Академический Документы
Профессиональный Документы
Культура Документы
Hoy en día estamos viviendo una evolución acelerada de las tecnologías inalámbricas
-WIRELESS con el fin de facilitar la movilidad manteniendo la conectividad a la red.
El proyecto se inició con un estudio de las prestaciones y limitaciones del nuevo estándar
802.11b que rápidamente nos llevaron a determinar que el problema principal de esta
tecnología no era la velocidad sino la seguridad. Ello nos llevó a realizar una aproximación
a dicho problema desde una perspectiva independiente del estándar 802.11b y del fabricante
del hardware wireless que se escogiese.
Así pues se realizó una valoración de las distintas soluciones que se podían adoptar para dotar
a las comunicaciones inalámbricas, del nivel de seguridad que la universidad deseaba. La
valoración también incluyó aspectos totalmente ajenos a la temática de la seguridad en las
comunicaciones pero no por ello menos importantes como la complejidad del mantenimiento de
la solución, inversión inicial, solución basada en estándares, la escalabilidad, integración con el
software del punto de trabajo actual y futuro de la universidad, etc.
Paralelamente se realizó un análisis de las prestaciones que ofrecían los diferentes productos
en ese momento disponibles en el mercado wireless así como una previsión de las nuevas
funcionalidades previstas por cada fabricante. De este análisis y de una prueba piloto en el
laboratorio se determinó de qué fabricante wireless serían los productos: Access Points y
tarjetas Wireless Pcmcia de usuarios, básicamente.
De ambos estudios salió la propuesta a partir de la cual la Universidad compró los equipos
wireless y el software necesario para la realización de dicho proyecto. Los access point
escogidos fueron de la marca “Enterasys” y la solución para securizar las comunicaciones
wireless es la ofrecida por Funk software basada en el protocolo EAP-TTLS.
El servicio wireless de la UOC permite la conectividad a la red por un lado del personal externo
a la universidad que nos visita puntualmente y por otro lado al personal de gestión de la propia
Universidad, que por diversos motivos hace uso frecuente de un mismo portátil como estación
de trabajo permanente o bien aquel personal que se desplaza por las diferentes ubicaciones
de la universidad ya sea para mantener una reunión, etc..., y necesita conexión a la intranet de
la Universidad.
En respuesta a estos dos perfiles de usuarios, se decidió montar una doble infraestructura tanto
de red inalámbrica como alámbrica para suministrar los servicios demandados por cada uno de
los perfiles sin comprometer la seguridad en ninguno de los casos.
Actualmente los espacios de la Universidad en donde está operativo cada uno de los dos
perfiles definidos, están oportunamente indicados.
El perfil externo permite acceder a Internet para navegar o leer el correo electrónico o navegar
por el campus virtual de la universidad y esta pensado para personas que nos visitan
puntualmente con motivo de una reunión, conferencia o visita.
El acceso a la red wireless es inmediato por parte del usuario ya que no se requiere de
autenticación alguna aunque sí sé requiere del uso de la clave WEP de 40 bits que esté
vigente en cada momento y que se le suministrará a la entrada, en la recepción.
Las ubicaciones físicas que a día de hoy dan servicio al perfil externo son básicamente dos: la
recepción, salas de reuniones y la biblioteca.
Otras de las situaciones para la cual, el cableado tradicional no ofrecía una buena respuesta,
son las ferias o eventos puntuales en los que hay que dotar de infraestructura de red para
acceder a internet de forma rápida, barata y flexible a una pequeña red de ordenadores. En
este caso el uso de la tecnología wireless es perfecta puesto que abarata enormemente los
costes de instalación a la vez que mejora la movilidad del personal de la universidad, reduce el
tiempo de entrada en servicio de la instalación y mejora la imagen.
El perfil interno, que permite acceso a la intranet a la vez que a internet, consta de una
cobertura mayor que incluye todas las salas de reuniones, la sala de formación y todo el
edificio principal de la Universidad así como parte de otras dependencias. Como hemos
mencionado anteriormente este perfil permite trabajar con todas las aplicaciones tal y como se
realiza des del punto de trabajo conectado a la red física.
El acceso a la red para los usuarios de este perfil es totalmente transparente, puesto que tras la
correspondiente instalación del cliente Odyssey en el portátil y una vez configurado, la
autenticación del usuario para acceder a la red wireless reutiliza el usuario y contraseña de
windows utilizado para entrar en el dominio de red windows.
A sí mismo, dicho análisis incluyo aspectos funcionales como que la solución adoptada fuese
lo más transparente posible para el usuario final así como compatible con el sistema operativo
de usuario windows 98 utilizado en aquel momento y también con el sistema windows XP al
que hemos migrado recientemente. También aspectos operativos como que se pudiese realizar
una administración y mantenimiento centralizado de usuarios integrado con las bases de datos
existentes y futuras y que la solución fuese fácilmente escalable para poder ser utilizada por un
número creciente de usuarios.
A tal efecto en el laboratorio se validó toda la solución escogida montando una maqueta donde
se reprodujo a pequeña escala una red wireless completa para dar servicio al perfil interno.
Todos estos requisitos a día de hoy continúan siendo totalmente válidos.
Se tuvieron en cuenta los siguientes puntos: capacidad para evolucionar hacia futuros
estándares wireless en aquel momento en elaboración (802.11g ...), la capacidad de disponer
de varios canales radio por equipo, la sensibilidad de los equipos, relación prestaciones/precio,
que fuesen equipos Wi-Fi, la integración de la solución wireless con la red cableada de datos,
evolución del producto, nuevas funcionalidades previstas de ser incorporadas, que la
administración de estos pudiese realizarse remotamente, la calidad del soporte técnico
ofrecido, gama de accesorios... adicionalmente, a través de una maqueta, se realizaron
pruebas de campo para determinar el throughput efectivo de los distintos equipos sometidos a
test.
A continuación figuran las ventajas y desventajas para cada una de las posibles soluciones
a) Solución basada en el uso de claves WEP (Wired Equivalent Privacy) para autenticar y
Ventajas:
Desventajas
La clave WEP utilizada puede ser descifrada fácilmente tras varias horas de
recopilación de información encriptada con una misma clave WEP, como resultado de
la reutilización del vector de inicialización.
El usuario tiene dos métodos para autenticarse dentro de la red wireless, el “Open
Authentication” y el “Shared Key Authentication”, aunque ninguno de ellos permite
identificar al usuario final de forma unipersonal y fiable. De hecho el primer método se
basa en dejar acceder a la red a cualquier usuario y el segundo, a pesar de requerir la
utilización de la clave WEP correcta por parte del usuario final, le facilita al hacker el
poder descifrarla.
De todas formas, hay varias recomendaciones para cualquiera que desee implantar una red
wireless con un mínimo de seguridad utilizando este método:
Encriptar utilizando una clave WEP de 104 o 40 bits. De esta manera a la vez que
protegemos mínimamente la información, únicamente aquellos usuarios que sepan
dicha clave podrán transmitir y recibir información por la red.
Ventajas
Desventajas
La encriptación se realiza por software en los clientes, lo que podría ralentizar las
comunicaciones.
No soporta multicast.
Ventajas
Desventajas
Actualmente las llaves de encriptación son WEP con las vulnerabilidades ya conocidas
de dicho sistema de encriptación.
Dicha solución solo se puede implantar sobre un parque de equipos con determinados
sistemas operativos que soporten 802.1x como por ejemplo Windows XP.
Precisamente por ser conocidas las vulnerabilidades de WEP, tenemos que: Con el
cambio frecuente y periódico de la clave de encriptación unipersonal minimizamos
prácticamente los riesgos asociados al uso compartido y estático de las claves, tal y
como se define en el estándar 802.11b.
En cuanto al otro punto conflictivo, la solución de Funk Software lo soluciona puesto
que su cliente Odyssey está soportado por sistemas operativos que por defecto no
soportan 802.1x, por ejemplo Windows 98/98SE
En cuanto a seguridad se trata, el IEEE, en espera del nuevo estándar IEEE 802.11i que se
está elaborando, ha elaborado conjuntamente con Wi-Fi la especificación WPA, “ Wi-Fi
Protected Access”.
Así mismo, Windows en colaboración con otros fabricantes como Cisco, han desarrollado el
Protected EAP Protocol (PEAP), de características y prestaciones muy similares al EAP-TTLS,
y que los dispositivos con sistema operativo Windows XP podrán incorporar próximamente a
través de un “service pack”.
También se estaba trabajando en una modificación del 802.1x para que el proceso de
autenticación e intercambio de claves fuese anterior a la asociación con la estación base y por
lo tanto anterior al intercambio de las tramas de negociación. De esta manera se protege el
punto de acceso frente a diversos tipos de ataques de denegación de servicio y se acelera el
proceso de roaming.
En cuanto al roaming entre puntos de acceso wireless, se esperan futuras mejoras, cuando por
ejemplo se utiliza autenticación por 802.1x/EAP, puesto que actualmente dicho proceso es
lento debido a la necesidad de autenticarse de nuevo al cambiar de punto de acceso wireless, y
de renegociar una nueva clave de sesión. Así mismo, también mejoras en cuanto a mantener
la dirección ip durante dicho proceso de roaming.
1. En aquellos momentos era el único producto que aseguraba poder usar dos slots
trabajando con una combinación de cualquiera de las tecnologías emergentes en el
mercado cambiando la pcmcia wireless en el punto de acceso.
2. Rendimiento radio suficiente para nuestras necesidades, puesto que el acceso esta
básicamente restringido a un número limitado y controlado de usuarios.
3. Gama de producto que permitía cubrir los requisitos de los distintos perfiles de la
universidad ( interno, externo y para montajes eventuales).
4. Integración total de las prestaciones de la gama de productos Wireless con los equipos
de la red cableada a fin de mejorar la seguridad en su conjunto a través de la creación
de una red personalizada “UPN”.
5. Se requerían dos slots radio 802.11b en un mismo punto de acceso para permitir el
acceso a la red a clientes windows 98 trabajando dentro de un dominio de Windows
NT. Esto era solo posible con el equipo de Enterasys.
De todos modos, esta velocidad de transferencia se reduce hasta una velocidad efectiva de
más o menos la mitad tras eliminar las cabeceras.
Así mismo, en otros países como Estados Unidos, la disponibilidad de la banda libre para uso
público de servicios Wireless LAN en los 5GHz ha permitido la proliferación de equipos Wi-Fi
que operan en dicha banda bajo las especificaciones del estándar 802.11a. Dicho estándar ya
permite trabajar actualmente a 54 Mbps aunque los radios de cobertura son más pequeños
que para el caso de trabajar a 2,4 Ghz.
En España, sin embargo, no está permitido el uso de dicha tecnología puesto que el uso de
esta banda está reservado, por lo cual la aprobación del nuevo estándar a 2,4 Ghz resulta de
especial interés en países como el nuestro.
DISEÑO de la RED WIRELESS:
Área de cobertura.
La calidad de señal que tenemos en una zona de cobertura wireless viene determinada por la
relación entre la potencia de la señal recibida y el nivel de ruido existente, incluyendo posibles
señales interferentes. A dicha diferencia de potencias se le conoce como la relación señal-
ruido, o SNR. Nosotros hemos considerado que por encima de 15db de señal SNR la calidad
de la señal recibida es aceptable. Así pues dicho umbral de señal SNR al movernos alrededor
de un punto de acceso nos determinará una área de cobertura determinada.
Sin embargo dicha área de cobertura varia considerablemente según el entorno en que se
encuentre ubicado dicho punto de acceso, por lo que no es posible extrapolar resultados
obtenidos en un entorno abierto, hacia un entorno cerrado o semicerrado de oficinas. De este
modo en un entorno de oficinas con paredes y muros de hormigón armado el área de cobertura
se reduce considerablemente en comparación con un entorno de oficinas donde las
separaciones entre despachos esté realizada a base de ladrillos, madera o vidrio. Sin embargo
dicha desventaja puede convertirse en un aliado cuando se desea limitar el área de cobertura a
un determinado recinto por ejemplo por motivos de seguridad o bien para preservar el ancho de
banda disponible.
Hay también que recordar que para disponer de roaming entre celdas wireless, estas deberán
solaparse parcialmente.
Así mismo el movimiento de personas también puede reducir el nivel de señal por lo que se
recomienda no poner los puntos de acceso a alturas próximas al nivel de las personas sino
algo más alto sobretodo en zonas de tránsito. También es bueno evitar la reflexiones de la
señal por efecto de obstáculos ubicando dichos dispositivos a una cierta altura en un espacio
abierto.
Hay también que tener en cuenta que dicho punto de acceso inalámbrico debe conectarse a un
punto de red alámbrica así como a una toma de red eléctrica lo que limita a veces la ubicación
de dicho punto. En este sentido la inyección de la señal eléctrica a través de los pares libres del
cableado UTP han supuesto un significativo avance.
Es por todo ello que una vez determinadas las áreas a cubrir la opción más prudente consiste
en analizar “in situ” el nivel de SNR detectado tras ubicar un punto de acceso en las
proximidades e ir desplazando o reorientando este punto hasta conseguir cubrir el área
deseada con los niveles deseados.
Por otro lado, aunque sería de gran ayuda el poder disponer del diagrama de radiación de las
antenas de punto de acceso así como de las PCMCIAs en caso de que estas fuesen diferentes,
normalmente dicha información no se suministra y se reduce a simplemente indicar que son
omnidirecionales, tras lo cual dicha metodología de campo resulta ser la más efectiva.
Los fabricantes de las principales marcas en el sector incluyen software cliente para poder
tomar dichas medidas de relación SNR. Sin embargo otra fórmula muy cómoda consiste en
coger un PDA e insertarle una tarjeta compact flash 802.11b y algún software libre para realizar
el “site survey”. En este caso sincronizando la recogida del nivel de señal con la ubicación
obtenida a través de un sistema GPS podemos generar planos de cobertura wireless muy útiles
para nuestras instalaciones.
El número de canales disponibles de ser usados para dar servicio Wireless Lan según el
estándar 802.11b varia entre países. Así pues en España a día de hoy se pueden utilizar hasta
13 canales los mismos que en toda la comunidad europea. Sin embargo el número de canales
disponibles en USA son 11. Es por ello que hay Pcmcias que solo permiten trabajar con 11
(“FCC”) y no con 13 ( “ETSI “ ) canales radio aunque con la contraprestación de ser algo más
baratas. En la UOC disponemos de tarjetas ETSI. Ello tiene alguna ventaja como veremos
posteriormente para el caso de un proyecto corporativo.
Si bien según el estándar 802.11b solo se dispone de hasta 3 canales para trabajar
simultáneamente sin solapamiento, es posible llegar a utilizar hasta 4 con un análisis de
cobertura in situ de forma que la interferencia entre ellos sea pequeña.
Cuando se trabaja con 3 canales radio, los 3 canales sin solapamiento utilizados son el 1-6-11
( 3 Mhz libres entre canales ) mientras que en Europa podríamos utilizar hasta 4 siendo estos
el 1-5-9-13; Según algunos estudios (ver articulo: “4 Simultaneous Channels Okay For 802.11b”
) la interferencia entre canales es inferior al 1%; El hecho de poder trabajar con 4 canales en
lugar de 3 nos facilita la planificación de canales radio en instalaciones con varios puntos de
acceso inalámbricos y sobretodo cuando estos se distribuyen entre varias plantas de un
edificio.
a) Dar servicio Wireless Lan seguro con cobertura total a las plantas : Planta principal de
recepción, planta primera y planta segunda.
b) Concurrencia máxima prevista de usuarios conectados: 20
a) Dar servicio Wireless Lan público con cobertura total a la planta principal donde se
ubica la recepción.
b) concurrencia máxima prevista de usuarios conectados: 10
Solución:
En dicho edificio noble por su constitución ( sin hormigón armado) y estructura ( estancias
bastante abiertas ) el área de cobertura de un punto del acceso tipo Roamabout R2 ubicado en
la primera planta ( planta noble ) cubre perfectamente la planta superior e inferior así como
parte del sótano con un nivel de señal superior al umbral establecido. Este dispositivo
Roamabout R2 dispone de 2 slots para sendas tarjetas Pcmcias. Cada una de ellas utiliza un
canal radio, pero trabajando ambas dentro de la misma red inalámbrica puesto que utilizan el
mismo identificador de red y tienen la misma configuración.
En este caso los canales utilizados son el 1 y el 11. Ello nos permite doblar el ancho de banda
disponible hasta 22 Mbps así como balancear usuarios entre ambos canales radio de forma
dinámica en función de la calidad del enlace radio que el usuario perciba mejor. Con el fin de
evitar interferencias entre ambas tarjetas radio, hemos conectado una antena exterior a una de
las pcmcias y la hemos separado aproximadamente un metro. Así mismo gracias a la ganancia
adicional de dicha antena hemos aumentado la potencia de señal transmitida..
Cada uno de estos puntos de acceso dan acceso a redes alámbrica diferentes y aisladas entre
ellas, con direccionamiento diferente y servicios diferentes.
Solución:
Estos dispositivos Roamabout R2 disponen de 2 slots para sendas tarjetas Pcmcias. Cada una
de ellas utiliza un canal radio, pero trabajando ambas dentro de la misma red inalámbrica
puesto que utilizan el mismo identificador de red y tienen la misma configuración.
En este caso los canales utilizados son 4 : 1-5-9-13. Con este diseño podemos doblar el ancho
de banda disponible hasta 22 Mbps por planta, puesto que el hormigón armado nos aísla cada
una de estas plantas, así como balancear usuarios entre ambos canales radio de forma
dinámica en función de la calidad del enlace radio que el usuario perciba como mejor. Con el fin
de evitar interferencias entre ambas tarjetas radio, hemos conectado una antena exterior a una
de las pcmcias y la hemos separado aproximadamente un metro. De este modo también
conseguimos orientar cada una da los canales radio hacia alas distintas de la misma planta.
Finalmente para proporcionar el servicio wireless externo a la biblioteca utilizamos otro punto
de acceso independiente, Roamabout R1 que utiliza otro identificador de red wireless así como
el canal nº5 para suministrar dicho servicio. La ubicación de dicha estación ha sido en la planta
-3.
Al igual que en el edificio anterior cada una de estas redes wireless dan acceso a redes
alámbrica independientes, con direccionamiento diferente y servicios diferentes.
Modelo en expansión.
Este montaje se irá exportando progresivamente a otros edificios corporativos como el que
durante este mes de Septiembre se inaugura como sede del nuevo instituto interdisciplinario e
internacional IN3. Dicho edificio de 4 plantas constará con una infraestructura de red que
ofrecerá servicios inalámbricos equivalentes a los ya existentes en la sede central pero con
una cobertura superior.