WIFI en Centros Medusa

PROYECTO MEDUSA
WIFI EN CENTROS MEDUSA.

RED INALÁMBRICA MEDUSA_WIFI
ÍNDICE:
PROYECTO MEDUSA
Gobierno de Canarias
Consejería de Educación, WIFI EN CENTROS MEDUSA
Cultura y Deportes
0. INTRODUCCIÓN ……………………………………………………………………………………………………... 2
1. UBICACIÓN Y CARACTERÍSTICAS DE LOS PUNTOS DE ACCESO (AP)……………………...……….. …... 4
2. CARACTERÍSTICAS DE LAS TARJETAS INALÁMBRICAS ………………………………………………..……5
3. CONFIGURACIÓN DE LOS PCs o PORTÁTILES PARA CONECTARLOS DE FORMA INALÁMBRICA…..6
PASO 1: Instalación de la actualización KB826942.
PASO 2: Instalación del certificado de la Entidad Emisora de Certificados MEDUSA.
PASO 3: Configuración de la conexión de red inalámbrica
4. ANEXO 1 (Documentación complementaria)……………………………………………………………………….…16
4.1 INTRODUCCIÓN AL PROTOCOLO RADIUS.
4.2 PROTOCOLO EXTENSIBLE PARA AUTENTICACIÓN (EAP).
4.3 EAP PROTEGIDO (PEAP). VENTAJAS DE PEAP.
5.- ANEXO II (Cambiar la IP a un punto de acceso)………………………………………………………………….… 20
0.- INTRODUCCIÓN.
Este documento va dirigido a los Centros Medusa de Secundaria que no tienen
la red inalámbrica Medusa_WIFI y que tengan previsto montar una red inalámbrica.
A continuación se muestra el procedimiento que describe las actuaciones y

configuraciones a realizar en los centros Medusa para poder utilizar la red inalámbrica
de Medusa.
Actualmente, instalar una red inalámbrica en un centro educativo sin utilizar

un protocolo de autenticación adecuado supone un grave peligro para el centro y la
información que circula por la red.
En Medusa hemos resuelto este problema utilizando la tecnología más

avanzada al respecto, a día de hoy. Debido a esto, no se debe instalar nunca un punto
de acceso inalámbrico sin seguir las instrucciones que detallamos en este documento.
Podemos resumir de una forma técnica la actuación WIFI que se realiza en los
centros Medusa de la siguiente manera:
• En cada centro Medusa existe un controlador de dominio (Servidor Medusa) en

el cual se instala el Servicio de autenticación de Internet (IAS), haciendo las
funciones de Servidor Radius.
• Utilizamos el protocolo de autenticación PEAP-MS-CHAP (ver anexos) y una
vez configurado el servicio IAS en el servidor Radius (Servidor Medusa) se
configurarán los clientes del servidor IAS, que en nuestro caso serán Puntos de
Acceso inalámbricos que adquiere el centro.
• Los puntos de acceso y las tarjetas inalámbricas que adquiera el centro deben
tener unas características que se describen en este documento (autenticación
WPA, PEAP, encriptación TKIP).
• En los PCs donde se instalan las tarjetas inalámbricas se debe instalar el
certificado “Medusa CA” generado por la Entidad Emisora de Certificados
Medusa para poder conectarse de forma inalámbrica.
Implantación WIFI en centros Medusa. Página: 2 de 24

PROYECTO MEDUSA
Cultura y Deportes
Con todas estas especificaciones técnicas queda patente la importancia que

le hemos dado desde el Proyecto Medusa a la seguridad en la implantación de las
redes inalámbricas en los centros Medusa. Debemos ser conscientes del problema
de seguridad que plantea instalar un punto de acceso inalámbrico en los centros,
sin seguir las instrucciones que se describen en este procedimiento. Además, para
mayor seguridad, sólo se autoriza a instalar puntos de acceso en la Red Educativa.

PROYECTO MEDUSA
Cultura y Deportes
1.- UBICACIÓN Y CARACTERÍSTICAS DE LOS PUNTOS DE

ACCESO (AP).
En primer lugar debemos tener claro a qué zona del centro se le quiere dar
cobertura inalámbrica. Además, debemos ser conscientes de que por motivos de
seguridad, los puntos de acceso inalámbricos siempre irán conectados a un punto de red
que esté en la Red Educativa. Nunca se autorizará a colocar un AP en un punto de red
que esté en la Red Corporativa. El AP, además de ir colocado en un punto de red,
necesita tener un enchufe de corriente cercano. Cuanto más alto esté colocado el AP,
mayor será su cobertura.
Una zona adecuada para colocar un AP es aquella en la que hay varios PCs (o
portátiles de profesores) y no hay suficientes puntos de red para conectarlos. Sólo se
necesita un único punto de red y un enchufe de corriente para conectar el AP. El resto
de PCs se conectarán a la red de forma inalámbrica después de instalarles una tarjeta de
red inalámbrica, tal como se describirá en este documento.
Para conseguir la seguridad en la red inalámbrica, los puntos de acceso que

adquiera el centro deben cumplir el estándar de autentificación 802.1x con WPA y
encriptación TKIP. Así mismo debe cumplir con el estándar 802.11b y 802.11g y con
la certificación WIFI.
En el Proyecto Medusa hemos homologado los siguientes AP:

• D-Link DWL-2100 AP D
Inicialmente es aconsejable comprar un único AP y realizar todas las pruebas y

configuraciones que se describen en este documento. Posteriormente se podrán adquirir
nuevos APs para cubrir diferentes zonas del centro.
La configuración detallada del AP se realiza en remoto desde el CASE de

Medusa, por lo que hay que abrir una incidencia a través de Cibercentro (902111912) o
por email tramitacion.cibercentro@gobiernodecanarias.org indicando lo siguiente:
- Código del Centro Medusa:

- Nombre del Centro Medusa:
- Persona de Contacto:
- Teléfono de la persona de contacto:
- Número de APs:
- Marca de los APs:
- Puntos de red donde se colocaran los APs:

PROYECTO MEDUSA
Cultura y Deportes
- ASUNTO: “Solicito la Activación del Servicio IAS del servidor Medusa y

necesito direccionamiento fijo de la red educativa (IPs) para los puntos de
acceso que voy a instalar”
El CASE de Medusa se pondrá en contacto con el centro facilitándoles las IPs

fijas de la red educativa y máscara de subred que se debe configurar en los APs.
El centro tendrá que hacer una configuración mínima, es decir, tendrá que poner
en el AP la IP y la máscara de subred indicada para que posteriormente el CASE se
pueda conectar al AP de forma remota y completar la configuración. Cómo cambiar la
IP a un punto de acceso suele venir descrito en el manual del AP, nosotros pondremos
como anexo la forma en la que se cambia la IP a un punto de acceso homologado ( D-
Link DWL-2100 AP D).
Una vez que el centro haya configurado la IP del AP tiene que conectar el AP al
punto de red educativa que había decidido inicialmente y a la corriente.
Una vez que tengamos esto hecho, nos ponemos en contacto con Medusa para
que los técnicos del CASE terminen la configuración de los APs. Estos técnicos se
conectarán en remoto a los APs y al servidor Medusa del centro (servidor Radius) para
terminar la instalación.
2- CARACTERÍSTICAS DE LAS TARJETAS DE RED

INALÁMBRICAS.
Para que un PC o un portátil pueda conectarse de forma inalámbrica a la red
necesita tener instalada una tarjeta de red inalámbrica que cumpla los mismos
estándares y certificaciones que el Punto de Acceso ( 802.1x con WPA y encriptación
TKIP, así como los estándares 802.11b o/y 802.11g y la certificación WIFI).
Es importante no conectar nunca un PC o un portátil al punto de red colocado en

la pared si estamos utilizando la conexión inalámbrica. Es decir, los PCs del centro que
se conecten via WIFI, no deben tener nunca conectado el latiguillo de red. Es
aconsejable deshabilitar la tarjeta de red ethernet para que no haya problemas.

PROYECTO MEDUSA
Cultura y Deportes
3- CONFIGURACIÓN DE LOS PCs o PORTÁTILES PARA

CONECTARLOS DE FORMA INALÁMBRICA.
PASO 1: Instalación de la actualización KB826942

Este primer paso no hace falta seguirlo si el PC o portátil tiene instalado el Service
Pack 2.
Para que el Windows XP soporte nativamente todo lo necesario para realizar la
autenticación mediante 802.1X es necesario tener instalado como mínimo el Service
Pack 1 y la actualización KB826942, dicho parche de actualización será proporcionado
por el CASE de Medusa o se puede obtener en
http://intraeduca.medusa.gobiernodeceanarias.net. Señalar además que esta
actualización viene incluida ya con el SP2 del Windows XP. Una vez instalada la
actualización reiniciar el equipo.
Las pantallas que aparecen al hacer doble clic sobre el KB826942 son:
.

PROYECTO MEDUSA
Cultura y Deportes
PASO 2: Instalación del Certificado de la Entidad Emisora de

Certificados de Medusa.
Todos los PCs o portátiles que vayan a conectarse de forma inalámbrica deben
tener instalados el certificado “Medusa CA”, un certificado emitido por la Entidad
Emisora de Certificados de Medusa. Este fichero (MedusaCA.cer) será proporcionado
por el CASE de Medusa tras solicitarlo a través de una incidencia a Cibercentro
(902111912). La instalación del certificado se realiza de la siguiente manera:

PROYECTO MEDUSA
Cultura y Deportes
• Pulsamos dos veces sobre el fichero del certificado (MedusaCA.cer). (Cuando

en la parte superior, en “Información del certificado” aparece un aspa roja, significa
que está sin instalar). En la pestaña General pinchar en “Instalar certificado”.
Nos aparece el Asistente para importación de certificados, pulsar siguiente.

Marcamos la opción “Colocar todos los certificados en el siguiente almacén” y hacemos
clic en Examinar.
Nos aparecerá la siguiente pantalla y marcaremos la opción “Mostrar almacenes

físicos”. Pulsamos Entidades emisoras raíz de confianza y marcamos Equipo local. Una
vez hecho esto, le damos a aceptar.

PROYECTO MEDUSA
Cultura y Deportes
Luego les saldrá esta pantalla, le damos a siguiente y posteriormente a finalizar.

PROYECTO MEDUSA
Cultura y Deportes
PASO 3: Configuración de la conexión de red inalámbrica.
Tras haber instalado correctamente el certificado de nuestra entidad emisora de

certificados deberemos configurar los parámetros de acceso de forma que puedan
adherirse a la red inalámbrica segura de MEDUSA.
En Windows XP del PC con vista clásica, pulsar Inicio->Panel de control->

Conexiones de red. En la lista de redes disponibles pulsar botón derecho en la conexión
de red inalámbrica y seleccionar propiedades.
Saldrá una ventana en la que optaremos por la pestaña redes inalámbricas. Si no

aparece la pestaña “Redes inalámbricas” es porque la red inalámbrica del PC está
deshabilitada o porque otro software relacionado con la tarjeta inalámbrica está
gestionando la misma y no permite el control a través de este menú de Windows.

PROYECTO MEDUSA
Cultura y Deportes
A continuación pulsar en el botón agregar.
En el cuadro de diálogo que aparece existen tres pestañas. La primera de ellas,

Asociación, sirve para indicar el modo en que nos queremos conectar a la red
inalámbrica. En el campo SSID introducimos el SSID que configuramos en el Punto de
Acceso Medusa_WIFI..

PROYECTO MEDUSA
Cultura y Deportes
Lo que tenemos que indicar en este diálogo es que queremos utilizar la

Autenticación de red mediante WPA con Cifrado de datos como TKIP y que la
clave de cifrado será proporcionada de manera automática (casilla La clave la
proporciono yo automáticamente en la figura). Si no nos aparece la autenticación
WPA se debe a que la tarjeta de red inalámbrica no soporta dicha autenticación por
lo que debemos actualizar los drivers de dicha tarjeta, si existen. Si hemos comprado
una tarjeta inalámbrica con las características descritas en este documento, no
tendremos este problema.
Sin pulsar aceptar seleccionamos la segunda pestaña Autenticación, marcamos la

casilla correspondiente para habilitar la autenticación IEEE 802.1X y en la lista de
tipos de EAP disponibles seleccionar EAP Protegido (PEAP). Marcar también la
opción Autenticar como equipo cuando la información de equipo esté disponible.

PROYECTO MEDUSA
Cultura y Deportes
Pulsar luego en el botón “Propiedades” para activar la opción Validar un certificado

de servidor, y seleccionar como Entidades emisoras raíz de confianza el certificado
del Servidor de Certificados de nuestra organización que instalamos anteriormente
(Medusa CA). Cómo método de autenticación seleccionamos Contraseña segura
(EAP-MSCHAP v2), habilitamos también la reconexión rápida.

PROYECTO MEDUSA
Cultura y Deportes
Como el PC no está en el dominio Medusa, pulsamos en el botón “Configurar” y

también deshabilitamos (en caso de estar habilitada) la opción Usar
Automáticamente el nombre de inicio de sesión y la contraseña de Windows del
EAP-MSCHAP v2, y pulsamos aceptar en todas las casillas para volver a la
ventana de “Propiedades de red inalámbrica”.

PROYECTO MEDUSA
Cultura y Deportes
Una vez terminada la configuración de la red inalámbrica, el PC detectará la

conexión de red Medusa_WIFI, mostrando el siguiente mensaje en la parte inferior
derecha de la pantalla.
Hacemos clic sobre este mensaje y nos saldrá la siguiente pantalla:
Escribimos el nombre de usuario y contraseña que tenemos asignado en Medusa,

y en dominio escribimos MEDUSA.

PROYECTO MEDUSA
Cultura y Deportes
Si la conexión se ha realizado con éxito, al colocarnos sobre el icono de red

inalámbrica, en la parte inferior derecha del PC, podremos ver el siguiente mensaje. La
velocidad de conexión depende de la tarjeta inalámbrica instalada.
4.- ANEXOS (Documentación complementaria)

4.1.- INTRODUCCIÓN AL PROTOCOLO RADIUS.
RADIUS (Remote Authentication Dial-In User Service) es un protocolo

ampliamente utilizado que proporciona autenticación y autorización centralizadas para
acceso a redes de todo tipo. Aunque inicialmente se desarrolló para habilitar el acceso
telefónico remoto (como su propio nombre indica) en la actualidad se usa para multitud
de aplicaciones adicionales tales como servidores de redes privadas virtuales (VPN),
acceso mediante ADSL, y por supuesto redes inalámbricas entre otras.
Una infraestructura RADIUS está formada básicamente por los clientes que
requieren el acceso, los clientes RADIUS y los servidores RADIUS. En el caso que nos
ocupa el cliente RADIUS será el punto de acceso inalámbrico que actúa, en efecto,
como cliente RADIUS desde el punto de vista de la red interna, pero actúa como
servidor de acceso desde la perspectiva de los clientes inalámbricos.
El servidor RADIUS concede o deniega el acceso de los clientes a la red interna

utilizando para la autenticación y autorización la información contenida en el controlador de
dominio. Windows 2000 Server incluye de serie un servidor RADIUS que es el que vamos a
utilizar en este documento. Dicho servidor se conoce como Servicio de Autenticación de
Internet o IAS (Internet Authentication Service).
4.2.- PROTOCOLO EXTENSIBLE PARA AUTENTICACIÓN (EAP)
El protocolo EAP (RFC 2284) se creó como una extensión al protocolo PPP que
permitiese el uso de cualquier tipo de sistema de autenticación para acceso de red. Al
contrario que en PPP, con EAP el mecanismo de autenticación no se escoge durante la
fase de establecimiento de la conexión punto a punto, sino que se negocia el sistema a
emplear entre los nodos que se comunican. Este sistema permite el uso de cualquier tipo
de método de autenticación (conocidos como tipos EAP), basta con instalar tanto en los

PROYECTO MEDUSA
Cultura y Deportes
clientes como en los servidores los controladores adecuados. Esta enorme flexibilidad
permite dotar de diversos sistemas de autenticación a las conexiones (desafío-respuesta,
certificados digitales, tarjetas inteligentes…) y se ha convertido en una tecnología
fundamental para la seguridad de las conexiones. EAP está soportado explícitamente en
la capa de conexión de la especificación 802 del IEEE y por lo tanto está soportado por
los dispositivos inalámbricos adheridos al estándar IEE 802.11x. El protocolo 802.1X
define como se debe usar EAP para autenticar a este tipo de dispositivos y de hecho es
el único protocolo de autenticación que soporta.
Windows ofrece por defecto varios tipos de autenticación EAP diferentes pero los
más interesantes son los siguientes:
EAP-MD5 CHAP: utiliza el mismo protocolo de desafío que PPP, pero

empleando mensajes EAP. Se suele utilizar para validar credenciales a partir de
nombres de usuario y contraseñas. Sin embargo no es adecuado para el caso de
las redes inalámbricas que nos ocupa por varios motivos, pero
fundamentalmente por que requiere que las contraseñas se almacenen de forma
que se puedan descifrar, algo que no está habilitado (ni conviene hacerlo) en
cuentas de dominio de Windows. Existen otras desventajas de su uso pero de
todos modos no vale la pena extenderse en ello mucho más ya que Windows XP
SP1 con la actualización KB826942 ni siquiera permite su uso en redes
inalámbricas por los motivos expuestos.
EAP-TLS: esta variante utiliza TLS (Transport Level Security) para habilitar la
autenticación en entornos de seguridad basados en certificados digitales. Es
obligatorio su uso en el caso de requerir tarjetas inteligentes, por ejemplo. El
intercambio de mensajes EAP-TLS proporciona autenticación mutua (evita
ataques de “hombre en el medio”) así como intercambio seguro de claves entre
el servidor y los clientes. En la actualidad es tal vez el método de autenticación
más seguro que existe. Es la elección más adecuada para redes inalámbricas por
muchos motivos pero fundamentalmente porque usa certificados digitales, no
depende de ninguna contraseña que el usuario deba conocer, no requiere
intervención por parte del usuario, y utiliza infraestructura de clave pública de
alta seguridad
4.3 – EAP PROTEGIDO (PEAP). VENTAJAS DE PEAP.
Aunque EAP proporciona gran flexibilidad, todos los mensajes de autenticación

intercambiados deben ser enviados en claro (sin encriptar) por lo que es posible que
sean interceptados y manipulados por un atacante. Esto es más problemático todavía en
el caso de las redes inalámbricas por la facilidad de intercepción que ofrecen. Dado que
EAP ocurre antes de que comience el cifrado de paquetes mediante WEP sería
conveniente disponer de algún sistema de protección previo. PEAP solventa el
problema creando un canal de comunicación seguro que dispone de cifrado y control de

PROYECTO MEDUSA
Cultura y Deportes
integridad utilizando para ello TLS. Después de establecer el canal seguro es cuando la
negociación EAP comienza. Es decir, primero se protege el intento de acceso del cliente
y luego se produce el proceso de autenticación y autorización. Esto permite que los
clientes que utilizan este sistema puedan usar contraseñas en lugar de certificados para
autenticarse (usando MS-CHAP v. 2). Esta solución requiere un certificado digital en el
servidor RADIUS pero no en los clientes inalámbricos. Ello tiene la ventaja de no tener
que distribuir los certificados a éstos últimos. Además ni siquiera es necesario disponer
de una infraestructura de clave pública (PKI) en nuestra red puesto que basta con
solicitar un certificado digital para el servidor RADIUS en cualquier autoridad
certificadora de terceros.
El protocolo MS-CHAP v2 utiliza un sistema de desafío-respuesta

fundamentado en los algoritmos criptográficos MD4 y DES. Este tipo de cifrado se
puede romper mediante métodos de ataque fuera de línea usando fuerza bruta o basados
en diccionarios, por lo que MS-CHAP v2 sólo no es un método totalmente seguro. Sin
embargo si lo combinamos con PEAP el intercambio de desafíos y respuestas se protege
con la alta seguridad de un canal TLS.
El proceso de autenticación mediante PEAP ocurre en dos fases claramente

diferenciadas. La primera de ellas se encarga de crear el canal TLS encriptado. La
segunda fase es la autenticación mediante otro tipo EAP diferente que ahora se lleva a
cabo de manera protegida a través del canal TLS.
Al final de la primera fase el servidor RADIUS se ha autenticado ante el cliente

inalámbrico y se ha establecido un canal de comunicación TLS encriptado entre ambos.
Para este proceso se ha usado criptografía de clave pública, no contraseñas simétricas,
por lo que la distribución de claves es segura. A través de este nuevo canal de
comunicación seguro tiene lugar la autenticación mediante alguno de los métodos EAP
disponibles.
El servidor RADIUS de Windows es capaz de efectuar una caché de la conexión

TLS establecida en la primera fase de PEAP. Este hecho se puede aprovechar para
disminuir el retraso en las conexiones inalámbricas gracias a lo que se conoce como
reconexión rápida PEAP. Si un cliente que tiene habilitada la reconexión rápida ha sido
autenticado en una ocasión se puede ahorrar la primera parte del proceso en sucesivas
conexiones dentro de una misma sesión, aprovechando el canal TLS ya creado con
anterioridad. Veamos un esquema de ejemplo de la autenticación PEAP en un entorno
Wifi:

PROYECTO MEDUSA
Cultura y Deportes
VENTAJAS DE PEAP
Esta sección describe las ventajas del PEAP en más detalle:

• Los clientes de Microsoft Windows 2000, XP y Pocket PC 2002 soportan PEAP (ya sea
nativamente o a través de una actualización del sistema), así que no es necesario instalar
un software cliente específico.
• IAS es la implementación de Microsoft de un servidor RADIUS. Windows 2000 Server
y Windows Server 2003 soportan PEAP, así que tampoco es necesario instalar un
software de servidor RADIUS específico.
• PEAP cumple con la mayoría de las reglas de seguridad EAP exigidas en la
recientemente publicada normativa IETF (disponible en http://www.ietf.org).
• PEAP usa un canal TLS para proteger las credenciales de usuario. Otros métodos
basados en contraseña (como LEAP y EAP-MD5) no crean un canal TLS y están
expuestos a ataques de diccionario.
• Usando el canal TLS desde el cliente al servidor de autentificación, PEAP ofrece
protección punto a punto, no solo sobre la transferencia de datos inalámbricos. Esto es
especialmente importante cuando un usuario móvil está usando una red pública para
acceder a una red privada.
• Con el canal TLS, PEAP oculta el tipo de EAP que está negociando para la
autenticación mutua entre cliente/servidor. Esto ayuda a prevenir un ataque mediante la
inyección de paquetes entre el cliente y el Punto de Acceso Wifi. Hay que tener en
cuenta que cada paquete enviado a través del canal TLS está encriptado.
• PEAP ofrece protección contra el uso de Puntos de Acceso Wifi no autorizados, porque
el cliente verifica la identidad del servidor RADIUS antes de proceder con la
autenticación. El Punto de Acceso Wifi no puede desencriptar los mensajes de
autenticación protegidos por PEAP.

PROYECTO MEDUSA
Cultura y Deportes
• PEAP ofrece claves seguras que son usadas para encriptar los datos de la comunicación
entre los clientes y el Punto de Acceso Wifi. Se generan nuevas claves de encriptación
para cada conexión y son compartidas con los Puntos de Acceso Wifi autorizados. A los
Puntos de Acceso Wifi no autorizados no se les envían las claves de encriptación.
• PEAP no requiere la distribución de certificados en los clientes inalámbricos. Solo el
servidor de PEAP (servidor de autenticación) necesita tener asignado un certificado. El
certificado del servidor PEAP puede ser administrado utilizando una Autoridad de
Certificación propia (CA), o adquirida a través de certificados de terceros.
• Los esquemas basados en contraseña necesitan un formato muy fuerte de contraseñas
para poder defenderse contra ataques de hackers mediante fuerza bruta. Con PEAP,
aunque todavía se debería de seguir dicha política de formato de contraseñas, las
credenciales de los usuarios no están expuestas a este tipo de ataques, puesto que dichas
credenciales están protegidas por el canal TLS.
• Microsoft ofrece soporte nativo para PEAP así el usuario puede usar la misma
información de inicio de sesión para todas las aplicaciones y conexiones de red. PEAP
se integra totalmente con las políticas de dominio de Microsoft Windows, políticas de
grupo, y scripts de inicio de sesión. Esto significa que PEAP usa la misma información
de inicio de sesión que se introduce al entrar en el sistema operativo. Alternativamente
se puede especificar que la autenticación PEAP utilice un usuario y contraseña
diferentes, si no se quiere utilizar un único inicio de sesión para los usuarios de Wifi.
Los esquemas sin TLS (LEAP y EAP-MD5) no soportan un único inicio de sesión,
scripts de inicio o políticas de grupo.
• PEAP es un estándar abierto soportado por la especificación IEEE 802.1X, y ha sido
aprobado por la IETF.
• PEAP soporta métodos de autenticación tales como EAP-TLS y EAP-MS-CHAP v2
que pueden realizar autenticación a nivel de máquina, con la ventaja de que el PC
cliente puede estar conectado a la red Wifi sin iniciar sesión en Windows.
5.- ANEXO II (Cambiar la IP a un punto de acceso)
A. ESTABLECER LA IP FIJA EN EL PUNTO DE ACCESO.

Partimos del hecho de que el CASE de MEDUSA ya ha proporcionado al centro
las IPs fijas de la red educativa necesarias para la configuración inicial.
La configuración mínima que tiene que hacer el centro en cada AP consiste en

establecer la nueva IP y máscara de subred, sustituyendo los valores que trae por
defecto.
Si el Punto de Acceso es del modelo homologado (D-Link DWL-2100 AP D) esta

dirección IP y la posterior configuración del dispositivo podría ser establecida

PROYECTO MEDUSA
Cultura y Deportes
remotamente por los técnicos de MEDUSA, al disponer de una herramienta software

para realizar estas tareas de forma remota sobre estos dispositivos. En el caso de otros
APs, el centro debe realizar la configuración mínima de cambio de IP.
CONFIGURACIÓN MÍNIMA DE CAMBIO DE IP EN LOS

PUNTOS DE ACCESO.
Nota: Pondremos como ejemplo las pantallas del modelo D-LINK DWL-2100AP.
En primer lugar debemos conectar un PC al punto de acceso a través de la red.

Para modificar la dirección IP que traen por defecto los Puntos de Acceso es necesario
que éste y el ordenador que se pretenda conectar a él, se encuentren en la misma red.
Para conseguirlo es necesario modificar la IP de ese PC.
Entrar en la pestaña de propiedades del Protocolo Internet TPC/IP, pulsando en

Inicio->Panel de Control->Conexiones de red y pulsamos sobre TCP/IP y luego sobre el
botón propiedades. Situados en la pantalla de Propiedades del protocolo Internet
TCP/IP, anotamos los datos que aparecen en ella y guardamos esas anotaciones. Ahora
modificamos los datos de esa pantalla con una dirección IP y la máscara de subred
correspondiente a la misma red que el Punto de Acceso. La IP y máscara de subred de
este dispositivo está indicada en su manual.
La dirección IP que trae por defecto el Punto de Acceso D-Link DWL-2100AP

es la 192.168.0.50 y como máscara de subred 255.255.255.0. En este caso bastaría
cambiar la IP del ordenador a 192.168.0.1. y ponerle misma máscara de subred,
255.255.255.0

PROYECTO MEDUSA
Cultura y Deportes

PROYECTO MEDUSA
Cultura y Deportes
CONECTARSE AL PUNTO ACCESO MEDIANTE HTTP.
Ejecutamos el Internet Explorer e introducimos en la barra de Dirección la IP del

Punto de Acceso para acceder a su configuración (http://192.168.0.50). Aparecerá un
cuadro de diálogo solicitando el usuario y contraseña de administración del Punto de
Acceso. Para loa modelos D-Link, el usuario por defecto es admin y la contraseña va en
blanco. Estos valores pueden variar con cada marca de Punto de Acceso.

PROYECTO MEDUSA
Cultura y Deportes
Al cabo de uno segundos aparece la ventana principal de administración del Punto de

Acceso (En la imagen se muestra la del D-Link).
La pantalla que se muestre y las opciones que presenten dependerán de la marca y

modelo del Punto de acceso.
En el caso del D-Link mostrará una pestaña Home. Pulsamos con el ratón sobre el tercer
botón de la izquierda “LAN” y ahí cambiamos la IP del Punto de Acceso y la máscara
de subred, poniendo la que nos han sido facilitados por los técnicos de MEDUSA.
Pulsamos en el botón “Apply” para que se apliquen
Cada vez que pulsemos el botón “Apply” el Punto de Acceso se resetea para guardar y
aplicar dicho cambio. Cada vez que hagamos un cambio hemos de pulsar dicho botón.
Hay que tener en cuenta que cuando realicemos el cambio de IP del Punto de Acceso
perderemos la conexión al mismo, y tendremos que modificar la IP del PC o Portátil
desde el que estábamos conectando.
En este punto debemos restablecer en el ordenador los valores que hemos modificado
anteriormente.
A partir de ahora, los técnicos de MEDUSA procederán a realizar de forma

remota la configuración de seguridad y encriptación que utilizará el Punto de Acceso
para sus comunicaciones.

WIFI en Centros Medusa

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

WIFI en Centros Medusa

Încărcat de

Drepturi de autor:

Formate disponibile

PROYECTO MEDUSA

WIFI EN CENTROS MEDUSA.

A continuación se muestra el procedimiento que describe las actuaciones y

Actualmente, instalar una red inalámbrica en un centro educativo sin utilizar

En Medusa hemos resuelto este problema utilizando la tecnología más

• En cada centro Medusa existe un controlador de dominio (Servidor Medusa) en

Implantación WIFI en centros Medusa. Página: 2 de 24

Con todas estas especificaciones técnicas queda patente la importancia que

Implantación WIFI en centros Medusa. Página: 3 de 24

1.- UBICACIÓN Y CARACTERÍSTICAS DE LOS PUNTOS DE

Para conseguir la seguridad en la red inalámbrica, los puntos de acceso que

En el Proyecto Medusa hemos homologado los siguientes AP:

Inicialmente es aconsejable comprar un único AP y realizar todas las pruebas y

La configuración detallada del AP se realiza en remoto desde el CASE de

- Código del Centro Medusa:

Implantación WIFI en centros Medusa. Página: 4 de 24

- ASUNTO: “Solicito la Activación del Servicio IAS del servidor Medusa y

El CASE de Medusa se pondrá en contacto con el centro facilitándoles las IPs

2- CARACTERÍSTICAS DE LAS TARJETAS DE RED

Es importante no conectar nunca un PC o un portátil al punto de red colocado en

Implantación WIFI en centros Medusa. Página: 5 de 24

3- CONFIGURACIÓN DE LOS PCs o PORTÁTILES PARA

PASO 1: Instalación de la actualización KB826942

Implantación WIFI en centros Medusa. Página: 6 de 24

PASO 2: Instalación del Certificado de la Entidad Emisora de

Implantación WIFI en centros Medusa. Página: 7 de 24

• Pulsamos dos veces sobre el fichero del certificado (MedusaCA.cer). (Cuando

Nos aparece el Asistente para importación de certificados, pulsar siguiente.

Nos aparecerá la siguiente pantalla y marcaremos la opción “Mostrar almacenes

Implantación WIFI en centros Medusa. Página: 8 de 24

Luego les saldrá esta pantalla, le damos a siguiente y posteriormente a finalizar.

Implantación WIFI en centros Medusa. Página: 9 de 24

PASO 3: Configuración de la conexión de red inalámbrica.

Tras haber instalado correctamente el certificado de nuestra entidad emisora de

En Windows XP del PC con vista clásica, pulsar Inicio->Panel de control->

Saldrá una ventana en la que optaremos por la pestaña redes inalámbricas. Si no

Implantación WIFI en centros Medusa. Página: 10 de 24

A continuación pulsar en el botón agregar.

En el cuadro de diálogo que aparece existen tres pestañas. La primera de ellas,

Implantación WIFI en centros Medusa. Página: 11 de 24

Lo que tenemos que indicar en este diálogo es que queremos utilizar la

Sin pulsar aceptar seleccionamos la segunda pestaña Autenticación, marcamos la

Implantación WIFI en centros Medusa. Página: 12 de 24

Pulsar luego en el botón “Propiedades” para activar la opción Validar un certificado

Implantación WIFI en centros Medusa. Página: 13 de 24

Como el PC no está en el dominio Medusa, pulsamos en el botón “Configurar” y

Implantación WIFI en centros Medusa. Página: 14 de 24

Una vez terminada la configuración de la red inalámbrica, el PC detectará la

Hacemos clic sobre este mensaje y nos saldrá la siguiente pantalla:

Escribimos el nombre de usuario y contraseña que tenemos asignado en Medusa,

Implantación WIFI en centros Medusa. Página: 15 de 24

Si la conexión se ha realizado con éxito, al colocarnos sobre el icono de red

4.- ANEXOS (Documentación complementaria)

RADIUS (Remote Authentication Dial-In User Service) es un protocolo

El servidor RADIUS concede o deniega el acceso de los clientes a la red interna

4.2.- PROTOCOLO EXTENSIBLE PARA AUTENTICACIÓN (EAP)

Implantación WIFI en centros Medusa. Página: 16 de 24

 EAP-MD5 CHAP: utiliza el mismo protocolo de desafío que PPP, pero

4.3 – EAP PROTEGIDO (PEAP). VENTAJAS DE PEAP.

Aunque EAP proporciona gran flexibilidad, todos los mensajes de autenticación

Implantación WIFI en centros Medusa. Página: 17 de 24

El protocolo MS-CHAP v2 utiliza un sistema de desafío-respuesta

El proceso de autenticación mediante PEAP ocurre en dos fases claramente

EAP-MD5 CHAP: utiliza el mismo protocolo de desafío que PPP, pero