3Com Confidential

OBJETIVOS

>Revisar tecnologías actuales Wireless

>Identificar los estándares utilizados en redes Wireless LAN

>Conocer las diferencias entre 802.11 a,b y g y estándares que se desprenden.

>Identificar los estándares de seguridad para redes WLAN

>Conocer las diferentes topologías y modos de operación en redes wireless

>Identificar las nuevas tecnologías WLAN

3Com Confidential

Wireless WideArea Network

PANORAMA REDES WIRELESS

Wireless Local Area Network

GPRSUMTS

GSM

IEEE 802.16 MAN & 802.20 WAN

Wireless PersonalArea Network

IEEE 802.15.1

802.11a/b/g/n

3Com Confidential

COMPONENTES WLAN

>Infraestructura— Access Points

>Actúa como un hub>Conectado a una red cableada >Consiste de un radio, una interfase Ethernet y software

— Wireless LAN Building-to-Building Bridge>Conectividad wireless entre sitios situados a largas distancias

>Interfases (Clientes)— Tarjetas para Laptops para conectarse a redes wireless— Tarjetas PCI para adherir dispositivos de escritorio a redes

wireless— Tarjetas USB para adherir dispositivos de escritorio donde

no se tienen ranuras PCI

>Firmware y Software— Roaming y balanceo de cargas, Seguridad, administración,

configuración y diagnóstico de red

3Com Confidential

TERMINOS WIRELESS

>Service Set Identifier (SSID) –valor que envía un access point hacia afuera para que clientes wireless puedan asociarse a él.

>Basic Service Set (BSS) – un access point con clientes wireless asociados

>Extended Service Set (ESS) – Múltiples access points sobrelapados con clientes asociados

>Independent Basic Service Set (IBSS) – red Ad-hoc wireless solo para clientes wireless

3Com Confidential

Name > Title

3Com Confidential

ESTÁNDAR WIRELESS

3Com Confidential

WLANs (A,B,G’s)

>Background

— IEEE finaliza el estándar inicial para redes wireless (WLANs), IEEE 802.11 en Junio de 1997

— El estándar original especifica una frecuencia de operación a con una velocidad de 1 y 2Mbps y dos categorías de especificaciones.

— La primera categoría define completamente el sistema de Wireless LAN’s>Sus 3 especificaciones principales son: 802.11a, b, y g

— La segunda categoría define adelantos que mitigan las debilidades en los protocolos existentes. >No hay nuevos sistemas, en cambio se han aplicado

extensiones a los sistemas existentes

>Actualmente se cuenta con 6 especificaciones dentro de esta categoría 802.11d, e, f, h, i, j

3Com Confidential

VISIÓN GENEREAL ESTÁNDARES IEEE 802.11

802.11a 802.11b 802.11gEstándar Ratificado

2002 1999 2003

Banda de Radio 5 GHz 2.4 GHz 2.4 GHz

Tasas de transferencia

Hasta 54 Mbps Hasta 11 Mbps Hasta 54 Mbps

Área de Cubrimiento

Hasta 50 Metros Hasta 100 Metros Hasta 100 Metros

+

> Menos posibilidad de interferencia

> Buen soporte para aplicaciones multimedia y ambientes con gran densidad de usuarios

> Sistema ampliamente instalado

> Banda de 2.4Ghz esta disponible en muchos países

> Compatible con 802.11b

> Alta tasa de transferencia y amplio área de cubrimiento

> Banda de 2.4Ghz esta disponible en muchos países

-

> La banda de 5Ghz no esta disponible en todos los países

> Menos área de cubrimiento

> No es compatible con la una base instalada grande de 802.11b

> Baja tasa de transferencia

> Interferencias en la banda de 2.4 Ghz

> Interferencias en la banda de 2.4 Ghz

3Com Confidential

IEEE 802.11a

>5 GHz

— Puede utilizar bandas licenciadas

— 8 canales de no-sobrelapamiento

>Emplea modulación OFDM

>Tasas: 6, 9,12,18,24,36,48, or 54 Mbps(6,12 y 24 son mandatarios)

>Rango ~ 50m

— La distancia depende del ambiente

— Guía detallada:

OFDM = Orthogonal Frequency Division Multiplexing

58

6

72

31

4802.11a

Velocidad (Mbps) 54 48 36 24 18 12 9 6

Distancia (Bajo techo) Metros 18 25 30 35 40 45 48 50

3Com Confidential

MODULACIÓN OFDM

>División de Frecuencia por Multiplexación Ortogonal (OFDM) es un esquema de modulación “multi-portadora”. La información es dividida entre varios espacios estrechamente separados “sub-portadoras”

OFDM Sistema de Transmisión en múltiples “Subportadoras”

3Com Confidential

IEEE 802.11g

>En términos prácticos: a + b = g

>2.4 GHz— Banda no-Licenciada

— 3 canales de no-sobrelapamiento

— Emplea OFDM y/o modulación CCK

>Tasas: 54, 22,11, 5.5, 2 y 1

>Rango: 30% más que 802.11a

>Compatibilidad garantizado con el sistema existente Wi-Fi (802.11b)

OFDM modulación

CCK modulación

3Com Confidential

COMO ESCOGER EL SISTEMA WLAN ADECUADO?

>Escoger 802.11a si:— Se tiene una densidad de usuarios

alta en un área reducido

— Se quiere correr aplicaciones que requieren alto ancho de banda>Voz/video sobre la red Wireless

— Necesita transferir archivos de gran tamaño>Archivos CAD, documentos

publicitarios, otros documentos gráficos de gran tamaño

— No necesita gran área de cubrimiento

3Com Confidential

COMO ESCOGER EL SISTEMA WLAN ADECUADO?

>Escoger 802.11g si:

— Se requiere compatibilidad con la existente sistema 802.11b WLAN>Se quiere maximizar la inversión actual

— Necesidad de alto ancho de banda

— Tener una gran área de cubrimiento

— Sistema empleado más comúnmente en la actualidad

>Escoger 802.11b si:

— No se puede comprar aún los anteriores sistemas (se debe estar seguro que el equipo pueda ser actualizado posteriormente).

3Com Confidential

ESTANDARES ADICIONALES

>Además de los 3 especificaciones principales (802.11a, b & g) existen adicionalmente 6 grupos de trabajo en IEEE trabajando sobre estos 3 estándares.

—802.11d Define los requerimientos físicos que satisfacen las condiciones de regulación dentro de los países donde no se cuenta con reglas de operación para redes WLAN de 802.11

—802.11e Afinación de 802.11MAC para mejorar el QoS (Calidad de Servicio) para incrementar la calidad en aplicaciones de audio y video

—802.11f Desarrolla un conjunto de requerimientos para la comunicación entre Access Points llamado Inter-Access Point Protocol (IAPP), incluyendo aspectos operacionales y de administración.

3Com Confidential

ESTANDARES ADICIONALES

— 802.11h Adhiere características de atenuación de poder y selección de canales de radio para redes 802.11a solamente

— 802.11i Toma 802.1X como base y adhiere características adicionales para redes Wireless. Incluye algoritmos de encripción como AES que reemplazan las llaves estáticas y manuales configuradas en WEP

— 802.11k Permite a los sistemas WLAN usar recursos en forma más eficiente

— 802.11n Pretende alcanzar mayores velocidades de transferencia. El estándar es basado en tecnología MIMO (múltiples entradas, múltiples salidas), utilizando múltiples antenas. Actualmente muchos fabricantes ofrecen velociadades de 108Mbps con un estándar llamado “pre-n”

Adicionalmente para seguridad en LAN’s y WLAN’s:

— 802.1x Control de Acceso a la red Basado en Puerto

3Com Confidential

INTER ACCESS POINT PROTOCOL (802.11f)

Switch

Normalmente cuando un cliente wireless quiere acceder una red Wireless, necesitan autenticarse en la red usando 802.1x (TLS, PEA, TTLS ) así como cifrado.

Sin IAPP, cuando un clientes realiza roaming a un nuevo AP el tendría que re-autenticarse así como tener un nuevo cifrado.

Con IAPP los nuevos AP envían un mensaje de broadcast preguntando si alguien mas tiene este cliente, los AP pasados envían un mensaje a el nuevo AP con las llaves de cifrado y su estatus de autenticación.

Client Authenticated and EncryptedRoams to a New AP

Broadcast MessageResponse Message

Client Continues to work

3Com Confidential

Name > Title

3Com Confidential

SEGURIDAD

3Com Confidential

VULNERABILIDADES WLAN

>Sniffing ondas de radio

— Capa física esta en el aire¡

— Robar y volver a emplear una dirección MAC valida

>Denegación de Servicio

>Hombre en el medio

>Access Point no autorizado (Rogue AP)

— Configurado por un usuario por conveniencia

— Configurado por un hacker

3Com Confidential

Hacking & Encripción

Para simplificar el escaneo de wireless Access Points:>Utilidades de Site Survey (usualmente enviado gratis en algunos productos) o herramientas gratuitas como:

Débiles (ej. Claves estáticas) y no recomendadas>Sin Encripción inherentemente insecuro!>WEP (40/104/128-bit) = RC4 based algorithm inseguro!

Soluciones basadas en sesiones encriptadas:>3Com’s Dynamic Security Link pre-WPA standard>Cisco’s LEAP pre-WPA standard

Actualmente se cuentan con fuertes estándares para soluciones wireless>WPA (basado en TKIP) con encripción AES y 802.1X para autenticación en la red

3Com Confidential

AUTENTICACIÓN RADIUS

> Autenticación RADIUS centralizada— La autenticación es proveída entre los clientes wireless y

servidor de RADIUS, en conjunción con el estándar basad en login de red IEEE 802.1x

— RADIUS soporta EAP-MD5, EAP-TLS, EAP-TTLS— Implementación en conjunción con 802.1x para suministrar

una autenticación segura en clientes Wireless

> Contabilidad RADIUS— Usuario, tiempo de inicio, tiempo de finalización, paquetes

entrada/salida

3Com Confidential

EAP-MD5

> Autenticación

— Nunca envía contraseñas en texto claro

— Usa MD-5 HMAC > 128 bit HASH

— La mayoría de los servidores RADIUS soportan actualmente> Cisco

> Funk

3Com Confidential

EAP-TLS

> Autenticación— Autentica dispositivo y usuario— Dispositivo por certificado

> Usuario mediante Usuario/Contraseña

> Requiere Certificado digital

> Soportado en productos avanzados de servidores RADIUS, ej Microsoft, Funk Steel Belted Radius, Cisco

3Com Confidential

CERTIFICADO UNIVERSAL EAP-TLS

> El certificado es requerido para autenticación mutua

> Usado por cualquier cliente WLAN 3Com en modo de autenticación EAP-TLS

> Requerido para autenticación serial

> Desarrollado en 3Com para utilizar completamente la autenticación EAP-TLS

> Clave Pública para cliente es generalmente costosa de desarrollar

3Com Confidential

Bank

AUTO VLAN USANDO RADIUS

ServidorRADIUS

Switch

WLAN

Trunk Port

Cuando un cliente wireless quiere acceder a una red wireless, el necesita autenticarse a la red usando 802.1x (TLS, PEAP, TTLS).

Cuando el cliente suministra su Usuario/Contraseña al servidor RADIUS, el servidor revisa las credenciales y retorna el ID de la VLAN a la cual el usuario tiene acceso permitido por el administrador de la red que configuro su cuenta.El Switch controla que los usuarios de ventas no accedan al servidor de recursos humanos y solo puedan acceder a su servidor de ventas.

ServidorVentas

VLAN VentasVLAN Recursos

Humanos

Router

Trunk Port

ServidorRecursos Humanos

3Com Confidential

MULTIPLESS SSID

Access PointSSID1 y SSID2

SSID1 = WPA

SSID1 = WPA

SSID2 = WEP

SSID2 = WEP

3Com Confidential

RECOMENDACIONES - COMO CONSTRUIR UNA RED WIRELESS ALTAMENTE SEGURA EN LA ACTUALIDAD

>Deshabilitar la característica de broadcasting de el ESSID

>Bloquear la comunicación cliente-cliente en el AP

>Usar WPA (TKIP) para generación de llaves dinámicas por paquete

>Usar encripción AES para la cifrar la información

>Usar Login a la red con 802.1X para autenticar usuarios

>Usar tarjetas Token

>EAP-(T)TLS o PEAP como protocolo de autenticación

>Usar DuD (Disconnect Unauthorized Device) sobre los switches para evitar que sea instalados AP no autorizados

Se debe crear una red wireless que sea más segura que su actual red cableada.

3Com Confidential

Name > Title

3Com Confidential

TOPOLOGÍAS Y MODOS DE OPERACIÓN

3Com Confidential

BUILDING TO BUILDING BRIDGE (Solución Punto a Punto )

B-to-B Bridge

B-to-B Bridge

B-to-B Bridge

3Com Confidential

AP8200

B-to-B Bridge

B-to-B Bridge

BUILDING TO BUILDING BRIDGE (Solución Punto a Multipunto)

3Com Confidential

MODOS DE OPERACIÓN

>Ad hoc (punto a punto)>Topología básica punto a punto>Dos clientes pueden asociarse sin Access point>Permite conectar LAN’s mediante dispositivos wireless

>Access Point (Infraestructura)>Topología básica para punto a multipunto

3Com Confidential

WDS MODO BRIDGE Punto a Punto(PTP)

Enlace WDS

Desktops Cableados

Access Point

Modo PTP

Desktops Cableados

Access Point

Modo PTP

3Com Confidential

WDS MODO BRIDGEPunto a Multipunto (PTMP)

Desktops Cableados

Desktops Cableados

Access Point

Modo PTMP

Wired Desktops

Access Point

Modo PTP

Access Point

Modo PTP

Enlace WDS con WPA-PSK

Enlace WDS con WPA-PSK

3Com Confidential

WDS MODO CLIENTE

32

Desktops Cableados

Access Point

Dispositivo con puerto Ethernet

Access Point in Client Mode

Ethernet Cable

Access Point en Modo Cliente

Enlace WDS con WPA-PSK

3Com Confidential

WDS Repeater Mode

Desktops Cableados

Enlace WDS con WPA-PSK

Access Point

Access Point en Modo repetidor

Clientes Wireless

Access Point en Modo Repetidor

“Delivering Enterprise Class Solutions to SMB”

3Com Confidential

3Com Wireless Mobility Solution

>Planeamiento

— Cubrimiento y Capacidad

>Seguridad

— Autenticación & Encripción

— Ejecución de políticas

>Movilidad

— Roaming & administración de usuarios

>Administración de RF

— Detección de Intrusos (rogue AP’s)

— Administración de canal y potencia

3Com Confidential

ELEMENTOS SOLUCIÓN WIRELESS SWITCH

Software de administracióny planeamiento

WirelessSwitch

AP “sencillo”

3Com Confidential

ARQUITECTURA DE MOBILIDAD

AAAServers

Mobility Domain

WX4400

Wireless Switch Manager

WX4400

WX1200

4400PWR

4400PWR

Fit APs

Fat APs

3rd Party APs

Switched LAN Infrastructure

Fit APs

WAN

Branch Office

Headquarters/ Regional Office

3Com Confidential

SOLUCIONES WIRELESS

SOHO and SMB Connectivity with OfficeConnect®

WLAN products

Enterprise 11a/b/g WLAN & Switching Solutions

Building to Building Wireless and Client

Bridging

3CRWX440095

Enterprise RF Management, Security and Deployment Tools