Dispositivo OpenWrt

En el capítulo anterior se compiló el sistema LEDE/OpenWrt para el modelo de AP específico, el cual es un modelo que predomina en la mayoría de las facultades y centros de la UCLV. Para la evaluación de la arquitectura se utilizó este modelo de AP de los que se emplearán para brindar servicios en la red WLAN de la UCLV, del fabricante TP-LINK

modelo TL-WDR3600 (N600 Wireless Dual Band Gigabit Router) con una velocidad de 300 Mbps en las bandas de frecuencias de 2.4 GHz compatible con los estándares IEEE 802.11b/g/n y 5 GHz con los estándares IEEE 802.11a/n. Los AP soportan en cuanto a la seguridad WEP, WPA-PSK/WPA2-PSK, y WPA y WPA2 Empresarial, WPS y Filtrado de direcciones MAC. Estos AP pueden ser gestionados a través de SSH o de una interfaz WEB empleando HTTPS [33]cumpliendo con los requisitos de la arquitectura propuesta.

Para cambiar el sistema operativo propietario del dispositivo por el sistema OpenWrt, es necesario resetear el AP a sus ajustes de fábrica para poder acceder a su interfaz web sin ninguna inconveniencia. Generalmente los AP poseen por la parte trasera, la IP por la que se debe acceder para comenzar su configuración, así como los accesos para entrar de forma correcta. La figura 3.1 muestra la Interfaz Gráfica de Usuario GUI del TP-Link WDR3600.

36 Figura 3.1 Interfaz Gráfica de Usuario GUI del TP-Link WDR3600 Fuente: Router TP-Link WDR3600

La figura anterior muestra la configuración de fábrica de un AP TP-Link WDR3600, dónde se puede navegar por su menú izquierdo. Al explorar las opciones, el usuario puede darse cuenta que existen muchas limitaciones en las posibles configuraciones por parte de los fabricantes. Es ahí donde OpenWrt rompe esquemas, debido a que es un sistema basado en Linux donde se pueden realizar configuraciones personalizadas. Dígase, monitores SNMP v3 de lectura y escritura, servicio DHCP, freeRADIUS, squid proxy, firewall y configuraciones inalámbricas AP router-client. Por tanto, para sobrescribir el sistema OpenWrt en el nuevo dispositivo es necesario dirigirse, a través del Menú izquierdo a “System Tools > Firmware Upgrade” y en la nueva ventana se brinda la opción de seleccionar el archivo desde una localización del cliente y un botón para hacer upgrade. Al cargar la imagen y actualizar es necesario que el dispositivo inalámbrico esté conectado por el puerto WAN, que para este modelo sería un puerto azul en la parte trasera del AP.

Una vez instalado el nuevo sistema, el AP se reinicia automáticamente y como se compiló con el agente OpenWisp, con una clave compartida de la organización UCLV, el agente se registra por primera vez en el controlador OpenWisp con FQDN: wifiservice.uclv.cu. Donde le brinda la MAC que posee y el IP que se le asignó por la red universitaria. Para el caso de la UCLV, las plantillas que están activas por defecto en el controlador van a ser

37 asignadas automáticamente como configuraciones adicionales en los nuevos AP con el sistema OpenWrt, respetando las configuraciones específicas que se realicen la interfaz del nuevo AP. La figura 3.2 muestra la interfaz del nuevo sistema con OpenWrt y un usuario conectado.

Figura 3.2 Interfaz Gráfica de Usuario GUI del TP-Link WDR3600 con OpenWrt. Fuente: Router TP- Link WDR3600

La figura anterior demuestra que se creó satisfactoriamente un radio inalámbrico utilizando el protocolo 802.11n (2.4GHz), con encriptación estándar CCMP [34] en cuanto se instaló el sistema OpenWrt en el TP-Link, debido a que el dominio de Linux openwisp_config se conecta automáticamente al servidor, descarga las configuraciones asignadas y las implementa en el dispositivo inalámbrico.

Debido a que el AP se configura de forma remota a través de la web del controlador, no existe la necesidad de ir a la ubicación del dispositivo, ni configurar manualmente uno a uno, esto sería una tarea engorrosa en la UCLV. Este sistema garantiza seguridad y confiabilidad debido a que todas las autenticaciones que se realicen en los AP que soporten la plantilla wifi_uclv utilizaran PEAP con MSCHAPv2 mediante un certificado válido emitido en la UCLV.

La figura 3.2 muestra que existe un usuario registrado, por tanto, como cada AP registra los logs en el servidor remoto wificontroller.uclv.cu, los logs correspondientes a la autorización de este dispositivo, así como la autenticación se guardaron en un fichero por parte del servicio de Rsyslog. La figura 3.3 muestra los pasos que se realizaron para la autenticación de dicho usuario.

38 Figura 3.3 Logs de Rsyslog para un usuario

La figura anterior muestra el log del AP, la primera columna muestra la fecha en que se realizó el evento de autenticación, la segunda columna muestra el nombre del AP al que se le conectó el cliente, que para este caso es di-salon un área de la dirección de informatización. Este nombre de cliente se puede identificar en el controlador de OpenWisp, así como su IP y MAC correspondiente. La tercera columna de la imagen anterior muestra el servicio que se utiliza en la sintaxis de logs, que en este caso se corresponde al servicio “hostapd”. Este servicio se refiere a la encriptación que se va a soportar, que para este caso es WPA2-Enterprise, esto significa que el cliente para autenticarse necesita ser validado por un servidor de RADIUS, que para este ejemplo es el servidor con FQDN: wifiradius.uclv.edu.cu el cual fue descrito en el capítulo 2. La cuarta columna se refiere a la interfaz que está emitiendo el log, aquí se refiere a la interfaz wlan 0 que fue creada en la plantilla “wifi_uclv” en el controlador OpenWisp. La quinta columna se refiere a la información contenida en el servicio, dígase MAC de la estación como protocolo utilizado para la autenticación.

A modo de resumen, primero se establece la conexión con el AP, este reenvía la solicitud al servidor de RADIUS con los datos del cliente (MAC), luego el servidor de RADIUS como está configurado en modo proxy contra el Directorio Activo de la UCLV pide usuario y contraseña una vez verificado si es válida la MAC del dispositivo. Si todo sale bien, el usuario puede beneficiarse de la red inalámbrica. La figura 3.4 muestra este proceso en detalle.

39 Figura 3.4 Proceso Cliente – AP – Servidor RADIUS para la autenticación. Fuente: Autor

Como puede verse, la autenticación se lleva a cabo por medio de un mecanismo de “reto- respuesta” siguiendo un modelo similar al mecanismo de autenticación en WPA2.

Luego del proceso de autenticación, si se aprueba la conexión por parte del servidor de RADIUS, el AP va a servir al cliente inalámbrico con DHCP y DNS para que el dispositivo pueda comunicarse con la red LAN externa ya que va a encontrase en la LAN aislada del AP, para no interferir con los servicios que se brinden en la LAN de la UCLV.