3com confidential fundamentos redes wireless (wlan) pedro alberto arias quintero – ing.sistemas -...
TRANSCRIPT
3Com Confidential
FUNDAMENTOS REDES WIRELESS (WLAN)
Pedro Alberto Arias Quintero – Ing.sistemas - Esp. Telecomunicaciones
Documento Propiedad de Paul Mendieta – [email protected]
IT Specialist
Wireless & Security
3Com Confidential
OBJETIVOS
>Revisar tecnologías actuales Wireless
>Identificar los estándares utilizados en redes Wireless LAN
>Conocer las diferencias entre 802.11 a,b y g y estándares que se desprenden.
>Identificar los estándares de seguridad para redes WLAN
>Conocer las diferentes topologías y modos de operación en redes wireless
>Identificar las nuevas tecnologías WLAN
3Com Confidential
Wireless WideArea Network
PANORAMA REDES WIRELESS
Wireless Local Area Network
GPRSUMTS
GSM
IEEE 802.16 MAN & 802.20 WAN
Wireless PersonalArea Network
IEEE 802.15.1
802.11a/b/g/n
3Com Confidential
COMPONENTES WLAN
>Infraestructura— Access Points
>Actúa como un hub>Conectado a una red cableada >Consiste de un radio, una interfase Ethernet y software
— Wireless LAN Building-to-Building Bridge>Conectividad wireless entre sitios situados a largas distancias
>Interfases (Clientes)— Tarjetas para Laptops para conectarse a redes wireless— Tarjetas PCI para adherir dispositivos de escritorio a redes
wireless— Tarjetas USB para adherir dispositivos de escritorio donde
no se tienen ranuras PCI
>Firmware y Software— Roaming y balanceo de cargas, Seguridad, administración,
configuración y diagnóstico de red
3Com Confidential
TERMINOS WIRELESS
>Service Set Identifier (SSID) –valor que envía un access point hacia afuera para que clientes wireless puedan asociarse a él.
>Basic Service Set (BSS) – un access point con clientes wireless asociados
>Extended Service Set (ESS) – Múltiples access points sobrelapados con clientes asociados
>Independent Basic Service Set (IBSS) – red Ad-hoc wireless solo para clientes wireless
3Com Confidential
Name > Title
3Com Confidential
ESTÁNDAR WIRELESS
3Com Confidential
WLANs (A,B,G’s)
>Background
— IEEE finaliza el estándar inicial para redes wireless (WLANs), IEEE 802.11 en Junio de 1997
— El estándar original especifica una frecuencia de operación a con una velocidad de 1 y 2Mbps y dos categorías de especificaciones.
— La primera categoría define completamente el sistema de Wireless LAN’s>Sus 3 especificaciones principales son: 802.11a, b, y g
— La segunda categoría define adelantos que mitigan las debilidades en los protocolos existentes. >No hay nuevos sistemas, en cambio se han aplicado
extensiones a los sistemas existentes
>Actualmente se cuenta con 6 especificaciones dentro de esta categoría 802.11d, e, f, h, i, j
3Com Confidential
VISIÓN GENEREAL ESTÁNDARES IEEE 802.11
802.11a 802.11b 802.11gEstándar Ratificado
2002 1999 2003
Banda de Radio 5 GHz 2.4 GHz 2.4 GHz
Tasas de transferencia
Hasta 54 Mbps Hasta 11 Mbps Hasta 54 Mbps
Área de Cubrimiento
Hasta 50 Metros Hasta 100 Metros Hasta 100 Metros
+
> Menos posibilidad de interferencia
> Buen soporte para aplicaciones multimedia y ambientes con gran densidad de usuarios
> Sistema ampliamente instalado
> Banda de 2.4Ghz esta disponible en muchos países
> Compatible con 802.11b
> Alta tasa de transferencia y amplio área de cubrimiento
> Banda de 2.4Ghz esta disponible en muchos países
-
> La banda de 5Ghz no esta disponible en todos los países
> Menos área de cubrimiento
> No es compatible con la una base instalada grande de 802.11b
> Baja tasa de transferencia
> Interferencias en la banda de 2.4 Ghz
> Interferencias en la banda de 2.4 Ghz
3Com Confidential
IEEE 802.11b
>2.4 GHz— Banda no licenciada
— 3 canales de no
sobrelapamiento
>Tasas de Transferencia:
>Modulación CCK
>Rango ~ 100 m
2.422 2.432 2.442 2.452 2.462 2.472 2.4842.412
2.417 2.427 2.437 2.447 2.457 2.467
23
45
17
89
10
6 1112
13
CCK = Complimentary Code Keying
1Mbps
2Mbps
5.5Mbps
11Mbps
111
6
116
111
6802.11b
3Com Confidential
MODULACIÓN CCK
>Complimentary Code Keying (CCK) es el formato básico de modulación para los sistemas actuales Wi-Fi (IEEE 802.11b).
>CCK es un sistema de “portadora sencilla”. En otras palabras, toda la información es transmitida por una onda de frecuencia sencilla o portadora.
CCK es un formato de modulación “Portadora Sencilla”
3Com Confidential
IEEE 802.11a
>5 GHz
— Puede utilizar bandas licenciadas
— 8 canales de no-sobrelapamiento
>Emplea modulación OFDM
>Tasas: 6, 9,12,18,24,36,48, or 54 Mbps(6,12 y 24 son mandatarios)
>Rango ~ 50m
— La distancia depende del ambiente
— Guía detallada:
OFDM = Orthogonal Frequency Division Multiplexing
58
6
72
31
4802.11a
Velocidad (Mbps) 54 48 36 24 18 12 9 6
Distancia (Bajo techo) Metros 18 25 30 35 40 45 48 50
3Com Confidential
MODULACIÓN OFDM
>División de Frecuencia por Multiplexación Ortogonal (OFDM) es un esquema de modulación “multi-portadora”. La información es dividida entre varios espacios estrechamente separados “sub-portadoras”
OFDM Sistema de Transmisión en múltiples “Subportadoras”
3Com Confidential
IEEE 802.11g
>En términos prácticos: a + b = g
>2.4 GHz— Banda no-Licenciada
— 3 canales de no-sobrelapamiento
— Emplea OFDM y/o modulación CCK
>Tasas: 54, 22,11, 5.5, 2 y 1
>Rango: 30% más que 802.11a
>Compatibilidad garantizado con el sistema existente Wi-Fi (802.11b)
OFDM modulación
CCK modulación
3Com Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11a si:— Se tiene una densidad de usuarios
alta en un área reducido
— Se quiere correr aplicaciones que requieren alto ancho de banda>Voz/video sobre la red Wireless
— Necesita transferir archivos de gran tamaño>Archivos CAD, documentos
publicitarios, otros documentos gráficos de gran tamaño
— No necesita gran área de cubrimiento
3Com Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11g si:
— Se requiere compatibilidad con la existente sistema 802.11b WLAN>Se quiere maximizar la inversión actual
— Necesidad de alto ancho de banda
— Tener una gran área de cubrimiento
— Sistema empleado más comúnmente en la actualidad
>Escoger 802.11b si:
— No se puede comprar aún los anteriores sistemas (se debe estar seguro que el equipo pueda ser actualizado posteriormente).
3Com Confidential
802.11n
> Estándar para mayor velocidad bajo desarrollo
> Se pretende alcanzar velocidades de 108 y superiores
> Muchos fabricantes ofrecen un llamado “pre-n” con velocidades de 108Mbps
> El estándar es basado en tecnología MIMO (múltiples entradas, múltiples salidas), utilizando múltiples antenas
3Com Confidential
ESTANDARES ADICIONALES
>Además de los 3 especificaciones principales (802.11a, b & g) existen adicionalmente 6 grupos de trabajo en IEEE trabajando sobre estos 3 estándares.
—802.11d Define los requerimientos físicos que satisfacen las condiciones de regulación dentro de los países donde no se cuenta con reglas de operación para redes WLAN de 802.11
—802.11e Afinación de 802.11MAC para mejorar el QoS (Calidad de Servicio) para incrementar la calidad en aplicaciones de audio y video
—802.11f Desarrolla un conjunto de requerimientos para desarrollar un grupo de requerimientos para la comunicación entre Access Points llamado Inter-Access Point Protocol (IAPP), incluyendo aspectos operacionales y de administración.
3Com Confidential
ESTANDARES ADICIONALES
— 802.11h Adhiere características de atenuación de poder y selección de canales de radio para redes 802.11a solamente
— 802.11i Toma 802.1X como base y adhiere características adicionales para redes Wireless. Incluye algoritmos de encripción como AES que reemplazan las llaves estáticas y manuales configuradas en WEP
— 802.11k Permite a los sistemas WLAN usar recursos en forma más eficiente
— 802.11n Pretende alcanzar mayores velocidades de transferencia. El estándar es basado en tecnología MIMO (múltiples entradas, múltiples salidas), utilizando múltiples antenas. Actualmente muchos fabricantes ofrecen velociadades de 108Mbps con un estándar llamado “pre-n”
Adicionalmente para seguridad en LAN’s y WLAN’s:
— 802.1x Control de Acceso a la red Basado en Puerto
3Com Confidential
INTER ACCESS POINT PROTOCOL (802.11f)
Switch
Normalmente cuando un cliente wireless quiere acceder una red Wireless, necesitan autenticarse en la red usando 802.1x (TLS, PEA, TTLS ) así como cifrado.
Sin IAPP, cuando un clientes realiza roaming a un nuevo AP el tendría que re-autenticarse así como tener un nuevo cifrado.
Con IAPP los nuevos AP envían un mensaje de broadcast preguntando si alguien mas tiene este cliente, los AP pasados envían un mensaje a el nuevo AP con las llaves de cifrado y su estatus de autenticación.
Client Authenticated and EncryptedRoams to a New AP
Broadcast MessageResponse Message
Client Continues to work
3Com Confidential
Name > Title
3Com Confidential
SEGURIDAD
3Com Confidential
VULNERABILIDADES WLAN
>Sniffing ondas de radio
— Capa física esta en el aire¡
— Robar y volver a emplear una dirección MAC valida
>Denegación de Servicio
>Hombre en el medio
>Access Point no autorizado (Rogue AP)
— Configurado por un usuario por conveniencia
— Configurado por un hacker
3Com Confidential
Hacking & Encripción
Para simplificar el escaneo de wireless Access Points:>Utilidades de Site Survey (usualmente enviado gratis en algunos productos) o herramientas gratuitas como:
Débiles (ej. Claves estáticas) y no recomendadas>Sin Encripción inherentemente insecuro!>WEP (40/104/128-bit) = RC4 based algorithm inseguro!
Soluciones basadas en sesiones encriptadas:>3Com’s Dynamic Security Link pre-WPA standard>Cisco’s LEAP pre-WPA standard
Actualmente se cuentan con fuertes estándares para soluciones wireless>WPA (basado en TKIP) con encripción AES y 802.1X para autenticación en la red
3Com Confidential
OPCIONES DE AUTENTICACIÓN LOCAL
>Access Point Autenticación/Cifrado Local— La Autenticación es realizado por el Access Point
> Opciones de Cifrado— Sin Seguridad (encripción)
— Cifrado 40-bit shared key (parte de los requerimientos WiFi)
— Cifrado 128-bit shared key
— Dynamic Security Link (128-bit)>Autenticación Usuario/Contraseña con 128bit Dynamic Session
key encryption
— WPA en modo PSK (Pre-Shared Key mode)
3Com Confidential
IEEE 802.1x – CONTROL DE ACCESO DE RED BASADO EN PUERTO
>802.1x es un estandard para autenticar clientes Wireless sobre una red 802.11
>Característica importante en sistemas operativos Microsoft’s Windows XP
>Necesidad de implementar la autenticación en conjunción con un servidor centralizado de RADIUS soportando EAP-MD5 or EAP-TLS
>Escalabilidad para redes en grandes empresas
>La autenticación se realiza en forma centralizada, en vez de hacerlo en cada Access Point
3Com Confidential
AUTENTICACIÓN RADIUS
> Autenticación RADIUS centralizada— La autenticación es proveída entre los clientes wireless y
servidor de RADIUS, en conjunción con el estándar basad en login de red IEEE 802.1x
— RADIUS soporta EAP-MD5, EAP-TLS, EAP-TTLS— Implementación en conjunción con 802.1x para suministrar
una autenticación segura en clientes Wireless
> Contabilidad RADIUS— Usuario, tiempo de inicio, tiempo de finalización, paquetes
entrada/salida
3Com Confidential
EAP-MD5
> Autenticación
— Nunca envía contraseñas en texto claro
— Usa MD-5 HMAC > 128 bit HASH
— La mayoría de los servidores RADIUS soportan actualmente> Cisco
> Funk
3Com Confidential
EAP-TLS
> Autenticación— Autentica dispositivo y usuario— Dispositivo por certificado
> Usuario mediante Usuario/Contraseña
> Requiere Certificado digital
> Soportado en productos avanzados de servidores RADIUS, ej Microsoft, Funk Steel Belted Radius, Cisco
3Com Confidential
CERTIFICADO UNIVERSAL EAP-TLS
> El certificado es requerido para autenticación mutua
> Usado por cualquier cliente WLAN 3Com en modo de autenticación EAP-TLS
> Requerido para autenticación serial
> Desarrollado en 3Com para utilizar completamente la autenticación EAP-TLS
> Clave Pública para cliente es generalmente costosa de desarrollar
3Com Confidential
EAP-TTLS
> Túnel EAP-TLS
— Crea un Túnel Interior
— Requiere aún certificado digital
— Pero puede utilizar autenticación heredada, para comprobar la contraseña (PAP, CHAP, MS-CHAP)
3Com Confidential
PEAP - Protected EAP
> Compite con EAP-TTLS
> Usa TLS y certificados digitales
> Dos fases de autenticación TLS
> Usa cifrado TLS
> Soportar tarjetas Token
3Com Confidential
Bank
AUTO VLAN USANDO RADIUS
ServidorRADIUS
Switch
WLAN
Trunk Port
Cuando un cliente wireless quiere acceder a una red wireless, el necesita autenticarse a la red usando 802.1x (TLS, PEAP, TTLS).
Cuando el cliente suministra su Usuario/Contraseña al servidor RADIUS, el servidor revisa las credenciales y retorna el ID de la VLAN a la cual el usuario tiene acceso permitido por el administrador de la red que configuro su cuenta.El Switch controla que los usuarios de ventas no accedan al servidor de recursos humanos y solo puedan acceder a su servidor de ventas.
ServidorVentas
VLAN VentasVLAN Recursos
Humanos
Router
Trunk Port
ServidorRecursos Humanos
3Com Confidential
MULTIPLESS SSID
Access PointSSID1 y SSID2
SSID1 = WPA
SSID1 = WPA
SSID2 = WEP
SSID2 = WEP
3Com Confidential
TKIP - Temporal Key Integrity Protocol
> Usa cifrado RC4 - stream codificado
> Fase I
— Usa direcciones MAC en conjunto con TK para producir la clave de fase I
> Fase 2
— La llave de la fase 1 es combinada con el vector IV de inicialización para derivar claves por paquete.
> Cada llave es usada para cifrar uno y solo un paquete de datos.
3Com Confidential
WPA - Wi-Fi ACCESO PROTEGIDO
>Requiere Autenticación y Encripción
>Autenticación
— Requiere EAP (Certs, TLS, TTLS, PEAP)
— Autenticación mutua>Protege al usuario de acceder accidentalmente a AP intrusos
>Negociación de 4 vías
>Encripción— Requiere TKIP – uso de una clave temporal
— Llave de 128 bit - RC4 Stream cifrado
>MIC (Message Integrity Check)
— Se asegura que el paquete no ha sido modificado.
>Modo Dual— PSK (Pre-shared Key) modo SoHo— RADIUS Enterprise Mode
3Com Confidential
ENCRIPCIÓN AES
>AES reemplaza DES>Encripción AES significa: 1.1 x 1077 posibles llaves de 256-bit
Actualmente es estima que podría tomar a una maquina de encripción dedicada a descifrar una llave AES de AES128 bit el periodo de 149 miles de billones de años para descifrarlo (con la posibilidad mas pequeña de AES)
En perspectiva: se cree que el universo que es menos de 20 billones de años de antiguedad ¡
3Com Confidential
RECOMENDACIONES - COMO CONSTRUIR UNA RED WIRELESS ALTAMENTE SEGURA EN LA ACTUALIDAD
>Deshabilitar la característica de broadcasting de el ESSID
>Bloquear la comunicación cliente-cliente en el AP
>Usar WPA (TKIP) para generación de llaves dinámicas por paquete
>Usar encripción AES para la cifrar la información
>Usar Login a la red con 802.1X para autenticar usuarios
>Usar tarjetas Token
>EAP-(T)TLS o PEAP como protocolo de autenticación
>Usar DuD (Disconnect Unauthorized Device) sobre los switches para evitar que sea instalados AP no autorizados
Se debe crear una red wireless que sea más segura que su actual red cableada.
3Com Confidential
Name > Title
3Com Confidential
TOPOLOGÍAS Y MODOS DE OPERACIÓN
3Com Confidential
TOPOLOGÍA
>Topologías— Punto a punto
>Asociación directa entre dos puntos
— Punto a Multipunto>Permite comunicación wireless entre mas de dos puntos
3Com Confidential
BUILDING TO BUILDING BRIDGE (Solución Punto a Punto )
B-to-B Bridge
B-to-B Bridge
B-to-B Bridge
3Com Confidential
AP8200
B-to-B Bridge
B-to-B Bridge
BUILDING TO BUILDING BRIDGE (Solución Punto a Multipunto)
3Com Confidential
MODOS DE OPERACIÓN
>Ad hoc (punto a punto)>Topología básica punto a punto>Dos clientes pueden asociarse sin Access point>Permite conectar LAN’s mediante dispositivos wireless
>Access Point (Infraestructura)>Topología básica para punto a multipunto
3Com Confidential
Name > Title
3Com Confidential
WDS
3Com Confidential
WDS MODO BRIDGE Punto a Punto(PTP)
Enlace WDS
Desktops Cableados
Access Point
Modo PTP
Desktops Cableados
Access Point
Modo PTP
3Com Confidential
WDS MODO BRIDGEPunto a Multipunto (PTMP)
Desktops Cableados
Desktops Cableados
Access Point
Modo PTMP
Wired Desktops
Access Point
Modo PTP
Access Point
Modo PTP
Enlace WDS con WPA-PSK
Enlace WDS con WPA-PSK
3Com Confidential
WDS MODO CLIENTE
45
Desktops Cableados
Access Point
Dispositivo con puerto Ethernet
Access Point in Client Mode
Ethernet Cable
Access Point en Modo Cliente
Enlace WDS con WPA-PSK
3Com Confidential
WDS Repeater Mode
Desktops Cableados
Enlace WDS con WPA-PSK
Access Point
Access Point en Modo repetidor
Clientes Wireless
Access Point en Modo Repetidor
“Delivering Enterprise Class Solutions to SMB”
3Com Confidential
Name > Title
3Com Confidential
WIRELESS SWITCH
3Com Confidential
CAMBIO DE PARADIGMA REDES WLAN AP’s ROBUSTOS vs. SENCILLOS
Wireless Switch RedEscuela
802.11 a/b/g
Antenna
Encryption
Mobile IP, IPSec, Certs
802.1x, TKIP, 802.11e, 802.11f, 802.11h
Site Surveys Per-user Firewall
Self-Healing RF Management
Rogue Wireless Protection
‘Fit’ APs
RedEscuela
Switch Capa 2
802.11 a/b/g
Mobile IP, IPSec, Certs
802.1x, TKIP, 802.11e, 802.11f, 802.11h
Antenna
Encryption
‘Fat’ APs
Solución Wireless Solución Wireless más administradamás administrada
Red AP Independiente Red Wireless Switching
Ap’s Costo bajoAp’s Costo bajo
Seguridad más fuerteSeguridad más fuertey centralizaday centralizada
3Com Confidential
3Com Wireless Mobility Solution
>Planeamiento
— Cubrimiento y Capacidad
>Seguridad
— Autenticación & Encripción
— Ejecución de políticas
>Movilidad
— Roaming & administración de usuarios
>Administración de RF
— Detección de Intrusos (rogue AP’s)
— Administración de canal y potencia
3Com Confidential
ELEMENTOS SOLUCIÓN WIRELESS SWITCH
Software de administracióny planeamiento
WirelessSwitch
AP “sencillo”
3Com Confidential
ARQUITECTURA DE MOBILIDAD
AAAServers
Mobility Domain
WX4400
Wireless Switch Manager
WX4400
WX1200
4400PWR
4400PWR
Fit APs
Fat APs
3rd Party APs
Switched LAN Infrastructure
Fit APs
WAN
Branch Office
Headquarters/ Regional Office
3Com Confidential
Name > Title
3Com Confidential
VISIÓN GENERAL PRODUCTOS WIRELESS
3Com Confidential
SOLUCIONES WIRELESS
SOHO and SMB Connectivity with OfficeConnect®
WLAN products
Enterprise 11a/b/g WLAN & Switching Solutions
Building to Building Wireless and Client
Bridging
3CRWX440095
Enterprise RF Management, Security and Deployment Tools
3Com Confidential
GRACIAS