Diseño e implementación de un hotspot con una red de...

Diseño e implementación de un hotspot con una red de acceso WiFi mediante

software libre

ALUMNO: Miguel Ángel Contioso Conejo

TUTOR: Dr. José Ramón Cerquides Bueno

Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre

Memoria del proyecto Fecha: 24/06/2008

Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 2 de 177

Índice

1 Introducción................................................................................................................6

2 Teoría de redes wireless bajo la recomendación 802.11 ...........................................8 2.1 Introducción ..................................................................................................................8

2.1.1 802.11. Definición, historia y grupos de tareas. ......................................................................9 2.1.2 Wi-Fi Alliance .......................................................................................................................14

2.2 Tecnología aplicada en 802.11 ...................................................................................15 2.2.1 Capa Física ............................................................................................................................15

2.2.1.1 Introducción .................................................................................................................15 2.2.1.2 Arquitectura .................................................................................................................16 2.2.1.3 FHSS............................................................................................................................17 2.2.1.4 DSSS............................................................................................................................18 2.2.1.5 802.11b y HR-DSSS ....................................................................................................20 2.2.1.6 802.11a y OFDM .........................................................................................................21

2.2.1.6.1 Estructura del canal .................................................................................................22 2.2.1.6.2 Modulaciones usadas en 802.11ª.............................................................................23

2.2.1.7 802.11g y DSSS-OFDM ..............................................................................................24 2.2.2 Capa MAC.............................................................................................................................25

2.2.2.1 Introducción .................................................................................................................25 2.2.2.2 Mecanismos de acceso al medio ..................................................................................26

2.2.2.2.1 Protocolos con arbitraje...........................................................................................27 2.2.2.2.2 Protocolos de acceso por contienda ........................................................................27

2.2.2.3 Formato de tramas........................................................................................................32 2.2.2.4 Mecanismo de autenticación y asociación estándar .....................................................33

2.3 Organización y características de una red wireless .................................................35 2.3.1 Topologías y configuraciones................................................................................................35 2.3.2 Direccionamiento ..................................................................................................................36

2.3.2.1 Direcciones IP Globales para España ..........................................................................38 2.3.3 Enrutamiento en redes inalámbricas......................................................................................40

2.3.3.1 OLSR ...........................................................................................................................41 2.3.3.1.1 Mecanismo utilizado por OLSR..............................................................................43 2.3.3.1.2 Aplicaciones sobre OLSR .......................................................................................43

2.3.4 WDS ......................................................................................................................................44 2.3.4.1 Funcionamiento de WDS.............................................................................................45

2.3.5 Roaming ................................................................................................................................46 2.3.5.1 Puntos de acceso cableados..........................................................................................47 2.3.5.2 Puntos de acceso no cableados.....................................................................................49

3 Actualidad wireless ...................................................................................................50 3.1 Comunidades Wireless ...............................................................................................50 3.2 Recomendación 802.11n .............................................................................................60

3.2.1 Introducción...........................................................................................................................60 3.2.2 Mecanismo ............................................................................................................................61

3.2.2.1 Multiple Input / Multiple Output (MIMO)...................................................................61 3.2.2.2 Ancho de banda del canal ............................................................................................62 3.2.2.3 Mejora de la eficiencia de la capa MAC......................................................................62




3.3 Dispositivos existentes en el mercado........................................................................63 3.3.1 Cableado................................................................................................................................64 3.3.2 Conectores .............................................................................................................................66 3.3.3 Antenas..................................................................................................................................71

3.3.3.1 Características intrínsecas de una antena .....................................................................71 3.3.3.1.1 Impedancia de entrada.............................................................................................71 3.3.3.1.2 Pérdida de retorno ...................................................................................................72 3.3.3.1.3 Ancho de banda.......................................................................................................72 3.3.3.1.4 Directividad y Ganancia..........................................................................................73 3.3.3.1.5 Diagramas o Patrones de Radiación........................................................................74 3.3.3.1.6 Ancho del haz..........................................................................................................77 3.3.3.1.7 Lóbulos laterales .....................................................................................................78 3.3.3.1.8 Nulos .......................................................................................................................78 3.3.3.1.9 Polarización.............................................................................................................78 3.3.3.1.10 Desadaptación de polarización ..............................................................................79

3.3.3.2 Tipos de Antenas..........................................................................................................80 3.3.3.2.1 Omnidireccionales...................................................................................................80 3.3.3.2.2 Sectoriales ...............................................................................................................81 3.3.3.2.3 Direccionales...........................................................................................................83

3.3.4 Linksys WRT54GL v1.1 como punto de acceso...................................................................84 3.3.4.1 Historia.........................................................................................................................84 3.3.4.2 Firmwares disponibles .................................................................................................85

4 Seguridad y privacidad wireless ...............................................................................87 4.1 Mecanismos de privacidad existentes........................................................................87

4.1.1 Introducción...........................................................................................................................87 4.1.1.1 SSL...............................................................................................................................89

4.1.2 WEP.......................................................................................................................................91 4.1.2.1 Introducción .................................................................................................................91 4.1.2.2 Funcionamiento............................................................................................................92

4.1.2.2.1 Encriptación ............................................................................................................92 4.1.2.2.2 Desencriptación.......................................................................................................94

4.1.2.3 Vulnerabilidades WEP.................................................................................................94 4.1.3 WPA y WPA2 .......................................................................................................................96

4.1.3.1 Fase 1: Acuerdo sobre la política de seguridad............................................................97 4.1.3.2 Fase 2: autenticación 802.1X.......................................................................................98 4.1.3.3 Fase 3: Jerarquía y distribución de claves....................................................................99 4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA..............................................104 4.1.3.5 Vulnerabilidades WPA ..............................................................................................108

4.2 Mecanismos de seguridad ........................................................................................111 4.2.1 RADIUS ..............................................................................................................................111

4.2.1.1 Autenticación y autorización .....................................................................................111 4.2.1.2 Accounting.................................................................................................................113

4.2.2 Filtrado MAC ......................................................................................................................114 4.3 Hotspot.......................................................................................................................114

4.3.1 Portales Cautivos .................................................................................................................117 4.4 Aplicaciones de auditoría wireless...........................................................................119

4.4.1 Aircrack ...............................................................................................................................120 4.4.1.1 Ataques a WEP ..........................................................................................................120 4.4.1.2 Ataques a WPA..........................................................................................................121

5 Diseño e Implementación de una red wireless ......................................................123




5.1 Introducción. Alcance del proyecto.........................................................................123 5.2 Situación inicial y requerimientos ...........................................................................124

5.2.1 Área a cubrir ........................................................................................................................124 5.2.2 Requerimientos....................................................................................................................125 5.2.3 Dispositivos disponibles......................................................................................................126

5.3 Objetivos ....................................................................................................................127 5.4 Dispositivos Utilizados..............................................................................................129

5.4.1 Servidor ...............................................................................................................................129 5.4.2 Puntos de acceso..................................................................................................................130 5.4.3 Antenas................................................................................................................................130 5.4.4 Cajas estanca .......................................................................................................................132 5.4.5 Conectores ...........................................................................................................................132 5.4.6 Cableado..............................................................................................................................132 5.4.7 Router ADSL.......................................................................................................................133

5.5 Enfoque del proyecto y metodología .......................................................................133 5.5.1 Consideraciones Iniciales ....................................................................................................134 5.5.2 Fase I ...................................................................................................................................136

5.5.2.1 Mediciones realizadas ................................................................................................136 5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios .........................................139

5.5.2.2.1 Nodo principal.......................................................................................................140 5.5.2.2.2 Nodos secundarios con antena omnidireccional ...................................................141 5.5.2.2.3 Nodo secundario con antena sectorial ...................................................................142

5.5.2.3 Funcionamiento Lógico del sistema...........................................................................142 5.5.2.4 Radioenlaces. Configuración de los puntos de acceso...............................................144

5.5.2.4.1 Cambio de Firmware.............................................................................................145 5.5.2.4.2 Configuración Básica ............................................................................................146 5.5.2.4.3 Configuración Inalámbrica....................................................................................146 5.5.2.4.4 Enlaces WDS ........................................................................................................148 5.5.2.4.5 Calidad de servicio ................................................................................................149 5.5.2.4.6 Otras configuraciones............................................................................................150

5.5.2.5 Instalación y configuración del servidor ....................................................................151 5.5.2.5.1 Instalación y configuración de la distribución Ubuntu .........................................152 5.5.2.5.2 Configuración de RAID 1 .....................................................................................153 5.5.2.5.3 Configuración de las interfaces de red ..................................................................154 5.5.2.5.4 Configuración del portal cautivo Chillispot ..........................................................155 5.5.2.5.5 Configuración del firewall ....................................................................................157 5.5.2.5.6 Configuración del servidor RADIUS y mySQL ...................................................158 5.5.2.5.7 Configuración del servidor web apache ................................................................161 5.5.2.5.8 Configuración del administrador radius Dial Up admin. ......................................163 5.5.2.5.9 Configuración de parámetros especiales en RADIUS...........................................165

5.5.2.6 Colocación de puntos de acceso y antenas.................................................................166 5.5.2.7 Análisis de la potencia irradiada ................................................................................168

5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB ..........................................169 5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB....................................................169 5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi ......................................169

5.5.3 Fase II ..................................................................................................................................170 5.5.4 Fase III.................................................................................................................................171

5.6 Presupuesto................................................................................................................171 5.6.1 Presupuesto para la fase I y II..............................................................................................172

6 Anexos .....................................................................................................................174




7 Bibliografía utilizada..............................................................................................175

8 Índices de tablas y figuras ......................................................................................176 8.1 Índice de figuras........................................................................................................176 8.2 Índice de tablas..........................................................................................................177




1 Introducción Las redes inalámbricas están en auge. En concreto, cada vez hay más

dispositivos que disponen de un chip WLAN integrado que permite hacer uso de

este tipo de redes. Si a esto le unimos la gran telaraña de nodos que están

tejiendo las comunidades wireless sin ánimo de lucro en muchas ciudades

españolas y en el mundo, así como la bajada de precios en los dispositivos

necesarios para componer un nodo, tenemos los ingredientes necesarios para

que se produzca una revolución seria en este ámbito. Es por ello que conocer en

profundidad cómo se interconectan entre sí varias redes wireless, cómo se

diseñan, cuáles son los mecanismos de seguridad existentes no comprometidos,

cuáles son los que sí lo están y de qué forma, cómo configurar un servidor que

controle el acceso y la seguridad a la red, etc. es algo apasionante y que puede

resultar muy útil en el mercado laboral actual y futuro.

Al margen de esta consideración, se abrieron otras dos que hicieron

posible la realización de este proyecto: la posibilidad de ofrecer a mi comunidad

de vecinos una red a la que poder conectarse libremente y la posibilidad de

adquirir conocimientos prácticos en ésta y otras materias, tan necesarios y tan

obviados en una ingeniería donde el 95% son clases teóricas, al menos en mi

promoción. Por el bien de las siguientes promociones de alumnos espero que

esto haya cambiado o cambie pronto de una manera notable.

Es por ello que en esta memoria encontrará lo que opino es la proporción

correcta entre teoría y práctica, 60% Vs. 40%. El segundo apartado aporta los

fundamentos teóricos sobre la tecnología utilizada en las redes wireless. Es

imprescindible conocer cómo es la técnica de espectro expandido usada,

canales utilizados e interferencia entre estos, modulaciones utilizadas según la

tasa de transferencia seleccionada, en definitiva conocer las capas física y MAC

para realizar un diseño eficiente de una red wireless.

En el tercer apartado se ha intentado plasmar una imagen estática del

estado de esta tecnología en la actualidad. Es por ello que se habla de las




comunidades existentes y de su aportación, de los esfuerzos que se llevan

realizando para estandarizar nuevas tecnologías que permitan mejorar las ya

existentes, sobre todo en lo referente a tasas de transferencia, calidad de

servicio, seguridad y privacidad. También se describen los dispositivos que

componen una red wireless y cómo se encuentran en el mercado.

He querido dedicar un apartado a la privacidad y la seguridad en redes

wireless, que si bien es insuficiente para el tratamiento de un tema tan complejo

como éste, sí que refleja las vulnerabilidades conocidas de varios mecanismos

de privacidad comúnmente utilizados y los posibles ataques que pueden llevarse

a cabo en una auditoría de seguridad para comprobar la robustez de la

seguridad del sistema. Se plantean las formas de evitar estos ataques por

usuarios malintencionados y se introduce al lector al sofisticado mecanismo de

autenticación RADIUS.

Finalmente, el quinto apartado refleja toda la experiencia adquirida en la

implementación realizada en la A.D.C. Los Colores. Quedan reflejados en este

apartado los pasos seguidos a la hora de elegir el diseño, las herramientas de

software libre utilizadas y la configuración necesaria en todos los dispositivos

utilizados. Siguiendo los mismos pasos que se reflejan en este apartado, puede

configurarse un sistema similar al utilizado en este proyecto sin demasiados

problemas.




2 Teoría de redes wireless bajo la recomendación 802.11

2.1 Introducción

La aparición de las redes inalámbricas se debe principalmente al yugo

que suponía depender de la instalación del cableado entre todos los dispositivos

que componen una red. Cuando se ampliaba una red o se trasladaban parte de

sus dispositivos integrantes, era necesaria acometer de nuevo la instalación del

cableado entre los dispositivos.

Sin embargo, en una red inalámbrica, se dota a los dispositivos finales de

movilidad, es decir, basta con que el dispositivo esté en la zona de cobertura

para poder conectarse a la red. Además, la red es escalable de una forma

económica, ya que basta con configurar el nuevo dispositivo para que haga uso

de la red, sin instalación de cableado, con la única limitación de la que tengan

los puntos de acceso. Cabe destacar que no todos los dispositivos se

interconectan de forma inalámbrica, sino que aquellos a los que queremos dotar

de una mayor fiabilidad y/o seguridad (servidores, routers, firewall, gateway, etc.)

deben conectarse de forma cableada, ofreciendo mayor seguridad, estabilidad y

fiabilidad a la red. La red inalámbrica por tanto no sustituye a la cableada, sino

que se complementan. Normalmente, si aumenta la red es debido a dispositivos

finales, que se conectan de forma inalámbrica, por lo que una vez implementada

la estructura principal de la red, podrá ampliarse o trasladarse de una forma más

fácil y económica.

Además, en algunas ocasiones es necesario implementar una solución

inalámbrica, debido a la imposibilidad de instalar cableado, ya sea por la

orografía del terreno, por ser un edificio histórico, etc. Todas estas razones

unidas a las anteriormente explicadas, hacen que las redes inalámbricas de

datos aparezcan y se desarrollen de una manera muy rápida, siendo necesaria

la estandarización de normativas y recomendaciones que aseguren la

compatibilidad entre dispositivos de distintos fabricantes. Si bien fue la

recomendación 802.11 la que recogía cómo debería ser la capa física y la capa




MAC, no fue hasta la aparición de WECA en el año 1999 (Wireless Ethernet

Compatibility Alliance), cuando se fomentó la interoperabilidad entre fabricantes.

Haremos un poco de historia en el siguiente punto.

2.1.1 802.11. Definición, historia y grupos de tareas.

IEEE 802.11 es un grupo de trabajo perteneciente a IEEE que se encarga

de estandarizar todo lo referente a redes inalámbricas. En 1997 802.11 se hizo

realidad como estándar, definiendo dos tipos de transmisiones posibles.

a) Transmisión en la banda IR

b) Transmisión en RF.

Destacar que todos los protocolos que se usan en 802.3 a partir de la

capa MAC, es decir, LLC, IP, TCP, UDP, BGP, OSPF, RIP, etc. son válidos para

una red WLAN 802.11. Es decir, lo único que va a cambiar en una red

inalámbrica frente a una cableada es la capa física y la capa MAC (Figura 1). De

hecho este es el objetivo del grupo de trabajo 802.11, ya que se debe asegurar

la interoperatividad de ambas redes.

Figura 1. Familia IEEE 802 y su relación con el modelo OSI

A partir de la recomendación 802.11 surgieron varios estándares para

cada tipo de red, quedando resumidas las más importantes en la tabla 1:

802 802.1 802.2 Logical Link Control (LLC)

802.3MAC

802.5MAC

802.5PHY

802.11802.3 802.5

802.11 MAC

802.5PHY

802.11DSSS PHY

802.11aOFDM PHY

802.11nOFDM/DSS

S PHY

802.11FHSS PHY

Visión General y

arquitectura

GestiónN

ivel

Fí

sico

Niv

el d

e en

lace

802.11bHR/DSSS

PHY

802 802.1 802.2 Logical Link Control (LLC)

802.3MAC

802.5MAC

802.5PHY

802.11802.3 802.5

802.11 MAC

802.5PHY

802.11DSSS PHY

802.11aOFDM PHY

802.11nOFDM/DSS

S PHY

802.11FHSS PHY

Visión General y

arquitectura

GestiónN

ivel

Fí

sico

Niv

el d

e en

lace

802.11bHR/DSSS

PHY




WPAN WLAN WMAN WWAN

Bluetooth

802.11a 802.11b 802.11g 802.11n

HyperLan

MMDS LMDS

GSM CDMA GPRS 2.53G

Tabla 1: Estándares principales surgidos a partir de 802.11

El alcance de este proyecto incluye todos los estándares 802.11 para

redes WLAN, dejando al margen los demás estándares.

El grupo de trabajo 802.11 creó varios grupos de tareas para facilitar la

labor de estandarización, así como un avance continuado. De hecho hay

recomendaciones que a día de hoy aún están por terminar o acaban de hacerlo

(802.11n, 802.11f, 802.11w, etc.). Veamos los grupos de tareas más importantes

del grupo de trabajo 802.11:

PHY.- (Physical layer).- Encargados de definir la capa física.

Desarrollaron tres tipos de capas físicas. Las correspondientes a radio

frecuencia se desarrollan en el apartado Capa Física:

1. Infrarrojos.

2. DSSS en la banda de 2,4GHz.

3. FHSS en la banda de 2,4GHz

MAC.- Desarrollaron una capa MAC común a todas las capas físicas, en

conjunción con el grupo de tareas PHY.

802.11a.- La revisión 802.11a al estándar original fue ratificada en 1999.

El estándar 802.11a utiliza el mismo juego de protocolos de base que el

estándar original, opera en la banda de 5 Ghz y utiliza 52 subportadoras

mediante la técnica llamada orthogonal frequency-division multiplexing

(OFDM), con una velocidad máxima de 54 Mbit/s, lo que lo hace un

estándar práctico para redes inalámbricas con velocidades reales de




aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36,

24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales no

solapados, 8 para red inalámbrica y 4 para conexiones punto a punto.

No puede interoperar con equipos del estándar 802.11b, excepto si se

dispone de equipos que implementen ambos estándares.

Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda

usada por los teléfonos inalámbricos y los hornos de microondas, entre

otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del

estándar 802.11a, dado que se presentan menos interferencias. Sin

embargo, la utilización de esta banda también tiene sus desventajas,

dado que restringe el uso de los equipos 802.11a a únicamente puntos

en línea de vista, con lo que se hace necesario la instalación de un

mayor número de puntos de acceso; Esto significa también que los

equipos que trabajan con este estándar no pueden penetrar tan lejos

como los del estándar 802.11b dado que sus ondas son más fácilmente

absorbidas.

802.11b. La revisión 802.11b del estándar original fue ratificada en 1999.

802.11b tiene una velocidad máxima de transmisión de 11 Mbit/s y utiliza

el mismo método de acceso CSMA/CA definido en el estándar original.

El estándar 802.11b funciona en la banda de 2.4 GHz. Debido al espacio

ocupado por la codificación del protocolo CSMA/CA, en la práctica, la

velocidad máxima de transmisión con este estándar es de

aproximadamente 5.9 Mbit/s sobre TCP y 7.1 Mbit/s sobre UDP.

Aunque también utiliza una técnica de ensanchado de espectro basada

en DSSS, en realidad la extensión 802.11b introduce CCK

(Complementary Code Keying) para llegar a velocidades de 5,5 y 11

Mbps (tasa física de bit). El estándar también admite el uso de PBCC

(Packet Binary Convolutional Coding) como opcional. Los dispositivos

802.11b deben mantener la compatibilidad con el anterior equipamiento




DSSS especificado a la norma original IEEE 802.11 con velocidades de

bit de 1 y 2 Mbps.

802.11c.- Ratificado en 1998. Es un suplemento de 802.11d.

802.11d.- Este grupo de tarea se encargó de definir los requerimientos

de la capa física para los distintos países.

802.11e.- El objetivo del nuevo estándar 802.11e es introducir nuevos

mecanismos a nivel de capa MAC para soportar los servicios que

requieren garantías de Calidad de Servicio. Para cumplir con su objetivo

IEEE 802.11e introduce un nuevo elemento llamado Hybrid Coordination

Function (HCF) con dos tipos de acceso:

- (EDCA) Enhanced Distributed Channel Access

- (HCCA) Controlled Access.

802.11f.- Este grupo de tarea surge debido a la necesidad de crear un

protocolo de comunicación entre puntos de acceso, que permitan la

conectividad a nivel de enlace de varios clientes conectados a sendos

puntos de acceso y el roaming de clientes entre puntos de acceso. Fue

Ratificado en 2003. Un protocolo que usa esta recomendación es WDS.

Este protocolo se describe en profundidad en el apartado WDS.

802.11g.- En junio de 2003, se ratificó un tercer estándar de modulación:

802.11g. Que es la evolución del estándar 802.11b, Este utiliza la banda

de 2.4 Ghz (al igual que el estándar 802.11b) pero opera a una velocidad

teórica máxima de 54 Mbit/s, que en promedio es de 22.0 Mbit/s de

velocidad real de transferencia, similar a la del estándar 802.11a. Es

compatible con el estándar b y utiliza las mismas frecuencias. Buena

parte del proceso de diseño del estándar lo tomó el hacer compatibles

los dos estándares. Sin embargo, en redes bajo el estándar g la




presencia de nodos bajo el estándar b reduce significativamente la

velocidad de transmisión.

802.11n.- Este grupo de tareas tiene como objetivo desarrollar una

extensión de la capa física (PHY) que permita tasas de transferencias

mayores a 802.a/g, por encima de los 100 Mbps. Comenzó el desarrollo

en 2004 y aún está en su segundo borrador, aunque ya existen

dispositivos en el mercado que se han adelantado a la norma. Esta

recomendación se desarrolla en el apartado Recomendación 802.11n.

802.11i.- Este grupo de tareas ha desarrollado los mecanismos de

autenticación y seguridad para la capa MAC. Fue ratificado en Junio de

2004.

802.11w.- Cuando se definió la capa MAC, se definió el protocolo de

comunicación entre punto de acceso y cliente para la asociación y

autenticación (802.11i). Estas tramas se transmitían en texto plano, por

lo que cualquiera que tenga acceso al medio puede escucharlas e

imitarlas, lo que constituye una seria amenaza a la seguridad de los

sistemas. Este fallo de seguridad y otros aún más graves, se

desarrollarán en el apartado Seguridad wireless.

En la actualidad aún está en desarrollo. El grupo de tarea 802.11w está

trabajando en mejorar la capa del control de acceso del medio de IEEE

802.11 para aumentar la seguridad de los protocolos de autenticación y

codificación. Este estándar podrá proteger las redes contra la

interrupción causada por los sistemas malévolos que crean peticiones de

desasociación a los clientes asociados, que a ojos de estos parecen ser

enviadas por el punto de acceso al que están conectados. Se intenta

extender la protección que aporta el estándar 802.11i más allá de los

datos hasta las tramas de gestión, responsables de las principales

operaciones de una red.




2.1.2 Wi-Fi Alliance

En un principio, tras salir los primeras trabajos del grupo 802.11, no se

tuvo en cuenta el testeo de los dispositivos que salían al mercado bajo dichas

recomendaciones, por lo que si existía interoperatividad de dispositivos era

debido a la casualidad.

Para paliar este defecto, surgió WECA (Wireless Ethernet Compatibility

Alliance) en 1999, compuesta por los principales fabricantes de dispositivos

wireless, 3Com, Aironet (ahora Cisco), Harris Semiconductor (ahora Intersil),

Lucent (ahora Agere), Nokia y Symbol Technologies.

Esta asociación se encargaba de testear y certificar la interoperabilidad de

los dispositivos wireless creados siguiendo la recomendación 802.11.

Wi-Fi Alliance fue el nombre con el que se renombró a sí mismo WECA en

Marzo del año 2000. Se creó el certificado Wi-Fi, que garantizaba que el

dispositivo que lo poseía había superado todas las pruebas de interoperatividad

realizadas por la asociación. Con la aparición del estándar 802.11a, 802.11b y

802.11g aparecieron dispositivos compatibles con todas las tecnologías, por lo

que el certificado debía indicar con cual era compatible y con cual no. En la

figura 2 se muestra un modelo de esta última etiqueta que se puede ver en los

dispositivos certificados.

Figura 2. Modelo de etiqueta de certificado Wi-Fi




2.2 Tecnología aplicada en 802.11

2.2.1 Capa Física

2.2.1.1 Introducción

El grupo de tareas denominado PHY fue el encargado de diseñar las

capas físicas para comunicaciones wireless bajo la recomendación 802.11. En

un principio se estandarizaron tres capas físicas:

1. FHSS (Frequency Hopping Spread Spectrum)

2. DSSS (Direct Sequence Spread Spectrum)

3. Luz Infraroja en banda base

Centrándonos en las soluciones adoptadas para radio frecuencia, cabe

destacar varias cosas:

a) Las bandas de frecuencias elegidas para las transmisiones son las

denominadas ICM (Industrial, científicas y médicas), debido a la

posibilidad de operar en ellas sin licencia. Esto conlleva a que multitud

de dispositivos compartan esta banda de transmisión (teléfonos

inalámbricos, garajes, sensores, etc.), por lo que las interferencias van

a ser un factor muy importante a tener en cuenta. Las bandas ICM son

tres:

902-928 MHz

2400-2483.5 MHz

5.725-5850 MHz

b) La técnica de modulación elegida es la de espectro expandido, ya que

es una de las más robustas frente a interferencias, y ofrece facilidad

para ser encriptada.




Posteriormente se estandarizaron más capas físicas, para permitir el

trabajo en otra banda de frecuencias o para conseguir una mayor velocidad de

transmisión de datos, siendo responsabilidad de los grupos de tareas 802.11a,

802.11b, 802.11g y el aún en su segundo borrador 802.11n. Un resumen se

muestra en la tabla 2.

Estándar Frecuencia Año Capa Física Velocidad

802.11 2,4 GHz 1997 DSSS FHSS

Infrarojo 2 Mbps

802.11a 5 GHz 1999 OFDM 54 Mbps

802.11b 2,4 GHz 1999 DSSS 11 Mbps 802.11g 2,4 GHz 2003 DSSS, OFDM 54 Mbps

802.11n 2,4 y 5 GHz No acabado (2009)

OFDM, MIMO, LDPC 248 Mbps

Tabla 2. Comparación de las características de la capa física de los diferentes estándares 802.11

2.2.1.2 Arquitectura

La capa física se divide en dos subcapas:

PLCP (Physical Layer Convergence Procedure). - Une la capa física con

la capa MAC. Añade su propia cabecera e incluye un preámbulo para

facilitar la sincronización de las transmisiones entrantes. Es la que añade

el código convolucional, la cabecera para sincronización, etc. Su tarea

es traspasar los bits a enviar a la capa siguiente: PMD

PMD (Physical Medium Dependent). – Es la responsable de transmitir

cualquier bit que reciba de la subcapa PLCP a través de la antena, para

lo que debe usar la modulación correspondiente según el estándar y lo

que le haya indicado la capa PLCP. Veremos que este tipo de

modulaciones varían en cada estándar, siendo las más comunes las

modulaciones PSK y QAM.




2.2.1.3 FHSS

La tecnología de espectro ensanchado por salto en frecuencia (FHSS)

consiste en transmitir una parte de la información en una determinada frecuencia

durante un intervalo de tiempo llamada dwell time e inferior a 400 ms. Pasado

este tiempo se cambia la frecuencia de emisión y se sigue transmitiendo a otra

frecuencia. De esta manera cada tramo de información se va transmitiendo en

una frecuencia distinta durante un intervalo muy corto de tiempo.

El orden en los

saltos en frecuencia se

determina según una

secuencia seudo-

aleatoria almacenada en

unas tablas, y que tanto

el emisor y el receptor

deben conocer.

Figura 3.- Técnica FHSS

Si se mantiene la sincronización en los saltos de frecuencias se consigue

que, aunque en el tiempo se cambie de canal físico, a nivel lógico se mantiene

un solo canal por el que se realiza la comunicación.

Esta técnica también utiliza la zona de los 2.4GHz, la cual organiza en 79

canales con un ancho de banda de 1MHz cada uno. El número de saltos por

segundo es regulado por cada país, así, por ejemplo, Estados Unidos fija una

tasa mínima de saltas de 2.5 por segundo.

El estándar IEEE 802.11 define la modulación aplicable en este caso. Se

utiliza la modulación en frecuencia FSK (Frequency Shift Keying), con una

velocidad de 1Mbps ampliable a 2Mbps.




2.2.1.4 DSSS

En esta técnica se genera un patrón de bits redundante (señal de chip)

para cada uno de los bits que componen la señal. Cuanto mayor sea esta señal,

mayor será la resistencia de la señal a las interferencias. El estándar IEEE

802.11 recomienda un tamaño de 11 bits para la señal de chip, pero el óptimo es

de 100. En recepción es necesario realizar el proceso inverso para obtener la

información original.

La secuencia de bits utilizada para modular los bits se conoce como

secuencia de Barker (también llamado código de dispersión o pseudoruido). Es

una secuencia rápida diseñada para que aparezca aproximadamente la misma

cantidad de 1 que de 0. Un ejemplo de esta secuencia es el siguiente:

+1 –1 +1 +1 –1 +1 +1 +1 –1 –1 –1 –1. Un ejemplo de transmisión usando

esta técnica se aprecia en la figura 3.

Solo los receptores a los que

el emisor haya enviado previamente

la secuencia podrán recomponer la

señal original. Además, al sustituir

cada bit de datos a transmitir, por

una secuencia de 11 bits

equivalente, aunque parte de la señal

de transmisión se vea afectada por

interferencias, el receptor aún puede

reconstruir fácilmente la información

a partir de la señal recibida.

Figura 4.- Secuencia de Barker

Esta secuencia proporciona 10.4dB de aumento del proceso, el cual reúne

los requisitos mínimos para las reglas fijadas por la FCC.




A continuación podemos observar como se utiliza la secuencia de Barker

para codificar la señal original a transmitir:

Una vez aplicada la señal de chip, el estándar IEEE 802.11 ha definido

dos tipos de modulación para la técnica de espectro ensanchado por secuencia

directa (DSSS), la modulación DBPSK (Differential Binary Phase Shift Keying) y

la modulación DQPSK (Differential Quadrature Phase Shift Keying), que

proporcionan una velocidad de transferencia de 1 y 2 Mbps respectivamente.

En el caso de Estados Unidos y Europa la tecnología DSSS utiliza un

rango de frecuencias que va desde los 2,4 GHz hasta los 2,4835 GHz, lo que

permite tener un ancho de banda total de 83,5 MHz. Este ancho de banda se

subdivide en 14 canales, espaciados entre sí 5 MHz. De los 11 primeros

canales, sólo los canales 1, 6 y 11 no producen interferencias entre sí, ya que el

ancho de canal efectivo es de 22 MHz. Esto se aprecia en la figura 5. Cada país

esta autorizado a utilizar un subconjunto de estos canales. En el caso de España

se utilizan los canales desde el 1 hasta el 11, que corresponden a una

frecuencia central de 2,412 GHz y 2,462 GHz.

Figura 5.- Canales utilizables para DSSS

En configuraciones donde existan mas de una celda, estas pueden operar

simultáneamente y sin interferencias siempre y cuando la diferencia entre las




frecuencias centrales de las distintas celdas sea de al menos 30 MHz, lo que

reduce a tres el número de canales independientes y funcionando

simultáneamente en el ancho de banda total de 83,5 MHz. Esta independencia

entre canales nos permite aumentar la capacidad del sistema de forma lineal.

2.2.1.5 802.11b y HR-DSSS

El IEEE revisó el estándar de la capa física, y en esta revisión, conocida

como 802.11b, además de otras mejoras en seguridad, aumenta la velocidad de

2Mbps hasta los 11Mbps, lo que incrementa notablemente el rendimiento de

este tipo de redes.

Se conservan los modos DSSS a 1 Mbps y a 2 Mbps. Con lo que se

apreciará un sistema casi igual, solo que un poco más eficiente y compatible con

las nuevas características de 802.11b.

Una de las mejoras importantes en 802.11b fue el agregado de la

modulación CCK (Complementary Codes Keying), que permite tasas de

transmisión de 5.5 Mbps y 11 Mbps. La extensión del código esta basada en 4 y

8 códigos complementarios respectivamente, como una codificación sobre

DQPSK. Para la modulación CCK se crea una mini compresión basada en un

algoritmo que crea una palabra código C = c0 a c7, el cuarto y séptimo símbolo

son rotados en 180º para una cobertura de secuencia y para optimizar las

propiedades de correlación de la secuencia. Existen 2 modos CCK:

Modo CCK 5,5 Mbps. - Se transmiten 4 bits por símbolo, por lo que es

posible alcanzar la tasa de 5,5 Mbps.

Modo CCK 11 Mbps. – Se transmiten 8 bits por símbolo, por lo que es

posible alcanzar la tasa de 11 Mbps.




2.2.1.6 802.11a y OFDM

El estándar 802.11 a introduce una nueva técnica de espectro expandido

más compleja pero más eficiente: OFDM (Orthogonal Frecuency Division

Multiplexing). Esta técnica permite conseguir tasas de hasta 54 Mbps.

OFDM no es una técnica que se utilizó por primera vez en este tipo de

transmisiones, sino que ya existía en multitud de tecnologías, como DSL.

OFDM es parecida a una técnica más antigua, FDM. Ambas técnicas

dividen el espectro disponible, de forma que la portadora de cada segmento no

se solapen entre sí. De esta forma puede usar distintos canales sin que haya

problemas de interferencias de canal. La diferencia es que si bien FDM dejaba

un ancho de guarda entre canales, OFDM aprovecha mucho más el espectro, ya

que no solo se aprovecha esa guarda, sino que los diferentes canales se

solapan en frecuencia. Esto no significa que interfieran, ya que se eligen

portadoras de forma que sean ortogonales, por lo que son fácilmente separadas

usando la FFT (Fast Fourier Transform).

Si bien en las técnicas usadas anteriormente el principal problema es la

interferencia intersímbolo (ISI), con el uso de la FFT, este problema

prácticamente desaparece, pero aparece otro relacionado con la ortogonalidad y

la sincronización. Hemos visto que para que se demodule correctamente

mediante la FFT dos señales que solapen en frecuencia, es necesario que sus

portadoras sean ortogonales. Cualquier cambio en las frecuencias de las

portadoras, hace que no sean totalmente ortogonales e interfieran entre sí,

dependiendo la magnitud de la interferencia de lo importante que sea esa

desviación en frecuencia. Es por ello que aparece un nuevo problema que puede

hacer que las portadoras no sean ortogonales entre sí. Este efecto es

denominado ICI (Inter Carrier Interferente) y puede ser debido a dos factores:

1. Efecto Doppler. La velocidad del transmisor o del receptor puede variar

las frecuencias.




2. Falta de sincronización del transmisor o del receptor.

Independientemente de la técnica usada, vamos a tener un problema de

interferencias de otros usuarios y de otros dispositivos, por lo que en OFDM se

transmite un código convolucional con R=1/2 mediante el algoritmo de Viterbi.

Este código ayuda en el receptor a reconstruir los bits transmitidos en el caso de

que se haya producido alguna interferencia y hayamos perdido algún bit.

2.2.1.6.1 Estructura del canal

La capa física OFDM organiza el ancho de banda en canales, tal y como

lo hacen las demás capas físicas. Cada canal de 20 MHz está compuesto por

52 subportadoras. Cuatro de esas subportadoras se usan para monitorizar la

interferencia entre portadoras (ICI), mientras que las 48 restantes se usan para

la transmisión de datos. Las portadoras están separadas 0.3125 MHz entre sí y

se numeran desde -26 hasta 26. La número 0 no se transmite porque no puede

ser procesada. Las portadoras que se usan para monitorizar la ICI, son las

números ±7 y ±21.

Figura 6. Suportadotas de un canal OFDM de 20 MHz

La banda de frecuencias elegida para 802.11a se encuentra en los 5 GHz,

de hecho hay tres bandas:

5.15-5.25 GHz. – Potencia máxima de transmisión: 40 mW



FrecuenciaCentral

Nº dePortadora

FrecuenciaCentral

Nº dePortadora




En la figura 7 puede observarse un esquema con los 12 canales de 20

MHz disponibles para el estándar 802.11a.

Figura 7. Canales Operativos 802.11a

2.2.1.6.2 Modulaciones usadas en 802.11a

Hay multitud de esquemas de modulación utilizables en 802.11a, que

soportan velocidades desde los 6 Mbps hasta los 54 Mbps. Para la más baja

modulación, se usa modulación BPSK, que codifica un solo bit por cada canal,

como hay 48 subcanales de datos, tendremos 48 bits por símbolo. En este caso

se usa un código convolucional con R=1/2, por lo que la mitad de los bits son

redundantes para el control de errores. Esto nos deja con 24 bits por símbolo, lo

que conlleva la tasa de 6 Mbps. Para la tasa de 54 Mbps, se usa una modulación

64-QAM con R=3/4, por lo que se transmiten 6 bits por cada subportadora; como

son 48 subportadoras, se transmiten 288 bits por símbolos de los cuales ¼ es

redundante debido al código convolucional con R=3/4. Esto nos deja una tasa de

216 bits por símbolo, 9 veces mayor que el ejemplo anterior, que hace que la

tasa se eleve hasta los 54 Mbps. Un resumen de las tasas y modulaciones

usadas están en la tabla 3.




Hay que decir que la probabilidad de error crece al usar modulaciones con

más puntos en su constelación, y la capacidad de corrección de errores

disminuye al reducir bits redundantes, por lo que para poder conseguir tasas de

54 Mbps debemos obtener una buena potencia de recepción, lo que implica

estar cerca del receptor. A medida que alejemos receptor de transmisor, habrá

que usar una tasa de bits menor, que permita mantener una misma calidad del

servicio.

Modulación y tasa (R)

Velocidad (Mbps)

Bits por subportadora

Bits por símbolo

Bits de datos por símbolo

BPSK, R=1/2 6 1 48 24

BPSK, R=3/4 9 1 48 36

QPSK, R=1/2 12 2 96 48

QPSK, R=3/4 18 2 96 72

16QAM, R=1/2 24 4 192 96

16QAM, R=3/4 36 4 192 144

64QAM, R=2/3 48 6 288 192

64QAM, R=3/4 54 6 288 216

Tabla 3. Modulaciones y tasas en 802.11a

2.2.1.7 802.11g y DSSS-OFDM

El estándar se ratifica en 2003 y trata de trasladar a la banda de 2,4 GHz,

lo conseguido por 802.11a en la banda de 5 GHz, por lo que puede alcanzarse

velocidades de hasta 54 Mbps, al igual que en 802.11a. Se persigue también

compatibilidad con 802.11b, así como con el estándar 802.11. Los canales

utilizados son los mismos 14 canales que se han visto en 802.11b, que vimos

que se solapaban, por lo que esto es un inconveniente de 802.11g frente a

802.11a, cuyos canales no se solapan. En cambio, al utilizar una frecuencia más

baja que 802.11a, el alcance será algo mayor.




No entraremos en el detalle de la capa física, porque lo visto en los

estándares 802.11b y 802.11a es aplicable al estándar 802.11g. En las tabla 4

puede observarse las distintas modalidades de capas físicas que se ofrecen en

802.11g para permitir la compatibilidad antes mencionada.

Técnica de Modulación Velocidad alcanzada Compatible con estándar

ERP-DSSS 1 y 2 Mbps 802.11

ERP-CCK (HR-DSSS) 5.5 y 11 Mbps 802.11b

ERP-OFDM 6, 9, 12, 18, 24, 36, 48 y 54 Mbps

ERP-PBCC 5.5, 11, 22 y 33 Mbps

DSSS-OFDM 6, 9, 12, 18, 24, 36, 48 y 54 Mbps

Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad

2.2.2 Capa MAC


Como se ha mencionado anteriormente, las redes inalámbricas 802.11 se

diferencian de las cableadas 802.3 en el nivel físico y en el nivel de enlace

(concretamente en la capa MAC). Hemos visto cómo es el nivel físico en este

tipo de redes, pero nos falta ver como es la capa MAC, así como las principales

diferencias con 802.3.

Diseñar un protocolo de acceso al medio para las redes inalámbricas es

mucho más complejo que hacerlo para redes cableadas, ya que deben de

tenerse en cuenta las dos topologías de una red inalámbrica:

Ad-hoc (Redes peer-to-peer). Varios equipos forman una red de

intercambio de información sin necesidad de elementos auxiliares. Este

tipo de redes se utiliza en grupos de trabajo, reuniones, conferencias...

Basadas en infraestructura: La red inalámbrica se crea como una

extensión a la red existente basada en cable. Los elementos

inalámbricos se conectan a la red cableada por medio de un punto de




acceso o un PC Bridge, siendo estos los que controlan el tráfico entre las

estaciones inalámbricas y las transmisiones entre la red inalámbrica y la

red cableada.

Además de los dos tipos de topología diferentes se tiene que tener en

cuenta:

a) Perturbaciones ambientales (interferencias)

b) Variaciones en la potencia de la señal

c) Conexiones y desconexiones repentinas en la red

d) Roaming. Nodos móviles que van pasando de celda en celda.

A pesar de todo ello la norma IEEE 802.11 define una única capa MAC

(dividida en dos subcapas) para todas las redes físicas, ayudando a la

fabricación en serie de chips.

2.2.2.2 Mecanismos de acceso al medio

Hay dos clases principalmente, aunque también se han diseñado

protocolos que son una mezcla de ambos.

1. Protocolos con arbitraje. – FDMA (Frequency Division Multiple

Access), TDMA (Time Division Multiple Access). La ventaja de este

protocolo es la no interferencia entre usuarios. La desventaja, la

pérdida de velocidad al repartir el ancho de banda total entre los

usuarios.

2. Protocolos de contienda CSMA/CA (Carrier Sense Multiple Access

Collision Avoidance), CDMA (Code Division Multiple Access) y el

CSMA/CD (Carrier Sense Multiple Access Collision Detection). Como

ventajas tenemos que cada usuario usa el ancho de banda

completamente. La desventaja es la posibilidad de que dos usuarios




accedan al medio a la vez e interfieran. Esta posibilidad se intenta

reducir de varias formas, las cuales se explican más adelante.

2.2.2.2.1 Protocolos con arbitraje

La multiplexación en frecuencia (FDM) divide todo el ancho de banda

asignado en distintos canales individuales. Es un mecanismo simple que permite

el acceso inmediato al canal, pero muy ineficiente para utilizarse en sistemas

informáticos, los cuales presentan un comportamiento típico de transmisión de

información por breves períodos de tiempo (ráfagas).

Una alternativa a este sería asignar todo el ancho de banda disponible a

cada nodo en la red durante un breve intervalo de tiempo de manera cíclica.

Este mecanismo, se llama multiplexación en el tiempo (TDM) y requiere

mecanismos muy precisos de sincronización entre los nodos participantes para

evitar interferencias. Este esquema ha sido utilizado con cierto éxito sobre todo

en las redes inalámbricas basadas en infraestructura, donde el punto de acceso

puede realizar las funciones de coordinación entre los nodos remotos.

2.2.2.2.2 Protocolos de acceso por contienda

Estos tipos de protocolos guardan similitudes con los usados en redes

cableadas 802.3.

CDMA (Code division multiple access) Es un protocolo de acceso

múltiple por división de código.

Se aplica específicamente a los sistemas de radio de banda esparcida

basados en una secuencia PN. En este esquema se asigna una

secuencia PN distinta a cada nodo, y todos los nodos pueden conocer el

conjunto completo de secuencias PN pertenecientes a los demás nodos.

Para comunicarse con otro nodo, el transmisor solo tiene que utilizar la




secuencia PN del destinatario. De esta forma se pueden tener múltiples

comunicaciones entre diferentes pares de nodos.

CSMA/CD (Carrier Sense Multiple Access Collision Detection). – Es

un protocolo de acceso múltiple con detección de colisión.

Como en radiofrecuencia ni en infrarrojos no es posible transmitir y

recibir al mismo tiempo, la detección de errores no funciona en la forma

básica que fue expuesta para las LAN cableadas. Se diseñó una

variación denominada detección de colisiones (peine) para redes

inalámbricas. En este esquema, cuando un nodo tiene una trama que

transmitir, lo primero que hace es generar una secuencia binaria

pseudoaleatoria corta, llamada peine la cual se añade al preámbulo de la

trama. A continuación, el nodo realiza la detección de la portadora si el

canal está libre transmite la secuencia del peine. Por cada 1 del peine el

nodo transmite una señal durante un intervalo de tiempo corto. Para

cada 0 del peine, el nodo cambia a modo de recepción. Si un nodo

detecta una señal durante el modo de recepción deja de competir por el

canal y espera hasta que los otros nodos hayan transmitido su trama.

La eficiencia del esquema depende del número de bits de la secuencia

del peine ya que si dos nodos generan la misma secuencia, se producirá

una colisión.

CSMA/CA (Carrier Sense Multiple Access Collision Avoidance). Es

un protocolo de múltiple acceso que evita colisiones.

Este protocolo es el más utilizado. Evita colisiones en lugar de descubrir

una colisión, como el algoritmo usado en la 802.3, ya que en una red

inalámbrica es difícil descubrir colisiones. Es por ello que se utiliza el

CSMA/CA y no el CSMA/CD debido a que entre el final y el principio de

una transmisión suelen provocarse colisiones en el medio. En

CSMA/CA, cuando una estación identifica el fin de una transmisión




espera un tiempo aleatorio antes de transmitir su información,

disminuyendo así la posibilidad de colisiones. Esto puede observarse en

la figura 8:

Figura 8. Funcionamiento de CSMA/CA

La capa MAC opera junto con la capa física probando la energía sobre el

medio de transmisión de datos. La capa física utiliza un algoritmo de estimación

de desocupación de canales (CCA) para determinar si el canal está vacío. Esto

se cumple midiendo la energía de radio frecuencia de la antena y determinando

la fuerza de la señal recibida. Esta señal medida es normalmente conocida como

RSSI.

Si la fuerza de la señal recibida está por debajo de un umbral

especificado, el canal se considera vacío, y a la capa MAC se le da el estado del

canal vacío para la transmisión de los datos. Si la energía RF está por encima

del umbral, las transmisiones de los datos son retrasadas de acuerdo con las

reglas protocolares.

El Standard proporciona otra opción CCA que puede estar sola o con la

medida RSSI. El sentido de la portadora puede usarse para determinar si el




canal está disponible. Esta técnica es más selectiva ya que verifica que la señal

es del mismo tipo de portadora que los transmisores del 802.11.

En comunicaciones inalámbricas, este modelo presenta todavía una

deficiencia debida al problema conocido como el nodo escondido (Véase Figura

9).

Figura 9. Problema del nodo escondido

Un dispositivo inalámbrico (Terminal 2) puede transmitir con la potencia

suficiente para que sea escuchado por un Punto de Acceso, pero no por otra

estación (Terminal 1) que también desea transmitir y que por tanto no detecta la

transmisión.

Para resolver este problema, la norma 802.11 ha añadido al protocolo de

acceso CSMA/CA un mecanismo de intercambio de mensajes con

reconocimiento positivo, al que denomina Reservation-Based Protocol, que es la

2ª subcapa MAC.

Cuando una estación está lista para transmitir, primero envía una solicitud

(destino y longitud del mensaje) al punto de acceso (RTS “request to send”)

quien difunde el NAV (Network Allocation Vector), un tiempo de retardo basado

en el tamaño de la trama contenido en la trama RTS de solicitud a todos los

demás nodos para que queden informados de que se va a transmitir (para que

por lo tanto no transmitan) y cuál va a ser la duración de la transmisión. Estos

nodos dejarán de transmitir durante el tiempo indicado por el NAV más un

intervalo extra de backoff (tiempo de retroceso) aleatorio. Si no encuentra

problemas, responde con una autorización (CTS “clear to send”) que permite al

Terminal 1 Terminal 2

Punto de acceso

Terminal 1 Terminal 2

Punto de acceso




solicitante enviar su trama (datos). Si no se recibe la trama CTS, se supone que

ocurrió una colisión y los procesos RTS empiezan de nuevo.

Figura 10.- Funcionamiento del protocolo basado en reserva del canal

Después de que se recibe la trama de los datos, se devuelve una trama

de reconocimiento (ACK ACKnowledged) notificando al transmisor que se ha

recibido correctamente la información (sin colisiones).

Aún así permanece el problema de que las tramas RTS sean enviadas

por varias estaciones a la vez, sin embargo estas colisiones son menos dañinas

ya que el tiempo de duración de estas tramas es relativamente corto.

Existen problemas comunes a todos los mecanismos de acceso al medio

que están siendo mejorados mediante la revisión de la norma. Los resultados

garantizarán una calidad de servicio en redes wireless y se publicarán bajo la

recomendación 802.11e. Estos problemas son:

No existe noción de tráfico de baja o alta prioridad.

Una vez que una estación gana el acceso al medio, lo mantiene a su

elección, por lo que si está conectado a una tasa baja, por ejemplo a 1

RTS

CTS

Data

ACKN

AV:

Acc

eso

retr

asad

o

Terminal 1 Terminal nPunto de acceso

RTS

CTS

Data

ACKN

AV:

Acc

eso

retr

asad

o

Terminal 1 Terminal nPunto de acceso




Mbps, y tiene muchos datos que transmitir, el medio estará ocupado por

un largo período de tiempo.

Esto se resume en que no está garantizada una calidad de servicio.

Este mismo protocolo también puede utilizarse si no existen dispositivos

auxiliares en las redes ad-hoc, en este caso no aparecería la trama NAV.

2.2.2.3 Formato de tramas

Debido a las peculiaridades de un enlace de datos inalámbrico, la trama

MAC tiene varias peculiaridades que la diferencian de la trama MAC en Ethernet.

Una de ellas es el uso de cuatro campos de dirección en lugar de dos. El porqué

usar cuatro campos de dirección, tiene que ver con el sistema de distribución

inalámbrico (en inglés WDS). Este caso se estudia en detalle en el apartado

WDS.

En la figura 11 podemos apreciar el formato de la trama MAC. Los

campos son transmitidos de izquierda a derecha, estando el bit más significativo

el último.

Figura 11. Formato de trama MAC y trama de control

Se aprecia que la trama MAC 802.11 no incluye varias características de

la trama Ethernet 802.3, como el campo tipo/longitud y el preámbulo. El

preámbulo ahora forma parte de la capa física, y los detalles de la trama como el

tipo y la longitud se incluyen en la cabecera de la trama 802.11 añadida en la

capa física.




El campo “Frame Control”, indica el tipo de trama que se transmite,

mediante los cambos tipo y subtipo. Las tramas de gestión son las que poseen

los dos bits del campo tipo a 0. Son las usadas en el intercambio de información

para la asociación y autenticación de un cliente:

Association request

Association response

Reassociation request

Reassociation response

Probe request

Probe response

Beacon

Disassociation

Authentication

Deauthentication

Las tramas con el tipo 01 corresponden a las de control, y las del tipo 10 a

las tramas de datos. El tipo 11 está reservado. En el siguiente apartado se ve en

detalle como se produce la autenticación y la asociación de un cliente.

2.2.2.4 Mecanismo de autenticación y asociación estándar

En la figura 12 podemos observar los estados en los que puede

encontrarse un cliente que quiere asociarse con un punto de acceso (a partir de

ahora, AP por su sigla en Inglés). Puede apreciarse que son 3 estados, entre los

cuales se intercambian las tramas de gestión vistas en el apartado anterior.

El proceso de asociación tiene dos pasos, envueltos en 3 estados:




1. No autenticado y no asociado

2. Autenticado y no asociado

3. Autenticado y asociado

En la transición por los diferentes estados, ambas partes (cliente y AP)

intercambian tramas de gestión.

Figura 12. Estados y transiciones para la autenticación de un cliente

El proceso que realiza un cliente wireless para encontrar y asociarse con

un AP es el siguiente:

Los AP transmiten BEACON FRAMES cada cierto intervalo de tiempo fijo.

Para asociarse con un AP y unirse a una red en modo infraestructura, un cliente

escucha en busca de BEACON FRAMES para identificar Puntos de Acceso. El

cliente también puede enviar una trama “PROVE REQUEST” que contenga un

ESSID determinado para ver si le responde un AP que tenga el mismo ESSID.

Después de identificar al AP, el cliente y el AP realizan autenticación

mutua intercambiando varias tramas de gestión como parte del proceso.

Después de una autenticación realizada con éxito, el cliente pasa a estar

en el segundo estado (autenticado y no asociado). Para llegar al tercer estado




(autenticado y asociado) el cliente debe mandar una trama “ASSOCIATION

REQUEST” y el AP debe contestar con una trama “ASSOCIATION

RESPONSE”. Desde ese momento, el cliente se convierte en un host más de la

red wireless y ya está listo para enviar y recibir datos de la red.

Este es el mecanismo descrito por el estándar 802.11. Cabe decir que

aunque se use cifrado WEP, estas tramas se intercambian en “texto plano”, lo

que constituye una de las vulnerabilidades más importantes en la seguridad de

las redes wireless. Además, todos los clientes son autenticados, sin

restricciones. Existen mecanismos de autenticación posteriores a la norma

(Radius por ejemplo) más sofisticados, que corrigen este problema.

Actualmente, el estándar 802.11w está trabajando para tratar de paliar este

error. En el apartado Seguridad wireless de este documento puede verse en

detalle cómo se aprovecha esta vulnerabilidad para producir diversos ataques.

2.3 Organización y características de una red wireless

2.3.1 Topologías y configuraciones

Podremos encontrar redes inalámbricas con 2 topologías, donde la

diferencia radica en la existencia o no de puntos de acceso que actúen como

encaminadores y/o puentes entre las distintas estaciones.

Ad hoc.- Esta topología se caracteriza por que no hay Punto de Acceso,

las estaciones se comunican directamente entre si (peer-to-peer), de

esta manera el área de cobertura está limitada por el alcance de cada

estación individual. Para que haya comunicación entre todas las

estaciones, es necesaria que todas estén en el radio de cobertura de

todas, es decir, no se puede usar la estación B para poder llegar a la C,

sino que debemos tener un enlace con B y con C.

Infraestructura.- Esta es la más común y consiste en que las estaciones

se conectan entre sí mediante un punto de acceso, ofreciendo este la

conectividad entre todas las estaciones conectadas al punto de acceso.




Puede haber uno o más puntos de acceso, pudiendo estar estos

conectados a una red LAN y ofrecer conectividad desde y hacia esta red.

Figura 13.Ejemplo de red inalámbrica con topología de infraestructura

2.3.2 Direccionamiento

Direcciones IP, direccionamiento de redes, enrutamiento y reenvío son

conceptos relacionados e importantes en redes Internet. Una dirección IP es un

identificador para un nodo de red como un PC, un servidor, un enrutador o un

puente. El direccionamiento de redes es un sistema usado para asignar estos

identificadores en grupos convenientes. El enrutamiento mantiene un registro del

lugar en la red donde están ubicados esos grupos. Los resultados del proceso

de enrutamiento se guardan en una lista llamada tabla de enrutamiento. El

reenvío es la acción de usar la tabla de enrutamiento para mandar un paquete al

destino final o al "próximo salto" en la dirección a ese destino.

En una red IPv4, la dirección es un número de 32 bits, usualmente escrito

como 4 números de 8 bits expresados en forma decimal, separados por puntos.

Algunos ejemplos de direcciones IP son 10.0.17.1, 192.168.1.1 ó 172.16.5.23.

Las redes interconectadas deben ponerse de acuerdo sobre un plan de

direccionamiento IP. En Internet, hay comités de personas que asignan las

direcciones IP con un método consistente y coherente para garantizar que no se




dupliquen las direcciones, y establecen nombres que representan a grupos de

direcciones. Esos grupos de direcciones son denominados subredes, o subnets.

Grandes subnets pueden ser subdivididas en subnets más pequeñas. Algunas

veces un grupo de direcciones relacionadas se denomina espacio de

direcciones.

En Internet, ninguna persona u organización posee realmente estos

grupos de direcciones porque las direcciones sólo tienen significado si el resto

de la comunidad de Internet se pone de acuerdo sobre su uso. Mediante

acuerdos, las direcciones son asignadas a organizaciones en relación con sus

necesidades y tamaño. Una organización a la cual se le ha asignado un rango

de direcciones, puede asignar una porción de ese rango a otra organización

como parte de un contrato de servicio. Las direcciones que han sido asignadas

de esta manera, comenzando con comités reconocidos internacionalmente, y

luego repartidas jerárquicamente por comités nacionales o regionales, son

denominadas direcciones IP enrutadas globalmente.

Algunas veces es inconveniente o imposible obtener más de una dirección

IP enrutada globalmente para un individuo u organización. En este caso, se

puede usar una técnica conocida como Traducción de Direcciones de Red o

NAT (Network Address Translation). Un dispositivo NAT es un enrutador con dos

puertos de red. El puerto externo utiliza una dirección IP enrutada globalmente,

mientras que el puerto interno utiliza una dirección IP de un rango especial

conocido como direcciones privadas4. El enrutador NAT permite que una única

dirección global sea compartida por todos los usuarios internos, los cuales usan

direcciones privadas. A medida que los paquetes pasan por él los convierte de

una forma de direccionamiento a otra. Al usuario le parece que está conectado

directamente a Internet y que no requieren software o controladores especiales

para compartir una única dirección IP enrutada globalmente.




2.3.2.1 Direcciones IP Globales para España

Cada grupo wireless necesita de un rango de direcciones IP para

posibilitar la conexión de los nodos con los equipos de los clientes, la conexión

de los nodos entre sí y finalmente para posibilitar la conexión con otros grupos

wireless, otros entes externos e Internet. Varios grupos wireless internacionales

que ya han montado sus propias redes wireless han empezado a usar

direcciones IPs privadas por la facilidad de usar estas direcciones IP sin tener

que consultar a nadie y para evitar pagar por ellas. Al pedir direcciones IP

oficiales existe un compromiso de conectar estas direcciones IP a Internet y de

justificar el número pedido y su uso, algo a menudo difícil para un proyecto

nuevo.

En este momento no se considera necesario esta petición de direcciones

IPs públicas aunque no se descarta la posibilidad en el futuro.

Los tres grupos de direcciones IP reservados para uso privado son:

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

El grupo RedLibre ha planteado un uso de direcciones IP en todo España

utilizando la red 10.0.0.0/8, dividiendo este rango entre diferentes provincias y

ciudades.

Véase http://www.redlibre.net/direccionamiento.php para más información.

En principio su planteamiento parece correcto y se puede aplicar. Es

necesario asegurar que las direcciones IP de un grupo no coinciden con las de

otro porque así se haría imposible la interconexión de los grupos.




Se recomienda que si un grupo nuevo necesita de un grupo de

direcciones IP que hable con el resto de los grupos wireless en España para

conseguir un rango de direcciones que evitará conflictos en el futuro.

Un ejemplo de esto es el caso de Madrid, donde RedLibre,

MadridWireless y AlcalaWireless necesitan de direcciones IP que no llevan

conflictos.

RedLibre había planteado la asignación de direcciones en Madrid

utilizando el rango 10.0.0.0-10.15.0.0, inicialmente para sus propias redes. Sin

embargo había adaptado este planteamiento para que otros grupos pudieran

utilizar un subrango de direcciones IP, de mutuo acuerdo y los dos grupos no se

interfirieran entre sí.

De esta manera cualquier red wireless que pueda aparecer en España o

en una ciudad grande se asegura un rango de direcciones IP propias y libres

permitiendo además la futura conexión entre estas.

Como se verá más adelante también será necesario asignar direcciones

IP para la conexión de los nodos entre sí, para formar el backbone de la red de

un grupo wireless. En este caso se usará el rango de direcciones IP

172.16.0.0/12.

Se usará otro subrango, todavía sin definir de las direcciones IP

172.16.0.0/12 para la asignación de puntos de interconexión entre diferentes

grupos.

En el caso de que un grupo agotara del bloque de direcciones IP antes

acordado y necesite una posterior asignación de direcciones el grupo debe

volver a hablar con el resto de los grupos para acordar un nuevo bloque de

direcciones que podría usar, siguiendo el esquema propuesto por RedLibre u

otro acordado entre los distintos grupos si no hay inconveniente.




2.3.3 Enrutamiento en redes inalámbricas

Internet está cambiando y creciendo constantemente. Continuamente se

agregan nuevas redes, se añaden y eliminan enlaces entre redes, que fallan y

vuelven a funcionar. El trabajo del enrutamiento es determinar la mejor ruta al

destino, y crear una tabla de enrutamiento que liste el mejor camino para todos

los diferentes destinos.

Enrutamiento estático.- Es el término utilizado cuando la tabla de

enrutamiento es creada por configuración manual. Algunas veces esto

es conveniente para redes pequeñas, pero puede transformarse

rápidamente en algo muy dificultoso y propenso al error en redes

grandes. Peor aún, si la mejor ruta para una red se torna inutilizable por

una falla en el equipo u otras razones, el enrutamiento estático no podrá

hacer uso de otro camino.

Enrutamiento dinámico.- Es un método en el cual los elementos de la

red, en particular los enrutadores, intercambian información acerca de su

estado y el estado de sus vecinos en la red, y luego utilizan esta

información para automáticamente tomar la mejor ruta y crear la tabla de

enrutamiento. Si algo cambia, como un enrutador que falla, o uno nuevo

que se pone en servicio, los protocolos de enrutamiento dinámico

realizan los ajustes a la tabla de enrutamiento. El sistema de intercambio

de paquetes y toma de decisiones es conocido como protocolo de

enrutamiento. Hay muchos protocolos de enrutamiento usados en

Internet hoy en día, incluyendo OSPF, BGP, RIP, y EIGRP.

Las redes inalámbricas asemejan a las redes cableadas, en el sentido de

que necesitan protocolos de enrutamiento dinámicos, pero tienen suficientes

diferencias para requerir protocolos de enrutamiento orientados a sus

necesidades específicas. En particular, las conexiones de las redes cableadas

generalmente funcionan bien o no funcionan (por ejemplo, un cable Ethernet

está enchufado o no). Las cosas no son tan claras cuando se trabaja con redes




inalámbricas. La comunicación inalámbrica puede ser afectada por objetos en

movimiento en el camino de la señal, o por señales que interfieren.

Consecuentemente, los enlaces pueden no funcionar bien, o funcionar

pobremente, o variar entre los dos extremos. Ya que los protocolos de red

existentes no toman en cuenta la calidad de un enlace cuando realizan

decisiones de enrutamiento, el comité IEEE 802.11 y el IETF están trabajando

en estandarizar protocolos para redes inalámbricas. En la actualidad está poco

claro cuándo va a surgir un estándar único que tome en cuenta los enlaces de

calidad variable.

Mientras tanto, hay muchos intentos de programación ad hoc que quieren

solucionar el problema. Algunos ejemplos incluyen Hazy Sighted Link State

(HSLS) “Visión Borrosa del Estado del Enlace”, Ad-hoc On-demand Distance

Vector (AODV) “Vector de Distancia bajo Demanda ad hoc”, y Optimizad Link

State Routing (OLSR) “Enrutamiento Optimizado según el Estado de la Red”. En

este protocolo nos detendremos para explicarlo más detalladamente.

2.3.3.1 OLSR

El Optimized Link State Routing Daemon –olsrd– (Demonio de

Enrutamiento de Estado de Enlace) de olsr.org es una aplicación desarrollada

para el enrutamiento de redes inalámbricas. Es un proyecto fuente abierta que

soporta Mac OS X, Windows 98, 2000, XP, Linux, FreeBSD, OpenBSD

yNetBSD. Olsrd está disponible para puntos de acceso que corren Linux, como

Linksys WRT54G, Asus Wl500g, etc.

Olsrd puede manejar interfaces múltiples y puede extenderse con

diferentes plug-ins. Soporta IPv6 y está siendo desarrollado y utilizado

activamente en redes comunitarias alrededor del mundo.

Existen varias implementaciones para OLSR, que comenzaron como un

borrador IETF escrito en el INRIA en Francia. La implementación de olsr.org

comenzó como la tesis de master de Andreas Toennesen en la Universidad




UniK. El demonio de enrutamiento se modificó con base en la experiencia

práctica de las redes comunitarias gratuitas. El olsrd actual difiere

significativamente del borrador original porque incluye un mecanismo

denominado Link Quality Extension (Extensión de la Calidad del Enlace) que

mide la cantidad de paquetes perdidos entre nodos y calcula las rutas de

acuerdo con esta información. Esta extensión rompe la compatibilidad con los

demonios de enrutamiento que adhieren al borrador del INRIA. El olsrd

disponible en olsr.org puede ser configurado para comportarse de acuerdo al

borrador del IETF que carece de esta característica, pero no hay una razón para

deshabilitar el Link Quality Extension (Extensión de la Calidad del Enlace), a

menos que se requiera la compatibilidad con otras implementaciones.

Después de haber corrido olsrd por un rato, cada nodo adquiere

conocimiento acerca de la existencia de los otros nodos en la nube mallada, y

sabe cuáles nodos pueden ser utilizados para enrutar el tráfico hacia ellos. Cada

nodo mantiene una tabla de enrutamiento que cubre la totalidad de la malla de

nodos. Este enfoque de enrutamiento mallado es denominado enrutamiento

proactivo. En contraste, los algoritmos de enrutamiento reactivo buscan rutas

sólo cuando es necesario enviar datos a un nodo específico.

Hay argumentos en favor y en contra del enrutamiento proactivo, y hay

muchas otras ideas acerca de cómo hacer el enrutamiento mallado que vale la

pena mencionar. La ventaja más grande del enrutamiento proactivo es que

sabemos quién está dentro o fuera de la red y no debemos esperar hasta que se

encuentre una ruta. El alto tráfico de protocolo y la mayor cantidad de carga de

CPU son algunas de las desventajas. En Berlín, la comunidad de Freifunk está

operando una nube mallada donde olsrd tiene que administrar más de 100

interfaces. El promedio de carga del CPU causada por olsrd en un Linksys

WRT54G corriendo a 200 MHz es aproximadamente del 30% en la mesh de

Berlín. Hay un límite al grado hasta el cual la extensión de un protocolo proactivo

puede escalar, dependiendo de cuántas interfaces estén involucradas y cuán a

menudo se actualizan las tablas de enrutamiento.




2.3.3.1.1 Mecanismo utilizado por OLSR

Un nodo que corre olsrd envía constantemente mensajes de “Hello” con

un intervalo dado para que sus vecinos puedan detectar su presencia. Cada

nodo computa una estadística de cuántos “Hellos” ha recibido y perdido desde

cada vecino, obteniendo de esta forma información sobre la topología y la

calidad de enlace de los nodos en el vecindario. La información de topología

obtenida es difundida como mensajes de control de topología y reenviada por los

vecinos que olsrd ha elegido para ser relevadores “multipunto”.

El concepto de relevadores multipunto es una nueva idea en el

enrutamiento proactivo que viene desde el borrador de OLSR. Si cada nodo

retransmite la información de topología que ha recibido, se puede generar una

sobrecarga innecesaria. Dichas transmisiones son redundantes si un nodo tiene

muchos vecinos. Por esta razón, un nodo olsrd decide cuáles vecinos serán

designados “relevadores multipunto favorables”, encargados de reenviar los

mensajes de control de topología. Nótese que los relevadores multipunto son

elegidos exclusivamente con el propósito de reenviar mensajes de CT, la carga

útil (payload) se enruta utilizando todos los nodos disponibles.

Existen otros dos tipos de mensajes en OLSR que informan cuándo un

nodo ofrece una pasarela (gateway) a otras redes (mensajes HNA) o tiene

múltiples interfaces (mensajes MID). No hay mucho más que decir acerca de

estos mensajes más allá del hecho de que existen. Los mensajes HNA hacen al

olsrd muy conveniente para conectarse a Internet con un dispositivo móvil.

2.3.3.1.2 Aplicaciones sobre OLSR

Existen diversas aplicaciones que utilizan el protocolo OLSR para obtener

información sobre los distintos nodos que componen la red. Estas aplicaciones

pueden verse en la web olsr.org. Básicamente se utilizan dos. En la figura 14

puede verse un gráfico de los nodos que componen una red, utilizando para ello

las utilidades disponibles a tal efecto.




2.3.4 WDS

El acrónimo WDS corresponde a las siglas en inglés de sistema de

distribución wireless. Este sistema permite la interconexión entre dos puntos de

acceso, creando un enlace punto a punto. Esto a su vez permite la interconexión

a nivel 2 de todos los dispositivos conectados mediante dichos puntos de

acceso.

Según la recomendación 802.11, podemos tener dos tipos de conexión a

puntos de accesos:

BSS (Basic Service Set): en este caso sólo hay un punto de acceso y

una red inalámbrica definida por las estaciones conectadas a ese único

AP.

ESS (Extended Service Set): en éste caso hay varios puntos de

acceso, e interesa que las estaciones conectadas a cualquiera de ellos

puedan interconectarse de forma transparente. El sistema que permite

dicha interconexión es el WDS (Wireless Distribution System).

Realmente la recomendación 802.11 no define completamente como debe

ser este sistema de distribución, lo que ha llevado a que distintos fabricantes

adopten soluciones cuya compatibilidad entre sí no es más que una casualidad.

Es decir, si queremos tener varios puntos de acceso en una red y ofrecer

Figura 14. Gráfico obtenido a partir de las tablas de enrutamiento OLSR




interconexión entre dispositivos de los diferentes puntos de acceso, se hace

prácticamente necesario que los puntos de acceso sean todos de un mismo

fabricante.

Conceptualmente es algo fácil de implementar, por lo que muchos puntos

de acceso lo ofrecen directamente o mediante el cambio de su firmware.

2.3.4.1 Funcionamiento de WDS

En el apartado en el que se definía la capa MAC para redes 802.11, se vio

que una de las diferencias con la capa MAC ethernet era la existencia de cuatro

campos reservados para direcciones MAC de nivel 2 (origen, destino, origen

real, destino real), en lugar de los 2 que existen en la capa MAC ethernet. Son

esos 2 campos de direcciones adicionales los que permiten que dos dispositivos

conectados a sendos puntos de acceso de una misma red inalámbrica puedan

intercomunicarse de forma transparente.

Para ilustrarlo supondremos que tenemos dos ordenadores A y B

conectados a sendos puntos de acceso C y D, respectivamente. Definiremos las

direcciones MAC inalámbricas de los dispositivos de la siguiente manera:

Ordenador A.- 00:00:00:00:00:AA

Ordenador B.- 00:00:00:00:00:BB

Punto de acceso C.- 00:00:00:00:00:CC

Punto de acceso D.- 00:00:00:00:00:DD

Imaginemos que el ordenador A desea enviar un paquete de datos a B.

Sin el sistema de distribución wireless no podríamos enviarlo, ya que cuando el

paquete llega al punto de acceso C, éste reemplaza la dirección MAC origen por

la suya propia y manda el paquete al punto de acceso D, por lo que perdemos la

dirección MAC del ordenador A.




Para que esto no ocurra se usan los dos campos de direcciones

adicionales definidos en la recomendación 802.11. Veamos paso por paso como

varían los 4 campos de direcciones en los distintos saltos del paquete.

1. El paquete sale de A hacia el punto de acceso C con la dirección de

origen 00:00:00:00:00:AA y la de destino 00:00:00:00:00:BB.

2. El paquete llega al punto de acceso C y este lo retransmite al punto de

acceso D cambiando la dirección de origen por la suya propia

00:00:00:00:00:CC y la de destino por la del punto de acceso D,

00:00:00:00:00:DD para que este puede recibirlo. Además escribe en

los campos origen real la dirección del ordenador A,

00:00:00:00:00:AA y en destinatario real la del ordenador B,

00:00:00:00:00:BB.

3. El punto de acceso D recibe el paquete y lo envía al ordenador B,

cambiando el campo de dirección origen por el del ordenador A y el de

destino por el del ordenador B. Los otros campos quedan ya en

blanco. Si hubiera más puntos de acceso el paso 2 se repite hasta el

punto de acceso donde esté conectado el ordenador B.

Hay que destacar que WDS funcionará bien siempre y cuando los puntos

de acceso intercambien paquetes arp para definir las tablas de enrutamiento, es

decir, que el punto de acceso C, debe saber que debe mandar el paquete al

punto de acceso D para que le llegue al ordenador B.

A modo de resumen, destacar que un enlace WDS entre dos puntos de

acceso es la única forma de interconectarlos sin que haya un cable entre ellos.

2.3.5 Roaming

Una de las características más importantes de una red wireless es

movilidad de los dispositivos, al no tener que depender de cableado para

conectarse a la red. En una red donde solo haya un punto de acceso, los




dispositivos conectados a éste podrán moverse en todo el rango de cobertura

que ofrezca. En el caso de que sean varios los puntos de acceso los que definan

la cobertura de la red, debe definirse un procedimiento por el cual un dispositivo

deja de asociarse con un punto de acceso para asociarse con otro más cercano

perteneciente a la misma red. Además, debe hacerse de forma transparente

para el usuario.

Al igual que ocurre con WDS, esta tecnología está poco estandarizada,

por lo que si queremos asegurarnos que la red ofrezca roaming entre los puntos

de acceso, estos deben ser del mismo fabricante.

Veremos que la posibilidad de tener una red cableada entre los puntos de

acceso, nos va a permitir configurar la red para minimizar las interferencias entre

estos.

2.3.5.1 Puntos de acceso cableados

Esta es la mejor opción para extender la cobertura de una red wireless,

aunque bien es cierto que no siempre es posible conectar los puntos de acceso.

Suponiendo que los puntos de acceso estén cableados, podremos configurar los

canales de transmisión de los puntos de acceso adyacentes de forma que no

solapen en frecuencia, evitando así interferencias entre ellos. Esto es posible

porque la interconexión entre los puntos de acceso se hace mediante el cable

ethernet, no teniéndose porqué establecer comunicación inalámbrica entre

puntos de acceso.

El estándar 802.11a es el más fácilmente configurable para que no se

solapen en frecuencia, ya que ningún canal comparte frecuencias con otro. El

estándar 802.11b y 802.11g solo tienen 3 canales no solapados, por lo que

tendremos que elegirlos de forma que ninguna celda adyacente use el mismo.

En las siguientes figuras podemos observar este hecho.




Figura 15. Configuración de radiocanales en 802.11b y g

Figura 16. Configuración de radiocanales para el estándar 802.11a

Como el servicio de roaming no está estandarizado, depende de cada

fabricante, por lo que no se asegura que entre puntos de acceso de diferentes

fabricantes funcione.




Para configurarlo, generalmente basta con elegir en los puntos de acceso

el mismo ESSID, pudiendo tener diferentes BSSID. Además deben compartir las

mismas medidas de seguridad y claves de encriptación.

Es el dispositivo el que monitoriza la potencia de recepción de los

diferentes puntos de acceso, eligiendo en cada caso el punto de acceso óptimo.

2.3.5.2 Puntos de acceso no cableados

Cuando no exista la posibilidad de cablear los puntos de acceso,

tendremos que intercomunicarlos mediante un IAPP (Inter Access Point

Protocol). De esta forma tendremos comunicados los diferentes puntos de

acceso. La principal desventaja es que todas las estaciones base deben usar el

mismo canal, por lo que habrá interferencias entre ellos y por tanto, una merma

de la velocidad de transmisión.

Al igual que antes, los puntos de acceso deben compartir la misma

seguridad, clave de encriptación y el mismo ESSID, además del mismo

radiocanal.




3 Actualidad wireless En este apartado se hace un recorrido por todo lo que representan las

comunicaciones inalámbricas en la actualidad, desde los dispositivos actuales y

sus funcionalidades, las comunidades de usuarios surgidas para fomentar esta

tecnología, hasta las últimas recomendaciones surgidas para mejorar las

prestaciones, etc.

3.1 Comunidades Wireless

Desde hace algo más de ocho años se están acometiendo en varias

ciudades de Norteamérica, Europa y Australia principalmente una serie de

proyectos dirigidos a facilitar conexión gratuita a Internet a través de la

tecnología Wireless LAN. Son las llamadas cooperativas o comunidades

wireless. Estos proyectos sin ánimo de lucro, que ya se están extendiendo como

la pólvora también por América del Sur y Asia, surgen a iniciativa de varios

voluntarios que se encargan de administrar una serie de nodos que forman la

columna vertebral de la red inalámbrica.

La historia de estos grupos comienza en realidad con el nacimiento de las

comunidades virtuales, generalmente de vecinos, que compartían un acceso de

banda ancha para sacarle el máximo partido por el mínimo coste. Estas

iniciativas, con muchos ejemplos en nuestro país, pasaron allá por 1997 del

cable al aire. La idea no es sólo ofrecer acceso a Internet a quienes carecen de

recursos, sino también poder aportar una red de calidad, alternativa a las tan

laureadas 3G, y con posibilidades de mejoras en un futuro próximo. Muchos ya

ven en esta nueva alternativa la vuelta a los comienzos de Internet, en donde

cada uno aportaba algo nuevo a la red y donde, en teoría, el tráfico no era

monitorizado.

Las comunidades wireless se distribuyen a lo largo de toda la ciudad, de

forma que cualquier persona que se encuentre en el radio de acción de uno de

sus nodos pueda acceder a la red inalámbrica sin mayor problema. A su vez,




estos nodos se conectan a Internet mediante algunos de los distintos tipos de

accesos de banda ancha disponibles, en España principalmente ADSL. El

objetivo final es que cualquier persona pueda acceder a Internet desde cualquier

punto de su ciudad y a una velocidad práctica de hasta 1 Mbps, cualquiera que

sea su situación económica y social, cualquiera que sea su situación física. Uno

de los mayores problemas que mucha gente se está encontrando en ciudades

teóricamente punteras en tecnología es la falta de soporte para su zona concreta

de soluciones de alta velocidad como, por ejemplo DSL, debido sobre todo a la

distancia excesiva hasta la central digital que provee este tipo de servicios. Y en

el caso de disponer de la tecnología, no todo el mundo puede pagarla.

Aunque la idea procede de Estados Unidos y Australia, fuertemente

vinculada a jóvenes pertenecientes a movimientos ciudadanos, estas

comunidades han encontrado una gran aceptación en la mayoría de ciudades

europeas, y ya son muchos los proyectos que disponen de una pequeña

infraestructura que permite el acceso a Internet en una zona parcial de las

ciudades. También en España.

En nuestro país cada día surgen nuevas comunidades wireless. Aunque

la mayoría sólo cuentan con un par de nodos, ya hay muchas que están

empezando a plantearse la topología de la red, así como la infraestructura

básica que cada uno de los nodos ha de tener, lo que da fe del rápido

crecimiento que están experimentando estas redes en los últimos meses. Olot,

Málaga, Zaragoza, Palamós, Madrid, Valladolid, Alcalá de Henares, Santiago de

Compostela y Barcelona, Sevilla y Canarias, entre otras ciudades españolas, ya

tienen comunidades wireless en marcha. Todas ellas se reúnen en torno a

RedLibre, foro en el que, junto con las web particulares de cada proyecto, se

recoge todo tipo de documentación traducida al castellano.

Estas comunidades guardan en cualquier caso un fuerte vínculo entre sus

miembros, los cuales aportan recursos al proyecto de forma gratuita, ya sea en

forma de hardware o de ancho de banda, siguiendo una filosofía muy similar a la




que impera en las comunidades de software libre. La mayoría, sino la totalidad,

de los elementos que se utilizan en la construcción de la red, ya sean antenas o

equipos, suelen disponer de extensos HOWTO acerca de cómo fabricarlos

utilizando componentes relativamente económicos, por lo que el gasto final es

mínimo, comparado con lo que supondría una solución totalmente comercial.

Uno de los principales problemas de estas redes está siendo el gasto en

infraestructura, sobre todo inicialmente, ya que implantar una red de este tipo

requiere de un gran numero de voluntarios que hoy por hoy no existe en las

ciudades españolas. Por ello, muchas de estas comunidades están pensando en

constituirse como asociaciones sin ánimo de lucro para lograr algún tipo de

subvención, que sería reinvertida en la infraestructura de la propia red del

proyecto.

La mayoría de los voluntarios que toman parte en estas iniciativas está

vinculada a la comunidad Linux, que tanto ha crecido en los últimos años, y es

que aunque estas redes están preparadas para trabajar con cualquier sistema

operativo que soporte drivers para tarjetas inalámbricas, BSD y sobre todo Linux

se han convertido en las opciones preferidas a la hora de implementar los nodos

en la totalidad de las comunidades wireless. Siguiendo el espíritu de Linux, las

comunidades guardan copia de todo el desarrollo realizado para que sirva de

base a otros voluntarios que deseen crear nuevas cooperativas wireless en sus

ciudades. Como resultado, ya existen auténticas bibliotecas de documentos

HOWTO, que van desde cómo implementar las técnicas de seguridad por medio

de soluciones VPN (redes privadas virtuales), hasta cómo fabricar una antena de

forma que se pueda utilizar para enlazar con un nodo lejano a la posición del

usuario.

Como varios de los fundadores de estas comunidades afirman, uno de los

motivos que más les mueve a trabajar cada día en este tipo de proyectos es

todo lo que queda por desarrollar. Sólo hay que darse una vuelta por alguno de

los muchos sitios web de estas comunidades para comprobar el volumen de




documentación virtual, creada generalmente con aplicaciones tan conocidas

como Slash-Code o Wiki, que muy detalladamente aborda todo el trabajo

realizado y por realizar. Cualquier persona que esté interesada en echar una

mano puede ponerse rápidamente al día de toda la información técnica que

necesita saber, así como de la política general de la comunidad, referida sobre

todo a la organización de la red.

El funcionamiento de las comunidades wireless no dista mucho del de una

LAN inalámbrica convencional, tecnología en la que se basan. La columna

vertebral de la red es una serie de nodos que pueden o no estar conectados a

Internet. Los que sí tienen conexión, por lo general de banda ancha, forman la

troncal o backbone de la red, en clara alusión a su similar en Internet. Estos

nodos a su vez disponen de un gran numero de nodos de menor tamaño, que o

bien no disponen de conexión a Internet y son simples repetidores, o bien son

usuarios finales, que gracias a las tarjetas wireless con las que se enlazan con

los nodos principales, ofrecen conexión a los usuarios que se encuentren

aproximadamente a unos cien metros de distancia.

Junto con las tarjetas WLAN, el otro componente fundamental de la red

son las antenas. Aunque se emplean también por los usuarios de la comunidad

wireless, son uno de los elementos fundamentales de la infraestructura de la red

inalámbrica. Ahora mismo se están realizando modelos caseros de la mayoría

de los tipos de antenas.

En principio, los esfuerzos fundamentales en cuanto a infraestructura se

están llevando a cabo en la definición de la topología de la red, pero ya hay en

desarrollo varios proyectos pensados para unir las distintas comunidades

surgidas. No en vano, una de las metas finales es lograr una red global paralela

a Internet, en la que tanto su monitorización como su comercialización sean

nulas, una vuelta a los orígenes de Internet que entusiasmará a más de uno.

La creación de esta red wireless global no sólo implica el desarrollo de

nuevas antenas, o de nuevas redes sin cables de alto rendimiento, que ya están




en desarrollo, sino toda una nueva organización que gestione todos los aspectos

de la nueva red. Desde varios proyectos ya se ha comentado la posibilidad de

crear una alternativa al ICANN, con su correspondiente red de servidores DNS

repartida por todo el mundo. Todo un reto.

Ya queda poco para poder disfrutar de Internet con independencia de

dónde estemos situados, gracias ya no sólo a los portátiles, que tanto

promocionan estas comunidades, sino a todos los dispositivos Wireless LAN que

ya están en el mercado o que van a aparecer de forma inmediata.

Realmente es muy sencillo conectarse a una de estas redes. El problema

reside en que cada nodo mantiene su propia política de acceso, condicionada

por sus propios recursos, sobre todo los referentes al ancho de banda y al

rendimiento del equipo. Para conectarse a uno de estos nodos teóricamente sólo

es necesario contar con una de las muchas tarjetas inalámbricas disponibles

actualmente en el mercado. Una vez instalada en el equipo, hay que configurar

una serie de parámetros que dependerán de cada comunidad y del nodo al que

se esté accediendo, aunque ya hay varios proyectos en marcha para lograr un

método unificado, de forma que el equipo lo haga automáticamente, al menos

dentro de una misma comunidad wireless.

En teoría, y seguramente sea así en un futuro próximo, la antena que

lleva incorporada la tarjeta wireless debería servir para contactar con el nodo

más próximo. Como, sin embargo, la realidad es que actualmente el número de

nodos es muy reducido y están muy separados unos de otros, en la mayoría de

los casos, sobre todo en las comunidades wireless aún no muy implantadas

como las españolas, se utilizan antenas externas conectadas a la tarjeta

inalámbrica sin mayor problema, ya que vienen preparadas con un conector para

tal fin.

Como se ha visto anteriormente, existe todo tipo de antenas.

Normalmente se suelen utilizar las onmidireccionales para expandir la señal

wireless por una zona reducida, y las de otros tipos para apuntar directamente




hacia un punto en concreto. Estas últimas suelen ser las que se emplean para

conectar con nodos alejados, ya que aumentan la distancia a cubrir hasta unos

cuatro kilómetros de media, suficiente para la mayoría de las ciudades.

En cualquier caso, siempre hay que tener en cuenta el entorno en el que

se va a instalar la antena, ya que por el momento depende mucho de que la del

nodo esté a la vista. Se han dado casos en comunidades wireless, como la de la

ciudad de Nueva York, de tener que realizar verdaderas proezas para comunicar

a un usuario con un nodo físicamente cercano. Así, en algunas comunidades

ciertas instalaciones inalámbricas cuentan además con pequeños tramos LAN

convencionales para sortear determinados obstáculos físicos que, como sucede

con los edificios, la señal no puede atravesar. Por ello hay que tratar de poner

las antenas en un sitio lo más despejado posible y con una línea de vista limpia.

Además de la antena, también es recomendable adquirir cable que

guarde de forma satisfactoria la señal, algo que en realidad no suele suponer un

gasto muy superior al de un cable de menor calidad.

Aparte de todo este material, igualmente es necesario disponer de algún

sistema operativo que soporte los drivers de la tarjeta wireless que vaya a ser

instalada. Por lo general, cualquier sistema BSD, Linux, Unix o Windows sirve

para este propósito, aunque dado que el desarrollo de software específicamente

pensado para este tipo de redes se está haciendo para entornos Unix, es

preferible escoger una de las tres primeras opciones. En cualquier caso, y

haciendo gala de los comienzos de la comunidad Linux, por el momento la

mayoría de los responsables de los nodos ofrecen servicio técnico gratuito a las

personas que quieren conectarse a la Red. En la mayoría de las páginas de

dichos nodos se encuentra toda la información necesaria para ponerse en

contacto con voluntarios de la comunidad, e incluso algún que otro documento o

FAQ donde se pueden encontrar respuestas a las preguntas más frecuentes

formuladas por los usuarios.




Como redes públicas, las comunidades wireless basan su funcionamiento

en el colectivo, una red construida por y para los usuarios. De esta forma, toda la

filosofía contenida detrás de este servicio gratuito está pensada para que

cualquier persona con ganas de participar no tenga problema alguno a la hora

de unirse al proyecto. En cualquier caso, esto siempre varía de una comunidad a

otra, pero hay una serie de puntos comunes en todas las comunidades wireless

a lo largo del planeta: confianza en los usuarios, libertad frente a control,

donación del ancho de banda, inversión en recursos y financiación alternativa.

Uno de los mayores problemas con los que se enfrentan ahora mismo los

administradores de los nodos de las comunidades wireless es lo que sus

usuarios hagan de forma incontrolada. Por definición, las comunidades wireless

luchan contra la monitorización de la red, pero muchos de sus administradores

se preguntan que ocurrirá si uno de sus usuarios realiza alguna acción no

recomendable haciendo uso de su conexión de banda ancha.

Hay varias posiciones encontradas en este punto. Por un lado están los

que apuestan por guardar los logs de las conexiones realizadas a los distintos

nodos wireless, por si en algún momento hicieran falta. Para ello ya se ha

propuesto realizar backup mensuales de estos logs y luego eliminarlos dejando

sólo la información imprescindible para una correcta administración del equipo y

con fines estadísticos.

Por otro lado, se encuentran los que propician una solución más social:

confiar en los usuarios. Para ello ya se están desarrollando varias soluciones

que van desde la apertura del nodo sólo a personas determinadas, en concreto a

aquellas que viven en la vecindad del responsable del nodo. De esta forma,

dicho administrador siempre tendría un cierto control sobre la gente que esta

haciendo uso de su equipo, reduciendo así las posibilidades de que alguno de

estos usuarios realice alguna acción no recomendable para el responsable del

nodo, y por ende para el resto de la comunidad.




Otra de las soluciones que se están proponiendo es crear un par de

nombre de usuario y contraseña para cada uno de los que hacen uso de las

redes wireless. De esta forma, la identificación sería mucho más fácil. Pero

varios sectores han mostrado su disconformidad con esta medida, ya no sólo por

el control de la información del usuario que implica, sino por lo que supondría la

implantación a nivel mundial de esa base de datos, de forma que cualquier

persona con uno de estos pares pudiese conectarse en cualquiera de las

comunidades wireless implantadas a lo largo del planeta.

Como se ha visto en el punto anterior, una de las bases de esta nueva red

wireless mundial va a ser la libertad de actuación, siempre que sea legal, como

sucedía en los primeros pasos de Internet. Uno de los objetivos de estas

comunidades es evitar a toda costa la monitorización y el control no deseado

que, según los responsables de muchas de estas comunidades, se está llevando

a cabo en Internet. Para ello, una de las guerras más fuertes se está librando

contra los ISP, que, como competidores comerciales de las comunidades,

querrán conservar su posición en un mercado quizás demasiado dinámico,

donde propuestas como las de las comunidades wireless tienen una gran

acogida.

Una de las bases de las comunidades wireless, al menos hasta que no se

conviertan en una red mundial homogénea, es su conexión a Internet. Ésta se

realiza por medio de las conexiones individuales, generalmente de banda ancha,

que tienen cada uno de los nodos que forman dicha red. Es sabido que, al

menos de momento, el ancho de banda contratado tanto por usuarios como por

empresas prácticamente es casi siempre infrautilizado. Esto se da

especialmente en las empresas, que una vez llegada la tarde y a lo largo de la

noche, no utilizan prácticamente su red, por lo que un gran numero de recursos

quedan desaprovechados. Por ello, las comunidades wireless apuestan por

utilizar ese ancho de banda desperdiciado para conectar a Internet a los

usuarios de su zona.




Esta alternativa tiene como problema añadido el hecho de que los ISP no

admiten esa reventa de servicios por parte de sus usuarios, ya sean empresas o

particulares. Aunque este inconveniente está causando considerables retrasos

en la implantación de algunas comunidades wireless, ya hay instituciones, que,

como la Universidad Politécnica de Cataluña con el proyecto Barcelona

Wireless, están colaborando de forma activa ofreciendo parte de sus recursos a

este fin. Ésta es sólo una muestra de una tendencia que acabará por

consolidarse debido a los requerimientos de los usuarios.

Quizás el aspecto que más se ha cuidado a la hora de definir la

infraestructura de las comunidades wireless ha sido los requerimientos tanto en

software como en hardware, un factor clave en el éxito de estas redes. La

mayoría, por no decir la totalidad, de los nodos de una de estas comunidades no

necesita algo mas allá de un Pentium antiguo de gama media, por ejemplo un

Pentium 133, con algo más de 32 MB de RAM, equipo accesible a cualquier

público por menos de diez mil pesetas en determinadas tiendas de segunda

mano.

Por otro lado, todo lo relacionado con las antenas ha sido desarrollado

pensando en gente con pocos recursos, y se han ofrecido HOWTO acerca de

cómo construirlas de forma barata sin perder calidad. Asimismo, todo el

desarrollo de la infraestructura se ha llevado a cabo sobre sistemas libres, esto

es Linux y BSD, aunque no se han cerrado las puertas en ningún caso a que

usuarios con otros sistemas, como Unix o Windows, también puedan acceder.

Financiación alternativa. Las inalámbricas libres pretenden llegar a

aquellas personas que no dispongan de recursos para costea una conexión a

Internet de banda ancha, como muchos centros sociales y determinadas

organizaciones. Por ello no se cobra ningún tipo de canon, por muy pequeño que

sea. Esto obliga a sus responsables a buscar formas alternativas de

financiación, provenientes principalmente de distribuidores de productos wireless

y determinadas empresas, incluidos ISP, que apuestan claramente por este




nuevo tipo de acceso a la Red. En el caso particular de los distribuidores, es

habitual que realicen descuentos en el material necesario, e incluso los hay que

donan gratuitamente los equipos.

Junto con este tipo de financiación, también se ha puesto de moda en la

mayoría de proyectos hacer uso de los servicios de empresas como PayPal o

CafePress, la primera para realizar donaciones, y la segunda, mucho mas

interesante, para poder comprar merchandising del proyecto, algo muy habitual a

la hora de buscar financiación para los proyectos de software libre.

Una de las ideas con las que nacieron las primeras comunidades wireless

es que las redes son por y para los usuarios. En los primeros pasos, por lo

general un grupo de voluntarios se encarga de llevar a cabo la infraestructura

básica, a la que el resto de los usuarios según se van uniendo a la comunidad

van añadiendo sus propios nodos, lo que contribuye a que la comunidad wireless

crezca rápidamente.

Esto es lo que ha ocurrido en ciudades como Seattle o Nueva York, donde

en menos de un año ya cuentan con un gran número de nodos, haciendo la red

accesible prácticamente desde todos los puntos de la ciudad; y siguen

extendiéndose. Es posible que dentro de poco estas redes dejen los centros

urbanos para expandirse a las ciudades dormitorios y de allí a otros núcleos de

menor población, creando una especie de telaraña que se va extendiendo poco

a poco.

Como buenos usuarios de software libre, los administradores de los nodos

de las redes wireless gratuitas utilizan las últimas tecnologías disponibles. De

hecho, en la mayoría de las comunidades ya se está implementando IPv6. La

nueva versión del protocolo IP, además de todas las ventajas en cuanto a un

mayor número de direcciones disponibles y su mejor gestión, también ofrece la

posibilidad de disponer de una dirección IP móvil, de forma que la transición de

uno a otro nodo, lejos de ser un proceso caótico, no suponga ninguna dificultad

para el usuario o para los administradores de los nodos.




También se ha implementado en la práctica totalidad de las comunidades

la asignación de IP mediante DHCP, mucho más sencilla que otros métodos, y

aumenta la presencia de tecnologías de seguridad como VPN e IPSec; incluso

se están desarrollando nuevas versiones optimizadas de antenas. Una de las

tendencias actuales en el desarrollo de estas antenas es ofrecer dispositivos lo

más baratos posibles.

En cualquier caso, se tiene previsto implementar cualquier nueva

tecnología que aporte características añadidas a la comunidad wireless, algo no

muy complicado de llevar a cabo teniendo en cuenta que se están utilizando

herramientas de software libre.

Ya son muchas las redes wireless tanto comerciales como gratuitas hoy

en operación y hay quienes ven en ellas la clave del futuro de Internet. Los

precios siguen bajando y los usuarios potenciales son cada vez más. Es posible

que en poco tiempo podamos andar por la calle y hablar mediante

videoconferencia con nuestros amigos o colegas de trabajo con una calidad

superior a la que ofrecerán las tecnologías 3G. Como dicen desde una de las

comunidades wireless, “esto es el futuro, disfrútalo”.

3.2 Recomendación 802.11n

3.2.1 Introducción

En el momento de escribir esta memoria, el estándar 802.11n se

encuentra en su segundo borrador, estando estimada la ratificación para el

tercer trimestre del 2008. Aún así ya existen en el mercado dispositivos que

proclaman ser compatibles con esta tecnología.

En principio, esta nueva recomendación ofrece principalmente tres

mejoras frente a las recomendaciones anteriores:




Mayor velocidad de transmisión.- Puede llegar hasta los 600 Mbps.

Para ello utiliza la tecnología MIMO con 4 antenas de transmisión y

recepción.

Mayor seguridad.- Aprovecha los nuevos estándares 802.11w para

ofrecer seguridad en la autenticación y paliar así las vulnerabilidades

existentes en anteriores estándares.

Retrocompatibilidad con todos los estándares anteriores.- Gracias a

que puede operar en las bandas ICM de 2,4 GHz y 5 GHz, es compatible

con los estándares 802.11, 802.11a, b y g.

3.2.2 Mecanismo

En este apartado se describen las diferentes tecnologías y mejoras

introducidas en el estándar 802.11n para conseguir tasas de hasta 600 Mbps.

3.2.2.1 Multiple Input / Multiple Output (MIMO)

Hasta el año 2004, solo se usaba una antena para transmitir y otra para

recibir. Algunos dispositivos usaban varias antenas, pero simplemente se elegía

por cual se transmitía, siendo la elegida la que mejor ganancia presentaba en

ese momento.

El siguiente paso a esto era tener varias antenas de transmisión, de forma

que podríamos dividir el paquete a transmitir entre las antenas. Seguidamente

en el receptor se unirían de nuevo y se entregarían de forma correcta. Esta es la

tecnología conocida como MIMO y en teoría permite multiplicar la tasa de

transmisión por el número de antenas que usemos. En el estándar 802.11n

están definidas hasta 4 antenas de transmisión y recepción, por lo que la

velocidad puede multiplicarse por 4.




3.2.2.2 Ancho de banda del canal

En todos los estándares anteriores hemos visto que el ancho de banda

destinado a un canal era de 20 MHz, variando la frecuencia central dependiendo

del uso de la banda de 2,4 GHz o 5GHz. En el estándar 802.11n puede elegirse

usar anchos de banda de 20 MHz, lo que permitiría la retrocompatibilidad con

estándares anteriores, o anchos de banda de 40 MHz. Además se utiliza mejor

el ancho de banda, ya que si en los estándares anteriores con OFDM se tenían

48 subportadoras de datos por canal, ahora con el doble de ancho de banda se

tiene más del doble, 108 subportadoras. Esto se traduce en un incremento de

velocidad con un factor de 2,25.

3.2.2.3 Mejora de la eficiencia de la capa MAC

En estándares anteriores la eficiencia de la capa MAC era muy deficiente,

ya que en muy raras ocasiones se podían superar el 50 o 60 % de eficiencia en

la transmisión de datos. Esto era debido a las cabeceras y preámbulos que se

incluían en la capa física. Además esto se ve agravado si lo que se transmiten

son tramas cortas, como cuando se usan sesiones de red como telnet o ssh.

Esto puede verse en la figura 17.

Figura 17. Eficiencia MAC para los diferentes estándares

Tamaño de trama

% d

atos

tras

nmiti

dos

Vsta

sa Id

eal

Tamaño de trama

% d

atos

tras

nmiti

dos

Vsta

sa Id

eal




El estándar 802.11n ofrece una serie de mejoras para incrementar la

eficiencia de la capa MAC, las cuales se resumen en los párrafos siguientes:

Intervalos de guarda.- 802.11n es capaz de reducir el intervalo de

guarda entre transmisiones de 800 a 400ns. En el caso de tener que

interoperar con dispositivos de estándares anteriores esto no será

posible.

Fast MCS feedback - Rate selection.- En estándares anteriores, la

selección de la tasa de transmisión se hacía en función de la

probabilidad de error del enlace, por lo que era un proceso relativamente

lento, ya que se tenía que esperar al procesado de varias tramas,

contabilizar los errores y tomar la decisión. En 802.11n se ha creado un

sistema que elige la velocidad de transmisión del siguiente paquete

mediante el uso de paquetes especiales. De esta forma se es capaz de

pasar de una tasa a otra y a otra en cuestión de milisegundos.

Codificación LDPC (Low Density Partity Check). Vimos que para

conseguir las diferentes tasas de transmisión en 802.11g, se usaba una

modulación y un codificador convolucional diferentes. Está claro que

introducir bits redundantes para el control de errores hace que la

eficiencia disminuya, pero es totalmente necesario. 802.11n no los

elimina, sino que se aprovecha del avance de la tecnología y usa un

codificador que antes era impensable usar en tiempo real debido a su

alta necesidad computacional. Este codificador es el LPDC, que no es

más que un mecanismo de corrección de errores, siendo además el más

eficiente que existe.

3.3 Dispositivos existentes en el mercado

En este apartado se pretende ofrecer una visión general sobre los

diferentes dispositivos existentes en el mercado que se usen para dotar a una




zona de cobertura Wi-Fi. Se definirán las características principales de cada uno

de ellos.

3.3.1 Cableado

Para la interconexión entre los diferentes dispositivos que componen una

red wireless (normalmente entre punto de acceso y antena), se utilizan varios

tipos de elementos, dependiendo de la situación y características deseadas.

Fundamentalmente, si la red wireless trabaja a 2,4 GHz se recomienda el

uso casi exclusivo de cables coaxiales, mientras que si operan a una frecuencia

superior (> 5 Mhz), pueden usarse o cables coaxiales o guías de onda, ya que a

partir de esta frecuencia se produce una muy buena transmisión de potencia.

Figura 18.Ejemplo de guías de onda

Para casos en los que se debe dar cobertura a zonas aisladas (zonas

apantalladas, túneles, ciertas partes de edificios, etc.), donde no puede llegar la

señal de otra forma, pueden usarse unos tipos de cables coaxiales de

radiación, que mediante una abertura en la pantalla del cable, permite un

escape de radiación suficiente para ofrecer cobertura a estos sitios.

Figura 19. Cable coaxial de radiación

Cuando tenemos que usar un cable de longitud elevada, debemos usar

aquel que presenta baja atenuación, pudiendo usar cables con mayor

atenuación en el caso de que no superemos los 50 centímetros de longitud. Este




tipo de cables son los llamados pigtail, siendo usados para conectar 2

dispositivos con diferentes conectores. La impedancia usada en todos los casos

es 50 Ω.

Los cables coaxiales tienen un conductor central recubierto por un

material no conductor denominado dieléctrico, o simplemente aislante. El

dieléctrico se recubre con una pantalla conductora envolvente a menudo en

forma de malla.

Figura 20. Estructura de un cable coaxial

El material dieléctrico evita una conexión eléctrica entre el conductor

central y la pantalla. Finalmente, el coaxial está protegido por un recubrimiento

generalmente de PVC. El conductor interior transporta la señal de RF, y la

pantalla evita que la señal de RF sea radiada a la atmósfera, así como impide

que posibles señales externas interfieran con la que está siendo transmitida por

el cable. Otro hecho interesante es que las señales eléctricas de alta frecuencia

siempre viajan a lo largo de la capa exterior del conductor central: cuanto más

grosor tenga el conductor central, mejor va a ser el flujo de la señal. Esto se

denomina “efecto pelicular”.

A pesar de que la construcción del cable coaxial es muy buena para

contener la señal en el cable, presenta algo de resistencia al flujo eléctrico: a

medida que la señal viaja a través del cable disminuye su intensidad. Este

debilitamiento es conocido como atenuación, y para las líneas de transmisión se

mide en decibeles por metro (dB/m). El coeficiente de atenuación es una función

de la frecuencia de la señal y la construcción física del cable. Si se incrementa la

Recubrimiento

Pantalla

Conductor Central

Dieléctrico

Recubrimiento

Pantalla

Conductor Central

Dieléctrico




frecuencia de la señal, también lo hace su atenuación. Obviamente se necesita

minimizar la atenuación del cable cuanto más nos sea posible, lo que puede

hacerse mediante la utilización de cables muy cortos y/o de buena calidad.

En la actualidad los tipos de cables coaxiales más utilizados son:

Los tipos RG-58, RG-174, RG-213, RG-316, etc. Son cables que en

realidad no están diseñados para frecuencias de microondas, ya que

usan polietileno de dieléctrico. Este material produce bastante

atenuación a frecuencia de microondas, por lo que no deben ser usados

ya que presentan una atenuación mayor que otros con el mismo grosor y

características pero con otro dieléctrico. Aún así son usados

ampliamente por la facilidad de ser encontrados en los comercios.

Los tipos LMR-100, LMR-200, LMR-400, etc.- En el DVD adjunto a este

proyecto se incluye el catálogo completo de estos cables, con gráficas

de atenuación Vs frecuencia. El dieléctrico que usa es el llamada FOAM,

que es polietileno relleno con minúsculas burbujas de aire. De similares

características a los LMR (Times microwave) son los HDS, CDS, etc…

Quizás los mejores cables que pueden usarse son los Heliax de

Andrews. Son caros y difíciles de encontrar, por lo que su uso sólo está

justificado en instalaciones profesionales que requieran de una longitud

elevada de cableado. Un enlace a las características de este tipo de

cables es el siguiente:

http://aw.commscope.com/eng/product/trans_line_sys/coaxial/wireless/ind

ex.html

3.3.2 Conectores

Por medio de los conectores el cable puede ser conectado a otro cable o

a un componente de la cadena de RF. Hay una gran cantidad de adaptadores y

http://aw.commscope.com/eng/product/trans_line_sys/coaxial/wireless/index.html

http://aw.commscope.com/eng/product/trans_line_sys/coaxial/wireless/index.html




conectores diseñados para concordar con diferentes tamaños y tipos de líneas

coaxiales. Describiremos algunos de los más populares.

Los conectores BNC fueron desarrollados a fines de los 40. La sigla

BNC significa Bayoneta, Neill-Concelman, por los apellidos de quienes

los inventaron: Paul Neill y Carl Concelman. El tipo BNC es un conector

miniatura de conexión y desconexión rápida. Tiene dos postes de

bayoneta en el conector hembra, y el apareamiento se logra con sólo un

cuarto de vuelta de la tuerca de acoplamiento. Los conectores BNC son

ideales para la terminación de cables coaxiales miniatura o subminiatura

(RG-58 a RG-179, RG- 316, etc.). Tienen un desempeño aceptable

hasta unos pocos cientos de MHz. Son los que se encuentran más

comúnmente en los equipamientos de prueba y en los cables coaxiales

Ethernet 10base2.

Figura 21. Conector tipo BNC

Los conectores TNC también fueron inventados por Neill y Concelman,

y son una versión roscada de los BNC. Debido a que proveen una mejor

interconexión, funcionan bien hasta unos 12GHz. Su sigla TNC se debe

a su sigla en inglés (Neill-Concelman con Rosca, por Threaded Neill-

Concelman).

Figura 22. Conector TNC hembra y macho




Los conectores Tipo N (también por Neill, aunque algunas veces

atribuidos a “Navy”) fueron desarrollados originalmente durante la

Segunda Guerra Mundial. Se pueden utilizar a más de 18 Ghz y se

utilizan comúnmente en aplicaciones de microondas. Se fabrican para la

mayoría de tipos de cable. Las uniones del cable al conector macho o

hembra son impermeables, y proveen un agarre efectivo.

Figura 23. Conector N hembra y macho

SMA es un acrónimo de Sub Miniatura versión A, y fue desarrollado en

los 60. Los conectores SMA son unidades subminiatura de precisión que

proveen excelentes prestaciones eléctricas hasta más de 18 GHz. Estos

conectores de alto desempeño son de tamaño compacto y tienen una

extraordinaria durabilidad.

Figura 24. Conectores SMA macho y hembra

Los SMB cuyo nombre deriva de Sub Miniatura B, son el segundo

diseño subminiatura. Constituyen una versión más pequeña de los SMA

con un acoplamiento a presión y funcionan hasta los 4 GHz.

Los conectores MCX se introdujeron en los 80. Aunque utilizan contactos

internos y aislantes idénticos a los SMB, el diámetro exterior de la clavija

es 30% más pequeño que la del SMB. Esta serie provee a los

diseñadores de opciones cuando el espacio físico es limitado. MCX tiene




una capacidad de banda ancha de 6GHz con un diseño de conector a

presión.

Figura 25. Conectores SMB hembra y macho

Además de estos conectores estándar, la mayoría de los dispositivos WiFi

utilizan una variedad de conectores patentados. A menudo son simplemente

conectores de microondas estándar con las partes centrales del conductor

invertidas o con roscas a contramano. Estos conectores especiales a menudo se

acoplan a los otros elementos del sistema de microondas utilizando un cable

delgado y corto llamado latiguillo, en inglés pigtail (cola de cerdo) que convierte

el conector que no es estándar en uno más robusto y disponible comúnmente.

Entre estos conectores especiales tenemos:

RP-TNC. Es un conector TNC con el género invertido. Éstos son los que

trae el WRT54GL de Linksys, que es el modelo de puntos de acceso

usado en el presente proyecto.

Figura 26. Conector RP-TNC hembra y macho

U.FL (también conocido como MHF). El U.FL es un conector patentado

realizado por Hirose, y el MHF es un conector mecánicamente

equivalente. Probablemente es el conector de microondas más pequeño

utilizado ampliamente en la actualidad. El U.FL / MHF se utiliza para




conectar una tarjeta de radio mini-PCI a una antena o a un conector más

grande (como un N o un TNC).

Figura 27. Conector U.FL hembra y macho

La serie MMCX, también denominada MicroMate, es una de las líneas

de conectores de RF más pequeñas desarrolladas en los 90. MMCX es

una serie de conectores micro-miniatura con un mecanismo de bloqueo

a presión que permite una rotación de 360 grados otorgándole gran

flexibilidad. Los conectores MMCX se encuentran generalmente en

tarjetas de radio PCMCIA, como las fabricadas por Senao y Cisco.

Figura 28. Conector MMCX y MMCX RP

Los conectores MC-Card son más pequeños y más frágiles que los

MMCX. Tiene un conector externo con ranuras que se quiebra

fácilmente luego de unas pocas interconexiones. Generalmente están en

el equipamiento Lucent / Orinoco / Avaya.

Los adaptadores coaxiales (o simplemente adaptadores), son conectores

cortos usados para unir dos cables o dos componentes que no se pueden

conectar directamente. Los adaptadores pueden ser utilizados para interconectar

dispositivos o cables de diferentes tipos. Por ejemplo, un adaptador puede ser

utilizado para conectar un conector SMA a un BNC. También pueden servir para

unir dos conectores del mismo tipo que no pueden hacerlo directamente por su




género (macho-macho/hembra-hembra). Por ejemplo un adaptador muy útil es el

que permite unir dos conectores machos Tipo N, que tiene dos conectores

hembra en ambos extremos.

3.3.3 Antenas

Por definición, una antena es un dispositivo utilizado para transformar una

señal de RF que viaja en un conductor, en una onda electromagnética en el

espacio abierto. Las antenas exhiben una propiedad conocida como

reciprocidad, lo cual significa que una antena va a mantener las mismas

características sin importar si está transmitiendo o recibiendo. La mayoría de las

antenas son dispositivos resonantes, que operan eficientemente sólo en una

banda de frecuencia relativamente baja. Cuando se alimenta la antena con una

señal, emitirá radiación distribuida en el espacio de cierta forma. La

representación gráfica de la distribución relativa de la potencia radiada en el

espacio se llama diagrama o patrón de radiación.

3.3.3.1 Características intrínsecas de una antena

En esta sección se explicarán aquellas características que posee

cualquier antena, las cuales van a hacer que se comporte de una forma u otra a

una determinada frecuencia. En aquellas características en las que proceda, se

detallará su valor para el uso en sistemas Wi-Fi.

3.3.3.1.1 Impedancia de entrada

Para una transferencia de energía eficiente, la impedancia del radio, la

antena, y el cable de transmisión que las conecta debe ser la misma. Las

antenas y sus líneas de transmisión generalmente están diseñadas para un

determinada valor de impedancia. En el caso de sistemas Wi-Fi este valor es de

50 Ω. Si la antena tiene una impedancia diferente a 50 Ω, hay una

desadaptación, y se necesita un circuito de acoplamiento de impedancia.




Cuando alguno de estos componentes no tiene la misma impedancia, la

eficiencia de transmisión se ve afectada, ya que parte de la potencia es reflejada

y no se transmite al exterior.

3.3.3.1.2 Pérdida de retorno

La pérdida de retorno es otra forma de expresar la desadaptación. Es una

medida logarítmica expresada en dB, que compara la potencia reflejada por la

antena con la potencia con la cual la alimentamos desde la línea de transmisión.

La relación entre SWR (Standing Wave Ratio –Razón de Onda Estacionaria–) y

la pérdida de retorno es la siguiente:

1log20)Retorno(dB de Pérdida 10 −

=SWR

SWR

Aunque siempre existe cierta cantidad de energía que va a ser reflejada

hacia el sistema, una pérdida de retorno elevada implica un funcionamiento

inaceptable de la antena.

3.3.3.1.3 Ancho de banda

El ancho de banda de una antena se refiere al rango de frecuencias en el

cual puede operar de forma correcta. Este ancho de banda es el número de

hercios (Hz) para los cuales la antena va a tener una Razón de Onda

Estacionaria (SWR) menor que 2:1.

El ancho de banda también puede ser descrito en términos de porcentaje

de la frecuencia central de la banda.

C

LH

FFF −

= *100banda de Ancho

...donde FH es la frecuencia más alta en la banda, FL es la frecuencia

más baja, y FC es la frecuencia central.




De esta forma, el ancho de banda porcentual es constante respecto a la

frecuencia. Si fuera expresado en unidades absolutas, variaría dependiendo de

la frecuencia central.

3.3.3.1.4 Directividad y Ganancia

La directividad es la habilidad de una antena de transmitir enfocando la

energía en una dirección particular, o de recibirla de una dirección particular.

Si un enlace inalámbrico utiliza locaciones fijas para ambos extremos, es

posible utilizar la directividad de la antena para concentrar la transmisión de la

radiación en la dirección deseada.

En una aplicación móvil donde la antena no está fijada a un punto, es

imposible predecir dónde va a estar, y por lo tanto la antena debería radiar en

todas las direcciones del plano horizontal. En estas aplicaciones se utiliza una

antena omnidireccional.

La ganancia no es una cantidad que pueda ser definida en términos de

una cantidad física como vatios u ohmios, es un cociente sin dimensión. La

ganancia se expresa en referencia a una antena estándar. Las dos referencias

más comunes son la antena isotrópica y la antena dipolo resonante de media

longitud de onda. La antena isotrópica irradia en todas direcciones con la misma

intensidad. En la realidad esta antena no existe, pero provee un patrón teórico

útil y sencillo con el que comparar las antenas reales. Cualquier antena real va a

irradiar más energía en algunas direcciones que en otras. Puesto que las

antenas no crean energía, la potencia total irradiada es la misma que una antena

isotrópica. Toda energía adicional radiada en las direcciones favorecidas es

compensada por menos energía radiada en las otras direcciones.

La ganancia de una antena en una dirección dada es la cantidad de

energía radiada en esa dirección comparada con la energía que podría radiar

una antena isotrópica en la misma dirección alimentada con la misma potencia.




Generalmente estamos interesados en la ganancia máxima, que es

aquella en la dirección hacia la cual la antena está radiando la mayor potencia.

Una ganancia de antena de 3dB comparada con una isotrópica debería ser

escrita como 3dBi.

El dipolo resonante de media longitud de onda puede ser un estándar útil

a la hora de compararlo con otras antenas a una frecuencia, o sobre una banda

estrecha de frecuencias. Para comparar el dipolo con una antena sobre un rango

de frecuencias se requiere de un número de dipolos de diferentes longitudes. La

ganancia de una antena comparada con un dipolo debería ser escrita como

3dBd.

3.3.3.1.5 Diagramas o Patrones de Radiación

Los patrones o diagramas de radiación describen la intensidad relativa del

campo radiado en varias direcciones desde la antena a una distancia constante.

El patrón de radiación es también de recepción, porque describe las

propiedades de recepción de la antena, ya que como hemos dicho anteriormente

las antenas tienen la propiedad de reciprocidad. El patrón de radiación es

tridimensional, pero generalmente las mediciones de los mismos son una

porción bi-dimensional del patrón, en el plano horizontal o vertical. Estas

mediciones son presentadas en coordenadas rectangulares o en coordenadas

polares.

Figura 29. Diagrama de radiación de una antena Yagi en coordenadas rectangulares




La figura anterior muestra el diagrama de radiación en coordenadas

rectangulares de una antena Yagi de diez elementos. El detalle es bueno pero

se hace difícil visualizar el comportamiento de la antena en diferentes

direcciones.

En los sistemas de coordenadas polares, los puntos se obtienen por una

proyección a lo largo de un eje que rota (radio) en la intersección con uno de

varios círculos concéntricos. El siguiente es un diagrama de radiación en

coordenadas polares de la misma antena Yagi de diez elementos.

Figura 30. Diagrama de radiación de una antena Yagi en coordenadas polares lineal

Los sistemas de coordenadas polares pueden dividirse en dos clases:

lineales y logarítmicos. En el sistema de coordenadas polares lineal, los círculos

concéntricos están uniformemente espaciados y graduados. La retícula

resultante puede ser utilizada para preparar un diagrama lineal de la potencia

contenida en la señal. Para facilitar la comparación, los círculos concéntricos

equiespaciados pueden reemplazarse por círculos ubicados adecuadamente,

representando la respuesta en decibeles, con 0 dB correspondiendo al círculo

más externo. En este tipo de gráficas los lóbulos menores se suprimen. Los

lóbulos con picos menores de 15 dB debajo del lóbulo principal desaparecen por

su pequeño tamaño. Esta retícula mejora la presentación de las características

de antenas con alta directividad y lóbulos menores pequeños.




En un sistema de coordenadas lineales, se puede trazar el voltaje de la

señal en lugar de la potencia. En este caso también, se enfatiza la directividad y

desenfatizan los lóbulos menores, pero no en el mismo grado que en la retícula

lineal de potencia.

En el sistema de coordenadas polares logarítmico, las líneas concéntricas

de la retícula son espaciadas periódicamente de acuerdo con el logaritmo de

voltaje de la señal. Se pueden usar diferentes valores para la constante

logarítmica de periodicidad, y esta elección va a tener un efecto en la apariencia

de los diagramas trazados. Generalmente se utiliza la referencia 0 dB para el

extremo externo de la gráfica. Con este tipo de retícula, los lóbulos que están 30

o 40 dB por debajo del lóbulo principal aún pueden distinguirse.

Figura 31. Diagrama de radiación de una antena Yagi en coordenadas polares lineal

La mayoría de las mediciones de los diagramas de radiación son relativas

a la antena isotrópica, y el método de transferencia de ganancia es utilizado para

establecer la ganancia absoluta de la antena.

El patrón de radiación en la región cercana a la antena no es el mismo

que el patrón a largas distancias. El término campo cercano se refiere al patrón

del campo que existe cerca de la antena, mientras que el término campo lejano




refiere a los diagramas del campo a largas distancias. El campo alejado también

es denominado campo de radiación, y generalmente es el que más interesa.

Normalmente el punto de interés es la potencia radiada, y por lo tanto los

diagramas de la antena son medidos en la región del campo alejado.

Para las medidas necesarias para confeccionar los diagramas es

importante elegir una distancia suficientemente grande para estar en el campo

lejano. La distancia mínima depende de las dimensiones de la antena con

relación a la longitud de onda. La fórmula aceptada para esta distancia es:

λ

2

min

2r

d=

…donde rmin es la distancia mínima desde la antena, d es la dimensión

más grande de la antena, y λ es la longitud de onda.

3.3.3.1.6 Ancho del haz

El ancho del haz de una antena usualmente se entiende como ancho del

haz a mitad de potencia. Se encuentra el pico de intensidad de radiación, luego

se localizan los puntos de ambos lados de pico que representan la mitad de la

potencia de intensidad del pico. La distancia angular entre los puntos de la mitad

de la potencia se define como el ancho del haz. La mitad de la potencia

expresada en decibelios es de -3dB, por lo tanto algunas veces el ancho del haz

a mitad de potencia es referido como el ancho del haz a 3dB. Generalmente se

consideran tanto el ancho de haz vertical como horizontal.

Suponiendo que la mayor parte de la potencia radiada no se dispersa en

lóbulos laterales, entonces la ganancia directiva es inversamente proporcional al

ancho del haz: cuando el ancho del haz decrece, la ganancia directiva se

incrementa.




3.3.3.1.7 Lóbulos laterales

Ninguna antena es capaz de radiar toda la energía en una dirección

preferida. Inevitablemente, una parte de ella es radiada en otras direcciones.

Esos picos más pequeños son denominados lóbulos laterales, especificados

comúnmente en dB por debajo del lóbulo principal.

3.3.3.1.8 Nulos

En los diagramas de radiación de una antena, una zona nula es aquella

en la cual la potencia efectivamente radiada está en un mínimo. Un nulo a

menudo tiene un ángulo de directividad estrecho en comparación al haz

principal. Los nulos son útiles para varios propósitos tales como la supresión de

señales interferentes en una dirección dada.

3.3.3.1.9 Polarización

La polarización se define como la orientación del campo eléctrico de una

onda electromagnética. En general, la polarización se describe por una elipse.

Dos casos especiales de la polarización elíptica son la polarización lineal y la

polarización circular. La polarización inicial de una onda de radio es determinada

por la antena.

Con la polarización lineal, el vector del campo eléctrico se mantiene en el

mismo plano todo el tiempo. El campo eléctrico puede dejar la antena en una

orientación vertical, horizontal, o en algún ángulo entre los dos. La radiación

polarizada verticalmente se ve ligeramente menos afectada por las reflexiones

en el camino de transmisión. Las antenas omnidireccionales siempre tienen una

polarización vertical. Con la polarización horizontal, tales reflexiones causan

variaciones en la intensidad de la señal recibida.

Las antenas horizontales tienen menos probabilidad de captar

interferencias generadas por el hombre, normalmente polarizadas verticalmente.




Figura 32. Dirección de propagación, campo eléctrico y campo magnético de una onda.

En la polarización circular el vector del campo eléctrico aparece rotando

con un movimiento circular en la dirección de la propagación, haciendo una

vuelta completa para cada ciclo de RF. Esta rotación puede ser hacia la derecha

o hacia la izquierda. La elección de la polarización es una de las elecciones de

diseño disponibles para el diseñador del sistema de RF.

3.3.3.1.10 Desadaptación de polarización

Para transferir la máxima potencia entre una antena transmisora y una

receptora, ambas antenas deben tener la misma orientación espacial, el mismo

sentido de polarización y el mismo coeficiente axial.

Cuando las antenas no están alineadas o no tienen la misma polarización,

habrá una reducción en la transferencia de potencia entre ambas antenas. Esto

va a reducir la eficiencia global y las prestaciones del sistema.

Cuando las antenas transmisora y receptora están polarizadas

linealmente, una desalineación física entre ellas va a resultar en una pérdida por

desadaptación de polarización, que puede ser determinada utilizando la

siguiente fórmula:

)log(cos20)( ϑ=dBPérdida

...donde ϑ es la diferencia en el ángulo de alineación entre las dos

antenas. Para 15° la pérdida es de aproximadamente 0.3dB, para 30° perdemos

1.25dB, para 45° perdemos 3dB y para 90° tenemos una pérdida total.




Resumiendo, cuanto más grande la desadaptación de polarización entre

una antena transmisora y una receptora, más grande la pérdida aparente.

3.3.3.2 Tipos de Antenas

En este apartados se expondrán los tipos de antenas que se encuentran

en el mercado, en tecnología Wi-Fi y a 2,4 GHz. Clasificaremos las antenas por

su patrón de radiación, ya que es la clasificación más extendida a la hora de

buscar una determinada antena. Se expondrán los diagramas de radiación

campo lejano tanto vertical como horizontal, así como la ganancia y otros

parámetros interesantes.

3.3.3.2.1 Omnidireccionales

Este tipo de antenas irradian prácticamente igual para en todas las

direcciones en el plano horizontal. Podremos encontrar antenas de este tipo con

ganancias de entre 7 y 14 dB. Para antenas de 14 dBi, el ancho del haz en el

plano vertical es de unos 5-6º, mientras que para antenas de 7 dBi, este ancho

aumenta hasta los 24º.

A continuación se exponen las características y los diagramas de

radiación para antenas de 7, 9 y 12 dBi. El patrón de radiación en el eje

horizontal se omite para este caso, ya que es una circunferencia:

Omnidireccional 7dBi.- Ancho del haz: 24º. Longitud antena: 36 cm

Figura 33.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi.




Omnidireccional 9dBi.- Ancho del haz: 15º. Longitud antena: 54 cm

Figura 34.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi.

Omnidireccional 12 dBi.- Ancho del haz: 6º. Longitud antena: 112.5 cm

Figura 35.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 12 dBi

3.3.3.2.2 Sectoriales

Estas antenas son ampliamente utilizadas para estaciones base, ya que

sectorizan la cobertura, aumentando por tanto la capacidad del canal. Una

estación base puede estar compuesta por tres de este tipos de antena (se elige

una anchura del haz de 120º) o por cuatro antenas (ancho del haz de 90º). Este

último diseño es el que permite una mayor prestación, ya que podríamos utilizar




hasta cuatro canales de transmisión diferentes para cubrir las cuatro partes de

una célula. En el mercado podremos encontrar antenas con variaciones en el

ancho del haz horizontal que oscilan entre los 60º del más angosto y 180º del

más ancho.

Sectorial 15 dBi, Ancho del haz horizontal: 90º, vertical: 8º, dimensiones:

53x15 cm.

Figura 36.- Diagramas de radiación de una antena sectorial de 15dBi de ganancia.

Sectorial 14 dBi, Ancho del haz horizontal: 120º, vertical: 6º,

dimensiones: 100.7x12.7 cm.

Figura 37.- Diagramas de radiación de una antena sectorial de 14dBi de ganancia.




3.3.3.2.3 Direccionales

Dentro de este grupo incluiremos las antenas con un ancho de haz

horizontal inferior a 60º. Estas antenas permiten una alta ganancia en una

determinada dirección, por lo que son usadas principalmente para enlaces punto

a punto, y para dar cobertura a áreas pequeñas situadas a una distancia de no

más de 500 o 1000 metros de la estación base. Dentro de este grupo podremos

encontrar las antenas planares, yagi, biquad, de bocina, helicoidales,

parabólicas, etc.

Planar 14 dBi, Ancho del haz horizontal: 30º, vertical: 30º, dimensiones:

19.7x19.7 cm.

Figura 38.- Diagramas de radiación de una antena planar de 14dBi de ganancia.

Planar 17 dBi, Ancho del haz horizontal: 20º, vertical: 20º, dimensiones:

31.2 x 31.2 cm.

Figura 39.- Diagramas de radiación de una antena planar de 17dBi de ganancia.

En el mercado existen muchísimos más tipos de antenas wireless, como

las parabólicas, bi-quads, helicoidales, etc. La descripción de todas ellas es




demasiado amplia como para ser incluido en el presente proyecto. Es fácil

buscar información sobre las mismas en la red.

3.3.4 Linksys WRT54GL v1.1 como punto de acceso

En este apartado se describirán las características de este punto de

acceso del fabricante Linksys (filial de Cisco) que han llevado a que sea elegido

para el presente proyecto. Hace uso de un sistema operativo embebido Linux,

por lo que varios grupos de desarrollo han puesto a disposición de los usuarios

firmwares que lo dotan de multitud de nuevas funcionalidades, las cuales hace

que pueda compararse a puntos de acceso de alta gama.

3.3.4.1 Historia

En el año 2003, Linksys lanza al mercado un punto de acceso, el

WRT54G, el cual se anticipaba al estándar 802.11g y permitía hacer conexiones

inalámbricas a 54 Mbps frente a los 11 Mbps de 802.11b. Aparte de esta

característica, por lo demás este punto de acceso era bastante normal, sin

ninguna funcionalidad adicional de las que ya poseían de por sí los routers que

se encontraban en el mercado en ese momento (excepto por la posibilidad de

unir la parte inalámbrica con la cableada, a través de los 4 puertos ethernet que

poseía).

En Junio de 2003, varios grupos de desarrollo descubren que el firmware

de este dispositivo estaba basado en varios componentes de Linux. Ya que este

sistema operativo posee licencia GPL, Linksys se vio obligado a liberar el código

fuente del firmware a todo aquel que lo quisiera. Aunque en un principio se

resistió, finalmente tuvo que ceder por presiones externas, ya que la licencia

GPL es clara en este aspecto. Anteriormente los firmwares poseían software

propietario y no era posible acceder a los mismos para su modificación.

A raíz de la divulgación del código fuente para este dispositivo, surgieron

varios grupos de desarrollo, los cuales pusieron a disposición de todo aquel que

lo quisiera diferentes versiones de firmware para este dispositivo, que añadían




funcionalidades al punto de acceso. Un corto resumen de las funcionalidades

que se añaden mediante estos firmwares son:

Posibilidad de usar el punto de acceso como repetidor o como puente de

otro.

Crear una red de distribución wireless (WDS). Esta es la principal

funcionalidad que se ha usado para este proyecto.

Crear redes mesh.

Correr en el propio punto de acceso un servidor VPN, o un servidor

VoIP.

Administrar un hotspot con un servidor Radius.

Administrar el uso del ancho de banda por protocolo.

Priorizar por tipo de tráfico o usuario.

Soporte para IPv6.

Controlar la potencia de la antena, incluso aumentarla.

Acceder remotamente al punto de acceso, mediante SSH, telnet, Web,

etc.

Ejecutar multitud de software para Linux, como Kismet, freeradius, etc.

Posibilidad de instalar una memoria MMC externa.

Un largo etc.

3.3.4.2 Firmwares disponibles

Hay muchos firmwares disponibles para este punto de acceso. Debe

tenerse especial cuidado con el modelo del punto de acceso en la que se ha de

instalar, ya que la memoria disponible varía según el modelo. Aquellos que sólo




tengan 2 MBytes, se verán obligados a usar un reducido grupo de firmwares,

llamados mini, que sólo poseen las funcionalidades más importantes para poder

compilarse en 2 MB.

Estos firmwares están disponibles no sólo para los puntos de acceso

linksys WRT54, sino para muchos otros que también hacen uso de un Linux

embebido como Sistema Operativo. Los más usados actualmente se describen a

continuació:

OpenWRT.-Quizás este firmware fue uno de los primeros proyectos en

llevarse a cabo, estando los demás en mayor o menor parte basados en

este. Toda la información referente a este firmware puede observarse en

http://openwrt.org/.

Dd-WRT. Este es el firmware con el que se han flasheado los puntos de

acceso utilizados en el presente proyecto, ya que ofrecen todas las

funcionalidades usadas con una estabilidad sobresaliente. Toda la

información de este firmware puede encontrase en http://www.dd-

wrt.com.

Sveasoft. Quizás esta compañía fue la que popularizó más sus

firmwares y con ello los puntos de acceso que podían usarlo. Se

desarrollaron los firmwares llamados Talismán y Alchemy. Pueden

descargarse desde http://www.sveasoft.com/.

http://openwrt.org/

http://www.dd-wrt.com/

http://www.dd-wrt.com/

http://www.sveasoft.com/




4 Seguridad y privacidad wireless En este apartado hablaremos de las medidas de seguridad existentes en

redes wireless, distinguiendo dos conceptos: Seguridad y privacidad.

Privacidad.- Se entiende por privacidad la capacidad del sistema para

proteger los datos que un usuario transmite por la red, permitiendo que

sólo sea “entendible” por el destinatario y no por cualquiera que esté

interceptando el tráfico. Una medida para garantizar la privacidad de una

red wireless es hacer uso de encriptación, como WPA. Todo aquel que

no posea la clave de encriptación de la red no podrá desencriptar los

datos. En cambio todos los usuarios que compartan la misma clave, no

tendrán asegurada la privacidad entre ellos.

Seguridad.- Se entiende por seguridad la capacidad que tiene el

sistema de resistir ataques de un usuario (interno o externo al sistema)

que le permitan acceder a servicios o a recursos a los que no se le está

permitido. Por ejemplo, un usuario puede tener permisos para utilizar la

red local pero no se le permite la conexión a Internet. Los mecanismos

de seguridad son los que controlan que este usuario no pueda hacerlo.

Aunque conceptualmente está bien clara la diferencia entre privacidad y

seguridad, en la práctica están muy relacionadas. El ejemplo lo tenemos en que

si un usuario que está escuchando el canal es capaz de descifrar la clave de

encriptación WEP o WPA, si no tenemos ninguna medida de seguridad, éste

será capaz de infiltrarse en nuestra red, comprometiendo de esta manera la

seguridad de la misma.

4.1 Mecanismos de privacidad existentes

4.1.1 Introducción

Aunque dispongamos de mecanismos que aseguren la privacidad en una

red inalámbrica, cuando la información se envía a un destino externo a la red,




ésta pasa por infinidad de redes que pueden no ser seguras, por lo que el único

mecanismo que asegura la privacidad desde el origen hasta el destino es la

encriptación fuerte de extremo a extremo.

Las técnicas de encriptación como WEP y WPA intentan mantener la

privacidad en la capa dos, la capa de enlace de datos. Aunque éstas nos

protegen de los fisgones en la conexión inalámbrica, la protección termina en el

punto de acceso. Si el cliente inalámbrico usa protocolos inseguros (como POP

o SMTP para recibir y enviar correos electrónicos), entonces los usuarios que

están más allá del AP pueden registrar la sesión y ver los datos importantes.

Además, WEP también tiene la debilidad de utilizar claves privadas compartidas.

Esto significa que los usuarios legítimos de la red pueden escucharse unos a

otros, ya que todos conocen la clave privada.

Utilizando encriptación en el extremo remoto de la conexión, los usuarios

pueden eludir completamente el problema. Estas técnicas funcionan muy bien

aún en redes públicas, donde los fisgones están oyendo y posiblemente

manipulando los datos que vienen del punto de acceso.

Para asegurar la privacidad de los datos, una buena encriptación de

extremo a extremo debe ofrecer las siguientes características:

a) Autenticación verificada del extremo remoto. El usuario debe ser

capaz de conocer sin ninguna duda que el extremo remoto es el que

dice ser. Sin autenticación, un usuario puede darle datos importantes a

cualquiera que afirme ser el servicio legítimo.

b) Métodos fuertes de encriptación. El algoritmo de encriptación debe

ser puesto al escrutinio del público, y no debe ser fácil de descifrar por

un tercero. El uso de métodos de encriptación no publicados no ofrece

seguridad, y una encriptación fuerte lo es aún más si el algoritmo es

ampliamente conocido y sujeto a la revisión de los pares. Un buen

algoritmo con una clave larga y adecuadamente protegida, puede




ofrecer encriptación imposible de romper aunque hagamos cualquier

esfuerzo utilizando la tecnología actual.

c) Criptografía de clave pública. Aunque no es un requerimiento

absoluto para la encriptación de extremo a extremo, el uso de

criptografía de clave pública en lugar de una clave compartida, puede

asegurar que los datos personales de los usuarios se mantengan

privados, aún si la clave de otro usuario del servicio se ve

comprometida. Esto también resuelve ciertos problemas con la

distribución de las claves a los usuarios a través de una red insegura.

d) Encapsulación de datos. Un buen mecanismo de encriptación de

extremo a extremo protege tantos datos como sea posible. Esto puede

ir desde encriptar una sencilla transacción de correo electrónico, a

encapsular todo el tráfico IP, incluyendo búsquedas en servidores DNS

y otros protocolos de soporte. Algunas herramientas de encriptación

proveen un canal seguro que también pueden utilizar otras

aplicaciones. Esto permite que los usuarios corran cualquier programa

que ellos quieran y aún tengan la protección de una fuerte

encriptación, aunque los programas no la soporten directamente.

En este proyecto se ha utilizado este tipo de protección para la

autenticación de los usuarios, de forma que ni los propios usuarios entre sí

puedan averiguar las claves que usan otros usuarios para acceder al servicio. En

concreto, se ha utilizado la encriptación SSL, la cual se detalla en el siguiente

apartado.

4.1.1.1 SSL

La tecnología de encriptación de extremo a extremo más accesible es

Secure Socket Layer conocida simplemente como SSL por su sigla en inglés.

Incluida en casi todos los navegadores web, SSL utiliza criptografía de clave

pública e infraestructura de clave pública confiable (PKI por su sigla en inglés),




para asegurar las comunicaciones de datos en la Web. Cada vez que se visita la

URL de una Web que comienza con https, se está usando SSL.

La implementación SSL provista en los navegadores Web incluye un

conjunto de certificados de fuentes confiables, denominados autoridades

certificadoras (CA). Estos certificados son claves criptográficas que se utilizan

para verificar la autenticidad de los sitios Web. Cuando se navega por un sitio

que utiliza SSL, el navegador y el servidor primero intercambian certificados.

Luego el navegador verifica que el certificado brindado por el servidor concuerde

con el nombre en su servidor DNS, que no haya expirado, y que esté firmado por

una autoridad certificadora confiable. Opcionalmente el servidor verifica la

identidad del certificado del navegador. Si los certificados son aprobados, el

navegador y el servidor negocian la clave de sesión maestra utilizando los

certificados intercambiados anteriormente para protegerla. Dicha clave se usa

para encriptar todas las comunicaciones hasta que el navegador se desconecte.

Este tipo de encapsulamiento de datos es conocido como túnel.

El uso de certificados con una PKI no solo protege a la comunicación de

los fisgones, sino que también evita los ataques del llamado hombre en el medio

(MITM por su sigla en inglés). En un ataque del hombre en el medio, un usuario

mal intencionado intercepta una comunicación entre el navegador y el servidor.

Presentándoles certificados falsos a ambos, puede mantener dos sesiones

encriptadas al mismo tiempo. Puesto que este usuario conoce el secreto de

ambas conexiones, es trivial observar y manipular los datos que están pasando

entre el servidor y el navegador. Sin una infraestructura de clave pública para

verificar la autenticidad de las claves, la encriptación fuerte por si sola no podría

protegernos de este tipo de ataque.

El uso de una buena PKI previene este tipo de ataque. Para tener éxito el

usuario con malas intenciones debería presentar un certificado al cliente, que

estuviera firmado por una autoridad certificadora. A menos que la CA haya sido




comprometida (muy poco probable) o que el usuario pueda ser engañado para

aceptar el certificado falso, este tipo de ataque es infructuoso.

SSL no sólo se utiliza para navegar en la Web. Los protocolos de correo

electrónico como IMAP, POP, y SMTP (que son bastante inseguros) pueden

asegurarse envolviéndolos en un túnel SSL. La mayoría de los clientes de correo

electrónico actuales soportan IMAPS y POPS (IMAP y POP seguros), así como

SMTP protegido con SSL/TLS. Si su servidor de correo no provee soporte SSL,

de todas formas puede asegurarlo con SSL utilizando un paquete como Stunnel

(http://www.stunnel.org/). SSL puede utilizarse para asegurar de forma efectiva

casi cualquier servicio que corra sobre TCP.

4.1.2 WEP


WEP, acrónimo de Wired Equivalent Privacy, es el sistema de cifrado

incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que

permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2.

Está basado en el algoritmo de cifrado RC4, y utiliza claves de 64 bits (40 bits

más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).

Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de

radio, por lo que son más susceptibles de ser captadas por cualquiera que las

redes cableadas. Cuando fue presentado en 1999, el sistema WEP fue requerido

para proporcionar una confidencialidad comparable a la de una red tradicional

cableada.

A pesar de existir otros protocolos de cifrado mucho menos vulnerables y

eficaces, como pueden ser WPA o el WPA2, el protocolo WEP sigue siendo muy

popular y posiblemente el más utilizado. Esto es debido a que WEP es fácil de

configurar y cualquier sistema con el estándar 802.11 lo soporta. Sin embargo no

ocurre lo mismo con otros protocolos tal y como WPA, que no es soportado por

muchos dispositivos antiguos. El hardware moderno pasa entonces a utilizar el

http://www.stunnel.org/




modelo de seguridad WEP para poder interactuar con este hardware antiguo.

Esto se da principalmente en las videoconsolas con conexión a Internet.

4.1.2.2 Funcionamiento

4.1.2.2.1 Encriptación

WEP utiliza el algoritmo RC4 para la encriptación con llaves de 64 bits,

aunque existe también la posibilidad de utilizar llaves de 128 bits. Veremos que

en realidad son 40 y 104 bits, ya que los otros 24 van en el paquete como Vector

de Inicialización (IV).

La llave de 40 ó 104 bits, se genera a partir de una clave (passphrase)

estática de forma automática, aunque existe software que permite introducir esta

llave manualmente. La clave o passphrase debe ser conocida por todos los

clientes que quieran conectarse a la red wireless que utiliza WEP. Esto implica

que muchas veces se utilice una clave fácil de recordar y que no se cambie de

forma frecuente.

A partir de la clave o passphrase se generan 4 llaves de 40 bits, sólo una

de ellas se utilizará para la encriptación WEP.

Este es el proceso que se realiza para generar las llaves:

Figura 40. Generación de las llaves para la encriptación WEP

Se hace una operación XOR con la cadena ASCII (My Passphrase) que

queda transformada en una semilla de 32 bits que utilizará el generador de




números pseudoaleatorios (PRNG) para generar 40 cadenas de 32 bits cada

una.

Se toma un bit de cada una de las 40 cadenas generadas por el PRNG

para construir una llave y se generan 4 llaves de 40 bits. De estas 4 llaves sólo

se utilizará una para realizar la encriptación WEP.

Para generar una trama encriptada con WEP se sigue el siguiente

proceso:

1. Partimos de la trama que se quiere enviar. Esta trama sin cifrar está

compuesta por una cabecera (Header) y contiene unos datos

(Payload). El primer paso es calcular el CRC de 32 bits del payload de

la trama que se quiere enviar. El CRC es un algoritmo que genera un

identificador único del payload en concreto, que nos servirá para

verificar que el payload recibido es el mismo que el enviado, ya que el

resultado del CRC será el mismo. Añadimos este CRC a la trama

como valor de chequeo de integridad (ICV: Integrity Check Value)

2. Por otro lado, tenemos la clave elegida a la que se le añade el vector

de inicialización (IV). Aplicamos el algoritmo RC4 al conjunto IV+Key y

conseguiremos el keystream o flujo de llave.

3. Realizando una operación XOR con este keystream y el conjunto

Payload+ICV obtendremos el Payload+CRC cifrado.

Figura 41. Esquema de encriptación de datos mediante WEP

IV Key number

Payload

RC4

ICV

CR

CPa

yloa

d

IV Key number CRCPayloadXOR

No encriptadoEncriptado




4. Después añadimos la cabecera y el IV+Keynumber sin cifrar. Así

queda la trama definitiva lista para ser enviada.

4.1.2.2.2 Desencriptación

A la hora de desencriptar los datos recibidos, basta con conocer la frase

de paso compartida (passphrase) y realizar los pasos contrarios a la

encriptación. Veamos estos pasos:

1. Obtenemos el IV y el Key number de la trama, ya que vienen en texto

plano. Ya tenemos los 64 bits que componen la llave.

2. Aplicando RC4 a esta llave obtenemos el keystream válido para

obtener la trama en claro (plaintext) realizando una XOR con el

Payload+CRC cifrados y la llave completa.

3. Calculamos el CRC al payload en texto plano y comparamos con el

CRC recibido.

Figura 42. Esquema de desencriptación de datos mediante WEP

4.1.2.3 Vulnerabilidades WEP

Comenzando en 2001, varias debilidades serias fueron identificadas por

analistas criptográficos, como consecuencia hoy en día una protección WEP

puede ser violada con software fácilmente accesible en pocos minutos. Unos

meses más tarde el IEEE creó la nueva corrección de seguridad 802.11i para

IV Key number RC4

ICV

CRCPayloadXOR


IVKe

ynu

mbe

rC

RC

Pay

load

CRC’CRC

=CRC’

IV Key number RC4

ICV

CRCPayloadXOR


IVKe

ynu

mbe

rC

RC

Pay

load

CRC’CRC

=CRC’




neutralizar los problemas. Hacia 2003, la Alianza Wi-Fi anunció que WEP había

sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con

la ratificación del estándar completo 802.11i (conocido como WPA2), el IEEE

declaró que tanto WEP-40 como WEP-104 "han sido desaprobados al fallar en

alcanzar sus propósitos de seguridad”. En la tabla 5 se muestra la cronología de

vulnerabilidades y ataque que se han ido sucedido hasta llegar a la llamada

“muerte de WEP”.

Tabla 5. Cronología de ataques realizados a la encriptación WEP

Describir matemáticamente cuáles son las vulnerabilidades más

importantes de WEP queda fuera del alcance de este proyecto, aunque puede

encontrarse mucha información en Internet al respecto e incluso los estudios

originales de las personas que demostraron dichas vulnerabilidades.

En cambio, mencionaremos a modo de resumen las vulnerabilidades más

importantes (información detallada puede obtenerse de http://www.hakin9.org/):

Debilidades del algoritmo RC4 dentro del protocolo WEP debido a la

construcción de la clave.

Los IVs son demasiado cortos (24 bits – hacen falta menos de 5000

paquetes para tener un 50% de posibilidades de dar con la clave) y se

http://www.hakin9.org/




permite la reutilización de IV (no hay protección contra la repetición de

mensajes).

No existe una comprobación de integridad apropiada (se utiliza CRC32

para la detección de errores y no es criptográficamente seguro por su

linealidad),

No existe un método integrado de actualización de las claves.

4.1.3 WPA y WPA2

En enero de 2001, el grupo de trabajo i task group fue creado en IEEE

para mejorar la seguridad en la autenticación y la encriptación de datos. En abril

de 2003, la Wi-Fi Alliance realizó una recomendación para responder a las

preocupaciones empresariales ante la seguridad inalámbrica. Sin embargo, eran

conscientes de que los clientes no querrían cambiar sus equipos.

En junio de 2004, la edición final del estándar 802.11i fue adoptada y

recibió el nombre comercial WPA2 por parte de la alianza Wi-Fi. El estándar

IEEE 802.11i introdujo varios cambios fundamentales, como la separación de la

autenticación de usuario de la integridad y privacidad de los mensajes,

proporcionando una arquitectura robusta y escalable, que sirve igualmente para

las redes locales domésticas como para los grandes entornos de red

corporativos.

La nueva arquitectura para las redes wireless se llama Robust Security

Network (RSN) y utiliza autenticación 802.1X, distribución de claves robustas y

nuevos mecanismos de integridad y privacidad.

Además de tener una arquitectura más compleja, RSN proporciona

soluciones seguras y escalables para la comunicación inalámbrica. Una RSN

sólo aceptará máquinas con capacidades RSN, pero IEEE 802.11i también

define una red transicional de seguridad – Transitional Security Network (TSN),

arquitectura en la que pueden participar sistemas RSN y WEP, permitiendo a los




usuarios actualizar su equipo en el futuro. Si el proceso de autenticación o

asociación entre estaciones utiliza 4-Way handshake, la asociación recibe el

nombre de RSNA (Robust Security Network Association).

El establecimiento de un contexto seguro de comunicación consta de

cuatro fases (ver Figura 43):

1. Acuerdo sobre la política de seguridad.

2. Autenticación 802.1X.

3. Derivación y distribución de las claves.

4. Confidencialidad e integridad de los datos RSNA.

Figura 43.- Fases para el establecimiento de un contexto seguro

4.1.3.1 Fase 1: Acuerdo sobre la política de seguridad

La primera fase requiere que los participantes estén de acuerdo sobre la

política de seguridad a utilizar. Las políticas de seguridad soportadas por el

punto de acceso son mostradas en un mensaje Beacon o Probe Response

(después de un Probe Request del cliente). Sigue a esto una autenticación

abierta estándar (igual que en las redes TSN, donde la autenticación siempre

tiene éxito). La respuesta del cliente se incluye en el mensaje de Association

Request validado por una Association Response del punto de acceso. La




información sobre la política de seguridad se envía en el campo RSN IE

(Information Element) y detalla:

Los métodos de autenticación soportados (802.1X, Pre-Shared Key

(PSK)).

Protocolos de seguridad para el tráfico unicast (CCMP, TKIP etc.) – la

suit criptográfica basada en pares.

Protocolos de seguridad para el tráfico multicast (CCMP, TKIP etc.) –

suit criptográfica de grupo.

Soporte para la pre-autenticación, que permite a los usuarios pre-

autenticarse antes de cambiar de punto de acceso en la misma red para

un funcionamiento sin retrasos.

Figura 44.- Fase 1: Acuerdo sobre la política de seguridad

4.1.3.2 Fase 2: autenticación 802.1X

La segunda fase es la autenticación 802.1X basada en EAP y en el

método específico de autenticación decidido: EAP/TLS con certificados de

cliente y servidor (requiriendo una infraestructura de claves públicas), EAP/TTLS

o PEAP para autenticación híbrida (con certificados sólo requeridos para

servidores), etc. La autenticación 802.1X se inicia cuando el punto de acceso

pide datos de identidad del cliente, y la respuesta del cliente incluye el método

de autenticación preferido. Se intercambian entonces mensajes apropiados entre




el cliente y el servidor de autenticación para generar una clave maestra común

(MK). Al final del proceso, se envía desde el servidor de autenticación al punto

de acceso un mensaje Radius Accept, que contiene la MK y un mensaje final

EAP Success para el cliente.

Figura 45.- Fase 2: autenticación 802.1X

4.1.3.3 Fase 3: Jerarquía y distribución de claves

La seguridad de la conexión se basa en gran medida en las claves

secretas. En RSN, cada clave tiene una vida determinada y la seguridad global

se garantiza utilizando un conjunto de varias claves organizadas según una

jerarquía. Cuando se establece un contexto de seguridad tras la autenticación

exitosa, se crean claves temporales de sesión y se actualizan regularmente

hasta que se cierra el contexto de seguridad.

Figura 46.- Fase 3: Jerarquía y distribución de claves




La generación y el intercambio de claves es la meta de la tercera fase.

Durante la derivación de la clave, se producen dos handshakes o negociaciones

(véase Figura 46):

4-Way Handshake para la derivación de la PTK (Pairwise Transient Key)

y GTK (Group Transient Key).

Group Key Handshake para la renovación de GTK. La derivación de la

clave PMK (Pairwise Master Key) depende del método de autenticación:

- Si se usa una PSK (Pre-Shared Key), PMK = PSK. La PSK es

generada desde una passphrase (de 8 a 63 caracteres) o una

cadena de 256-bit y proporciona una solución para redes

domésticas o pequeñas empresas que no tienen servidor de

autenticación.

- Si se usa un servidor de autenticación, la PMK es derivada de la

MK de autenticación 802.1X. La PMK en si misma no se usa nunca

para la encriptación o la comprobación de integridad. Al contrario,

se usa para generar una clave de encriptación temporal (para el

tráfico unicast esta es la PTK, Pairwise Transient Key). La longitud

de la PTK depende el protocolo de encriptación:

512 bits para TKIP y 384 bits para CCMP. La PTK consiste

en varias claves temporales dedicadas:

KCK (Key Confirmation Key – 128 bits): Clave para la

autenticación de mensajes (MIC) durante el 4-Way

Handshake y el Group Key Handshake.

KEK (Key Encryption Key – 128 bits): Clave para asegurar la

confidencialidad de los datos durante el 4-Way Handshake y

el Group Key Handshake.




TK (Temporary Key – 128 bits): Clave para encriptación de

datos (usada por TKIP o CCMP).

TMK (Temporary MIC Key – 2x64 bits): Clave para la

autenticación de datos (usada sólo por Michael con TKIP).

Se usa una clave dedicada para cada lado de la

comunicación.

Figura 47.- Fase 3: jerarquía de clave por parejas

El 4-Way Handshake, iniciado por el punto de acceso, hace posible:

Confirmar que el cliente conoce la PMK.

Derivar una PTK nueva.

Instalar claves de encriptación e integridad.

Encriptar el transporte de la GTK.

Confirmar la selección de la suite de cifrado.

Se intercambian cuatro mensajes EAPOL-Key entre el cliente y el punto

de acceso durante el 4-Way Handshake. Esto se muestra en la Figura 48.




La PTK se deriva de la PMK, una cadena fija, la dirección MAC del punto

de acceso, la dirección MAC del cliente y dos números aleatorios (ANonce y

SNonce, generados por el autenticador y el suplicante, respectivamente). El

punto de acceso inicia el primer mensaje seleccionando el número aleatorio

ANonce y enviándoselo al suplicante, sin encriptar el mensaje o protegerlo de las

trampas. El suplicante genera su propio número aleatorio SNonce y ahora puede

calcular la PTK y las claves temporales derivadas, así que envía el SNonce y la

clave MIC calculada del segundo mensaje usando la clave KCK. Cuando el

autenticador recibe el segundo mensaje, puede extraer el SNonce (porque el

mensaje no está encriptado) y calcular la PTK y las claves temporales derivadas.

Ahora puede verificar el valor de MIC en el segundo mensaje y estar seguro de

que el suplicante conoce la PMK y ha calculado correctamente la PTK y las

claves temporales derivadas.

El tercer mensaje enviado por el autenticador al suplicante contiene el

GTK (encriptada con la clave KEK), derivada de un GMK aleatorio y GNonce ,

junto con el MIC calculado del tercer mensaje utilizando la clave KCK. Cuando el

suplicante recibe este mensaje, el MIC se comprueba para asegurar que el

autenticador conoce el PMK y ha calculado correctamente la PTK y derivado

claves temporales.

Figura 48.- Fase 3: 4-Way Handshake




El último mensaje certifica la finalización del handshake e indica que el

suplicante ahora instalará la clave y empezará la encriptación.

Al recibirlo, el autenticador instala sus claves tras verificar el valor MIC.

Así, el sistema móvil y el punto de acceso han obtenido, calculado e instalado

unas claves de integridad y encriptación y ahora pueden comunicarse a través

de un canal seguro para tráfico unicast y multicast.

El tráfico multicast se protege con otra clave: GTK (Group Transient Key),

generada de una clave maestra llamada GMK (Group Master Key), una cadena

fija, la dirección MAC del punto de acceso y un número aleatorio GNonce. La

longitud de GTK depende del protocolo de encriptación (256 bits para TKIP y128

bits para CCMP). GTK se divide en claves temporales dedicadas (Figura 49):

GEK (Group Encryption Key): Clave para encriptación de datos (usada

por CCMP para la autenticación y para la encriptación, y por TKIP).

GIK (Group Integrity Key): Clave para la autenticación de datos (usada

solamente por Michael con TKIP).

Figura 49.- Fase 3: jerarquía de Group Key




Se intercambian dos mensajes EAPOL-Key entre el cliente y el punto de

acceso durante el Group Key Handshake. Este handshake hace uso de claves

temporales generadas durante el 4-Way Handshake (KCK y KEK). El proceso se

muestra en la Figura 50.

El Group Key Handshake sólo se requiere para la disasociación de una

estación o para renovar la GTK, a petición del cliente. El autenticador inicia el

primer mensaje escogiendo el número aleatorio GNonce y calculando una nueva

GTK. Envía la GTK encriptada (usando KEK), el número de secuencia de la GTK

y el MIC calculado de este mensaje usando KCK al suplicante. Cuando el

mensaje es recibido por el suplicante, se verifica el MIC y la GTK puede ser

desencriptada.

Figura 50.- Fase 3: Group Key Handshake

El segundo mensaje certifica la finalización del Group Key Handshake

enviando el número de secuencia de GTK y el MIC calculado en este segundo

mensaje. Al ser recibido este, el autenticador instala la nueva GTK (tras verificar

el valor MIC).

4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA

Todas las claves generadas anteriormente se usan en protocolos que

soportan la confidencialidad e integridad de datos RSNA:




TKIP (Temporal Key Hash).

CCMP (Counter-Mode / Cipher Block Chaining Message Authentication

Code Protocol).

WRAP (Wireless Robust Authenticated Protocol).

Hay un concepto importante que debe ser entendido antes de detallar

estos protocolos: la diferencia entre MSDU (MAC Service Data Unit) y MPDU

(MAC Protocol Data Unit). Ambos términos se refieren a un sólo paquete de

datos, pero MSDU representa a los datos antes de la fragmentación, mientras

las MPDUs son múltiples unidades de datos tras la fragmentación. La diferencia

es importante en TKIP y en el protocolo de encriptación CCMP, ya que en TKIP

el MIC se calcula desde la MSDU, mientras que en CCMP se calcula desde

MPDU.

Figura 51.- Esquema y encriptación de TKIP Key-Mixing

Al igual que WEP, TKIP está basada en el algoritmo de encriptación RC4,

pero esto es así tan sólo por un motivo: permitir a los sistemas WEP la

actualización para instalar un protocolo más seguro. TKIP se requiere para la

certificación WPA y se incluye como parte de RSN 802.11i como una opción.




TKIP añade medidas correctoras para cada una de las vulnerabilidades de WEP

descritas en el apartado de vulnerabilidades WEP:

Integridad de mensaje: un nuevo MIC (Message Integrity Code) basado

en el algoritmo Michael puede ser incorporado en el software para

microprocesadores lentos.

IV: nuevas reglas de selección para los valores IV, reutilizando IV como

contador de repetición (TSC, o TKIP Sequence Counter) e

incrementando el valor del IV para evitar la reutilización.

Figura 52.- Computación de MIC utilizando el algoritmo Michael

Per Packet Key Mixing: para unir claves de encriptación aparentemente

inconexas.

Gestión de claves: nuevos mecanismos para la distribución y

modificación de claves.

TKIP Key-Mixing Scheme se divide en dos fases. La primera se ocupa de

los datos estáticos (clave TEK de sesión secreta, el TA de la dirección MAC del

transmisor (incluido para prevenir colisiones IV) y los 32 bits más altos del IV). La

fase 2 incluye el resultado de la fase 1 y los 16 bits más bajos del IV, cambiando

todos los bits del campo Per Packet Key para cada nuevo IV. El valor IV siempre

empieza en 0 y es incrementado de uno en uno para cada paquete enviado, y

los mensajes cuyo TSC no es mayor que el del último mensaje son rechazados.

El resultado de la fase 2 y parte del IV extendido (además de un bit dummy)

componen la entrada para RC4, generando un flujo de clave que es XOR-eado

con el MPDU de sólo texto, el MIC calculado del MPDU y el viejo ICV de WEP

(ver Figura 51).




La computación del MIC utiliza el algoritmo Michael de Niels Ferguson. Se

creó para TKIP y tiene un nivel de seguridad de 20 bits (el algoritmo no utiliza

multiplicación por razones de rendimiento, porque debe ser soportado por el

viejo hardware de red para que pueda ser actualizado a WPA). Por esta

limitación, se necesitan contramedidas para evitar la falsificación del MIC. Los

fallos de MIC deben ser menores que 2 por minuto, o se producirá una

desconexión de 60 segundos y se establecerán nuevas claves GTK y PTK tras

ella. Michael calcula un valor de comprobación de 8 octetos llamado MIC y lo

añade a la MSDU antes de la transmisión. El MIC se calcula de la dirección

origen (SA), dirección de destino (DA), MSDU de sólo texto y la TMK apropiada

(dependiendo del lado de la comunicación, se utilizará una clave diferente para

la transmisión y la recepción).

CCMP se basa en la suite de cifrado de bloques AES (Advanced

Encryption Standard) en su modo de operación CCM, con la clave y los bloques

de 128 bits de longitud. AES es a CCMP lo que RC4 a TKIP, pero al contrario

que TKIP, que se diseñó para acomodar al hardware WEP existente, CCMP no

es un compromiso, sino un nuevo diseño de protocolo.

CCMP utiliza el counter mode junto a un método de autenticación de

mensajes llamado Cipher Block Chaining (CBC-MAC) para producir un MIC.

Figura 53.- Encriptación CCMP




Se añadieron algunas características interesantes, como el uso de una

clave única para la encriptación y la autenticación (con diferentes vectores de

inicialización), el cubrir datos no encriptados por la autenticación.

El protocolo CCMP añade 16 bytes al MPDU, 8 para el encabezamiento

CCMP y 8 para el MIC. El encabezamiento CCMP es un campo no encriptado

incluido entre el encabezamiento MAC y los datos encriptados, incluyendo el PN

de 48-bits (Packet Number = IV Extendido) y la Group Key KeyID. El PN se

incrementa de uno en uno para cada MPDU subsiguiente.

La computación de MIC utiliza el algoritmo CBC-MAC que encripta un

bloque nonce de inicio (computado desde los campos de Priority, la dirección

fuente de MPDU y el PN incrementado) y hace XORs sobre los bloques

subsiguientes para obtener un MIC final de 64 bits (el MIC final es un bloque de

128-bits, ya que se descartan los últimos 64 bits). El MIC entonces se añade a

los datos de texto para la encriptación AES en modo contador. El contador se

construye de un nonce similar al del MIC, pero con un campo de contador extra

inicializado a 1 e incrementado para cada bloque.

El último protocolo es WRAP, basado también en AES pero utilizando el

esquema de encriptación autenticada OCB (Offset Codebook Mode –

encriptación y autenticación en la misma operación). OCB fue el primer modo

elegido por el grupo de trabajo de IEEE 802.11i, pero se abandonó por motivos

de propiedad intelectual y posibles licencias. Entonces se adoptó CCMP como

obligatorio.

4.1.3.5 Vulnerabilidades WPA

Aunque se han descubierto algunas pequeñas debilidades en WPA/WPA2

desde su lanzamiento, ninguna de ellas es peligrosa si se siguen unas mínimas

recomendaciones de seguridad.




La vulnerabilidad más práctica es el ataque contra la clave PSK de

WPA/WPA2. Como ya hemos dicho, la PSK proporciona una alternativa a la

generación de 802.1X PMK usando un servidor de autenticación.

Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada para

generar una cadena utilizando un algoritmo conocido: PSK = PMK =

PBKDF2(frase, SSID, SSID length, 4096, 256), donde PBKDF2 es un método

utilizado en PKCS#5, 4096 es el número de hashes y 256 la longitud del

resultado.

La PTK es derivada de la PMK utilizando el 4-Way Handshake y toda la

información utilizada para calcular su valor se transmite en formato de texto. La

fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la

solidez de la frase.

Como indica Robert Moskowitz, el segundo mensaje del 4-Way

Handshake podría verse sometido a ataques de diccionario o ataques offline de

fuerza bruta. La utilidad cowpatty se creó para aprovechar este error, y su código

fuente fue usado y mejorado por Christophe Devine en Aircrack para permitir

este tipo de ataques sobre WPA. El diseño del protocolo (4096 para cada intento

de frase) significa que el método de la fuerza bruta es muy lento (unos

centenares de frases por segundo con el último procesador simple). La PMK no

puede ser pre-calculada (y guardada en tablas) porque la frase de acceso está

codificada adicionalmente según la ESSID. Una buena frase que no esté en un

diccionario (de unos 20 caracteres) debe ser escogida para protegerse

eficazmente de esta debilidad.

Para hacer este ataque, el atacante debe capturar los mensajes de 4-Way

Handshake monitorizando pasivamente la red inalámbrica o utilizar el ataque de

desautenticación para acelerar el proceso.

La otra debilidad WPA es una posibilidad de Negación del Servicio

durante el 4-Way Handshake. Changhua He y John C. Mitchell se dieron cuenta




de que el primer mensaje del 4-Way Handshake no está autenticado, y cada

cliente tiene que guardar cada primer mensaje hasta que reciban un tercer

mensaje válido (firmado), dejando al cliente potencialmente vulnerable ante el

agotamiento de memoria. Haciendo un spoofing del primer mensaje enviado por

el punto de acceso, un atacante podría realizar un ataque DoS sobre el cliente si

es posible que existan varias sesiones simultáneas.

El código de integridad de mensajes Michael tiene también debilidades

conocidas que provienen de su propio diseño (forzado por el grupo de trabajo de

802.11i). La seguridad de Michael se basa en que la comunicación esté

encriptada. Aunque los MICs criptográficos están generalmente diseñados para

resistir a este tipo de ataques de texto conocidos (donde el atacante tiene un

mensaje de texto y su MIC), Michael es vulnerable a estos ataques, porque es

invertible.

Si se le da un sólo mensaje y su valor MIC, se puede descubrir la clave

secreta de MIC, así que mantener el secreto del valor de MIC es crítico.

La debilidad final conocida es la posibilidad teórica de un ataque contra el

Temporal Key Hash de WPA, que implica una complejidad de ataque reducida

(de ∂128 a ∂105) bajo ciertas circunstancias (conocimiento de varias claves

RC4).

WPA/WPA2 se ven sometidas a vulnerabilidades que afectan a otros

mecanismos estándar de 802.11i, como son los ataques con spoofing de

mensajes 802.1X (EAPoL Logoff, EAPoL Start, EAP Failure etc.), descubiertos

por primera vez por William A. Arbaugh y Arunesh Mishra y posibles gracias a

una falta de autenticación. Por último, es importante destacar que el uso del

protocolo WPA/WPA2 no tiene protección alguna frente a ataques sobre las

tecnologías en que se basan, como puede ser la intercepción de frecuencias de

radio, Negación del Servicio a través de violaciones de 802.11, de-autenticación,

de-asociación, etc.




4.2 Mecanismos de seguridad

La seguridad es hoy en día es una gran preocupación que envuelve a

Internet y a la tecnología en general, y existen empresas dedicadas

exclusivamente a este cometido. Hablar de los mecanismos de seguridad para

proteger una red sería cuestión de un proyecto entero, por lo que queda fuera

del alcance de este proyecto. Hablaremos por tanto de sólo dos mecanismos de

seguridad relacionado con la tecnología WiFi: RADIUS y filtrado MAC. Veremos

que el segundo es poco seguro, mientras que el primero sí que lo es, aunque

debe estar acompañado de una buena configuración del firewall del servidor de

acceso a la red.

4.2.1 RADIUS

Aunque RADIUS no es específicamente un mecanismo de seguridad para

redes inalámbricas, sí que supone un mecanismo de seguridad adicional en

éstas, ya que se encargará de la autorización, autenticación y accounting de los

usuarios, ejerciendo de separador lógico entre la parte inalámbrica de la red y la

parte donde se encuentran los demás servicios, que en la mayoría de los casos

es donde realmente interesa tener una seguridad robusta frente a usuarios no

autorizados.

4.2.1.1 Autenticación y autorización

Este proceso está ampliamente descrito en el estándar RFC 2865. A

continuación, describiremos como es el proceso de autorización y autenticación

de un usuario:

1. Cuando un usuario quiere acceder al sistema, envía al servidor de

acceso a la red (NAS en inglés) una petición de acceso con las

credenciales, que normalmente serán nombre de usuario y

contraseña. El NAS, que puede estar instalado en la misma máquina

que el servidor RADIUS, envía un mensaje del tipo Access Request al

servidor RADIUS. En este mensaje se incluyen las credenciales del

http://tools.ietf.org/html/rfc2865




usuario y adicionalmente la información que el servidor NAS conoce

del usuario (dirección IP, MAC, etc.).

2. El servidor RADIUS corrobora que las credenciales son correctas

siguiente esquemas de autenticación como PAP, CHAP, MCHAP o

EAP. Esta comprobación puede usarse contra una base de datos

local, una base de datos SQL en la misma máquina o externa, con

LDAP, con Active Directory o algún otro método.

3. Una vez comprobadas las credenciales, el servidor Radius devuelve al

NAS uno de los siguientes mensajes:

Access Reject.- Se rechaza la autenticación del usuario por

alguna causa como credenciales incorrectas, usuario de

baja, supera límites de tiempos de conexión, etc.

Access Challenge.- El servidor Radius requiere alguna

credencial adicional, como una segunda contraseña, un PIN

o cualquier dato del usuario.

Access Accept.- El acceso se le es concedido al usuario.

4. Una vez que se consigue la autenticación, el servidor Radius chequea

si el usuario está autorizado a usar el servicio que se solicita. Para ello

consultará una base de datos o algún otro medio, al igual que hacía

para consultar las credenciales en el paso 2. En el mensaje de Access

Accept, el servidor Radius puede enviar las condiciones de acceso al

usuario, que pueden ser:

Dirección IP.

Máximo tiempo de conexión.

Parámetros de calidad de servicio.




Etc.

4.2.1.2 Accounting

El procedimiento de accounting está descrito en el estándar RFC 2866. El

accounting se produce inmediatamente después de la autorización, llevándose a

cabo de la siguiente forma:

1. Cuando el servidor NAS concede el acceso al usuario, envía al

servidor RADIUS un mensaje del tipo Accounting Start, indicando al

servidor RADIUS el comienzo del uso del servicio por parte del

usuario. Normalmente en este mensaje se envían los siguientes

registros:

Identificación de usuario

Dirección IP

Identificador de sesión única

2. Periódicamente, el servidor NAS puede enviar mensajes del tipo

Interim Accounting al servidor RADIUS, para actualizar el estado de

una sesión activa.

3. Finalmente, cuando el usuario finaliza el acceso a la red, el servidor

NAS envía al servidor RADIUS un mensaje del tipo Accounting Stop,

con información del tiempo de conexión, datos transferidos, motivo de

la desconexión y otros datos del usuario.

Como puede intuirse el accounting está destinado a facturar al usuario

según el uso (tiempo o datos) que haga del servicio. También puede usarse esta

información para realizar estadísticas de uso y monitorizar el sistema.

http://tools.ietf.org/html/rfc2866




4.2.2 Filtrado MAC

La dirección MAC es un número de 48 bits único asignado por el

fabricante a toda tarjeta de red inalámbrica. Por tanto los puntos de acceso

podrían utilizar este número para discernir entre quién está autorizado y quién no

a utilizar la red y, por lo tanto, aceptar o denegar el servicio. Cuando un usuario

intenta asociarse a un punto de acceso, la dirección MAC del cliente debe estar

en la lista aprobada, o de lo contrario la asociación va a ser rechazada. Como

una alternativa, el AP puede tener una tabla de direcciones MAC “prohibidas”, y

habilitar a todos los dispositivos que no están en esa lista.

Aunque pueda parecer a priori un sistema seguro, la realidad nos

demuestra que no lo es, principalmente por dos razones:

1. La dirección MAC puede cambiarse fácilmente por software, por lo que

un usuario malintencionado podría capturar tráfico en la red y

descubrir una o varias direcciones MAC comunicándose

correctamente con el punto de acceso, por lo que estarán en la tabla

de direcciones permitidas. En ese momento, envía un paquete de

desasociación al cliente con esa dirección MAC y envía otro de

asociación al punto de acceso con la dirección MAC detectada. De

esta forma, el usuario malintencionado ya habría roto este sistema de

seguridad.

2. Mantener las tablas MAC en cada dispositivo puede ser muy

engorroso, requiriendo que todos los dispositivos cliente tengan su

dirección MAC grabadas y cargadas en los puntos de acceso.

4.3 Hotspot

Un hotspot es una zona de cobertura Wi-Fi, en el que un punto de acceso

o varios proveen servicios de red a través de un Proveedor de Servicios de

Internet Inalámbrico (WISP). Fue propuesto por primera vez por Brett Stewart en




1993, aunque fue Nokia quien le dio el nombre de “Hotspot” unos años más

tarde.

Los hotspots se encuentran en lugares públicos, como aeropuertos,

bibliotecas, centros de convenciones, cafeterías, hoteles, etcétera. Este servicio

permite mantenerse conectado a Internet en lugares públicos y puede brindarse

de manera gratuita o mediante el pago de una cuantía, que dependerá del

proveedor. Este pago se realiza al conectarse a un hotspot, no haciendo falta

adquirir los derechos mediante cualquier otra vía.

Un hotspot comercial, está compuesto por:

Un portal cautivo.- Es el encargado de redireccionar a los usuarios a

una determinada página web. Es en esta página web donde se le da la

bienvenida al hotspot, se explican las tarifas, se enlaza con el servicio de

pago, etc. Se definen las páginas que el usuario puede ver sin estar

autenticado. Una vez que el usuario realiza el pago y obtiene la clave,

deberá introducirla en el apartado correspondiente. Entonces, el portal

cautivo consultará al servidor Radius para validar esta clave y poder

autenticar al usuario. En el siguiente apartado se dan a conocer varios

portales cautivos de software libres existentes.

Un servidor RADIUS.- Se encargará de realizar la autorización, la

autenticación y el accounting de los usuarios. Para ello buscará en su

base de datos los atributos que tiene la clave con la que se pretende

acceder al sistema. Si esta clave no existe, la autenticación falla y se le

comunica al portal cautivo. Si existe, se produce la autenticación y se le

asignan los atributos que correspondan (Tiempo de conexión diario,

semanal o mensual, tasa de transferencia, sesiones simultáneas

posibles, máximo número de conexiones abiertas de forma simultánea,

etc…).




Portal para que el usuario realice el pago.- Cuando el usuario decida

acceder al servicio y pagar la correspondiente tasa, se le redireccionará

al portal donde pueda realizar el pago mediante tarjeta de crédito, paypal

o cualquier otra forma de pago.

La mayoría de los hotspots no son seguros, ya que no poseen ningún

sistema de encriptación que permita la privacidad de los usuarios. Por tanto las

transmisiones se producen en texto plano, estando al acceso de cualquiera que

quiera capturar el tráfico de la red. Esto es así debido a que si se usara cualquier

sistema de encriptación que requiera una clave compartida, ningún usuario que

no la conociera podría acceder al hotspot y no hay ninguna forma de divulgación

de la clave que no la comprometa.

Actualmente existen hotspot comerciales como el de Antamedia

(http://www.antamedia.com/), que permiten controlar a los usuarios, realizar

estadísticas de conexiones, descargas, prepago, etc. Éste se instala en un

servidor bajo Windows, pudiéndose gestionar fácilmente sin tener altos

conocimientos en esta tecnología.

Existen otros tipos de hotspot que pueden configurarse haciendo uso de

un servidor externo. Sólo es necesario configurar el portal cautivo “chillispot” en

un punto de acceso. Éste redirecciona a los usuarios a la página web del

servidor de hotspot, el cual se encarga de autenticar a los usuarios, cobrarles,

etc. Igualmente podremos acceder a estadísticas, control de usuarios, etc. En

este caso no se paga por el software, sino que una parte de lo que los usuarios

pagan va a parar al proveedor del hotspot. Ejemplos de este tipo de hotspot son:

Worldspot.- http://worldspot.net/

Fonera.- http://www.fon.com/ .Este está teniendo mucha aceptación a

nivel mundial, ya que permite compartir parte de tu conexión a Internet a

cambio de poder conectarte de forma gratuita a cualquier punto en el

mundo perteneciente a la red Fonera. Además recibirás parte de los

http://worldspot.net/

http://www.fon.com/




ingresos que se generen de los usuarios no pertenecientes a la Fonera

que hagan uso de tu conexión.

4.3.1 Portales Cautivos

Una herramienta común de autenticación utilizada en las redes

inalámbricas es el portal cautivo. Este utiliza un navegador web estándar para

darle al usuario la posibilidad de presentar sus credenciales de registro. También

puede utilizarse para presentar información (como Política de Uso Aceptable) a

los usuarios antes de permitir el acceso.

Mediante el uso de un navegador web en lugar de un programa

personalizado de autenticación, los portales cautivos funcionan en prácticamente

todas las computadoras portátiles y sistemas operativos. Generalmente se

utilizan en redes abiertas que no tienen otro método de autenticación (como

WEP o filtros MAC).

Para comenzar, el usuario abre su computadora portátil y selecciona la

red. Su computadora solicita una dirección mediante DHCP y le es otorgada.

Luego usa su navegador web para ir a cualquier sitio en Internet. En lugar de

recibir la página solicitada, al usuario se le presenta una pantalla de registro.

Esta página puede solicitarle al usuario que ingrese su nombre de usuario y una

contraseña, simplemente pulsa sobre el botón de “registro” (login), escribe los

números de una tarjeta prepago, o ingresa cualquier otra credencial que solicite

el administrador de red. El punto de acceso u otro servidor en la red (por ejemplo

un servidor RADIUS) verifica los datos. Cualquier otro tipo de acceso a la red se

bloquea hasta que se verifiquen las credenciales.

Una vez que el usuario ha sido autenticado, se le permite el acceso a los

recursos de la red, y en general es redireccionado al sitio web que solicitó

originalmente.

Los portales cautivos no proveen encriptación para los usuarios de redes

inalámbricas, en su lugar confían en las direcciones MAC e IP del cliente como




identificadores únicos. Si bien esto no es necesariamente muy seguro, muchas

implementaciones van a solicitar que el usuario se re-autentique periódicamente.

Esto puede hacerse automáticamente, minimizando una ventana emergente

(pop-up) del navegador, cuando el usuario se registra por primera vez.

En redes públicas o semipúblicas, las técnicas de encriptación como WEP

y WPA son realmente inútiles. Simplemente no hay forma de distribuir claves

públicas o compartidas para el público en general sin comprometer la seguridad

de esas claves. En esas instalaciones, una simple aplicación como un portal

cautivo provee un nivel de servicio intermedio entre completamente abierto y

completamente cerrado. Existen muchas implementaciones de portales cautivos

de software libre, estando más extendido los siguientes:

NoCatSplash.- Está disponible en la siguiente dirección: http://nocat.net.

NoCatSplash provee una página de ingreso modificable, solicitándoles a

sus usuarios presionar el botón de “registro” antes de utilizar la red. Esto

es útil para identificar los operadores de la red y mostrar las reglas de

acceso a la misma.

NoCatSplash está escrito en C, y va a correr en casi cualquier sistema

operativo tipo Unix incluidos Linux, BSD, y también plataformas

embebidas como OpenWRT. Tiene un archivo de configuración muy

simple y puede usar cualquier archivo HTML personalizado como la

página de ingreso. En general se corre directamente en un punto de

acceso, pero también funciona en un enrutador o un servidor proxy. Para

más información, vea la página http://nocat.net/.

Chillispot (http://www.chillispot.org/). Chillispot es un portal cautivo

diseñado para autenticar verificando los datos contra una base de datos

de credenciales de usuarios, tal como RADIUS. Si lo combinamos con la

aplicación phpMyPrePaid, se puede implementar fácilmente un sistema

de autenticación basado en prepago.

http://nocat.net/

http://nocat.net/

http://www.chillispot.org/




Este es el portal cautivo elegido en el presente proyecto, debido a su

versatibilidad y su seguridad, ya que permite la interacción con un

servidor RADIUS para realizar la autenticación y el accounting de los

usuarios. Más detalles sobre el uso y la configuración del mismo en un

servidor se describen en el apartado 5 de la presente memoria.

WiFi Dog (http://www.wifidog.org/). WiFi Dog provee un paquete muy

completo de autenticación vía portal cautivo, en muy poco espacio

(generalmente menos de 30kB). Desde la perspectiva del usuario, no

requiere de una ventana emergente (pop-up) ni de soporte javascript,

permitiéndole trabajar en una amplia variedad de dispositivos

inalámbricos.

m0n0wall (http://m0n0.ch/wall/). Como mencionamos en el capítulo

cinco, m0n0wall es un sistema operativo embebido completo basado en

FreeBSD. Este incluye un portal cautivo con soporte RADIUS, así como

un servidor web PHP.

4.4 Aplicaciones de auditoría wireless

En entornos profesionales, donde se requiere una seguridad extrema, es

necesario hacer una auditoría de seguridad una vez que el sistema está

totalmente configurado. De esta forma sabremos detectar y solventar las

posibles vulnerabilidades que posea el sistema.

Si nos centramos en la parte wireless del sistema, hay varios Live CD

disponibles para tal fin. Los más populares son:

Wifiway (http://www.wifiway.org/)

Wifislax (http://www.wifislax.com/)

BackTrack (http://www.remote-exploit.org/backtrack.html). Es un potente

live CD sobre seguridad informática en general, no sólo sobre wireless.

http://www.wifidog.org/

http://m0n0.ch/wall/

http://www.wifiway.org/

http://www.wifislax.com/

http://www.remote-exploit.org/backtrack.html




Todos ellos cuentan con la herramienta aircrack, la más usada

actualmente ya que implementa los ataques a WEP y WPA a día de hoy

conocidos.

4.4.1 Aircrack

El crackeado de WEP o WPA (solo si la PSK es “débil”) puede ser

demostrado con facilidad utilizando herramientas como Aircrack (creado por el

investigador francés en temas de seguridad, Christophe Devine). Aircrack

contiene tres utilidades principales, usadas en las tres fases del ataque

necesario para recuperar la clave:

airodump: herramienta de sniffing, utilizada para descubrir las redes que

tienen activado WEP o WPA.

aireplay: herramienta de inyección para incrementar el tráfico.

aircrack: crackeador de claves WEP que utiliza los IVs únicos

recogidos.

4.4.1.1 Ataques a WEP

En la actualidad, Aireplay sólo soporta la inyección en algunos chipsets

wireless, y el soporte para la inyección en modo monitor requiere los últimos

drivers parcheados. El modo monitor es el equivalente del modo promiscuo en

las redes de cable, que previene el rechazo de paquetes no destinados al host

de monitorización (lo que se hace normalmente en la capa física del stack OSI),

permitiendo que todos los paquetes sean capturados. Con los drivers

parcheados, sólo se necesita una tarjeta wireless para capturar e inyectar tráfico

simultáneamente.

La meta principal del ataque es generar tráfico para capturar IVs únicos

utilizados entre un cliente legítimo y el punto de acceso. Algunos datos

encriptados son fácilmente reconocibles porque tienen una longitud fija, una

dirección de destino fija, etc. Esto sucede con los paquetes de petición ARP




(véase Recuadro ARP-Request), que son enviadas a la dirección broadcast

(FF:FF:FF:FF:FF:FF) y tienen una longitud fija de 68 octetos. Las peticiones ARP

pueden ser repetidas para generar nuevas respuestas ARP desde un host

legítimo, haciendo que los mensajes wireless sean encriptados con nuevos IVs.

El primer paso, es la activación del modo monitor en nuestra tarjeta

wireless así que podemos capturar todo el tráfico. El paso siguiente, será

descubrir redes cercanas y sus clientes, escaneando los 14 canales que utilizan

las redes Wi-Fi.

Una vez se haya localizado la red objetivo, deberíamos empezar a

capturar en el canal correcto para evitar la pérdida de paquetes mientras

escaneamos otros canales.

Después, podremos usar la información recogida para inyectar tráfico

utilizando aireplay. La inyección empezará cuando una petición ARP capturada,

asociada con el BSSID objetivo aparezca en la red inalámbrica:

Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el

fichero pcap se hace posible lanzar este paso final mientras airodump sigue

capturando datos.

4.4.1.2 Ataques a WPA

De las tres debilidades que se han expuesto anteriormente, aircrack

explota la primera de ellas, por lo que puede atacar contra la clave PSK de

WPA/WPA2. Vimos que esto es posible cuando la clave es débil, ya que si la

clave es de longitud elevada (de 20 a 63 caracteres) es prácticamente imposible,

al menos con microprocesadores actuales.

El ataque se realiza en varios pasos:

1. Se localizan las redes WPA / WPA2 mediante un escaneo de los 14

canales usados en 802.11. Una vez localizadas las redes, se elige el

objetivo a atacar, fijándonos en el canal en el que trabaja.




2. Se comienzan a capturar datos en el canal deseado mediante

airodump.

3. Debemos entonces deautenticar los clientes legítimos, con la ayuda de

airplay, forzándolos a iniciar un nuevo proceso de autenticación y

permitiéndonos capturar los mensajes de 4-Way Handshake.

4. Finalmente, con la herramienta aircrack, lanzamos un ataque de tipo

diccionario con los datos capturados. Si la PSK es débil (palabra corta

disponible en algún diccionario), hay muchas posibilidades de que

pueda adivinarse.




5 Diseño e Implementación de una red wireless Este apartado describe el diseño y la implementación de la red desde un

punto de vista más práctico que teórico. Se describirán en detalle el diseño y la

estructura elegida para la red, así como las configuraciones que se han realizado

en los dispositivos. En cambio, se remite al lector a los tres apartados anteriores

si quiere comprender el funcionamiento detallado de la tecnología y protocolos

empleados. A modo de ejemplo, en este apartado se detallará el funcionamiento

lógico y la configuración realizada para montar el servidor RADIUS sobre Linux,

pero sin entrar en los detalles del protocolo, el cual ya se ha descrito en el

apartado 4.2.1 RADIUS.

En el texto se encuentran enlaces y/o referencias a apartados anteriores,

donde se describen los detalles más técnicos del asunto que se esté tratando.

5.1 Introducción. Alcance del proyecto

El presente proyecto surgió en colaboración con la “A.D.C. Los Colores”,

club social situado en Sevilla Este y fundado en 1988.

La “A.D.C. Los Colores” ha perseguido desde su creación la realización

de actividades sociales, culturales y deportivas, con el objetivo de fomentar las

relaciones intervecinales.

Entre otras muchas iniciativas, la asociación se aprovisionó de varios

equipos informáticos, con los que se iniciaron una serie de actividades

encaminadas a acercar las nuevas tecnologías al vecindario.

Siguiendo con esta idea, se pensó en proveer a los socios de una red wifi

comunitaria, a la que podrán acceder desde sus casas o desde cualquier punto

de la vecindad, con la idea de que la red ofrezca servicios de valor añadido para

los socios que deseen hacer uso de los mismos. Los servicios que inicialmente

se ofrecen son:




Conexión a Internet.

Videoconferencias para que los cursos que se impartan en la sede de la

asociación puedan seguirlos desde casa.

Servidor de archivos compartido.

Acceso a la intranet de la asociación, incluida su página web, donde

podrán acceder a la información de próximos actividades y eventos.

Conexión con la cámara web del salón de la asociación.

…

Una vez implementada una red robusta y fiable que cubre estos servicios

iniciales, se prevé añadir más funcionalidades a medida que se requieran

(telefonía IP, videovigilancia IP, servidor de correo, etc.). Esta parte aún está en

estudio y queda fuera del alcance del proyecto.

Haciéndome partícipe de esta iniciativa, me comprometí a diseñar e

implementar la red inalámbrica a un coste que la asociación pudiera permitirse,

ya que cuando contactaron con empresas externas les realizaron presupuestos

profesionales inabordables para una asociación sin ánimo de lucro.

5.2 Situación inicial y requerimientos

5.2.1 Área a cubrir

El vecindario vinculado a la “A.D.C. Los Colores” está situado en una zona

cuyas características se muestran en la figura 54:

Como puede observarse en la figura, la asociación tiene la sede en una

de las partes externas al área. Esto condiciona el diseño, ya que el punto de

acceso principal, es decir, el que estará conectado al servidor deberá estar

situado en esta parte del área. La mejor opción sería que estuviera situada en el




centro del área a cubrir, pero es evidente que este no es un parámetro

configurable.

Figura 54. Características del área a cubrir

Otro inconveniente que nos encontramos es la situación de las viviendas

de los vecinos asociados. Se realizó un estudio de la situación de las mismas y

se llegó a la conclusión de que el 90% estaban en las partes externas. Al tener

estas partes una forma “alargada”, se condiciona el diseño en 2 sentidos:

1. Las antenas sólo podrán instalarse en las partes externas del área, ya

que es necesario que un vecino perteneciente a la asociación colabore

en la colocación de la antena, proveyéndola de electricidad y de un

lugar en el tejado donde colocarla.

2. Si se instalan antenas omnidireccionales, parte de la potencia radiada

va a parar a zonas donde no viven vecinos. Por otro lado, adecuar la

zona de cobertura que ofrecen las antenas a la zona donde residen los

vecinos requiere de la utilización de un número mayor de antenas y de

puntos de acceso, por lo que el coste se incrementa.

5.2.2 Requerimientos

En una reunión mantenida con la junta directiva de la asociación, se

acordaron una serie de requisitos, los cuales se resumen a continuación:

Características del Área a cubrir

Situación de la sede de la asociación

Zonas con el 90 % de los asociados

Dimensiones de área:

•Ancho (máx.) 320 m.•Largo (máx.) 450 m•Área 102000 m2




El acceso a Internet debe estar garantizado sólo a los vecinos

asociados, no pudiendo estar al alcance de cualquier usuario en la zona

de cobertura.

Cualquier usuario no asociado que se conecte a la red, podrá acceder

exclusivamente a la página web de la asociación.

Cada socio que se acoja al servicio, tendrá un nombre de usuario y

contraseña. Debe restringirse el hecho de que un mismo nombre de

usuario y contraseña pueda usarse desde ordenadores distintos

simultáneamente, ya que en este caso podrían usarlo vecinos no

asociados que consiguieran credenciales válidas de acceso.

El diseño de la red debe hacerse de forma que ésta sea escalable, ya

que a priori se desconoce la cantidad de socios que van a utilizar el

sistema, fijando 50 socios como una cifra significativa. Además, se

cuenta con un presupuesto muy limitado, por lo que la red deberá

mejorarse progresivamente cuando el número de usuarios crezca.

La red debe ser robusta, es decir, si se produce una caída de un enlace

o punto de acceso, la red debe seguir funcionando correctamente.

Cumplir estos requerimientos, fundamentalmente el presupuesto con el

que cuentan, ha condicionado el diseño de la red. En un futuro, este diseño

puede modificarse y optimizarse para aumentar su capacidad. Debido a esta

posibilidad, el diseño elegido permitirá aprovechar todos los dispositivos

adquiridos ahora. Esto se describe en el apartado Fase II.

5.2.3 Dispositivos disponibles

Antes de comenzar el presente proyecto la asociación disponía de varios

dispositivos, los cuales han podido ser utilizados.




Router ADSL Xavi. Este router es el que provee Internet a través de la

conexión RJ11. La conexión a Internet disponible tiene las siguientes

características:

3072 Kbits de bajada.

256 Kbits de subida.

6 ordenadores de sobremesa, dos de ellos de reciente adquisición. El

modelo de estos dos ordenadores es Compaq Presario SR5302ES,

cuyas características se describen más adelante. Uno de estos dos

ordenadores fue el elegido para usarlo como servidor.

1 ordenador portátil. Con este ordenador se han realizado las

mediciones de señal en los diferentes puntos de la vecindad.

Switch de 8 puertos. Nos permitirá conectar todos los ordenadores de

sobremesa, incluido el servidor, al router ADSL.

5.3 Objetivos

El objetivo principal de este proyecto es el diseño y la implantación de una

red wireless, que ofrezca cobertura en la zona residencial de los socios de la

“A.D.C. Los Colores” con una calidad de servicio aceptable, cumpliendo con los

requisitos establecidos por la junta directiva.

Para lograr el objetivo principal, deben cumplirse los siguientes objetivos

intermedios:

Diseño de la red wireless, teniendo en cuenta los siguientes criterios de

diseño:

- Transparencia hacia el usuario.- El usuario de la red deberá

poder acceder a la red sin realizar ninguna instalación o

modificación en su equipo.




- Fiabilidad de la red.- Para ello se diseñarán enlaces alternativos

de respaldo, así como un segundo servidor que se usará en caso

de caída del primero. En ambos servidores se configurarán dos

discos duros en RAID 1, lo que disminuirá la probabilidad de que

dejen de funcionar.

- Calidad de servicio.- La red debe ofrecer una buena calidad de

servicio a los usuarios.

- Escalabilidad.- La red debe ser escalable, pudiendo reutilizar los

dispositivos ya instalados en caso de ampliación. Este factor, como

se verá más adelante, se ha tenido mucho en cuenta debido al

presupuesto con el que se contaba.

- Seguridad.- Debe asegurarse que sólo los socios puedan acceder

a los servicios restringidos para ellos. Para ello el se creará un

servidor RADIUS que los autentique mediante nombre de usuario y

contraseña.

Configuración del servidor de la red, que deberá realizar las siguientes

tareas:

- Servidor DHCP.

- Portal Cautivo.

- Firewall entre la red externa (Puntos de acceso inalámbricos) y la

interna (Ordenadores y Router ADSL con Internet).

- Servidor RADIUS de autenticación.

- Almacenamiento de datos de conexiones de usuarios, para la

monitorización y control de la red, así como para realizar

estadísticas de uso.




Configuración de los puntos de acceso

- Enlaces principales (Backbone) y de respaldo.

- Implementación de calidad de servicio en los mismos mediante el

uso de firmwares modificados.

Instalación de los puntos de acceso en el tejado de la asociación y en el

tejado de las viviendas de los vecinos elegidas para ello.

5.4 Dispositivos Utilizados

5.4.1 Servidor

El servidor utilizado es un Compaq Presario SR5302ES, el cual tiene las

siguientes características:

Procesador Intel® Pentium® E2140 Dual Core.

Chipset Intel® G33.

3 GB de memoria RAM tipo SDRAM DDR2.

Unidad de disco duro de 500 GB serial ata.

Grabadora de DVD SATA DVD RAM.

1 lector de tarjetas de memoria "15 en 1".

2 tarjetas de red.

Tarjeta de video NVIDIA® GeForce™ 6150 SE GPU.

Etcétera.

En el apartado Instalación y configuración del servidor se detalla la

instalación del sistema operativo, software y configuraciones realizadas.




5.4.2 Puntos de acceso

Todos los puntos de acceso utilizados son los Linksys WRT54GL v1.1, ya

que poseen un sistema operativo embebido con núcleo Linux y a que existen

versiones modificadas bajo la licencia GPL que dotan a los puntos de acceso de

todas las características necesarias para este proyecto. En el apartado

Radioenlaces. Configuración de los puntos de acceso está explicado todo lo

referente a la configuración de estos dispositivos.

Las características técnicas de estos puntos de acceso son:

CPU a 200 MHz, 16 MB de RAM, 4 MB de memoria flash

802.11a, b y g

4 puertos ethernet más un puerto WAN RJ45.

5.4.3 Antenas

Las antenas utilizadas han sido dos omnidireccionales de 9 dB de

ganancia, una sectorial de 14 dB de ganancia y otra omnidireccional de 12 dB de

ganancia. La marca elegida ha sido Interline, debido a su buena relación calidad

/ precio.

Omnidireccional 9dB.- El ancho del haz en el plano vertical es de 15º y

en el plano horizontal 360º. La longitud de la antena es 54 cm.

Figura 55.- Patrón de radiación de la antena omnidireccional de 9dB utilizada.




Omnidireccional 12 dBi.- El ancho del haz en el plano vertical es de 6º y

en el plano horizontal 360º. La longitud de la antena es 110,5 cm.

Figura 56.- Patrón de radiación de la antena omnidireccional de 12 dB utilizada.

Sectorial 14 dBi.- El ancho del haz en el plano vertical es de 6º y en el

plano horizontal 120º. Las dimensiones de la antena son 100.7 x 12.7

cm.

Figura 57.- Patrón de radiación de la antena sectorial utilizada.




5.4.4 Cajas estanca

Las cajas estanca utilizadas siguen el estándar IP55 y tienen unas

medidas de 240x190x90. Son de la marca GEWISS modelo GW44008.

Figura 58.- Caja estanca

5.4.5 Conectores

Son dos los conectores usados, el RP-TNC para la conexión del coaxial al

punto de acceso y el Tipo N para la conexión a las antenas. Ambos tienen una

pérdida de 0,5 dB.

5.4.6 Cableado

El cableado utilizado para llevar la señal desde el punto de acceso a la

antena ha sido el LMR400 de 0.21 dB/m de atenuación. Este tipo de cable es de

muy bajas pérdidas, permitiendo longitudes de 8 metros de longitud sin llegar a

los 2 dB de atenuación.

Como cable de red se ha usado el de categoría 5 UTP para exteriores. En

el nodo principal se han utilizado 25 metros para unir el punto de acceso con el

servidor. En los demás puntos de acceso, se ha colocado un cable ethernet por

si el interfaz inalámbrico de alguno de ellos cae y hay que configurarlo vía

ethernet.




Finalmente para ampliar el cable de corriente continua que alimenta a los

puntos de acceso, se ha usado un cable de pares de 0,5 mm de grosor.

5.4.7 Router ADSL

El router ADSL ha sido proporcionado por telefónica y corresponde con el

router inalámbrico Xavi 7768r.

Figura 59.- Router ADSL

5.5 Enfoque del proyecto y metodología

Teniendo en cuenta los requisitos y objetivos que se han descrito

anteriormente, se decidió realizar el proyecto en tres fases, permitiendo diluir el

coste total entre cada una de ellas. Un resumen gráfico puede verse en la figura

60.

La razón de este enfoque fue principalmente debida al presupuesto con el

que se contaba y a la imposibilidad de saber a ciencia cierta la aceptación del

proyecto por parte de los socios. De esta forma, se pensó en un principio en

colocar 4 nodos que maximizaran la cobertura en las zonas habitadas y

permitieran una capacidad para unos 50 usuarios aproximadamente.

Si la aceptación por parte de los socios es elevada se instalarán tres

nodos más, que permitan aumentar la cobertura a la totalidad de los socios.

Además, se instalará un punto de acceso adicional unido mediante cable

ethernet al principal y que permita configurar un canal de transmisión diferente

para la mitad de los nodos, doblando la capacidad del sistema, además de

segmentarla. A fecha de la memoria del proyecto se ha implementado sólo la

primera parte de la red, dando servicio a unos 20 usuarios, por lo que aún no es

conveniente acometer ninguna ampliación.




Figura 60.- Resumen del enfoque del proyecto realizado

En la primera fase se ofrecen servicios básicos (Internet, cámara web del

salón de la asociación, servidor de archivos, etc.). En la segunda fase se

pretende ampliar la capacidad del sistema y la cobertura, añadiendo nuevos

nodos y usando 2 radiocanales de transmisión. En una tercera fase se

contempla la posibilidad de añadir servicios más complejos, como streaming de

video, Voz IP, servidor de juegos, videovigilancia IP, etc. Esta tercera fase queda

fuera del alcance del presente proyecto. En los apartados sucesivos se detalla la

metodología usada para diseñar e implementar las fases I y II.

5.5.1 Consideraciones Iniciales

En un principio se consideró implementar una estructura de red que

maximizara la capacidad de la misma. Ésta se consigue utilizando en cada nodo

un punto de acceso con antena direccional (de enlace) y otro con antena

omnidireccional (de cobertura), unidos ambos mediante un cable ethernet. Esta

configuración permite tener en canales separados y no interferentes entre sí el

backbone de la red y los nodos de cobertura. Por ejemplo, el backbone podría

usar el canal 6 y los nodos de cobertura el 1 o el 11 de forma alternativa para

evitar también interferencias entre nodos cercanos.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Servicios

Cobertura

CosteFase 1Fase 2Fase 3

Implantación de un nodo secundario en el parque próximo a la vecindad.

Implementación de servicios de valor

añadido.

Implementación del nodo principal, de tres nodos

secundarios y del Servidor.

Implementación de tres nodos secundarios para dar cobertura al resto de

socios. Ampliación de capacidad.

Cobertura total, Capacidad máxima

Red robusta, fiable y segura.

Movilidad, servicios

complejos.

Fase I Fase II Fase III

Resumen del enfoque del proyecto

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Servicios

Cobertura

CosteFase 1Fase 2Fase 3

Implantación de un nodo secundario en el parque próximo a la vecindad.

Implementación de servicios de valor

añadido.

Implementación del nodo principal, de tres nodos

secundarios y del Servidor.

Implementación de tres nodos secundarios para dar cobertura al resto de

socios. Ampliación de capacidad.

Cobertura total, Capacidad máxima

Red robusta, fiable y segura.

Movilidad, servicios

complejos.

Fase I Fase II Fase III

Resumen del enfoque del proyecto




Otra opción a considerar era usar en un nodo tres puntos de acceso con

sendas antenas sectoriales de 120º de ancho de haz. Cada una de las antenas

sectoriales irradiaría a una frecuencia no solapante, evitando así las

interferencias. De esta forma se consigue también sectorizar la cobertura,

triplicando la capacidad del sistema. Una de las antenas sectoriales podría

aprovecharse para realizar el enlace hacia otro nodo o hacia el nodo principal.

Si bien elegir una de estas opciones hubiera sido la apuesta más segura,

también son las más costosas, ya que en el peor de los casos deben usarse dos

puntos de acceso y dos antenas por nodo. En el caso de querer hacer enlaces

de respaldo se necesitarían tres antenas y tres puntos de acceso por nodo.

En un proyecto destinado al uso profesional, sin duda habría que elegir

una de las dos opciones anteriores. En cambio, en el ámbito en el que nos

encontramos es más importante minimizar el coste que maximizar la capacidad

del sistema, máxime si esto último puede hacerse en un futuro si es necesario.

Por este motivo se intentó hacer realidad una tercera opción, consistente en

proveer al nodo principal de una antena omnidireccional de alta ganancia (12

dBi) y a los nodos secundarios de antenas omnidireccionales de 9 dBi. Si con

estas antenas consiguiéramos enlazar los nodos entre sí, estaríamos usando un

punto de acceso y antena omnidireccional por nodo, consiguiendo el mismo

propósito con un presupuesto dos o tres veces menor. Como contrapartida, con

esta opción disminuimos la capacidad del sistema, ya que tendremos que usar

un solo canal de transmisión entre todos los nodos, por lo que se interferirán

entre sí.

Para corroborar la viabilidad de esta última opción, se adquirieron dos

puntos de acceso y dos antenas omnidireccionales, de 9 y de 12 dBi. Se instaló

el punto de acceso con la antena omnidirecional de 12 dBi en el tejado de la

sede de la asociación y el otro punto de acceso en la parte del área más alejada

de este, a unos 400 metros. Una vez instalados se intentó configurar el enlace y

el resultado fue muy satisfactorio, ya que se consiguió que se conectaran a 48




Mbps, siendo el ancho de banda real unos 22 Mbps. Cualquier enlace tendría la

misma visibilidad y menor distancia, por lo que no habría problemas para

realizarlo.

5.5.2 Fase I

El objetivo de la primera fase del proyecto fue ofrecer cobertura al 75%

del área a cubrir, para conseguir llegar al 90% de los socios con sólo un 60% del

coste que supondría cubrirla en su totalidad.

Para conseguir el objetivo de la fase I, fue necesario realizar las

siguientes tareas:

Mediciones de redes WiFi existentes en cada una de las situaciones de

los nodos para poder elegir el canal de transmisión / recepción.

Configuración y montaje del nodo principal en la sede de la asociación.

Configuración del servidor.

Configuración y montaje de tres nodos secundarios.

Auditorías de seguridad y de robustez de la red. Para ello se utilizará

software especializado y se simulará la caída de algún enlace y punto de

acceso.

5.5.2.1 Mediciones realizadas

La tecnología utilizada para proveer de acceso inalámbrico ha sido

802.11g. Vimos en el apartado 802.11g y DSSS-OFDM cómo se distribuían los

canales de transmisión. En España había once canales disponibles de 20 MHz

separados 5 MHz entre sí, por lo que los únicos que no se solapaban entre sí

eran el 1, el 6 y el 11. Además la frecuencia que utilizaban era de uso libre por lo

que otros dispositivos podrían usar estas frecuencias.




Pues bien, no nos quedó más remedio que escanear las redes

inalámbricas existentes en el área de influencia, sobre todo en las zonas donde

van a estar instalado los nodos. En las siguientes figuras se aprecian las redes

detectadas, los canales que usan y la potencia con la que se reciben.

Figura 61.- Redes detectadas desde los nodos 1 y 2

Una vez escaneadas las red inalámbricas de los nodos 1 y 2, se

escanearon las redes inalámbricas en la situación de los nodos 3 y 4. Para ello,

se utilizó un punto de acceso Linksys WRT54GL con una antena omnidireccional

de 9 DB de ganancia, ambos situados en el emplazamiento elegido para la

colocación de los mismos. Se usó la opción “Site Survey” de dicho punto de

acceso, a la que puede accederse desde la interfaz web.




Figura 62.- Redes detectadas desde los nodos 3 y 4

Para elegir el canal adecuado, debemos fijarnos en estas dos

restricciones:

Que esté nada o poco utilizado

Que los cuatro canales por arriba y por abajo sen los menos utilizados

también, ya que hemos visto que interfieren, aunque en menor medida.

Tras analizar las mediciones puede observarse que canales poco

utilizados son el 2, el 4 y el 9. Para decantarnos por uno se decidieron hacer




pruebas de transferencia y fiabilidad para comprobar empíricamente cual de

estos canales daba mejor resultado. Finalmente resultó ser el canal 9.

5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios

Teniendo en cuenta lo mencionado en el apartado anterior, la topología de

la red se dispuso de la siguiente manera:

En la sede de la asociación se instaló el nodo principal, con una antena

omnidireccional de 12 dBi. El punto de acceso está unido al servidor

mediante un cable ethernet CAT5 para exterior de 25 metros de longitud.

Se dispusieron dos nodos secundarios con antenas omnidireccionales

de 9 dBi en el punto medio de las dos zonas más habitadas del

vecindario, unidos mediante un enlace WDS al nodo principal.

Un tercer nodo se dispuso en el edificio más alto de área a cubrir,

utilizando una antena sectorial de 120º de ancho de haz en lugar de una

omnidireccional. Este nodo se unió mediante WDS al nodo principal y a

los otros dos nodos secundarios, de forma que si se cae algún enlace la

red se capaz de rutar correctamente los paquetes de todos los nodos.

Figura 63.- Configuración elegida para la red de puntos de acceso




La red de acceso inalámbrica se une al servidor mediante un cable

ethernet de 25 metros entre éste y el nodo principal. La configuración de los

puntos de acceso y del servidor (con firewall incluido) se detalla en los apartados

siguientes.

El servidor dispone de dos interfaces de red, una de ellas unida al nodo

principal y la otra a la red interna de la asociación, la cual tiene acceso a

Internet. Por tanto, el servidor es el nexo de unión entre ambas redes, por lo que

se debe configurar un firewall que permita el acceso sólo a aquel usuario que

esté autenticado correctamente. En la siguiente imagen se muestra un esquema

de todos los componentes de la red.

Figura 64.- Esquema general de la red

5.5.2.2.1 Nodo principal

El nodo principal está compuesto por un punto de acceso unido a una

antena omnidireccional de 12 dB de ganancia mediante un cable coaxial de 8

metros de longitud.




El punto de acceso se colocó en una caja estanca en la base del mástil de

la antena de unos 8 metros de altura. Tanto el cable de alimentación como el

cable de red se protegieron de la intemperie mediante un tubo de plástico

corrugado.

Previamente, se configuró el punto de acceso tal y como se describe en

“Radioenlaces. Configuración de los puntos de acceso”, configurando los

enlaces WDS correspondientes. Igualmente se eligió la potencia de transmisión

en 11,69 mw, ya que es la potencia que hace que la P.I.R.E. no supere el límite

legal, tal y como se detalla en el apartado “Análisis de la potencia irradiada”.

La dirección IP del punto de acceso fue configurada con el valor

10.10.10.1.

5.5.2.2.2 Nodos secundarios con antena omnidireccional

Se colocaron dos nodos con antenas omnidireccionales de 9 dB de

ganancia. Son los nodos 3 y 4. El punto de acceso previamente configurado y la

antena omnidireccional se unen mediante un cable coaxial de sólo un metro de

longitud.

En este caso no es necesario cable ethernet, ya que el enlace con los

demás nodos se hará de forma inalámbrica mediante WDS. Aún así, se instaló

un cable de red por si alguna vez cayera la interfaz inalámbrica del punto de

acceso y hubiera que acceder a él a través de uno de los puertos ethernet.

El cable de alimentación se alargó soldando 10 metros de cable de pares

de 0.5 mm de grosor.

La potencia de transmisión del punto de acceso se configuró en 16,63 mw

tal y como se deduce en el apartado “Análisis de la potencia irradiada”.

Las direcciones IP utilizadas para los puntos de acceso fueron 10.10.10.3

para el nodo 3 y 10.10.10.4 para el 4.




5.5.2.2.3 Nodo secundario con antena sectorial

Este nodo está situado en el edificio más alto de la zona, que además se

sitúa en la cara oeste del área. Es por ello que se eligió una antena sectorial de

14 dB de ganancia y 120 º de ancho de haz horizontal, ya que es fundamental

que se transmita a la zona deseada y no se desperdicie potencia.

La instalación del nodo es parecida a los anteriores, excepto que en vez

de un mástil vertical se usó un mástil con forma de L anclado a la pared.

También se instaló un cable de red para recuperar el punto de acceso en caso

de caída de la interfaz inalámbrica.

La dirección IP asignada al punto de acceso fue la 10.10.10.2 y la

potencia de transmisión se estableció en 8,13 mw, tal y como se describe en el

apartado “Análisis de la potencia irradiada”.

5.5.2.3 Funcionamiento Lógico del sistema

Para entender mejor el sistema, vamos a describir los pasos que se

suceden desde que un usuario detecta la red hasta que se autentica y se le

asignan los privilegios de los que dispone. La configuración de todos los

elementos que hacen que el mecanismo que se va a explicar sea posible, se

describen en los apartados Configuración de los puntos de acceso y Instalación

y configuración del servidor. Por ahora, sólo detallaremos los pasos lógicos que

se llevan a cabo hasta conseguir la autenticación del usuario.

1. Un cliente detecta la red con el SSID “A.D.C. Los Colores”. Si es Socio

debe conocer la clave de encriptación compartida WPA, por lo que

podrá asociarse correctamente.

2. El servidor DHCP (configurado en el servidor) le proporciona una

dirección IP del rango de la red privada virtual creada por el portal

cautivo chillispot configurado en el servidor. En este caso la red

privada virtual es la 192.168.2.0.




3. El cliente abre el navegador y accede a una página web. Se crea por

tanto una petición TCP que es capturada por el servidor. Éste le

responde redireccionándolo a la la página web de bienvenida,

controlada por un servidor web, donde sólo dispondrá de dos

opciones:

11.. Entrar en la página web de la asociación.

22.. Entrar en el portal de acceso, donde se le pedirá las

credenciales correspondientes.

4. Al pulsar sobre el botón “Login”, se accederá al portal de acceso. Este

portal trabaja con encriptación extremo a extremo SSL, para que

ningún usuario de la red pueda capturar las credenciales de otros

usuarios. Debido a esto el cliente y el servidor intercambiarán

certificados digitales. Una vez hecho esto se requerirá el nombre de

usuario y contraseña. El usuario debe introducirlo y pulsar en el botón

aceptar.

5. Una vez introducido, el portal cautivo chillispot envía al servidor

RADIUS (configurado en el mismo servidor) una petición de

autenticación con las credenciales del usuario (Ver apartado RADIUS).

Éste busca esas credenciales en la base de datos llamada “radius” del

servidor mySQL (en el mismo servidor también) y devuelve al portal

cautivo un mensaje donde le indica si se le concede el acceso o no. En

caso afirmativo le envía también los siguientes atributos:

11.. Tiempo de conexión. Se le indica el tiempo de conexión que le

queda durante el día actual.

22.. Tasa de bajada. Según al grupo que pertenezca el usuario se

le asignarán 512 Kbps o 1Mbps como velocidad de bajada.




33.. Sesiones simultáneas. Según el usuario se le permitirá tener 1

o más sesiones al mismo tiempo.

6. El navegador abre una nueva instancia donde se le indica el tiempo

restante. Aparece además el botón logout, que deberá ser pulsado

cuando se finalice el acceso. Esta ventana deberá ser minimizada.

Figura 65.- Diseño y funcionamiento de la red

7. El servidor redirecciona al cliente a la página que había solicitado. A

partir de ese instante y hasta que decida finalizar el servicio o se le

agote el tiempo de conexión diario, el usuario dispondrá de acceso a la

red y conexión a Internet.

Todas estas acciones se hacen de forma transparente al usuario, es

decir, en su equipo no se tiene que instalar ningún software ni certificado digital.

Esto es así debido al uso de protocolos soportados por prácticamente todos los

navegadores web.

5.5.2.4 Radioenlaces. Configuración de los puntos de acceso

Como no existe la posibilidad de enlazar los puntos de acceso mediante

un cable ethernet, la única forma de realizarlo es la creación de radioenlaces




entre ellos, haciendo uso de la tenología WDS (Wireless Distribution System).

Esta tecnología tiene una desventaja: al usar cada punto de acceso una sóla

interfaz inalámbrica, la capacidad del sistema de divide por dos en cada uno de

ellos.

5.5.2.4.1 Cambio de Firmware

Los puntos de acceso elegidos (Linksys WRT54GL v1.1) no soportan esta

tecnología con el firmware de fábrica, por lo que debemos cargar un firmware

modificado (ver apartado Linksys WRT54GL v1.1 como punto de acceso). En

este proyecto se ha usado el firmware dd-wrt v23 SP2.

Para cargarlo, se conecta mediante cable ethernet el punto de acceso a

un pc. Se accede a la interfaz web del punto de acceso mediante un navegador,

por defecto http://192.168.1.1. Ponemos nombre de usuario (admin por defecto)

y contraseña (en blanco por defecto) y nos vamos a la sección de

administración. Dentro de esta sección está el apartado firmware update.

Accedemos y elegimos la versión mini del firmware dd-wrt v23 SP2. Es

importante que sea la versión mini, ya que ésta ocupa menos de 2 megas y

aunque el dispositivo tiene 4 MB no soportará en la primera actualización un

firmware mayor de 2 MB.

Figura 66.- Actualización del firmware

http://192.168.1.1/




Una vez actualizado a la versión mini, esperamos que el punto de acceso

se resetee y accedemos de nuevo a la interfaz web. En este caso el usuario por

defecto pasa a ser root, y el password admin. Una vez introducidos, nos

dirigimos al apartado Administración/Firmware upgrade e introducimos el

fimware dd-wrt v23 SP2 en su versión estándar.

Cuando se resetee el router, debemos acceder de nuevo a él y cambiar el

password por uno propio.

5.5.2.4.2 Configuración Básica

El servidor DHCP de la red de acceso va a estar gestionado por el

servidor, por lo que se desactivará este servicio en todos los puntos de acceso y

se le asignará una dirección IP a cada punto de acceso. Esto puede hacerse en

la interfaz web Setup/Basic Settings. En la red de acceso se han configurado 4

puntos de acceso, con las direcciones de red 10.10.10.1 a 10.10.10.4. En

cambio el servidor DHCP en el servidor se ha configurado en el rango

192.168.2.2-254, por lo que para acceder a los puntos de acceso es necesario

configurar nuestra dirección IP manualmente en el rango 10.10.10.0. Esto

reduce la posibilidad de intentos de intrusión en los routers, aumentando la

seguridad.

En este apartado es importante que rellenemos el campo nombre del

punto de acceso, ya que favorece la identificación.

5.5.2.4.3 Configuración Inalámbrica

A continuación configuramos los parámetros de la red inalámbrica que va

a dar servicio a los socios. Esto se hace desde el apartado inalámbrico de la

interfaz web (puede elegirse el idioma español en el apartado administración).

Como se ve se ha elegido el canal de transmisión 9, ya que tras escanear las

redes vecinas es el canal menos usado (sólo 1 red con potencia débil está en

dicho rango).




Figura 67.- Configuración Inalámbrica

En el apartado Seguridad Inalámbrica elegimos encriptación WPA con el

algoritmo TKIP, que es una mezcla perfecta entre seguridad y compatibilidad. Se

elige una clave compartida de más de 20 caracteres para evitar las

vulnerabilidades descritas en el apartado Vulnerabilidades WPA. Estos

parámetros deben ser exactamente iguales en todos los puntos de acceso, ya

que en caso contrario no se pueden configurar enlaces WDS.

Figura 68.- Configuración de seguridad inalámbrica




Finalmente en configuración avanzada, elegimos qué antena de las dos

disponibles se va a utilizar para la transmisión y recepción, así como la potencia

de transmisión.

Figura 69.- Configuración avanzada inalámbrica

Para cumplir la legislación vigente, necesitamos que cada punto de

acceso no supere los 100 mw de PIRE. Esto se consigue para valores de 16,63

mw cuando las antenas son omnidireccionales de 9 dBi, 11,69 mw para las de

12 dBi y 8,13 mw para la sectorial de 14 dBi. La explicación de estos valores se

encuentra en el apartado Análisis de la potencia irradiada.

5.5.2.4.4 Enlaces WDS

A continuación hay que configurar los enlaces WDS. Para ello

simplemente se accede al apartado WDS y se introducen las direcciones MAC

de los diferentes puntos de acceso tal y como se muestra en la figura.




Figura 70.- Configuración WDS en Linksys WRT54GL con firmware dd-wrt

Es importante que todos los puntos de acceso tengan el mismo canal y la

misma encriptación. Si utilizamos WPA los puntos de acceso deben tener el

mismo SSID a la fuerza, ya que éste se usa en el proceso de encriptación.

Además si queremos hacer roaming entre puntos de acceso es imprescindible

que sean iguales.

5.5.2.4.5 Calidad de servicio

Para dar prioridad al tráfico http en detrimento de tráfico de redes p2p,

accedemos al apartado Aplicaciones y Juegos/QoS. En este apartado podremos

configurar que tráfico es prioritario y qué direcciones IP son prioritarias.

Por defecto, desactivaremos el firewall del punto de acceso (Apartado

Seguridad/Firewall), ya que en nuestra red el firewall va a estar en el servidor.




Figura 71.- Configuración de calidad de servicio

5.5.2.4.6 Otras configuraciones

Es importante habilitar el servicio de administración mediante SSH, ya que

de esta forma podremos abrir una consola SSH en el punto de acceso, pudiendo

acceder al sistema operativo Linux mediante línea de comando. Esto es

necesario para hacer pruebas (tipo ping), para instalar nuevas aplicaciones o

para configuraciones que no pueden hacerse a través de la interfaz web. Para

ello debemos activar el servicio en el apartado Administración/Servicios. Una vez

activado, en Administración debes activar el acceso remoto mediante SSH.

Figura 72.- Configuración de reinicio automático de los puntos de acceso




Igualmente es importante hacer que el punto de acceso se reinicie

automáticamente al menos una vez al día, previniendo de esta forma un posible

mal funcionamiento o cuelgues de los mismos. Esto se puede configurar desde

el apartado Administración/Keep Alive.

5.5.2.5 Instalación y configuración del servidor

El servidor es la parte inteligente de la red, y es el encargado de

gestionarla y monitorizarla. Las funciones principales que debe hacer son:

Servidor DHCP

Portal cautivo

Servidor autenticación

Servidor web

Mantenimiento de usuarios

Registro de entradas al sistema y uso del mismo

Control de usuarios

Para realizar todas estas funcionalidades se ha hecho uso de software

libre completamente, por lo que no se ha tenido que adquirir ninguna licencia. A

continuación se lista el software utilizado. En los apartados sucesivos se

detallará la instalación y la configuración de los mismos.

El sistema operativo utilizado ha sido Ubuntu 8.04 LTS, que es un

sistema operativo Linux basado en debian.

Como portal cautivo y DHCP se ha elegido chillispot, debido a que

permite trabajar con un servidor RADIUS para la autenticación.

El servidor de autenticación utilizado ha sido freeradius, el cual soporta

autenticación con LDAP, CHAP y SQL. Ésta última es la que usaremos




nosotros, instalando el paquete mysql Server. También cuenta con un

gestor web php para la gestión de los usuarios y estadísticas de uso. Su

nombre es Dial Up Admin.

Como servidor web se ha elegido apache2.

Para implementar el firewall se ha utilizado iptables, que ya viene

integrado en la mayoría de los núcleos Linux actuales.

Para implementar el sistema ha sido necesario instalar una segunda

tarjeta de red, ya que se necesitan dos interfaces. Una conectada a los puntos

de acceso (interfaz eth1) y la otra conectada a la red interna de la asociación

(interfaz eth0).

5.5.2.5.1 Instalación y configuración de la distribución Ubuntu

Una copia de la última distribución Ubuntu puede obtenerse de

http://www.ubuntu.com/. En este proyecto se ha utilizado la edición Desktop

alternate, pero podría haberse utilizado la edición Server. La principal diferencia

es que la edición Server no instala el interfaz gráfico.

Una vez que tenemos la imagen de la edición de Ubuntu grabada en un

CD, iniciamos el servidor y modificamos los parámetros de arranque para que lo

haga desde la unidad del CD-ROM. Comenzará de esta forma la instalación. Sin

entrar en detalles es esta instalación (para ello puede consultarse la página web

https://help.ubuntu.com/8.04/serverguide/C/index.html), mencionar que habrá

que hacer una partición para el área de intercambio (El tamaño será el doble de

la memoria RAM, en nuestro caso 4GB) y otra con el sistema de archivos ext3,

que es el usado por Linux. Activaremos la marca de arranque en la partición ext3

para que el gestor de arranque Grub pueda iniciarse.

En la edición Server se nos preguntará qué grupo de tareas queremos

instalar por defecto. En este proyecto de ha utilizado la tarea LAMP Server

(instala apache, mySQL y PHP Server) y SSH Server (Para poder administrar

http://www.ubuntu.com/

https://help.ubuntu.com/8.04/serverguide/C/index.html




remotamente el servidor). En la edición Desktop estas tareas no se instalan por

defecto y habrá que instalarlas manualmente con el comando tasksel, como se

verá más adelante.

En el servidor se han instalado dos discos duros iguales para poder hacer

RAID 1 mediante software y evitar que si un disco duro se cae, se caiga con él

todo el sistema. Esto se configura al hacer el particionado de los discos tal y

como se explica a continuación.

5.5.2.5.2 Configuración de RAID 1

Cuando en la instalación se nos pregunte por el modo de particionado

debemos elegir manual, y realizar los siguientes pasos:

1. En ambos discos duros, elegimos la opción de crear una tabla de

partición nueva.

2. Elegimos crear una partición en el espacio libre. Seleccionamos todo

el espacio disponible menos 4 GB, que dejaremos para la partición

swap o área de intercambio.

3. Seleccionamos en el apartado usar como: "physical volume for RAID"

4. Seleccionamos el punto de montaje en el directorio raiz: “\”

5. Activamos la marca de arranque y guardamos los cambios.

6. En el espacio libre que hemos dejado, crear otra partición y elegir en

usar como “área de intercambio”. Guardar los cambios en la partición.

7. Hacer exactamente lo mismo con el segundo disco duro.

8. Una vez completado el particionado de los dos discos duros,

seleccionamos la opción “Configurar software RAID”

9. Seleccionamos “Create a new MD Drive” y seleccionamos RAID 1.




10. Seleccionamos 2 unidades y elegimos las particiones en las que

queremos hacer RAID. En nuestro caso sda1 y sdb1.

11. El equipo comenzará a replicar una partición en la otra. Cuando

finalice ya tendremos finalizado la configuración de RAID 1.

Si el disco duro principal cae, podremos arrancar el sistema desde el

segundo disco duro, ya que tendremos todos los datos tal y como estaban en el

disco duro estropeado. El único problema es que no tenemos el gestor de

arranque en el disco duro de respaldo. Para tenerlo, una vez que el sistema esté

instalado y funcionando debemos copiarlo, ejecutando para ello las siguientes

instrucciones:

5.5.2.5.3 Configuración de las interfaces de red

Una vez que tengamos el sistema instalado, debemos crear una

contraseña para el usuario root, actualizar el sistema e instalar las tareas LAMP

Server y SSH Server si no lo hemos hecho ya:

Para configurar las dos interfaces de red (eth0 y eth1), debemos editar el

archivo interfaces:

Lo configuramos de la siguiente manera:

sudo passwd root #Esta orden crea una contraseña para root sudo apt-get update sudo apt-get upgrade #Actualiza los paquetes y el repositorio tasksel #Con esta orden accedemos al menú de tareas. Seleccionaremos LAMP Server y SSH Server

nano -w /etc/network/interfaces

auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto eth1

> sudo grub grub> device (hd1) /dev/sdb grub> root (hd1,0) grub> setup (hd1) grub> quit




De esta forma estamos configurando el interfaz eth0 para que obtenga

una dirección IP del router ADSL, dejando la interfaz eth1 (que estará conectada

a los puntos de acceso) a merced del portal cautivo, que será el que la

administre.

Se necesita habilitar la función packet forwarding, para lo que debe

editarse el archivo:

Debe añadirse al final la línea.

A continuación, para evitar reiniciar tendremos que ejecutar los siguientes

comandos:

Para finalizar con las interfaces de red, debemos habilitar el módulo tun,

ya que este permitirá a chillispot hacer un “túnel” entre las interfaces eth0 y la

red virtual que crea en eth1.

5.5.2.5.4 Configuración del portal cautivo Chillispot

Para instalar chillispot debemos descargarnos el paquete desde

www.chillispot.info, o usar la utilidad aptitude:

Cuando se instale, se requerirán los parámetros de configuración de

chillispot. Veamos cuáles son:

Dirección IP del servidor RADIUS.- En nuestro caso vamos a instalar

freeradius en la misma máquina, por lo que pondremos la dirección de

loopback 127.0.0.1.

nano -w /etc/sysctl.conf

net/ipv4/ip_forward=1

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward sudo /etc/init.d/networking restart

nano -w /etc/modules

tun #añadimos esta línea al final para cargar el módulo en el núcleo al reiniciar

sudo modprobe tun #Con esta orden lo cargamos directamente sin tener que reiniciar

sudo apt-get install chillispot

http://www.chillispot.info/




Secreto compartido RADIUS.- Aquí pondremos la clave que vayamos a

usar como secreto compartido. Debemos memorizarla o anotarla, ya que

debemos usarla cuando configuremos freeradius.

Interfaz de red para escuchar peticiones DHCP.- Es la interfaz donde

están conectados los puntos de acceso. En este caso era eth1.

Dirección del servidor UAM. Esta es la dirección del servidor web donde

está albergada la página que se le muestra a los usuarios en su

navegador para proceder a la autenticación. En este caso, escribiremos

https://192.168.2.1/cgi-bin/hotspotlogin.cgi, ya que crearemos un host

virtual y le asignaremos la dirección 192.168.2.1. Puede consultarse en

la configuración de apache más adelante.

Secreto compartido entre chillispot y el servidor web, aquí elegiremos

una clave a usar. Debemos recordarla porque tendremos que indicarla

en el código de la página web de autenticación.

Una vez configurado estos campos, tendremos que habilitar chillispot.

Para ello hacemos:

Ahora editamos el archivo chilli.conf, donde están los parámetros que

hemos introducido antes y otros que nos interesa cambiar:

Este archivo debe quedar de la siguiente manera:

nano -w /etc/default/chillispot

ENABLED=1

nano -w /etc/chilli.conf

net 192.168.2.0/24 #Le decimos que la red privada a virtual sea la 192.168.2.0 #dns1 192.168.2.1 #dns2 192.168.2.1 domain domain.org # Elegimos el dominio que queramos radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 #Por si hay un servidor de respaldo en caso de caida radiussecret radiussecret #Aquí estará el secreto compartido que hayamos elegido dhcpif eth1 uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi uamhomepage http://192.168.2.1/InicioLogin.html #Esta es la página de bienvenida creada uamsecret uamsecret uamlisten 192.168.2.1 #La dirección perteneciente a la red virtual elegida que queremos tenga las interfaz uamallowed www.adcloscolores.com,192.168.2.0/24 #Lo que se permite observer sin autenticación

https://192.168.2.1/cgi-bin/hotspotlogin.cgi




Finalmente debemos iniciar el servicio chillispot.

5.5.2.5.5 Configuración del firewall

En el paquete chillispot, existe un archivo con reglas tipo iptables ya

creadas. Usaremos estas mismas reglas y añadiremos una más para permitir

administrar remotamente el servidor mediante SSH desde la interfaz eth1, ya

que por defecto está inhabilitado. Para ello tendremos que abrir el puerto 22 tcp.

Veamos como se crearon las reglas y se activaron.

Copiamos las reglas de la siguiente manera:

Por defecto, estas reglas están creadas para las interfaces eth0 y eth1,

donde eth0 es la interfaz conectada a Internet y eth1 es la interfaz conectada a

los puntos de acceso. En nuestro caso esto es así y no necesitamos cambiar

nada en el archivo iptable.

Veamos como es el archivo chilli.iptable y como se añade la regla para

permitir administración remota por SSH en la interfaz eth1:

sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables sudo chmod a+x /etc/init.d/chilli.iptables sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables

sudo /etc/init.d/chillispot start

nano -w /etc/init.d/chilli.iptables

IPTABLES="/sbin/iptables" EXTIF="eth0" INTIF="eth1" $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT #Allow related and established on all interfaces (input) $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Allow releated, established and ssh on $EXTIF. Reject everything else. $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT #La añadimos para SSH $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT #La añadimos para telnet $IPTABLES -A INPUT -i $EXTIF -j REJECT

#Allow related and established from $INTIF. Drop everything else. $IPTABLES -A INPUT -i $INTIF -j DROP …… continua




5.5.2.5.6 Configuración del servidor RADIUS y mySQL

Primero hay que instalar los siguientes paquetes:

A continuación se crea la base de datos que usaremos para comprobar

las credenciales. La llamaremos “radius”:

A continuación, copiamos la estructura de base de datos de ejemplo que

viene en la documentación de freeradius:

Editamos el archivo de configuración sql para indicarle el servidor, usuario

y contraseña.

mysql -u root -p Enter password: #Introducimos la clave que elegimos para el servidor mySQL mysql> CREATE DATABASE radius; mysql> quit

sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin

zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius Enter password: #xxxxxxxxxxxxx mysql -u root -p Enter password: #xxxxxxxxxxxxx mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret'; mysql> FLUSH PRIVILEGES; mysql> quit

nano -w /etc/freeradius/sql.conf

server = "localhost" login = "radius" password = "mysqlsecret"

#………….. #Allow http and https on other interfaces (input). #This is only needed if authentication server is on same server as chilli $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT #Allow 3990 on other interfaces (input). $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT #Allow everything on loopback interface. $IPTABLES -A INPUT -i lo -j ACCEPT # Drop everything to and from $INTIF (forward) # This means that access points can only be managed from ChilliSpot $IPTABLES -A FORWARD -i $INTIF -j DROP $IPTABLES -A FORWARD -o $INTIF -j DROP #Enable NAT on output device $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE




En el archivo de configuración clients.conf se indican los clientes que van

a realizar peticiones RADIUS y con qué secreto compartido. En nuestro caso

será el propio servidor por lo que el archivo queda:

Por defecto, freeradius viene configurado para contrastar las credenciales

con un archivo de texto llamado users. Para que contraste las credenciales con

el servidor SQL, habrá que indicarlo en el archivo de configuración radiusd.conf,

para ello lo editamos y lo modificamos. Simplemente hay que comentar en la

parte de autorización la línea donde está “files” y quitarle el comentario a “sql”:

Para poder utilizar Dial Up Admin (se verá más adelante), necesitaremos

hacer lo siguiente:

nano -w /etc/freeradius/clients.conf

client 127.0.0.1 secret = radiussecret

nano -w /etc/freeradius/radiusd.conf

authorize preprocess # auth_log # attr_filter chap mschap # digest # IPASS suffix # ntdomain eap # files sql # etc_smbpasswd # ldap # daily # checkval

nano -w /etc/freeradius/sql.conf

sql driver = "rlm_sql_mysql" server = "localhost" login = "radius" password = "mysqlsecret" radius_db = "radius" [...] # Set to 'yes' to read radius clients from the database ('nas' table) readclient = yes # Tendremos que poner este parámetro a yes




Para añadir un usuario a la base de datos, haremos:

Podemos probar que el servidor RADIUS funciona bien con la utilidad

radtest:

El servidor RADIUS nos devuelve el siguiente mensaje si todo está bien

configurado:


$INCLUDE $confdir/sql.conf authorize preprocess chap suffix eap #files sql accounting detail radutmp sql #Introducir sql aquí. Esto creará logs en las tablas de la base datos radius session sql #Igual que para accounting, queremos que se registren las sesiones en la base de datos

echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');" | mysql -u radius -p radius Enter password: xxxxxxxxxxxx

sudo /etc/init.d/freeradius restart #Reiniciamos freeradius

sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret

Sending Access-Request of id 180 to 127.0.0.1 port 1812 User-Name = "mysqltest" User-Password = "testsecret" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20




5.5.2.5.7 Configuración del servidor web apache

Debe instalarse la tarea LAMP Server si no está instalada mediante el

comando tasksel. Después, creamos la página de login copiando la que viene

con el paquete chillispot:

Editamos el script, y ponemos el secreto del srvidor UAM que

configuramos en Chillispot:

Para la autenticación mySQL, es necesario instalar y activar el módulo

apache:

Como vamos a usar conexiones SSL para la página de login, tendremos

que instalar el módulo SSL.

A continuación, habrá que hacer un certificado SSL que será utilizado por

el host virtual que crearemos más adelante. El sistema preguntará por una serie

de parámetros (Localidad, Provincia, etc.), siendo el más importante el nombre

del host. En este pondremos “192.168.2.1”. De esta forma conseguiremos que el

nombre del host y el del certificado coincidan, ya que los navegadores dan

avisos de posibilidad de intrusión en caso de que no coincidan:

Activamos el módulo ssl y recargamos apache2 de nuevo:

sudo mkdir -p /var/www/hotspot/cgi-bin zcat -c /usr/share/doc/chillispot/hotspotlogin.cgi.gz | sudo tee /var/www/hotspot/cgi-bin/hotspotlogin.cgi sudo chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi

nano -w /var/www/hotspot/cgi-bin/hotspotlogin.cgi

$uamsecret = "uamsecret"; $userpassword=1;

sudo apt-get install libapache2-mod-auth-mysql

sudo apt-get install ssl-cert sudo mkdir /etc/apache2/ssl

sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

sudo a2enmod ssl /etc/init.d/apache2 force-reload




A continuación creamos el host virtual:

Para activar el host virtual creado:

Para que el servidor escuche el puerto 80 (http) y el 443 (https), debemos

añadir dos líneas al archivo ports.conf:

sudo nano -w /etc/apache2/sites-available/hotspot

NameVirtualHost 192.168.2.1:443 <VirtualHost 192.168.2.1:443> ServerAdmin [email protected] DocumentRoot "/var/www/hotspot" ServerName "192.168.2.1" <Directory "/var/www/hotspot/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> Alias "/dialupadmin/" "/usr/share/freeradius-dialupadmin/htdocs/" <Directory "/usr/share/freeradius-dialupadmin/htdocs/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /var/www/hotspot/cgi-bin/ <Directory "/var/www/hotspot/cgi-bin/"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/hotspot-error.log LogLevel warn CustomLog /var/log/apache2/hotspot-access.log combined ServerSignature On SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem </VirtualHost>

sudo a2ensite hotspot /etc/init.d/apache2 reload

nano -w /etc/apache2/ports.conf




Modificamos el archivo default:

Añadimos el servidor creado en el archivo de configuración apache2.conf:

Editamos el archivo hosts para incluir el que se ha creado:

Reiniciamos apache2:

Ahora, debemos poder entrar en la página de login https://192.168.2.1/cgi-

bin/hotspotlogin.cgi. Esta es la página que configuramos antes en chillispot como

servidor UAM.

Sólo nos queda reiniciar el sistema y ya tendremos el servidor

configurado. Sólo nos queda instalar Dial Up admin.

5.5.2.5.8 Configuración del administrador radius Dial Up admin.

Dial Up Admin es una herramienta programada en php que nos permite

administrar los usuarios, grupos, estadísticas, etc. desde una interfaz web. Su

instalación es sencilla y se llevó a cabo de la siguiente manera:

192.168.2.1 host.name host #Ponemos el nombre del host

Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>

sudo nano -w /etc/apache2/sites-available/default

NameVirtualHost *:80 <virtualhost *:80>

nano -w /etc/apache2/apache2.conf

ServerName 192.168.2.1

nano -w /etc/hosts

sudo /etc/init.d/apache2 restart






Indicamos en el archivo de configuración de Dial Up Admin “admin.conf”

los parámetros de la base de datos mySQL con la que trabaja radius:

Ya podremos acceder a la página de administración de Dial Up Admin, en

https://192.168.2.1/dialupadmin/index.html. Para generar una contraseña de

administrador y restingir el acceso hacemos:

Añadimos el usuario admin con su contraseña y reiniciamos apache:

Ahora le indicamos a Dial Up Admin qué servidores tiene que gestionar.

En nuestro caso solo le indicaremos 1, pero podrían gestionarse muchos más:

sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/badusers.sql | mysql -u radius -p radius mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/mtotacct.sql mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/totacct.sql sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/userinfo.sql | mysql -u radius -p radius

nano -w /etc/freeradius-dialupadmin/admin.conf

general_domain: dominio.org general_radius_server_secret: radiussecret general_encryption_method: clear sql_username: radius sql_password: mysqlsecret #sql_debug: true

nano -w /etc/apache2/sites-available/hotspot

<Directory "/usr/share/freeradius-dialupadmin/htdocs"> ... AuthName "Restricted Area" #Añadimos estos parámetros para que el acceso sea pr contraseña AuthType Basic AuthUserFile /etc/apache2/.htpasswd #Le indicamos que archive vamos a usar para guarder a los usuarios require valid-user </Directory>

sudo htpasswd -bcm /etc/apache2/.htpasswd admin adminsecret sudo /etc/init.d/apache2 restart

nano -w /etc/freeradius-dialupadmin/naslist.conf

nas1_name: nas1.%general_domain nas1_type: other nas1_model: ChilliSpot nas1_ip: 0.0.0.0 nas1_finger: database

https://192.168.2.1/dialupadmin/index.html

https://192.168.2.1/dialupadmin/index.html




5.5.2.5.9 Configuración de parámetros especiales en RADIUS

A continuación se explica como configurar en RADIUS el uso simultáneo

de sesiones (o su restricción a una sóla sesión) y el límite de tasa de bajada.

Primero accedemos al archivo de configuración sql.conf:

Una vez echo esto, tendremos que crear el parámetro use simultaneous

en la tabla radreply y radgroupreply de la base de datos RADIUS. Se lo

asignamos a los usuarios y/o grupos correspondientes dándole el valor de uno,

dos, etc. Por defecto sólo se permitirá una sesión simultánea, por lo que el valor

será uno. Esto puede hacerse usando DialUp Admin y sus archivos de

configuración:

# Uncomment simul_count_query to enable simultaneous use checking simul_count_query = "SELECT COUNT(*) \ #Quitamos el comentario a esta línea #FROM $acct_table1 \ #WHERE UserName='%SQL-User-Name' \ #AND AcctStopTime = 0" simul_verify_query = "SELECT RadAcctId, AcctSessionId, UserName, \ NASIPAddress, NASPortId, FramedIPAddress, \ CallingStationId, FramedProtocol \ FROM $acct_table1 \ WHERE UserName='%SQL-User-Name' \ AND AcctStopTime = 0"

nano -w /etc/freeradius-dialupadmin/user_edit.attrs

nano –w /etc/freeradius/sql.conf

# # Attributes which will be visible in the user/group edit pages # # Format: Attribute Comment # # #Auth-Typ <a href="help/auth_type_help.html" target=su_help onclick=window.open("help/auth_type_help$ Simultaneous-Use <a href="help/simultaneous_use_help.html" target=su_help onclick=window. open("help/simulta$ #Se ha quitado el comentario a la línea Simultaneous-Use Framed-Protocol <a href="help/framed_protocol_help.html" target=fpr_help onclick=window.open("help/framed_$ Framed-IP-Address <a href="help/framed_ip_address_help.html" target=fia_help onclick=window.open("help/frame$ Framed-IP-Netmask IP Netmask #Framed-Route Route #Framed-Routing #Filter-Id <a href="help/filter_id_help.html" target=fid_help onclick=window.open("help/filter_id_hel$ Framed-MTU <a href="help/framed_mtu_help.html" target=fid_help onclick=window.open("help/framed_mtu_h$ Framed-Compression <a href="help/framed_compression_help.html" target=fc_help onclick=window.open("help/frame$ Service-Type <a href="help/service_type_help.html" target=st_help onclick=window.open("help/service_typ$ #Login-IP-Host #Login-Service




Además del uso simultáneo, se han usado los siguientes parámetros:

Max-Daily-Session Límite Diario (en segundos)

Max-Monthly-Session Límite mensual (en segundos)

WISPr-Bandwidth-Max-Down Máxima tasa de bajada (en bps)

WISPr-Bandwidth-Max-Up Máxima tasa de subida (en bps)

Los dos primeros parámetros sólo tendremos que decomentarlos en el

archivo de configuración antes descrito. En cambio los dos últimos (límites de

bajada y subida), tendremos que crear las líenas nosotros mismos.

Finalmente, tendremos que colocar los contadores diarios y mensuales en

la parte de autorización y accounting del archivo radiusd.conf para que funcione

correctamente. Estos contadores no hacen falta crearlos, sino que vienen ya

creados en el propio archivo de configuración radius.conf, bajo las funciones

sqlcounter dailycounter() y sqlcounter monthlycounter().

5.5.2.6 Colocación de puntos de acceso y antenas

Para colocar los puntos de acceso en las partes altas de las viviendas, se

ha utilizado el siguiente material:

Punto de acceso Linksys WRT54GL previamente configurado


authorize # (...) sql dailycounter monthlycounter # some module to restrict bandwidth if overvap is set, e.g.: # users # (...) ……… accounting # (...) dailycounter monthlycounter




Antena omnidireccional 9 dBi

Pigtail de 1 metro de longitud. Tipo de cable LMR400 de bajas pérdidas.

Cajas estanca bajo el estándar IP55.

Mástil de 1,5 metros.

Bridas de sujeción.

Se ha aprovechado que en las casas de los vecinos hay instalada una

antena de UHF con un mástil. Por tanto el procedimiento seguido ha sido colocar

todos los componentes en el mástil adquirido y encajarlo en el que ya está

instalado, o unirlo a éste con las bridas. Se ha dejado un cable de red conectado

al punto de acceso por si se cayera el interfaz inalámbrico y necesitáramos

conectarnos al punto de acceso vía ethernet.

Para alimentar el punto de acceso, se ha alargado el cable de

alimentación continua y se deja enchufado el transformador en casa del vecino.

Para conseguir aislar la caja estanca del sol por unas horas y evitar el

sobrecalentamiento del punto de acceso, se le ha provisto una chapa en la parte

superior de la caja, orientada al sol, de forma que provea de sombra a la caja en

las horas de más calor.

Figura 73.- Instalación de una de las antenas en el tejado de la casa de un vecino




5.5.2.7 Análisis de la potencia irradiada

La legislación vigente en España limita la P.I.R.E. (Potencia Isotrópica

Radiada Equivalente) a 100 mw en la banda de 2.4 GHz utilizada en este

proyecto. Por tanto debemos tener presente en el diseño este límite, así como la

antena y potencia de transmisión a la antena para no superar este límite en

ninguno de los nodos.

El parámetro de diseño ajustable es la potencia de salida de los puntos de

acceso, que podremos ajustarla al valor que garantice la no superación del límite

legal. Este ajuste es posible gracias al firmware usado en los puntos de acceso,

que permite esta opción. Interesa que la ganancia de la antena sea lo más alta

posible, a costa de disminuir la potencia a la salida del punto de acceso, ya que

al tener las antenas la propiedad de reciprocidad, estamos aumentando la

potencia en recepción a medida que aumentamos la ganancia de la antena. En

cambio, al aumentar la potencia de transmisión en el punto de acceso no

influimos en la recepción.

Para calcular la P.I.R.E., se ha seguido el esquema de la figura para los

diferentes nodos. La restricción será que Ps no supere los 100 mw.

Figura 74.- Esquema utilizado para el cálculo de la PIRE

La ecuación que se usará por tanto para el cálculo es la siguiente:

Punto de acceso

Punto de acceso ConectorConector CoaxialCoaxial ConectorConector

Ps

Lc Lcoax Lc

GPe

GLcLcoaxLcdBmPedBmPs +−−−= )()(




5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB

En este caso tenemos una antena omnidireccional de 12 dB de ganancia

y 8 metros de cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.

La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. Los

8 metros de cable tienen una pérdida total de 1,68 dBm.

Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw

ó 20 dBm, calculemos cuánto debe ser la potencia a la salida del punto de

acceso (Pe).

20 dBm= Pe(dBm)-0,5-1,68-0,5+12

Pe(dBm)=10,68

Pe=11,69 mw

5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB

En este caso tenemos una antena sectorial de 14 dB de ganancia y 10

metros de cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.

La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. La

pérdida total del cable coaxial es de 2,2 dB. Como queremos que la potencia a la

salida de la antena (Ps) sea 100 mw ó 20 dBm, calculemos cuánto debe ser la

potencia a la salida del punto de acceso (Pe).

20 dBm= Pe(dBm)-0,5-2,1-0,5+14

Pe(dBm)=9,1

Pe=8,13 mw

5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi

En este caso tenemos una antena omnidireccional de 9 dB y 1 metro de

cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.




La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB.

Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw ó 20

dBm, calculemos cuánto debe ser la potencia a la salida del punto de acceso

(Pe).

20 dBm= Pe(dBm)-0,5-0,21-0,5+9

Pe(dBm)=10,68

Pe=16,63 mw

5.5.3 Fase II

En esta fase, aún por realizar se pretende aumentar la capacidad y

cobertura del sistema. Para ello se colocará un nuevo punto de acceso principal

unido al anterior mediante cable ethernet. El nuevo nodo usará una frecuencia

que no solape con el sistema instalado en la fase I, de forma que se duplique la

capacidad del sistema.

Figura 75.- Diseño de la red propuesto para la fase II

Los nodos principales se dotarán de sendas antenas sectoriales, para de

esta forma sectorizar la cobertura y aumentar la capacidad. Los nodos

secundarios se unirán a unos de los principales según en qué parte de la zona

Nodo Principal 2

Nodos Secundarios 2

Antena sectorial

Antena omnidireccional

Enlaces principales 1

Enlaces secundarios 2

Nodos Secundarios 1

Nodo Principal 1

Enlaces secundarios 1

Enlaces principales 2




se encuentren (Ver figura). Igualmente se proveerá al sistema inalámbrico de

enlaces secundarios redundantes que lo doten de mayor fiabilidad.

La configuración es similar a la ya descrita en la fase I, por lo que no

entraremos en detalle, sino que se remite al lector al apartado Fase I.

Simplemente se configuraría los puntos de acceso enlazados con el nuevo nodo

principal en el canal 2 y se dejaría los demás en el canal 9. Lo demás se hace

exactamente igual que lo explicado anteriormente.

5.5.4 Fase III

En esta fase se pretende añadir nuevas funcionalidades a la red. Aún está

en estudio y queda fuera del alcance del proyecto.

5.6 Presupuesto

El presupuesto para el proyecto es directamente proporcional a los nodos

que se vayan a instalar. Por tanto, para conocer el coste de cada fase hay que

saber el coste de un nodo.

Un nodo se compone de:

Punto de Acceso.- El punto de acceso elegido es el Linksys WRT54G.

La razón de esta elección se encuentra en que Linksys es una empresa

asociada a Cisco, el precio es muy asequible y funciona con Linux, por lo

que pueden añadírsele infinidad de funcionalidades a posteriori y

convertirlo en un punto de acceso de increíbles prestaciones para su

precio. Su precio en el mercado es de 70 €.

Mástil, Caja estanca y cables.- La antena debe ir colocada sobre un

mástil que la fije. El punto de acceso también irá sobre el mástil, ubicado

en una caja estanca para protegerlo de la lluvia. El punto de acceso

necesitará ir alimentado mediante un cable de corriente y la antena se

conectará al punto de acceso mediante un cable pigtail, cable coaxial




(impedancia 50Ω) y conectores tipo N. Todo ello asciende a un coste de

unos 50 € por nodo.

Antenas.- Normalmente se necesitará una antena sectorial o

omnidireccional (según la situación del nodo) y una antena direccional

para realizar el enlace con el nodo principal. En algunos casos con una

antena será suficiente, por lo que el precio de la/s antena/s oscilará/n

entre 60 y 140 €.

Por tanto, un nodo secundario tendrá un coste de 180 € como mínimo y

270 € como máximo. Para reducir costes se ha intentado que los nodos tengan

visión directa entre sí para poder prescindir de las antenas direccionales,

realizando el enlace y ofreciendo cobertura con la misma antena. Esta no es la

mejor solución en cuanto a capacidad y calidad, pero sí lo es en cuanto a coste.

De estas y más opciones se habla en el apartado Consideraciones Iniciales.

5.6.1 Presupuesto para la fase I y II

En la tabla siguiente se muestra un desglose de los componentes

utilizados en la fase I del proyecto.

Tabla 6.- Presupuesto para la fase I

En el caso de la fase II, necesitaremos exactamente el mismo

presupuesto, ya que se trata de formar otra red aparte unida a la primera

mediante un cable ethernet entre sus nodos principales, como se muestra en el

Producto Cantidad Precio ImportePunto de acceso Linksys WRT54GL 4 70 280Antena omnidireccional 9 dB 2 60 120Antena omnidireccional 12 dB 1 70 70Antena sectorial 14 dB 120º 1 130 130Bobina 100m ethernet CAT5 UTP exterior 1 51,25 51,25Mástil y bridas de agarre 3 12 36Cajas estanca Gewiss IP55 4 25 100Pigtail 8 metros LMR400 1 50 50Pigtail 1 metro LMR400 3 25 75Cable de pares 0,5 mm grosor 1 35 35Crimpadora RJ45 y conectores 1 20 20TOTAL 967,25




apartado Fase II. De hecho el presupuesto va a ser ligeramente superior al

colocar 2 antenas sectoriales en los nodos principales, para aumentar la

capacidad del sistema sectorizando la cobertura. El presupuesto de los

dispositivos en la fase II se resume en la siguiente tabla:

Tabla 7.- Presupuesto para la fase I

En el presupuesto expuesto anteriormente, sólo se ha tenido en cuenta el

coste de los dispositivos, ya que es la única inversión que va a hacer la

asociación. Para comprender la envergadura del proyecto se expone el coste

real del mismo incluyendo todos los conceptos restantes por el que facturaría

una empresa de ingeniería (diseño, montaje, mantenimiento, montaje, etc.).

Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociación

Producto Cantidad Precio ImportePunto de acceso Linksys WRT54GL 4 70 280Antena omnidireccional 9 dB 2 60 120Antena sectorial 14 dB 120º 2 130 260Bobina 100m ethernet CAT5 UTP exterior 1 51,25 51,25Mástil y bridas de agarre 3 12 36Cajas estanca Gewiss IP55 4 25 100Pigtail 8 metros LMR400 1 50 50Pigtail 1 metro LMR400 3 25 75Cable de pares 0,5 mm grosor 1 35 35Crimpadora RJ45 y conectores 1 20 20TOTAL 1027,25

Presupesto Real Presupuesto asociaciónConcepto a facturar

1500 €

900 €

1200 €

1500 € Anuales

2400 – 3000 €

0 €

0 €

0 €

0 €

1994,5 € (Fases I y II)

Diseño de la red

Montaje de nodos

Configuración del servidor

Mantenimiento

Hardware




6 Anexos El anexo a este proyecto lo constituye el DVD que lo acompaña, ya que

en este DVD se puede encontrar:

Esta memoria.

Software utilizado en este proyecto, incluidas las versiones de Ubuntu.

Libros electrónicos sobre wireless.

Especificaciones técnicas de cables LMR.

Recomendaciones 802.11

Enlaces a páginas web sobre wireless.

Etcétera.




7 Bibliografía utilizada Bruce E. Alexander, “802.11 Wireless Network Site Surveying and Installation”, Noviembre de 2004.

Matthew S. Gast, “802.11® Wireless Networks: The Definitive Guide”.

Hui Liu, Guoqing Li, “OFDM-Based Broadband Wireless Networks, Design and Optimization”, 2005.

Daniel Minoli, “Hotspot Networks: Wi-Fi for Public Access Locations”, 2003.

Ron Olexa, “Implementing 802.11, 802.16, and 802.20 Wireless Networks. Planning, Troubleshooting and Operations”, 2005.

Pejman Roshan, Jonathan Leary, “802.11 Wireless LAN Fundamentals”, Diciembre 2003.

“Redes Inalámbricas en los Países en Desarrollo”, Enero de 2006.

Jim Aspinwall, “Installing, Troubleshooting, and Repairing Wireless Networks”, 2003.

José María Hernando Rábanos, “Transmisión por Radio”, Junio de 1998.

John G. Proakis, “Digital Communications”, 1989

IEEE 802.11Working Group, http://grouper.ieee.org/groups/802/11/index.html.

R. Baird y M. Lynn, “Advanced 802.11 Attack”, Julio 2002.

Hakin9, revista de seguridad informática. http://www.hakin9.org/

.

http://grouper.ieee.org/groups/802/11/index.html

http://www.hakin9.org/




8 Índices de tablas y figuras

8.1 Índice de figuras Figura 1. Familia IEEE 802 y su relación con el modelo OSI________________________ 9 Figura 2. Modelo de etiqueta de certificado Wi-Fi _______________________________ 14 Figura 3.- Técnica FHSS ___________________________________________________ 17 Figura 4.- Secuencia de Barker ______________________________________________ 18 Figura 5.- Canales utilizables para DSSS ______________________________________ 19 Figura 6. Suportadotas de un canal OFDM de 20 MHz ___________________________ 22 Figura 7. Canales Operativos 802.11a ________________________________________ 23 Figura 8. Funcionamiento de CSMA/CA _______________________________________ 29 Figura 9. Problema del nodo escondido _______________________________________ 30 Figura 10.- Funcionamiento del protocolo basado en reserva del canal ______________ 31 Figura 11. Formato de trama MAC y trama de control____________________________ 32 Figura 12. Estados y transiciones para la autenticación de un cliente ________________ 34 Figura 13.Ejemplo de red inalámbrica con topología de infraestructura ______________ 36 Figura 15. Configuración de radiocanales en 802.11b y g _________________________ 48 Figura 16. Configuración de radiocanales para el estándar 802.11a _________________ 48 Figura 17. Eficiencia MAC para los diferentes estándares _________________________ 62 Figura 18.Ejemplo de guías de onda __________________________________________ 64 Figura 19. Cable coaxial de radiación_________________________________________ 64 Figura 20. Estructura de un cable coaxial ______________________________________ 65 Figura 21. Conector tipo BNC _______________________________________________ 67 Figura 22. Conector TNC hembra y macho _____________________________________ 67 Figura 23. Conector N hembra y macho _______________________________________ 68 Figura 24. Conectores SMA macho y hembra ___________________________________ 68 Figura 25. Conectores SMB hembra y macho ___________________________________ 69 Figura 26. Conector RP-TNC hembra y macho __________________________________ 69 Figura 27. Conector U.FL hembra y macho ____________________________________ 70 Figura 28. Conector MMCX y MMCX RP ______________________________________ 70 Figura 29. Diagrama de radiación de una antena Yagi en coordenadas rectangulares ___ 74 Figura 30. Diagrama de radiación de una antena Yagi en coordenadas polares lineal ___ 75 Figura 31. Diagrama de radiación de una antena Yagi en coordenadas polares lineal ___ 76 Figura 32. Dirección de propagación, campo eléctrico y campo magnético de una onda._ 79 Figura 33.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 80 Figura 34.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 81 Figura 35.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 12 dBi_____________________________________________________ 81 Figura 36.- Diagramas de radiación de una antena sectorial de 15dBi de ganancia. ____ 82 Figura 37.- Diagramas de radiación de una antena sectorial de 14dBi de ganancia. ____ 82 Figura 38.- Diagramas de radiación de una antena planar de 14dBi de ganancia. ______ 83 Figura 39.- Diagramas de radiación de una antena planar de 17dBi de ganancia. ______ 83 Figura 40. Generación de las llaves para la encriptación WEP _____________________ 92 Figura 41. Esquema de encriptación de datos mediante WEP_______________________ 93 Figura 42. Esquema de desencriptación de datos mediante WEP ____________________ 94 Figura 43.- Fases para el establecimiento de un contexto seguro ____________________ 97 Figura 44.- Fase 1: Acuerdo sobre la política de seguridad ________________________ 98 Figura 45.- Fase 2: autenticación 802.1X ______________________________________ 99 Figura 46.- Fase 3: Jerarquía y distribución de claves ____________________________ 99 Figura 47.- Fase 3: jerarquía de clave por parejas ______________________________ 101 Figura 48.- Fase 3: 4-Way Handshake _______________________________________ 102




Figura 49.- Fase 3: jerarquía de Group Key ___________________________________ 103 Figura 50.- Fase 3: Group Key Handshake ____________________________________ 104 Figura 51.- Esquema y encriptación de TKIP Key-Mixing ________________________ 105 Figura 52.- Computación de MIC utilizando el algoritmo Michael__________________ 106 Figura 53.- Encriptación CCMP ____________________________________________ 107 Figura 54. Características del área a cubrir ___________________________________ 125 Figura 55.- Patrón de radiación de la antena omnidireccional de 9dB utilizada._______ 130 Figura 56.- Patrón de radiación de la antena omnidireccional de 12 dB utilizada. _____ 131 Figura 57.- Patrón de radiación de la antena sectorial utilizada.___________________ 131 Figura 58.- Caja estanca __________________________________________________ 132 Figura 59.- Router ADSL __________________________________________________ 133 Figura 60.- Resumen del enfoque del proyecto realizado _________________________ 134 Figura 61.- Redes detectadas desde los nodos 1 y 2 _____________________________ 137 Figura 62.- Redes detectadas desde los nodos 3 y 4 _____________________________ 138 Figura 63.- Configuración elegida para la red de puntos de acceso ________________ 139 Figura 64.- Esquema general de la red _______________________________________ 140 Figura 65.- Diseño y funcionamiento de la red_________________________________ 144 Figura 66.- Actualización del firmware _______________________________________ 145 Figura 67.- Configuración Inalámbrica_______________________________________ 147 Figura 68.- Configuración de seguridad inalámbrica ____________________________ 147 Figura 69.- Configuración avanzada inalámbrica_______________________________ 148 Figura 70.- Configuración WDS en Linksys WRT54GL con firmware dd-wrt__________ 149 Figura 71.- Configuración de calidad de servicio _______________________________ 150 Figura 72.- Configuración de reinicio automático de los puntos de acceso ___________ 150 Figura 73.- Instalación de una de las antenas en el tejado de la casa de un vecino _____ 167 Figura 74.- Esquema utilizado para el cálculo de la PIRE ________________________ 168 Figura 75.- Diseño de la red propuesto para la fase II ___________________________ 170

8.2 Índice de tablas Tabla 1: Estándares principales surgidos a partir de 802.11 _______________________ 10 Tabla 2. Comparación de las características de la capa física de los diferentes estándares 802.11 __________________________________________________________________ 16 Tabla 3. Modulaciones y tasas en 802.11a______________________________________ 24 Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad____________________ 25 Tabla 5. Cronología de ataques realizados a la encriptación WEP __________________ 95 Tabla 6.- Presupuesto para la fase I__________________________________________ 172 Tabla 7.- Presupuesto para la fase I__________________________________________ 173 Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociación_______ 173

Diseño e implementación de un hotspot con una red de...

Documents

Transcript of Diseño e implementación de un hotspot con una red de...