loro insaputa, in questo caso vengono in aiuto le VPN. La P di “private” sta ad indicare la privatezza ossia la confidenzialità (e integrità) delle informazioni mentre la V di “virtual” indica il fatto che il canale è solo logicamente instaurato fra i due estremi, senza la necessità di ricorrere a costose linee dedicate. Le VPN, quindi, rispetto alle linee dedicate offrono pertanto due vantaggi essenziali che sono quelli dell’economicità (evitando l’acquisto di linee dedicate appunto) e la scalabilità (n utenti che debbano collegarsi ad uno stesso punto – ad esempio la sede aziendale – sfrutteranno tutti il medesimo canale di accesso, ossia la Internet, ovunque essi si trovino). Le componenti di confidenzialità e integrità offerte dalle VPN si basano essenzialmente sull’utilizzo della crittografia, gli algoritmi crittografici permettono infatti da un lato di rendere intelleggibile ad un eventuale “eavesdropper” il flusso dei dati fra i due capi della VPN e dall’altro garantiscono che quanto viene trasmesso non sia stato in alcun modo manipolato o danneggiato (intenzionalmente o meno).

In maniera molto semplicistica, della parte di confidenzialità si occupano gli algoritmi di cifratura (sia a chiave segreta che a chiave pubblica), mentre per l’aspetto dell’integrità ci si rivolge agli algoritmi di “hashing“.

Protocolli, tecnologie e tipologie di VPN

In questo contributo vorrei concentrarmi essenzialmente su due tipi di VPN:

• VPN di accesso remoto
• VPN site-to-site

Esistono poi due differenti tecnologie, ciascuna delle quali opera a differenti livello della pila ISO-OSI:

• VPN IPsec
• VPN SSL

A onor del vero questa classificazione è veramente riduttiva seppure – in ottica sicurezza – racchiuda i gruppi e i protocolli fondamentali, in letteratura probabilmente troverete tassonomie molto più estese perché sarebbe possibile parlare di altri tipi ed altre classificazioni delle VPN. Solo per fare un esempio è doveroso accennare alle cosiddette VPN MPLS che in ambito aziendale sono largamente diffuse, ma volendoci concentrare sull’aspetto della sicurezza e considerando il fatto che, di default, le VPN MPLS non forniscono la crittografia dei dati preferisco escluderle dal presente contributo.

Le VPN per l’accesso remoto

Vengono utilizzate nei casi in cui un utente in mobilità, in qualsiasi luogo del globo, debba collegarsi ad una sito remoto (tipicamente una sede aziendale) e desideri farlo in sicurezza, al riparo da intercettazioni. La costruzione del canale virtuale fra l’utente remoto e la sede aziendale, oltre a mettere al sicuro l’utente e l’azienda, permette di estendere la rete aziendale al di fuori dei propri confini geografici rendendo l’utente finale in grado di accedere a risorse interne (file, applicazioni, server, ecc.) altrimenti inaccessibili. Questo tipo di VPN possono basarsi sia sullo standard IPsec che sui protocolli della famiglia SSL (evoluti in TLS).

Le VPN site-to-site

Vengono utilizzate quando sedi o filiali della stessa azienda o di aziende differenti, situate a distanza geografica, hanno necessità di instaurare un canale di comunicazione sicuro (e molto spesso permanente) sfruttando un canale non sicuro come può essere Internet. Tali VPN sfruttano tipicamente lo standard IPsec e vengono realizzate solitamente tramite specifici terminatori delle VPN (router, firewall, server o appliance) a un capo e all’altro del canale. Una volta stabilita la VPN le due entità/organizzazioni entreranno in contatto potendo condividere in maniera sicura i dati che intendono scambiare fra loro (file, flussi, applicazioni, ecc.) senza dover acquistare da un provider una costosa linea dedicata.

Non è certo infrequente, nella realtà aziendale di oggi, trovarsi dinanzi a scenari in cui entrambi i tipi di VPN e entrambe le tecnologie (IPsec e SSL) vengono utilizzati allo stesso tempo

La crittografia alla base delle VPN

Entrare nei dettagli di come gli algoritmi di cifratura contribuiscano a realizzare le VPN e a renderle sicure va al di là dello scopo di questo articolo, tuttavia, come già accennato, la crittografia (sia simmetrica che asimmetrica) ricopre l’importante ruolo di abilitatore della confidenzialità e integrità dei dati, ma può entrare in gioco anche in un altro importante aspetto delle VPN: l’autenticazione,  qualora quest’ultima faccia uso della crittografia a chiave pubblica, mediante firma digitale RSA.

Ciò che è doveroso specificare è che diversi algoritmi di cifratura (ed in diverse fasi della “vita” di una VPN) entrano in gioco. Gli algoritmi asimmetrici (esempio: RSA e Diffie-Hellman), più onerosi dal punto di vista computazionale, vengono utilizzati per l’autenticazione (RSA) o per lo scambio di chiavi segrete utilizzando un canale insicuro (Diffie-Hellman), mentre gli algoritmi simmetrici (più leggeri e performanti dal punto vista computazionale come 3DES e AES vengono utilizzati per fare il lavoro di cifratura “continua” dei dati una volta che il canale di comunicazione è stabilito.

Un ultimo fondamentale vantaggio delle VPN è il fatto che offrono protezione “anti replay“ ossia rendono impossibile ad un attaccante intercettare i messaggi in transito ed inserire dei messaggi modificati nel flusso dei dati fra sorgente e destinazione, nel caso ciò dovesse avvenire i messaggi modificati verrebbero scartati.

Le soluzioni di mercato

Site-to-site VPN

Per quanto riguarda le VPN site-to-site, la soluzione più diffusa è quella di demandare la realizzazione del tunnel VPN ad apparati di rete capaci di utilizzare lo standard IPsec (che chiameremo terminatori della VPN), che siano essi router o firewall. Occorrerà quindi accordarsi con la controparte (se si tratta di un’azienda esterna) e scegliere i parametri IPsec in modo che il tunnel si attivi con successo, a quel punto i PC o i server attestati ad un capo o all’altro del tunnel potranno “parlarsi” in maniera “trasparente” e sicura allo stesso tempo, lasciando il lavoro di cifratura e decifratura ai terminatori della VPN. I router e firewall più diffusi al mondo, anche non di livello enterprise, supportano lo standard IPSec e ciò rende possibile la protezione dei dati in transito in maniera abbastanza agevole.

VPN di accesso remoto

Per quanto riguarda le VPN per l’accesso remoto, solitamente basate sul protocollo TLS (erede di SSL), sono presenti sul mercato diverse soluzioni. Ciascun vendor potrà proporre la propria implementazione, ma in sostanza si tratta di definire ed installare quello che viene definito “concentratore” delle VPN il quale – esposto su Internet – raccoglierà, dalla rete della sede centrale, le richieste di accesso (tramite il protocollo SSL/TLS) da parte dei client. Le modalità con cui i client potranno realizzare il tunnel VPN sono in sostanza di tre differenti tipi:

• clientless (basata esclusivamente sul browser del dispositivo)
• plug-in based (ossia basate su un plug-in del browser che viene installato al momento della prima connessione al concentratore)
• client-based (quando è prevista l’installazione di un client software ad hoc)

Ciascuna delle soluzioni ha i suoi pro e i suoi contro: certamente la prima, quella clientless, è quella che può essere utilizzata in qualsiasi luogo e su qualsiasi PC che supporti il protocollo SSL. Ciascun vendor poi “colorerà” la propria soluzione in maniera diversa. La scelta di ciascuna azienda, in base alle proprie necessità, ricadrà sulla sfumatura e la soluzione più appropriate.

La prudenza in mobilità e la protezione dei dati aziendali

Un ultimo accenno va certamente fatto ad un altro utilizzo delle VPN che è di grande utilità per chi viaggia spesso, magari anche all’estero, e che fa sovente uso di accessi wi-fi pubblici, erogati da aeroporti o hotel. In questo caso è consigliabile fare ricorso ad un provider di servizi VPN. Esistono infatti sul mercato fornitori di connettività VPN a cifre abbordabili. In maniera molto semplificata, ciò che si ottiene utilizzando questo tipo di servizi ogniqualvolta ci si trovi a doversi collegare ad Internet da luoghi pubblici o “a rischio” è questo: per prima cosa l’utente si collegherà al proprio provider di servizi VPN, da quel momento in poi ogni connessione verso la rete Internet (che sia verso Google, il proprio portale preferito, la propria casella email via web, ecc.) non avverrà in maniera diretta, sarà il server del provider VPN (del quale dobbiamo avere fiducia, s’intende) a fare da tramite fra l’utente e il server di destinazione. Il computer dell’utente e il server VPN comunicheranno attraverso un tunnel interamente cifrato: in tal modo nessun malintenzionato eavesdropper (nella rete dell’albergo o nelle vicinanze se ci sta collegando in wi-fi) potrà interpretare il traffico generato.

Per verificare le ulteriori grandi possibilità di un Raspberry si può collegare ad esso un lettore e scrivere su un badge con il componente RFID 522.

RFID-RC522 è un modulo di lettura di tag RFID. A bassa tensione, a basso costo, la piccola dimensione del chip della carta contact-less lo rendono la scelta migliore per i sistemi di identificazione radio.

 RC522 usa tecnologie avanzate di modulazione e demodulazione completamente integrate in tutti i tipi di metodi di comunicazione senza contatto passivo a 13,56 MHz.

Compatibile con i trasponder 14443A. La parte digitale consente di gestire i frames ISO14443A e la rilevazione degli errori, supporta inoltre l’algoritmo di cifratura rapida CRYPTO1. MFRC522 è compatibile con la serie MIFARE contact-less ad alta velocità, a due vie, con velocità di trasmissione dati fino a 424kbit/s.

Per prima cosa bisogna collegarlo con il Raspberry con il seguente ordine:

• SDA connects to Pin 24.
• SCK connects to Pin 23.
• MOSI connects to Pin 19.
• MISO connects to Pin 21.
• GND connects to Pin 6.
• RST connects to Pin 22.
• 3.3v connects to Pin 1.

Adesso bisogna attivare l’interfaccia SPI del Raspberry. Se si vogliono approfondimenti sul tipo di interfaccia consiglio il seguente articolo approfondimenti SPI.

Come root:

raspi-config

Selezionare il punto 5 Interfacing Options e quindi P4 SPI.

Effettuare il reboot del Raspberry.

Quindi come root

apt-get install python2.7-dev python-pip git

successivamente dare il comando

pip install spidev

quindi

pip install mfrc522

creare la libreria in cui inserirò i miei applicativi Python

mkdir ~/pi-rfid

adesso creare il file Write.py

che conterrà:

#!/usr/bin/env python

import RPi.GPIO as GPIO
from mfrc522 import SimpleMFRC522

reader = SimpleMFRC522()

try:
        text = raw_input(‘New data:’)
        print(“Now place your tag to write”)
        reader.write(text)
        print(“Written”)
finally:
        GPIO.cleanup()

Per eseguire il file è sufficiente digitare:

python Write.py

Per leggere RFID si crea il file Read.py contenente le seguenti righe di codice:

#!/usr/bin/env python

import RPi.GPIO as GPIO
from mfrc522 import SimpleMFRC522

reader = SimpleMFRC522()

try:
        id, text = reader.read()
        print(id)
        print(text)
finally:
        GPIO.cleanup()

e si eseguirà con il comando:

python Read.py

Per utilizzare un Raspberry è necessario avere una tastiera, un mouse, uno schermo; le periferiche occuperanno più spazio del Raspberry stesso.

I dispostivi esterni sono indispensabili alla prima installazione, tutte le volte successive è sufficiente collegarsi in due maniere:

• tramite una connessione ssh
• tramite un server VNC

Connessione SSH: Secure shell

Tale metodo permetterà il controllo solo della console e non la parte grafica

Si deve verificare che sul Raspberry sia attivo il servizio con il comando

service ssh status

se non dovesse essere installato basta dare, come root, il comando:

apt-get install openssh-server

al termine dell’installazione si farà partire il servizio:

service ssh start

Creare un utente con il comando

adduser nomeutente

Per far sì che il servizio ssh si attivi in fase d’avvio usare il comando:

update-rc.d ssh enable

Quindi usare o la PowerShell presente su Windows o sulla shell linux digitare ssh ip del Raspberry.

ssh ipraspeberry -l nomeutente

server VNC Virtual Network Computing

Attraverso tale metodo si avrà il controllo anche grafico del Raspberry ossia come se si operasse direttamente usando un monitor.

Come root dare il comando:

apt-get install realvnc-vnc-server realvnc-vnc-viewer

raspi-config

si aprirà la console di comandi, attraverso al quale, all’interno del menù

Interfacing Options.

si potrà impostare:

VNC > Yes

Sul lato client si dovrà installare:

VNC Viewer

che può essere scaricato on line

Vnc Viewer

Si dovrà impostare l’IP associato al Raspberry e da un qualunque PC, notebook si potrà operare sul Rasperry

Esiste l’app scaricabile da googl play con l nome di

VNC Viewer che permetterà il controllo da Android del Raspberry.

Gli errori di trasmissione sono normalmente dovuti alla presenza di disturbi del canale di comunicazione che impediscono la corretta ricezione dei dati trasmessi.
Le sorgenti di segnali magnetici ed elettrici che un’onda elettromagnetica incontra durante la sua propagazione possono infatti modificarne le proprietà. Può accadere quindi che dei bit “0” vengano trasformati in “1” e viceversa.

A questo proposito si può riprendere la trattazione iniziale sul controllo degli errori.

Classificazione degli errori

Gli errori che possono verificarsi durante la comunicazione sono di tre tipi [HOL91]:

• Errori single-bit (a bit singolo): coinvolgono un solo bit dell’unità dati (per esempio un byte) il cui valore viene trasformato da “0” a “1” o viceversa. Questo tipo di errore è il più comune.

  Errori multiple-bit (a bit multiplo): coinvolgono due o più bit non consecutivi dell’unità dati, il cui valore viene trasformato da “0” a “1” o viceversa . Questo tipo di errore è abbastanza comune.

Esempio di errore multiple-bit

• Errori burst (a raffica): coinvolgono due o più bit consecutivi dell’unità dati, il cui valore viene trasformato da “0” a “1” o viceversa Questo tipo di errore è il meno comune.

Esempio di errore burst

Tecniche di rilevamento degli errori

Un metodo molto semplice per l’individuazione degli errori è quello di attuare un doppio invio per ogni unità di dati. Il ricevente ha quindi il compito di confrontare bit per bit le due copie della stessa unità.
Questa tecnica renderebbe la trasmissione perfettamente affidabile, essendo infinitesima la probabilità di due errori sullo stesso bit, ma molto lenta. Il tempo di trasmissione verrebbe più che duplicato poiché alla durata della doppia trasmissione, infatti, andrebbe aggiunto il tempo necessario alla verifica da parte del ricevente.
Si preferiscono quindi altri metodi che si basano sull’aggiunta di pochi bit scelti in modo sapiente. La tecnica che viene utilizzata da questi metodi è nota come ridondanza : i bit supplementari, infatti, sono a tutti gli effetti ridondanti e vengono distrutti non appena il sistema ricevente si sia accertato di una trasmissione corretta [HOL91].

Rilevamento degli errori con tecnica di ridondanza

VRC (Vertical Redundancy Check)
Il VRC è il metodo più comune per il controllo d’errore: viene aggiunto un singolo bit supplementare all’unità dati in modo che il numero di bit uguali a “1” dell’intera unità, bit supplementare compreso, diventi pari o dispari. Nel primo caso si parla di  parity check o controllo di parità ; nel secondo caso si parla di controllo di disparità.

   Controllo di parità

L’algoritmo VRC è molto facile da implementare ma ha diversi limiti; se infatti una unità ha un numero pari di bit invertiti, si ha una compensazione dell’errore, che quindi non viene rilevato [DES03].

LRC (Longitudinal Redundancy Check)
L’algoritmo LRC è una sorta di VCR bidimensionale. Come nel VCR si ha infatti l’aggiunta del bit di parità ad ogni unità dati. Ad ogni blocco viene però aggiunta una unità supplementare che contiene i bit di parità associati alle sequenze di bit corrispondenti del blocco

        Algoritmo LRC

L’algoritmo LRC assicura maggiore affidabilità nell’individuazione degli errori di tipo multiple-bit e burst, ma ha ancora dei limiti poiché può essere tratto in inganno da trasposizioni di byte [HOL91].

CRC (Cyclic Redundancy Check)
Nel metodo CRC i dati che vengono aggiunti ad ogni unità corrispondono al resto ottenuto da una particolare divisione di un polinomio, detto generatrice, che dipende dalle dimensioni dell’unità. Per esempio, la generatrice di un’unità di 9 bit può essere “x8 + x4 + x3 + x2 +1” e corrisponde a “100011101”.
Questo algoritmo rappresenta il criterio più affidabile nella trasmissione dei dati ed è anche utilizzato nei sistemi di registrazione dei dati su hard disk [GIA].

Tutti i metodi riportati permettono il rilevamento di eventuali errori, ma purtroppo non permettono la correzione. In caso di errori si ha quindi la ritrasmissione totale o parziale dei dati, a seconda della complessità dell’algoritmo scelto e della gravità dell’errore.

La modulazione permette agli apparecchi RFID di trasmettere le informazioni di origine digitale (1 o 0) attraverso onde elettromagnetiche (analogiche). Negli ambienti in cui avvengono queste trasmissioni però spesso ci possono essere ostacoli ed elementi di disturbo che possono fare ridurre la probabilità di una corretta interpretazione del circuito di demodulazione. Inoltre i sistemi RFID passivi hanno l’obiettivo di trasferire la maggior quantità di energia possibile tra il reader e il transponder. Per questi motivi viene attuata la codifica dei dati [REN].

Tecniche di base: NRZ, RZ, Manchester e Miller

Esistono numerosi metodi per effettuare la codifica dei dati. Di seguito sono elencati i più semplici e i più utilizzati.

NRZ (No Return to Zero)

• Lo stato digitale “1” è rappresentato con un segnale alto.
• Lo stato digitale “0” è rappresentato con un segnale basso (fig. 3.5).

Questo metodo è facilmente ottenibile e non richiede circuiti complicati anche perché non si tratta di una vera e propria codifica, visto che i dati vengono passati direttamente come tali in uscita. Si ha inoltre una alta robustezza agli errori, anche se lunghe stringhe di “0” o di “1” potrebbero causare la perdita del sincronismo.

RZ (Return to Zero)

• Lo stato digitale “1” è rappresentato con un segnale alto.
• Lo stato digitale “0” è rappresentato con un segnale basso.
• Ad ogni semiperiodo il segnale torna sempre a zero (fig. 3.6).

Come nel metodo precedente, non si ha una vera e propria codifica dei dati. Il ricevitore deve però distinguere tra 3 livelli, anziché tra 2; quindi la probabilità di errore è più grande rispetto a quella che si ha nell’NRZ. Il vantaggio è che lunghe stringhe di “0” o di “1” non causano la perdita del sincronismo [SCH].

Manchester

• Lo stato digitale “1” è rappresentato con una transizione al semiperiodo fra il segnale alto e il segnale basso.
• Lo stato digitale “1” è rappresentato con una transizione al semiperiodo fra il segnale basso e il segnale alto (fig. 3.7).

Come nell’RZ, in questo metodo lunghe stringhe di  “0” o “1” non causano la perdita del sincronismo. Inoltre, lavorando con solo due livelli, viene garantita un’alta robustezza agli errori. La codifica Manchester richiede un circuito più complicato rispetto a quelli per l’RZ e l’NRZ.

Miller

• Lo stato digitale “1” è rappresentato mantenendo all’inizio del periodo il livello dello stato precedente e attuando una transizione al semiperiodo.
• Lo stato digitale “0” è rappresentato in uno di questi due modi:
  • Se lo stato precedente era un “1”, viene mantenuto il livello per tutto il periodo.
  • Se lo stato precedente era uno “0”, si ha una transizione all’inizio del periodo e poi si mantiene il livello costante per tutto il periodo (fig. 3.8). Questo metodo ha gli stessi vantaggi della codifica Manchester, ma richiede un circuito più complicato perché necessita di una memoria [SCH].

La modulazione è un’operazione mediante la quale il segnale contenente l’informazione (modulante) viene “collegato” a un secondo segnale (portante) avente le caratteristiche adatte alla trasmissione. In pratica la modulazione consiste nel far variare istante per istante una o più caratteristiche del segnale portante, in relazione al valore assunto dal segnale modulante. L’operazione inversa, che consente l’estrazione del segnale di partenza dal segnale modulato è detta demodulazione.

Classificazione delle modulazioni

Una classificazione generale delle modulazioni può essere fatta sulla base della natura del segnale modulante: in caso di un segnale analogico si parla di modulazione analogica; in caso di un segnale digitale si parla di modulazione digitale.
Una classificazione più completa si ha tenendo conto anche della natura del segnale portante. I casi di modulazione possibile sono quindi i seguenti [LEO]:

• modulazione di portante sinusoidale (analogica) con segnale modulante analogico. Tali modulazioni sono chiaramente di tipo analogico e si dividono AM, FM e PM.
• modulazione di portante impulsiva (digitale) con un segnale modulante analogico. Tali modulazioni sono analogiche anche se il segnale modulato potrà assumere solo due valori. Rientrano in questo caso le modulazioni PAM, PWD e PPM.
• modulazione di portante sinusoidale (analogica) con un segnale modulante digitale. Tali modulazioni sono digitali anche se la forma d’onda del segnale modulato è quella propria di un segnale analogico. Rientrano in questo caso le modulazioni ASK, FSK, PSK, QAM.

I sistemi RFID utilizzano un segnale modulante di tipo digitale e un segnale portante di tipo analogico. La modulazione di questi sistemi ricade tra i metodi ASK, FSK e PSK [BUFb].

ASK (Amplitude Shift Keying)
Nella modulazione ASK l’ampiezza della portante sinusoidale viene fatta variare in correlazione al segnale digitale modulante. Nel caso più semplice e più comune in corrispondenza dello zero logico il segnale modulato ha ampiezza zero o prossima allo zero, mentre in corrispondenza dell’uno logico ha ampiezza pari a quella della portante non modulata (fig. 3.2).
Questo metodo ha il vantaggio di trasmettere dati ad una velocità elevata con un grande trasferimento di energia.

FSK (Frequency Shift Keying)
Nella modulazione FSK l’ampiezza della portante sinusoidale rimane invece costante. Ciò che viene fatto variare in correlazione al segnale modulante è la frequenza.
Questo metodo permette di utilizzare un ricetrasmettitore relativamente semplice da realizzare e assicura un alto livello di immunità ai disturbi, ma non consente velocità di trasmissione molto alte.

PSK (Phase Shift Keying)
Nella modulazione PSK ampiezza e frequenza della portante sinusoidale rimangono costanti, mentre è la fase che può subire dei cambiamenti. Il metodo più semplice consiste nello scambio di fase della portante di 180° in corrispondenza dell’uno logico del segnale modulante (fig. 3.4).
Questo metodo assicura un buon livello di immunità ai disturbi e consente delle velocità di trasmissione elevate, ma richiede un ricetrasmettitore più complesso di quello necessario per il metodo FSK. 

La tecnologia RFID è stata ed è oggetto di consistenti attività di normazione sia a livello pubblico (internazionale e regionale), sia privato (consorzi di aziende).

Una “libera” competizione (che quindi veda la competizione di specifiche tecniche di consorzi privati senza grande necessità di standard ufficiali emessi dalle organizzazioni di normativa), potrebbe essere vista come uno stimolo a sviluppare tecnologie antagoniste il cui successo sarebbe garantito dalle prestazioni e dal mercato invece che da accordi all’interno delle commissioni.

Le prime applicazioni, standardizzate tra il 1996 ed il 2001, sono quelle che riguardano il cosiddetto “closed loop”, ovvero i contesti in cui il medesimo TAG viene riusato per vari oggetti o, in logistica, nel caso di contenitori, in cui il TAG sia riusabile per contenuti differenti.

Gli esempi più celebri di applicazioni closed loop sono le carte senza contatto, per pagamenti e per controllo accessi, ma anche i TAG per lavanderia e quelli, già citati, per contenitori riusabili.

Per le applicazioni “closed loop” ISO ha sviluppato le famiglie di standard per carte senza contatto e per l’identificazione degli animali.

Le applicazioni cosiddette “open loop” riguardano l’uso degli RFID sui singoli oggetti nel commercio, ma anche gli RFID in contenitori “a perdere”(casse,imballaggi,pallet)eriusabili,qualii“container”,sedopo ogni viaggio, il TAG viene sostituito.

La progressiva riduzione dei costi dei TAG passivi sta rapidamente conducendo quest’ultimi dalle applicazioni “closed loop”, per le quali sononati,versonuoveapplicazioni “openloop”incuiilTAGvieneassociatononalcontenitoreriusabile,bensìalsingolooggetto,seguendoloper tutta la sua vita e spesso sopravvivendogli. Per questo tipo di applicazioni è previsto il maggior sviluppo in un prossimo futuro.

Organizzazioni pubbliche e consorzi di aziende hanno portato avanti, in questi anni, l’attività di normazione sui sistemi RFID; tra questi emergono essenzialmente EPCglobal ed ISO.

– EPC globalnato ed operante come una associazione privata.

-ISO (ed organismi ad esso collegati) che costituisce l’ente mondiale di normativa in quasi tutti i campi della tecnologia.

I primi standard RFID sono stati realizzati in ISO, per TAG passivi a bassa frequenza e comprendono:

– Gli standard sui TAG per identificazione degli animali

– ISO 11784

– Radio frequency identification of animals

– Code structure

– ISO 11785

– Radio frequency identification of animals

– Technical concept

– Protocolli per l’interfaccia radio per TAG RFID usati nei sistemi di pagamento, smart cards senza contatti e carte di prossimità

– ISO/IEC 10536 – Identification cards

— Contactless integrated circuit(s) cards

— ISO/IEC 14443

– Identification cards – Contactless integrated circuit(s) cards Proximity cards

– ISO/IEC 15693

– Identification cards

– Contactless integrated circuit(s) cards Vicinity cards

– Metodi per il test e la conformità di TAG e Reader RFID ad uno standard (ISO/IEC 18047);

– Metodi per il test delle prestazioni di TAG e Reader RFID (ISO/IEC 18046). Successivamente EPCglobal ha prodotto normative orientate all’uso dei TAG nella logistica, ovvero:

• una tassonomia di classi di TAG;

• standard per protocolli di comunicazione a radio frequenza tra TAG e Reader;

• formato per la memorizzazione delle informazioni di identificazione nei TAG.

STANDARD EPCGLOBAL E LORO EVOLUZIONE

• 

Vengono comunemente considerate altre tre classi di TAG, entrambe relative ad apparati attivi o semi-passivi: – Classe 3 – READ/WRITE – TAG semi-passivi – con sensori a bordo Applicazioni:

Data loggin

Questa classe, in aggiunta alle prestazioni della classe precedente, contiene, a bordo sensori e logica di controllo dei medesimi. I sensori più diffusi sono relativi alla pressione, moto o temperatura (i più diffusi in assoluto, per le esigenze logistiche della“catena del freddo”). Se la logica di controllo dei sensori lo permette, questi possono essere letti e
registrati in memoria anche senza l’intervento del Reader che, quando interrogherà il TAG si vedrà restituita anche la storia delle grandezze misurate. Naturalmente la complessità circuitale ed il relativo consumo di energia richiedono TAG attivi o almeno semi-passivi.

Classe 4 – READ/WRITE – con trasmittente a bordo – Network Capabilities – Applicazioni: Ad-Hoc Network; Active wireless sensor network Questa classe di TAG, con trasmettitore a bordo, si comporta come un sistema dotato di logica autonoma, potendo comunicare da TAG a TAG senza la presenza del Reader. In questi casi non solo si è in presenza di TAG attivi, ma l’attività, e di conseguenza l’erogazione di energia dalla batteria, permane anche in assenza di interrogazioni da parte del Reader. Per il resto sono previste tutte le prestazioni della classe 3.

– Classe 5 – READ/WRITE – con trasmittente a bordo – Network Capabilities. Oltre alla caratteristiche della classe 4 si ipotizza la possibilità di colloquio con TAG passivi, con funzionalità del tipo di quelle degli NFC

• Modulazioni & Codifiche

Lo standard prevede l’impiego da parte del TAG delle modulazioni ASK e PSK in modo indifferente (non esistono comandi di selezione ed i Reader devono ricevere entrambi). La PSK è stata inclusa perché massimizza il trasferimento di energia (utile nel verso Reader=>TAG) e presenta migliori caratteristiche di robustezza al rumore (utile nel verso TAG=>Reader). Le codifiche di linea previste sono FM0 o Miller con generazione di sottoportante attraverso il parametro M. Da parte del Reader possono essere impiegate DSB-ASK opp. SSBASK oppure PR-ASK con indice di modulazione del 90% e con codifica di linea PIE.

• Memoria

Lo standard prevede una capacità di memoria non troppo dissimile dai TAG di classe 1 (EPCglobal). Da 96 a 512 bit di memoria nel TAG contro i precedenti 64÷96 (comunque sufficienti a contenere l’EPC). L’aspetto più interessante consiste nella segmentazione della memoria per contenere maggiori informazioni rispetto al semplice EPC e nella protezione (per segmenti) della memoria di cui si vedrà in seguito.

Bitrate vs. identificazione dei TAG

In genere si riconosce ai TAG Gen2 una velocità superiore alle generazioni precedenti. I bitrate ammessi sono Reader =>TAG 26,7÷128 kbit/s; TAG=>Reader 5÷640 kbit/s. I bitrate vengono gestiti dal Reader nelmomento in cui il TAG viene letto/scritto per ottimizzare la velocità di riconoscimento di TAG con l’affidabilità di trasmissione. Infatti con bitrate alti si aumenta la velocità dell’algoritmo anticollisione, accelerando il riconoscimento dei TAG. Con bitrate bassi si favorisce la robustezza del segnale verso il rumore. Nel verso TAG=>Reader vengono usati 40÷640 kbit/s con codifica FM0 e 5÷320 kbit/s con codifica Miller. La velocità di lettura è funzione di diverse variabili che comprendono la potenza d’uscita, la densità dei TAG e l’ambiente operativo a radiofrequenza. Le specifiche Gen2 dovrebbero consentire ai Reader di effettuare, con circa 250 TAG nel raggio di copertura, circa 1500 letture di TAG al secondo in Nord America, e 600 letture per secondo in Europa, dove la potenza irradiata, la banda e il “Duty Cycle” hanno limiti più stretti. Queste velocità di lettura supportano la capacità di identificare oggetti su nastri trasportatori in movimento o trasportati da carrelli elevatori in transito attraverso portali di lettura con velocità anche superiori ai 10 Km/h.

Efficienza spettrale

Vengono definiti tre modi operativi per i sistemi RFID: Reader singolo, Reader multipli, Reader multipli ad elevata densità. Le specifiche per i Reader che operano in ciascuno di tali ambienti sono state concepite per fornire prestazioni maggiori rispetto a quelli esistenti. I TAG Gen2 possono essere letti e scritti da Reader di ognuna delle categorie precedentemente elencate. La modalità operativa di Reader multipli ad elevata densità è la scelta più affidabile ma di maggior complessità; consente un uso efficiente della banda, ottimizza le prestazioni e protegge dalle interferenze.

Affidabilità

Sono previsti miglioramenti essenziali rispetto ai precedenti. Le nuove caratteristiche mirano all’eliminazione di falsi positivi in lettura e in generale all’ottenimento di maggiore affidabilità nella lettura medesima. Vi è anche la possibilità di introdurre meccanismi per incrementare le prestazioni in termini di integrità dei dati. Ad esempio è possibile la verifica, dopo scrittura, dei dati in memoria del TAG (opzionale da parte del Reader).

Raggio di copertura

Lo standard Gen2 consente ma non obbliga l’uso di tecniche di Frequency Hopping prevedendo canali di 500 kHz nella banda assegnata negli USA (da 902,5 a 927,5 MHz). Tecniche alternative (Listen Before Talk – LBT) in uso in Europa possono prevedere un “Duty Cycle” più breve e operare con meno potenza, il che può comportare maggiore lentezza di lettura e un raggio di copertura ridotto. Bisogna comunque ricordare che il massimo raggio di copertura è principalmente funzione della potenza irradiata. Poiché i limiti per tale potenzasonodifferentipergliUSA,l’EuropaeilGiappone,cisidovrà aspettare valori differenti tra queste aree (in particolare i valori massimi in USA sono maggiori rispetto a quelli in Europa e Giappone)

Sicurezza

I TAG conformi allo standard Gen2 sono protetti da manomissioni. Il cosiddetto “cloaking”, infatti, consente di configurare i TAG in modo tale che prima di rispondere a qualunque interrogazione necessitano di ricevere una password dal Reader. Password possono essere anche richieste per scrivere i TAG o disabilitarli. Altro requisito di sicurezza supportato dallo standard e particolarmente richiesto è la possibilità di disabilitare definitivamente (“killing”) i TAG in modo tale che i loro dati non possano più essere accessibili. Questo è un requisito essenziale nell’ambito della vendita al dettaglio al fine di dissipare i timori dei consumatori riguardo la loro privacy. Sono definite password separate (a 32 bit) per il killing, per il cloaking, o per accedere alle diverse sezioni della memoria dei TAG.

In Europa la normativa vigente per gli apparati / reader RFID mette a disposizione un totale 15 canali di ampiezza di 200 Khz ciascuno allocati nell’intervallo frequenze che vanno da 865.0 Mhz fino a 868.0 Mhz. Queste frequenze sono così suddivise:

Intervallo frequenze da 865.0 Mhz fino a 865.6 Mhz sono disponibili 3 canali di ampiezza di 200 Khz ciascuno, nei quali è possibile utilizzare una potenza massima E.R.P.  di 100 mWatt.

Intervallo frequenze da 865.6 Mhz fino a 867.6 Mhz sono disponibili 10 canali di ampiezza di 200 Khz ciascuno, nei quali è possibile utilizzare una potenza massima E.R.P. di 2 Watt

Intervallo frequenze da 867.6 Mhz fino a 868.0 Mhz sono disponibili 2 canali di ampiezza di 200 Khz ciascuno,  nei quali è possibile utilizzare una potenza massima E.R.P. di 500 mWatt.

E.R.P. / E.I.R.P.- Effective Radiated Power / Effective Isotropically Radiated Power

Nelle sistemi di trasmissione e radiofrequenza specialmente nel campo delle telecomunicazioni, la E.R.P. – Effective Radiated Power or Equivalent Radiated Power rappresenta la misura dell’ energia di radio  frequenza misurata nel S.I. in Watts. Questa è determinata sottraendo le perdite del sistema ad aggiungendo il guadagno.

E.R.P. tiene in considerazione la potenza trasmessa in uscita dal trasmettitore, l’ attenuazione della linea di trasmissione (cavo), l’attenuazione dovuta alle connessioni, la direttività dell’antenna, ecc… Questa misura si applica in genere ai sistemi con antenna.

In ambito RFID UHF la E.R.P. è la potenza irradiata dal sistema all’antenna. Questa è molto importante in quanto nella normativa vigente i limiti imposti sono espressi in termini di E.R.P. in Watts. E’ importante notare che la E.R.P. non è semplicemente la potenza in Watt erogata dal reader RFID alla usa uscita d’antenna bensì, è la potenza irradiata dall’antenna nell’ambiente il cui valore dipende dai fattori espressi dalla seguente formula:

Potenza E.R.P. = Potenza in uscita dal reader RFID – attenuazione  dovuta al cavo – attenuazione dovuta ai connettori + guadagno dell’antenna

Per verificare se il sistema RFID UHF stia rispettando le normative si dovrà effettuare il calcolo della potenza E.R.P. irradiata dall’antenna tenendo conto dei cavi, dei connettori e della tipologia di antenna ed accertarsi che questa sia all’interno dei limiti imposti. Per esempio, in Italia se si stanno utilizzando i canali ad alta potenza la E.R.P. massima ammissibile è di 2 Watt: si dovrà costruire quindi il proprio sistema RFID UHF in modo che all’antenna la potenza E.R.P. non superi mai questo limite.

E’ chiaro che aumentando il guadagno d’antenna si ottiene un incremento della potenza irradiata; di contro, aumentando la lunghezza del cavo si ottiene una diminuzione della potenza irradiata. In un sistema in cui sono richieste lunghezze elevate di cavo (sconsigliato), si potrà compensare la perdita aumentando la potenza all’uscita d’antenna del reader RFID.