recur so base unidad 3

Unidad 4: Implementacin de Redes Inalmbricas. Recurso de base para el curso.

Configuraciones y seguridad en tecnologas WIFI

Autor: Ing. Andrs de la Caridad Prez Alonso

Fecha de elaboracin: 14 de Julio de 2010

Fecha de actualizacin: 8 de Septiembre de 2011

Guadalajara, Jalisco, Mxico

Unidad 4 (cont)

4.1 Acceso al equipo inalmbrico:

Sesin telnet:

Se debe conocer la direccin IP que trae el equipo de fbrica (factory default), debemos poner nuestra PC en el mismo segmento de red. Por ejemplo si el equipo trae la direccin: 192.168.0.5, generalmente la mscara de red es 255.255.255.0, entonces debemos ponernos en la direccin IP digamos: 192.168.0.10, con mscara: 255.255.255.0, para acceder al equipo directamente y montaramos el siguiente esquema:





Unidad 4 (cont)

Imagen 1. Laboratorio de pruebas

Fuente: Mahdi, 2009





Unidad 4 (cont)

La sesin telnet la abriramos en nuestra PC con el prompt de MSDOS

Imagen 2. Sesin de TELNET

Fuente: Prez, 2010





Unidad 4 (cont)

SSH: La sesin de SSH se abre desde putty por el puerto 22

Imagen 3. Sesin de SSH, a travs de PUTTY

Fuente: Prez, 2010





Unidad 4 (cont)

WEB:

Imagen 4. Loging al LIBRAPLUS 5860 mediante WEB

Fuente: EION, 2010





Unidad 4 (cont)

Para acceder por web, por ejemplo, el equipamiento Libra Plus 5860, ser hara de la siguiente manera:

Abra el web browser en la PC

Escriba http://192.168.1.44:28086 en su web browser y presione Enter

Cuando aparezca el prompt login, escriba admin como el login, y admin123 como el password, y entonces d click en el botn OK





Unidad 4 (cont)

4.2 Configuraciones bsicas:

Las configuraciones bsicas son aquellas indispensables para que un enlace inalmbrico pueda levantarse y trabajar de forma adecuada. Por tanto, esta configuracin bsica debe incluir los parmetros esenciales que sin ellos, no podr trabajar un enlace, y deber incluir la configuracin bsica en la interface wireless y la interface ethernet.

Vamos a analizar primero, el caso ms sencillo, de una configuracin punto a punto:





Unidad 4 (cont)

Configuracin Bsica:

Topologa Punto a Multipunto (Punto a Punto es un caso particular):

Interface Wireless:

Tipo: AP/Station (CPE) >> salvo en el caso que el AP y el CPE vengan definidos por hardware

Modo: 802.11/802.11b/802.11g/s-turbo (Turbo se explicar en configuracin avanzada)

Canal: (MHZ)/channel

Potencia de Tx: dBm

Speed: MBPS

Distancia: Km/m

SSID: a opcin





Unidad 4 (cont)

Interface Ethernet:

Direccin IP:

Mscara de Red:

Default Gateway: >> (cuando el equipo es full bridge) y estos parmetros slo sirven para gestionar el equipo

Con esos parmetros el equipo inalmbrico puede funcionar bsicamente.

A continuacin, un ejemplo de configuracin bsica en comandos (CLI):





Unidad 4 (cont)

Para el AP:

EION:

interface wireless 0

type ap

ssid Eion

mode a

speed 54 (put speed auto for variable signal strength)

channel 5805

tx-power 5 (use the maximum if field installation)

no rts

distance 3000 (use the real distance if field installation)

wds-mode

fast-frame

no burst

no compression

no wmm

no dfs

no atpc

polling (enable the polling mechanism)

polling-max-station 3 (the number of CPEs to be associated with the AP)

polling-txtimeslot 40

polling-rxtimeslot 40

no shutdown

exit





Unidad 4 (cont)

EION:

interface FastEthernet 0

ip address 192.168.0.1 255.255.255.0 (IP to be Modified)

no shutdown

exit

EION:

interface bridge 0 (create the bridge)

interface bridge 0 (enter the bridge interface)

no shutdown

ip address 192.168.0.1 255.255.255.0 (IP to be modified)

exit

EION:

interface wireless 0 bridge-group 0

interface FastEthernet 0 bridge-group 0

26

Field Installation

copy running-config startup-config

reboot





Unidad 4 (cont)

Para el CPE:

EION:

interface wireless 0

type station

ssid Eion

mode a

speed auto

channel 5805

tx-power 26 (use the maximum if field installation)

no rts

distance 300 (use the real distance if field installation)

wds-mode

fast-frame

polling

no burst

no compression

no wmm

no dfs

no atpc

no shutdown

exit

EION:





Unidad 4 (cont)

interface FastEthernet 0


no shutdown

exit

25

Field Installation

EION:

interface bridge 0 (create the bridge)

interface bridge 0 (enter the bridge interface)

no shutdown


exit

EION:

interface wireless 0 bridge-group 0

interface FastEthernet 0 bridge-group 0

copy running-config startup-config

reboot





Unidad 4 (cont)

4.4 Configuraciones Avanzadas:

Las configuraciones avanzadas son aquellas que permiten trabajar un enlace con mayor desempeo (throughput) y con seguridad.

A continuacin muestro todo el espectro de parmetros de configuraciones avanzadas:





Unidad 4 (cont)

Configuracin Avanzada:

Topologa Punto a Multipunto (Punto a Punto es un caso particular):

Interface Wireless:

Beacom interval: (100) mseg (slo AP)>> para mantener la sincronizacin del reloj del AP con las CPEs

Fragment Length: (2046) bytes

RTS/CTS Threshold: (2346) bytes

Short preamble: ON/OFF (slo 802.11b)

Lista de Acceso por MAC ADDRESS (slo AP) >> lista blanca o lista negra: Lista blanca: no se asocia nadie, slo los que estn en la lista, Lista Negra: se asocian todos menos los que estn en la lista)





Unidad 4 (cont)

Interface Wireless (cont):

Burst (Bursting) Rfaga: ON/OFF.

Mayor cantidad de tramas de datos en un perodo de tiempo dado. Est soportado en 802.11e (QoS). Las Tx standars estn separadas por un perodo de tiempo llamado DIFS (distributed interframe space), durante el cual todos los clientes se aguantan para transmitir datos. Despus de haber transmitido con xito una trama, otros productos se aguantan por el tiempo-aire otra vez, para transmitir de nuevo datos. En rgimen Burst, la unidad se aguanta por el tiempo aire una vez, antes de transmitir una serie de tramas de datos en rfaga (sucesin rpida). De esta forma se reduce la sobre carga de tiempo, de esperar por el tiempo muerto entre tramas.





Unidad 4 (cont)

Imagen 5. Tiempos de inter-tramas

Fuente: IEEE, 2003





Unidad 4 (cont)


TDM (polling): LEVEL/TIME SLOT (en captulo posterior analizaremos en detalle este esquema de transmisin)

Seguridad:

Tipo de Autenticacin: Ninguna/WEP/WPA/WPA2

Modo de autenticacin: TKIP/CCMP/AES

Frase de encriptacin: WEP: 5 caracteres, WPA: 5 a 13 caracteres





Unidad 4 (cont)


DFS: ON/OFF, (Dynamic frequency selection): para evitacin de radares y satlites

WMM: ON/OFF, Wireless Mulimedia: Diferencia la calidad de servicio, dependiendo del IP TOS

Fast Frame: (Fast frame aggregation): ON/OFF, aumenta al throughput de radio creando paquetes jumbo que se envan sobre el enlace inalmbrico. El resultado es parecido al efecto bursting, en ste, agrupa varias tramas de datos Ethernet en una misma trama en una misma trama wireless, reduciendo la cabecera wireless en el airlink. Una vez que se negocia el fast frame entre un AP y un CPE, ambos pueden enviar tramas de hasta 3000 Bytes.

Compression: ON/OFF, emplea el algoritmo Lempel Ziv, que se usa en programas populares. Se comprimen los datos antes de ser transmitidos, y se descomprimen despus de la recepcin.





Unidad 4 (cont)


VLAN: VLAN ID (1 a 4094) >> trabajan con el standard 802.1Q (tag: TPID+TCI), TPID indica que el paquete viaja con tag y TCI indica prioridad del paquete (802.1p) y el VLAN ID

ClientBridge: ON/OFF >> para especificar cul CPE comunicar con otra CPE dentro de una infraestructura de un AP

ATPC (automatic transmit power): ON/OFF (generalmente cuando se habilita, el Tx tiene una potencia mxima de 17 dBm)





Unidad 4 (cont)


Dynamic Turbo: (hay tecnologas que lo habilitan y deshabilitan automtico). Dobla el efecto de todos los dems mecanismos de mejora de desempeo (fast frame, burst, compression), incrementando el throughput en un enlace wireless en cualquier data rate que trabaje. Toma el doble del ancho de banda pues es multi-canal.

Static Turbo: ON/OFF, es igual al Dynamic, excepto que el modo siempre est activado cuando est en ON.





Unidad 4 (cont)


Canalizacin Turbo:

2.4 GHZ >> Canal 6 (2437) Smart Channel)

5 GHZ:

Canales Estticos:

42 (5210), 50 (5250), 58 (5290), 152 (5760), 160 (5800)

Canales Dinmicos:

40 (5200), 48 (5240), 56 (5280), 153 (5765), 161 (5805)





Unidad 4 (cont)

Imagen 6. Niveles de Throughput por algoritmos de aceleracin

Fuente: EION, 2010





Unidad 4 (cont)

Interface Ethernet:

Max Flow Rate TX/RX: kbps (MIR) (PIR)

Min Flow Rate TX/RX: kbps (CIR)

ACL (Access Control List): permitir/denegar >> se pueden permitir/denegar Direcciones IP Fuente/Destino y Puertos Fuente/Destino, as como tipos de trfico por protocolo como ICMP, TCP o UDP

Bridge MTU: 576 a 2290 Bytes Default: 1568

Multicast: Trfico Multicast: ON/OFF





Unidad 4 (cont)

Interface Ethernet (cont):

DHCP Server (slo para Master AP): ON/OFF, en caso de habilitar, hay que declarar

Mask

Start IP

End IP

Gateway IP

DNS Server

DHCP Client (slo para Slave CPE): ON/OFF





Unidad 4 (cont)

Interface Ethernet (cont):

Priorizacin de trfico:

VLAN Priority Threshold: 0-7 default=7, significa que todos los paquetes tienen prioridad baja (equivalente a deshabilitar el clasificador VLAN)

ToS Priorization: ON/OFF, si se habilita, entonces intervienen:

IP Precedence Threshold: 0-7 (ejemplo: 6 voice)

DSCP Threshold: 0-63 (ejemplo 46 :redireccionamiento expedito, para servicios preferenciales): 0 (best effort)





Unidad 4 (cont)

Consideraciones Especiales:

Hay tecnologas que trabajan con antenas duales, y entonces hay que especificar:

Por cul antena, qu potencia , qu data rate (speed) y qu canal se utilizar

Hay tecnologas que trabajan como Bridge y como Router. Cuando trabajan como Router hay que especificar y crear la interface wireless (puerta WAN>>antena) y especificar y crear la interface ethernet (puerta LAN) y crear las rutas estticas.

Como resumen, muestro una tabla de las configuraciones ms representativas:





Unidad 4 (cont)

Imagen 7. Configuraciones por DEFAULT en el LIBRALUS 5860

Fuente: EION, 2010





Unidad 4 (cont)

Imagen 7. Continuacin





Unidad 4 (cont)

4.4 Control de Acceso por MAC ADDRESS:

Lista Blanca:

Consiste en activar una lista de acceso, en la cual, los CPE que no tengan registradas sus MAC ADDRESS en el AP, no podrn asociarse con el AP

Lista Negra:

Consiste en activar una lista de acceso, en la cual, todas las MAC ADDRESS se asociarn, menos las que estn registradas en la lista





Unidad 4 (cont)

4.5 Standard WIFI 802.11i WPA y WPA2:

IEEE802.11i

Ante las fallas de WEP (wireless equivalent privacy), el grupo de tarea 802.11i se form para establecer una solucin de seguridad para las WLAN. Completaron un standard llamado RSN (robust security network).Este standard incluye dos partes:

AES (advanced encryption standard) para encriptacin de trfico WLAN y el:

802.1x, autenticacin standard basada en redes para usuarios WLAN





Unidad 4 (cont)

El modo particular de encriptacin que el grupo ha fijado es:

AES-CCMP (AES Counter-mode Cipher block chaining Message authentication code Protocol).

Tamin se ha recomendado series de WEP fijadas para acomodar productos anteriores (legacy) que no soportan actualizacin a AES, debido a sus limitaciones de diseo. Estas constituyen el:

TKIP (temporal key integrity protocol)





Unidad 4 (cont)

Imagen 8:.Niveles de seguridad inalmbrica

Fuente: Atheros, 2011





Unidad 4 (cont)

TKIP consiste en cuatro parches del algoritmo WEP. Es importante notar que TKIP no provee un nivel de seguridad conseguido con AES. TKIP es menos robusto que AES. El standard recomienda el uso de TKIP slo con dispositivos que no pueden comunicarse con AES-CCMP





Unidad 4 (cont)

Autenticacin 802.1x

802.1x es un standard abierto para autenticacin de estaciones wireless (supplicants) con un servidor de autenticacin de la red cableada a travs de un AP (autenticador). El servidor de autenticacin es generalmente el mismo servidor RADIUS usado para autenticar usuarios de discado (remote authentication dial-in user server)





Unidad 4 (cont)

Imagen 9. Autenticacin por servidor central

Fuente: Atheros, 2011





Unidad 4 (cont)

WPA (WIFI protected access):

En ausencia de un standard completo 802.11i, la WIFI Alliance propuso el WPA, como una solucin interim a WEP.

La especificacin WPA incluye soportes para encriptaciones AES, pero como muchos de los dispositivos anteriores de la 802.11b no son capaces de soportar AES, para garantizar inter-operabilidad, se ha implementado TKIP, el cual s puede ser instrumentado en las actualizaciones de software/firmware de los productos anteriores (legacy)





Unidad 4 (cont)

Como muchas redes no tienen la posibilidad de utilizar servidor RADIUS para autenticar estaciones, WPA provee un mecanismo PSK (pre shared key). Para usar PSK, el usuario entra un pass phrase, tanto en el AP como en la estacin wireless. Esta pass phrase se usa para autenticar cualquier estacin que trate de conectarse. El AP provee a la estacin wireless con una session key que se refresca a intervalos regulares.

Los productos que estn clasificados como que tienen WPA-personal soportan mecanismos de autenticacin PSK





Unidad 4 (cont)

WPA2 (WIFI protected access version 2):

WPA2 es el sucesor de WPA. WPA2 es compatible con WPA, de manera tal que encriptaciones TKIP y AES, as como autenticacin 802.1x y PSK son parte de este standard. WPA2 est orientado a usuarios que hace roamingentre celdas AP.

WPA y WPA2 son modos mixtos y estn hechos para facilitar la transicin entre standards.





Unidad 4 (cont)

Uno de los principales logros en WPA2 es que provee encriptacin ms robusta, aadiendo el soporte AES-CCMP como la 802.11i

Como resumen, para redes inalmbricas corporativas de mediano tamao, donde el uso de servidor RADIUS no est disponible, se recomienda usar:

Encriptacin AES-CCMP con

Autenticacin WPA-PSK WPA2-PSK





Unidad 4 (cont)

La mayora de las tecnologas, an ofrecen WEP, al menos para la topologa punto a punto, pero se va imponiendo WPA.

Cuando elegimos el tipo de autenticacin WPA, tenemos dos caminos para el modo de autenticacin: TKIP, CCMP, y la frase de encriptacin ser entre 8 y 63 caracteres.





Unidad 4 (cont)

Bibliografa:

Atheros.(2011). Construyendo una red inalmbrica segura.

Recuperado el 11 de septiembre de 2011 de http://www.qca.qualcomm.com/

EION. (2011).LIBRAPLUS 5860 User Manual.

Recuperado el 11 de septiembre de 2011 de http://www.eionwireless.com/products/libraplus-5860





Unidad 4 (cont)

IEEE. (2003). 802.11 Normas: 802.11-1999, 802.11b-1999,

802.11g-2003. Recuperado el 11 de septiembre de

2011 de http://www.forosdelweb.com/f20/normas-ieee-802-11-a-804324/

Mahdi. (2009). Curso certificacin LIBRAPLUS

5845.La Habana, Cuba:UNE





Unidad 4 (cont)
Nmero Cita Fuente 1Laboratorio de pruebas Mahdi, 20092Sesin de TELNET Prez, 20103Sesin de SSH, a travs de PUTTY Prez, 20104Loging al LIBRAPLUS 5860 mediante WEB EION, 20105Tiempos de inter-tramas IEEE, 2003 6Niveles de Throughput por algoritmos de aceleracin EION, 20107Configuraciones por DEFAULT en el LIBRALUS 5860 EION, 2010
Numeracin de imgenes:





Unidad 4 (cont)
8Niveles de seguridad inalmbrica Atheros, 2011 9Autenticacin por servidor central Atheros, 2011




recur so base unidad 3

Documents

mxico unidad

fecha de actualizacin

configuracin punto a

sesin de ssh

botn ok autor

sesin de telnetfuente

equipo inalmbrico

contla sesin telnet