Académique Documents
Professionnel Documents
Culture Documents
Introducción
Aunque las redes inalámbricas de acceso ?abierto? son muy cómodas de usar, pues dado el estado actual de
las tecnologías móviles y de los sistemas operativos no requieren apenas configuración previa por parte del
usuario, en la UPCT se ha escogido un enfoque distinto: se ha desplegado un red Wi-Fi basada en
autentificación previa del usuario (se ha seguido el estándar 802.1X, basándonos en EAP-TTLS) y
encriptación de la información (siguiendo el estándar WPA); con esto conseguimos los dos objetivos
siguientes:
? La red WiFi de la UPCT sólo será accesible por la comunidad universitaria (alumnos, PDI y PAS
de la UPCT) o por las personas debidamente autorizadas.
? La red WiFi de la UPCT tiene un nivel de confidencialidad aceptable, pues los datos ?viajan?
encriptados entre el PC del usuario y el punto de acceso inalámbrico.
Finalmente, y dado que la UPCT se ha adherido a la iniciativa EduRoam, para movilidad entre universidades,
se ha conseguido un tercer objetivo:
? Cualquier usuario de la red WiFi de la UPCT (alumno, profesor o PAS) podrá acceder
(identificándose con su usuario/contraseña de la UPCT) a la red WiFi de cualquier otra universidad
que esté dentro del marco EduRoam y viceversa (cualquier miembro de una universidad EduRoam
podrá conerse a Internet a través de la WiFi de la UPCT).
En la figura anterior se aprecia como todos los componentes para nuestro servicio están conectados a la red
Ethernet de la universidad y cómo ésta posee salida a Internet. Dicha salida se efectua a través de un router
que enlaza con la red de ciencia y tecnología en la región (Red CTNet). El modelo presentado es una
Introducción 1
Especificación_técnica_WIFI
Los puntos de acceso se conectan en las distintas dependencias donde se consideren de mayor
aprovechamiento para los usuarios, tras un previo estudio físico para su instalación. Mediante la división de
la red en VLANŽs conseguimos discriminar el tráfico de los distintos tipos de usuario, proporcionando
distintos recursos según los permisos otorgados.
La red inalámbrica de la UPCT está compuesta por diversos elementos de autenticación y validación
interconectados. Distinguimos protocolos de autenticación y cifrado, así como servidores y directorios para
control de acceso.
802.1x+RADIUS+EAPTTLS+PAP(LDAP)+WPA(TKIP)
? IEEE 802.1x reduce al mínimo los riesgos de seguridad en las redes inalámbricas, como el acceso
no autorizado a los recursos de la red y el espionaje al ofrecer identificación de usuarios y equipos,
ya que ofrece autenticación centralizada y administración dinámica de claves. IEEE 802.1x es
compatible con el Servicio de autenticación de Internet (IAS), que implementa el protocolo
RADIUS.
802.1x+RADIUS+EAPTTLS+PAP(LDAP)+WPA(TKIP) 2
Especificación_técnica_WIFI
? Ante los muchos métodos de autenticación en el túnel, destacamos PAP como método de
fácil configuración y su empleo en LDAP. Se basa en un simple nombre y contraseña que
deben ser proporcionados por el usuario y en función de los cuales se envía un mensaje de
aceptación o denegación de servicio desde el servidor.
En entornos sin una infraestructura RADIUS, WPA admite el uso de una clave compartida previamente. En
los entornos con una infraestructura RADIUS (como es nuestro caso), se admiten el Protocolo de
autenticación extensible (EAP) y RADIUS. Con 802.1x, volver a teclear las claves de cifrado de unidifusión
es opcional.
Además, 802.11 y 802.1x no proporcionan ningún mecanismo para cambiar la clave de cifrado global
utilizada para el tráfico de multidifusión y difusión. Con WPA es necesario volver a teclear las claves de
cifrado de unidifusión y globales. Para la clave de cifrado de unidifusión, el protocolo de integridad de clave
temporal (TKIP) cambia la clave para cada marco y el cambio se sincroniza entre el cliente inalámbrico y el
punto de acceso inalámbrico (AP). Para la clave de cifrado global, WPA incluye una utilidad para que el
punto de acceso inalámbrico anuncie la clave modificada a los clientes inalámbricos conectados.
Para el estándar 802.11, el protocolo WEP (cifrado de Privacidad equivalente con cable) es opcional. Para
WPA, se requiere el cifrado con el protocolo TKIP. El protocolo TKIP sustituye a WEP con un algoritmo de
cifrado nuevo, más seguro que el algoritmo de WEP que, sin embargo, utiliza las utilidades de cálculo de los
dispositivos inalámbricos existentes para realizar las operaciones de cifrado. TKIP también proporciona:
? La determinación de una clave de inicio de cifrado de unidifusión exclusiva para cada autenticación
de clave previamente compartida.
En los entornos habituales de WLANs 802.1x, los puntos de acceso delegan al servidor RADIUS el
autenticar a los usuarios y soportar tipos concretos de autenticación EAP. El servidor maneja estas funciones
802.1x+RADIUS+EAPTTLS+PAP(LDAP)+WPA(TKIP) 3
Especificación_técnica_WIFI
y proporciona capacidad de autenticación y protección de datos conforme a los requerimientos del tipo de
autenticación EAP en uso. Los siguientes pasos proporcionan una estructura básica de la forma en que
avanza la conversación entre el cliente WLAN y el servidor RADIUS con el objetivo de establecer la
conexión inalámbrica segura:
1. El cliente WLAN (llamado ?Supplicant? en documentos del IEEE) intenta acceder a la red.
2. El punto de acceso (el ?Autenticador?) responde a las peticiones y pide la identidad al cliente.
4. El punto de acceso le pasa la petición de acceso (?Access-Request?) al servidor RADIUS con los
credenciales del usuario.
5. El servidor RADIUS responde con un desafío al punto de acceso. El desafío indicará el tipo de
autenticación EAP requerido
por el servidor (TTLS).
7. Si el cliente está de acuerdo con el tipo de EAP, entonces la negociación continuará; si no, el
cliente descartará la :petición y sugerirá un método alternativo.
9. Si los credenciales son correctos (lo cual se hace a través de la consulta correspondiente al
servidor LDAP de la UPCT), el :servidor RADIUS acepta al usuario. Si no, se le niega el acceso, se
le envía un ?Access-Accept o Access-Reject?.
10. Si la autenticación tiene éxito el punto de acceso permite al cliente acceder a la red.
802.1x+RADIUS+EAPTTLS+PAP(LDAP)+WPA(TKIP) 4