Recur So Base Unidad 3

Configuraciones y seguridad
en tecnologas WIFI
Autor: Ing. Andrs de la Caridad Prez Alonso

Fecha de elaboracin: 14 de Julio de 2010
Fecha de actualizacin: 8 de Septiembre de
2011
Guadalajara, Jalisco, Mxico
Unidad 4 (cont)
4.1 Acceso al equipo inalmbrico:
Sesin telnet:
Se debe conocer la direccin IP que trae el equipo
de fbrica (factory default), debemos poner nuestra
PC en el mismo segmento de red. Por ejemplo si el
equipo trae la direccin: 192.168.0.5,
generalmente la mscara de red es 255.255.255.0,
entonces debemos ponernos en la direccin IP
digamos: 192.168.0.10, con mscara:
255.255.255.0, para acceder al equipo
directamente y montaramos el siguiente esquema:
2011
Unidad 4 (cont)
Imagen 1. Laboratorio de pruebas

Fuente: Mahdi, 2009
2011
Unidad 4 (cont)
Imagen 2. Sesin de TELNET

Fuente: Prez, 2010
La sesin telnet la abriramos en

nuestra PC con el prompt de MSDOS

2011
Unidad 4 (cont)
SSH: La sesin de SSH se abre
desde putty por el puerto 22
Imagen 3.
Sesin de SSH,
a travs de
PUTTY
Fuente: Prez,
2010

2011
Unidad 4 (cont)
WEB:
Imagen 4. Loging al LIBRAPLUS 5860 mediante

WEB
Fuente: EION, 2010

2011
Unidad 4 (cont)
Para acceder por web, por ejemplo, el
equipamiento Libra Plus 5860, ser hara de
la siguiente manera:
Abra el web browser en la PC
Escriba http://192.168.1.44:28086 en su
web browser y presione Enter
Cuando aparezca el prompt login, escriba
admin como el login, y admin123
como el password, y entonces d click en
el botn OK

2011
Unidad 4 (cont)
4.2 Configuraciones bsicas:
Las configuraciones bsicas son aquellas
indispensables para que un enlace inalmbrico
pueda levantarse y trabajar de forma
adecuada. Por tanto, esta configuracin bsica
debe incluir los parmetros esenciales que sin
ellos, no podr trabajar un enlace, y deber
incluir la configuracin bsica en la interface
wireless y la interface ethernet.
Vamos a analizar primero, el caso ms sencillo,
de una configuracin punto a punto:
2011
Unidad 4 (cont)
Configuracin Bsica:
Topologa Punto a Multipunto (Punto a Punto es un
caso particular):
Interface Wireless:
Tipo: AP/Station (CPE) >> salvo en el caso que el AP y el CPE
vengan definidos por hardware
Modo: 802.11/802.11b/802.11g/s-turbo (Turbo se
explicar en configuracin avanzada)
Canal: (MHZ)/channel
Potencia de Tx: dBm
Speed: MBPS
Distancia: Km/m
SSID: a opcin
2011
Unidad 4 (cont)
Interface Ethernet:
Direccin IP:
Mscara de Red:
Default Gateway: >> (cuando el equipo es full
bridge) y estos parmetros slo sirven para
gestionar el equipo
Con esos parmetros el equipo inalmbrico
puede funcionar bsicamente.
A continuacin, un ejemplo de configuracin
bsica en comandos (CLI):
2011
Unidad 4 (cont)
Para el AP:
EION:
interface wireless 0
type ap
ssid Eion
mode a
speed 54 (put speed auto for variable signal strength)
channel 5805
tx-power 5 (use the maximum if field installation)
no rts
distance 3000 (use the real distance if field installation)
wds-mode
fast-frame
no burst
no compression
no wmm
no dfs
no atpc
polling (enable the polling mechanism)
polling-max-station 3 (the number of CPEs to be associated with the AP)
polling-txtimeslot 40
polling-rxtimeslot 40
no shutdown
2011
exit
Unidad 4 (cont)
EION:
interface FastEthernet 0
ip address 192.168.0.1 255.255.255.0 (IP to be Modified)
no shutdown
exit
EION:
interface bridge 0 (create the bridge)
interface bridge 0 (enter the bridge interface)
no shutdown
ip address 192.168.0.1 255.255.255.0 (IP to be modified)
exit
EION:
interface wireless 0 bridge-group 0
interface FastEthernet 0 bridge-group 0
26
Field Installation
copy running-config startup-config
reboot
2011
Unidad 4 (cont)
Para el CPE:
EION:
interface wireless 0
type station
ssid Eion
mode a
speed auto
channel 5805
tx-power 26 (use the maximum if field installation)
no rts
distance 300 (use the real distance if field installation)
wds-mode
fast-frame
polling
no burst
no compression
no wmm
no dfs
no atpc
no shutdown
exit
EION:
2011
Unidad 4 (cont)
interface FastEthernet 0
no shutdown
exit
25
Field Installation
EION:
interface bridge 0 (create the bridge)
interface bridge 0 (enter the bridge interface)
no shutdown
exit
EION:
interface wireless 0 bridge-group 0
interface FastEthernet 0 bridge-group 0
copy running-config startup-config
reboot

2011
Unidad 4 (cont)
4.4 Configuraciones Avanzadas:
Las configuraciones avanzadas son
aquellas que permiten trabajar un
enlace con mayor desempeo
(throughput) y con seguridad.
A continuacin muestro todo el
espectro de parmetros de
configuraciones avanzadas:
2011
Unidad 4 (cont)
Configuracin Avanzada:
Topologa Punto a Multipunto (Punto a Punto es un
caso particular):
Interface Wireless:
Beacom interval: (100) mseg (slo AP)>> para mantener la
sincronizacin del reloj del AP con las CPEs
Fragment Length: (2046) bytes
RTS/CTS Threshold: (2346) bytes
Short preamble: ON/OFF (slo 802.11b)
Lista de Acceso por MAC ADDRESS (slo AP) >> lista blanca
o lista negra: Lista blanca: no se asocia nadie, slo los que
estn en la lista, Lista Negra: se asocian todos menos los
que estn en la lista)
2011
Unidad 4 (cont)
Interface Wireless (cont):
Burst (Bursting) Rfaga: ON/OFF.
Mayor cantidad de tramas de datos en un perodo de
tiempo dado. Est soportado en 802.11e (QoS). Las Tx
standars estn separadas por un perodo de tiempo llamado
DIFS (distributed interframe space), durante el cual todos
los clientes se aguantan para transmitir datos. Despus de
haber transmitido con xito una trama, otros productos se
aguantan por el tiempo-aire otra vez, para transmitir de
nuevo datos. En rgimen Burst, la unidad se aguanta por el
tiempo aire una vez, antes de transmitir una serie de
tramas de datos en rfaga (sucesin rpida). De esta forma
se reduce la sobre carga de tiempo, de esperar por el
tiempo muerto entre tramas.

2011
Unidad 4 (cont)
Imagen 5. Tiempos de inter-tramas

Fuente: IEEE, 2003
2011
Unidad 4 (cont)
TDM (polling): LEVEL/TIME SLOT (en
captulo posterior analizaremos en
detalle este esquema de transmisin)
Seguridad:
Tipo de Autenticacin:
Ninguna/WEP/WPA/WPA2
Modo de autenticacin: TKIP/CCMP/AES
Frase de encriptacin: WEP: 5 caracteres,
WPA: 5 a 13 caracteres

2011
Unidad 4 (cont)
DFS: ON/OFF, (Dynamic frequency selection): para evitacin de
radares y satlites
WMM: ON/OFF, Wireless Mulimedia: Diferencia la calidad de
servicio, dependiendo del IP TOS
Fast Frame: (Fast frame aggregation): ON/OFF, aumenta al
throughput de radio creando paquetes jumbo que se envan sobre
el enlace inalmbrico. El resultado es parecido al efecto bursting,
en ste, agrupa varias tramas de datos Ethernet en una misma
trama en una misma trama wireless, reduciendo la cabecera
wireless en el airlink. Una vez que se negocia el fast frame entre
un AP y un CPE, ambos pueden enviar tramas de hasta 3000 Bytes.
Compression: ON/OFF, emplea el algoritmo Lempel Ziv, que se usa
en programas populares. Se comprimen los datos antes de ser
transmitidos, y se descomprimen despus de la recepcin.
2011
Unidad 4 (cont)
VLAN: VLAN ID (1 a 4094) >> trabajan con el
standard 802.1Q (tag: TPID+TCI), TPID indica
que el paquete viaja con tag y TCI indica
prioridad del paquete (802.1p) y el VLAN ID
ClientBridge: ON/OFF >> para especificar cul
CPE comunicar con otra CPE dentro de una
infraestructura de un AP
ATPC (automatic transmit power): ON/OFF
(generalmente cuando se habilita, el Tx tiene
una potencia mxima de 17 dBm)
2011
Unidad 4 (cont)
Dynamic Turbo: (hay tecnologas que lo habilitan
y deshabilitan automtico). Dobla el efecto de
todos los dems mecanismos de mejora de
desempeo (fast frame, burst, compression),
incrementando el throughput en un enlace
wireless en cualquier data rate que trabaje. Toma
el doble del ancho de banda pues es multi-canal.
Static Turbo: ON/OFF, es igual al Dynamic,
excepto que el modo siempre est activado
cuando est en ON.
2011
Unidad 4 (cont)
Canalizacin Turbo:
2.4 GHZ >> Canal 6 (2437) Smart Channel)
5 GHZ:
Canales Estticos:
42 (5210), 50 (5250), 58 (5290), 152 (5760),
160 (5800)
Canales Dinmicos:
40 (5200), 48 (5240), 56 (5280), 153 (5765),
161 (5805)

2011
Unidad 4 (cont)
Imagen 6. Niveles de Throughput por algoritmos

de aceleracin
Fuente: EION, 2010

2011
Unidad 4 (cont)
Interface Ethernet:
Max Flow Rate TX/RX: kbps (MIR) (PIR)
Min Flow Rate TX/RX: kbps (CIR)
ACL (Access Control List): permitir/denegar
>> se pueden permitir/denegar Direcciones
IP Fuente/Destino y Puertos Fuente/Destino,
as como tipos de trfico por protocolo como
ICMP, TCP o UDP
Bridge MTU: 576 a 2290 Bytes Default: 1568
Multicast: Trfico Multicast: ON/OFF
2011
Unidad 4 (cont)
Interface Ethernet (cont):
DHCP Server (slo para Master AP): ON/OFF,
en caso de habilitar, hay que declarar
Mask
Start IP
End IP
Gateway IP
DNS Server
DHCP Client (slo para Slave CPE): ON/OFF
2011
Unidad 4 (cont)
Interface Ethernet (cont):
Priorizacin de trfico:
VLAN Priority Threshold: 0-7 default=7, significa
que todos los paquetes tienen prioridad baja
(equivalente a deshabilitar el clasificador VLAN)
ToS Priorization: ON/OFF, si se habilita, entonces
intervienen:
IP Precedence Threshold: 0-7 (ejemplo: 6 voice)
DSCP Threshold: 0-63 (ejemplo 46
:redireccionamiento expedito, para servicios
preferenciales): 0 (best effort)
2011
Unidad 4 (cont)
Consideraciones Especiales:
Hay tecnologas que trabajan con antenas duales, y
entonces hay que especificar:
Por cul antena, qu potencia , qu data rate (speed)
y qu canal se utilizar
Hay tecnologas que trabajan como Bridge y como
Router. Cuando trabajan como Router hay que
especificar y crear la interface wireless (puerta
WAN>>antena) y especificar y crear la interface
ethernet (puerta LAN) y crear las rutas estticas.
Como resumen, muestro una tabla de las
configuraciones ms representativas:
2011
Unidad 4 (cont)
Imagen 7. Configuraciones por DEFAULT en el

LIBRALUS 5860
Fuente: EION, 2010

2011
Unidad 4 (cont)
Imagen 7. Continuacin
2011
Unidad 4 (cont)
4.4 Control de Acceso por MAC ADDRESS:
Lista Blanca:
Consiste en activar una lista de acceso, en la
cual, los CPE que no tengan registradas sus
MAC ADDRESS en el AP, no podrn asociarse
con el AP
Lista Negra:
Consiste en activar una lista de acceso, en la
cual, todas las MAC ADDRESS se asociarn,
menos las que estn registradas en la lista
2011
Unidad 4 (cont)
4.5 Standard WIFI 802.11i WPA y WPA2:
IEEE802.11i
Ante las fallas de WEP (wireless equivalent privacy),
el grupo de tarea 802.11i se form para establecer
una solucin de seguridad para las WLAN.
Completaron un standard llamado RSN (robust
security network).Este standard incluye dos partes:
AES (advanced encryption standard) para
encriptacin de trfico WLAN y el:
802.1x, autenticacin standard basada en redes
para usuarios WLAN
2011
Unidad 4 (cont)
El modo particular de encriptacin que el grupo
ha fijado es:
AES-CCMP (AES Counter-mode Cipher block
chaining Message authentication code Protocol).
Tamin se ha recomendado series de WEP
fijadas para acomodar productos anteriores
(legacy) que no soportan actualizacin a AES,
debido a sus limitaciones de diseo. Estas
constituyen el:
TKIP (temporal key integrity protocol)
2011
Unidad 4 (cont)
Imagen 8:.Niveles de seguridad inalmbrica

Fuente: Atheros, 2011
2011
Unidad 4 (cont)
TKIP consiste en cuatro parches del
algoritmo WEP. Es importante notar
que TKIP no provee un nivel de
seguridad conseguido con AES. TKIP
es menos robusto que AES. El
standard recomienda el uso de TKIP
slo con dispositivos que no pueden
comunicarse con AES-CCMP
2011
Unidad 4 (cont)
Autenticacin 802.1x
802.1x es un standard abierto para
autenticacin de estaciones wireless
(supplicants) con un servidor de
autenticacin de la red cableada a travs
de un AP (autenticador). El servidor de
autenticacin es generalmente el mismo
servidor RADIUS usado para autenticar
usuarios de discado (remote
authentication dial-in user server)
2011
Unidad 4 (cont)
Imagen 9. Autenticacin por servidor central

Fuente: Atheros, 2011
2011
Unidad 4 (cont)
WPA (WIFI protected access):
En ausencia de un standard completo 802.11i, la
WIFI Alliance propuso el WPA, como una solucin
interim a WEP.
La especificacin WPA incluye soportes para
encriptaciones AES, pero como muchos de los
dispositivos anteriores de la 802.11b no son
capaces de soportar AES, para garantizar interoperabilidad, se ha implementado TKIP, el cual s
puede ser instrumentado en las actualizaciones de
software/firmware de los productos anteriores
(legacy)

2011
Unidad 4 (cont)
Como muchas redes no tienen la posibilidad de
utilizar servidor RADIUS para autenticar estaciones,
WPA provee un mecanismo PSK (pre shared key).
Para usar PSK, el usuario entra un pass phrase,
tanto en el AP como en la estacin wireless. Esta
pass phrase se usa para autenticar cualquier
estacin que trate de conectarse. El AP provee a la
estacin wireless con una session key que se
refresca a intervalos regulares.
Los productos que estn clasificados como que
tienen WPA-personal soportan mecanismos de
autenticacin PSK
2011
Unidad 4 (cont)
WPA2 (WIFI protected access version 2):
WPA2 es el sucesor de WPA. WPA2 es
compatible con WPA, de manera tal que
encriptaciones TKIP y AES, as como
autenticacin 802.1x y PSK son parte de este
standard. WPA2 est orientado a usuarios
que hace roamingentre celdas AP.
WPA y WPA2 son modos mixtos y estn
hechos para facilitar la transicin entre
standards.
2011
Unidad 4 (cont)
Uno de los principales logros en WPA2 es
que provee encriptacin ms robusta,
aadiendo el soporte AES-CCMP como la
802.11i
Como resumen, para redes inalmbricas
corporativas de mediano tamao, donde el
uso de servidor RADIUS no est disponible,
se recomienda usar:
Encriptacin AES-CCMP con
Autenticacin WPA-PSK WPA2-PSK

2011
Unidad 4 (cont)
La mayora de las tecnologas, an
ofrecen WEP, al menos para la
topologa punto a punto, pero se va
imponiendo WPA.
Cuando elegimos el tipo de
autenticacin WPA, tenemos dos
caminos para el modo de
autenticacin: TKIP, CCMP, y la frase
de encriptacin ser entre 8 y 63
caracteres.

2011
Unidad 4 (cont)
Bibliografa:
Atheros.(2011). Construyendo una red
inalmbrica segura.
Recuperado el 11 de septiembre de
2011 de http://www.qca.qualcomm.com/
EION. (2011).LIBRAPLUS 5860 User Manual.
Recuperado el 11 de septiembre de
2011 de
http://www.eionwireless.com/products/libra
plus-5860

2011
Unidad 4 (cont)
IEEE. (2003). 802.11 Normas: 802.11-1999,
802.11b-1999,
802.11g-2003. Recuperado el 11 de
septiembre de
2011 de
http://www.forosdelweb.com/f20/normas-iee
e-802-11-a-804324/
Mahdi. (2009). Curso certificacin LIBRAPLUS
5845.La Habana, Cuba:UNE

2011
Unidad 4 (cont)
Numeracin de imgenes:
Nmero
Cita
Fuente
Laboratorio de pruebas
Mahdi, 2009
Sesin de TELNET
Prez, 2010
Sesin de SSH, a travs de PUTTY
Prez, 2010
Loging al LIBRAPLUS 5860

mediante WEB
Tiempos de inter-tramas
EION, 2010
5
6
7
IEEE, 2003
Niveles de Throughput por algoritmos EION, 2010

de aceleracin
EION, 2010
Configuraciones por
DEFAULT en el LIBRALUS
5860
2011
Unidad 4 (cont)
8
Niveles de seguridad inalmbrica
Atheros, 2011
Autenticacin por servidor central
Atheros, 2011

2011

Recur So Base Unidad 3

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Recur So Base Unidad 3

Hochgeladen von

Copyright:

Verfügbare Formate

Configuraciones y seguridad

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 1. Laboratorio de pruebas

Imagen 2. Sesin de TELNET

La sesin telnet la abriramos en

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 4. Loging al LIBRAPLUS 5860 mediante

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 5. Tiempos de inter-tramas

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 6. Niveles de Throughput por algoritmos

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 7. Configuraciones por DEFAULT en el

Autor: Ing. Andrs de la Caridad Prez Alonso

Imagen 8:.Niveles de seguridad inalmbrica

Imagen 9. Autenticacin por servidor central

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

Autor: Ing. Andrs de la Caridad Prez Alonso

5845.La Habana, Cuba:UNE

Sesin de SSH, a travs de PUTTY

Loging al LIBRAPLUS 5860

Niveles de Throughput por algoritmos EION, 2010

Niveles de seguridad inalmbrica

Autenticacin por servidor central

Autor: Ing. Andrs de la Caridad Prez Alonso

Das könnte Ihnen auch gefallen