Diseño e implementación de un hotspot con una red de acceso WiFi mediante
software libre
ALUMNO: Miguel Ángel Contioso Conejo
TUTOR: Dr. José Ramón Cerquides Bueno
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 2 de 177
Índice
1 Introducción................................................................................................................6
2 Teoría de redes wireless bajo la recomendación 802.11 ...........................................8 2.1 Introducción ..................................................................................................................8
2.1.1 802.11. Definición, historia y grupos de tareas. ......................................................................9 2.1.2 Wi-Fi Alliance .......................................................................................................................14
2.2 Tecnología aplicada en 802.11 ...................................................................................15 2.2.1 Capa Física ............................................................................................................................15
2.2.1.1 Introducción .................................................................................................................15 2.2.1.2 Arquitectura .................................................................................................................16 2.2.1.3 FHSS............................................................................................................................17 2.2.1.4 DSSS............................................................................................................................18 2.2.1.5 802.11b y HR-DSSS ....................................................................................................20 2.2.1.6 802.11a y OFDM .........................................................................................................21
2.2.1.6.1 Estructura del canal .................................................................................................22 2.2.1.6.2 Modulaciones usadas en 802.11ª.............................................................................23
2.2.1.7 802.11g y DSSS-OFDM ..............................................................................................24 2.2.2 Capa MAC.............................................................................................................................25
2.2.2.1 Introducción .................................................................................................................25 2.2.2.2 Mecanismos de acceso al medio ..................................................................................26
2.2.2.2.1 Protocolos con arbitraje...........................................................................................27 2.2.2.2.2 Protocolos de acceso por contienda ........................................................................27
2.2.2.3 Formato de tramas........................................................................................................32 2.2.2.4 Mecanismo de autenticación y asociación estándar .....................................................33
2.3 Organización y características de una red wireless .................................................35 2.3.1 Topologías y configuraciones................................................................................................35 2.3.2 Direccionamiento ..................................................................................................................36
2.3.2.1 Direcciones IP Globales para España ..........................................................................38 2.3.3 Enrutamiento en redes inalámbricas......................................................................................40
2.3.3.1 OLSR ...........................................................................................................................41 2.3.3.1.1 Mecanismo utilizado por OLSR..............................................................................43 2.3.3.1.2 Aplicaciones sobre OLSR .......................................................................................43
2.3.4 WDS ......................................................................................................................................44 2.3.4.1 Funcionamiento de WDS.............................................................................................45
2.3.5 Roaming ................................................................................................................................46 2.3.5.1 Puntos de acceso cableados..........................................................................................47 2.3.5.2 Puntos de acceso no cableados.....................................................................................49
3 Actualidad wireless ...................................................................................................50 3.1 Comunidades Wireless ...............................................................................................50 3.2 Recomendación 802.11n .............................................................................................60
3.2.1 Introducción...........................................................................................................................60 3.2.2 Mecanismo ............................................................................................................................61
3.2.2.1 Multiple Input / Multiple Output (MIMO)...................................................................61 3.2.2.2 Ancho de banda del canal ............................................................................................62 3.2.2.3 Mejora de la eficiencia de la capa MAC......................................................................62
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 3 de 177
3.3 Dispositivos existentes en el mercado........................................................................63 3.3.1 Cableado................................................................................................................................64 3.3.2 Conectores .............................................................................................................................66 3.3.3 Antenas..................................................................................................................................71
3.3.3.1 Características intrínsecas de una antena .....................................................................71 3.3.3.1.1 Impedancia de entrada.............................................................................................71 3.3.3.1.2 Pérdida de retorno ...................................................................................................72 3.3.3.1.3 Ancho de banda.......................................................................................................72 3.3.3.1.4 Directividad y Ganancia..........................................................................................73 3.3.3.1.5 Diagramas o Patrones de Radiación........................................................................74 3.3.3.1.6 Ancho del haz..........................................................................................................77 3.3.3.1.7 Lóbulos laterales .....................................................................................................78 3.3.3.1.8 Nulos .......................................................................................................................78 3.3.3.1.9 Polarización.............................................................................................................78 3.3.3.1.10 Desadaptación de polarización ..............................................................................79
3.3.3.2 Tipos de Antenas..........................................................................................................80 3.3.3.2.1 Omnidireccionales...................................................................................................80 3.3.3.2.2 Sectoriales ...............................................................................................................81 3.3.3.2.3 Direccionales...........................................................................................................83
3.3.4 Linksys WRT54GL v1.1 como punto de acceso...................................................................84 3.3.4.1 Historia.........................................................................................................................84 3.3.4.2 Firmwares disponibles .................................................................................................85
4 Seguridad y privacidad wireless ...............................................................................87 4.1 Mecanismos de privacidad existentes........................................................................87
4.1.1 Introducción...........................................................................................................................87 4.1.1.1 SSL...............................................................................................................................89
4.1.2 WEP.......................................................................................................................................91 4.1.2.1 Introducción .................................................................................................................91 4.1.2.2 Funcionamiento............................................................................................................92
4.1.2.2.1 Encriptación ............................................................................................................92 4.1.2.2.2 Desencriptación.......................................................................................................94
4.1.2.3 Vulnerabilidades WEP.................................................................................................94 4.1.3 WPA y WPA2 .......................................................................................................................96
4.1.3.1 Fase 1: Acuerdo sobre la política de seguridad............................................................97 4.1.3.2 Fase 2: autenticación 802.1X.......................................................................................98 4.1.3.3 Fase 3: Jerarquía y distribución de claves....................................................................99 4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA..............................................104 4.1.3.5 Vulnerabilidades WPA ..............................................................................................108
4.2 Mecanismos de seguridad ........................................................................................111 4.2.1 RADIUS ..............................................................................................................................111
4.2.1.1 Autenticación y autorización .....................................................................................111 4.2.1.2 Accounting.................................................................................................................113
4.2.2 Filtrado MAC ......................................................................................................................114 4.3 Hotspot.......................................................................................................................114
4.3.1 Portales Cautivos .................................................................................................................117 4.4 Aplicaciones de auditoría wireless...........................................................................119
4.4.1 Aircrack ...............................................................................................................................120 4.4.1.1 Ataques a WEP ..........................................................................................................120 4.4.1.2 Ataques a WPA..........................................................................................................121
5 Diseño e Implementación de una red wireless ......................................................123
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 4 de 177
5.1 Introducción. Alcance del proyecto.........................................................................123 5.2 Situación inicial y requerimientos ...........................................................................124
5.2.1 Área a cubrir ........................................................................................................................124 5.2.2 Requerimientos....................................................................................................................125 5.2.3 Dispositivos disponibles......................................................................................................126
5.3 Objetivos ....................................................................................................................127 5.4 Dispositivos Utilizados..............................................................................................129
5.4.1 Servidor ...............................................................................................................................129 5.4.2 Puntos de acceso..................................................................................................................130 5.4.3 Antenas................................................................................................................................130 5.4.4 Cajas estanca .......................................................................................................................132 5.4.5 Conectores ...........................................................................................................................132 5.4.6 Cableado..............................................................................................................................132 5.4.7 Router ADSL.......................................................................................................................133
5.5 Enfoque del proyecto y metodología .......................................................................133 5.5.1 Consideraciones Iniciales ....................................................................................................134 5.5.2 Fase I ...................................................................................................................................136
5.5.2.1 Mediciones realizadas ................................................................................................136 5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios .........................................139
5.5.2.2.1 Nodo principal.......................................................................................................140 5.5.2.2.2 Nodos secundarios con antena omnidireccional ...................................................141 5.5.2.2.3 Nodo secundario con antena sectorial ...................................................................142
5.5.2.3 Funcionamiento Lógico del sistema...........................................................................142 5.5.2.4 Radioenlaces. Configuración de los puntos de acceso...............................................144
5.5.2.4.1 Cambio de Firmware.............................................................................................145 5.5.2.4.2 Configuración Básica ............................................................................................146 5.5.2.4.3 Configuración Inalámbrica....................................................................................146 5.5.2.4.4 Enlaces WDS ........................................................................................................148 5.5.2.4.5 Calidad de servicio ................................................................................................149 5.5.2.4.6 Otras configuraciones............................................................................................150
5.5.2.5 Instalación y configuración del servidor ....................................................................151 5.5.2.5.1 Instalación y configuración de la distribución Ubuntu .........................................152 5.5.2.5.2 Configuración de RAID 1 .....................................................................................153 5.5.2.5.3 Configuración de las interfaces de red ..................................................................154 5.5.2.5.4 Configuración del portal cautivo Chillispot ..........................................................155 5.5.2.5.5 Configuración del firewall ....................................................................................157 5.5.2.5.6 Configuración del servidor RADIUS y mySQL ...................................................158 5.5.2.5.7 Configuración del servidor web apache ................................................................161 5.5.2.5.8 Configuración del administrador radius Dial Up admin. ......................................163 5.5.2.5.9 Configuración de parámetros especiales en RADIUS...........................................165
5.5.2.6 Colocación de puntos de acceso y antenas.................................................................166 5.5.2.7 Análisis de la potencia irradiada ................................................................................168
5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB ..........................................169 5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB....................................................169 5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi ......................................169
5.5.3 Fase II ..................................................................................................................................170 5.5.4 Fase III.................................................................................................................................171
5.6 Presupuesto................................................................................................................171 5.6.1 Presupuesto para la fase I y II..............................................................................................172
6 Anexos .....................................................................................................................174
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 5 de 177
7 Bibliografía utilizada..............................................................................................175
8 Índices de tablas y figuras ......................................................................................176 8.1 Índice de figuras........................................................................................................176 8.2 Índice de tablas..........................................................................................................177
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 6 de 177
1 Introducción Las redes inalámbricas están en auge. En concreto, cada vez hay más
dispositivos que disponen de un chip WLAN integrado que permite hacer uso de
este tipo de redes. Si a esto le unimos la gran telaraña de nodos que están
tejiendo las comunidades wireless sin ánimo de lucro en muchas ciudades
españolas y en el mundo, así como la bajada de precios en los dispositivos
necesarios para componer un nodo, tenemos los ingredientes necesarios para
que se produzca una revolución seria en este ámbito. Es por ello que conocer en
profundidad cómo se interconectan entre sí varias redes wireless, cómo se
diseñan, cuáles son los mecanismos de seguridad existentes no comprometidos,
cuáles son los que sí lo están y de qué forma, cómo configurar un servidor que
controle el acceso y la seguridad a la red, etc. es algo apasionante y que puede
resultar muy útil en el mercado laboral actual y futuro.
Al margen de esta consideración, se abrieron otras dos que hicieron
posible la realización de este proyecto: la posibilidad de ofrecer a mi comunidad
de vecinos una red a la que poder conectarse libremente y la posibilidad de
adquirir conocimientos prácticos en ésta y otras materias, tan necesarios y tan
obviados en una ingeniería donde el 95% son clases teóricas, al menos en mi
promoción. Por el bien de las siguientes promociones de alumnos espero que
esto haya cambiado o cambie pronto de una manera notable.
Es por ello que en esta memoria encontrará lo que opino es la proporción
correcta entre teoría y práctica, 60% Vs. 40%. El segundo apartado aporta los
fundamentos teóricos sobre la tecnología utilizada en las redes wireless. Es
imprescindible conocer cómo es la técnica de espectro expandido usada,
canales utilizados e interferencia entre estos, modulaciones utilizadas según la
tasa de transferencia seleccionada, en definitiva conocer las capas física y MAC
para realizar un diseño eficiente de una red wireless.
En el tercer apartado se ha intentado plasmar una imagen estática del
estado de esta tecnología en la actualidad. Es por ello que se habla de las
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 7 de 177
comunidades existentes y de su aportación, de los esfuerzos que se llevan
realizando para estandarizar nuevas tecnologías que permitan mejorar las ya
existentes, sobre todo en lo referente a tasas de transferencia, calidad de
servicio, seguridad y privacidad. También se describen los dispositivos que
componen una red wireless y cómo se encuentran en el mercado.
He querido dedicar un apartado a la privacidad y la seguridad en redes
wireless, que si bien es insuficiente para el tratamiento de un tema tan complejo
como éste, sí que refleja las vulnerabilidades conocidas de varios mecanismos
de privacidad comúnmente utilizados y los posibles ataques que pueden llevarse
a cabo en una auditoría de seguridad para comprobar la robustez de la
seguridad del sistema. Se plantean las formas de evitar estos ataques por
usuarios malintencionados y se introduce al lector al sofisticado mecanismo de
autenticación RADIUS.
Finalmente, el quinto apartado refleja toda la experiencia adquirida en la
implementación realizada en la A.D.C. Los Colores. Quedan reflejados en este
apartado los pasos seguidos a la hora de elegir el diseño, las herramientas de
software libre utilizadas y la configuración necesaria en todos los dispositivos
utilizados. Siguiendo los mismos pasos que se reflejan en este apartado, puede
configurarse un sistema similar al utilizado en este proyecto sin demasiados
problemas.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 8 de 177
2 Teoría de redes wireless bajo la recomendación 802.11
2.1 Introducción
La aparición de las redes inalámbricas se debe principalmente al yugo
que suponía depender de la instalación del cableado entre todos los dispositivos
que componen una red. Cuando se ampliaba una red o se trasladaban parte de
sus dispositivos integrantes, era necesaria acometer de nuevo la instalación del
cableado entre los dispositivos.
Sin embargo, en una red inalámbrica, se dota a los dispositivos finales de
movilidad, es decir, basta con que el dispositivo esté en la zona de cobertura
para poder conectarse a la red. Además, la red es escalable de una forma
económica, ya que basta con configurar el nuevo dispositivo para que haga uso
de la red, sin instalación de cableado, con la única limitación de la que tengan
los puntos de acceso. Cabe destacar que no todos los dispositivos se
interconectan de forma inalámbrica, sino que aquellos a los que queremos dotar
de una mayor fiabilidad y/o seguridad (servidores, routers, firewall, gateway, etc.)
deben conectarse de forma cableada, ofreciendo mayor seguridad, estabilidad y
fiabilidad a la red. La red inalámbrica por tanto no sustituye a la cableada, sino
que se complementan. Normalmente, si aumenta la red es debido a dispositivos
finales, que se conectan de forma inalámbrica, por lo que una vez implementada
la estructura principal de la red, podrá ampliarse o trasladarse de una forma más
fácil y económica.
Además, en algunas ocasiones es necesario implementar una solución
inalámbrica, debido a la imposibilidad de instalar cableado, ya sea por la
orografía del terreno, por ser un edificio histórico, etc. Todas estas razones
unidas a las anteriormente explicadas, hacen que las redes inalámbricas de
datos aparezcan y se desarrollen de una manera muy rápida, siendo necesaria
la estandarización de normativas y recomendaciones que aseguren la
compatibilidad entre dispositivos de distintos fabricantes. Si bien fue la
recomendación 802.11 la que recogía cómo debería ser la capa física y la capa
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 9 de 177
MAC, no fue hasta la aparición de WECA en el año 1999 (Wireless Ethernet
Compatibility Alliance), cuando se fomentó la interoperabilidad entre fabricantes.
Haremos un poco de historia en el siguiente punto.
2.1.1 802.11. Definición, historia y grupos de tareas.
IEEE 802.11 es un grupo de trabajo perteneciente a IEEE que se encarga
de estandarizar todo lo referente a redes inalámbricas. En 1997 802.11 se hizo
realidad como estándar, definiendo dos tipos de transmisiones posibles.
a) Transmisión en la banda IR
b) Transmisión en RF.
Destacar que todos los protocolos que se usan en 802.3 a partir de la
capa MAC, es decir, LLC, IP, TCP, UDP, BGP, OSPF, RIP, etc. son válidos para
una red WLAN 802.11. Es decir, lo único que va a cambiar en una red
inalámbrica frente a una cableada es la capa física y la capa MAC (Figura 1). De
hecho este es el objetivo del grupo de trabajo 802.11, ya que se debe asegurar
la interoperatividad de ambas redes.
Figura 1. Familia IEEE 802 y su relación con el modelo OSI
A partir de la recomendación 802.11 surgieron varios estándares para
cada tipo de red, quedando resumidas las más importantes en la tabla 1:
802 802.1 802.2 Logical Link Control (LLC)
802.3MAC
802.5MAC
802.5PHY
802.11802.3 802.5
802.11 MAC
802.5PHY
802.11DSSS PHY
802.11aOFDM PHY
802.11nOFDM/DSS
S PHY
802.11FHSS PHY
Visión General y
arquitectura
GestiónN
ivel
Fí
sico
Niv
el d
e en
lace
802.11bHR/DSSS
PHY
802 802.1 802.2 Logical Link Control (LLC)
802.3MAC
802.5MAC
802.5PHY
802.11802.3 802.5
802.11 MAC
802.5PHY
802.11DSSS PHY
802.11aOFDM PHY
802.11nOFDM/DSS
S PHY
802.11FHSS PHY
Visión General y
arquitectura
GestiónN
ivel
Fí
sico
Niv
el d
e en
lace
802.11bHR/DSSS
PHY
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 10 de 177
WPAN WLAN WMAN WWAN
Bluetooth
802.11a 802.11b 802.11g 802.11n
HyperLan
MMDS LMDS
GSM CDMA GPRS 2.53G
Tabla 1: Estándares principales surgidos a partir de 802.11
El alcance de este proyecto incluye todos los estándares 802.11 para
redes WLAN, dejando al margen los demás estándares.
El grupo de trabajo 802.11 creó varios grupos de tareas para facilitar la
labor de estandarización, así como un avance continuado. De hecho hay
recomendaciones que a día de hoy aún están por terminar o acaban de hacerlo
(802.11n, 802.11f, 802.11w, etc.). Veamos los grupos de tareas más importantes
del grupo de trabajo 802.11:
PHY.- (Physical layer).- Encargados de definir la capa física.
Desarrollaron tres tipos de capas físicas. Las correspondientes a radio
frecuencia se desarrollan en el apartado Capa Física:
1. Infrarrojos.
2. DSSS en la banda de 2,4GHz.
3. FHSS en la banda de 2,4GHz
MAC.- Desarrollaron una capa MAC común a todas las capas físicas, en
conjunción con el grupo de tareas PHY.
802.11a.- La revisión 802.11a al estándar original fue ratificada en 1999.
El estándar 802.11a utiliza el mismo juego de protocolos de base que el
estándar original, opera en la banda de 5 Ghz y utiliza 52 subportadoras
mediante la técnica llamada orthogonal frequency-division multiplexing
(OFDM), con una velocidad máxima de 54 Mbit/s, lo que lo hace un
estándar práctico para redes inalámbricas con velocidades reales de
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 11 de 177
aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36,
24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales no
solapados, 8 para red inalámbrica y 4 para conexiones punto a punto.
No puede interoperar con equipos del estándar 802.11b, excepto si se
dispone de equipos que implementen ambos estándares.
Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda
usada por los teléfonos inalámbricos y los hornos de microondas, entre
otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del
estándar 802.11a, dado que se presentan menos interferencias. Sin
embargo, la utilización de esta banda también tiene sus desventajas,
dado que restringe el uso de los equipos 802.11a a únicamente puntos
en línea de vista, con lo que se hace necesario la instalación de un
mayor número de puntos de acceso; Esto significa también que los
equipos que trabajan con este estándar no pueden penetrar tan lejos
como los del estándar 802.11b dado que sus ondas son más fácilmente
absorbidas.
802.11b. La revisión 802.11b del estándar original fue ratificada en 1999.
802.11b tiene una velocidad máxima de transmisión de 11 Mbit/s y utiliza
el mismo método de acceso CSMA/CA definido en el estándar original.
El estándar 802.11b funciona en la banda de 2.4 GHz. Debido al espacio
ocupado por la codificación del protocolo CSMA/CA, en la práctica, la
velocidad máxima de transmisión con este estándar es de
aproximadamente 5.9 Mbit/s sobre TCP y 7.1 Mbit/s sobre UDP.
Aunque también utiliza una técnica de ensanchado de espectro basada
en DSSS, en realidad la extensión 802.11b introduce CCK
(Complementary Code Keying) para llegar a velocidades de 5,5 y 11
Mbps (tasa física de bit). El estándar también admite el uso de PBCC
(Packet Binary Convolutional Coding) como opcional. Los dispositivos
802.11b deben mantener la compatibilidad con el anterior equipamiento
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 12 de 177
DSSS especificado a la norma original IEEE 802.11 con velocidades de
bit de 1 y 2 Mbps.
802.11c.- Ratificado en 1998. Es un suplemento de 802.11d.
802.11d.- Este grupo de tarea se encargó de definir los requerimientos
de la capa física para los distintos países.
802.11e.- El objetivo del nuevo estándar 802.11e es introducir nuevos
mecanismos a nivel de capa MAC para soportar los servicios que
requieren garantías de Calidad de Servicio. Para cumplir con su objetivo
IEEE 802.11e introduce un nuevo elemento llamado Hybrid Coordination
Function (HCF) con dos tipos de acceso:
- (EDCA) Enhanced Distributed Channel Access
- (HCCA) Controlled Access.
802.11f.- Este grupo de tarea surge debido a la necesidad de crear un
protocolo de comunicación entre puntos de acceso, que permitan la
conectividad a nivel de enlace de varios clientes conectados a sendos
puntos de acceso y el roaming de clientes entre puntos de acceso. Fue
Ratificado en 2003. Un protocolo que usa esta recomendación es WDS.
Este protocolo se describe en profundidad en el apartado WDS.
802.11g.- En junio de 2003, se ratificó un tercer estándar de modulación:
802.11g. Que es la evolución del estándar 802.11b, Este utiliza la banda
de 2.4 Ghz (al igual que el estándar 802.11b) pero opera a una velocidad
teórica máxima de 54 Mbit/s, que en promedio es de 22.0 Mbit/s de
velocidad real de transferencia, similar a la del estándar 802.11a. Es
compatible con el estándar b y utiliza las mismas frecuencias. Buena
parte del proceso de diseño del estándar lo tomó el hacer compatibles
los dos estándares. Sin embargo, en redes bajo el estándar g la
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 13 de 177
presencia de nodos bajo el estándar b reduce significativamente la
velocidad de transmisión.
802.11n.- Este grupo de tareas tiene como objetivo desarrollar una
extensión de la capa física (PHY) que permita tasas de transferencias
mayores a 802.a/g, por encima de los 100 Mbps. Comenzó el desarrollo
en 2004 y aún está en su segundo borrador, aunque ya existen
dispositivos en el mercado que se han adelantado a la norma. Esta
recomendación se desarrolla en el apartado Recomendación 802.11n.
802.11i.- Este grupo de tareas ha desarrollado los mecanismos de
autenticación y seguridad para la capa MAC. Fue ratificado en Junio de
2004.
802.11w.- Cuando se definió la capa MAC, se definió el protocolo de
comunicación entre punto de acceso y cliente para la asociación y
autenticación (802.11i). Estas tramas se transmitían en texto plano, por
lo que cualquiera que tenga acceso al medio puede escucharlas e
imitarlas, lo que constituye una seria amenaza a la seguridad de los
sistemas. Este fallo de seguridad y otros aún más graves, se
desarrollarán en el apartado Seguridad wireless.
En la actualidad aún está en desarrollo. El grupo de tarea 802.11w está
trabajando en mejorar la capa del control de acceso del medio de IEEE
802.11 para aumentar la seguridad de los protocolos de autenticación y
codificación. Este estándar podrá proteger las redes contra la
interrupción causada por los sistemas malévolos que crean peticiones de
desasociación a los clientes asociados, que a ojos de estos parecen ser
enviadas por el punto de acceso al que están conectados. Se intenta
extender la protección que aporta el estándar 802.11i más allá de los
datos hasta las tramas de gestión, responsables de las principales
operaciones de una red.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 14 de 177
2.1.2 Wi-Fi Alliance
En un principio, tras salir los primeras trabajos del grupo 802.11, no se
tuvo en cuenta el testeo de los dispositivos que salían al mercado bajo dichas
recomendaciones, por lo que si existía interoperatividad de dispositivos era
debido a la casualidad.
Para paliar este defecto, surgió WECA (Wireless Ethernet Compatibility
Alliance) en 1999, compuesta por los principales fabricantes de dispositivos
wireless, 3Com, Aironet (ahora Cisco), Harris Semiconductor (ahora Intersil),
Lucent (ahora Agere), Nokia y Symbol Technologies.
Esta asociación se encargaba de testear y certificar la interoperabilidad de
los dispositivos wireless creados siguiendo la recomendación 802.11.
Wi-Fi Alliance fue el nombre con el que se renombró a sí mismo WECA en
Marzo del año 2000. Se creó el certificado Wi-Fi, que garantizaba que el
dispositivo que lo poseía había superado todas las pruebas de interoperatividad
realizadas por la asociación. Con la aparición del estándar 802.11a, 802.11b y
802.11g aparecieron dispositivos compatibles con todas las tecnologías, por lo
que el certificado debía indicar con cual era compatible y con cual no. En la
figura 2 se muestra un modelo de esta última etiqueta que se puede ver en los
dispositivos certificados.
Figura 2. Modelo de etiqueta de certificado Wi-Fi
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 15 de 177
2.2 Tecnología aplicada en 802.11
2.2.1 Capa Física
2.2.1.1 Introducción
El grupo de tareas denominado PHY fue el encargado de diseñar las
capas físicas para comunicaciones wireless bajo la recomendación 802.11. En
un principio se estandarizaron tres capas físicas:
1. FHSS (Frequency Hopping Spread Spectrum)
2. DSSS (Direct Sequence Spread Spectrum)
3. Luz Infraroja en banda base
Centrándonos en las soluciones adoptadas para radio frecuencia, cabe
destacar varias cosas:
a) Las bandas de frecuencias elegidas para las transmisiones son las
denominadas ICM (Industrial, científicas y médicas), debido a la
posibilidad de operar en ellas sin licencia. Esto conlleva a que multitud
de dispositivos compartan esta banda de transmisión (teléfonos
inalámbricos, garajes, sensores, etc.), por lo que las interferencias van
a ser un factor muy importante a tener en cuenta. Las bandas ICM son
tres:
902-928 MHz
2400-2483.5 MHz
5.725-5850 MHz
b) La técnica de modulación elegida es la de espectro expandido, ya que
es una de las más robustas frente a interferencias, y ofrece facilidad
para ser encriptada.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 16 de 177
Posteriormente se estandarizaron más capas físicas, para permitir el
trabajo en otra banda de frecuencias o para conseguir una mayor velocidad de
transmisión de datos, siendo responsabilidad de los grupos de tareas 802.11a,
802.11b, 802.11g y el aún en su segundo borrador 802.11n. Un resumen se
muestra en la tabla 2.
Estándar Frecuencia Año Capa Física Velocidad
802.11 2,4 GHz 1997 DSSS FHSS
Infrarojo 2 Mbps
802.11a 5 GHz 1999 OFDM 54 Mbps
802.11b 2,4 GHz 1999 DSSS 11 Mbps 802.11g 2,4 GHz 2003 DSSS, OFDM 54 Mbps
802.11n 2,4 y 5 GHz No acabado (2009)
OFDM, MIMO, LDPC 248 Mbps
Tabla 2. Comparación de las características de la capa física de los diferentes estándares 802.11
2.2.1.2 Arquitectura
La capa física se divide en dos subcapas:
PLCP (Physical Layer Convergence Procedure). - Une la capa física con
la capa MAC. Añade su propia cabecera e incluye un preámbulo para
facilitar la sincronización de las transmisiones entrantes. Es la que añade
el código convolucional, la cabecera para sincronización, etc. Su tarea
es traspasar los bits a enviar a la capa siguiente: PMD
PMD (Physical Medium Dependent). – Es la responsable de transmitir
cualquier bit que reciba de la subcapa PLCP a través de la antena, para
lo que debe usar la modulación correspondiente según el estándar y lo
que le haya indicado la capa PLCP. Veremos que este tipo de
modulaciones varían en cada estándar, siendo las más comunes las
modulaciones PSK y QAM.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 17 de 177
2.2.1.3 FHSS
La tecnología de espectro ensanchado por salto en frecuencia (FHSS)
consiste en transmitir una parte de la información en una determinada frecuencia
durante un intervalo de tiempo llamada dwell time e inferior a 400 ms. Pasado
este tiempo se cambia la frecuencia de emisión y se sigue transmitiendo a otra
frecuencia. De esta manera cada tramo de información se va transmitiendo en
una frecuencia distinta durante un intervalo muy corto de tiempo.
El orden en los
saltos en frecuencia se
determina según una
secuencia seudo-
aleatoria almacenada en
unas tablas, y que tanto
el emisor y el receptor
deben conocer.
Figura 3.- Técnica FHSS
Si se mantiene la sincronización en los saltos de frecuencias se consigue
que, aunque en el tiempo se cambie de canal físico, a nivel lógico se mantiene
un solo canal por el que se realiza la comunicación.
Esta técnica también utiliza la zona de los 2.4GHz, la cual organiza en 79
canales con un ancho de banda de 1MHz cada uno. El número de saltos por
segundo es regulado por cada país, así, por ejemplo, Estados Unidos fija una
tasa mínima de saltas de 2.5 por segundo.
El estándar IEEE 802.11 define la modulación aplicable en este caso. Se
utiliza la modulación en frecuencia FSK (Frequency Shift Keying), con una
velocidad de 1Mbps ampliable a 2Mbps.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 18 de 177
2.2.1.4 DSSS
En esta técnica se genera un patrón de bits redundante (señal de chip)
para cada uno de los bits que componen la señal. Cuanto mayor sea esta señal,
mayor será la resistencia de la señal a las interferencias. El estándar IEEE
802.11 recomienda un tamaño de 11 bits para la señal de chip, pero el óptimo es
de 100. En recepción es necesario realizar el proceso inverso para obtener la
información original.
La secuencia de bits utilizada para modular los bits se conoce como
secuencia de Barker (también llamado código de dispersión o pseudoruido). Es
una secuencia rápida diseñada para que aparezca aproximadamente la misma
cantidad de 1 que de 0. Un ejemplo de esta secuencia es el siguiente:
+1 –1 +1 +1 –1 +1 +1 +1 –1 –1 –1 –1. Un ejemplo de transmisión usando
esta técnica se aprecia en la figura 3.
Solo los receptores a los que
el emisor haya enviado previamente
la secuencia podrán recomponer la
señal original. Además, al sustituir
cada bit de datos a transmitir, por
una secuencia de 11 bits
equivalente, aunque parte de la señal
de transmisión se vea afectada por
interferencias, el receptor aún puede
reconstruir fácilmente la información
a partir de la señal recibida.
Figura 4.- Secuencia de Barker
Esta secuencia proporciona 10.4dB de aumento del proceso, el cual reúne
los requisitos mínimos para las reglas fijadas por la FCC.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 19 de 177
A continuación podemos observar como se utiliza la secuencia de Barker
para codificar la señal original a transmitir:
Una vez aplicada la señal de chip, el estándar IEEE 802.11 ha definido
dos tipos de modulación para la técnica de espectro ensanchado por secuencia
directa (DSSS), la modulación DBPSK (Differential Binary Phase Shift Keying) y
la modulación DQPSK (Differential Quadrature Phase Shift Keying), que
proporcionan una velocidad de transferencia de 1 y 2 Mbps respectivamente.
En el caso de Estados Unidos y Europa la tecnología DSSS utiliza un
rango de frecuencias que va desde los 2,4 GHz hasta los 2,4835 GHz, lo que
permite tener un ancho de banda total de 83,5 MHz. Este ancho de banda se
subdivide en 14 canales, espaciados entre sí 5 MHz. De los 11 primeros
canales, sólo los canales 1, 6 y 11 no producen interferencias entre sí, ya que el
ancho de canal efectivo es de 22 MHz. Esto se aprecia en la figura 5. Cada país
esta autorizado a utilizar un subconjunto de estos canales. En el caso de España
se utilizan los canales desde el 1 hasta el 11, que corresponden a una
frecuencia central de 2,412 GHz y 2,462 GHz.
Figura 5.- Canales utilizables para DSSS
En configuraciones donde existan mas de una celda, estas pueden operar
simultáneamente y sin interferencias siempre y cuando la diferencia entre las
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 20 de 177
frecuencias centrales de las distintas celdas sea de al menos 30 MHz, lo que
reduce a tres el número de canales independientes y funcionando
simultáneamente en el ancho de banda total de 83,5 MHz. Esta independencia
entre canales nos permite aumentar la capacidad del sistema de forma lineal.
2.2.1.5 802.11b y HR-DSSS
El IEEE revisó el estándar de la capa física, y en esta revisión, conocida
como 802.11b, además de otras mejoras en seguridad, aumenta la velocidad de
2Mbps hasta los 11Mbps, lo que incrementa notablemente el rendimiento de
este tipo de redes.
Se conservan los modos DSSS a 1 Mbps y a 2 Mbps. Con lo que se
apreciará un sistema casi igual, solo que un poco más eficiente y compatible con
las nuevas características de 802.11b.
Una de las mejoras importantes en 802.11b fue el agregado de la
modulación CCK (Complementary Codes Keying), que permite tasas de
transmisión de 5.5 Mbps y 11 Mbps. La extensión del código esta basada en 4 y
8 códigos complementarios respectivamente, como una codificación sobre
DQPSK. Para la modulación CCK se crea una mini compresión basada en un
algoritmo que crea una palabra código C = c0 a c7, el cuarto y séptimo símbolo
son rotados en 180º para una cobertura de secuencia y para optimizar las
propiedades de correlación de la secuencia. Existen 2 modos CCK:
Modo CCK 5,5 Mbps. - Se transmiten 4 bits por símbolo, por lo que es
posible alcanzar la tasa de 5,5 Mbps.
Modo CCK 11 Mbps. – Se transmiten 8 bits por símbolo, por lo que es
posible alcanzar la tasa de 11 Mbps.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 21 de 177
2.2.1.6 802.11a y OFDM
El estándar 802.11 a introduce una nueva técnica de espectro expandido
más compleja pero más eficiente: OFDM (Orthogonal Frecuency Division
Multiplexing). Esta técnica permite conseguir tasas de hasta 54 Mbps.
OFDM no es una técnica que se utilizó por primera vez en este tipo de
transmisiones, sino que ya existía en multitud de tecnologías, como DSL.
OFDM es parecida a una técnica más antigua, FDM. Ambas técnicas
dividen el espectro disponible, de forma que la portadora de cada segmento no
se solapen entre sí. De esta forma puede usar distintos canales sin que haya
problemas de interferencias de canal. La diferencia es que si bien FDM dejaba
un ancho de guarda entre canales, OFDM aprovecha mucho más el espectro, ya
que no solo se aprovecha esa guarda, sino que los diferentes canales se
solapan en frecuencia. Esto no significa que interfieran, ya que se eligen
portadoras de forma que sean ortogonales, por lo que son fácilmente separadas
usando la FFT (Fast Fourier Transform).
Si bien en las técnicas usadas anteriormente el principal problema es la
interferencia intersímbolo (ISI), con el uso de la FFT, este problema
prácticamente desaparece, pero aparece otro relacionado con la ortogonalidad y
la sincronización. Hemos visto que para que se demodule correctamente
mediante la FFT dos señales que solapen en frecuencia, es necesario que sus
portadoras sean ortogonales. Cualquier cambio en las frecuencias de las
portadoras, hace que no sean totalmente ortogonales e interfieran entre sí,
dependiendo la magnitud de la interferencia de lo importante que sea esa
desviación en frecuencia. Es por ello que aparece un nuevo problema que puede
hacer que las portadoras no sean ortogonales entre sí. Este efecto es
denominado ICI (Inter Carrier Interferente) y puede ser debido a dos factores:
1. Efecto Doppler. La velocidad del transmisor o del receptor puede variar
las frecuencias.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 22 de 177
2. Falta de sincronización del transmisor o del receptor.
Independientemente de la técnica usada, vamos a tener un problema de
interferencias de otros usuarios y de otros dispositivos, por lo que en OFDM se
transmite un código convolucional con R=1/2 mediante el algoritmo de Viterbi.
Este código ayuda en el receptor a reconstruir los bits transmitidos en el caso de
que se haya producido alguna interferencia y hayamos perdido algún bit.
2.2.1.6.1 Estructura del canal
La capa física OFDM organiza el ancho de banda en canales, tal y como
lo hacen las demás capas físicas. Cada canal de 20 MHz está compuesto por
52 subportadoras. Cuatro de esas subportadoras se usan para monitorizar la
interferencia entre portadoras (ICI), mientras que las 48 restantes se usan para
la transmisión de datos. Las portadoras están separadas 0.3125 MHz entre sí y
se numeran desde -26 hasta 26. La número 0 no se transmite porque no puede
ser procesada. Las portadoras que se usan para monitorizar la ICI, son las
números ±7 y ±21.
Figura 6. Suportadotas de un canal OFDM de 20 MHz
La banda de frecuencias elegida para 802.11a se encuentra en los 5 GHz,
de hecho hay tres bandas:
5.15-5.25 GHz. – Potencia máxima de transmisión: 40 mW
5.25-5.35 GHz. – Potencia máxima de transmisión: 200 mW
5.725-5.825 GHz. – Potencia máxima de transmisión: 800 mW
FrecuenciaCentral
Nº dePortadora
FrecuenciaCentral
Nº dePortadora
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 23 de 177
En la figura 7 puede observarse un esquema con los 12 canales de 20
MHz disponibles para el estándar 802.11a.
Figura 7. Canales Operativos 802.11a
2.2.1.6.2 Modulaciones usadas en 802.11a
Hay multitud de esquemas de modulación utilizables en 802.11a, que
soportan velocidades desde los 6 Mbps hasta los 54 Mbps. Para la más baja
modulación, se usa modulación BPSK, que codifica un solo bit por cada canal,
como hay 48 subcanales de datos, tendremos 48 bits por símbolo. En este caso
se usa un código convolucional con R=1/2, por lo que la mitad de los bits son
redundantes para el control de errores. Esto nos deja con 24 bits por símbolo, lo
que conlleva la tasa de 6 Mbps. Para la tasa de 54 Mbps, se usa una modulación
64-QAM con R=3/4, por lo que se transmiten 6 bits por cada subportadora; como
son 48 subportadoras, se transmiten 288 bits por símbolos de los cuales ¼ es
redundante debido al código convolucional con R=3/4. Esto nos deja una tasa de
216 bits por símbolo, 9 veces mayor que el ejemplo anterior, que hace que la
tasa se eleve hasta los 54 Mbps. Un resumen de las tasas y modulaciones
usadas están en la tabla 3.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 24 de 177
Hay que decir que la probabilidad de error crece al usar modulaciones con
más puntos en su constelación, y la capacidad de corrección de errores
disminuye al reducir bits redundantes, por lo que para poder conseguir tasas de
54 Mbps debemos obtener una buena potencia de recepción, lo que implica
estar cerca del receptor. A medida que alejemos receptor de transmisor, habrá
que usar una tasa de bits menor, que permita mantener una misma calidad del
servicio.
Modulación y tasa (R)
Velocidad (Mbps)
Bits por subportadora
Bits por símbolo
Bits de datos por símbolo
BPSK, R=1/2 6 1 48 24
BPSK, R=3/4 9 1 48 36
QPSK, R=1/2 12 2 96 48
QPSK, R=3/4 18 2 96 72
16QAM, R=1/2 24 4 192 96
16QAM, R=3/4 36 4 192 144
64QAM, R=2/3 48 6 288 192
64QAM, R=3/4 54 6 288 216
Tabla 3. Modulaciones y tasas en 802.11a
2.2.1.7 802.11g y DSSS-OFDM
El estándar se ratifica en 2003 y trata de trasladar a la banda de 2,4 GHz,
lo conseguido por 802.11a en la banda de 5 GHz, por lo que puede alcanzarse
velocidades de hasta 54 Mbps, al igual que en 802.11a. Se persigue también
compatibilidad con 802.11b, así como con el estándar 802.11. Los canales
utilizados son los mismos 14 canales que se han visto en 802.11b, que vimos
que se solapaban, por lo que esto es un inconveniente de 802.11g frente a
802.11a, cuyos canales no se solapan. En cambio, al utilizar una frecuencia más
baja que 802.11a, el alcance será algo mayor.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 25 de 177
No entraremos en el detalle de la capa física, porque lo visto en los
estándares 802.11b y 802.11a es aplicable al estándar 802.11g. En las tabla 4
puede observarse las distintas modalidades de capas físicas que se ofrecen en
802.11g para permitir la compatibilidad antes mencionada.
Técnica de Modulación Velocidad alcanzada Compatible con estándar
ERP-DSSS 1 y 2 Mbps 802.11
ERP-CCK (HR-DSSS) 5.5 y 11 Mbps 802.11b
ERP-OFDM 6, 9, 12, 18, 24, 36, 48 y 54 Mbps
ERP-PBCC 5.5, 11, 22 y 33 Mbps
DSSS-OFDM 6, 9, 12, 18, 24, 36, 48 y 54 Mbps
Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad
2.2.2 Capa MAC
2.2.2.1 Introducción
Como se ha mencionado anteriormente, las redes inalámbricas 802.11 se
diferencian de las cableadas 802.3 en el nivel físico y en el nivel de enlace
(concretamente en la capa MAC). Hemos visto cómo es el nivel físico en este
tipo de redes, pero nos falta ver como es la capa MAC, así como las principales
diferencias con 802.3.
Diseñar un protocolo de acceso al medio para las redes inalámbricas es
mucho más complejo que hacerlo para redes cableadas, ya que deben de
tenerse en cuenta las dos topologías de una red inalámbrica:
Ad-hoc (Redes peer-to-peer). Varios equipos forman una red de
intercambio de información sin necesidad de elementos auxiliares. Este
tipo de redes se utiliza en grupos de trabajo, reuniones, conferencias...
Basadas en infraestructura: La red inalámbrica se crea como una
extensión a la red existente basada en cable. Los elementos
inalámbricos se conectan a la red cableada por medio de un punto de
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 26 de 177
acceso o un PC Bridge, siendo estos los que controlan el tráfico entre las
estaciones inalámbricas y las transmisiones entre la red inalámbrica y la
red cableada.
Además de los dos tipos de topología diferentes se tiene que tener en
cuenta:
a) Perturbaciones ambientales (interferencias)
b) Variaciones en la potencia de la señal
c) Conexiones y desconexiones repentinas en la red
d) Roaming. Nodos móviles que van pasando de celda en celda.
A pesar de todo ello la norma IEEE 802.11 define una única capa MAC
(dividida en dos subcapas) para todas las redes físicas, ayudando a la
fabricación en serie de chips.
2.2.2.2 Mecanismos de acceso al medio
Hay dos clases principalmente, aunque también se han diseñado
protocolos que son una mezcla de ambos.
1. Protocolos con arbitraje. – FDMA (Frequency Division Multiple
Access), TDMA (Time Division Multiple Access). La ventaja de este
protocolo es la no interferencia entre usuarios. La desventaja, la
pérdida de velocidad al repartir el ancho de banda total entre los
usuarios.
2. Protocolos de contienda CSMA/CA (Carrier Sense Multiple Access
Collision Avoidance), CDMA (Code Division Multiple Access) y el
CSMA/CD (Carrier Sense Multiple Access Collision Detection). Como
ventajas tenemos que cada usuario usa el ancho de banda
completamente. La desventaja es la posibilidad de que dos usuarios
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 27 de 177
accedan al medio a la vez e interfieran. Esta posibilidad se intenta
reducir de varias formas, las cuales se explican más adelante.
2.2.2.2.1 Protocolos con arbitraje
La multiplexación en frecuencia (FDM) divide todo el ancho de banda
asignado en distintos canales individuales. Es un mecanismo simple que permite
el acceso inmediato al canal, pero muy ineficiente para utilizarse en sistemas
informáticos, los cuales presentan un comportamiento típico de transmisión de
información por breves períodos de tiempo (ráfagas).
Una alternativa a este sería asignar todo el ancho de banda disponible a
cada nodo en la red durante un breve intervalo de tiempo de manera cíclica.
Este mecanismo, se llama multiplexación en el tiempo (TDM) y requiere
mecanismos muy precisos de sincronización entre los nodos participantes para
evitar interferencias. Este esquema ha sido utilizado con cierto éxito sobre todo
en las redes inalámbricas basadas en infraestructura, donde el punto de acceso
puede realizar las funciones de coordinación entre los nodos remotos.
2.2.2.2.2 Protocolos de acceso por contienda
Estos tipos de protocolos guardan similitudes con los usados en redes
cableadas 802.3.
CDMA (Code division multiple access) Es un protocolo de acceso
múltiple por división de código.
Se aplica específicamente a los sistemas de radio de banda esparcida
basados en una secuencia PN. En este esquema se asigna una
secuencia PN distinta a cada nodo, y todos los nodos pueden conocer el
conjunto completo de secuencias PN pertenecientes a los demás nodos.
Para comunicarse con otro nodo, el transmisor solo tiene que utilizar la
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 28 de 177
secuencia PN del destinatario. De esta forma se pueden tener múltiples
comunicaciones entre diferentes pares de nodos.
CSMA/CD (Carrier Sense Multiple Access Collision Detection). – Es
un protocolo de acceso múltiple con detección de colisión.
Como en radiofrecuencia ni en infrarrojos no es posible transmitir y
recibir al mismo tiempo, la detección de errores no funciona en la forma
básica que fue expuesta para las LAN cableadas. Se diseñó una
variación denominada detección de colisiones (peine) para redes
inalámbricas. En este esquema, cuando un nodo tiene una trama que
transmitir, lo primero que hace es generar una secuencia binaria
pseudoaleatoria corta, llamada peine la cual se añade al preámbulo de la
trama. A continuación, el nodo realiza la detección de la portadora si el
canal está libre transmite la secuencia del peine. Por cada 1 del peine el
nodo transmite una señal durante un intervalo de tiempo corto. Para
cada 0 del peine, el nodo cambia a modo de recepción. Si un nodo
detecta una señal durante el modo de recepción deja de competir por el
canal y espera hasta que los otros nodos hayan transmitido su trama.
La eficiencia del esquema depende del número de bits de la secuencia
del peine ya que si dos nodos generan la misma secuencia, se producirá
una colisión.
CSMA/CA (Carrier Sense Multiple Access Collision Avoidance). Es
un protocolo de múltiple acceso que evita colisiones.
Este protocolo es el más utilizado. Evita colisiones en lugar de descubrir
una colisión, como el algoritmo usado en la 802.3, ya que en una red
inalámbrica es difícil descubrir colisiones. Es por ello que se utiliza el
CSMA/CA y no el CSMA/CD debido a que entre el final y el principio de
una transmisión suelen provocarse colisiones en el medio. En
CSMA/CA, cuando una estación identifica el fin de una transmisión
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 29 de 177
espera un tiempo aleatorio antes de transmitir su información,
disminuyendo así la posibilidad de colisiones. Esto puede observarse en
la figura 8:
Figura 8. Funcionamiento de CSMA/CA
La capa MAC opera junto con la capa física probando la energía sobre el
medio de transmisión de datos. La capa física utiliza un algoritmo de estimación
de desocupación de canales (CCA) para determinar si el canal está vacío. Esto
se cumple midiendo la energía de radio frecuencia de la antena y determinando
la fuerza de la señal recibida. Esta señal medida es normalmente conocida como
RSSI.
Si la fuerza de la señal recibida está por debajo de un umbral
especificado, el canal se considera vacío, y a la capa MAC se le da el estado del
canal vacío para la transmisión de los datos. Si la energía RF está por encima
del umbral, las transmisiones de los datos son retrasadas de acuerdo con las
reglas protocolares.
El Standard proporciona otra opción CCA que puede estar sola o con la
medida RSSI. El sentido de la portadora puede usarse para determinar si el
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 30 de 177
canal está disponible. Esta técnica es más selectiva ya que verifica que la señal
es del mismo tipo de portadora que los transmisores del 802.11.
En comunicaciones inalámbricas, este modelo presenta todavía una
deficiencia debida al problema conocido como el nodo escondido (Véase Figura
9).
Figura 9. Problema del nodo escondido
Un dispositivo inalámbrico (Terminal 2) puede transmitir con la potencia
suficiente para que sea escuchado por un Punto de Acceso, pero no por otra
estación (Terminal 1) que también desea transmitir y que por tanto no detecta la
transmisión.
Para resolver este problema, la norma 802.11 ha añadido al protocolo de
acceso CSMA/CA un mecanismo de intercambio de mensajes con
reconocimiento positivo, al que denomina Reservation-Based Protocol, que es la
2ª subcapa MAC.
Cuando una estación está lista para transmitir, primero envía una solicitud
(destino y longitud del mensaje) al punto de acceso (RTS “request to send”)
quien difunde el NAV (Network Allocation Vector), un tiempo de retardo basado
en el tamaño de la trama contenido en la trama RTS de solicitud a todos los
demás nodos para que queden informados de que se va a transmitir (para que
por lo tanto no transmitan) y cuál va a ser la duración de la transmisión. Estos
nodos dejarán de transmitir durante el tiempo indicado por el NAV más un
intervalo extra de backoff (tiempo de retroceso) aleatorio. Si no encuentra
problemas, responde con una autorización (CTS “clear to send”) que permite al
Terminal 1 Terminal 2
Punto de acceso
Terminal 1 Terminal 2
Punto de acceso
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 31 de 177
solicitante enviar su trama (datos). Si no se recibe la trama CTS, se supone que
ocurrió una colisión y los procesos RTS empiezan de nuevo.
Figura 10.- Funcionamiento del protocolo basado en reserva del canal
Después de que se recibe la trama de los datos, se devuelve una trama
de reconocimiento (ACK ACKnowledged) notificando al transmisor que se ha
recibido correctamente la información (sin colisiones).
Aún así permanece el problema de que las tramas RTS sean enviadas
por varias estaciones a la vez, sin embargo estas colisiones son menos dañinas
ya que el tiempo de duración de estas tramas es relativamente corto.
Existen problemas comunes a todos los mecanismos de acceso al medio
que están siendo mejorados mediante la revisión de la norma. Los resultados
garantizarán una calidad de servicio en redes wireless y se publicarán bajo la
recomendación 802.11e. Estos problemas son:
No existe noción de tráfico de baja o alta prioridad.
Una vez que una estación gana el acceso al medio, lo mantiene a su
elección, por lo que si está conectado a una tasa baja, por ejemplo a 1
RTS
CTS
Data
ACKN
AV:
Acc
eso
retr
asad
o
Terminal 1 Terminal nPunto de acceso
RTS
CTS
Data
ACKN
AV:
Acc
eso
retr
asad
o
Terminal 1 Terminal nPunto de acceso
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 32 de 177
Mbps, y tiene muchos datos que transmitir, el medio estará ocupado por
un largo período de tiempo.
Esto se resume en que no está garantizada una calidad de servicio.
Este mismo protocolo también puede utilizarse si no existen dispositivos
auxiliares en las redes ad-hoc, en este caso no aparecería la trama NAV.
2.2.2.3 Formato de tramas
Debido a las peculiaridades de un enlace de datos inalámbrico, la trama
MAC tiene varias peculiaridades que la diferencian de la trama MAC en Ethernet.
Una de ellas es el uso de cuatro campos de dirección en lugar de dos. El porqué
usar cuatro campos de dirección, tiene que ver con el sistema de distribución
inalámbrico (en inglés WDS). Este caso se estudia en detalle en el apartado
WDS.
En la figura 11 podemos apreciar el formato de la trama MAC. Los
campos son transmitidos de izquierda a derecha, estando el bit más significativo
el último.
Figura 11. Formato de trama MAC y trama de control
Se aprecia que la trama MAC 802.11 no incluye varias características de
la trama Ethernet 802.3, como el campo tipo/longitud y el preámbulo. El
preámbulo ahora forma parte de la capa física, y los detalles de la trama como el
tipo y la longitud se incluyen en la cabecera de la trama 802.11 añadida en la
capa física.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 33 de 177
El campo “Frame Control”, indica el tipo de trama que se transmite,
mediante los cambos tipo y subtipo. Las tramas de gestión son las que poseen
los dos bits del campo tipo a 0. Son las usadas en el intercambio de información
para la asociación y autenticación de un cliente:
Association request
Association response
Reassociation request
Reassociation response
Probe request
Probe response
Beacon
Disassociation
Authentication
Deauthentication
Las tramas con el tipo 01 corresponden a las de control, y las del tipo 10 a
las tramas de datos. El tipo 11 está reservado. En el siguiente apartado se ve en
detalle como se produce la autenticación y la asociación de un cliente.
2.2.2.4 Mecanismo de autenticación y asociación estándar
En la figura 12 podemos observar los estados en los que puede
encontrarse un cliente que quiere asociarse con un punto de acceso (a partir de
ahora, AP por su sigla en Inglés). Puede apreciarse que son 3 estados, entre los
cuales se intercambian las tramas de gestión vistas en el apartado anterior.
El proceso de asociación tiene dos pasos, envueltos en 3 estados:
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 34 de 177
1. No autenticado y no asociado
2. Autenticado y no asociado
3. Autenticado y asociado
En la transición por los diferentes estados, ambas partes (cliente y AP)
intercambian tramas de gestión.
Figura 12. Estados y transiciones para la autenticación de un cliente
El proceso que realiza un cliente wireless para encontrar y asociarse con
un AP es el siguiente:
Los AP transmiten BEACON FRAMES cada cierto intervalo de tiempo fijo.
Para asociarse con un AP y unirse a una red en modo infraestructura, un cliente
escucha en busca de BEACON FRAMES para identificar Puntos de Acceso. El
cliente también puede enviar una trama “PROVE REQUEST” que contenga un
ESSID determinado para ver si le responde un AP que tenga el mismo ESSID.
Después de identificar al AP, el cliente y el AP realizan autenticación
mutua intercambiando varias tramas de gestión como parte del proceso.
Después de una autenticación realizada con éxito, el cliente pasa a estar
en el segundo estado (autenticado y no asociado). Para llegar al tercer estado
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 35 de 177
(autenticado y asociado) el cliente debe mandar una trama “ASSOCIATION
REQUEST” y el AP debe contestar con una trama “ASSOCIATION
RESPONSE”. Desde ese momento, el cliente se convierte en un host más de la
red wireless y ya está listo para enviar y recibir datos de la red.
Este es el mecanismo descrito por el estándar 802.11. Cabe decir que
aunque se use cifrado WEP, estas tramas se intercambian en “texto plano”, lo
que constituye una de las vulnerabilidades más importantes en la seguridad de
las redes wireless. Además, todos los clientes son autenticados, sin
restricciones. Existen mecanismos de autenticación posteriores a la norma
(Radius por ejemplo) más sofisticados, que corrigen este problema.
Actualmente, el estándar 802.11w está trabajando para tratar de paliar este
error. En el apartado Seguridad wireless de este documento puede verse en
detalle cómo se aprovecha esta vulnerabilidad para producir diversos ataques.
2.3 Organización y características de una red wireless
2.3.1 Topologías y configuraciones
Podremos encontrar redes inalámbricas con 2 topologías, donde la
diferencia radica en la existencia o no de puntos de acceso que actúen como
encaminadores y/o puentes entre las distintas estaciones.
Ad hoc.- Esta topología se caracteriza por que no hay Punto de Acceso,
las estaciones se comunican directamente entre si (peer-to-peer), de
esta manera el área de cobertura está limitada por el alcance de cada
estación individual. Para que haya comunicación entre todas las
estaciones, es necesaria que todas estén en el radio de cobertura de
todas, es decir, no se puede usar la estación B para poder llegar a la C,
sino que debemos tener un enlace con B y con C.
Infraestructura.- Esta es la más común y consiste en que las estaciones
se conectan entre sí mediante un punto de acceso, ofreciendo este la
conectividad entre todas las estaciones conectadas al punto de acceso.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 36 de 177
Puede haber uno o más puntos de acceso, pudiendo estar estos
conectados a una red LAN y ofrecer conectividad desde y hacia esta red.
Figura 13.Ejemplo de red inalámbrica con topología de infraestructura
2.3.2 Direccionamiento
Direcciones IP, direccionamiento de redes, enrutamiento y reenvío son
conceptos relacionados e importantes en redes Internet. Una dirección IP es un
identificador para un nodo de red como un PC, un servidor, un enrutador o un
puente. El direccionamiento de redes es un sistema usado para asignar estos
identificadores en grupos convenientes. El enrutamiento mantiene un registro del
lugar en la red donde están ubicados esos grupos. Los resultados del proceso
de enrutamiento se guardan en una lista llamada tabla de enrutamiento. El
reenvío es la acción de usar la tabla de enrutamiento para mandar un paquete al
destino final o al "próximo salto" en la dirección a ese destino.
En una red IPv4, la dirección es un número de 32 bits, usualmente escrito
como 4 números de 8 bits expresados en forma decimal, separados por puntos.
Algunos ejemplos de direcciones IP son 10.0.17.1, 192.168.1.1 ó 172.16.5.23.
Las redes interconectadas deben ponerse de acuerdo sobre un plan de
direccionamiento IP. En Internet, hay comités de personas que asignan las
direcciones IP con un método consistente y coherente para garantizar que no se
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 37 de 177
dupliquen las direcciones, y establecen nombres que representan a grupos de
direcciones. Esos grupos de direcciones son denominados subredes, o subnets.
Grandes subnets pueden ser subdivididas en subnets más pequeñas. Algunas
veces un grupo de direcciones relacionadas se denomina espacio de
direcciones.
En Internet, ninguna persona u organización posee realmente estos
grupos de direcciones porque las direcciones sólo tienen significado si el resto
de la comunidad de Internet se pone de acuerdo sobre su uso. Mediante
acuerdos, las direcciones son asignadas a organizaciones en relación con sus
necesidades y tamaño. Una organización a la cual se le ha asignado un rango
de direcciones, puede asignar una porción de ese rango a otra organización
como parte de un contrato de servicio. Las direcciones que han sido asignadas
de esta manera, comenzando con comités reconocidos internacionalmente, y
luego repartidas jerárquicamente por comités nacionales o regionales, son
denominadas direcciones IP enrutadas globalmente.
Algunas veces es inconveniente o imposible obtener más de una dirección
IP enrutada globalmente para un individuo u organización. En este caso, se
puede usar una técnica conocida como Traducción de Direcciones de Red o
NAT (Network Address Translation). Un dispositivo NAT es un enrutador con dos
puertos de red. El puerto externo utiliza una dirección IP enrutada globalmente,
mientras que el puerto interno utiliza una dirección IP de un rango especial
conocido como direcciones privadas4. El enrutador NAT permite que una única
dirección global sea compartida por todos los usuarios internos, los cuales usan
direcciones privadas. A medida que los paquetes pasan por él los convierte de
una forma de direccionamiento a otra. Al usuario le parece que está conectado
directamente a Internet y que no requieren software o controladores especiales
para compartir una única dirección IP enrutada globalmente.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 38 de 177
2.3.2.1 Direcciones IP Globales para España
Cada grupo wireless necesita de un rango de direcciones IP para
posibilitar la conexión de los nodos con los equipos de los clientes, la conexión
de los nodos entre sí y finalmente para posibilitar la conexión con otros grupos
wireless, otros entes externos e Internet. Varios grupos wireless internacionales
que ya han montado sus propias redes wireless han empezado a usar
direcciones IPs privadas por la facilidad de usar estas direcciones IP sin tener
que consultar a nadie y para evitar pagar por ellas. Al pedir direcciones IP
oficiales existe un compromiso de conectar estas direcciones IP a Internet y de
justificar el número pedido y su uso, algo a menudo difícil para un proyecto
nuevo.
En este momento no se considera necesario esta petición de direcciones
IPs públicas aunque no se descarta la posibilidad en el futuro.
Los tres grupos de direcciones IP reservados para uso privado son:
• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
El grupo RedLibre ha planteado un uso de direcciones IP en todo España
utilizando la red 10.0.0.0/8, dividiendo este rango entre diferentes provincias y
ciudades.
Véase http://www.redlibre.net/direccionamiento.php para más información.
En principio su planteamiento parece correcto y se puede aplicar. Es
necesario asegurar que las direcciones IP de un grupo no coinciden con las de
otro porque así se haría imposible la interconexión de los grupos.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 39 de 177
Se recomienda que si un grupo nuevo necesita de un grupo de
direcciones IP que hable con el resto de los grupos wireless en España para
conseguir un rango de direcciones que evitará conflictos en el futuro.
Un ejemplo de esto es el caso de Madrid, donde RedLibre,
MadridWireless y AlcalaWireless necesitan de direcciones IP que no llevan
conflictos.
RedLibre había planteado la asignación de direcciones en Madrid
utilizando el rango 10.0.0.0-10.15.0.0, inicialmente para sus propias redes. Sin
embargo había adaptado este planteamiento para que otros grupos pudieran
utilizar un subrango de direcciones IP, de mutuo acuerdo y los dos grupos no se
interfirieran entre sí.
De esta manera cualquier red wireless que pueda aparecer en España o
en una ciudad grande se asegura un rango de direcciones IP propias y libres
permitiendo además la futura conexión entre estas.
Como se verá más adelante también será necesario asignar direcciones
IP para la conexión de los nodos entre sí, para formar el backbone de la red de
un grupo wireless. En este caso se usará el rango de direcciones IP
172.16.0.0/12.
Se usará otro subrango, todavía sin definir de las direcciones IP
172.16.0.0/12 para la asignación de puntos de interconexión entre diferentes
grupos.
En el caso de que un grupo agotara del bloque de direcciones IP antes
acordado y necesite una posterior asignación de direcciones el grupo debe
volver a hablar con el resto de los grupos para acordar un nuevo bloque de
direcciones que podría usar, siguiendo el esquema propuesto por RedLibre u
otro acordado entre los distintos grupos si no hay inconveniente.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 40 de 177
2.3.3 Enrutamiento en redes inalámbricas
Internet está cambiando y creciendo constantemente. Continuamente se
agregan nuevas redes, se añaden y eliminan enlaces entre redes, que fallan y
vuelven a funcionar. El trabajo del enrutamiento es determinar la mejor ruta al
destino, y crear una tabla de enrutamiento que liste el mejor camino para todos
los diferentes destinos.
Enrutamiento estático.- Es el término utilizado cuando la tabla de
enrutamiento es creada por configuración manual. Algunas veces esto
es conveniente para redes pequeñas, pero puede transformarse
rápidamente en algo muy dificultoso y propenso al error en redes
grandes. Peor aún, si la mejor ruta para una red se torna inutilizable por
una falla en el equipo u otras razones, el enrutamiento estático no podrá
hacer uso de otro camino.
Enrutamiento dinámico.- Es un método en el cual los elementos de la
red, en particular los enrutadores, intercambian información acerca de su
estado y el estado de sus vecinos en la red, y luego utilizan esta
información para automáticamente tomar la mejor ruta y crear la tabla de
enrutamiento. Si algo cambia, como un enrutador que falla, o uno nuevo
que se pone en servicio, los protocolos de enrutamiento dinámico
realizan los ajustes a la tabla de enrutamiento. El sistema de intercambio
de paquetes y toma de decisiones es conocido como protocolo de
enrutamiento. Hay muchos protocolos de enrutamiento usados en
Internet hoy en día, incluyendo OSPF, BGP, RIP, y EIGRP.
Las redes inalámbricas asemejan a las redes cableadas, en el sentido de
que necesitan protocolos de enrutamiento dinámicos, pero tienen suficientes
diferencias para requerir protocolos de enrutamiento orientados a sus
necesidades específicas. En particular, las conexiones de las redes cableadas
generalmente funcionan bien o no funcionan (por ejemplo, un cable Ethernet
está enchufado o no). Las cosas no son tan claras cuando se trabaja con redes
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 41 de 177
inalámbricas. La comunicación inalámbrica puede ser afectada por objetos en
movimiento en el camino de la señal, o por señales que interfieren.
Consecuentemente, los enlaces pueden no funcionar bien, o funcionar
pobremente, o variar entre los dos extremos. Ya que los protocolos de red
existentes no toman en cuenta la calidad de un enlace cuando realizan
decisiones de enrutamiento, el comité IEEE 802.11 y el IETF están trabajando
en estandarizar protocolos para redes inalámbricas. En la actualidad está poco
claro cuándo va a surgir un estándar único que tome en cuenta los enlaces de
calidad variable.
Mientras tanto, hay muchos intentos de programación ad hoc que quieren
solucionar el problema. Algunos ejemplos incluyen Hazy Sighted Link State
(HSLS) “Visión Borrosa del Estado del Enlace”, Ad-hoc On-demand Distance
Vector (AODV) “Vector de Distancia bajo Demanda ad hoc”, y Optimizad Link
State Routing (OLSR) “Enrutamiento Optimizado según el Estado de la Red”. En
este protocolo nos detendremos para explicarlo más detalladamente.
2.3.3.1 OLSR
El Optimized Link State Routing Daemon –olsrd– (Demonio de
Enrutamiento de Estado de Enlace) de olsr.org es una aplicación desarrollada
para el enrutamiento de redes inalámbricas. Es un proyecto fuente abierta que
soporta Mac OS X, Windows 98, 2000, XP, Linux, FreeBSD, OpenBSD
yNetBSD. Olsrd está disponible para puntos de acceso que corren Linux, como
Linksys WRT54G, Asus Wl500g, etc.
Olsrd puede manejar interfaces múltiples y puede extenderse con
diferentes plug-ins. Soporta IPv6 y está siendo desarrollado y utilizado
activamente en redes comunitarias alrededor del mundo.
Existen varias implementaciones para OLSR, que comenzaron como un
borrador IETF escrito en el INRIA en Francia. La implementación de olsr.org
comenzó como la tesis de master de Andreas Toennesen en la Universidad
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 42 de 177
UniK. El demonio de enrutamiento se modificó con base en la experiencia
práctica de las redes comunitarias gratuitas. El olsrd actual difiere
significativamente del borrador original porque incluye un mecanismo
denominado Link Quality Extension (Extensión de la Calidad del Enlace) que
mide la cantidad de paquetes perdidos entre nodos y calcula las rutas de
acuerdo con esta información. Esta extensión rompe la compatibilidad con los
demonios de enrutamiento que adhieren al borrador del INRIA. El olsrd
disponible en olsr.org puede ser configurado para comportarse de acuerdo al
borrador del IETF que carece de esta característica, pero no hay una razón para
deshabilitar el Link Quality Extension (Extensión de la Calidad del Enlace), a
menos que se requiera la compatibilidad con otras implementaciones.
Después de haber corrido olsrd por un rato, cada nodo adquiere
conocimiento acerca de la existencia de los otros nodos en la nube mallada, y
sabe cuáles nodos pueden ser utilizados para enrutar el tráfico hacia ellos. Cada
nodo mantiene una tabla de enrutamiento que cubre la totalidad de la malla de
nodos. Este enfoque de enrutamiento mallado es denominado enrutamiento
proactivo. En contraste, los algoritmos de enrutamiento reactivo buscan rutas
sólo cuando es necesario enviar datos a un nodo específico.
Hay argumentos en favor y en contra del enrutamiento proactivo, y hay
muchas otras ideas acerca de cómo hacer el enrutamiento mallado que vale la
pena mencionar. La ventaja más grande del enrutamiento proactivo es que
sabemos quién está dentro o fuera de la red y no debemos esperar hasta que se
encuentre una ruta. El alto tráfico de protocolo y la mayor cantidad de carga de
CPU son algunas de las desventajas. En Berlín, la comunidad de Freifunk está
operando una nube mallada donde olsrd tiene que administrar más de 100
interfaces. El promedio de carga del CPU causada por olsrd en un Linksys
WRT54G corriendo a 200 MHz es aproximadamente del 30% en la mesh de
Berlín. Hay un límite al grado hasta el cual la extensión de un protocolo proactivo
puede escalar, dependiendo de cuántas interfaces estén involucradas y cuán a
menudo se actualizan las tablas de enrutamiento.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 43 de 177
2.3.3.1.1 Mecanismo utilizado por OLSR
Un nodo que corre olsrd envía constantemente mensajes de “Hello” con
un intervalo dado para que sus vecinos puedan detectar su presencia. Cada
nodo computa una estadística de cuántos “Hellos” ha recibido y perdido desde
cada vecino, obteniendo de esta forma información sobre la topología y la
calidad de enlace de los nodos en el vecindario. La información de topología
obtenida es difundida como mensajes de control de topología y reenviada por los
vecinos que olsrd ha elegido para ser relevadores “multipunto”.
El concepto de relevadores multipunto es una nueva idea en el
enrutamiento proactivo que viene desde el borrador de OLSR. Si cada nodo
retransmite la información de topología que ha recibido, se puede generar una
sobrecarga innecesaria. Dichas transmisiones son redundantes si un nodo tiene
muchos vecinos. Por esta razón, un nodo olsrd decide cuáles vecinos serán
designados “relevadores multipunto favorables”, encargados de reenviar los
mensajes de control de topología. Nótese que los relevadores multipunto son
elegidos exclusivamente con el propósito de reenviar mensajes de CT, la carga
útil (payload) se enruta utilizando todos los nodos disponibles.
Existen otros dos tipos de mensajes en OLSR que informan cuándo un
nodo ofrece una pasarela (gateway) a otras redes (mensajes HNA) o tiene
múltiples interfaces (mensajes MID). No hay mucho más que decir acerca de
estos mensajes más allá del hecho de que existen. Los mensajes HNA hacen al
olsrd muy conveniente para conectarse a Internet con un dispositivo móvil.
2.3.3.1.2 Aplicaciones sobre OLSR
Existen diversas aplicaciones que utilizan el protocolo OLSR para obtener
información sobre los distintos nodos que componen la red. Estas aplicaciones
pueden verse en la web olsr.org. Básicamente se utilizan dos. En la figura 14
puede verse un gráfico de los nodos que componen una red, utilizando para ello
las utilidades disponibles a tal efecto.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 44 de 177
2.3.4 WDS
El acrónimo WDS corresponde a las siglas en inglés de sistema de
distribución wireless. Este sistema permite la interconexión entre dos puntos de
acceso, creando un enlace punto a punto. Esto a su vez permite la interconexión
a nivel 2 de todos los dispositivos conectados mediante dichos puntos de
acceso.
Según la recomendación 802.11, podemos tener dos tipos de conexión a
puntos de accesos:
BSS (Basic Service Set): en este caso sólo hay un punto de acceso y
una red inalámbrica definida por las estaciones conectadas a ese único
AP.
ESS (Extended Service Set): en éste caso hay varios puntos de
acceso, e interesa que las estaciones conectadas a cualquiera de ellos
puedan interconectarse de forma transparente. El sistema que permite
dicha interconexión es el WDS (Wireless Distribution System).
Realmente la recomendación 802.11 no define completamente como debe
ser este sistema de distribución, lo que ha llevado a que distintos fabricantes
adopten soluciones cuya compatibilidad entre sí no es más que una casualidad.
Es decir, si queremos tener varios puntos de acceso en una red y ofrecer
Figura 14. Gráfico obtenido a partir de las tablas de enrutamiento OLSR
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 45 de 177
interconexión entre dispositivos de los diferentes puntos de acceso, se hace
prácticamente necesario que los puntos de acceso sean todos de un mismo
fabricante.
Conceptualmente es algo fácil de implementar, por lo que muchos puntos
de acceso lo ofrecen directamente o mediante el cambio de su firmware.
2.3.4.1 Funcionamiento de WDS
En el apartado en el que se definía la capa MAC para redes 802.11, se vio
que una de las diferencias con la capa MAC ethernet era la existencia de cuatro
campos reservados para direcciones MAC de nivel 2 (origen, destino, origen
real, destino real), en lugar de los 2 que existen en la capa MAC ethernet. Son
esos 2 campos de direcciones adicionales los que permiten que dos dispositivos
conectados a sendos puntos de acceso de una misma red inalámbrica puedan
intercomunicarse de forma transparente.
Para ilustrarlo supondremos que tenemos dos ordenadores A y B
conectados a sendos puntos de acceso C y D, respectivamente. Definiremos las
direcciones MAC inalámbricas de los dispositivos de la siguiente manera:
Ordenador A.- 00:00:00:00:00:AA
Ordenador B.- 00:00:00:00:00:BB
Punto de acceso C.- 00:00:00:00:00:CC
Punto de acceso D.- 00:00:00:00:00:DD
Imaginemos que el ordenador A desea enviar un paquete de datos a B.
Sin el sistema de distribución wireless no podríamos enviarlo, ya que cuando el
paquete llega al punto de acceso C, éste reemplaza la dirección MAC origen por
la suya propia y manda el paquete al punto de acceso D, por lo que perdemos la
dirección MAC del ordenador A.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 46 de 177
Para que esto no ocurra se usan los dos campos de direcciones
adicionales definidos en la recomendación 802.11. Veamos paso por paso como
varían los 4 campos de direcciones en los distintos saltos del paquete.
1. El paquete sale de A hacia el punto de acceso C con la dirección de
origen 00:00:00:00:00:AA y la de destino 00:00:00:00:00:BB.
2. El paquete llega al punto de acceso C y este lo retransmite al punto de
acceso D cambiando la dirección de origen por la suya propia
00:00:00:00:00:CC y la de destino por la del punto de acceso D,
00:00:00:00:00:DD para que este puede recibirlo. Además escribe en
los campos origen real la dirección del ordenador A,
00:00:00:00:00:AA y en destinatario real la del ordenador B,
00:00:00:00:00:BB.
3. El punto de acceso D recibe el paquete y lo envía al ordenador B,
cambiando el campo de dirección origen por el del ordenador A y el de
destino por el del ordenador B. Los otros campos quedan ya en
blanco. Si hubiera más puntos de acceso el paso 2 se repite hasta el
punto de acceso donde esté conectado el ordenador B.
Hay que destacar que WDS funcionará bien siempre y cuando los puntos
de acceso intercambien paquetes arp para definir las tablas de enrutamiento, es
decir, que el punto de acceso C, debe saber que debe mandar el paquete al
punto de acceso D para que le llegue al ordenador B.
A modo de resumen, destacar que un enlace WDS entre dos puntos de
acceso es la única forma de interconectarlos sin que haya un cable entre ellos.
2.3.5 Roaming
Una de las características más importantes de una red wireless es
movilidad de los dispositivos, al no tener que depender de cableado para
conectarse a la red. En una red donde solo haya un punto de acceso, los
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 47 de 177
dispositivos conectados a éste podrán moverse en todo el rango de cobertura
que ofrezca. En el caso de que sean varios los puntos de acceso los que definan
la cobertura de la red, debe definirse un procedimiento por el cual un dispositivo
deja de asociarse con un punto de acceso para asociarse con otro más cercano
perteneciente a la misma red. Además, debe hacerse de forma transparente
para el usuario.
Al igual que ocurre con WDS, esta tecnología está poco estandarizada,
por lo que si queremos asegurarnos que la red ofrezca roaming entre los puntos
de acceso, estos deben ser del mismo fabricante.
Veremos que la posibilidad de tener una red cableada entre los puntos de
acceso, nos va a permitir configurar la red para minimizar las interferencias entre
estos.
2.3.5.1 Puntos de acceso cableados
Esta es la mejor opción para extender la cobertura de una red wireless,
aunque bien es cierto que no siempre es posible conectar los puntos de acceso.
Suponiendo que los puntos de acceso estén cableados, podremos configurar los
canales de transmisión de los puntos de acceso adyacentes de forma que no
solapen en frecuencia, evitando así interferencias entre ellos. Esto es posible
porque la interconexión entre los puntos de acceso se hace mediante el cable
ethernet, no teniéndose porqué establecer comunicación inalámbrica entre
puntos de acceso.
El estándar 802.11a es el más fácilmente configurable para que no se
solapen en frecuencia, ya que ningún canal comparte frecuencias con otro. El
estándar 802.11b y 802.11g solo tienen 3 canales no solapados, por lo que
tendremos que elegirlos de forma que ninguna celda adyacente use el mismo.
En las siguientes figuras podemos observar este hecho.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 48 de 177
Figura 15. Configuración de radiocanales en 802.11b y g
Figura 16. Configuración de radiocanales para el estándar 802.11a
Como el servicio de roaming no está estandarizado, depende de cada
fabricante, por lo que no se asegura que entre puntos de acceso de diferentes
fabricantes funcione.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 49 de 177
Para configurarlo, generalmente basta con elegir en los puntos de acceso
el mismo ESSID, pudiendo tener diferentes BSSID. Además deben compartir las
mismas medidas de seguridad y claves de encriptación.
Es el dispositivo el que monitoriza la potencia de recepción de los
diferentes puntos de acceso, eligiendo en cada caso el punto de acceso óptimo.
2.3.5.2 Puntos de acceso no cableados
Cuando no exista la posibilidad de cablear los puntos de acceso,
tendremos que intercomunicarlos mediante un IAPP (Inter Access Point
Protocol). De esta forma tendremos comunicados los diferentes puntos de
acceso. La principal desventaja es que todas las estaciones base deben usar el
mismo canal, por lo que habrá interferencias entre ellos y por tanto, una merma
de la velocidad de transmisión.
Al igual que antes, los puntos de acceso deben compartir la misma
seguridad, clave de encriptación y el mismo ESSID, además del mismo
radiocanal.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 50 de 177
3 Actualidad wireless En este apartado se hace un recorrido por todo lo que representan las
comunicaciones inalámbricas en la actualidad, desde los dispositivos actuales y
sus funcionalidades, las comunidades de usuarios surgidas para fomentar esta
tecnología, hasta las últimas recomendaciones surgidas para mejorar las
prestaciones, etc.
3.1 Comunidades Wireless
Desde hace algo más de ocho años se están acometiendo en varias
ciudades de Norteamérica, Europa y Australia principalmente una serie de
proyectos dirigidos a facilitar conexión gratuita a Internet a través de la
tecnología Wireless LAN. Son las llamadas cooperativas o comunidades
wireless. Estos proyectos sin ánimo de lucro, que ya se están extendiendo como
la pólvora también por América del Sur y Asia, surgen a iniciativa de varios
voluntarios que se encargan de administrar una serie de nodos que forman la
columna vertebral de la red inalámbrica.
La historia de estos grupos comienza en realidad con el nacimiento de las
comunidades virtuales, generalmente de vecinos, que compartían un acceso de
banda ancha para sacarle el máximo partido por el mínimo coste. Estas
iniciativas, con muchos ejemplos en nuestro país, pasaron allá por 1997 del
cable al aire. La idea no es sólo ofrecer acceso a Internet a quienes carecen de
recursos, sino también poder aportar una red de calidad, alternativa a las tan
laureadas 3G, y con posibilidades de mejoras en un futuro próximo. Muchos ya
ven en esta nueva alternativa la vuelta a los comienzos de Internet, en donde
cada uno aportaba algo nuevo a la red y donde, en teoría, el tráfico no era
monitorizado.
Las comunidades wireless se distribuyen a lo largo de toda la ciudad, de
forma que cualquier persona que se encuentre en el radio de acción de uno de
sus nodos pueda acceder a la red inalámbrica sin mayor problema. A su vez,
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 51 de 177
estos nodos se conectan a Internet mediante algunos de los distintos tipos de
accesos de banda ancha disponibles, en España principalmente ADSL. El
objetivo final es que cualquier persona pueda acceder a Internet desde cualquier
punto de su ciudad y a una velocidad práctica de hasta 1 Mbps, cualquiera que
sea su situación económica y social, cualquiera que sea su situación física. Uno
de los mayores problemas que mucha gente se está encontrando en ciudades
teóricamente punteras en tecnología es la falta de soporte para su zona concreta
de soluciones de alta velocidad como, por ejemplo DSL, debido sobre todo a la
distancia excesiva hasta la central digital que provee este tipo de servicios. Y en
el caso de disponer de la tecnología, no todo el mundo puede pagarla.
Aunque la idea procede de Estados Unidos y Australia, fuertemente
vinculada a jóvenes pertenecientes a movimientos ciudadanos, estas
comunidades han encontrado una gran aceptación en la mayoría de ciudades
europeas, y ya son muchos los proyectos que disponen de una pequeña
infraestructura que permite el acceso a Internet en una zona parcial de las
ciudades. También en España.
En nuestro país cada día surgen nuevas comunidades wireless. Aunque
la mayoría sólo cuentan con un par de nodos, ya hay muchas que están
empezando a plantearse la topología de la red, así como la infraestructura
básica que cada uno de los nodos ha de tener, lo que da fe del rápido
crecimiento que están experimentando estas redes en los últimos meses. Olot,
Málaga, Zaragoza, Palamós, Madrid, Valladolid, Alcalá de Henares, Santiago de
Compostela y Barcelona, Sevilla y Canarias, entre otras ciudades españolas, ya
tienen comunidades wireless en marcha. Todas ellas se reúnen en torno a
RedLibre, foro en el que, junto con las web particulares de cada proyecto, se
recoge todo tipo de documentación traducida al castellano.
Estas comunidades guardan en cualquier caso un fuerte vínculo entre sus
miembros, los cuales aportan recursos al proyecto de forma gratuita, ya sea en
forma de hardware o de ancho de banda, siguiendo una filosofía muy similar a la
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 52 de 177
que impera en las comunidades de software libre. La mayoría, sino la totalidad,
de los elementos que se utilizan en la construcción de la red, ya sean antenas o
equipos, suelen disponer de extensos HOWTO acerca de cómo fabricarlos
utilizando componentes relativamente económicos, por lo que el gasto final es
mínimo, comparado con lo que supondría una solución totalmente comercial.
Uno de los principales problemas de estas redes está siendo el gasto en
infraestructura, sobre todo inicialmente, ya que implantar una red de este tipo
requiere de un gran numero de voluntarios que hoy por hoy no existe en las
ciudades españolas. Por ello, muchas de estas comunidades están pensando en
constituirse como asociaciones sin ánimo de lucro para lograr algún tipo de
subvención, que sería reinvertida en la infraestructura de la propia red del
proyecto.
La mayoría de los voluntarios que toman parte en estas iniciativas está
vinculada a la comunidad Linux, que tanto ha crecido en los últimos años, y es
que aunque estas redes están preparadas para trabajar con cualquier sistema
operativo que soporte drivers para tarjetas inalámbricas, BSD y sobre todo Linux
se han convertido en las opciones preferidas a la hora de implementar los nodos
en la totalidad de las comunidades wireless. Siguiendo el espíritu de Linux, las
comunidades guardan copia de todo el desarrollo realizado para que sirva de
base a otros voluntarios que deseen crear nuevas cooperativas wireless en sus
ciudades. Como resultado, ya existen auténticas bibliotecas de documentos
HOWTO, que van desde cómo implementar las técnicas de seguridad por medio
de soluciones VPN (redes privadas virtuales), hasta cómo fabricar una antena de
forma que se pueda utilizar para enlazar con un nodo lejano a la posición del
usuario.
Como varios de los fundadores de estas comunidades afirman, uno de los
motivos que más les mueve a trabajar cada día en este tipo de proyectos es
todo lo que queda por desarrollar. Sólo hay que darse una vuelta por alguno de
los muchos sitios web de estas comunidades para comprobar el volumen de
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 53 de 177
documentación virtual, creada generalmente con aplicaciones tan conocidas
como Slash-Code o Wiki, que muy detalladamente aborda todo el trabajo
realizado y por realizar. Cualquier persona que esté interesada en echar una
mano puede ponerse rápidamente al día de toda la información técnica que
necesita saber, así como de la política general de la comunidad, referida sobre
todo a la organización de la red.
El funcionamiento de las comunidades wireless no dista mucho del de una
LAN inalámbrica convencional, tecnología en la que se basan. La columna
vertebral de la red es una serie de nodos que pueden o no estar conectados a
Internet. Los que sí tienen conexión, por lo general de banda ancha, forman la
troncal o backbone de la red, en clara alusión a su similar en Internet. Estos
nodos a su vez disponen de un gran numero de nodos de menor tamaño, que o
bien no disponen de conexión a Internet y son simples repetidores, o bien son
usuarios finales, que gracias a las tarjetas wireless con las que se enlazan con
los nodos principales, ofrecen conexión a los usuarios que se encuentren
aproximadamente a unos cien metros de distancia.
Junto con las tarjetas WLAN, el otro componente fundamental de la red
son las antenas. Aunque se emplean también por los usuarios de la comunidad
wireless, son uno de los elementos fundamentales de la infraestructura de la red
inalámbrica. Ahora mismo se están realizando modelos caseros de la mayoría
de los tipos de antenas.
En principio, los esfuerzos fundamentales en cuanto a infraestructura se
están llevando a cabo en la definición de la topología de la red, pero ya hay en
desarrollo varios proyectos pensados para unir las distintas comunidades
surgidas. No en vano, una de las metas finales es lograr una red global paralela
a Internet, en la que tanto su monitorización como su comercialización sean
nulas, una vuelta a los orígenes de Internet que entusiasmará a más de uno.
La creación de esta red wireless global no sólo implica el desarrollo de
nuevas antenas, o de nuevas redes sin cables de alto rendimiento, que ya están
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 54 de 177
en desarrollo, sino toda una nueva organización que gestione todos los aspectos
de la nueva red. Desde varios proyectos ya se ha comentado la posibilidad de
crear una alternativa al ICANN, con su correspondiente red de servidores DNS
repartida por todo el mundo. Todo un reto.
Ya queda poco para poder disfrutar de Internet con independencia de
dónde estemos situados, gracias ya no sólo a los portátiles, que tanto
promocionan estas comunidades, sino a todos los dispositivos Wireless LAN que
ya están en el mercado o que van a aparecer de forma inmediata.
Realmente es muy sencillo conectarse a una de estas redes. El problema
reside en que cada nodo mantiene su propia política de acceso, condicionada
por sus propios recursos, sobre todo los referentes al ancho de banda y al
rendimiento del equipo. Para conectarse a uno de estos nodos teóricamente sólo
es necesario contar con una de las muchas tarjetas inalámbricas disponibles
actualmente en el mercado. Una vez instalada en el equipo, hay que configurar
una serie de parámetros que dependerán de cada comunidad y del nodo al que
se esté accediendo, aunque ya hay varios proyectos en marcha para lograr un
método unificado, de forma que el equipo lo haga automáticamente, al menos
dentro de una misma comunidad wireless.
En teoría, y seguramente sea así en un futuro próximo, la antena que
lleva incorporada la tarjeta wireless debería servir para contactar con el nodo
más próximo. Como, sin embargo, la realidad es que actualmente el número de
nodos es muy reducido y están muy separados unos de otros, en la mayoría de
los casos, sobre todo en las comunidades wireless aún no muy implantadas
como las españolas, se utilizan antenas externas conectadas a la tarjeta
inalámbrica sin mayor problema, ya que vienen preparadas con un conector para
tal fin.
Como se ha visto anteriormente, existe todo tipo de antenas.
Normalmente se suelen utilizar las onmidireccionales para expandir la señal
wireless por una zona reducida, y las de otros tipos para apuntar directamente
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 55 de 177
hacia un punto en concreto. Estas últimas suelen ser las que se emplean para
conectar con nodos alejados, ya que aumentan la distancia a cubrir hasta unos
cuatro kilómetros de media, suficiente para la mayoría de las ciudades.
En cualquier caso, siempre hay que tener en cuenta el entorno en el que
se va a instalar la antena, ya que por el momento depende mucho de que la del
nodo esté a la vista. Se han dado casos en comunidades wireless, como la de la
ciudad de Nueva York, de tener que realizar verdaderas proezas para comunicar
a un usuario con un nodo físicamente cercano. Así, en algunas comunidades
ciertas instalaciones inalámbricas cuentan además con pequeños tramos LAN
convencionales para sortear determinados obstáculos físicos que, como sucede
con los edificios, la señal no puede atravesar. Por ello hay que tratar de poner
las antenas en un sitio lo más despejado posible y con una línea de vista limpia.
Además de la antena, también es recomendable adquirir cable que
guarde de forma satisfactoria la señal, algo que en realidad no suele suponer un
gasto muy superior al de un cable de menor calidad.
Aparte de todo este material, igualmente es necesario disponer de algún
sistema operativo que soporte los drivers de la tarjeta wireless que vaya a ser
instalada. Por lo general, cualquier sistema BSD, Linux, Unix o Windows sirve
para este propósito, aunque dado que el desarrollo de software específicamente
pensado para este tipo de redes se está haciendo para entornos Unix, es
preferible escoger una de las tres primeras opciones. En cualquier caso, y
haciendo gala de los comienzos de la comunidad Linux, por el momento la
mayoría de los responsables de los nodos ofrecen servicio técnico gratuito a las
personas que quieren conectarse a la Red. En la mayoría de las páginas de
dichos nodos se encuentra toda la información necesaria para ponerse en
contacto con voluntarios de la comunidad, e incluso algún que otro documento o
FAQ donde se pueden encontrar respuestas a las preguntas más frecuentes
formuladas por los usuarios.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 56 de 177
Como redes públicas, las comunidades wireless basan su funcionamiento
en el colectivo, una red construida por y para los usuarios. De esta forma, toda la
filosofía contenida detrás de este servicio gratuito está pensada para que
cualquier persona con ganas de participar no tenga problema alguno a la hora
de unirse al proyecto. En cualquier caso, esto siempre varía de una comunidad a
otra, pero hay una serie de puntos comunes en todas las comunidades wireless
a lo largo del planeta: confianza en los usuarios, libertad frente a control,
donación del ancho de banda, inversión en recursos y financiación alternativa.
Uno de los mayores problemas con los que se enfrentan ahora mismo los
administradores de los nodos de las comunidades wireless es lo que sus
usuarios hagan de forma incontrolada. Por definición, las comunidades wireless
luchan contra la monitorización de la red, pero muchos de sus administradores
se preguntan que ocurrirá si uno de sus usuarios realiza alguna acción no
recomendable haciendo uso de su conexión de banda ancha.
Hay varias posiciones encontradas en este punto. Por un lado están los
que apuestan por guardar los logs de las conexiones realizadas a los distintos
nodos wireless, por si en algún momento hicieran falta. Para ello ya se ha
propuesto realizar backup mensuales de estos logs y luego eliminarlos dejando
sólo la información imprescindible para una correcta administración del equipo y
con fines estadísticos.
Por otro lado, se encuentran los que propician una solución más social:
confiar en los usuarios. Para ello ya se están desarrollando varias soluciones
que van desde la apertura del nodo sólo a personas determinadas, en concreto a
aquellas que viven en la vecindad del responsable del nodo. De esta forma,
dicho administrador siempre tendría un cierto control sobre la gente que esta
haciendo uso de su equipo, reduciendo así las posibilidades de que alguno de
estos usuarios realice alguna acción no recomendable para el responsable del
nodo, y por ende para el resto de la comunidad.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 57 de 177
Otra de las soluciones que se están proponiendo es crear un par de
nombre de usuario y contraseña para cada uno de los que hacen uso de las
redes wireless. De esta forma, la identificación sería mucho más fácil. Pero
varios sectores han mostrado su disconformidad con esta medida, ya no sólo por
el control de la información del usuario que implica, sino por lo que supondría la
implantación a nivel mundial de esa base de datos, de forma que cualquier
persona con uno de estos pares pudiese conectarse en cualquiera de las
comunidades wireless implantadas a lo largo del planeta.
Como se ha visto en el punto anterior, una de las bases de esta nueva red
wireless mundial va a ser la libertad de actuación, siempre que sea legal, como
sucedía en los primeros pasos de Internet. Uno de los objetivos de estas
comunidades es evitar a toda costa la monitorización y el control no deseado
que, según los responsables de muchas de estas comunidades, se está llevando
a cabo en Internet. Para ello, una de las guerras más fuertes se está librando
contra los ISP, que, como competidores comerciales de las comunidades,
querrán conservar su posición en un mercado quizás demasiado dinámico,
donde propuestas como las de las comunidades wireless tienen una gran
acogida.
Una de las bases de las comunidades wireless, al menos hasta que no se
conviertan en una red mundial homogénea, es su conexión a Internet. Ésta se
realiza por medio de las conexiones individuales, generalmente de banda ancha,
que tienen cada uno de los nodos que forman dicha red. Es sabido que, al
menos de momento, el ancho de banda contratado tanto por usuarios como por
empresas prácticamente es casi siempre infrautilizado. Esto se da
especialmente en las empresas, que una vez llegada la tarde y a lo largo de la
noche, no utilizan prácticamente su red, por lo que un gran numero de recursos
quedan desaprovechados. Por ello, las comunidades wireless apuestan por
utilizar ese ancho de banda desperdiciado para conectar a Internet a los
usuarios de su zona.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 58 de 177
Esta alternativa tiene como problema añadido el hecho de que los ISP no
admiten esa reventa de servicios por parte de sus usuarios, ya sean empresas o
particulares. Aunque este inconveniente está causando considerables retrasos
en la implantación de algunas comunidades wireless, ya hay instituciones, que,
como la Universidad Politécnica de Cataluña con el proyecto Barcelona
Wireless, están colaborando de forma activa ofreciendo parte de sus recursos a
este fin. Ésta es sólo una muestra de una tendencia que acabará por
consolidarse debido a los requerimientos de los usuarios.
Quizás el aspecto que más se ha cuidado a la hora de definir la
infraestructura de las comunidades wireless ha sido los requerimientos tanto en
software como en hardware, un factor clave en el éxito de estas redes. La
mayoría, por no decir la totalidad, de los nodos de una de estas comunidades no
necesita algo mas allá de un Pentium antiguo de gama media, por ejemplo un
Pentium 133, con algo más de 32 MB de RAM, equipo accesible a cualquier
público por menos de diez mil pesetas en determinadas tiendas de segunda
mano.
Por otro lado, todo lo relacionado con las antenas ha sido desarrollado
pensando en gente con pocos recursos, y se han ofrecido HOWTO acerca de
cómo construirlas de forma barata sin perder calidad. Asimismo, todo el
desarrollo de la infraestructura se ha llevado a cabo sobre sistemas libres, esto
es Linux y BSD, aunque no se han cerrado las puertas en ningún caso a que
usuarios con otros sistemas, como Unix o Windows, también puedan acceder.
Financiación alternativa. Las inalámbricas libres pretenden llegar a
aquellas personas que no dispongan de recursos para costea una conexión a
Internet de banda ancha, como muchos centros sociales y determinadas
organizaciones. Por ello no se cobra ningún tipo de canon, por muy pequeño que
sea. Esto obliga a sus responsables a buscar formas alternativas de
financiación, provenientes principalmente de distribuidores de productos wireless
y determinadas empresas, incluidos ISP, que apuestan claramente por este
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 59 de 177
nuevo tipo de acceso a la Red. En el caso particular de los distribuidores, es
habitual que realicen descuentos en el material necesario, e incluso los hay que
donan gratuitamente los equipos.
Junto con este tipo de financiación, también se ha puesto de moda en la
mayoría de proyectos hacer uso de los servicios de empresas como PayPal o
CafePress, la primera para realizar donaciones, y la segunda, mucho mas
interesante, para poder comprar merchandising del proyecto, algo muy habitual a
la hora de buscar financiación para los proyectos de software libre.
Una de las ideas con las que nacieron las primeras comunidades wireless
es que las redes son por y para los usuarios. En los primeros pasos, por lo
general un grupo de voluntarios se encarga de llevar a cabo la infraestructura
básica, a la que el resto de los usuarios según se van uniendo a la comunidad
van añadiendo sus propios nodos, lo que contribuye a que la comunidad wireless
crezca rápidamente.
Esto es lo que ha ocurrido en ciudades como Seattle o Nueva York, donde
en menos de un año ya cuentan con un gran número de nodos, haciendo la red
accesible prácticamente desde todos los puntos de la ciudad; y siguen
extendiéndose. Es posible que dentro de poco estas redes dejen los centros
urbanos para expandirse a las ciudades dormitorios y de allí a otros núcleos de
menor población, creando una especie de telaraña que se va extendiendo poco
a poco.
Como buenos usuarios de software libre, los administradores de los nodos
de las redes wireless gratuitas utilizan las últimas tecnologías disponibles. De
hecho, en la mayoría de las comunidades ya se está implementando IPv6. La
nueva versión del protocolo IP, además de todas las ventajas en cuanto a un
mayor número de direcciones disponibles y su mejor gestión, también ofrece la
posibilidad de disponer de una dirección IP móvil, de forma que la transición de
uno a otro nodo, lejos de ser un proceso caótico, no suponga ninguna dificultad
para el usuario o para los administradores de los nodos.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 60 de 177
También se ha implementado en la práctica totalidad de las comunidades
la asignación de IP mediante DHCP, mucho más sencilla que otros métodos, y
aumenta la presencia de tecnologías de seguridad como VPN e IPSec; incluso
se están desarrollando nuevas versiones optimizadas de antenas. Una de las
tendencias actuales en el desarrollo de estas antenas es ofrecer dispositivos lo
más baratos posibles.
En cualquier caso, se tiene previsto implementar cualquier nueva
tecnología que aporte características añadidas a la comunidad wireless, algo no
muy complicado de llevar a cabo teniendo en cuenta que se están utilizando
herramientas de software libre.
Ya son muchas las redes wireless tanto comerciales como gratuitas hoy
en operación y hay quienes ven en ellas la clave del futuro de Internet. Los
precios siguen bajando y los usuarios potenciales son cada vez más. Es posible
que en poco tiempo podamos andar por la calle y hablar mediante
videoconferencia con nuestros amigos o colegas de trabajo con una calidad
superior a la que ofrecerán las tecnologías 3G. Como dicen desde una de las
comunidades wireless, “esto es el futuro, disfrútalo”.
3.2 Recomendación 802.11n
3.2.1 Introducción
En el momento de escribir esta memoria, el estándar 802.11n se
encuentra en su segundo borrador, estando estimada la ratificación para el
tercer trimestre del 2008. Aún así ya existen en el mercado dispositivos que
proclaman ser compatibles con esta tecnología.
En principio, esta nueva recomendación ofrece principalmente tres
mejoras frente a las recomendaciones anteriores:
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 61 de 177
Mayor velocidad de transmisión.- Puede llegar hasta los 600 Mbps.
Para ello utiliza la tecnología MIMO con 4 antenas de transmisión y
recepción.
Mayor seguridad.- Aprovecha los nuevos estándares 802.11w para
ofrecer seguridad en la autenticación y paliar así las vulnerabilidades
existentes en anteriores estándares.
Retrocompatibilidad con todos los estándares anteriores.- Gracias a
que puede operar en las bandas ICM de 2,4 GHz y 5 GHz, es compatible
con los estándares 802.11, 802.11a, b y g.
3.2.2 Mecanismo
En este apartado se describen las diferentes tecnologías y mejoras
introducidas en el estándar 802.11n para conseguir tasas de hasta 600 Mbps.
3.2.2.1 Multiple Input / Multiple Output (MIMO)
Hasta el año 2004, solo se usaba una antena para transmitir y otra para
recibir. Algunos dispositivos usaban varias antenas, pero simplemente se elegía
por cual se transmitía, siendo la elegida la que mejor ganancia presentaba en
ese momento.
El siguiente paso a esto era tener varias antenas de transmisión, de forma
que podríamos dividir el paquete a transmitir entre las antenas. Seguidamente
en el receptor se unirían de nuevo y se entregarían de forma correcta. Esta es la
tecnología conocida como MIMO y en teoría permite multiplicar la tasa de
transmisión por el número de antenas que usemos. En el estándar 802.11n
están definidas hasta 4 antenas de transmisión y recepción, por lo que la
velocidad puede multiplicarse por 4.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 62 de 177
3.2.2.2 Ancho de banda del canal
En todos los estándares anteriores hemos visto que el ancho de banda
destinado a un canal era de 20 MHz, variando la frecuencia central dependiendo
del uso de la banda de 2,4 GHz o 5GHz. En el estándar 802.11n puede elegirse
usar anchos de banda de 20 MHz, lo que permitiría la retrocompatibilidad con
estándares anteriores, o anchos de banda de 40 MHz. Además se utiliza mejor
el ancho de banda, ya que si en los estándares anteriores con OFDM se tenían
48 subportadoras de datos por canal, ahora con el doble de ancho de banda se
tiene más del doble, 108 subportadoras. Esto se traduce en un incremento de
velocidad con un factor de 2,25.
3.2.2.3 Mejora de la eficiencia de la capa MAC
En estándares anteriores la eficiencia de la capa MAC era muy deficiente,
ya que en muy raras ocasiones se podían superar el 50 o 60 % de eficiencia en
la transmisión de datos. Esto era debido a las cabeceras y preámbulos que se
incluían en la capa física. Además esto se ve agravado si lo que se transmiten
son tramas cortas, como cuando se usan sesiones de red como telnet o ssh.
Esto puede verse en la figura 17.
Figura 17. Eficiencia MAC para los diferentes estándares
Tamaño de trama
% d
atos
tras
nmiti
dos
Vsta
sa Id
eal
Tamaño de trama
% d
atos
tras
nmiti
dos
Vsta
sa Id
eal
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 63 de 177
El estándar 802.11n ofrece una serie de mejoras para incrementar la
eficiencia de la capa MAC, las cuales se resumen en los párrafos siguientes:
Intervalos de guarda.- 802.11n es capaz de reducir el intervalo de
guarda entre transmisiones de 800 a 400ns. En el caso de tener que
interoperar con dispositivos de estándares anteriores esto no será
posible.
Fast MCS feedback - Rate selection.- En estándares anteriores, la
selección de la tasa de transmisión se hacía en función de la
probabilidad de error del enlace, por lo que era un proceso relativamente
lento, ya que se tenía que esperar al procesado de varias tramas,
contabilizar los errores y tomar la decisión. En 802.11n se ha creado un
sistema que elige la velocidad de transmisión del siguiente paquete
mediante el uso de paquetes especiales. De esta forma se es capaz de
pasar de una tasa a otra y a otra en cuestión de milisegundos.
Codificación LDPC (Low Density Partity Check). Vimos que para
conseguir las diferentes tasas de transmisión en 802.11g, se usaba una
modulación y un codificador convolucional diferentes. Está claro que
introducir bits redundantes para el control de errores hace que la
eficiencia disminuya, pero es totalmente necesario. 802.11n no los
elimina, sino que se aprovecha del avance de la tecnología y usa un
codificador que antes era impensable usar en tiempo real debido a su
alta necesidad computacional. Este codificador es el LPDC, que no es
más que un mecanismo de corrección de errores, siendo además el más
eficiente que existe.
3.3 Dispositivos existentes en el mercado
En este apartado se pretende ofrecer una visión general sobre los
diferentes dispositivos existentes en el mercado que se usen para dotar a una
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 64 de 177
zona de cobertura Wi-Fi. Se definirán las características principales de cada uno
de ellos.
3.3.1 Cableado
Para la interconexión entre los diferentes dispositivos que componen una
red wireless (normalmente entre punto de acceso y antena), se utilizan varios
tipos de elementos, dependiendo de la situación y características deseadas.
Fundamentalmente, si la red wireless trabaja a 2,4 GHz se recomienda el
uso casi exclusivo de cables coaxiales, mientras que si operan a una frecuencia
superior (> 5 Mhz), pueden usarse o cables coaxiales o guías de onda, ya que a
partir de esta frecuencia se produce una muy buena transmisión de potencia.
Figura 18.Ejemplo de guías de onda
Para casos en los que se debe dar cobertura a zonas aisladas (zonas
apantalladas, túneles, ciertas partes de edificios, etc.), donde no puede llegar la
señal de otra forma, pueden usarse unos tipos de cables coaxiales de
radiación, que mediante una abertura en la pantalla del cable, permite un
escape de radiación suficiente para ofrecer cobertura a estos sitios.
Figura 19. Cable coaxial de radiación
Cuando tenemos que usar un cable de longitud elevada, debemos usar
aquel que presenta baja atenuación, pudiendo usar cables con mayor
atenuación en el caso de que no superemos los 50 centímetros de longitud. Este
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 65 de 177
tipo de cables son los llamados pigtail, siendo usados para conectar 2
dispositivos con diferentes conectores. La impedancia usada en todos los casos
es 50 Ω.
Los cables coaxiales tienen un conductor central recubierto por un
material no conductor denominado dieléctrico, o simplemente aislante. El
dieléctrico se recubre con una pantalla conductora envolvente a menudo en
forma de malla.
Figura 20. Estructura de un cable coaxial
El material dieléctrico evita una conexión eléctrica entre el conductor
central y la pantalla. Finalmente, el coaxial está protegido por un recubrimiento
generalmente de PVC. El conductor interior transporta la señal de RF, y la
pantalla evita que la señal de RF sea radiada a la atmósfera, así como impide
que posibles señales externas interfieran con la que está siendo transmitida por
el cable. Otro hecho interesante es que las señales eléctricas de alta frecuencia
siempre viajan a lo largo de la capa exterior del conductor central: cuanto más
grosor tenga el conductor central, mejor va a ser el flujo de la señal. Esto se
denomina “efecto pelicular”.
A pesar de que la construcción del cable coaxial es muy buena para
contener la señal en el cable, presenta algo de resistencia al flujo eléctrico: a
medida que la señal viaja a través del cable disminuye su intensidad. Este
debilitamiento es conocido como atenuación, y para las líneas de transmisión se
mide en decibeles por metro (dB/m). El coeficiente de atenuación es una función
de la frecuencia de la señal y la construcción física del cable. Si se incrementa la
Recubrimiento
Pantalla
Conductor Central
Dieléctrico
Recubrimiento
Pantalla
Conductor Central
Dieléctrico
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 66 de 177
frecuencia de la señal, también lo hace su atenuación. Obviamente se necesita
minimizar la atenuación del cable cuanto más nos sea posible, lo que puede
hacerse mediante la utilización de cables muy cortos y/o de buena calidad.
En la actualidad los tipos de cables coaxiales más utilizados son:
Los tipos RG-58, RG-174, RG-213, RG-316, etc. Son cables que en
realidad no están diseñados para frecuencias de microondas, ya que
usan polietileno de dieléctrico. Este material produce bastante
atenuación a frecuencia de microondas, por lo que no deben ser usados
ya que presentan una atenuación mayor que otros con el mismo grosor y
características pero con otro dieléctrico. Aún así son usados
ampliamente por la facilidad de ser encontrados en los comercios.
Los tipos LMR-100, LMR-200, LMR-400, etc.- En el DVD adjunto a este
proyecto se incluye el catálogo completo de estos cables, con gráficas
de atenuación Vs frecuencia. El dieléctrico que usa es el llamada FOAM,
que es polietileno relleno con minúsculas burbujas de aire. De similares
características a los LMR (Times microwave) son los HDS, CDS, etc…
Quizás los mejores cables que pueden usarse son los Heliax de
Andrews. Son caros y difíciles de encontrar, por lo que su uso sólo está
justificado en instalaciones profesionales que requieran de una longitud
elevada de cableado. Un enlace a las características de este tipo de
cables es el siguiente:
http://aw.commscope.com/eng/product/trans_line_sys/coaxial/wireless/ind
ex.html
3.3.2 Conectores
Por medio de los conectores el cable puede ser conectado a otro cable o
a un componente de la cadena de RF. Hay una gran cantidad de adaptadores y
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 67 de 177
conectores diseñados para concordar con diferentes tamaños y tipos de líneas
coaxiales. Describiremos algunos de los más populares.
Los conectores BNC fueron desarrollados a fines de los 40. La sigla
BNC significa Bayoneta, Neill-Concelman, por los apellidos de quienes
los inventaron: Paul Neill y Carl Concelman. El tipo BNC es un conector
miniatura de conexión y desconexión rápida. Tiene dos postes de
bayoneta en el conector hembra, y el apareamiento se logra con sólo un
cuarto de vuelta de la tuerca de acoplamiento. Los conectores BNC son
ideales para la terminación de cables coaxiales miniatura o subminiatura
(RG-58 a RG-179, RG- 316, etc.). Tienen un desempeño aceptable
hasta unos pocos cientos de MHz. Son los que se encuentran más
comúnmente en los equipamientos de prueba y en los cables coaxiales
Ethernet 10base2.
Figura 21. Conector tipo BNC
Los conectores TNC también fueron inventados por Neill y Concelman,
y son una versión roscada de los BNC. Debido a que proveen una mejor
interconexión, funcionan bien hasta unos 12GHz. Su sigla TNC se debe
a su sigla en inglés (Neill-Concelman con Rosca, por Threaded Neill-
Concelman).
Figura 22. Conector TNC hembra y macho
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 68 de 177
Los conectores Tipo N (también por Neill, aunque algunas veces
atribuidos a “Navy”) fueron desarrollados originalmente durante la
Segunda Guerra Mundial. Se pueden utilizar a más de 18 Ghz y se
utilizan comúnmente en aplicaciones de microondas. Se fabrican para la
mayoría de tipos de cable. Las uniones del cable al conector macho o
hembra son impermeables, y proveen un agarre efectivo.
Figura 23. Conector N hembra y macho
SMA es un acrónimo de Sub Miniatura versión A, y fue desarrollado en
los 60. Los conectores SMA son unidades subminiatura de precisión que
proveen excelentes prestaciones eléctricas hasta más de 18 GHz. Estos
conectores de alto desempeño son de tamaño compacto y tienen una
extraordinaria durabilidad.
Figura 24. Conectores SMA macho y hembra
Los SMB cuyo nombre deriva de Sub Miniatura B, son el segundo
diseño subminiatura. Constituyen una versión más pequeña de los SMA
con un acoplamiento a presión y funcionan hasta los 4 GHz.
Los conectores MCX se introdujeron en los 80. Aunque utilizan contactos
internos y aislantes idénticos a los SMB, el diámetro exterior de la clavija
es 30% más pequeño que la del SMB. Esta serie provee a los
diseñadores de opciones cuando el espacio físico es limitado. MCX tiene
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 69 de 177
una capacidad de banda ancha de 6GHz con un diseño de conector a
presión.
Figura 25. Conectores SMB hembra y macho
Además de estos conectores estándar, la mayoría de los dispositivos WiFi
utilizan una variedad de conectores patentados. A menudo son simplemente
conectores de microondas estándar con las partes centrales del conductor
invertidas o con roscas a contramano. Estos conectores especiales a menudo se
acoplan a los otros elementos del sistema de microondas utilizando un cable
delgado y corto llamado latiguillo, en inglés pigtail (cola de cerdo) que convierte
el conector que no es estándar en uno más robusto y disponible comúnmente.
Entre estos conectores especiales tenemos:
RP-TNC. Es un conector TNC con el género invertido. Éstos son los que
trae el WRT54GL de Linksys, que es el modelo de puntos de acceso
usado en el presente proyecto.
Figura 26. Conector RP-TNC hembra y macho
U.FL (también conocido como MHF). El U.FL es un conector patentado
realizado por Hirose, y el MHF es un conector mecánicamente
equivalente. Probablemente es el conector de microondas más pequeño
utilizado ampliamente en la actualidad. El U.FL / MHF se utiliza para
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 70 de 177
conectar una tarjeta de radio mini-PCI a una antena o a un conector más
grande (como un N o un TNC).
Figura 27. Conector U.FL hembra y macho
La serie MMCX, también denominada MicroMate, es una de las líneas
de conectores de RF más pequeñas desarrolladas en los 90. MMCX es
una serie de conectores micro-miniatura con un mecanismo de bloqueo
a presión que permite una rotación de 360 grados otorgándole gran
flexibilidad. Los conectores MMCX se encuentran generalmente en
tarjetas de radio PCMCIA, como las fabricadas por Senao y Cisco.
Figura 28. Conector MMCX y MMCX RP
Los conectores MC-Card son más pequeños y más frágiles que los
MMCX. Tiene un conector externo con ranuras que se quiebra
fácilmente luego de unas pocas interconexiones. Generalmente están en
el equipamiento Lucent / Orinoco / Avaya.
Los adaptadores coaxiales (o simplemente adaptadores), son conectores
cortos usados para unir dos cables o dos componentes que no se pueden
conectar directamente. Los adaptadores pueden ser utilizados para interconectar
dispositivos o cables de diferentes tipos. Por ejemplo, un adaptador puede ser
utilizado para conectar un conector SMA a un BNC. También pueden servir para
unir dos conectores del mismo tipo que no pueden hacerlo directamente por su
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 71 de 177
género (macho-macho/hembra-hembra). Por ejemplo un adaptador muy útil es el
que permite unir dos conectores machos Tipo N, que tiene dos conectores
hembra en ambos extremos.
3.3.3 Antenas
Por definición, una antena es un dispositivo utilizado para transformar una
señal de RF que viaja en un conductor, en una onda electromagnética en el
espacio abierto. Las antenas exhiben una propiedad conocida como
reciprocidad, lo cual significa que una antena va a mantener las mismas
características sin importar si está transmitiendo o recibiendo. La mayoría de las
antenas son dispositivos resonantes, que operan eficientemente sólo en una
banda de frecuencia relativamente baja. Cuando se alimenta la antena con una
señal, emitirá radiación distribuida en el espacio de cierta forma. La
representación gráfica de la distribución relativa de la potencia radiada en el
espacio se llama diagrama o patrón de radiación.
3.3.3.1 Características intrínsecas de una antena
En esta sección se explicarán aquellas características que posee
cualquier antena, las cuales van a hacer que se comporte de una forma u otra a
una determinada frecuencia. En aquellas características en las que proceda, se
detallará su valor para el uso en sistemas Wi-Fi.
3.3.3.1.1 Impedancia de entrada
Para una transferencia de energía eficiente, la impedancia del radio, la
antena, y el cable de transmisión que las conecta debe ser la misma. Las
antenas y sus líneas de transmisión generalmente están diseñadas para un
determinada valor de impedancia. En el caso de sistemas Wi-Fi este valor es de
50 Ω. Si la antena tiene una impedancia diferente a 50 Ω, hay una
desadaptación, y se necesita un circuito de acoplamiento de impedancia.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 72 de 177
Cuando alguno de estos componentes no tiene la misma impedancia, la
eficiencia de transmisión se ve afectada, ya que parte de la potencia es reflejada
y no se transmite al exterior.
3.3.3.1.2 Pérdida de retorno
La pérdida de retorno es otra forma de expresar la desadaptación. Es una
medida logarítmica expresada en dB, que compara la potencia reflejada por la
antena con la potencia con la cual la alimentamos desde la línea de transmisión.
La relación entre SWR (Standing Wave Ratio –Razón de Onda Estacionaria–) y
la pérdida de retorno es la siguiente:
1log20)Retorno(dB de Pérdida 10 −
=SWR
SWR
Aunque siempre existe cierta cantidad de energía que va a ser reflejada
hacia el sistema, una pérdida de retorno elevada implica un funcionamiento
inaceptable de la antena.
3.3.3.1.3 Ancho de banda
El ancho de banda de una antena se refiere al rango de frecuencias en el
cual puede operar de forma correcta. Este ancho de banda es el número de
hercios (Hz) para los cuales la antena va a tener una Razón de Onda
Estacionaria (SWR) menor que 2:1.
El ancho de banda también puede ser descrito en términos de porcentaje
de la frecuencia central de la banda.
C
LH
FFF −
= *100banda de Ancho
...donde FH es la frecuencia más alta en la banda, FL es la frecuencia
más baja, y FC es la frecuencia central.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 73 de 177
De esta forma, el ancho de banda porcentual es constante respecto a la
frecuencia. Si fuera expresado en unidades absolutas, variaría dependiendo de
la frecuencia central.
3.3.3.1.4 Directividad y Ganancia
La directividad es la habilidad de una antena de transmitir enfocando la
energía en una dirección particular, o de recibirla de una dirección particular.
Si un enlace inalámbrico utiliza locaciones fijas para ambos extremos, es
posible utilizar la directividad de la antena para concentrar la transmisión de la
radiación en la dirección deseada.
En una aplicación móvil donde la antena no está fijada a un punto, es
imposible predecir dónde va a estar, y por lo tanto la antena debería radiar en
todas las direcciones del plano horizontal. En estas aplicaciones se utiliza una
antena omnidireccional.
La ganancia no es una cantidad que pueda ser definida en términos de
una cantidad física como vatios u ohmios, es un cociente sin dimensión. La
ganancia se expresa en referencia a una antena estándar. Las dos referencias
más comunes son la antena isotrópica y la antena dipolo resonante de media
longitud de onda. La antena isotrópica irradia en todas direcciones con la misma
intensidad. En la realidad esta antena no existe, pero provee un patrón teórico
útil y sencillo con el que comparar las antenas reales. Cualquier antena real va a
irradiar más energía en algunas direcciones que en otras. Puesto que las
antenas no crean energía, la potencia total irradiada es la misma que una antena
isotrópica. Toda energía adicional radiada en las direcciones favorecidas es
compensada por menos energía radiada en las otras direcciones.
La ganancia de una antena en una dirección dada es la cantidad de
energía radiada en esa dirección comparada con la energía que podría radiar
una antena isotrópica en la misma dirección alimentada con la misma potencia.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 74 de 177
Generalmente estamos interesados en la ganancia máxima, que es
aquella en la dirección hacia la cual la antena está radiando la mayor potencia.
Una ganancia de antena de 3dB comparada con una isotrópica debería ser
escrita como 3dBi.
El dipolo resonante de media longitud de onda puede ser un estándar útil
a la hora de compararlo con otras antenas a una frecuencia, o sobre una banda
estrecha de frecuencias. Para comparar el dipolo con una antena sobre un rango
de frecuencias se requiere de un número de dipolos de diferentes longitudes. La
ganancia de una antena comparada con un dipolo debería ser escrita como
3dBd.
3.3.3.1.5 Diagramas o Patrones de Radiación
Los patrones o diagramas de radiación describen la intensidad relativa del
campo radiado en varias direcciones desde la antena a una distancia constante.
El patrón de radiación es también de recepción, porque describe las
propiedades de recepción de la antena, ya que como hemos dicho anteriormente
las antenas tienen la propiedad de reciprocidad. El patrón de radiación es
tridimensional, pero generalmente las mediciones de los mismos son una
porción bi-dimensional del patrón, en el plano horizontal o vertical. Estas
mediciones son presentadas en coordenadas rectangulares o en coordenadas
polares.
Figura 29. Diagrama de radiación de una antena Yagi en coordenadas rectangulares
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 75 de 177
La figura anterior muestra el diagrama de radiación en coordenadas
rectangulares de una antena Yagi de diez elementos. El detalle es bueno pero
se hace difícil visualizar el comportamiento de la antena en diferentes
direcciones.
En los sistemas de coordenadas polares, los puntos se obtienen por una
proyección a lo largo de un eje que rota (radio) en la intersección con uno de
varios círculos concéntricos. El siguiente es un diagrama de radiación en
coordenadas polares de la misma antena Yagi de diez elementos.
Figura 30. Diagrama de radiación de una antena Yagi en coordenadas polares lineal
Los sistemas de coordenadas polares pueden dividirse en dos clases:
lineales y logarítmicos. En el sistema de coordenadas polares lineal, los círculos
concéntricos están uniformemente espaciados y graduados. La retícula
resultante puede ser utilizada para preparar un diagrama lineal de la potencia
contenida en la señal. Para facilitar la comparación, los círculos concéntricos
equiespaciados pueden reemplazarse por círculos ubicados adecuadamente,
representando la respuesta en decibeles, con 0 dB correspondiendo al círculo
más externo. En este tipo de gráficas los lóbulos menores se suprimen. Los
lóbulos con picos menores de 15 dB debajo del lóbulo principal desaparecen por
su pequeño tamaño. Esta retícula mejora la presentación de las características
de antenas con alta directividad y lóbulos menores pequeños.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 76 de 177
En un sistema de coordenadas lineales, se puede trazar el voltaje de la
señal en lugar de la potencia. En este caso también, se enfatiza la directividad y
desenfatizan los lóbulos menores, pero no en el mismo grado que en la retícula
lineal de potencia.
En el sistema de coordenadas polares logarítmico, las líneas concéntricas
de la retícula son espaciadas periódicamente de acuerdo con el logaritmo de
voltaje de la señal. Se pueden usar diferentes valores para la constante
logarítmica de periodicidad, y esta elección va a tener un efecto en la apariencia
de los diagramas trazados. Generalmente se utiliza la referencia 0 dB para el
extremo externo de la gráfica. Con este tipo de retícula, los lóbulos que están 30
o 40 dB por debajo del lóbulo principal aún pueden distinguirse.
Figura 31. Diagrama de radiación de una antena Yagi en coordenadas polares lineal
La mayoría de las mediciones de los diagramas de radiación son relativas
a la antena isotrópica, y el método de transferencia de ganancia es utilizado para
establecer la ganancia absoluta de la antena.
El patrón de radiación en la región cercana a la antena no es el mismo
que el patrón a largas distancias. El término campo cercano se refiere al patrón
del campo que existe cerca de la antena, mientras que el término campo lejano
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 77 de 177
refiere a los diagramas del campo a largas distancias. El campo alejado también
es denominado campo de radiación, y generalmente es el que más interesa.
Normalmente el punto de interés es la potencia radiada, y por lo tanto los
diagramas de la antena son medidos en la región del campo alejado.
Para las medidas necesarias para confeccionar los diagramas es
importante elegir una distancia suficientemente grande para estar en el campo
lejano. La distancia mínima depende de las dimensiones de la antena con
relación a la longitud de onda. La fórmula aceptada para esta distancia es:
λ
2
min
2r
d=
…donde rmin es la distancia mínima desde la antena, d es la dimensión
más grande de la antena, y λ es la longitud de onda.
3.3.3.1.6 Ancho del haz
El ancho del haz de una antena usualmente se entiende como ancho del
haz a mitad de potencia. Se encuentra el pico de intensidad de radiación, luego
se localizan los puntos de ambos lados de pico que representan la mitad de la
potencia de intensidad del pico. La distancia angular entre los puntos de la mitad
de la potencia se define como el ancho del haz. La mitad de la potencia
expresada en decibelios es de -3dB, por lo tanto algunas veces el ancho del haz
a mitad de potencia es referido como el ancho del haz a 3dB. Generalmente se
consideran tanto el ancho de haz vertical como horizontal.
Suponiendo que la mayor parte de la potencia radiada no se dispersa en
lóbulos laterales, entonces la ganancia directiva es inversamente proporcional al
ancho del haz: cuando el ancho del haz decrece, la ganancia directiva se
incrementa.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 78 de 177
3.3.3.1.7 Lóbulos laterales
Ninguna antena es capaz de radiar toda la energía en una dirección
preferida. Inevitablemente, una parte de ella es radiada en otras direcciones.
Esos picos más pequeños son denominados lóbulos laterales, especificados
comúnmente en dB por debajo del lóbulo principal.
3.3.3.1.8 Nulos
En los diagramas de radiación de una antena, una zona nula es aquella
en la cual la potencia efectivamente radiada está en un mínimo. Un nulo a
menudo tiene un ángulo de directividad estrecho en comparación al haz
principal. Los nulos son útiles para varios propósitos tales como la supresión de
señales interferentes en una dirección dada.
3.3.3.1.9 Polarización
La polarización se define como la orientación del campo eléctrico de una
onda electromagnética. En general, la polarización se describe por una elipse.
Dos casos especiales de la polarización elíptica son la polarización lineal y la
polarización circular. La polarización inicial de una onda de radio es determinada
por la antena.
Con la polarización lineal, el vector del campo eléctrico se mantiene en el
mismo plano todo el tiempo. El campo eléctrico puede dejar la antena en una
orientación vertical, horizontal, o en algún ángulo entre los dos. La radiación
polarizada verticalmente se ve ligeramente menos afectada por las reflexiones
en el camino de transmisión. Las antenas omnidireccionales siempre tienen una
polarización vertical. Con la polarización horizontal, tales reflexiones causan
variaciones en la intensidad de la señal recibida.
Las antenas horizontales tienen menos probabilidad de captar
interferencias generadas por el hombre, normalmente polarizadas verticalmente.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 79 de 177
Figura 32. Dirección de propagación, campo eléctrico y campo magnético de una onda.
En la polarización circular el vector del campo eléctrico aparece rotando
con un movimiento circular en la dirección de la propagación, haciendo una
vuelta completa para cada ciclo de RF. Esta rotación puede ser hacia la derecha
o hacia la izquierda. La elección de la polarización es una de las elecciones de
diseño disponibles para el diseñador del sistema de RF.
3.3.3.1.10 Desadaptación de polarización
Para transferir la máxima potencia entre una antena transmisora y una
receptora, ambas antenas deben tener la misma orientación espacial, el mismo
sentido de polarización y el mismo coeficiente axial.
Cuando las antenas no están alineadas o no tienen la misma polarización,
habrá una reducción en la transferencia de potencia entre ambas antenas. Esto
va a reducir la eficiencia global y las prestaciones del sistema.
Cuando las antenas transmisora y receptora están polarizadas
linealmente, una desalineación física entre ellas va a resultar en una pérdida por
desadaptación de polarización, que puede ser determinada utilizando la
siguiente fórmula:
)log(cos20)( ϑ=dBPérdida
...donde ϑ es la diferencia en el ángulo de alineación entre las dos
antenas. Para 15° la pérdida es de aproximadamente 0.3dB, para 30° perdemos
1.25dB, para 45° perdemos 3dB y para 90° tenemos una pérdida total.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 80 de 177
Resumiendo, cuanto más grande la desadaptación de polarización entre
una antena transmisora y una receptora, más grande la pérdida aparente.
3.3.3.2 Tipos de Antenas
En este apartados se expondrán los tipos de antenas que se encuentran
en el mercado, en tecnología Wi-Fi y a 2,4 GHz. Clasificaremos las antenas por
su patrón de radiación, ya que es la clasificación más extendida a la hora de
buscar una determinada antena. Se expondrán los diagramas de radiación
campo lejano tanto vertical como horizontal, así como la ganancia y otros
parámetros interesantes.
3.3.3.2.1 Omnidireccionales
Este tipo de antenas irradian prácticamente igual para en todas las
direcciones en el plano horizontal. Podremos encontrar antenas de este tipo con
ganancias de entre 7 y 14 dB. Para antenas de 14 dBi, el ancho del haz en el
plano vertical es de unos 5-6º, mientras que para antenas de 7 dBi, este ancho
aumenta hasta los 24º.
A continuación se exponen las características y los diagramas de
radiación para antenas de 7, 9 y 12 dBi. El patrón de radiación en el eje
horizontal se omite para este caso, ya que es una circunferencia:
Omnidireccional 7dBi.- Ancho del haz: 24º. Longitud antena: 36 cm
Figura 33.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 81 de 177
Omnidireccional 9dBi.- Ancho del haz: 15º. Longitud antena: 54 cm
Figura 34.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi.
Omnidireccional 12 dBi.- Ancho del haz: 6º. Longitud antena: 112.5 cm
Figura 35.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 12 dBi
3.3.3.2.2 Sectoriales
Estas antenas son ampliamente utilizadas para estaciones base, ya que
sectorizan la cobertura, aumentando por tanto la capacidad del canal. Una
estación base puede estar compuesta por tres de este tipos de antena (se elige
una anchura del haz de 120º) o por cuatro antenas (ancho del haz de 90º). Este
último diseño es el que permite una mayor prestación, ya que podríamos utilizar
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 82 de 177
hasta cuatro canales de transmisión diferentes para cubrir las cuatro partes de
una célula. En el mercado podremos encontrar antenas con variaciones en el
ancho del haz horizontal que oscilan entre los 60º del más angosto y 180º del
más ancho.
Sectorial 15 dBi, Ancho del haz horizontal: 90º, vertical: 8º, dimensiones:
53x15 cm.
Figura 36.- Diagramas de radiación de una antena sectorial de 15dBi de ganancia.
Sectorial 14 dBi, Ancho del haz horizontal: 120º, vertical: 6º,
dimensiones: 100.7x12.7 cm.
Figura 37.- Diagramas de radiación de una antena sectorial de 14dBi de ganancia.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 83 de 177
3.3.3.2.3 Direccionales
Dentro de este grupo incluiremos las antenas con un ancho de haz
horizontal inferior a 60º. Estas antenas permiten una alta ganancia en una
determinada dirección, por lo que son usadas principalmente para enlaces punto
a punto, y para dar cobertura a áreas pequeñas situadas a una distancia de no
más de 500 o 1000 metros de la estación base. Dentro de este grupo podremos
encontrar las antenas planares, yagi, biquad, de bocina, helicoidales,
parabólicas, etc.
Planar 14 dBi, Ancho del haz horizontal: 30º, vertical: 30º, dimensiones:
19.7x19.7 cm.
Figura 38.- Diagramas de radiación de una antena planar de 14dBi de ganancia.
Planar 17 dBi, Ancho del haz horizontal: 20º, vertical: 20º, dimensiones:
31.2 x 31.2 cm.
Figura 39.- Diagramas de radiación de una antena planar de 17dBi de ganancia.
En el mercado existen muchísimos más tipos de antenas wireless, como
las parabólicas, bi-quads, helicoidales, etc. La descripción de todas ellas es
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 84 de 177
demasiado amplia como para ser incluido en el presente proyecto. Es fácil
buscar información sobre las mismas en la red.
3.3.4 Linksys WRT54GL v1.1 como punto de acceso
En este apartado se describirán las características de este punto de
acceso del fabricante Linksys (filial de Cisco) que han llevado a que sea elegido
para el presente proyecto. Hace uso de un sistema operativo embebido Linux,
por lo que varios grupos de desarrollo han puesto a disposición de los usuarios
firmwares que lo dotan de multitud de nuevas funcionalidades, las cuales hace
que pueda compararse a puntos de acceso de alta gama.
3.3.4.1 Historia
En el año 2003, Linksys lanza al mercado un punto de acceso, el
WRT54G, el cual se anticipaba al estándar 802.11g y permitía hacer conexiones
inalámbricas a 54 Mbps frente a los 11 Mbps de 802.11b. Aparte de esta
característica, por lo demás este punto de acceso era bastante normal, sin
ninguna funcionalidad adicional de las que ya poseían de por sí los routers que
se encontraban en el mercado en ese momento (excepto por la posibilidad de
unir la parte inalámbrica con la cableada, a través de los 4 puertos ethernet que
poseía).
En Junio de 2003, varios grupos de desarrollo descubren que el firmware
de este dispositivo estaba basado en varios componentes de Linux. Ya que este
sistema operativo posee licencia GPL, Linksys se vio obligado a liberar el código
fuente del firmware a todo aquel que lo quisiera. Aunque en un principio se
resistió, finalmente tuvo que ceder por presiones externas, ya que la licencia
GPL es clara en este aspecto. Anteriormente los firmwares poseían software
propietario y no era posible acceder a los mismos para su modificación.
A raíz de la divulgación del código fuente para este dispositivo, surgieron
varios grupos de desarrollo, los cuales pusieron a disposición de todo aquel que
lo quisiera diferentes versiones de firmware para este dispositivo, que añadían
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 85 de 177
funcionalidades al punto de acceso. Un corto resumen de las funcionalidades
que se añaden mediante estos firmwares son:
Posibilidad de usar el punto de acceso como repetidor o como puente de
otro.
Crear una red de distribución wireless (WDS). Esta es la principal
funcionalidad que se ha usado para este proyecto.
Crear redes mesh.
Correr en el propio punto de acceso un servidor VPN, o un servidor
VoIP.
Administrar un hotspot con un servidor Radius.
Administrar el uso del ancho de banda por protocolo.
Priorizar por tipo de tráfico o usuario.
Soporte para IPv6.
Controlar la potencia de la antena, incluso aumentarla.
Acceder remotamente al punto de acceso, mediante SSH, telnet, Web,
etc.
Ejecutar multitud de software para Linux, como Kismet, freeradius, etc.
Posibilidad de instalar una memoria MMC externa.
Un largo etc.
3.3.4.2 Firmwares disponibles
Hay muchos firmwares disponibles para este punto de acceso. Debe
tenerse especial cuidado con el modelo del punto de acceso en la que se ha de
instalar, ya que la memoria disponible varía según el modelo. Aquellos que sólo
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 86 de 177
tengan 2 MBytes, se verán obligados a usar un reducido grupo de firmwares,
llamados mini, que sólo poseen las funcionalidades más importantes para poder
compilarse en 2 MB.
Estos firmwares están disponibles no sólo para los puntos de acceso
linksys WRT54, sino para muchos otros que también hacen uso de un Linux
embebido como Sistema Operativo. Los más usados actualmente se describen a
continuació:
OpenWRT.-Quizás este firmware fue uno de los primeros proyectos en
llevarse a cabo, estando los demás en mayor o menor parte basados en
este. Toda la información referente a este firmware puede observarse en
http://openwrt.org/.
Dd-WRT. Este es el firmware con el que se han flasheado los puntos de
acceso utilizados en el presente proyecto, ya que ofrecen todas las
funcionalidades usadas con una estabilidad sobresaliente. Toda la
información de este firmware puede encontrase en http://www.dd-
wrt.com.
Sveasoft. Quizás esta compañía fue la que popularizó más sus
firmwares y con ello los puntos de acceso que podían usarlo. Se
desarrollaron los firmwares llamados Talismán y Alchemy. Pueden
descargarse desde http://www.sveasoft.com/.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 87 de 177
4 Seguridad y privacidad wireless En este apartado hablaremos de las medidas de seguridad existentes en
redes wireless, distinguiendo dos conceptos: Seguridad y privacidad.
Privacidad.- Se entiende por privacidad la capacidad del sistema para
proteger los datos que un usuario transmite por la red, permitiendo que
sólo sea “entendible” por el destinatario y no por cualquiera que esté
interceptando el tráfico. Una medida para garantizar la privacidad de una
red wireless es hacer uso de encriptación, como WPA. Todo aquel que
no posea la clave de encriptación de la red no podrá desencriptar los
datos. En cambio todos los usuarios que compartan la misma clave, no
tendrán asegurada la privacidad entre ellos.
Seguridad.- Se entiende por seguridad la capacidad que tiene el
sistema de resistir ataques de un usuario (interno o externo al sistema)
que le permitan acceder a servicios o a recursos a los que no se le está
permitido. Por ejemplo, un usuario puede tener permisos para utilizar la
red local pero no se le permite la conexión a Internet. Los mecanismos
de seguridad son los que controlan que este usuario no pueda hacerlo.
Aunque conceptualmente está bien clara la diferencia entre privacidad y
seguridad, en la práctica están muy relacionadas. El ejemplo lo tenemos en que
si un usuario que está escuchando el canal es capaz de descifrar la clave de
encriptación WEP o WPA, si no tenemos ninguna medida de seguridad, éste
será capaz de infiltrarse en nuestra red, comprometiendo de esta manera la
seguridad de la misma.
4.1 Mecanismos de privacidad existentes
4.1.1 Introducción
Aunque dispongamos de mecanismos que aseguren la privacidad en una
red inalámbrica, cuando la información se envía a un destino externo a la red,
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 88 de 177
ésta pasa por infinidad de redes que pueden no ser seguras, por lo que el único
mecanismo que asegura la privacidad desde el origen hasta el destino es la
encriptación fuerte de extremo a extremo.
Las técnicas de encriptación como WEP y WPA intentan mantener la
privacidad en la capa dos, la capa de enlace de datos. Aunque éstas nos
protegen de los fisgones en la conexión inalámbrica, la protección termina en el
punto de acceso. Si el cliente inalámbrico usa protocolos inseguros (como POP
o SMTP para recibir y enviar correos electrónicos), entonces los usuarios que
están más allá del AP pueden registrar la sesión y ver los datos importantes.
Además, WEP también tiene la debilidad de utilizar claves privadas compartidas.
Esto significa que los usuarios legítimos de la red pueden escucharse unos a
otros, ya que todos conocen la clave privada.
Utilizando encriptación en el extremo remoto de la conexión, los usuarios
pueden eludir completamente el problema. Estas técnicas funcionan muy bien
aún en redes públicas, donde los fisgones están oyendo y posiblemente
manipulando los datos que vienen del punto de acceso.
Para asegurar la privacidad de los datos, una buena encriptación de
extremo a extremo debe ofrecer las siguientes características:
a) Autenticación verificada del extremo remoto. El usuario debe ser
capaz de conocer sin ninguna duda que el extremo remoto es el que
dice ser. Sin autenticación, un usuario puede darle datos importantes a
cualquiera que afirme ser el servicio legítimo.
b) Métodos fuertes de encriptación. El algoritmo de encriptación debe
ser puesto al escrutinio del público, y no debe ser fácil de descifrar por
un tercero. El uso de métodos de encriptación no publicados no ofrece
seguridad, y una encriptación fuerte lo es aún más si el algoritmo es
ampliamente conocido y sujeto a la revisión de los pares. Un buen
algoritmo con una clave larga y adecuadamente protegida, puede
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 89 de 177
ofrecer encriptación imposible de romper aunque hagamos cualquier
esfuerzo utilizando la tecnología actual.
c) Criptografía de clave pública. Aunque no es un requerimiento
absoluto para la encriptación de extremo a extremo, el uso de
criptografía de clave pública en lugar de una clave compartida, puede
asegurar que los datos personales de los usuarios se mantengan
privados, aún si la clave de otro usuario del servicio se ve
comprometida. Esto también resuelve ciertos problemas con la
distribución de las claves a los usuarios a través de una red insegura.
d) Encapsulación de datos. Un buen mecanismo de encriptación de
extremo a extremo protege tantos datos como sea posible. Esto puede
ir desde encriptar una sencilla transacción de correo electrónico, a
encapsular todo el tráfico IP, incluyendo búsquedas en servidores DNS
y otros protocolos de soporte. Algunas herramientas de encriptación
proveen un canal seguro que también pueden utilizar otras
aplicaciones. Esto permite que los usuarios corran cualquier programa
que ellos quieran y aún tengan la protección de una fuerte
encriptación, aunque los programas no la soporten directamente.
En este proyecto se ha utilizado este tipo de protección para la
autenticación de los usuarios, de forma que ni los propios usuarios entre sí
puedan averiguar las claves que usan otros usuarios para acceder al servicio. En
concreto, se ha utilizado la encriptación SSL, la cual se detalla en el siguiente
apartado.
4.1.1.1 SSL
La tecnología de encriptación de extremo a extremo más accesible es
Secure Socket Layer conocida simplemente como SSL por su sigla en inglés.
Incluida en casi todos los navegadores web, SSL utiliza criptografía de clave
pública e infraestructura de clave pública confiable (PKI por su sigla en inglés),
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 90 de 177
para asegurar las comunicaciones de datos en la Web. Cada vez que se visita la
URL de una Web que comienza con https, se está usando SSL.
La implementación SSL provista en los navegadores Web incluye un
conjunto de certificados de fuentes confiables, denominados autoridades
certificadoras (CA). Estos certificados son claves criptográficas que se utilizan
para verificar la autenticidad de los sitios Web. Cuando se navega por un sitio
que utiliza SSL, el navegador y el servidor primero intercambian certificados.
Luego el navegador verifica que el certificado brindado por el servidor concuerde
con el nombre en su servidor DNS, que no haya expirado, y que esté firmado por
una autoridad certificadora confiable. Opcionalmente el servidor verifica la
identidad del certificado del navegador. Si los certificados son aprobados, el
navegador y el servidor negocian la clave de sesión maestra utilizando los
certificados intercambiados anteriormente para protegerla. Dicha clave se usa
para encriptar todas las comunicaciones hasta que el navegador se desconecte.
Este tipo de encapsulamiento de datos es conocido como túnel.
El uso de certificados con una PKI no solo protege a la comunicación de
los fisgones, sino que también evita los ataques del llamado hombre en el medio
(MITM por su sigla en inglés). En un ataque del hombre en el medio, un usuario
mal intencionado intercepta una comunicación entre el navegador y el servidor.
Presentándoles certificados falsos a ambos, puede mantener dos sesiones
encriptadas al mismo tiempo. Puesto que este usuario conoce el secreto de
ambas conexiones, es trivial observar y manipular los datos que están pasando
entre el servidor y el navegador. Sin una infraestructura de clave pública para
verificar la autenticidad de las claves, la encriptación fuerte por si sola no podría
protegernos de este tipo de ataque.
El uso de una buena PKI previene este tipo de ataque. Para tener éxito el
usuario con malas intenciones debería presentar un certificado al cliente, que
estuviera firmado por una autoridad certificadora. A menos que la CA haya sido
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 91 de 177
comprometida (muy poco probable) o que el usuario pueda ser engañado para
aceptar el certificado falso, este tipo de ataque es infructuoso.
SSL no sólo se utiliza para navegar en la Web. Los protocolos de correo
electrónico como IMAP, POP, y SMTP (que son bastante inseguros) pueden
asegurarse envolviéndolos en un túnel SSL. La mayoría de los clientes de correo
electrónico actuales soportan IMAPS y POPS (IMAP y POP seguros), así como
SMTP protegido con SSL/TLS. Si su servidor de correo no provee soporte SSL,
de todas formas puede asegurarlo con SSL utilizando un paquete como Stunnel
(http://www.stunnel.org/). SSL puede utilizarse para asegurar de forma efectiva
casi cualquier servicio que corra sobre TCP.
4.1.2 WEP
4.1.2.1 Introducción
WEP, acrónimo de Wired Equivalent Privacy, es el sistema de cifrado
incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que
permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2.
Está basado en el algoritmo de cifrado RC4, y utiliza claves de 64 bits (40 bits
más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).
Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de
radio, por lo que son más susceptibles de ser captadas por cualquiera que las
redes cableadas. Cuando fue presentado en 1999, el sistema WEP fue requerido
para proporcionar una confidencialidad comparable a la de una red tradicional
cableada.
A pesar de existir otros protocolos de cifrado mucho menos vulnerables y
eficaces, como pueden ser WPA o el WPA2, el protocolo WEP sigue siendo muy
popular y posiblemente el más utilizado. Esto es debido a que WEP es fácil de
configurar y cualquier sistema con el estándar 802.11 lo soporta. Sin embargo no
ocurre lo mismo con otros protocolos tal y como WPA, que no es soportado por
muchos dispositivos antiguos. El hardware moderno pasa entonces a utilizar el
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 92 de 177
modelo de seguridad WEP para poder interactuar con este hardware antiguo.
Esto se da principalmente en las videoconsolas con conexión a Internet.
4.1.2.2 Funcionamiento
4.1.2.2.1 Encriptación
WEP utiliza el algoritmo RC4 para la encriptación con llaves de 64 bits,
aunque existe también la posibilidad de utilizar llaves de 128 bits. Veremos que
en realidad son 40 y 104 bits, ya que los otros 24 van en el paquete como Vector
de Inicialización (IV).
La llave de 40 ó 104 bits, se genera a partir de una clave (passphrase)
estática de forma automática, aunque existe software que permite introducir esta
llave manualmente. La clave o passphrase debe ser conocida por todos los
clientes que quieran conectarse a la red wireless que utiliza WEP. Esto implica
que muchas veces se utilice una clave fácil de recordar y que no se cambie de
forma frecuente.
A partir de la clave o passphrase se generan 4 llaves de 40 bits, sólo una
de ellas se utilizará para la encriptación WEP.
Este es el proceso que se realiza para generar las llaves:
Figura 40. Generación de las llaves para la encriptación WEP
Se hace una operación XOR con la cadena ASCII (My Passphrase) que
queda transformada en una semilla de 32 bits que utilizará el generador de
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 93 de 177
números pseudoaleatorios (PRNG) para generar 40 cadenas de 32 bits cada
una.
Se toma un bit de cada una de las 40 cadenas generadas por el PRNG
para construir una llave y se generan 4 llaves de 40 bits. De estas 4 llaves sólo
se utilizará una para realizar la encriptación WEP.
Para generar una trama encriptada con WEP se sigue el siguiente
proceso:
1. Partimos de la trama que se quiere enviar. Esta trama sin cifrar está
compuesta por una cabecera (Header) y contiene unos datos
(Payload). El primer paso es calcular el CRC de 32 bits del payload de
la trama que se quiere enviar. El CRC es un algoritmo que genera un
identificador único del payload en concreto, que nos servirá para
verificar que el payload recibido es el mismo que el enviado, ya que el
resultado del CRC será el mismo. Añadimos este CRC a la trama
como valor de chequeo de integridad (ICV: Integrity Check Value)
2. Por otro lado, tenemos la clave elegida a la que se le añade el vector
de inicialización (IV). Aplicamos el algoritmo RC4 al conjunto IV+Key y
conseguiremos el keystream o flujo de llave.
3. Realizando una operación XOR con este keystream y el conjunto
Payload+ICV obtendremos el Payload+CRC cifrado.
Figura 41. Esquema de encriptación de datos mediante WEP
IV Key number
Payload
RC4
ICV
CR
CPa
yloa
d
IV Key number CRCPayloadXOR
No encriptadoEncriptado
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 94 de 177
4. Después añadimos la cabecera y el IV+Keynumber sin cifrar. Así
queda la trama definitiva lista para ser enviada.
4.1.2.2.2 Desencriptación
A la hora de desencriptar los datos recibidos, basta con conocer la frase
de paso compartida (passphrase) y realizar los pasos contrarios a la
encriptación. Veamos estos pasos:
1. Obtenemos el IV y el Key number de la trama, ya que vienen en texto
plano. Ya tenemos los 64 bits que componen la llave.
2. Aplicando RC4 a esta llave obtenemos el keystream válido para
obtener la trama en claro (plaintext) realizando una XOR con el
Payload+CRC cifrados y la llave completa.
3. Calculamos el CRC al payload en texto plano y comparamos con el
CRC recibido.
Figura 42. Esquema de desencriptación de datos mediante WEP
4.1.2.3 Vulnerabilidades WEP
Comenzando en 2001, varias debilidades serias fueron identificadas por
analistas criptográficos, como consecuencia hoy en día una protección WEP
puede ser violada con software fácilmente accesible en pocos minutos. Unos
meses más tarde el IEEE creó la nueva corrección de seguridad 802.11i para
IV Key number RC4
ICV
CRCPayloadXOR
No encriptadoEncriptado
IVKe
ynu
mbe
rC
RC
Pay
load
CRC’CRC
=CRC’
IV Key number RC4
ICV
CRCPayloadXOR
No encriptadoEncriptado
IVKe
ynu
mbe
rC
RC
Pay
load
CRC’CRC
=CRC’
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 95 de 177
neutralizar los problemas. Hacia 2003, la Alianza Wi-Fi anunció que WEP había
sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con
la ratificación del estándar completo 802.11i (conocido como WPA2), el IEEE
declaró que tanto WEP-40 como WEP-104 "han sido desaprobados al fallar en
alcanzar sus propósitos de seguridad”. En la tabla 5 se muestra la cronología de
vulnerabilidades y ataque que se han ido sucedido hasta llegar a la llamada
“muerte de WEP”.
Tabla 5. Cronología de ataques realizados a la encriptación WEP
Describir matemáticamente cuáles son las vulnerabilidades más
importantes de WEP queda fuera del alcance de este proyecto, aunque puede
encontrarse mucha información en Internet al respecto e incluso los estudios
originales de las personas que demostraron dichas vulnerabilidades.
En cambio, mencionaremos a modo de resumen las vulnerabilidades más
importantes (información detallada puede obtenerse de http://www.hakin9.org/):
Debilidades del algoritmo RC4 dentro del protocolo WEP debido a la
construcción de la clave.
Los IVs son demasiado cortos (24 bits – hacen falta menos de 5000
paquetes para tener un 50% de posibilidades de dar con la clave) y se
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 96 de 177
permite la reutilización de IV (no hay protección contra la repetición de
mensajes).
No existe una comprobación de integridad apropiada (se utiliza CRC32
para la detección de errores y no es criptográficamente seguro por su
linealidad),
No existe un método integrado de actualización de las claves.
4.1.3 WPA y WPA2
En enero de 2001, el grupo de trabajo i task group fue creado en IEEE
para mejorar la seguridad en la autenticación y la encriptación de datos. En abril
de 2003, la Wi-Fi Alliance realizó una recomendación para responder a las
preocupaciones empresariales ante la seguridad inalámbrica. Sin embargo, eran
conscientes de que los clientes no querrían cambiar sus equipos.
En junio de 2004, la edición final del estándar 802.11i fue adoptada y
recibió el nombre comercial WPA2 por parte de la alianza Wi-Fi. El estándar
IEEE 802.11i introdujo varios cambios fundamentales, como la separación de la
autenticación de usuario de la integridad y privacidad de los mensajes,
proporcionando una arquitectura robusta y escalable, que sirve igualmente para
las redes locales domésticas como para los grandes entornos de red
corporativos.
La nueva arquitectura para las redes wireless se llama Robust Security
Network (RSN) y utiliza autenticación 802.1X, distribución de claves robustas y
nuevos mecanismos de integridad y privacidad.
Además de tener una arquitectura más compleja, RSN proporciona
soluciones seguras y escalables para la comunicación inalámbrica. Una RSN
sólo aceptará máquinas con capacidades RSN, pero IEEE 802.11i también
define una red transicional de seguridad – Transitional Security Network (TSN),
arquitectura en la que pueden participar sistemas RSN y WEP, permitiendo a los
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 97 de 177
usuarios actualizar su equipo en el futuro. Si el proceso de autenticación o
asociación entre estaciones utiliza 4-Way handshake, la asociación recibe el
nombre de RSNA (Robust Security Network Association).
El establecimiento de un contexto seguro de comunicación consta de
cuatro fases (ver Figura 43):
1. Acuerdo sobre la política de seguridad.
2. Autenticación 802.1X.
3. Derivación y distribución de las claves.
4. Confidencialidad e integridad de los datos RSNA.
Figura 43.- Fases para el establecimiento de un contexto seguro
4.1.3.1 Fase 1: Acuerdo sobre la política de seguridad
La primera fase requiere que los participantes estén de acuerdo sobre la
política de seguridad a utilizar. Las políticas de seguridad soportadas por el
punto de acceso son mostradas en un mensaje Beacon o Probe Response
(después de un Probe Request del cliente). Sigue a esto una autenticación
abierta estándar (igual que en las redes TSN, donde la autenticación siempre
tiene éxito). La respuesta del cliente se incluye en el mensaje de Association
Request validado por una Association Response del punto de acceso. La
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 98 de 177
información sobre la política de seguridad se envía en el campo RSN IE
(Information Element) y detalla:
Los métodos de autenticación soportados (802.1X, Pre-Shared Key
(PSK)).
Protocolos de seguridad para el tráfico unicast (CCMP, TKIP etc.) – la
suit criptográfica basada en pares.
Protocolos de seguridad para el tráfico multicast (CCMP, TKIP etc.) –
suit criptográfica de grupo.
Soporte para la pre-autenticación, que permite a los usuarios pre-
autenticarse antes de cambiar de punto de acceso en la misma red para
un funcionamiento sin retrasos.
Figura 44.- Fase 1: Acuerdo sobre la política de seguridad
4.1.3.2 Fase 2: autenticación 802.1X
La segunda fase es la autenticación 802.1X basada en EAP y en el
método específico de autenticación decidido: EAP/TLS con certificados de
cliente y servidor (requiriendo una infraestructura de claves públicas), EAP/TTLS
o PEAP para autenticación híbrida (con certificados sólo requeridos para
servidores), etc. La autenticación 802.1X se inicia cuando el punto de acceso
pide datos de identidad del cliente, y la respuesta del cliente incluye el método
de autenticación preferido. Se intercambian entonces mensajes apropiados entre
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 99 de 177
el cliente y el servidor de autenticación para generar una clave maestra común
(MK). Al final del proceso, se envía desde el servidor de autenticación al punto
de acceso un mensaje Radius Accept, que contiene la MK y un mensaje final
EAP Success para el cliente.
Figura 45.- Fase 2: autenticación 802.1X
4.1.3.3 Fase 3: Jerarquía y distribución de claves
La seguridad de la conexión se basa en gran medida en las claves
secretas. En RSN, cada clave tiene una vida determinada y la seguridad global
se garantiza utilizando un conjunto de varias claves organizadas según una
jerarquía. Cuando se establece un contexto de seguridad tras la autenticación
exitosa, se crean claves temporales de sesión y se actualizan regularmente
hasta que se cierra el contexto de seguridad.
Figura 46.- Fase 3: Jerarquía y distribución de claves
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 100 de 177
La generación y el intercambio de claves es la meta de la tercera fase.
Durante la derivación de la clave, se producen dos handshakes o negociaciones
(véase Figura 46):
4-Way Handshake para la derivación de la PTK (Pairwise Transient Key)
y GTK (Group Transient Key).
Group Key Handshake para la renovación de GTK. La derivación de la
clave PMK (Pairwise Master Key) depende del método de autenticación:
- Si se usa una PSK (Pre-Shared Key), PMK = PSK. La PSK es
generada desde una passphrase (de 8 a 63 caracteres) o una
cadena de 256-bit y proporciona una solución para redes
domésticas o pequeñas empresas que no tienen servidor de
autenticación.
- Si se usa un servidor de autenticación, la PMK es derivada de la
MK de autenticación 802.1X. La PMK en si misma no se usa nunca
para la encriptación o la comprobación de integridad. Al contrario,
se usa para generar una clave de encriptación temporal (para el
tráfico unicast esta es la PTK, Pairwise Transient Key). La longitud
de la PTK depende el protocolo de encriptación:
512 bits para TKIP y 384 bits para CCMP. La PTK consiste
en varias claves temporales dedicadas:
KCK (Key Confirmation Key – 128 bits): Clave para la
autenticación de mensajes (MIC) durante el 4-Way
Handshake y el Group Key Handshake.
KEK (Key Encryption Key – 128 bits): Clave para asegurar la
confidencialidad de los datos durante el 4-Way Handshake y
el Group Key Handshake.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 101 de 177
TK (Temporary Key – 128 bits): Clave para encriptación de
datos (usada por TKIP o CCMP).
TMK (Temporary MIC Key – 2x64 bits): Clave para la
autenticación de datos (usada sólo por Michael con TKIP).
Se usa una clave dedicada para cada lado de la
comunicación.
Figura 47.- Fase 3: jerarquía de clave por parejas
El 4-Way Handshake, iniciado por el punto de acceso, hace posible:
Confirmar que el cliente conoce la PMK.
Derivar una PTK nueva.
Instalar claves de encriptación e integridad.
Encriptar el transporte de la GTK.
Confirmar la selección de la suite de cifrado.
Se intercambian cuatro mensajes EAPOL-Key entre el cliente y el punto
de acceso durante el 4-Way Handshake. Esto se muestra en la Figura 48.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 102 de 177
La PTK se deriva de la PMK, una cadena fija, la dirección MAC del punto
de acceso, la dirección MAC del cliente y dos números aleatorios (ANonce y
SNonce, generados por el autenticador y el suplicante, respectivamente). El
punto de acceso inicia el primer mensaje seleccionando el número aleatorio
ANonce y enviándoselo al suplicante, sin encriptar el mensaje o protegerlo de las
trampas. El suplicante genera su propio número aleatorio SNonce y ahora puede
calcular la PTK y las claves temporales derivadas, así que envía el SNonce y la
clave MIC calculada del segundo mensaje usando la clave KCK. Cuando el
autenticador recibe el segundo mensaje, puede extraer el SNonce (porque el
mensaje no está encriptado) y calcular la PTK y las claves temporales derivadas.
Ahora puede verificar el valor de MIC en el segundo mensaje y estar seguro de
que el suplicante conoce la PMK y ha calculado correctamente la PTK y las
claves temporales derivadas.
El tercer mensaje enviado por el autenticador al suplicante contiene el
GTK (encriptada con la clave KEK), derivada de un GMK aleatorio y GNonce ,
junto con el MIC calculado del tercer mensaje utilizando la clave KCK. Cuando el
suplicante recibe este mensaje, el MIC se comprueba para asegurar que el
autenticador conoce el PMK y ha calculado correctamente la PTK y derivado
claves temporales.
Figura 48.- Fase 3: 4-Way Handshake
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 103 de 177
El último mensaje certifica la finalización del handshake e indica que el
suplicante ahora instalará la clave y empezará la encriptación.
Al recibirlo, el autenticador instala sus claves tras verificar el valor MIC.
Así, el sistema móvil y el punto de acceso han obtenido, calculado e instalado
unas claves de integridad y encriptación y ahora pueden comunicarse a través
de un canal seguro para tráfico unicast y multicast.
El tráfico multicast se protege con otra clave: GTK (Group Transient Key),
generada de una clave maestra llamada GMK (Group Master Key), una cadena
fija, la dirección MAC del punto de acceso y un número aleatorio GNonce. La
longitud de GTK depende del protocolo de encriptación (256 bits para TKIP y128
bits para CCMP). GTK se divide en claves temporales dedicadas (Figura 49):
GEK (Group Encryption Key): Clave para encriptación de datos (usada
por CCMP para la autenticación y para la encriptación, y por TKIP).
GIK (Group Integrity Key): Clave para la autenticación de datos (usada
solamente por Michael con TKIP).
Figura 49.- Fase 3: jerarquía de Group Key
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 104 de 177
Se intercambian dos mensajes EAPOL-Key entre el cliente y el punto de
acceso durante el Group Key Handshake. Este handshake hace uso de claves
temporales generadas durante el 4-Way Handshake (KCK y KEK). El proceso se
muestra en la Figura 50.
El Group Key Handshake sólo se requiere para la disasociación de una
estación o para renovar la GTK, a petición del cliente. El autenticador inicia el
primer mensaje escogiendo el número aleatorio GNonce y calculando una nueva
GTK. Envía la GTK encriptada (usando KEK), el número de secuencia de la GTK
y el MIC calculado de este mensaje usando KCK al suplicante. Cuando el
mensaje es recibido por el suplicante, se verifica el MIC y la GTK puede ser
desencriptada.
Figura 50.- Fase 3: Group Key Handshake
El segundo mensaje certifica la finalización del Group Key Handshake
enviando el número de secuencia de GTK y el MIC calculado en este segundo
mensaje. Al ser recibido este, el autenticador instala la nueva GTK (tras verificar
el valor MIC).
4.1.3.4 Fase 4: Confidencialidad e integridad de datos RSNA
Todas las claves generadas anteriormente se usan en protocolos que
soportan la confidencialidad e integridad de datos RSNA:
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 105 de 177
TKIP (Temporal Key Hash).
CCMP (Counter-Mode / Cipher Block Chaining Message Authentication
Code Protocol).
WRAP (Wireless Robust Authenticated Protocol).
Hay un concepto importante que debe ser entendido antes de detallar
estos protocolos: la diferencia entre MSDU (MAC Service Data Unit) y MPDU
(MAC Protocol Data Unit). Ambos términos se refieren a un sólo paquete de
datos, pero MSDU representa a los datos antes de la fragmentación, mientras
las MPDUs son múltiples unidades de datos tras la fragmentación. La diferencia
es importante en TKIP y en el protocolo de encriptación CCMP, ya que en TKIP
el MIC se calcula desde la MSDU, mientras que en CCMP se calcula desde
MPDU.
Figura 51.- Esquema y encriptación de TKIP Key-Mixing
Al igual que WEP, TKIP está basada en el algoritmo de encriptación RC4,
pero esto es así tan sólo por un motivo: permitir a los sistemas WEP la
actualización para instalar un protocolo más seguro. TKIP se requiere para la
certificación WPA y se incluye como parte de RSN 802.11i como una opción.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 106 de 177
TKIP añade medidas correctoras para cada una de las vulnerabilidades de WEP
descritas en el apartado de vulnerabilidades WEP:
Integridad de mensaje: un nuevo MIC (Message Integrity Code) basado
en el algoritmo Michael puede ser incorporado en el software para
microprocesadores lentos.
IV: nuevas reglas de selección para los valores IV, reutilizando IV como
contador de repetición (TSC, o TKIP Sequence Counter) e
incrementando el valor del IV para evitar la reutilización.
Figura 52.- Computación de MIC utilizando el algoritmo Michael
Per Packet Key Mixing: para unir claves de encriptación aparentemente
inconexas.
Gestión de claves: nuevos mecanismos para la distribución y
modificación de claves.
TKIP Key-Mixing Scheme se divide en dos fases. La primera se ocupa de
los datos estáticos (clave TEK de sesión secreta, el TA de la dirección MAC del
transmisor (incluido para prevenir colisiones IV) y los 32 bits más altos del IV). La
fase 2 incluye el resultado de la fase 1 y los 16 bits más bajos del IV, cambiando
todos los bits del campo Per Packet Key para cada nuevo IV. El valor IV siempre
empieza en 0 y es incrementado de uno en uno para cada paquete enviado, y
los mensajes cuyo TSC no es mayor que el del último mensaje son rechazados.
El resultado de la fase 2 y parte del IV extendido (además de un bit dummy)
componen la entrada para RC4, generando un flujo de clave que es XOR-eado
con el MPDU de sólo texto, el MIC calculado del MPDU y el viejo ICV de WEP
(ver Figura 51).
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 107 de 177
La computación del MIC utiliza el algoritmo Michael de Niels Ferguson. Se
creó para TKIP y tiene un nivel de seguridad de 20 bits (el algoritmo no utiliza
multiplicación por razones de rendimiento, porque debe ser soportado por el
viejo hardware de red para que pueda ser actualizado a WPA). Por esta
limitación, se necesitan contramedidas para evitar la falsificación del MIC. Los
fallos de MIC deben ser menores que 2 por minuto, o se producirá una
desconexión de 60 segundos y se establecerán nuevas claves GTK y PTK tras
ella. Michael calcula un valor de comprobación de 8 octetos llamado MIC y lo
añade a la MSDU antes de la transmisión. El MIC se calcula de la dirección
origen (SA), dirección de destino (DA), MSDU de sólo texto y la TMK apropiada
(dependiendo del lado de la comunicación, se utilizará una clave diferente para
la transmisión y la recepción).
CCMP se basa en la suite de cifrado de bloques AES (Advanced
Encryption Standard) en su modo de operación CCM, con la clave y los bloques
de 128 bits de longitud. AES es a CCMP lo que RC4 a TKIP, pero al contrario
que TKIP, que se diseñó para acomodar al hardware WEP existente, CCMP no
es un compromiso, sino un nuevo diseño de protocolo.
CCMP utiliza el counter mode junto a un método de autenticación de
mensajes llamado Cipher Block Chaining (CBC-MAC) para producir un MIC.
Figura 53.- Encriptación CCMP
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 108 de 177
Se añadieron algunas características interesantes, como el uso de una
clave única para la encriptación y la autenticación (con diferentes vectores de
inicialización), el cubrir datos no encriptados por la autenticación.
El protocolo CCMP añade 16 bytes al MPDU, 8 para el encabezamiento
CCMP y 8 para el MIC. El encabezamiento CCMP es un campo no encriptado
incluido entre el encabezamiento MAC y los datos encriptados, incluyendo el PN
de 48-bits (Packet Number = IV Extendido) y la Group Key KeyID. El PN se
incrementa de uno en uno para cada MPDU subsiguiente.
La computación de MIC utiliza el algoritmo CBC-MAC que encripta un
bloque nonce de inicio (computado desde los campos de Priority, la dirección
fuente de MPDU y el PN incrementado) y hace XORs sobre los bloques
subsiguientes para obtener un MIC final de 64 bits (el MIC final es un bloque de
128-bits, ya que se descartan los últimos 64 bits). El MIC entonces se añade a
los datos de texto para la encriptación AES en modo contador. El contador se
construye de un nonce similar al del MIC, pero con un campo de contador extra
inicializado a 1 e incrementado para cada bloque.
El último protocolo es WRAP, basado también en AES pero utilizando el
esquema de encriptación autenticada OCB (Offset Codebook Mode –
encriptación y autenticación en la misma operación). OCB fue el primer modo
elegido por el grupo de trabajo de IEEE 802.11i, pero se abandonó por motivos
de propiedad intelectual y posibles licencias. Entonces se adoptó CCMP como
obligatorio.
4.1.3.5 Vulnerabilidades WPA
Aunque se han descubierto algunas pequeñas debilidades en WPA/WPA2
desde su lanzamiento, ninguna de ellas es peligrosa si se siguen unas mínimas
recomendaciones de seguridad.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 109 de 177
La vulnerabilidad más práctica es el ataque contra la clave PSK de
WPA/WPA2. Como ya hemos dicho, la PSK proporciona una alternativa a la
generación de 802.1X PMK usando un servidor de autenticación.
Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada para
generar una cadena utilizando un algoritmo conocido: PSK = PMK =
PBKDF2(frase, SSID, SSID length, 4096, 256), donde PBKDF2 es un método
utilizado en PKCS#5, 4096 es el número de hashes y 256 la longitud del
resultado.
La PTK es derivada de la PMK utilizando el 4-Way Handshake y toda la
información utilizada para calcular su valor se transmite en formato de texto. La
fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la
solidez de la frase.
Como indica Robert Moskowitz, el segundo mensaje del 4-Way
Handshake podría verse sometido a ataques de diccionario o ataques offline de
fuerza bruta. La utilidad cowpatty se creó para aprovechar este error, y su código
fuente fue usado y mejorado por Christophe Devine en Aircrack para permitir
este tipo de ataques sobre WPA. El diseño del protocolo (4096 para cada intento
de frase) significa que el método de la fuerza bruta es muy lento (unos
centenares de frases por segundo con el último procesador simple). La PMK no
puede ser pre-calculada (y guardada en tablas) porque la frase de acceso está
codificada adicionalmente según la ESSID. Una buena frase que no esté en un
diccionario (de unos 20 caracteres) debe ser escogida para protegerse
eficazmente de esta debilidad.
Para hacer este ataque, el atacante debe capturar los mensajes de 4-Way
Handshake monitorizando pasivamente la red inalámbrica o utilizar el ataque de
desautenticación para acelerar el proceso.
La otra debilidad WPA es una posibilidad de Negación del Servicio
durante el 4-Way Handshake. Changhua He y John C. Mitchell se dieron cuenta
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 110 de 177
de que el primer mensaje del 4-Way Handshake no está autenticado, y cada
cliente tiene que guardar cada primer mensaje hasta que reciban un tercer
mensaje válido (firmado), dejando al cliente potencialmente vulnerable ante el
agotamiento de memoria. Haciendo un spoofing del primer mensaje enviado por
el punto de acceso, un atacante podría realizar un ataque DoS sobre el cliente si
es posible que existan varias sesiones simultáneas.
El código de integridad de mensajes Michael tiene también debilidades
conocidas que provienen de su propio diseño (forzado por el grupo de trabajo de
802.11i). La seguridad de Michael se basa en que la comunicación esté
encriptada. Aunque los MICs criptográficos están generalmente diseñados para
resistir a este tipo de ataques de texto conocidos (donde el atacante tiene un
mensaje de texto y su MIC), Michael es vulnerable a estos ataques, porque es
invertible.
Si se le da un sólo mensaje y su valor MIC, se puede descubrir la clave
secreta de MIC, así que mantener el secreto del valor de MIC es crítico.
La debilidad final conocida es la posibilidad teórica de un ataque contra el
Temporal Key Hash de WPA, que implica una complejidad de ataque reducida
(de ∂128 a ∂105) bajo ciertas circunstancias (conocimiento de varias claves
RC4).
WPA/WPA2 se ven sometidas a vulnerabilidades que afectan a otros
mecanismos estándar de 802.11i, como son los ataques con spoofing de
mensajes 802.1X (EAPoL Logoff, EAPoL Start, EAP Failure etc.), descubiertos
por primera vez por William A. Arbaugh y Arunesh Mishra y posibles gracias a
una falta de autenticación. Por último, es importante destacar que el uso del
protocolo WPA/WPA2 no tiene protección alguna frente a ataques sobre las
tecnologías en que se basan, como puede ser la intercepción de frecuencias de
radio, Negación del Servicio a través de violaciones de 802.11, de-autenticación,
de-asociación, etc.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 111 de 177
4.2 Mecanismos de seguridad
La seguridad es hoy en día es una gran preocupación que envuelve a
Internet y a la tecnología en general, y existen empresas dedicadas
exclusivamente a este cometido. Hablar de los mecanismos de seguridad para
proteger una red sería cuestión de un proyecto entero, por lo que queda fuera
del alcance de este proyecto. Hablaremos por tanto de sólo dos mecanismos de
seguridad relacionado con la tecnología WiFi: RADIUS y filtrado MAC. Veremos
que el segundo es poco seguro, mientras que el primero sí que lo es, aunque
debe estar acompañado de una buena configuración del firewall del servidor de
acceso a la red.
4.2.1 RADIUS
Aunque RADIUS no es específicamente un mecanismo de seguridad para
redes inalámbricas, sí que supone un mecanismo de seguridad adicional en
éstas, ya que se encargará de la autorización, autenticación y accounting de los
usuarios, ejerciendo de separador lógico entre la parte inalámbrica de la red y la
parte donde se encuentran los demás servicios, que en la mayoría de los casos
es donde realmente interesa tener una seguridad robusta frente a usuarios no
autorizados.
4.2.1.1 Autenticación y autorización
Este proceso está ampliamente descrito en el estándar RFC 2865. A
continuación, describiremos como es el proceso de autorización y autenticación
de un usuario:
1. Cuando un usuario quiere acceder al sistema, envía al servidor de
acceso a la red (NAS en inglés) una petición de acceso con las
credenciales, que normalmente serán nombre de usuario y
contraseña. El NAS, que puede estar instalado en la misma máquina
que el servidor RADIUS, envía un mensaje del tipo Access Request al
servidor RADIUS. En este mensaje se incluyen las credenciales del
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 112 de 177
usuario y adicionalmente la información que el servidor NAS conoce
del usuario (dirección IP, MAC, etc.).
2. El servidor RADIUS corrobora que las credenciales son correctas
siguiente esquemas de autenticación como PAP, CHAP, MCHAP o
EAP. Esta comprobación puede usarse contra una base de datos
local, una base de datos SQL en la misma máquina o externa, con
LDAP, con Active Directory o algún otro método.
3. Una vez comprobadas las credenciales, el servidor Radius devuelve al
NAS uno de los siguientes mensajes:
Access Reject.- Se rechaza la autenticación del usuario por
alguna causa como credenciales incorrectas, usuario de
baja, supera límites de tiempos de conexión, etc.
Access Challenge.- El servidor Radius requiere alguna
credencial adicional, como una segunda contraseña, un PIN
o cualquier dato del usuario.
Access Accept.- El acceso se le es concedido al usuario.
4. Una vez que se consigue la autenticación, el servidor Radius chequea
si el usuario está autorizado a usar el servicio que se solicita. Para ello
consultará una base de datos o algún otro medio, al igual que hacía
para consultar las credenciales en el paso 2. En el mensaje de Access
Accept, el servidor Radius puede enviar las condiciones de acceso al
usuario, que pueden ser:
Dirección IP.
Máximo tiempo de conexión.
Parámetros de calidad de servicio.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 113 de 177
Etc.
4.2.1.2 Accounting
El procedimiento de accounting está descrito en el estándar RFC 2866. El
accounting se produce inmediatamente después de la autorización, llevándose a
cabo de la siguiente forma:
1. Cuando el servidor NAS concede el acceso al usuario, envía al
servidor RADIUS un mensaje del tipo Accounting Start, indicando al
servidor RADIUS el comienzo del uso del servicio por parte del
usuario. Normalmente en este mensaje se envían los siguientes
registros:
Identificación de usuario
Dirección IP
Identificador de sesión única
2. Periódicamente, el servidor NAS puede enviar mensajes del tipo
Interim Accounting al servidor RADIUS, para actualizar el estado de
una sesión activa.
3. Finalmente, cuando el usuario finaliza el acceso a la red, el servidor
NAS envía al servidor RADIUS un mensaje del tipo Accounting Stop,
con información del tiempo de conexión, datos transferidos, motivo de
la desconexión y otros datos del usuario.
Como puede intuirse el accounting está destinado a facturar al usuario
según el uso (tiempo o datos) que haga del servicio. También puede usarse esta
información para realizar estadísticas de uso y monitorizar el sistema.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 114 de 177
4.2.2 Filtrado MAC
La dirección MAC es un número de 48 bits único asignado por el
fabricante a toda tarjeta de red inalámbrica. Por tanto los puntos de acceso
podrían utilizar este número para discernir entre quién está autorizado y quién no
a utilizar la red y, por lo tanto, aceptar o denegar el servicio. Cuando un usuario
intenta asociarse a un punto de acceso, la dirección MAC del cliente debe estar
en la lista aprobada, o de lo contrario la asociación va a ser rechazada. Como
una alternativa, el AP puede tener una tabla de direcciones MAC “prohibidas”, y
habilitar a todos los dispositivos que no están en esa lista.
Aunque pueda parecer a priori un sistema seguro, la realidad nos
demuestra que no lo es, principalmente por dos razones:
1. La dirección MAC puede cambiarse fácilmente por software, por lo que
un usuario malintencionado podría capturar tráfico en la red y
descubrir una o varias direcciones MAC comunicándose
correctamente con el punto de acceso, por lo que estarán en la tabla
de direcciones permitidas. En ese momento, envía un paquete de
desasociación al cliente con esa dirección MAC y envía otro de
asociación al punto de acceso con la dirección MAC detectada. De
esta forma, el usuario malintencionado ya habría roto este sistema de
seguridad.
2. Mantener las tablas MAC en cada dispositivo puede ser muy
engorroso, requiriendo que todos los dispositivos cliente tengan su
dirección MAC grabadas y cargadas en los puntos de acceso.
4.3 Hotspot
Un hotspot es una zona de cobertura Wi-Fi, en el que un punto de acceso
o varios proveen servicios de red a través de un Proveedor de Servicios de
Internet Inalámbrico (WISP). Fue propuesto por primera vez por Brett Stewart en
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 115 de 177
1993, aunque fue Nokia quien le dio el nombre de “Hotspot” unos años más
tarde.
Los hotspots se encuentran en lugares públicos, como aeropuertos,
bibliotecas, centros de convenciones, cafeterías, hoteles, etcétera. Este servicio
permite mantenerse conectado a Internet en lugares públicos y puede brindarse
de manera gratuita o mediante el pago de una cuantía, que dependerá del
proveedor. Este pago se realiza al conectarse a un hotspot, no haciendo falta
adquirir los derechos mediante cualquier otra vía.
Un hotspot comercial, está compuesto por:
Un portal cautivo.- Es el encargado de redireccionar a los usuarios a
una determinada página web. Es en esta página web donde se le da la
bienvenida al hotspot, se explican las tarifas, se enlaza con el servicio de
pago, etc. Se definen las páginas que el usuario puede ver sin estar
autenticado. Una vez que el usuario realiza el pago y obtiene la clave,
deberá introducirla en el apartado correspondiente. Entonces, el portal
cautivo consultará al servidor Radius para validar esta clave y poder
autenticar al usuario. En el siguiente apartado se dan a conocer varios
portales cautivos de software libres existentes.
Un servidor RADIUS.- Se encargará de realizar la autorización, la
autenticación y el accounting de los usuarios. Para ello buscará en su
base de datos los atributos que tiene la clave con la que se pretende
acceder al sistema. Si esta clave no existe, la autenticación falla y se le
comunica al portal cautivo. Si existe, se produce la autenticación y se le
asignan los atributos que correspondan (Tiempo de conexión diario,
semanal o mensual, tasa de transferencia, sesiones simultáneas
posibles, máximo número de conexiones abiertas de forma simultánea,
etc…).
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 116 de 177
Portal para que el usuario realice el pago.- Cuando el usuario decida
acceder al servicio y pagar la correspondiente tasa, se le redireccionará
al portal donde pueda realizar el pago mediante tarjeta de crédito, paypal
o cualquier otra forma de pago.
La mayoría de los hotspots no son seguros, ya que no poseen ningún
sistema de encriptación que permita la privacidad de los usuarios. Por tanto las
transmisiones se producen en texto plano, estando al acceso de cualquiera que
quiera capturar el tráfico de la red. Esto es así debido a que si se usara cualquier
sistema de encriptación que requiera una clave compartida, ningún usuario que
no la conociera podría acceder al hotspot y no hay ninguna forma de divulgación
de la clave que no la comprometa.
Actualmente existen hotspot comerciales como el de Antamedia
(http://www.antamedia.com/), que permiten controlar a los usuarios, realizar
estadísticas de conexiones, descargas, prepago, etc. Éste se instala en un
servidor bajo Windows, pudiéndose gestionar fácilmente sin tener altos
conocimientos en esta tecnología.
Existen otros tipos de hotspot que pueden configurarse haciendo uso de
un servidor externo. Sólo es necesario configurar el portal cautivo “chillispot” en
un punto de acceso. Éste redirecciona a los usuarios a la página web del
servidor de hotspot, el cual se encarga de autenticar a los usuarios, cobrarles,
etc. Igualmente podremos acceder a estadísticas, control de usuarios, etc. En
este caso no se paga por el software, sino que una parte de lo que los usuarios
pagan va a parar al proveedor del hotspot. Ejemplos de este tipo de hotspot son:
Worldspot.- http://worldspot.net/
Fonera.- http://www.fon.com/ .Este está teniendo mucha aceptación a
nivel mundial, ya que permite compartir parte de tu conexión a Internet a
cambio de poder conectarte de forma gratuita a cualquier punto en el
mundo perteneciente a la red Fonera. Además recibirás parte de los
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 117 de 177
ingresos que se generen de los usuarios no pertenecientes a la Fonera
que hagan uso de tu conexión.
4.3.1 Portales Cautivos
Una herramienta común de autenticación utilizada en las redes
inalámbricas es el portal cautivo. Este utiliza un navegador web estándar para
darle al usuario la posibilidad de presentar sus credenciales de registro. También
puede utilizarse para presentar información (como Política de Uso Aceptable) a
los usuarios antes de permitir el acceso.
Mediante el uso de un navegador web en lugar de un programa
personalizado de autenticación, los portales cautivos funcionan en prácticamente
todas las computadoras portátiles y sistemas operativos. Generalmente se
utilizan en redes abiertas que no tienen otro método de autenticación (como
WEP o filtros MAC).
Para comenzar, el usuario abre su computadora portátil y selecciona la
red. Su computadora solicita una dirección mediante DHCP y le es otorgada.
Luego usa su navegador web para ir a cualquier sitio en Internet. En lugar de
recibir la página solicitada, al usuario se le presenta una pantalla de registro.
Esta página puede solicitarle al usuario que ingrese su nombre de usuario y una
contraseña, simplemente pulsa sobre el botón de “registro” (login), escribe los
números de una tarjeta prepago, o ingresa cualquier otra credencial que solicite
el administrador de red. El punto de acceso u otro servidor en la red (por ejemplo
un servidor RADIUS) verifica los datos. Cualquier otro tipo de acceso a la red se
bloquea hasta que se verifiquen las credenciales.
Una vez que el usuario ha sido autenticado, se le permite el acceso a los
recursos de la red, y en general es redireccionado al sitio web que solicitó
originalmente.
Los portales cautivos no proveen encriptación para los usuarios de redes
inalámbricas, en su lugar confían en las direcciones MAC e IP del cliente como
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 118 de 177
identificadores únicos. Si bien esto no es necesariamente muy seguro, muchas
implementaciones van a solicitar que el usuario se re-autentique periódicamente.
Esto puede hacerse automáticamente, minimizando una ventana emergente
(pop-up) del navegador, cuando el usuario se registra por primera vez.
En redes públicas o semipúblicas, las técnicas de encriptación como WEP
y WPA son realmente inútiles. Simplemente no hay forma de distribuir claves
públicas o compartidas para el público en general sin comprometer la seguridad
de esas claves. En esas instalaciones, una simple aplicación como un portal
cautivo provee un nivel de servicio intermedio entre completamente abierto y
completamente cerrado. Existen muchas implementaciones de portales cautivos
de software libre, estando más extendido los siguientes:
NoCatSplash.- Está disponible en la siguiente dirección: http://nocat.net.
NoCatSplash provee una página de ingreso modificable, solicitándoles a
sus usuarios presionar el botón de “registro” antes de utilizar la red. Esto
es útil para identificar los operadores de la red y mostrar las reglas de
acceso a la misma.
NoCatSplash está escrito en C, y va a correr en casi cualquier sistema
operativo tipo Unix incluidos Linux, BSD, y también plataformas
embebidas como OpenWRT. Tiene un archivo de configuración muy
simple y puede usar cualquier archivo HTML personalizado como la
página de ingreso. En general se corre directamente en un punto de
acceso, pero también funciona en un enrutador o un servidor proxy. Para
más información, vea la página http://nocat.net/.
Chillispot (http://www.chillispot.org/). Chillispot es un portal cautivo
diseñado para autenticar verificando los datos contra una base de datos
de credenciales de usuarios, tal como RADIUS. Si lo combinamos con la
aplicación phpMyPrePaid, se puede implementar fácilmente un sistema
de autenticación basado en prepago.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 119 de 177
Este es el portal cautivo elegido en el presente proyecto, debido a su
versatibilidad y su seguridad, ya que permite la interacción con un
servidor RADIUS para realizar la autenticación y el accounting de los
usuarios. Más detalles sobre el uso y la configuración del mismo en un
servidor se describen en el apartado 5 de la presente memoria.
WiFi Dog (http://www.wifidog.org/). WiFi Dog provee un paquete muy
completo de autenticación vía portal cautivo, en muy poco espacio
(generalmente menos de 30kB). Desde la perspectiva del usuario, no
requiere de una ventana emergente (pop-up) ni de soporte javascript,
permitiéndole trabajar en una amplia variedad de dispositivos
inalámbricos.
m0n0wall (http://m0n0.ch/wall/). Como mencionamos en el capítulo
cinco, m0n0wall es un sistema operativo embebido completo basado en
FreeBSD. Este incluye un portal cautivo con soporte RADIUS, así como
un servidor web PHP.
4.4 Aplicaciones de auditoría wireless
En entornos profesionales, donde se requiere una seguridad extrema, es
necesario hacer una auditoría de seguridad una vez que el sistema está
totalmente configurado. De esta forma sabremos detectar y solventar las
posibles vulnerabilidades que posea el sistema.
Si nos centramos en la parte wireless del sistema, hay varios Live CD
disponibles para tal fin. Los más populares son:
Wifiway (http://www.wifiway.org/)
Wifislax (http://www.wifislax.com/)
BackTrack (http://www.remote-exploit.org/backtrack.html). Es un potente
live CD sobre seguridad informática en general, no sólo sobre wireless.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 120 de 177
Todos ellos cuentan con la herramienta aircrack, la más usada
actualmente ya que implementa los ataques a WEP y WPA a día de hoy
conocidos.
4.4.1 Aircrack
El crackeado de WEP o WPA (solo si la PSK es “débil”) puede ser
demostrado con facilidad utilizando herramientas como Aircrack (creado por el
investigador francés en temas de seguridad, Christophe Devine). Aircrack
contiene tres utilidades principales, usadas en las tres fases del ataque
necesario para recuperar la clave:
airodump: herramienta de sniffing, utilizada para descubrir las redes que
tienen activado WEP o WPA.
aireplay: herramienta de inyección para incrementar el tráfico.
aircrack: crackeador de claves WEP que utiliza los IVs únicos
recogidos.
4.4.1.1 Ataques a WEP
En la actualidad, Aireplay sólo soporta la inyección en algunos chipsets
wireless, y el soporte para la inyección en modo monitor requiere los últimos
drivers parcheados. El modo monitor es el equivalente del modo promiscuo en
las redes de cable, que previene el rechazo de paquetes no destinados al host
de monitorización (lo que se hace normalmente en la capa física del stack OSI),
permitiendo que todos los paquetes sean capturados. Con los drivers
parcheados, sólo se necesita una tarjeta wireless para capturar e inyectar tráfico
simultáneamente.
La meta principal del ataque es generar tráfico para capturar IVs únicos
utilizados entre un cliente legítimo y el punto de acceso. Algunos datos
encriptados son fácilmente reconocibles porque tienen una longitud fija, una
dirección de destino fija, etc. Esto sucede con los paquetes de petición ARP
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 121 de 177
(véase Recuadro ARP-Request), que son enviadas a la dirección broadcast
(FF:FF:FF:FF:FF:FF) y tienen una longitud fija de 68 octetos. Las peticiones ARP
pueden ser repetidas para generar nuevas respuestas ARP desde un host
legítimo, haciendo que los mensajes wireless sean encriptados con nuevos IVs.
El primer paso, es la activación del modo monitor en nuestra tarjeta
wireless así que podemos capturar todo el tráfico. El paso siguiente, será
descubrir redes cercanas y sus clientes, escaneando los 14 canales que utilizan
las redes Wi-Fi.
Una vez se haya localizado la red objetivo, deberíamos empezar a
capturar en el canal correcto para evitar la pérdida de paquetes mientras
escaneamos otros canales.
Después, podremos usar la información recogida para inyectar tráfico
utilizando aireplay. La inyección empezará cuando una petición ARP capturada,
asociada con el BSSID objetivo aparezca en la red inalámbrica:
Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el
fichero pcap se hace posible lanzar este paso final mientras airodump sigue
capturando datos.
4.4.1.2 Ataques a WPA
De las tres debilidades que se han expuesto anteriormente, aircrack
explota la primera de ellas, por lo que puede atacar contra la clave PSK de
WPA/WPA2. Vimos que esto es posible cuando la clave es débil, ya que si la
clave es de longitud elevada (de 20 a 63 caracteres) es prácticamente imposible,
al menos con microprocesadores actuales.
El ataque se realiza en varios pasos:
1. Se localizan las redes WPA / WPA2 mediante un escaneo de los 14
canales usados en 802.11. Una vez localizadas las redes, se elige el
objetivo a atacar, fijándonos en el canal en el que trabaja.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 122 de 177
2. Se comienzan a capturar datos en el canal deseado mediante
airodump.
3. Debemos entonces deautenticar los clientes legítimos, con la ayuda de
airplay, forzándolos a iniciar un nuevo proceso de autenticación y
permitiéndonos capturar los mensajes de 4-Way Handshake.
4. Finalmente, con la herramienta aircrack, lanzamos un ataque de tipo
diccionario con los datos capturados. Si la PSK es débil (palabra corta
disponible en algún diccionario), hay muchas posibilidades de que
pueda adivinarse.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 123 de 177
5 Diseño e Implementación de una red wireless Este apartado describe el diseño y la implementación de la red desde un
punto de vista más práctico que teórico. Se describirán en detalle el diseño y la
estructura elegida para la red, así como las configuraciones que se han realizado
en los dispositivos. En cambio, se remite al lector a los tres apartados anteriores
si quiere comprender el funcionamiento detallado de la tecnología y protocolos
empleados. A modo de ejemplo, en este apartado se detallará el funcionamiento
lógico y la configuración realizada para montar el servidor RADIUS sobre Linux,
pero sin entrar en los detalles del protocolo, el cual ya se ha descrito en el
apartado 4.2.1 RADIUS.
En el texto se encuentran enlaces y/o referencias a apartados anteriores,
donde se describen los detalles más técnicos del asunto que se esté tratando.
5.1 Introducción. Alcance del proyecto
El presente proyecto surgió en colaboración con la “A.D.C. Los Colores”,
club social situado en Sevilla Este y fundado en 1988.
La “A.D.C. Los Colores” ha perseguido desde su creación la realización
de actividades sociales, culturales y deportivas, con el objetivo de fomentar las
relaciones intervecinales.
Entre otras muchas iniciativas, la asociación se aprovisionó de varios
equipos informáticos, con los que se iniciaron una serie de actividades
encaminadas a acercar las nuevas tecnologías al vecindario.
Siguiendo con esta idea, se pensó en proveer a los socios de una red wifi
comunitaria, a la que podrán acceder desde sus casas o desde cualquier punto
de la vecindad, con la idea de que la red ofrezca servicios de valor añadido para
los socios que deseen hacer uso de los mismos. Los servicios que inicialmente
se ofrecen son:
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 124 de 177
Conexión a Internet.
Videoconferencias para que los cursos que se impartan en la sede de la
asociación puedan seguirlos desde casa.
Servidor de archivos compartido.
Acceso a la intranet de la asociación, incluida su página web, donde
podrán acceder a la información de próximos actividades y eventos.
Conexión con la cámara web del salón de la asociación.
…
Una vez implementada una red robusta y fiable que cubre estos servicios
iniciales, se prevé añadir más funcionalidades a medida que se requieran
(telefonía IP, videovigilancia IP, servidor de correo, etc.). Esta parte aún está en
estudio y queda fuera del alcance del proyecto.
Haciéndome partícipe de esta iniciativa, me comprometí a diseñar e
implementar la red inalámbrica a un coste que la asociación pudiera permitirse,
ya que cuando contactaron con empresas externas les realizaron presupuestos
profesionales inabordables para una asociación sin ánimo de lucro.
5.2 Situación inicial y requerimientos
5.2.1 Área a cubrir
El vecindario vinculado a la “A.D.C. Los Colores” está situado en una zona
cuyas características se muestran en la figura 54:
Como puede observarse en la figura, la asociación tiene la sede en una
de las partes externas al área. Esto condiciona el diseño, ya que el punto de
acceso principal, es decir, el que estará conectado al servidor deberá estar
situado en esta parte del área. La mejor opción sería que estuviera situada en el
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 125 de 177
centro del área a cubrir, pero es evidente que este no es un parámetro
configurable.
Figura 54. Características del área a cubrir
Otro inconveniente que nos encontramos es la situación de las viviendas
de los vecinos asociados. Se realizó un estudio de la situación de las mismas y
se llegó a la conclusión de que el 90% estaban en las partes externas. Al tener
estas partes una forma “alargada”, se condiciona el diseño en 2 sentidos:
1. Las antenas sólo podrán instalarse en las partes externas del área, ya
que es necesario que un vecino perteneciente a la asociación colabore
en la colocación de la antena, proveyéndola de electricidad y de un
lugar en el tejado donde colocarla.
2. Si se instalan antenas omnidireccionales, parte de la potencia radiada
va a parar a zonas donde no viven vecinos. Por otro lado, adecuar la
zona de cobertura que ofrecen las antenas a la zona donde residen los
vecinos requiere de la utilización de un número mayor de antenas y de
puntos de acceso, por lo que el coste se incrementa.
5.2.2 Requerimientos
En una reunión mantenida con la junta directiva de la asociación, se
acordaron una serie de requisitos, los cuales se resumen a continuación:
Características del Área a cubrir
Situación de la sede de la asociación
Zonas con el 90 % de los asociados
Dimensiones de área:
•Ancho (máx.) 320 m.•Largo (máx.) 450 m•Área 102000 m2
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 126 de 177
El acceso a Internet debe estar garantizado sólo a los vecinos
asociados, no pudiendo estar al alcance de cualquier usuario en la zona
de cobertura.
Cualquier usuario no asociado que se conecte a la red, podrá acceder
exclusivamente a la página web de la asociación.
Cada socio que se acoja al servicio, tendrá un nombre de usuario y
contraseña. Debe restringirse el hecho de que un mismo nombre de
usuario y contraseña pueda usarse desde ordenadores distintos
simultáneamente, ya que en este caso podrían usarlo vecinos no
asociados que consiguieran credenciales válidas de acceso.
El diseño de la red debe hacerse de forma que ésta sea escalable, ya
que a priori se desconoce la cantidad de socios que van a utilizar el
sistema, fijando 50 socios como una cifra significativa. Además, se
cuenta con un presupuesto muy limitado, por lo que la red deberá
mejorarse progresivamente cuando el número de usuarios crezca.
La red debe ser robusta, es decir, si se produce una caída de un enlace
o punto de acceso, la red debe seguir funcionando correctamente.
Cumplir estos requerimientos, fundamentalmente el presupuesto con el
que cuentan, ha condicionado el diseño de la red. En un futuro, este diseño
puede modificarse y optimizarse para aumentar su capacidad. Debido a esta
posibilidad, el diseño elegido permitirá aprovechar todos los dispositivos
adquiridos ahora. Esto se describe en el apartado Fase II.
5.2.3 Dispositivos disponibles
Antes de comenzar el presente proyecto la asociación disponía de varios
dispositivos, los cuales han podido ser utilizados.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 127 de 177
Router ADSL Xavi. Este router es el que provee Internet a través de la
conexión RJ11. La conexión a Internet disponible tiene las siguientes
características:
3072 Kbits de bajada.
256 Kbits de subida.
6 ordenadores de sobremesa, dos de ellos de reciente adquisición. El
modelo de estos dos ordenadores es Compaq Presario SR5302ES,
cuyas características se describen más adelante. Uno de estos dos
ordenadores fue el elegido para usarlo como servidor.
1 ordenador portátil. Con este ordenador se han realizado las
mediciones de señal en los diferentes puntos de la vecindad.
Switch de 8 puertos. Nos permitirá conectar todos los ordenadores de
sobremesa, incluido el servidor, al router ADSL.
5.3 Objetivos
El objetivo principal de este proyecto es el diseño y la implantación de una
red wireless, que ofrezca cobertura en la zona residencial de los socios de la
“A.D.C. Los Colores” con una calidad de servicio aceptable, cumpliendo con los
requisitos establecidos por la junta directiva.
Para lograr el objetivo principal, deben cumplirse los siguientes objetivos
intermedios:
Diseño de la red wireless, teniendo en cuenta los siguientes criterios de
diseño:
- Transparencia hacia el usuario.- El usuario de la red deberá
poder acceder a la red sin realizar ninguna instalación o
modificación en su equipo.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 128 de 177
- Fiabilidad de la red.- Para ello se diseñarán enlaces alternativos
de respaldo, así como un segundo servidor que se usará en caso
de caída del primero. En ambos servidores se configurarán dos
discos duros en RAID 1, lo que disminuirá la probabilidad de que
dejen de funcionar.
- Calidad de servicio.- La red debe ofrecer una buena calidad de
servicio a los usuarios.
- Escalabilidad.- La red debe ser escalable, pudiendo reutilizar los
dispositivos ya instalados en caso de ampliación. Este factor, como
se verá más adelante, se ha tenido mucho en cuenta debido al
presupuesto con el que se contaba.
- Seguridad.- Debe asegurarse que sólo los socios puedan acceder
a los servicios restringidos para ellos. Para ello el se creará un
servidor RADIUS que los autentique mediante nombre de usuario y
contraseña.
Configuración del servidor de la red, que deberá realizar las siguientes
tareas:
- Servidor DHCP.
- Portal Cautivo.
- Firewall entre la red externa (Puntos de acceso inalámbricos) y la
interna (Ordenadores y Router ADSL con Internet).
- Servidor RADIUS de autenticación.
- Almacenamiento de datos de conexiones de usuarios, para la
monitorización y control de la red, así como para realizar
estadísticas de uso.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 129 de 177
Configuración de los puntos de acceso
- Enlaces principales (Backbone) y de respaldo.
- Implementación de calidad de servicio en los mismos mediante el
uso de firmwares modificados.
Instalación de los puntos de acceso en el tejado de la asociación y en el
tejado de las viviendas de los vecinos elegidas para ello.
5.4 Dispositivos Utilizados
5.4.1 Servidor
El servidor utilizado es un Compaq Presario SR5302ES, el cual tiene las
siguientes características:
Procesador Intel® Pentium® E2140 Dual Core.
Chipset Intel® G33.
3 GB de memoria RAM tipo SDRAM DDR2.
Unidad de disco duro de 500 GB serial ata.
Grabadora de DVD SATA DVD RAM.
1 lector de tarjetas de memoria "15 en 1".
2 tarjetas de red.
Tarjeta de video NVIDIA® GeForce™ 6150 SE GPU.
Etcétera.
En el apartado Instalación y configuración del servidor se detalla la
instalación del sistema operativo, software y configuraciones realizadas.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 130 de 177
5.4.2 Puntos de acceso
Todos los puntos de acceso utilizados son los Linksys WRT54GL v1.1, ya
que poseen un sistema operativo embebido con núcleo Linux y a que existen
versiones modificadas bajo la licencia GPL que dotan a los puntos de acceso de
todas las características necesarias para este proyecto. En el apartado
Radioenlaces. Configuración de los puntos de acceso está explicado todo lo
referente a la configuración de estos dispositivos.
Las características técnicas de estos puntos de acceso son:
CPU a 200 MHz, 16 MB de RAM, 4 MB de memoria flash
802.11a, b y g
4 puertos ethernet más un puerto WAN RJ45.
5.4.3 Antenas
Las antenas utilizadas han sido dos omnidireccionales de 9 dB de
ganancia, una sectorial de 14 dB de ganancia y otra omnidireccional de 12 dB de
ganancia. La marca elegida ha sido Interline, debido a su buena relación calidad
/ precio.
Omnidireccional 9dB.- El ancho del haz en el plano vertical es de 15º y
en el plano horizontal 360º. La longitud de la antena es 54 cm.
Figura 55.- Patrón de radiación de la antena omnidireccional de 9dB utilizada.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 131 de 177
Omnidireccional 12 dBi.- El ancho del haz en el plano vertical es de 6º y
en el plano horizontal 360º. La longitud de la antena es 110,5 cm.
Figura 56.- Patrón de radiación de la antena omnidireccional de 12 dB utilizada.
Sectorial 14 dBi.- El ancho del haz en el plano vertical es de 6º y en el
plano horizontal 120º. Las dimensiones de la antena son 100.7 x 12.7
cm.
Figura 57.- Patrón de radiación de la antena sectorial utilizada.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 132 de 177
5.4.4 Cajas estanca
Las cajas estanca utilizadas siguen el estándar IP55 y tienen unas
medidas de 240x190x90. Son de la marca GEWISS modelo GW44008.
Figura 58.- Caja estanca
5.4.5 Conectores
Son dos los conectores usados, el RP-TNC para la conexión del coaxial al
punto de acceso y el Tipo N para la conexión a las antenas. Ambos tienen una
pérdida de 0,5 dB.
5.4.6 Cableado
El cableado utilizado para llevar la señal desde el punto de acceso a la
antena ha sido el LMR400 de 0.21 dB/m de atenuación. Este tipo de cable es de
muy bajas pérdidas, permitiendo longitudes de 8 metros de longitud sin llegar a
los 2 dB de atenuación.
Como cable de red se ha usado el de categoría 5 UTP para exteriores. En
el nodo principal se han utilizado 25 metros para unir el punto de acceso con el
servidor. En los demás puntos de acceso, se ha colocado un cable ethernet por
si el interfaz inalámbrico de alguno de ellos cae y hay que configurarlo vía
ethernet.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 133 de 177
Finalmente para ampliar el cable de corriente continua que alimenta a los
puntos de acceso, se ha usado un cable de pares de 0,5 mm de grosor.
5.4.7 Router ADSL
El router ADSL ha sido proporcionado por telefónica y corresponde con el
router inalámbrico Xavi 7768r.
Figura 59.- Router ADSL
5.5 Enfoque del proyecto y metodología
Teniendo en cuenta los requisitos y objetivos que se han descrito
anteriormente, se decidió realizar el proyecto en tres fases, permitiendo diluir el
coste total entre cada una de ellas. Un resumen gráfico puede verse en la figura
60.
La razón de este enfoque fue principalmente debida al presupuesto con el
que se contaba y a la imposibilidad de saber a ciencia cierta la aceptación del
proyecto por parte de los socios. De esta forma, se pensó en un principio en
colocar 4 nodos que maximizaran la cobertura en las zonas habitadas y
permitieran una capacidad para unos 50 usuarios aproximadamente.
Si la aceptación por parte de los socios es elevada se instalarán tres
nodos más, que permitan aumentar la cobertura a la totalidad de los socios.
Además, se instalará un punto de acceso adicional unido mediante cable
ethernet al principal y que permita configurar un canal de transmisión diferente
para la mitad de los nodos, doblando la capacidad del sistema, además de
segmentarla. A fecha de la memoria del proyecto se ha implementado sólo la
primera parte de la red, dando servicio a unos 20 usuarios, por lo que aún no es
conveniente acometer ninguna ampliación.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 134 de 177
Figura 60.- Resumen del enfoque del proyecto realizado
En la primera fase se ofrecen servicios básicos (Internet, cámara web del
salón de la asociación, servidor de archivos, etc.). En la segunda fase se
pretende ampliar la capacidad del sistema y la cobertura, añadiendo nuevos
nodos y usando 2 radiocanales de transmisión. En una tercera fase se
contempla la posibilidad de añadir servicios más complejos, como streaming de
video, Voz IP, servidor de juegos, videovigilancia IP, etc. Esta tercera fase queda
fuera del alcance del presente proyecto. En los apartados sucesivos se detalla la
metodología usada para diseñar e implementar las fases I y II.
5.5.1 Consideraciones Iniciales
En un principio se consideró implementar una estructura de red que
maximizara la capacidad de la misma. Ésta se consigue utilizando en cada nodo
un punto de acceso con antena direccional (de enlace) y otro con antena
omnidireccional (de cobertura), unidos ambos mediante un cable ethernet. Esta
configuración permite tener en canales separados y no interferentes entre sí el
backbone de la red y los nodos de cobertura. Por ejemplo, el backbone podría
usar el canal 6 y los nodos de cobertura el 1 o el 11 de forma alternativa para
evitar también interferencias entre nodos cercanos.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Servicios
Cobertura
CosteFase 1Fase 2Fase 3
Implantación de un nodo secundario en el parque próximo a la vecindad.
Implementación de servicios de valor
añadido.
Implementación del nodo principal, de tres nodos
secundarios y del Servidor.
Implementación de tres nodos secundarios para dar cobertura al resto de
socios. Ampliación de capacidad.
Cobertura total, Capacidad máxima
Red robusta, fiable y segura.
Movilidad, servicios
complejos.
Fase I Fase II Fase III
Resumen del enfoque del proyecto
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Servicios
Cobertura
CosteFase 1Fase 2Fase 3
Implantación de un nodo secundario en el parque próximo a la vecindad.
Implementación de servicios de valor
añadido.
Implementación del nodo principal, de tres nodos
secundarios y del Servidor.
Implementación de tres nodos secundarios para dar cobertura al resto de
socios. Ampliación de capacidad.
Cobertura total, Capacidad máxima
Red robusta, fiable y segura.
Movilidad, servicios
complejos.
Fase I Fase II Fase III
Resumen del enfoque del proyecto
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 135 de 177
Otra opción a considerar era usar en un nodo tres puntos de acceso con
sendas antenas sectoriales de 120º de ancho de haz. Cada una de las antenas
sectoriales irradiaría a una frecuencia no solapante, evitando así las
interferencias. De esta forma se consigue también sectorizar la cobertura,
triplicando la capacidad del sistema. Una de las antenas sectoriales podría
aprovecharse para realizar el enlace hacia otro nodo o hacia el nodo principal.
Si bien elegir una de estas opciones hubiera sido la apuesta más segura,
también son las más costosas, ya que en el peor de los casos deben usarse dos
puntos de acceso y dos antenas por nodo. En el caso de querer hacer enlaces
de respaldo se necesitarían tres antenas y tres puntos de acceso por nodo.
En un proyecto destinado al uso profesional, sin duda habría que elegir
una de las dos opciones anteriores. En cambio, en el ámbito en el que nos
encontramos es más importante minimizar el coste que maximizar la capacidad
del sistema, máxime si esto último puede hacerse en un futuro si es necesario.
Por este motivo se intentó hacer realidad una tercera opción, consistente en
proveer al nodo principal de una antena omnidireccional de alta ganancia (12
dBi) y a los nodos secundarios de antenas omnidireccionales de 9 dBi. Si con
estas antenas consiguiéramos enlazar los nodos entre sí, estaríamos usando un
punto de acceso y antena omnidireccional por nodo, consiguiendo el mismo
propósito con un presupuesto dos o tres veces menor. Como contrapartida, con
esta opción disminuimos la capacidad del sistema, ya que tendremos que usar
un solo canal de transmisión entre todos los nodos, por lo que se interferirán
entre sí.
Para corroborar la viabilidad de esta última opción, se adquirieron dos
puntos de acceso y dos antenas omnidireccionales, de 9 y de 12 dBi. Se instaló
el punto de acceso con la antena omnidirecional de 12 dBi en el tejado de la
sede de la asociación y el otro punto de acceso en la parte del área más alejada
de este, a unos 400 metros. Una vez instalados se intentó configurar el enlace y
el resultado fue muy satisfactorio, ya que se consiguió que se conectaran a 48
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 136 de 177
Mbps, siendo el ancho de banda real unos 22 Mbps. Cualquier enlace tendría la
misma visibilidad y menor distancia, por lo que no habría problemas para
realizarlo.
5.5.2 Fase I
El objetivo de la primera fase del proyecto fue ofrecer cobertura al 75%
del área a cubrir, para conseguir llegar al 90% de los socios con sólo un 60% del
coste que supondría cubrirla en su totalidad.
Para conseguir el objetivo de la fase I, fue necesario realizar las
siguientes tareas:
Mediciones de redes WiFi existentes en cada una de las situaciones de
los nodos para poder elegir el canal de transmisión / recepción.
Configuración y montaje del nodo principal en la sede de la asociación.
Configuración del servidor.
Configuración y montaje de tres nodos secundarios.
Auditorías de seguridad y de robustez de la red. Para ello se utilizará
software especializado y se simulará la caída de algún enlace y punto de
acceso.
5.5.2.1 Mediciones realizadas
La tecnología utilizada para proveer de acceso inalámbrico ha sido
802.11g. Vimos en el apartado 802.11g y DSSS-OFDM cómo se distribuían los
canales de transmisión. En España había once canales disponibles de 20 MHz
separados 5 MHz entre sí, por lo que los únicos que no se solapaban entre sí
eran el 1, el 6 y el 11. Además la frecuencia que utilizaban era de uso libre por lo
que otros dispositivos podrían usar estas frecuencias.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 137 de 177
Pues bien, no nos quedó más remedio que escanear las redes
inalámbricas existentes en el área de influencia, sobre todo en las zonas donde
van a estar instalado los nodos. En las siguientes figuras se aprecian las redes
detectadas, los canales que usan y la potencia con la que se reciben.
Figura 61.- Redes detectadas desde los nodos 1 y 2
Una vez escaneadas las red inalámbricas de los nodos 1 y 2, se
escanearon las redes inalámbricas en la situación de los nodos 3 y 4. Para ello,
se utilizó un punto de acceso Linksys WRT54GL con una antena omnidireccional
de 9 DB de ganancia, ambos situados en el emplazamiento elegido para la
colocación de los mismos. Se usó la opción “Site Survey” de dicho punto de
acceso, a la que puede accederse desde la interfaz web.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 138 de 177
Figura 62.- Redes detectadas desde los nodos 3 y 4
Para elegir el canal adecuado, debemos fijarnos en estas dos
restricciones:
Que esté nada o poco utilizado
Que los cuatro canales por arriba y por abajo sen los menos utilizados
también, ya que hemos visto que interfieren, aunque en menor medida.
Tras analizar las mediciones puede observarse que canales poco
utilizados son el 2, el 4 y el 9. Para decantarnos por uno se decidieron hacer
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 139 de 177
pruebas de transferencia y fiabilidad para comprobar empíricamente cual de
estos canales daba mejor resultado. Finalmente resultó ser el canal 9.
5.5.2.2 Estructura de la red. Nodo principal y nodos secundarios
Teniendo en cuenta lo mencionado en el apartado anterior, la topología de
la red se dispuso de la siguiente manera:
En la sede de la asociación se instaló el nodo principal, con una antena
omnidireccional de 12 dBi. El punto de acceso está unido al servidor
mediante un cable ethernet CAT5 para exterior de 25 metros de longitud.
Se dispusieron dos nodos secundarios con antenas omnidireccionales
de 9 dBi en el punto medio de las dos zonas más habitadas del
vecindario, unidos mediante un enlace WDS al nodo principal.
Un tercer nodo se dispuso en el edificio más alto de área a cubrir,
utilizando una antena sectorial de 120º de ancho de haz en lugar de una
omnidireccional. Este nodo se unió mediante WDS al nodo principal y a
los otros dos nodos secundarios, de forma que si se cae algún enlace la
red se capaz de rutar correctamente los paquetes de todos los nodos.
Figura 63.- Configuración elegida para la red de puntos de acceso
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 140 de 177
La red de acceso inalámbrica se une al servidor mediante un cable
ethernet de 25 metros entre éste y el nodo principal. La configuración de los
puntos de acceso y del servidor (con firewall incluido) se detalla en los apartados
siguientes.
El servidor dispone de dos interfaces de red, una de ellas unida al nodo
principal y la otra a la red interna de la asociación, la cual tiene acceso a
Internet. Por tanto, el servidor es el nexo de unión entre ambas redes, por lo que
se debe configurar un firewall que permita el acceso sólo a aquel usuario que
esté autenticado correctamente. En la siguiente imagen se muestra un esquema
de todos los componentes de la red.
Figura 64.- Esquema general de la red
5.5.2.2.1 Nodo principal
El nodo principal está compuesto por un punto de acceso unido a una
antena omnidireccional de 12 dB de ganancia mediante un cable coaxial de 8
metros de longitud.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 141 de 177
El punto de acceso se colocó en una caja estanca en la base del mástil de
la antena de unos 8 metros de altura. Tanto el cable de alimentación como el
cable de red se protegieron de la intemperie mediante un tubo de plástico
corrugado.
Previamente, se configuró el punto de acceso tal y como se describe en
“Radioenlaces. Configuración de los puntos de acceso”, configurando los
enlaces WDS correspondientes. Igualmente se eligió la potencia de transmisión
en 11,69 mw, ya que es la potencia que hace que la P.I.R.E. no supere el límite
legal, tal y como se detalla en el apartado “Análisis de la potencia irradiada”.
La dirección IP del punto de acceso fue configurada con el valor
10.10.10.1.
5.5.2.2.2 Nodos secundarios con antena omnidireccional
Se colocaron dos nodos con antenas omnidireccionales de 9 dB de
ganancia. Son los nodos 3 y 4. El punto de acceso previamente configurado y la
antena omnidireccional se unen mediante un cable coaxial de sólo un metro de
longitud.
En este caso no es necesario cable ethernet, ya que el enlace con los
demás nodos se hará de forma inalámbrica mediante WDS. Aún así, se instaló
un cable de red por si alguna vez cayera la interfaz inalámbrica del punto de
acceso y hubiera que acceder a él a través de uno de los puertos ethernet.
El cable de alimentación se alargó soldando 10 metros de cable de pares
de 0.5 mm de grosor.
La potencia de transmisión del punto de acceso se configuró en 16,63 mw
tal y como se deduce en el apartado “Análisis de la potencia irradiada”.
Las direcciones IP utilizadas para los puntos de acceso fueron 10.10.10.3
para el nodo 3 y 10.10.10.4 para el 4.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 142 de 177
5.5.2.2.3 Nodo secundario con antena sectorial
Este nodo está situado en el edificio más alto de la zona, que además se
sitúa en la cara oeste del área. Es por ello que se eligió una antena sectorial de
14 dB de ganancia y 120 º de ancho de haz horizontal, ya que es fundamental
que se transmita a la zona deseada y no se desperdicie potencia.
La instalación del nodo es parecida a los anteriores, excepto que en vez
de un mástil vertical se usó un mástil con forma de L anclado a la pared.
También se instaló un cable de red para recuperar el punto de acceso en caso
de caída de la interfaz inalámbrica.
La dirección IP asignada al punto de acceso fue la 10.10.10.2 y la
potencia de transmisión se estableció en 8,13 mw, tal y como se describe en el
apartado “Análisis de la potencia irradiada”.
5.5.2.3 Funcionamiento Lógico del sistema
Para entender mejor el sistema, vamos a describir los pasos que se
suceden desde que un usuario detecta la red hasta que se autentica y se le
asignan los privilegios de los que dispone. La configuración de todos los
elementos que hacen que el mecanismo que se va a explicar sea posible, se
describen en los apartados Configuración de los puntos de acceso y Instalación
y configuración del servidor. Por ahora, sólo detallaremos los pasos lógicos que
se llevan a cabo hasta conseguir la autenticación del usuario.
1. Un cliente detecta la red con el SSID “A.D.C. Los Colores”. Si es Socio
debe conocer la clave de encriptación compartida WPA, por lo que
podrá asociarse correctamente.
2. El servidor DHCP (configurado en el servidor) le proporciona una
dirección IP del rango de la red privada virtual creada por el portal
cautivo chillispot configurado en el servidor. En este caso la red
privada virtual es la 192.168.2.0.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 143 de 177
3. El cliente abre el navegador y accede a una página web. Se crea por
tanto una petición TCP que es capturada por el servidor. Éste le
responde redireccionándolo a la la página web de bienvenida,
controlada por un servidor web, donde sólo dispondrá de dos
opciones:
11.. Entrar en la página web de la asociación.
22.. Entrar en el portal de acceso, donde se le pedirá las
credenciales correspondientes.
4. Al pulsar sobre el botón “Login”, se accederá al portal de acceso. Este
portal trabaja con encriptación extremo a extremo SSL, para que
ningún usuario de la red pueda capturar las credenciales de otros
usuarios. Debido a esto el cliente y el servidor intercambiarán
certificados digitales. Una vez hecho esto se requerirá el nombre de
usuario y contraseña. El usuario debe introducirlo y pulsar en el botón
aceptar.
5. Una vez introducido, el portal cautivo chillispot envía al servidor
RADIUS (configurado en el mismo servidor) una petición de
autenticación con las credenciales del usuario (Ver apartado RADIUS).
Éste busca esas credenciales en la base de datos llamada “radius” del
servidor mySQL (en el mismo servidor también) y devuelve al portal
cautivo un mensaje donde le indica si se le concede el acceso o no. En
caso afirmativo le envía también los siguientes atributos:
11.. Tiempo de conexión. Se le indica el tiempo de conexión que le
queda durante el día actual.
22.. Tasa de bajada. Según al grupo que pertenezca el usuario se
le asignarán 512 Kbps o 1Mbps como velocidad de bajada.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 144 de 177
33.. Sesiones simultáneas. Según el usuario se le permitirá tener 1
o más sesiones al mismo tiempo.
6. El navegador abre una nueva instancia donde se le indica el tiempo
restante. Aparece además el botón logout, que deberá ser pulsado
cuando se finalice el acceso. Esta ventana deberá ser minimizada.
Figura 65.- Diseño y funcionamiento de la red
7. El servidor redirecciona al cliente a la página que había solicitado. A
partir de ese instante y hasta que decida finalizar el servicio o se le
agote el tiempo de conexión diario, el usuario dispondrá de acceso a la
red y conexión a Internet.
Todas estas acciones se hacen de forma transparente al usuario, es
decir, en su equipo no se tiene que instalar ningún software ni certificado digital.
Esto es así debido al uso de protocolos soportados por prácticamente todos los
navegadores web.
5.5.2.4 Radioenlaces. Configuración de los puntos de acceso
Como no existe la posibilidad de enlazar los puntos de acceso mediante
un cable ethernet, la única forma de realizarlo es la creación de radioenlaces
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 145 de 177
entre ellos, haciendo uso de la tenología WDS (Wireless Distribution System).
Esta tecnología tiene una desventaja: al usar cada punto de acceso una sóla
interfaz inalámbrica, la capacidad del sistema de divide por dos en cada uno de
ellos.
5.5.2.4.1 Cambio de Firmware
Los puntos de acceso elegidos (Linksys WRT54GL v1.1) no soportan esta
tecnología con el firmware de fábrica, por lo que debemos cargar un firmware
modificado (ver apartado Linksys WRT54GL v1.1 como punto de acceso). En
este proyecto se ha usado el firmware dd-wrt v23 SP2.
Para cargarlo, se conecta mediante cable ethernet el punto de acceso a
un pc. Se accede a la interfaz web del punto de acceso mediante un navegador,
por defecto http://192.168.1.1. Ponemos nombre de usuario (admin por defecto)
y contraseña (en blanco por defecto) y nos vamos a la sección de
administración. Dentro de esta sección está el apartado firmware update.
Accedemos y elegimos la versión mini del firmware dd-wrt v23 SP2. Es
importante que sea la versión mini, ya que ésta ocupa menos de 2 megas y
aunque el dispositivo tiene 4 MB no soportará en la primera actualización un
firmware mayor de 2 MB.
Figura 66.- Actualización del firmware
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 146 de 177
Una vez actualizado a la versión mini, esperamos que el punto de acceso
se resetee y accedemos de nuevo a la interfaz web. En este caso el usuario por
defecto pasa a ser root, y el password admin. Una vez introducidos, nos
dirigimos al apartado Administración/Firmware upgrade e introducimos el
fimware dd-wrt v23 SP2 en su versión estándar.
Cuando se resetee el router, debemos acceder de nuevo a él y cambiar el
password por uno propio.
5.5.2.4.2 Configuración Básica
El servidor DHCP de la red de acceso va a estar gestionado por el
servidor, por lo que se desactivará este servicio en todos los puntos de acceso y
se le asignará una dirección IP a cada punto de acceso. Esto puede hacerse en
la interfaz web Setup/Basic Settings. En la red de acceso se han configurado 4
puntos de acceso, con las direcciones de red 10.10.10.1 a 10.10.10.4. En
cambio el servidor DHCP en el servidor se ha configurado en el rango
192.168.2.2-254, por lo que para acceder a los puntos de acceso es necesario
configurar nuestra dirección IP manualmente en el rango 10.10.10.0. Esto
reduce la posibilidad de intentos de intrusión en los routers, aumentando la
seguridad.
En este apartado es importante que rellenemos el campo nombre del
punto de acceso, ya que favorece la identificación.
5.5.2.4.3 Configuración Inalámbrica
A continuación configuramos los parámetros de la red inalámbrica que va
a dar servicio a los socios. Esto se hace desde el apartado inalámbrico de la
interfaz web (puede elegirse el idioma español en el apartado administración).
Como se ve se ha elegido el canal de transmisión 9, ya que tras escanear las
redes vecinas es el canal menos usado (sólo 1 red con potencia débil está en
dicho rango).
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 147 de 177
Figura 67.- Configuración Inalámbrica
En el apartado Seguridad Inalámbrica elegimos encriptación WPA con el
algoritmo TKIP, que es una mezcla perfecta entre seguridad y compatibilidad. Se
elige una clave compartida de más de 20 caracteres para evitar las
vulnerabilidades descritas en el apartado Vulnerabilidades WPA. Estos
parámetros deben ser exactamente iguales en todos los puntos de acceso, ya
que en caso contrario no se pueden configurar enlaces WDS.
Figura 68.- Configuración de seguridad inalámbrica
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 148 de 177
Finalmente en configuración avanzada, elegimos qué antena de las dos
disponibles se va a utilizar para la transmisión y recepción, así como la potencia
de transmisión.
Figura 69.- Configuración avanzada inalámbrica
Para cumplir la legislación vigente, necesitamos que cada punto de
acceso no supere los 100 mw de PIRE. Esto se consigue para valores de 16,63
mw cuando las antenas son omnidireccionales de 9 dBi, 11,69 mw para las de
12 dBi y 8,13 mw para la sectorial de 14 dBi. La explicación de estos valores se
encuentra en el apartado Análisis de la potencia irradiada.
5.5.2.4.4 Enlaces WDS
A continuación hay que configurar los enlaces WDS. Para ello
simplemente se accede al apartado WDS y se introducen las direcciones MAC
de los diferentes puntos de acceso tal y como se muestra en la figura.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 149 de 177
Figura 70.- Configuración WDS en Linksys WRT54GL con firmware dd-wrt
Es importante que todos los puntos de acceso tengan el mismo canal y la
misma encriptación. Si utilizamos WPA los puntos de acceso deben tener el
mismo SSID a la fuerza, ya que éste se usa en el proceso de encriptación.
Además si queremos hacer roaming entre puntos de acceso es imprescindible
que sean iguales.
5.5.2.4.5 Calidad de servicio
Para dar prioridad al tráfico http en detrimento de tráfico de redes p2p,
accedemos al apartado Aplicaciones y Juegos/QoS. En este apartado podremos
configurar que tráfico es prioritario y qué direcciones IP son prioritarias.
Por defecto, desactivaremos el firewall del punto de acceso (Apartado
Seguridad/Firewall), ya que en nuestra red el firewall va a estar en el servidor.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 150 de 177
Figura 71.- Configuración de calidad de servicio
5.5.2.4.6 Otras configuraciones
Es importante habilitar el servicio de administración mediante SSH, ya que
de esta forma podremos abrir una consola SSH en el punto de acceso, pudiendo
acceder al sistema operativo Linux mediante línea de comando. Esto es
necesario para hacer pruebas (tipo ping), para instalar nuevas aplicaciones o
para configuraciones que no pueden hacerse a través de la interfaz web. Para
ello debemos activar el servicio en el apartado Administración/Servicios. Una vez
activado, en Administración debes activar el acceso remoto mediante SSH.
Figura 72.- Configuración de reinicio automático de los puntos de acceso
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 151 de 177
Igualmente es importante hacer que el punto de acceso se reinicie
automáticamente al menos una vez al día, previniendo de esta forma un posible
mal funcionamiento o cuelgues de los mismos. Esto se puede configurar desde
el apartado Administración/Keep Alive.
5.5.2.5 Instalación y configuración del servidor
El servidor es la parte inteligente de la red, y es el encargado de
gestionarla y monitorizarla. Las funciones principales que debe hacer son:
Servidor DHCP
Portal cautivo
Servidor autenticación
Servidor web
Mantenimiento de usuarios
Registro de entradas al sistema y uso del mismo
Control de usuarios
Para realizar todas estas funcionalidades se ha hecho uso de software
libre completamente, por lo que no se ha tenido que adquirir ninguna licencia. A
continuación se lista el software utilizado. En los apartados sucesivos se
detallará la instalación y la configuración de los mismos.
El sistema operativo utilizado ha sido Ubuntu 8.04 LTS, que es un
sistema operativo Linux basado en debian.
Como portal cautivo y DHCP se ha elegido chillispot, debido a que
permite trabajar con un servidor RADIUS para la autenticación.
El servidor de autenticación utilizado ha sido freeradius, el cual soporta
autenticación con LDAP, CHAP y SQL. Ésta última es la que usaremos
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 152 de 177
nosotros, instalando el paquete mysql Server. También cuenta con un
gestor web php para la gestión de los usuarios y estadísticas de uso. Su
nombre es Dial Up Admin.
Como servidor web se ha elegido apache2.
Para implementar el firewall se ha utilizado iptables, que ya viene
integrado en la mayoría de los núcleos Linux actuales.
Para implementar el sistema ha sido necesario instalar una segunda
tarjeta de red, ya que se necesitan dos interfaces. Una conectada a los puntos
de acceso (interfaz eth1) y la otra conectada a la red interna de la asociación
(interfaz eth0).
5.5.2.5.1 Instalación y configuración de la distribución Ubuntu
Una copia de la última distribución Ubuntu puede obtenerse de
http://www.ubuntu.com/. En este proyecto se ha utilizado la edición Desktop
alternate, pero podría haberse utilizado la edición Server. La principal diferencia
es que la edición Server no instala el interfaz gráfico.
Una vez que tenemos la imagen de la edición de Ubuntu grabada en un
CD, iniciamos el servidor y modificamos los parámetros de arranque para que lo
haga desde la unidad del CD-ROM. Comenzará de esta forma la instalación. Sin
entrar en detalles es esta instalación (para ello puede consultarse la página web
https://help.ubuntu.com/8.04/serverguide/C/index.html), mencionar que habrá
que hacer una partición para el área de intercambio (El tamaño será el doble de
la memoria RAM, en nuestro caso 4GB) y otra con el sistema de archivos ext3,
que es el usado por Linux. Activaremos la marca de arranque en la partición ext3
para que el gestor de arranque Grub pueda iniciarse.
En la edición Server se nos preguntará qué grupo de tareas queremos
instalar por defecto. En este proyecto de ha utilizado la tarea LAMP Server
(instala apache, mySQL y PHP Server) y SSH Server (Para poder administrar
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 153 de 177
remotamente el servidor). En la edición Desktop estas tareas no se instalan por
defecto y habrá que instalarlas manualmente con el comando tasksel, como se
verá más adelante.
En el servidor se han instalado dos discos duros iguales para poder hacer
RAID 1 mediante software y evitar que si un disco duro se cae, se caiga con él
todo el sistema. Esto se configura al hacer el particionado de los discos tal y
como se explica a continuación.
5.5.2.5.2 Configuración de RAID 1
Cuando en la instalación se nos pregunte por el modo de particionado
debemos elegir manual, y realizar los siguientes pasos:
1. En ambos discos duros, elegimos la opción de crear una tabla de
partición nueva.
2. Elegimos crear una partición en el espacio libre. Seleccionamos todo
el espacio disponible menos 4 GB, que dejaremos para la partición
swap o área de intercambio.
3. Seleccionamos en el apartado usar como: "physical volume for RAID"
4. Seleccionamos el punto de montaje en el directorio raiz: “\”
5. Activamos la marca de arranque y guardamos los cambios.
6. En el espacio libre que hemos dejado, crear otra partición y elegir en
usar como “área de intercambio”. Guardar los cambios en la partición.
7. Hacer exactamente lo mismo con el segundo disco duro.
8. Una vez completado el particionado de los dos discos duros,
seleccionamos la opción “Configurar software RAID”
9. Seleccionamos “Create a new MD Drive” y seleccionamos RAID 1.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 154 de 177
10. Seleccionamos 2 unidades y elegimos las particiones en las que
queremos hacer RAID. En nuestro caso sda1 y sdb1.
11. El equipo comenzará a replicar una partición en la otra. Cuando
finalice ya tendremos finalizado la configuración de RAID 1.
Si el disco duro principal cae, podremos arrancar el sistema desde el
segundo disco duro, ya que tendremos todos los datos tal y como estaban en el
disco duro estropeado. El único problema es que no tenemos el gestor de
arranque en el disco duro de respaldo. Para tenerlo, una vez que el sistema esté
instalado y funcionando debemos copiarlo, ejecutando para ello las siguientes
instrucciones:
5.5.2.5.3 Configuración de las interfaces de red
Una vez que tengamos el sistema instalado, debemos crear una
contraseña para el usuario root, actualizar el sistema e instalar las tareas LAMP
Server y SSH Server si no lo hemos hecho ya:
Para configurar las dos interfaces de red (eth0 y eth1), debemos editar el
archivo interfaces:
Lo configuramos de la siguiente manera:
sudo passwd root #Esta orden crea una contraseña para root sudo apt-get update sudo apt-get upgrade #Actualiza los paquetes y el repositorio tasksel #Con esta orden accedemos al menú de tareas. Seleccionaremos LAMP Server y SSH Server
nano -w /etc/network/interfaces
auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto eth1
> sudo grub grub> device (hd1) /dev/sdb grub> root (hd1,0) grub> setup (hd1) grub> quit
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 155 de 177
De esta forma estamos configurando el interfaz eth0 para que obtenga
una dirección IP del router ADSL, dejando la interfaz eth1 (que estará conectada
a los puntos de acceso) a merced del portal cautivo, que será el que la
administre.
Se necesita habilitar la función packet forwarding, para lo que debe
editarse el archivo:
Debe añadirse al final la línea.
A continuación, para evitar reiniciar tendremos que ejecutar los siguientes
comandos:
Para finalizar con las interfaces de red, debemos habilitar el módulo tun,
ya que este permitirá a chillispot hacer un “túnel” entre las interfaces eth0 y la
red virtual que crea en eth1.
5.5.2.5.4 Configuración del portal cautivo Chillispot
Para instalar chillispot debemos descargarnos el paquete desde
www.chillispot.info, o usar la utilidad aptitude:
Cuando se instale, se requerirán los parámetros de configuración de
chillispot. Veamos cuáles son:
Dirección IP del servidor RADIUS.- En nuestro caso vamos a instalar
freeradius en la misma máquina, por lo que pondremos la dirección de
loopback 127.0.0.1.
nano -w /etc/sysctl.conf
net/ipv4/ip_forward=1
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward sudo /etc/init.d/networking restart
nano -w /etc/modules
tun #añadimos esta línea al final para cargar el módulo en el núcleo al reiniciar
sudo modprobe tun #Con esta orden lo cargamos directamente sin tener que reiniciar
sudo apt-get install chillispot
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 156 de 177
Secreto compartido RADIUS.- Aquí pondremos la clave que vayamos a
usar como secreto compartido. Debemos memorizarla o anotarla, ya que
debemos usarla cuando configuremos freeradius.
Interfaz de red para escuchar peticiones DHCP.- Es la interfaz donde
están conectados los puntos de acceso. En este caso era eth1.
Dirección del servidor UAM. Esta es la dirección del servidor web donde
está albergada la página que se le muestra a los usuarios en su
navegador para proceder a la autenticación. En este caso, escribiremos
https://192.168.2.1/cgi-bin/hotspotlogin.cgi, ya que crearemos un host
virtual y le asignaremos la dirección 192.168.2.1. Puede consultarse en
la configuración de apache más adelante.
Secreto compartido entre chillispot y el servidor web, aquí elegiremos
una clave a usar. Debemos recordarla porque tendremos que indicarla
en el código de la página web de autenticación.
Una vez configurado estos campos, tendremos que habilitar chillispot.
Para ello hacemos:
Ahora editamos el archivo chilli.conf, donde están los parámetros que
hemos introducido antes y otros que nos interesa cambiar:
Este archivo debe quedar de la siguiente manera:
nano -w /etc/default/chillispot
ENABLED=1
nano -w /etc/chilli.conf
net 192.168.2.0/24 #Le decimos que la red privada a virtual sea la 192.168.2.0 #dns1 192.168.2.1 #dns2 192.168.2.1 domain domain.org # Elegimos el dominio que queramos radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 #Por si hay un servidor de respaldo en caso de caida radiussecret radiussecret #Aquí estará el secreto compartido que hayamos elegido dhcpif eth1 uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi uamhomepage http://192.168.2.1/InicioLogin.html #Esta es la página de bienvenida creada uamsecret uamsecret uamlisten 192.168.2.1 #La dirección perteneciente a la red virtual elegida que queremos tenga las interfaz uamallowed www.adcloscolores.com,192.168.2.0/24 #Lo que se permite observer sin autenticación
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 157 de 177
Finalmente debemos iniciar el servicio chillispot.
5.5.2.5.5 Configuración del firewall
En el paquete chillispot, existe un archivo con reglas tipo iptables ya
creadas. Usaremos estas mismas reglas y añadiremos una más para permitir
administrar remotamente el servidor mediante SSH desde la interfaz eth1, ya
que por defecto está inhabilitado. Para ello tendremos que abrir el puerto 22 tcp.
Veamos como se crearon las reglas y se activaron.
Copiamos las reglas de la siguiente manera:
Por defecto, estas reglas están creadas para las interfaces eth0 y eth1,
donde eth0 es la interfaz conectada a Internet y eth1 es la interfaz conectada a
los puntos de acceso. En nuestro caso esto es así y no necesitamos cambiar
nada en el archivo iptable.
Veamos como es el archivo chilli.iptable y como se añade la regla para
permitir administración remota por SSH en la interfaz eth1:
sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables sudo chmod a+x /etc/init.d/chilli.iptables sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables
sudo /etc/init.d/chillispot start
nano -w /etc/init.d/chilli.iptables
IPTABLES="/sbin/iptables" EXTIF="eth0" INTIF="eth1" $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT #Allow related and established on all interfaces (input) $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Allow releated, established and ssh on $EXTIF. Reject everything else. $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT #La añadimos para SSH $IPTABLES -A INPUT -i $INTIF -p tcp -m tcp --dport 23 --syn -j ACCEPT #La añadimos para telnet $IPTABLES -A INPUT -i $EXTIF -j REJECT
#Allow related and established from $INTIF. Drop everything else. $IPTABLES -A INPUT -i $INTIF -j DROP …… continua
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 158 de 177
5.5.2.5.6 Configuración del servidor RADIUS y mySQL
Primero hay que instalar los siguientes paquetes:
A continuación se crea la base de datos que usaremos para comprobar
las credenciales. La llamaremos “radius”:
A continuación, copiamos la estructura de base de datos de ejemplo que
viene en la documentación de freeradius:
Editamos el archivo de configuración sql para indicarle el servidor, usuario
y contraseña.
mysql -u root -p Enter password: #Introducimos la clave que elegimos para el servidor mySQL mysql> CREATE DATABASE radius; mysql> quit
sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin
zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius Enter password: #xxxxxxxxxxxxx mysql -u root -p Enter password: #xxxxxxxxxxxxx mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret'; mysql> FLUSH PRIVILEGES; mysql> quit
nano -w /etc/freeradius/sql.conf
server = "localhost" login = "radius" password = "mysqlsecret"
#………….. #Allow http and https on other interfaces (input). #This is only needed if authentication server is on same server as chilli $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT #Allow 3990 on other interfaces (input). $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT #Allow everything on loopback interface. $IPTABLES -A INPUT -i lo -j ACCEPT # Drop everything to and from $INTIF (forward) # This means that access points can only be managed from ChilliSpot $IPTABLES -A FORWARD -i $INTIF -j DROP $IPTABLES -A FORWARD -o $INTIF -j DROP #Enable NAT on output device $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 159 de 177
En el archivo de configuración clients.conf se indican los clientes que van
a realizar peticiones RADIUS y con qué secreto compartido. En nuestro caso
será el propio servidor por lo que el archivo queda:
Por defecto, freeradius viene configurado para contrastar las credenciales
con un archivo de texto llamado users. Para que contraste las credenciales con
el servidor SQL, habrá que indicarlo en el archivo de configuración radiusd.conf,
para ello lo editamos y lo modificamos. Simplemente hay que comentar en la
parte de autorización la línea donde está “files” y quitarle el comentario a “sql”:
Para poder utilizar Dial Up Admin (se verá más adelante), necesitaremos
hacer lo siguiente:
nano -w /etc/freeradius/clients.conf
client 127.0.0.1 secret = radiussecret
nano -w /etc/freeradius/radiusd.conf
authorize preprocess # auth_log # attr_filter chap mschap # digest # IPASS suffix # ntdomain eap # files sql # etc_smbpasswd # ldap # daily # checkval
nano -w /etc/freeradius/sql.conf
sql driver = "rlm_sql_mysql" server = "localhost" login = "radius" password = "mysqlsecret" radius_db = "radius" [...] # Set to 'yes' to read radius clients from the database ('nas' table) readclient = yes # Tendremos que poner este parámetro a yes
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 160 de 177
Para añadir un usuario a la base de datos, haremos:
Podemos probar que el servidor RADIUS funciona bien con la utilidad
radtest:
El servidor RADIUS nos devuelve el siguiente mensaje si todo está bien
configurado:
nano -w /etc/freeradius/radiusd.conf
$INCLUDE $confdir/sql.conf authorize preprocess chap suffix eap #files sql accounting detail radutmp sql #Introducir sql aquí. Esto creará logs en las tablas de la base datos radius session sql #Igual que para accounting, queremos que se registren las sesiones en la base de datos
echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');" | mysql -u radius -p radius Enter password: xxxxxxxxxxxx
sudo /etc/init.d/freeradius restart #Reiniciamos freeradius
sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret
Sending Access-Request of id 180 to 127.0.0.1 port 1812 User-Name = "mysqltest" User-Password = "testsecret" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 161 de 177
5.5.2.5.7 Configuración del servidor web apache
Debe instalarse la tarea LAMP Server si no está instalada mediante el
comando tasksel. Después, creamos la página de login copiando la que viene
con el paquete chillispot:
Editamos el script, y ponemos el secreto del srvidor UAM que
configuramos en Chillispot:
Para la autenticación mySQL, es necesario instalar y activar el módulo
apache:
Como vamos a usar conexiones SSL para la página de login, tendremos
que instalar el módulo SSL.
A continuación, habrá que hacer un certificado SSL que será utilizado por
el host virtual que crearemos más adelante. El sistema preguntará por una serie
de parámetros (Localidad, Provincia, etc.), siendo el más importante el nombre
del host. En este pondremos “192.168.2.1”. De esta forma conseguiremos que el
nombre del host y el del certificado coincidan, ya que los navegadores dan
avisos de posibilidad de intrusión en caso de que no coincidan:
Activamos el módulo ssl y recargamos apache2 de nuevo:
sudo mkdir -p /var/www/hotspot/cgi-bin zcat -c /usr/share/doc/chillispot/hotspotlogin.cgi.gz | sudo tee /var/www/hotspot/cgi-bin/hotspotlogin.cgi sudo chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi
nano -w /var/www/hotspot/cgi-bin/hotspotlogin.cgi
$uamsecret = "uamsecret"; $userpassword=1;
sudo apt-get install libapache2-mod-auth-mysql
sudo apt-get install ssl-cert sudo mkdir /etc/apache2/ssl
sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
sudo a2enmod ssl /etc/init.d/apache2 force-reload
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 162 de 177
A continuación creamos el host virtual:
Para activar el host virtual creado:
Para que el servidor escuche el puerto 80 (http) y el 443 (https), debemos
añadir dos líneas al archivo ports.conf:
sudo nano -w /etc/apache2/sites-available/hotspot
NameVirtualHost 192.168.2.1:443 <VirtualHost 192.168.2.1:443> ServerAdmin [email protected] DocumentRoot "/var/www/hotspot" ServerName "192.168.2.1" <Directory "/var/www/hotspot/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> Alias "/dialupadmin/" "/usr/share/freeradius-dialupadmin/htdocs/" <Directory "/usr/share/freeradius-dialupadmin/htdocs/"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /var/www/hotspot/cgi-bin/ <Directory "/var/www/hotspot/cgi-bin/"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/hotspot-error.log LogLevel warn CustomLog /var/log/apache2/hotspot-access.log combined ServerSignature On SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem </VirtualHost>
sudo a2ensite hotspot /etc/init.d/apache2 reload
nano -w /etc/apache2/ports.conf
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 163 de 177
Modificamos el archivo default:
Añadimos el servidor creado en el archivo de configuración apache2.conf:
Editamos el archivo hosts para incluir el que se ha creado:
Reiniciamos apache2:
Ahora, debemos poder entrar en la página de login https://192.168.2.1/cgi-
bin/hotspotlogin.cgi. Esta es la página que configuramos antes en chillispot como
servidor UAM.
Sólo nos queda reiniciar el sistema y ya tendremos el servidor
configurado. Sólo nos queda instalar Dial Up admin.
5.5.2.5.8 Configuración del administrador radius Dial Up admin.
Dial Up Admin es una herramienta programada en php que nos permite
administrar los usuarios, grupos, estadísticas, etc. desde una interfaz web. Su
instalación es sencilla y se llevó a cabo de la siguiente manera:
192.168.2.1 host.name host #Ponemos el nombre del host
Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>
sudo nano -w /etc/apache2/sites-available/default
NameVirtualHost *:80 <virtualhost *:80>
nano -w /etc/apache2/apache2.conf
ServerName 192.168.2.1
nano -w /etc/hosts
sudo /etc/init.d/apache2 restart
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 164 de 177
Indicamos en el archivo de configuración de Dial Up Admin “admin.conf”
los parámetros de la base de datos mySQL con la que trabaja radius:
Ya podremos acceder a la página de administración de Dial Up Admin, en
https://192.168.2.1/dialupadmin/index.html. Para generar una contraseña de
administrador y restingir el acceso hacemos:
Añadimos el usuario admin con su contraseña y reiniciamos apache:
Ahora le indicamos a Dial Up Admin qué servidores tiene que gestionar.
En nuestro caso solo le indicaremos 1, pero podrían gestionarse muchos más:
sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/badusers.sql | mysql -u radius -p radius mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/mtotacct.sql mysql -u radius -p radius < /usr/share/freeradius-dialupadmin/sql/totacct.sql sed "/auto_increment/ s/DEFAULT '0'//" /usr/share/freeradius-dialupadmin/sql/userinfo.sql | mysql -u radius -p radius
nano -w /etc/freeradius-dialupadmin/admin.conf
general_domain: dominio.org general_radius_server_secret: radiussecret general_encryption_method: clear sql_username: radius sql_password: mysqlsecret #sql_debug: true
nano -w /etc/apache2/sites-available/hotspot
<Directory "/usr/share/freeradius-dialupadmin/htdocs"> ... AuthName "Restricted Area" #Añadimos estos parámetros para que el acceso sea pr contraseña AuthType Basic AuthUserFile /etc/apache2/.htpasswd #Le indicamos que archive vamos a usar para guarder a los usuarios require valid-user </Directory>
sudo htpasswd -bcm /etc/apache2/.htpasswd admin adminsecret sudo /etc/init.d/apache2 restart
nano -w /etc/freeradius-dialupadmin/naslist.conf
nas1_name: nas1.%general_domain nas1_type: other nas1_model: ChilliSpot nas1_ip: 0.0.0.0 nas1_finger: database
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 165 de 177
5.5.2.5.9 Configuración de parámetros especiales en RADIUS
A continuación se explica como configurar en RADIUS el uso simultáneo
de sesiones (o su restricción a una sóla sesión) y el límite de tasa de bajada.
Primero accedemos al archivo de configuración sql.conf:
Una vez echo esto, tendremos que crear el parámetro use simultaneous
en la tabla radreply y radgroupreply de la base de datos RADIUS. Se lo
asignamos a los usuarios y/o grupos correspondientes dándole el valor de uno,
dos, etc. Por defecto sólo se permitirá una sesión simultánea, por lo que el valor
será uno. Esto puede hacerse usando DialUp Admin y sus archivos de
configuración:
# Uncomment simul_count_query to enable simultaneous use checking simul_count_query = "SELECT COUNT(*) \ #Quitamos el comentario a esta línea #FROM $acct_table1 \ #WHERE UserName='%SQL-User-Name' \ #AND AcctStopTime = 0" simul_verify_query = "SELECT RadAcctId, AcctSessionId, UserName, \ NASIPAddress, NASPortId, FramedIPAddress, \ CallingStationId, FramedProtocol \ FROM $acct_table1 \ WHERE UserName='%SQL-User-Name' \ AND AcctStopTime = 0"
nano -w /etc/freeradius-dialupadmin/user_edit.attrs
nano –w /etc/freeradius/sql.conf
# # Attributes which will be visible in the user/group edit pages # # Format: Attribute Comment # # #Auth-Typ <a href="help/auth_type_help.html" target=su_help onclick=window.open("help/auth_type_help$ Simultaneous-Use <a href="help/simultaneous_use_help.html" target=su_help onclick=window. open("help/simulta$ #Se ha quitado el comentario a la línea Simultaneous-Use Framed-Protocol <a href="help/framed_protocol_help.html" target=fpr_help onclick=window.open("help/framed_$ Framed-IP-Address <a href="help/framed_ip_address_help.html" target=fia_help onclick=window.open("help/frame$ Framed-IP-Netmask IP Netmask #Framed-Route Route #Framed-Routing #Filter-Id <a href="help/filter_id_help.html" target=fid_help onclick=window.open("help/filter_id_hel$ Framed-MTU <a href="help/framed_mtu_help.html" target=fid_help onclick=window.open("help/framed_mtu_h$ Framed-Compression <a href="help/framed_compression_help.html" target=fc_help onclick=window.open("help/frame$ Service-Type <a href="help/service_type_help.html" target=st_help onclick=window.open("help/service_typ$ #Login-IP-Host #Login-Service
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 166 de 177
Además del uso simultáneo, se han usado los siguientes parámetros:
Max-Daily-Session Límite Diario (en segundos)
Max-Monthly-Session Límite mensual (en segundos)
WISPr-Bandwidth-Max-Down Máxima tasa de bajada (en bps)
WISPr-Bandwidth-Max-Up Máxima tasa de subida (en bps)
Los dos primeros parámetros sólo tendremos que decomentarlos en el
archivo de configuración antes descrito. En cambio los dos últimos (límites de
bajada y subida), tendremos que crear las líenas nosotros mismos.
Finalmente, tendremos que colocar los contadores diarios y mensuales en
la parte de autorización y accounting del archivo radiusd.conf para que funcione
correctamente. Estos contadores no hacen falta crearlos, sino que vienen ya
creados en el propio archivo de configuración radius.conf, bajo las funciones
sqlcounter dailycounter() y sqlcounter monthlycounter().
5.5.2.6 Colocación de puntos de acceso y antenas
Para colocar los puntos de acceso en las partes altas de las viviendas, se
ha utilizado el siguiente material:
Punto de acceso Linksys WRT54GL previamente configurado
nano -w /etc/freeradius/radiusd.conf
authorize # (...) sql dailycounter monthlycounter # some module to restrict bandwidth if overvap is set, e.g.: # users # (...) ……… accounting # (...) dailycounter monthlycounter
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 167 de 177
Antena omnidireccional 9 dBi
Pigtail de 1 metro de longitud. Tipo de cable LMR400 de bajas pérdidas.
Cajas estanca bajo el estándar IP55.
Mástil de 1,5 metros.
Bridas de sujeción.
Se ha aprovechado que en las casas de los vecinos hay instalada una
antena de UHF con un mástil. Por tanto el procedimiento seguido ha sido colocar
todos los componentes en el mástil adquirido y encajarlo en el que ya está
instalado, o unirlo a éste con las bridas. Se ha dejado un cable de red conectado
al punto de acceso por si se cayera el interfaz inalámbrico y necesitáramos
conectarnos al punto de acceso vía ethernet.
Para alimentar el punto de acceso, se ha alargado el cable de
alimentación continua y se deja enchufado el transformador en casa del vecino.
Para conseguir aislar la caja estanca del sol por unas horas y evitar el
sobrecalentamiento del punto de acceso, se le ha provisto una chapa en la parte
superior de la caja, orientada al sol, de forma que provea de sombra a la caja en
las horas de más calor.
Figura 73.- Instalación de una de las antenas en el tejado de la casa de un vecino
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 168 de 177
5.5.2.7 Análisis de la potencia irradiada
La legislación vigente en España limita la P.I.R.E. (Potencia Isotrópica
Radiada Equivalente) a 100 mw en la banda de 2.4 GHz utilizada en este
proyecto. Por tanto debemos tener presente en el diseño este límite, así como la
antena y potencia de transmisión a la antena para no superar este límite en
ninguno de los nodos.
El parámetro de diseño ajustable es la potencia de salida de los puntos de
acceso, que podremos ajustarla al valor que garantice la no superación del límite
legal. Este ajuste es posible gracias al firmware usado en los puntos de acceso,
que permite esta opción. Interesa que la ganancia de la antena sea lo más alta
posible, a costa de disminuir la potencia a la salida del punto de acceso, ya que
al tener las antenas la propiedad de reciprocidad, estamos aumentando la
potencia en recepción a medida que aumentamos la ganancia de la antena. En
cambio, al aumentar la potencia de transmisión en el punto de acceso no
influimos en la recepción.
Para calcular la P.I.R.E., se ha seguido el esquema de la figura para los
diferentes nodos. La restricción será que Ps no supere los 100 mw.
Figura 74.- Esquema utilizado para el cálculo de la PIRE
La ecuación que se usará por tanto para el cálculo es la siguiente:
Punto de acceso
Punto de acceso ConectorConector CoaxialCoaxial ConectorConector
Ps
Lc Lcoax Lc
GPe
GLcLcoaxLcdBmPedBmPs +−−−= )()(
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 169 de 177
5.5.2.7.1 Nodo principal con antena omnidireccional de 12 dB
En este caso tenemos una antena omnidireccional de 12 dB de ganancia
y 8 metros de cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.
La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. Los
8 metros de cable tienen una pérdida total de 1,68 dBm.
Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw
ó 20 dBm, calculemos cuánto debe ser la potencia a la salida del punto de
acceso (Pe).
20 dBm= Pe(dBm)-0,5-1,68-0,5+12
Pe(dBm)=10,68
Pe=11,69 mw
5.5.2.7.2 Nodo secundario con antena sectorial de 14 dB
En este caso tenemos una antena sectorial de 14 dB de ganancia y 10
metros de cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.
La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB. La
pérdida total del cable coaxial es de 2,2 dB. Como queremos que la potencia a la
salida de la antena (Ps) sea 100 mw ó 20 dBm, calculemos cuánto debe ser la
potencia a la salida del punto de acceso (Pe).
20 dBm= Pe(dBm)-0,5-2,1-0,5+14
Pe(dBm)=9,1
Pe=8,13 mw
5.5.2.7.3 Nodos secundarios con antena omnidireccional de 9dBi
En este caso tenemos una antena omnidireccional de 9 dB y 1 metro de
cable coaxial del tipo LMR400, con pérdidas de 0,21 dB/m.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 170 de 177
La pérdida en los conectores usados, tipo RP-TNC y N es de 0,5 dB.
Como queremos que la potencia a la salida de la antena (Ps) sea 100 mw ó 20
dBm, calculemos cuánto debe ser la potencia a la salida del punto de acceso
(Pe).
20 dBm= Pe(dBm)-0,5-0,21-0,5+9
Pe(dBm)=10,68
Pe=16,63 mw
5.5.3 Fase II
En esta fase, aún por realizar se pretende aumentar la capacidad y
cobertura del sistema. Para ello se colocará un nuevo punto de acceso principal
unido al anterior mediante cable ethernet. El nuevo nodo usará una frecuencia
que no solape con el sistema instalado en la fase I, de forma que se duplique la
capacidad del sistema.
Figura 75.- Diseño de la red propuesto para la fase II
Los nodos principales se dotarán de sendas antenas sectoriales, para de
esta forma sectorizar la cobertura y aumentar la capacidad. Los nodos
secundarios se unirán a unos de los principales según en qué parte de la zona
Nodo Principal 2
Nodos Secundarios 2
Antena sectorial
Antena omnidireccional
Enlaces principales 1
Enlaces secundarios 2
Nodos Secundarios 1
Nodo Principal 1
Enlaces secundarios 1
Enlaces principales 2
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 171 de 177
se encuentren (Ver figura). Igualmente se proveerá al sistema inalámbrico de
enlaces secundarios redundantes que lo doten de mayor fiabilidad.
La configuración es similar a la ya descrita en la fase I, por lo que no
entraremos en detalle, sino que se remite al lector al apartado Fase I.
Simplemente se configuraría los puntos de acceso enlazados con el nuevo nodo
principal en el canal 2 y se dejaría los demás en el canal 9. Lo demás se hace
exactamente igual que lo explicado anteriormente.
5.5.4 Fase III
En esta fase se pretende añadir nuevas funcionalidades a la red. Aún está
en estudio y queda fuera del alcance del proyecto.
5.6 Presupuesto
El presupuesto para el proyecto es directamente proporcional a los nodos
que se vayan a instalar. Por tanto, para conocer el coste de cada fase hay que
saber el coste de un nodo.
Un nodo se compone de:
Punto de Acceso.- El punto de acceso elegido es el Linksys WRT54G.
La razón de esta elección se encuentra en que Linksys es una empresa
asociada a Cisco, el precio es muy asequible y funciona con Linux, por lo
que pueden añadírsele infinidad de funcionalidades a posteriori y
convertirlo en un punto de acceso de increíbles prestaciones para su
precio. Su precio en el mercado es de 70 €.
Mástil, Caja estanca y cables.- La antena debe ir colocada sobre un
mástil que la fije. El punto de acceso también irá sobre el mástil, ubicado
en una caja estanca para protegerlo de la lluvia. El punto de acceso
necesitará ir alimentado mediante un cable de corriente y la antena se
conectará al punto de acceso mediante un cable pigtail, cable coaxial
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 172 de 177
(impedancia 50Ω) y conectores tipo N. Todo ello asciende a un coste de
unos 50 € por nodo.
Antenas.- Normalmente se necesitará una antena sectorial o
omnidireccional (según la situación del nodo) y una antena direccional
para realizar el enlace con el nodo principal. En algunos casos con una
antena será suficiente, por lo que el precio de la/s antena/s oscilará/n
entre 60 y 140 €.
Por tanto, un nodo secundario tendrá un coste de 180 € como mínimo y
270 € como máximo. Para reducir costes se ha intentado que los nodos tengan
visión directa entre sí para poder prescindir de las antenas direccionales,
realizando el enlace y ofreciendo cobertura con la misma antena. Esta no es la
mejor solución en cuanto a capacidad y calidad, pero sí lo es en cuanto a coste.
De estas y más opciones se habla en el apartado Consideraciones Iniciales.
5.6.1 Presupuesto para la fase I y II
En la tabla siguiente se muestra un desglose de los componentes
utilizados en la fase I del proyecto.
Tabla 6.- Presupuesto para la fase I
En el caso de la fase II, necesitaremos exactamente el mismo
presupuesto, ya que se trata de formar otra red aparte unida a la primera
mediante un cable ethernet entre sus nodos principales, como se muestra en el
Producto Cantidad Precio ImportePunto de acceso Linksys WRT54GL 4 70 280Antena omnidireccional 9 dB 2 60 120Antena omnidireccional 12 dB 1 70 70Antena sectorial 14 dB 120º 1 130 130Bobina 100m ethernet CAT5 UTP exterior 1 51,25 51,25Mástil y bridas de agarre 3 12 36Cajas estanca Gewiss IP55 4 25 100Pigtail 8 metros LMR400 1 50 50Pigtail 1 metro LMR400 3 25 75Cable de pares 0,5 mm grosor 1 35 35Crimpadora RJ45 y conectores 1 20 20TOTAL 967,25
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 173 de 177
apartado Fase II. De hecho el presupuesto va a ser ligeramente superior al
colocar 2 antenas sectoriales en los nodos principales, para aumentar la
capacidad del sistema sectorizando la cobertura. El presupuesto de los
dispositivos en la fase II se resume en la siguiente tabla:
Tabla 7.- Presupuesto para la fase I
En el presupuesto expuesto anteriormente, sólo se ha tenido en cuenta el
coste de los dispositivos, ya que es la única inversión que va a hacer la
asociación. Para comprender la envergadura del proyecto se expone el coste
real del mismo incluyendo todos los conceptos restantes por el que facturaría
una empresa de ingeniería (diseño, montaje, mantenimiento, montaje, etc.).
Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociación
Producto Cantidad Precio ImportePunto de acceso Linksys WRT54GL 4 70 280Antena omnidireccional 9 dB 2 60 120Antena sectorial 14 dB 120º 2 130 260Bobina 100m ethernet CAT5 UTP exterior 1 51,25 51,25Mástil y bridas de agarre 3 12 36Cajas estanca Gewiss IP55 4 25 100Pigtail 8 metros LMR400 1 50 50Pigtail 1 metro LMR400 3 25 75Cable de pares 0,5 mm grosor 1 35 35Crimpadora RJ45 y conectores 1 20 20TOTAL 1027,25
Presupesto Real Presupuesto asociaciónConcepto a facturar
1500 €
900 €
1200 €
1500 € Anuales
2400 – 3000 €
0 €
0 €
0 €
0 €
1994,5 € (Fases I y II)
Diseño de la red
Montaje de nodos
Configuración del servidor
Mantenimiento
Hardware
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 174 de 177
6 Anexos El anexo a este proyecto lo constituye el DVD que lo acompaña, ya que
en este DVD se puede encontrar:
Esta memoria.
Software utilizado en este proyecto, incluidas las versiones de Ubuntu.
Libros electrónicos sobre wireless.
Especificaciones técnicas de cables LMR.
Recomendaciones 802.11
Enlaces a páginas web sobre wireless.
Etcétera.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 175 de 177
7 Bibliografía utilizada Bruce E. Alexander, “802.11 Wireless Network Site Surveying and Installation”, Noviembre de 2004.
Matthew S. Gast, “802.11® Wireless Networks: The Definitive Guide”.
Hui Liu, Guoqing Li, “OFDM-Based Broadband Wireless Networks, Design and Optimization”, 2005.
Daniel Minoli, “Hotspot Networks: Wi-Fi for Public Access Locations”, 2003.
Ron Olexa, “Implementing 802.11, 802.16, and 802.20 Wireless Networks. Planning, Troubleshooting and Operations”, 2005.
Pejman Roshan, Jonathan Leary, “802.11 Wireless LAN Fundamentals”, Diciembre 2003.
“Redes Inalámbricas en los Países en Desarrollo”, Enero de 2006.
Jim Aspinwall, “Installing, Troubleshooting, and Repairing Wireless Networks”, 2003.
José María Hernando Rábanos, “Transmisión por Radio”, Junio de 1998.
John G. Proakis, “Digital Communications”, 1989
IEEE 802.11Working Group, http://grouper.ieee.org/groups/802/11/index.html.
R. Baird y M. Lynn, “Advanced 802.11 Attack”, Julio 2002.
Hakin9, revista de seguridad informática. http://www.hakin9.org/
.
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 176 de 177
8 Índices de tablas y figuras
8.1 Índice de figuras Figura 1. Familia IEEE 802 y su relación con el modelo OSI________________________ 9 Figura 2. Modelo de etiqueta de certificado Wi-Fi _______________________________ 14 Figura 3.- Técnica FHSS ___________________________________________________ 17 Figura 4.- Secuencia de Barker ______________________________________________ 18 Figura 5.- Canales utilizables para DSSS ______________________________________ 19 Figura 6. Suportadotas de un canal OFDM de 20 MHz ___________________________ 22 Figura 7. Canales Operativos 802.11a ________________________________________ 23 Figura 8. Funcionamiento de CSMA/CA _______________________________________ 29 Figura 9. Problema del nodo escondido _______________________________________ 30 Figura 10.- Funcionamiento del protocolo basado en reserva del canal ______________ 31 Figura 11. Formato de trama MAC y trama de control____________________________ 32 Figura 12. Estados y transiciones para la autenticación de un cliente ________________ 34 Figura 13.Ejemplo de red inalámbrica con topología de infraestructura ______________ 36 Figura 15. Configuración de radiocanales en 802.11b y g _________________________ 48 Figura 16. Configuración de radiocanales para el estándar 802.11a _________________ 48 Figura 17. Eficiencia MAC para los diferentes estándares _________________________ 62 Figura 18.Ejemplo de guías de onda __________________________________________ 64 Figura 19. Cable coaxial de radiación_________________________________________ 64 Figura 20. Estructura de un cable coaxial ______________________________________ 65 Figura 21. Conector tipo BNC _______________________________________________ 67 Figura 22. Conector TNC hembra y macho _____________________________________ 67 Figura 23. Conector N hembra y macho _______________________________________ 68 Figura 24. Conectores SMA macho y hembra ___________________________________ 68 Figura 25. Conectores SMB hembra y macho ___________________________________ 69 Figura 26. Conector RP-TNC hembra y macho __________________________________ 69 Figura 27. Conector U.FL hembra y macho ____________________________________ 70 Figura 28. Conector MMCX y MMCX RP ______________________________________ 70 Figura 29. Diagrama de radiación de una antena Yagi en coordenadas rectangulares ___ 74 Figura 30. Diagrama de radiación de una antena Yagi en coordenadas polares lineal ___ 75 Figura 31. Diagrama de radiación de una antena Yagi en coordenadas polares lineal ___ 76 Figura 32. Dirección de propagación, campo eléctrico y campo magnético de una onda._ 79 Figura 33.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 80 Figura 34.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 9 dBi. _____________________________________________________ 81 Figura 35.- Patrón de radiación en el plano vertical y ganancia de antena de omnidireccional 12 dBi_____________________________________________________ 81 Figura 36.- Diagramas de radiación de una antena sectorial de 15dBi de ganancia. ____ 82 Figura 37.- Diagramas de radiación de una antena sectorial de 14dBi de ganancia. ____ 82 Figura 38.- Diagramas de radiación de una antena planar de 14dBi de ganancia. ______ 83 Figura 39.- Diagramas de radiación de una antena planar de 17dBi de ganancia. ______ 83 Figura 40. Generación de las llaves para la encriptación WEP _____________________ 92 Figura 41. Esquema de encriptación de datos mediante WEP_______________________ 93 Figura 42. Esquema de desencriptación de datos mediante WEP ____________________ 94 Figura 43.- Fases para el establecimiento de un contexto seguro ____________________ 97 Figura 44.- Fase 1: Acuerdo sobre la política de seguridad ________________________ 98 Figura 45.- Fase 2: autenticación 802.1X ______________________________________ 99 Figura 46.- Fase 3: Jerarquía y distribución de claves ____________________________ 99 Figura 47.- Fase 3: jerarquía de clave por parejas ______________________________ 101 Figura 48.- Fase 3: 4-Way Handshake _______________________________________ 102
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre
Memoria del proyecto Fecha: 24/06/2008
Diseño e Implementación de un hotspot con una red de acceso WiFi mediante software libre Pág. 177 de 177
Figura 49.- Fase 3: jerarquía de Group Key ___________________________________ 103 Figura 50.- Fase 3: Group Key Handshake ____________________________________ 104 Figura 51.- Esquema y encriptación de TKIP Key-Mixing ________________________ 105 Figura 52.- Computación de MIC utilizando el algoritmo Michael__________________ 106 Figura 53.- Encriptación CCMP ____________________________________________ 107 Figura 54. Características del área a cubrir ___________________________________ 125 Figura 55.- Patrón de radiación de la antena omnidireccional de 9dB utilizada._______ 130 Figura 56.- Patrón de radiación de la antena omnidireccional de 12 dB utilizada. _____ 131 Figura 57.- Patrón de radiación de la antena sectorial utilizada.___________________ 131 Figura 58.- Caja estanca __________________________________________________ 132 Figura 59.- Router ADSL __________________________________________________ 133 Figura 60.- Resumen del enfoque del proyecto realizado _________________________ 134 Figura 61.- Redes detectadas desde los nodos 1 y 2 _____________________________ 137 Figura 62.- Redes detectadas desde los nodos 3 y 4 _____________________________ 138 Figura 63.- Configuración elegida para la red de puntos de acceso ________________ 139 Figura 64.- Esquema general de la red _______________________________________ 140 Figura 65.- Diseño y funcionamiento de la red_________________________________ 144 Figura 66.- Actualización del firmware _______________________________________ 145 Figura 67.- Configuración Inalámbrica_______________________________________ 147 Figura 68.- Configuración de seguridad inalámbrica ____________________________ 147 Figura 69.- Configuración avanzada inalámbrica_______________________________ 148 Figura 70.- Configuración WDS en Linksys WRT54GL con firmware dd-wrt__________ 149 Figura 71.- Configuración de calidad de servicio _______________________________ 150 Figura 72.- Configuración de reinicio automático de los puntos de acceso ___________ 150 Figura 73.- Instalación de una de las antenas en el tejado de la casa de un vecino _____ 167 Figura 74.- Esquema utilizado para el cálculo de la PIRE ________________________ 168 Figura 75.- Diseño de la red propuesto para la fase II ___________________________ 170
8.2 Índice de tablas Tabla 1: Estándares principales surgidos a partir de 802.11 _______________________ 10 Tabla 2. Comparación de las características de la capa física de los diferentes estándares 802.11 __________________________________________________________________ 16 Tabla 3. Modulaciones y tasas en 802.11a______________________________________ 24 Tabla 4. Modulaciones usadas en 802.11g y retrocompatibilidad____________________ 25 Tabla 5. Cronología de ataques realizados a la encriptación WEP __________________ 95 Tabla 6.- Presupuesto para la fase I__________________________________________ 172 Tabla 7.- Presupuesto para la fase I__________________________________________ 173 Tabla 8.- Comparativa entre presupuesto real y el presupuesto de la asociación_______ 173