Para el presente anio (2014) se estan planteado los siguientes 7 trabajos de tesis de
pregrado. Los primeros 6 proyectos están relacionados a la expansión de la red WiFi del campus PUCP y están destinados a cubrir
requerimientos actuales de la DIRINFO, por lo que se tratara de conseguir algún
tipo de soporte y/o financiamiento. Asimismo, se están evaluando proyectos
adicionales en el área de redes definidas por software (SDN) y otros en
cooperación con la compañía panameña Centauritech.
Alumnos interesados en estos temas deberán contactar el Dr. Cesar A.
Santivanez (csantivanez@pucp.pe).
El diseño efectivo de una red inalámbrica necesita
de un mapa de atenuaciones (“mapa de calor”) que permita predecir el nivel de
señal en un punto de la red como consecuencia de un transmisor ubicado en otro
punto. Este mapa de atenuaciones puede ser usado para determinar, para una
combinación dada de puntos de acceso (Access Points,
o APs) el nivel de señal e interferencia en cada
punto geográfico de la red, y determinar así huecos de cobertura y puntos de
bajo nivel de señal-a-ruido (resultantes en un bajo bitrate).
Asimismo este mapa de atenuación es el punto de partida para cualquier análisis
de cobertura, ya sea de una red de sensores del espectro electromagnético, de
detectores de etiquetas RFIDs, etc.
Existen dos tipos principales de atenuación: la que
se debe a obstáculos y cambia con la posición del usuario, osea
lentamente (“slow fading”) y la que se debe a la
combinación destructiva de varios reflejos de la señal que llegan fuera de fase
debido a diferencias en la longitud del camino recorrido. Esta ultima atenuación
es susceptible a cambios de posición del orden de una longitud de onda y por lo
tanto varia muy rápidamente (“fast fading”). De
hecho, se le suele tratar como una variable aleatoria donde la función de
densidad de probabilidad (pdf) depende de la existencia
o no de un reflejo de señal dominante. Por ejemplo, de no existir un reflejo
dominante se utiliza la distribución de Raleigh.
Existen modelos empíricos para modelar el “slow fading” en presencia de obstáculos. Estos modelos solo
tienen una fidelidad pequeña. Una fidelidad alta solo se consigue con
mediciones (varias, para eliminar el efecto del “fast
fading”). Asimismo, el “fast fading” se puede modelar
con uno de los pdf conocidos, pero una fidelidad alta
solo se conseguirá con muchas mediciones para determinar el rango de valores o
la pdf que la atenuación puede tomar.
La presente tesis busca levantar un mapa de
atenuación del campus de la PUCP. Usando una combinación de modelos predictivos
en base a planos de los edificios de la PUCP (dimensiones y obstáculos), junto
con mediciones reales para evaluar la precisión de los modelos y corregirlos
según sea el caso, la tesis proveerá al área de gestión de la red WiFi PUCP información de la atenuación esperada entre dos
puntos del campus en un formato que pueda ser aprovechado por su herramienta de
gestión (el PRIME de Cisco).
Una red WiFi para un
campus como la PUCP, consiste de cientos de access points (APs), muchos de ellos
dentro del rango de comunicaciones o interferencia de otros APs.
Si usuarios móviles conectados a estos APs operan en
la misma frecuencia (canal), pues interferirán los unos con los otros,
reduciendo el throughput (cantidad de información que
la red puede transmitir). Asimismo, al operar la red WiFi
sobre una banda del espectro de acceso libre, no hay garantía que otros
dispositivos (teléfonos fijos inalámbricos, hornos microondas, dispositivos bluetooth, etc.) no estén operando/radiando en algunos de
los mismos canales (interferencia o ruido). Entonces, uno de los factores más
importantes para la performance de una red inalámbrica es la selección de el
(los) canal(es) de operación, a fin de maximizar el reúso espacial del espectro
entre usuarios de la red y minimizar la interferencia debido a dispositivos
externos (ruido).
El punto de partida para un algoritmo de selección
del canal de operación es determinar la calidad o estado del espectro
electromagnético en los canales de interés: que canales se encuentran libres de
interferencia, que canales son mas ruidosos? Que canales experimentan mayor
caída o fading de señal, etc. Sin embargo, el sensado
del canal es una operación costosa. Por un lado, si es efectuado por el mismo
AP, requerirá interrumpir temporalmente la transmisión de datos para proceder a
escanear el canal, lo que disminuye el throughput y
ocasiona retardos que pueden ser inaceptables para aplicaciones criticas como
voz y video en tiempo real. Por otro lado, si es efectuado por hardware
dedicado, el costo de este hardware es comparable al costo de los APs. Lo mas probable es que una solución hibrida sea
necesaria: en áreas de poca trafico se pueda utilizar un AP para el sensado durante los tiempos muertos (osea,
no hay comunicación), mientras que en zonas de alto trafico se requerirán
módulos de sensado dedicados. Asimismo, una solución
donde un sensor es co-localizado con cada AP es muy
costosa y probablemente innecesaria. Dado que para sensar
ruido (detección de energía) se necesita una relación señal a ruido (SNR) menor
que la necesaria para establecer una comunicación (decodificar un paquete a un
alto bitrate), el rango de sensado
es mayor al rango de comunicaciones. Entonces, la densidad de sensores
necesaria para efectivamente escanear el espectro en toda la red es menor a la
densidad de APs necesaria para garantizar total
cobertura (a un bitrate adecuado) en la red.
Esta tesis busca determinar el numero y ubicación de
módulos de sensado de espectro necesarios para
caracterizar el espectro electromagnético en el campus de la PUCP. El diseño
será validado con simulaciones sobre mapas de calor (capturan el pathloss, o perdida de señal, entre cada 2 puntos del
campus de la PUCP), y de concretarse la compra de los módulos de sensado por DIRINFO (proceso actualmente en evaluación) se
validara con experimentos sobre la red de sensores instalado.
Las redes WiFi, al
compartir el medio de transmisión (el espectro electromagnético) son
vulnerables a una serie de ataques. El rango de vulnerabilidades de la red WiFi de la PUCP va desde el visitante/alumno que establece
su propia red WiFi, inadvertidamente causando
interferencia o degradando la calidad de experiencia de usuarios autorizados
desde el campus, hasta el atacante malicioso que establece una red WiFi con las misma identidad (SSID) que la red de la PUCP
con la intención de hacerse pasar por un AP valido de la PUCP y así capturar el
trafico de los usuarios WiFi PUCP (ataque “Honeycomb”).
Dado que la PUCP esta migrando a un sistema de
seguridad WiFi basado en clave WAP individual (por
usuario), y autenticación 802.1x, y donde las autorizaciones de acceso (así
como la asignación de VLAN) están asociadas al perfil del usuario, la red WiFi se vuelve atractiva para el ataque del tipo “Honeycomb” arriba mencionado: un atacante localizado dentro
o cerca del campus puede irradiar desde un AP tratando de hacerse pasar por un
AP valido de la WiFi PUCP para así conseguir que
usuarios se conecten a el, revelando sus certificados o claves de acceso.
Armado con estas claves (y de corresponder a usuarios con altos privilegios),
el atacante puede entonces tener acceso a recursos críticos de la universidad.
Por esa razón, es importante contar un sistema que
constantemente escanee el espectro electromagnético en el campus, identifique
AP intrusos, y los neutralice. Por ejemplo, los AP de la red WiFi PUCP (Cisco Aironet 3600 y
3700) y sus controladores (Cisco’s WLC 5508 y WLC
5760) cuentan con el sistema wIPS (wireless Intrusion Prevention System – sistema
de prevención de intrusos inalámbricos). No obstante, para operar
correctamente, este sistema requiere de información oportuna sobre la actividad
sospechosa en las bandas de operación de la red WiFi
PUCP.
Sin embargo, el sensado
del canal es una operación costosa. Por un lado, si es efectuado por los Puntos
de Acceso (Access Points, o APs)
que ya están en operación sirviendo trafico de usuarios, requerirá interrumpir
temporalmente la transmisión de datos para proceder a escanear todos los
canales de la banda de operación, lo que disminuye el throughput
y ocasiona retardos que pueden ser inaceptables para aplicaciones criticas como
voz y video en tiempo real, sobretodo si el AP intruso es altamente móvil o
dinámico (p.ej., cambia constantemente de canal de operación), lo que obliga a
un sensado mas frecuente si se quiere garantizar una
probabilidad alta de detección. Por otro lado, si es sensado
es efectuado por hardware dedicado, el costo de este hardware es comparable al
costo de los APs. Lo mas probable es que una solución
hibrida sea necesaria: en áreas de poca trafico o donde se espera poca
movilidad de los AP intrusos se pueda utilizar un AP para el sensado durante los tiempos muertos (osea,
no hay comunicación), mientras que en zonas de alto trafico o alta movilidad se
requerirán módulos de sensado dedicados. Asimismo,
una solución donde un sensor es co-localizado con
cada AP es muy costosa y probablemente innecesaria. Dado que para detectar AP
intrusos (decodificación de “beacons” del bitrate mas bajo) se necesita una relación señal a ruido
(SNR) menor que la necesaria para establecer una comunicación (decodificar un
paquete de un bitrate alto), el rango de detección de
APs intrusos es mayor al rango de
comunicación/cobertura. Entonces, la densidad de detectores necesaria para
efectivamente escanear el espectro en toda la red es menor a la densidad de APs necesaria para garantizar total cobertura (a un bitrate adecuado) en la red.
Esta tesis busca determinar el numero y ubicación de
módulos de sensado/detección de AP intrusos
necesarios para monitorizar el espectro electromagnético del campus de la PUCP.
El diseño será validado con simulaciones sobre mapas de calor (capturan el pathloss, o perdida de señal, entre cada 2 puntos del
campus de la PUCP), y de concretarse la compra de los módulos WSSI de sensado/detección por DIRINFO (proceso actualmente en evaluación)
se validara con experimentos sobre la red de sensores instalado.
La tecnología RFID (Radio Frecuency
IDentification) permite identificar y rastrear
etiquetas pegadas a objetos de interés. La localización vía etiquetas RFID ha
encontrado gran aceptación para aplicaciones desde logística (ubicación de
activos dentro de un campus), hasta la ubicación de usuarios móviles para, por
ejemplo, facilitar el registro de asistencias, o el envió de contenido
relacionado a su ubicación: restaurantes cercanos, información relacionada a
las piezas en exhibición en una sala de un museo, etc..
La red WiFi PUCP consiste
de cientos de Access Points (APs)
cubriendo todo el campus. Al operar en la misma banda de frecuencia de
etiquetas RFID activas, estos AP tienen la posibilidad de detectar estos
dispositivos, y con la ayuda de un sistema de gestión que recolecte la
información de varios AP y efectúe su triangulación, puede localizar estas
etiquetas dentro del campus. Actualmente la PUCP esta evaluando adquirir este
tipo de sistema.
Sin embargo, el uso de los AP existentes para rastreo
de etiquetas RFIDs no es tan simple. Para una
ubicación correcta, se requiere que al menos 3 APs
observen una etiqueta RFID. Pero el reúso espacial del espectro (que minimiza
interferencia y maximiza la cantidad de información que la red puede transportar)
obliga a que AP cercanos estén operando en canales (frecuencias) diferentes y
ortogonales, es decir, sin traslape para no interferir. Eso significa que para
ser efectivos en la detección de etiquetas RFIDs, los
AP tendrán que escanear todo el espectro, y no solo su canal de operación (es
decir, el que usan para transmitir y recibir comunicaciones de datos WiFi). Pero el escaneo de otros canales requiere
interrumpir temporalmente la transmisión de datos, lo que disminuye el throughput (cantidad de datos enviados) y ocasiona retardos
que pueden ser inaceptables para aplicaciones criticas como voz y video en
tiempo real. Por otro lado, un mayor intervalo (digamos segundos) entre
escaneos sucesivos del canal donde una etiqueta RFID activa se encuentra operando,
puede significar que el AP falle en detectar una etiqueta RFID que se mueva con
gran velocidad. Entonces, existe un compromiso o balance entre la frecuencia de
sensado, la calidad de la experiencia de los usuarios
WiFi, y la velocidad máxima de dispositivos (con
etiqueta RFID) que puede ser rastreado.
Una alternativa es complementar los APs existentes con dispositivos de sensado
del espectro, como los módulos WSSI de Cisco, que se insertan en los AP Cisco Aironet 3600 y 3700 que dispone la red WiFi
PUCP. Estos módulos tienen un costo relativamente elevado (cientos de dólares
cada uno), y por tanto su numero y ubicación deben ser determinados con sumo
cuidado, basados en los niveles de congestión de trafico de la red WiFi y la movilidad esperada de las etiquetas RFID a
rastrear (optimización).
Por ejemplo, una solución donde un modulo de sensado es instalado en cada AP es muy costosa y
probablemente innecesaria. Dado que el bitrate de las
etiquetas RFID activas es menor al bitrate de
comunicación de datos, la relación señal-a-ruido (SNR) necesaria para detectar
una etiqueta RFID es menor a la necesaria para una comunicación de datos. Es
decir, el rango de detección de etiquetas RFID es mayor al rango de cobertura WiFi. Entonces, la densidad de detectores necesaria para
efectivamente escanear el espectro en toda la red es menor a la densidad de APs necesaria para garantizar total cobertura (a un bitrate adecuado) en la red.
Esta tesis busca determinar el numero y ubicación de
módulos de detección necesarios para garantizar el rastreo de etiquetas RFID
activas moviéndose por el campus a cierta velocidad máxima (un parámetro de
diseño). El diseño será validado con simulaciones sobre mapas de calor
(capturan el pathloss, o perdida de señal, entre cada
2 puntos del campus de la PUCP), y de concretarse la compra de los módulos de sensado por DIRINFO (proceso actualmente en evaluación) se
validara con experimentos sobre la red de sensores instalado.
Una red WiFi para un
campus como la PUCP, consiste de cientos de access points (APs) sirviendo a los
usuarios móviles. Entre las capacidades de estos Access Points
esta la triangulación de la señal de cada usuario para así determinar su
localización. En la red WiFi PUCP esta capacidad
puede ser provista por el modulo MSE (Mobility Service Engine) de Cisco, que la
universidad esta evaluando adquirir. Dicho modulo permite la ubicación
instantánea de los usuarios móviles así como de etiquetas RFID. Esta
información puede ser exportada a una aplicación externa para procesamiento,
compresión y/o almacenamiento.
La disponibilidad de data histórica sobre la
ubicación de usuarios es de suma importancia para la gestión de la red WiFi ya que permite realizar análisis forense sobre quejas
de usuario (“esta mañana estuve por el pabellón Z y tuve pésima señal”),
determinar traspasos o violaciones de seguridad, analizar patrones de
movimiento de usuarios por horas para dimensionar la red, etc.
Por otro lado, el almacenamiento de toda la
información provista por el sistema puede rápidamente sobrepasar la capacidad
de almacenamiento disponible. Además, para que la información sea de utilidad
tiene que estar indexada de forma tal que permita relacionar información de
alto nivel (“soy alumno X”) con la información provista por el sistema MSE (MAC
address del dispositivo móvil). Por ejemplo, esta
relación puede ser obtenida revisando los logs del
sistema de autenticación RADIUS (usando 802.1x) donde se puede ver con que
dispositivo el alumno X se registro en la red del campus en un momento dado.
Esta tesis busca diseñar e implementar un sistema de
almacenamiento y procesamiento de información de localización de usuarios que
facilite el análisis forense y de gestión de la red WiFi
PUCP. El sistema deberá comunicarse con el modulo MSE de Cisco, almacenar la
data en forma sensata y de acuerdo a políticas establecidas por el área de
gestión, y proveer herramientas de análisis y alertas requeridas para la
gestión efectiva de la red.
La nueva red WiFi de la
PUCP tiene la capacidad AVC (“Application Visibility and Control”) de inspeccionar los paquetes que
transporta, identificar la aplicación a la que pertenecen, y recolectar
información instantánea sobre el estado de estas aplicaciones (p.ej., ancho de
banda que estas consumen). Esta información puede luego ser usada asignar “tags” o marcas a los paquetes para indicar un diferente
trato (calidad de servicio) a estos paquetes a medida que estos atraviesan la
red. Por ejemplo, se puede prevenir que usuarios viendo videos en YouTube
acaparen el ancho de banda de su región de la red.
La información AVC que la red recolecta, puede
visualizada en forma instantánea en una interface web o puede ser exportada
(formato Netflow export
versión 9) para ser almacenada/procesada fuera de línea.
La disponibilidad de data histórica sobre el estado
de las aplicaciones (p.ej., consumo por hora en MBytes)
es de suma importancia para la gestión de la red WiFi
ya que permite realizar análisis sobre el impacto de las diferentes
aplicaciones sobre la calidad de experiencia de usuarios, y tomar las medidas
pertinentes para el mejoramiento de esta. Permite además evaluar tendencias y
tomar decisiones sobre la actualización/re-potenciamiento de la red, o
determinar políticas de acceso o gestión de ancho de banda. Por otro lado, el almacenamiento de toda la
información provista por el sistema puede rápidamente sobrepasar la capacidad
de almacenamiento disponible. Además, para que la información sea de utilidad
tiene que estar indexada de forma tal que permita su rapido
procesamiento y evaluación de tendencias.
Esta tesis busca diseñar e implementar un sistema de
almacenamiento y procesamiento de información AVC que facilite el análisis del
uso y calidad de experiencia de las aplicaciones que corren sobre la red de la
PUCP, y permita la gestión del ancho de banda de la red WiFi
PUCP. El sistema deberá comunicarse con el modulo AVC de Cisco utilizando el
formato Netflow export vetrsion 9, almacenar la data en forma sensata y de acuerdo
a políticas establecidas por el área de gestión, y proveer herramientas de
análisis y alertas requeridas para la gestión efectiva de la red.
Una red WiFi para un
campus como la PUCP, consiste de cientos de access points (APs), muchos de ellos
dentro del rango de comunicaciones o interferencia de otros APs.
Si usuarios móviles conectados a estos APs operan en
la misma frecuencia (canal), pues interferirán los unos con los otros,
reduciendo el throughput (cantidad de información que
la red puede transmitir). Una reducción en la potencia de transmisión de los APs puede ayudar a mitigar la interferencia, pero se corre
el riesgo de dejar áreas con poco nivel de señal (“huecos de cobertura”) o introducir asimetrías que afectan la
integridad de los protocolos (p.ej. algunos APs
pueden oír pero no ser oídos por otros APs, osea so “hidden nodes” o “hidden APs”).
Asimismo, al operar la red WiFi
sobre una banda del espectro de acceso libre, no hay garantía que otros
dispositivos (teléfonos fijos inalámbricos, hornos microondas, dispositivos bluetooth, etc.) no estén operando/radiando en algunos de
los mismos canales (interferencia o ruido).
Finalmente, no todos los APs
experimentan los mismos requerimientos de trafico/congestión, y por lo tanto
algunos APs son mas tolerantes a la interferencia que
otros. Si no es posible eliminar la interferencia en toda la red, al menos se
puede priorizar a los APs en áreas de congestión
alta.
Entonces, uno de los factores más importantes para
la performance de una red inalámbrica es la selección de el (los) canal(es) de
operación y su potencia de transmisión, a fin de maximizar el reúso espacial
del espectro entre usuarios de la red y minimizar la interferencia debido a
dispositivos externos (ruido).
Esta tesis busca evaluar/diseñar algoritmos de
selección de canal y potencia de transmisión que tomen en consideración los
diferentes niveles de congestión de los APs. Los
algoritmos serán comparados vía simulación con los algoritmos corriendo
actualmente en la red WiFi PUCP (usando la información
del estado de espectro y congestión provista por esta red, así como el
resultado de su asignación de frecuencias y potencia de transmisión) así como implementados en una pequeña testbed usando el controlador de redes inalámbricas de
código abierto SCIFI (“Software-based Controller for Efficient Wireless Networks”).
·
El Grupo de Investigación en Redes
Avanzadas (GIRA) esta adquiriendo los equipos necesarios para formar un GENI rack y un testbed para redes definidas por software (SDN). Esto nos
permitirá (a través de nuestra conexión a RedCLARA) federarnos a la red GENI USA, el laboratorio virtual mas
grande del mundo que permite experimentos de protocolos de reded
a gran escala. Cuando estos equipos lleguen, se plantearan nuevos proyectos.
Los mas inmediatos serán:
-
La implementación de un ExoGENI rack:
integración de las partes, instalación y configuración del software de control
provisto por RENCI, y la coordinación de la federación con la red GENI USA.
-
La implementación de un controlador SDN capaz de provisionar circuitos
dinámicamente: integración del software de control provisto por NEC Corporation, diseño e implementación de rutinas de
monitoreo y visualización.
·
El GIRA esta en coordinaciones con
la compañía panameña Centauri
Tech, líder en el área de desarrollo
de tecnologías de redes a pedido del cliente, para realizar proyectos
conjuntos. Estos proyectos serian realizados, al menos en parte, en Panamá bajo
la supervisión del Dr. Julio Escobar, CEO de Centauri
Tech. La compañía cubriría gastos de traslado y
hospedaje en Panamá. Los proyectos podrían ser en el área de sistemas
de información, o de seguridad
de redes.
·
El GIRA también planea proyectos
de investigación, que son de mayor envergadura, requieren mas dedicación y
tienen una duración de hasta 2 años. Alumnos interesados en estos proyectos
pueden revisarlos en la pagina web del grupo (aquí).