| Artículos | 01 NOV 2006

Por un espacio de investigación universal y móvil

Red Wi-Fi Eduroam de la Universidad Autónoma de Madrid (UAM)
Integrada en el proyecto internacional Eduroam, la red Wi-Fi de la Universidad Autónoma de Madrid incorpora los más estrictos mecanismos de seguridad. Su arquitectura de gestión centralizada facilita la administración del conjunto, así como la detección de tráficos y comportamientos sospechosos.

El pasado mes de enero, la Universidad Autónoma de Madrid (UAM) comenzó el despliegue de una nueva red inalámbrica Wi-Fi, un proyecto estrechamente ligado a la iniciativa internacional Eduroam cuyo fin es promover el roaming entre WLAN de instituciones y centros de investigación. En operación desde el pasado 19 de octubre y basada en tecnología inalámbrica de Alcatel, la red Wi-Fi de la UAM fue encargada como proyecto llave en mano al integrador NextiraOne, y en su instalación y despliegue se han invertido 590.000 euros, financiados en un 50% con fondos europeos FEDER y en la mitad restante por la propia Universidad.
Pese a plantearse como complemento a la red cableada de alta velocidad de la entidad, la nueva WLAN ofrece cobertura completa en la práctica totalidad de los alrededor de 33 edificios del campus universitario de la UAM en Cantoblanco, donde se concentra la mayor parte de sus facultades y escuelas. “En cualquier pasillo, aula, biblioteca, cafetería, despacho o sala de actos, los usuarios pueden conectarse a la red través de sus portátiles o PDA para acceder a Internet o a las aplicaciones internas de la Universidad”, explica Miguel Ángel García Martínez, jefe de la Unidad Técnica de Comunicaciones de Tecnologías de la Información de la UAM.
Para dar una idea de la magnitud del proyecto, García Martínez subraya que, “durante los estudios de cobertura iniciales, los técnicos de NextiraOne llegaron a recorrer más de 100 kilómetros a pie con sus portátiles para determinar el número y la ubicación idónea de los puntos de acceso”. NextiraOne se encargó del diseño y despliegue de toda la infraestructura, un proceso que ha supuesto la instalación de 420 puntos de acceso OmniAccess Wireless Access Points y dos appliances de gestión OmniAccess Wireless 6000 de Alcatel. De acuerdo con las especificaciones exigidas por la UAM, algunas de ellas marcadas también como estándares por la iniciativa Eduroam, estos equipos ofrecen elevados niveles de seguridad y autenticación, una arquitectura de gestión centralizada y alta velocidad. Además, aportan la flexibilidad de funcionamiento suficiente para adaptarse, de manera transparente al usuario, a las características de cada dispositivo final. En respuesta a estos requerimientos, la red ofrece soporte simultáneo de conexiones a 11 y 54 Mbps –de acuerdo con los estándares IEEE 802.11a, 802.11b y 802.11g-, protocolos de seguridad WPA y WPA2, y algoritmos de encriptación AES y TKIP.

Tres tipos de usuarios, tres formas de autenticación
Son tres las funciones para las que esta red Wi-Fi fue planificada, y que se corresponden con otros tantos tipos de usuarios a los cuales brinda acceso. En primer lugar, su misión es proporcionar conectividad inalámbrica a la comunidad universitaria de la UAM, integrada por 33.000 estudiantes y 3.000 empleados, incluidos personal docente y de investigación, y personal de administración y servicios. Cubre, además, las necesidades de acceso de los visitantes de otras instituciones integradas en Eduroam. “El objetivo es que todo usuario de cualquier organización miembro, cuando visite otra institución Eduroam, pueda conectarse a través de la WLAN de la entidad anfitriona, utilizando el mismo nombre de usuario y contraseña que en su propia institución, tanto a su red de origen como a los servicios de aquella en que se encuentra”. Por último, la red debe también proporcionar acceso a los asistentes a los eventos especiales (conferencias, foros, congresos…) que con frecuencia acoge la UAM.
Bajo el imperativo de la seguridad, y teniendo en cuenta estos tres tipos de usuario, uno de los requisitos imprescindibles de la nueva red era la implementación de técnicas de autenticación que impidieran el acceso a cualquier usuario no autorizado. Así, la Universidad ha establecido tres formas distintas de autenticación. Los miembros de la comunidad universitaria se autentican mediante nombre de usuario y una contraseña contra dos servidores RADIUS redundantes que, a su vez, se comunican vía LDAP (Lightweigh Directory Access Protocol) con el directorio corporativo. Este directorio, basado en una plataforma Oracle, es el mismo en el que se apoya la autenticación del resto de servicios que ofrece Tencologías de la Información. “Nuestro objetivo es unificar la autenticación para cualquier aplicación en un único sistema, el directorio. De esta forma, se automatizan y centralizan las altas y bajas de usuarios, facilitando una gestión de los accesos basada en perfiles y políticas”.
Los servidores RADIUS también se encargan de la autenticación de los visitantes de otras instituciones Eduroam. Sin embargo, en este caso, los servidores, en lugar de contrastar las credenciales con el directorio local, las reenvían directamente al servidor de autenticación de la organización de origen del usuario. Para soportar este procedimiento, Eduroam ha creado una arquitectura basada en una jerarquía RADIUS que conecta entre sí los servidores de autenticación de todas las organizaciones miembros. Los nombres de usuarios y las contraseñas son enviados aplicando algoritmos de encriptación de extremo a extremo, de forma que ni siquiera puedan ser conocidos por la organización que actúa como anfitriona. “El servidor local sólo dispone de la información necesaria para dirigir al visitante a su organización de origen. La autenticación se produce contra su propio servidor y las credenciales se envían a éste a través de un túnel encriptado de extremo a extremo desde el portátil o la PDA del visitante”.
Finalmente, para soportar el acceso de los asistentes a eventos especiales que se celebran en el campus de la UAM, la autenticación se resuelve creando una red con un nombre SSID (Service Set Identifier) específico. A este SSID se asocia una contraseña de acceso PSK (Public Shared Key) común y compartida que se distribuye a los asistentes al encuentro. “Se trata de una SSID temporal que se mantiene exclusivamente durante el tiempo de celebración del evento y en la ubicación física en el que el mismo tiene lugar. Una vez finalizado, esa red se cierra y la PSK queda inhabilitada”.

Toda la inteligencia en un punto
Fueron múltiples los motivos que, tras valorar diversas alternativas, decantaron a la UAM a favor de la tecnología WLAN de Alcatel. Uno de ellos fue la capacidad de los equipos del fabricante para soportar diferentes modos de funcionamiento sobre una misma red SSID. “La mayoría de las ofertas exigen que cada SSID lleve asociada una única forma de funcionamiento. En tal caso, hubiéramos tenido, por ejemplo, que establecer nombres de redes distintos para funcionar en modo WPA y en modo WPA2, en perjuicio de la homogeneidad del entorno y de la transparencia para el usuario”.
Pero el principal atractivo de la propuesta de Alcatel para la Universidad fue su arquitectura de gestión centralizada. Esta arquitectura venía a satisfacer por completo uno de los objetivos esenciales de la UAM: el control y monitorización de la totalidad de la WLAN desde un &#

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información