Sistema WiFi

Introducción

El avance de las nuevas tecnologías en el ámbito de la educación hace presagiar que, en un futuro próximo, todos los miembros de la comunidad escolar necesitarán un dispositivo de acceso individual a las distintas redes informáticas (redes locales, redes intercentros y por supuesto Internet), que disponga de un nivel de acceso, seguridad y funcionalidad adecuado. De hecho, los currículos actuales ya incluyen contenidos que implican el uso de las nuevas tecnologías a través de dispositivos personales que, debido a su gran número, variedad y ubicuidad, difícilmente podrán estar conectados a una red cableada. Sean cuales fueren estos dispositivos -ordenadores portátiles, tabletas, Chromebooks, teléfonos móviles y otros que pueden incorporarse en el futuro- , todos ellos tienen en común en hecho de que su uso cotidiano exige una conexión inalámbrica (WiFi).

Los centros educativos públicos pertenecientes al ámbito de gestión del Gobierno de Navarra, -colegios, institutos, centros de Formación Profesional, etc-- se encuentran geográficamente distribuidos a lo largo y ancho de toda la Comunidad Foral. Aunque tengan rasgos muy diversos, y estén dispersos geográficamente, resulta muy conveniente que todos ellos compartan una misma infraestructura WiFi, la cual define el estándar de conexión inalámbrcia de todos los centros educativos públicos.

Mapa físico de la infraestructura WiFi

El diseño de la red WiFi a nivel físico consiste en una arquitectura distribuida, en que todos los puntos de acceso inalámbricos (APs) de cada centro trabajan en colaboración para proporcionar las funcionalidades necesarias, sin necesidad de una controladora física.

Aunque el sistema inalámbrico es independiente para cada centro, lo cual supone que este se comporta como una isla, y sus APs se agrupan en grupos o clústers individuales, la configuración para cada centro es idéntica. En efecto, todos ellos tienen la misma configuración y proporcionan los mismos servicios inalámbricos (SSIDs). Lo único que difiere entre ellos son las subredes o VLANs, los direccionamientos, las identificaciones del hardware (APs, switches, etc.) y la autorización de acceso a los diferentes servicios.

En cada centro existen tres servicios inalámbricos o SSIDs -Educacion, Invitados y Monitores- ,que son los nombres que la WiFi emite en su propagación.

Por otro lado, en cada centro existen dos direccionamientos dedicados a la WiFi; que tienen la capacidad suficiente para poder acoger simultáneamente a todos los dispositivos clientes que se conecten. Concretamente, cada uno de los direccionamientos puede admitir hasta 1024 dispositivos clientes, totalmente independientes de las demás redes del centro.

Figura 1- Esquema general de la WiFi de Educación

Esquema de conexión del sistema. Mapa lógico AAA (autenticación, autorización y contabilidad)

El esquema lógico del sistema WiFi es un estándar común para todos los centros educativos, lo cual significa que todos ellos comparten un mismo sistema de autenticación y autorización.

La autenticación, tal como muestra la siguiente figura, se lleva a cabo en los servidores Radius (ClearPass) en conjunción con el servidor LDAP del Departamento de Educación. La autenticación solo se establecerá si el usuario pertenece a la organización, y demuestra su identidad, lo cual requiere la introducción del nombre de usuario y contraseña de Educa.

El requisito de pertenecer a la organización (disponer de una cuenta de Educa), es obligatorio pero no suficiente, ya que para estar completamente conectado a la red, además se debe superar un proceso de autorización. Este funciona de la siguiente manera: una vez que el usuario ha sido autenticado por el sistema, su equipo recibirá la IP correspondiente a la red del centro donde se encuentre (en el servicio o SSID “Invitados” se asigna la IP antes del proceso de autenticación). Hecho esto, el sistema determinará si se cumplen los requisitos de autorización para que el equipo pueda conectarse, ya autenticado, hacia Internet u otras redes.

El proceso de autorización lleva a cabo dos verificaciones diferentes:

  • El usuario será autorizado si cumple con la restricción de pertenencia al centro y su nombre de usuario tiene el rol exigido en cada centro (docente, estudiante, etc.) para cada servicio o SSID. Si no cumple esta condición el sistema lo desconectará de la WiFi. Los profesores y profesoras tienen autorización para conectarse a todos los centros que utilizan este sistema.
  • La segunda verificación tiene que ver con el perfil de navegación concedido cuando el tráfico atraviesa el cortafuegos; dependiendo del grupo al cual pertenezca el usuario autorizado, el cortafuegos otorgará un perfil de navegación adecuado:: perfil de profesor, de alumno, de invitado u otros. De este modo es posible establecer condiciones de uso diferentes en función de los distintos perfiles, y, por ejemplo restringir para ciertos perfiles el acceso a determinados recursos de la red, prohibir el acceso a determinados servicios o aplicaciones, etc

La siguiente imagen muestra el proceso de autenticación y autorización de un usuario en un centro. En este caso, el usuario tiene el rol de profesor, y por tanto obtiene un perfil de navegación adecuado al grupo de profesores.

Figura 2 - Proceso de autenticación y autorización

Estructura organizativa de usuarios de Educación en el sistema WiFi

El sistema organizativo de usuarios para los miembros de la comunidad escolar del Gobierno de Navarra se organiza mediante un directorio. Este directorio consta únicamente de personas (padres y madres, alumnos y alumnas, profesores y profesoras, miembros del personal no docente), que están organizadas en grupos, dependiendo del rol que desempeñan en la organización.

Estos grupos se constituyen a partir del centro al cual pertenecen sus integrantes, pero también en otros grupos más generales. Existen cinco grupos por cada centro -alumnos, profesores, inspectores, director y equipo directivo-, además de algún grupo general, como por ejemplo el de profesores de la ensñanza pública.

Se debe tener en cuenta que ninguna persona dispone de más de una cuenta en el sistema, pero que una misma persona puede tener varios roles distintos y por tanto pertenecer a más de un grupo. Por ejemplo, el director de un centro, no solo es director, sino también profesor y miembro del equipo directivo; por tanto, pertenece a tres grupos diferentes, aunque solamente exista una cuenta correspondiente a la persona que estamos mencionando en el ejemplo.

La siguiente imagen muestra la estructura del directorio de usuarios de Educación:

Figura 3 - Estructura de usuarios en Educación

La estructura organizativa de usuarios para el sistema WiFi no coincide totalmente con la de usuarios de Educación, ya que aquella incluye a todos estos usuarios y añade además a otros, como por ejemplo los invitados. Además, algunos de los usuarios de la red WiFi podrían no ser personas, sino equipos; en este momento, el directorio no contempla la existencia de cuentas de equipos, pero podrían incorporarse en el futuro.

Todo lo anterior implica que el acceso a la WiFi de los usuarios que no pertenecen a la organización o no son personas exige que se autentiquen contra una fuente de datos diferente a la del directorio de Educación. A continuación inlcuimos una imagen que ilustra cómo será la autenticación en un futuro. Como puede verse en ella, actualmente no solo se pueden autenticar los miembros del directorio, sino también algunos equipos, identificados por sus direcciones MAC.

Figura 4 - Autenticación de usuarios

Permisos de autenticación y autorización, y perfiles de navegación

La tabla que aparece al final de este epígrafe responde, de forma sintética, a distintas preguntas sobre los usuarios que pueden acceder a la WiFi de Educación y sus correspondientes perfiles de navegación

  • Quién se puede conectar: profesores y profesoras, alumnos y alumnas, miembros del personal de administración, y usuarios invitados.
  • Donde se pueden conectar: algunos perfiles pueden conectarse en todos los centros, y otros solo al centro al que pertenecen.
  • Algunos perfiles se pueden conectar a todos los servicios inalámbricos (SSIDs Educación e Invitados) y otros solo al servicio SSID Invitados.
  • Cuándo se pueden conectar: algunos perfiles se pueden conectar en todo momento, y otros solo durante el horario establecido al efecto..
  • Qué perfil de navegación tiene el usuario: algunos pueden conectarse sin restricciones y a otros se les aplica el filtrado de URLs o el filtrado de aplicaciones.
    Servicio
SSID Educacion SSID Invitados
Quién Profesores
Alumnos
Personal no docente
Invitados No
Dónde Profesores Todos los centros Todos los centros
Alumnos Solo su centro Solo su centro
Personal no docente Solo su centro Solo su centro
Invitados< No Autoregistro
Cuándo Todos 7h a 22h 7h a 22h
Cómo Profesores Perfil profesor Perfil profesor
Alumnos Perfil alumno Perfil alumno
Personal no docente Perfil profesor Perfil profesor
Invitados Perfil invitado Solo navegación web