Diseño e Implementación de Un Hostpot Con Una Red de Acceso WiFi Mediante Software Libre

Diseo e implementacin de un hotspot con una red de acceso WiFi mediante software libre
ALUMNO: TUTOR:
Miguel ngel Contioso Conejo Dr. Jos Ramn Cerquides Bueno
Diseo e Implementacin de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto
Fecha: 24/06/2008
ndice
1 2 Introduccin................................................................................................................6 Teora de redes wireless bajo la recomendacin 802.11 ...........................................8
2.1
2.1.1 2.1.2
Introduccin ..................................................................................................................8
802.11. Definicin, historia y grupos de tareas. ......................................................................9 Wi-Fi Alliance .......................................................................................................................14
2.2
Tecnologa aplicada en 802.11 ...................................................................................15
2.2.1 Capa Fsica ............................................................................................................................15 2.2.1.1 Introduccin .................................................................................................................15 2.2.1.2 Arquitectura .................................................................................................................16 2.2.1.3 FHSS............................................................................................................................17 2.2.1.4 DSSS............................................................................................................................18 2.2.1.5 802.11b y HR-DSSS ....................................................................................................20 2.2.1.6 802.11a y OFDM .........................................................................................................21 2.2.1.6.1 Estructura del canal .................................................................................................22 2.2.1.6.2 Modulaciones usadas en 802.11.............................................................................23 2.2.1.7 802.11g y DSSS-OFDM ..............................................................................................24 2.2.2 Capa MAC.............................................................................................................................25 2.2.2.1 Introduccin .................................................................................................................25 2.2.2.2 Mecanismos de acceso al medio ..................................................................................26 2.2.2.2.1 Protocolos con arbitraje...........................................................................................27 2.2.2.2.2 Protocolos de acceso por contienda ........................................................................27 2.2.2.3 Formato de tramas........................................................................................................32 2.2.2.4 Mecanismo de autenticacin y asociacin estndar .....................................................33
2.3
Organizacin y caractersticas de una red wireless .................................................35
2.3.1 Topologas y configuraciones................................................................................................35 2.3.2 Direccionamiento ..................................................................................................................36 2.3.2.1 Direcciones IP Globales para Espaa ..........................................................................38 2.3.3 Enrutamiento en redes inalmbricas......................................................................................40 2.3.3.1 OLSR ...........................................................................................................................41 2.3.3.1.1 Mecanismo utilizado por OLSR..............................................................................43 2.3.3.1.2 Aplicaciones sobre OLSR .......................................................................................43 2.3.4 WDS ......................................................................................................................................44 2.3.4.1 Funcionamiento de WDS .............................................................................................45 2.3.5 Roaming ................................................................................................................................46 2.3.5.1 Puntos de acceso cableados..........................................................................................47 2.3.5.2 Puntos de acceso no cableados.....................................................................................49
Actualidad wireless ...................................................................................................50

3.1 3.2 Comunidades Wireless ...............................................................................................50 Recomendacin 802.11n .............................................................................................60
3.2.1 Introduccin...........................................................................................................................60 3.2.2 Mecanismo ............................................................................................................................61 3.2.2.1 Multiple Input / Multiple Output (MIMO)...................................................................61 3.2.2.2 Ancho de banda del canal ............................................................................................62 3.2.2.3 Mejora de la eficiencia de la capa MAC......................................................................62
Pg. 2 de 177
Fecha: 24/06/2008
3.3
Dispositivos existentes en el mercado ........................................................................63
3.3.1 Cableado ................................................................................................................................64 3.3.2 Conectores .............................................................................................................................66 3.3.3 Antenas..................................................................................................................................71 3.3.3.1 Caractersticas intrnsecas de una antena .....................................................................71 3.3.3.1.1 Impedancia de entrada.............................................................................................71 3.3.3.1.2 Prdida de retorno ...................................................................................................72 3.3.3.1.3 Ancho de banda.......................................................................................................72 3.3.3.1.4 Directividad y Ganancia..........................................................................................73 3.3.3.1.5 Diagramas o Patrones de Radiacin........................................................................74 3.3.3.1.6 Ancho del haz..........................................................................................................77 3.3.3.1.7 Lbulos laterales .....................................................................................................78 3.3.3.1.8 Nulos .......................................................................................................................78 3.3.3.1.9 Polarizacin.............................................................................................................78 3.3.3.1.10 Desadaptacin de polarizacin ..............................................................................79 3.3.3.2 Tipos de Antenas..........................................................................................................80 3.3.3.2.1 Omnidireccionales...................................................................................................80 3.3.3.2.2 Sectoriales ...............................................................................................................81 3.3.3.2.3 Direccionales...........................................................................................................83 3.3.4 Linksys WRT54GL v1.1 como punto de acceso ...................................................................84 3.3.4.1 Historia.........................................................................................................................84 3.3.4.2 Firmwares disponibles .................................................................................................85
Seguridad y privacidad wireless ...............................................................................87

4.1 Mecanismos de privacidad existentes........................................................................87
4.1.1 Introduccin...........................................................................................................................87 4.1.1.1 SSL...............................................................................................................................89 4.1.2 WEP.......................................................................................................................................91 4.1.2.1 Introduccin .................................................................................................................91 4.1.2.2 Funcionamiento............................................................................................................92 4.1.2.2.1 Encriptacin ............................................................................................................92 4.1.2.2.2 Desencriptacin.......................................................................................................94 4.1.2.3 Vulnerabilidades WEP.................................................................................................94 4.1.3 WPA y WPA2 .......................................................................................................................96 4.1.3.1 Fase 1: Acuerdo sobre la poltica de seguridad............................................................97 4.1.3.2 Fase 2: autenticacin 802.1X .......................................................................................98 4.1.3.3 Fase 3: Jerarqua y distribucin de claves....................................................................99 4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA ..............................................104 4.1.3.5 Vulnerabilidades WPA ..............................................................................................108
4.2
Mecanismos de seguridad ........................................................................................111
4.2.1 RADIUS ..............................................................................................................................111 4.2.1.1 Autenticacin y autorizacin .....................................................................................111 4.2.1.2 Accounting.................................................................................................................113 4.2.2 Filtrado MAC ......................................................................................................................114
4.3
4.3.1
Hotspot.......................................................................................................................114
Portales Cautivos .................................................................................................................117
4.4
Aplicaciones de auditora wireless...........................................................................119
4.4.1 Aircrack ...............................................................................................................................120 4.4.1.1 Ataques a WEP ..........................................................................................................120 4.4.1.2 Ataques a WPA..........................................................................................................121
Diseo e Implementacin de una red wireless ......................................................123
Pg. 3 de 177
Fecha: 24/06/2008
5.1 5.2
5.2.1 5.2.2 5.2.3
Introduccin. Alcance del proyecto.........................................................................123 Situacin inicial y requerimientos ...........................................................................124

rea a cubrir ........................................................................................................................124 Requerimientos....................................................................................................................125 Dispositivos disponibles......................................................................................................126
5.3 5.4
5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6 5.4.7
Objetivos ....................................................................................................................127 Dispositivos Utilizados..............................................................................................129

Servidor ...............................................................................................................................129 Puntos de acceso..................................................................................................................130 Antenas................................................................................................................................130 Cajas estanca .......................................................................................................................132 Conectores ...........................................................................................................................132 Cableado ..............................................................................................................................132 Router ADSL.......................................................................................................................133
5.5
Enfoque del proyecto y metodologa .......................................................................133
5.5.1 Consideraciones Iniciales ....................................................................................................134 5.5.2 Fase I ...................................................................................................................................136 5.5.2.1 Mediciones realizadas ................................................................................................136 5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios .........................................139 5.5.2.2.1 Nodo principal.......................................................................................................140 5.5.2.2.2 Nodos secundarios con antena omnidireccional ...................................................141 5.5.2.2.3 Nodo secundario con antena sectorial...................................................................142 5.5.2.3 Funcionamiento Lgico del sistema...........................................................................142 5.5.2.4 Radioenlaces. Configuracin de los puntos de acceso...............................................144 5.5.2.4.1 Cambio de Firmware .............................................................................................145 5.5.2.4.2 Configuracin Bsica ............................................................................................146 5.5.2.4.3 Configuracin Inalmbrica....................................................................................146 5.5.2.4.4 Enlaces WDS ........................................................................................................148 5.5.2.4.5 Calidad de servicio ................................................................................................149 5.5.2.4.6 Otras configuraciones............................................................................................150 5.5.2.5 Instalacin y configuracin del servidor ....................................................................151 5.5.2.5.1 Instalacin y configuracin de la distribucin Ubuntu .........................................152 5.5.2.5.2 Configuracin de RAID 1 .....................................................................................153 5.5.2.5.3 Configuracin de las interfaces de red ..................................................................154 5.5.2.5.4 Configuracin del portal cautivo Chillispot ..........................................................155 5.5.2.5.5 Configuracin del firewall ....................................................................................157 5.5.2.5.6 Configuracin del servidor RADIUS y mySQL ...................................................158 5.5.2.5.7 Configuracin del servidor web apache ................................................................161 5.5.2.5.8 Configuracin del administrador radius Dial Up admin. ......................................163 5.5.2.5.9 Configuracin de parmetros especiales en RADIUS...........................................165 5.5.2.6 Colocacin de puntos de acceso y antenas.................................................................166 5.5.2.7 Anlisis de la potencia irradiada ................................................................................168 5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB ..........................................169 5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB....................................................169 5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi ......................................169 5.5.3 Fase II ..................................................................................................................................170 5.5.4 Fase III.................................................................................................................................171
5.6
5.6.1
Presupuesto................................................................................................................171
Presupuesto para la fase I y II..............................................................................................172
Anexos .....................................................................................................................174
Pg. 4 de 177
Fecha: 24/06/2008
7 8
Bibliografa utilizada..............................................................................................175 ndices de tablas y figuras ......................................................................................176

8.1 8.2 ndice de figuras........................................................................................................176 ndice de tablas..........................................................................................................177
Pg. 5 de 177
Fecha: 24/06/2008
1 Introduccin
Las redes inalmbricas estn en auge. En concreto, cada vez hay ms dispositivos que disponen de un chip WLAN integrado que permite hacer uso de este tipo de redes. Si a esto le unimos la gran telaraa de nodos que estn tejiendo las comunidades wireless sin nimo de lucro en muchas ciudades espaolas y en el mundo, as como la bajada de precios en los dispositivos necesarios para componer un nodo, tenemos los ingredientes necesarios para que se produzca una revolucin seria en este mbito. Es por ello que conocer en profundidad cmo se interconectan entre s varias redes wireless, cmo se disean, cules son los mecanismos de seguridad existentes no comprometidos, cules son los que s lo estn y de qu forma, cmo configurar un servidor que controle el acceso y la seguridad a la red, etc. es algo apasionante y que puede resultar muy til en el mercado laboral actual y futuro. Al margen de esta consideracin, se abrieron otras dos que hicieron posible la realizacin de este proyecto: la posibilidad de ofrecer a mi comunidad de vecinos una red a la que poder conectarse libremente y la posibilidad de adquirir conocimientos prcticos en sta y otras materias, tan necesarios y tan obviados en una ingeniera donde el 95% son clases tericas, al menos en mi promocin. Por el bien de las siguientes promociones de alumnos espero que esto haya cambiado o cambie pronto de una manera notable. Es por ello que en esta memoria encontrar lo que opino es la proporcin correcta entre teora y prctica, 60% Vs. 40%. El segundo apartado aporta los fundamentos tericos sobre la tecnologa utilizada en las redes wireless. Es imprescindible conocer cmo es la tcnica de espectro expandido usada, canales utilizados e interferencia entre estos, modulaciones utilizadas segn la tasa de transferencia seleccionada, en definitiva conocer las capas fsica y MAC para realizar un diseo eficiente de una red wireless. En el tercer apartado se ha intentado plasmar una imagen esttica del estado de esta tecnologa en la actualidad. Es por ello que se habla de las
Diseo e Implementacin de un hotspot con una red de acceso WiFi mediante software libre Pg. 6 de 177
Fecha: 24/06/2008
comunidades existentes y de su aportacin, de los esfuerzos que se llevan realizando para estandarizar nuevas tecnologas que permitan mejorar las ya existentes, sobre todo en lo referente a tasas de transferencia, calidad de servicio, seguridad y privacidad. Tambin se describen los dispositivos que componen una red wireless y cmo se encuentran en el mercado. He querido dedicar un apartado a la privacidad y la seguridad en redes wireless, que si bien es insuficiente para el tratamiento de un tema tan complejo como ste, s que refleja las vulnerabilidades conocidas de varios mecanismos de privacidad comnmente utilizados y los posibles ataques que pueden llevarse a cabo en una auditora de seguridad para comprobar la robustez de la seguridad del sistema. Se plantean las formas de evitar estos ataques por usuarios malintencionados y se introduce al lector al sofisticado mecanismo de autenticacin RADIUS. Finalmente, el quinto apartado refleja toda la experiencia adquirida en la implementacin realizada en la A.D.C. Los Colores. Quedan reflejados en este apartado los pasos seguidos a la hora de elegir el diseo, las herramientas de software libre utilizadas y la configuracin necesaria en todos los dispositivos utilizados. Siguiendo los mismos pasos que se reflejan en este apartado, puede configurarse un sistema similar al utilizado en este proyecto sin demasiados problemas.
Pg. 7 de 177
Fecha: 24/06/2008
2 Teora de redes wireless bajo la recomendacin 802.11

2.1 Introduccin
La aparicin de las redes inalmbricas se debe principalmente al yugo que supona depender de la instalacin del cableado entre todos los dispositivos que componen una red. Cuando se ampliaba una red o se trasladaban parte de sus dispositivos integrantes, era necesaria acometer de nuevo la instalacin del cableado entre los dispositivos. Sin embargo, en una red inalmbrica, se dota a los dispositivos finales de movilidad, es decir, basta con que el dispositivo est en la zona de cobertura para poder conectarse a la red. Adems, la red es escalable de una forma econmica, ya que basta con configurar el nuevo dispositivo para que haga uso de la red, sin instalacin de cableado, con la nica limitacin de la que tengan los puntos de acceso. Cabe destacar que no todos los dispositivos se interconectan de forma inalmbrica, sino que aquellos a los que queremos dotar de una mayor fiabilidad y/o seguridad (servidores, routers, firewall, gateway, etc.) deben conectarse de forma cableada, ofreciendo mayor seguridad, estabilidad y fiabilidad a la red. La red inalmbrica por tanto no sustituye a la cableada, sino que se complementan. Normalmente, si aumenta la red es debido a dispositivos finales, que se conectan de forma inalmbrica, por lo que una vez implementada la estructura principal de la red, podr ampliarse o trasladarse de una forma ms fcil y econmica. Adems, en algunas ocasiones es necesario implementar una solucin inalmbrica, debido a la imposibilidad de instalar cableado, ya sea por la orografa del terreno, por ser un edificio histrico, etc. Todas estas razones unidas a las anteriormente explicadas, hacen que las redes inalmbricas de datos aparezcan y se desarrollen de una manera muy rpida, siendo necesaria la estandarizacin de normativas y recomendaciones que aseguren la compatibilidad entre dispositivos de distintos fabricantes. Si bien fue la recomendacin 802.11 la que recoga cmo debera ser la capa fsica y la capa
Fecha: 24/06/2008
MAC, no fue hasta la aparicin de WECA en el ao 1999 (Wireless Ethernet Compatibility Alliance), cuando se foment la interoperabilidad entre fabricantes. Haremos un poco de historia en el siguiente punto. 2.1.1 802.11. Definicin, historia y grupos de tareas. IEEE 802.11 es un grupo de trabajo perteneciente a IEEE que se encarga de estandarizar todo lo referente a redes inalmbricas. En 1997 802.11 se hizo realidad como estndar, definiendo dos tipos de transmisiones posibles. a) Transmisin en la banda IR b) Transmisin en RF. Destacar que todos los protocolos que se usan en 802.3 a partir de la capa MAC, es decir, LLC, IP, TCP, UDP, BGP, OSPF, RIP, etc. son vlidos para una red WLAN 802.11. Es decir, lo nico que va a cambiar en una red inalmbrica frente a una cableada es la capa fsica y la capa MAC (Figura 1). De hecho este es el objetivo del grupo de trabajo 802.11, ya que se debe asegurar la interoperatividad de ambas redes.
802
Visin General y arquitectura
802.1
Gestin
802.2 Logical Link Control (LLC)
802.3
802.3 MAC
802.5
802.5 MAC
802.11
802.11 MAC
802.5 PHY
802.5 PHY
802.11
FHSS PHY
802.11
DSSS PHY
802.11a
OFDM PHY
802.11b
HR/DSSS PHY
802.11n
OFDM/DSS S PHY
Figura 1. Familia IEEE 802 y su relacin con el modelo OSI
A partir de la recomendacin 802.11 surgieron varios estndares para cada tipo de red, quedando resumidas las ms importantes en la tabla 1:
Pg. 9 de 177
Nivel Fsico
Nivel de enlace
Fecha: 24/06/2008
WPAN
WLAN 802.11a 802.11b 802.11g 802.11n HyperLan
WMAN MMDS LMDS
WWAN GSM CDMA GPRS 2.53G
Bluetooth
Tabla 1: Estndares principales surgidos a partir de 802.11
El alcance de este proyecto incluye todos los estndares 802.11 para redes WLAN, dejando al margen los dems estndares. El grupo de trabajo 802.11 cre varios grupos de tareas para facilitar la labor de estandarizacin, as como un avance continuado. De hecho hay recomendaciones que a da de hoy an estn por terminar o acaban de hacerlo (802.11n, 802.11f, 802.11w, etc.). Veamos los grupos de tareas ms importantes del grupo de trabajo 802.11: PHY.- (Physical layer).- Encargados de definir la capa fsica. Desarrollaron tres tipos de capas fsicas. Las correspondientes a radio frecuencia se desarrollan en el apartado Capa Fsica: 1. Infrarrojos. 2. DSSS en la banda de 2,4GHz. 3. FHSS en la banda de 2,4GHz MAC.- Desarrollaron una capa MAC comn a todas las capas fsicas, en conjuncin con el grupo de tareas PHY. 802.11a.- La revisin 802.11a al estndar original fue ratificada en 1999. El estndar 802.11a utiliza el mismo juego de protocolos de base que el estndar original, opera en la banda de 5 Ghz y utiliza 52 subportadoras mediante la tcnica llamada orthogonal frequency-division multiplexing (OFDM), con una velocidad mxima de 54 Mbit/s, lo que lo hace un estndar prctico para redes inalmbricas con velocidades reales de
Pg. 10 de 177
Fecha: 24/06/2008
aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales no solapados, 8 para red inalmbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estndar 802.11b, excepto si se dispone de equipos que implementen ambos estndares. Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda usada por los telfonos inalmbricos y los hornos de microondas, entre otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del estndar 802.11a, dado que se presentan menos interferencias. Sin embargo, la utilizacin de esta banda tambin tiene sus desventajas, dado que restringe el uso de los equipos 802.11a a nicamente puntos en lnea de vista, con lo que se hace necesario la instalacin de un mayor nmero de puntos de acceso; Esto significa tambin que los equipos que trabajan con este estndar no pueden penetrar tan lejos como los del estndar 802.11b dado que sus ondas son ms fcilmente absorbidas. 802.11b. La revisin 802.11b del estndar original fue ratificada en 1999. 802.11b tiene una velocidad mxima de transmisin de 11 Mbit/s y utiliza el mismo mtodo de acceso CSMA/CA definido en el estndar original. El estndar 802.11b funciona en la banda de 2.4 GHz. Debido al espacio ocupado por la codificacin del protocolo CSMA/CA, en la prctica, la velocidad mxima de transmisin con este estndar es de aproximadamente 5.9 Mbit/s sobre TCP y 7.1 Mbit/s sobre UDP. Aunque tambin utiliza una tcnica de ensanchado de espectro basada en DSSS, en realidad la extensin 802.11b introduce CCK (Complementary Code Keying) para llegar a velocidades de 5,5 y 11 Mbps (tasa fsica de bit). El estndar tambin admite el uso de PBCC (Packet Binary Convolutional Coding) como opcional. Los dispositivos 802.11b deben mantener la compatibilidad con el anterior equipamiento
Pg. 11 de 177
Fecha: 24/06/2008
DSSS especificado a la norma original IEEE 802.11 con velocidades de bit de 1 y 2 Mbps. 802.11c.- Ratificado en 1998. Es un suplemento de 802.11d. 802.11d.- Este grupo de tarea se encarg de definir los requerimientos de la capa fsica para los distintos pases. 802.11e.- El objetivo del nuevo estndar 802.11e es introducir nuevos mecanismos a nivel de capa MAC para soportar los servicios que requieren garantas de Calidad de Servicio. Para cumplir con su objetivo IEEE 802.11e introduce un nuevo elemento llamado Hybrid Coordination Function (HCF) con dos tipos de acceso: (EDCA) Enhanced Distributed Channel Access (HCCA) Controlled Access.
802.11f.- Este grupo de tarea surge debido a la necesidad de crear un protocolo de comunicacin entre puntos de acceso, que permitan la conectividad a nivel de enlace de varios clientes conectados a sendos puntos de acceso y el roaming de clientes entre puntos de acceso. Fue Ratificado en 2003. Un protocolo que usa esta recomendacin es WDS. Este protocolo se describe en profundidad en el apartado WDS. 802.11g.- En junio de 2003, se ratific un tercer estndar de modulacin: 802.11g. Que es la evolucin del estndar 802.11b, Este utiliza la banda de 2.4 Ghz (al igual que el estndar 802.11b) pero opera a una velocidad terica mxima de 54 Mbit/s, que en promedio es de 22.0 Mbit/s de velocidad real de transferencia, similar a la del estndar 802.11a. Es compatible con el estndar b y utiliza las mismas frecuencias. Buena parte del proceso de diseo del estndar lo tom el hacer compatibles los dos estndares. Sin embargo, en redes bajo el estndar g la
Pg. 12 de 177
Fecha: 24/06/2008
presencia de nodos bajo el estndar b reduce significativamente la velocidad de transmisin. 802.11n.- Este grupo de tareas tiene como objetivo desarrollar una extensin de la capa fsica (PHY) que permita tasas de transferencias mayores a 802.a/g, por encima de los 100 Mbps. Comenz el desarrollo en 2004 y an est en su segundo borrador, aunque ya existen dispositivos en el mercado que se han adelantado a la norma. Esta recomendacin se desarrolla en el apartado Recomendacin 802.11n. 802.11i.- Este grupo de tareas ha desarrollado los mecanismos de autenticacin y seguridad para la capa MAC. Fue ratificado en Junio de 2004. 802.11w.- Cuando se defini la capa MAC, se defini el protocolo de comunicacin entre punto de acceso y cliente para la asociacin y autenticacin (802.11i). Estas tramas se transmitan en texto plano, por lo que cualquiera que tenga acceso al medio puede escucharlas e imitarlas, lo que constituye una seria amenaza a la seguridad de los sistemas. Este fallo de seguridad y otros an ms graves, se desarrollarn en el apartado Seguridad wireless. En la actualidad an est en desarrollo. El grupo de tarea 802.11w est trabajando en mejorar la capa del control de acceso del medio de IEEE 802.11 para aumentar la seguridad de los protocolos de autenticacin y codificacin. Este estndar podr proteger las redes contra la interrupcin causada por los sistemas malvolos que crean peticiones de desasociacin a los clientes asociados, que a ojos de estos parecen ser enviadas por el punto de acceso al que estn conectados. Se intenta extender la proteccin que aporta el estndar 802.11i ms all de los datos hasta las tramas de gestin, responsables de las principales operaciones de una red.
Pg. 13 de 177
Fecha: 24/06/2008
2.1.2 Wi-Fi Alliance En un principio, tras salir los primeras trabajos del grupo 802.11, no se tuvo en cuenta el testeo de los dispositivos que salan al mercado bajo dichas recomendaciones, por lo que si exista interoperatividad de dispositivos era debido a la casualidad. Para paliar este defecto, surgi WECA (Wireless Ethernet Compatibility Alliance) en 1999, compuesta por los principales fabricantes de dispositivos wireless, 3Com, Aironet (ahora Cisco), Harris Semiconductor (ahora Intersil), Lucent (ahora Agere), Nokia y Symbol Technologies. Esta asociacin se encargaba de testear y certificar la interoperabilidad de los dispositivos wireless creados siguiendo la recomendacin 802.11. Wi-Fi Alliance fue el nombre con el que se renombr a s mismo WECA en Marzo del ao 2000. Se cre el certificado Wi-Fi, que garantizaba que el dispositivo que lo posea haba superado todas las pruebas de interoperatividad realizadas por la asociacin. Con la aparicin del estndar 802.11a, 802.11b y 802.11g aparecieron dispositivos compatibles con todas las tecnologas, por lo que el certificado deba indicar con cual era compatible y con cual no. En la figura 2 se muestra un modelo de esta ltima etiqueta que se puede ver en los dispositivos certificados.
Figura 2. Modelo de etiqueta de certificado Wi-Fi
Pg. 14 de 177
Fecha: 24/06/2008
2.2
Tecnologa aplicada en 802.11
2.2.1 Capa Fsica 2.2.1.1 Introduccin El grupo de tareas denominado PHY fue el encargado de disear las capas fsicas para comunicaciones wireless bajo la recomendacin 802.11. En un principio se estandarizaron tres capas fsicas: 1. FHSS (Frequency Hopping Spread Spectrum) 2. DSSS (Direct Sequence Spread Spectrum) 3. Luz Infraroja en banda base Centrndonos en las soluciones adoptadas para radio frecuencia, cabe destacar varias cosas: a) Las bandas de frecuencias elegidas para las transmisiones son las denominadas ICM (Industrial, cientficas y mdicas), debido a la posibilidad de operar en ellas sin licencia. Esto conlleva a que multitud de dispositivos compartan esta banda de transmisin (telfonos inalmbricos, garajes, sensores, etc.), por lo que las interferencias van a ser un factor muy importante a tener en cuenta. Las bandas ICM son tres: 902-928 MHz 2400-2483.5 MHz 5.725-5850 MHz
b) La tcnica de modulacin elegida es la de espectro expandido, ya que es una de las ms robustas frente a interferencias, y ofrece facilidad para ser encriptada.
Pg. 15 de 177
Fecha: 24/06/2008
Posteriormente se estandarizaron ms capas fsicas, para permitir el trabajo en otra banda de frecuencias o para conseguir una mayor velocidad de transmisin de datos, siendo responsabilidad de los grupos de tareas 802.11a, 802.11b, 802.11g y el an en su segundo borrador 802.11n. Un resumen se muestra en la tabla 2.
Estndar 802.11 802.11a 802.11b 802.11g 802.11n Frecuencia 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz 2,4 y 5 GHz Ao 1997 1999 1999 2003 No acabado (2009) Capa Fsica DSSS FHSS Infrarojo OFDM DSSS DSSS, OFDM OFDM, MIMO, LDPC Velocidad 2 Mbps 54 Mbps 11 Mbps 54 Mbps 248 Mbps
Tabla 2. Comparacin de las caractersticas de la capa fsica de los diferentes estndares 802.11
2.2.1.2 Arquitectura La capa fsica se divide en dos subcapas: PLCP (Physical Layer Convergence Procedure). - Une la capa fsica con la capa MAC. Aade su propia cabecera e incluye un prembulo para facilitar la sincronizacin de las transmisiones entrantes. Es la que aade el cdigo convolucional, la cabecera para sincronizacin, etc. Su tarea es traspasar los bits a enviar a la capa siguiente: PMD PMD (Physical Medium Dependent). Es la responsable de transmitir cualquier bit que reciba de la subcapa PLCP a travs de la antena, para lo que debe usar la modulacin correspondiente segn el estndar y lo que le haya indicado la capa PLCP. Veremos que este tipo de modulaciones varan en cada estndar, siendo las ms comunes las modulaciones PSK y QAM.
Pg. 16 de 177
Fecha: 24/06/2008
2.2.1.3 FHSS La tecnologa de espectro ensanchado por salto en frecuencia (FHSS) consiste en transmitir una parte de la informacin en una determinada frecuencia durante un intervalo de tiempo llamada dwell time e inferior a 400 ms. Pasado este tiempo se cambia la frecuencia de emisin y se sigue transmitiendo a otra frecuencia. De esta manera cada tramo de informacin se va transmitiendo en una frecuencia distinta durante un intervalo muy corto de tiempo. El orden en los saltos en frecuencia se determina secuencia segn una seudo-
aleatoria almacenada en unas tablas, y que tanto el emisor y el receptor deben conocer.
Figura 3.- Tcnica FHSS
Si se mantiene la sincronizacin en los saltos de frecuencias se consigue que, aunque en el tiempo se cambie de canal fsico, a nivel lgico se mantiene un solo canal por el que se realiza la comunicacin. Esta tcnica tambin utiliza la zona de los 2.4GHz, la cual organiza en 79 canales con un ancho de banda de 1MHz cada uno. El nmero de saltos por segundo es regulado por cada pas, as, por ejemplo, Estados Unidos fija una tasa mnima de saltas de 2.5 por segundo. El estndar IEEE 802.11 define la modulacin aplicable en este caso. Se utiliza la modulacin en frecuencia FSK (Frequency Shift Keying), con una velocidad de 1Mbps ampliable a 2Mbps.
Pg. 17 de 177
Fecha: 24/06/2008
2.2.1.4 DSSS En esta tcnica se genera un patrn de bits redundante (seal de chip) para cada uno de los bits que componen la seal. Cuanto mayor sea esta seal, mayor ser la resistencia de la seal a las interferencias. El estndar IEEE 802.11 recomienda un tamao de 11 bits para la seal de chip, pero el ptimo es de 100. En recepcin es necesario realizar el proceso inverso para obtener la informacin original. La secuencia de bits utilizada para modular los bits se conoce como secuencia de Barker (tambin llamado cdigo de dispersin o pseudoruido). Es una secuencia rpida diseada para que aparezca aproximadamente la misma cantidad de 1 que de 0. Un ejemplo de esta secuencia es el siguiente: +1 1 +1 +1 1 +1 +1 +1 1 1 1 1. Un ejemplo de transmisin usando esta tcnica se aprecia en la figura 3. Solo los receptores a los que el emisor haya enviado previamente la secuencia podrn recomponer la seal original. Adems, al sustituir cada bit de datos a transmitir, por una secuencia de 11 bits equivalente, aunque parte de la seal de transmisin se vea afectada por interferencias, el receptor an puede reconstruir fcilmente la informacin a partir de la seal recibida.
Figura 4.- Secuencia de Barker
Esta secuencia proporciona 10.4dB de aumento del proceso, el cual rene los requisitos mnimos para las reglas fijadas por la FCC.
Pg. 18 de 177
Fecha: 24/06/2008
A continuacin podemos observar como se utiliza la secuencia de Barker para codificar la seal original a transmitir: Una vez aplicada la seal de chip, el estndar IEEE 802.11 ha definido dos tipos de modulacin para la tcnica de espectro ensanchado por secuencia directa (DSSS), la modulacin DBPSK (Differential Binary Phase Shift Keying) y la modulacin DQPSK (Differential Quadrature Phase Shift Keying), que proporcionan una velocidad de transferencia de 1 y 2 Mbps respectivamente. En el caso de Estados Unidos y Europa la tecnologa DSSS utiliza un rango de frecuencias que va desde los 2,4 GHz hasta los 2,4835 GHz, lo que permite tener un ancho de banda total de 83,5 MHz. Este ancho de banda se subdivide en 14 canales, espaciados entre s 5 MHz. De los 11 primeros canales, slo los canales 1, 6 y 11 no producen interferencias entre s, ya que el ancho de canal efectivo es de 22 MHz. Esto se aprecia en la figura 5. Cada pas esta autorizado a utilizar un subconjunto de estos canales. En el caso de Espaa se utilizan los canales desde el 1 hasta el 11, que corresponden a una frecuencia central de 2,412 GHz y 2,462 GHz.
Figura 5.- Canales utilizables para DSSS
En configuraciones donde existan mas de una celda, estas pueden operar simultneamente y sin interferencias siempre y cuando la diferencia entre las
Fecha: 24/06/2008
frecuencias centrales de las distintas celdas sea de al menos 30 MHz, lo que reduce a tres el nmero de canales independientes y funcionando simultneamente en el ancho de banda total de 83,5 MHz. Esta independencia entre canales nos permite aumentar la capacidad del sistema de forma lineal. 2.2.1.5 802.11b y HR-DSSS El IEEE revis el estndar de la capa fsica, y en esta revisin, conocida como 802.11b, adems de otras mejoras en seguridad, aumenta la velocidad de 2Mbps hasta los 11Mbps, lo que incrementa notablemente el rendimiento de este tipo de redes. Se conservan los modos DSSS a 1 Mbps y a 2 Mbps. Con lo que se apreciar un sistema casi igual, solo que un poco ms eficiente y compatible con las nuevas caractersticas de 802.11b. Una de las mejoras importantes en 802.11b fue el agregado de la modulacin CCK (Complementary Codes Keying), que permite tasas de transmisin de 5.5 Mbps y 11 Mbps. La extensin del cdigo esta basada en 4 y 8 cdigos complementarios respectivamente, como una codificacin sobre DQPSK. Para la modulacin CCK se crea una mini compresin basada en un algoritmo que crea una palabra cdigo C = {c0 a c7}, el cuarto y sptimo smbolo son rotados en 180 para una cobertura de secuencia y para optimizar las propiedades de correlacin de la secuencia. Existen 2 modos CCK: Modo CCK 5,5 Mbps. - Se transmiten 4 bits por smbolo, por lo que es posible alcanzar la tasa de 5,5 Mbps. Modo CCK 11 Mbps. Se transmiten 8 bits por smbolo, por lo que es posible alcanzar la tasa de 11 Mbps.
Pg. 20 de 177
Fecha: 24/06/2008
2.2.1.6 802.11a y OFDM El estndar 802.11 a introduce una nueva tcnica de espectro expandido ms compleja pero ms eficiente: OFDM (Orthogonal Frecuency Division Multiplexing). Esta tcnica permite conseguir tasas de hasta 54 Mbps. OFDM no es una tcnica que se utiliz por primera vez en este tipo de transmisiones, sino que ya exista en multitud de tecnologas, como DSL. OFDM es parecida a una tcnica ms antigua, FDM. Ambas tcnicas dividen el espectro disponible, de forma que la portadora de cada segmento no se solapen entre s. De esta forma puede usar distintos canales sin que haya problemas de interferencias de canal. La diferencia es que si bien FDM dejaba un ancho de guarda entre canales, OFDM aprovecha mucho ms el espectro, ya que no solo se aprovecha esa guarda, sino que los diferentes canales se solapan en frecuencia. Esto no significa que interfieran, ya que se eligen portadoras de forma que sean ortogonales, por lo que son fcilmente separadas usando la FFT (Fast Fourier Transform). Si bien en las tcnicas usadas anteriormente el principal problema es la interferencia intersmbolo (ISI), con el uso de la FFT, este problema prcticamente desaparece, pero aparece otro relacionado con la ortogonalidad y la sincronizacin. Hemos visto que para que se demodule correctamente mediante la FFT dos seales que solapen en frecuencia, es necesario que sus portadoras sean ortogonales. Cualquier cambio en las frecuencias de las portadoras, hace que no sean totalmente ortogonales e interfieran entre s, dependiendo la magnitud de la interferencia de lo importante que sea esa desviacin en frecuencia. Es por ello que aparece un nuevo problema que puede hacer que las portadoras no sean ortogonales entre s. Este efecto es denominado ICI (Inter Carrier Interferente) y puede ser debido a dos factores: 1. Efecto Doppler. La velocidad del transmisor o del receptor puede variar las frecuencias.
Pg. 21 de 177
Memoria del proyecto 2. Falta de sincronizacin del transmisor o del receptor.
Fecha: 24/06/2008
Independientemente de la tcnica usada, vamos a tener un problema de interferencias de otros usuarios y de otros dispositivos, por lo que en OFDM se transmite un cdigo convolucional con R=1/2 mediante el algoritmo de Viterbi. Este cdigo ayuda en el receptor a reconstruir los bits transmitidos en el caso de que se haya producido alguna interferencia y hayamos perdido algn bit. 2.2.1.6.1 Estructura del canal La capa fsica OFDM organiza el ancho de banda en canales, tal y como lo hacen las dems capas fsicas. Cada canal de 20 MHz est compuesto por 52 subportadoras. Cuatro de esas subportadoras se usan para monitorizar la interferencia entre portadoras (ICI), mientras que las 48 restantes se usan para la transmisin de datos. Las portadoras estn separadas 0.3125 MHz entre s y se numeran desde -26 hasta 26. La nmero 0 no se transmite porque no puede ser procesada. Las portadoras que se usan para monitorizar la ICI, son las nmeros 7 y 21.
Frecuencia Central
N de Portadora
Figura 6. Suportadotas de un canal OFDM de 20 MHz
La banda de frecuencias elegida para 802.11a se encuentra en los 5 GHz, de hecho hay tres bandas: 5.15-5.25 GHz. Potencia mxima de transmisin: 40 mW 5.25-5.35 GHz. Potencia mxima de transmisin: 200 mW 5.725-5.825 GHz. Potencia mxima de transmisin: 800 mW
Pg. 22 de 177
Fecha: 24/06/2008
En la figura 7 puede observarse un esquema con los 12 canales de 20 MHz disponibles para el estndar 802.11a.
Figura 7. Canales Operativos 802.11a
2.2.1.6.2 Modulaciones usadas en 802.11a Hay multitud de esquemas de modulacin utilizables en 802.11a, que soportan velocidades desde los 6 Mbps hasta los 54 Mbps. Para la ms baja modulacin, se usa modulacin BPSK, que codifica un solo bit por cada canal, como hay 48 subcanales de datos, tendremos 48 bits por smbolo. En este caso se usa un cdigo convolucional con R=1/2, por lo que la mitad de los bits son redundantes para el control de errores. Esto nos deja con 24 bits por smbolo, lo que conlleva la tasa de 6 Mbps. Para la tasa de 54 Mbps, se usa una modulacin 64-QAM con R=3/4, por lo que se transmiten 6 bits por cada subportadora; como son 48 subportadoras, se transmiten 288 bits por smbolos de los cuales es redundante debido al cdigo convolucional con R=3/4. Esto nos deja una tasa de 216 bits por smbolo, 9 veces mayor que el ejemplo anterior, que hace que la tasa se eleve hasta los 54 Mbps. Un resumen de las tasas y modulaciones usadas estn en la tabla 3.
Pg. 23 de 177
Fecha: 24/06/2008
Hay que decir que la probabilidad de error crece al usar modulaciones con ms puntos en su constelacin, y la capacidad de correccin de errores disminuye al reducir bits redundantes, por lo que para poder conseguir tasas de 54 Mbps debemos obtener una buena potencia de recepcin, lo que implica estar cerca del receptor. A medida que alejemos receptor de transmisor, habr que usar una tasa de bits menor, que permita mantener una misma calidad del servicio.
Modulacin y tasa (R) BPSK, R=1/2 BPSK, R=3/4 QPSK, R=1/2 QPSK, R=3/4 16QAM, R=1/2 16QAM, R=3/4 64QAM, R=2/3 64QAM, R=3/4 Velocidad (Mbps) 6 9 12 18 24 36 48 54 1 1 2 2 4 4 6 6 Bits por subportadora Bits por smbolo 48 48 96 96 192 192 288 288 Bits de datos por smbolo 24 36 48 72 96 144 192 216
Tabla 3. Modulaciones y tasas en 802.11a
2.2.1.7 802.11g y DSSS-OFDM El estndar se ratifica en 2003 y trata de trasladar a la banda de 2,4 GHz, lo conseguido por 802.11a en la banda de 5 GHz, por lo que puede alcanzarse velocidades de hasta 54 Mbps, al igual que en 802.11a. Se persigue tambin compatibilidad con 802.11b, as como con el estndar 802.11. Los canales utilizados son los mismos 14 canales que se han visto en 802.11b, que vimos que se solapaban, por lo que esto es un inconveniente de 802.11g frente a 802.11a, cuyos canales no se solapan. En cambio, al utilizar una frecuencia ms baja que 802.11a, el alcance ser algo mayor.
Pg. 24 de 177
Fecha: 24/06/2008
No entraremos en el detalle de la capa fsica, porque lo visto en los estndares 802.11b y 802.11a es aplicable al estndar 802.11g. En las tabla 4 puede observarse las distintas modalidades de capas fsicas que se ofrecen en 802.11g para permitir la compatibilidad antes mencionada.
Tcnica de Modulacin ERP-DSSS ERP-CCK (HR-DSSS) ERP-OFDM ERP-PBCC DSSS-OFDM Velocidad alcanzada 1 y 2 Mbps 5.5 y 11 Mbps 6, 9, 12, 18, 24, 36, 48 y 54 Mbps 5.5, 11, 22 y 33 Mbps 6, 9, 12, 18, 24, 36, 48 y 54 Mbps
Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad
Compatible con estndar 802.11 802.11b
2.2.2 Capa MAC 2.2.2.1 Introduccin Como se ha mencionado anteriormente, las redes inalmbricas 802.11 se diferencian de las cableadas 802.3 en el nivel fsico y en el nivel de enlace (concretamente en la capa MAC). Hemos visto cmo es el nivel fsico en este tipo de redes, pero nos falta ver como es la capa MAC, as como las principales diferencias con 802.3. Disear un protocolo de acceso al medio para las redes inalmbricas es mucho ms complejo que hacerlo para redes cableadas, ya que deben de tenerse en cuenta las dos topologas de una red inalmbrica: Ad-hoc (Redes peer-to-peer). Varios equipos forman una red de intercambio de informacin sin necesidad de elementos auxiliares. Este tipo de redes se utiliza en grupos de trabajo, reuniones, conferencias... Basadas en infraestructura: La red inalmbrica se crea como una extensin a la red existente basada en cable. Los elementos inalmbricos se conectan a la red cableada por medio de un punto de
Fecha: 24/06/2008
acceso o un PC Bridge, siendo estos los que controlan el trfico entre las estaciones inalmbricas y las transmisiones entre la red inalmbrica y la red cableada. Adems de los dos tipos de topologa diferentes se tiene que tener en cuenta: a) Perturbaciones ambientales (interferencias) b) Variaciones en la potencia de la seal c) Conexiones y desconexiones repentinas en la red d) Roaming. Nodos mviles que van pasando de celda en celda. A pesar de todo ello la norma IEEE 802.11 define una nica capa MAC (dividida en dos subcapas) para todas las redes fsicas, ayudando a la fabricacin en serie de chips. 2.2.2.2 Mecanismos de acceso al medio Hay dos clases principalmente, aunque tambin se han diseado protocolos que son una mezcla de ambos. 1. Protocolos con arbitraje. FDMA (Frequency Division Multiple Access), TDMA (Time Division Multiple Access). La ventaja de este protocolo es la no interferencia entre usuarios. La desventaja, la prdida de velocidad al repartir el ancho de banda total entre los usuarios. 2. Protocolos de contienda CSMA/CA (Carrier Sense Multiple Access Collision Avoidance), CDMA (Code Division Multiple Access) y el CSMA/CD (Carrier Sense Multiple Access Collision Detection). Como ventajas tenemos que cada usuario usa el ancho de banda completamente. La desventaja es la posibilidad de que dos usuarios
Pg. 26 de 177
Fecha: 24/06/2008
accedan al medio a la vez e interfieran. Esta posibilidad se intenta reducir de varias formas, las cuales se explican ms adelante. 2.2.2.2.1 Protocolos con arbitraje La multiplexacin en frecuencia (FDM) divide todo el ancho de banda asignado en distintos canales individuales. Es un mecanismo simple que permite el acceso inmediato al canal, pero muy ineficiente para utilizarse en sistemas informticos, los cuales presentan un comportamiento tpico de transmisin de informacin por breves perodos de tiempo (rfagas). Una alternativa a este sera asignar todo el ancho de banda disponible a cada nodo en la red durante un breve intervalo de tiempo de manera cclica. Este mecanismo, se llama multiplexacin en el tiempo (TDM) y requiere mecanismos muy precisos de sincronizacin entre los nodos participantes para evitar interferencias. Este esquema ha sido utilizado con cierto xito sobre todo en las redes inalmbricas basadas en infraestructura, donde el punto de acceso puede realizar las funciones de coordinacin entre los nodos remotos.
2.2.2.2.2 Protocolos de acceso por contienda Estos tipos de protocolos guardan similitudes con los usados en redes cableadas 802.3. CDMA (Code division multiple access) Es un protocolo de acceso mltiple por divisin de cdigo. Se aplica especficamente a los sistemas de radio de banda esparcida basados en una secuencia PN. En este esquema se asigna una secuencia PN distinta a cada nodo, y todos los nodos pueden conocer el conjunto completo de secuencias PN pertenecientes a los dems nodos. Para comunicarse con otro nodo, el transmisor solo tiene que utilizar la
Pg. 27 de 177
Fecha: 24/06/2008
secuencia PN del destinatario. De esta forma se pueden tener mltiples comunicaciones entre diferentes pares de nodos. CSMA/CD (Carrier Sense Multiple Access Collision Detection). Es un protocolo de acceso mltiple con deteccin de colisin. Como en radiofrecuencia ni en infrarrojos no es posible transmitir y recibir al mismo tiempo, la deteccin de errores no funciona en la forma bsica que fue expuesta para las LAN cableadas. Se dise una variacin denominada deteccin de colisiones (peine) para redes inalmbricas. En este esquema, cuando un nodo tiene una trama que transmitir, lo primero que hace es generar una secuencia binaria pseudoaleatoria corta, llamada peine la cual se aade al prembulo de la trama. A continuacin, el nodo realiza la deteccin de la portadora si el canal est libre transmite la secuencia del peine. Por cada 1 del peine el nodo transmite una seal durante un intervalo de tiempo corto. Para cada 0 del peine, el nodo cambia a modo de recepcin. Si un nodo detecta una seal durante el modo de recepcin deja de competir por el canal y espera hasta que los otros nodos hayan transmitido su trama. La eficiencia del esquema depende del nmero de bits de la secuencia del peine ya que si dos nodos generan la misma secuencia, se producir una colisin. CSMA/CA (Carrier Sense Multiple Access Collision Avoidance). Es un protocolo de mltiple acceso que evita colisiones. Este protocolo es el ms utilizado. Evita colisiones en lugar de descubrir una colisin, como el algoritmo usado en la 802.3, ya que en una red inalmbrica es difcil descubrir colisiones. Es por ello que se utiliza el CSMA/CA y no el CSMA/CD debido a que entre el final y el principio de una transmisin suelen provocarse colisiones en el medio. En CSMA/CA, cuando una estacin identifica el fin de una transmisin
Fecha: 24/06/2008
espera un tiempo aleatorio antes de transmitir su informacin, disminuyendo as la posibilidad de colisiones. Esto puede observarse en la figura 8:
Figura 8. Funcionamiento de CSMA/CA
La capa MAC opera junto con la capa fsica probando la energa sobre el medio de transmisin de datos. La capa fsica utiliza un algoritmo de estimacin de desocupacin de canales (CCA) para determinar si el canal est vaco. Esto se cumple midiendo la energa de radio frecuencia de la antena y determinando la fuerza de la seal recibida. Esta seal medida es normalmente conocida como RSSI. Si la fuerza de la seal recibida est por debajo de un umbral especificado, el canal se considera vaco, y a la capa MAC se le da el estado del canal vaco para la transmisin de los datos. Si la energa RF est por encima del umbral, las transmisiones de los datos son retrasadas de acuerdo con las reglas protocolares. El Standard proporciona otra opcin CCA que puede estar sola o con la medida RSSI. El sentido de la portadora puede usarse para determinar si el
Fecha: 24/06/2008
canal est disponible. Esta tcnica es ms selectiva ya que verifica que la seal es del mismo tipo de portadora que los transmisores del 802.11. En comunicaciones inalmbricas, este modelo presenta todava una deficiencia debida al problema conocido como el nodo escondido (Vase Figura 9).
Terminal 1 Punto de acceso Terminal 2
Figura 9. Problema del nodo escondido
Un dispositivo inalmbrico (Terminal 2) puede transmitir con la potencia suficiente para que sea escuchado por un Punto de Acceso, pero no por otra estacin (Terminal 1) que tambin desea transmitir y que por tanto no detecta la transmisin. Para resolver este problema, la norma 802.11 ha aadido al protocolo de acceso CSMA/CA un mecanismo de intercambio de mensajes con reconocimiento positivo, al que denomina Reservation-Based Protocol, que es la 2 subcapa MAC. Cuando una estacin est lista para transmitir, primero enva una solicitud (destino y longitud del mensaje) al punto de acceso (RTS request to send) quien difunde el NAV (Network Allocation Vector), un tiempo de retardo basado en el tamao de la trama contenido en la trama RTS de solicitud a todos los dems nodos para que queden informados de que se va a transmitir (para que por lo tanto no transmitan) y cul va a ser la duracin de la transmisin. Estos nodos dejarn de transmitir durante el tiempo indicado por el NAV ms un intervalo extra de backoff (tiempo de retroceso) aleatorio. Si no encuentra problemas, responde con una autorizacin (CTS clear to send) que permite al
Pg. 30 de 177
Fecha: 24/06/2008
solicitante enviar su trama (datos). Si no se recibe la trama CTS, se supone que ocurri una colisin y los procesos RTS empiezan de nuevo.
Terminal 1 Punto de acceso Terminal n
RTS
CTS
Data
ACK
Figura 10.- Funcionamiento del protocolo basado en reserva del canal
Despus de que se recibe la trama de los datos, se devuelve una trama de reconocimiento (ACK ACKnowledged) notificando al transmisor que se ha recibido correctamente la informacin (sin colisiones). An as permanece el problema de que las tramas RTS sean enviadas por varias estaciones a la vez, sin embargo estas colisiones son menos dainas ya que el tiempo de duracin de estas tramas es relativamente corto. Existen problemas comunes a todos los mecanismos de acceso al medio que estn siendo mejorados mediante la revisin de la norma. Los resultados garantizarn una calidad de servicio en redes wireless y se publicarn bajo la recomendacin 802.11e. Estos problemas son: No existe nocin de trfico de baja o alta prioridad. Una vez que una estacin gana el acceso al medio, lo mantiene a su eleccin, por lo que si est conectado a una tasa baja, por ejemplo a 1
NAV: Acceso retrasado
Pg. 31 de 177
Fecha: 24/06/2008
Mbps, y tiene muchos datos que transmitir, el medio estar ocupado por un largo perodo de tiempo. Esto se resume en que no est garantizada una calidad de servicio. Este mismo protocolo tambin puede utilizarse si no existen dispositivos auxiliares en las redes ad-hoc, en este caso no aparecera la trama NAV. 2.2.2.3 Formato de tramas Debido a las peculiaridades de un enlace de datos inalmbrico, la trama MAC tiene varias peculiaridades que la diferencian de la trama MAC en Ethernet. Una de ellas es el uso de cuatro campos de direccin en lugar de dos. El porqu usar cuatro campos de direccin, tiene que ver con el sistema de distribucin inalmbrico (en ingls WDS). Este caso se estudia en detalle en el apartado WDS. En la figura 11 podemos apreciar el formato de la trama MAC. Los campos son transmitidos de izquierda a derecha, estando el bit ms significativo el ltimo.
Figura 11. Formato de trama MAC y trama de control
Se aprecia que la trama MAC 802.11 no incluye varias caractersticas de la trama Ethernet 802.3, como el campo tipo/longitud y el prembulo. El prembulo ahora forma parte de la capa fsica, y los detalles de la trama como el tipo y la longitud se incluyen en la cabecera de la trama 802.11 aadida en la capa fsica.
Pg. 32 de 177
Fecha: 24/06/2008
El campo Frame Control, indica el tipo de trama que se transmite, mediante los cambos tipo y subtipo. Las tramas de gestin son las que poseen los dos bits del campo tipo a 0. Son las usadas en el intercambio de informacin para la asociacin y autenticacin de un cliente: Association request Association response Reassociation request Reassociation response Probe request Probe response Beacon Disassociation Authentication Deauthentication Las tramas con el tipo 01 corresponden a las de control, y las del tipo 10 a las tramas de datos. El tipo 11 est reservado. En el siguiente apartado se ve en detalle como se produce la autenticacin y la asociacin de un cliente. 2.2.2.4 Mecanismo de autenticacin y asociacin estndar En la figura 12 podemos observar los estados en los que puede encontrarse un cliente que quiere asociarse con un punto de acceso (a partir de ahora, AP por su sigla en Ingls). Puede apreciarse que son 3 estados, entre los cuales se intercambian las tramas de gestin vistas en el apartado anterior. El proceso de asociacin tiene dos pasos, envueltos en 3 estados:
Pg. 33 de 177
Memoria del proyecto 1. No autenticado y no asociado 2. Autenticado y no asociado 3. Autenticado y asociado
Fecha: 24/06/2008
En la transicin por los diferentes estados, ambas partes (cliente y AP) intercambian tramas de gestin.
Figura 12. Estados y transiciones para la autenticacin de un cliente
El proceso que realiza un cliente wireless para encontrar y asociarse con un AP es el siguiente: Los AP transmiten BEACON FRAMES cada cierto intervalo de tiempo fijo. Para asociarse con un AP y unirse a una red en modo infraestructura, un cliente escucha en busca de BEACON FRAMES para identificar Puntos de Acceso. El cliente tambin puede enviar una trama PROVE REQUEST que contenga un ESSID determinado para ver si le responde un AP que tenga el mismo ESSID. Despus de identificar al AP, el cliente y el AP realizan autenticacin mutua intercambiando varias tramas de gestin como parte del proceso. Despus de una autenticacin realizada con xito, el cliente pasa a estar en el segundo estado (autenticado y no asociado). Para llegar al tercer estado
Pg. 34 de 177
Fecha: 24/06/2008
(autenticado y asociado) el cliente debe mandar una trama ASSOCIATION REQUEST y el AP debe contestar con una trama ASSOCIATION RESPONSE. Desde ese momento, el cliente se convierte en un host ms de la red wireless y ya est listo para enviar y recibir datos de la red. Este es el mecanismo descrito por el estndar 802.11. Cabe decir que aunque se use cifrado WEP, estas tramas se intercambian en texto plano, lo que constituye una de las vulnerabilidades ms importantes en la seguridad de las redes wireless. Adems, todos los clientes son autenticados, sin restricciones. Existen mecanismos de autenticacin posteriores a la norma (Radius por ejemplo) ms sofisticados, que corrigen este problema. Actualmente, el estndar 802.11w est trabajando para tratar de paliar este error. En el apartado Seguridad wireless de este documento puede verse en detalle cmo se aprovecha esta vulnerabilidad para producir diversos ataques.
2.3
Organizacin y caractersticas de una red wireless
2.3.1 Topologas y configuraciones Podremos encontrar redes inalmbricas con 2 topologas, donde la diferencia radica en la existencia o no de puntos de acceso que acten como encaminadores y/o puentes entre las distintas estaciones. Ad hoc.- Esta topologa se caracteriza por que no hay Punto de Acceso, las estaciones se comunican directamente entre si (peer-to-peer), de esta manera el rea de cobertura est limitada por el alcance de cada estacin individual. Para que haya comunicacin entre todas las estaciones, es necesaria que todas estn en el radio de cobertura de todas, es decir, no se puede usar la estacin B para poder llegar a la C, sino que debemos tener un enlace con B y con C. Infraestructura.- Esta es la ms comn y consiste en que las estaciones se conectan entre s mediante un punto de acceso, ofreciendo este la conectividad entre todas las estaciones conectadas al punto de acceso.
Fecha: 24/06/2008
Puede haber uno o ms puntos de acceso, pudiendo estar estos conectados a una red LAN y ofrecer conectividad desde y hacia esta red.
Figura 13.Ejemplo de red inalmbrica con topologa de infraestructura
2.3.2 Direccionamiento Direcciones IP, direccionamiento de redes, enrutamiento y reenvo son conceptos relacionados e importantes en redes Internet. Una direccin IP es un identificador para un nodo de red como un PC, un servidor, un enrutador o un puente. El direccionamiento de redes es un sistema usado para asignar estos identificadores en grupos convenientes. El enrutamiento mantiene un registro del lugar en la red donde estn ubicados esos grupos. Los resultados del proceso de enrutamiento se guardan en una lista llamada tabla de enrutamiento. El reenvo es la accin de usar la tabla de enrutamiento para mandar un paquete al destino final o al "prximo salto" en la direccin a ese destino. En una red IPv4, la direccin es un nmero de 32 bits, usualmente escrito como 4 nmeros de 8 bits expresados en forma decimal, separados por puntos. Algunos ejemplos de direcciones IP son 10.0.17.1, 192.168.1.1 172.16.5.23. Las redes interconectadas deben ponerse de acuerdo sobre un plan de direccionamiento IP. En Internet, hay comits de personas que asignan las direcciones IP con un mtodo consistente y coherente para garantizar que no se
Pg. 36 de 177
Fecha: 24/06/2008
dupliquen las direcciones, y establecen nombres que representan a grupos de direcciones. Esos grupos de direcciones son denominados subredes, o subnets. Grandes subnets pueden ser subdivididas en subnets ms pequeas. Algunas veces un grupo de direcciones relacionadas se denomina espacio de direcciones. En Internet, ninguna persona u organizacin posee realmente estos grupos de direcciones porque las direcciones slo tienen significado si el resto de la comunidad de Internet se pone de acuerdo sobre su uso. Mediante acuerdos, las direcciones son asignadas a organizaciones en relacin con sus necesidades y tamao. Una organizacin a la cual se le ha asignado un rango de direcciones, puede asignar una porcin de ese rango a otra organizacin como parte de un contrato de servicio. Las direcciones que han sido asignadas de esta manera, comenzando con comits reconocidos internacionalmente, y luego repartidas jerrquicamente por comits nacionales o regionales, son denominadas direcciones IP enrutadas globalmente. Algunas veces es inconveniente o imposible obtener ms de una direccin IP enrutada globalmente para un individuo u organizacin. En este caso, se puede usar una tcnica conocida como Traduccin de Direcciones de Red o NAT (Network Address Translation). Un dispositivo NAT es un enrutador con dos puertos de red. El puerto externo utiliza una direccin IP enrutada globalmente, mientras que el puerto interno utiliza una direccin IP de un rango especial conocido como direcciones privadas4. El enrutador NAT permite que una nica direccin global sea compartida por todos los usuarios internos, los cuales usan direcciones privadas. A medida que los paquetes pasan por l los convierte de una forma de direccionamiento a otra. Al usuario le parece que est conectado directamente a Internet y que no requieren software o controladores especiales para compartir una nica direccin IP enrutada globalmente.
Pg. 37 de 177
Fecha: 24/06/2008
2.3.2.1 Direcciones IP Globales para Espaa Cada grupo wireless necesita de un rango de direcciones IP para posibilitar la conexin de los nodos con los equipos de los clientes, la conexin de los nodos entre s y finalmente para posibilitar la conexin con otros grupos wireless, otros entes externos e Internet. Varios grupos wireless internacionales que ya han montado sus propias redes wireless han empezado a usar direcciones IPs privadas por la facilidad de usar estas direcciones IP sin tener que consultar a nadie y para evitar pagar por ellas. Al pedir direcciones IP oficiales existe un compromiso de conectar estas direcciones IP a Internet y de justificar el nmero pedido y su uso, algo a menudo difcil para un proyecto nuevo. En este momento no se considera necesario esta peticin de direcciones IPs pblicas aunque no se descarta la posibilidad en el futuro. Los tres grupos de direcciones IP reservados para uso privado son: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
El grupo RedLibre ha planteado un uso de direcciones IP en todo Espaa utilizando la red 10.0.0.0/8, dividiendo este rango entre diferentes provincias y ciudades. Vase http://www.redlibre.net/direccionamiento.php para ms informacin. En principio su planteamiento parece correcto y se puede aplicar. Es necesario asegurar que las direcciones IP de un grupo no coinciden con las de otro porque as se hara imposible la interconexin de los grupos.
Pg. 38 de 177
Fecha: 24/06/2008
Se recomienda que si un grupo nuevo necesita de un grupo de direcciones IP que hable con el resto de los grupos wireless en Espaa para conseguir un rango de direcciones que evitar conflictos en el futuro. Un ejemplo de esto es el caso de Madrid, donde RedLibre, MadridWireless y AlcalaWireless necesitan de direcciones IP que no llevan conflictos. RedLibre haba planteado la asignacin de direcciones en Madrid utilizando el rango 10.0.0.0-10.15.0.0, inicialmente para sus propias redes. Sin embargo haba adaptado este planteamiento para que otros grupos pudieran utilizar un subrango de direcciones IP, de mutuo acuerdo y los dos grupos no se interfirieran entre s. De esta manera cualquier red wireless que pueda aparecer en Espaa o en una ciudad grande se asegura un rango de direcciones IP propias y libres permitiendo adems la futura conexin entre estas. Como se ver ms adelante tambin ser necesario asignar direcciones IP para la conexin de los nodos entre s, para formar el backbone de la red de un grupo wireless. En este caso se usar el rango de direcciones IP 172.16.0.0/12. Se usar otro subrango, todava sin definir de las direcciones IP 172.16.0.0/12 para la asignacin de puntos de interconexin entre diferentes grupos. En el caso de que un grupo agotara del bloque de direcciones IP antes acordado y necesite una posterior asignacin de direcciones el grupo debe volver a hablar con el resto de los grupos para acordar un nuevo bloque de direcciones que podra usar, siguiendo el esquema propuesto por RedLibre u otro acordado entre los distintos grupos si no hay inconveniente.
Pg. 39 de 177
Fecha: 24/06/2008
2.3.3 Enrutamiento en redes inalmbricas Internet est cambiando y creciendo constantemente. Continuamente se agregan nuevas redes, se aaden y eliminan enlaces entre redes, que fallan y vuelven a funcionar. El trabajo del enrutamiento es determinar la mejor ruta al destino, y crear una tabla de enrutamiento que liste el mejor camino para todos los diferentes destinos. Enrutamiento esttico.- Es el trmino utilizado cuando la tabla de enrutamiento es creada por configuracin manual. Algunas veces esto es conveniente para redes pequeas, pero puede transformarse rpidamente en algo muy dificultoso y propenso al error en redes grandes. Peor an, si la mejor ruta para una red se torna inutilizable por una falla en el equipo u otras razones, el enrutamiento esttico no podr hacer uso de otro camino. Enrutamiento dinmico.- Es un mtodo en el cual los elementos de la red, en particular los enrutadores, intercambian informacin acerca de su estado y el estado de sus vecinos en la red, y luego utilizan esta informacin para automticamente tomar la mejor ruta y crear la tabla de enrutamiento. Si algo cambia, como un enrutador que falla, o uno nuevo que se pone en servicio, los protocolos de enrutamiento dinmico realizan los ajustes a la tabla de enrutamiento. El sistema de intercambio de paquetes y toma de decisiones es conocido como protocolo de enrutamiento. Hay muchos protocolos de enrutamiento usados en Internet hoy en da, incluyendo OSPF, BGP, RIP, y EIGRP. Las redes inalmbricas asemejan a las redes cableadas, en el sentido de que necesitan protocolos de enrutamiento dinmicos, pero tienen suficientes diferencias para requerir protocolos de enrutamiento orientados a sus necesidades especficas. En particular, las conexiones de las redes cableadas generalmente funcionan bien o no funcionan (por ejemplo, un cable Ethernet est enchufado o no). Las cosas no son tan claras cuando se trabaja con redes
Pg. 40 de 177
Fecha: 24/06/2008
inalmbricas. La comunicacin inalmbrica puede ser afectada por objetos en movimiento en el camino de la seal, o por seales que interfieren. Consecuentemente, los enlaces pueden no funcionar bien, o funcionar pobremente, o variar entre los dos extremos. Ya que los protocolos de red existentes no toman en cuenta la calidad de un enlace cuando realizan decisiones de enrutamiento, el comit IEEE 802.11 y el IETF estn trabajando en estandarizar protocolos para redes inalmbricas. En la actualidad est poco claro cundo va a surgir un estndar nico que tome en cuenta los enlaces de calidad variable. Mientras tanto, hay muchos intentos de programacin ad hoc que quieren solucionar el problema. Algunos ejemplos incluyen Hazy Sighted Link State (HSLS) Visin Borrosa del Estado del Enlace, Ad-hoc On-demand Distance Vector (AODV) Vector de Distancia bajo Demanda ad hoc, y Optimizad Link State Routing (OLSR) Enrutamiento Optimizado segn el Estado de la Red. En este protocolo nos detendremos para explicarlo ms detalladamente. 2.3.3.1 OLSR El Optimized Link State Routing Daemon olsrd (Demonio de Enrutamiento de Estado de Enlace) de olsr.org es una aplicacin desarrollada para el enrutamiento de redes inalmbricas. Es un proyecto fuente abierta que soporta Mac OS X, Windows 98, 2000, XP, Linux, FreeBSD, OpenBSD yNetBSD. Olsrd est disponible para puntos de acceso que corren Linux, como Linksys WRT54G, Asus Wl500g, etc. Olsrd puede manejar interfaces mltiples y puede extenderse con diferentes plug-ins. Soporta IPv6 y est siendo desarrollado y utilizado activamente en redes comunitarias alrededor del mundo. Existen varias implementaciones para OLSR, que comenzaron como un borrador IETF escrito en el INRIA en Francia. La implementacin de olsr.org comenz como la tesis de master de Andreas Toennesen en la Universidad
Fecha: 24/06/2008
UniK. El demonio de enrutamiento se modific con base en la experiencia prctica de las redes del comunitarias gratuitas. porque El olsrd actual un difiere significativamente borrador original incluye mecanismo
denominado Link Quality Extension (Extensin de la Calidad del Enlace) que mide la cantidad de paquetes perdidos entre nodos y calcula las rutas de acuerdo con esta informacin. Esta extensin rompe la compatibilidad con los demonios de enrutamiento que adhieren al borrador del INRIA. El olsrd disponible en olsr.org puede ser configurado para comportarse de acuerdo al borrador del IETF que carece de esta caracterstica, pero no hay una razn para deshabilitar el Link Quality Extension (Extensin de la Calidad del Enlace), a menos que se requiera la compatibilidad con otras implementaciones. Despus de haber corrido olsrd por un rato, cada nodo adquiere conocimiento acerca de la existencia de los otros nodos en la nube mallada, y sabe cules nodos pueden ser utilizados para enrutar el trfico hacia ellos. Cada nodo mantiene una tabla de enrutamiento que cubre la totalidad de la malla de nodos. Este enfoque de enrutamiento mallado es denominado enrutamiento proactivo. En contraste, los algoritmos de enrutamiento reactivo buscan rutas slo cuando es necesario enviar datos a un nodo especfico. Hay argumentos en favor y en contra del enrutamiento proactivo, y hay muchas otras ideas acerca de cmo hacer el enrutamiento mallado que vale la pena mencionar. La ventaja ms grande del enrutamiento proactivo es que sabemos quin est dentro o fuera de la red y no debemos esperar hasta que se encuentre una ruta. El alto trfico de protocolo y la mayor cantidad de carga de CPU son algunas de las desventajas. En Berln, la comunidad de Freifunk est operando una nube mallada donde olsrd tiene que administrar ms de 100 interfaces. El promedio de carga del CPU causada por olsrd en un Linksys WRT54G corriendo a 200 MHz es aproximadamente del 30% en la mesh de Berln. Hay un lmite al grado hasta el cual la extensin de un protocolo proactivo puede escalar, dependiendo de cuntas interfaces estn involucradas y cun a menudo se actualizan las tablas de enrutamiento.
Fecha: 24/06/2008
2.3.3.1.1 Mecanismo utilizado por OLSR Un nodo que corre olsrd enva constantemente mensajes de Hello con un intervalo dado para que sus vecinos puedan detectar su presencia. Cada nodo computa una estadstica de cuntos Hellos ha recibido y perdido desde cada vecino, obteniendo de esta forma informacin sobre la topologa y la calidad de enlace de los nodos en el vecindario. La informacin de topologa obtenida es difundida como mensajes de control de topologa y reenviada por los vecinos que olsrd ha elegido para ser relevadores multipunto. El concepto de relevadores multipunto es una nueva idea en el enrutamiento proactivo que viene desde el borrador de OLSR. Si cada nodo retransmite la informacin de topologa que ha recibido, se puede generar una sobrecarga innecesaria. Dichas transmisiones son redundantes si un nodo tiene muchos vecinos. Por esta razn, un nodo olsrd decide cules vecinos sern designados relevadores multipunto favorables, encargados de reenviar los mensajes de control de topologa. Ntese que los relevadores multipunto son elegidos exclusivamente con el propsito de reenviar mensajes de CT, la carga til (payload) se enruta utilizando todos los nodos disponibles. Existen otros dos tipos de mensajes en OLSR que informan cundo un nodo ofrece una pasarela (gateway) a otras redes (mensajes HNA) o tiene mltiples interfaces (mensajes MID). No hay mucho ms que decir acerca de estos mensajes ms all del hecho de que existen. Los mensajes HNA hacen al olsrd muy conveniente para conectarse a Internet con un dispositivo mvil. 2.3.3.1.2 Aplicaciones sobre OLSR Existen diversas aplicaciones que utilizan el protocolo OLSR para obtener informacin sobre los distintos nodos que componen la red. Estas aplicaciones pueden verse en la web olsr.org. Bsicamente se utilizan dos. En la figura 14 puede verse un grfico de los nodos que componen una red, utilizando para ello las utilidades disponibles a tal efecto.
Pg. 43 de 177
Fecha: 24/06/2008
Figura 14. Grfico obtenido a partir de las tablas de enrutamiento OLSR
2.3.4 WDS El acrnimo WDS corresponde a las siglas en ingls de sistema de distribucin wireless. Este sistema permite la interconexin entre dos puntos de acceso, creando un enlace punto a punto. Esto a su vez permite la interconexin a nivel 2 de todos los dispositivos conectados mediante dichos puntos de acceso. Segn la recomendacin 802.11, podemos tener dos tipos de conexin a puntos de accesos: BSS (Basic Service Set): en este caso slo hay un punto de acceso y una red inalmbrica definida por las estaciones conectadas a ese nico AP. ESS (Extended Service Set): en ste caso hay varios puntos de acceso, e interesa que las estaciones conectadas a cualquiera de ellos puedan interconectarse de forma transparente. El sistema que permite dicha interconexin es el WDS (Wireless Distribution System). Realmente la recomendacin 802.11 no define completamente como debe ser este sistema de distribucin, lo que ha llevado a que distintos fabricantes adopten soluciones cuya compatibilidad entre s no es ms que una casualidad. Es decir, si queremos tener varios puntos de acceso en una red y ofrecer
Fecha: 24/06/2008
interconexin entre dispositivos de los diferentes puntos de acceso, se hace prcticamente necesario que los puntos de acceso sean todos de un mismo fabricante. Conceptualmente es algo fcil de implementar, por lo que muchos puntos de acceso lo ofrecen directamente o mediante el cambio de su firmware. 2.3.4.1 Funcionamiento de WDS En el apartado en el que se defina la capa MAC para redes 802.11, se vio que una de las diferencias con la capa MAC ethernet era la existencia de cuatro campos reservados para direcciones MAC de nivel 2 (origen, destino, origen real, destino real), en lugar de los 2 que existen en la capa MAC ethernet. Son esos 2 campos de direcciones adicionales los que permiten que dos dispositivos conectados a sendos puntos de acceso de una misma red inalmbrica puedan intercomunicarse de forma transparente. Para ilustrarlo supondremos que tenemos dos ordenadores A y B conectados a sendos puntos de acceso C y D, respectivamente. Definiremos las direcciones MAC inalmbricas de los dispositivos de la siguiente manera: Ordenador A. Ordenador B. Punto de acceso C. Punto de acceso D.00:00:00:00:00:AA 00:00:00:00:00:BB 00:00:00:00:00:CC 00:00:00:00:00:DD
Imaginemos que el ordenador A desea enviar un paquete de datos a B. Sin el sistema de distribucin wireless no podramos enviarlo, ya que cuando el paquete llega al punto de acceso C, ste reemplaza la direccin MAC origen por la suya propia y manda el paquete al punto de acceso D, por lo que perdemos la direccin MAC del ordenador A.
Pg. 45 de 177
Fecha: 24/06/2008
Para que esto no ocurra se usan los dos campos de direcciones adicionales definidos en la recomendacin 802.11. Veamos paso por paso como varan los 4 campos de direcciones en los distintos saltos del paquete. 1. El paquete sale de A hacia el punto de acceso C con la direccin de origen 00:00:00:00:00:AA y la de destino 00:00:00:00:00:BB. 2. El paquete llega al punto de acceso C y este lo retransmite al punto de acceso D cambiando la direccin de origen por la suya propia 00:00:00:00:00:CC y la de destino por la del punto de acceso D, 00:00:00:00:00:DD para que este puede recibirlo. Adems escribe en los campos origen real la direccin del ordenador A, 00:00:00:00:00:AA y en destinatario real la del ordenador B, 00:00:00:00:00:BB. 3. El punto de acceso D recibe el paquete y lo enva al ordenador B, cambiando el campo de direccin origen por el del ordenador A y el de destino por el del ordenador B. Los otros campos quedan ya en blanco. Si hubiera ms puntos de acceso el paso 2 se repite hasta el punto de acceso donde est conectado el ordenador B. Hay que destacar que WDS funcionar bien siempre y cuando los puntos de acceso intercambien paquetes arp para definir las tablas de enrutamiento, es decir, que el punto de acceso C, debe saber que debe mandar el paquete al punto de acceso D para que le llegue al ordenador B. A modo de resumen, destacar que un enlace WDS entre dos puntos de acceso es la nica forma de interconectarlos sin que haya un cable entre ellos. 2.3.5 Roaming Una de las caractersticas ms importantes de una red wireless es movilidad de los dispositivos, al no tener que depender de cableado para conectarse a la red. En una red donde solo haya un punto de acceso, los
Pg. 46 de 177
Fecha: 24/06/2008
dispositivos conectados a ste podrn moverse en todo el rango de cobertura que ofrezca. En el caso de que sean varios los puntos de acceso los que definan la cobertura de la red, debe definirse un procedimiento por el cual un dispositivo deja de asociarse con un punto de acceso para asociarse con otro ms cercano perteneciente a la misma red. Adems, debe hacerse de forma transparente para el usuario. Al igual que ocurre con WDS, esta tecnologa est poco estandarizada, por lo que si queremos asegurarnos que la red ofrezca roaming entre los puntos de acceso, estos deben ser del mismo fabricante. Veremos que la posibilidad de tener una red cableada entre los puntos de acceso, nos va a permitir configurar la red para minimizar las interferencias entre estos. 2.3.5.1 Puntos de acceso cableados Esta es la mejor opcin para extender la cobertura de una red wireless, aunque bien es cierto que no siempre es posible conectar los puntos de acceso. Suponiendo que los puntos de acceso estn cableados, podremos configurar los canales de transmisin de los puntos de acceso adyacentes de forma que no solapen en frecuencia, evitando as interferencias entre ellos. Esto es posible porque la interconexin entre los puntos de acceso se hace mediante el cable ethernet, no tenindose porqu establecer comunicacin inalmbrica entre puntos de acceso. El estndar 802.11a es el ms fcilmente configurable para que no se solapen en frecuencia, ya que ningn canal comparte frecuencias con otro. El estndar 802.11b y 802.11g solo tienen 3 canales no solapados, por lo que tendremos que elegirlos de forma que ninguna celda adyacente use el mismo. En las siguientes figuras podemos observar este hecho.
Pg. 47 de 177
Fecha: 24/06/2008
Figura 15. Configuracin de radiocanales en 802.11b y g
Figura 16. Configuracin de radiocanales para el estndar 802.11a
Como el servicio de roaming no est estandarizado, depende de cada fabricante, por lo que no se asegura que entre puntos de acceso de diferentes fabricantes funcione.
Pg. 48 de 177
Fecha: 24/06/2008
Para configurarlo, generalmente basta con elegir en los puntos de acceso el mismo ESSID, pudiendo tener diferentes BSSID. Adems deben compartir las mismas medidas de seguridad y claves de encriptacin. Es el dispositivo el que monitoriza la potencia de recepcin de los
diferentes puntos de acceso, eligiendo en cada caso el punto de acceso ptimo. 2.3.5.2 Puntos de acceso no cableados Cuando no exista la posibilidad de cablear los puntos de acceso, tendremos que intercomunicarlos mediante un IAPP (Inter Access Point Protocol). De esta forma tendremos comunicados los diferentes puntos de acceso. La principal desventaja es que todas las estaciones base deben usar el mismo canal, por lo que habr interferencias entre ellos y por tanto, una merma de la velocidad de transmisin. Al igual que antes, los puntos de acceso deben compartir la misma seguridad, clave de encriptacin y el mismo ESSID, adems del mismo radiocanal.
Pg. 49 de 177
Fecha: 24/06/2008
3 Actualidad wireless
En este apartado se hace un recorrido por todo lo que representan las comunicaciones inalmbricas en la actualidad, desde los dispositivos actuales y sus funcionalidades, las comunidades de usuarios surgidas para fomentar esta tecnologa, hasta las ltimas recomendaciones surgidas para mejorar las prestaciones, etc.
3.1
Comunidades Wireless
Desde hace algo ms de ocho aos se estn acometiendo en varias
ciudades de Norteamrica, Europa y Australia principalmente una serie de proyectos dirigidos a facilitar conexin gratuita a Internet a travs de la tecnologa Wireless LAN. Son las llamadas cooperativas o comunidades wireless. Estos proyectos sin nimo de lucro, que ya se estn extendiendo como la plvora tambin por Amrica del Sur y Asia, surgen a iniciativa de varios voluntarios que se encargan de administrar una serie de nodos que forman la columna vertebral de la red inalmbrica. La historia de estos grupos comienza en realidad con el nacimiento de las comunidades virtuales, generalmente de vecinos, que compartan un acceso de banda ancha para sacarle el mximo partido por el mnimo coste. Estas iniciativas, con muchos ejemplos en nuestro pas, pasaron all por 1997 del cable al aire. La idea no es slo ofrecer acceso a Internet a quienes carecen de recursos, sino tambin poder aportar una red de calidad, alternativa a las tan laureadas 3G, y con posibilidades de mejoras en un futuro prximo. Muchos ya ven en esta nueva alternativa la vuelta a los comienzos de Internet, en donde cada uno aportaba algo nuevo a la red y donde, en teora, el trfico no era monitorizado. Las comunidades wireless se distribuyen a lo largo de toda la ciudad, de forma que cualquier persona que se encuentre en el radio de accin de uno de sus nodos pueda acceder a la red inalmbrica sin mayor problema. A su vez,
Fecha: 24/06/2008
estos nodos se conectan a Internet mediante algunos de los distintos tipos de accesos de banda ancha disponibles, en Espaa principalmente ADSL. El objetivo final es que cualquier persona pueda acceder a Internet desde cualquier punto de su ciudad y a una velocidad prctica de hasta 1 Mbps, cualquiera que sea su situacin econmica y social, cualquiera que sea su situacin fsica. Uno de los mayores problemas que mucha gente se est encontrando en ciudades tericamente punteras en tecnologa es la falta de soporte para su zona concreta de soluciones de alta velocidad como, por ejemplo DSL, debido sobre todo a la distancia excesiva hasta la central digital que provee este tipo de servicios. Y en el caso de disponer de la tecnologa, no todo el mundo puede pagarla. Aunque la idea procede de Estados Unidos y Australia, fuertemente vinculada a jvenes pertenecientes a movimientos ciudadanos, estas comunidades han encontrado una gran aceptacin en la mayora de ciudades europeas, y ya son muchos los proyectos que disponen de una pequea infraestructura que permite el acceso a Internet en una zona parcial de las ciudades. Tambin en Espaa. En nuestro pas cada da surgen nuevas comunidades wireless. Aunque la mayora slo cuentan con un par de nodos, ya hay muchas que estn empezando a plantearse la topologa de la red, as como la infraestructura bsica que cada uno de los nodos ha de tener, lo que da fe del rpido crecimiento que estn experimentando estas redes en los ltimos meses. Olot, Mlaga, Zaragoza, Palams, Madrid, Valladolid, Alcal de Henares, Santiago de Compostela y Barcelona, Sevilla y Canarias, entre otras ciudades espaolas, ya tienen comunidades wireless en marcha. Todas ellas se renen en torno a RedLibre, foro en el que, junto con las web particulares de cada proyecto, se recoge todo tipo de documentacin traducida al castellano. Estas comunidades guardan en cualquier caso un fuerte vnculo entre sus miembros, los cuales aportan recursos al proyecto de forma gratuita, ya sea en forma de hardware o de ancho de banda, siguiendo una filosofa muy similar a la
Pg. 51 de 177
Fecha: 24/06/2008
que impera en las comunidades de software libre. La mayora, sino la totalidad, de los elementos que se utilizan en la construccin de la red, ya sean antenas o equipos, suelen disponer de extensos HOWTO acerca de cmo fabricarlos utilizando componentes relativamente econmicos, por lo que el gasto final es mnimo, comparado con lo que supondra una solucin totalmente comercial. Uno de los principales problemas de estas redes est siendo el gasto en infraestructura, sobre todo inicialmente, ya que implantar una red de este tipo requiere de un gran numero de voluntarios que hoy por hoy no existe en las ciudades espaolas. Por ello, muchas de estas comunidades estn pensando en constituirse como asociaciones sin nimo de lucro para lograr algn tipo de subvencin, que sera reinvertida en la infraestructura de la propia red del proyecto. La mayora de los voluntarios que toman parte en estas iniciativas est vinculada a la comunidad Linux, que tanto ha crecido en los ltimos aos, y es que aunque estas redes estn preparadas para trabajar con cualquier sistema operativo que soporte drivers para tarjetas inalmbricas, BSD y sobre todo Linux se han convertido en las opciones preferidas a la hora de implementar los nodos en la totalidad de las comunidades wireless. Siguiendo el espritu de Linux, las comunidades guardan copia de todo el desarrollo realizado para que sirva de base a otros voluntarios que deseen crear nuevas cooperativas wireless en sus ciudades. Como resultado, ya existen autnticas bibliotecas de documentos HOWTO, que van desde cmo implementar las tcnicas de seguridad por medio de soluciones VPN (redes privadas virtuales), hasta cmo fabricar una antena de forma que se pueda utilizar para enlazar con un nodo lejano a la posicin del usuario. Como varios de los fundadores de estas comunidades afirman, uno de los motivos que ms les mueve a trabajar cada da en este tipo de proyectos es todo lo que queda por desarrollar. Slo hay que darse una vuelta por alguno de los muchos sitios web de estas comunidades para comprobar el volumen de
Pg. 52 de 177
Fecha: 24/06/2008
documentacin virtual, creada generalmente con aplicaciones tan conocidas como Slash-Code o Wiki, que muy detalladamente aborda todo el trabajo realizado y por realizar. Cualquier persona que est interesada en echar una mano puede ponerse rpidamente al da de toda la informacin tcnica que necesita saber, as como de la poltica general de la comunidad, referida sobre todo a la organizacin de la red. El funcionamiento de las comunidades wireless no dista mucho del de una LAN inalmbrica convencional, tecnologa en la que se basan. La columna vertebral de la red es una serie de nodos que pueden o no estar conectados a Internet. Los que s tienen conexin, por lo general de banda ancha, forman la troncal o backbone de la red, en clara alusin a su similar en Internet. Estos nodos a su vez disponen de un gran numero de nodos de menor tamao, que o bien no disponen de conexin a Internet y son simples repetidores, o bien son usuarios finales, que gracias a las tarjetas wireless con las que se enlazan con los nodos principales, ofrecen conexin a los usuarios que se encuentren aproximadamente a unos cien metros de distancia. Junto con las tarjetas WLAN, el otro componente fundamental de la red son las antenas. Aunque se emplean tambin por los usuarios de la comunidad wireless, son uno de los elementos fundamentales de la infraestructura de la red inalmbrica. Ahora mismo se estn realizando modelos caseros de la mayora de los tipos de antenas. En principio, los esfuerzos fundamentales en cuanto a infraestructura se estn llevando a cabo en la definicin de la topologa de la red, pero ya hay en desarrollo varios proyectos pensados para unir las distintas comunidades surgidas. No en vano, una de las metas finales es lograr una red global paralela a Internet, en la que tanto su monitorizacin como su comercializacin sean nulas, una vuelta a los orgenes de Internet que entusiasmar a ms de uno. La creacin de esta red wireless global no slo implica el desarrollo de nuevas antenas, o de nuevas redes sin cables de alto rendimiento, que ya estn
Fecha: 24/06/2008
en desarrollo, sino toda una nueva organizacin que gestione todos los aspectos de la nueva red. Desde varios proyectos ya se ha comentado la posibilidad de crear una alternativa al ICANN, con su correspondiente red de servidores DNS repartida por todo el mundo. Todo un reto. Ya queda poco para poder disfrutar de Internet con independencia de dnde estemos situados, gracias ya no slo a los porttiles, que tanto promocionan estas comunidades, sino a todos los dispositivos Wireless LAN que ya estn en el mercado o que van a aparecer de forma inmediata. Realmente es muy sencillo conectarse a una de estas redes. El problema reside en que cada nodo mantiene su propia poltica de acceso, condicionada por sus propios recursos, sobre todo los referentes al ancho de banda y al rendimiento del equipo. Para conectarse a uno de estos nodos tericamente slo es necesario contar con una de las muchas tarjetas inalmbricas disponibles actualmente en el mercado. Una vez instalada en el equipo, hay que configurar una serie de parmetros que dependern de cada comunidad y del nodo al que se est accediendo, aunque ya hay varios proyectos en marcha para lograr un mtodo unificado, de forma que el equipo lo haga automticamente, al menos dentro de una misma comunidad wireless. En teora, y seguramente sea as en un futuro prximo, la antena que lleva incorporada la tarjeta wireless debera servir para contactar con el nodo ms prximo. Como, sin embargo, la realidad es que actualmente el nmero de nodos es muy reducido y estn muy separados unos de otros, en la mayora de los casos, sobre todo en las comunidades wireless an no muy implantadas como las espaolas, se utilizan antenas externas conectadas a la tarjeta inalmbrica sin mayor problema, ya que vienen preparadas con un conector para tal fin. Como se ha visto anteriormente, existe todo tipo de antenas. Normalmente se suelen utilizar las onmidireccionales para expandir la seal wireless por una zona reducida, y las de otros tipos para apuntar directamente
Fecha: 24/06/2008
hacia un punto en concreto. Estas ltimas suelen ser las que se emplean para conectar con nodos alejados, ya que aumentan la distancia a cubrir hasta unos cuatro kilmetros de media, suficiente para la mayora de las ciudades. En cualquier caso, siempre hay que tener en cuenta el entorno en el que se va a instalar la antena, ya que por el momento depende mucho de que la del nodo est a la vista. Se han dado casos en comunidades wireless, como la de la ciudad de Nueva York, de tener que realizar verdaderas proezas para comunicar a un usuario con un nodo fsicamente cercano. As, en algunas comunidades ciertas instalaciones inalmbricas cuentan adems con pequeos tramos LAN convencionales para sortear determinados obstculos fsicos que, como sucede con los edificios, la seal no puede atravesar. Por ello hay que tratar de poner las antenas en un sitio lo ms despejado posible y con una lnea de vista limpia. Adems de la antena, tambin es recomendable adquirir cable que guarde de forma satisfactoria la seal, algo que en realidad no suele suponer un gasto muy superior al de un cable de menor calidad. Aparte de todo este material, igualmente es necesario disponer de algn sistema operativo que soporte los drivers de la tarjeta wireless que vaya a ser instalada. Por lo general, cualquier sistema BSD, Linux, Unix o Windows sirve para este propsito, aunque dado que el desarrollo de software especficamente pensado para este tipo de redes se est haciendo para entornos Unix, es preferible escoger una de las tres primeras opciones. En cualquier caso, y haciendo gala de los comienzos de la comunidad Linux, por el momento la mayora de los responsables de los nodos ofrecen servicio tcnico gratuito a las personas que quieren conectarse a la Red. En la mayora de las pginas de dichos nodos se encuentra toda la informacin necesaria para ponerse en contacto con voluntarios de la comunidad, e incluso algn que otro documento o FAQ donde se pueden encontrar respuestas a las preguntas ms frecuentes formuladas por los usuarios.
Pg. 55 de 177
Fecha: 24/06/2008
Como redes pblicas, las comunidades wireless basan su funcionamiento en el colectivo, una red construida por y para los usuarios. De esta forma, toda la filosofa contenida detrs de este servicio gratuito est pensada para que cualquier persona con ganas de participar no tenga problema alguno a la hora de unirse al proyecto. En cualquier caso, esto siempre vara de una comunidad a otra, pero hay una serie de puntos comunes en todas las comunidades wireless a lo largo del planeta: confianza en los usuarios, libertad frente a control, donacin del ancho de banda, inversin en recursos y financiacin alternativa. Uno de los mayores problemas con los que se enfrentan ahora mismo los administradores de los nodos de las comunidades wireless es lo que sus usuarios hagan de forma incontrolada. Por definicin, las comunidades wireless luchan contra la monitorizacin de la red, pero muchos de sus administradores se preguntan que ocurrir si uno de sus usuarios realiza alguna accin no recomendable haciendo uso de su conexin de banda ancha. Hay varias posiciones encontradas en este punto. Por un lado estn los que apuestan por guardar los logs de las conexiones realizadas a los distintos nodos wireless, por si en algn momento hicieran falta. Para ello ya se ha propuesto realizar backup mensuales de estos logs y luego eliminarlos dejando slo la informacin imprescindible para una correcta administracin del equipo y con fines estadsticos. Por otro lado, se encuentran los que propician una solucin ms social: confiar en los usuarios. Para ello ya se estn desarrollando varias soluciones que van desde la apertura del nodo slo a personas determinadas, en concreto a aquellas que viven en la vecindad del responsable del nodo. De esta forma, dicho administrador siempre tendra un cierto control sobre la gente que esta haciendo uso de su equipo, reduciendo as las posibilidades de que alguno de estos usuarios realice alguna accin no recomendable para el responsable del nodo, y por ende para el resto de la comunidad.
Pg. 56 de 177
Fecha: 24/06/2008
Otra de las soluciones que se estn proponiendo es crear un par de nombre de usuario y contrasea para cada uno de los que hacen uso de las redes wireless. De esta forma, la identificacin sera mucho ms fcil. Pero varios sectores han mostrado su disconformidad con esta medida, ya no slo por el control de la informacin del usuario que implica, sino por lo que supondra la implantacin a nivel mundial de esa base de datos, de forma que cualquier persona con uno de estos pares pudiese conectarse en cualquiera de las comunidades wireless implantadas a lo largo del planeta. Como se ha visto en el punto anterior, una de las bases de esta nueva red wireless mundial va a ser la libertad de actuacin, siempre que sea legal, como suceda en los primeros pasos de Internet. Uno de los objetivos de estas comunidades es evitar a toda costa la monitorizacin y el control no deseado que, segn los responsables de muchas de estas comunidades, se est llevando a cabo en Internet. Para ello, una de las guerras ms fuertes se est librando contra los ISP, que, como competidores comerciales de las comunidades, querrn conservar su posicin en un mercado quizs demasiado dinmico, donde propuestas como las de las comunidades wireless tienen una gran acogida. Una de las bases de las comunidades wireless, al menos hasta que no se conviertan en una red mundial homognea, es su conexin a Internet. sta se realiza por medio de las conexiones individuales, generalmente de banda ancha, que tienen cada uno de los nodos que forman dicha red. Es sabido que, al menos de momento, el ancho de banda contratado tanto por usuarios como por empresas prcticamente es casi siempre infrautilizado. Esto se da especialmente en las empresas, que una vez llegada la tarde y a lo largo de la noche, no utilizan prcticamente su red, por lo que un gran numero de recursos quedan desaprovechados. Por ello, las comunidades wireless apuestan por utilizar ese ancho de banda desperdiciado para conectar a Internet a los usuarios de su zona.
Pg. 57 de 177
Fecha: 24/06/2008
Esta alternativa tiene como problema aadido el hecho de que los ISP no admiten esa reventa de servicios por parte de sus usuarios, ya sean empresas o particulares. Aunque este inconveniente est causando considerables retrasos en la implantacin de algunas comunidades wireless, ya hay instituciones, que, como la Universidad Politcnica de Catalua con el proyecto Barcelona Wireless, estn colaborando de forma activa ofreciendo parte de sus recursos a este fin. sta es slo una muestra de una tendencia que acabar por consolidarse debido a los requerimientos de los usuarios. Quizs el aspecto que ms se ha cuidado a la hora de definir la infraestructura de las comunidades wireless ha sido los requerimientos tanto en software como en hardware, un factor clave en el xito de estas redes. La mayora, por no decir la totalidad, de los nodos de una de estas comunidades no necesita algo mas all de un Pentium antiguo de gama media, por ejemplo un Pentium 133, con algo ms de 32 MB de RAM, equipo accesible a cualquier pblico por menos de diez mil pesetas en determinadas tiendas de segunda mano. Por otro lado, todo lo relacionado con las antenas ha sido desarrollado pensando en gente con pocos recursos, y se han ofrecido HOWTO acerca de cmo construirlas de forma barata sin perder calidad. Asimismo, todo el desarrollo de la infraestructura se ha llevado a cabo sobre sistemas libres, esto es Linux y BSD, aunque no se han cerrado las puertas en ningn caso a que usuarios con otros sistemas, como Unix o Windows, tambin puedan acceder. Financiacin alternativa. Las inalmbricas libres pretenden llegar a aquellas personas que no dispongan de recursos para costea una conexin a Internet de banda ancha, como muchos centros sociales y determinadas organizaciones. Por ello no se cobra ningn tipo de canon, por muy pequeo que sea. Esto obliga a sus responsables a buscar formas alternativas de financiacin, provenientes principalmente de distribuidores de productos wireless y determinadas empresas, incluidos ISP, que apuestan claramente por este
Pg. 58 de 177
Fecha: 24/06/2008
nuevo tipo de acceso a la Red. En el caso particular de los distribuidores, es habitual que realicen descuentos en el material necesario, e incluso los hay que donan gratuitamente los equipos. Junto con este tipo de financiacin, tambin se ha puesto de moda en la mayora de proyectos hacer uso de los servicios de empresas como PayPal o CafePress, la primera para realizar donaciones, y la segunda, mucho mas interesante, para poder comprar merchandising del proyecto, algo muy habitual a la hora de buscar financiacin para los proyectos de software libre. Una de las ideas con las que nacieron las primeras comunidades wireless es que las redes son por y para los usuarios. En los primeros pasos, por lo general un grupo de voluntarios se encarga de llevar a cabo la infraestructura bsica, a la que el resto de los usuarios segn se van uniendo a la comunidad van aadiendo sus propios nodos, lo que contribuye a que la comunidad wireless crezca rpidamente. Esto es lo que ha ocurrido en ciudades como Seattle o Nueva York, donde en menos de un ao ya cuentan con un gran nmero de nodos, haciendo la red accesible prcticamente desde todos los puntos de la ciudad; y siguen extendindose. Es posible que dentro de poco estas redes dejen los centros urbanos para expandirse a las ciudades dormitorios y de all a otros ncleos de menor poblacin, creando una especie de telaraa que se va extendiendo poco a poco. Como buenos usuarios de software libre, los administradores de los nodos de las redes wireless gratuitas utilizan las ltimas tecnologas disponibles. De hecho, en la mayora de las comunidades ya se est implementando IPv6. La nueva versin del protocolo IP, adems de todas las ventajas en cuanto a un mayor nmero de direcciones disponibles y su mejor gestin, tambin ofrece la posibilidad de disponer de una direccin IP mvil, de forma que la transicin de uno a otro nodo, lejos de ser un proceso catico, no suponga ninguna dificultad para el usuario o para los administradores de los nodos.
Fecha: 24/06/2008
Tambin se ha implementado en la prctica totalidad de las comunidades la asignacin de IP mediante DHCP, mucho ms sencilla que otros mtodos, y aumenta la presencia de tecnologas de seguridad como VPN e IPSec; incluso se estn desarrollando nuevas versiones optimizadas de antenas. Una de las tendencias actuales en el desarrollo de estas antenas es ofrecer dispositivos lo ms baratos posibles. En cualquier caso, se tiene previsto implementar cualquier nueva tecnologa que aporte caractersticas aadidas a la comunidad wireless, algo no muy complicado de llevar a cabo teniendo en cuenta que se estn utilizando herramientas de software libre. Ya son muchas las redes wireless tanto comerciales como gratuitas hoy en operacin y hay quienes ven en ellas la clave del futuro de Internet. Los precios siguen bajando y los usuarios potenciales son cada vez ms. Es posible que en poco tiempo podamos andar por la calle y hablar mediante videoconferencia con nuestros amigos o colegas de trabajo con una calidad superior a la que ofrecern las tecnologas 3G. Como dicen desde una de las comunidades wireless, esto es el futuro, disfrtalo.
3.2
Recomendacin 802.11n
3.2.1 Introduccin En el momento de escribir esta memoria, el estndar 802.11n se encuentra en su segundo borrador, estando estimada la ratificacin para el tercer trimestre del 2008. An as ya existen en el mercado dispositivos que proclaman ser compatibles con esta tecnologa. En principio, esta nueva recomendacin ofrece principalmente tres mejoras frente a las recomendaciones anteriores:
Pg. 60 de 177
Fecha: 24/06/2008
Mayor velocidad de transmisin.- Puede llegar hasta los 600 Mbps. Para ello utiliza la tecnologa MIMO con 4 antenas de transmisin y recepcin. Mayor seguridad.- Aprovecha los nuevos estndares 802.11w para ofrecer seguridad en la autenticacin y paliar as las vulnerabilidades existentes en anteriores estndares. Retrocompatibilidad con todos los estndares anteriores.- Gracias a que puede operar en las bandas ICM de 2,4 GHz y 5 GHz, es compatible con los estndares 802.11, 802.11a, b y g. 3.2.2 Mecanismo En este apartado se describen las diferentes tecnologas y mejoras introducidas en el estndar 802.11n para conseguir tasas de hasta 600 Mbps. 3.2.2.1 Multiple Input / Multiple Output (MIMO) Hasta el ao 2004, solo se usaba una antena para transmitir y otra para recibir. Algunos dispositivos usaban varias antenas, pero simplemente se elega por cual se transmita, siendo la elegida la que mejor ganancia presentaba en ese momento. El siguiente paso a esto era tener varias antenas de transmisin, de forma que podramos dividir el paquete a transmitir entre las antenas. Seguidamente en el receptor se uniran de nuevo y se entregaran de forma correcta. Esta es la tecnologa conocida como MIMO y en teora permite multiplicar la tasa de transmisin por el nmero de antenas que usemos. En el estndar 802.11n estn definidas hasta 4 antenas de transmisin y recepcin, por lo que la velocidad puede multiplicarse por 4.
Pg. 61 de 177
Fecha: 24/06/2008
3.2.2.2 Ancho de banda del canal En todos los estndares anteriores hemos visto que el ancho de banda destinado a un canal era de 20 MHz, variando la frecuencia central dependiendo del uso de la banda de 2,4 GHz o 5GHz. En el estndar 802.11n puede elegirse usar anchos de banda de 20 MHz, lo que permitira la retrocompatibilidad con estndares anteriores, o anchos de banda de 40 MHz. Adems se utiliza mejor el ancho de banda, ya que si en los estndares anteriores con OFDM se tenan 48 subportadoras de datos por canal, ahora con el doble de ancho de banda se tiene ms del doble, 108 subportadoras. Esto se traduce en un incremento de velocidad con un factor de 2,25. 3.2.2.3 Mejora de la eficiencia de la capa MAC En estndares anteriores la eficiencia de la capa MAC era muy deficiente, ya que en muy raras ocasiones se podan superar el 50 o 60 % de eficiencia en la transmisin de datos. Esto era debido a las cabeceras y prembulos que se incluan en la capa fsica. Adems esto se ve agravado si lo que se transmiten son tramas cortas, como cuando se usan sesiones de red como telnet o ssh. Esto puede verse en la figura 17.
% datos trasnmitidos Vs tasa Ideal
Tamao de trama
Figura 17. Eficiencia MAC para los diferentes estndares
Pg. 62 de 177
Fecha: 24/06/2008
El estndar 802.11n ofrece una serie de mejoras para incrementar la eficiencia de la capa MAC, las cuales se resumen en los prrafos siguientes: Intervalos de guarda.- 802.11n es capaz de reducir el intervalo de guarda entre transmisiones de 800 a 400ns. En el caso de tener que interoperar con dispositivos de estndares anteriores esto no ser posible. Fast MCS feedback - Rate selection.- En estndares anteriores, la seleccin de la tasa de transmisin se haca en funcin de la probabilidad de error del enlace, por lo que era un proceso relativamente lento, ya que se tena que esperar al procesado de varias tramas, contabilizar los errores y tomar la decisin. En 802.11n se ha creado un sistema que elige la velocidad de transmisin del siguiente paquete mediante el uso de paquetes especiales. De esta forma se es capaz de pasar de una tasa a otra y a otra en cuestin de milisegundos. Codificacin LDPC (Low Density Partity Check). Vimos que para conseguir las diferentes tasas de transmisin en 802.11g, se usaba una modulacin y un codificador convolucional diferentes. Est claro que introducir bits redundantes para el control de errores hace que la eficiencia disminuya, pero es totalmente necesario. 802.11n no los elimina, sino que se aprovecha del avance de la tecnologa y usa un codificador que antes era impensable usar en tiempo real debido a su alta necesidad computacional. Este codificador es el LPDC, que no es ms que un mecanismo de correccin de errores, siendo adems el ms eficiente que existe.
3.3
Dispositivos existentes en el mercado

En este apartado se pretende ofrecer una visin general sobre los
diferentes dispositivos existentes en el mercado que se usen para dotar a una
Pg. 63 de 177
Fecha: 24/06/2008
zona de cobertura Wi-Fi. Se definirn las caractersticas principales de cada uno de ellos. 3.3.1 Cableado Para la interconexin entre los diferentes dispositivos que componen una red wireless (normalmente entre punto de acceso y antena), se utilizan varios tipos de elementos, dependiendo de la situacin y caractersticas deseadas. Fundamentalmente, si la red wireless trabaja a 2,4 GHz se recomienda el uso casi exclusivo de cables coaxiales, mientras que si operan a una frecuencia superior (> 5 Mhz), pueden usarse o cables coaxiales o guas de onda, ya que a partir de esta frecuencia se produce una muy buena transmisin de potencia.
Figura 18.Ejemplo de guas de onda
Para casos en los que se debe dar cobertura a zonas aisladas (zonas apantalladas, tneles, ciertas partes de edificios, etc.), donde no puede llegar la seal de otra forma, pueden usarse unos tipos de cables coaxiales de radiacin, que mediante una abertura en la pantalla del cable, permite un escape de radiacin suficiente para ofrecer cobertura a estos sitios.
Figura 19. Cable coaxial de radiacin
Cuando tenemos que usar un cable de longitud elevada, debemos usar aquel que presenta baja atenuacin, pudiendo usar cables con mayor atenuacin en el caso de que no superemos los 50 centmetros de longitud. Este
Pg. 64 de 177
Fecha: 24/06/2008
tipo de cables son los llamados pigtail, siendo usados para conectar 2 dispositivos con diferentes conectores. La impedancia usada en todos los casos es 50 . Los cables coaxiales tienen un conductor central recubierto por un material no conductor denominado dielctrico, o simplemente aislante. El dielctrico se recubre con una pantalla conductora envolvente a menudo en forma de malla.
Recubrimiento Pantalla Dielctrico Conductor Central
Figura 20. Estructura de un cable coaxial
El material dielctrico evita una conexin elctrica entre el conductor central y la pantalla. Finalmente, el coaxial est protegido por un recubrimiento generalmente de PVC. El conductor interior transporta la seal de RF, y la pantalla evita que la seal de RF sea radiada a la atmsfera, as como impide que posibles seales externas interfieran con la que est siendo transmitida por el cable. Otro hecho interesante es que las seales elctricas de alta frecuencia siempre viajan a lo largo de la capa exterior del conductor central: cuanto ms grosor tenga el conductor central, mejor va a ser el flujo de la seal. Esto se denomina efecto pelicular. A pesar de que la construccin del cable coaxial es muy buena para contener la seal en el cable, presenta algo de resistencia al flujo elctrico: a medida que la seal viaja a travs del cable disminuye su intensidad. Este debilitamiento es conocido como atenuacin, y para las lneas de transmisin se mide en decibeles por metro (dB/m). El coeficiente de atenuacin es una funcin de la frecuencia de la seal y la construccin fsica del cable. Si se incrementa la
Fecha: 24/06/2008
frecuencia de la seal, tambin lo hace su atenuacin. Obviamente se necesita minimizar la atenuacin del cable cuanto ms nos sea posible, lo que puede hacerse mediante la utilizacin de cables muy cortos y/o de buena calidad. En la actualidad los tipos de cables coaxiales ms utilizados son: Los tipos RG-58, RG-174, RG-213, RG-316, etc. Son cables que en realidad no estn diseados para frecuencias de microondas, ya que usan polietileno de dielctrico. Este material produce bastante atenuacin a frecuencia de microondas, por lo que no deben ser usados ya que presentan una atenuacin mayor que otros con el mismo grosor y caractersticas pero con otro dielctrico. An as son usados ampliamente por la facilidad de ser encontrados en los comercios. Los tipos LMR-100, LMR-200, LMR-400, etc.- En el DVD adjunto a este proyecto se incluye el catlogo completo de estos cables, con grficas de atenuacin Vs frecuencia. El dielctrico que usa es el llamada FOAM, que es polietileno relleno con minsculas burbujas de aire. De similares caractersticas a los LMR (Times microwave) son los HDS, CDS, etc Quizs los mejores cables que pueden usarse son los Heliax de Andrews. Son caros y difciles de encontrar, por lo que su uso slo est justificado en instalaciones profesionales que requieran de una longitud elevada de cableado. Un enlace a las caractersticas de este tipo de cables es el siguiente: http://aw.commscope.com/eng/product/trans_line_sys/coaxial/wireless/ind ex.html 3.3.2 Conectores Por medio de los conectores el cable puede ser conectado a otro cable o a un componente de la cadena de RF. Hay una gran cantidad de adaptadores y
Pg. 66 de 177
Fecha: 24/06/2008
conectores diseados para concordar con diferentes tamaos y tipos de lneas coaxiales. Describiremos algunos de los ms populares. Los conectores BNC fueron desarrollados a fines de los 40. La sigla BNC significa Bayoneta, Neill-Concelman, por los apellidos de quienes los inventaron: Paul Neill y Carl Concelman. El tipo BNC es un conector miniatura de conexin y desconexin rpida. Tiene dos postes de bayoneta en el conector hembra, y el apareamiento se logra con slo un cuarto de vuelta de la tuerca de acoplamiento. Los conectores BNC son ideales para la terminacin de cables coaxiales miniatura o subminiatura (RG-58 a RG-179, RG- 316, etc.). Tienen un desempeo aceptable hasta unos pocos cientos de MHz. Son los que se encuentran ms comnmente en los equipamientos de prueba y en los cables coaxiales Ethernet 10base2.
Figura 21. Conector tipo BNC
Los conectores TNC tambin fueron inventados por Neill y Concelman, y son una versin roscada de los BNC. Debido a que proveen una mejor interconexin, funcionan bien hasta unos 12GHz. Su sigla TNC se debe a su sigla en ingls (Neill-Concelman con Rosca, por Threaded NeillConcelman).
Figura 22. Conector TNC hembra y macho
Pg. 67 de 177
Fecha: 24/06/2008
Los conectores Tipo N (tambin por Neill, aunque algunas veces atribuidos a Navy) fueron desarrollados originalmente durante la Segunda Guerra Mundial. Se pueden utilizar a ms de 18 Ghz y se utilizan comnmente en aplicaciones de microondas. Se fabrican para la mayora de tipos de cable. Las uniones del cable al conector macho o hembra son impermeables, y proveen un agarre efectivo.
Figura 23. Conector N hembra y macho
SMA es un acrnimo de Sub Miniatura versin A, y fue desarrollado en los 60. Los conectores SMA son unidades subminiatura de precisin que proveen excelentes prestaciones elctricas hasta ms de 18 GHz. Estos conectores de alto desempeo son de tamao compacto y tienen una extraordinaria durabilidad.
Figura 24. Conectores SMA macho y hembra
Los SMB cuyo nombre deriva de Sub Miniatura B, son el segundo diseo subminiatura. Constituyen una versin ms pequea de los SMA con un acoplamiento a presin y funcionan hasta los 4 GHz. Los conectores MCX se introdujeron en los 80. Aunque utilizan contactos internos y aislantes idnticos a los SMB, el dimetro exterior de la clavija es 30% ms pequeo que la del SMB. Esta serie provee a los diseadores de opciones cuando el espacio fsico es limitado. MCX tiene
Fecha: 24/06/2008
una capacidad de banda ancha de 6GHz con un diseo de conector a presin.
Figura 25. Conectores SMB hembra y macho
Adems de estos conectores estndar, la mayora de los dispositivos WiFi utilizan una variedad de conectores patentados. A menudo son simplemente conectores de microondas estndar con las partes centrales del conductor invertidas o con roscas a contramano. Estos conectores especiales a menudo se acoplan a los otros elementos del sistema de microondas utilizando un cable delgado y corto llamado latiguillo, en ingls pigtail (cola de cerdo) que convierte el conector que no es estndar en uno ms robusto y disponible comnmente. Entre estos conectores especiales tenemos: RP-TNC. Es un conector TNC con el gnero invertido. stos son los que trae el WRT54GL de Linksys, que es el modelo de puntos de acceso usado en el presente proyecto.
Figura 26. Conector RP-TNC hembra y macho
U.FL (tambin conocido como MHF). El U.FL es un conector patentado realizado por Hirose, y el MHF es un conector mecnicamente equivalente. Probablemente es el conector de microondas ms pequeo utilizado ampliamente en la actualidad. El U.FL / MHF se utiliza para
Pg. 69 de 177
Fecha: 24/06/2008
conectar una tarjeta de radio mini-PCI a una antena o a un conector ms grande (como un N o un TNC).
Figura 27. Conector U.FL hembra y macho
La serie MMCX, tambin denominada MicroMate, es una de las lneas de conectores de RF ms pequeas desarrolladas en los 90. MMCX es una serie de conectores micro-miniatura con un mecanismo de bloqueo a presin que permite una rotacin de 360 grados otorgndole gran flexibilidad. Los conectores MMCX se encuentran generalmente en tarjetas de radio PCMCIA, como las fabricadas por Senao y Cisco.
Figura 28. Conector MMCX y MMCX RP
Los conectores MC-Card son ms pequeos y ms frgiles que los MMCX. Tiene un conector externo con ranuras que se quiebra fcilmente luego de unas pocas interconexiones. Generalmente estn en el equipamiento Lucent / Orinoco / Avaya. Los adaptadores coaxiales (o simplemente adaptadores), son conectores cortos usados para unir dos cables o dos componentes que no se pueden conectar directamente. Los adaptadores pueden ser utilizados para interconectar dispositivos o cables de diferentes tipos. Por ejemplo, un adaptador puede ser utilizado para conectar un conector SMA a un BNC. Tambin pueden servir para unir dos conectores del mismo tipo que no pueden hacerlo directamente por su
Fecha: 24/06/2008
gnero (macho-macho/hembra-hembra). Por ejemplo un adaptador muy til es el que permite unir dos conectores machos Tipo N, que tiene dos conectores hembra en ambos extremos. 3.3.3 Antenas Por definicin, una antena es un dispositivo utilizado para transformar una seal de RF que viaja en un conductor, en una onda electromagntica en el espacio abierto. Las antenas exhiben una propiedad conocida como reciprocidad, lo cual significa que una antena va a mantener las mismas caractersticas sin importar si est transmitiendo o recibiendo. La mayora de las antenas son dispositivos resonantes, que operan eficientemente slo en una banda de frecuencia relativamente baja. Cuando se alimenta la antena con una seal, emitir radiacin distribuida en el espacio de cierta forma. La representacin grfica de la distribucin relativa de la potencia radiada en el espacio se llama diagrama o patrn de radiacin. 3.3.3.1 Caractersticas intrnsecas de una antena En esta seccin se explicarn aquellas caractersticas que posee cualquier antena, las cuales van a hacer que se comporte de una forma u otra a una determinada frecuencia. En aquellas caractersticas en las que proceda, se detallar su valor para el uso en sistemas Wi-Fi. 3.3.3.1.1 Impedancia de entrada Para una transferencia de energa eficiente, la impedancia del radio, la antena, y el cable de transmisin que las conecta debe ser la misma. Las antenas y sus lneas de transmisin generalmente estn diseadas para un determinada valor de impedancia. En el caso de sistemas Wi-Fi este valor es de 50 . Si la antena tiene una impedancia diferente a 50 , hay una desadaptacin, y se necesita un circuito de acoplamiento de impedancia.
Pg. 71 de 177
Fecha: 24/06/2008
Cuando alguno de estos componentes no tiene la misma impedancia, la eficiencia de transmisin se ve afectada, ya que parte de la potencia es reflejada y no se transmite al exterior. 3.3.3.1.2 Prdida de retorno La prdida de retorno es otra forma de expresar la desadaptacin. Es una medida logartmica expresada en dB, que compara la potencia reflejada por la antena con la potencia con la cual la alimentamos desde la lnea de transmisin. La relacin entre SWR (Standing Wave Ratio Razn de Onda Estacionaria) y la prdida de retorno es la siguiente:
Prdida de Retorno(dB) = 20 log10
SWR SWR 1
Aunque siempre existe cierta cantidad de energa que va a ser reflejada hacia el sistema, una prdida de retorno elevada implica un funcionamiento inaceptable de la antena. 3.3.3.1.3 Ancho de banda El ancho de banda de una antena se refiere al rango de frecuencias en el cual puede operar de forma correcta. Este ancho de banda es el nmero de hercios (Hz) para los cuales la antena va a tener una Razn de Onda Estacionaria (SWR) menor que 2:1. El ancho de banda tambin puede ser descrito en trminos de porcentaje de la frecuencia central de la banda.
Ancho de banda = 100 *
FH FL FC
...donde FH es la frecuencia ms alta en la banda, FL es la frecuencia ms baja, y FC es la frecuencia central.
Pg. 72 de 177
Fecha: 24/06/2008
De esta forma, el ancho de banda porcentual es constante respecto a la frecuencia. Si fuera expresado en unidades absolutas, variara dependiendo de la frecuencia central. 3.3.3.1.4 Directividad y Ganancia La directividad es la habilidad de una antena de transmitir enfocando la energa en una direccin particular, o de recibirla de una direccin particular. Si un enlace inalmbrico utiliza locaciones fijas para ambos extremos, es posible utilizar la directividad de la antena para concentrar la transmisin de la radiacin en la direccin deseada. En una aplicacin mvil donde la antena no est fijada a un punto, es imposible predecir dnde va a estar, y por lo tanto la antena debera radiar en todas las direcciones del plano horizontal. En estas aplicaciones se utiliza una antena omnidireccional. La ganancia no es una cantidad que pueda ser definida en trminos de una cantidad fsica como vatios u ohmios, es un cociente sin dimensin. La ganancia se expresa en referencia a una antena estndar. Las dos referencias ms comunes son la antena isotrpica y la antena dipolo resonante de media longitud de onda. La antena isotrpica irradia en todas direcciones con la misma intensidad. En la realidad esta antena no existe, pero provee un patrn terico til y sencillo con el que comparar las antenas reales. Cualquier antena real va a irradiar ms energa en algunas direcciones que en otras. Puesto que las antenas no crean energa, la potencia total irradiada es la misma que una antena isotrpica. Toda energa adicional radiada en las direcciones favorecidas es compensada por menos energa radiada en las otras direcciones. La ganancia de una antena en una direccin dada es la cantidad de energa radiada en esa direccin comparada con la energa que podra radiar una antena isotrpica en la misma direccin alimentada con la misma potencia.
Pg. 73 de 177
Fecha: 24/06/2008
Generalmente estamos interesados en la ganancia mxima, que es aquella en la direccin hacia la cual la antena est radiando la mayor potencia. Una ganancia de antena de 3dB comparada con una isotrpica debera ser escrita como 3dBi. El dipolo resonante de media longitud de onda puede ser un estndar til a la hora de compararlo con otras antenas a una frecuencia, o sobre una banda estrecha de frecuencias. Para comparar el dipolo con una antena sobre un rango de frecuencias se requiere de un nmero de dipolos de diferentes longitudes. La ganancia de una antena comparada con un dipolo debera ser escrita como 3dBd. 3.3.3.1.5 Diagramas o Patrones de Radiacin Los patrones o diagramas de radiacin describen la intensidad relativa del campo radiado en varias direcciones desde la antena a una distancia constante. El patrn de radiacin es tambin de recepcin, porque describe las propiedades de recepcin de la antena, ya que como hemos dicho anteriormente las antenas tienen la propiedad de reciprocidad. El patrn de radiacin es tridimensional, pero generalmente las mediciones de los mismos son una porcin bi-dimensional del patrn, en el plano horizontal o vertical. Estas mediciones son presentadas en coordenadas rectangulares o en coordenadas polares.
Figura 29. Diagrama de radiacin de una antena Yagi en coordenadas rectangulares

Fecha: 24/06/2008
La figura anterior muestra el diagrama de radiacin en coordenadas rectangulares de una antena Yagi de diez elementos. El detalle es bueno pero se hace difcil visualizar el comportamiento de la antena en diferentes direcciones. En los sistemas de coordenadas polares, los puntos se obtienen por una proyeccin a lo largo de un eje que rota (radio) en la interseccin con uno de varios crculos concntricos. El siguiente es un diagrama de radiacin en coordenadas polares de la misma antena Yagi de diez elementos.
Figura 30. Diagrama de radiacin de una antena Yagi en coordenadas polares lineal
Los sistemas de coordenadas polares pueden dividirse en dos clases: lineales y logartmicos. En el sistema de coordenadas polares lineal, los crculos concntricos estn uniformemente espaciados y graduados. La retcula resultante puede ser utilizada para preparar un diagrama lineal de la potencia contenida en la seal. Para facilitar la comparacin, los crculos concntricos equiespaciados pueden reemplazarse por crculos ubicados adecuadamente, representando la respuesta en decibeles, con 0 dB correspondiendo al crculo ms externo. En este tipo de grficas los lbulos menores se suprimen. Los lbulos con picos menores de 15 dB debajo del lbulo principal desaparecen por su pequeo tamao. Esta retcula mejora la presentacin de las caractersticas de antenas con alta directividad y lbulos menores pequeos.
Pg. 75 de 177
Fecha: 24/06/2008
En un sistema de coordenadas lineales, se puede trazar el voltaje de la seal en lugar de la potencia. En este caso tambin, se enfatiza la directividad y desenfatizan los lbulos menores, pero no en el mismo grado que en la retcula lineal de potencia. En el sistema de coordenadas polares logartmico, las lneas concntricas de la retcula son espaciadas peridicamente de acuerdo con el logaritmo de voltaje de la seal. Se pueden usar diferentes valores para la constante logartmica de periodicidad, y esta eleccin va a tener un efecto en la apariencia de los diagramas trazados. Generalmente se utiliza la referencia 0 dB para el extremo externo de la grfica. Con este tipo de retcula, los lbulos que estn 30 o 40 dB por debajo del lbulo principal an pueden distinguirse.
Figura 31. Diagrama de radiacin de una antena Yagi en coordenadas polares lineal
La mayora de las mediciones de los diagramas de radiacin son relativas a la antena isotrpica, y el mtodo de transferencia de ganancia es utilizado para establecer la ganancia absoluta de la antena. El patrn de radiacin en la regin cercana a la antena no es el mismo que el patrn a largas distancias. El trmino campo cercano se refiere al patrn del campo que existe cerca de la antena, mientras que el trmino campo lejano
Pg. 76 de 177
Fecha: 24/06/2008
refiere a los diagramas del campo a largas distancias. El campo alejado tambin es denominado campo de radiacin, y generalmente es el que ms interesa. Normalmente el punto de inters es la potencia radiada, y por lo tanto los diagramas de la antena son medidos en la regin del campo alejado. Para las medidas necesarias para confeccionar los diagramas es importante elegir una distancia suficientemente grande para estar en el campo lejano. La distancia mnima depende de las dimensiones de la antena con relacin a la longitud de onda. La frmula aceptada para esta distancia es:
rmin =
2d 2
donde rmin es la distancia mnima desde la antena, d es la dimensin ms grande de la antena, y es la longitud de onda. 3.3.3.1.6 Ancho del haz El ancho del haz de una antena usualmente se entiende como ancho del haz a mitad de potencia. Se encuentra el pico de intensidad de radiacin, luego se localizan los puntos de ambos lados de pico que representan la mitad de la potencia de intensidad del pico. La distancia angular entre los puntos de la mitad de la potencia se define como el ancho del haz. La mitad de la potencia expresada en decibelios es de -3dB, por lo tanto algunas veces el ancho del haz a mitad de potencia es referido como el ancho del haz a 3dB. Generalmente se consideran tanto el ancho de haz vertical como horizontal. Suponiendo que la mayor parte de la potencia radiada no se dispersa en lbulos laterales, entonces la ganancia directiva es inversamente proporcional al ancho del haz: cuando el ancho del haz decrece, la ganancia directiva se incrementa.
Pg. 77 de 177
Fecha: 24/06/2008
3.3.3.1.7 Lbulos laterales Ninguna antena es capaz de radiar toda la energa en una direccin preferida. Inevitablemente, una parte de ella es radiada en otras direcciones. Esos picos ms pequeos son denominados lbulos laterales, especificados comnmente en dB por debajo del lbulo principal. 3.3.3.1.8 Nulos En los diagramas de radiacin de una antena, una zona nula es aquella en la cual la potencia efectivamente radiada est en un mnimo. Un nulo a menudo tiene un ngulo de directividad estrecho en comparacin al haz principal. Los nulos son tiles para varios propsitos tales como la supresin de seales interferentes en una direccin dada. 3.3.3.1.9 Polarizacin La polarizacin se define como la orientacin del campo elctrico de una onda electromagntica. En general, la polarizacin se describe por una elipse. Dos casos especiales de la polarizacin elptica son la polarizacin lineal y la polarizacin circular. La polarizacin inicial de una onda de radio es determinada por la antena. Con la polarizacin lineal, el vector del campo elctrico se mantiene en el mismo plano todo el tiempo. El campo elctrico puede dejar la antena en una orientacin vertical, horizontal, o en algn ngulo entre los dos. La radiacin polarizada verticalmente se ve ligeramente menos afectada por las reflexiones en el camino de transmisin. Las antenas omnidireccionales siempre tienen una polarizacin vertical. Con la polarizacin horizontal, tales reflexiones causan variaciones en la intensidad de la seal recibida. Las antenas horizontales tienen menos probabilidad de captar
interferencias generadas por el hombre, normalmente polarizadas verticalmente.
Pg. 78 de 177
Fecha: 24/06/2008
Figura 32. Direccin de propagacin, campo elctrico y campo magntico de una onda.
En la polarizacin circular el vector del campo elctrico aparece rotando con un movimiento circular en la direccin de la propagacin, haciendo una vuelta completa para cada ciclo de RF. Esta rotacin puede ser hacia la derecha o hacia la izquierda. La eleccin de la polarizacin es una de las elecciones de diseo disponibles para el diseador del sistema de RF. 3.3.3.1.10 Desadaptacin de polarizacin
Para transferir la mxima potencia entre una antena transmisora y una receptora, ambas antenas deben tener la misma orientacin espacial, el mismo sentido de polarizacin y el mismo coeficiente axial. Cuando las antenas no estn alineadas o no tienen la misma polarizacin, habr una reduccin en la transferencia de potencia entre ambas antenas. Esto va a reducir la eficiencia global y las prestaciones del sistema. Cuando las antenas transmisora y receptora estn polarizadas
linealmente, una desalineacin fsica entre ellas va a resultar en una prdida por desadaptacin de polarizacin, que puede ser determinada utilizando la siguiente frmula:
Prdida(dB) = 20 log(cos )
...donde es la diferencia en el ngulo de alineacin entre las dos antenas. Para 15 la prdida es de aproximadamente 0.3dB, para 30 perdemos 1.25dB, para 45 perdemos 3dB y para 90 tenemos una prdida total.
Pg. 79 de 177
Fecha: 24/06/2008
Resumiendo, cuanto ms grande la desadaptacin de polarizacin entre una antena transmisora y una receptora, ms grande la prdida aparente. 3.3.3.2 Tipos de Antenas En este apartados se expondrn los tipos de antenas que se encuentran en el mercado, en tecnologa Wi-Fi y a 2,4 GHz. Clasificaremos las antenas por su patrn de radiacin, ya que es la clasificacin ms extendida a la hora de buscar una determinada antena. Se expondrn los diagramas de radiacin campo lejano tanto vertical como horizontal, as como la ganancia y otros parmetros interesantes. 3.3.3.2.1 Omnidireccionales Este tipo de antenas irradian prcticamente igual para en todas las direcciones en el plano horizontal. Podremos encontrar antenas de este tipo con ganancias de entre 7 y 14 dB. Para antenas de 14 dBi, el ancho del haz en el plano vertical es de unos 5-6, mientras que para antenas de 7 dBi, este ancho aumenta hasta los 24. A continuacin se exponen las caractersticas y los diagramas de radiacin para antenas de 7, 9 y 12 dBi. El patrn de radiacin en el eje horizontal se omite para este caso, ya que es una circunferencia: Omnidireccional 7dBi.- Ancho del haz: 24. Longitud antena: 36 cm
Figura 33.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 9 dBi.
Fecha: 24/06/2008
Omnidireccional 9dBi.- Ancho del haz: 15. Longitud antena: 54 cm
Figura 34.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 9 dBi.
Omnidireccional 12 dBi.- Ancho del haz: 6. Longitud antena: 112.5 cm
Figura 35.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 12 dBi
3.3.3.2.2 Sectoriales Estas antenas son ampliamente utilizadas para estaciones base, ya que sectorizan la cobertura, aumentando por tanto la capacidad del canal. Una estacin base puede estar compuesta por tres de este tipos de antena (se elige una anchura del haz de 120) o por cuatro antenas (ancho del haz de 90). Este ltimo diseo es el que permite una mayor prestacin, ya que podramos utilizar
Pg. 81 de 177
Fecha: 24/06/2008
hasta cuatro canales de transmisin diferentes para cubrir las cuatro partes de una clula. En el mercado podremos encontrar antenas con variaciones en el ancho del haz horizontal que oscilan entre los 60 del ms angosto y 180 del ms ancho. Sectorial 15 dBi, Ancho del haz horizontal: 90, vertical: 8, dimensiones: 53x15 cm.
Figura 36.- Diagramas de radiacin de una antena sectorial de 15dBi de ganancia.
Sectorial 14 dBi, Ancho del haz horizontal: 120, vertical: 6, dimensiones: 100.7x12.7 cm.
Figura 37.- Diagramas de radiacin de una antena sectorial de 14dBi de ganancia.
Pg. 82 de 177
Fecha: 24/06/2008
3.3.3.2.3 Direccionales Dentro de este grupo incluiremos las antenas con un ancho de haz horizontal inferior a 60. Estas antenas permiten una alta ganancia en una determinada direccin, por lo que son usadas principalmente para enlaces punto a punto, y para dar cobertura a reas pequeas situadas a una distancia de no ms de 500 o 1000 metros de la estacin base. Dentro de este grupo podremos encontrar las antenas planares, yagi, biquad, de bocina, helicoidales, parablicas, etc. Planar 14 dBi, Ancho del haz horizontal: 30, vertical: 30, dimensiones: 19.7x19.7 cm.
Figura 38.- Diagramas de radiacin de una antena planar de 14dBi de ganancia.
Planar 17 dBi, Ancho del haz horizontal: 20, vertical: 20, dimensiones: 31.2 x 31.2 cm.
Figura 39.- Diagramas de radiacin de una antena planar de 17dBi de ganancia.
En el mercado existen muchsimos ms tipos de antenas wireless, como las parablicas, bi-quads, helicoidales, etc. La descripcin de todas ellas es
Pg. 83 de 177
Fecha: 24/06/2008
demasiado amplia como para ser incluido en el presente proyecto. Es fcil buscar informacin sobre las mismas en la red. 3.3.4 Linksys WRT54GL v1.1 como punto de acceso En este apartado se describirn las caractersticas de este punto de acceso del fabricante Linksys (filial de Cisco) que han llevado a que sea elegido para el presente proyecto. Hace uso de un sistema operativo embebido Linux, por lo que varios grupos de desarrollo han puesto a disposicin de los usuarios firmwares que lo dotan de multitud de nuevas funcionalidades, las cuales hace que pueda compararse a puntos de acceso de alta gama. 3.3.4.1 Historia En el ao 2003, Linksys lanza al mercado un punto de acceso, el WRT54G, el cual se anticipaba al estndar 802.11g y permita hacer conexiones inalmbricas a 54 Mbps frente a los 11 Mbps de 802.11b. Aparte de esta caracterstica, por lo dems este punto de acceso era bastante normal, sin ninguna funcionalidad adicional de las que ya posean de por s los routers que se encontraban en el mercado en ese momento (excepto por la posibilidad de unir la parte inalmbrica con la cableada, a travs de los 4 puertos ethernet que posea). En Junio de 2003, varios grupos de desarrollo descubren que el firmware de este dispositivo estaba basado en varios componentes de Linux. Ya que este sistema operativo posee licencia GPL, Linksys se vio obligado a liberar el cdigo fuente del firmware a todo aquel que lo quisiera. Aunque en un principio se resisti, finalmente tuvo que ceder por presiones externas, ya que la licencia GPL es clara en este aspecto. Anteriormente los firmwares posean software propietario y no era posible acceder a los mismos para su modificacin. A raz de la divulgacin del cdigo fuente para este dispositivo, surgieron varios grupos de desarrollo, los cuales pusieron a disposicin de todo aquel que lo quisiera diferentes versiones de firmware para este dispositivo, que aadan
Fecha: 24/06/2008
funcionalidades al punto de acceso. Un corto resumen de las funcionalidades que se aaden mediante estos firmwares son: Posibilidad de usar el punto de acceso como repetidor o como puente de otro. Crear una red de distribucin wireless (WDS). Esta es la principal funcionalidad que se ha usado para este proyecto. Crear redes mesh. Correr en el propio punto de acceso un servidor VPN, o un servidor VoIP. Administrar un hotspot con un servidor Radius. Administrar el uso del ancho de banda por protocolo. Priorizar por tipo de trfico o usuario. Soporte para IPv6. Controlar la potencia de la antena, incluso aumentarla. Acceder remotamente al punto de acceso, mediante SSH, telnet, Web, etc. Ejecutar multitud de software para Linux, como Kismet, freeradius, etc. Posibilidad de instalar una memoria MMC externa. Un largo etc. 3.3.4.2 Firmwares disponibles Hay muchos firmwares disponibles para este punto de acceso. Debe tenerse especial cuidado con el modelo del punto de acceso en la que se ha de instalar, ya que la memoria disponible vara segn el modelo. Aquellos que slo
Fecha: 24/06/2008
tengan 2 MBytes, se vern obligados a usar un reducido grupo de firmwares, llamados mini, que slo poseen las funcionalidades ms importantes para poder compilarse en 2 MB. Estos firmwares estn disponibles no slo para los puntos de acceso linksys WRT54, sino para muchos otros que tambin hacen uso de un Linux embebido como Sistema Operativo. Los ms usados actualmente se describen a continuaci: OpenWRT.-Quizs este firmware fue uno de los primeros proyectos en llevarse a cabo, estando los dems en mayor o menor parte basados en este. Toda la informacin referente a este firmware puede observarse en http://openwrt.org/. Dd-WRT. Este es el firmware con el que se han flasheado los puntos de acceso utilizados en el presente proyecto, ya que ofrecen todas las funcionalidades usadas con una estabilidad sobresaliente. Toda la informacin de este firmware puede encontrase en http://www.ddwrt.com. Sveasoft. Quizs esta compaa fue la que populariz ms sus firmwares y con ello los puntos de acceso que podan usarlo. Se desarrollaron los firmwares llamados Talismn y Alchemy. Pueden descargarse desde http://www.sveasoft.com/.
Pg. 86 de 177
Fecha: 24/06/2008
4 Seguridad y privacidad wireless

En este apartado hablaremos de las medidas de seguridad existentes en redes wireless, distinguiendo dos conceptos: Seguridad y privacidad. Privacidad.- Se entiende por privacidad la capacidad del sistema para proteger los datos que un usuario transmite por la red, permitiendo que slo sea entendible por el destinatario y no por cualquiera que est interceptando el trfico. Una medida para garantizar la privacidad de una red wireless es hacer uso de encriptacin, como WPA. Todo aquel que no posea la clave de encriptacin de la red no podr desencriptar los datos. En cambio todos los usuarios que compartan la misma clave, no tendrn asegurada la privacidad entre ellos. Seguridad.- Se entiende por seguridad la capacidad que tiene el sistema de resistir ataques de un usuario (interno o externo al sistema) que le permitan acceder a servicios o a recursos a los que no se le est permitido. Por ejemplo, un usuario puede tener permisos para utilizar la red local pero no se le permite la conexin a Internet. Los mecanismos de seguridad son los que controlan que este usuario no pueda hacerlo. Aunque conceptualmente est bien clara la diferencia entre privacidad y seguridad, en la prctica estn muy relacionadas. El ejemplo lo tenemos en que si un usuario que est escuchando el canal es capaz de descifrar la clave de encriptacin WEP o WPA, si no tenemos ninguna medida de seguridad, ste ser capaz de infiltrarse en nuestra red, comprometiendo de esta manera la seguridad de la misma.
4.1
Mecanismos de privacidad existentes
4.1.1 Introduccin Aunque dispongamos de mecanismos que aseguren la privacidad en una red inalmbrica, cuando la informacin se enva a un destino externo a la red,
Fecha: 24/06/2008
sta pasa por infinidad de redes que pueden no ser seguras, por lo que el nico mecanismo que asegura la privacidad desde el origen hasta el destino es la encriptacin fuerte de extremo a extremo. Las tcnicas de encriptacin como WEP y WPA intentan mantener la privacidad en la capa dos, la capa de enlace de datos. Aunque stas nos protegen de los fisgones en la conexin inalmbrica, la proteccin termina en el punto de acceso. Si el cliente inalmbrico usa protocolos inseguros (como POP o SMTP para recibir y enviar correos electrnicos), entonces los usuarios que estn ms all del AP pueden registrar la sesin y ver los datos importantes. Adems, WEP tambin tiene la debilidad de utilizar claves privadas compartidas. Esto significa que los usuarios legtimos de la red pueden escucharse unos a otros, ya que todos conocen la clave privada. Utilizando encriptacin en el extremo remoto de la conexin, los usuarios pueden eludir completamente el problema. Estas tcnicas funcionan muy bien an en redes pblicas, donde los fisgones estn oyendo y posiblemente manipulando los datos que vienen del punto de acceso. Para asegurar la privacidad de los datos, una buena encriptacin de extremo a extremo debe ofrecer las siguientes caractersticas: a) Autenticacin verificada del extremo remoto. El usuario debe ser capaz de conocer sin ninguna duda que el extremo remoto es el que dice ser. Sin autenticacin, un usuario puede darle datos importantes a cualquiera que afirme ser el servicio legtimo. b) Mtodos fuertes de encriptacin. El algoritmo de encriptacin debe ser puesto al escrutinio del pblico, y no debe ser fcil de descifrar por un tercero. El uso de mtodos de encriptacin no publicados no ofrece seguridad, y una encriptacin fuerte lo es an ms si el algoritmo es ampliamente conocido y sujeto a la revisin de los pares. Un buen algoritmo con una clave larga y adecuadamente protegida, puede
Fecha: 24/06/2008
ofrecer encriptacin imposible de romper aunque hagamos cualquier esfuerzo utilizando la tecnologa actual. c) Criptografa de clave pblica. Aunque no es un requerimiento absoluto para la encriptacin de extremo a extremo, el uso de criptografa de clave pblica en lugar de una clave compartida, puede asegurar que los datos personales de los usuarios se mantengan privados, an si la clave de otro usuario del servicio se ve comprometida. Esto tambin resuelve ciertos problemas con la distribucin de las claves a los usuarios a travs de una red insegura. d) Encapsulacin de datos. Un buen mecanismo de encriptacin de extremo a extremo protege tantos datos como sea posible. Esto puede ir desde encriptar una sencilla transaccin de correo electrnico, a encapsular todo el trfico IP, incluyendo bsquedas en servidores DNS y otros protocolos de soporte. Algunas herramientas de encriptacin proveen un canal seguro que tambin pueden utilizar otras aplicaciones. Esto permite que los usuarios corran cualquier programa que ellos quieran y an tengan la proteccin de una fuerte encriptacin, aunque los programas no la soporten directamente. En este proyecto se ha utilizado este tipo de proteccin para la autenticacin de los usuarios, de forma que ni los propios usuarios entre s puedan averiguar las claves que usan otros usuarios para acceder al servicio. En concreto, se ha utilizado la encriptacin SSL, la cual se detalla en el siguiente apartado. 4.1.1.1 SSL La tecnologa de encriptacin de extremo a extremo ms accesible es Secure Socket Layer conocida simplemente como SSL por su sigla en ingls. Incluida en casi todos los navegadores web, SSL utiliza criptografa de clave pblica e infraestructura de clave pblica confiable (PKI por su sigla en ingls),
Pg. 89 de 177
Fecha: 24/06/2008
para asegurar las comunicaciones de datos en la Web. Cada vez que se visita la URL de una Web que comienza con https, se est usando SSL. La implementacin SSL provista en los navegadores Web incluye un conjunto de certificados de fuentes confiables, denominados autoridades certificadoras (CA). Estos certificados son claves criptogrficas que se utilizan para verificar la autenticidad de los sitios Web. Cuando se navega por un sitio que utiliza SSL, el navegador y el servidor primero intercambian certificados. Luego el navegador verifica que el certificado brindado por el servidor concuerde con el nombre en su servidor DNS, que no haya expirado, y que est firmado por una autoridad certificadora confiable. Opcionalmente el servidor verifica la identidad del certificado del navegador. Si los certificados son aprobados, el navegador y el servidor negocian la clave de sesin maestra utilizando los certificados intercambiados anteriormente para protegerla. Dicha clave se usa para encriptar todas las comunicaciones hasta que el navegador se desconecte. Este tipo de encapsulamiento de datos es conocido como tnel. El uso de certificados con una PKI no solo protege a la comunicacin de los fisgones, sino que tambin evita los ataques del llamado hombre en el medio (MITM por su sigla en ingls). En un ataque del hombre en el medio, un usuario mal intencionado intercepta una comunicacin entre el navegador y el servidor. Presentndoles certificados falsos a ambos, puede mantener dos sesiones encriptadas al mismo tiempo. Puesto que este usuario conoce el secreto de ambas conexiones, es trivial observar y manipular los datos que estn pasando entre el servidor y el navegador. Sin una infraestructura de clave pblica para verificar la autenticidad de las claves, la encriptacin fuerte por si sola no podra protegernos de este tipo de ataque. El uso de una buena PKI previene este tipo de ataque. Para tener xito el usuario con malas intenciones debera presentar un certificado al cliente, que estuviera firmado por una autoridad certificadora. A menos que la CA haya sido
Pg. 90 de 177
Fecha: 24/06/2008
comprometida (muy poco probable) o que el usuario pueda ser engaado para aceptar el certificado falso, este tipo de ataque es infructuoso. SSL no slo se utiliza para navegar en la Web. Los protocolos de correo electrnico como IMAP, POP, y SMTP (que son bastante inseguros) pueden asegurarse envolvindolos en un tnel SSL. La mayora de los clientes de correo electrnico actuales soportan IMAPS y POPS (IMAP y POP seguros), as como SMTP protegido con SSL/TLS. Si su servidor de correo no provee soporte SSL, de todas formas puede asegurarlo con SSL utilizando un paquete como Stunnel (http://www.stunnel.org/). SSL puede utilizarse para asegurar de forma efectiva casi cualquier servicio que corra sobre TCP. 4.1.2 WEP 4.1.2.1 Introduccin WEP, acrnimo de Wired Equivalent Privacy, es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la informacin que se transmite. Proporciona un cifrado a nivel 2. Est basado en el algoritmo de cifrado RC4, y utiliza claves de 64 bits (40 bits ms 24 bits del vector de iniciacin IV) o de 128 bits (104 bits ms 24 bits del IV). Los mensajes de difusin de las redes inalmbricas se transmiten por ondas de radio, por lo que son ms susceptibles de ser captadas por cualquiera que las redes cableadas. Cuando fue presentado en 1999, el sistema WEP fue requerido para proporcionar una confidencialidad comparable a la de una red tradicional cableada. A pesar de existir otros protocolos de cifrado mucho menos vulnerables y eficaces, como pueden ser WPA o el WPA2, el protocolo WEP sigue siendo muy popular y posiblemente el ms utilizado. Esto es debido a que WEP es fcil de configurar y cualquier sistema con el estndar 802.11 lo soporta. Sin embargo no ocurre lo mismo con otros protocolos tal y como WPA, que no es soportado por muchos dispositivos antiguos. El hardware moderno pasa entonces a utilizar el
Pg. 91 de 177
Fecha: 24/06/2008
modelo de seguridad WEP para poder interactuar con este hardware antiguo. Esto se da principalmente en las videoconsolas con conexin a Internet. 4.1.2.2 Funcionamiento 4.1.2.2.1 Encriptacin WEP utiliza el algoritmo RC4 para la encriptacin con llaves de 64 bits, aunque existe tambin la posibilidad de utilizar llaves de 128 bits. Veremos que en realidad son 40 y 104 bits, ya que los otros 24 van en el paquete como Vector de Inicializacin (IV). La llave de 40 104 bits, se genera a partir de una clave (passphrase) esttica de forma automtica, aunque existe software que permite introducir esta llave manualmente. La clave o passphrase debe ser conocida por todos los clientes que quieran conectarse a la red wireless que utiliza WEP. Esto implica que muchas veces se utilice una clave fcil de recordar y que no se cambie de forma frecuente. A partir de la clave o passphrase se generan 4 llaves de 40 bits, slo una de ellas se utilizar para la encriptacin WEP. Este es el proceso que se realiza para generar las llaves:
Figura 40. Generacin de las llaves para la encriptacin WEP
Se hace una operacin XOR con la cadena ASCII (My Passphrase) que queda transformada en una semilla de 32 bits que utilizar el generador de
Pg. 92 de 177
Fecha: 24/06/2008
nmeros pseudoaleatorios (PRNG) para generar 40 cadenas de 32 bits cada una. Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una llave y se generan 4 llaves de 40 bits. De estas 4 llaves slo se utilizar una para realizar la encriptacin WEP. Para generar una trama encriptada con WEP se sigue el siguiente proceso: 1. Partimos de la trama que se quiere enviar. Esta trama sin cifrar est compuesta por una cabecera (Header) y contiene unos datos (Payload). El primer paso es calcular el CRC de 32 bits del payload de la trama que se quiere enviar. El CRC es un algoritmo que genera un identificador nico del payload en concreto, que nos servir para verificar que el payload recibido es el mismo que el enviado, ya que el resultado del CRC ser el mismo. Aadimos este CRC a la trama como valor de chequeo de integridad (ICV: Integrity Check Value) 2. Por otro lado, tenemos la clave elegida a la que se le aade el vector de inicializacin (IV). Aplicamos el algoritmo RC4 al conjunto IV+Key y conseguiremos el keystream o flujo de llave. 3. Realizando una operacin XOR con este keystream y el conjunto Payload+ICV obtendremos el Payload+CRC cifrado.
IV Key number RC4
Payload
Payload
IV Key number Payload CRC XOR Encriptado No encriptado
ICV
Figura 41. Esquema de encriptacin de datos mediante WEP
CRC
Pg. 93 de 177
Fecha: 24/06/2008
4. Despus aadimos la cabecera y el IV+Keynumber sin cifrar. As queda la trama definitiva lista para ser enviada. 4.1.2.2.2 Desencriptacin A la hora de desencriptar los datos recibidos, basta con conocer la frase de paso compartida (passphrase) y realizar los pasos contrarios a la encriptacin. Veamos estos pasos: 1. Obtenemos el IV y el Key number de la trama, ya que vienen en texto plano. Ya tenemos los 64 bits que componen la llave. 2. Aplicando RC4 a esta llave obtenemos el keystream vlido para obtener la trama en claro (plaintext) realizando una XOR con el Payload+CRC cifrados y la llave completa. 3. Calculamos el CRC al payload en texto plano y comparamos con el CRC recibido.
Payload CRC IV Key number
IV
Key number
RC4 ICV Payload CRC XOR Encriptado No encriptado CRC CRC = CRC
Figura 42. Esquema de desencriptacin de datos mediante WEP
4.1.2.3 Vulnerabilidades WEP Comenzando en 2001, varias debilidades serias fueron identificadas por analistas criptogrficos, como consecuencia hoy en da una proteccin WEP puede ser violada con software fcilmente accesible en pocos minutos. Unos meses ms tarde el IEEE cre la nueva correccin de seguridad 802.11i para
Pg. 94 de 177
Fecha: 24/06/2008
neutralizar los problemas. Hacia 2003, la Alianza Wi-Fi anunci que WEP haba sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con la ratificacin del estndar completo 802.11i (conocido como WPA2), el IEEE declar que tanto WEP-40 como WEP-104 "han sido desaprobados al fallar en alcanzar sus propsitos de seguridad. En la tabla 5 se muestra la cronologa de vulnerabilidades y ataque que se han ido sucedido hasta llegar a la llamada muerte de WEP.
Tabla 5. Cronologa de ataques realizados a la encriptacin WEP
Describir
matemticamente
cules
son
las
vulnerabilidades
ms
importantes de WEP queda fuera del alcance de este proyecto, aunque puede encontrarse mucha informacin en Internet al respecto e incluso los estudios originales de las personas que demostraron dichas vulnerabilidades. En cambio, mencionaremos a modo de resumen las vulnerabilidades ms importantes (informacin detallada puede obtenerse de http://www.hakin9.org/): Debilidades del algoritmo RC4 dentro del protocolo WEP debido a la construccin de la clave. Los IVs son demasiado cortos (24 bits hacen falta menos de 5000 paquetes para tener un 50% de posibilidades de dar con la clave) y se
Fecha: 24/06/2008
permite la reutilizacin de IV (no hay proteccin contra la repeticin de mensajes). No existe una comprobacin de integridad apropiada (se utiliza CRC32 para la deteccin de errores y no es criptogrficamente seguro por su linealidad), No existe un mtodo integrado de actualizacin de las claves. 4.1.3 WPA y WPA2 En enero de 2001, el grupo de trabajo i task group fue creado en IEEE para mejorar la seguridad en la autenticacin y la encriptacin de datos. En abril de 2003, la Wi-Fi Alliance realiz una recomendacin para responder a las preocupaciones empresariales ante la seguridad inalmbrica. Sin embargo, eran conscientes de que los clientes no querran cambiar sus equipos. En junio de 2004, la edicin final del estndar 802.11i fue adoptada y recibi el nombre comercial WPA2 por parte de la alianza Wi-Fi. El estndar IEEE 802.11i introdujo varios cambios fundamentales, como la separacin de la autenticacin de usuario de la integridad y privacidad de los mensajes, proporcionando una arquitectura robusta y escalable, que sirve igualmente para las redes locales domsticas como para los grandes entornos de red corporativos. La nueva arquitectura para las redes wireless se llama Robust Security Network (RSN) y utiliza autenticacin 802.1X, distribucin de claves robustas y nuevos mecanismos de integridad y privacidad. Adems de tener una arquitectura ms compleja, RSN proporciona soluciones seguras y escalables para la comunicacin inalmbrica. Una RSN slo aceptar mquinas con capacidades RSN, pero IEEE 802.11i tambin define una red transicional de seguridad Transitional Security Network (TSN), arquitectura en la que pueden participar sistemas RSN y WEP, permitiendo a los
Pg. 96 de 177
Fecha: 24/06/2008
usuarios actualizar su equipo en el futuro. Si el proceso de autenticacin o asociacin entre estaciones utiliza 4-Way handshake, la asociacin recibe el nombre de RSNA (Robust Security Network Association). El establecimiento de un contexto seguro de comunicacin consta de cuatro fases (ver Figura 43): 1. Acuerdo sobre la poltica de seguridad. 2. Autenticacin 802.1X. 3. Derivacin y distribucin de las claves. 4. Confidencialidad e integridad de los datos RSNA.
Figura 43.- Fases para el establecimiento de un contexto seguro
4.1.3.1 Fase 1: Acuerdo sobre la poltica de seguridad La primera fase requiere que los participantes estn de acuerdo sobre la poltica de seguridad a utilizar. Las polticas de seguridad soportadas por el punto de acceso son mostradas en un mensaje Beacon o Probe Response (despus de un Probe Request del cliente). Sigue a esto una autenticacin abierta estndar (igual que en las redes TSN, donde la autenticacin siempre tiene xito). La respuesta del cliente se incluye en el mensaje de Association Request validado por una Association Response del punto de acceso. La
Fecha: 24/06/2008
informacin sobre la poltica de seguridad se enva en el campo RSN IE (Information Element) y detalla: Los mtodos de autenticacin soportados (802.1X, Pre-Shared Key (PSK)). Protocolos de seguridad para el trfico unicast (CCMP, TKIP etc.) la suit criptogrfica basada en pares. Protocolos de seguridad para el trfico multicast (CCMP, TKIP etc.) suit criptogrfica de grupo. Soporte para la pre-autenticacin, que permite a los usuarios preautenticarse antes de cambiar de punto de acceso en la misma red para un funcionamiento sin retrasos.
Figura 44.- Fase 1: Acuerdo sobre la poltica de seguridad
4.1.3.2 Fase 2: autenticacin 802.1X La segunda fase es la autenticacin 802.1X basada en EAP y en el mtodo especfico de autenticacin decidido: EAP/TLS con certificados de cliente y servidor (requiriendo una infraestructura de claves pblicas), EAP/TTLS o PEAP para autenticacin hbrida (con certificados slo requeridos para servidores), etc. La autenticacin 802.1X se inicia cuando el punto de acceso pide datos de identidad del cliente, y la respuesta del cliente incluye el mtodo de autenticacin preferido. Se intercambian entonces mensajes apropiados entre
Fecha: 24/06/2008
el cliente y el servidor de autenticacin para generar una clave maestra comn (MK). Al final del proceso, se enva desde el servidor de autenticacin al punto de acceso un mensaje Radius Accept, que contiene la MK y un mensaje final EAP Success para el cliente.
Figura 45.- Fase 2: autenticacin 802.1X
4.1.3.3 Fase 3: Jerarqua y distribucin de claves La seguridad de la conexin se basa en gran medida en las claves secretas. En RSN, cada clave tiene una vida determinada y la seguridad global se garantiza utilizando un conjunto de varias claves organizadas segn una jerarqua. Cuando se establece un contexto de seguridad tras la autenticacin exitosa, se crean claves temporales de sesin y se actualizan regularmente hasta que se cierra el contexto de seguridad.
Figura 46.- Fase 3: Jerarqua y distribucin de claves
Pg. 99 de 177
Fecha: 24/06/2008
La generacin y el intercambio de claves es la meta de la tercera fase. Durante la derivacin de la clave, se producen dos handshakes o negociaciones (vase Figura 46): 4-Way Handshake para la derivacin de la PTK (Pairwise Transient Key) y GTK (Group Transient Key). Group Key Handshake para la renovacin de GTK. La derivacin de la clave PMK (Pairwise Master Key) depende del mtodo de autenticacin: Si se usa una PSK (Pre-Shared Key), PMK = PSK. La PSK es generada desde una passphrase (de 8 a 63 caracteres) o una cadena de 256-bit y proporciona una solucin para redes domsticas o pequeas empresas que no tienen servidor de autenticacin. Si se usa un servidor de autenticacin, la PMK es derivada de la MK de autenticacin 802.1X. La PMK en si misma no se usa nunca para la encriptacin o la comprobacin de integridad. Al contrario, se usa para generar una clave de encriptacin temporal (para el trfico unicast esta es la PTK, Pairwise Transient Key). La longitud de la PTK depende el protocolo de encriptacin: 512 bits para TKIP y 384 bits para CCMP. La PTK consiste en varias claves temporales dedicadas: KCK (Key Confirmation Key 128 bits): Clave para la autenticacin de mensajes (MIC) durante el 4-Way Handshake y el Group Key Handshake. KEK (Key Encryption Key 128 bits): Clave para asegurar la confidencialidad de los datos durante el 4-Way Handshake y el Group Key Handshake.
Pg. 100 de 177
Fecha: 24/06/2008
TK (Temporary Key 128 bits): Clave para encriptacin de datos (usada por TKIP o CCMP).
TMK (Temporary MIC Key 2x64 bits): Clave para la autenticacin de datos (usada slo por Michael con TKIP). Se usa una clave dedicada para cada lado de la comunicacin.
Figura 47.- Fase 3: jerarqua de clave por parejas
El 4-Way Handshake, iniciado por el punto de acceso, hace posible: Confirmar que el cliente conoce la PMK. Derivar una PTK nueva. Instalar claves de encriptacin e integridad. Encriptar el transporte de la GTK. Confirmar la seleccin de la suite de cifrado. Se intercambian cuatro mensajes EAPOL-Key entre el cliente y el punto de acceso durante el 4-Way Handshake. Esto se muestra en la Figura 48.
Pg. 101 de 177
Fecha: 24/06/2008
La PTK se deriva de la PMK, una cadena fija, la direccin MAC del punto de acceso, la direccin MAC del cliente y dos nmeros aleatorios (ANonce y SNonce, generados por el autenticador y el suplicante, respectivamente). El punto de acceso inicia el primer mensaje seleccionando el nmero aleatorio ANonce y envindoselo al suplicante, sin encriptar el mensaje o protegerlo de las trampas. El suplicante genera su propio nmero aleatorio SNonce y ahora puede calcular la PTK y las claves temporales derivadas, as que enva el SNonce y la clave MIC calculada del segundo mensaje usando la clave KCK. Cuando el autenticador recibe el segundo mensaje, puede extraer el SNonce (porque el mensaje no est encriptado) y calcular la PTK y las claves temporales derivadas. Ahora puede verificar el valor de MIC en el segundo mensaje y estar seguro de que el suplicante conoce la PMK y ha calculado correctamente la PTK y las claves temporales derivadas. El tercer mensaje enviado por el autenticador al suplicante contiene el GTK (encriptada con la clave KEK), derivada de un GMK aleatorio y GNonce , junto con el MIC calculado del tercer mensaje utilizando la clave KCK. Cuando el suplicante recibe este mensaje, el MIC se comprueba para asegurar que el autenticador conoce el PMK y ha calculado correctamente la PTK y derivado claves temporales.
Figura 48.- Fase 3: 4-Way Handshake
Pg. 102 de 177
Fecha: 24/06/2008
El ltimo mensaje certifica la finalizacin del handshake e indica que el suplicante ahora instalar la clave y empezar la encriptacin. Al recibirlo, el autenticador instala sus claves tras verificar el valor MIC. As, el sistema mvil y el punto de acceso han obtenido, calculado e instalado unas claves de integridad y encriptacin y ahora pueden comunicarse a travs de un canal seguro para trfico unicast y multicast. El trfico multicast se protege con otra clave: GTK (Group Transient Key), generada de una clave maestra llamada GMK (Group Master Key), una cadena fija, la direccin MAC del punto de acceso y un nmero aleatorio GNonce. La longitud de GTK depende del protocolo de encriptacin (256 bits para TKIP y128 bits para CCMP). GTK se divide en claves temporales dedicadas (Figura 49): GEK (Group Encryption Key): Clave para encriptacin de datos (usada por CCMP para la autenticacin y para la encriptacin, y por TKIP). GIK (Group Integrity Key): Clave para la autenticacin de datos (usada solamente por Michael con TKIP).
Figura 49.- Fase 3: jerarqua de Group Key
Pg. 103 de 177
Fecha: 24/06/2008
Se intercambian dos mensajes EAPOL-Key entre el cliente y el punto de acceso durante el Group Key Handshake. Este handshake hace uso de claves temporales generadas durante el 4-Way Handshake (KCK y KEK). El proceso se muestra en la Figura 50. El Group Key Handshake slo se requiere para la disasociacin de una estacin o para renovar la GTK, a peticin del cliente. El autenticador inicia el primer mensaje escogiendo el nmero aleatorio GNonce y calculando una nueva GTK. Enva la GTK encriptada (usando KEK), el nmero de secuencia de la GTK y el MIC calculado de este mensaje usando KCK al suplicante. Cuando el mensaje es recibido por el suplicante, se verifica el MIC y la GTK puede ser desencriptada.
Figura 50.- Fase 3: Group Key Handshake
El segundo mensaje certifica la finalizacin del Group Key Handshake enviando el nmero de secuencia de GTK y el MIC calculado en este segundo mensaje. Al ser recibido este, el autenticador instala la nueva GTK (tras verificar el valor MIC). 4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA Todas las claves generadas anteriormente se usan en protocolos que soportan la confidencialidad e integridad de datos RSNA:
Pg. 104 de 177
Memoria del proyecto TKIP (Temporal Key Hash).
Fecha: 24/06/2008
CCMP (Counter-Mode / Cipher Block Chaining Message Authentication Code Protocol). WRAP (Wireless Robust Authenticated Protocol). Hay un concepto importante que debe ser entendido antes de detallar estos protocolos: la diferencia entre MSDU (MAC Service Data Unit) y MPDU (MAC Protocol Data Unit). Ambos trminos se refieren a un slo paquete de datos, pero MSDU representa a los datos antes de la fragmentacin, mientras las MPDUs son mltiples unidades de datos tras la fragmentacin. La diferencia es importante en TKIP y en el protocolo de encriptacin CCMP, ya que en TKIP el MIC se calcula desde la MSDU, mientras que en CCMP se calcula desde MPDU.
Figura 51.- Esquema y encriptacin de TKIP Key-Mixing
Al igual que WEP, TKIP est basada en el algoritmo de encriptacin RC4, pero esto es as tan slo por un motivo: permitir a los sistemas WEP la actualizacin para instalar un protocolo ms seguro. TKIP se requiere para la certificacin WPA y se incluye como parte de RSN 802.11i como una opcin.
Pg. 105 de 177
Fecha: 24/06/2008
TKIP aade medidas correctoras para cada una de las vulnerabilidades de WEP descritas en el apartado de vulnerabilidades WEP: Integridad de mensaje: un nuevo MIC (Message Integrity Code) basado en el algoritmo Michael puede ser incorporado en el software para microprocesadores lentos. IV: nuevas reglas de seleccin para los valores IV, reutilizando IV como contador de repeticin (TSC, o TKIP Sequence Counter) e incrementando el valor del IV para evitar la reutilizacin.
Figura 52.- Computacin de MIC utilizando el algoritmo Michael
Per Packet Key Mixing: para unir claves de encriptacin aparentemente inconexas. Gestin de claves: nuevos mecanismos para la distribucin y modificacin de claves. TKIP Key-Mixing Scheme se divide en dos fases. La primera se ocupa de los datos estticos (clave TEK de sesin secreta, el TA de la direccin MAC del transmisor (incluido para prevenir colisiones IV) y los 32 bits ms altos del IV). La fase 2 incluye el resultado de la fase 1 y los 16 bits ms bajos del IV, cambiando todos los bits del campo Per Packet Key para cada nuevo IV. El valor IV siempre empieza en 0 y es incrementado de uno en uno para cada paquete enviado, y los mensajes cuyo TSC no es mayor que el del ltimo mensaje son rechazados. El resultado de la fase 2 y parte del IV extendido (adems de un bit dummy) componen la entrada para RC4, generando un flujo de clave que es XOR-eado con el MPDU de slo texto, el MIC calculado del MPDU y el viejo ICV de WEP (ver Figura 51).
Pg. 106 de 177
Fecha: 24/06/2008
La computacin del MIC utiliza el algoritmo Michael de Niels Ferguson. Se cre para TKIP y tiene un nivel de seguridad de 20 bits (el algoritmo no utiliza multiplicacin por razones de rendimiento, porque debe ser soportado por el viejo hardware de red para que pueda ser actualizado a WPA). Por esta limitacin, se necesitan contramedidas para evitar la falsificacin del MIC. Los fallos de MIC deben ser menores que 2 por minuto, o se producir una desconexin de 60 segundos y se establecern nuevas claves GTK y PTK tras ella. Michael calcula un valor de comprobacin de 8 octetos llamado MIC y lo aade a la MSDU antes de la transmisin. El MIC se calcula de la direccin origen (SA), direccin de destino (DA), MSDU de slo texto y la TMK apropiada (dependiendo del lado de la comunicacin, se utilizar una clave diferente para la transmisin y la recepcin). CCMP se basa en la suite de cifrado de bloques AES (Advanced Encryption Standard) en su modo de operacin CCM, con la clave y los bloques de 128 bits de longitud. AES es a CCMP lo que RC4 a TKIP, pero al contrario que TKIP, que se dise para acomodar al hardware WEP existente, CCMP no es un compromiso, sino un nuevo diseo de protocolo. CCMP utiliza el counter mode junto a un mtodo de autenticacin de mensajes llamado Cipher Block Chaining (CBC-MAC) para producir un MIC.
Figura 53.- Encriptacin CCMP
Pg. 107 de 177
Fecha: 24/06/2008
Se aadieron algunas caractersticas interesantes, como el uso de una clave nica para la encriptacin y la autenticacin (con diferentes vectores de inicializacin), el cubrir datos no encriptados por la autenticacin. El protocolo CCMP aade 16 bytes al MPDU, 8 para el encabezamiento CCMP y 8 para el MIC. El encabezamiento CCMP es un campo no encriptado incluido entre el encabezamiento MAC y los datos encriptados, incluyendo el PN de 48-bits (Packet Number = IV Extendido) y la Group Key KeyID. El PN se incrementa de uno en uno para cada MPDU subsiguiente. La computacin de MIC utiliza el algoritmo CBC-MAC que encripta un bloque nonce de inicio (computado desde los campos de Priority, la direccin fuente de MPDU y el PN incrementado) y hace XORs sobre los bloques subsiguientes para obtener un MIC final de 64 bits (el MIC final es un bloque de 128-bits, ya que se descartan los ltimos 64 bits). El MIC entonces se aade a los datos de texto para la encriptacin AES en modo contador. El contador se construye de un nonce similar al del MIC, pero con un campo de contador extra inicializado a 1 e incrementado para cada bloque. El ltimo protocolo es WRAP, basado tambin en AES pero utilizando el esquema de encriptacin autenticada OCB (Offset Codebook Mode encriptacin y autenticacin en la misma operacin). OCB fue el primer modo elegido por el grupo de trabajo de IEEE 802.11i, pero se abandon por motivos de propiedad intelectual y posibles licencias. Entonces se adopt CCMP como obligatorio. 4.1.3.5 Vulnerabilidades WPA Aunque se han descubierto algunas pequeas debilidades en WPA/WPA2 desde su lanzamiento, ninguna de ellas es peligrosa si se siguen unas mnimas recomendaciones de seguridad.
Pg. 108 de 177
Fecha: 24/06/2008
La vulnerabilidad ms prctica es el ataque contra la clave PSK de WPA/WPA2. Como ya hemos dicho, la PSK proporciona una alternativa a la generacin de 802.1X PMK usando un servidor de autenticacin. Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada para generar una cadena utilizando un algoritmo conocido: PSK = PMK = PBKDF2(frase, SSID, SSID length, 4096, 256), donde PBKDF2 es un mtodo utilizado en PKCS#5, 4096 es el nmero de hashes y 256 la longitud del resultado. La PTK es derivada de la PMK utilizando el 4-Way Handshake y toda la informacin utilizada para calcular su valor se transmite en formato de texto. La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la solidez de la frase. Como indica Robert Moskowitz, el segundo mensaje del 4-Way Handshake podra verse sometido a ataques de diccionario o ataques offline de fuerza bruta. La utilidad cowpatty se cre para aprovechar este error, y su cdigo fuente fue usado y mejorado por Christophe Devine en Aircrack para permitir este tipo de ataques sobre WPA. El diseo del protocolo (4096 para cada intento de frase) significa que el mtodo de la fuerza bruta es muy lento (unos centenares de frases por segundo con el ltimo procesador simple). La PMK no puede ser pre-calculada (y guardada en tablas) porque la frase de acceso est codificada adicionalmente segn la ESSID. Una buena frase que no est en un diccionario (de unos 20 caracteres) debe ser escogida para protegerse eficazmente de esta debilidad. Para hacer este ataque, el atacante debe capturar los mensajes de 4-Way Handshake monitorizando pasivamente la red inalmbrica o utilizar el ataque de desautenticacin para acelerar el proceso. La otra debilidad WPA es una posibilidad de Negacin del Servicio durante el 4-Way Handshake. Changhua He y John C. Mitchell se dieron cuenta
Pg. 109 de 177
Fecha: 24/06/2008
de que el primer mensaje del 4-Way Handshake no est autenticado, y cada cliente tiene que guardar cada primer mensaje hasta que reciban un tercer mensaje vlido (firmado), dejando al cliente potencialmente vulnerable ante el agotamiento de memoria. Haciendo un spoofing del primer mensaje enviado por el punto de acceso, un atacante podra realizar un ataque DoS sobre el cliente si es posible que existan varias sesiones simultneas. El cdigo de integridad de mensajes Michael tiene tambin debilidades conocidas que provienen de su propio diseo (forzado por el grupo de trabajo de 802.11i). La seguridad de Michael se basa en que la comunicacin est encriptada. Aunque los MICs criptogrficos estn generalmente diseados para resistir a este tipo de ataques de texto conocidos (donde el atacante tiene un mensaje de texto y su MIC), Michael es vulnerable a estos ataques, porque es invertible. Si se le da un slo mensaje y su valor MIC, se puede descubrir la clave secreta de MIC, as que mantener el secreto del valor de MIC es crtico. La debilidad final conocida es la posibilidad terica de un ataque contra el Temporal Key Hash de WPA, que implica una complejidad de ataque reducida (de 128 a 105) bajo ciertas circunstancias (conocimiento de varias claves RC4). WPA/WPA2 se ven sometidas a vulnerabilidades que afectan a otros mecanismos estndar de 802.11i, como son los ataques con spoofing de mensajes 802.1X (EAPoL Logoff, EAPoL Start, EAP Failure etc.), descubiertos por primera vez por William A. Arbaugh y Arunesh Mishra y posibles gracias a una falta de autenticacin. Por ltimo, es importante destacar que el uso del protocolo WPA/WPA2 no tiene proteccin alguna frente a ataques sobre las tecnologas en que se basan, como puede ser la intercepcin de frecuencias de radio, Negacin del Servicio a travs de violaciones de 802.11, de-autenticacin, de-asociacin, etc.
Pg. 110 de 177
Fecha: 24/06/2008
4.2
Mecanismos de seguridad
La seguridad es hoy en da es una gran preocupacin que envuelve a
Internet y a la tecnologa en general, y existen empresas dedicadas exclusivamente a este cometido. Hablar de los mecanismos de seguridad para proteger una red sera cuestin de un proyecto entero, por lo que queda fuera del alcance de este proyecto. Hablaremos por tanto de slo dos mecanismos de seguridad relacionado con la tecnologa WiFi: RADIUS y filtrado MAC. Veremos que el segundo es poco seguro, mientras que el primero s que lo es, aunque debe estar acompaado de una buena configuracin del firewall del servidor de acceso a la red. 4.2.1 RADIUS Aunque RADIUS no es especficamente un mecanismo de seguridad para redes inalmbricas, s que supone un mecanismo de seguridad adicional en stas, ya que se encargar de la autorizacin, autenticacin y accounting de los usuarios, ejerciendo de separador lgico entre la parte inalmbrica de la red y la parte donde se encuentran los dems servicios, que en la mayora de los casos es donde realmente interesa tener una seguridad robusta frente a usuarios no autorizados. 4.2.1.1 Autenticacin y autorizacin Este proceso est ampliamente descrito en el estndar RFC 2865. A continuacin, describiremos como es el proceso de autorizacin y autenticacin de un usuario: 1. Cuando un usuario quiere acceder al sistema, enva al servidor de acceso a la red (NAS en ingls) una peticin de acceso con las credenciales, que normalmente sern nombre de usuario y contrasea. El NAS, que puede estar instalado en la misma mquina que el servidor RADIUS, enva un mensaje del tipo Access Request al servidor RADIUS. En este mensaje se incluyen las credenciales del
Pg. 111 de 177
Fecha: 24/06/2008
usuario y adicionalmente la informacin que el servidor NAS conoce del usuario (direccin IP, MAC, etc.). 2. El servidor RADIUS corrobora que las credenciales son correctas siguiente esquemas de autenticacin como PAP, CHAP, MCHAP o EAP. Esta comprobacin puede usarse contra una base de datos local, una base de datos SQL en la misma mquina o externa, con LDAP, con Active Directory o algn otro mtodo. 3. Una vez comprobadas las credenciales, el servidor Radius devuelve al NAS uno de los siguientes mensajes: Access Reject.- Se rechaza la autenticacin del usuario por alguna causa como credenciales incorrectas, usuario de baja, supera lmites de tiempos de conexin, etc. Access Challenge.- El servidor Radius requiere alguna credencial adicional, como una segunda contrasea, un PIN o cualquier dato del usuario. Access Accept.- El acceso se le es concedido al usuario.
4. Una vez que se consigue la autenticacin, el servidor Radius chequea si el usuario est autorizado a usar el servicio que se solicita. Para ello consultar una base de datos o algn otro medio, al igual que haca para consultar las credenciales en el paso 2. En el mensaje de Access Accept, el servidor Radius puede enviar las condiciones de acceso al usuario, que pueden ser: Direccin IP. Mximo tiempo de conexin. Parmetros de calidad de servicio.
Pg. 112 de 177
Memoria del proyecto Etc.
Fecha: 24/06/2008
4.2.1.2 Accounting El procedimiento de accounting est descrito en el estndar RFC 2866. El accounting se produce inmediatamente despus de la autorizacin, llevndose a cabo de la siguiente forma: 1. Cuando el servidor NAS concede el acceso al usuario, enva al servidor RADIUS un mensaje del tipo Accounting Start, indicando al servidor RADIUS el comienzo del uso del servicio por parte del usuario. Normalmente en este mensaje se envan los siguientes registros: Identificacin de usuario Direccin IP Identificador de sesin nica
2. Peridicamente, el servidor NAS puede enviar mensajes del tipo Interim Accounting al servidor RADIUS, para actualizar el estado de una sesin activa. 3. Finalmente, cuando el usuario finaliza el acceso a la red, el servidor NAS enva al servidor RADIUS un mensaje del tipo Accounting Stop, con informacin del tiempo de conexin, datos transferidos, motivo de la desconexin y otros datos del usuario. Como puede intuirse el accounting est destinado a facturar al usuario segn el uso (tiempo o datos) que haga del servicio. Tambin puede usarse esta informacin para realizar estadsticas de uso y monitorizar el sistema.
Pg. 113 de 177
Fecha: 24/06/2008
4.2.2 Filtrado MAC La direccin MAC es un nmero de 48 bits nico asignado por el fabricante a toda tarjeta de red inalmbrica. Por tanto los puntos de acceso podran utilizar este nmero para discernir entre quin est autorizado y quin no a utilizar la red y, por lo tanto, aceptar o denegar el servicio. Cuando un usuario intenta asociarse a un punto de acceso, la direccin MAC del cliente debe estar en la lista aprobada, o de lo contrario la asociacin va a ser rechazada. Como una alternativa, el AP puede tener una tabla de direcciones MAC prohibidas, y habilitar a todos los dispositivos que no estn en esa lista. Aunque pueda parecer a priori un sistema seguro, la realidad nos demuestra que no lo es, principalmente por dos razones: 1. La direccin MAC puede cambiarse fcilmente por software, por lo que un usuario malintencionado podra capturar trfico en la red y descubrir una o varias direcciones MAC comunicndose correctamente con el punto de acceso, por lo que estarn en la tabla de direcciones permitidas. En ese momento, enva un paquete de desasociacin al cliente con esa direccin MAC y enva otro de asociacin al punto de acceso con la direccin MAC detectada. De esta forma, el usuario malintencionado ya habra roto este sistema de seguridad. 2. Mantener las tablas MAC en cada dispositivo puede ser muy engorroso, requiriendo que todos los dispositivos cliente tengan su direccin MAC grabadas y cargadas en los puntos de acceso.
4.3
Hotspot
Un hotspot es una zona de cobertura Wi-Fi, en el que un punto de acceso
o varios proveen servicios de red a travs de un Proveedor de Servicios de Internet Inalmbrico (WISP). Fue propuesto por primera vez por Brett Stewart en
Pg. 114 de 177
Fecha: 24/06/2008
1993, aunque fue Nokia quien le dio el nombre de Hotspot unos aos ms tarde. Los hotspots se encuentran en lugares pblicos, como aeropuertos, bibliotecas, centros de convenciones, cafeteras, hoteles, etctera. Este servicio permite mantenerse conectado a Internet en lugares pblicos y puede brindarse de manera gratuita o mediante el pago de una cuanta, que depender del proveedor. Este pago se realiza al conectarse a un hotspot, no haciendo falta adquirir los derechos mediante cualquier otra va. Un hotspot comercial, est compuesto por: Un portal cautivo.- Es el encargado de redireccionar a los usuarios a una determinada pgina web. Es en esta pgina web donde se le da la bienvenida al hotspot, se explican las tarifas, se enlaza con el servicio de pago, etc. Se definen las pginas que el usuario puede ver sin estar autenticado. Una vez que el usuario realiza el pago y obtiene la clave, deber introducirla en el apartado correspondiente. Entonces, el portal cautivo consultar al servidor Radius para validar esta clave y poder autenticar al usuario. En el siguiente apartado se dan a conocer varios portales cautivos de software libres existentes. Un servidor RADIUS.- Se encargar de realizar la autorizacin, la autenticacin y el accounting de los usuarios. Para ello buscar en su base de datos los atributos que tiene la clave con la que se pretende acceder al sistema. Si esta clave no existe, la autenticacin falla y se le comunica al portal cautivo. Si existe, se produce la autenticacin y se le asignan los atributos que correspondan (Tiempo de conexin diario, semanal o mensual, tasa de transferencia, sesiones simultneas posibles, mximo nmero de conexiones abiertas de forma simultnea, etc).
Pg. 115 de 177
Fecha: 24/06/2008
Portal para que el usuario realice el pago.- Cuando el usuario decida acceder al servicio y pagar la correspondiente tasa, se le redireccionar al portal donde pueda realizar el pago mediante tarjeta de crdito, paypal o cualquier otra forma de pago. La mayora de los hotspots no son seguros, ya que no poseen ningn sistema de encriptacin que permita la privacidad de los usuarios. Por tanto las transmisiones se producen en texto plano, estando al acceso de cualquiera que quiera capturar el trfico de la red. Esto es as debido a que si se usara cualquier sistema de encriptacin que requiera una clave compartida, ningn usuario que no la conociera podra acceder al hotspot y no hay ninguna forma de divulgacin de la clave que no la comprometa. Actualmente existen hotspot comerciales como el de Antamedia (http://www.antamedia.com/), que permiten controlar a los usuarios, realizar estadsticas de conexiones, descargas, prepago, etc. ste se instala en un servidor bajo Windows, pudindose gestionar fcilmente sin tener altos conocimientos en esta tecnologa. Existen otros tipos de hotspot que pueden configurarse haciendo uso de un servidor externo. Slo es necesario configurar el portal cautivo chillispot en un punto de acceso. ste redirecciona a los usuarios a la pgina web del servidor de hotspot, el cual se encarga de autenticar a los usuarios, cobrarles, etc. Igualmente podremos acceder a estadsticas, control de usuarios, etc. En este caso no se paga por el software, sino que una parte de lo que los usuarios pagan va a parar al proveedor del hotspot. Ejemplos de este tipo de hotspot son: Worldspot.- http://worldspot.net/ Fonera.- http://www.fon.com/ .Este est teniendo mucha aceptacin a nivel mundial, ya que permite compartir parte de tu conexin a Internet a cambio de poder conectarte de forma gratuita a cualquier punto en el mundo perteneciente a la red Fonera. Adems recibirs parte de los
Pg. 116 de 177
Fecha: 24/06/2008
ingresos que se generen de los usuarios no pertenecientes a la Fonera que hagan uso de tu conexin. 4.3.1 Portales Cautivos Una herramienta comn de autenticacin utilizada en las redes inalmbricas es el portal cautivo. Este utiliza un navegador web estndar para darle al usuario la posibilidad de presentar sus credenciales de registro. Tambin puede utilizarse para presentar informacin (como Poltica de Uso Aceptable) a los usuarios antes de permitir el acceso. Mediante el uso de un navegador web en lugar de un programa personalizado de autenticacin, los portales cautivos funcionan en prcticamente todas las computadoras porttiles y sistemas operativos. Generalmente se utilizan en redes abiertas que no tienen otro mtodo de autenticacin (como WEP o filtros MAC). Para comenzar, el usuario abre su computadora porttil y selecciona la red. Su computadora solicita una direccin mediante DHCP y le es otorgada. Luego usa su navegador web para ir a cualquier sitio en Internet. En lugar de recibir la pgina solicitada, al usuario se le presenta una pantalla de registro. Esta pgina puede solicitarle al usuario que ingrese su nombre de usuario y una contrasea, simplemente pulsa sobre el botn de registro (login), escribe los nmeros de una tarjeta prepago, o ingresa cualquier otra credencial que solicite el administrador de red. El punto de acceso u otro servidor en la red (por ejemplo un servidor RADIUS) verifica los datos. Cualquier otro tipo de acceso a la red se bloquea hasta que se verifiquen las credenciales. Una vez que el usuario ha sido autenticado, se le permite el acceso a los recursos de la red, y en general es redireccionado al sitio web que solicit originalmente. Los portales cautivos no proveen encriptacin para los usuarios de redes inalmbricas, en su lugar confan en las direcciones MAC e IP del cliente como
Fecha: 24/06/2008
identificadores nicos. Si bien esto no es necesariamente muy seguro, muchas implementaciones van a solicitar que el usuario se re-autentique peridicamente. Esto puede hacerse automticamente, minimizando una ventana emergente (pop-up) del navegador, cuando el usuario se registra por primera vez. En redes pblicas o semipblicas, las tcnicas de encriptacin como WEP y WPA son realmente intiles. Simplemente no hay forma de distribuir claves pblicas o compartidas para el pblico en general sin comprometer la seguridad de esas claves. En esas instalaciones, una simple aplicacin como un portal cautivo provee un nivel de servicio intermedio entre completamente abierto y completamente cerrado. Existen muchas implementaciones de portales cautivos de software libre, estando ms extendido los siguientes: NoCatSplash.- Est disponible en la siguiente direccin: http://nocat.net. NoCatSplash provee una pgina de ingreso modificable, solicitndoles a sus usuarios presionar el botn de registro antes de utilizar la red. Esto es til para identificar los operadores de la red y mostrar las reglas de acceso a la misma. NoCatSplash est escrito en C, y va a correr en casi cualquier sistema operativo tipo Unix incluidos Linux, BSD, y tambin plataformas embebidas como OpenWRT. Tiene un archivo de configuracin muy simple y puede usar cualquier archivo HTML personalizado como la pgina de ingreso. En general se corre directamente en un punto de acceso, pero tambin funciona en un enrutador o un servidor proxy. Para ms informacin, vea la pgina http://nocat.net/. Chillispot (http://www.chillispot.org/). Chillispot es un portal cautivo diseado para autenticar verificando los datos contra una base de datos de credenciales de usuarios, tal como RADIUS. Si lo combinamos con la aplicacin phpMyPrePaid, se puede implementar fcilmente un sistema de autenticacin basado en prepago.
Pg. 118 de 177
Fecha: 24/06/2008
Este es el portal cautivo elegido en el presente proyecto, debido a su versatibilidad y su seguridad, ya que permite la interaccin con un servidor RADIUS para realizar la autenticacin y el accounting de los usuarios. Ms detalles sobre el uso y la configuracin del mismo en un servidor se describen en el apartado 5 de la presente memoria. WiFi Dog (http://www.wifidog.org/). WiFi Dog provee un paquete muy completo de autenticacin va portal cautivo, en muy poco espacio (generalmente menos de 30kB). Desde la perspectiva del usuario, no requiere de una ventana emergente (pop-up) ni de soporte javascript, permitindole inalmbricos. m0n0wall (http://m0n0.ch/wall/). Como mencionamos en el captulo cinco, m0n0wall es un sistema operativo embebido completo basado en FreeBSD. Este incluye un portal cautivo con soporte RADIUS, as como un servidor web PHP. trabajar en una amplia variedad de dispositivos
4.4
Aplicaciones de auditora wireless

En entornos profesionales, donde se requiere una seguridad extrema, es
necesario hacer una auditora de seguridad una vez que el sistema est totalmente configurado. De esta forma sabremos detectar y solventar las posibles vulnerabilidades que posea el sistema. Si nos centramos en la parte wireless del sistema, hay varios Live CD disponibles para tal fin. Los ms populares son: Wifiway (http://www.wifiway.org/) Wifislax (http://www.wifislax.com/) BackTrack (http://www.remote-exploit.org/backtrack.html). Es un potente live CD sobre seguridad informtica en general, no slo sobre wireless.
Pg. 119 de 177
Fecha: 24/06/2008
Todos ellos cuentan con la herramienta aircrack, la ms usada actualmente ya que implementa los ataques a WEP y WPA a da de hoy conocidos. 4.4.1 Aircrack El crackeado de WEP o WPA (solo si la PSK es dbil) puede ser demostrado con facilidad utilizando herramientas como Aircrack (creado por el investigador francs en temas de seguridad, Christophe Devine). Aircrack contiene tres utilidades principales, usadas en las tres fases del ataque necesario para recuperar la clave: airodump: herramienta de sniffing, utilizada para descubrir las redes que tienen activado WEP o WPA. aireplay: herramienta de inyeccin para incrementar el trfico. aircrack: crackeador de claves WEP que utiliza los IVs nicos recogidos. 4.4.1.1 Ataques a WEP En la actualidad, Aireplay slo soporta la inyeccin en algunos chipsets wireless, y el soporte para la inyeccin en modo monitor requiere los ltimos drivers parcheados. El modo monitor es el equivalente del modo promiscuo en las redes de cable, que previene el rechazo de paquetes no destinados al host de monitorizacin (lo que se hace normalmente en la capa fsica del stack OSI), permitiendo que todos los paquetes sean capturados. Con los drivers parcheados, slo se necesita una tarjeta wireless para capturar e inyectar trfico simultneamente. La meta principal del ataque es generar trfico para capturar IVs nicos utilizados entre un cliente legtimo y el punto de acceso. Algunos datos encriptados son fcilmente reconocibles porque tienen una longitud fija, una direccin de destino fija, etc. Esto sucede con los paquetes de peticin ARP
Fecha: 24/06/2008
(vase Recuadro ARP-Request), que son enviadas a la direccin broadcast (FF:FF:FF:FF:FF:FF) y tienen una longitud fija de 68 octetos. Las peticiones ARP pueden ser repetidas para generar nuevas respuestas ARP desde un host legtimo, haciendo que los mensajes wireless sean encriptados con nuevos IVs. El primer paso, es la activacin del modo monitor en nuestra tarjeta wireless as que podemos capturar todo el trfico. El paso siguiente, ser descubrir redes cercanas y sus clientes, escaneando los 14 canales que utilizan las redes Wi-Fi. Una vez se haya localizado la red objetivo, deberamos empezar a capturar en el canal correcto para evitar la prdida de paquetes mientras escaneamos otros canales. Despus, podremos usar la informacin recogida para inyectar trfico utilizando aireplay. La inyeccin empezar cuando una peticin ARP capturada, asociada con el BSSID objetivo aparezca en la red inalmbrica: Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se hace posible lanzar este paso final mientras airodump sigue capturando datos. 4.4.1.2 Ataques a WPA De las tres debilidades que se han expuesto anteriormente, aircrack explota la primera de ellas, por lo que puede atacar contra la clave PSK de WPA/WPA2. Vimos que esto es posible cuando la clave es dbil, ya que si la clave es de longitud elevada (de 20 a 63 caracteres) es prcticamente imposible, al menos con microprocesadores actuales. El ataque se realiza en varios pasos: 1. Se localizan las redes WPA / WPA2 mediante un escaneo de los 14 canales usados en 802.11. Una vez localizadas las redes, se elige el objetivo a atacar, fijndonos en el canal en el que trabaja.
Fecha: 24/06/2008
2. Se comienzan a capturar datos en el canal deseado mediante airodump. 3. Debemos entonces deautenticar los clientes legtimos, con la ayuda de airplay, forzndolos a iniciar un nuevo proceso de autenticacin y permitindonos capturar los mensajes de 4-Way Handshake. 4. Finalmente, con la herramienta aircrack, lanzamos un ataque de tipo diccionario con los datos capturados. Si la PSK es dbil (palabra corta disponible en algn diccionario), hay muchas posibilidades de que pueda adivinarse.
Pg. 122 de 177
Fecha: 24/06/2008
5 Diseo e Implementacin de una red wireless

Este apartado describe el diseo y la implementacin de la red desde un punto de vista ms prctico que terico. Se describirn en detalle el diseo y la estructura elegida para la red, as como las configuraciones que se han realizado en los dispositivos. En cambio, se remite al lector a los tres apartados anteriores si quiere comprender el funcionamiento detallado de la tecnologa y protocolos empleados. A modo de ejemplo, en este apartado se detallar el funcionamiento lgico y la configuracin realizada para montar el servidor RADIUS sobre Linux, pero sin entrar en los detalles del protocolo, el cual ya se ha descrito en el apartado 4.2.1 RADIUS. En el texto se encuentran enlaces y/o referencias a apartados anteriores, donde se describen los detalles ms tcnicos del asunto que se est tratando.
5.1
Introduccin. Alcance del proyecto

El presente proyecto surgi en colaboracin con la A.D.C. Los Colores,
club social situado en Sevilla Este y fundado en 1988. La A.D.C. Los Colores ha perseguido desde su creacin la realizacin de actividades sociales, culturales y deportivas, con el objetivo de fomentar las relaciones intervecinales. Entre otras muchas iniciativas, la asociacin se aprovision de varios equipos informticos, con los que se iniciaron una serie de actividades encaminadas a acercar las nuevas tecnologas al vecindario. Siguiendo con esta idea, se pens en proveer a los socios de una red wifi comunitaria, a la que podrn acceder desde sus casas o desde cualquier punto de la vecindad, con la idea de que la red ofrezca servicios de valor aadido para los socios que deseen hacer uso de los mismos. Los servicios que inicialmente se ofrecen son:
Pg. 123 de 177
Memoria del proyecto Conexin a Internet.
Fecha: 24/06/2008
Videoconferencias para que los cursos que se impartan en la sede de la asociacin puedan seguirlos desde casa. Servidor de archivos compartido. Acceso a la intranet de la asociacin, incluida su pgina web, donde podrn acceder a la informacin de prximos actividades y eventos. Conexin con la cmara web del saln de la asociacin. Una vez implementada una red robusta y fiable que cubre estos servicios iniciales, se prev aadir ms funcionalidades a medida que se requieran (telefona IP, videovigilancia IP, servidor de correo, etc.). Esta parte an est en estudio y queda fuera del alcance del proyecto. Hacindome partcipe de esta iniciativa, me compromet a disear e implementar la red inalmbrica a un coste que la asociacin pudiera permitirse, ya que cuando contactaron con empresas externas les realizaron presupuestos profesionales inabordables para una asociacin sin nimo de lucro.
5.2
Situacin inicial y requerimientos
5.2.1 rea a cubrir El vecindario vinculado a la A.D.C. Los Colores est situado en una zona cuyas caractersticas se muestran en la figura 54: Como puede observarse en la figura, la asociacin tiene la sede en una de las partes externas al rea. Esto condiciona el diseo, ya que el punto de acceso principal, es decir, el que estar conectado al servidor deber estar situado en esta parte del rea. La mejor opcin sera que estuviera situada en el
Pg. 124 de 177
Fecha: 24/06/2008
centro del rea a cubrir, pero es evidente que este no es un parmetro configurable.
Caractersticas del rea a cubrir
Situacin de la sede de la asociacin Zonas con el 90 % de los asociados Dimensiones de rea: Ancho (mx.) Largo (mx.) rea 320 m. 450 m 102000 m2
Figura 54. Caractersticas del rea a cubrir
Otro inconveniente que nos encontramos es la situacin de las viviendas de los vecinos asociados. Se realiz un estudio de la situacin de las mismas y se lleg a la conclusin de que el 90% estaban en las partes externas. Al tener estas partes una forma alargada, se condiciona el diseo en 2 sentidos: 1. Las antenas slo podrn instalarse en las partes externas del rea, ya que es necesario que un vecino perteneciente a la asociacin colabore en la colocacin de la antena, proveyndola de electricidad y de un lugar en el tejado donde colocarla. 2. Si se instalan antenas omnidireccionales, parte de la potencia radiada va a parar a zonas donde no viven vecinos. Por otro lado, adecuar la zona de cobertura que ofrecen las antenas a la zona donde residen los vecinos requiere de la utilizacin de un nmero mayor de antenas y de puntos de acceso, por lo que el coste se incrementa. 5.2.2 Requerimientos En una reunin mantenida con la junta directiva de la asociacin, se acordaron una serie de requisitos, los cuales se resumen a continuacin:
Pg. 125 de 177
Fecha: 24/06/2008
El acceso a Internet debe estar garantizado slo a los vecinos asociados, no pudiendo estar al alcance de cualquier usuario en la zona de cobertura. Cualquier usuario no asociado que se conecte a la red, podr acceder exclusivamente a la pgina web de la asociacin. Cada socio que se acoja al servicio, tendr un nombre de usuario y contrasea. Debe restringirse el hecho de que un mismo nombre de usuario y contrasea pueda usarse desde ordenadores distintos simultneamente, ya que en este caso podran usarlo vecinos no asociados que consiguieran credenciales vlidas de acceso. El diseo de la red debe hacerse de forma que sta sea escalable, ya que a priori se desconoce la cantidad de socios que van a utilizar el sistema, fijando 50 socios como una cifra significativa. Adems, se cuenta con un presupuesto muy limitado, por lo que la red deber mejorarse progresivamente cuando el nmero de usuarios crezca. La red debe ser robusta, es decir, si se produce una cada de un enlace o punto de acceso, la red debe seguir funcionando correctamente. Cumplir estos requerimientos, fundamentalmente el presupuesto con el que cuentan, ha condicionado el diseo de la red. En un futuro, este diseo puede modificarse y optimizarse para aumentar su capacidad. Debido a esta posibilidad, el diseo elegido permitir aprovechar todos los dispositivos adquiridos ahora. Esto se describe en el apartado Fase II. 5.2.3 Dispositivos disponibles Antes de comenzar el presente proyecto la asociacin dispona de varios dispositivos, los cuales han podido ser utilizados.
Pg. 126 de 177
Fecha: 24/06/2008
Router ADSL Xavi. Este router es el que provee Internet a travs de la conexin RJ11. La conexin a Internet disponible tiene las siguientes caractersticas: 3072 Kbits de bajada. 256 Kbits de subida.
6 ordenadores de sobremesa, dos de ellos de reciente adquisicin. El modelo de estos dos ordenadores es Compaq Presario SR5302ES, cuyas caractersticas se describen ms adelante. Uno de estos dos ordenadores fue el elegido para usarlo como servidor. 1 ordenador porttil. Con este ordenador se han realizado las mediciones de seal en los diferentes puntos de la vecindad. Switch de 8 puertos. Nos permitir conectar todos los ordenadores de sobremesa, incluido el servidor, al router ADSL.
5.3
Objetivos
El objetivo principal de este proyecto es el diseo y la implantacin de una
red wireless, que ofrezca cobertura en la zona residencial de los socios de la A.D.C. Los Colores con una calidad de servicio aceptable, cumpliendo con los requisitos establecidos por la junta directiva. Para lograr el objetivo principal, deben cumplirse los siguientes objetivos intermedios: Diseo de la red wireless, teniendo en cuenta los siguientes criterios de diseo: Transparencia hacia el usuario.- El usuario de la red deber poder acceder a la red sin realizar ninguna instalacin o modificacin en su equipo.
Pg. 127 de 177
Memoria del proyecto -
Fecha: 24/06/2008
Fiabilidad de la red.- Para ello se disearn enlaces alternativos de respaldo, as como un segundo servidor que se usar en caso de cada del primero. En ambos servidores se configurarn dos discos duros en RAID 1, lo que disminuir la probabilidad de que dejen de funcionar.
Calidad de servicio.- La red debe ofrecer una buena calidad de servicio a los usuarios.
Escalabilidad.- La red debe ser escalable, pudiendo reutilizar los dispositivos ya instalados en caso de ampliacin. Este factor, como se ver ms adelante, se ha tenido mucho en cuenta debido al presupuesto con el que se contaba.
Seguridad.- Debe asegurarse que slo los socios puedan acceder a los servicios restringidos para ellos. Para ello el se crear un servidor RADIUS que los autentique mediante nombre de usuario y contrasea.
Configuracin del servidor de la red, que deber realizar las siguientes tareas: Servidor DHCP. Portal Cautivo. Firewall entre la red externa (Puntos de acceso inalmbricos) y la interna (Ordenadores y Router ADSL con Internet). Servidor RADIUS de autenticacin. Almacenamiento de datos de conexiones de usuarios, para la monitorizacin y control de la red, as como para realizar estadsticas de uso.
Pg. 128 de 177
Memoria del proyecto Configuracin de los puntos de acceso Enlaces principales (Backbone) y de respaldo.
Fecha: 24/06/2008
Implementacin de calidad de servicio en los mismos mediante el uso de firmwares modificados.
Instalacin de los puntos de acceso en el tejado de la asociacin y en el tejado de las viviendas de los vecinos elegidas para ello.
5.4
Dispositivos Utilizados
5.4.1 Servidor El servidor utilizado es un Compaq Presario SR5302ES, el cual tiene las siguientes caractersticas: Procesador Intel Pentium E2140 Dual Core. Chipset Intel G33. 3 GB de memoria RAM tipo SDRAM DDR2. Unidad de disco duro de 500 GB serial ata. Grabadora de DVD SATA DVD RAM. 1 lector de tarjetas de memoria "15 en 1". 2 tarjetas de red. Tarjeta de video NVIDIA GeForce 6150 SE GPU. Etctera. En el apartado Instalacin y configuracin del servidor se detalla la instalacin del sistema operativo, software y configuraciones realizadas.
Pg. 129 de 177
Fecha: 24/06/2008
5.4.2 Puntos de acceso Todos los puntos de acceso utilizados son los Linksys WRT54GL v1.1, ya que poseen un sistema operativo embebido con ncleo Linux y a que existen versiones modificadas bajo la licencia GPL que dotan a los puntos de acceso de todas las caractersticas necesarias para este proyecto. En el apartado Radioenlaces. Configuracin de los puntos de acceso est explicado todo lo referente a la configuracin de estos dispositivos. Las caractersticas tcnicas de estos puntos de acceso son: CPU a 200 MHz, 16 MB de RAM, 4 MB de memoria flash 802.11a, b y g 4 puertos ethernet ms un puerto WAN RJ45. 5.4.3 Antenas Las antenas utilizadas han sido dos omnidireccionales de 9 dB de ganancia, una sectorial de 14 dB de ganancia y otra omnidireccional de 12 dB de ganancia. La marca elegida ha sido Interline, debido a su buena relacin calidad / precio. Omnidireccional 9dB.- El ancho del haz en el plano vertical es de 15 y en el plano horizontal 360. La longitud de la antena es 54 cm.
Figura 55.- Patrn de radiacin de la antena omnidireccional de 9dB utilizada.
Pg. 130 de 177
Fecha: 24/06/2008
Omnidireccional 12 dBi.- El ancho del haz en el plano vertical es de 6 y en el plano horizontal 360. La longitud de la antena es 110,5 cm.
Figura 56.- Patrn de radiacin de la antena omnidireccional de 12 dB utilizada.
Sectorial 14 dBi.- El ancho del haz en el plano vertical es de 6 y en el plano horizontal 120. Las dimensiones de la antena son 100.7 x 12.7 cm.
Figura 57.- Patrn de radiacin de la antena sectorial utilizada.
Pg. 131 de 177
Fecha: 24/06/2008
5.4.4 Cajas estanca Las cajas estanca utilizadas siguen el estndar IP55 y tienen unas medidas de 240x190x90. Son de la marca GEWISS modelo GW44008.
Figura 58.- Caja estanca
5.4.5 Conectores Son dos los conectores usados, el RP-TNC para la conexin del coaxial al punto de acceso y el Tipo N para la conexin a las antenas. Ambos tienen una prdida de 0,5 dB.
5.4.6 Cableado El cableado utilizado para llevar la seal desde el punto de acceso a la antena ha sido el LMR400 de 0.21 dB/m de atenuacin. Este tipo de cable es de muy bajas prdidas, permitiendo longitudes de 8 metros de longitud sin llegar a los 2 dB de atenuacin. Como cable de red se ha usado el de categora 5 UTP para exteriores. En el nodo principal se han utilizado 25 metros para unir el punto de acceso con el servidor. En los dems puntos de acceso, se ha colocado un cable ethernet por si el interfaz inalmbrico de alguno de ellos cae y hay que configurarlo va ethernet.
Pg. 132 de 177
Fecha: 24/06/2008
Finalmente para ampliar el cable de corriente continua que alimenta a los puntos de acceso, se ha usado un cable de pares de 0,5 mm de grosor. 5.4.7 Router ADSL El router ADSL ha sido proporcionado por telefnica y corresponde con el router inalmbrico Xavi 7768r.
Figura 59.- Router ADSL
5.5
Enfoque del proyecto y metodologa

Teniendo en cuenta los requisitos y objetivos que se han descrito
anteriormente, se decidi realizar el proyecto en tres fases, permitiendo diluir el coste total entre cada una de ellas. Un resumen grfico puede verse en la figura 60. La razn de este enfoque fue principalmente debida al presupuesto con el que se contaba y a la imposibilidad de saber a ciencia cierta la aceptacin del proyecto por parte de los socios. De esta forma, se pens en un principio en colocar 4 nodos que maximizaran la cobertura en las zonas habitadas y permitieran una capacidad para unos 50 usuarios aproximadamente. Si la aceptacin por parte de los socios es elevada se instalarn tres nodos ms, que permitan aumentar la cobertura a la totalidad de los socios. Adems, se instalar un punto de acceso adicional unido mediante cable ethernet al principal y que permita configurar un canal de transmisin diferente para la mitad de los nodos, doblando la capacidad del sistema, adems de segmentarla. A fecha de la memoria del proyecto se ha implementado slo la primera parte de la red, dando servicio a unos 20 usuarios, por lo que an no es conveniente acometer ninguna ampliacin.
Pg. 133 de 177

Resumen del enfoque del proyecto
Fecha: 24/06/2008
Fase I
Fase II
Implementacin de tres nodos secundarios para dar cobertura al resto de socios. Ampliacin de capacidad.
Fase III
Implantacin de un nodo secundario en el parque prximo a la vecindad. Implementacin de servicios de valor aadido.
Implementacin del nodo principal, de tres nodos secundarios y del Servidor.
Red robusta, fiable y segura.
Cobertura total, Capacidad mxima
Movilidad, servicios complejos.
Coste Fase 1 Cobertura Servicios

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Fase 2 Fase 3
Figura 60.- Resumen del enfoque del proyecto realizado
En la primera fase se ofrecen servicios bsicos (Internet, cmara web del saln de la asociacin, servidor de archivos, etc.). En la segunda fase se pretende ampliar la capacidad del sistema y la cobertura, aadiendo nuevos nodos y usando 2 radiocanales de transmisin. En una tercera fase se contempla la posibilidad de aadir servicios ms complejos, como streaming de video, Voz IP, servidor de juegos, videovigilancia IP, etc. Esta tercera fase queda fuera del alcance del presente proyecto. En los apartados sucesivos se detalla la metodologa usada para disear e implementar las fases I y II. 5.5.1 Consideraciones Iniciales En un principio se consider implementar una estructura de red que maximizara la capacidad de la misma. sta se consigue utilizando en cada nodo un punto de acceso con antena direccional (de enlace) y otro con antena omnidireccional (de cobertura), unidos ambos mediante un cable ethernet. Esta configuracin permite tener en canales separados y no interferentes entre s el backbone de la red y los nodos de cobertura. Por ejemplo, el backbone podra usar el canal 6 y los nodos de cobertura el 1 o el 11 de forma alternativa para evitar tambin interferencias entre nodos cercanos.
Pg. 134 de 177
Fecha: 24/06/2008
Otra opcin a considerar era usar en un nodo tres puntos de acceso con sendas antenas sectoriales de 120 de ancho de haz. Cada una de las antenas sectoriales irradiara a una frecuencia no solapante, evitando as las interferencias. De esta forma se consigue tambin sectorizar la cobertura, triplicando la capacidad del sistema. Una de las antenas sectoriales podra aprovecharse para realizar el enlace hacia otro nodo o hacia el nodo principal. Si bien elegir una de estas opciones hubiera sido la apuesta ms segura, tambin son las ms costosas, ya que en el peor de los casos deben usarse dos puntos de acceso y dos antenas por nodo. En el caso de querer hacer enlaces de respaldo se necesitaran tres antenas y tres puntos de acceso por nodo. En un proyecto destinado al uso profesional, sin duda habra que elegir una de las dos opciones anteriores. En cambio, en el mbito en el que nos encontramos es ms importante minimizar el coste que maximizar la capacidad del sistema, mxime si esto ltimo puede hacerse en un futuro si es necesario. Por este motivo se intent hacer realidad una tercera opcin, consistente en proveer al nodo principal de una antena omnidireccional de alta ganancia (12 dBi) y a los nodos secundarios de antenas omnidireccionales de 9 dBi. Si con estas antenas consiguiramos enlazar los nodos entre s, estaramos usando un punto de acceso y antena omnidireccional por nodo, consiguiendo el mismo propsito con un presupuesto dos o tres veces menor. Como contrapartida, con esta opcin disminuimos la capacidad del sistema, ya que tendremos que usar un solo canal de transmisin entre todos los nodos, por lo que se interferirn entre s. Para corroborar la viabilidad de esta ltima opcin, se adquirieron dos puntos de acceso y dos antenas omnidireccionales, de 9 y de 12 dBi. Se instal el punto de acceso con la antena omnidirecional de 12 dBi en el tejado de la sede de la asociacin y el otro punto de acceso en la parte del rea ms alejada de este, a unos 400 metros. Una vez instalados se intent configurar el enlace y el resultado fue muy satisfactorio, ya que se consigui que se conectaran a 48
Pg. 135 de 177
Fecha: 24/06/2008
Mbps, siendo el ancho de banda real unos 22 Mbps. Cualquier enlace tendra la misma visibilidad y menor distancia, por lo que no habra problemas para realizarlo. 5.5.2 Fase I El objetivo de la primera fase del proyecto fue ofrecer cobertura al 75% del rea a cubrir, para conseguir llegar al 90% de los socios con slo un 60% del coste que supondra cubrirla en su totalidad. Para conseguir el objetivo de la fase I, fue necesario realizar las siguientes tareas: Mediciones de redes WiFi existentes en cada una de las situaciones de los nodos para poder elegir el canal de transmisin / recepcin. Configuracin y montaje del nodo principal en la sede de la asociacin. Configuracin del servidor. Configuracin y montaje de tres nodos secundarios. Auditoras de seguridad y de robustez de la red. Para ello se utilizar software especializado y se simular la cada de algn enlace y punto de acceso. 5.5.2.1 Mediciones realizadas La tecnologa utilizada para proveer de acceso inalmbrico ha sido 802.11g. Vimos en el apartado 802.11g y DSSS-OFDM cmo se distribuan los canales de transmisin. En Espaa haba once canales disponibles de 20 MHz separados 5 MHz entre s, por lo que los nicos que no se solapaban entre s eran el 1, el 6 y el 11. Adems la frecuencia que utilizaban era de uso libre por lo que otros dispositivos podran usar estas frecuencias.
Pg. 136 de 177
Fecha: 24/06/2008
Pues bien, no nos qued ms remedio que escanear las redes inalmbricas existentes en el rea de influencia, sobre todo en las zonas donde van a estar instalado los nodos. En las siguientes figuras se aprecian las redes detectadas, los canales que usan y la potencia con la que se reciben.
Figura 61.- Redes detectadas desde los nodos 1 y 2
Una vez escaneadas las red inalmbricas de los nodos 1 y 2, se escanearon las redes inalmbricas en la situacin de los nodos 3 y 4. Para ello, se utiliz un punto de acceso Linksys WRT54GL con una antena omnidireccional de 9 DB de ganancia, ambos situados en el emplazamiento elegido para la colocacin de los mismos. Se us la opcin Site Survey de dicho punto de acceso, a la que puede accederse desde la interfaz web.
Pg. 137 de 177
Fecha: 24/06/2008
Figura 62.- Redes detectadas desde los nodos 3 y 4
Para elegir el canal adecuado, debemos fijarnos en estas dos restricciones: Que est nada o poco utilizado Que los cuatro canales por arriba y por abajo sen los menos utilizados tambin, ya que hemos visto que interfieren, aunque en menor medida. Tras analizar las mediciones puede observarse que canales poco utilizados son el 2, el 4 y el 9. Para decantarnos por uno se decidieron hacer
Pg. 138 de 177
Fecha: 24/06/2008
pruebas de transferencia y fiabilidad para comprobar empricamente cual de estos canales daba mejor resultado. Finalmente result ser el canal 9. 5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios Teniendo en cuenta lo mencionado en el apartado anterior, la topologa de la red se dispuso de la siguiente manera: En la sede de la asociacin se instal el nodo principal, con una antena omnidireccional de 12 dBi. El punto de acceso est unido al servidor mediante un cable ethernet CAT5 para exterior de 25 metros de longitud. Se dispusieron dos nodos secundarios con antenas omnidireccionales de 9 dBi en el punto medio de las dos zonas ms habitadas del vecindario, unidos mediante un enlace WDS al nodo principal. Un tercer nodo se dispuso en el edificio ms alto de rea a cubrir, utilizando una antena sectorial de 120 de ancho de haz en lugar de una omnidireccional. Este nodo se uni mediante WDS al nodo principal y a los otros dos nodos secundarios, de forma que si se cae algn enlace la red se capaz de rutar correctamente los paquetes de todos los nodos.
Figura 63.- Configuracin elegida para la red de puntos de acceso
Pg. 139 de 177
Fecha: 24/06/2008
La red de acceso inalmbrica se une al servidor mediante un cable ethernet de 25 metros entre ste y el nodo principal. La configuracin de los puntos de acceso y del servidor (con firewall incluido) se detalla en los apartados siguientes. El servidor dispone de dos interfaces de red, una de ellas unida al nodo principal y la otra a la red interna de la asociacin, la cual tiene acceso a Internet. Por tanto, el servidor es el nexo de unin entre ambas redes, por lo que se debe configurar un firewall que permita el acceso slo a aquel usuario que est autenticado correctamente. En la siguiente imagen se muestra un esquema de todos los componentes de la red.
Figura 64.- Esquema general de la red
5.5.2.2.1 Nodo principal El nodo principal est compuesto por un punto de acceso unido a una antena omnidireccional de 12 dB de ganancia mediante un cable coaxial de 8 metros de longitud.
Pg. 140 de 177
Fecha: 24/06/2008
El punto de acceso se coloc en una caja estanca en la base del mstil de la antena de unos 8 metros de altura. Tanto el cable de alimentacin como el cable de red se protegieron de la intemperie mediante un tubo de plstico corrugado. Previamente, se configur el punto de acceso tal y como se describe en Radioenlaces. Configuracin de los puntos de acceso, configurando los enlaces WDS correspondientes. Igualmente se eligi la potencia de transmisin en 11,69 mw, ya que es la potencia que hace que la P.I.R.E. no supere el lmite legal, tal y como se detalla en el apartado Anlisis de la potencia irradiada. La direccin IP del punto de acceso fue configurada con el valor 10.10.10.1. 5.5.2.2.2 Nodos secundarios con antena omnidireccional Se colocaron dos nodos con antenas omnidireccionales de 9 dB de ganancia. Son los nodos 3 y 4. El punto de acceso previamente configurado y la antena omnidireccional se unen mediante un cable coaxial de slo un metro de longitud. En este caso no es necesario cable ethernet, ya que el enlace con los dems nodos se har de forma inalmbrica mediante WDS. An as, se instal un cable de red por si alguna vez cayera la interfaz inalmbrica del punto de acceso y hubiera que acceder a l a travs de uno de los puertos ethernet. El cable de alimentacin se alarg soldando 10 metros de cable de pares de 0.5 mm de grosor. La potencia de transmisin del punto de acceso se configur en 16,63 mw tal y como se deduce en el apartado Anlisis de la potencia irradiada. Las direcciones IP utilizadas para los puntos de acceso fueron 10.10.10.3 para el nodo 3 y 10.10.10.4 para el 4.
Pg. 141 de 177
Fecha: 24/06/2008
5.5.2.2.3 Nodo secundario con antena sectorial Este nodo est situado en el edificio ms alto de la zona, que adems se sita en la cara oeste del rea. Es por ello que se eligi una antena sectorial de 14 dB de ganancia y 120 de ancho de haz horizontal, ya que es fundamental que se transmita a la zona deseada y no se desperdicie potencia. La instalacin del nodo es parecida a los anteriores, excepto que en vez de un mstil vertical se us un mstil con forma de L anclado a la pared. Tambin se instal un cable de red para recuperar el punto de acceso en caso de cada de la interfaz inalmbrica. La direccin IP asignada al punto de acceso fue la 10.10.10.2 y la potencia de transmisin se estableci en 8,13 mw, tal y como se describe en el apartado Anlisis de la potencia irradiada. 5.5.2.3 Funcionamiento Lgico del sistema Para entender mejor el sistema, vamos a describir los pasos que se suceden desde que un usuario detecta la red hasta que se autentica y se le asignan los privilegios de los que dispone. La configuracin de todos los elementos que hacen que el mecanismo que se va a explicar sea posible, se describen en los apartados Configuracin de los puntos de acceso y Instalacin y configuracin del servidor. Por ahora, slo detallaremos los pasos lgicos que se llevan a cabo hasta conseguir la autenticacin del usuario. 1. Un cliente detecta la red con el SSID A.D.C. Los Colores. Si es Socio debe conocer la clave de encriptacin compartida WPA, por lo que podr asociarse correctamente. 2. El servidor DHCP (configurado en el servidor) le proporciona una direccin IP del rango de la red privada virtual creada por el portal cautivo chillispot configurado en el servidor. En este caso la red privada virtual es la 192.168.2.0.
Pg. 142 de 177
Fecha: 24/06/2008
3. El cliente abre el navegador y accede a una pgina web. Se crea por tanto una peticin TCP que es capturada por el servidor. ste le responde redireccionndolo a la la pgina web de bienvenida, controlada por un servidor web, donde slo dispondr de dos opciones:
1. 2.
Entrar en la pgina web de la asociacin. Entrar en el portal de acceso, donde se le pedir las credenciales correspondientes.
4. Al pulsar sobre el botn Login, se acceder al portal de acceso. Este portal trabaja con encriptacin extremo a extremo SSL, para que ningn usuario de la red pueda capturar las credenciales de otros usuarios. Debido a esto el cliente y el servidor intercambiarn certificados digitales. Una vez hecho esto se requerir el nombre de usuario y contrasea. El usuario debe introducirlo y pulsar en el botn aceptar. 5. Una vez introducido, el portal cautivo chillispot enva al servidor RADIUS (configurado en el mismo servidor) una peticin de autenticacin con las credenciales del usuario (Ver apartado RADIUS). ste busca esas credenciales en la base de datos llamada radius del servidor mySQL (en el mismo servidor tambin) y devuelve al portal cautivo un mensaje donde le indica si se le concede el acceso o no. En caso afirmativo le enva tambin los siguientes atributos:
1.
Tiempo de conexin. Se le indica el tiempo de conexin que le queda durante el da actual.
2.
Tasa de bajada. Segn al grupo que pertenezca el usuario se le asignarn 512 Kbps o 1Mbps como velocidad de bajada.
Pg. 143 de 177
Fecha: 24/06/2008
3.
Sesiones simultneas. Segn el usuario se le permitir tener 1 o ms sesiones al mismo tiempo.
6. El navegador abre una nueva instancia donde se le indica el tiempo restante. Aparece adems el botn logout, que deber ser pulsado cuando se finalice el acceso. Esta ventana deber ser minimizada.
Figura 65.- Diseo y funcionamiento de la red
7. El servidor redirecciona al cliente a la pgina que haba solicitado. A partir de ese instante y hasta que decida finalizar el servicio o se le agote el tiempo de conexin diario, el usuario dispondr de acceso a la red y conexin a Internet. Todas estas acciones se hacen de forma transparente al usuario, es decir, en su equipo no se tiene que instalar ningn software ni certificado digital. Esto es as debido al uso de protocolos soportados por prcticamente todos los navegadores web. 5.5.2.4 Radioenlaces. Configuracin de los puntos de acceso Como no existe la posibilidad de enlazar los puntos de acceso mediante un cable ethernet, la nica forma de realizarlo es la creacin de radioenlaces
Pg. 144 de 177
Fecha: 24/06/2008
entre ellos, haciendo uso de la tenologa WDS (Wireless Distribution System). Esta tecnologa tiene una desventaja: al usar cada punto de acceso una sla interfaz inalmbrica, la capacidad del sistema de divide por dos en cada uno de ellos. 5.5.2.4.1 Cambio de Firmware Los puntos de acceso elegidos (Linksys WRT54GL v1.1) no soportan esta tecnologa con el firmware de fbrica, por lo que debemos cargar un firmware modificado (ver apartado Linksys WRT54GL v1.1 como punto de acceso). En este proyecto se ha usado el firmware dd-wrt v23 SP2. Para cargarlo, se conecta mediante cable ethernet el punto de acceso a un pc. Se accede a la interfaz web del punto de acceso mediante un navegador, por defecto http://192.168.1.1. Ponemos nombre de usuario (admin por defecto) y contrasea (en blanco por defecto) y nos vamos a la seccin de administracin. Dentro de esta seccin est el apartado firmware update. Accedemos y elegimos la versin mini del firmware dd-wrt v23 SP2. Es importante que sea la versin mini, ya que sta ocupa menos de 2 megas y aunque el dispositivo tiene 4 MB no soportar en la primera actualizacin un firmware mayor de 2 MB.
Figura 66.- Actualizacin del firmware
Pg. 145 de 177
Fecha: 24/06/2008
Una vez actualizado a la versin mini, esperamos que el punto de acceso se resetee y accedemos de nuevo a la interfaz web. En este caso el usuario por defecto pasa a ser root, y el password admin. Una vez introducidos, nos dirigimos al apartado Administracin/Firmware upgrade e introducimos el fimware dd-wrt v23 SP2 en su versin estndar. Cuando se resetee el router, debemos acceder de nuevo a l y cambiar el password por uno propio. 5.5.2.4.2 Configuracin Bsica El servidor DHCP de la red de acceso va a estar gestionado por el servidor, por lo que se desactivar este servicio en todos los puntos de acceso y se le asignar una direccin IP a cada punto de acceso. Esto puede hacerse en la interfaz web Setup/Basic Settings. En la red de acceso se han configurado 4 puntos de acceso, con las direcciones de red 10.10.10.1 a 10.10.10.4. En cambio el servidor DHCP en el servidor se ha configurado en el rango 192.168.2.2-254, por lo que para acceder a los puntos de acceso es necesario configurar nuestra direccin IP manualmente en el rango 10.10.10.0. Esto reduce la posibilidad de intentos de intrusin en los routers, aumentando la seguridad. En este apartado es importante que rellenemos el campo nombre del punto de acceso, ya que favorece la identificacin. 5.5.2.4.3 Configuracin Inalmbrica A continuacin configuramos los parmetros de la red inalmbrica que va a dar servicio a los socios. Esto se hace desde el apartado inalmbrico de la interfaz web (puede elegirse el idioma espaol en el apartado administracin). Como se ve se ha elegido el canal de transmisin 9, ya que tras escanear las redes vecinas es el canal menos usado (slo 1 red con potencia dbil est en dicho rango).
Pg. 146 de 177
Fecha: 24/06/2008
Figura 67.- Configuracin Inalmbrica
En el apartado Seguridad Inalmbrica elegimos encriptacin WPA con el algoritmo TKIP, que es una mezcla perfecta entre seguridad y compatibilidad. Se elige una clave compartida de ms de 20 caracteres para evitar las vulnerabilidades descritas en el apartado Vulnerabilidades WPA. Estos parmetros deben ser exactamente iguales en todos los puntos de acceso, ya que en caso contrario no se pueden configurar enlaces WDS.
Figura 68.- Configuracin de seguridad inalmbrica
Pg. 147 de 177
Fecha: 24/06/2008
Finalmente en configuracin avanzada, elegimos qu antena de las dos disponibles se va a utilizar para la transmisin y recepcin, as como la potencia de transmisin.
Figura 69.- Configuracin avanzada inalmbrica
Para cumplir la legislacin vigente, necesitamos que cada punto de acceso no supere los 100 mw de PIRE. Esto se consigue para valores de 16,63 mw cuando las antenas son omnidireccionales de 9 dBi, 11,69 mw para las de 12 dBi y 8,13 mw para la sectorial de 14 dBi. La explicacin de estos valores se encuentra en el apartado Anlisis de la potencia irradiada.
5.5.2.4.4 Enlaces WDS A continuacin hay que configurar los enlaces WDS. Para ello simplemente se accede al apartado WDS y se introducen las direcciones MAC de los diferentes puntos de acceso tal y como se muestra en la figura.
Pg. 148 de 177
Fecha: 24/06/2008
Figura 70.- Configuracin WDS en Linksys WRT54GL con firmware dd-wrt
Es importante que todos los puntos de acceso tengan el mismo canal y la misma encriptacin. Si utilizamos WPA los puntos de acceso deben tener el mismo SSID a la fuerza, ya que ste se usa en el proceso de encriptacin. Adems si queremos hacer roaming entre puntos de acceso es imprescindible que sean iguales. 5.5.2.4.5 Calidad de servicio Para dar prioridad al trfico http en detrimento de trfico de redes p2p, accedemos al apartado Aplicaciones y Juegos/QoS. En este apartado podremos configurar que trfico es prioritario y qu direcciones IP son prioritarias. Por defecto, desactivaremos el firewall del punto de acceso (Apartado Seguridad/Firewall), ya que en nuestra red el firewall va a estar en el servidor.
Pg. 149 de 177
Fecha: 24/06/2008
Figura 71.- Configuracin de calidad de servicio
5.5.2.4.6 Otras configuraciones Es importante habilitar el servicio de administracin mediante SSH, ya que de esta forma podremos abrir una consola SSH en el punto de acceso, pudiendo acceder al sistema operativo Linux mediante lnea de comando. Esto es necesario para hacer pruebas (tipo ping), para instalar nuevas aplicaciones o para configuraciones que no pueden hacerse a travs de la interfaz web. Para ello debemos activar el servicio en el apartado Administracin/Servicios. Una vez activado, en Administracin debes activar el acceso remoto mediante SSH.
Figura 72.- Configuracin de reinicio automtico de los puntos de acceso
Pg. 150 de 177
Fecha: 24/06/2008
Igualmente es importante hacer que el punto de acceso se reinicie automticamente al menos una vez al da, previniendo de esta forma un posible mal funcionamiento o cuelgues de los mismos. Esto se puede configurar desde el apartado Administracin/Keep Alive. 5.5.2.5 Instalacin y configuracin del servidor El servidor es la parte inteligente de la red, y es el encargado de gestionarla y monitorizarla. Las funciones principales que debe hacer son: Servidor DHCP Portal cautivo Servidor autenticacin Servidor web Mantenimiento de usuarios Registro de entradas al sistema y uso del mismo Control de usuarios Para realizar todas estas funcionalidades se ha hecho uso de software libre completamente, por lo que no se ha tenido que adquirir ninguna licencia. A continuacin se lista el software utilizado. En los apartados sucesivos se detallar la instalacin y la configuracin de los mismos. El sistema operativo utilizado ha sido Ubuntu 8.04 LTS, que es un sistema operativo Linux basado en debian. Como portal cautivo y DHCP se ha elegido chillispot, debido a que permite trabajar con un servidor RADIUS para la autenticacin. El servidor de autenticacin utilizado ha sido freeradius, el cual soporta autenticacin con LDAP, CHAP y SQL. sta ltima es la que usaremos
Fecha: 24/06/2008
nosotros, instalando el paquete mysql Server. Tambin cuenta con un gestor web php para la gestin de los usuarios y estadsticas de uso. Su nombre es Dial Up Admin. Como servidor web se ha elegido apache2. Para implementar el firewall se ha utilizado iptables, que ya viene integrado en la mayora de los ncleos Linux actuales. Para implementar el sistema ha sido necesario instalar una segunda tarjeta de red, ya que se necesitan dos interfaces. Una conectada a los puntos de acceso (interfaz eth1) y la otra conectada a la red interna de la asociacin (interfaz eth0). 5.5.2.5.1 Instalacin y configuracin de la distribucin Ubuntu Una copia de la ltima distribucin Ubuntu puede obtenerse de http://www.ubuntu.com/. En este proyecto se ha utilizado la edicin Desktop alternate, pero podra haberse utilizado la edicin Server. La principal diferencia es que la edicin Server no instala el interfaz grfico. Una vez que tenemos la imagen de la edicin de Ubuntu grabada en un CD, iniciamos el servidor y modificamos los parmetros de arranque para que lo haga desde la unidad del CD-ROM. Comenzar de esta forma la instalacin. Sin entrar en detalles es esta instalacin (para ello puede consultarse la pgina web https://help.ubuntu.com/8.04/serverguide/C/index.html), mencionar que habr que hacer una particin para el rea de intercambio (El tamao ser el doble de la memoria RAM, en nuestro caso 4GB) y otra con el sistema de archivos ext3, que es el usado por Linux. Activaremos la marca de arranque en la particin ext3 para que el gestor de arranque Grub pueda iniciarse. En la edicin Server se nos preguntar qu grupo de tareas queremos instalar por defecto. En este proyecto de ha utilizado la tarea LAMP Server (instala apache, mySQL y PHP Server) y SSH Server (Para poder administrar
Fecha: 24/06/2008
remotamente el servidor). En la edicin Desktop estas tareas no se instalan por defecto y habr que instalarlas manualmente con el comando tasksel, como se ver ms adelante. En el servidor se han instalado dos discos duros iguales para poder hacer RAID 1 mediante software y evitar que si un disco duro se cae, se caiga con l todo el sistema. Esto se configura al hacer el particionado de los discos tal y como se explica a continuacin. 5.5.2.5.2 Configuracin de RAID 1 Cuando en la instalacin se nos pregunte por el modo de particionado debemos elegir manual, y realizar los siguientes pasos: 1. En ambos discos duros, elegimos la opcin de crear una tabla de particin nueva. 2. Elegimos crear una particin en el espacio libre. Seleccionamos todo el espacio disponible menos 4 GB, que dejaremos para la particin swap o rea de intercambio. 3. Seleccionamos en el apartado usar como: "physical volume for RAID" 4. Seleccionamos el punto de montaje en el directorio raiz: \ 5. Activamos la marca de arranque y guardamos los cambios. 6. En el espacio libre que hemos dejado, crear otra particin y elegir en usar como rea de intercambio. Guardar los cambios en la particin. 7. Hacer exactamente lo mismo con el segundo disco duro. 8. Una vez completado el particionado de los dos discos duros, seleccionamos la opcin Configurar software RAID 9. Seleccionamos Create a new MD Drive y seleccionamos RAID 1.
Pg. 153 de 177
Fecha: 24/06/2008
10. Seleccionamos 2 unidades y elegimos las particiones en las que queremos hacer RAID. En nuestro caso sda1 y sdb1. 11. El equipo comenzar a replicar una particin en la otra. Cuando finalice ya tendremos finalizado la configuracin de RAID 1. Si el disco duro principal cae, podremos arrancar el sistema desde el segundo disco duro, ya que tendremos todos los datos tal y como estaban en el disco duro estropeado. El nico problema es que no tenemos el gestor de arranque en el disco duro de respaldo. Para tenerlo, una vez que el sistema est instalado y funcionando debemos copiarlo, ejecutando para ello las siguientes instrucciones:
> sudo grub grub> device (hd1) /dev/sdb grub> root (hd1,0) grub> setup (hd1) grub> quit
5.5.2.5.3 Configuracin de las interfaces de red Una vez que tengamos el sistema instalado, debemos crear una contrasea para el usuario root, actualizar el sistema e instalar las tareas LAMP Server y SSH Server si no lo hemos hecho ya:
sudo passwd root #Esta orden crea una contrasea para root sudo apt-get update sudo apt-get upgrade #Actualiza los paquetes y el repositorio tasksel #Con esta orden accedemos al men de tareas. Seleccionaremos LAMP Server y SSH Server
Para configurar las dos interfaces de red (eth0 y eth1), debemos editar el archivo interfaces:
nano -w /etc/network/interfaces
Lo configuramos de la siguiente manera:

auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto eth1
Pg. 154 de 177
Fecha: 24/06/2008
De esta forma estamos configurando el interfaz eth0 para que obtenga una direccin IP del router ADSL, dejando la interfaz eth1 (que estar conectada a los puntos de acceso) a merced del portal cautivo, que ser el que la administre. Se necesita habilitar la funcin packet forwarding, para lo que debe editarse el archivo:
nano -w /etc/sysctl.conf
Debe aadirse al final la lnea.

net/ipv4/ip_forward=1
A continuacin, para evitar reiniciar tendremos que ejecutar los siguientes comandos:
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward sudo /etc/init.d/networking restart
Para finalizar con las interfaces de red, debemos habilitar el mdulo tun, ya que este permitir a chillispot hacer un tnel entre las interfaces eth0 y la red virtual que crea en eth1.
nano -w /etc/modules tun #aadimos esta lnea al final para cargar el mdulo en el ncleo al reiniciar sudo modprobe tun #Con esta orden lo cargamos directamente sin tener que reiniciar
5.5.2.5.4 Configuracin del portal cautivo Chillispot Para instalar chillispot debemos descargarnos el paquete desde www.chillispot.info, o usar la utilidad aptitude:
sudo apt-get install chillispot
Cuando se instale, se requerirn los parmetros de configuracin de chillispot. Veamos cules son: Direccin IP del servidor RADIUS.- En nuestro caso vamos a instalar freeradius en la misma mquina, por lo que pondremos la direccin de loopback 127.0.0.1.
Pg. 155 de 177
Fecha: 24/06/2008
Secreto compartido RADIUS.- Aqu pondremos la clave que vayamos a usar como secreto compartido. Debemos memorizarla o anotarla, ya que debemos usarla cuando configuremos freeradius. Interfaz de red para escuchar peticiones DHCP.- Es la interfaz donde estn conectados los puntos de acceso. En este caso era eth1. Direccin del servidor UAM. Esta es la direccin del servidor web donde est albergada la pgina que se le muestra a los usuarios en su navegador para proceder a la autenticacin. En este caso, escribiremos https://192.168.2.1/cgi-bin/hotspotlogin.cgi, ya que crearemos un host virtual y le asignaremos la direccin 192.168.2.1. Puede consultarse en la configuracin de apache ms adelante. Secreto compartido entre chillispot y el servidor web, aqu elegiremos una clave a usar. Debemos recordarla porque tendremos que indicarla en el cdigo de la pgina web de autenticacin. Una vez configurado estos campos, tendremos que habilitar chillispot. Para ello hacemos:
nano -w /etc/default/chillispot ENABLED=1
Ahora editamos el archivo chilli.conf, donde estn los parmetros que hemos introducido antes y otros que nos interesa cambiar:
nano -w /etc/chilli.conf
Este archivo debe quedar de la siguiente manera:

net 192.168.2.0/24 #Le decimos que la red privada a virtual sea la 192.168.2.0 #dns1 192.168.2.1 #dns2 192.168.2.1 domain domain.org # Elegimos el dominio que queramos radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 #Por si hay un servidor de respaldo en caso de caida radiussecret radiussecret #Aqu estar el secreto compartido que hayamos elegido dhcpif eth1 uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi uamhomepage http://192.168.2.1/InicioLogin.html #Esta es la pgina de bienvenida creada uamsecret uamsecret uamlisten 192.168.2.1 #La direccin perteneciente a la red virtual elegida que queremos tenga las interfaz uamallowed www.adcloscolores.com,192.168.2.0/24 #Lo que se permite observer sin autenticacin
Pg. 156 de 177
Memoria del proyecto Finalmente debemos iniciar el servicio chillispot.

sudo /etc/init.d/chillispot start
Fecha: 24/06/2008
5.5.2.5.5 Configuracin del firewall En el paquete chillispot, existe un archivo con reglas tipo iptables ya creadas. Usaremos estas mismas reglas y aadiremos una ms para permitir administrar remotamente el servidor mediante SSH desde la interfaz eth1, ya que por defecto est inhabilitado. Para ello tendremos que abrir el puerto 22 tcp. Veamos como se crearon las reglas y se activaron. Copiamos las reglas de la siguiente manera:
sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables sudo chmod a+x /etc/init.d/chilli.iptables sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables
Por defecto, estas reglas estn creadas para las interfaces eth0 y eth1, donde eth0 es la interfaz conectada a Internet y eth1 es la interfaz conectada a los puntos de acceso. En nuestro caso esto es as y no necesitamos cambiar nada en el archivo iptable. Veamos como es el archivo chilli.iptable y como se aade la regla para permitir administracin remota por SSH en la interfaz eth1:
nano -w /etc/init.d/chilli.iptables IPTABLES="/sbin/iptables" EXTIF="eth0" INTIF="eth1" $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT #Allow related and established on all interfaces (input) $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Allow releated, established and ssh on $EXTIF. Reject everything else. $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT #La aadimos para SSH $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT #La aadimos para telnet $IPTABLES -A INPUT -i $EXTIF -j REJECT #Allow related and established from $INTIF. Drop everything else. $IPTABLES -A INPUT -i $INTIF -j DROP continua
Pg. 157 de 177

#.. #Allow http and https on other interfaces (input). #This is only needed if authentication server is on same server as chilli $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT #Allow 3990 on other interfaces (input). $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT #Allow everything on loopback interface. $IPTABLES -A INPUT -i lo -j ACCEPT # Drop everything to and from $INTIF (forward) # This means that access points can only be managed from ChilliSpot $IPTABLES -A FORWARD -i $INTIF -j DROP $IPTABLES -A FORWARD -o $INTIF -j DROP #Enable NAT on output device $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
Fecha: 24/06/2008
5.5.2.5.6 Configuracin del servidor RADIUS y mySQL Primero hay que instalar los siguientes paquetes:
sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin
A continuacin se crea la base de datos que usaremos para comprobar las credenciales. La llamaremos radius:
mysql -u root -p Enter password: #Introducimos la clave que elegimos para el servidor mySQL mysql> CREATE DATABASE radius; mysql> quit
A continuacin, copiamos la estructura de base de datos de ejemplo que viene en la documentacin de freeradius:
zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius Enter password: #xxxxxxxxxxxxx mysql -u root -p Enter password: #xxxxxxxxxxxxx mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret'; mysql> FLUSH PRIVILEGES; mysql> quit
Editamos el archivo de configuracin sql para indicarle el servidor, usuario y contrasea.

nano -w /etc/freeradius/sql.conf server = "localhost" login = "radius" password = "mysqlsecret"
Pg. 158 de 177
Fecha: 24/06/2008
En el archivo de configuracin clients.conf se indican los clientes que van a realizar peticiones RADIUS y con qu secreto compartido. En nuestro caso ser el propio servidor por lo que el archivo queda:
nano -w /etc/freeradius/clients.conf client 127.0.0.1 { secret = radiussecret }
Por defecto, freeradius viene configurado para contrastar las credenciales con un archivo de texto llamado users. Para que contraste las credenciales con el servidor SQL, habr que indicarlo en el archivo de configuracin radiusd.conf, para ello lo editamos y lo modificamos. Simplemente hay que comentar en la parte de autorizacin la lnea donde est files y quitarle el comentario a sql:
nano -w /etc/freeradius/radiusd.conf authorize { preprocess # auth_log # attr_filter chap mschap # digest # IPASS suffix # ntdomain eap # files sql # etc_smbpasswd # ldap # daily # checkval }
Para poder utilizar Dial Up Admin (se ver ms adelante), necesitaremos hacer lo siguiente:
nano -w /etc/freeradius/sql.conf sql { driver = "rlm_sql_mysql" server = "localhost" login = "radius" password = "mysqlsecret" radius_db = "radius" [...] # Set to 'yes' to read radius clients from the database ('nas' table) readclient = yes # Tendremos que poner este parmetro a yes }
Fecha: 24/06/2008
nano -w /etc/freeradius/radiusd.conf $INCLUDE ${confdir}/sql.conf authorize { preprocess chap suffix eap #files sql } accounting { detail radutmp sql #Introducir sql aqu. Esto crear logs en las tablas de la base datos radius } session { sql #Igual que para accounting, queremos que se registren las sesiones en la base de datos }
Para aadir un usuario a la base de datos, haremos:

echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');" | mysql -u radius -p radius Enter password: xxxxxxxxxxxx
sudo /etc/init.d/freeradius restart #Reiniciamos freeradius
Podemos probar que el servidor RADIUS funciona bien con la utilidad radtest:
sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret
El servidor RADIUS nos devuelve el siguiente mensaje si todo est bien configurado:
Sending Access-Request of id 180 to 127.0.0.1 port 1812 User-Name = "mysqltest" User-Password = "testsecret" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20
Pg. 160 de 177
Fecha: 24/06/2008
5.5.2.5.7 Configuracin del servidor web apache Debe instalarse la tarea LAMP Server si no est instalada mediante el comando tasksel. Despus, creamos la pgina de login copiando la que viene con el paquete chillispot:
sudo mkdir -p /var/www/hotspot/cgi-bin zcat -c /usr/share/doc/chillispot/hotspotlogin.cgi.gz | sudo tee /var/www/hotspot/cgi-bin/hotspotlogin.cgi sudo chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi
Editamos el script, y ponemos el secreto del srvidor UAM que configuramos en Chillispot:
nano -w /var/www/hotspot/cgi-bin/hotspotlogin.cgi $uamsecret = "uamsecret"; $userpassword=1;
Para la autenticacin mySQL, es necesario instalar y activar el mdulo apache:

sudo apt-get install libapache2-mod-auth-mysql
Como vamos a usar conexiones SSL para la pgina de login, tendremos que instalar el mdulo SSL.
sudo apt-get install ssl-cert sudo mkdir /etc/apache2/ssl
A continuacin, habr que hacer un certificado SSL que ser utilizado por el host virtual que crearemos ms adelante. El sistema preguntar por una serie de parmetros (Localidad, Provincia, etc.), siendo el ms importante el nombre del host. En este pondremos 192.168.2.1. De esta forma conseguiremos que el nombre del host y el del certificado coincidan, ya que los navegadores dan avisos de posibilidad de intrusin en caso de que no coincidan:
sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
Activamos el mdulo ssl y recargamos apache2 de nuevo:

sudo a2enmod ssl /etc/init.d/apache2 force-reload
Pg. 161 de 177
Memoria del proyecto A continuacin creamos el host virtual:

sudo nano -w /etc/apache2/sites-available/hotspot NameVirtualHost 192.168.2.1:443 <VirtualHost 192.168.2.1:443> ServerAdmin webmaster@domain.org DocumentRoot "/var/www/hotspot" ServerName "192.168.2.1" <Directory "/var/www/hotspot/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> Alias "/dialupadmin/" "/usr/share/freeradius-dialupadmin/htdocs/" <Directory "/usr/share/freeradius-dialupadmin/htdocs/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /var/www/hotspot/cgi-bin/ <Directory "/var/www/hotspot/cgi-bin/"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/hotspot-error.log LogLevel warn CustomLog /var/log/apache2/hotspot-access.log combined ServerSignature On SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem </VirtualHost>
Fecha: 24/06/2008
Para activar el host virtual creado:

sudo a2ensite hotspot /etc/init.d/apache2 reload
Para que el servidor escuche el puerto 80 (http) y el 443 (https), debemos aadir dos lneas al archivo ports.conf:
nano -w /etc/apache2/ports.conf
Pg. 162 de 177

Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>
Fecha: 24/06/2008
Modificamos el archivo default:

sudo nano -w /etc/apache2/sites-available/default NameVirtualHost *:80 <virtualhost *:80>
Aadimos el servidor creado en el archivo de configuracin apache2.conf:

nano -w /etc/apache2/apache2.conf
ServerName 192.168.2.1
Editamos el archivo hosts para incluir el que se ha creado:

nano -w /etc/hosts 192.168.2.1 host.name host #Ponemos el nombre del host
Reiniciamos apache2:
sudo /etc/init.d/apache2 restart
Ahora, debemos poder entrar en la pgina de login https://192.168.2.1/cgibin/hotspotlogin.cgi. Esta es la pgina que configuramos antes en chillispot como servidor UAM. Slo nos queda reiniciar el sistema y ya tendremos el servidor configurado. Slo nos queda instalar Dial Up admin. 5.5.2.5.8 Configuracin del administrador radius Dial Up admin. Dial Up Admin es una herramienta programada en php que nos permite administrar los usuarios, grupos, estadsticas, etc. desde una interfaz web. Su instalacin es sencilla y se llev a cabo de la siguiente manera:
Fecha: 24/06/2008
sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/badusers.sql | mysql -u radius -p radius mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/mtotacct.sql mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/totacct.sql sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/userinfo.sql | mysql -u radius -p radius
Indicamos en el archivo de configuracin de Dial Up Admin admin.conf los parmetros de la base de datos mySQL con la que trabaja radius:
nano -w /etc/freeradius-dialupadmin/admin.conf general_domain: dominio.org general_radius_server_secret: radiussecret general_encryption_method: clear sql_username: radius sql_password: mysqlsecret #sql_debug: true
Ya podremos acceder a la pgina de administracin de Dial Up Admin, en https://192.168.2.1/dialupadmin/index.html. Para generar una contrasea de administrador y restingir el acceso hacemos:
nano -w /etc/apache2/sites-available/hotspot <Directory "/usr/share/freeradius-dialupadmin/htdocs"> ... AuthName "Restricted Area" #Aadimos estos parmetros para que el acceso sea pr contrasea AuthType Basic AuthUserFile /etc/apache2/.htpasswd #Le indicamos que archive vamos a usar para guarder a los usuarios require valid-user </Directory>
Aadimos el usuario admin con su contrasea y reiniciamos apache:

sudo htpasswd -bcm /etc/apache2/.htpasswd admin adminsecret sudo /etc/init.d/apache2 restart
Ahora le indicamos a Dial Up Admin qu servidores tiene que gestionar. En nuestro caso solo le indicaremos 1, pero podran gestionarse muchos ms:
nano -w /etc/freeradius-dialupadmin/naslist.conf nas1_name: nas1.%{general_domain} nas1_type: other nas1_model: ChilliSpot nas1_ip: 0.0.0.0 nas1_finger: database
Pg. 164 de 177
Fecha: 24/06/2008
5.5.2.5.9 Configuracin de parmetros especiales en RADIUS A continuacin se explica como configurar en RADIUS el uso simultneo de sesiones (o su restriccin a una sla sesin) y el lmite de tasa de bajada. Primero accedemos al archivo de configuracin sql.conf:
nano w /etc/freeradius/sql.conf # Uncomment simul_count_query to enable simultaneous use checking simul_count_query = "SELECT COUNT(*) \ #Quitamos el comentario a esta lnea #FROM ${acct_table1} \ #WHERE UserName='%{SQL-User-Name}' \ #AND AcctStopTime = 0" simul_verify_query = "SELECT RadAcctId, AcctSessionId, UserName, \ NASIPAddress, NASPortId, FramedIPAddress, \ CallingStationId, FramedProtocol \ FROM ${acct_table1} \ WHERE UserName='%{SQL-User-Name}' \ AND AcctStopTime = 0"
Una vez echo esto, tendremos que crear el parmetro use simultaneous en la tabla radreply y radgroupreply de la base de datos RADIUS. Se lo asignamos a los usuarios y/o grupos correspondientes dndole el valor de uno, dos, etc. Por defecto slo se permitir una sesin simultnea, por lo que el valor ser uno. Esto puede hacerse usando DialUp Admin y sus archivos de configuracin:
nano -w /etc/freeradius-dialupadmin/user_edit.attrs # # Attributes which will be visible in the user/group edit pages # # Format: Attribute Comment # # #Auth-Typ <a href="help/auth_type_help.html" target=su_help onclick=window.open("help/auth_type_help$ Simultaneous-Use <a href="help/simultaneous_use_help.html" target=su_help onclick=window. open("help/simulta$ #Se ha quitado el comentario a la lnea Simultaneous-Use Framed-Protocol <a href="help/framed_protocol_help.html" target=fpr_help onclick=window.open("help/framed_$ Framed-IP-Address <a href="help/framed_ip_address_help.html" target=fia_help onclick=window.open("help/frame$ Framed-IP-Netmask IP Netmask #Framed-Route Route #Framed-Routing #Filter-Id <a href="help/filter_id_help.html" target=fid_help onclick=window.open("help/filter_id_hel$ Framed-MTU <a href="help/framed_mtu_help.html" target=fid_help onclick=window.open("help/framed_mtu_h$ Framed-Compression <a href="help/framed_compression_help.html" target=fc_help onclick=window.open("help/frame$ Service-Type <a href="help/service_type_help.html" target=st_help onclick=window.open("help/service_typ$ #Login-IP-Host #Login-Service
Pg. 165 de 177
Fecha: 24/06/2008
Adems del uso simultneo, se han usado los siguientes parmetros: Max-Daily-Session Max-Monthly-Session WISPr-Bandwidth-Max-Down WISPr-Bandwidth-Max-Up Lmite Diario (en segundos) Lmite mensual (en segundos) Mxima tasa de bajada (en bps) Mxima tasa de subida (en bps)
Los dos primeros parmetros slo tendremos que decomentarlos en el archivo de configuracin antes descrito. En cambio los dos ltimos (lmites de bajada y subida), tendremos que crear las lenas nosotros mismos. Finalmente, tendremos que colocar los contadores diarios y mensuales en la parte de autorizacin y accounting del archivo radiusd.conf para que funcione correctamente. Estos contadores no hacen falta crearlos, sino que vienen ya creados en el propio archivo de configuracin radius.conf, bajo las funciones sqlcounter dailycounter() y sqlcounter monthlycounter().
nano -w /etc/freeradius/radiusd.conf authorize { # (...) sql dailycounter monthlycounter # some module to restrict bandwidth if overvap is set, e.g.: # users # (...) } accounting { # (...) dailycounter monthlycounter }
5.5.2.6 Colocacin de puntos de acceso y antenas Para colocar los puntos de acceso en las partes altas de las viviendas, se ha utilizado el siguiente material: Punto de acceso Linksys WRT54GL previamente configurado
Memoria del proyecto Antena omnidireccional 9 dBi
Fecha: 24/06/2008
Pigtail de 1 metro de longitud. Tipo de cable LMR400 de bajas prdidas. Cajas estanca bajo el estndar IP55. Mstil de 1,5 metros. Bridas de sujecin. Se ha aprovechado que en las casas de los vecinos hay instalada una antena de UHF con un mstil. Por tanto el procedimiento seguido ha sido colocar todos los componentes en el mstil adquirido y encajarlo en el que ya est instalado, o unirlo a ste con las bridas. Se ha dejado un cable de red conectado al punto de acceso por si se cayera el interfaz inalmbrico y necesitramos conectarnos al punto de acceso va ethernet. Para alimentar el punto de acceso, se ha alargado el cable de alimentacin continua y se deja enchufado el transformador en casa del vecino. Para conseguir aislar la caja estanca del sol por unas horas y evitar el sobrecalentamiento del punto de acceso, se le ha provisto una chapa en la parte superior de la caja, orientada al sol, de forma que provea de sombra a la caja en las horas de ms calor.
Figura 73.- Instalacin de una de las antenas en el tejado de la casa de un vecino
Pg. 167 de 177
Fecha: 24/06/2008
5.5.2.7 Anlisis de la potencia irradiada La legislacin vigente en Espaa limita la P.I.R.E. (Potencia Isotrpica Radiada Equivalente) a 100 mw en la banda de 2.4 GHz utilizada en este proyecto. Por tanto debemos tener presente en el diseo este lmite, as como la antena y potencia de transmisin a la antena para no superar este lmite en ninguno de los nodos. El parmetro de diseo ajustable es la potencia de salida de los puntos de acceso, que podremos ajustarla al valor que garantice la no superacin del lmite legal. Este ajuste es posible gracias al firmware usado en los puntos de acceso, que permite esta opcin. Interesa que la ganancia de la antena sea lo ms alta posible, a costa de disminuir la potencia a la salida del punto de acceso, ya que al tener las antenas la propiedad de reciprocidad, estamos aumentando la potencia en recepcin a medida que aumentamos la ganancia de la antena. En cambio, al aumentar la potencia de transmisin en el punto de acceso no influimos en la recepcin. Para calcular la P.I.R.E., se ha seguido el esquema de la figura para los diferentes nodos. La restriccin ser que Ps no supere los 100 mw.
Pe Lc Lcoax Lc
Ps
Punto Punto de de acceso acceso
Conector Conector
Coaxial Coaxial
Conector Conector
Figura 74.- Esquema utilizado para el clculo de la PIRE
La ecuacin que se usar por tanto para el clculo es la siguiente:
Ps(dBm) = Pe(dBm) Lc Lcoax Lc + G
Pg. 168 de 177
Fecha: 24/06/2008
5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB En este caso tenemos una antena omnidireccional de 12 dB de ganancia y 8 metros de cable coaxial del tipo LMR400, con prdidas de 0,21 dB/m. La prdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. Los 8 metros de cable tienen una prdida total de 1,68 dBm. Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw 20 dBm, calculemos cunto debe ser la potencia a la salida del punto de acceso (Pe). 20 dBm= Pe(dBm)-0,5-1,68-0,5+12 Pe(dBm)=10,68 Pe=11,69 mw 5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB En este caso tenemos una antena sectorial de 14 dB de ganancia y 10 metros de cable coaxial del tipo LMR400, con prdidas de 0,21 dB/m. La prdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. La prdida total del cable coaxial es de 2,2 dB. Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw 20 dBm, calculemos cunto debe ser la potencia a la salida del punto de acceso (Pe). 20 dBm= Pe(dBm)-0,5-2,1-0,5+14 Pe(dBm)=9,1 Pe=8,13 mw 5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi En este caso tenemos una antena omnidireccional de 9 dB y 1 metro de cable coaxial del tipo LMR400, con prdidas de 0,21 dB/m.
Pg. 169 de 177
Fecha: 24/06/2008
La prdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw 20 dBm, calculemos cunto debe ser la potencia a la salida del punto de acceso (Pe). 20 dBm= Pe(dBm)-0,5-0,21-0,5+9 Pe(dBm)=10,68 Pe=16,63 mw 5.5.3 Fase II En esta fase, an por realizar se pretende aumentar la capacidad y cobertura del sistema. Para ello se colocar un nuevo punto de acceso principal unido al anterior mediante cable ethernet. El nuevo nodo usar una frecuencia que no solape con el sistema instalado en la fase I, de forma que se duplique la capacidad del sistema.
Nodo Principal 1 Nodo Principal 2 Nodos Secundarios 1 Nodos Secundarios 2 Antena sectorial Antena omnidireccional Enlaces principales 1 Enlaces secundarios 1 Enlaces principales 2 Enlaces secundarios 2
Figura 75.- Diseo de la red propuesto para la fase II
Los nodos principales se dotarn de sendas antenas sectoriales, para de esta forma sectorizar la cobertura y aumentar la capacidad. Los nodos secundarios se unirn a unos de los principales segn en qu parte de la zona
Pg. 170 de 177
Fecha: 24/06/2008
se encuentren (Ver figura). Igualmente se proveer al sistema inalmbrico de enlaces secundarios redundantes que lo doten de mayor fiabilidad. La configuracin es similar a la ya descrita en la fase I, por lo que no entraremos en detalle, sino que se remite al lector al apartado Fase I. Simplemente se configurara los puntos de acceso enlazados con el nuevo nodo principal en el canal 2 y se dejara los dems en el canal 9. Lo dems se hace exactamente igual que lo explicado anteriormente. 5.5.4 Fase III En esta fase se pretende aadir nuevas funcionalidades a la red. An est en estudio y queda fuera del alcance del proyecto.
5.6
Presupuesto
El presupuesto para el proyecto es directamente proporcional a los nodos
que se vayan a instalar. Por tanto, para conocer el coste de cada fase hay que saber el coste de un nodo. Un nodo se compone de: Punto de Acceso.- El punto de acceso elegido es el Linksys WRT54G. La razn de esta eleccin se encuentra en que Linksys es una empresa asociada a Cisco, el precio es muy asequible y funciona con Linux, por lo que pueden aadrsele infinidad de funcionalidades a posteriori y convertirlo en un punto de acceso de increbles prestaciones para su precio. Su precio en el mercado es de 70 . Mstil, Caja estanca y cables.- La antena debe ir colocada sobre un mstil que la fije. El punto de acceso tambin ir sobre el mstil, ubicado en una caja estanca para protegerlo de la lluvia. El punto de acceso necesitar ir alimentado mediante un cable de corriente y la antena se conectar al punto de acceso mediante un cable pigtail, cable coaxial
Pg. 171 de 177
Fecha: 24/06/2008
(impedancia 50) y conectores tipo N. Todo ello asciende a un coste de unos 50 por nodo. Antenas.Normalmente se necesitar una antena sectorial o
omnidireccional (segn la situacin del nodo) y una antena direccional para realizar el enlace con el nodo principal. En algunos casos con una antena ser suficiente, por lo que el precio de la/s antena/s oscilar/n entre 60 y 140 . Por tanto, un nodo secundario tendr un coste de 180 como mnimo y 270 como mximo. Para reducir costes se ha intentado que los nodos tengan visin directa entre s para poder prescindir de las antenas direccionales, realizando el enlace y ofreciendo cobertura con la misma antena. Esta no es la mejor solucin en cuanto a capacidad y calidad, pero s lo es en cuanto a coste. De estas y ms opciones se habla en el apartado Consideraciones Iniciales. 5.6.1 Presupuesto para la fase I y II En la tabla siguiente se muestra un desglose de los componentes utilizados en la fase I del proyecto.
Producto Punto de acceso Linksys WRT54GL Antena omnidireccional 9 dB Antena omnidireccional 12 dB Antena sectorial 14 dB 120 Bobina 100m ethernet CAT5 UTP exterior Mstil y bridas de agarre Cajas estanca Gewiss IP55 Pigtail 8 metros LMR400 Pigtail 1 metro LMR400 Cable de pares 0,5 mm grosor Crimpadora RJ45 y conectores TOTAL Cantidad 4 2 1 1 1 3 4 1 3 1 1 Precio 70 60 70 130 51,25 12 25 50 25 35 20 Importe 280 120 70 130 51,25 36 100 50 75 35 20 967,25
Tabla 6.- Presupuesto para la fase I
En el caso de la fase II, necesitaremos exactamente el mismo presupuesto, ya que se trata de formar otra red aparte unida a la primera mediante un cable ethernet entre sus nodos principales, como se muestra en el
Pg. 172 de 177
Fecha: 24/06/2008
apartado Fase II. De hecho el presupuesto va a ser ligeramente superior al colocar 2 antenas sectoriales en los nodos principales, para aumentar la capacidad del sistema sectorizando la cobertura. El presupuesto de los dispositivos en la fase II se resume en la siguiente tabla:
Producto Punto de acceso Linksys WRT54GL Antena omnidireccional 9 dB Antena sectorial 14 dB 120 Bobina 100m ethernet CAT5 UTP exterior Mstil y bridas de agarre Cajas estanca Gewiss IP55 Pigtail 8 metros LMR400 Pigtail 1 metro LMR400 Cable de pares 0,5 mm grosor Crimpadora RJ45 y conectores TOTAL Cantidad 4 2 2 1 3 4 1 3 1 1 Precio 70 60 130 51,25 12 25 50 25 35 20 Importe 280 120 260 51,25 36 100 50 75 35 20 1027,25
Tabla 7.- Presupuesto para la fase I
En el presupuesto expuesto anteriormente, slo se ha tenido en cuenta el coste de los dispositivos, ya que es la nica inversin que va a hacer la asociacin. Para comprender la envergadura del proyecto se expone el coste real del mismo incluyendo todos los conceptos restantes por el que facturara una empresa de ingeniera (diseo, montaje, mantenimiento, montaje, etc.).
Concepto a facturar
Diseo de la red Montaje de nodos Configuracin del servidor Mantenimiento Hardware
Presupesto Real
1500 900 1200 1500 Anuales 2400 3000
Presupuesto asociacin
0 0 0 0 1994,5 (Fases I y II)
Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociacin
Pg. 173 de 177
Fecha: 24/06/2008
6 Anexos
El anexo a este proyecto lo constituye el DVD que lo acompaa, ya que en este DVD se puede encontrar: Esta memoria. Software utilizado en este proyecto, incluidas las versiones de Ubuntu. Libros electrnicos sobre wireless. Especificaciones tcnicas de cables LMR. Recomendaciones 802.11 Enlaces a pginas web sobre wireless. Etctera.
Pg. 174 de 177
Fecha: 24/06/2008
7 Bibliografa utilizada
Bruce E. Alexander, 802.11 Wireless Network Site Surveying and Installation, Noviembre de 2004. Matthew S. Gast, 802.11 Wireless Networks: The Definitive Guide. Hui Liu, Guoqing Li, OFDM-Based Broadband Wireless Networks, Design and Optimization, 2005. Daniel Minoli, Hotspot Networks: Wi-Fi for Public Access Locations, 2003. Ron Olexa, Implementing 802.11, 802.16, and 802.20 Wireless Networks. Planning, Troubleshooting and Operations, 2005. Pejman Roshan, Jonathan Leary, 802.11 Wireless LAN Fundamentals, Diciembre 2003. Redes Inalmbricas en los Pases en Desarrollo, Enero de 2006. Jim Aspinwall, Installing, Troubleshooting, and Repairing Wireless Networks, 2003. Jos Mara Hernando Rbanos, Transmisin por Radio, Junio de 1998. John G. Proakis, Digital Communications, 1989 IEEE 802.11Working Group, http://grouper.ieee.org/groups/802/11/index.html. R. Baird y M. Lynn, Advanced 802.11 Attack, Julio 2002. Hakin9, revista de seguridad informtica. http://www.hakin9.org/ .
Pg. 175 de 177
Fecha: 24/06/2008
8 ndices de tablas y figuras

8.1 ndice de figuras
Figura 1. Familia IEEE 802 y su relacin con el modelo OSI________________________ 9 Figura 2. Modelo de etiqueta de certificado Wi-Fi _______________________________ 14 Figura 3.- Tcnica FHSS ___________________________________________________ 17 Figura 4.- Secuencia de Barker ______________________________________________ 18 Figura 5.- Canales utilizables para DSSS ______________________________________ 19 Figura 6. Suportadotas de un canal OFDM de 20 MHz ___________________________ 22 Figura 7. Canales Operativos 802.11a ________________________________________ 23 Figura 8. Funcionamiento de CSMA/CA _______________________________________ 29 Figura 9. Problema del nodo escondido _______________________________________ 30 Figura 10.- Funcionamiento del protocolo basado en reserva del canal ______________ 31 Figura 11. Formato de trama MAC y trama de control ____________________________ 32 Figura 12. Estados y transiciones para la autenticacin de un cliente ________________ 34 Figura 13.Ejemplo de red inalmbrica con topologa de infraestructura ______________ 36 Figura 15. Configuracin de radiocanales en 802.11b y g _________________________ 48 Figura 16. Configuracin de radiocanales para el estndar 802.11a _________________ 48 Figura 17. Eficiencia MAC para los diferentes estndares _________________________ 62 Figura 18.Ejemplo de guas de onda __________________________________________ 64 Figura 19. Cable coaxial de radiacin_________________________________________ 64 Figura 20. Estructura de un cable coaxial ______________________________________ 65 Figura 21. Conector tipo BNC _______________________________________________ 67 Figura 22. Conector TNC hembra y macho _____________________________________ 67 Figura 23. Conector N hembra y macho _______________________________________ 68 Figura 24. Conectores SMA macho y hembra ___________________________________ 68 Figura 25. Conectores SMB hembra y macho ___________________________________ 69 Figura 26. Conector RP-TNC hembra y macho __________________________________ 69 Figura 27. Conector U.FL hembra y macho ____________________________________ 70 Figura 28. Conector MMCX y MMCX RP ______________________________________ 70 Figura 29. Diagrama de radiacin de una antena Yagi en coordenadas rectangulares ___ 74 Figura 30. Diagrama de radiacin de una antena Yagi en coordenadas polares lineal ___ 75 Figura 31. Diagrama de radiacin de una antena Yagi en coordenadas polares lineal ___ 76 Figura 32. Direccin de propagacin, campo elctrico y campo magntico de una onda._ 79 Figura 33.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 80 Figura 34.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 81 Figura 35.- Patrn de radiacin en el plano vertical y ganancia de antena de omnidireccional 12 dBi_____________________________________________________ 81 Figura 36.- Diagramas de radiacin de una antena sectorial de 15dBi de ganancia. ____ 82 Figura 37.- Diagramas de radiacin de una antena sectorial de 14dBi de ganancia. ____ 82 Figura 38.- Diagramas de radiacin de una antena planar de 14dBi de ganancia. ______ 83 Figura 39.- Diagramas de radiacin de una antena planar de 17dBi de ganancia. ______ 83 Figura 40. Generacin de las llaves para la encriptacin WEP _____________________ 92 Figura 41. Esquema de encriptacin de datos mediante WEP_______________________ 93 Figura 42. Esquema de desencriptacin de datos mediante WEP ____________________ 94 Figura 43.- Fases para el establecimiento de un contexto seguro ____________________ 97 Figura 44.- Fase 1: Acuerdo sobre la poltica de seguridad ________________________ 98 Figura 45.- Fase 2: autenticacin 802.1X ______________________________________ 99 Figura 46.- Fase 3: Jerarqua y distribucin de claves ____________________________ 99 Figura 47.- Fase 3: jerarqua de clave por parejas ______________________________ 101 Figura 48.- Fase 3: 4-Way Handshake _______________________________________ 102
Fecha: 24/06/2008
Figura 49.- Fase 3: jerarqua de Group Key ___________________________________ 103 Figura 50.- Fase 3: Group Key Handshake ____________________________________ 104 Figura 51.- Esquema y encriptacin de TKIP Key-Mixing ________________________ 105 Figura 52.- Computacin de MIC utilizando el algoritmo Michael__________________ 106 Figura 53.- Encriptacin CCMP ____________________________________________ 107 Figura 54. Caractersticas del rea a cubrir ___________________________________ 125 Figura 55.- Patrn de radiacin de la antena omnidireccional de 9dB utilizada._______ 130 Figura 56.- Patrn de radiacin de la antena omnidireccional de 12 dB utilizada. _____ 131 Figura 57.- Patrn de radiacin de la antena sectorial utilizada. ___________________ 131 Figura 58.- Caja estanca __________________________________________________ 132 Figura 59.- Router ADSL __________________________________________________ 133 Figura 60.- Resumen del enfoque del proyecto realizado _________________________ 134 Figura 61.- Redes detectadas desde los nodos 1 y 2 _____________________________ 137 Figura 62.- Redes detectadas desde los nodos 3 y 4 _____________________________ 138 Figura 63.- Configuracin elegida para la red de puntos de acceso ________________ 139 Figura 64.- Esquema general de la red _______________________________________ 140 Figura 65.- Diseo y funcionamiento de la red_________________________________ 144 Figura 66.- Actualizacin del firmware _______________________________________ 145 Figura 67.- Configuracin Inalmbrica_______________________________________ 147 Figura 68.- Configuracin de seguridad inalmbrica ____________________________ 147 Figura 69.- Configuracin avanzada inalmbrica_______________________________ 148 Figura 70.- Configuracin WDS en Linksys WRT54GL con firmware dd-wrt__________ 149 Figura 71.- Configuracin de calidad de servicio _______________________________ 150 Figura 72.- Configuracin de reinicio automtico de los puntos de acceso ___________ 150 Figura 73.- Instalacin de una de las antenas en el tejado de la casa de un vecino _____ 167 Figura 74.- Esquema utilizado para el clculo de la PIRE ________________________ 168 Figura 75.- Diseo de la red propuesto para la fase II ___________________________ 170
8.2
ndice de tablas
Tabla 1: Estndares principales surgidos a partir de 802.11 _______________________ 10 Tabla 2. Comparacin de las caractersticas de la capa fsica de los diferentes estndares 802.11 __________________________________________________________________ 16 Tabla 3. Modulaciones y tasas en 802.11a______________________________________ 24 Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad____________________ 25 Tabla 5. Cronologa de ataques realizados a la encriptacin WEP __________________ 95 Tabla 6.- Presupuesto para la fase I__________________________________________ 172 Tabla 7.- Presupuesto para la fase I__________________________________________ 173 Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociacin_______ 173
Pg. 177 de 177

Diseño e Implementación de Un Hostpot Con Una Red de Acceso WiFi Mediante Software Libre

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Diseño e Implementación de Un Hostpot Con Una Red de Acceso WiFi Mediante Software Libre

Hochgeladen von

Copyright:

Verfügbare Formate

Diseo e implementacin de un hotspot con una red de acceso WiFi mediante software libre

Miguel ngel Contioso Conejo Dr. Jos Ramn Cerquides Bueno

Memoria del proyecto

Tecnologa aplicada en 802.11 ...................................................................................15

Organizacin y caractersticas de una red wireless .................................................35

Actualidad wireless ...................................................................................................50

Memoria del proyecto

Dispositivos existentes en el mercado ........................................................................63

Seguridad y privacidad wireless ...............................................................................87

Mecanismos de seguridad ........................................................................................111

Aplicaciones de auditora wireless...........................................................................119

Diseo e Implementacin de una red wireless ......................................................123

Memoria del proyecto

Introduccin. Alcance del proyecto.........................................................................123 Situacin inicial y requerimientos ...........................................................................124

Objetivos ....................................................................................................................127 Dispositivos Utilizados..............................................................................................129

Enfoque del proyecto y metodologa .......................................................................133

Memoria del proyecto

Bibliografa utilizada..............................................................................................175 ndices de tablas y figuras ......................................................................................176

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

2 Teora de redes wireless bajo la recomendacin 802.11

Memoria del proyecto

802.2 Logical Link Control (LLC)

Figura 1. Familia IEEE 802 y su relacin con el modelo OSI

Memoria del proyecto

WLAN 802.11a 802.11b 802.11g 802.11n HyperLan

WMAN MMDS LMDS

WWAN GSM CDMA GPRS 2.53G

Tabla 1: Estndares principales surgidos a partir de 802.11

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Figura 2. Modelo de etiqueta de certificado Wi-Fi

Memoria del proyecto

Tecnologa aplicada en 802.11

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Figura 5.- Canales utilizables para DSSS

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto 2. Falta de sincronizacin del transmisor o del receptor.

Figura 6. Suportadotas de un canal OFDM de 20 MHz

Memoria del proyecto

Figura 7. Canales Operativos 802.11a

Memoria del proyecto

Tabla 3. Modulaciones y tasas en 802.11a

Memoria del proyecto

Compatible con estndar 802.11 802.11b

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Memoria del proyecto

Figura 8. Funcionamiento de CSMA/CA

Memoria del proyecto

Figura 9. Problema del nodo escondido

Memoria del proyecto

Figura 10.- Funcionamiento del protocolo basado en reserva del canal

NAV: Acceso retrasado

Memoria del proyecto