Arquitectura para el despliegue de redes Wireless sobre redes Wired

1
Arquitectura para el despliegue de redes Wireless
sobre redes Wired

• Juan Antonio Martínez
• Servei dInformàtica
• JT-Rediris 2003

2
Índice

• Problemática del despliegue de redes wireless
• Alternativas de diseño
• Nuestra solución
• Diseño de un gateway Linux
• Líneas futuras
• Conclusiones

3
Problemática del despliegue

• La instalación es muy simple
• Proliferación descontrolada
• No existe un estándar multifabricante para
  control de acceso
• Empieza a resolverse con 802.1x
• Difícil desplegar políticas comunes
• No hay inteligencia en los access-points que
  permita un control fino por perfiles

4
Alternativas

• Despliegue sin control
• Red monofabricante
• Red paralela a la cableada
• Producto comercial
• BlueSocket, AirWave
• Software libre
• NetCat

Proponemos la extensión de una VLAN wireless y la
concentración del tráfico en un gateway que
realizará funciones de control de tráfico
5
Fundamentos de la solución

• Concentrar el tráfico de todos los access-points
  en una VLAN
• Conectar dicha VLAN con la red general a través
  de un gateway
• Centralizar la asignación de direcciones y el
  control de acceso en dicho gateway

La idea es que el cliente no requiera
configuración alguna para su funcionamiento y
que el acceso que tenga dependa de su perfil
6
Visión gráfica de la solución
Wired
Gateway
VLAN
Estructura física
Visión lógica
7
Requisitos

• Access-points (evidente)
• Electrónica de nivel 2 con soporte para VLANs (no
  es restrictivo)
• wLAN-Gateway
• Programado en código abierto
• Un servidor de VPN completa el sistema (opcional)

El cliente no requiere ningún tipo de
software, sólo estar configurado por DHCP
8
Detalles de implementación

• Sistema operativo Linux (SuSe)
• Servidor Web Apache
• Lenguaje de programación PHP
• Base de datos mySQL
• Filtrado IPTables

Una vez configurado, el sistema opera como una
caja negra con una interface web para su
administración
9
Funcionamiento desde la óptica del cliente
10
Funcionamiento desde la óptica del cliente
11
Funcionamiento desde la óptica del cliente
12
Funcionamiento desde la óptica del cliente
13
Funcionalidades de administración

• Gestión de rangos wireless
• Definición de usuarios
• Asociación de MAC-Address
• Definición de perfiles
• Definición de servicios
• Asociación de perfiles a servicios
• Actualización de las políticas de firewalling

14
Visión de la pantalla de admin.
15
Beneficios obtenidos

• Acceso a la red según perfil
• Log de la actividad
• Black-listing
• La seguridad se integra con el servicio de VPNs
  ya existente
• Asignación de IPs estáticas para perfiles
  privilegiados y dinámicas para el resto
• Funcionamiento transparente
• Coste (casi) cero

16
Líneas futuras

• Automatizar la autentificación vinculándolo al
  directorio LDAP (en curso)

17
Agradecimientos

• Jordi Salichs Magem como desarrollador del código
  del gateway
• José Antonio Lorenzo y José Manuel Castillo
  (Soporte Informático ETSE) por la implementación
  de nuevas funcionalidades y la ayuda en la
  implantación del piloto

18
Cómo obtenerlo
http//sourceforge.net/projects/gatewaywlanuab/