Transcript Fundamentos de Redes Inalámbricas

FUNDAMENTOS REDES
WIRELESS (WLAN)
Pedro Alberto Arias Quintero – Ing.sistemas - Esp. Telecomunicaciones
Documento Propiedad de Paul Mendieta – [email protected]
IT Specialist
Wireless & Security
3Com
Confidential
OBJETIVOS
>Revisar tecnologías actuales Wireless
>Identificar los estándares utilizados en redes Wireless LAN
>Conocer las diferencias entre 802.11 a,b y g y estándares que se
desprenden.
>Identificar los estándares de seguridad para redes WLAN
>Conocer las diferentes topologías y modos de operación en redes
wireless
>Identificar las nuevas tecnologías WLAN
3Com
Confidential
PANORAMA REDES WIRELESS
GPRS
802.11a/b/g/n
UMTS
Wireless Wide
GSM
Area Network
IEEE 802.16 MAN
& 802.20 WAN
Wireless Personal
Area Network
Wireless Local
Area Network
3Com
Confidential
IEEE 802.15.1
COMPONENTES WLAN
>Infraestructura
— Access Points
> Actúa como un hub
> Conectado a una red cableada
> Consiste de un radio, una interfase Ethernet y software
— Wireless LAN Building-to-Building Bridge
> Conectividad wireless entre sitios situados a largas distancias
>Interfases (Clientes)
— Tarjetas para Laptops para conectarse a redes wireless
— Tarjetas PCI para adherir dispositivos de escritorio a redes wireless
— Tarjetas USB para adherir dispositivos de escritorio donde no se
tienen ranuras PCI
>Firmware y Software
— Roaming y balanceo de cargas, Seguridad, administración,
configuración y diagnóstico de red
3Com
Confidential
TERMINOS WIRELESS
>Service Set Identifier (SSID) –valor que envía un access point
hacia afuera para que clientes wireless puedan asociarse a él.
>Basic Service Set (BSS) – un access point con clientes wireless
asociados
>Extended Service Set (ESS) – Múltiples access points
sobrelapados con clientes asociados
>Independent Basic Service Set (IBSS) – red Ad-hoc wireless solo
para clientes wireless
3Com
Confidential
ESTÁNDAR WIRELESS
Name
3Com
Confidential
>
Title
WLANs (A,B,G’s)
>Background
— IEEE finaliza el estándar inicial para redes wireless (WLANs),
IEEE 802.11 en Junio de 1997
— El estándar original especifica una frecuencia de operación a
con una velocidad de 1 y 2Mbps y dos categorías de
especificaciones.
— La primera categoría define completamente el sistema de
Wireless LAN’s
> Sus 3 especificaciones principales son: 802.11a, b, y g
— La segunda categoría define adelantos que mitigan las
debilidades en los protocolos existentes.
> No hay nuevos sistemas, en cambio se han aplicado extensiones a
los sistemas existentes
> Actualmente se cuenta con 6 especificaciones dentro de esta
categoría 802.11d, e, f, h, i, j
3Com
Confidential
VISIÓN GENEREAL ESTÁNDARES IEEE 802.11
802.11a
802.11b
802.11g
Estándar Ratificado
2002
1999
2003
Banda de Radio
5 GHz
2.4 GHz
2.4 GHz
Tasas de
transferencia
Hasta 54 Mbps
Hasta 11 Mbps
Hasta 54 Mbps
Área de
Cubrimiento
Hasta 50 Metros
Hasta 100 Metros
Hasta 100 Metros
+
-
> Menos posibilidad de
interferencia
> Sistema ampliamente
instalado
> Buen soporte para
aplicaciones multimedia y
ambientes con gran
densidad de usuarios
> Banda de 2.4Ghz esta
disponible en muchos
países
> La banda de 5Ghz no esta
disponible en todos los
países
> Baja tasa de transferencia
> Menos área de cubrimiento
> No es compatible con la
una base instalada grande
de 802.11b
3Com
Confidential
> Interferencias en la banda
de 2.4 Ghz
> Compatible con 802.11b
> Alta tasa de transferencia y
amplio área de cubrimiento
> Banda de 2.4Ghz esta
disponible en muchos
países
> Interferencias en la banda
de 2.4 Ghz
IEEE 802.11b
2.417 2.427 2.437 2.447 2.457 2.467
>2.4 GHz
5
— Banda no licenciada
— 3 canales de no
sobrelapamiento
3
8
7
6
9
13
12
11
2.412 2.422 2.432 2.442 2.452 2.462 2.472
>Tasas de Transferencia:
>Modulación CCK
>Rango ~ 100 m
CCK = Complimentary Code Keying
3Com
Confidential
4
2
1
6
11 11
802.11b
1
6
6
11
1
10
1Mbps
2Mbps
5.5Mbps
11Mbps
2.484
MODULACIÓN CCK
>Complimentary Code Keying (CCK) es el formato básico de
modulación para los sistemas actuales Wi-Fi (IEEE 802.11b).
>CCK es un sistema de “portadora sencilla”. En otras palabras, toda
la información es transmitida por una onda de frecuencia sencilla o
portadora.
CCK es un formato de modulación “Portadora Sencilla”
3Com
Confidential
IEEE 802.11a
>5 GHz
— Puede utilizar bandas licenciadas
— 8 canales de no-sobrelapamiento
>Emplea modulación OFDM
>Tasas: 6, 9,12,18,24,36,48, or 54 Mbps
(6,12 y 24 son mandatarios)
>Rango ~ 50m
— La distancia depende del ambiente
2
7
3
802.11a
1
6
4
5
8
— Guía detallada:
Velocidad (Mbps)
Distancia (Bajo techo)
Metros
54
48
36
24
18
12
9
6
18
25
30
35
40
45
48
50
OFDM = Orthogonal Frequency Division Multiplexing
3Com
Confidential
MODULACIÓN OFDM
>División de Frecuencia por Multiplexación Ortogonal (OFDM) es un
esquema de modulación “multi-portadora”. La información es
dividida entre varios espacios estrechamente separados “subportadoras”
OFDM Sistema de Transmisión en múltiples “Subportadoras”
3Com
Confidential
IEEE 802.11g
>En términos prácticos: a + b = g
>2.4 GHz
— Banda no-Licenciada
— 3 canales de no-sobrelapamiento
— Emplea OFDM y/o modulación CCK
CCK
modulación
>Tasas: 54, 22,11, 5.5, 2 y 1
>Rango: 30% más que 802.11a
OFDM
modulación
>Compatibilidad garantizado con el sistema existente
Wi-Fi (802.11b)
3Com
Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11a si:
— Se tiene una densidad de usuarios alta
en un área reducido
— Se quiere correr aplicaciones que
requieren alto ancho de banda
> Voz/video sobre la red Wireless
— Necesita transferir archivos de gran
tamaño
> Archivos CAD, documentos publicitarios,
otros documentos gráficos de gran
tamaño
— No necesita gran área de cubrimiento
3Com
Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11g si:
— Se requiere compatibilidad con la existente
sistema 802.11b WLAN
> Se quiere maximizar la inversión actual
— Necesidad de alto ancho de banda
— Tener una gran área de cubrimiento
— Sistema empleado más comúnmente en la
actualidad
>Escoger 802.11b si:
— No se puede comprar aún los anteriores
sistemas (se debe estar seguro que el
equipo pueda ser actualizado
posteriormente).
3Com
Confidential
802.11n
> Estándar para mayor velocidad bajo desarrollo
> Se pretende alcanzar velocidades de 108 y superiores
> Muchos fabricantes ofrecen un llamado “pre-n” con velocidades
de 108Mbps
> El estándar es basado en tecnología MIMO (múltiples entradas,
múltiples salidas), utilizando múltiples antenas
3Com
Confidential
ESTANDARES ADICIONALES
> Además de los 3 especificaciones principales (802.11a, b & g)
existen adicionalmente 6 grupos de trabajo en IEEE trabajando
sobre estos 3 estándares.
— 802.11d
Define los requerimientos físicos que satisfacen las
condiciones de regulación dentro de los países donde no se cuenta
con reglas de operación para redes WLAN de 802.11
— 802.11e
Afinación de 802.11MAC para mejorar el QoS (Calidad de
Servicio) para incrementar la calidad en aplicaciones de audio y
video
— 802.11f
Desarrolla un conjunto de requerimientos para desarrollar
un grupo de requerimientos para la comunicación entre Access Points
llamado Inter-Access Point Protocol (IAPP), incluyendo aspectos
operacionales y de administración.
3Com
Confidential
ESTANDARES ADICIONALES
— 802.11h
Adhiere características de atenuación de poder y
selección de canales de radio para redes 802.11a solamente
— 802.11i
Toma 802.1X como base y adhiere características
adicionales para redes Wireless. Incluye algoritmos de encripción
como AES que reemplazan las llaves estáticas y manuales
configuradas en WEP
— 802.11k
Permite a los sistemas WLAN usar recursos en forma
más eficiente
— 802.11n
Pretende alcanzar mayores velocidades de transferencia.
El estándar es basado en tecnología MIMO (múltiples entradas,
múltiples salidas), utilizando múltiples antenas. Actualmente muchos
fabricantes ofrecen velociadades de 108Mbps con un estándar
llamado “pre-n”
Adicionalmente para seguridad en LAN’s y WLAN’s:
— 802.1x
3Com
Confidential
Control de Acceso a la red Basado en Puerto
INTER ACCESS POINT PROTOCOL (802.11f)
Broadcast Message
Response Message
Switch
Roams to a New AP
Client Authenticated and Encrypted
Client Continues to work
Normalmente cuando un cliente wireless quiere acceder una red Wireless, necesitan
autenticarse en la red usando 802.1x (TLS, PEA, TTLS ) así como cifrado.
Sin IAPP, cuando un clientes realiza roaming a un nuevo AP el tendría que re-autenticarse así
como tener un nuevo cifrado.
Con IAPP los nuevos AP envían un mensaje de broadcast preguntando si alguien mas tiene este
cliente, los AP pasados envían un mensaje a el nuevo AP con las llaves de cifrado y su estatus
de autenticación.
3Com
Confidential
SEGURIDAD
Name
3Com
Confidential
>
Title
VULNERABILIDADES WLAN
>Sniffing ondas de radio
— Capa física esta en el aire¡
— Robar y volver a emplear una dirección MAC valida
>Denegación de Servicio
>Hombre en el medio
>Access Point no autorizado (Rogue AP)
— Configurado por un usuario por conveniencia
— Configurado por un hacker
3Com
Confidential
Hacking & Encripción
Para simplificar el escaneo de wireless Access Points:
>Utilidades de Site Survey (usualmente enviado gratis en algunos
productos) o herramientas gratuitas como:
Débiles (ej. Claves estáticas) y no recomendadas
>Sin Encripción
 inherentemente insecuro!
>WEP (40/104/128-bit) = RC4 based algorithm  inseguro!
Soluciones basadas en sesiones encriptadas:
>3Com’s Dynamic Security Link
>Cisco’s LEAP
 pre-WPA standard
 pre-WPA standard
Actualmente se cuentan con fuertes estándares para
soluciones wireless
>WPA (basado en TKIP) con encripción AES y 802.1X para autenticación
en la red
3Com
Confidential
OPCIONES DE AUTENTICACIÓN LOCAL
>Access Point Autenticación/Cifrado Local
— La Autenticación es realizado por el Access Point
> Opciones de Cifrado
— Sin Seguridad (encripción)
— Cifrado 40-bit shared key (parte de los requerimientos WiFi)
— Cifrado 128-bit shared key
— Dynamic Security Link (128-bit)
> Autenticación Usuario/Contraseña con 128bit Dynamic Session key
encryption
— WPA en modo PSK (Pre-Shared Key mode)
3Com
Confidential
IEEE 802.1x – CONTROL DE ACCESO DE RED BASADO
EN PUERTO
>802.1x es un estandard para autenticar clientes Wireless sobre
una red 802.11
>Característica importante en sistemas operativos Microsoft’s
Windows XP
>Necesidad de implementar la autenticación en conjunción con un
servidor centralizado de RADIUS soportando EAP-MD5 or EAPTLS
>Escalabilidad para redes en grandes empresas
>La autenticación se realiza en forma centralizada, en vez de
hacerlo en cada Access Point
3Com
Confidential
AUTENTICACIÓN RADIUS
> Autenticación RADIUS centralizada
— La autenticación es proveída entre los clientes wireless y servidor
de RADIUS, en conjunción con el estándar basad en login de red
IEEE 802.1x
— RADIUS soporta EAP-MD5, EAP-TLS, EAP-TTLS
— Implementación en conjunción con 802.1x para suministrar una
autenticación segura en clientes Wireless
> Contabilidad RADIUS
— Usuario, tiempo de inicio, tiempo de finalización, paquetes
entrada/salida
3Com
Confidential
EAP-MD5
> Autenticación
— Nunca envía contraseñas en texto claro
— Usa MD-5 HMAC
> 128 bit HASH
— La mayoría de los servidores RADIUS soportan actualmente
> Cisco
> Funk
3Com
Confidential
EAP-TLS
> Autenticación
— Autentica dispositivo y usuario
— Dispositivo por certificado
> Usuario mediante Usuario/Contraseña
> Requiere Certificado digital
> Soportado en productos avanzados de servidores RADIUS, ej
Microsoft, Funk Steel Belted Radius, Cisco
3Com
Confidential
CERTIFICADO UNIVERSAL EAP-TLS
>
>
>
>
>
3Com
Confidential
El certificado es requerido para
autenticación mutua
Usado por cualquier cliente WLAN
3Com en modo de autenticación
EAP-TLS
Requerido para autenticación serial
Desarrollado en 3Com para utilizar
completamente la autenticación
EAP-TLS
Clave Pública para cliente es
generalmente costosa de desarrollar
EAP-TTLS
> Túnel EAP-TLS
— Crea un Túnel Interior
— Requiere aún certificado digital
— Pero puede utilizar autenticación heredada, para comprobar la
contraseña (PAP, CHAP, MS-CHAP)
3Com
Confidential
PEAP - Protected EAP
> Compite con EAP-TTLS
> Usa TLS y certificados digitales
> Dos fases de autenticación TLS
> Usa cifrado TLS
> Soportar tarjetas Token
3Com
Confidential
AUTO VLAN USANDO RADIUS
Servidor
Ventas
Bank
Trunk Port
Router
Switch
Trunk Port
WLAN
Servidor
RADIUS
Servidor
Recursos
Humanos
VLAN Ventas
VLAN Recursos
Humanos
Cuando un cliente wireless quiere acceder a una red wireless, el necesita autenticarse a la red usando 802.1x (TLS,
PEAP, TTLS).
Cuando el cliente suministra su Usuario/Contraseña al servidor RADIUS, el servidor revisa las credenciales y retorna el
ID de la VLAN a la cual el usuario tiene acceso permitido por el administrador de la red que configuro su cuenta.
El Switch controla que los usuarios de ventas no accedan al servidor de recursos humanos y solo puedan acceder a su
servidor de ventas.
3Com
Confidential
MULTIPLESS SSID
SSID2 = WEP
SSID1 = WPA
SSID1 = WPA
Access Point
SSID1 y SSID2
SSID2 = WEP
3Com
Confidential
TKIP - Temporal Key Integrity Protocol
> Usa cifrado RC4 - stream codificado
> Fase I
— Usa direcciones MAC en conjunto con TK para producir la clave de
fase I
> Fase 2
— La llave de la fase 1 es combinada con el vector IV de inicialización
para derivar claves por paquete.
> Cada llave es usada para cifrar uno y solo un paquete de datos.
3Com
Confidential
WPA - Wi-Fi ACCESO PROTEGIDO
>Requiere Autenticación y Encripción
>Autenticación
— Requiere EAP (Certs, TLS, TTLS, PEAP)
— Autenticación mutua
> Protege al usuario de acceder accidentalmente a AP intrusos
> Negociación de 4 vías
>Encripción
— Requiere TKIP – uso de una clave temporal
— Llave de 128 bit - RC4 Stream cifrado
> MIC (Message Integrity Check)
— Se asegura que el paquete no ha sido modificado.
>Modo Dual
— PSK (Pre-shared Key) modo SoHo
— RADIUS Enterprise Mode
3Com
Confidential
ENCRIPCIÓN AES
>AES reemplaza DES
>Encripción AES significa: 1.1 x
1077 posibles llaves de 256-bit
Actualmente es estima que podría
tomar a una maquina de encripción
dedicada a descifrar una llave AES
de AES128 bit el periodo de 149
miles de billones de años para
descifrarlo (con la posibilidad mas
pequeña de AES)
En perspectiva: se cree que el
universo que es menos de 20
billones de años de antiguedad ¡
3Com
Confidential
RECOMENDACIONES - COMO CONSTRUIR UNA RED
WIRELESS ALTAMENTE SEGURA EN LA ACTUALIDAD
>Deshabilitar la característica de broadcasting de el ESSID
>Bloquear la comunicación cliente-cliente en el AP
>Usar WPA (TKIP) para generación de llaves dinámicas por
paquete
>Usar encripción AES para la cifrar la información
>Usar Login a la red con 802.1X para autenticar usuarios
>Usar tarjetas Token
>EAP-(T)TLS o PEAP como protocolo de autenticación
>Usar DuD (Disconnect Unauthorized Device) sobre los switches
para evitar que sea instalados AP no autorizados
Se debe crear una red wireless que sea más segura que su actual red
cableada.
3Com
Confidential
TOPOLOGÍAS Y
MODOS DE
OPERACIÓN
Name
3Com
Confidential
>
Title
TOPOLOGÍA
>Topologías
— Punto a punto
> Asociación directa entre dos puntos
— Punto a Multipunto
> Permite comunicación wireless entre mas de dos puntos
3Com
Confidential
BUILDING TO BUILDING BRIDGE (Solución Punto a Punto )
B-to-B Bridge
B-to-B Bridge
B-to-B Bridge
3Com
Confidential
BUILDING TO BUILDING BRIDGE (Solución Punto a Multipunto)
B-to-B Bridge
B-to-B Bridge
AP8200
3Com
Confidential
MODOS DE OPERACIÓN
>Ad hoc (punto a punto)
> Topología básica punto a punto
> Dos clientes pueden asociarse sin Access point
> Permite conectar LAN’s mediante dispositivos wireless
>Access Point (Infraestructura)
> Topología básica para punto a multipunto
3Com
Confidential
WDS
Name
3Com
Confidential
>
Title
WDS MODO BRIDGE
Punto a Punto(PTP)
Desktops
Cableados
Desktops
Cableados
Enlace WDS
3Com
Confidential
Access Point
Access Point
Modo PTP
Modo PTP
WDS MODO BRIDGE
Punto a Multipunto (PTMP)
Wired Desktops
Enlace WDS con
WPA-PSK
Desktops
Cableados
Access Point
Modo PTP
Access Point
Desktops
Cableados
Enlace WDS con
WPA-PSK
Modo PTMP
Access Point
Modo PTP
3Com
Confidential
WDS MODO CLIENTE
Desktops
Cableados
Access Point en Modo Cliente
Enlace WDS con
WPA-PSK
Access Point
Ethernet Cable
Access Point
in Client Mode
3Com
Confidential
Dispositivo
con puerto
Ethernet
45
WDS Repeater Mode
Desktops
Cableados
Access Point en Modo Repetidor
Enlace WDS con
WPA-PSK
Access Point
Clientes
Wireless
Access Point en
Modo repetidor
“Delivering Enterprise Class Solutions to SMB”
3Com
Confidential
WIRELESS SWITCH
Name
3Com
Confidential
>
Title
CAMBIO DE PARADIGMA REDES WLAN
AP’s ROBUSTOS vs. SENCILLOS
Red AP Independiente
Red Wireless Switching
‘Fat’ APs
‘Fit’ APs
Antenna
Antenna
802.11 a/b/g
Encryption
802.11 a/b/g
Ap’s Costo bajo
Encryption
802.1x, TKIP,
802.11e, 802.11f, 802.11h
Mobile IP, IPSec, Certs
Rogue Wireless Protection
Solución Wireless
más administrada
Site Surveys
Per-user Firewall
Self-Healing
RF Management
802.1x, TKIP,
802.11e, 802.11f, 802.11h
Switch Capa 2
Red
Escuela
3Com
Confidential
Seguridad más fuerte
y centralizada
Mobile IP, IPSec, Certs
Wireless Switch
Red
Escuela
3Com Wireless Mobility Solution
>Planeamiento
— Cubrimiento y Capacidad
>Seguridad
— Autenticación & Encripción
— Ejecución de políticas
>Movilidad
— Roaming & administración de
usuarios
>Administración de RF
— Detección de Intrusos (rogue
AP’s)
— Administración de canal y
potencia
3Com
Confidential
ELEMENTOS SOLUCIÓN WIRELESS SWITCH
AP “sencillo”
3Com
Confidential
Wireless
Switch
Software de
administración
y planeamiento
ARQUITECTURA DE MOBILIDAD
Wireless Switch
Manager
Headquarters/ Regional Office
Fit
WX4400
APs
Mobility Domain
4400PWR
Fit
APs
3rd Party
APs
WX4400
WX1200
Fat
APs
Switched LAN
Infrastructure
4400PWR
Branch Office
AAA
Servers
3Com
Confidential
WAN
VISIÓN GENERAL
PRODUCTOS
WIRELESS
Name
3Com
Confidential
>
Title
SOLUCIONES WIRELESS
3CRWX
440095
Enterprise RF
Management, Security
and Deployment Tools
Enterprise 11a/b/g WLAN
& Switching Solutions
SOHO and SMB
Connectivity with
OfficeConnect®
WLAN products
3Com
Confidential
Building to Building
Wireless and Client
Bridging
GRACIAS
3Com
Confidential