Despliegue de la red WiFi de EADA Business School e incorporación al servicio de movilidad global Eduroam Gago Corfield, Matías Curs 2014-2015 Director: Josep Bardalló Gay GRAU EN ENGINYERIA TELEMATICA Tr e ball d e F i d e G rau GRAU EN ENGINYERIA EN Despliegue de la red WiFi de EADA Business School e incorporación al servicio de movilidad global Eduroam Matías Gago Corfield Grado en Ingeniería Telemática ESCOLA SUPERIOR POLITÈCNICA UPF Año 2014-2015 Directores del Trabajo: Josep Bardalló Marco Peña A mi madre por su incondicional apoyo todos los años que ha durado la carrera iii Agradecimientos Muchas gracias a mi entorno más personal, especialmente a mi madre que me ha apoyado siempre que lo he necesitado. También a mi jefe en EADA, Marco Peña que me permitió hacer este proyecto final de grado y a Josep Bardalló por aceptar ser el tutor de este proyecto. Finalmente a mis amigos más cercanos Cristian, Marc y Victor por estar ahí siempre que se les ha necesitado. v Resumen Este proyecto consiste en el diseño, despliegue y optimización de una infraestructura de red inalámbrica en las instalaciones de EADA Business School. El objetivo principal es explicar, de forma detallada, los pasos necesarios para desplegar esta infraestructura de red; los pasos para adaptarla al proyecto de movilidad global Eduroam; y los resultados de dichas implementaciones en EADA. La integración del centro a Eduroam se da ya que, durante los últimos años, EADA se ha consolidado como un centro universitario de calidad y con proyección internacional por lo que se busca mejorar las comunicaciones y la experiencia de tanto los miembros de su comunidad como los miembros de las instituciones visitantes. El trabajo se divide en 4 pasos: La preparación para una mejora de la infraestructura de red inalámbrica; el despliegue y conclusiones de la nueva infraestructura de red; la adaptación de esta red al proyecto de movilidad global Eduroam; y la elaboración de la información pública creada para informar a la comunidad EADA (alumnos, profesorado, staff, etc). Resumen Aquest projecte consisteix en el disseny, desplegament i optimització d’una infraestructura de xarxa inalàmbrica a EADA Business School. El principal objectiu és explicar, de manera detallada, els passos necessaris per a desplegar aquesta infraestructura de xarxa; els passos per adaptarla al projecte de mobilitat global Eduroam; i els resultats d’aquestes implementacions dintre d’EADA. La integració del centre a Eduroam es fa ja que, durant els últims anys, EADA s’ha consolidat com un centre universitari de qualitat i amb projecció internacional. D’aquesta forma es busca millorar les comunicacions i l’experiencia tant dels membres de la seva comunitat com dels membres de les institucions visitants. El treball es divideix en 4 passos: La preparació per una millora de la infraestructura de xarxa inalámbrica; el desplegament i conclusions de la nova infraestructura de xarxa; l’adaptació d’aquesta xarxa al projecte de mobilitat global Eduroam; i l’elaboració de la informació pública creada per a informar a la comunitat d’EADA (alumnes, professors, staff, etc). vii Prólogo Este proyecto es parte del Grado en Ingeniería Telemática, centrado en el marco de redes y protocolos inalámbricos. He seleccionado este tema como proyecto ya que, aparte de formar parte de la comunidad de EADA como trabajador, y poseer experiencia en proyectos similares, este trabajo muestra desde un punto de vista técnico cómo realizar un despliegue y mejora de una red inalámbrica y su posterior adaptación a la red de movilidad internacional Eduroam para dar servicio a una gran cantidad de estudiantes y profesorado universitario. Además, este proyecto final de grado es un proyecto real que se está finalizando en EADA por lo que los resultados y las conclusiones a las que se lleguen se verán afectados por el trabajo real que se haya realizado dentro del centro universitario. Personalmente creo que este trabajo tiene mucho valor tanto académico como empresarial ya que el usuario sólo percibe una ínfima parte del trabajo total realizado. Por ejemplo, el usuario sólo percibe que sus dispositivos se conectan a Eduroam/red inalámbrica correctamente; y este proyecto otorga una visión más profunda de todo el trabajo necesario para que estos usuarios finales puedan conectarse a una red de calidad. ix Índice Pág. Resumen............................................................................. vii Prólogo............................................................................... ix Lista de figuras................................................................... xiii Lista de Tablas................................................................... xiv 1. Introducción................................................................... 1.1. Objetivos del Trabajo............................................... 1.2. EADA Business School........…............................... 1.2.1. Estructura de EADA.......................................... 1.2.1.1. Historia….................................................... 1.2.1.2. Sedes…........................................................ 1.2.1.3. DTI como impulsor del proyecto................ 1.2.2. Alcance del proyecto.......................................... 1.3. Planteamiento de despliegue de la infraestructura WiFi…............................................................................ 1 1 2 2 2 2 4 5 2. Preparación del despliegue de la red WiFi.................... 2.1. Objetivos….............................................................. 2.2. Tecnologías….......................................................... 2.2.1. Access Points y Switches…............................... 2.2.2. Cisco vs Xirrus…............................................... 2.3. Comparativa de las sedes Barcelona-Collbató......... 2.4. Elección final del proveedor de access points......... 10 10 10 10 13 16 21 3. Despliegue de la red WiFi............................................. 3.1. Planificación Inicial…............................................. 3.2. Mejora de la planificación…................................... 3.3. Metodología y herramientas para el estudio de cobertura......................................................................... 3.4. Monitorización de Access Points............................. 3.5. Conclusiones…........................................................ 24 25 30 4. Adaptación a la red Eduroam…..................................... 4.1. Objetivos del capítulo….......................................... 4.2. Introducción a Eduroam…....................................... 4.2.1. Qué es Eduroam…............................................. 4.2.2. Características principales de Eduroam............. 4.3. Tecnología en Eduroam........................................... 45 45 45 45 46 56 8 40 41 42 4.4. IdP…........................................................................ 4.4.1. Eduroam IdP…................................................... 4.4.2. Métodos de cifrado de datos.............................. 4.4.3. Elección de los tipos de EAP en EADA............ 4.4.4. Soporte TTLS para dispositivos cliente............. 4.5. Servidores RADIUS…............................................. 4.5.1. Elección del Servidor RADIUS......................... 4.6. Validación del despliegue….................................... 47 47 49 50 50 52 53 53 5. Documentación pública del proyecto…........................ 5.1. Objetivos del capítulo….......................................... 5.2. Despliegue de la información en EADA................. 5.2.1. Página web de EADA….................................... 5.2.2. Problemas encontrados…................................... 57 57 57 57 62 6. Conclusiones….............................................................. 6.1. Cumplimiento de los objetivos del trabajo.............. 6.2. Trabajo Futuro. …................................................... 6.3. Valoración personal del trabajo realizado................ 64 64 65 66 Bibliografía........................................................................ Anexo 1: Planos estructurales EADA................................ Anexo 2: Configuración RADIUS en EADA................... Anexo 3: Manual de configuración de eduroam en Windows 7......................................................................... 69 72 82 89 Lista de figuras Pág. Fig. 1. Edificio EADA Barcelona, Calle Aragón 204 Fig. 2. EADA Collbató, Montserrat. Fig. 3. Puerta reforzada del despacho 14. Fig. 4. Pilar aula 24 que dificulta el paso de señales inalámbricas Fig. 5. Access Point D-Link EADA Fig. 6. Access Point Cisco EADA Fig. 7. Switch 1810-48G en EADA Fig. 8. Panel de control de la WiFi EADA Fig. 9. Array Xirrus desplegado Fig. 10. Array Xirrus montado Fig. 11. Pasillo zona de habitaciones, Hotel EADA Collbató Fig. 12. Sala contigua al bar/restaurante, Hotel EADA Collbató Fig. 13. Aula para grupos. Campus EADA Collbató Fig. 14. Zona exterior EADA Collbató Fig. 15. Zona exterior EADA Collbató II Fig. 16. Planta 1 EADA Barcelona, implementación 1. Fig. 17. Mapa de cobertura de la planta sótano -1 Fig. 18. Mapa de cobertura de la planta baja Fig. 19. Mapa de cobertura de la planta altillo Fig. 20. Mapa de cobertura de la planta 1 Fig. 21. Mapa de cobertura de la planta 2 Fig. 22. Mapa de cobertura de la planta 3 Fig. 23. Mapa de cobertura de la planta 4 Fig. 24. Mapa de cobertura de la planta 5 Fig. 25. Mapa de cobertura de la planta 6 Fig. 26. Mapa de cobertura de la planta 7 Fig. 27. Mapa de cobertura de la planta 8 Fig. 28. Nuevo mapa de cobertura de la planta Sótano -1 Fig. 29. Nuevo mapa de cobertura de la planta Baja Fig. 30. Access Point pasillo, planta Altillo. Fig. 31. Nuevo mapa de cobertura de la planta Altillo Fig. 32. Nuevo mapa de cobertura de la planta 1 Fig. 33. Access Point aula 24, planta 2. Fig. 34. Nuevo mapa de cobertura de la planta 2 Fig. 35. Access Point pasillo, planta 3. Fig. 36. Nuevo mapa de cobertura de la planta 3. Fig. 37. Nuevo mapa de cobertura de la planta 4 Fig. 38. Access Point pasillo, planta 5. Fig. 39. Nuevo mapa de cobertura de la planta 5 Fig. 40. Access Point Aula 65, planta 6 Fig. 41. Nuevo mapa de cobertura de la planta 6 Fig. 42. Access Point Biblioteca, planta 7. Fig. 43. Nuevo mapa de cobertura de la planta 7 3 4 6 7 11 12 12 14 15 15 18 19 20 20 21 24 26 26 27 27 27 28 28 28 29 29 29 30 31 31 32 32 32 33 33 34 34 34 35 35 36 36 36 xiii Fig. 44. Access Point Bar, planta 8. Fig. 45. Nuevo mapa de cobertura de la planta 8. Fig. 46. Controladora WiFi EADA Barcelona Fig. 47. Access Point Sala Bar/Terraza, Planta baja Hotel Fig. 48. Access Point Planta 1, Habitaciones zona derecha Fig. 49. Controladora WiFi EADA Collbató Fig. 50. Número de access points en la planta Altillo, Implementación 2 Fig. 51. Número de access points en la planta -1, Implementación 2 Fig. 52. Número de access points monitorizados en Zenoss Fig. 53. Panel de monitorización de un access point Fig. 54. Introducción de datos en SecureW2 Fig. 55. Mapa de red Eduroam EADA. Fig. 56. Estructura RADIUS por Jerarquía. Fig. 57. Estructura RADIUS entre 2 Instituciones Fig. 58. Página principal de Eduroam en EADA Fig. 59. Servicios disponibles en Eduroam Fig. 60. Página cat.eduroam.org para un usuario de EADA Fig. 61. Configuración de un dispositivo Android 37 37 38 38 39 39 40 40 41 42 52 54 55 55 58 59 60 61 Lista de tablas Pág. Tabla 1. Compatibilidad para Identidades Anónimas Tabla 2. Compatibilidad para el tipo de contraseña guardada Tabla 3. Resumen de las SSID para el acceso a la red 49 50 59 xiv Capítulo 1: Introducción 1.1 Objetivos del Trabajo El primer objetivo de este trabajo final de grado consiste en documentar de forma extensiva los procesos necesarios para la correcta implementación y despliegue de una red inalámbrica en las instalaciones de EADA Business School. El segundo objetivo consiste en adaptar la infraestructura desplegada a la red de movilidad internacional Eduroam; todo llevado a cabo desde el Departamento de Tecnologías de la Información (DTI) de este centro universitario y del cual formo parte actualmente. Finalmente, el tercer objetivo es realizar el paso a paso del flujo técnico-administrativo necesario realizado por cada institución para formar parte del proyecto Eduroam. Concretamente, este flujo consiste en: ● Posee una infraestructura definida y de índole educativa o de investigación. (Capítulo 1) ● Poseer una infraestructura WiFi funcional y adecuada. (Capítulos 2 y 3) ● Poseer un método de cifrado de los datos de los usuarios. (Capítulo 4) ● Elegir correctamente una combinación de cifrado de datos EAP para la institución. (Capítulo 4) ● Elegir un servidor RADIUS adecuado a las necesidades de la institución e integrable con el resto de RADIUS de Eduroam. (Capítulo 4) ● Poseer documentación completa del servicio dado de cara al público, incluyendo métodos de conexión, introducción al servicio, etc. (Capítulo 5) ● Finalmente, al cumplir estos requisitos, superar satisfactoriamente las diferentes validaciones para formar parte del proyecto Eduroam. (Capítulo 4) El trabajo se divide en 6 capítulos con diferentes sub-apartados: El capítulo 1 consiste en una introducción a los diferentes elementos del trabajo (infraestructura de EADA, alcance del proyecto, etc.); el capítulo 2 consiste en una descripción de las tecnologías utilizadas para el estudio de despliegue de la red WiFi dentro de EADA (planificación, implementación, etc.); el capítulo 3 consolida el despliegue de la infraestructura de red con las diferentes implementaciones y herramientas usadas para dichas implementaciones; el capítulo 4 describe la adaptación de esta red a la red de movilidad internacional Eduroam; el capítulo 5 engloba la información pública sobre el servicio Eduroam de EADA a los miembros de la comunidad; y, finalmente, el capítulo 6 contiene las conclusiones del trabajo. 1 1.2 EADA Business School La Escuela de Alta Dirección y Administración (EADA) es una entidad académica superior centrada en ofrecer formación avanzada a directivos y empresarios que busquen afianzar y mejorar sus conocimientos de gestión, liderazgo, o financieros, entre otros. EADA es una institución sin ánimo de lucro, abierta, plural y diversa; con participantes de más de 40 países diferentes y es una de las 100 mejores instituciones a nivel mundial en el ámbito de máster y MBA. Actualmente se encuentra presente en varios rankings internacionales. 1.2.1 Estructura de EADA 1.2.1.1 Historia La Escuela de Alta Dirección y Administración (EADA) fue fundada en 1957 por Irene Vázquez y Arturo Alsina con el objetivo de otorgar formación a futuros directivos de empresas. Por aquel entonces funcionaba como un gabinete de asesoría y gestión de empresas. 3 años más tarde de ser fundada, EADA comienza a realizar cursos de formación en el campo de la gestión y administración de empresas. La sede principal de EADA se encuentra en el edificio de la calle Aragón, en Barcelona. A partir de 1990, EADA adquiere el centro residencial de Collbató y, de esta forma, pasa a tener 2 sedes desde las que otorga formación centrada en la gestión y administración de empresas. Además, EADA refuerza su presencia en Latinoamérica creando diversas delegaciones en dicha región. [1] 1.2.1.2 Sedes Actualmente EADA posee 2 sedes: el Campus EADA en la calle Aragón (Barcelona) y el Campus Residencial EADA Collbató (Montserrat). Como se puede observar en la figura 1, el Campus EADA Barcelona es un edificio ubicado en la calle Aragón 204 en el centro de L’Eixample. El edificio es antiguo (40 años de antigüedad aproximadamente) por lo que la infraestructura es vieja y da lugar a elementos que dificultan el proyecto actual (vigas, pilares, columnas, tuberías, etc.). 2 La distribución de oficinas y zonas para alumnos consta de la siguiente manera: ● La planta subterránea -2 está reservada para la sala de calderas, mantenimiento y comedor para empleados. ● La planta subterránea -1 consta de una zona de estudio, con puestos de ordenadores de autoservicio, reprografía y zona de montacargas. ● La planta baja la componen recepción y una zona de oficinas. ● La planta altillo está compuesta por el despacho de DTI y dirección. ● La planta 1 está formada por despachos académicos y de gestión del alumnado. ● La planta 2 está formada por una sala de coaching y tutoría, oficinas y un aula de aprendizaje de gran capacidad. ● La planta 3 contiene aulas para alumnos y un espacio para trabajos en grupo. ● La planta 4 contiene oficinas y un auditorio utilizado para presentaciones y conferencias. ● La planta 5 está compuesta únicamente de aulas. ● La planta 6 está compuesta por aulas y una sala de ordenadores dónde se imparten clases. ● La planta 7 tiene 2 aulas y la biblioteca junto con el centro de documentación (CDD). ● La planta 8 está compuesta por el bar/cafetería. Fig. 1: Edificio EADA Barcelona, Calle Aragón 204 3 En la figura 2 se aprecia la fachada del Campus EADA Collbató. Este campus es un complejo con infraestructura hotelera que se encuentra cerca de Montserrat. Es un espacio pensado para salir de la rutina y el estrés diario con espacios pensados para actividades más dinámicas en grupo. Además el complejo cuenta con piscina, gimnasio, 15 hectáreas de bosque, restaurante, cafetería, salas de reuniones y aulas para impartir clases. El edificio es más amplio por lo que las dificultades a la hora de realizar un despliegue de red inalámbrica es menor, pero existe alguna zona conflictiva que dificulta la correcta implementación de esta infraestructura de red. Además, se desea implementar una extensión de la red inalámbrica a una zona del bosque para actividades exteriores. Fig. 2: Campus EADA Collbató, Montserrat. 1.2.1.3 DTI como impulsor del proyecto DTI es el Departamento de Tecnologías de la Información de EADA. Es el departamento encargado de promover e impulsar los proyectos IT dentro de ésta, tanto en el Campus EADA Barcelona, como el de EADA Collbató. Estos campus han recibido cambios estructurales y mejoras en los servicios a lo largo de los años, de cara a los empleados del centro universitario y a los estudiantes que asisten a dichos campus. DTI se ha encargado de promover y convencer a los directivos del centro universitario que un cambio en la infraestructura de red es necesario para la mejora de EADA tanto laboralmente como académicamente de cara al futuro. 4 Recientemente, DTI ha impulsado y consolidado otros proyectos para la mejora de la experiencia de los alumnos, profesores y empleados de EADA tales como: ● ● ● ● Plataforma Moodle personalizada. Campus Virtual. Intranet. Sistema de gestión de préstamo de equipos informáticos mediante un site auto gestionado. ● Servicio de Impresión gestionado. ● Servicio de gestión de incidencias y helpdesk a través de una herramienta de fácil uso para los usuarios del centro universitario. Todos estos proyectos (y muchos más) han ido consolidando al Departamento de Tecnologías de la Información de EADA como el impulsor y ejecutor de los proyectos de innovación; siempre intentando que el usuario final (estudiantes, profesores y empleados del centro universitario) obtenga el mayor beneficio posible. 1.2.2 Alcance del proyecto Inicialmente, EADA Business School sólo contaba con 1 sede; en concreto la sede de Barcelona ubicada en la calle Muntaner pero al cabo de unos años de ser establecida como centro educativo cambió su sede principal al edificio de 9 plantas de la calle Aragón en el centro de L’Eixample en Barcelona. En un primer momento, se puede decir que el despliegue de la red inalámbrica en EADA fue pobre. El edificio, al tener una estructura antigua, dificultaba la tirada de cables de red y de corriente para un despliegue adecuado de WiFi. Además, por ese entonces, los recursos obtenidos por DTI sólo permitían la inclusión de pocos access points para la puesta en marcha de la red WiFi. Cabe destacar que el edificio del campus de Barcelona cuenta con varias zonas conflictivas que, desde un primer momento, dificultan el despliegue de una red inalámbrica. 5 Estos puntos son: 1. En la planta 1 se encuentran los despachos 14 y 15 (figura 3). Estos 2 despachos poseen una estructura anti-incendios que imposibilita la llegada de señales WiFi desde los access points de otras plantas. Esta estructura está formada por una puerta de acero y un techo reforzado que, en caso de producirse un incendio en el edificio, permitiría aislar dichos despachos del resto del edificio sin riesgo de incendio. En su momento, la solución fue dejar la zona de la primera planta sin cobertura WiFi. Fig. 3: Puerta reforzada del despacho 14 2. En la planta 2 se encuentra la sala 24. Esta sala está formada por un conjunto de salas de reuniones más pequeñas para coaching y tutorías de los alumnos de EADA. Esta sala tiene como característica principal, que se encuentra en una de las esquinas del edificio y que, además, posee un pilar en uno de los lados de la sala. Este pilar dificulta mucho la propagación de las señales WiFi de los access points y alguna zona de esa sala se puede quedar con una cobertura limitada dependiendo dónde se coloque dicho access point. (figura 4) 6 Fig. 4: Pilar aula 24 que dificulta el paso de señales inalámbricas 3. En la planta 8 se encuentra el bar/cafetería de EADA. Este tiene una particularidad y es que la tirada de cable hasta esta planta es dificultosa debido a la cantidad de cables y tuberías que se encuentran entre las plantas 7 y 8. Esto además dificulta la propagación de la señal WiFi en caso que se quiera utilizar la señal de la planta 7. En su momento, también se dejó esta planta sin cobertura WiFi. 4. Se ha de tener en cuenta que el Campus EADA Barcelona se encuentra en el centro de L’Eixample. Es un punto muy importante ya que la cantidad de contaminación por ruido electromagnético generado por los más de 400 access points detectados diariamente en la zona colindante al campus puede llegar a afectar la calidad del servicio a implementar. Por su parte, en el Campus de EADA Collbató no presenta tantas dificultades estructurales al ser un edificio más amplio; pero al ser un Campus más grande que el de Barcelona y el hecho de poder desplegar pocos access points debido a los recursos 7 obtenidos por DTI, esto hace que la cobertura quede un poco mermada en algunas zonas del campus. Concretamente, las zonas que dificultan esto son: ● Algunas zonas de la parte del hotel, ya que algunas habitaciones se encuentran en zonas aisladas y dificultosas para la llegada de red WiFi. ● Las aulas para alumnos son bastante espaciosas y están separadas entre sí, por lo que es necesario ver cómo realizar un buen despliegue con los access points dados. En este caso, al tener un número limitado, la cobertura que se puede obtener no es tan buena como la deseada. ● En la zona de bar/cafetería del Campus EADA Collbató, hay una zona de descanso en la que el despliegue de un access point resulta bastante complicado ya que la estructura de la sala está compuesta por 4 columnas que dificultan enormemente la propagación de las señales WiFi. ● En el caso de querer desplegar red WiFi en la zona exterior del Campus EADA Collbató, se debería tener en cuenta la distancia entre las zonas a cubrir, la cantidad de dispositivos disponibles para el despliegue, la estructura de dichas zonas, etc. 1.3 Planteamiento de despliegue de infraestructura WiFi Ante estos problemas y la dificultad de obtener un presupuesto mayor por aquel entonces, DTI decidió dejar los pocos access points marca D-Link distribuidos por el edificio de forma que las zonas en las que los alumnos tienen más presencia estén cubiertas por una red WiFi estable para los 2 campus. Afortunadamente, los recursos obtenidos por DTI han ido mejorando con los años por lo que se puede realizar un planteamiento de mejora de la red inalámbrica dentro de EADA. Esta mejora consiste en un despliegue de nuevos access points de otro proveedor. Este despliegue mejora considerablemente la cobertura inalámbrica de EADA pero no es suficiente para dar un servicio de calidad dentro de los campus del centro universitario. Esta implementación se realiza de forma previa a mi incorporación al centro. En el momento de empezar a trabajar en el centro universitario, se plantea una nueva mejora debido a la falta de cobertura en algunas zonas del Campus EADA Barcelona y Campus EADA Collbató y la obtención de más recursos para la inclusión de más access points. En el Capítulo 2 se explicará con más detalle la tecnología utilizada para realizar estos despliegues y, en el Capítulo 3 se profundiza en el despliegue de la red. Se explicará cómo quedó el primer despliegue de la red inalámbrica. Por qué se eligió Cisco como proveedor de access points para la primera implementación de la red inalámbrica por encima de Xirrus. Así como los procesos para desplegar y mejorar considerablemente la red inalámbrica dentro de las 2 sedes de EADA, teniendo en cuenta que ya existía un despliegue más antiguo. 8 Capítulo 2 Preparación del despliegue de la red WiFi En este capítulo se profundizará en la preparación para poder realizar un despliegue de la red inalámbrica en el centro universitario. Desde las tecnologías utilizadas, pasando por los puntos conflictivos a tener en cuenta para planificar el despliegue, hasta el proveedor de electrónica de red elegido para suministrar a EADA. 2.1 Objetivos Tal y como se ha visto en el capítulo 1, las 2 sedes de EADA son muy diferentes una de la otra. En el apartado 2.3 se realiza una comparativa más extendida entre las 2 sedes para la futura implementación de la red inalámbrica. El objetivo principal de este capítulo es poder dar una visión de los procesos necesarios para una implementación y mejora de la infraestructura de red en los 2 Campus de EADA Business School. Esto incluye: ● Un resumen de las tecnologías usadas para esta implementación: Access Points, Switches, Controladoras WiFi, etc. ● Un resumen de los 2 proveedores de electrónica de red evaluados para dicha implementación: Cisco y Xirrus. ● Luego de esta comparativa de proveedores, los motivos por los que se elige uno y no el otro. 2.2 Tecnologías En este apartado se introducen las tecnologías utilizadas en el proyecto: desde los access points (como visión general), pasando por los switches utilizados para realizar las conexiones y finalizando con una comparativa entre las sedes de EADA (EADA Barcelona y EADA Collbató). 2.2.1 Access Points, Controladora WiFi y Switches En este apartado se explicará de forma sencilla qué es un access point, qué es una controladora WiFi, qué es un switch y cómo se ha determinado qué switch es mejor de cara al despliegue de la red inalámbrica. Access Point: Denota como AP o WAP (Wireless Access Point). Es un dispositivo utilizado para interconectar otros dispositivos alámbricos y así formar una red 10 inalámbrica. Los AP tienen como función principal permitir la conectividad de red para los diferentes dispositivos que se conecten a estos (PC, tablet, smartphone…) y delegar las tareas de enrutamiento y direccionamiento a servidores o switches. La mayoría de los AP siguen el estándar 802.11 de la IEEE lo que permite una gran compatibilidad con otros dispositivos inalámbricos. Los access points son el enlace entre una red cableada y una red inalámbrica; además que el uso de varios access points permite el servicio de “roaming”. El roaming se traduce en la posibilidad de que un dispositivo se mueva de una zona de cobertura a otra sin perder la conectividad en ningún momento. En el caso de EADA, con la inclusión de varios access points distribuidos por todo el edificio, tanto de EADA Barcelona como EADA Collbató, permiten el roaming para los diferentes dispositivos conectados a la red inalámbrica. [2] Fig. 5: Access Point D-Link EADA En la figura 5 se aprecia un antiguo access point de EADA. Es un access point D-Link modelo DWL-3200AP utilizado en uno de los despliegues de infraestructura WiFi en EADA, y que actualmente se encuentra en desuso. 11 Fig. 6: Access Point Cisco EADA En la figura 6 se aprecia uno de los access points provistos por Cisco a EADA. El modelo de este access point es AIR-CAP-2602I-E-K9 y es el usado actualmente en las instalaciones de EADA Barcelona y EADA Collbató. Controladora WiFi: Es una herramienta utilizada para la gestión y el control de los diferentes access points incluidos en una infraestructura inalámbrica. Esta herramienta se encarga de visualizar y ofrecer una gestión de los diferentes atributos y elementos que conforman una infraestructura inalámbrica: desde los canales en que operan los access points, hasta la autenticación y seguridad de cada uno de ellos. Switch: Es un dispositivo inteligente utilizado en una red LAN (Local Area Network) que se encarga de interconectar 2 o más segmentos de red formando una red cableada. Esta red está formada por varias redes fusionadas en una sola. [3] En el caso de EADA, se utilizan Switches HP de la gama Procurve 1810-8g, 181024g y 1810-48g (ejemplo de switch en la figura 7). Se eligieron estos switches ya que ofrecen una buena conectividad entre redes, son fáciles de configurar, son administrables y son compatibles con los access points elegidos para la red inalámbrica. Fig. 7: Switch 1810-48G en EADA 12 2.2.2 Cisco vs Xirrus En este apartado se explica la visión de las 2 compañías elegidas para proveer a EADA de access points. Estas 2 compañías son Cisco y Xirrus y, en este capítulo se dará una visión detallada de los productos que ofrecen y la mentalidad de cada una en el ámbito de las comunicaciones WiFi. [4] [5] Cisco Cisco es una empresa dedicada principalmente a la fabricación, venta, mantenimiento y control de equipos de telecomunicaciones. Fue fundada en el año 1984 en Estados Unidos, en el estado de San Francisco, California. Es una compañía que posee más de 400 sucursales en más de 90 países, con más de 1500 laboratorios alrededor del mundo y más de 25.000 socios. La infraestructura de la compañía se ejecuta bajo su propia red compuesta por más de 3000 routers, 3600 switches, 7000 access points, etc. Se puede decir que es una red creada por y para Cisco en la que operan todas las sucursales que engloba. Los retos a los que se enfrenta Cisco se pueden condensar en: versatilidad, innovación, globalización, funcionalidad, rendimiento, coste, seguridad y facilidad de operación y mantenimiento. [6] Entre los equipos que ofrece se encuentran: routers, switches, conectores, servidores, access points, antenas, controladoras… en definitiva, una gran gama y variedad de dispositivos. En el caso de este proyecto nos centramos en los access points que ofrece la compañía. Un ejemplo de estos access point de la marca Cisco puede verse en el apartado anterior; concretamente en la figura 6. Los access points ofrecidos por Cisco tienen compatibilidad con conectividades 802.11g/ac/n y 3G. Además contienen la tecnología Cisco CleanAir [7] que provee de un espectro inteligente para combatir proactivamente los problemas de interferencia inalámbrica que se pueden dar en un entorno empresarial. También incluyen la tecnología Cisco ClientLink 2.0 Beamforming que se encarga de dar soporte para todos los tipos de clientes sin requisitos ni dependencias para estos, conexiones móviles para clientes altamente rápidas y uso más eficiente de las baterías de los dispositivos móviles (menos consumo por la conexión a la red). 13 Concretamente estas características son propias del modelo Cisco Aironet 2600 Series Access Point que es el modelo utilizado en el Campus EADA Aragón (Barcelona). Es el modelo que fue elegido como access point para este Campus. En el caso de necesitar una gran cantidad de access points, Cisco otorga la posibilidad de utilizar una controladora WiFi para la gestión y control unificados de los access points como conjunto. En el caso de obtener una controladora WiFi (figura 8), se ha de tener en cuenta que sólo admitirá una cierta cantidad de access points. Si se quiere que esta controladora permita la conexión de más access points se ha de hacer una ampliación de licencias para esto. Fig. 8: Panel de control de la WiFi EADA Xirrus Xirrus es la otra empresa que postulaba como proveedor de EADA para los access points. Es una empresa más reciente que Cisco, fundada en el año 2004 en Thousand Oaks, California. Se encarga principalmente de diseñar y vender equipos de red inalámbrica basados en el estándar IEEE 802.11 a/b/g/n. 14 La empresa fabrica sus propios arrays de access points. Estos arrays poseen una controladora integrada para los access points que contenga el array en sí. Este array está formado por una antena direccional especial y 4/8/12/16 o 24 access points incluidos en el conjunto (figuras 9 y 10). Fig. 9: Array Xirrus desplegado Fig. 10: Array Xirrus montado Los arrays modulares creados por Xirrus poseen buena conectividad con dispositivos que utilizan el estándar 802.11 a/b/g/n/ac, concretamente posee la tecnología ACExpress que permite optimizar el rendimiento para cada dispositivo junto con un software para operar en la banda de 2,4 y 5 Ghz. Permite un alto rendimiento para el medio para necesidades de alta densidad. Es decir, que si una zona tiene una afluencia de usuarios bastante alta y el espacio es amplio, estos arrays permiten un rendimiento fluido y una buena conexión para los usuarios. 15 De cara a la implementación de la red inalámbrica en EADA es una muy buena opción ya que la inclusión de varios access points dentro de un array soluciona el problema de interferencias pero debido a la estructura y distribución de salas por cada planta se necesitaría una mayor cantidad de arrays para cubrir todas las plantas. Además, la estructura del edificio principal de EADA obligaría de una forma u otra a la inclusión de una gran cantidad de arrays para cubrir correctamente todas las zonas del edificio. Por otra parte, estos arrays son autogestionables, por lo que no incluye ningún tipo de controladora WiFi externa para ninguna cantidad de arrays; cada array se gestiona con su propia controladora WiFi interna que gestiona los access points de cada array. [8] Llegados a este punto, y vistas las 2 empresas que ofrecen access points a EADA, DTI comienza un estudio de comparativa entre las sedes de Barcelona y Collbató. Este estudio, detallado en el apartado 2.3, consiste en una comparación de las ventajas y desventajas de cada sede a la hora de implementar una red inalámbrica (roaming entre zonas de los edificios, número de access points, posibilidad de controladora WiFi, etc). Al finalizar este estudio se realiza la elección final de la compañía que proveerá de access points a EADA y se comienza el estudio de cobertura para las 2 sedes en el Capítulo 3. 2.3 Comparativa de las sedes Barcelona-Collbató En este apartado se realiza una comparativa estructural íntegra de las 2 sedes de EADA. Se trata de dar una visión objetiva de las ventajas y desventajas que posee cada sede para poder realizar una elección final de los access points a adquirir. Esta elección incluye: número de access points, facilidad para realizar un cableado, inclusión de una controladora WiFi, etc. Campus EADA Barcelona El Campus EADA Barcelona es un edificio de 9 plantas ubicado en el centro de L’Eixample de la ciudad de Barcelona. Además de las 9 plantas, este edificio cuenta con 2 plantas subterráneas. La única planta que no requiere un acceso WiFi particular es la planta subterránea -2 utilizada para calderas, zona de mantenimiento y comedor para empleados. Tal y como se puede observar en la distribución de las plantas (ver Anexo 1) la estructura es muy parecida en la mayoría de plantas. 16 Por ello, destacamos las siguientes zonas conflictivas del edificio: - Planta subterráneo -1: Contiene salas de trabajo y ordenadores de autoservicio para los usuarios. - Planta 1: Los despachos 14 y 15 poseen puertas anti-incendios que dificultan el paso de las señales inalámbricas debido a su estructura. - Planta 2: El aula 24 posee un pilar que impide el correcto paso de señal inalámbrica a una zona de la sala. - Planta 7: La Biblioteca y Centro de Documentación (CDD) que poseen una zona con estanterías metálicas que impiden el paso de señal inalámbrica. - Planta 8: El bar-restaurante es una zona muy conflictiva ya que es difícil realizar una tirada de cableado debido a la cantidad de tuberías y cables de electricidad que pasan entre las plantas 7 y 8. Teniendo en cuenta los recursos obtenidos por DTI, se estima que para cada planta puede haber 1 o, como máximo 2 access points dependiendo del proveedor que se elija al final. Esto condiciona un poco la elección del proveedor ya que el número de access points necesarios es alto para cubrir el edificio entero. (Si se estima que como mínimo se necesitan 1-2 por planta, se necesitan como mínimo 9 access points. 1 por cada planta). En el caso que se seleccionara Xirrus como empresa proveedora de access points, se necesitaría más de 1 array por planta ya que, aunque cada array posea una cierta cantidad de access points incluidos, la potencia de la señal no es capaz de llegar a todas las zonas de la planta mediante un solo array. Desgraciadamente, entre plantas existe un número elevado de elementos que dificultan el paso de las señales inalámbricas entre tan pocos equipos inalámbricos. En el caso que se eligiese Cisco, sería un poco más sencillo ya que con una buena distribución de varios access points por todo el edificio seríamos capaces de cubrir las zonas críticas y dar cobertura a la mayor parte del edificio. Además, se podría incluir una controladora WiFi para monitorizar y controlar mejor los access points y el servicio que de cada uno de estos de forma individual y como grupo. Cabe destacar que el edificio permite un buen roaming entre plantas ya que se encuentran todas interconectadas por escaleras internas que permiten a los usuarios mantenerse conectados a la red pasando de un access point al siguiente sin perder señal. 17 Campus EADA Collbató El Campus EADA Collbató, es un recinto que se compone por 3 zonas bien diferenciadas: - Hotel. - Aulas. - Zona Exterior. Estas 3 zonas conforman la estructura principal de EADA Collbató. A la hora de realizar un posible despliegue WiFi se ha de tener en cuenta cada zona por separado. ● Hotel Esta zona está compuesta por 2 plantas que conforman el hotel de EADA en Collbató. En la planta baja se encuentra la recepción, zona de juegos (ordenadores de autoservicio), sala de estar, comedor, bar y restaurante del hotel. Además, al lado de la recepción se encuentra la delegación del departamento de tecnologías de la información (DTI) desde la que se ofrece el soporte a usuarios en ese campus. La 2da planta del hotel está compuesta íntegramente por una zona de habitaciones. Cada habitación posee un balcón y baño propio y se encuentran separadas por un pasillo tal y como se puede ver en la figura 11. Como se puede observar con pasillos bastante estrechos por lo que la distribución de access points ha de ser muy metódica para poder dar cobertura a todas las habitaciones de forma equitativa. Fig. 11: Pasillo zona de habitaciones, Hotel EADA Collbató 18 Hay pocas zonas conflictivas a la hora de realizar un posible despliegue WiFi, pero estas zonas son: - Algunos pasillos de la zona de habitaciones tienen forma de “T” y, las habitaciones de las esquinas tienen una gran dificultad para recibir señales inalámbricas. - En la planta baja del hotel en la sala contigua al bar/restaurante (sala de estar) hay 4 pilares que complican mucho la inclusión de un access point para dar cobertura a toda la zona (figura 12); además dicha sala es muy grande y dificulta que toda esa sala obtenga una buena cobertura con un solo access point. Fig, 12: Sala contigua al bar/restaurante, Hotel EADA Collbató Debido a la extensión de los pasillos y a la cantidad de habitaciones que forman el hotel, se estima que se necesitarán más de 20 access points como mínimo para poder dar cobertura inalámbrica a todas las habitaciones y zonas del hotel que lo requieran. Para ser una simple estimación, ya de por sí es un número alto de access points. La parte buena es que la simplicidad de los pasillos (quitando las zonas conflictivas de este) y las zonas de recepción/comedor/etc. permiten una conectividad continua entre dispositivos y usuarios (roaming). ● Aulas La zona de aulas está compuesta por 3 plantas. Cada planta posee 3 macro-aulas destinadas a trabajos o reuniones en grupos grandes tal y como puede verse en la figura 13. 19 Fig. 13: Aula para grupos, Campus EADA Collbató ● Zona Exterior La zona exterior del campus de por sí es muy conflictiva ya que se encuentra cerca de la zona de bosques que rodean el campus. Esta zona se utiliza para dar clases outdoor para grandes grupos de alumnos. Se ha estimado que es necesario proveer de red inalámbrica a las zonas donde se realicen dichas clases para maximizar el aprendizaje del alumnado dando la mayor cantidad de herramientas posibles y facilitar así el trabajo de los profesores. Fig. 14: Zona exterior EADA Collbató 20 Fig. 15: Zona exterior EADA Collbató II Las figuras 14 y 15 son sólo un ejemplo de las zonas externas al Campus EADA Collbató; para más información sobre las zonas exteriores de este campus se recomienda visitar la página web de dicho Campus ya que contiene información más extensa de las zonas interiores y exteriores. [9] 2.4 Elección final de proveedor de access points. En este apartado se resume la información vista en los apartados anteriores y se realiza una elección de la empresa proveedora de access points. Se ha visto que las 2 compañías que pueden proveer a EADA de access points son empresas muy competitivas que ofrecen un abanico de productos y posibilidades bastante diversas. La elección final, dada la información de los apartados anteriores, fue elegir Cisco. Los principales motivos de esta elección son: ● La cantidad de zonas a cubrir es extensa, por lo que es necesaria una gran cantidad de access points para cubrir dichas zonas. Además, hay bastantes zonas conflictivas que dificultarían la propagación de la señal de los arrays de Xirrus al estar centralizado en un solo punto. Se ha de recordar que la estructura del edificio de EADA Barcelona imposibilita el despliegue de pocos arrays Xirrus al tener pasillos estrechos y muchos elementos de bloqueo o interferencia de la señal inalámbrica. ● Al utilizar varios access points Cisco, se puede mantener un buen roaming entre las zonas de cobertura. ● Los arrays de Xirrus son autogestionados, por tanto en el caso de necesitar varios arrays e implementarlos dentro de EADA se necesitaría realizar una 21 gestión individual de cada array y de cada access point dentro de cada array. En el caso de Cisco, se posibilita la compra de una controladora WiFi para cada sede y así poder gestionar y monitorizar los access points de forma centralizada. ● Se ha de tener en cuenta que el Campus EADA Barcelona se encuentra en el centro de L’Eixample. Por tanto, la cantidad de ruido electromagnético y la cantidad de interferencias generadas por los diferentes access points de los edificios colindantes es muy grande. Teniendo en cuenta esto, los access points provistos por cisco utilizan la tecnología Cisco CleanAir [7]. Esta tecnología se encarga de eliminar las interferencias en la señal inalámbrica; además otorga un descubrimiento de redes continuo sin alterar el impacto en el rendimiento de la red y se encarga de evitar las interferencias actuales y futuras mediante un mecanismo automático. Hay que remarcar que actualmente EADA posee 3 modelos diferentes de access points. El campus de EADA de la calle Aragón (Barcelona) posee los access points Cisco Aironet 2600 Series Access Point, mientras que el campus de EADA en Collbató (Montserrat) posee los modelos Cisco Aironet 1040 Series Access Point para la zona de aulas y habitaciones y los modelos Cisco Aironet 1600 Series Access Point para la zona de exteriores del campus en Collbató. Se han elegido estos 3 modelos porque se ha considerado que son los idóneos para cada espacio. El modelo Aironet 2600 Series del Campus EADA Barcelona está preparado para entornos con gran cantidad de interferencias (posee la tecnología Cisco CleanAir mencionada anteriormente) por lo que es el modelo idóneo para este Campus. El modelo Aironet 1040 Series es idóneo para el Campus EADA Collbató ya que es un modelo estándar (recordemos que el Campus EADA Collbató se encuentra en la zona de Montserrat, por lo que no hay tanta contaminación electromagnética y no es necesario utilizar un modelo Aironet 2600). Finalmente, el modelo Aironet 1600 utilizado en las zonas exteriores del Campus EADA Collbató es un modelo que permite la inclusión de 3 dipolos para mejorar la directividad del access point y ofrece un mayor throughput que el resto de access points mencionados. [10] [11] [12] 22 Capítulo 3 Despliegue de la red Wifi Tal y como se ha explicado en los apartados anteriores, EADA realizó un estudio de cobertura e implementación de una primera versión de la red inalámbrica. A través de la compañía Satec [13], se realizó un análisis de la cantidad de access points necesarios para cubrir todas las zonas de EADA Barcelona y EADA Collbató de la mejor forma posible. Esto deriva en un informe teórico realizado por dicha empresa en la que se especifican los puntos dónde la cobertura es mala, dónde se puede añadir un nuevo access point, etc. [14] [15] [16] En primera instancia y debido al presupuesto disponible, la red inalámbrica de EADA tenía varios defectos y carencias importantes. Esto se debe a la poca cantidad de access points disponibles para cubrir las zonas de necesidad del edificio y atender las zonas más conflictivas. Fig. 16: Planta 1 EADA Barcelona, implementación 1. En la figura 16 se puede observar la intensidad de la señal de la primera planta del edificio de EADA Barcelona en la primera implementación de la red inalámbrica. Se puede observar claramente que la intensidad de la señal recibida es muy baja. Prácticamente sólo la zona superior izquierda recibe buena señal inalámbrica cosa que no interesa, ya que el resto de la planta tiene bastantes zonas con grandes carencias de cobertura. Como esta, hay bastantes más plantas del edificio que poseen una mala cobertura y que requieren una mejora en la distribución o inclusión de access points. En el apartado, 3.1 se detalla este despliegue junto con los resultados obtenidos en su momento. 24 3.1 Planificación inicial En primera instancia el despliegue de la red inalámbrica se consigue como un proyecto a gran escala dentro de DTI con el objetivo de mejorar la experiencia de los usuarios en los 2 campus del centro universitario. Luego de elegir proveedor (Cisco) y obtener un presupuesto para una cierta cantidad de access points y una controladora WiFi para cada sede, se procede a realizar un despliegue de access points y red WiFi tanto en el Campus EADA Barcelona como el Campus EADA Collbató. Esta primera implementación consiste en el despliegue de 9 access points distribuidos por las 9 plantas del edificio de EADA Barcelona, y aproximadamente 25 access points distribuidos por el Campus EADA Collbató. Todos ellos, gestionados y controlados a través de una controladora WiFi provista por Cisco. Así, se puede mantener un orden y un control sobre los diferentes access points. Cada una de las sedes posee su propia controladora WiFi; de esta forma el trabajo es más sencillo a la hora de gestionar los recursos. La distribución en el campus EADA Collbató es más uniforme al haber más access points y ser un campus más grande, pero en el Campus EADA Barcelona se hace de la siguiente forma: ● Planta Sótano -1: 1 access point en la zona de ordenadores de autoservicio y salas de trabajo. ● Planta Altillo: 1 access point en el despacho de DTI. ● Planta 2: 1 access point dentro del aula 22. ● Planta 3: 1 access point dentro del armario de calderas. ● Planta 4: 1 access point dentro del aula 44 y uno dentro del despacho 41. ● Planta 5: 1 access point dentro del armario del pasillo (zona escaleras). ● Planta 6: 1 access point en la zona de ascensores. ● Planta 7: 1 access point en la zona de ascensores. ● Planta 8: Ningún access point en toda la planta. Para realizar este despliegue ha sido necesaria una conexión entre los access points y la nueva red inalámbrica a través de los switches HP Procurve distribuidos por el edificio de Barcelona. Concretamente se ha requerido crear una nueva VLAN para la gestión de la WiFi desde la que se ha enlazado la controladora para los access points del edificio de Barcelona con los access points distribuidos por el edificio. Debido a la estructura y antigüedad del edificio, fue difícil realizar la tirada de cable por todo para conseguir este despliegue. 25 Una vez finalizado este despliegue, se contactó con Satec para que realizaran un estudio de cobertura real en el edificio de Barcelona y de Collbató para analizar cómo había quedado la red WiFi. Lamentablemente, aun habiendo mejorado muchas zonas del Campus de EADA Barcelona y EADA Collbató, Satec concluyó que habían muchas zonas dónde la cobertura WiFi no llegaba a los mínimos establecidos. Concretamente, en EADA Barcelona, los puntos de mejora o empeoramiento de la cobertura fueron: ● Figura 17; Planta sótano -1: La señal es buena en la zona de ordenadores de autoservicio y zona de trabajo, pero es muy débil en la zona de montacargas. Esto no se considera un problema en el centro, por lo que en esta zona no es relevante dar buen servicio inalámbrico. Fig. 17: Mapa de cobertura de la planta sótano -1 ● Figura 18; Planta Baja: toda la zona derecha de la planta tiene poca o muy poca cobertura WiFi. Concretamente la zona más alejada posee una cobertura por debajo del mínimo establecido, mientras que la zona central de la planta tiene una cobertura débil pero dentro de los márgenes. Fig. 18: Mapa de cobertura de la planta baja 26 ● Figura 19; Planta Altillo: La zona de la derecha de la planta posee una cobertura muy mala; por el contrario el despacho de DTI posee una muy buena cobertura al tener el access point ubicado en esa zona. La zona central de la planta recibe cobertura de dicho AP pero es mejorable. Fig. 19: Mapa de cobertura de la planta altillo ● Figura 20; Planta 1: En general la señal llega a los mínimos en la planta, exceptuando la zona central (concretamente, despachos 13 y 14 que no reciben señal WiFi). Fig. 20: Mapa de cobertura de la planta 1 ● Figura 21; Planta 2: Los extremos de la planta tienen importantes pérdidas de cobertura en general. Como nota positiva, el aula 22 posee una muy buena cobertura con el access point incluido. Fig. 21: Mapa de cobertura de la planta 2 27 ● Figura 22; Planta 3: La zona de ascensores tiene carencias de cobertura mientras que el resto de la planta tiene una cobertura correcta. Fig. 22: Mapa de cobertura de la planta 3 ● Figura 23; Planta 4: Exceptuando el aula 43 (auditorio), el resto de la planta posee una buena cobertura. Fig. 23: Mapa de cobertura de la planta 4 ● Figura 24; Planta 5: Las aulas 52 y 53, junto con los despachos 55 y 56 presentan carencias de cobertura WiFi. Fig. 24: Mapa de cobertura de la planta 5 28 ● Figura 25; Planta 6: En general la cobertura es mala, exceptuando la zona de ascensores. Fig. 25: Mapa de cobertura de la planta 6 ● Figura 26; Planta 7: La zona derecha de la biblioteca posee una cobertura nula. Esto se debe a que es una zona con una gran cantidad de estanterías metálicas, por lo que la señal WiFi no se expande correctamente. Fig. 26: Mapa de cobertura de la planta 7 ● Figura 27; En general, la cobertura WiFi es mala exceptuando la zona de ascensores y entrada al bar/restaurante. Fig. 27: Mapa de cobertura de la planta 8 29 Mientras que, en EADA Collbató, los puntos conflictivos son: ● En la zona de habitaciones del hotel existen habitaciones localizadas en las esquinas de algunos pasillos en los que la cobertura es mala. Esto se debe a que la señal de los access points no llega a dichas habitaciones y deben ser recolocados. ● En la zona de bar/restaurante, la sala que se comenta en apartados anteriores con las columnas se mantiene sin cobertura al seguir siendo muy dificultoso colocar un nuevo access point. Vista esta implementación y, coincidiendo con mi entrada en EADA, se decide realizar una nueva mejora a esta red WiFi con la inclusión de nuevos access points y una distribución diferente de los ya existentes. Esta nueva implementación se detalla en el siguiente apartado: 3.2 Mejora en la planificación. 3.2 Mejora en la planificación Teniendo en cuenta la primera implementación y los errores cometidos en esta, se procede casi de inmediato a planificar una nueva distribución de los access points dentro de EADA para mejorar y arreglar la cobertura otorgada a los miembros de la comunidad. Así, decidimos realizar los siguientes cambios dentro los 2 campus, con los siguientes resultados: ● Campus EADA Barcelona: ○ Planta Sótano -1: Se mantiene el access point en la zona de ordenadores de autoservicio y salas de trabajo. Se ha visto que la cobertura en esta planta, para las zonas necesitadas, es correcta. La cobertura final de la planta se encuentra reflejada en la figura 28. Como puede observarse, la cobertura no ha variado con la primera implementación. Fig. 28: Nuevo mapa de cobertura de la planta Sótano -1 30 ○ Planta Baja: Se mantiene sin access points al recibir señal de las plantas sótano -1 y Altillo. La cobertura final se encuentra reflejada en la figura 29. Como puede observarse, la cobertura general de la planta ha mejorado; esto se debe a que en la planta Altillo se añade un nuevo Access Point. Fig. 29: Nuevo mapa de cobertura de la planta Baja ○ Planta Altillo: Además del access point dentro del departamento de DTI, se añade un access point en el techo delante de las oficinas de dirección. Esto se refleja en la figura 30. Fig. 30: Access Point pasillo, planta Altillo. La cobertura final se encuentra reflejada en la figura 31. Como se puede observar, se añade un Access Point en la zona derecha de la planta, mejorando enormemente la cobertura de la planta Altillo y planta Baja. 31 Fig. 31: Nuevo mapa de cobertura de la planta Altillo ○ Planta 1: No es posible añadir ningún nuevo Access Point, por lo que la cobertura de la planta sigue siendo muy mala en general. Se estudiaron varias formas de mejorar la cobertura de la planta, pero al final ninguna de las posibles soluciones llego a ser exitosa. La cobertura final se encuentra reflejada en la figura 32 con cambios casi nulos. Las pequeñas mejoras se deben a la señal que obtienen de los Access Points de las plantas Altillo y 2. Fig. 32: Nuevo mapa de cobertura de la planta 1 ○ Planta 2: Además del access point del aula 22, se añade un nuevo access point en el aula 24. Este access point se intenta colocar de forma que no sea afectado por el elemento de interferencia de dicha aula (columna) tal y como se aprecia en la figura 33. Fig. 33: Access Point aula 24, planta 2. 32 La cobertura final se encuentra reflejada en la figura 34. Como puede observarse, sólo una zona del despacho 21 posee una bajada de señal WiFi. La zona del aula 24 posee una cobertura excelente, aún teniendo el elemento de interferencia (columna). Fig. 34: Nuevo mapa de cobertura de la planta 2. ○ Planta 3: En la figura 35 se aprecia como la posición del access point del armario se cambia y esta pasa a ser en el techo delante del aula 33. De esta forma se refuerza la cobertura de la zona central de la planta. Fig. 35: Access Point pasillo, planta 3. La cobertura final se aprecia en la figura 36. Como se puede observar, Hay una gran pérdida de cobertura en toda la planta, excepto en la zona central (donde se coloca el access point). Esto se soluciona con una nueva implementación que no se cubre en este trabajo; pero se consigue mejorar la cobertura de la zona de ascensores, aula 31 y aula 32. 33 Fig. 36: Nuevo mapa de cobertura de la planta 3. ○ Planta 4: Se mantienen ambos access points sin cambios. La cobertura final se puede apreciar en la figura 37. Se puede ver que la cobertura varía un poco al desplazar los access points de las plantas 3 y 5. Fig. 37: Nuevo mapa de cobertura de la planta 4. ○ Planta 5: En la figura 38 se puede observar cómo la posición del access point de dicha planta cambia del armario en la zona de lavabos/escalera y se decide colocar en el techo delante del aula 53. De la misma forma que con la planta 3 se intenta mejorar la cobertura en dicha zona. Fig. 38: Access Point pasillo, planta 5. 34 La cobertura final se puede apreciar en la figura 39. Se puede observar que mejora la zona central, pero el resto de la planta se mantiene igual que en la primera implementación dando cobertura a casi toda la planta. Fig. 39: Nuevo mapa de cobertura de la planta 5. ○ Planta 6: Además del access point en la zona de ascensores se añade uno en el aula 65 (figura 40). De esta forma se intentan mejorar las carencias de la planta por esa zona. Fig. 40: Access Point Aula 65, planta 6. La cobertura final se puede apreciar en la figura 41. La zona de ascensores está un poco mejor, pero en el momento de realizar este nuevo estudio de cobertura, el Access Point de esta zona se encontraba apagado debido a un problema con uno de los switches de enlace de esa planta. Aún así, la cobertura de la zona derecha de la planta mejora exponencialmente en relación a la primera implementación. 35 Fig. 41: Nuevo mapa de cobertura de la planta 6. ○ Planta 7: Además del access point en la zona de ascensores, se añade uno dentro de la biblioteca. Aunque la esquina de esta planta sea imposible de cubrir se intenta reforzar la señal en la biblioteca e intentar dar algo de cobertura a la planta 8. (Ver figura 42). Fig. 42: Access Point Biblioteca, Planta 7. La cobertura final se aprecia en la figura 43. Como se puede observar, la cobertura mejora en general en toda la planta. Al no recibir señal del access point de la planta 6, la zona izquierda tiene menos cobertura de lo que debería, aunque la diferencia no es significativa. En la zona derecha de la planta es imposible otorgar cobertura inalámbrica debido a los elementos que impiden el paso de la señal. Fig. 43: Nuevo mapa de cobertura de la planta 7. 36 ○ Planta 8: Se añade un nuevo Access Point dentro del bar/restaurante en la zona de caja/cobro para dar una cobertura óptima a toda la planta. (Ver figura 44). Fig. 44: Access Point Bar, planta 8. La cobertura final se aprecia en la figura 45. Como se puede observar, la cobertura es excelente en toda la planta con la adición del Access Point en esta planta. Fig. 45: Nuevo mapa de cobertura de la planta 8. Como se puede observar en las figuras provistas, EADA hizo un esfuerzo para conseguir nuevos access points y poder reforzar las zonas de cobertura más débil. Esto afecta al número total de access points gestionados por la controladora WiFi. En la figura 46 se puede apreciar una captura de pantalla de la controladora WiFi del campus EADA Barcelona. En ella se pueden observar el número de access points gestionados, el modelo de cada uno, la IP otorgada por la controladora (En nuestro caso, hemos forzado la IP de cada access point para llevar mejor la monitorización de los access points a través de la herramienta Zenoss), la dirección MAC, versión de software, número de clientes activos, etc. 37 Fig. 46: Controladora WiFi EADA Barcelona A través de la controladora se puede sacar más información para la gestión y monitorización de las conexiones; ya sea por clientes conectados como por número de conexiones. ● Campus EADA Collbató: ○ Sala enfrente al bar/restaurante: Tal y como se ve en la figura 47, se añade un nuevo access point en el techo, colocado boca abajo para intentar dar cobertura a toda la sala. Fig. 47: Access Point Sala Bar/Terraza, Planta baja Hotel. ○ En los pasillos de la zona de habitaciones, recolocar uno de los access points de los extremos, de forma que las zonas conflictivas con poca cobertura (rectángulo rojo) mejoren tal y como se puede ver en la figura 48. Esto se repite a cada planta de la zona de hotel donde las zonas de habitaciones tengan estas formas. 38 Fig. 48: Access Point Planta 1, Habitaciones zona derecha ○ El resto de access points se han bajado del techo y colocado en las paredes. Esto ha hecho que la cobertura tanto en la zona de habitaciones como aulas haya mejorado considerablemente. Con esta nueva implementación y despliegue de los distintos access points, se comprueba más adelante que la cobertura dada por los nuevos access points mejora mucho en relación a la primera implementación. Esto se consigue a través de un nuevo estudio de cobertura realizado por la empresa Satec. Aún así, esta implementación no es perfecta y desgraciadamente no se consigue tener una cobertura óptima en todas las plantas pero con los elementos de red disponibles se consigue sacar el mayor rendimiento posible a la red WiFi en EADA. En la figura 49 se puede apreciar la controladora de EADA Collbató con los access points que posee actualmente. Fig. 49: Controladora WiFi EADA Collbató 39 3.3 Metodología y herramientas para el estudio de cobertura Como se ha visto en el apartado 3.1 y 3.2, Satec realizó un estudio teórico de cobertura desde el que se implantaron un número de access points para mejorar la cobertura de la infraestructura inalámbrica. Para poder hacer este estudio teórico, se utilizaron varios métodos y herramientas para llevar a cabo esto: La primera herramienta utilizada por Satec y por mí para un estudio de una mejora en la infraestructura de red es Ekahau-Heatmapper. Esta herramienta permite, mediante el uso de un ordenador portátil, obtener la cantidad de access points e intensidad de la señal que otorga cada uno dentro de un recorrido concreto. Los mapas de cobertura que pueden verse en el apartado 3.1 y 3.2 han sido extraídos de este programa. En la figura 50 se puede apreciar una captura de la cantidad de access points que Ekahau-Heatmapper detecta en el recorrido de una planta. Como contraste se puede observar una menor cantidad de access points en la figura 51. Figura 50: Número de access points planta Altillo, implementación 2. Figura 51: Número de access points planta -1, implementación 2. 40 Además del programa Ekahau-Heatmapper, se realizaron varias simulaciones de los puntos y zonas dónde se estima más afluencia de usuarios (estudiantes, profesorado, trabajadores de EADA). Esto se traduce en las plantas donde se ha hecho más hincapié para otorgar una cobertura y servicio de calidad (exceptuando el fallo de implementación en planta 3, que posteriormente se corrige). 3.4 Monitorización de los access points Tal y como se ha explicado en el apartado 3.2, concretamente en la página 41, a cada access point implementado en EADA (Barcelona y Collbató) se le ha forzado la dirección IP para poder realizar una monitorización más uniforme mediante el programa Zenoss. Zenoss es una herramienta open source que permite la monitorización de toda la infraestructura de una compañía de forma gratuita. En el caso de EADA, se realiza una monitorización y control de los servidores, hipervisores, access points, controladoras, etc. En el caso concreto de este proyecto se realiza una monitorización mediante ICMP (ping) para controlar de forma proactiva las posibles caídas de los access points y poder solucionar el problema lo más rápido posible. La funcionalidad de Zenoss en este aspecto se centra en el envío de pings a los diferentes dispositivos en intervalos de entre 5-10 minutos para que dichos dispositivos se encuentren conectados y funcionen correctamente. Además de la monitorización a través de ICMP, Zenoss permite el uso de WMI y SNMP junto con gráficas personalizadas para cada dispositivo monitorizado. En la figura 52 observarse una visión general de los access points monitorizados y, en la figura 53 el panel de monitorización individual de un access point. Figura 52: Número de access points monitorizados en Zenoss 41 Figura 53: Panel de monitorización de un access point 3.5 Conclusiones Estas conclusiones se centran en la consolidación de los conocimientos y experiencia adquiridos para mejorar el despliegue de la red inalámbrica; además de realizar un resumen del trabajo realizado y el estado final de la red para su futura adaptación a la red Eduroam. Vistas estas 2 diferentes implementaciones podemos concluir que la red WiFi ha sufrido muchos cambios a lo largo del tiempo. En una primera instancia, el despliegue de la red WiFi no fue muy complejo debido a la falta de recursos (prévio al primer despliegue, cuando aún se utilizaban los access points D-Link). Afortunadamente, DTI fue capaz de conseguir los recursos necesarios para realizar una mejora de la red inalámbrica. Esto se consolida con la adquisición de los elementos WiFi provistos por Cisco (Access Points/ Controladora WiFi) y el partenariado con Satec para realizar las gestiones de comprobación de cobertura y tareas derivadas. La primera implementación (apartado 3.1) se lleva a cabo previa a mi incorporación a EADA. Por tanto, mi implicación en dicho despliegue es nula. Afortunadamente, aunque se cometieron muchos fallos en este primer despliegue (en buena medida debido a limitaciones de recursos), sirvió como punto de apoyo para realizar el estudio y despliegue de la 2da implementación de la red inalámbrica en EADA. Al realizar mi incorporación como trabajador de EADA se me presentó, aparte de otros proyectos dentro del departamento, la oportunidad de realizar un rediseño de la red inalámbrica de EADA. Por aquellas fechas mi conocimiento del tema era bastante limitado, pero gracias al trabajo realizado previamente para la primera implementación de la red WiFi, adquirí nuevos conocimientos que me ayudaron a desarrollar el nuevo despliegue de la red inalámbrica. 42 Estos conocimientos se centran en la documentación provista por Satec incluyendo los estudios de cobertura, la experiencia de mis compañeros de trabajo que se encontraban en el momento de realizar dicha primera implementación, etc. Al finalizar dicho despliegue se consigue una red WiFi de calidad que, aunque no sea perfecta, intenta optimizar todos los elementos disponibles para dar el mejor servicio posible a los miembros de la comunidad de EADA. Finalmente, con esta red inalámbrica activa, se comienza la adaptación a la red de movilidad internacional Eduroam. Esto se detalla dentro del capítulo 4: Adaptación a la red Eduroam. Se puede decir que, a través de estas implementaciones, la importancia tanto de las tecnologías presentes a EADA como el Departamento de Tecnologías de la Información aumenta a medida que pasa el tiempo. Por ello, se está estudiando la posibilidad de incluir más access points al edificio de EADA Barcelona y acabar de concretar la red inalámbrica en la zona exterior del campus de EADA Collbató con nuevos access points para dar cobertura a dicha zona. 43 Capítulo 4: Adaptación a la red Eduroam Vista la información de los capítulos anteriores, queda claro cómo un centro universitario como EADA Business School es capaz de adaptar su infraestructura a las nuevas tecnologías. En este caso, se ha detallado el despliegue de una red inalámbrica y las distintas evoluciones que ha sufrido con el paso del tiempo en 2 grandes implementaciones. 4.1 Objetivos generales del capítulo Una vez consolidada la red inalámbrica con un buen nivel de cobertura para la interacción continua entre cierto volumen de usuarios, se procede a estudiar la posibilidad de introducir la red Eduroam en EADA. Esto es un paso importante para EADA ya que permite que las comunicaciones y las posibilidades para interconectar usuarios aumenten, junto con la movilidad entre los distintos centros. Por tanto, en este capítulo se realizará una introducción sobre Eduroam, se explicarán los requisitos necesarios para poder incluir un centro universitario como EADA dentro de esta red de movilidad internacional. En definitiva, se explicará el proceso necesario para adaptar la red actual a la red de Eduroam. Además, se explicarán las diferentes formas de cifrar los datos de los usuarios, y qué tipo de cifrado se eligió para EADA. También, se explicarán los distintos tipos de servidores RADIUS existentes junto con la elección final. 4.2 Introducción a Eduroam 4.2.1 ¿Qué es Eduroam? [17][18] Eduroam proviene de education roaming. Ofrece a los usuarios de las instituciones académicas participantes dentro del proyecto un acceso seguro a Internet para su institución y todas las instituciones adheridas a Eduroam. El lema principal que persigue este proyecto es “Abre tu portátil y estás conectado”, que se traduce en que se intenta que la conexión entre investigadores, estudiantes y personal universitario sea fluida independientemente de la institución que estén visitando (siempre y cuando dicha institución se encuentre dentro de la red Eduroam). Eduroam comenzó en el año 2002 como un proyecto iniciado por TERENA con el objetivo de combinar infraestructuras RADIUS (Remote Authentication Dial In User Service) basadas en la tecnología IEEE 802.1X para proveer un acceso a una red inalámbrica a través de redes de investigación y redes educacionales. Inicialmente el servicio se realizó entre los siguientes países europeos: Holanda, Alemania, Finlandia, Portugal, Croacia y el Reino Unido. Poco a poco esta red fue extendiéndose a través 45 del mundo, interconectando instituciones por todo el globo hasta que finalmente en el año 2012 un gran porcentaje de países ya poseían Eduroam. 4.2.2 Características principales de Eduroam El diseño de la red Eduroam permite que un invitado se conecte a una red de un centro que esté visitando. Además de garantizar seguridad e integridad de los datos transportados, se trata de un diseño abierto. Por tanto, cada institución tiene cierto grado de libertad a la hora de configurar e instalar Eduroam. Finalmente cabe destacar que es escalable, fácil de usar e instalar. La red Eduroam cuenta con 2 elementos claves encargados de permitir o denegar la conexión de los usuarios al querer conectarse a la red Eduroam. Estos son: ● Identity Provider (IdP): Es el elemento que se encarga de la autenticación de los usuarios. Concretamente, responde a la pregunta: “Este usuario es quién dice ser?” y es realizado por la institución de origen. ● Service Provider (SP): Es el elemento que se encarga de la autorización de los usuarios que desean conectarse a la red. Concretamente, responde a la pregunta: “Qué acceso de red ha de dársele a este usuario?” y es determinado por la institución que se visita. Eduroam utiliza el estándar 802.1X para realizar la autenticación de usuarios. De forma más precisa, sólo se permite tráfico 802.1X EAP (Extensible Authentication Protocol) hasta que es posible probar la identidad del usuario que desea realizar una conexión. De la misma forma, el resto del tráfico es bloqueado en la capa de enlace de datos. [19] Finalmente, cabe destacar los componentes principales de Eduroam: ● NAS: Network Access Server. Incluye el elemento de Access Points Inalámbrico (Wireless Access Point) o Switches con compatibilidad para el estándar 802.1X. ● Cliente con el software configurado para la conexión a Eduroam. ● Jerarquía de Servidores de Autenticación de RADIUS. ● IEEE 802.1X. 4.3 Tecnología en Eduroam Tal y como se ha explicado en el apartado 4.2.2, al realizar una conexión a Eduroam hay que tener en cuenta el mecanismo de autenticación/autorización para dicha conexión. 46 Para transportar la petición de autorización del usuario desde el SP hasta el IdP junto con una respuesta, se ha de realizar a través de un servidor RADIUS. Los usuarios utilizan nombres de usuario con la forma “user@dominio” dónde el dominio suele ser el DNS del IdP. En el caso de EADA Business School el formato es “[email protected]” si el usuario es un trabajador de EADA o “[email protected]” si el usuario es un alumno o un profesor. Para transportar la información de forma segura a través de los servidores RADIUS hasta su IdP, los access points o switches que se desplieguen en el SP han de ser compatibles con el estándar IEEE 802.1X que utiliza EAP. EAP es el contenedor que lleva los datos de autenticación a través de los diferentes métodos incluidos en EAP. En referencia a RADIUS y, como método introductorio, cabe destacar que es un protocolo de red que provee de un servicio AAA centralizado. AAA denota de Autentication, Autorization & Accounting. Es el encargado de transportar la información encriptada del usuario (usuario y contraseña) y verificar es un usuario válido para acceder a la red Eduroam. 4.4 IdP En este apartado se profundiza un poco más con el concepto de IdP (Identity Provider) y se extiende al uso en Eduroam. Además, se desarrollará una explicación sobre las diferentes combinaciones para el cifrado de datos junto con la elección final de EADA. [20] [21] 4.4.1 Eduroam IdP Tal y como se ha mencionado anteriormente, IdP corresponde a Identity Provider y es el mecanismo encargado de realizar la autenticación de los usuarios para la conexión a la red Eduroam. En el caso de EADA, se decide comportarse como un IdP al poder cumplir todas las características necesarias para serlo. Estas son en concreto: ● Poseer un dominio propio: eada.es, @eada.edu, @eada.net. ● Un servidor de certificados TLS. ● Una base de datos de usuario: En este caso un LDAP encargado de gestionar a los usuarios mediante user/password para las conexiones en el entorno de EADA. Además, se ha de seleccionar un método de cifrado EAP concreto. Esta decisión depende de 2 factores: ● Capacidad de gestión de identidades. ● Tipos de dispositivos a los que se quiera dar soporte. 47 Como norma general, para diferenciar el tipo de protocolo EAP que se elija lo que se ha de tener en cuenta es: ● Si la gestión de identidades soporta certificados de clientes X.509, entonces se puede utilizar EAP-TLS como método de cifrado. ● Si la gestión de identidades utiliza una combinación de usuario y contraseña se han de tener en cuenta 2 casos: ○ Las contraseñas se guardan encriptadas como NT-Hash (Encriptación utilizada por el Directorio Activo): Se puede usar EAP-TTLS, PEAP, EAP-FAST, EAP-PWD como protocolo de cifrado. ○ Las contraseñas se guardan con un formato de encriptación diferente: Únicamente se puede usar EAP-TTLS. Se puede observar que hay muchos métodos para el cifrado y transmisión de datos. Estos métodos se explicarán mejor en el apartado 4.4.2. Con respecto a la identidad anónima, cabe destacar que casi todos los métodos EAP soportan esta identidad. De forma clara, el uso principal de la identidad anónima dentro de Eduroam permite una mayor protección de los datos de los usuarios para la institución adherida a Eduroam que se visita (SP). Así, la identidad de un usuario se divide en 2: ● Identidad externa: Utilizada para enrutar la petición de acceso del desde el Service Provider, pasando por el servidor RADIUS hasta el Provider. Además, dicha identidad ha de tener la “[email protected]”. ● Identidad interna: Sólo se revela dentro de un túnel cifrado para el Provider. Además, dicha identidad puede tener la forma que se desee. usuario Identity forma: Identity En el caso concreto de EADA Business School, las 2 identidades son: ● Identidad externa: “[email protected]” o “[email protected]” ● Identidad interna: “usuario de directorio [email protected]” (por ejemplo “[email protected]”) o “usuario de directorio [email protected]” (por ejemplo “[email protected]”) Se puede observar que para realizar la petición a Eduroam, la identidad externa tiene la forma “anonymous@dominio”. Así, se utiliza el dominio para enrutar la petición y establecer una conexión segura, y el nombre de usuario real dentro de esta conexión se utiliza para consultar la base de datos correspondiente y corroborar la identidad del usuario. 48 En la tabla 1 se puede ver qué combinaciones de protocolos EAP son compatibles con las identidades anónimas. Tipo de EAP Soporte para Identidades Anónimas EAP-TTLS Si PEAP Si EAP-FAST Si EAP-TLS El protocolo lo soporta, los usuarios no suelen tenerlo disponible en los dispositivos. EAP-PWD No Tabla 1: Compatibilidad para Identidades Anónimas. 4.4.2 Métodos de cifrado de datos En los apartados anteriores se ha explicado que para realizar una conexión a la red Eduroam es necesario cifrar los datos con el uso de EAP (Extensible Authentication Protocol) y las combinaciones disponibles o más utilizadas a la hora de configurar la red Eduroam. [22] Por ello, procedemos a explicar de forma breve y concisa algunos de los métodos EAP más populares para usar con Eduroam: ● PEAP (Protected EAP): Es un protocolo que establece un túnel TLS y envía los datos (user & password) en MS-CHAPv2. ● TTLS (Tunneled TLS): Es un protocolo que establece un túnel TLS y envía los datos (user & password) mediante múltiples formatos. ● TLS (Transport Layer Security): Es un protocolo que autentica a los usuarios y al IdP mediante el uso de 2 certificados X.509. ● FAST (Flexible Authentication via Secure Tunneling): Es un protocolo que establece un túnel TLS y envía los datos de forma customizada. Existen 3 opciones en referencia al despliegue de la red Eduroam que se resumen en la tabla 2. 49 Gestor de identidad guarda las PEAP-MSCHAPv2? contraseñas… TTLS? En texto plano o encriptadas de Si forma reversible. Si (TTLS-PAP/ TTLSMSCHAPv2) NT-Hash Si (TTLS-PAP/ TTLSMSCHAPv2) Encriptadas irreversible Si de forma No Si (TTLS-PAP) Tabla 2: Compatibilidad para el tipo de contraseña guardada. 4.4.3 Elección de los tipos de EAP en EADA Vistas las diferentes combinaciones posibles para el protocolo EAP, en EADA se empieza a estudiar qué método es el apropiado para la implementación de la red Eduroam. Para realizar esta elección se realiza una comparación de la configuración actual de una variedad de universidades dentro del territorio español. Concretamente, se mira qué combinación es la más frecuente dentro de las universidades, y se llega a ver que la combinación más utilizada es PEAP-TTLS en general. Esta configuración sirve ya que EADA gestiona a los usuarios mediante usuario y contraseña; y esta última se guarda encriptado como un NT-Hash (LDAP) y con autenticación PAP. Además, las similitudes a la hora de gestionar los datos a través de LDAP/Directorio Activo entre EADA Business School y otras universidades (Por ejemplo, la propia Universidad Pompeu Fabra), han hecho que EADA se decante por esta combinación de los tipos de EAP. 4.4.4 Soporte TTLS para dispositivos cliente La combinación EAP-TTLS se considera la opción más sencilla para la implementación y despliegue de la red Eduroam en comunidades de gran envergadura (sobretodo en entornos estudiantiles). Por desgracia, MS Windows no posee ningún mecanismo de soporte para EAP-TTLS en sus versiones más antiguas; pero esta funcionalidad se puede añadir de forma sencilla a los clientes Windows que lo necesiten a través del programa SecureW2. 50 SecureW2 es un producto creado por Alfa&Ariss Network Security Solution, y es la herramienta que se encargará de permitir las conexiones de los usuarios a través del protocolo EAP-TTLS. Se utiliza SecureW2 como programa de soporte para el acceso a Eduroam en los ordenadores que posean MS Windows ya que es un programa con una instalación sencilla, que es configurable para las conexiones a este tipo de red, con compatibilidad con los protocolos EAP-TTLS utilizados por la mayor parte de las universidades del mundo. La instalación de este software trae consigo 2 posibles problemas de seguridad. Estos son: ● SecureW2 permite al usuario realizar nuevas conexiones. En sí, la opción ha de estar desactivada para impedir que los usuarios envíen por error sus credenciales de acceso a un servidor falso. Por tanto, para ejecutar SecureW2 es necesario poseer los certificados del servidor RADIUS preinstalados. ● SecureW2 necesita los certificados para comprobar la veracidad del servidor. Este certificado ha de estar instalado en un fichero concreto que es diferente al que utiliza Windows por defecto. Esto puede provocar que, aunque se posea el certificado correcto, no se pueda realizar la conexión debido a que el certificado no está instalado en el sitio adecuado. Una vez obtenido el fichero SecureW2.exe preconfigurado, el usuario puede realizar la instalación del software siguiendo unos sencillos pasos: ● Descargar el fichero preconfigurado SecureW2.exe. ● Ejecutar el fichero e instalar el cliente de SecureW2. ● Introducir las credenciales de acceso en la ventana correspondiente. (usuario@dominio y contraseña). En la figura 54 se puede apreciar un ejemplo de esto. ● Reiniciar el ordenador. ● Realizar una conexión a la red Eduroam. 51 Figura 54: Introducción de datos en SecureW2 En el capítulo 5, concretamente en el apartado 5.2.2, se dará un ejemplo práctico de la instalación de SecureW2 en un dispositivo MS Windows para la conexión a la red Eduroam. 4.5 Servidores RADIUS Tal y como se ha definido en el apartado 4.3 Tecnologías en Eduroam, RADIUS denota de Remote Authentication Dial In User Service y es un protocolo que ofrece un servicio AAA centralizado. Además, RADIUS es el encargado de gestionar y otorgar acceso a la red a los usuarios. [23] AAA denota de Autentication, Autorization & Accounting y son las funciones principales de RADIUS: ● Autentication: La conexión del cliente hacia el servicio pasa primero por un RAS. RAS denota de Remote Access Server o servidor de acceso remoto y es el encargado de actuar como puerta de entrada al servidor. Este servidor se comunica con RADIUS para corroborar que las credenciales de acceso de dicho usuario son válidas y está autorizado para realizar una conexión con la red. ● Autorization: RADIUS contiene un listado de direcciones de protocolo de Internet e instruye al RAS para que asigne al usuario como parte de una petición de autorización. Durante la duración de la sesión, el ordenador del cliente ha de mantener una dirección IP para que, cuando se realiza la comunicación entre el RAS y RADIUS, los paquetes enviados para las solicitudes al servidor puedan ser respondidos a una dirección concreta. ● Accounting: Es el proceso encargado de contabilizar la duración de la conexión al servicio proporcionado por RADIUS. Cuando los procesos de autorización y autenticación finalizan, el servidor envía un mensaje de inicio al servidor RADIUS que contabiliza este tiempo hasta que el usuario cierra la sesión. 52 4.5.1 Elección Servidor RADIUS Vista la definición y funcionalidad básica de un servidor RADIUS, EADA ha de seleccionar una de las opciones disponibles dentro de los diferentes servidores RADIUS disponibles. La elección de EADA es FreeRADIUS. [24] ¿Por qué se elige FreeRADIUS por encima de otros servidores RADIUS? ● ● ● ● ● FreeRADIUS, como su nombre indica, es un servidor RADIUS gratuito. Es Open Source. Es el servidor RADIUS más desplegado de entre las opciones disponibles. Es escalable. Soporta varios tipos de autenticación EAP, entre los que destacan: a. EAP-TLS b. EAP-TTLS c. PEAP ● La base de datos que utiliza para comprobar las credenciales de acceso de los usuarios es compatible con LDAP (Lightweight Directory Access Protocol) y Directorio Activo, que son los métodos de autenticación de usuarios utilizados por EADA. ● RedIRIS, el organismo con el que EADA ha tenido más comunicación a la hora de instalar y configurar el servidor RADIUS, utiliza FreeRADIUS. Este hecho ha sido una gran influencia a la hora de elegir dicho servidor gracias a la ayuda y aportaciones de RedIRIS de cara a la implementación del servicio en EADA. 4.6 Validación del despliegue Una vez elegido, configurado e instalado el servidor RADIUS, las instituciones de nivel más alto encargadas de gestionar y validar las instalaciones de Eduroam han de realizar un repaso de la infraestructura y configuraciones para comprobar que la institución posea todos los requisitos para formar parte del proyecto Eduroam. Concretamente se realizan 3 evaluaciones puntuales: 1. La primera validación ha de hacerla CSUC (antiguo Cesca), como controlador de la red en Cataluña. [25] 2. Una vez superada la primera validación, RedIRIS ha de realizar una segunda validación del servicio como controlador de la red en España. [26] 3. Finalmente, TERENA como controlador de la red Global de Eduroam, ha de realizar la validación final a la infraestructura. [27] 53 Las 3 evaluaciones realizan las siguientes comprobaciones: ● Se comprueba que la configuración del servidor RADIUS elegida se conecte de forma satisfactoria con el resto de servidores RADIUS de la red Eduroam. ● Se comprueba que se pueda realizar una conexión mediante el uso de credenciales tanto de la institución evaluada (servidor RADIUS de la institución) y la conexión mediante el uso de credenciales de una institución externa (comunicación entre el servidor RADIUS de la institución evaluada y el resto de servidores RADIUS). ● Se realiza una comprobación periódica de la conexión a la red Eduroam dentro de EADA con credenciales pre-acordadas entre CSUC y EADA para el buen funcionamiento de la red. En la figura 55 se puede un mapa de red de Eduroam dentro de EADA. Cabe destacar que este mapa está simplificado únicamente a la red inalámbrica y que no contiene todos los elementos de la red global de EADA y, en la figura 56 y la figura 57 un esquema más general de la estructura de los servidores RADIUS. [28] Fig. 55: Mapa de red Eduroam EADA. 54 Fig. 56: Estructura RADIUS por Jerarquía. Fig. 57: Estructura RADIUS entre 2 Instituciones. 55 Capítulo 5: Documentación pública del proyecto Se ha visto en los capítulos anteriores cómo se obtiene una red inalámbrica de calidad, junto con una adaptación a la red de movilidad internacional Eduroam. En este quinto capítulo se detalla de forma concisa la información que se especifica a la hora de hacer público el proyecto Eduroam. 5.1 Objetivos del capítulo El objetivo principal de este capítulo es especificar la documentación que EADA ha hecho pública en su página web. Esta documentación describe el servicio de Eduroam junto con diferentes apartados que ayudan al usuario a entender mejor el servicio que se les intenta dar. Además, se incluyen manuales de conexión para diferentes dispositivos. Estos dispositivos son: Windows (XP, vista, 7 y 8), iOS (a partir de la versión 7 de iOS), Android y Ubuntu. 5.2 Despliegue de la información en EADA El propósito de EADA en este punto es dar a conocer Eduroam entre los miembros de su comunidad y los miembros de las comunidades estudiantiles que visiten EADA a través de la información provista en su página web. Este volcado de información ha sido creado por mí como miembro del Departamento de Tecnologías de la Información (DTI) y traducido al Catalán y al Inglés por los miembros del Centro de Documentación (CDD). De esta forma se otorga una información completa a los usuarios del servicio en los idiomas pertinentes. 5.2.1 Página web de EADA En la página web de EADA, se encuentra toda la información relacionada con Eduroam. [29] En la figura 58, se puede apreciar la página principal de la documentación de Eduroam en EADA. 57 Fig. 58: Página principal de Eduroam en EADA Tal y como puede observarse en el recuadro rojo, la información de Eduroam está distribuida en 5 subapartados dentro del apartado de Eduroam. El apartado de Eduroam se compone de una definición de la red inalámbrica de EADA junto con una breve descripción de Eduroam, las ventajas que otorga Eduroam a los usuarios y las bases legales que conllevan ofrecer dicho servicio. Los 5 subapartados restantes se componen de la siguiente manera: ● Acceso a la red WiFi de EADA: En este subapartado se especifican las 2 SSIDs ofrecidas por EADA. Estas SSIDs son para 2 redes completamente diferentes: eduroam y guests@eada. Eduroam es el servicio para la comunidad académica y los participantes en EADA, mientras que guests@eada es un servicio de cortesía con unas prestaciones mucho menores que las que se ofrecen en Eduroam. En la tabla 3 se puede ver un resumen de las 2 SSID creadas por EADA para su red inalámbrica y las características que las preceden. 58 SSID Protocolo Autenticación de red Cifrado eduroam 802.11 a/b/g/n 802.1X EAP-TTLS WPA2 Enterprise – AES WPA-TKIP guests@eada 802.11 a/b/g/n PSK La contraseña se cambia periódicamente WPA2 Personal – AES WPA-TKIP Tabla 3: Resumen de las SSID para el acceso a la red ● Servicios disponibles en Eduroam: En este subapartado se especifican los servicios disponibles con las conexiones que se hagan con el SSID de Eduroam. Cualquier servicio que no figura en esa lista, no está disponible. En la figura 59 se pueden ver los servicios disponibles en eduroam dentro de EADA. Fig. 59: Servicios disponibles en Eduroam ● Guías de configuración en diferentes sistemas operativos: En este subapartado se especifican los métodos de conexión a la red Eduroam. Actualmente existen 2 tipos de conexiones: 59 ● Utilizando un instalador preconfigurado con las características de EADA: Este instalador se obtiene a través de la página cat.eduroam.org, y es un instalador que ya está configurado para diversos sistemas operativos. En la figura 56 se puede ver cómo se ve dicha página web para un usuario de EADA. Al final de este documento, concretamente en el Anexo 2 se encuentra la configuración previa del servidor RADIUS en EADA. Sin esta configuración previa, la página cat.eduroam.org no es capaz de generar los ficheros preconfigurados para los sistemas operativos que se ven en la figura 60. Fig. 60: Página cat.eduroam.org para un usuario de EADA ● A través de los manuales de configuración para los distintos sistemas operativos: Estos manuales especifican cómo configurar un sistema operativo en concreto mediante el uso del programa SecureW2 en el caso del sistema operativo Windows, de forma manual en Android, Linux e iOS. En la figura 61 se puede observar cómo se realiza una conexión para un dispositivo Android. En el Anexo 3 de este trabajo se puede apreciar un manual de configuración de Eduroam para Windows 7 de forma manual. 60 Fig. 61: Configuración de un dispositivo Android Cabe destacar que hay 2 tipos de conexiones disponibles para los usuarios. En el caso de ser un estudiante o un profesor las credenciales de acceso se definen con [email protected] y en el caso de ser un miembro del staff se utiliza [email protected]. A la hora de utilizar la página cat.eduroam.org para descargar el instalador preconfigurado se ha de tener en cuenta este aspecto. ● Mapas de cobertura de la red Eduroam: En este subapartado se especifica de cara al público las zonas de los 2 campus de EADA en las que hay cobertura para la red inalámbrica. Esto se ha conseguido a través de las implementaciones especificadas en el Capítulo 3 y los mapas de cobertura son los ya mostrados. ● Soporte y Acceso a la red: En este subapartado se especifica un método de contacto con el Departamento de Tecnologías de la Información para poder dar un soporte íntegro a los miembros de la comunidad de EADA en el caso que surjan problemas a la hora de intentar realizar una conexión a la red Eduroam. Este método de contacto es el correo electrónico “[email protected]” que se utiliza de forma regular para resolver las dudas de los usuarios a la hora de intentar acceder a la red Eduroam. Además, se detalla una lista de las instituciones adheridas a Eduroam dentro de España y en el resto del mundo para que los miembros de la comunidad sepan a quién han de dirigirse en caso de utilizar credenciales que no son de EADA. 61 5.2.2 Problemas encontrados En este apartado se detallan los distintos problemas encontrados a la hora de confeccionar, redactar y publicar la información pública referente a la red Eduroam. Concretamente, los fallos y problemas que se han encontrado han sido: ● Las versiones de MAC inferiores a 10.6, Snow Leopard, presentan deficiencias a la hora de intentar realizar una conexión a Eduroam. A partir de la versión 10.7 esto se soluciona y se conecta sin problemas a la red. ● Aún sabiendo que las versiones superiores a 10.6 se conectan correctamente, realizar una conexión manual mediante un archivo de configuración predefinido da algunos problemas en algunos dispositivos MAC (a excepción del archivo preconfigurado de la página web cat.eduroam.org). ● Algunas versiones de Android, sobretodo versiones inferiores a 4.0, presentan alguna dificultad a la hora de configurar el dispositivo al tener una interfaz diferente a la que se muestra en la página web. ● A la hora de redactar la información de cara al público, EADA se ha apoyado en la documentación ya existente en otras universidades Españolas como la UAM, UPC o UPF. De esta forma, el volcado de información no dista demasiado del que ya existe en estas otras instituciones que ya forman parte del proyecto Eduroam. 62 Capítulo 6: Conclusiones En este capítulo se presentan las conclusiones generales del trabajo en el apartado 6.1, el trabajo futuro para una mejora del trabajo hecho en el apartado 6.2 y una valoración personal en cuanto a la dificultad del trabajo realizado y el proyecto en sí. 6.1 Cumplimiento de los objetivos del trabajo El objetivo principal de este trabajo final de grado era documentar de forma extensiva todos los pasos para desplegar e implementar una red inalámbrica de calidad dentro de EADA Business School junto con una adaptación de dicha red al servicio de movilidad global Eduroam. Podemos destacar los siguientes puntos críticos del trabajo junto con las partes que han sido más dificultosas de este: ● Como primer punto destacaría la dificultad a la hora de mejorar la red inalámbrica ya desplegada por EADA previa a mi incorporación. Esta red fue creada en base a los escasos recursos obtenidos y que derivaron en pocos access points para realizar la implementación de la infraestructura de red. En el capítulo 3, concretamente en el apartado 3.2, se muestra una mejoría de la red inalámbrica en base a la implementación descrita en el apartado 3.1 del mismo capítulo. La principal diferencia reside en la cantidad de recursos obtenidos por el Departamento de Tecnologías de la Información que se traduce en la obtención de más access points para realizar un despliegue más extenso dentro de los campus. La información extraída para realizar estos apartados proviene de la experiencia de mis compañeros del Departamento de Tecnologías de la Información que fueron partícipes de dicha primera implementación y del informe que realizó la empresa externa Satec para definir la cobertura de los campus. [14] [15] [16] ● Como segundo punto destacaría la dificultad para la adaptación de la red inalámbrica de EADA a la red de movilidad internacional Eduroam. Los conceptos necesarios para esta adaptación se encuentran distribuidos en distintas páginas web de TERENA o RedIRIS y su comprensión ha requerido un gran esfuerzo debido a la cantidad de posibilidades y libertades que se ofrece a la hora de implementar, configurar y desplegar la red Eduroam. Además, esto ha dificultado la redacción de todo el capítulo 4 ya se ha intentado ser lo más concretos posibles a la hora de explicar las características y métodos de cifrado de datos necesarios para la correcta implementación de la red Eduroam. ● Finalmente, el último punto que destacaría es la distribución de la información pública entre los miembros de la comunidad de EADA. Esta distribución se ha cuidado al detalle, intentando que la información que perciben los usuarios sea la imprescindible para su comprensión de la inclusión de Eduroam en EADA y la configuración de sus dispositivos personales. 64 ¿Se han cumplido los objetivos del proyecto? Si. Volviendo al objetivo principal, la documentación de todos los procesos necesarios para la correcta implementación y adaptación de una red inalámbrica de calidad a la red Eduroam ha sido creada de forma satisfactoria. y actualmente es la documentación de referencia para el personal de DTI. Se han seguido unas pautas predefinidas desde el inicio del proyecto para intentar ser lo más estrictos posibles con el orden para realizar las implementaciones y mejoras de los diferentes medios de EADA. Los cambios hechos para la mejora de la implementación de la infraestructura inalámbrica han sido muy estrictos en cuanto a métricas y metodología. Se ha intentado que las interrupciones de servicio ocasionadas, tanto al staff del centro como a los alumnos y profesores fuesen lo más breves posible. En cuanto a la adaptación de la infraestructura de red al proyecto Eduroam, cabe destacar la dificultad y lentitud a la hora de seleccionar y configurar los diferentes tipos de EAP y servidores RADIUS. Además, la parte administrativa ha sido bastante lenta de confeccionar debido a la gran cantidad de información a exponer de cara al público. Aún con todas estas dificultades el proyecto ha sido satisfactorio de cara a la comunidad tanto de EADA como los miembros de instituciones visitantes a EADA. El número de incidencias en cuanto a conexiones inalámbricas comenzó siendo moderado (aproximadamente 3-4 incidencias por día) y ha ido en descenso a lo largo del tiempo (como máximo se recibe 1 incidencia de media con respecto a las conexiones inalámbricas). Desde el panel de control de la WiFi se ha podido observar cómo el número de usuarios que utilizan la SSID Eduroam ha ido en aumento desde que se instauró el servicio dentro de EADA. Cabe recordar que EADA posee 2 SSID para las conexiones inalámbricas y, que la variación de usuarios por día se balancea entre estas 2 SSID con tendencia a ser más alto en Eduroam. 6.2 Trabajo Futuro Este trabajo posee una gran diversidad a la hora de realizar futuras mejoras. El trabajo futuro que contiene este trabajo se puede resumir en la parte de la implementación de la red WiFi de EADA. Tal y como se ha podido observar a lo largo del trabajo, DTI ha ido obteniendo más recursos a lo largo de los años para realizar las diferentes mejoras de la red inalámbrica dentro de los 2 campus de EADA. Desafortunadamente, estas mejoras no son las óptimas realizables para una institución con tanto prestigio de cara a la comunidad internacional de Másteres como es EADA. 65 Por tanto un trabajo futuro, el cual en parte ya se está realizando, es la mejora de esta infraestructura WiFi mediante la inclusión de nuevos access points. Concretamente, las posibles mejoras percibidas son: Campus EADA Barcelona: ● El access point en la planta 3 para mejorar la cobertura de las aulas 31 y 32. (Ver Capítulo 3, apartado 3.2, figura 36) ● Añadir un access point en la planta 5, concretamente en la zona de ascensores y desplazar el access point de la zona central hacia el extremo opuesto. ● Añadir un access point en el despacho 14, dentro de la planta 1, para dar servicio a los usuarios de esa zona. Campus EADA Collbató: ● Añadir más access point en las zonas de habitaciones. De esta forma se resolverían de forma más efectiva los problemas causados por las zonas de habitaciones con forma de “T” (Ver capítulo 3, apartado 3.2, figura 48). ● Realizar un planteamiento de inclusión de más access points en las zonas de aulas. Actualmente se cubren las necesidades con 1 access point en cada aula de trabajo en grupo, pero se podría optimizar el roaming entre aulas añadiendo un nuevo access point en los pasillos de dichas plantas. Otra mejora de futuro sería la monitorización de los access points que, aunque actualmente se realiza mediante la herramienta Zenoss y la controladora WiFi provista por Cisco, se puede mejorar con métricas y gráficas del número de usuarios que están conectados a dicho access point, por ejemplo. 6.3 Valoración personal del trabajo realizado Personalmente, esta ha sido la primera red WiFi que he construido y optimizado dentro de una organización. Además ha sido la primera vez que he tenido contacto con Eduroam desde un punto de vista técnico y he de decir que ha sido una experiencia agotadora pero estimulante. Este trabajo final de grado ha sido un recordatorio del aprendizaje recibido a lo largo de los años en la universidad y el aprendizaje extra que he ido obteniendo en el tiempo que llevo trabajando dentro de EADA Business School. Además ha sido provechoso a la hora de integrarme como miembro del Departamento de Tecnologías de la Información y como trabajador de EADA. Como conceptos más técnicos he comprendido mejor cómo interconectan los elementos de una red inalámbrica desde los switches que interconectan las redes hasta las gestiones que se realizan desde una controladora WiFi. 66 También he visto de primera mano cómo afecta la distribución de access points o las particularidades estructurales de los edificios a la cobertura percibida por los usuarios dentro de los diferentes espacios en EADA. He entendido mejor cómo se compone la red de movilidad internacional Eduroam y los procesos necesarios para poder formar parte de Eduroam como organización. Respecto a Eduroam he de decir que la parte más difícil fue comprender los diferentes métodos de cifrado de datos y tipos de EAP, mientras que la parte más tediosa fue redactar toda la información pública de Eduroam para la página web de EADA y los usuarios. Como resumen general, estoy muy satisfecho con el trabajo realizado. Creo que hemos sabido exprimir al máximo los recursos obtenidos por el Departamento de Tecnologías de la Información para dar un servicio de calidad a los miembros de la comunidad de EADA, pero como expuse más arriba el trabajo realizado se puede mejorar si se obtienen los recursos necesarios para ello. Finalmente, luego de completar este proyecto, aún con las mejoras de futuro propuestas en el apartado 6.2, actualmente me encuentro desarrollando otras tareas y proyectos dentro del departamento. Estas tareas, junto con este trabajo final de grado, derivan en una vinculación más continua para cubrir las necesidades y responsabilidades dentro del área de redes y sistemas del Departamento de Tecnologías de la Información de EADA. 67 Bibliografia [1] EADA (2014). EADA Business School. Consultado el 10 / Agosto / 2014 en http://www.eada.edu/es/conoce-eada/historia [2] Wikipedia (3 / Noviembre / 2014). Wireless Access Point. Consultado el 15 / Agosto / 2014 en http://en.wikipedia.org/wiki/Wireless_access_point [3] Wikipedia (17 / Noviembre / 2014). Network Switch. Consultado el 15 / Agosto / 2014 en http://en.wikipedia.org/wiki/Network_switch [4] Cisco Systems Inc (2014). Consultado el 18 / Agosto / 2014 en http://www.cisco.com/web/ES/index.html [5] Xirrus, High Performance Wireless Networks (2014). Consultado el 18 / Agosto / 2014 en http://www.xirrus.com [6] Cisco (Primer Cuatrimestre / 2009). “Cisco IT Executive Presenation: Cisco on Cisco Overview.” Consultado el 14 / Septiembre / 2014 en http://www.cisco.com/web/about/ciscoitatwork/downloads/ciscoitatwork/pdf/Cisco_on_Cisc o_Overview_White.pdf [7] Cisco (2013-2014). Cisco CleanAir Technology. Consultado el 14 / Septiembre / 2014 en http://www.cisco.com/c/en/us/solutions/enterprise-networks/cleanair-technology/index.html [8] Xirrus. High Performance Networks (2014). “Wireless Access Points and Arrays. Meet what you need.”. Consultado el 16 / Septiembre / 2014 en http://www.xirrus.com/Products/Wireless-Arrays [9] Montserrat, Hotel & Training Center (2012). Consultado el 20 / Septiembre / 2014 en http://www.htcmontserrat.com/ [10] Cisco (2013-2014). Cisco Aironet 2600 Series Access Points Data Sheet. Consultado el 25 / Septiembre / 2014 en http://www.cisco.com/c/en/us/products/collateral/wireless/aironet2600-series/data_sheet_c78-709514.html [11] Cisco (2013-2014). Cisco Aironet 1040 Series Access Points Data Sheet. Consultado el 25 / Septiembre / 2014 en http://www.cisco.com/c/en/us/products/collateral/wireless/aironet1140-series/data_sheet_c78-609338.html [12] Cisco (2013-2014). Cisco Aironet 1600 Series Access Points Data Sheet. Consultado el 25 / Septiembre / 2014 en http://www.cisco.com/c/en/us/products/collateral/wireless/aironet1600-series/data_sheet_c78-715702.html 69 [13] Satec, It’s Easy (2014). Consultado el 7 / Octubre / 2014 en http://www.satec.es/esES/Paginas/index.aspx [14] Marta Terricabras, Jéssica Cid (10 / Abril / 2013). “Estudio de cobertura on-site EADA Aragón v.02”. Satec. [15] Marta Terricabras, Jéssica Cid. (2 / Diciembre / 2013) “Estudio de cobertura on-site EADA Aragón v.03”. Satec. [16] Marta Terricabras, Jéssica Cid. (26 / Abril / 2013) “Estudio de cobertura on-site EADA Collbató v.03”. Satec. [17] eduroam, RedIRIS (2006-2013). ¿Qué es Eduroam?. Consultado el 30 / Octubre / 2014 en http://www.eduroam.es/ [18] RedIRIS, España (22 / marzo / 2013). “¿Qué es Eduroam?”. Consultado el 30 / Octubre / 2014 en http://blog.rediris.es/eduroam/2010/06/23/%C2%BFque-es-eduroam/ [19] TechTarget (2005). Extensible Authentication Protocol. Consultado el 5 / Noviembre / 2014 en http://searchmobilecomputing.techtarget.com/definition/Extensible-AuthenticationProtocol [20] TERENA (6 / Agosto / 2013). Eduroam IdP. Consultado el 7 / Noviembre / 2014 en https://wiki.terena.org/display/H2eduroam/eduroam+IdP [21] TERENA (9 / Abril / 2013). “How to deploy eduroam on-site or on campus”. Consultado el 10 / Noviembre / 2014 en https://wiki.terena.org/display/H2eduroam/How+to+deploy+eduroam+onsite+or+on+campus [22] TERENA (9 / Abril / 2013). “How to deploy eduroam on-site or on campus”. Consultado el 10 / Noviembre / 2014 en https://wiki.terena.org/display/H2eduroam/How+to+deploy+eduroam+onsite+or+on+campus [23] eHow en Español (2012). “¿Qué es un servidor Radius?”. Consultado el 15 / Noviembre / 2014 en http://www.ehowenespanol.com/servidor-radius-info_376327/ [24] FreeRADIUS HowTos. (Sin Fecha). “Protocol and Password Compatibility”. Consultado el 15 / Noviembre / 2014 en http://deployingradius.com/documents/protocols/compatibility.html [25] Consorci de Serveis Universitaris de Catalunya (2014). http://www.csuc.cat/es 70 [26] RedIRIS (Actualizado el 11 / Diciembre / 2014). http://www.rediris.es/ [27] TERENA, GEANT Association (Sin fecha). http://www.terena.org/ [28] XTEC.cat (Sin fecha). Servei Eduroam: Esquema de Funcionament. Consultado el 26 / Octubre / 2014 en https://sites.google.com/a/xtec.cat/wifi/home/funcionament [29] EADA Business School (Septiembre / 2014) Eduroam. Consultado el 17 / Noviembre / 2014 en http://www.eada.edu/es/conoce-eada/instalaciones/Eduroam 71 Anexo 1: Planos estructurales EADA Planos estructurales EADA Barcelona: Planta Sótano -1: Planta Baja: Planta Altillo: 72 Planta 1: Planta 2: Planta 3: 73 Planta 4: Planta 5: Planta 6: 74 Planta 7: Planta 8: Planos estructurales EADA Collbató: Recepción Hotel: 75 Zona de juegos, ordenadores de autoservicio, DTI Collbató: Sala de estar y comedor: 76 Planta 1 Habitaciones Derecha: Planta 1 Habitaciones Izquierda 77 Planta 1 Habitaciones Centro: Planta 2 Habitaciones Derecha: 78 Planta 2 Habitaciones Izquierda: Planta 2 Habitaciones Centro: 79 Planta 1 Aulas: Planta 2 Aulas: 80 Planta 3 Aulas: 81 Anexo 2: Configuración RADIUS EADA La configuración del servidor RADIUS dentro de EADA se realiza luego de instalar el FreeRADIUS dentro de un servidor dedicado. Cuando se inicia FreeRADIUS por primera vez, se carga una configuración por defecto que ha de cambiarse a la deseada a través de los ficheros de configuración pertinentes. Por política de EADA, la mayoría de datos de este anexo se mantienen ocultos. De todos los ficheros de configuración de FreeRADIUS destacamos los siguientes: Fichero Client.conf: client 127.0.0.1 { ipaddr = netmask = secret = require_message_authenticator shortname = nastype = } client wlan-switch{ ipaddr = netmask = secret = requiere_message_authenticator shortname = nastype = } client rediris_flrsl { ipaddr = netmask = secret = requiere_message_authenticator shortname = nastype = } 127.0.0.1 32 ******* = no loopback other //Se pacta con RedIRIS Dirección IP de la controladora WiFi 32 ******* //Se pacta con RedIRIS = no wlan-switch other Dirección IP Servidor RADIUS RedIRIS 32 ******* //Se pacta con RedIRIS = no wlan-switch other 82 Fichero eap.conf: eap { default_eap_type = timer_expire = ignore_unknown_eap_types cisco_accounting_username_bug max_sessions tls{ certdir cadir prívate_key_password prívate_key_file certifícate_file CA_file dh_file random_file cipher_list include_length check_crl copy_request_to_tunnel use_tunneled_reply } ttls{ default_eap_type copy_request_to_tunnel use_tunneled_reply } tls 60 = = = no no 2048 = = = = = = = = = = = = = ${confdir}/certs ${confdir}/certs ******* ${ certdir }/server_crypt.key ${certdir}/server_pem ${cadir}/ca_bundle.pem ${ certdir }/dh ${ certdir}/random “DEFAULT” yes no no no = = = mschapv2 no yes } Fichero proxy.conf: proxy server{ default_fallback } home_server reddiris_flrsl{ type ipaddr port secret response_window zombie_period revive_interval status_check = yes = = = = auth+acct Dirección IP servidor RADIUS RedIRIS 1812 ******* 20 40 60 status-server = = = = 83 check_interval num_answers_to_alive } home_server_pool EDUROAM-FTLR{ type home_server } realm eada.edu{ nostrip } realm LOCAL{ nostrip } realm NULL{ nostrip } realm DEFAULT{ pool nostrip } = = 30 3 = = fail-over rediris_flrsl = EDUROAM-FTLR Fichero radius.conf: prefix = /usr/local exec_prefix = ${prefix} sysconfdir = ${prefix}/etc localstatedir = ${prefix}/var sbindir = ${exec_prefix}/sbin logdir = ${localstatedir}/log/radius raddbdir ${sysconfdir}/raddb radacctdir = ${logdir}/radacct name = radiusd confdir = ${raddbdir} run_dir = ${localstatedir}/run/radiusd db_dir = ${raddbdir} libdir = ${exec_prefix}/lib pidfile = ${run_dir}/${name}.pid user = freerad group = freerad 84 max_request_time = 30 cleanup_delay = 5 max_requests = 1024 listen { type = auth ipaddr = * port = 1812 } listen { type = acct ipaddr = * port = 1813 } hostname_lookups = no allow_core_dumps = no regular_expressions = yes extended_expressions = yes log{ destination = files file = ${logdir}/radius.log syslog_facility = daemon stipped_names = no auth = no auth_badpass = no auth_goodpass = no } checkad = ${sbindir}/checkrad security{ max_attributes = 200 reject_delay = 1 status_server = yes } proxy_requests = yes $INCLUDE proxy.conf $INCLUDE clients.conf thread pool { start_servers = 5 85 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } modules{ $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf $INCLUDE sql.conf $INCLUDE sql/mysql/counter.conf } instantiate{ exec expr expiration logintime } $INCLUDE policy.conf $INCLUDE sites-enabled/ Módulos para LDAP: ldap{ server = “ldap://Servidor-LDAP.eada.edu” port = 389 identity = “cn=common name, dc=eada, dc=edu” password = “*******” basedn = “ou=organizational unit, dc=eada, dc=edu” filter = “(mail=%{user-name})” base_filter= “” access_attr = “mail” password_attribute = “userPassword” groupname_attribute = “” groupmembership_filter = “” ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls{ start_tls = no } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no 86 } Módulos para PAP: pap{ auto_header = yes } fichero sites-available/eduroam authorize{ auth_log preprocess suffix eap{ ok = return } files LDAP if (“%{user-name}” =~ /@eada.edu/) { ldap } } authenticate { Auth-Type PAP{ pap } unix Auth-Type LDAP { ldap } eap } preacct{ preprocess acct_unique suffix files } accounting{ detail unix radutmp attr_filter.accounting_repsonse 87 } sesión{ radutmp } post-auth{ exec Post-Auth-Type REJECT{ attr_filter.access_reject } } pre-proxy{ } post-proxy{ eap } 88 Anexo 3: Manual de configuración de Eduroam en Windows 7 Este manual ha sido extraído de la página web de EADA y adaptado a este documento para su correcta visualización. Para configurar Eduroam para Windows 7 y Windows Vista es necesario el programa SecureW2 que se puede encontrar en el siguiente enlace (enlace de descarga de SecureW2), además es necesaria una cuenta de administrador en el dispositivo deseado para realizar una correcta instalación. Una vez descargado, lo ejecutaremos y se visualizará la siguiente ventana. En la ventana de componentes seleccionaremos sólo “TTLS 4.1.0” y continuaremos. 89 Al finalizar la instalación el programa solicitará que se reinicie el sistema. Seleccionaremos “Deseo reiniciar manualmente más tarde”. Una vez finalizado este instalador, se han de configurar las credenciales de acceso a Eduroam. Se trata de las credenciales que utilizamos para acceder al campus de EADA. Primero hay que configurar la red inalámbrica eduroam en nuestro dispositivo. En el icono de redes vemos que existe la red eduroam, pero al intentar realizar la conexión, ésta da error. Por ello procederemos a realizar la configuración de la siguiente forma: 90 Clicamos en “Abrir Centro de redes y recursos compartidos” (ver la imagen anterior), seleccionamos la opción “Configurar una nueva conexión o red”. En la nueva ventana seleccionaremos “Conectarse manualmente a una red inalámbrica”. Se abrirá una nueva ventana que cumplimentaremos con el nombre de la red, la seguridad y el tráfico. La siguiente imagen muestra cómo realizar este paso. Al hacer clic en Siguiente, se abrirá una nueva ventana donde haremos clic en “Cambiar la configuración de conexión” para configurar esta red. 91 Al clicar en siguiente, se abrirá una ventana para configurar las propiedades de la red eduroam. En ella comprobaremos que la seguridad y el cifrado sean “WPA2-Enterprise” y “AES” respectivamente. Seguidamente, seleccionaremos el método de autenticación de red; seleccionaremos “SecureW2 EAP-TTLS” y haremos clic en “Configuración” para configurar este método. 92 En esta configuración especificaremos la identidad anónima como ”anonymous@eada”.edu tal y como muestra la imagen. En el apartado “Certificados” desactivamos la opción “Comprobar certificado de servidor”; en el apartado “Autenticación” comprobamos que el método de autenticación sea “PAP”; y en “Cuenta de usuario” no hay que cambiar nada. Al clicar en Aceptar se guardan estas modificaciones, y seguidamente clicaremos en “Configuración Avanzada” (este paso sólo funciona para Windows 7). 93 Aquí seleccionaremos la casilla “Especificar modo de autenticación” y la opción “Autenticación de usuarios”. Clicaremos Aceptar en todas las ventanas para cerrarlas. Finalmente nos conectaremos a la red inalámbrica eduroam donde aparecerá un mensaje emergente como el que se muestra en la siguiente imagen. 94 Al clicar sobre dicho mensaje se abrirá una ventana donde introduciremos nuestras credenciales y nos conectaremos a la red eduroam. 95