1. COMPONENTES DEL ESTÁNDAR IEEE 802.11
2.4 CONFIGURACIÓN Y VERIFICACIÓN DEL ROAMING PARA IEEE 802.11B/G
2.4.4 Búsqueda de variables críticas que influyen en el desempeño cuando hay
roaming y seguridad
La elección de seguridad es importante y se puede ver en los resultados del estudio en el Apéndice E. En todo proceso de roaming hay un problema y es la desconexión y reconexión porque siempre que un cliente se encuentre en función de roaming hay varios pasos los cuales se traducen en tiempo y discontinuidad en la transmisión. El tiempo de reconexión está ligado directamente al túnel de autenticación que se utilice y al protocolo de autenticación. El tiempo de reautenticación con el nuevo AP depende directamente del proceso que se lleve a cabo para la validación y asignación de dirección IP. La conversación que se mantiene entre el cliente móvil, el AP y el servidor RADIUS genera un grupo de eventos en los que se transmite la información de autenticación y las llaves de cifrado. Con el tipo de autenticación empresa el servidor entrega la información de autenticación o propone el método de túnel de autenticación que está configurado como predeterminado en el servidor RADIUS, esto se le presenta al cliente facilitando la autenticación durante el roaming, aquí es donde se dividen los procesos dependiendo del método y protocolo de autenticación. Luego de la comunicación y establecimiento de los túneles de cifrado se pasa al bloque de derivación de llaves de cifrado que consta de la PTK que es la llave temporal de pareja y GTK que es la llave temporal de grupo, en este bloque se realiza un intercambio de mensajes entre el AP y el cliente móvil para luego terminar con la asignación de dirección IP al cliente.
Luego de estudiar el proceso de roaming detalladamente se descubrió que las variables críticas entre seguridad y roaming se encuentran implícitas en el número de eventos realizados y el tiempo límite para cumplir satisfactoriamente el proceso de transición entre puntos de acceso. La Figura 2-22 presenta el número de eventos necesarios para cumplir con una autenticación, entre mayor sea el numero de eventos o si se sobrecarga la conexión con mucha más seguridad ya sea certificaciones o validaciones, mayor será el tiempo de autenticación y mayor será el retardo presentado por el número de paquetes transmitidos entre el autenticador y el cliente móvil.
63
El proceso de una autenticación inicial es diferente al proceso de autenticación en roaming con un AP desconocido y al proceso de autenticación en roaming con un AP conocido, la diferencia puede notarse en la Figura 2-23 y esto se expresa en más eventos y tiempo de autenticación.Figura 2-23 Diferencias del proceso de autenticación. 2.4.5 Análisis de resultados y generación de conclusiones
Los datos adquiridos dejan ver claramente que utilizar una autenticación tipo empresa es más robusto que una autenticación tipo personal. Si se equilibra el funcionamiento de roaming con una buena asignación de seguridad se va a tener buenos resultados. Dependiendo del estándar hay opciones importantes, para 802.11g utilizar WPA 2 empresa con tipo de autenticación TLS+TKIP más certificación pero sin validación de servidor de autenticación y para 802.11b utilizar WPA 2 personal con un tamaño de codificación de datos 10 ASCII y codificación de datos TKIP, se concluye que en los dos casos los resultados serán los mejores. Entre mayor sea el equilibrio que se desea menos problemas y más transparente será el servicio de roaming para el cliente.
Los paquetes perdidos son causa del número de eventos requeridos que forman la comunicación entre el AP y el servidor RADIUS. Cuando un cliente ya se ha autenticado con un AP y ejecuta el proceso de roaming, los eventos se reducen a una conversación entre el cliente móvil y el AP e incluyen la desconexión, la conexión y la derivación de llaves de cifrado.
Las Figuras 2-24 a 2-28 contienen a la derecha los eventos (capturados con la herramienta Intel PROset Wireless - visor de sucesos) correspondientes a los paquetes capturados y mostrados a la izquierda (capturados con le herramienta wireshark) que se ven en el instante del roaming.
La autenticación apoyada por un servidor RADIUS es bastante segura y aunque la autenticación PSK es más rápida por el número de eventos que presenta, la autenticación con RADIUS es comparable con la PSK en el momento del roaming, debido a que su
64
diferencia es de 1 segundo como máximo en el momento de la transición con APs desconocidos y 0 segundos de diferencia en el momento de la transición con APs conocidos (ver Apéndice E y herramientas de evaluación del Apéndice A).Figura 2-24 Autenticación TLS en roaming con AP desconocido.
Figura 2-25 Autenticación PEAP- MSCHAPV2 en roaming con AP desconocido.
65
Figura 2-27 Autenticación PSK en roaming con AP desconocido.Figura 2-28 Autenticación PEAP-GTC en roaming con AP desconocido.
El roaming entre puntos de acceso conocidos reduce los paquetes perdidos a cero pero aumenta el tiempo de transmisión y recepción de paquetes en WPA al no presentar la mejora de 802.11i de preautenticación y caché de llaves. En WPA 2 se reducen las pérdidas y el tiempo de trasmisión al cumplir con 802.11i aunque sigue ocurriendo la desconexión y conexión pero la finalidad es la transparencia o reducción al máximo de la caída abrupta causada por el movimiento del cliente entre puntos de acceso.
Es totalmente importante que el servidor DHCP esté centralizado y no configurado en un AP, debe estar configurado ya sea como servicio en el mismo servidor RADIUS o un equipo de red con la opción de configuración DHCP. Esta topología ayudará en el momento de adquisición de dirección IP y no causará conflictos ya que si no está en el lugar indicado o hay más de un servidor, se presentaran problemas de direcciones IP duplicadas y de trayectos diferentes para acceder al servicio, influyendo también en los tiempos de roaming.
66
2.5 CONFIGURACIÓN Y VERIFICACIÓN DEL ROAMING PARA IEEE 802.11B/G EN
LA TOPOLOGÍA ESS SIN SEGURIDAD Y CON STREAMING