redes internet

Configuraciones y seguridad en tecnologías WIFI

Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

Unidad 4 (cont)

• 4.1 Acceso al equipo inalámbrico:• Sesión telnet:• Se debe conocer la dirección IP que trae el equipo de

fábrica (factory default), debemos poner nuestra PC en el mismo segmento de red. Por ejemplo si el equipo trae la dirección: 192.168.0.5, generalmente la máscara de red es 255.255.255.0, entonces debemos ponernos en la dirección IP digamos: 192.168.0.10, con máscara: 255.255.255.0, para acceder al equipo directamente y montaríamos el siguiente esquema:


Unidad 4 (cont)

Imagen 1. Laboratorio de pruebasFuente: Mahdi, 2009


Unidad 4 (cont)

La sesión telnet la abriríamos en nuestra PC con el prompt de MSDOS

Imagen 2. Sesión de TELNETFuente: Pérez, 2010


Unidad 4 (cont)SSH: La sesión de SSH se abre desde putty por el puerto 22

Imagen 3. Sesión de SSH, a través de PUTTYFuente: Pérez, 2010


Unidad 4 (cont)WEB:

Imagen 4. Loging al LIBRAPLUS 5860 mediante WEBFuente: EION, 2010


Unidad 4 (cont)

• Para acceder por web, por ejemplo, el equipamiento Libra Plus 5860, ser haría de la siguiente manera:

• Abra el web browser en la PC• Escriba http://192.168.1.44:28086 en su web

browser y presione “Enter”• Cuando aparezca el prompt login, escriba

“admin” como el login, y “admin123” como el password, y entonces dé click en el botón “OK”


http://192.168.1.44:28086/

http://192.168.1.44:28086/

http://192.168.1.44:28086/

Unidad 4 (cont)

• 4.2 Configuraciones básicas:• Las configuraciones básicas son aquellas

indispensables para que un enlace inalámbrico pueda levantarse y trabajar de forma adecuada. Por tanto, esta configuración básica debe incluir los parámetros esenciales que sin ellos, no podrá trabajar un enlace, y deberá incluir la configuración básica en la interface wireless y la interface ethernet.

• Vamos a analizar primero, el caso más sencillo, de una configuración punto a punto:


Unidad 4 (cont)• Configuración Básica:• Topología Punto a Multipunto (Punto a Punto es un caso particular):• Interface Wireless: Tipo: AP/Station (CPE) >> salvo en el caso que el AP y el CPE vengan

definidos por hardware Modo: 802.11ª/802.11b/802.11g/s-turbo (Turbo se explicará en

configuración avanzada) Canal: (MHZ)/channel Potencia de Tx: dBm Speed: MBPS Distancia: Km/m SSID: a opción


Unidad 4 (cont)

• Interface Ethernet:Dirección IP:Máscara de Red:Default Gateway: >> (cuando el equipo es full bridge)

y estos parámetros sólo sirven para gestionar el equipo

Con esos parámetros el equipo inalámbrico puede funcionar básicamente.

A continuación, un ejemplo de configuración básica en comandos (CLI): Autor: Ing. Andrés de la Caridad Pérez Alonso

Fecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

Unidad 4 (cont)• Para el AP:• EION:• interface wireless 0• type ap• ssid Eion• mode a• speed 54 (put speed ‘auto’ for variable signal strength)• channel 5805• tx-power 5 (use the maximum if field installation)• no rts• distance 3000 (use the real distance if field installation)• wds-mode• fast-frame• no burst• no compression• no wmm• no dfs• no atpc• polling (enable the polling mechanism)• polling-max-station 3 (the number of CPEs to be associated with the AP)• polling-txtimeslot 40• polling-rxtimeslot 40• no shutdown• exit


Unidad 4 (cont)• EION:• interface FastEthernet 0• ip address 192.168.0.1 255.255.255.0 (IP to be Modified)• no shutdown• exit• EION:• interface bridge 0 (create the bridge)• interface bridge 0 (enter the bridge interface)• no shutdown• ip address 192.168.0.1 255.255.255.0 (IP to be modified)• exit• EION:• interface wireless 0 bridge-group 0• interface FastEthernet 0 bridge-group 0• 26• Field Installation• copy running-config startup-config• reboot Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)• Para el CPE:• EION:• interface wireless 0• type station• ssid Eion• mode a• speed auto• channel 5805• tx-power 26 (use the maximum if field installation)• no rts• distance 300 (use the real distance if field installation)• wds-mode• fast-frame• polling• no burst• no compression• no wmm• no dfs• no atpc• no shutdown• exit• EION: Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)• interface FastEthernet 0• ip address 192.168.0.5 255.255.255.0 (IP to be modified)• no shutdown• exit• 25• Field Installation• EION:• interface bridge 0 (create the bridge)• interface bridge 0 (enter the bridge interface)• no shutdown• ip address 192.168.0.5 255.255.255.0 (IP to be modified)• exit• EION:• interface wireless 0 bridge-group 0• interface FastEthernet 0 bridge-group 0• copy running-config startup-config• reboot Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

• 4.4 Configuraciones Avanzadas:• Las configuraciones avanzadas son aquellas

que permiten trabajar un enlace con mayor desempeño (throughput) y con seguridad.

• A continuación muestro todo el espectro de parámetros de configuraciones avanzadas:


Unidad 4 (cont)• Configuración Avanzada:• Topología Punto a Multipunto (Punto a Punto es un caso

particular):• Interface Wireless: Beacom interval: (100) mseg (sólo AP)>> para mantener la

sincronización del reloj del AP con las CPEs Fragment Length: (2046) bytes RTS/CTS Threshold: (2346) bytes Short preamble: ON/OFF (sólo 802.11b) Lista de Acceso por MAC ADDRESS (sólo AP) >> lista blanca o lista

negra: Lista blanca: no se asocia nadie, sólo los que están en la lista, Lista Negra: se asocian todos menos los que están en la lista)


Unidad 4 (cont)• Interface Wireless (cont): Burst (Bursting) Ráfaga: ON/OFF. • Mayor cantidad de tramas de datos en un período de tiempo

dado. Está soportado en 802.11e (QoS). Las Tx standars están separadas por un período de tiempo llamado DIFS (distributed interframe space), durante el cual todos los clientes se aguantan para transmitir datos. Después de haber transmitido con éxito una trama, otros productos se aguantan por el tiempo-aire otra vez, para transmitir de nuevo datos. En régimen Burst, la unidad se aguanta por el tiempo aire una vez, antes de transmitir una serie de tramas de datos en ráfaga (sucesión rápida). De esta forma se reduce la sobre carga de tiempo, de esperar por el tiempo muerto entre tramas. Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

Imagen 5. Tiempos de inter-tramasFuente: IEEE, 2003


Unidad 4 (cont)

• Interface Wireless (cont):TDM (polling): LEVEL/TIME SLOT (en capítulo

posterior analizaremos en detalle este esquema de transmisión)

Seguridad:Tipo de Autenticación: Ninguna/WEP/WPA/WPA2Modo de autenticación: TKIP/CCMP/AESFrase de encriptación: WEP: 5 caracteres, WPA: 5

a 13 caracteresAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

Unidad 4 (cont)• Interface Wireless (cont): DFS: ON/OFF, (Dynamic frequency selection): para evitación de radares y

satélites WMM: ON/OFF, Wireless Mulimedia: Diferencia la calidad de servicio,

dependiendo del IP TOS Fast Frame: (Fast frame aggregation): ON/OFF, aumenta al throughput de radio

creando paquetes jumbo que se envían sobre el enlace inalámbrico. El resultado es parecido al efecto bursting, en éste, agrupa varias tramas de datos Ethernet en una misma trama en una misma trama wireless, reduciendo la cabecera wireless en el airlink. Una vez que se negocia el fast frame entre un AP y un CPE, ambos pueden enviar tramas de hasta 3000 Bytes.

Compression: ON/OFF, emplea el algoritmo Lempel Ziv, que se usa en programas populares. Se comprimen los datos antes de ser transmitidos, y se descomprimen después de la recepción.


Unidad 4 (cont)

• Interface Wireless (cont):VLAN: VLAN ID (1 a 4094) >> trabajan con el standard

802.1Q (tag: TPID+TCI), TPID indica que el paquete viaja con tag y TCI indica prioridad del paquete (802.1p) y el VLAN ID

ClientBridge: ON/OFF >> para especificar cuál CPE comunicará con otra CPE dentro de una infraestructura de un AP

ATPC (automatic transmit power): ON/OFF (generalmente cuando se habilita, el Tx tiene una potencia máxima de 17 dBm) Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

• Interface Wireless (cont):Dynamic Turbo: (hay tecnologías que lo habilitan y

deshabilitan automático). Dobla el efecto de todos los demás mecanismos de mejora de desempeño (fast frame, burst, compression), incrementando el throughput en un enlace wireless en cualquier data rate que trabaje. Toma el doble del ancho de banda pues es multi-canal.

Static Turbo: ON/OFF, es igual al Dynamic, excepto que el modo siempre está activado cuando está en ON.


Unidad 4 (cont)

• Interface Wireless (cont):• Canalización Turbo:2.4 GHZ >> Canal 6 (2437) Smart Channel)5 GHZ:Canales Estáticos:42 (5210), 50 (5250), 58 (5290), 152 (5760), 160 (5800)Canales Dinámicos:40 (5200), 48 (5240), 56 (5280), 153 (5765), 161 (5805)


Unidad 4 (cont)

Imagen 6. Niveles de Throughput por algoritmos de aceleraciónFuente: EION, 2010


Unidad 4 (cont)

• Interface Ethernet:Max Flow Rate TX/RX: kbps (MIR) (PIR)Min Flow Rate TX/RX: kbps (CIR)ACL (Access Control List): permitir/denegar >> se

pueden permitir/denegar Direcciones IP Fuente/Destino y Puertos Fuente/Destino, así como tipos de tráfico por protocolo como ICMP, TCP o UDP

Bridge MTU: 576 a 2290 Bytes Default: 1568Multicast: Tráfico Multicast: ON/OFF


Unidad 4 (cont)

• Interface Ethernet (cont):DHCP Server (sólo para Master ó AP): ON/OFF, en

caso de habilitar, hay que declararMaskStart IPEnd IPGateway IPDNS ServerDHCP Client (sólo para Slave ó CPE): ON/OFFAutor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

• Interface Ethernet (cont):• Priorización de tráfico: VLAN Priority Threshold: 0-7 default=7, significa que

todos los paquetes tienen prioridad baja (equivalente a deshabilitar el clasificador VLAN)

ToS Priorization: ON/OFF, si se habilita, entonces intervienen:

IP Precedence Threshold: 0-7 (ejemplo: 6 voice) DSCP Threshold: 0-63 (ejemplo 46 :redireccionamiento

expedito, para servicios preferenciales): 0 (best effort)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

Unidad 4 (cont)

• Consideraciones Especiales:• Hay tecnologías que trabajan con antenas duales, y entonces

hay que especificar: Por cuál antena, qué potencia , qué data rate (speed) y qué

canal se utilizará• Hay tecnologías que trabajan como Bridge y como Router.

Cuando trabajan como Router hay que especificar y crear la interface wireless (puerta WAN>>antena) y especificar y crear la interface ethernet (puerta LAN) y crear las rutas estáticas.

• Como resumen, muestro una tabla de las configuraciones más representativas:


Unidad 4 (cont)

Imagen 7. Configuraciones por DEFAULT en el LIBRALUS 5860Fuente: EION, 2010


Unidad 4 (cont)

Imagen 7. Continuación


Unidad 4 (cont)

• 4.4 Control de Acceso por MAC ADDRESS:• Lista Blanca:• Consiste en activar una lista de acceso, en la cual,

los CPE que no tengan registradas sus MAC ADDRESS en el AP, no podrán asociarse con el AP

• Lista Negra:• Consiste en activar una lista de acceso, en la cual,

todas las MAC ADDRESS se asociarán, menos las que estén registradas en la lista


Unidad 4 (cont)• 4.5 Standard WIFI 802.11i WPA y WPA2:• IEEE802.11i• Ante las fallas de WEP (wireless equivalent privacy), el

grupo de tarea 802.11i se formó para establecer una solución de seguridad para las WLAN. Completaron un standard llamado RSN (robust security network).Este standard incluye dos partes:

AES (advanced encryption standard) para encriptación de tráfico WLAN y el:

802.1x, autenticación standard basada en redes para usuarios WLAN


Unidad 4 (cont)

• El modo particular de encriptación que el grupo ha fijado es:

AES-CCMP (AES Counter-mode Cipher block chaining Message authentication code Protocol).

Tamién se ha recomendado series de WEP fijadas para acomodar productos anteriores (legacy) que no soportan actualización a AES, debido a sus limitaciones de diseño. Estas constituyen el:

TKIP (temporal key integrity protocol)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

Unidad 4 (cont)

Imagen 8:.Niveles de seguridad inalámbricaFuente: Atheros, 2011


Unidad 4 (cont)

• TKIP consiste en cuatro parches del algoritmo WEP. Es importante notar que TKIP no provee un nivel de seguridad conseguido con AES. TKIP es menos robusto que AES. El standard recomienda el uso de TKIP sólo con dispositivos que no pueden comunicarse con AES-CCMP


Unidad 4 (cont)

• Autenticación 802.1x• 802.1x es un standard abierto para

autenticación de estaciones wireless (supplicants) con un servidor de autenticación de la red cableada a través de un AP (autenticador). El servidor de autenticación es generalmente el mismo servidor RADIUS usado para autenticar usuarios de discado (remote authentication dial-in user server)


Unidad 4 (cont)

Imagen 9. Autenticación por servidor centralFuente: Atheros, 2011


Unidad 4 (cont)

• WPA (WIFI protected access):• En ausencia de un standard completo 802.11i, la WIFI

Alliance propuso el WPA, como una solución interim a WEP.

• La especificación WPA incluye soportes para encriptaciones AES, pero como muchos de los dispositivos anteriores de la 802.11b no son capaces de soportar AES, para garantizar inter-operabilidad, se ha implementado TKIP, el cual sí puede ser instrumentado en las actualizaciones de software/firmware de los productos anteriores (legacy)


Unidad 4 (cont)

• Como muchas redes no tienen la posibilidad de utilizar servidor RADIUS para autenticar estaciones, WPA provee un mecanismo PSK (pre shared key). Para usar PSK, el usuario entra un “pass phrase”, tanto en el AP como en la estación wireless. Esta “pass phrase” se usa para autenticar cualquier estación que trate de conectarse. El AP provee a la estación wireless con una “session key” que se refresca a intervalos regulares.

• Los productos que están clasificados como que tienen “WPA-personal” soportan mecanismos de autenticación PSK Autor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

• WPA2 (WIFI protected access version 2):• WPA2 es el sucesor de WPA. WPA2 es compatible

con WPA, de manera tal que encriptaciones TKIP y AES, así como autenticación 802.1x y PSK son parte de este standard. WPA2 está orientado a usuarios que hace “roaming”entre celdas ó AP.

• WPA y WPA2 son modos mixtos y están hechos para facilitar la transición entre standards.


Unidad 4 (cont)

• Uno de los principales logros en WPA2 es que provee encriptación más robusta, añadiendo el soporte AES-CCMP como la 802.11i

• Como resumen, para redes inalámbricas corporativas de mediano tamaño, donde el uso de servidor RADIUS no está disponible, se recomienda usar:

• Encriptación AES-CCMP con• Autenticación WPA-PSK ó WPA2-PSKAutor: Ing. Andrés de la Caridad Pérez Alonso


Unidad 4 (cont)

• La mayoría de las tecnologías, aún ofrecen WEP, al menos para la topología punto a punto, pero se va imponiendo WPA.

• Cuando elegimos el tipo de autenticación WPA, tenemos dos caminos para el modo de autenticación: TKIP, CCMP, y la frase de encriptación será entre 8 y 63 caracteres.


Unidad 4 (cont)

• Bibliografía: • Atheros.(2011). Construyendo una red

inalámbrica segura.• Recuperado el 11 de septiembre de

2011 de http://www.qca.qualcomm.com/• EION. (2011).LIBRAPLUS 5860 User Manual.• Recuperado el 11 de septiembre de 2011

de http://www.eionwireless.com/products/libraplus-5860


http://www.qca.qualcomm.com/

http://www.eionwireless.com/products/libraplus-5860

http://www.eionwireless.com/products/libraplus-5860

Unidad 4 (cont)

• IEEE. (2003). 802.11 Normas: 802.11ª-1999, 802.11b-1999,

• 802.11g-2003. Recuperado el 11 de septiembre de

• 2011 de http://www.forosdelweb.com/f20/normas-ieee-802-11-a-804324/

• Mahdi. (2009). Curso certificación LIBRAPLUS• 5845.La Habana, Cuba:UNE


http://www.forosdelweb.com/f20/normas-ieee-802-11-a-804324/

http://www.forosdelweb.com/f20/normas-ieee-802-11-a-804324/

Unidad 4 (cont)

Número Cita Fuente

1 Laboratorio de pruebas Mahdi, 2009

2 Sesión de TELNET Pérez, 2010

3 Sesión de SSH, a través de PUTTY Pérez, 2010

4 Loging al LIBRAPLUS 5860 mediante WEB

EION, 2010

5 Tiempos de inter-tramas IEEE, 2003

6 Niveles de Throughput por algoritmos de aceleración

EION, 2010

7 Configuraciones por DEFAULT en el LIBRALUS 5860

EION, 2010

Numeración de imágenes:


Unidad 4 (cont)8 Niveles de seguridad inalámbrica Atheros, 2011

9 Autenticación por servidor central Atheros, 2011


redes internet

Documents

Transcript of redes internet