WPA Wi-Fi protected Access Es básicamente 802.11i con la opción TKIP (RC4) Promovido por la Wi-Fi alliance (www.wi-fi.org) Los fabricantes no pueden esperar la finalización de 802.11i
Otras opciones VPN (Virtual Private Network) Cifrado es extremo a extremo Túneles IPSEC Requiere la instalación de clientes en cada estación No escalable y no siempre posible cubrir todas las plataformas (PC, Unix, MAC, PalmOS, etc…)
Limitaciones de un entorno Campus Variedad de proveedores de equipos Necesidad de Estándares y simplicidad Volumen de usuarios Soporte muy laborioso Variedad de sistemas operativos Usuarios con poco nivel de familiaridad con tecnologías Gestión y distribución de claves y certificados: Poco práctico
Wireless Gateways Solución “hecha en casa” Caso UO: ~20,000 estudiantes ~200 access points y creciendo Variedad de sistemas operativos Claves ‘en claro’ no permitidas No más Telnet, ahora SSH Webmail sobre SSL SPOP, SIMAP, etc
Cobertura 802.11 en UO
UO Wireless Gateway Componentes Open Source Linux (con iptables) Apache con SSL Bind ISC DHCP Cliente Radius CGI scripts en Perl y C Una sola subred (/22)
UO Wireless Gateway Red del campus/ Internet Radius Cliente Wireless Gateway Subred 802.11
UO Wireless Gateway La estación hace una petición DHCP EL WG le asigna una dirección IP También le asigna DNS y Default Gateway (él mismo) El usuario abre el navegador y escribe una dirección La máquina hace una petición DNS El WG responde con su propia dirección para cualquier nombre
UO Wireless Gateway La estación recibe la dirección y hace una petición HTTP El servidor web del WG recibe la petición y devuelve una página de login
UO Wireless Gateway
UO Wireless Gateway Una vez autenticado el usuario via Radius, el WG agrega una entrada en iptables permitiendo la dirección MAC de la estación Cómo evitar que la tabla crezca indefinidamente? El WG envía pings cada x minutos para mantener la tabla al día También los ‘leases’ de DCHP expiran en un tiempo relativamente corto El usuario puede ir a la página de inicio y hacer un ‘logout’ explícitamente
Filtros basados en MAC Principales limitaciones Algunos sistemas operativos permiten cambiar la dirección MAC La estación puede comunicarse dentro de la subred inalámbrica aún sin estar autenticado Hace a la subred insegura a ataques Necesidad de una sola subred Cableado independiente (más fibras) Puede resolverse con troncales VLAN Cierta cantidad de usuarios puede justificar la necesidad de subdividir la red
Wireless Gateways Soluciones Comerciales ReefEdge Blue Socket Vernier Ventajas comunes: Funcionalidad distribuída (Connect Server, Edge Controller, etc) Posibilidad de separar en subredes Movilidad Establece túneles IP/IP para mantener direcciones Muchas más funciones Autorización, Accounting, etc. Interfaz web, DB backend Soluciones Open Source NoCat (http://nocat.net) Dos componentes: NoCatSplash (redirección) NoCatAuth (AAA)
| Página siguiente |