Boletín de RedIRIS n. 41-42

Control de acceso a las aulas Informatizadas de la UAB

Pere Roca

Aulas informatizadas de la UAB

Las aulas informatizadas de la UAB están organizadas en 9 centros distintos con diferente número de salas. Hay un total de 35 salas albergando algo más de 1.000 ordenadores conectados a la red y con acceso a Internet.

La gestión de las aulas es responsabilidad del personal técnico del centro, la principal herramienta de mantenimiento es el arranque remoto y servicio de software desde servidores Novell Netware.

Problemas detectados

No identificación de los usuarios a partir de una dirección MAC o IP

Si se recibe una denuncia por algún comportamiento no autorizado en la red, no podemos identificar a la persona que estaba usando la dirección MAC o IP que se nos comunique, en el momento de la infracción.

Uso lúdico de Internet

El acceso a Internet con fines lúdicos satura las aulas informatizadas.

Imposibilidad de aplicar la normativa

La normativa de seguridad informática de la Universidad contempla sanciones que consisten en privar al infractor del acceso a la red desde el aula durante un periodo de tiempo. Sin un sistema de control de acceso esto no es posible.

Mala distribución del tiempo de uso de los ordenadores

Aunque existen aplicaciones de reserva de ordenador para los alumnos, esto no impide que un usuario ocupe un ordenador durante más tiempo del que se le autoriza.

Uso de los recursos por parte de personas no autorizadas

No es necesaria ninguna identificación para acceder a las aulas y trabajar con un ordenador. Se han detectado casos de ex-alumnos y alumnos de institutos cercanos al campus.

Falta de información estadística del uso de los recursos

No se conoce el tiempo durante el que se usa cada uno de los equipos que hay en las aulas. Además el tiempo de uso real esta falseado por el uso lúdico y el de personas no autorizadas.

Requisitos del sistema de Control de acceso

El sistema de control de acceso ha de ser difícil de violar y, más importante, si algún usuario consigue superarlo se ha de poder detectar.

El medio de identificación ha de ser la tarjeta de la UAB porque es un mecanismo más seguro de identificación que un username/password, todos los miembros de la Universidad la tienen y existen los mecanismos para dar altas, bajas, solucionar averías y denunciar pérdidas y robos.

Dado el número grande y creciente de equipos a controlar, el coste por equipo en hardware o software ha de ser pequeño o nulo.

Por los mismos motivo ha de ser bajo el coste de instalación y mantenimiento.

Algunos sistemas que valoramos implicaban introducir cambios en el cableado. Esta es una opción no deseada por el coste añadido y por la pérdida de la certificación del instalador original del cableado.

El las aulas hay ordenadores compatibles PCs, Macs i Silicon. Además no sabemos que tipo de hardware incorporaremos en el futuro inmediato (NetPC, webPC,...) por tanto es un requisito indispensable para el control de acceso la independencia del tipo de equipo a controlar.

Existen puntos de acceso a la red en otros lugares de la Universidad además de la aulas informatizadas (por ejemplo las bibliotecas) por tanto el sistema ha de ser aplicable a todos los ámbitos de la Universidad donde sea necesario

Descripción de la solución

Gestionaremos el acceso a la red con SNMP. Los puertos del concentrador estarán cerrados hasta que el sistema identifique y autorice a la persona que va a usar el equipo asociado a ese puerto. Esta solución cumple con todos los requisitos planteados en el punto anterior.

La identificación se realiza en un único PC con lector de tarjeta para cada grupo de ordenadores a controlar (por ejemplo para cada sala).

Este PC ejecuta la aplicación de control de acceso que se encarga de abrir o cerrar el acceso a la red, vía SNMP, cuando corresponda, y ha de estar especialmente protegido contra la manipulación de los usuarios, como sólo es necesario para el uso de la aplicación el acceso al ratón i al lector de tarjeta, se puede tener dentro del área restringida al personal de gestión del aula, dejando al alcance de los usuarios sólo el ratón y el lector.

El número puntos de red controlables por un PC con lector limitado por:

  • tiempo necesario para registrarse (30 usuarios seguidos se registran en 10 minutos)

  • proximidad a los puntos controlados
Es posible usar más de un ordenador de control para un mismo grupo de puntos.

Aplicación de control de acceso

El módulo de usuario se ejecuta en los PCs dedicados y el módulo de administrador en el ordenador de los supervisores del aula.

Una base de datos común a toda la Universidad garantiza que un usuario puede abrir un solo punto y que las sanciones se aplican en toda la red.

El usuario se identifica introduciendo su tarjeta. Si algún usuario no tiene tarjeta (por haberla perdido, haberle sido robada,...) el supervisor comprueba que no tiene tarjeta y es miembro de la Universidad y le asigna un punto manualmente.

La aplicación concede autorización al usuario si su tarjeta es válida (no caducada, perdida, robada,...) y no esta sancionado.

Una vez identificado el usuario ha de introducir la Unidad de Control. Llamamos Unidad de Control a un grupo de puntos homogéneo (mismo servicio o sala). El sistema muestra la ocupación de las distintas UCs y asigna al usuario un equipo de la indicada, facilitando una identificación del punto y comunicando la hora de desconexión prevista (se asigna un tiempo máximo de conexión configurable).

Si no hay ordenadores disponibles, el usuario entra en una lista de espera. Cuando se libera un punto se asigna por orden de lista de espera. De esta manera se garantiza la rotación de los usuarios en el acceso a los recursos del aula.

Cuando se llega al fin del periodo de conexión, el sistema lo notifica al usuario con tiempo prudencial, para que pueda guarda su trabajo. Si no hay lista de espera, el mismo usuario puede obtener otra conexión y seguir trabajando.

Si el usuario quiere abandonar el punto antes del fin del periodo de conexión, ha de volver a identificarse el ordenador de control. En caso contrario, cualquier mal uso del acceso a la red que se pueda producir hasta que se llega al fin automático de la conexión es responsabilidad del usuario que no ha cerrado la conexión al abandonar el equipo.

El módulo de supervisor de la aplicación de control de acceso permite la introducción de usuarios sin tarjeta, la anulación del control de acceso para determinadas actividades en el aula, la asignación/desasignación de grupos de puntos a un solo usuario (el profesor en una clase) y la comprobación de la seguridad del sistema. Este último punto consiste en una comparación entre el estado real de los puertos (consultado vía SNMP) y el que esta registrado en la base de datos. Cualquier diferencia implica una violación del sistema de control de acceso y los puertos en que difiera el estado real y el de la base de datos seguramente corresponderán a los usuario que lo han violado.

Aplicación de reserva

Es una aplicación web integrada con el sistema de control de acceso prevista para el curso 98-99. La reserva se hará sin tarjeta y el control de acceso garantizará disponer del punto reservado sin que tenga que haber arbitraje por parte del personal que gestiona el aula.


Pere Roca
UAB
Servicio de Informática
Responsable de Asistencia y
Soporte de Usuarios
dirección de correo pere [dot] roca [at] uab.es