Presente de Las Redes WLAN

Transmisión Inalámbrica de Datos
Presente de
las redes WLAN
Versión 1.0
. © Copyright 2010
Todos los derechos
reservados
1
Transmisión Inalámbrica
de Datos
CISAISI 2010
Agenda
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS • IEEE 802.11n.

IEEE 802.11w • Seguridad extendida.
Arq. centralizadas • wIPS.
CAPWAP • IEEE 802.11w.
Mallas inalámbricas • Arquitecturas centralizadas.
Acerca de … • CAPWAP.
• Mallas inalámbricas IEEE
802.11s.
• Acerca de…
2 de 67
de Datos
CISAISI 2010
Las redes inalámbricas hoy
Agenda
IEEE 802.11n
Seguridad Extendida • Son una realidad mucho más compleja de lo

wIDS
que aparentan.
aparentan
IEEE 802.11w
• Han demostrado capacidad de adaptación y
respuesta a los desafíos.
Arq. centralizadas
• Requieren conocimientos y experiencia
experiencia.
CAPWAP
• Ofrecen un conjunto de soluciones muy
Mallas inalámbricas eficientes.
Acerca de … • Son una tecnología de acceso por default en
las redes empresarias.
• Están respaldadas por organizaciones
y empresas decididas a llevarlas hasta
extremos no imaginados.
Las telecomunicaciones
hoy
3 de 67
de Datos
CISAISI 2010
Los desafíos actuales
Agenda
IEEE 802.11n
Seguridad Extendida • Dar soporte a los servicios de las redes IP

wIDS
convergentes:
• Ancho de banda.
IEEE 802.11w
• Calidad de servicio.
Arq. centralizadas
CAPWAP
• Ir más allá de la seguridad de los datos, y
asegurar la infraestructura.
Mallas inalámbricas
• Permitir el desarrollo de grandes redes de
Acerca de … acceso corporativas:
• Multiplicidad de tecnologías.
• Transparencia para el usuario.
4 de 67
de Datos
CISAISI 2010
Los desafíos actuales
Agenda
IEEE 802.11n
Seguridad Extendida • Dar soporte a los servicios de las redes IP

wIDS
convergentes:
IEEE 802.11n
• Ancho de banda. IEEE 802.11e
IEEE 802.11w
• Calidad de servicio.
Arq. centralizadas
CAPWAP
• Ir más allá de la seguridad de los datos, y
Seguridad extendida
asegurar la infraestructura. IEEE 802.11w
• Permitir el desarrollo de grandes redes de
Acerca de … acceso corporativas:
Arq. Centralizadas
• Multiplicidad de tecnologías. CAPWAP
IEEE 802.11s
• Transparencia para el usuario.
5 de 67
de Datos
CISAISI 2010
Agenda
Agenda
IEEE 802.11n
Seguridad Extendida

802.11s.
• Acerca de…
6 de 67
de Datos
CISAISI 2010
Estándar 802.11n
Agenda
IEEE 802.11n
Seguridad Extendida
• También denominado WiFi de alta velocidad.
wIDS
• Opera en las bandas de 2.4 y 5 GHz.
IEEE 802.11w
• Asegura compatibilidad con cualquiera de sus
Arq. centralizadas predecesores.
CAPWAP • Utiliza canales de 20 o 40 MHz de ancho de

banda.
• El estándar prevé una tasa de transferencia del
Acerca de …
hasta 600 Mbps.
Mbps
Los productos comerciales actualmente
disponibles llegan hasta 300 Mbps.
g de alcance de hasta 300 metros.
• Permite rangos
• El throughput llega hasta los 230 Mbps.
7 de 67
de Datos
CISAISI 2010
Innovaciones
Agenda
IEEE 802.11n
Seguridad Extendida
La performance ofrecida se asienta en la mejora
wIDS de algunos parámetros de operación…
IEEE 802.11w • Ancho de canal.
Arq. centralizadas • SGI (Short Guard Interval).
CAPWAP
Mallas inalámbricas …y la incorporación de innovaciones importantes:

Acerca de … • Antenas con beamforming.
beamforming
• Transmisión MIMO.
• Agregración de tramas.
8 de 67
de Datos
CISAISI 2010
Ancho de canal
Agenda
IEEE 802.11n
Puede hacer channel bonding: asociar 2 canales vecinos de 20 MHz en
Seguridad Extendida un único canal de 40 MHz.
wIDS • Define un canal primario, y un canal adyacente de 20 MHz.
IEEE 802.11w
• El canal primario asegura la compatibilidad con los clientes
legacy de 20 MHz.
Arq. centralizadas
• Mejora la eficiencia espectral del sistema.
CAPWAP
Acerca de …
9 de 67
de Datos
CISAISI 2010
Ancho de canal
Agenda
IEEE 802.11n
• En 2,4 GHz sólo se puede formar un canal de 40 MHz.
Seguridad Extendida • Por este motivo se sugiere trabajar con channel bonding en la
wIDS
banda de 5 GHz.
GHz
IEEE 802.11w 2.4 GHz 5 GHz

Canales de 20 MHz 3 23
Arq. centralizadas
Canales de 40 MHz 1 11
CAPWAP
Acerca de …
10 de 67
de Datos
CISAISI 2010
Ancho de canal
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
En entornos corporativos, e sugiere evitar el uso de channel bonding en 2,4 GHz.

Debido a la imposibilidad de reutilizar frecuencias.
11 de 67
de Datos
CISAISI 2010
Ancho de canal
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de … • El canal de control o primario es

el que utilizan los clientes
802.11a en el modo compatible.
• El canal extendido es el que
utilizan los clientes 802
802.11n
11n
sumado al de control para
aprovechar los 40 MHz
12 de 67
de Datos
CISAISI 2010
SGI
Agenda
IEEE 802.11n
• Short Guard Interval.
Seguridad Extendida
wIDS
• El intervalo de guarda es un período de silencio que
separa el envío de dos símbolos.
IEEE 802.11w
• El intervalo de guarda evita la posible interferencia
Arq. centralizadas entre símbolos.
CAPWAP • GI en ambientes 802.11a/b/g = 800 nanoseg.
Mallas inalámbricas • SGI reduce el intervalo de guarda a 400 nanoseg.
Acerca de … • Incrementa el data rate en aproximadamente 11%
13 de 67
de Datos
CISAISI 2010
SGI
Agenda
IEEE 802.11n
Tasa de transferencia
Seguridad Extendida Modo Ancho de Canal
Máxima
wIDS 802.11b 22 MHz. 11 Mbps
IEEE 802.11w 802.11a/g 20 MHz 54 Mbps
Arq. centralizadas 20 MHz 65 Mbps

802.11 n
CAPWAP GI = 800 nseg.
40 MHz 135 Mbps
Mallas inalámbricas 20 MHz 72,2 Mbps

802.11n
Acerca de … GI = 400 nseg.
40 MHz 150 Mbps
14 de 67
de Datos
CISAISI 2010
Beamforming
Agenda
IEEE 802.11n
• Posibilita que las señales emitidas por varias
Seguridad Extendida
antenas transmisoras se acoplen en una única
wIDS antena receptora.
IEEE 802.11w • Esto mejora sensiblemente la relación señal /
ruido (SNR).
Arq. centralizadas
• R
Requiere
i que ell receptor envíe
í iinformación
f ió all
CAPWAP
transmisor para poder ajustar las señales.
Mallas inalámbricas Puede ser aprovechado aún por clientes no-
802.11n.
Acerca de …
• Es efectivo cuando hay un solo receptor, y está

casi estático.
• Permite mejorar sensiblemente la tasa de
t
transmisión,
i ió pero no ell á
área d
de cobertura.
b t
15 de 67
de Datos
CISAISI 2010
Beamforming
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
Beanforming trabaja en el AP, en dirección hacia los clientes.

Por otra lado, MRC (Maximal Ratio Combining) maximiza la señal rebidida por el
access point desde el cliente.
16 de 67
de Datos
CISAISI 2010
MIMO
Agenda
IEEE 802.11n
Seguridad Extendida
• Multiple In Multiple Out.
wIDS • Es el corazón de la operación de 802

802.11n.
11n
IEEE 802.11w
• Utiliza múltiples señales simultáneas que reciben
la denominación de spatial streams.
Arq. centralizadas
• Cada cadena es enviada desde una antena
CAPWAP utilizando su propio transmisor.
Mallas inalámbricas • Al estar separada espacialmente cada antena,
Acerca de …
cada señal sigue su propia ruta hasta el receptor.
Spatial diversity.
• De este modo sobre cada señal se puede enviar
una cadena de datos.
• El receptor recibe las múltiples cadenas en
diferentes radios y los decodifica separadamente.
17 de 67
de Datos
CISAISI 2010
MIMO
Agenda
IEEE 802.11n Múltiples Elementos Múltiples Elementos

Transmisores Receptores
Seguridad Extendida
wIDS
IEEE 802.11w
Access Point
Cliente Móvil
Arq. centralizadas
CAPWAP
Acerca de …
Diversidad Secuencias
Espacial Espaciales
2 Tx x 2 Rx : 2 Secuencias
18 de 67
de Datos
CISAISI 2010
MIMO
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
A x B:C
Arq. centralizadas
transmisores x receptores : secuencias de bits
CAPWAP
2 Tx x 2 Rx : 2 Secuencias
Acerca de …
Las configuraciones más habituales son:

2 x 2:2 ; 2 x 3:2 y 3 x 3:2.
Las ttres configuraciones

L fi i ofrecen
f la
l misma
i ttasa d
de
transferencia máxima (300 Mbps) ya que la cantidad de
secuencias de bits es la misma.
19 de 67
de Datos
CISAISI 2010
MIMO
Agenda
IEEE 802.11n
Tasa de
Secuencias de
Modo Ancho de Canal transferencia
bits
Seguridad Extendida Máxima
802 11b
802.11b 22 MHz.
MHz 1 11 Mbps
wIDS
802.11a/g 20 MHz 1 54 Mbps

IEEE 802.11w
20 MHz 1 65 Mbps
Arq. centralizadas
40 MHz 1 135 Mbps

CAPWAP 802.11 n
GI = 800 nseg.
20 MHz 2 130 Mbps
Acerca de …
40 MHz 2 270 Mbps
20 MHz 1 72,2 Mbps
40 MHz 1 150 Mbps

802.11n
GI = 400 nseg.
g
20 MHz 2 144 4 Mbps
144,4
40 MHz 2 300 Mbps
20 de 67
de Datos
CISAISI 2010
MIMO
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
21 de 67
de Datos
CISAISI 2010
MCS
Agenda
IEEE 802.11n
Seguridad Extendida
• Modulation and Coding Scheme.
wIDS • Índices definidos que identifican las diferentes

tasas de transferencia disponibles en los equipos
IEEE 802.11w 802.11n.
Arq. centralizadas • Considera múltiples esquemas de modulación y
CAPWAP
codificación:
• Cantidad de secuencias espaciales.
Acerca de …
• Tipo de modulación y codificación.
• Ancho de canal.
• Utilización de SGI.
22 de 67
de Datos
CISAISI 2010
MCS
Agenda
IEEE 802.11n
Data Rate (Mbps)
Seguridad Extendida Índice Secuencias Modulación Coding rate GI = 800ns GI = 400ns
20MHz 40MHz 20MHz 40MHz
wIDS
0 1 BPSK 1/2 6.5 13.5 7.2 15.0
IEEE 802.11w 1 1 QPSK 1/2 13.0 27.0 14.4 30.0
2 1 QPSK 3/4 19.5 40.5 21.7 45.0
Arq. centralizadas 3 1 16-QAM 1/2 26.0 54.0 28.9 60.0
4 1 16-QAM 3/4 39.0 81.0 43.3 90.0
CAPWAP
5 1 64-QAM 2/3 52.0 108.0 57.8 120.0
6 1 64-QAM 3/4 58.5 121.5 65.0 135.0
7 1 64-QAM 5/6 65.0 135.0 72.2 150.0
Acerca de … 8 2 BPSK 1/2 13.0 27.0 14.4 30.0
9 2 QPSK 1/2 26.0 54.0 28.9 60.0
10 2 QPSK 3/4 39.0 81.0 43.3 90.0
11 2 16-QAM 1/2 52.0 108.0 57.8 120.0
12 2 16-QAM 3/4 78.0 162.0 86.7 180.0
13 2 64 QAM
64-QAM 2/3 104 0
104.0 216 0
216.0 115 6
115.6 240 0
240.0
14 2 64-QAM 3/4 117.0 243.0 130.3 270.0
15 2 64-QAM 5/6 130.0 270.0 144.4 300.0
Estas tablas presentan las 32 opciones posibles,

posibles considerando que todas las MCS Table
secuencias espaciales utilicen la misma modulación.
Como es posible que cada secuencia utilice una modulación diferente, hay 45
variantes adicionales para el caso de equipos que soporten operar con diferente
modulación en cada secuencia. 23 de 67
de Datos
CISAISI 2010
MCS
Agenda
IEEE 802.11n
Data Rate (Mbps)
Seguridad Extendida Índice Secuencias Modulación Coding rate GI = 800ns GI = 400ns
20MHz 40MHz 20MHz 40MHz
wIDS
16 3 BPSK 1/2 19.5 40.5 21.7 45.0
IEEE 802.11w 17 3 QPSK 1/2 39.0 81.0 43.3 90.0

18 3 QPSK 3/4 58.5 121.5 65.0 135.0
Arq. centralizadas 19 3 16-QAM 1/2 78.0 162.0 86.7 180.0
20 3 16-QAM 3/4 117.0 243.0 130.0 270.0
CAPWAP
21 3 64-QAM 2/3 156.0 324.0 173.3 360.0
22 3 64-QAM 3/4 175.5 364.5 195.0 405.0
23 3 64-QAM 5/6 195.0 405.0 216.7 450.0
Acerca de … 24 4 BPSK 1/2 26.0 54.0 28.9 60.0
25 4 QPSK 1/2 52.0 108.0 57.8 120.0
26 4 QPSK 3/4 78.0 162.0 86.7 180.0
27 4 16-QAM 1/2 104.0 216.0 115.6 240.0
28 4 16-QAM 3/4 156.0 324.0 173.3 360.0
29 4 64-QAM 2/3 208 0
208.0 432 0
432.0 231 1
231.1 480 0
480.0
30 4 64-QAM 3/4 234.0 486.0 260.0 540.0
31 4 64-QAM 5/6 260.0 540.0 288.9 600.0
Estas tablas presentan las 32 opciones posibles,

posibles considerando que todas las MCS Table
secuencias espaciales utilicen la misma modulación.
Como es posible que cada secuencia utilice una modulación diferente, hay 45
variantes adicionales para el caso de equipos que soporten operar con diferente
modulación en cada secuencia. 24 de 67
de Datos
CISAISI 2010
Agregación de tramas
Agenda
IEEE 802.11n
Seguridad Extendida • La interfaz de aire 802.11 es muy ineficiente debido al

overhead.
wIDS
• Cuando se opera a altas velocidades, este throughput
IEEE 802.11w
puede ser superior a la cantidad de datos transmitida.
Arq. centralizadas
• 802.11n pprocura solucionar este p
problema modificando
CAPWAP la operación en la subcapa MAC.
Mallas inalámbricas • Se parte del hecho de que el overhead es fijo,
independientemente de la cantidad de datos contenida.
Acerca de …
25 de 67
de Datos
CISAISI 2010
Agregación de tramas
Agenda
IEEE 802.11n
Seguridad Extendida • Frame aggregation es incluir dos o más tramas

wIDS
de datos en una única transmisión.
transmisión
• Dos métodos de agregación:
IEEE 802.11w
• MSDU
Arq. centralizadas
MAC Service Data Units
CAPWAP
• MPDU
Mallas inalámbricas Message Protocol Data Units.
Acerca de … • Aumenta sensiblemente el tamaño máximo de
las tramas.
• Reduce el overhead.
26 de 67
de Datos
CISAISI 2010
MAC Service Data Units
Agenda
IEEE 802.11n
• Es considerado el método más eficiente.
Seguridad Extendida
• Se asienta en que el formato nativo de las tramas es
wIDS
Ethernet (MTU = 1500 B).
IEEE 802.11w • Incluye múltiples tramas Ethernet en una única trama
Arq. centralizadas
802.11.
CAPWAP • En la práctica se incluyen tramas que tienen igual

destino.
• Lleva el MTU de las tramas de 2304 B a 7935 B.
Acerca de …
• Restricción: todas las tramas deben ser de igual QoS.
27 de 67
de Datos
CISAISI 2010
Message Protocol Data Units
Agenda
IEEE 802.11n
• Incluye múltiples tramas 802,11 con un mismo destino
Seguridad Extendida en una única trama 802.11.
wIDS • Permite encriptar cada trama individualmente
individualmente, pero no
implica una diferencia efectiva respecto de MSDU.
IEEE 802.11w
• Su eficiencia es menor por el overhead que suponen las
Arq. centralizadas tramas 802.11.
CAPWAP • El MTU de estas tramas es de 65535 B.
Mallas inalámbricas • Restricción: todas las tramas deben ser de igual QoS.
Acerca de …
• Puede resultar más eficiente en ambientes con alta tasa
de errores.
RP = Radio Preamble
RF = Radio Header
MH = MAC Header
MSDU = Ethernet Frame
28 de 67
de Datos
CISAISI 2010
802.11n en comparación
Agenda
IEEE 802.11n
Data Rate en Mbps

Seguridad Extendida
Canales de 20 MHz Canales de 40 MHz
wIDS
1 Secuencia 2 Secuencias 1 Secuencia 2 Secuencias
IEEE 802.11w 802,11b 1, 2, 5,5 11
Arq. centralizadas 802,11a 6, 9, 12, 18, 24,

36, 48
36 48,54
54
CAPWAP
802,11g 1, 2, 5,5, 6, 9, 11,
12, 18, 24, 36,
Mallas inalámbricas 48, 54
Acerca de … 802,11n 6,5, 13,19,5, 26, 13, 26, 39, 52, 13, 27, 40,5, 54, 27, 54, 81, 108,
800 nseg. 39, 52, 58,5, 65 78, 104, 117, 130 81, 108, 121, 135 162, 216, 243,
270
802,11n 7,2, 14,4, 21,7, 14,4, 28,9, 43,3, 15, 20, 45, 60, 30, 60, 90, 120,
400 nseg. 28,9, 43,3, 57,8, 57,8, 86,7, 115,6, 90, 120, 135, 150 180, 240, 270,
65, 72,2 130, 144,4 300
29 de 67
de Datos
CISAISI 2010
Agenda
Agenda
IEEE 802.11n
Seguridad Extendida

802.11s.
• Acerca de…
30 de 67
de Datos
CISAISI 2010
Wireless: datos asegurados
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS • L
Los framework
f k desarrollados
d ll d b brindan
i d un marco
de seguridad robusto para los datos.
IEEE 802.11w
Arq. centralizadas • Se recomienda la implementación de WPA2.

CAPWAP
• Asegura exclusivamente los datos del usuario.
Acerca de … g
• No se aseguran los encabezados de las
tramas, ni el tráfico de infraestructura.
31 de 67
de Datos
CISAISI 2010
Lo que no se aseguraba
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS • La
L iinfraestructura
f t t física:
fí i
IEEE 802.11w
• Es preciso asegurar el dominio de
Arq. centralizadas radiofrecuencia para evitar ataques DoS.
CAPWAP
• La infraestructura lógica:
Acerca de … g
• Las tramas de management y de control
aseguran la operación de todo el sistema
802.11
32 de 67
de Datos
CISAISI 2010
Las soluciones
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS • La
L iinfraestructura
f t t física:
fí i
IEEE 802.11w
• Sistemas de detección de ruido de radio
Arq. centralizadas frecuencia no 802.11.
CAPWAP
• Sistemas de detección de intrusos.
Acerca de … g
• La infraestructura lógica:
• IEEE 802.11w
33 de 67
de Datos
CISAISI 2010
Detección ruido RF
Agenda
IEEE 802.11n
Al usar RF como portadora, quedamos expuestos
Seguridad Extendida
a la posibilidad de generación de ruido de RF que
wIDS puede
d provocar un ataque
t d
de DoS.
D S Puede
P d
tratarse de:
IEEE 802.11w
Arq. centralizadas
• Señales de radio generadas por otros
equipos 802
802.11.
11
CAPWAP
• Señales de radio generadas por otros

dispositivos de comunicaciones: bluetooth,
Acerca de … teléfonos inalámbricos.
• Señales de radio generadas por fuentes

de radio frecuencia diversas: hornos de
microondas, RF jjamming,g etc.
34 de 67
de Datos
CISAISI 2010
Detección ruido RF
Agenda
IEEE 802.11n Hay diferentes sistemas de detección de ruidos:

Seguridad Extendida
• Analizadores de espectro.
wIDS Pá i
Prácticamente todos
d llos sistemas
i 802
802.11
11
enterprise incluyen un analizador de espectro.
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
35 de 67
de Datos
CISAISI 2010
Detección ruido RF
Agenda
IEEE 802.11n
Seguridad Extendida
Hay diferentes sistemas de detección de ruidos:
wIDS • D
Detectores
t t de
d fuentes
f t ded interferencias.
i t f i
Identifican fuentes de radiofrecuencia no-802.11.
IEEE 802.11w
Arq. centralizadas • A partir de hardware embebido en los access

points (Clean Air).
Air)
CAPWAP
• Utilizando sistemas de sensores que monitorean el
espacio físico de la red.
Acerca de …
36 de 67
de Datos
CISAISI 2010
Detección ruido RF
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
Estos sistemas permiten identificar y mitigar

problemas de RF, pero no prevenirlos.
37 de 67
de Datos
CISAISI 2010
Detección ruido RF
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
38 de 67
de Datos
CISAISI 2010
wIDS
Agenda
IEEE 802.11n
Wireless Intrusion Detection
Seguridad Extendida
wIDS • Permiten detectar la presencia de

dispositivos inalámbricos ajenos a la red.
IEEE 802.11w
• Se pueden detectar:
Arq. centralizadas
CAPWAP • Rogue Access Points.

Mallas inalámbricas • Rogue Clients.
Acerca de …
• O
Operan en base
b ad
definiciones
fi i i estáticas
táti o
políticas.
• No realizan análisis de patrones de tráfico

al modo de los NIDS o HIDS
HIDS.
39 de 67
de Datos
CISAISI 2010
wIDS
Agenda
IEEE 802.11n
Seguridad Extendida
Las acciones posibles son:
wIDS
• Detectar la aparición del intruso y generar
IEEE 802.11w
una alarma.
Arq. centralizadas
• Dar de baja las asociaciones de clientes
CAPWAP consideradas “de riesgo”.
• Deshabilitar el puerto del switch al cual
Acerca de … está
es á co
conectado
ec ado u un rogue
ogue access popoint.
• Localizar geográficamente la ubicación del

dispositivo intruso.
40 de 67
de Datos
CISAISI 2010
wIDS
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
41 de 67
de Datos
CISAISI 2010
802.11w
Agenda
IEEE 802.11n
Seguridad Extendida
En 802.11 hay 3 tipos de tramas:
wIDS
• Tramas de Control.
IEEE 802.11w
Arq. centralizadas
• Tramas de Management.
CAPWAP • Tramas de datos.

Aseguradas por WEP, WPA, WPA2.
Acerca de … 802.11w es un estándar para asegurar tramas de

management.
Protege la red de interrupciones de servicio

provocada por la generación maliciosa de tramas
de desasociación.
42 de 67
de Datos
CISAISI 2010
802.11w
Agenda
IEEE 802.11n
Seguridad Extendida
• Brinda protección criptográfica a las tramas de
wIDS management. t
IEEE 802.11w
• Utiliza un mecanismo denominado Security
Arq. centralizadas Association (SA) para evitar el spoofing de
estas tramas
tramas.
CAPWAP
• Sólo se aceptan las tramas legítimas, las que
no son reconocidas se descartan.
Acerca de …
• Sólo puede implementarse en redes que
utilizan WPA o WPA2.
43 de 67
de Datos
CISAISI 2010
Seguridad integral
Agenda
IEEE 802.11n
Seguridad Extendida
• La seguridad de la red WLAN es resultado de
wIDS un conjunto
j t d de recursos, no uno solo:
l
IEEE 802.11w
• Implementación de políticas de seguridad
Arq. centralizadas claras.
CAPWAP • Segurización de los datos.

• Segurización del entorno de radio
Acerca de … ecue c a
frecuencia.
• Detección de intrusos.
• Segurización de la infraestructura de
management.
44 de 67
de Datos
CISAISI 2010
Agenda
Agenda
IEEE 802.11n
Seguridad Extendida

802.11s.
• Acerca de…
45 de 67
de Datos
CISAISI 2010
Entorno de redes corporativas
Agenda
IEEE 802.11n
Seguridad Extendida
El acceso inalámbrico es un requisito por defecto
wIDS en las
l redes
d corporativas
ti actuales:
t l
IEEE 802.11w
• Se implementan cientos y a veces miles
Arq. centralizadas de access point.
CAPWAP • Se debe administrar el acceso de miles de

usuarios móviles.
Acerca de … • Se requiere
equ e e la
a pos
posibilidad
b dad de
administración centralizada de los
dispositivos y de las políticas de
seguridad.
• Se requieren servicios avanzados tales

como voz o video sobre IP.
46 de 67
de Datos
CISAISI 2010
Agenda
IEEE 802.11n
Seguridad Extendida
El acceso inalámbrico es un requisito por defecto
wIDS en las
l redes
d corporativas
ti actuales:
t l
IEEE 802.11w
• Se implementan cientos y a veces miles
Arq. centralizadas de access point.
CAPWAP • Se debe administrar el acceso de miles de

usuarios móviles.
Acerca de … • Se requiere
equ e e la
a pos
posibilidad
b dad de
administración centralizada de los
dispositivos y de las políticas de
seguridad.
• Se requiren servicios avanzados tales

como voz o video sobre IP.
47 de 67
de Datos
CISAISI 2010
Agenda
IEEE 802.11n
Seguridad Extendida
• Se requieren procedimientos de
wIDS configuración,
fi ió monitoreo,
it d
definición
fi i ió dde
políticas y alarmas centralizadas.
IEEE 802.11w
Arq. centralizadas • Se requiere un mayor control del punto de

acceso del tráfico inalámbrico a la red
CAPWAP
cableada.
• Es importante contar con herramientas de
Acerca de … administración centralizada del dominio de
radiofrecuencia (frecuencias, potencias,
etc.).
48 de 67
de Datos
CISAISI 2010
Respuesta: arquitectura centralizada
Agenda
IEEE 802.11n
Seguridad Extendida
• Se asientan en el desarrollo de sistemas
wIDS “ lit MAC”.
“split MAC”
Se divide el procesamiento de las
IEEE 802.11w
operaciones de la red 802.11:
Arq. centralizadas
• Las operaciones que demandan
CAPWAP
respuesta en tiempo real se realizan
Mallas inalámbricas en los puntos de acceso.
Acerca de … • Las operaciones que no requieren

tiempo real y suponen control, se
ejecutan en un dispositivo dentral
denominado genericamente
“controlador”
controlador .
49 de 67
de Datos
CISAISI 2010
Dos arquitecturas
Agenda
IEEE 802.11n
Seguridad Extendida
• Arquitecturas Autónomas.
wIDS C d access points
Cada i t opera de
d un modod
independiente y por lo tanto cada uno es
IEEE 802.11w
configurado y administrado individualmente.
Arq. centralizadas Es la solución típica para entornos hogareños o
d pequeñas
de ñ empresas o estudios
t di
CAPWAP
profesionales.
Acerca de …
• Arquitecturas Centralizadas.
Consideran la red WLAN como unidad
operativa en la que la administración de los
access points se realiza de modo centralizado y
dinámico a través de un controlador.
Es la solución para redes corporativas.
50 de 67
de Datos
CISAISI 2010
Arquitectura autónoma
Agenda
IEEE 802.11n
Seguridad Extendida
Infraestructura
Consola de
g
Management
Servidor
wIDS (SNMP)
Admin RF
IEEE 802.11w
Arq. centralizadas
CAPWAP
Servidor
AAA
Acerca de …
AP
51 de 67
de Datos
CISAISI 2010
Arquitectura centralizada
Agenda
IEEE 802.11n
Seguridad Extendida Consola SNMP Controlador Servidor de Location
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Servidor
Mallas inalámbricas AAA Infraestructura
Acerca de … Tráfico CAPWAP
AP AP
52 de 67
de Datos
CISAISI 2010
Arquitectura centralizada
Agenda
IEEE 802.11n
• APs que son configurados y administrados
Seguridad Extendida
exclusivamente a través de un controlador.
wIDS
• La infraestructura de red compuesta por routers,
IEEE 802.11w switches, etc., semejante a las arquitecturas
autónomas.
Arq. centralizadas
• El Controlador es el corazón de la red
red.
CAPWAP
• Adicionalmente:
• La consola de management SNMP permite
Acerca de … configurar y administrar de modo centralizado
múltiples controladores.
• Un servidor de Locationing que brinda servicios

de localización.
• Un servidor AAA para implementar soluciones

de seguridad.
53 de 67
de Datos
CISAISI 2010
Dos arquitecturas
Agenda
IEEE 802.11n Solución WLAN Solución WLAN

Autónoma Lightweight
Seguridad Extendida
Access Points Autónomos Controlados
wIDS
Dinámica a través del
Configuración Individual en cada AP
IEEE 802.11w Controlador
Dependiente del
Arq. centralizadas Operación Independiente
Controlador
CAPWAP WAN Controller
Administración Consola SNMP
Consola SNMP
Redundancia Se asegura por AP Se asegura por Controlador
Acerca de …
Switches PoE o non PoE
Infraestructura
Routers
DHCP
Servicios DNS
AAA
54 de 67
de Datos
CISAISI 2010
CAPWAP
Agenda
IEEE 802.11n
• Control and Provisioning of Wireless Access Points.
Seguridad Extendida
• Protocolo desarrollado por la IETF (RFC5415 y 5416 )
wIDS
para la administración de arquitecturas centralizadas.
IEEE 802.11w
• Opera sobre UDP puertos .
Arq. centralizadas
• Establece 2 túneles entre cada AP y el Controlador:
CAPWAP
• UDP 5246
Para el tráfico de control entre AP y controlador.
Acerca de …
• UDP 5247
Para el tráfico de datos entre los AP y el
controlador.
RFC 4515
55 de 67
de Datos
CISAISI 2010
CAPWAP
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
56 de 67
de Datos
CISAISI 2010
CAPWAP
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS • T
Todo
d ell ttráfico
áfi está
tá asegurado
d utilizando
tili d DTLS
(Datagram Transport Layer Security).
IEEE 802.11w
• Hasta el momento la mayoría de los fabricantes

Arq. centralizadas
han operado utilizando soluciones propietarias
propietarias.
CAPWAP
• Está en proceso de implementación.
• Su implementación permitirá la
Acerca de …
interoperabilidad de access point y
controladores que hoy no es aún posible.
57 de 67
de Datos
CISAISI 2010
Agenda
Agenda
IEEE 802.11n
Seguridad Extendida

802.11s.
• Acerca de…
58 de 67
de Datos
CISAISI 2010
Agenda
IEEE 802.11n
Seguridad Extendida • Las arquitecturas tradicionales suponen llegar a

wIDS
cada access point con la infraestructura
cableada.
IEEE 802.11w
• La mayoría de los access point de categoría
Arq. centralizadas
p
enterprise son de radio dual.
CAPWAP
• Es posible entonces:
• Establecer en laces entre los access point
Acerca de … utilizando un radio
radio.
• Dar acceso a los usuario utilizando el
segundo radio.
• Bridgear el tráfico entre ambos radios
radios.
59 de 67
de Datos
CISAISI 2010
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
60 de 67
de Datos
CISAISI 2010
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
61 de 67
de Datos
CISAISI 2010
El desafío
Agenda
IEEE 802.11n
Seguridad Extendida
• Desarrollar dispositivos que puedan trabajar a
wIDS l interperie,
la i t i con bajo
b j consumo d de energía.
í
IEEE 802.11w • Desarrollar un protocolo que permita una
Arq. centralizadas
estructura de malla redundante eficiente y que
responda a las características variables de la
CAPWAP radiofrecuencia.
Mallas inalámbricas • Los desarrollos iniciales sobre STP son poco
eficientes.
Acerca de …
• Obtener un backhault de la malla con un

througput aceptable para la operación de las
aplicaciones que se están proponiendo.
• IEEE 802.11n ha respondido en gran medida a
este requerimiento.
62 de 67
de Datos
CISAISI 2010
IEEE 802.11s
Agenda
IEEE 802.11n
• Estándar en estado de draft para el desarrollo de
Seguridad Extendida redes wireless mesh.
wIDS • Define un estándar arquitectura y protocolos de la
subcapa MAC para soportar el tráfico de datos
IEEE 802.11w
utilizando métricas de radiofrecuencia en topologías
Arq. centralizadas auto-configurables de múltiples saltos.
CAPWAP • La malla es administrada dinámicamente por un

protocolo de enrutamiento: HWMP (Hybrid Wireless
Mallas inalámbricas Mesh Protocol).
Acerca de … • La malla puede ser desarrollada utilizando access
points 802.11 convencionales para proveer acceso a
clientes WiFi.
• Define la utilización de SAE (Simultaneous

Authentication of Equals) para una autenticación
basada en llaves.
Los principales desarrollos presentes en el mercado hasta la fecha utilizan

protocolos de enrutamiento propietarios, diferentes métodos de autenticación y
encriptación del backhault de la malla basada en AES.
63 de 67
de Datos
CISAISI 2010
Las mallas inalámbricas ya son presente
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
64 de 67
de Datos
CISAISI 2010
Las mallas inalámbricas ya son presente
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
Mapa d
M de iintensidad
t id d d
de señal
ñ ldde lla malla
ll wi-fi
i fi de
d la
l ciudad
i d d de
d Decatur
D t (Georgia,
(G i
USA). Cubre un total de 4 millas cuadradas con 190 mesh access points.
65 de 67
de Datos
CISAISI 2010
¿Preguntas o Comentarios?
Agenda
IEEE 802.11n
Seguridad Extendida
wIDS
IEEE 802.11w
Arq. centralizadas
CAPWAP
Acerca de …
66 de 67
de Datos
CISAISI 2010
Acerca de…
Agenda
IEEE 802.11n
El Autor:
Seguridad Extendida
Oscar Antonio Gerometta es CCSI / CCNA / CCDA / CCNA Sec / CCNA Wi / Motorola
Wireless Field / Engineer / Motorola Wireless System Engineer / Motorola Enterprise
wIDS WLAN Engineer.
Ha sido Regional Instructor CCNA/CCNP - SuperInstructor SC - IT Essentials. En el año 2001
IEEE 802.11w fue el primer CCAI/CCNA de la Región South America South.
Ha sido miembro del Instructional Review Board de Cisco Networking Academy.
Arq. centralizadas
Durante estos años ha formado a más de 300 Instructores CCNA, y 2000 Alumnos en diferentes
programas de capacitación de técnicos.
CAPWAP
Ha sido postulado para los premios "Education Recognition" y "Extraordinary Contributions
Recognition" con ocasión de cumplirse 10 años del lanzamiento de Cisco Networking Academy.
Es autor de diversos textos de networking editados por Edubooks Ediciones, y autor, director o
líder de proyecto de numerosos proyectos de e-learning implementados a nivel regional.
Acerca de …
Actualmente se desempeña como Director del Área Capacitación de Educática, consultora
especializada en servicios a empresas.
Weblog: http://librosnetworking.blogspot.com
E-mail: ogerometta@gmail.com
EduBooks® es una marca registrada de Educática
Todos los derechos reservados.
© Copyright 2010
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, Cisco, Cisco IOS, Aironet, BPX, Catalyst,
Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, Todos los derechos reservados
HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX,
SMARTnet, StackWise, CallManager, CallManager Express, Cisco Systems, el logo de Cisco Systems,
son marcas registradas o marcas de Cisco Systems Inc. y/o sus afiliados en los Estados Unidos y otros
países. Toda otra marca mencionada en este documento es propiedad de sus respectivos dueños.
67 de 67

Presente de Las Redes WLAN

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Presente de Las Redes WLAN

Încărcat de

Drepturi de autor:

Formate disponibile

Transmisión Inalámbrica de Datos

wIDS • IEEE 802.11n.

Seguridad Extendida • Son una realidad mucho más compleja de lo

Seguridad Extendida • Dar soporte a los servicios de las redes IP

Seguridad Extendida • Dar soporte a los servicios de las redes IP

wIDS • IEEE 802.11n.

CAPWAP • Utiliza canales de 20 o 40 MHz de ancho de

Mallas inalámbricas …y la incorporación de innovaciones importantes:

IEEE 802.11w 2.4 GHz 5 GHz

En entornos corporativos, e sugiere evitar el uso de channel bonding en 2,4 GHz.

Acerca de … • El canal de control o primario es

IEEE 802.11w 802.11a/g 20 MHz 54 Mbps

Arq. centralizadas 20 MHz 65 Mbps

Mallas inalámbricas 20 MHz 72,2 Mbps

• Es efectivo cuando hay un solo receptor, y está

Beanforming trabaja en el AP, en dirección hacia los clientes.

wIDS • Es el corazón de la operación de 802

IEEE 802.11n Múltiples Elementos Múltiples Elementos

Las configuraciones más habituales son:

Las ttres configuraciones

802.11a/g 20 MHz 1 54 Mbps

40 MHz 1 135 Mbps

20 MHz 1 72,2 Mbps

40 MHz 1 150 Mbps

40 MHz 2 300 Mbps

wIDS • Índices definidos que identifican las diferentes

Estas tablas presentan las 32 opciones posibles,

IEEE 802.11w 17 3 QPSK 1/2 39.0 81.0 43.3 90.0

Estas tablas presentan las 32 opciones posibles,

Seguridad Extendida • La interfaz de aire 802.11 es muy ineficiente debido al

Seguridad Extendida • Frame aggregation es incluir dos o más tramas

CAPWAP • En la práctica se incluyen tramas que tienen igual

Data Rate en Mbps

Arq. centralizadas 802,11a 6, 9, 12, 18, 24,

wIDS • IEEE 802.11n.

Arq. centralizadas • Se recomienda la implementación de WPA2.

• Señales de radio generadas por otros

• Señales de radio generadas por fuentes

IEEE 802.11n Hay diferentes sistemas de detección de ruidos:

Arq. centralizadas • A partir de hardware embebido en los access

Estos sistemas permiten identificar y mitigar

wIDS • Permiten detectar la presencia de

CAPWAP • Rogue Access Points.

• No realizan análisis de patrones de tráfico

• Localizar geográficamente la ubicación del

CAPWAP • Tramas de datos.

Acerca de … 802.11w es un estándar para asegurar tramas de

Protege la red de interrupciones de servicio

CAPWAP • Segurización de los datos.

wIDS • IEEE 802.11n.

CAPWAP • Se debe administrar el acceso de miles de

• Se requieren servicios avanzados tales

CAPWAP • Se debe administrar el acceso de miles de

• Se requiren servicios avanzados tales

Arq. centralizadas • Se requiere un mayor control del punto de

Acerca de … • Las operaciones que no requieren

Seguridad Extendida Consola SNMP Controlador Servidor de Location

• Un servidor de Locationing que brinda servicios

• Un servidor AAA para implementar soluciones

IEEE 802.11n Solución WLAN Solución WLAN

• Hasta el momento la mayoría de los fabricantes

wIDS • IEEE 802.11n.

Seguridad Extendida • Las arquitecturas tradicionales suponen llegar a