En el diseño lógico de la red de área local inalámbrica (WLAN) se desarrollan cada una de las fases propuestas por la metodología Top-Down, para empezar se realizara el diseño de una topología de red que se adecue a las necesidades de los usuarios de la red, luego se propondrá el modelo de direccionamiento IPv4 o IPv6; para posteriormente seleccionar los protocolos de conmutación y enrutamiento según se requiera, finalmente se mencionan las estrategias de seguridad que se implementaran en la red.
4.1 DISEÑO DE UNA TOPOLOGÍA DE RED
La selección de la topología de estrella permite centralizar el flujo de información lo cual es recomendable en las redes WLAN; debido a la gran cantidad de dispositivos conectados que utilizan los servicios de la red sin llegar a comprometer el correcto funcionamiento de esta, accediendo y desconectándose permanentemente. En el caso de presentar fallas en la comunicación o en cada uno de los nodos; será fácil encontrar el equipo con el daño ya que esta segmentada la red y la ruta de fallo sería fácil de detectar.
“El diseño lógico propuesto propone la implementación del servicio eduroam, el cual permite a los investigadores, académicos, estudiantes y personal de la institución participante obtener conectividad a Internet a través de su campus y cuando visiten otras instituciones participantes sin inconvenientes”19.
“En el diseño propuesto se definió la utilización de 3 servidores, un servidor RADIUS que se encargara de gestionar el acceso a la red y las cuentas de los usuarios de la universidad; por lo que dentro de sus funciones estará la autenticación, la autorización y la anotación”20, el segundo servidor es el DHCP; que tendrá como función “la administración centralizada de las direcciones IP e información relacionada con estas; este servidor asignara las direcciones IP automáticamente a cada dispositivo que acceda a la red inalámbrica”21, y el tercer servidor DNS; que “se encargara de contestar las peticiones y de conocer la dirección IP del equipo en donde está alojado el dominio al que el usuario de la red quiera acceder”22.
19 EDUROAM. Servicio Edoruam en línea. Madrid: La Empresa citado 15 agosto, 2015. Disponible en
Internet: URL: http://www.eduroam.pe/?page_id=9
20 LÓPEZ, Antonio. Protocolos AAA y control de acceso a red: Radius en línea. Barcelona: La Empresa citado 15 agosto, 2015. Disponible en Internet: URL: https://www.incibe.es/blogs/post/Seguridad /BlogSeguridad/Articulo_y_comentarios/Protocolos_aaa_radius
21 MICROSOFT. Función de servidor DHCP: Configurar un servidor DHCP en línea. Bogotá: La Empresa citado 15 agosto, 2015. Disponible en Internet: URL: https://msdn.microsoft.com/es- es/library/cc756865%28v=ws.10%29.aspx
22 XATAKAON. Cómo funciona Internet: ¿Qué son y para qué sirven las DNS? DHCP en línea. Bogotá: La
Empresa citado 15 agosto, 2015. Disponible en Internet: URL: http://www.xatakaon.com/ tecnologia-de- redes/como-funciona-internet-dns
En la Figura 39 se presenta el diseño lógico propuesto con la topología en estrella en donde cada uno los servidores, la intranet, el controlador WLAN que gestiona los puntos de acceso y la conexión con Internet mediante un enrutador, están conectados de manera centralizada con el switch en la capa de enlace de datos. “Los dispositivos que deseen tener acceso a la red inalámbrica de la universidad se conectaran a los puntos de acceso; que serán gestionados por un controlador de WLAN que se encargará de los ajustes automáticos a la potencia de RF, los canales, la autenticación y seguridad”23.
“Para impedir que terceros o software malintencionado pueda acceder a la red de la universidad se utilizó un firewall, que estará encargado de comprobar la información procedente de internet para posteriormente bloquear o permitir el paso de está a la red”24.
Figura 39. Diseño Lógico Propuesto para el Campus Universitario
Fuente. Los Autores.
23 CISCO SYSTEMS, INC. Punto de acceso inalámbrico en línea. Bogotá: Cisco Systems, Inc citado 25
agosto, 2015. Disponible en Internet: URL:
http://www.cisco.com/web/ES/solutions/smb/products/wireless/ap_500/index.html
4.1.1 Funcionamiento de Eduroam. Cuando el invitado desea conectarse a la red
WLAN de la sede el Claustro de la universidad Católica de Colombia; suministra sus credenciales al autenticador (el dispositivo de control de acceso) para que las verifique. Las credenciales deben incluir un nombre de usuario y un dominio que se traduce en una credencial que se parece a una dirección e-mail: diego@institucion_B.co ([email protected]).
Luego de que el visitante incluye el nombre de usuario con el dominio al que pertenece, el servidor RADIUS de la Universidad Católica de Colombia (local) identifica con estas credenciales al usuario visitante y es “cuando por medio de la conexión a Internet se comunica con el mecanismo de RADIUS proxy, este servidor proxy conoce a todos los servidores RADIUS en la constelación de roaming y es por esto que reenvía las credenciales EAP encapsuladas hacia el servidor RADIUS de la Institución B (RADIUS server Visitante)”25.
4.2 MODELOS PARA DIRECCIONAMIENTO
Para el direccionamiento de la red WLAN de la Universidad Católica de Colombia sede el Claustro se propone una transición de IPv4 a IPV6, algunas de las razones por las que se propone este cambio se mencionaran a continuación:
Dentro de las características de IPv6 está la transparencia para los usuarios y especialmente en cuanto a la configuración de sus redes y dispositivos (auto configuración).
Aumenta la seguridad, esto no quiere decir que IPv6 sea más seguro que IPv4, sin embargo el estándar obliga a incorporar el protocolo IPsec (seguridad IP), y al no requerir NAT, se puede utilizar IPsec extremo-a-extremo, lo cual puede utilizarse para incrementar la seguridad en la Red.
Debido a la gran cantidad de direcciones, se dificultan los ataques, ya que las redes IPv6 son tan grandes, que buscar un agujero de seguridad en una subred IPv6 (/64), llevaría unos cinco mil millones de años. Como además cada usuario tiene un /48 (65.535 veces /64), por esa razón sería prácticamente imposible localizarlo.
Se pueden utilizar sistemas de multidifusión, a pesar de que estos sistemas multicast también son posibles con IPv4, son mucho más costosos y complicados de manejar. Con multidifusión IPv6 aprovecharemos mejor la capacidad de las redes para servicios de valor añadido de video y audio sobre redes de banda ancha26.
25 EDUROAM. Servicio Edoruam en línea. Madrid: La Empresa citado 15 agosto, 2015. Disponible en
Internet: URL: http://www.eduroam.pe/?page_id=9
26 ESPAÑA. MINISTRO DE INDUSTRIA, ENERGÍA Y TURISMO. ¿Qué es la transición a IPv6? en línea.
Madrid: El Ministerio citado 15 agosto, 2015. Disponible en Internet: URL: http://www.ipv6.es/es- ES/transicion/quees/Paginas/10razones.aspx
4.3 PROTOCOLOS DE ENRUTAMIENTO
Los protocolos de enrutamiento mantienen tablas de enrutamiento dinámicas por medio de mensajes de actualización del enrutamiento, que contienen información acerca de los cambios sufridos en la red, y que indican al software del router que actualice la tabla de enrutamiento en consecuencia. Intentar utilizar el enrutamiento dinámico sobre situaciones que no lo requieren es una pérdida de ancho de banda, esfuerzo, y en consecuencia de dinero.
Los protocolos de enrutamiento dinámico generalmente se usan en redes de mayor tamaño para facilitar la sobrecarga administrativa y operativa que implica el uso de rutas estáticas únicamente. Normalmente, una red usa una combinación de un protocolo de enrutamiento dinámico y rutas estáticas. En la mayoría de las redes, se usa un único protocolo de enrutamiento dinámico; sin embargo, hay casos en que las distintas partes de la red pueden usar diferentes protocolos de enrutamiento. La selección de un protocolo de enrutamiento para la red WLAN de la Universidad Católica de Colombia en la sede el Claustro; se basó en distintas características que lograron determinar cuál de los protocolos dinámicos era el más propicio teniendo en cuenta su eficiencia, el tamaño de la red y la velocidad de enrutamiento, en la Tabla 5 se muestran cada uno de los protocolos y las características que consideramos más importantes dentro del alcance de nuestro proyecto (véase el Cuadro 5).
Cuadro 5. Protocolos de Enrutamiento Dinámico y sus Características
Característica RIPV1 RIPV2 EIGRP IS-IS OSPF BGP
Vector Distancia X X Estado de Enlace X X X X Direccionamiento sin clase X VLSM X Sumarización automática Sumarización manual X Requiere diseño jerárquico X X X X
Tamaño de la red Pequeño Pequeño Grande Grande Grande Muy
Grande
Métrica Saltos Saltos Compuesta Métrica Costo Atributos
de ruta
Tiempo de convergencia
Lento Lento Muy rápido Rápido Rápido Muy lento
Distancia administrativa (AD)
120 120 5/90/170 115 110 20/200
Número de protocolo X X 88 124 89 X
Número de puerto X 520 UDP X X X 179 TCP
Fuente. COLOMÉS, Paulo. Resumen comparativo de los protocolos de enrutamiento dinámico en línea. Bogotá: Red Cisco citado 20 agosto, 2015. Disponible en Internet: URL: http://www.redescisco.net/v2/art/resumen-comparativo-de-los-protocolos-de-enru tamiento-dinamico/
El protocolo de enrutamiento seleccionado fue el OSPF - Open Shortest Path First (El camino más corto primero) debido a tres de las características que como mencionamos anteriormente se adecuaban a las necesidades de la red a implementar, la primera de ellas fue el criterio de la métrica que es la manera en que los routers determinan cual es la mejor ruta para la conexión del dispositivo a la red, que en el caso del protocolo OSPF es el costo; lo cual se refiere al ancho de banda. Esto permitirá un mejor balance de carga, es decir; un funcionamiento más eficaz de la red al distribuir el ancho de banda según las conexiones que se estén presentando constantemente los dispositivos. Además de esto, “el tiempo de convergencia es más rápido teniendo en cuenta también; la topología en estrella propuesta anteriormente, debido a que los cambios en el enrutamiento se propagaran de manera instantánea y no periódica”27. Y finalmente el protocolo OSPF es más recomendable de implementar en redes grandes como es la WLAN con la que cuenta la Universidad Católica de Colombia en la sede el Claustro.
4.4 DESARROLLO DE ESTRATEGIAS DE SEGURIDAD DE RED
Dentro de las estrategias propuestas para brindar una seguridad básica dentro de la red inalámbrica de la sede el Claustro en la Universidad Católica de Colombia; se encuentra un firewall o cortafuegos que le impedirá el acceso a intrusos y software malintencionado a la red, este firewall se encargara de comprobar la información que proviene de internet y luego bloqueara o permitirá que este contenido pase a la red WLAN.
Otra de las estrategias para manejar la seguridad en la capa de distribución es por medio del controlador WLAN que no solo se ocupara de los ajustes automáticos a la potencia de radiofrecuencia y los canales, sino que permitirá administrar la autenticación y la seguridad entre la capa de enlace datos (Switch) y los AP's distribuidos por el campus de la universidad.
Finalmente se planteó como una estrategia de seguridad la implementación de ACL's las cuales permitirán limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo en el caso de restringir cierto contenido de vídeo y permitir el uso de correo electrónico, “se puede reducir significativamente la carga de la red y por ende mejorar el rendimiento de esta, otra de las funciones de las ACL's es que proporcionan un nivel básico de seguridad para el acceso a la red, ya que pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Incluso con las ACL's se pueden otorgar o denegar permisos a los usuarios para acceder a ciertos tipos de archivos, como por ejemplo FTP o HTTP”28.
27 CISCO. Guía de diseño de OSPF en línea. Bogotá: La Empresa citado 20 agosto, 2015. Disponible en
Internet: URL: http://www.cisco.com/cisco/web/support/LA/7/73/73214_1.html#to pic2.
28 ESPAÑA. MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE. Listas de control de acceso (ACL) -
Utilización de ACLs en routers en línea. Madrid: El Ministerio citado 20 agosto, 2015. Disponible en Internet:
URL: http://recursostic.educacion.es/observatorio/web/es/component/ content/article/1065-listas-de-control- de-acceso-acl?start=3