WPA
Wi-Fi protected Access
Es básicamente 802.11i con la opción TKIP (RC4)
Promovido por la Wi-Fi alliance (www.wi-fi.org)
Los fabricantes no pueden esperar la finalización de 802.11i
Otras opciones
VPN (Virtual Private Network)
Cifrado es extremo a extremo
Túneles IPSEC
Requiere la instalación de clientes en cada estación
No escalable y no siempre posible cubrir todas las plataformas (PC, Unix, MAC, PalmOS, etc
)
Limitaciones de un entorno Campus
Variedad de proveedores de equipos
Necesidad de Estándares y simplicidad
Volumen de usuarios
Soporte muy laborioso
Variedad de sistemas operativos
Usuarios con poco nivel de familiaridad con tecnologías
Gestión y distribución de claves y certificados: Poco práctico
Wireless Gateways
Solución hecha en casa
Caso UO:
~20,000 estudiantes
~200 access points y creciendo
Variedad de sistemas operativos
Claves en claro no permitidas
No más Telnet, ahora SSH
Webmail sobre SSL
SPOP, SIMAP, etc
Cobertura 802.11 en UO
UO Wireless Gateway
Componentes Open Source
Linux (con iptables)
Apache con SSL
Bind
ISC DHCP
Cliente Radius
CGI scripts en Perl y C
Una sola subred (/22)
UO Wireless Gateway
Red del campus/
Internet
Radius
Cliente
Wireless Gateway
Subred 802.11
UO Wireless Gateway
La estación hace una petición DHCP
EL WG le asigna una dirección IP
También le asigna DNS y Default Gateway (él mismo)
El usuario abre el navegador y escribe una dirección
La máquina hace una petición DNS
El WG responde con su propia dirección para cualquier nombre
UO Wireless Gateway
La estación recibe la dirección y hace una petición HTTP
El servidor web del WG recibe la petición y devuelve una página de login
UO Wireless Gateway
UO Wireless Gateway
Una vez autenticado el usuario via Radius, el WG agrega una entrada en iptables permitiendo la dirección MAC de la estación
Cómo evitar que la tabla crezca indefinidamente?
El WG envía pings cada x minutos para mantener la tabla al día
También los leases de DCHP expiran en un tiempo relativamente corto
El usuario puede ir a la página de inicio y hacer un logout explícitamente
Filtros basados en MAC
Principales limitaciones
Algunos sistemas operativos permiten cambiar la dirección MAC
La estación puede comunicarse dentro de la subred inalámbrica aún sin estar autenticado
Hace a la subred insegura a ataques
Necesidad de una sola subred
Cableado independiente (más fibras)
Puede resolverse con troncales VLAN
Cierta cantidad de usuarios puede justificar la necesidad de subdividir la red
Wireless Gateways
Soluciones Comerciales
ReefEdge
Blue Socket
Vernier
Ventajas comunes:
Funcionalidad distribuída (Connect Server, Edge Controller, etc)
Posibilidad de separar en subredes
Movilidad
Establece túneles IP/IP para mantener direcciones
Muchas más funciones
Autorización, Accounting, etc.
Interfaz web, DB backend
Soluciones Open Source
NoCat (http://nocat.net)
Dos componentes:
NoCatSplash (redirección)
NoCatAuth (AAA)
Página anterior | Volver al principio del trabajo | Página siguiente |