Módulo de Proyecto Integrado

Juan Francisco Miranda Escamilla

Proyecto: WLAN en Gran Capitán

Curso 2007/2008

INDICE:

1.Introducción--------------------------------------------------------------------------3

2.- Objetivos y requisitos del proyecto---------------------------------------------42.1.- Objetivos del proyecto----------------------------------------------------------42.2.- Requisitos del proyecto------------------------------------------------------4-5

3.- Estudio previo----------------------------------------------------------------------63.1.- Estado actual---------------------------------------------------------------------63.2.- Estudio soluciones en función de la tecnología--------------------------6-93.3.- Estudio soluciones en otros centros----------------------------------------10

4.- Plan de trabajo----------------------------------------------------------------11-12

5.-Diseño-------------------------------------------------------------------------------135.1.- Diseño actual--------------------------------------------------------------------135.2.- Diseño detallado------------------------------------------------------------14-32

6.- Implementación------------------------------------------------------------------336.1.- Parte software--------------------------------------------------------------33-516-2.- Parte física------------------------------------------------------------------52-54

7.- Recursos----------------------------------------------------------------------------557.1.- Herramientas de Hardware--------------------------------------------------557.2.- Herramientas de Software---------------------------------------------------567.3.- Personal--------------------------------------------------------------------------567.4.- Presupuesto---------------------------------------------------------------------57

8.- Conclusiones----------------------------------------------------------------------588.1.- Grado de consecución de los objetivos-------------------------------------588.2.- Problemas encontrados-------------------------------------------------------588.3.- Futuras mejoras----------------------------------------------------------------59

9.- Referencias------------------------------------------------------------------------60

10.- Anexos-----------------------------------------------------------------------------6110.1.- Documentos adicionales-----------------------------------------------------6110.2.- Licencia-------------------------------------------------------------------------61

2

1.- INTRODUCCIÓN

Nuestro proyecto plantea la implantación de una red inalámbrica local o WLAN que permita tanto a profesores como alumnos el acceso a Internet mediante un web proxy en el centro IES Gran Capitán y que éstos se autentifiquen en un servidor central.

Una red WLAN (Wireless Local Area Network) o Red de Área Local Inalámbrica, es un sistema de comunicaciones de datos flexible que se incorpora como una extensión o una alternativa a la red LAN cableada. Utiliza ondas de radio de alta frecuencia en lugar de cables para la transmisión y recepción de datos, minimizando la necesidad de conexiones con cable, de esta forma las redes WLAN combinan la conectividad de datos con la movilidad del usuario.

La implantación de una red inalámbrica nos da una serie de ventajas tales como:

• Movilidad• Simplicidad y rapidez de instalación• Flexibilidad• Menor coste a medio-largo plazo

Nuestro sistema se centrará en el diseño de la red y la implantación de la misma en el centro IES Gran Capitán. El centro está compuesto por 3 plantas (con unas medidas de 125m de largo y 23m de ancho aproximadamente), el mismo dispone actualmente de una red LAN, pero por ventajas como las arriba expuestas implantaremos una red WLAN que complemente a la red cableada ya existente.

3

2.- OBJETIVOS Y REQUISITOS DEL PROYECTO

2.1.- OBJETIVOS DEL PROYECTO

Para éste proyecto se han de tener una serie de objetivos que se han de cumplir con el fin de realizar con éxito el mismo. Son los siguientes:

• Implantar una WLAN en el centro IES Gran Capitán.

• El acceso a Internet será regulado por un web proxy.

• Acceso restringido mediante servidor de autentificación y autorización.

2.2.- REQUISITOS DEL PROYECTO

Requisitos internos:

• Se intentará que el software usado sea libre para evitar costes de licencias.

• Para la autentificación de usuarios se utilizará un servidor de tipo radius que implemente soporte para openldap

Requisitos externos:

• Se ha de tener en cuenta la legislación actual (anexo 802.11g.pdf).

• La autentificación se debe de realizar tanto desde un equipo Windows como de un equipo Linux.

• Que el servidor configure automáticamente los parámetros de red a los terminales que le soliciten una petición tales como la IP asignada, servidores DNS, etc...

4

• Los usuarios que usarán la red deben estar dados de alta en el servidor openldap.

5

3.- ESTUDIO PREVIO

3.1.- ESTADO ACTUAL

En el centro IES Gran Capitán hay actualmente una red cableada (LAN) que es la que se encarga de proporcionar servicios tanto de Internet como recursos para el profesorado y alumnado.

Adicionalmente a la red cableada hay una pequeña red inalámbrica proporcionada por un punto de acceso que se encuentra en el taller inalámbrico (aula 115) que nos da conexión inalámbrica para aquellos terminales portátiles, pda, etc.... pero con cobertura bastante limitada y con una seguridad bastante baja.

Se quiere dar por tanto un acceso inalámbrico que cubra la totalidad del centro e implementar un nivel de seguridad mayor que el actual usando para ello servidores radius-ldap para controlar el acceso a la misma.

La solución parte de implementar una red Wireless o WLAN para ello veremos las distintas tecnologías que hay en el mercado actualmente y cuál es la que más nos interesa.

3.2.1- ESTUDIO DE SOLUCIONES EXISTENTES EN FUNCIÓN DE LA TECNOGÍA.

Primero echaremos una ojeada a las distintas soluciones de tecnologías inalámbricas analizando cuáles son las que nos conviene más usar para nuestra red inalámbrica. Citaremos las más conocidas actualmente:

6

Es una frecuencia de radio de disponibilidad universal que conecta entre sí los dispositivos habilitados para Bluetooth situados a una distancia de hasta 10 metros. Permite conectar un ordenador portátil o un dispositivo de bolsillo con otros ordenadores portátiles, teléfonos móviles, cámaras, impresoras, teclados, altavoces e incluso un ratón de ordenador.

¿Qué ventajas aporta?

Permite conectar de forma rápida y sencilla los dispositivos habilitados para Bluetooth entre sí y de este modo crear una red de área personal (PAN) en la que es posible combinar todas las herramientas de trabajo principales con todas las prestaciones de la oficina.

El uso de una red de igual a igual Bluetooth permite intercambiar archivos en reuniones improvisadas con suma facilidad y ahorrar tiempo imprimiendo documentos sin necesidad de conectarse a una red fija o inalámbrica.

Con Bluetooth, se puede hacer actividades de inmediato como imprimir un informe desde el escritorio mediante cualquier impresora habilitada para Bluetooth dentro del radio, sin cables, sin problemas y sin moverse siquiera.

* Desechamos esta solución debido a su limitado alcance y a la gran pérdida de señal debido a obstáculos.

7

Wi-Fi o red de área local inalámbrica (WLAN) es una red de tamaño medio que utiliza la frecuencia de radio 802.11a, 802.11b o 802.11g en lugar de cables y permite realizar diversas conexiones inalámbricas a Internet. Si sabe dónde se encuentra una red Wi-Fi o WLAN, puede navegar por Internet, utilizar el correo electrónico y acceder a la red privada de una empresa.

¿Qué ventajas aporta?

Donde haya una red Wi-Fi, existe un portal de información y comunicación. La incorporación de una red WLAN a la oficina proporciona una mayor libertad y favorece la versatilidad del entorno de trabajo tradicional. Ahora bien, estas posibilidades no se limitan a la oficina, y cada vez aparecen más redes WLAN en lugares como cybers, restaurantes, hoteles, institutos, colegios y aeropuertos, lo que permite a los usuarios acceder a la información que necesitan desde cualquier punto.

* Para nuestro proyecto es la solución ideal ya que nuestra red será una de tamaño medio (de área local).

8

Es un estándar de transmisión inalámbrica de datos (802.16 MAN) que proporciona accesos concurrentes en áreas de hasta 48 km de radio y a velocidades de hasta 70 Mbps, utilizando tecnología que no requiere visión directa con las estaciones base.

WiMax es un concepto parecido a Wi-Fi pero con mayor cobertura y ancho de banda. Wi-Fi, fue diseñada para ambientes inalámbricos internos como una alternativa al cableado estructurado de redes y con capacidad sin línea de vista de muy pocos metros. WiMax, por el contrario, fue diseñado como una solución de última milla en redes metropolitanas (MAN) para prestar servicios a nivel comercial.

¿Qué ventajas aporta?

Tiene cobertura muy amplia y permite grandes velocidades a grandes distancias.

* Para nuestro proyecto la desechamos, es una tecnología cara y está orientada para las MAN (redes de área metropolitana).

9

3.2.1.- ESTUDIO DE SOLUCIONES EXISTENTES EN OTROS CENTROS.

El Centro de Formación Profesional Daniel Castelao en Vigo tiene una WLAN, con una topología en modo ESS usando dos puntos de acceso utilizando los canales 6 y 10 para evitar solapamientos

El IES Leonardo da Vinci también tiene una WLAN en Madrid también tiene una WLAN con topología ESS pero a diferencia del anterior tiene 8 puntos de acceso repartidos entre las zonas más importantes del centro.

En el centro Garcilaso de la Vega de Montilla, tienen un router neutro en cada clase, conectado todos los routers a un switch y éste al servidor principal. Es una solución muy costosa.

10

4.- PLAN DE TRBAJO

● 8 abril – 15 de abril Estudio de las distintas tecnologías inalámbricas existentes en el mercado y análisis de las mismas.

● 16 abril Mediciones del alcance de la señal con el punto de acceso que hay en el centro para saber las limitaciones actuales que hay.

● 29 de abril Comienzo del diseño general y pruebas básicas con servidores radius (utilizando freeradius) para el tema de las autentificaciones y autorizaciones de nuestra red.

● 5 de mayo – 10 de mayo Elaboración del estudio detallado con la explicación detallada de cada parte elegida.

● 16 de mayo – 23 de mayo Montaje de un servidor freeradius con base de datos openldap y probando los usuarios con la herramienta radtest.

● 23 de mayo – 31 de mayo Estudio de los distintos protocolos de emisión del 802.1x (EAP y sus variantes).

● 1 de junio Añadido recursos usados para el proyecto, añadido las referencias consultadas para el proyecto, así como los anexos usados como guía.

● 2 de junio -8 de junio Comienzo de montaje del servidor freeradius en el IES Gran Capitán.

● 9 de junio – 10 de junio Configuración del cortafuegos y squid en Titán para permitir el acceso a nuestra red.

● 11 de junio – 12 de junio Debido a problemas con openldap se sustituye provisionalmente (futuras mejoras) por el fichero “users” que es dónde irán los usuarios de nuestra red.

11

● 13 de junio Prueba de clientes terminales desde terminales Linux, en concreto (Ubuntu 8.04).

12

5.- DISEÑO

5.1.- DISEÑO GENERAL

La solución que voy a implementar es una red inalámbrica basada en el estándar Wi-fi, el tema de seguridad será llevado por un servidor freeradius que tenga soporte para openldap para la autentificación y autorización de usuarios y el acceso a Internet será regulado por un web proxy (en nuestro caso Squid).

El esquema usado sería el siguiente:

13

5.2.- DISEÑO DETALLADO

Una vez decidido por una red WLAN mediante Wi-fi, describiremos cada elemento así como cada solución sugerida para la magnitud de nuestro problema.

Estándar Wireless IEEE802.11

Lo primero que debemos tener en claro es el estándar que usaremos para nuestra red, que en nuestro caso será uno las posibilidades que nos da en 802.11.

Este estándar desarrollado por el Instituto de Ingeniería Eléctrica y Electrónica IEEE 802.11, describe las normas a seguir por cualquier fabricante de dispositivos Wireless para que puedan ser compatibles entre si.

Los más importantes estándares son:

• IEEE802.11a : hasta 54 Mbps (megabits por segundo) de ancho de banda disponible, trabajando en la frecuencia de 5GHz.

• IEEE802.11b : hasta 11 Mbps. Este es el más usual y el más utilizado, y sobre el que trabajaremos en nuestras pruebas trabajando en la frecuencia de 2,4GHz.

• IEEE802.11g : hasta 54 Mbps, trabajando en la frecuencia de 2,4 GHz como 802.11a.

14

● IEEE802.11n : futuro estándar hasta 600 Mbps, trabajando en las frecuencias de 2,4 GHz y 5 GHZ. Actualmente existen productos “preN”, pero se espera la aprobación del estándar a mediados del 2007. Se basa en MIMO (Multiple Input Multiple Output), utilizar varias frecuencias y con varias antenas a la vez para aumentar el alcance y el ancho de banda.

* Solución sugerida para nuestro proyecto: sin duda la 802.11g debido a que ofrece buenas transferencias máximas y lo más importante es que no necesitamos ningún tipo de permiso para usar la frecuencia 2,4Ghz.

Características IEEE802.11g

A mediados de los años 80, el FCC (Federal Communications Comission) asignó las bandas ISM (Industrial, Scientific and Medical) 902-928 MHz, 2,4-2,4835 GHz, 5,725-5,85 GHz a las redes inalámbricas.

Las bandas ISM son bandas de frecuencias para uso comercial y sin licencia (son las utilizadas por los teléfonos inalámbricos domésticos DECT, los microondas, o los dispositivos BlueTooth, por ejemplo).

Cada uno de los 14 canales asignados al IEEE 802.11g tiene un ancho de banda de 22 Mhz, y la gama de frecuencias disponible va de los 2.412 GHz hasta los 2.484 GHz. En este espacio es dividido por el IEEE 802.11g en 14 canales, solapándose los canales adyacentes.

15

* Solución sugerida para nuestro proyecto: Está claro que se deben evitar los solapamientos, en la medida de lo posible, entre canales para el correcto funcionamiento de nuestra red, para ello se tendrá en cuenta el siguiente apartado en el que se explicará las maneras para evitarlo.Tipos de distribuciones para evitar el solapamiento de canales

Como ya comentamos anteriormente, cada uno de los 14 canales asignados al IEEE 802.11g tiene un ancho de banda de 22 Mhz, y la gama de frecuencias disponible va de los 2.412 GHz hasta los 2.484 GHz. En este espacio esta dividido en 14 canales, solapándose los canales adyacentes.

16

Como resultado solo tenemos las siguientes combinaciones de canales enteros en los que colocar los APs para que no se hagan interferencias de unos a otros:

17

O en caso de que necesitemos más canales utilizar el mínimo solapamiento:

18

* NOTA IMPORTANTE: Aunque decíamos antes que existen 14 canales, es importante saber que "oficialmente" en España, sólo se pueden utilizar 2 (como se muestra en la tabla adjunta), pero "extraoficialmente" se pueden utilizar todos.

CANAL FRECUENCIA (Mhz) USA ESPAÑA FRANCIA JAPON

1 2412 X X2 2417 X X3 2422 X X4 2427 X X5 2432 X X6 2437 X X7 2442 X X8 2447 X X9 2452 X X10 2457 X X X X11 2462 X X X X12 2467 X X13 2472 X X14 2484 X

* Solución sugerida para nuestro proyecto: Nosotros con el fin de evitar solapamientos en nuestra red, usaremos los siguientes canales de la siguiente manera (se pueden cambiar, pero siempre interesando que no se solapen ningún canal):

Si sólo debiésemos utilizar los oficiales sería así:

19

Considerando desde el punto de vista óptimo, esta última, aunque fuese usando los “oficiales”, no evita el solapamiento totalmente como la anterior solución, así que usaremos la anterior para nuestro proyecto (usando canales 1, 6,11).

Alcance:

Como dato muy importante son las distancias tipo de los dispositivos Wireless 802.11g, que son de 100 metros para “espacios cerrados” y hasta 400 metros en “espacios abiertos”.

El alcance depende principalmente de la potencia de emisión de los equipos, dato que nos suele suministrar el fabricante en mWatios o en dB, y de los “objetos a atravesar”, no es lo mismo una oficina con paredes de pladur, a un edificio antiguo con paredes gruesas de piedra.

Por la legislación española, no podemos emitir con más de 100mW o 20dBm, por eso las antenas “caseras” no están permitidas ya que no están homologadas, pero para pruebas nos sirven perfectamente.

20

Cálculo de Potencias

dBm es la potencia de radio expresada en dB referida a 1mW. En España la potencia máxima permitida de emisión para la banda ISM (2,4GHz) es de 100mW (20dB).

Esta potencia de emisión es el resultado de sumar la potencia de salida de la tarjeta WIFI, con la ganancia de la antena y teniendo en cuenta las perdidas del cable y conectores.

Para convertir mW a dBm, tenemos que multiplicar por 10 el logaritmo de la potencia expresada en mW. Por ejemplo, si la potencia máxima son 100mW:

10 x log 100mW = 20 dBm

La potencia máxima legal de emisión es de 100mW o 20 dBm.

La mayoría de los dispositivos Wireless emiten en un rango de 20 a 50mW:

10 x log 50mW = 17 dBm

Lo que quiere decir que podemos utilizar una antena de hasta 3 dBm máximo para estar dentro de la legalidad permitida por la normativa.

Adicionalmente esta tabla será útil para el cálculo de pérdida adicional cuando se deban atravesar obstáculos:

Topologías WLAN

21

Modo IBSS (Independent Basic Service Set) o Modo Ad Hoc

Es una configuración en la que sólo se necesita tener instalados dispositivos inalámbricos en los puestos. Los ordenadores se comunican entre ellos sin necesidad de utilizar los puntos de acceso. Está pensada para permitir exclusivamente comunicaciones directas entre los distintos terminales que forman la red.

Para utilizar esta configuración los ETD deben verse directamente entre ellos. A esta topología se la conoce normalmente como Ad Hoc, independiente o de igual a igual (peer-to-peer).

22

Modo BBS (Basic Service Set-Conjunto de Servicios Básicos) o Modo Infraestructure

En esta configuración se añade un Punto de Acceso (PA) que realiza las funciones de coordinación centralizada de la comunicación entre los distintos terminales de datos.

23

Modo ESS (Extended Service Set)

Esta modalidad nos permite crear una red inalámbrica formada por más de un punto de acceso. De esta forma extendemos el área de cobertura de la red. Los usuarios se pueden desplazar libremente entre varios APs mientras el servicio continua (roaming).

Roaming

Unas de las utilidades más interesantes de esta tecnología inalámbrica, es la posibilidad de realizar roaming entre los APs del lugar, con lo que al igual que la tecnología celular, no perdemos cobertura y podemos movernos desde el campo de cobertura de un AP a otro sin problemas, para ello debemos configurar los APs para que trabajen en distintos canales de frecuencia (cómo especificamos antes) para que no se produzcan problemas de funcionamiento / interferencias en las zonas donde existe cobertura de más de un AP.

24

* Solución sugerida para nuestro proyecto: Usaremos el modo ESS, ya que el modo infraestructura tiene un problema sólo puede repetir la señal de un punto de acceso, no pudiendo volver a repetir la señal de un repetidor y debido a la extensión del edificio nos interesa el modo ESS haciendo “Roaming” entre los distintos APs.

Componentes físicos de la red

Punto de acceso (Access Point):

Se suele abreviar como AP. Piensa en ellos como un HUB o SWITCH de red normal cableada: a él se conectan los equipos y es él quien reparte los paquetes. Pues en WIFI es algo similar, es un dispositivo que 'gestiona', los paquetes lanzados por otras estaciones inalámbricas, haciéndolas llegar a su destino. Además el punto de acceso, da conectividad a una red cableada, por lo que la red inalámbrica puede acceder a otros equipos que estuvieran en una red cableada.

25

*Para nuestro proyecto elegiremos que tengan soporte para servidores radius (802.1x) y que también tengan soporte para el estándar que usaremos en nuestra red (802.11g).

Pasarela de Enlace (Gateway):

Un gateway o pasarela en su definición estricta, es un dispositivo que conecta entre sí redes con diferentes protocolos, aunque su significado se ha ampliado y podría aplicarse simplemente a equipos que conectan redes con diferentes rangos IP, básicamente lo mismo que hace un router, pero con algunas pequeñas diferencias.

Router (Combinación de Access Point + Gateway):

Es simplemente la combinación de ambos: Acces Point + Gateway.

26

Para nuestro proyecto usaremos uno que nos conecte con la red cableada (como función “Gateway”) y que tenga las características de los puntos de acceso que hemos especificado que usaremos en nuestra red (como función AP)

Clientes inalámbricos:

Son todas aquellas tarjetas que nos proporcionan conectividad inalámbrica. Las más conocidas son las que vienen en formato PCMCIA, para portátiles, aunque también las hay en formato PCI, en CompactFlash, Smart Card, USB y similares. Son equivalentes a una tarjeta de red normal, sólo que sin cables. Su configuración a nivel de IP es EXACTAMENTE igual que una tarjeta Ethernet.

Las diferencias más importantes entre una WIFI y una Ethernet, (a parte de que las primeras no llevan cable...) son: El cifrado de datos, el ESSID, el Canal, y el ajuste de velocidad.

Es importante señalar que según la potencia de transmisión del equipo Wi-Fi (bien sea una tarjeta, un Router o AP), podemos clasificarlos en dos tipos generales:

* 30 mW de potencia de transmisión (aprox. 15 dB)* 100 mW de potencia de transmisión (aprox. 20 dB)

Cuanto mayor sea la potencia de transmisión del equipo, mayor será el alcance del enlace, siempre teniendo en cuenta los demás factores condicionantes.

27

Antenas:

Entre los modelos y variantes de antenas, se pueden distinguir 2 grandes familias: Las antenas Direccionales y las antenas Omnidireccionales. Como su nombre indica, las direccionales emiten la señal hacia un punto en concreto, con mayor o menor precisión. Las "Omni" por el contrario, emiten por igual en todas direcciones, en un radio de 360º, pero sólo sobre el plano perpendicular de la antena.

Dentro del grupo de antenas direccionales, tenemos las de Rejilla o Grid, las Yagi, las parabólicas, las "Pringles" las de Panel y las Sectoriales.

Las omnidireccionales suelen ser una simple varilla vertical, aunque tienen su tela también.

Hay que decir que cuanto más alta sea la ganancia de la antena, mayores distancias podremos cubrir con una antena, y con mejor calidad podremos captar señales que pudieran llegarnos muy débilmente.

*Para nuestro proyecto se usarán antenas dipolares que no necesitan de instalación (sólo atornillar al AP).

El Pigtail:

El Pigtail, no es más que un pequeño cable, que sirve de adaptación entre la tarjeta WIFI (o el AP) y la antena o el cable que vaya hacia la antena. Este Pigtail tiene 2 conectores: el propietario de cada tarjeta en un extremo, y por el otro un conector N estándar en la mayoría de los casos.

Generalmente los conectores más habituales son los RSMA.

28

Seguridad WLAN

Uso de filtrado por MAC

Este tipo de seguridad lo proporciona cualquier Punto de Acceso. Es un sistema muy básico pero también efectivo, aunque se puede saltar como luego se muestra.

Podemos configurar el AP para que permita o impida el acceso a determinadas MACs, y ya sabemos que “oficialmente” no pueden existir dos tarjetas con la misma MAC.

Esta medida de seguridad interesante, pero no efectiva; impedirá el acceso a usuarios poco experimentados, pero si realmente el “estudioso de la red” pretende entrar, no tiene más que modificar la MAC de su adaptador Wireless.

Primero necesitaría el conocer una MAC válida del sistema (que esté autorizada a entrar en ese AP), para ello sólo tiene que estar esnifeando (capturando paquetes) la red durante un pequeño tiempo, hasta que decodifique alguna trama en la que se pueda ver la MAC origen. Existen multitud de programas para realizar esta didáctica práctica.

Identificador de la red inalámbrica, el SSID

Definido en el 802.11, el procedimiento SSID (Service Set Identifier) incluye un identificador único en la cabecera de los mensajes que actúa como contraseña cuando un dispositivo quiere conectarse al sistema. Como nuestro sniffer puede capturarlo en alguna trama aunque su publicación esté desactivada, esto incorpora poca seguridad, pero al igual que la anterior es otra a añadir.

29

Regulación de la potencia a emitir

Esta facilidad también está incluida en la mayoría de dispositivos Wireless. Podemos regular la potencia de nuestro AP para conseguir una cobertura en el interior del edificio, pero nos interesa que esa cobertura no se extienda innecesariamente a zonas donde no debemos tener usuarios.

De esta manera, si alguien quiere snifear nuestra red tendrá que aproximarse demasiado al edificio, y no lo podrá hace desde el parque de enfrente sentado tranquilamente en un banco.

Al igual que las medidas de seguridad anteriores, es una medida que no garantiza nada pero ayuda.

Uso de protocolos de encriptación WEP

Utiliza un algoritmo de encriptación RC4, y claves de cifrado de 64, 128 y 256 bits; pero en realidad las utiliza de 40, 104 y 152 respectivamente, el resto (overhead), no es información significativa para el cifrado. Nota: el 256 bits no es estándar y no todos los dispositivos lo aceptan.

Utiliza una clave de cifrado asignada por el administrador tanto a los PCs como a los puntos de acceso. El cifrado es simétrico con la misma clave tanto para cifrado como para descifrado, por lo que para alcanzar un nivel aceptable de seguridad las claves deben ser cambiadas con relativa frecuencia en todos los dispositivos por el administrador, por ello el WEP tiene los días contados y han surgido otros protocolos de encriptación mucho mejores como el WAP.

Al igual que los anteriores, si un “usuario inquieto” captura la suficiente cantidad de paquetes y tiene las herramientas necesarias puede descifrar las claves introducidas.

Pero es otra medida de seguridad que podemos sumar a las anteriores, para ello debemos configurar si queremos cifrado a 64, 128 o 256 y establecer la contraseña correspondiente.

Crear una VPN

30

Montar una red privada virtual entre el origen y el destino. Utilizando una VPN se proporciona un túnel seguro independientemente del camino por el que circule la información, incluido Internet. Ya existen APs en el mercado que lo soportan, pero no es lo normal, sólo los de la gama medio-alta.

Utilizar el estándar 802.1x

Nuevo estándar con el que permitimos autenticar al usuario entrante a nuestra WLAN. El autenticador no tiene por que ser una máquina inteligente, por lo que pequeños APs podrán utilizar este estándar 802.1x. Es el conocido “Portal Cautivo”, como el NoCat en Linux o los RADIUS y los TACACS+LDAP.

Utilizar el nuevo WPA (Wi-Fi Protected Access)

Mucho más fiable que el WEP siempre que no se utilicen claves inferiores a 20 caracteres los cuales estén contenidos en un diccionario, ya que es susceptible de este tipo de ataques. Este problema puntual no es, una indicación de la debilidad de WPA. Únicamente es un recordatorio de la necesidad de utilizar claves convenientemente largas y que incluyan caracteres especiales.

En la nueva protección WPA la cadena ASCII que se introduce sirve de semilla para una clave en constante rotación, de forma que cada paquete de información lleva una clave completamente diferente a los anteriores.

31

Funciones de Firewall

Siempre que el AP tenga esa característica con el fin de cerrar determinados puertos.

*Solución sugerida para nuestro proyecto: La solución que es más acorde con nuestro proyecto es la de utilizar un servidor de autentificación y autorización Radius+Ldap (802.1x) en conjunción con WPA (802.1x+wpa se le suele denominar WPA enterprise).

32

6.- IMPLEMENTACIÓN

6.1.- PARTE SOFTWARE

Proxy caché

Para nuestro proyecto usaremos “Squid”. Es un popular programa de software libre que implementa un servidor proxy y un demonio para caché de páginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un Servidor Web, guardando en caché peticiones repetidas a DNS y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix.

Lo primero que debemos hacer es instalarlo para ello ejecutamos la siguiente orden:

sudo apt-get install squid

Una vez hecho esto nos vamos a su fichero de configuración “/etc/squid/squid.conf” y cambiamos lo siguiente:

– Parámetro http_port

Los Puertos Registrados recomendados para Servidores Intermediarios (Proxies) pueden ser el 3128 y 8080 a través de TCP. Tenemos que configurarlo como Proxy transparente simplemente añadiendo la opción “transparent” a cada puerto que especifiquemos (con esta opción el cliente no tiene que configurar nada en su navegador).

# You may specify multiple socket addresses on multiple lines.# Default: http_port 3128

http_port 3128 transparenthttp_port 8080 transparent

– Parámetro cache_mem .

El parámetro cache_mem establece la cantidad ideal de memoria para lo siguiente:

33

Objetos en tránsito.Objetos frecuentemente utilizados (Hot).Objetos negativamente almacenados en el caché.

De modo predefinido se establecen 8 MB. Si se posee un servidor con al menos 128 MB de RAM, 16 MB es el valor para este parámetro:

cache_mem 16 MB

– Parámetro cache_dir :

El parámetro cache_dir se utiliza para establecer que tamaño se desea que tenga el caché en el disco duro para Squid. De modo predefinido Squid utilizará un caché de 200 MB, de modo tal que encontrará la siguiente línea:

cache_dir ufs /var/spool/squid 200 16 256

Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno.

– Controles de acceso:

Las Listas de Control de Acceso definen una red o bien ciertas máquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid.

Listas de control de acceso, se establecen con la siguiente sintaxis:

acl [nombre de la lista] src [lo que compone a la lista]

34

Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP correspondiente a la red y la máscara de la sub-red. Por ejemplo, si se tiene una red donde las máquinas tienen direcciones IP 192.168.0.n con máscara de sub-red 255.255.255.0. Nosotros asignaremos una regla de control a los equipos de nuestra red inalámbrica (192.168.11.n) de la siguiente manera:

acl wifi src 192.168.11.0/255.255.255.0

También se puede definir una Lista de Control de Acceso especificando un archivo localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones IP:

acl permitidos src "/etc/squid/permitidos"

El archivo /etc/squid/permitidos contendría algo como siguiente:

192.168.11.60192.168.11.61....192.168.11.n

En caso de querer restringir el acceso de un PC, basta con eliminarla de la lista.

-Listas de control de acceso: Bloqueo de Dominios de Destino.

Es conveniente definir una Lista de Control de Acceso especificando los dominios bloqueados en un archivo localizado en cualquier parte del disco duro, y la cual contiene una lista de los dominios:

acl bloqueados dstdomain "/etc/squid/bloqueados"

35

El archivo “/etc/squid/bloqueados” contendría algo como siguiente:

www.hotmail.comwww.marca.eswww.terra.eswww.google.eswww.meristation.comwww.yahoo.eswww.vtes.net

– Reglas de Control de Acceso.

Las Reglas de control de Acceso definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de Control de Acceso. Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda:

# INSERTS YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

La sintaxis básica es la siguiente:

http_access [deny o allow] [lista de control de acceso]

En este ejemplo la regla que establece acceso permitido a Squid a la Lista de Control de Acceso denominada “permitidos”:

http_access allow permitidos

Se puede crear también una lista para los no admitidos.

Nosotros añadiremos la siguiente línea para dar acceso “http” a nuestra red inalámbrica:

http_access allow wifi

36

– Datos importantes

Para reiniciar en modo consola ejecutar:

/etc/init.d/squid restart

Para pararlo en modo consola:

/etc/init.d/squid stop

Para iniciarlo:

/etc/init.d/squid start

37

Servidor freeradius

El paquete Debian de freeradius se construye sin los módulos TLS/TTLS/PEAP debido a problemas de licencia por la librería OpenSSL. Pero, si se quiere aplicar la autenticación 802.1x en nuestra red WLAN necesitaremos esos módulos.

Lo primero es bajar el código fuente, descomprimir el archivo, configurar las opciones de compilación, compilar e instalar. Los pasos son los siguientes (estando en nuestra carpeta personal):

Lo primero que debemos hacer es instalar los siguientes paquetes:

wget http://freeradius.portal-to-web.de/old/freeradius-1.1.2.tar.gz

Desempaquetamos y desomprimimos:

tar xvfz freeradius-1.1.2.tar.gz

Generamos los archivos para la compilación (con la opción “configure” le estamos diciendo que nos instale los módulos TLS y PEAP y que no nos instale el módulo de PERL):

cd freeradius-1.1.2/

./configure --without-rlm_perl --with-rlm_eap_peap --with-rlm_eap_tls

Una vez hecho esto compilamos:

make

Si todo ha salido bien, ejecutamos:

make install

38

Una vez hecho esto nos vamos al fichero de configuración /usr/local/etc/raddb/radiusd.conf y editamos lo siguiente:

#Le especificamos las opciones de nuestro servidor LDAP, en nuestro caso está en 192.168.11.4, y que coja a nuestros usuarios de la unidad organizativa "ou=Users,dc=informatica" y que el password de los usuarios se encuentra en el atibuto “userPassword”.

ldap {server = "192.168.11.4basedn = "ou=Users,dc=informatica"password_attribute = "userPassword"

Se comenta la siguiente línea:

# access_attr = "dialupAccess"

}

Descomentamos, para permitir que ldap autoriza y autentifique a los usuarios de nuestra red:

authorize {ldap

}

authenticate {Auth-Type LDAP {

ldap }

}

39

A continuación nos vamos al fichero /usr/local/etc/raddb/users y añadimos lo siguiente (debido a un problema con LDAP no resuelto, añadiremos los usuarios manualmente en este fichero) a modo de ejemplo:

*La sintaxis sería la siguiente: login Auth-Type :=EAP, User-Password ==”contraseñadelusuario”

*Importante la contraseña va entre comillas, el login no. Estos son algunos ejemplos creados para nuestras pruebas:

eska Auth-Type := EAP , User-Password == "eska"grancapitan Auth-Type := EAP , User-Password == "grancapitan"comelta Auth-Type := EAP, User-Password == "comelta"

Luego nos vamos al fichero /usr/local/etc/raddb/clients.conf y añadimos los puntos de acceso que forman nuestra red:

client 192.168.11.1 {secret = testing123shortname = grancapitanwifi

}

El “secret” es el pass con el que se comunicarán el punto de acceso y el servidor RADIUS y el “shortname” el nombre del punto de acceso.

En el mismo documento buscamos “mschap” y lo ponemos como a continuación:

mschap {use_mppe = yesrequire_encryption = yesrequire_strong = yeswith_ntdomain_hack = yes

}

*También se cambian todos los “with_ntdomain_hack = no” de todo el documento por “with_ntdomain_hack = yes”. Con esto conseguimos que no nos haga falta poner el dominio para autentificarse, sólo el login y el pass de cada usuario.

40

A continuación nos vamos a “/usr/local/etc/raddb/eap.conf”:

Ponemos por defecto “peap”

eap {default_eap_type = peap

}

Nos vamos a la sección “tls” y lo dejamos así:

tls {private_key_password = ci2008cloprivate_key_file = /certificados/serv-priv.pemcertificate_file = /certificados/servidor-cert.pemCA_file = /certificados/cacert.pemdh_file = ${raddbdir}/certs/dhrandom_file = ${raddbdir}/certs/randomfragment_size = 1024include_length = yes

}

Nos vamos a la sección “peap”:

peap {default_eap_type = mschapv2

}mschapv2 {}

Reiniciamos el servicio:

/usr/local/sbin/radiusd –X -f

41

Crear un certificado digital con OPENSSL (extraido de la página de BULMA).

Crearemos a continuación el certificado para nuestro servidor (que para PEAP no necesitamos de certificado pero como el módulo PEAP usa el módulo TLS tenemos que crear un certificado aunque no vayamos a usarlos):

*Nota se puede dejar por defecto el que viene ya creado, pero nosotros crearemos uno:

Ejecutamos los siguientes comandos:

mkdir /certificadoscd /certificados

Instalamos la aplicación:

apt-get install openssl

Ya tenemos la herramienta openssl con la cual podremos crear nuestros certificados digitales, de forma gratuita.

Para poder crear un certificado primero tenemos que tener una CA (Autoridad Certificadora). Ejecutamos:

openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days 3650 - out cacert.pem

Con este comando creamos un CA para certificados X509 con algoritmo de encriptación rsa de 2048 bytes. Con el -keyout le indicamos que la clave privada de nuestra CA se almacene en el fichero cakey.pem y la clave publica -out en el cacert.pem.

Seguidamente nos pedirá un password (en nuestro caso “ci2008clo”) para nuestra CA. A continuación se nos pedirá una serie de datos por ejemplo país, nombre de empresa, que nos identifica como CA.

El parámetro -days con 3650, significa que estamos indicando que la CA no expire en 10 años.Ahora vamos a crear un certificado digital, es decir con nuestra CA creada vamos a crearnos un certificado. Podremos hacer tantos como queramos los pasos son los mismos, a partir de ahora:

42

Primero generamos la clave privada del que será nuestro certificado digital:

openssl genrsa -des3 -out serv-priv.pem -passout pass:ci2008clo2048

Con esto generamos la clave privada la cual tendrá un algoritmo de cifrado triple des (-des3) de 2048 y se almacenara en el fichero (-out) serv-priv.pem y con el comando -passout pass: indicamos la passfrase para nuestra clave privada yo le he puesto “ci2008clo”).

Ahora vamos a generar la petición del certificado, antes de hacer un certificado, hay que hacer una petición donde se define el propietario del certificado.

openssl req -new -subj "/cn=Eska,ou=Users,dc=informatica/" -key serv- priv.pem -passin pass:ci2008clo -out petic- certificado-serv.pem

Observamos que le indicamos (req -new) con lo que indicamos que es una petición con el parametro -subj le indicamos a quien pertenece el certificado, para ello ponemos entre comillas cada uno de los apartados que identifican separados por /. A la petición le indicamos que usara la clave privada que hemos hecho en el anterior comando -key serv-priv.pem y le indicamos el password que usemos en el anterior (-passing pass):ci2008clo y como salida (-out) le indicamos que genere el siguiente fichero petic-certificado-serv.perm

A continuación creamos el fichero “config1.txt” y le añadimos lo siguiente:

basicConstraints = critical,CA:FALSEextendedKeyUsage = serverAuth

En el fichero le indicamos el basicConstraints =critical,CA:FALSE para que cumpla con el X509v3 y con la RFC3280. Y también le indicamos que el certificado servirá para un servidor con lo siguiente extendedKeyUsage=serverAuth, por ejemplo un servidor Web.

Y ahora con el fichero hecho con la configuración hacemos el certificadillo:

opens x509 -CA cacert.pem -CAkey cakey.pem -req -in petic-certificado-serv.pem -days 3650 -extfile config1.txt -sha1 -CAcreateserial -out servidor- cert.pem

43

Indicamos que será un certificado del tipo x509 cuya CA (-CA) esta definida en el fichero cacert.pem (lo hemos hecho lo primero) y que usa como clave privada (-CAkey) el fichero cakey.pem y que el certificado a generar tendrá las especificaciones definidas en el apartado anterior (-req -in) las cuales están en el fichero de petición petic-certificado-serv.pem.

El certificado tendrá una validez de diez años (-days 3650).

Y le indicamos que el certificado es para un servidor, como esto lo tenemos en nuestro fichero de configuración se lo indicamos poniendo -extfile y nuestro fichero config1.txt y utilizaremos un algoritmo de cifrado SHA (-sha1).

Luego como es nuestro primer certificado le indicamos que la Ca lo numere con lo cual le pondrá 2, ya que el 1 es la CA -CAcreateserial y finalmente le decimos donde generar el certificado (-out) en el fichero servido-cert.pem

Una vez lanzado el comando nos pedirá el password de la CA que lo emite y el fichero se generará.

44

Cortafuegos del GRAN CAPITÁN

El centro tiene un cortafuegos creado por otro compañero de otro proyecto que habrá que configurar para dar acceso a nuestra red y abrir ciertos puertos.

El fichero se encuentra en /etc/init.d/ACTUALIZ.pl. Hemos hecho una copia de seguridad por si se quiere restaurar los ajustes iniciales (ACTUALIZ.pl.seg). Hemos añadido lo siguiente:

## Abrimos el puerto 80 para los servidores WEB

`sudo iptables -A FORWARD -p tcp --dport 80 -j ACCEPT`; `sudo iptables -A FORWARD -p tcp --sport 80 -j ACCEPT`;

## Acceso a DNS

`sudo iptables -A FORWARD -p tcp --dport 53 -j ACCEPT`; `sudo iptables -A FORWARD -p tcp --sport 53 -j ACCEPT`; `sudo iptables -A FORWARD -p udp --dport 53 -j ACCEPT`; `sudo iptables -A FORWARD -p udp --sport 53 -j ACCEPT`;

## Proxy SQUID Transparente redirigiendo todas las peticiones que se #hagan por el puerto 80 hacia el puerto de Squid (3128)

`sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128`;

##Enmascaramiento de red

`sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE`;

45

Configuración de clientes

WINDOWS XP

Una vez que ya hemos configurado el servidor RADIUS y el Access Point nos queda configurar los clientes con tarjetas inalámbricas. Importante destacar que para esta configuración necesitamos, para el caso de Windows XP tener el Service Pack 2. Otros sistemas operativos tienen soporte nativo.

Para configurar nuestra conexión inalámbrica debemos hacer los siguientes cambios en su configuración:

• Abrir las propiedades de la conexión inalámbrica y seleccionar Redes Inalámbricas, ponemos en nombre de red “grancapitanwifi”, la autenticación de red le ponemos “WPA”y en cifrado de datos “TKIP”:

46

• El tipo de EAP a utilizar (en nuestro caso PEAP):

Le damos a propiedades y deshabilitamos la validación del certificado del servidor y seleccionamos el método de autenticación MSCHAPv2:

Le damos a configurar y deshabilitamos utilizar el usuario y clave de Windows:

47

• Seleccionamos la red “grancapitanwifi”:

• Windows no indicará que hagamos clic sobre el mensaje para que ingresemos nuestras credenciales:

48

• En Nombre de usuario y Contraseña ingresamos nuestro usuario (ejemplo Nombre de usuario: grancapitan Contraseña: grancapitan, el dominio se deja vacío):

• Esperamos a quedar conectados:

49

CLIENTE LINUX

• Debemos ir a la parte superior derecha y pinchar en el icono de redes. Nos saldrá algo como esto:

50

• Seleccionamos la red “grancapitanwifi”, y debemos especificar lo siguiente:

Seguridad: WPA empresarialMétido EAP: PEAPTipo de clave: TKIPTipo Phase2: MSCHAPv2Identidad: login del usuarioContraseña: pass del usario

Lo demás se deja como está.

Si todo ha salido bien ya estaremos conectados en nuestra red (nos saldrá a la derecha de la barra, la señal):

51

6.2.- PARTE FÍSICA

Como bien dijimos antes, nos interesa que tenga soporte para autentificación y autorización (802.1x), así como permita el estándar 802.11g.

Así APs que no sean excesivamente caros tenemos que cumplan estas condiciones tenemos:

D-Link DWL-2100AP Linksys WAP200

Yo recomiendo D-Link DWL-2100AP que goza de buena reputación calidad/precio.

Lo primero es saber que el centro tiene unas medidas de unos 125m de largo y 23 de ancho (aproximadas, medidas con google earth). Considerando que por ley la potencia de emisión es de 20 dBm y considerando el cuadro:

http://www.bessernet.com/jobAids/dBmCalc/dBmCalc.html

52

Se entrega como anexo las características del punto de acceso escogido para nuestra red (DWL-2100AP_ds.pdf).

Emite con una potencia de emisión (en dBm) de 15 + 2 db de ganancia por la antena dipolo que trae). Si nos fijamos en el cuadro

Considerando el plano del edificio (se entrega como anexo Plano.doc), y considerando las medidas del edificio (comentadas un poco más arriba). Se colocarán 8 puntos de acceso, 3 en plantas 1,2 y 2 en la planta baja (concretamente en la biblioteca y en la sala de profesores).

Para ello habrá que configurar la red para que se pueda hacer roaming, para ello nos iremos a la configuración de cada punto de acceso de nuestra red y configuraremos cada uno con la misma SSID (* los puntos de acceso de la red deben ser de la misma marca y modelo) y que cada uno trabaje con distintos canales para evitar el solapamiento.

Para ello se usará el esquema antes expuesto:

53

Los puntos de acceso se deberán colocar en la medida de lo posible en los departamentos entre clases:

1.- PUNTO: Sala de profesores CANAL: 112.- PUNTO: Biblioteca CANAL: 63.- PUNTO: Aula113 CANAL: 14.- PUNTO: Aula 109 CANAL: 115.- PUNTO: Aula 106 CANAL: 66.- PUNTO: Aula 215 CANAL: 117.- PUNTO: Aula 211 CANAL: 68.- PUNTO: Aula 225 CANAL: 1

54

7.- RECURSOS

7.1.- HERRAMIENTAS DE HARDWARE

● Ordenador IBM eServer xSeries 206 con las siguientes características:

Procesador: Pentium 4, 3.20GhzMemoria: RAM 1280MbDiscos duros 2x: HD Maxtor 6Y080M0 SATALECTOR DE CD: CDROM HL-DT-ST GCR 8482B-

PM

● Ocho puntos de acceso DWL 2100ap de D-Link

● Cable de red

● Conectores RJ45

● Ocho antenas ANT24-0501C de la marca D-link que sustituyen a las que vienen de fábrica de los puntos de acceso usado con el fin de conseguir la máxima potencia de emisión dentro de la legislación (20db)

● Ordenadores del aula de informática

55

7.2.- HERRAMIENTAS DE SOFTWARE

● Debian Gnu Linux 4.0

● Windows XP service Pack 2

● Linux Ubuntu 8.04

● Freeradius

● Openldap

● Apache

7.3.- PERSONAL

● Usuarios de equipos

● Profesorado de informática

56

7.4.- PRESUPUESTO

Coste de material:

– Ocho puntos de acceso DWL 2100ap D-Link = 64,80 € X 8 = 518,4 €

– 600 metros de cable de red (6 mangueras de 100 metros) = 29 € X 6 = 174€

– Ocho antenas ANT24-0501C = 19 € X 8 = 152 €

– Servidor = 800 € (aproximadamente)

Coste mano de obra:

– 15 días a 6 horas por día (a 8 euros la hora) = 720€

– 15 días a 6 horas por día (a 15 euros la hora) = 1350€

– 15 días a 6 horas por día (a 25 euros la hora) = 2250€

57

8.- CONCLUSIONES

8.1.- GRADO DE CONSECUCIÓN DE LOS OBJETIVOS

Se ha conseguido montar el servidor, pero hay un problema con openldap que no se ha conseguido solucionar, en su lugar se ha usado el fichero “users” que es donde se guardarán los usuarios de nuestra red.

En cuanto a Squid, se ha conseguido instalar sin problemas, se ha configurado de forma transparente para que el cliente no tenga que configurar nada.

El firewall del instituto se ha configurado también exitosamente para dar acceso a nuestra red, y se ha redirigido todas las peticiones del puerto 80 al 3128 (puerto de Squid).

8.2.- PROBLEMAS ENCONTRADOS

• Poco soporte e información para la solución propuesta del servidor radius-ldap.

● Fallo de la base de datos openldap, que siguiendo los manuales de configuración, no entiende lo que le envía PEAP.

● Fallo al configurar los clientes en Linux (solucionado sin problemas en la versión 8.04 de Ubuntu).

58

8.3.- FUTURAS MEJORAS

• La creación de una interfaz Web ya sea en php o perl para la gestión del servidor.

• Implementar EAP-TTLS que añade aún más seguridad en la red.

● Intentar solucionar el problema con openldap.

● Usar mysql como base de datos para el servidor.

59

9.- REFERENCIAS

● www.linux-magazine.es/issue/05/Radius.pdf

● http://guia.mercadolibre.com.ve/wifi-wireless-que-es-redes-inalambricas- tutorial-8825-VGP

● http://www.alcancelibre.org/staticpages/index.php/como-freeradius-basico

● http://vuksan.com/linux/dot1x/802-1x-LDAP.html

● http://www.howtoforge.com/openldap-samba-domain-controller-ubuntu7.10

● http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/

● http://boletin.informatica.udp.cl/nicolas.singh/archivos/(11951)freeradius_ldap.p df

● http://www.cossio.net/online/materiales_didacticos/arquitectura/wireless.pdf

● www.rediris.es/jt/jt2004/archivo/ficheros/francisco_sampalo-upct.ppt

● http://www.iesleonardo.info/wiki/index.php/Intranet_Leonardo_da_Vinci

● http://seguridad.internet2.ulsa.mx/congresos/2007/cudi1/pres_wpa.pdf

60

10.- ANEXOS

10.1.- DOCUMENTOS ADICIONALES

● INFORMACIÓN SOBRE EL ESTÁNDAR 802.11g: 802.11g-2003.pdf

● CARACTERÍSTICAS DEL PUNTO DE ACCESO ESCOGIDO: DWL-2100AP_ds.pdf

● PLANO DEL CENTRO: Plano.doc

● GUÍA PARA LA ELECCIÓN DE UN PUNTO DE ACCESO: Guía para elección de Aps.pdf

● LOCALIZACIÓN DE AP: Plano(puntos de acceso).doc

10.2.- LICENCIA

Este documento se distribuye bajo la licencia Creative Commons .

http://es.creativecommons.org/licencia/

61