ESCUELA TÉCNICA SUPERIOR DE INGENIEROS

INDUSTRIALES Y DE TELECOMUNICACIÓN

UNIVERSIDAD DE CANTABRIA

Trabajo Fin de Grado

Despliegue de un hotspot de bajo coste con una

interfaz de usuario amigable

(Deployment of a user-friendly and low-cost hotspot)

Para acceder al Título de

Graduado en

Ingeniería de Tecnologías de Telecomunicación

Autor: Carmen Vázquez Revuelta

Julio - 2016

E.T.S. DE INGENIEROS INDUSTRIALES Y DE TELECOMUNICACION

GRADUADO EN INGENIERÍA DE TECNOLOGÍAS DE

TELECOMUNICACIÓN

CALIFICACIÓN DEL TRABAJO FIN DE GRADO

Realizado por: Vázquez Revuelta, Carmen

Director del TFG: Lanza Calderón, Jorge

Título: “Despliegue de un hotspot de bajo coste con una interfaz de uso amigable”

Title: “Deployment of a user-friendly and low-cost hotspot”

Presentado a examen el día: 12 de Julio de 2016

para acceder al Título de

GRADUADO EN INGENIERÍA DE TECNOLOGÍAS DE

TELECOMUNICACIÓN

Composición del Tribunal:

Presidente (Apellidos, Nombre): Sanz Gil, Roberto

Secretario (Apellidos, Nombre): García Gutierrez, Alberto Eloy

Vocal (Apellidos, Nombre): Sánchez González, Luis

Este Tribunal ha resuelto otorgar la calificación de: ......................................

Fdo.: El Presidente Fdo.: El Secretario

Fdo.: El Vocal Fdo.: El Director del TFG (sólo si es distinto del Secretario)

Vº Bº del Subdirector Trabajo Fin de Grado Nº (a asignar por Secretaría)

I

Agradecimientos

En primer lugar me gustarıa agradecer a Jorge Lanza su disposicion a lolargo de estos meses, guiandome en la realizacion del presente Trabajo deFin de Grado, el cual no hubiese sido posible realizar sin sus orientaciones ysugerencias.

A Isaıas Carrera, por haberme prestado ayuda cuando lo he necesitado ydado todas facilidades y comodidades a la hora de trabajar con el.

Por ultimo, a mis companeros por su apoyo y ayuda a lo largo del grado.

II

Indice general

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . I

Indice de figuras . . . . . . . . . . . . . . . . . . . . . . . . . . IV

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V

Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI

Lista de acronimos . . . . . . . . . . . . . . . . . . . . . . . . . VII

1 Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Motivacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.3 Resumen ejecutivo . . . . . . . . . . . . . . . . . . . . . . . 4

2 Estado del arte . . . . . . . . . . . . . . . . . . . . . . . . . 52.1 Tecnologıa inalambrica WiFi . . . . . . . . . . . . . . . . . 5

2.1.1 Estandares WiFi . . . . . . . . . . . . . . . . . . . . 52.1.2 Arquitectura de redes WiFi . . . . . . . . . . . . . . 72.1.3 Seguridad en Redes WiFi . . . . . . . . . . . . . . . 82.1.4 Ventajas y Desventajas . . . . . . . . . . . . . . . . . 9

2.2 Hotspots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.2.1 Introduccion . . . . . . . . . . . . . . . . . . . . . . . 112.2.2 Ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . 11

3 Diseno y arquitectura del sistema . . . . . . . . . . . . . . 133.1 Casos de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.1.1 Red inalambrica compartida en cafeterıa . . . . . . . 133.1.2 Red inalambrica del hogar . . . . . . . . . . . . . . . 15

3.2 Requerimientos funcionales . . . . . . . . . . . . . . . . . . . 163.2.1 Requerimientos de proveedor . . . . . . . . . . . . . . 163.2.2 Requerimientos de usuario . . . . . . . . . . . . . . . 16

3.3 Arquitectura funcional . . . . . . . . . . . . . . . . . . . . . 17

III

4 Despliegue de la solucion . . . . . . . . . . . . . . . . . . . 194.1 Plataforma de desarrollo . . . . . . . . . . . . . . . . . . . . 19

4.1.1 Entorno Hardware . . . . . . . . . . . . . . . . . . . 194.1.2 Entorno Software . . . . . . . . . . . . . . . . . . . . 20

4.2 Despliegue realizado . . . . . . . . . . . . . . . . . . . . . . 224.2.1 Configuracion del punto de acceso . . . . . . . . . . . 224.2.2 Servidor de Autenticacion . . . . . . . . . . . . . . . 25

4.3 Gestion de usuarios . . . . . . . . . . . . . . . . . . . . . . . 284.4 Automatizacion del sistema . . . . . . . . . . . . . . . . . . 304.5 Proceso de desconexion de usuarios . . . . . . . . . . . . . . 32

4.5.1 hostapd cli . . . . . . . . . . . . . . . . . . . . . . . 334.5.2 radclient . . . . . . . . . . . . . . . . . . . . . . . . . 33

5 Integracion y despliegue . . . . . . . . . . . . . . . . . . . . 355.1 Plataforma web . . . . . . . . . . . . . . . . . . . . . . . . . 355.2 Aplicacion movil . . . . . . . . . . . . . . . . . . . . . . . . 37

6 Conclusiones y lıneas futuras . . . . . . . . . . . . . . . . . 396.1 Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.2 Lıneas futuras . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Bibliografıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

IV

Indice de figuras

1.1 Puntos de acceso WiFi en una SmarCity . . . . . . . . . . . 2

2.1 Comparativa estandares IEEE 802.11 . . . . . . . . . . . . . 62.2 Configuracion modo infraestructura . . . . . . . . . . . . . . 72.3 Configuracion modo Ad-Hoc . . . . . . . . . . . . . . . . . . 8

3.1 Red inalambrica compartida en cafeterıa . . . . . . . . . . . 143.2 Red inalambrica del hogar . . . . . . . . . . . . . . . . . . . 153.3 Arquitectura funcional . . . . . . . . . . . . . . . . . . . . . 18

4.1 Configuracion hardware . . . . . . . . . . . . . . . . . . . . 204.2 Proceso de asociacion PEAP-TLS . . . . . . . . . . . . . . . 274.3 Tablas en la base de datos Radius . . . . . . . . . . . . . . . 294.4 Estructura tabla Radcheck . . . . . . . . . . . . . . . . . . . 294.5 Diseno especıfico del sistema . . . . . . . . . . . . . . . . . . 304.6 Lanzamiento punto de acceso . . . . . . . . . . . . . . . . . 314.7 Proceso acceso red . . . . . . . . . . . . . . . . . . . . . . . 32

5.1 Interfaz de gestion . . . . . . . . . . . . . . . . . . . . . . . 365.2 Acceso red inalambrica tradicional . . . . . . . . . . . . . . . 375.3 Acceso desde aplicacion movil . . . . . . . . . . . . . . . . . 38

V

Resumen

Vivimos en una sociedad que se rige en gran medida y que en otrotanto depende, de los instrumentos tecnologicos y su continua evolucion,pues cada vez mas son las actividades que dependen de la tecnologıa. Unade las grandes implantaciones tecnologicas de los ultimos tiempos, que hagenerado una enorme demanda y que hoy en dıa se considera un activo vitalpara la sociedad, es la tecnologıa inalambrica WiFi, la cual ha desborda-do con creces el ambito de aplicaciones y servicios para los que fue concebida.

En este Trabajo de Fin de Grado, se pretende abordar y solventar la pro-blematica, que encuentra esta tecnologıa, en el alto grado de desconocimientode la poblacion sobre los posibles ataques a los que quedan expuestos, si estano cuenta con un robusto sistema de seguridad. Ofreciendo una solucion queproteja a dichos usuarios.

Atendiendo a esto, los principales objetivos de este Trabajo se basan,en la implementacion de una solucion en la cual queden solventadas lascarencias de seguridad, y donde los procesos de gestion y acceso a esta,queden lo mas simplificado posible, dotando ası al sistema de una robustaseguridad y acercando la tecnologıa a aquellos usuarios que no dispongan deun alto conocimiento sobre el manejo de la misma.

VI

Abstract

The society mainly depends on technology and its continuos development,due to the fact each day even more activities are possible due to the availablegadgets in the market. One of the most important advances in technology ofall times is WiFi. This wireless technology counts with a large demand in thesociety and its functionality has greatly overcome any initial expectationsmade at the time it was first employed.

Based on the demand of this technology, this project offers a solution tosolve the security problems involved when using WiFi. These problems areunknown by the majority of the society and thus a robust security system isneeded in order to protect the information of millions of people using thistechnology everyday.

Consequently, the main objectives of this project involve not only theimplementation of a solution which eradicates WiFi security problems butalso the simplification of the processes involved in the management of suchsolution. This will lead to a robust security system whose users will be ableto manage accordingly even without being greatly knowledgeable in thearea.

VII

Lista de acronimos

AAA Authentication, Authorization, and Accounting

API Application Programming Interface

BSS Basic Service Set

CHAP Challenge Handshake Authentication Protocol

DHCP Dynamic Host Configuration Protocol

DNS Domain Name System

EAP Extensible Authentication Protocol

GPU Graphics Processor Unit

ID Identification Device

IEEE Institute of Electrical and Electronics Engineers

IP Internet Protocol

ISP Internet Service Provider

LAN Local Area Network

LDAP Lightweight Directory Access Protocol

MAC Media Access Control

MIT Massachusetts Institute of Technology

MS-CHAPv2 Microsoft Challenge Handshake Authentication Protocol

NAS Network Attached Storage

VIII

NAT Network Address Translator

NFC Near Field Communication

PAP Password Authentication Protocol

PEAP Protected Extensible Authentication Protocol

PHP Hypertext Pre-Processor

PKI Public Key Infrastructure

PPP Point-to-Point Protocol

QoS Quality of Service

QR Quick Response

RAM Random Access Memory

RFC Request for Comments

RPI Raspberry Pi

SD Secure Digital

SSID Service Set Identifier

TCP Transmission Control Protocol

TLS Transport Layer Security

VHS Video Home System

VoIP Voice Over Internet Protocol

WEP Wired Equivalent Privacy

WIFI Wireless Fidelity

WLAN Wireless Local Area Network

WPA Wi-Fi Protected Access

1

Capıtulo 1

Introduccion

1.1. MotivacionLa evolucion tecnologica en los ultimos anos ha sido completamente

vertiginosa, siendo este sector el que mayor proceso evolutivo ha sufrido eneste ultimo cuarto de siglo.

Los productos tecnologicos sufren una constante renovacion, provocandola obsolescencia de aquellos que hace relativamente poco eran una verdaderainnovacion. Ası mientras algunos inventos del ser humano como el telefonoo la television han perdurado y perduran en la sociedad durante grandesperiodos cronologicos, otros productos de menor edad como podrıan ser losDVD, o los vıdeos de VHS ya han sido plenamente sustituidos por nuevosformatos.

Debemos tener en cuenta que vivimos en una sociedad que se rige engran medida y que en otro tanto depende, de los instrumentos tecnologi-cos y su continua evolucion, pues cada vez mas son las actividades quedependen de la tecnologıa. De este modo, la sociedad ha de entender deuna forma racional y positiva el impacto de la tecnologıa, comprendiendoque se debe formar al ciudadano en el uso y disfrute comprometido de estosproductos, con el fin de obtener una “sostenibilidad tecnologica” que con-siga el objetivo fundamental de la tecnologıa: mejorar nuestra calidad de vida.

Uno de los grandes focos tecnologicos de los ultimos tiempos que hasuscitado una gran expectacion entre la sociedad por precisamente su co-modidad, ha sido la comunmente conocida como WiFi [1] . Este tipo dered empezo a despuntar con exito, y a partir de ahı su despegue ha sidoimparable, teniendo una implantacion entre diversos estratos de la sociedaden un tiempo verdaderamente record, desbordando con creces el ambito deaplicaciones y servicios para los que fue concebida. Su rapida expansionmundial ha derrocado a otro tipo de sistemas que requieren importantesinfraestructuras y altos niveles de inversion.

1.1. Motivacion 2

La expansion de esta tecnologıa ha logrado abarcar diversos escenarios deaplicacion tanto privadas, como publicas. A dıa de hoy, ya no es sorprendenteque una cafeterıa tradicional cuente con su propia red WiFi disponible paralos clientes, de hecho, suele ser un reclamo para el publico. Ademas, comose ha mencionado anteriormente, la tecnologıa WiFi es clave en el entornosocial, pues abarca desde el plano de ocio del individuo hasta el plano laboraldel mismo. Hoy en dıa se considera la tecnologıa WiFi como un activo vitalpara la sociedad. La poblacion lo considera esencial para su vida diariaexigiendo cada vez mejores prestaciones.

A raız de este constante reclamo, han surgido nuevos conceptos en estesegmento tecnologico, como el caso de las ciudades inteligentes o SmartCities.Se cuenta con numerosos ejemplos de ellas en territorio espanol como porejemplo la ciudad de Santander. Como muestra la Figura 1.1, dentro de losservicios que puede ofrecer una SmartCity a sus ciudadanos se encuentra eldespliegue de puntos de acceso WiFi gratuito en numerosas localizaciones.

Figura 1.1: Puntos de acceso WiFi en una SmarCity

Es importante destacar una de las grandes bazas que tienen las redesinalambrica, la sustitucion de cables por ondas de radio. De este modo, seeliminan las ataduras y limitaciones de los dispositivos de conexion, permi-tiendo ası la libertad de movimiento dentro del alcance de la red. Este hechoofrece numerosas ventajas pero tambien es cierto que permite una mayorfacilidad para que cualquiera tenga acceso a los datos que circulan por lared. Si con los cables un atacante debıa obtener acceso fısico a un puntode acceso para poder realizar alguna accion, en las redes inalambricas estatarea se vuelve trivial.

1.2. Objetivos 3

En este sentido uno de los grandes problemas a los que se enfrenta estatecnologıa es la formacion de usuarios. Hay un alto grado de desconocimientode la poblacion sobre los posibles ataques a los que quedan expuestos enredes abiertas o poco seguras. Un ejemplo de ello son aquellas personasque hacen uso de una red publica abierta o a las que se les instala una redWiFi con las configuraciones basicas por defecto sin tener en consideracionla seguridad. Estos al desconocer las consecuencias del uso de un sistemano apropiadamente protegido, realizan operaciones que conllevan el uso decontrasenas o datos bancarios. Al tratarse de redes vulnerables, se conviertenen focos de atraccion para atacantes de la red y substraer esos datos. Otroaspecto a lograr, es enganchar a las tecnologıas a aquellas personas que poredad y o falta de medios, no han podido subirse al carro tecnologico de unaforma progresiva.

Por tanto, uno de los grandes retos de la tecnologıa es conseguir quecualquier usuario pueda hacer un uso seguro de ella sin necesidad de tenerun alto conocimiento sobre la misma. De ahı que sea vital la informaciony la formacion al sujeto, ası mismo como la adaptacion de los entornos deusuario a niveles basicos.

En este Trabajo de Fin de Grado se va abordar esa problematica, llevandoa cabo la implementacion de una solucion que comparta una red WiFi, deforma que queden solventados los problemas de seguridad presentes en redesinalambricas. Ademas se ofrecera una solucion que pueda ser accesible paratodos los niveles de usuarios, sin necesidad de tener un alto conocimientosobre la misma, tanto por parte del proveedor para la gestion de la red, comodel usuario que desee acceder a ella.

1.2. ObjetivosLos objetivos principales para el desarrollo de este trabajo son los si-

guientes:

Desarrollo de una solucion que permita habilitar la comparticion deredes inalambricas en diferentes entornos, extendiendo y mejorandolas caracterısticas de seguridad y facilidad de uso implantadas en laactualidad.

Enfoque y analisis de la solucion tanto desde el punto de vista delproveedor del servicio como desde el del usuario final, buscando definirnuevos procedimientos de usos que conlleven la automatizacion en lagestion y la simplificacion en el acceso a la red.

1.3. Resumen ejecutivo 4

1.3. Resumen ejecutivoLa presente memoria esta dividida en seis capıtulos.

A lo largo de este primer capıtulo, tras situar el entorno tecnologico en elque el contexto del Trabajo se va a desarrollar, se introducen la motivaciony los principales objetivos del Trabajo.

El segundo capıtulo describe el marco tecnologico en el que se desarrollael presente Trabajo, para ello se realiza un analisis de la tecnologıa WiFi yde algunas de las ofertas de hotspots disponibles hoy en el mercado.

En el tercer capıtulo se presentan los requerimientos impuestos en elTrabajo, resultado del cual se obtiene el diseno de la arquitectura funcional,que incluye los diferentes componentes que conformaran la solucion final yla interaccion entre ellos.

A continuacion el capıtulo 4, se centra en el despliegue basico de unasolucion funcional. En el, se desarrolla los procesos de configuracion tantohardware como software, la integracion de los diferentes componentes ası co-mo las pruebas de validacion.

El quinto capıtulo, se centra en la integracion de la solucion basica paracomparticion de redes inalambricas y el nuevo entorno de administraciony uso definido en el marco de este Trabajo y que conlleva el uso de unaaplicacion movil para la automatizacion de los procesos de acceso.

Para finalizar, en el sexto y ultimo capıtulo, se expondran todas lasconclusiones alcanzadas tras la implementacion de la red y las posibles lıneasque quedan abiertas tras este Trabajo.

5

Capıtulo 2

Estado del arte

En este segundo capıtulo se describe el marco tecnologico en el que sedesarrolla el Trabajo de Fin de Grado presente , para ello se ha realizado unanalisis de la tecnologıa WiFi, ası como de las diferentes ofertas de Hotspotsdisponibles hoy en dıa en Espana.

2.1. Tecnologıa inalambrica WiFi

2.1.1. Estandares WiFiLa especificacion IEEE 802.11 [2] es un estandar internacional que define

las caracterısticas de una de area local inalambrica.

Existen distintos estandares que se han ido implementando con el pasodel tiempo, con el objetivo de mejorar la conectividad y su rendimiento.Todos son mejoras y parten del inicial estandar 802.11.

Independientemente de la banda de frecuencia en que trabajan, losestandares de la familia 802.11 comparten algunas limitaciones [3]

En primer lugar,el alcance, es una de las limitaciones comunes, ya queeste dato depende, en primer lugar de la ubicacion y de la presencia deobstaculos en el camino entre el punto de acceso y el terminal, y en segundolugar, de las condiciones meteorologicas y de las interferencias.

Si bien los diferentes estandares pueden alcanzar las velocidades teoricasque muestra la Figura 2.1, a causa del efecto de los protocolos necesariospara transportar la informacion de usuario sobre el canal, la velocidad utiles mucho menor, siendo esto una limitacion comun en todos ellos.

En cuanto a la calidad de servicio, no todo el trafico tiene la mismaimportancia desde el punto de vista de cada usuario. Ası, se puede considerarque una llamada de VoIP tendrıa que tener prioridad sobre una transferencia

2.1. Tecnologıa inalambrica WiFi 6

de ficheros. Los protocolos mas extendidos de WiFi, no incluyen ningunmecanismo para priorizar un tipo de trafico sobre uno otro, lo cual resultamuy perjudicial cuando se mezclan flujos de trafico con requerimientos muydiferentes, como voz y datos.

En un principio, las redes WiFi no presentaban mecanismos de seguridadmuy sofisticados, pero con el exito de esta tecnologıa, se hizo necesariointroducir mejoras en este aspecto. De hecho, la falta de seguridad de estasredes, es uno de los grandes detractores. El 802.11i resuelve la mayorıa de lasdebilidades originales, hasta el punto de hacerlas comparables en seguridaden las redes fijas.

A continuacion en la Figura 2.1 se expone una comparativa entre losdiversos estandares IEEE 802.11:

Figura 2.1: Comparativa estandares IEEE 802.11

2.1. Tecnologıa inalambrica WiFi 7

2.1.2. Arquitectura de redes WiFiLas redes inalambricas han sufrido una gran evolucion, habiendo sido

implantada en un principio en pequenas redes de area local, hasta su desplie-gue en redes de area extensa. Esto es posible gracias a que la arquitecturade redes WiFi es facilmente escalable.

2.1.2.1. Implementacion de una red WiFi

A la hora de prodecer a la implementacion de una red WiFi [4] se debetener en cuenta que existe la posibilidad de aplicar dos modos; infraestruc-tura o Ad-Hoc.

En el modo infraestructura, BSS, cada estacion se conecta a un puntode acceso a traves de un enlace inalambrico. Estos forman una celula y seidentifica a traves de un BSSID, que corresponde con la direccion MACdel punto de acceso. La limitacion de este modo, es en cuanto al numeromaximo de clientes inalambricos que se pueden conectar manteniendo unadeterminada calidad de servicio. A continuacion la Figura 2.2 muestra laconfiguracion tıpica del modo infraestructura.

Figura 2.2: Configuracion modo infraestructura

Por otro lado existe el modo Ad-Hoc, tambien conocido como punto apunto, es un metodo para que clientes inalambricos puedan establecer unacomunicacion directa entre sı, no siendo necesario involucrar un punto deacceso central. Todos los nodos de esta red se pueden comunicar directa-mente con otros clientes. Cada cliente inalambrico en deberıa configurarsu adaptador inalambrico en este modo y usar los mismos SSID y numerode canal de la red. Este tipo de redes normalmente esta formado por unpequeno grupo de dispositivos dispuestos cerca unos de otros, siendo surendimiento menor a medida que el numero de nodos crece. La Figura 2.3muesta la configuracion tıpica de este modo:

2.1. Tecnologıa inalambrica WiFi 8

Figura 2.3: Configuracion modo Ad-Hoc

2.1.3. Seguridad en Redes WiFiLa seguridad [5] este es el punto mas importante, frecuentemente olvi-

dado y la causa de muchos problemas. Uno de los problemas a los cualesse enfrenta actualmente la tecnologıa WiFi es la progresiva saturacion delespectro radioelectrico, debido a la masificacion de usuarios, esto afectaespecialmente en las conexiones de larga distancia (mayor de 100 metros).En realidad el estandar WiFi esta disenado para conectar ordenadores a lared a distancias reducidas, cualquier uso de mayor alcance esta expuesto aun excesivo riesgo de interferencias.

Un muy elevado porcentaje de redes son instalados sin tener en considera-cion la seguridad convirtiendo ası sus redes en redes abiertas (o completamen-te vulnerables ante el intento de acceder a ellas por terceras personas), sinproteger la informacion que por ellas circulan. De hecho, la configuracion pordefecto de muchos dispositivos WiFi es muy insegura (routers, por ejemplo)dado que a partir del identificador del dispositivo se puede conocer la clavede este; y por tanto acceder y controlar el dispositivo se puede conseguir ensolo unos segundos.

El acceso no autorizado a un dispositivo WiFi es muy peligroso parael propietario por varios motivos. El mas obvio es que pueden utilizar laconexion. Pero, ademas, accediendo al WiFi se puede supervisar y registrartoda la informacion que se transmite a traves de el (incluyendo informacionpersonal, contrasenas. . . ).

Uno no tiene ningun control sobre el medio donde circulan los datos, alcontrario que las redes con cables. Encriptar los datos permite garantizarla confidencialidad de estos. Esto se hace con la ayuda de una clave. Estaclave permite tambien proteger el acceso a la red ya que si no la conocemos,no podemos comunicarnos y por lo tanto no podremos leer las tramas y/oenviarlas con el formato correcto.

2.1. Tecnologıa inalambrica WiFi 9

En general, los requerimientos de seguridad en una red de comunicacionesson los siguientes:

Autenticacion: La garantıa de que el servicio se ofrece unicamente alos usuarios autorizados y que el servicio es ofrecido por a quien diceofrecerlo.

Confidencialidad: La garantıa de que solo los usuarios autorizadospueden acceder al contenido de la informacion enviada. Implica la im-plantacion de mecanismos de cifrado de la informacion que se transmitepor la red.

Integridad: La garantıa de que la informacion no pueda ser alterada nicambiada en el transcurso de su transmision por una red.

Disponibilidad: La garantıa de que la informacion es accesible para losusuarios autorizados de forma sencilla y en cualquier momento.

En particular, la tecnologıa WiFi tradicional provee actualmente seguri-dad mediante dos atributos: la confidencialidad y la autentificacion.

2.1.4. Ventajas y DesventajasA continuacion se expondran las principales ventajas y desventajas [6]

que existen en la implementacion de una red inalambrica WiFi.

2.1.4.1. Ventajas

Existen numerosas ventajas en la implementacion de una red inalambricaWi-Fi, tales como;

La movilidad, los usuarios se sienten generalmente satisfechos de la li-bertad que les ofrece una red inalambrica y de hecho son mas propensosa utilizar el material informatico. La libertad de movimientos es unode los beneficios mas evidentes las redes inalambricas. Un ordenador ocualquier otro dispositivo pueden situarse en cualquier punto dentrodel area de cobertura de la red sin tener que depender de que si esposible o no hacer llegar un cable hasta este punto.

Facilidad y flexibilidad, ya que una red inalambrica puede ser utilizadaen lugares temporales, cubrir zonas de difıcil acceso al cableado o uniredificios distantes.

2.1. Tecnologıa inalambrica WiFi 10

Su costo es otro punto a favor, si bien es cierto que su instalacion es aveces un poco mas costosa que una red cableada, las redes inalambricastienen un bajo costo de mantenimiento, a medio plazo, la inversion esfacilmente rentabilizada.

Su evolucion ya que las redes inalambricas pueden ser dimensionadasde una forma lo mas exacta posible y seguir sin problema la evolucionde las necesidades futuras.

2.1.4.2. Desventajas

Sin embargo no todos son ventajas, y como ya se menciono anteriormente,las redes inalambricas tambien tienen puntos negativos en su comparativacon las redes de cable.

Menor ancho de banda. Las redes de cable actuales trabajan a 100Mbps, mientras que las redes inalambricas WiFi lo hacen a 11 Mbps.Es cierto que existen estandares que alcanzan los 54 Mbps y solucionespropietarias que llegan a 100 Mbps, pero estos estandares estan en loscomienzos de su comercializacion y tiene un precio superior al de losactuales equipos WiFi.

La seguridad, las redes inalambricas tienen la particularidad de nonecesitar un medio fısico para funcionar. Esto fundamentalmente esuna ventaja, pero se convierte en una desventaja cuando se piensa quecualquier persona con un ordenador portatil solo necesita estar dentrodel area de cobertura de la red para poder intentar acceder a ella. Comoel area de cobertura no esta definida por paredes o por ningun otromedio fısico, a los posibles intrusos no les hace falta estar dentro de unedificio o estar conectado a un cable. Para solucionar este problemaexisten los mecanismos de seguridad analizados anteriormente.

Las interferencias, las redes inalambricas funcionan utilizando el medioradio electronico en la banda de 2,4 GHz. Esta banda de frecuenciasno requiere de licencia administrativa para ser utilizada, por lo quemuchos equipos del mercado, como telefonos inalambricos, microondas,etc., utilizan esta misma banda de frecuencias. Este hecho hace que nose tenga la garantıa de nuestro entorno radioelectronico este completa-mente limpio para que nuestra red inalambrica funcione a su mas altorendimiento. Cuanto mayores sean las interferencias producidas porotros equipos, menor sera el rendimiento de nuestra red. No obstan-te, el hecho de tener probabilidades de sufrir interferencias no quieredecir que se tengan. La mayorıa de las redes inalambricas funcionanperfectamente sin mayores problemas en este sentido.

2.2. Hotspots 11

2.2. Hotspots

2.2.1. IntroduccionHotspot [7] es un sistema de gestion de acceso a una red, la cual puede ser

cableada o inalambrica. El sistema dispondra de uno o varios mecanismos deautenticacion. Dicho sistema tambien realiza, de forma controlada, la gestiondel uso que pueden realizar los usuarios de la red, ası como un continuoregistro de todos los accesos que se llevan a cabo, de esta forma se podrıaeliminar cualquier uso indebido que se realice en la red.

Hoy en dıa se encuentran un elevado numero de Hotspots publicos,enareas urbanas de todo el mundo. Estos servicios se implantan de formagratuita o de pago, para que los usuarios puedan disfrutar de un acceso aInternet de forma segura y controlada. Dando ası un valor anadido a aquelloslugares que ofrecen dicho servicio.

Como se ha expuesto, la seguridad e integridad de la red, es, trivial, yaque una conexion debe estar protegida en cualquier punto de cobertura dela misma, evitando ası que esta sea capturada por alguien con fines ilıcitos.Ademas, un punto de acceso WLAN deberıa garantizar un acceso fiabley sencillo a Internet sin necesidad de que los visitantes reconfiguren susdispositivos para poder conectarse a la LAN inalambrica. Esta solucionde punto de acceso deberıa ser facil de instalar y requerir pocos tramitesadministrativos pero, al mismo tiempo, permitir el acceso a Internet y alcorreo electronico desde cualquier ubicacion de sus instalaciones. En unabuena red de acceso publico, el trafico interno del proveedor del servicio y eltrafico de los invitados estan separados de forma segura. Si el establecimientono desea ofrecer un acceso a Internet abierto para todo el mundo, los bonoscon contrasenas por usuario o para el acceso durante un tiempo limitadoson una de las opciones disponibles en el mercado.

2.2.2. EjemplosActualmente al haber un constante reclamo de acceso a redes inalambricas

en lugares publicos, como es de esperar las posibilidades son muy diversas,generando ası una fuerte competencia.

A continuacion se prodecera al analisis de dos ofertas de hotspots dispo-nibles en el mercado.

2.2. Hotspots 12

2.2.2.1. Acceso a Internet mediante redes sociales con hotspotde 4IPNET

4ipnet [8] ofrece la posibilidad de un hotspot para dar acceso a internetmediante redes sociales, en concreto Facebook, Twitter y Google Plus.

Un caso implemetado serıa el de un portal cautivo que simula un estable-cimiento que ofrece servicio gratuito de Internet a sus clientes si le ponen un‘Me Gusta’ en Facebook, si escriben un Tweet citando a la cuenta de Twitterdel establecimiento o bien accediendo con la cuenta de Google Plus. Deesta manera, en el ejemplo de hacer uso de la red social Facebook, al pulsarsobre el boton ‘Me gusta’, aparece una ventana emergente que pedira lascredenciales de esa red social. La autenticacion se realiza de forma seguraa traves de la API de Facebook, de la misma forma que si se hiciese desdeel navegador o una aplicacion en un dispositivo movil, es decir, en ninguncaso la informacion queda reflejada o almacenada en el hotspot. Una vezintroducidas las credenciales, si estas fuesen correctas, ya se estarıa logueadoal hotspot, durante el tiempo que haya sido establecido por el proveedor dela red.

2.2.2.2. ONO WIFI

Ono WiFi [9] se llama a la red de puntos WiFi que Ono esta creandopara que sus clientes se conecten gratuitamente a internet fuera de casa. Demomento esta disponible en las ciudades de Madrid, Barcelona, Alicante,Valencia, Terrassa, Santander, Sevilla y otras grandes capitales espanolas.

Es un servicio exclusivo para los clientes de Ono, los cuales tienen a sudisposicion mas de 100.000 puntos WiFi a los que se puede conectar sin coste.Por otro lado, la mayorıa de esos accesos WiFi son posibles gracias a lospropios clientes de banda ancha de Ono. Sus routers crean automaticamenteuna segunda senal WiFi, independiente de la suya, accesible para los usuariosde Ono WiFi.

Esta solucion se basa en la autenticacion EAP mediante tarjetas SIMy se implementa cuando un cliente adquiere un plan de servicio de bandaancha inalambrica de un operador de red movil. Como parte del plan, elcliente normalmente recibe un perfil para red inalambrica preconfiguradopara la autenticacion de SIM, con lo cual cuando dicha red este disponibleel terminal se conectara automaticamente.

13

Capıtulo 3

Diseno y arquitectura delsistema

Tras haber analizado diferentes soluciones existentes en el mercado paradar respuesta a las necesidades de comparticion del acceso a red, a continua-cion se lleva a cabo la identificacion de los requerimientos funcionales quecubran las necesidades que se han planteado como objetivo de este Trabajo.

En este sentido, se busca ofrecer una metodologıa de comparticion deredes inalambricas IEEE 802.11 que facilite la interaccion con el usuario y lagestion por parte del administrador de los accesos de los mismos, al tiempoque evite algunos de los problemas de seguridad presentes en las solucionesactuales mas comunes.

Tomando esta base, se propone y define una arquitectura para el sistemaque de repuesta a la problematica identificada.

3.1. Casos de usoA continuacion se describen diversos casos de uso como ejemplo de si-

tuaciones reales donde se muestra la operativa prevista para la solucionque se analiza en este Trabajo y que facilitara la extraccion de requerimientos.

3.1.1. Red inalambrica compartida en cafeterıaEva entra en una cafeterıa y quiere hacer uso de la red inalambrica que

ofrece dicho establecimiento. Como en otras cafeterıas que Eva visita regular-mente, trata de localizar algun cartel en el que se muestre la configuracionnecesaria para acceder a la red inalambrica y poder hacer uso de ella. Sinembargo en este caso, dicha informacion no se encuentra disponible.

3.1. Casos de uso 14

Como tenıa previsto, Eva se acerca a un camarero y pide un cafe. Almismo tiempo, le pregunta por la configuracion de la red inalambrica ylas credenciales de acceso especıficas. El camarero le explica a Eva que lascredenciales de acceso se incluyen en el recibo de pago.

Al traerle el cafe, el camarero la indica donde puede encontrar el iden-tificador de la red y el usuario y clave necesaria para configurar su acceso.Puesto que la configuracion de la red no es la usual y se requieren ciertosconocimientos avanzados, el camarero la insta a escanear el codigo QRpresente en el ticket y que permitira la configuracion automatica de la red.

Eva escanea dicho codigo y automaticamente se configura la red inalambri-ca. Eva disfruta tanto de su cafe como de un acceso rapido a Internet.

Pasada una hora, Eva detecta que ha perdido la conexion y no puedecontinuar navegando. Solicita al camarero una explicacion, quien le informaque el acceso esta restringido durante un periodo limitado de tiempo paraevitar el sedentarismo en la cafeterıa y que si quiere continuar disfrutandodel acceso a Internet de alta velocidad debera realizar otra consumicion.

La Figura 3.1 presenta el caso de uso en una cafeterıa donde las creden-ciales se adquieren previo pago. Dichas credenciales son unicas para cadausuario y ademas cuentan con un determinado tiempo de validez.

Figura 3.1: Red inalambrica compartida en cafeterıa

3.1. Casos de uso 15

3.1.2. Red inalambrica del hogarEmilio organiza una fiesta en su casa. Emilio cuenta con la situacion mas

que probable de que los invitados en algun momento de la noche le preguntenpor la configuracion y las credenciales de acceso a su red inalambrica. AEmilio no le parece apropiado negar el acceso a la misma, pero teme que20 personas puedan tener acceso a todos los sistemas de la casa, sin ninguntipo de restriccion.

Emilio genera unas credenciales de acceso especıficas y unicas para esaocasion. Dichas credenciales tendran restricciones de uso y de tiempo. Emiliotan solo crea un usuario y una contrasena, ya que bajo un mismo usuariose pueden conectar multiples dispositivos, evitando ası tener que crear unusuario para cada invitado. Emilio calcula la duracion aproximada del eventopara que una vez finalizada la fiesta, el usuario deje de tener validez y nopueda volver a ser utilizado. Estas credenciales de acceso no dispondran deningun otro permiso mas que el acceso Web.

Para dar a conocer esta informacion Emilio expondra en algun lugarvisible de la casa un cartel, que contendra las credenciales de acceso a la red;el usuario y la contrasena, junto con un codigo QR cuyo escaneo permitira laconfiguracion automatica de la red. De esta forma Emilio permite a susinvitados disfrutar de la conexion inalambrica para poder navegar y a la vezsiente todo su sistema protegido.

La Figura 3.2 representa el caso de uso en el hogar, para el ejemplodesarrollado anteriormente, el cual genera unas credenciales de acceso en unmomento puntual que permitiran el acceso de multiples dispositivos bajo unmismo usuario, dichas credenciales tendran una restriccion de permisos y suuso estara limitado temporalmente.

Figura 3.2: Red inalambrica del hogar

3.2. Requerimientos funcionales 16

3.2. Requerimientos funcionalesPara acometer la enumeracion de los requerimientos funcionales, y to-

mando como ejemplo los casos de uso descritos anteriormente, se consideranlos dos entornos. De una parte se encuentra el proveedor o prestador delservicio que tendra que gestionar las polıticas de acceso a la red. De otra,se encuentra el usuario final que hace uso de la red bajo las condicionesimpuestas por el prestador. Adicionalmente se considera que la solucionfinal se desplegara en muy diversos entornos, como pueden ser establecimien-tos publicos (i.e. cafeterıa, hotel, centro comercial, etc.) o el hogar de unapersona.

3.2.1. Requerimientos de proveedorLa necesidad principal del prestador del servicio es disponer de las capa-

cidades de gestion necesarias para poder definir las polıticas de acceso a lared. En este sentido, una vez establecidas la configuracion de seguridad de lared, la generacion de las credenciales de acceso para cada usuario se deberıarealizar sin requerir la interaccion por parte del proveedor o administradorde dicha red. Por tanto, el mecanismo de gestion de usuarios y su periodode validez de acceso a la red, debera ser lo mas automatizado posible. Paraevitar potenciales problemas de seguridad, tanto los usuarios como las clavesasignadas no deberıan seguir ningun patron. De esta forma se evita queusuarios malintencionados puedan generar parejas de usuario/clave fueradel entorno de administracion.

Esta metodologıa proactiva de atajar los riesgos o vulnerabilidades deseguridad en el acceso, deben extenderse mediante la implementacion delas medidas de seguridad pasivas necesarias (firewalls, etc.) para redirigir eltrafico de la red compartida fuera del ambito de personal o de negocio de lared subyacente que proporciona el acceso final a Internet.

Ademas de los requerimientos planteados en cuanto a necesidades deseguridad y gestion, la solucion que se ofrezca debe tener un coste ajustadoque la haga viable. Adicionalmente debera de ser llave en mano y con unprocedimiento de iniciacion lo mas simple posible, considerando un paradig-ma plug-and-play como la opcion mas optima.

En terminos generales, los requerimientos en cuanto al entorno de pro-veedor de servicio se pueden resumir en facilidad de uso/gestion y seguridad

3.2.2. Requerimientos de usuarioPara el usuario final, quien disfrutara de la conexion bajo las condiciones

impuestas por parte del prestador de la red en cuanto a permisos y tiempo,

3.3. Arquitectura funcional 17

se busca la configuracion del dispositivo de usuario de la forma mas sencillay rapida posible.

La necesidad del usuario final es disponer de la configuracion de la red yde las credenciales de acceso necesarias para conectase a dicha red.

Para facilitar el acceso a la red, se plantea la configuracion automaticade la misma, a traves del escaneo de un codigo QR con el dispositivo movilque se desea hacer uso de la red. Esta solucion permite al usuario finalevitar tener que configurar la conexion a la red manualmente, convirtiendoseen un proceso automatizado con tan solo la accion del escaneo. De estamanera el acceso a la red se acerca a multitud de usuarios que no tienenlos conocimientos ni las capacidades tecnicas basicas para configurar unaconexion a una red de este tipo, dotando a una red como esta de un atractivomayor para este tipo de usuario.

Ademas disponer de una configuracion del dispositivo de usuario sencillay eficaz para el acceso a la red, el sistema debe proteger al usuario en todomomento. Para ello el usuario final dispone de unas credenciales de accesopersonales, y solo validas para una sesion, dotando ası al usuario de unaseguridad no habitual en entornos publicos.

En terminos generales los requisitos en cuanto al usuario final, son elacceso a la red de forma sencilla y rapida y garantizar su seguridad.

3.3. Arquitectura funcionalEn la Figura 3.3 se muestra la arquitectura de la solucion que se plantea

para dar respuesta a los requerimientos descritos anteriormente. El sistemaconsta de los siguientes elementos:

Punto de acceso: puerta de enlace de entrada a la red inalambrica conuna cobertura de radio determinada. Informa de su presencia mediantela publicacion de su identificador.

Router: habilita el direccionamiento dentro de la subred, al tiempo queimplementa las polıticas de seguridad necesarias para evitar accesosno autorizados a equipos conectados en ella.

Servidor de autenticacion: gestiona el acceso a los recursos disponiblesen la red. Aloja las polıticas y credenciales de acceso. Sus funcionali-dades seran las de un servidor AAA (Authorization, Authentication,Accounting).

3.3. Arquitectura funcional 18

Servidor de gestion: entorno a disposicion del proveedor que incluyelas funcionalidades necesarias para la configuracion y administraciondel sistema.

Interfaz de interaccion con usuario: entorno de uso de la plataformapara el usuario, encargado de presentar las credenciales de acceso alusuario final.

Figura 3.3: Arquitectura funcional

19

Capıtulo 4

Despliegue de la solucion

En este capıtulo se describe el proceso de implementacion de la plataformapropuesta, analizando cada etapa del desarrollo realizado. Se explicara tantoel entorno Hardware como el Software seleccionado para el correcto funcio-namiento del diseno del Trabajo, planteado anteriormente en el Capıtulo 3.Ası mismo como las pruebas de validacion. Adicionalmente, este capıtulodescribe los diferentes metodos evaluados para la gestion de la conexion porparte del sistema automatico

4.1. Plataforma de desarrollo

4.1.1. Entorno HardwareLa plataforma de desarrollo empleada para dar soporte al sistema se

basa en un Raspberry Pi 2 (RPI) [10] Se trata de un entorno hardware dedesarrollo con unas prestaciones mas que notables considerando su coste.Con esta eleccion se cubre uno de los requerimientos iniciales que planteabauna solucion de bajo coste.

Se trata de una placa que embebe un chip Broadcom BCM2835 conprocesador ARM hasta a 1 GHz de velocidad, GPU VideoCore IV y hasta512 Mbytes de memoria RAM. De entre los diversos sistemas operativos quesoporta, se ha optado por emplear Raspian [11] distribucion GNU/Linuxbasada en Debian. Sobre ella se instalara y configurara todo el softwarenecesario para la gestion de la solucion de comparticion de la red inalambrica.

Para poder configurar la RPI como router inalambrico es necesario co-nectar un adaptador WiFi. En este sistema se utiliza el adaptador USBinalambrico N TP-LINK TL-WN821N[12] con chipset Atheros, la incor-poracion de este chip hace que sea totalmente compatible con cualquierdistribucion Linux. Ofrece una velocidad inalambrica de hasta 300 Mbps.Soporta tipos de cifrado como WEP, WPA/WPA2 Enterprise y WPA/WPA2-PSK y compatible con todos los equipos 802.11b/g/n.

4.1. Plataforma de desarrollo 20

En la Figura 4.1 se muestra la configuracion descrita y usada a lo largode este trabajo.

Figura 4.1: Configuracion hardware

4.1.2. Entorno SoftwareEn este apartado se desarrollara el montaje del sistema en cuanto a

entorno Software se refiere, se explicaran los pasos seguidos para la configu-racion de cada una de las partes que conforman el Trabajo.

Para que la RPI funcione como punto de acceso y permita conectarse ala red vıa WiFi, se ha empleado Hostapd[13] un software capaz de convertirtarjetas de interfaz de red normales en puntos de acceso y servidores deautenticacion.

Hostapd soporta multiples opciones de configuracion, como una solucionde gestion independiente del punto de acceso o bien a traves de un Servidorde autenticacion RADIUS con soporte para varios metodos de EAP. Paradesempenar la funcion de servidor de Autenticacion, se hara uso de un servi-dor RADIUS, para ello se instalara en la RPI, una solucion de codigo abiertodenominada FreeRADIUS[14] Se configurara el servidor para porporcionarservicio al punto de acceso creado, el cual funcionara como cliente del este.

RADIUS[15] es un protocolo que permite gestionar la autenticacion, au-torizacion y registro (AAA, Authentication, Authorization, and Accounting).

La Autenticacion hace referencia al proceso por el cual se determina si

4.1. Plataforma de desarrollo 21

un usuario tiene permiso para acceder a un determinado servicio de red delque quiere hacer uso. El proceso de autenticacion se realiza mediante lapresentacion de unas credenciales por parte del usuario que demanda acceso.Aunque el modo mas habitual es el uso de una contrasena junto al nombrede usuario, si bien se pueden emplear certificados digitales, etc. Entre losmetodos de autenticacion soportados por RADIUS se encuentran:

Protocolos PAP, y su version segura CHAP, que son metodos deautenticacion usados por proveedores de servicios de Internet (ISPs)accesibles vıa PPP.

LDAP, un protocolo de nivel de aplicacion (sobre TCP/IP) que imple-menta un servicio de directorio ordenado, y muy empleado como basede datos para contener nombres de usuarios y sus contrasenas.

Kerberos, metodo de autenticacion disenado por el MIT.

EAP, que no es un metodo concreto sino un entorno universal deautenticacion empleado frecuentemente en redes inalambricas y cone-xiones punto a punto. Este el metodo de autenticacion empleado en elTrabajo, que se explicara en profundidad mas adelante.

Mientras que la autenticacion es el proceso de verificar un derecho recla-mado por un individuo (persona o incluso ordenador), la autorizacion es elproceso de verificar que una persona ya autenticada tiene la autoridad paraefectuar una determinada operacion.

La autorizacion se refiere a conceder servicios especıficos (entre los que seincluye la propia negacion de servicio) a un determinado usuario, basandosepara ellos en su propia autenticacion, los servicios que esta solicitando, y elestado actual del sistema. Las polıticas de autorizacion incluyen aspectoscomo, por ejemplo, la hora del dıa, la localizacion del usuario, o incluso elsoporte de multiples accesos concurrentes.

El proceso de autorizacion determina la naturaleza del servicio que seconcede al usuario, como son el direccionamiento que se le asigna, el tipo decalidad de servicio (QoS) que va a recibir, la seguridad requerida y propor-cionada, etc.

Por ultimo, el registro, denominado tambien como operaciones de conta-bilidad, consiste en mantener constancia de las operaciones que han realizadolos usuarios, el consumo de recursos, etc. El registro suele incluir aspectoscomo la identidad del usuario, la naturaleza del servicio prestado, y cuandoempezo y termino el uso de dicho servicio.

4.2. Despliegue realizado 22

4.2. Despliegue realizado

4.2.1. Configuracion del punto de accesoLa plataforma hardware se ha dotado del equipamiento necesario para

poder dar soporte a las funcionalidades de router inalambrico 802.11. Noobstante es necesario instalar y configurar el software necesario para propor-cionar esta capacidad.

Para habilitar el funcionamiento como router inalambrico se requierede una parte configurar la RPI con capacidades de punto de acceso y adi-cionalmente incluir la asignacion de direcciones y el enrutado de los paquetes.

Para dar respuesta a la primera de las cuestiones se emplea Hostapd,mientras que el soporte a direccionamiento IP requiere la instalacion de unservidor DHCP que gestione el direccionamiento privado a asignar a losterminales y la configuracion adeacuda de las tablas de enrutamiento y NAT(Network Address Translator).

4.2.1.1. Configuracion de servidor DHCP

Como servidor DHCP se ha empleado el software isc-dhcp-server. Suconfiguracion requiere entre otros la definicion del rango de direcciones aasignar a los diferentes equipos, los servidores de resolucion de nombres, etc.

Adicionalmente se incluyen aquellas interfaces sobre las que el servidordebe actuar. Para nuestro caso, se vincula la asignacion de direcciones ala interfaz inalambrica, es necesario por lo tanto configurar wlan0, como lainterfaz por donde se transmitira la senal WiFi. Ademas en el fichero deconfiguracion /etc/dhcp/dhcp.conf se debe establecer la subred, mascara,los DNS y el rango a usar por el DHCP, como se muestra a continuacion:

subnet 192.168.42.0 netmask 255.255.255.0 {range 192.168.42.10 192.168.42.50option broadcast-address 192.168.42.255option routers 192.168.42.1default-lease-time 600max-lease-time 7200option domain-name "local"option domain-name-servers 10.10.45.1 }

Junto con la configuracion de los parametros del servidor DHCP, parahacer el sistema operativo es necesario configurar el direccionamiento de lainterfaz inalambrica dentro del rango de direcciones del servidor.

4.2. Despliegue realizado 23

El siguiente paso es establecer el NAT, para lo cual se activa IP forwar-ding ası como el enmascaramiento de direccionamiento. De esta forma sepermite que usuarios de una red privada tengan acceso a una red publica.

4.2.1.2. Configuracion de Hostapd

Toda red inalambrica esta identificada por un identificador de red (SSID).Para dar respuesta al sistema planteado, se ha seleccionado que la redinalambrica opere en modo infraestructura y publicite periodicamente elidentificador de red asignado en un canal fijo. Estas opciones de configuraciondeben ser trasladas a Hostapd.

Como primer paso se acomete la configuracion de Hostapd para generarun punto de acceso inalambrico basado en WPA2-Personal. Posteriormente,y una vez se haya instalado y configurado el servidor de autenticacion, seprocedera a modificar la configuracion para adaptarla a lo requerido parasoportar WPA-Enterprise.

Para lograr a configuracion basica de este entorno, se explicaran losparametros de configuracion necesarios:

interface: es el nombre de la tarjeta de red WiFi.

driver: que senala el driver a usar por el demonio hostapd para comu-nicarse con Kernel.

ssid: que muestra el nombre de la red WiFi que se va a crear desde elpunto de acceso.

hw mode: modo de red usado por la red WiFi, cuyos valores puedenser a (11 Mbps), b (22 Mbps) y g (54 Mbps).

channel: que senala el canal usado por la red WiFi. En las versionesmas actuales de hostapd se permite el valor .auto”, que analiza elentorno en busca del canal menos saturado.

wpa: modo WPA que se usara, siendo 1 para WPA y 2 para WPA2.

wpa key mgmt: tipo de gestion de claves.

wpa passphrase: contrasena de la red.

macaddr acl: Filtrado de direcciones MAC, con valores ,0 desabilitadoy 1 activado.

auth algs: algoritmo de autenticacion , 0 autenticacion abierta, 1 au-tenticacion con clave compartida y 3 ambos.

4.2. Despliegue realizado 24

ignore broadcast ssid: difusion de SSID , 0 visible, 1 oculto.

A continuacion se presenta un extracto del fichero hostapd.conf, resultadode la configuracion basica para este entorno:

interface=wlan0driver=nl80211ssid=Pi AP Carmenhw mode=gchannel=6wpa=2wpa key mgmt=WPA-PSKwpa passphrase=telematicamacaddr acl=0auth algs=1ignore broadcast ssid

Una vez configurado, se procede a ejecutar el demonio hostapd. Estaprimera prueba no resulto satisfactoria, ya que como se ha indicado ante-riormente, el modulo WiFi USB utilizado emplea un chipset Atheros que nose encuentra soportado por defecto.

A continuacion se muestra el mensaje de error correspondiente a la faltade soporte para nl80211:

Configuration file: /etc/hostapd/hostapd.confLine 2: invalid/unknown driver ‘nl80211’Error found in configuration file etc/hostapd/hostapd.conf

Para resolver el problema y habilitar el soporte al controlador nl80211, elnecesario para operar con un modulo WiFi con chipset Atheros, se hade realizar la compilacion de hostapd a partir del codigo fuente. Trasincluir la opcion de compatibilidad con nl80211, mediante el parametroCONFIG DRIVER NL80211, se solventa el problema anterior. Se aprovecha laocasion para habilitar, soporte para IEEE 802.11n, IEEE 802.11ac, seleccionautomatica de canales, etc. ya que pueden ser de utilidad a lo largo delpresente Trabajo.

Una vez solventado el problema con el driver, se producira una correctaejecucion de Hostapd, que genera una red vinculada a la interfaz TP-Linkcuyo identificador coincide con el incluido en la configuracion.

Se ha comprobado tambien que la red opera en el canal y con los parame-tros de seguridad definidos.

4.2. Despliegue realizado 25

4.2.2. Servidor de AutenticacionHabiendose familiarizado con el funcionamiento de hostapd, el siguiente

paso a acometer es la inclusion de las mejoras que den respuesta a los reque-rimientos de seguridad identificados. En este sentido, se ha planteado comonecesaria el despliegue de una red inalambrica cuya seguridad este basadaen WPA2-Enterprise.

Para ello se requiere tener disponible un servidor de autenticacion. Laopcion mas usual para proporcionar esta funcionalidad es el empleo delprotocolo RADIUS, con el que hostapd es compatible. Como se ha indi-cado anteriormente, se opta por la solucion de codigo abierto denominadaFreeRADIUS, que en combinacion con hostapd regulara el acceso a una redinalambrica.

Una vez realizado el proceso de instalacion de FreeRadius, se procede asu configuracion. El primer paso es definir aquellos equipos clientes de losque el servidor aceptara peticiones. Esta informacion, mımino la direcciony la clave de seguridad compartida, se incluye en el fichero clients.conf.tal y como aparece se muestra a continuacion:

client 127.0.0.1{secret = radius}

El siguiente paso a acometer es establecer el metodo por el cual lascredenciales de los usuarios se validaran gracias al servidor RADIUS.

Como se ha comentado en la breve introduccion teorica, existen multiplesmecanismos para dar soporte a la autenticacion.

Puesto que en la solucion que se plantea en este Trabajo tiene como unode sus principales requerimientos la facilidad de uso por parte no solo delproveedor sino tambien de los propios usuarios del sistema, no se puede optarpor opciones poco convencionales como son certificados digitales, etc., que apesar de ser mas robustas, la mayorıa de los usuarios no estan familiarizadoscon ellas.

Es mas, el coste relativo de implantar una infraestructura de clave publica,PKI, para un sistema como el que se plantea en este Trabajo es demasiadoelevado considerando la operativa inicialmente planteada.

Es por esto que se opta por emplear el metodo tradicional de duplausuario/clave.

No obstante, que se emplee un metodo tan comun, no quiere decir que el

4.2. Despliegue realizado 26

procedimiento de transporte de la informacion tenga que ser poco seguro. Setrata por tanto de aplicar, de entre todas las opciones disponibles, aquellaque garantice la confidencialidad e integridad en el transporte de los datos,evitando la posible inspeccion de las credenciales, etc.

Dicho esto, el metodo de autenticacion elegido ha sido PEAP[16] , elcual utiliza TLS para crear un canal cifrado entre un cliente con autentica-cion PEAP y el servidor RADIUS, lo que permite el uso de protocolos deautenticacion EAP inseguros como MS-CHAPv2 con un tunel seguro. Dichocanal evita que un atacante pueda introducir paquetes entre cliente y servidor.

El proceso de autenticacion PEAP entre el cliente y el autenticador tienelugar en dos etapas.

En la primera gracias a establecer una sesion TLS con el servidor, seconfigura un canal seguro entre el cliente PEAP y el servidor de autentica-cion, y en la segunda se produce la autenticacion EAP entre el cliente y elautenticador EAP.

Existe la posibilidad de elegir entre dos tipos de EAP para usar conPEAP. La opcion seleccionada ha sido EAP-MS-CHAPv2 ya que es massencilla de implementar que la otra opcion, EAP-TLS, puesto que la auten-ticacion de usuarios se realiza con credenciales que consisten en nombre deusuario y contrasena y usa un certificado del almacen de certificados delequipo servidor para la autenticacion del servidor.

Es decir tan solo se necesita que el servidor RADIUS disponga de uncertificado, el cual estara ademas autofirmado. Durante la autenticacionPEAP-EAP-MS-CHAPv2, el servidor RADIUS suministra dicho certificadopara validar su identidad ante el cliente.

La otra opcion, EAP-TLS, ha sido descartada ya que para su uso se debeimplementar una infraestructura de claves publicas PKI.

A continuacion en la Figura 4.2 se muestran los pasos realizados en unproceso de asociacion PEAP-TLS:

4.2. Despliegue realizado 27

Figura 4.2: Proceso de asociacion PEAP-TLS

A la vista de lo anterior, tras optar por emplear PEAP-MS-CHAPv2como metodo de autenticacion, se debe seleccionar en la configuracion deRADIUS que la metodologıa de autenticacion por defecto se base en el meto-do PEAP, opcion que se habilita en el archivo de configuracion eap.conf.

A continuacion, se determina el uso de MS-CHAPv2 activando y con-figurando el modulo correspondiente /etc/freeradius/modules/mschap,habilitando las opciones que se muestran a continuacion:

use mppe = yesrequire encryption = yesrequire strong = yeswith ntdomain hack = yes

4.3. Gestion de usuarios 28

Cabe destacar que el fichero de configuracion hostapd.conf ha sufridomodificaciones para adaptar el punto de acceso a la nueva configuracion, elcontenido ıntegro de dicho fichero se encuentra expuesto en el Anexo A deeste documento.

Para la validacion del correcto funcionamiento de FreeRADIUS con Host-pad, los usuarios que podran tener acceso a la red, han sido creados en elfichero /etc/freeradius/users de manera manual bajo el formato:

UserName CLeartxt-Password := ‘password’

4.3. Gestion de usuariosValidada la integracion de entre hostapd y el servidor RADIUS, se pro-

cede a continuacion a implementar el proceso de gestion de usuarios.

Dicho proceso debe realizarse de una forma lo mas automatica posible,tratando de evitar todo interaccion con el proveedor de servicio para lageneracion de las credenciales.

En este sentido, como premisa para el desarrollo de la solucion se ha op-tado por generar los usuarios y claves asociadas siguiendo patrones aleatorios.

Por otro lado, dado que se esta empleando FreeRADIUS como servidorde autenticacion y autorizacion, cualquier procedimiento que se plantee debeintegrarse con la estructura subyacente de dicho servidor, es decir, con laestructura de sus bases de datos, con sus protocolos de interaccion, etc.

En la seccion anterior se ha empleado una gestion de usuarios manualbasada en ficheros.

Para un volumen pequeno de estos o en entornos de prueba como elrealizado, esta opcion es factible. Sin embargo, en entornos de produccion lametodologıa usual es el empleo de bases de datos. Por tanto, en esta seccionse acomete la descripcion de la integracion de un motor de bases de datos ysu gestion.

Como motor de base de datos se ha seleccionado MySQL.

La documentacion de FreeRADIUS se incluye el esquema de base dedatos necesario, que se ha empleado para generar la estructuras de tablasmınima. Resultado de la ejecucion de esos scripts se genera la estructuraque se muestra en la muestran en la Figura 4.3

4.3. Gestion de usuarios 29

Figura 4.3: Tablas en la base de datos Radius

Para el caso que nos ocupa se hara uso de las tablas radcheck y radacct.

La primera de ellas, radcheck, contiene los usuarios autorizados parainiciar sesion y por tanto sera empleada en los procesos de autenticacion. Suestructura se muestra en la Figura 4.4

Figura 4.4: Estructura tabla Radcheck

Por su parte, la tabla radacct contiene la informacion de registro y suinformacion se empleara para gestionar el tiempo de conexion de los usuarios,el terminal empleado para la conexion, etc.

Conocida la forma en la que el servidor RADIUS gestiona la informacionde los usuarios se debe desarrollar un programa que permita ingresar deforma automatica los usuarios en la tabla.

Como lenguaje de programacion se ha decido usar Python dado su ex-tensibilidad y que no incorpora un elevado overhead de ejecucion, como por

4.4. Automatizacion del sistema 30

ejemplo Java, en el entorno hardware que se emplea.

El programa genera un usuario y contrasena aleatoria codificandolosempleando caracteres legibles.

Este aspecto es importante, pues si bien como se ha comentado se va aofrecer al usuario una metodologıa de configuracion amigable (i.e. basadaen codigos QR, etiquetas NFC, etc.), existiran casos en los que esta opcionno pueda ser empleada en el dispositivo de usuario y este deba ingresar lascredenciales de forma manual.

Una vez se han generado dichos valores se almacenan en la tabla radchecky seran consultados durante el proceso de autenticacion.

4.4. Automatizacion del sistemaUna vez presentados los aspectos teoricos y funcionales del Trabajo, para

logar el acceso al sistema, se expone en la Figura 4.5 el mapa final de la redcorrespondiente a este Trabajo:

Figura 4.5: Diseno especıfico del sistema

Y se procedera a explicar de forma seniclla los pasos que se realizarandentro del sistema para lograr el acceso al mismo, para ello se han de seguirlas lıneas verdes numeradas de la Figura 4.5:

4.4. Automatizacion del sistema 31

1. Un dispositivo inalambrico solicita acceso a la red WiFi, (punto deacceso Hostapd) mediantes las credenciales de acceso, que correspondena un usuario y una contrasena proporcionado por el proveedor de lared.

2. El punto de acceso enviara las credenciales al servidor RADIUS paraque sean autenticadas. Si estas no son validas, no se concedera laautorizacion para acceder a la red y se informara al cliente de ello,autenticacion incorrecta.

3. En caso de que las credenciales del usuario sean correctas,tras habersido comprobadas en la base de datos MySQL, el servidor RADIUSautorizara al cliente al acesso a la red, comunicandoselo al punto deacceso.

4. Entonces el punto de acceso, a traves del protocolo DHCP, enviara ladireccion IP, mascara, puerta de enlace y DNS al cliente para que estepueda acceder a la red WiFi.

A continuacion se muestran los resultados obtenidos tras la automatiza-cion del el sistema.

La Figura 4.6 corresponde al resultado de inicializar el punto de accesomediante hostapd. Se observa como este inicia correctamente y establecela conexion con el servidor RADIUS, lanzado con anterioridad, tanto pararealizar las operaciones de autenticacion (puerto 1812) como las de registroo contabilidad (puerto 1813).

Figura 4.6: Lanzamiento punto de acceso

A continuacion, se procede a realizar la conexion a la red inalambricamediante un dispositivo de usuario. Como se muestra en la Figura 4.7, seinicia con el envıo de paquetes de datos intercambiados entre AP y Clientepara realizar el proceso de conexion, negociacion de la metodologıa de segu-ridad y establecimiento de la sesion segura (Pairwise Key Handshake (RSN)(autenticacion y asociacion IEEE 802.11 ), una vez finalizado el mismo seinforma al servidor de registro.

4.5. Proceso de desconexion de usuarios 32

Figura 4.7: Proceso acceso red

4.5. Proceso de desconexion de usuariosUno de los requisitos definidos para la solucion final es que los usuarios

no puedan estar conectados por un periodo de tiempo superior a un lımitemaximo establecido por el proveedor del servicio. Si bien el proceso deconexion esta regido por el propio usuario, el proceso de desconexion loesta por el proveedor.

Es por esto que dicho procedimiento debe lanzarse de forma automaticay ademas debe incluir los mecanismos necesarios para invalidar al usuariopar un futuro, es decir, los usuarios seran de un solo uso y pasado el periodode conexion o un periodo de validez establecido dejaran de poder utilizadoscomo identificadores dentro de la red inalambrica.

Para realizar la gestion de estas tareas se ha desarrollado otro programaque itera de forma periodica (por defecto cada 10 segundo) e interroga a labase de datos por aquellos usuarios dentro de la tabla radacct cuyo tiempode conexion supere un periodo predeterminado.

De esta solicitud extrae informacion como el identificador de la sesion,direccion del equipo empleado en la conexion, etc. Esta informacion se em-plea para llevar a cabo el proceso de desconexion.

A partir de la configuracion empleada en nuestro sistema, se considerandos posibles metodos para la desconexion de usuarios, una de ellas implicaun uso directo de funcionalidades especıficas de la plataforma hostapd, y laotra se basa en el empleo de las capacidades proporcionadas por el protocoloRADIUS.

4.5. Proceso de desconexion de usuarios 33

4.5.1. hostapd cliEsta opcion conlleva el uso del programa hostapd cli [17] proporcionado

dentro de la plataforma hostapd y que permite remitir comandos al demonio.

Se pueden utilizar los comandos ‘deauthenticate’ o ‘disassociate’.

Para que este sistema de desconexion funcione tan solo hay que ase-gurarse de que en el archivo de configuracion hostapd.conf, el parametro‘ctrl interface=/var/run/hostapd’ este habilitado.

Este metodo solo necesita extraer la direccion MAC del dispositivo atraves del cual se ha conectado dicho usuario a la red, de la base de datosMySQL, tabla radacct. Siendo el formato de la peticion de desconexion lamostrada a continuacion:

$ hostapd cli deauthenticate 00:5e:3d:38:fe:ab$ hostapd cli disassociate 00:5e:3d:38:fe:ab

Es un metodo sencillo y facil de aplicar, pues no necesita configuracionprevia en el punto de acceso y tan solo necesita extraer un dato de la tablade la base de datos para realizar la peticion de desconexion.

4.5.2. radclientEs esta opcion se hara uso del programa radclient[18] incluido como parte

de FreeRADIUS. Dicho programa envıa paquetes RADIUS a un servidorRADIUS y muestra la respuesta de este.

Para generar la peticion de se hara uso de Packet of Disconnect[19] querealizara una peticion de desconexion al NAS con el fin de interrumpir lasesion de un determinado usuario. El paquete de desconexion se envıa alpuerto UDP 3799, destinado a ser utilizado en situaciones en las que elservidor AAA quiere desconectar al usuario tras haber sido aceptada por elpaquete RADIUS Access-Accept.

Para habilitar esta opcion es necesario que dentro del archivo de configura-cion de hostapd esten habilitados los parametros de ‘Dynamic AuthorizationExtensions (RFC 5176)’[20] mecanismo utilizado para permitir los cambiosdinamicos de la sesion de usuario en base a los comandos de un servidor RA-DIUS, como en este caso, solicitar a una estacion asociada ser desconectada.

A continuacion se muestra un extracto de codigo correspondiente alarchivo hostapd.conf, necesario para la correcta configuracion del metodo de

4.5. Proceso de desconexion de usuarios 34

desconexion por radclient:

#radius UDP portradius das port=3799#DAS client and shared secretradius das client=127.0.0.1 radius#DAS Event-Timestamp in secondsradius das time window=300#DAS require Event-Timestampradius das require event timestamp=1

Ademas radclient, tambien necesita extraer informacion del usuario adesconectar, datos que se extraeran de la base de datos MySQL, tablaradacct, al igual que hostapd cli, pero en este caso los datos necesarioscorresponden con Acct-Session-Id, User-Name y NAS-IP-Address. El metodoradclient necesitara leer esos datos en un fichero para ejecutar la desconexion.Quedando el contenido del mismo de la siguiente forma:

Acct-Session-Id = ‘D91FE8E51802097’User-Name = ‘prueba’NAS-IP-Address = ‘127.0.0.1’

Para finalizar, la peticion de desconexion correspondiente a este metodoes la siguiente:

cat info.txt | radclient 127.0.0.1:3799 disconnect‘secret’

Tras analizar ambos metodos de desconexion y de acuerdo a la polıtica deprivacidad y la ley de proteccion de datos, se concluye, que toda la informa-cion del usuario reflejado en la tabla radacct, en especial la correspondientea la direccion MAC del dispositivo conectado a la red, se mantendra demanera privada y no se proporcionara a terceros.

35

Capıtulo 5

Integracion y despliegue

Toda vez que se tiene la plataforma basica configurada y se habilita elacceso compartido a una red inalambrica, resta por desarrollar e integrartodas aquellas herramientas que faciliten la interaccion con el sistema tantodesde el punto de vista de cliente como de proveedor.

En este capıtulo se describen ambos. Para el caso del proveedor se haconfeccionado una sencilla plataforma web que habilite tanto el inicio delos procesos de generacion de usuario y como la operativa de control dedesconexion, presentados en el capıtulo anterior, como la presentacion deesa informacion hacia los usuarios de forma visual. Para el caso del usuariose plantea una aplicacion movil que configure de forma automatica el accesoa la red empleando la informacion visual proporcionada desde la aplicaciondel proveedor.

5.1. Plataforma webLa forma actualmente mas extendida de interactuar con los servicios es

mediante tecnologıas web. En el presente Trabajo se ha optado por seguireste modelo de uso, para lo que se ha generado una plataforma web queinteractue con los diferentes programas descritos en el capıtulo anterior yque permiten la gestion del acceso a la red inalambrica compartida.

Para dar soporte a esta funcionalidad se hace necesaria disponer deservidor web en el que alojarlo. Para evitar incrementar el coste en hardwarey dado que la RPI tiene suficiente potencia como para ejecutar un servidorweb, se ha instalado un servidor web Apache[21] con soporte para paginasdinamicas desarrolladas en PHP[22] PHP ofrece librerıas que permiten laejecucion de programas externos, en nuestro caso, los programas de gestiondesarrollados en Python ya descritos.

Comprobada la correcta instalacion y configuracion del servidor web, seprocede a continuacion a generar las paginas PHP que habilitaran el acceso

5.1. Plataforma web 36

a las acciones necesarias para la gestion de la red, tales como generar nuevosusuarios o iniciar chequeo de la base de datos.

La Figura 5.1 muestra la interfaz de usuario inicial disenada para facilitaral propietario de la red, para la gestion de la misma, que ofrece la creacionde usuarios y contrasenas y mostrar un codigo QR con esa informacion paraofrecer una forma amigable de conexion a la red compartida o la puestaen marcha de la operativa de control de desconexion, siempre y cuando elproveedor ası lo desee.

Figura 5.1: Interfaz de gestion

La generacion del codigo QR se ha habilitado como una funcion anadidadentro del programa genera y guarda.py. Para su realizacion se ha hechouso de la librerıa de Python “qrcode”[23] que proporciona un conjunto deherramientas para generar los codigos a partir de secuencias de caracteres,datos binarios, etc. La modificacion incluida, por tanto genera una imagencon las credenciales de usuario cada vez que se pulsa sobre el boton “Nuevousuario”, tal como se muestra en la Figura 5.1 Dicha imagen se indexa enla pagina web y se presenta para que el usuario pueda escanearla con su

5.2. Aplicacion movil 37

terminal y configurar automaticamente la red.

Si bien en esta primera version de la solucion se ha optado este mo-do de operacion, este se puede extender a la impresion del codigo en unticket, etc. Una vez que se dispone de la imagen con la informacion nece-saria, la forma de mostrar el codigo que la contiene al usuario es muy diversa.

Por su parte, la seccion de gestion de los periodos de validez de desco-nexion, se ha decidido mantener la interfaz lo mas simple posible. En estesentido, la respuesta a la ejecucion del comando sera unicamente un mensajemostrando el exito o fallo en el proceso.

5.2. Aplicacion movilTal como se ha descrito hasta ahora, a la hora de acceder a la red

inalambrica creada, los usuarios tienen la clasica opcion, reflejada en laFigura 5.2, en la cual introducen manualmente el usuario y la contrasenaque se les ha proporcionado.

Figura 5.2: Acceso red inalambrica tradicional

En este Trabajo, para facilitar y sobretodo, agilizar el acceso a la red, sehan analizado diferentes opciones. Entre las opciones mas amigables paralos potenciales usuarios se encuentran el uso de codigos QR o etiquetas NFCdinamica. Puesto que en la actualidad la disponibilidad de dispositivos deusuario con NFC no esta totalmente extendida, y puesto que se pretendıarealizar una sencilla prueba de concepto, se ha desarrollado la solucionbasada en codigos QR.

En este sentido, el analisis realizado reporta que no existe un formatoestandar para describir mediante un codigo QR los parametros de confi-guracion y conexion a una red inalambrica basada en WPA2-Enterprise.Existen algunas opciones, no estandar, para conectarse a redes que emplean

5.2. Aplicacion movil 38

WPA2-PSK como solucion de seguridad. Por tanto, dentro del proyectose ha utilizado una aplicacion movil desarrollada para el caso especıfico.Esta aplicacion esta disponible para el sistema operativo Android e incluyelas funcionalidades de lectura del codigo QR, extraccion de la informacionen el contenida (usuario/clave e identificador de la red) y el identificadorSSID de la red inalambrica desplegada.

La Figura 5.3 se muestra la imagen de la interfaz de usuario de la apli-cacion movil correspondiente al escaneo del codigo QR desde la aplicacionmovil con su correspondiente mensaje de confirmacion de conexion a la red:‘Conectado a Pi AP Carmen’.

Figura 5.3: Acceso desde aplicacion movil

39

Capıtulo 6

Conclusiones y lıneas futuras

Tras haber finalizado con la experimentacion, es momento de evaluarsi los objetivos previamente propuestos han sido conseguidos y en que gra-do. Ademas de esto es importante resaltar si aparte de los objetivos yacitados anteriormente, se ha conseguido la culminacion de otros objetivossecundarios que no estaban previstos pero que han servido para completarel proyecto, entendiendose finalmente como un concepto clave dentro delmismo. Ası mismo se expondran posibles lıneas futuras para la mejora delsistema.

6.1. ConclusionesTras un analisis de los requerimientos impuestos al comienzo del Traba-

jo, se puede concluir que los objetivos principales, como facilidad de uso,configuracion y despliegue seguro han sido logrados. La solucion ofrecidalogra evitar los problemas de seguridad de los sistemas de hotspot tradi-cionales a la hora de realizar la conexion y autenticacion a la red, ya queen este caso unicamente si se es un usuario autorizado, se logra el acce-so a la red. La seleccion de los elementos hardware y software para darrespuesta a las necesidades identificadas se considera ha sido la acertada.Todos los elementos siguen el paradigma de codigo y hardware abierto, loque permite que los costes de produccion y despliegue de la solucion seanreducidos. Este es un de los objetivos que se plantearon al inicio del proyecto.

Adicionalmente, las capacidades de configuracion de todos ellos permitenproporcionar numerosas opciones para la identificacion de los usuarios y lagestion de los mismos. Ası la opcion empleada en este Trabajo empleandoPEAP que utiliza TLS para crear un canal cifrado entre el cliente y elservidor de autenticacion, habilita un canal de transmision de la informacionque convierta al sistema en un entorno seguro.

Otro resultado de este Trabajo es la mejora en el proceso de identificaciony conexion. El empleo de tecnologıas tan comunes hoy en dıa como puede

6.2. Lıneas futuras 40

ser un codigo QR que contenga las credenciales del usuario y unicamentecon realizar el escaneo de el se genere la conexion. Existen multitud deusuarios que no tienen las capacidades tecnicas necesarias para configuraruna conexion a una red inalambrica y este nuevo entorno permitirıa facilitarel proceso. Ademas no solo se enfoca su uso en los entornos planteados dentrodel proyecto, sino en otros muchos con unas grandes posibilidades desde elpunto de vista comercial.

6.2. Lıneas futurasCon el objetivo de optimizar el rendimiento del sistema se pueden realizar

diversas modificaciones para lograr su mejora.En primer lugar, serıa interesante la opcion de habilitar un boton en

la propia Raspberry Pi para la creacion de usuarios y contrasenas con sucorrespondiente codigo QR y que estos saliesen impresos, para poder dar demanera fısica esa informacion a los clientes. En este Trabajo se ha centradoen presentarlo en un navegador web, solucion que serıa facilmente extensibley permitir presentarlo en una pequena pantalla conectada a la RPI o impri-mirlo mediante una impresora termica.

En lo que respecta a limitacion temporal de conexion, en este Trabajo seha establecido el mismo tiempo de conexion permitido para cada usuario queha sido creado, serıa interesante que a la hora de crear un usuario se pudiesendar diferentes tickets temporales a cada uno, por ejemplo, dependiendo deltipo de gasto que realice en el establecimiento, dependiendo del perfil deusuario, etc. En esta misma lınea, se podrıa configurar la red, para quedurante un tiempo limitado, una vez expulsado de la red al usuario, esteno se borrase de la base de datos, permitiendo temporalmente al cliente‘renovar’ su ticket de validez y no teniendo que adquirir un nuevo usuariopara seguir conectado a la red.

Por ultimo, senalar que la lectura de codigos QR si bien esta muyextendida no permite la incorporacion de elevadas medidas de seguridady en muchos casos resulta tediosa su lectura. La creciente implantacionde la tecnologıa NFC en los terminales moviles serıa la evolucion natural.De esta manera se facilitarıa aun mas el proceso. Por ejemplo, se evitarıatoda interaccion para la generacion de nuevos tickets dado que el procesode deteccion de dispositivos proporcionado por NFC serıa el disparadorde la creacion de un nuevo usuario. Ademas se podrıa incluir solucionesde seguridad estandar que oculten o autentiquen la informacion que setransfiera.

41

ANEXOS

42

Anexo A

interface=wlan0driver=nl80211

# hostapd event logger configurationlogger syslog=-1logger syslog level=2logger stdout=-1logger stdout level=2

# Interface for separate control program.ctrl interface=/var/run/hostapd

# Access control for the control interface can be configured#setting the directory to allow members of a group.ctrl interface group=0

# SSID to be used in IEEE 802.11 management framesssid=Pi AP Carmen

# Operation mode (g = IEEE 802.11g)hw mode=g

# Channel number (IEEE 802.11)channel=6

# Beacon interval in kus (1.024 ms) (default: 100; range 15..65535)beacon int=100

# DTIM (delivery traffic information message) period (range 1..255):dtim period=2

# Maximum number of stations allowed in station table.max num sta=255

43

# RTS/CTS threshold; 2347 = disabled (default);rts threshold=2347

# Fragmentation threshold; 2346 = disabled (default);fragm threshold=2346

# Station MAC address -based authentication# 0 = accept unless in deny listmacaddr acl=0

# IEEE 802.11 specifies two authentication algorithms.# bit 1 = Shared Key Authentication (requires WEP)auth algs=1

# Send empty SSID and ignore probe request frames that do not# specify full SSID, i.e., require stations to know SSID.# default: disabled (0)ignore broadcast ssid=0

# Default WMM parameters (IEEE 802.11 draft; 11-03-0504-03-000e):wmm enabled=1

# Low priority / AC BK = backgroundwmm ac bk cwmin=4wmm ac bk cwmax=10wmm ac bk aifs=7wmm ac bk txop limit=0wmm ac bk acm=0# Normal priority / AC BE = best effortwmm ac be aifs=3wmm ac be cwmin=4wmm ac be cwmax=10wmm ac be txop limit=0wmm ac be acm=0# High priority / AC VI = videowmm ac vi aifs=2wmm ac vi cwmin=3wmm ac vi cwmax=4wmm ac vi txop limit=94wmm ac vi acm=0# Highest priority / AC VO = voicewmm ac vo aifs=2wmm ac vo cwmin=2wmm ac vo cwmax=3wmm ac vo txop limit=47

44

wmm ac vo acm=0

# WPA/IEEE 802.11i configurationwpa=2wpa key mgmt=WPA-EAPwpa pairwise=TKIPrsn pairwise=CCMP

# Require IEEE 802.1X authorizationieee8021x=1

# EAPOL-Key index workaround (set bit7) for WinXP Supplicant#(needed only if only broadcast keys are used)eapol key index workaround=0

#Integrated EAP server# Use integrated EAP server instead of external RADIUS authentication# server. This is needed if hostapd is configured to act as RADIUS# authentication server.eap server=0

#RADIUS client configuration# The own IP address of the access point (used as NAS-IP-Address)own ip addr=127.0.0.1

# RADIUS authentication serverauth server addr=127.0.0.1auth server port=1812auth server shared secret=radius

# RADIUS accounting serveracct server addr=127.0.0.1acct server port=1813acct server shared secret=radius

# Dynamic Authorization Extensions (RFC 5176)# This can be used to allow dynamic changes to user session#commands from a RADIUS server (or some other disconnect client

#that has the needed session information). For example, Disconnect

#message can be used to request a station to disconnect.

#Set radius das port to non-zero UDP port# number to enable.

45

radius das port=3799

# DAS client and secretradius das client=127.0.0.1 shared radius

# DAS Event-Timestamp time window in secondsradius das time window=300

#DAS require Event-Timestampradius das require event timestamp=1

46

Bibliografıa

[1] Jose Alberto Gonzalez Perez “La tecnologıa actual en nuestrasociedad”(2013)http://www.tribunasalamanca.com/noticias/la-tecnologia-actual-en-nuestra-sociedad“LAS TECNOLOGIAS WIFI Y WIMAX”(2016)http://www.dip-badajoz.es/agenda/jornadaWIFI/doc/tecnologias wifi wmax.pdf

[2] IEEE 802.11 Institute of Electrical and Electronics Engineers,Inc (2016)http://www.ieee802.org/11/

[3] “LAS TECNOLOGIAS WIFI Y WIMIX”(2016)http://www.dip-badajoz.es/agenda/jornadaWIFI/doc/tecnologias wifi wmax.pdf

[4] “Modos de funcionamiento Wifi (802.11 o Wi-Fi)”(2016)http://es.ccm.net/contents/791-modos-de-funcionamiento-wifi-802-11-o-wi-fi

[5] “WI-FI (802.11)”(2016)https://tecdelicias.wikispaces.com/WI-FI+(802.11)

[6] Hugo Andy Velazquez Ornelas “Redes inalambricas”http://www.monografias.com/trabajos43/redes-inalambricas/redes-inalambricas2.shtml

[7] “TODO SOBRE EL HOTSPOT”https://www.wifisafe.com/blog/todo-sobre-el-hotspot/

[8] 4IPNET ‘4ipnet Solution Highlights’http://www.4ipnet.com/es

[9] ONO.es “Vodafone WiFi”https://www.ono.es/ventajas/onowifi/

[10] “TEACH, LEARN AND MAKE WITH RASPBERRY PI”https://www.raspberrypi.org/

[11] “RASPBIAN”https://www.raspberrypi.org/downloads/raspbian/

Bibliografıa 47

[12] TP-LINK Technologies “Adaptador Inalambrico USB TL-WN821N”(2016)http://www.tp-link.es/products/details/TL-WN821N.html

[13] Jouni Malinen “hostapd: IEEE 802.11 AP”(2013)https://w1.fi/hostapd/

[14] The FreeRADIUS Server Project and Contributors (2015)http://freeradius.org/

[15] Free Software Foundation, Inc. “Radius”(2011)https://www.gnu.org/software/radius/

[16] “PEAP”(2005)https://msdn.microsoft.com/es-es/library/cc757996(v=ws.10).aspx

[17] The FreeBSD Project “FreeBSD Man Pages”(2005)https://www.freebsd.org/cgi/man.cgi?query=hostapd clisektion=8

[18] The FreeRADIUS Server Project and Contributors “RAD-CLIENT”(2014)http://freeradius.org/radiusd/man/radclient.html

[19] M. Chiba, G. Dommety, M. Eklund, D. Mitton, B. Aboba “DynamicAuthorization Extensions to Remote Authentication Dial In User Service(RADIUS)”(2008)https://tools.ietf.org/html/rfc5176

[20] The Apache Software Foundation. “APACHE”(2008)https://httpd.apache.org/

[21] The PHP Group ‘What is PHP?’ (2008)http://php.net/manual/es/intro-whatis.php

[22] Python Software Foundation “qrcode 5.3”(2008)https://pypi.python.org/pypi/qrcode