La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Llevando nuestra WiFi a sitios remotos Francisco José Esteban Risueño Juan Ginés de Sepúlveda Guidart Francisco Javier Lacalle Villamor Víctor Delgado.

Publicada porAnselmo Guerra Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Llevando nuestra WiFi a sitios remotos Francisco José Esteban Risueño Juan Ginés de Sepúlveda Guidart Francisco Javier Lacalle Villamor Víctor Delgado."— Transcripción de la presentación:

1 Llevando nuestra WiFi a sitios remotos Francisco José Esteban Risueño Juan Ginés de Sepúlveda Guidart Francisco Javier Lacalle Villamor Víctor Delgado Lorente Universidad de Córdoba Servicio de Informática Jornadas Técnicas RedIRIS 2006

2 Índice Antecedentes: una red WiFi operativa Una petición: llevarla lejos. Condiciones: –El usuario (casi) no debe notar el cambio –El administrador de la red (casi) no debe notar el cambio La solución: ventajas y limitaciones. Las otras aplicaciones (unidad móvil WiFi). Jornadas Técnicas RedIRIS 2006

3 1.- Antecedentes: Una red WiFi operativa Historia. Tecnología elegida. Modos de Acceso. Portal Cautivo. Producto escogido: Nocat. Cifrado de la parte sensible de la conexión. Añadidos de Seguridad: Radius. Asignación de privilegios según usuarios. IEEE 802.1X. Productos implicados: Punto de Acceso y Servidor Radius. Control de acceso anterior a conexión. Cifrado completo. Otros usos no WiFi Jornadas Técnicas RedIRIS 2006

4 1.- Antecedentes: Una Red WiFi operativa Historia. La primera instalación WiFi en la Universidad de Córdoba se inauguró en Octubre de 2003 para dar cobertura a titulación propia de Graduado Superior en Aviación Comercial En noviembre de 2003 se desarrollo la solución basada en Portal Cautivo En noviembre de 2005 se adhirió al proyecto EDUROAM, introduciendo la solución basada en 802.1x En marzo de 2006 se puso en servicio el primer emplazamiento remoto en la residencia universitaria de Belmez. En julio de 2006 la red ocupa la mayoría de las zonas comunes de los edificios universitarios, con cobertura en los tres campus de la ciudad y en el centro de Belmez, en todos los centros universitarios y en gran parte de los edificios. El siguiente objetivo (diciembre 2006) es la cobertura total. Página oficial: http://sinhilos.uco.eshttp://sinhilos.uco.es Jornadas Técnicas RedIRIS 2006

5 1.- Antecedentes: Una red WIFI operativa http://sinhilos.uco.es Jornadas Técnicas RedIRIS 2006

6 1.- Antecedentes: Una red WiFi operativa Tecnología elegida: La red desplegada se basó en los estándares IEEE 802.11b/g, que era la única opción disponible en Europa en ese momento, y la que ha tenido más desarrollo. El fabricante elegido para llevar a cabo el despliegue fue Cisco, usando equipos de la serie Aironet 1100 y 1200 Jornadas Técnicas RedIRIS 2006

7 1.- Antecedentes: una red WiFi operativa Portal Cautivo. http://nocat.nethttp://nocat.net Jornadas Técnicas RedIRIS 2006

8 1.- Antecedentes: una red WiFi operativa Portal Cautivo. Pantalla de autentificación Jornadas Técnicas RedIRIS 2006

9 1.- Antecedentes: una red WiFi operativa IEEE 802.1x. En este modo de conexión, el acceso a la red no es libre, sino que el punto de acceso realiza una negociación previa con el cliente. Durante esta negociación, se pedirá un usuario y contraseña, que será validado contra el servidor Radius. Una vez producida la negociación, la conexión resultante, tras la autentificación, será totalmente cifrada, mediante WPA. Para acceder a este modo de conexión, el dispositivo debe soportar WPA (en su variante empresarial) y los métodos de cifrado escogidos (EAP/TTLS/PAP/TKIP), por lo que es frecuente la necesidad de incluir software de terceros. Mediante los archivos de registro del punto de acceso y del servidor Radius, es posible controlar la actividad del usuario en la red. Jornadas Técnicas RedIRIS 2006

10 1.- Antecedentes: una red WiFi operativa Uso de los productos desarrollados para otras aplicaciones. Los esquemas de portal cautivo y 802.1x para el control de acceso a la red no son exclusivos de WIFI, por lo que pueden utilizarse de forma natural en accesos a la red poco controlados o públicos. De esta manera, en la Universidad de Córdoba se ha utilizado el modelo de portal cautivo para dar acceso a las Residencias Universitarias, Puestos de acceso libre de la Biblioteca Universitaria, Despachos de Tutorías de profesores y aulas de docencia. La forma de realizarlo es trivial: basta configurar el puerto en alguna de las VLAN atendidas por portal cautivo. Jornadas Técnicas RedIRIS 2006

11 2.- Una petición: llevarla lejos El Servicio de Informática recibe la petición de dotar de cobertura WiFi a la Residencia Universitaria de Belmez, un pueblo de la provincia de Córdoba con una escuela universitaria: El edificio no cuenta inicialmente con ninguna infraestructura de red. Su localización no permite llevarle la red de la UCO sin un gran desembolso, no justificable por el volumen de usuarios afectados. El esquema visto hasta ahora funciona siempre que haya conectividad a nivel 2: Existe correspondencia entre SSID y VLAN. Los puntos de acceso se conectan a la red mediante puntos con IEEE 802.1q activado. El servicio DHCP está centralizado. Existen elementos de nivel 3 que se puede intentar mantenerse igual: Servidores Radius Sevidores Nocat Jornadas Técnicas RedIRIS 2006

12 3.- Condiciones Condiciones iniciales: El único acceso posible en condiciones económicas y de rendimiento aceptables para llegar al edificio es una línea ADSL. Debe realizarse un control de acceso a la red mínimamente seguro y equiparable con el del resto de usuarios de la universidad. Los usuarios potenciales se moverán preferentemente a su escuela universitaria en Bélmez, que en ese momento no contaba con Red WiFi. Hubiera sido posible una instalación específica usando, por ejemplo WPA-PSK, aunque con limitaciones: Los usuarios deberían compartir la misma credencial. Si se movían a otro edificio de la UCO con WiFi, tendrían que tener otro perfil de acceso. El resto de los usuarios de la UCO no podría acceder a la nueva zona WiFi, salvo que la credencial se diera a conocer a todos los usuarios de la UCO (lo que equivaldría a crear una zona pública). El acceso inicial no sería a la red de la UCO sino a Internet, lo que haría preciso algún mecanismo adicional para equiparar sus servicios a los del resto de usuarios. Jornadas Técnicas RedIRIS 2006

13 3.- Condiciones Condiciones de Usuario: Debe poder auntentificarse con sus credenciales de la UCO. Debe poder tener acceso a los mismos servicios que el resto de los usuarios y en las mismas condiciones. El resto de los usuarios de la UCO debe poder acceder a la nueva zona WiFi en igualdad de condiciones. La movilidad al resto de las zonas WiFi debe ser lo más cómoda posible: Los SSID deben mantenerse. Los servicios y requerimientos ofrecidos por cada SSID deben ser iguales que en el resto de las zonas de la UCO. Jornadas Técnicas RedIRIS 2006

14 3.- Condiciones Condiciones de Administrador: La infraestructura necesaria debe ser lo más parecida posible a la del resto de las instalaciones: Mismos modelos de puntos de acceso. Mismos elementos de conmutación. Mismos servidores específicos si se necesitan. La configuración y mantenimiento de esa infraestructura debe ser lo más parecida posible a la del resto. Debe reducirse en lo posible el número de elementos adicionales necesarios. El sistema debe ser lo más independiente posible de la conexión ofrecida por el proveedor de Telecomunicaciones. Jornadas Técnicas RedIRIS 2006

15 4.- La solución: ventajas y limitaciones Esquema... Jornadas Técnicas RedIRIS 2006

16 4.- La solución: ventajas y limitaciones Caja VPN: El modelo elegido es CheckPoint VPN-1 Edge. Permite establecer una conexión segura a la red corporativa de la UCO. Permite la independencia total del proveedor de telecomunicaciones, tanto en tecnología como en direccionamiento Se configura en modo “site-to- site VPN”, con o sin soporte de VLAN. Proporciona un segmento de red de administración, al que no tienen acceso inicial los usuarios. Jornadas Técnicas RedIRIS 2006

17 4.- La solución: ventajas y limitaciones Punto de Acceso: Se consigue poder usar el mismo modelo de punto de acceso que en el resto de las instalaciones y con la misma configuración (salvo los datos de nombre e IP). Por tanto, los SSID servidos y la correspondencia de los mismos con VLAN's es idéntica La vlan de administración del punto tiene acceso IP directo a la red de la UCO a través de la conexión VPN, por lo que está capacitado para negociar la conexión 802.1x de sus clientes. Jornadas Técnicas RedIRIS 2006

18 4.- La solución: ventajas y limitaciones Linux con Nocat: Partiendo de la adaptación realizada para el portal cautivo original, se duplica en otra máquina, manteniendo fuera de él las siguientes características: A utentificación: El servicio Radius sigue siendo el corporativo. Gestión de permisos por usuario. Y dentro las siguientes: DHCP/NAT Portal Cautivo. Además, se le dota de capacidad de gestión de VLAN, añadiendo reglas específicas y soporte DHCP/NAT en el segmento 802.1x Jornadas Técnicas RedIRIS 2006

19 4.- La solución: ventajas y limitaciones Limitaciones conocidas: Para el usuario: El nuevo espacio WiFi es una isla de direccionamiento: no hay comunicación entre un cliente de la nueva zona con otro de la antigua. Dado que la red WiFi es básicamente de acceso, no ha habido quejas al respecto. La conexión 802.1x de la nueva zona atraviesa un nodo NAT, lo que le quita algo de funcionalidad. Podría no usarse, aunque habría que aumentar la capacidad de la caja VPN (cada cliente WiFi daría lugar a un nuevo túnel) Para el administrador de la red: Aparece un nuevo Nocat que gestionar. Si se añaden reglas IPTables específicas (por ejemplo para hacer una autorización por MAC), hay que distribuirlas al nuevo nodo. Jornadas Técnicas RedIRIS 2006

20 5.- Las otras aplicaciones (unidad móvil WiFi) La solución desarrollada sólo requiere para su despliegue una conexión a Internet de la naturaleza que sea. Es independiente de la tecnología de nivel 2 empleada. Puede funcionar con IP fija o dinámica. Puede reducirse a los siguientes elementos: Jornadas Técnicas RedIRIS 2006

21 5.- Las otras aplicaciones (unidad móvil WiFi) Por ello, puede usarse para disponer de una “unidad móvil” que permitiría desplegar nuestra WiFi de forma rápida en cualquier lugar que cuente con una conexión básica a Internet: Eventos fuera de nuestras sedes Campañas itinerantes Viajes/Estancias Oficinas temporales Jornadas Técnicas RedIRIS 2006

Descargar ppt "Llevando nuestra WiFi a sitios remotos Francisco José Esteban Risueño Juan Ginés de Sepúlveda Guidart Francisco Javier Lacalle Villamor Víctor Delgado."

Presentaciones similares

Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Acceso remoto a recursos documentales contratados

Acceso remoto a recursos documentales contratados
Que es y su funcionamiento básico

Que es y su funcionamiento básico
Introducción a servidores

Introducción a servidores
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta

Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
Experiencias en redes inalámbricas (WiFi) en la provincia: situación actual, nuevas perspectivas y oportunidades Eladio Maqueda Gil Alange 25 de mayo de.

Experiencias en redes inalámbricas (WiFi) en la provincia: situación actual, nuevas perspectivas y oportunidades Eladio Maqueda Gil Alange 25 de mayo de.
Agilidad para su negocio ®. Introducción En los últimos años las redes se han convertido en un factor critico para cualquier organización, cada vez mas.

Agilidad para su negocio ®. Introducción En los últimos años las redes se han convertido en un factor critico para cualquier organización, cada vez mas.
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.

Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
DIRECT ACCESS.

DIRECT ACCESS.
Tema 2 Redes de ordenadores.

Tema 2 Redes de ordenadores.
TEMA 2: «CONFIGURACIÓN DE MÁQUINAS VIRTUALES»

TEMA 2: «CONFIGURACIÓN DE MÁQUINAS VIRTUALES»
TECNOLOGIA DE NUBES JORLETH POVEDA MURCIA.

TECNOLOGIA DE NUBES JORLETH POVEDA MURCIA.
Herramientas de Virtualización

Herramientas de Virtualización
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
S.O. Multiusuario, red. Servicio: Cliente/Servidor, p2p

S.O. Multiusuario, red. Servicio: Cliente/Servidor, p2p
TIPOS DE SERVIDORES 4/2/2017 3:29 PM

TIPOS DE SERVIDORES 4/2/2017 3:29 PM
Almacenamiento virtual de sitios web: «Hosts» virtuales Gustavo Antequera Rodríguez.

Almacenamiento virtual de sitios web: «Hosts» virtuales Gustavo Antequera Rodríguez.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
(VIRTUAL PRIVATE NETWORK)

(VIRTUAL PRIVATE NETWORK)
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.

Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.

Presentaciones similares

Anuncios Google