Redes inalábricas

Un Host para integrase a una red inalámbrica tiene que pasar por varios filtros que son

1. Usar un SSID que concuerde con el AP.

2. Autenticarse con el AP.

Autenticación abierta, sin contraseña, acceso libre.

Pre-Phared Key (PSK), se define una clave secreta en el cliente y en
el AP.

EAP (Extensible Authentication Protocol) es el mecanismo básico de
seguridad de muchas redes wireless. EAP está definido en la RFC 3748

Sus variantes son:

LEAP (Lightweight EAP), desarrollado por Cisco. Se utiliza un
servidor RADIUS externo

EAP-TLS, definido en la RFC 2716 y utiliza TLS (Transport Layer
Security) para autenticar a los clientes de manera segura.

PEAP (Protected EAP o EAP-PEAP), es similar al EAP-TLS.
Requiere un certificado digital sólo en el servidor de autenticación de
tal manera que el mismo puede autenticar a los clientes

Cada vez que
el cliente intenta autenticarse el servidor crea una clave nueva y será
única para cada cliente

MS-CHAPv2 (Microsoft Challenge Handshake Authentication
Protocol V2)

GTS (Generic Token Card), es un dispositivo de hardware que
genera contraseñas de un solo uso para el usuario o una
contraseña generada manualmente

EAP-FAST (EAP Flexible Authentication via Secure Tunneling): Construye un túnel seguro entre el
cliente y el servidor utilizando PAC (Protected Access Credential)como única credencial para construir el túnel.

WEP: La autenticación compartida (PSK) utiliza una clave conocida como WEP
(Wireless Equivalence Protocol) que se guarda en el cliente y en el AP.

TKIP (Temporal Key Integrity Protocol) acentúa la encriptación WEP en
hardware dentro de los clientes wireless y el AP, genera nuevas llaves por cada paquete

WPA estándar IEEE 802.11i
WPA (Wi-Fi Protected Access) utiliza varios de los componentes del estándar 802.11 proporcionando las siguientes medidas de seguridad:

Autenticación mutua entre cliente y servidor.

Autenticación de cliente utilizando 802.1x

Privacidad de los datos con TKIP (Temporal Key Integrity Protocol).

Integridad de los datos utilizando MIC (Message Integrity Check).

WPA2
WPA2 (Wi-Fi Protected Access V2) está basado en el estándar 802.11i. Utilizando PKC (Proactive Key Caching) donde un cliente se
autentica sólo una vez en el primer AP que se encuentra

WPA3 utiliza un cifrado más fuerte con
AES-GCMP (Advanced Encryption Standard- Galois/Counter Mode Protocol). También utiliza PMF (Protected Management Frames) para evitar actividades maliciosas que puedan suplantar o alterar la operación entre AP y los clientes de un BSS

WPA3-personal

WPA3-enterprise, posee niveles de seguridad más elevados para entornos en los que se requiere mayor seguridad

3. Utilizar un método (opcional) de encriptación de paquetes (privacidad de datos)

4. Utilizar un método (opcional) de autenticación de paquetes (integridad de datos)

5. Construir una asociación con el AP.

Los modos de autenticación
son los siguientes:

Llaves de encriptación

Resource

Corresponde al Estandar 802.3

Medio compartido
Utiliza evitar colisiones:

CSMA/CA (Carrier Sense Multiple
Access Collision Avoidance

Condiciones para enviar una trama necesita:

1. Ningún otro dispositivo está transmitiendo.

2. Otro dispositivo está en ese momento transmitiendo una trama

Funciona en modo half duplex en una sóla frecuencia

Topologías WLAN

Funciones que un AP debe
de validar son

EL SSID debe concordar.

Una tasa de transferencia
de datos compatible.

Las mismas credenciales
de autenticación.

SSID
(Service Set Identifier)

El AP tiene un identificcador BSSID

Estándares

En 801.11 Se definen la operación de capa 1 y de capa 2:
canales wireless,
el rendimiento,
la seguridad,
la movilidad, etc.

Estándares IEEE 802.11

802.11
2.4 Ghz
2 Mbps

802.11.b
2.4 Ghz
11 Mbps

802.11a
5 Ghz
54 Mbps

802.11.g
2.4 Ghz
54 Mbps

802.11n
2.4 y 5 Ghz
600 Mbps

802.11 ac
5 Ghz
6.93 Gbps

802.11 ax
2.4 y 5 Ghz
4x802.11ac

802.11 ESS (Extended Service Set)es cuando los AP conectados entre ellos con una infraestructura de switching es estándar

Radiofrecuencia en WLAN

El transmisor y el receptor deben estar en la misma frecuencia
para transmitir la misma señal

Puede ser medida en Watts (W) o miliwatt

Un rango de frecuencias
se llama banda que se divide en dos:

2.4

Desde la 2,412 a 2,484 GHz;

5 Ghz

Desde 5,150 a 5,825 GHz.
A vez dividida en:

5.150 a 5.250 GHz
de 5.250 a 5.350 GHz

de 5.470 a 5.725 GHz

de 5.725 a 5.825 GHz

La señal emitida por una estación wireless se llama portadora (carrier) es una señal constante a una determinada frecuencia

El cambio de frecuencia
se llama canal que están definidos en 802.11

Existen Agencias reguladoras de frecuencias, que son:

Federal Communications Commission (FCC)
Electrical and Electronics Engineers (IEEE)
European Telecommunications Standard Institute (ETSI)

La alianza Wi-Fi

La alianza Wireless Ethernet Compatibility (WECA).

La asociación WLANA

Funcionamiento de un AP

La función es puentear datos wireless del aire hasta una red a través un WGB Workgroup Bridge)

Los clientes deben efectuar un saludo de dos vías antes de asociarse.

Solicitará credenciales o volumen de datos

Un AP proporciona conectividad WLAN en su cobertura o también llamada celda

Se puede dividir una celda
en microceldas o
picoceldas bajando la potencia del AP

Se puede amplicar celdas para cubrir cobertura con más Access Point

Cuando un host cambia la conexión
automática entre cada AP se llama
Roaming

Existen plataformas para
administrar Access Point llamados
WLC (Wireless LAN Controller)

APs Autónomos que funcionan localmente
gestionan sus propios recursos

cloud-based AP
que trabajan en tiempo real, el AP se llama LAP (Lightweight Access Point)porque recibe la configuración y gestión desde el WLC

Su características son:

Seguridad
Desarrollo
Configuración y Administración
Control y monitorización

Ejemplos: Meraki

El funcionamiento
de un LAP es en el siguiente orden:

1. El LAP obtiene una dirección desde un servidor DHCP y busca al WLC

2 . El LAP aprende la dirección IP de los WLC disponibles.

3. El LAP intenta enlazarse con el primer WLC, si es efectivo lo intenta con los demás hasta realizarce la unión.

4. Comparan código de imagenes y el LAP lo descarga y reinicia

5. El WLC y el LAP construyen un túnel seguro CAPWAP para tráfico
de gestión y otro similar no seguro para los datos del cliente.

Los WLC Se comunican con los LAP
utilizando un tunel CAPWAP (Control and Provisioning of Wireless Access Points)

La información que intercambian es:
Mensajes de control CAPWAP para configuración y gestión de la operación.

Datos CAPWAP, los paquetes hacia y desde los clientes wireless son
asociados con el LAP.topic

Sólo cuando se habilita seguridad: los paquetes se protegen con
el protocolo DTLS (Datagram Transport Layer Security

Cuando se sincronizan WLC y LAP
brinda las siguientes funciones:

Asignación de canales dinámicos

Optimización potencia de transmisión

Solución de fallos en la cobertura:

Roaming flexible

Balanceo de carga dinámico

Monitorización de RF

Gestión de la seguridad

Diseños pequeños conocidos como SOHO, las siglas de (Small Office Home Office

La administración
de gran cantidad de APs, hasta 100
conocida como WLC Cisco
Mobility Express

Cloud-based WLC, donde el WLC existe como una máquina virtual en lugar
de un dispositivo físico, adminte hasta 3000 AP

Derivado de lo anterior existe una adminstración unificada o centralized WLC
Soporte hasta 6 mil AP