Post on 23-Jan-2016
3Com Confidential
OBJETIVOS
>Revisar tecnologías actuales Wireless
>Identificar los estándares utilizados en redes Wireless LAN
>Conocer las diferencias entre 802.11 a,b y g y estándares que se desprenden.
>Identificar los estándares de seguridad para redes WLAN
>Conocer las diferentes topologías y modos de operación en redes wireless
>Identificar las nuevas tecnologías WLAN
3Com Confidential
Wireless WideArea Network
PANORAMA REDES WIRELESS
Wireless Local Area Network
GPRSUMTS
GSM
IEEE 802.16 MAN & 802.20 WAN
Wireless PersonalArea Network
IEEE 802.15.1
802.11a/b/g/n
3Com Confidential
COMPONENTES WLAN
>Infraestructura— Access Points
>Actúa como un hub>Conectado a una red cableada >Consiste de un radio, una interfase Ethernet y software
— Wireless LAN Building-to-Building Bridge>Conectividad wireless entre sitios situados a largas distancias
>Interfases (Clientes)— Tarjetas para Laptops para conectarse a redes wireless— Tarjetas PCI para adherir dispositivos de escritorio a redes
wireless— Tarjetas USB para adherir dispositivos de escritorio donde
no se tienen ranuras PCI
>Firmware y Software— Roaming y balanceo de cargas, Seguridad, administración,
configuración y diagnóstico de red
3Com Confidential
TERMINOS WIRELESS
>Service Set Identifier (SSID) –valor que envía un access point hacia afuera para que clientes wireless puedan asociarse a él.
>Basic Service Set (BSS) – un access point con clientes wireless asociados
>Extended Service Set (ESS) – Múltiples access points sobrelapados con clientes asociados
>Independent Basic Service Set (IBSS) – red Ad-hoc wireless solo para clientes wireless
3Com Confidential
Name > Title
3Com Confidential
ESTÁNDAR WIRELESS
3Com Confidential
WLANs (A,B,G’s)
>Background
— IEEE finaliza el estándar inicial para redes wireless (WLANs), IEEE 802.11 en Junio de 1997
— El estándar original especifica una frecuencia de operación a con una velocidad de 1 y 2Mbps y dos categorías de especificaciones.
— La primera categoría define completamente el sistema de Wireless LAN’s>Sus 3 especificaciones principales son: 802.11a, b, y g
— La segunda categoría define adelantos que mitigan las debilidades en los protocolos existentes. >No hay nuevos sistemas, en cambio se han aplicado
extensiones a los sistemas existentes
>Actualmente se cuenta con 6 especificaciones dentro de esta categoría 802.11d, e, f, h, i, j
3Com Confidential
VISIÓN GENEREAL ESTÁNDARES IEEE 802.11
802.11a 802.11b 802.11gEstándar Ratificado
2002 1999 2003
Banda de Radio 5 GHz 2.4 GHz 2.4 GHz
Tasas de transferencia
Hasta 54 Mbps Hasta 11 Mbps Hasta 54 Mbps
Área de Cubrimiento
Hasta 50 Metros Hasta 100 Metros Hasta 100 Metros
+
> Menos posibilidad de interferencia
> Buen soporte para aplicaciones multimedia y ambientes con gran densidad de usuarios
> Sistema ampliamente instalado
> Banda de 2.4Ghz esta disponible en muchos países
> Compatible con 802.11b
> Alta tasa de transferencia y amplio área de cubrimiento
> Banda de 2.4Ghz esta disponible en muchos países
-
> La banda de 5Ghz no esta disponible en todos los países
> Menos área de cubrimiento
> No es compatible con la una base instalada grande de 802.11b
> Baja tasa de transferencia
> Interferencias en la banda de 2.4 Ghz
> Interferencias en la banda de 2.4 Ghz
3Com Confidential
IEEE 802.11a
>5 GHz
— Puede utilizar bandas licenciadas
— 8 canales de no-sobrelapamiento
>Emplea modulación OFDM
>Tasas: 6, 9,12,18,24,36,48, or 54 Mbps(6,12 y 24 son mandatarios)
>Rango ~ 50m
— La distancia depende del ambiente
— Guía detallada:
OFDM = Orthogonal Frequency Division Multiplexing
58
6
72
31
4802.11a
Velocidad (Mbps) 54 48 36 24 18 12 9 6
Distancia (Bajo techo) Metros 18 25 30 35 40 45 48 50
3Com Confidential
MODULACIÓN OFDM
>División de Frecuencia por Multiplexación Ortogonal (OFDM) es un esquema de modulación “multi-portadora”. La información es dividida entre varios espacios estrechamente separados “sub-portadoras”
OFDM Sistema de Transmisión en múltiples “Subportadoras”
3Com Confidential
IEEE 802.11g
>En términos prácticos: a + b = g
>2.4 GHz— Banda no-Licenciada
— 3 canales de no-sobrelapamiento
— Emplea OFDM y/o modulación CCK
>Tasas: 54, 22,11, 5.5, 2 y 1
>Rango: 30% más que 802.11a
>Compatibilidad garantizado con el sistema existente Wi-Fi (802.11b)
OFDM modulación
CCK modulación
3Com Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11a si:— Se tiene una densidad de usuarios
alta en un área reducido
— Se quiere correr aplicaciones que requieren alto ancho de banda>Voz/video sobre la red Wireless
— Necesita transferir archivos de gran tamaño>Archivos CAD, documentos
publicitarios, otros documentos gráficos de gran tamaño
— No necesita gran área de cubrimiento
3Com Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11g si:
— Se requiere compatibilidad con la existente sistema 802.11b WLAN>Se quiere maximizar la inversión actual
— Necesidad de alto ancho de banda
— Tener una gran área de cubrimiento
— Sistema empleado más comúnmente en la actualidad
>Escoger 802.11b si:
— No se puede comprar aún los anteriores sistemas (se debe estar seguro que el equipo pueda ser actualizado posteriormente).
3Com Confidential
ESTANDARES ADICIONALES
>Además de los 3 especificaciones principales (802.11a, b & g) existen adicionalmente 6 grupos de trabajo en IEEE trabajando sobre estos 3 estándares.
—802.11d Define los requerimientos físicos que satisfacen las condiciones de regulación dentro de los países donde no se cuenta con reglas de operación para redes WLAN de 802.11
—802.11e Afinación de 802.11MAC para mejorar el QoS (Calidad de Servicio) para incrementar la calidad en aplicaciones de audio y video
—802.11f Desarrolla un conjunto de requerimientos para la comunicación entre Access Points llamado Inter-Access Point Protocol (IAPP), incluyendo aspectos operacionales y de administración.
3Com Confidential
ESTANDARES ADICIONALES
— 802.11h Adhiere características de atenuación de poder y selección de canales de radio para redes 802.11a solamente
— 802.11i Toma 802.1X como base y adhiere características adicionales para redes Wireless. Incluye algoritmos de encripción como AES que reemplazan las llaves estáticas y manuales configuradas en WEP
— 802.11k Permite a los sistemas WLAN usar recursos en forma más eficiente
— 802.11n Pretende alcanzar mayores velocidades de transferencia. El estándar es basado en tecnología MIMO (múltiples entradas, múltiples salidas), utilizando múltiples antenas. Actualmente muchos fabricantes ofrecen velociadades de 108Mbps con un estándar llamado “pre-n”
Adicionalmente para seguridad en LAN’s y WLAN’s:
— 802.1x Control de Acceso a la red Basado en Puerto
3Com Confidential
INTER ACCESS POINT PROTOCOL (802.11f)
Switch
Normalmente cuando un cliente wireless quiere acceder una red Wireless, necesitan autenticarse en la red usando 802.1x (TLS, PEA, TTLS ) así como cifrado.
Sin IAPP, cuando un clientes realiza roaming a un nuevo AP el tendría que re-autenticarse así como tener un nuevo cifrado.
Con IAPP los nuevos AP envían un mensaje de broadcast preguntando si alguien mas tiene este cliente, los AP pasados envían un mensaje a el nuevo AP con las llaves de cifrado y su estatus de autenticación.
Client Authenticated and EncryptedRoams to a New AP
Broadcast MessageResponse Message
Client Continues to work
3Com Confidential
Name > Title
3Com Confidential
SEGURIDAD
3Com Confidential
VULNERABILIDADES WLAN
>Sniffing ondas de radio
— Capa física esta en el aire¡
— Robar y volver a emplear una dirección MAC valida
>Denegación de Servicio
>Hombre en el medio
>Access Point no autorizado (Rogue AP)
— Configurado por un usuario por conveniencia
— Configurado por un hacker
3Com Confidential
Hacking & Encripción
Para simplificar el escaneo de wireless Access Points:>Utilidades de Site Survey (usualmente enviado gratis en algunos productos) o herramientas gratuitas como:
Débiles (ej. Claves estáticas) y no recomendadas>Sin Encripción inherentemente insecuro!>WEP (40/104/128-bit) = RC4 based algorithm inseguro!
Soluciones basadas en sesiones encriptadas:>3Com’s Dynamic Security Link pre-WPA standard>Cisco’s LEAP pre-WPA standard
Actualmente se cuentan con fuertes estándares para soluciones wireless>WPA (basado en TKIP) con encripción AES y 802.1X para autenticación en la red
3Com Confidential
AUTENTICACIÓN RADIUS
> Autenticación RADIUS centralizada— La autenticación es proveída entre los clientes wireless y
servidor de RADIUS, en conjunción con el estándar basad en login de red IEEE 802.1x
— RADIUS soporta EAP-MD5, EAP-TLS, EAP-TTLS— Implementación en conjunción con 802.1x para suministrar
una autenticación segura en clientes Wireless
> Contabilidad RADIUS— Usuario, tiempo de inicio, tiempo de finalización, paquetes
entrada/salida
3Com Confidential
EAP-MD5
> Autenticación
— Nunca envía contraseñas en texto claro
— Usa MD-5 HMAC > 128 bit HASH
— La mayoría de los servidores RADIUS soportan actualmente> Cisco
> Funk
3Com Confidential
EAP-TLS
> Autenticación— Autentica dispositivo y usuario— Dispositivo por certificado
> Usuario mediante Usuario/Contraseña
> Requiere Certificado digital
> Soportado en productos avanzados de servidores RADIUS, ej Microsoft, Funk Steel Belted Radius, Cisco
3Com Confidential
CERTIFICADO UNIVERSAL EAP-TLS
> El certificado es requerido para autenticación mutua
> Usado por cualquier cliente WLAN 3Com en modo de autenticación EAP-TLS
> Requerido para autenticación serial
> Desarrollado en 3Com para utilizar completamente la autenticación EAP-TLS
> Clave Pública para cliente es generalmente costosa de desarrollar
3Com Confidential
Bank
AUTO VLAN USANDO RADIUS
ServidorRADIUS
Switch
WLAN
Trunk Port
Cuando un cliente wireless quiere acceder a una red wireless, el necesita autenticarse a la red usando 802.1x (TLS, PEAP, TTLS).
Cuando el cliente suministra su Usuario/Contraseña al servidor RADIUS, el servidor revisa las credenciales y retorna el ID de la VLAN a la cual el usuario tiene acceso permitido por el administrador de la red que configuro su cuenta.El Switch controla que los usuarios de ventas no accedan al servidor de recursos humanos y solo puedan acceder a su servidor de ventas.
ServidorVentas
VLAN VentasVLAN Recursos
Humanos
Router
Trunk Port
ServidorRecursos Humanos
3Com Confidential
MULTIPLESS SSID
Access PointSSID1 y SSID2
SSID1 = WPA
SSID1 = WPA
SSID2 = WEP
SSID2 = WEP
3Com Confidential
RECOMENDACIONES - COMO CONSTRUIR UNA RED WIRELESS ALTAMENTE SEGURA EN LA ACTUALIDAD
>Deshabilitar la característica de broadcasting de el ESSID
>Bloquear la comunicación cliente-cliente en el AP
>Usar WPA (TKIP) para generación de llaves dinámicas por paquete
>Usar encripción AES para la cifrar la información
>Usar Login a la red con 802.1X para autenticar usuarios
>Usar tarjetas Token
>EAP-(T)TLS o PEAP como protocolo de autenticación
>Usar DuD (Disconnect Unauthorized Device) sobre los switches para evitar que sea instalados AP no autorizados
Se debe crear una red wireless que sea más segura que su actual red cableada.
3Com Confidential
Name > Title
3Com Confidential
TOPOLOGÍAS Y MODOS DE OPERACIÓN
3Com Confidential
BUILDING TO BUILDING BRIDGE (Solución Punto a Punto )
B-to-B Bridge
B-to-B Bridge
B-to-B Bridge
3Com Confidential
AP8200
B-to-B Bridge
B-to-B Bridge
BUILDING TO BUILDING BRIDGE (Solución Punto a Multipunto)
3Com Confidential
MODOS DE OPERACIÓN
>Ad hoc (punto a punto)>Topología básica punto a punto>Dos clientes pueden asociarse sin Access point>Permite conectar LAN’s mediante dispositivos wireless
>Access Point (Infraestructura)>Topología básica para punto a multipunto
3Com Confidential
WDS MODO BRIDGE Punto a Punto(PTP)
Enlace WDS
Desktops Cableados
Access Point
Modo PTP
Desktops Cableados
Access Point
Modo PTP
3Com Confidential
WDS MODO BRIDGEPunto a Multipunto (PTMP)
Desktops Cableados
Desktops Cableados
Access Point
Modo PTMP
Wired Desktops
Access Point
Modo PTP
Access Point
Modo PTP
Enlace WDS con WPA-PSK
Enlace WDS con WPA-PSK
3Com Confidential
WDS MODO CLIENTE
32
Desktops Cableados
Access Point
Dispositivo con puerto Ethernet
Access Point in Client Mode
Ethernet Cable
Access Point en Modo Cliente
Enlace WDS con WPA-PSK
3Com Confidential
WDS Repeater Mode
Desktops Cableados
Enlace WDS con WPA-PSK
Access Point
Access Point en Modo repetidor
Clientes Wireless
Access Point en Modo Repetidor
“Delivering Enterprise Class Solutions to SMB”
3Com Confidential
3Com Wireless Mobility Solution
>Planeamiento
— Cubrimiento y Capacidad
>Seguridad
— Autenticación & Encripción
— Ejecución de políticas
>Movilidad
— Roaming & administración de usuarios
>Administración de RF
— Detección de Intrusos (rogue AP’s)
— Administración de canal y potencia
3Com Confidential
ELEMENTOS SOLUCIÓN WIRELESS SWITCH
Software de administracióny planeamiento
WirelessSwitch
AP “sencillo”
3Com Confidential
ARQUITECTURA DE MOBILIDAD
AAAServers
Mobility Domain
WX4400
Wireless Switch Manager
WX4400
WX1200
4400PWR
4400PWR
Fit APs
Fat APs
3rd Party APs
Switched LAN Infrastructure
Fit APs
WAN
Branch Office
Headquarters/ Regional Office
3Com Confidential
SOLUCIONES WIRELESS
SOHO and SMB Connectivity with OfficeConnect®
WLAN products
Enterprise 11a/b/g WLAN & Switching Solutions
Building to Building Wireless and Client
Bridging
3CRWX440095
Enterprise RF Management, Security and Deployment Tools