Documente Academic
Documente Profesional
Documente Cultură
Page 2
Objetivos
Al finalizar este taller Ud.:
Conocer las diferentes topologas de LAN que es posible implementar con tecnologa Wireless LAN Conocer los distintos dispositivos necesarios para implementar cada topologa Conocer los standards de Wireless LAN: IEEE 802.11, 11a, 11b and 11g Comprender las dificultades involucradas en la trasmisin y recepcin inalmbrica y cmo esas dificultades son resueltas por medio de las tecnologas 802.11 Conocer los distintos esquemas de seguridad disponibles y su evolucin Conocer los detalles de Power Over Ethernet Podr configurar dispositivos Wireless
Page 3
Page 4
Infraestructura
(Acceso Wireless a una LAN Ethernet) Dispositivos
Clientes
Wireless LAN PCCard Wireless LAN PCI NIC Wireless LAN USB Adapter Client Bridge Workgroup Bridge
De Acceso
Access Point
Topologas: Infraestructura Es la aplicacin principal de la tecnologa inalmbrica. Permite que clientes mbiles (Notebooks, telfonos, PDAs, etc.) accesen la LAN. La conexin entre los dispositivos inalmbricos y la red Ethernet se realiza por medio de un dispositivo llamado Access Point. Conjunto Bsico de Servicio: BSS (Basic Service Set) Un conjunto de estacines controladas por una misma funcin de coordinacin. Funcin de coordinacin: Coordination Function (PCF y DCF) La funcin lgica que determina cuando una estacin operando en un BSS es autorizada a trasmitir y puede ser capaz de recibir PDUs a travs del medio inalmbrico (WM). La funcin de coordinacin dentro de un BSS puede tener una funcin de coordinacin centralizada - o Point Coordination Function (PCF) - y debe tener una funcin de coordinacin distribuda - Distributed Coordination Function (DCF). Conjunto Extendido de Servicio: ESS (Extended Service Set) Un conjunto de uno o ms BSSs interconectados y redes locales (LANs) integradas que aparecen como un nico conjunto de servicio para la capa de control de enlace de cualquiera de las estaciones asociadas con uno de esos BSSs. Sistema de Distribucin: DS (Distribution System) Un sistema utilizado para interconectar un conjunto de BSSs y redes locales (LANs) integradas para crear un ESS. IEEE 802.11 1999 Standard
Page 5
IBSS
Independent Basic Service Set
Redes inalmbricas AD-HOC Estas redes son llamadas Ad-Hoc porque satisfacen una necesidad particular y en general temporaria. Una red Ad-Hoc es una coneccin puramente inalmbrica entre estaciones individuales. Conjunto Bsico e Independiente de Servicio: IBSS (Independent Basic Service Set) Un BSS que forma una red autocontenida, y en la que no hay disponible un acceso a un sistema de distribucin.
Coneccin de LAN a LAN Un enlace inalmbrico entre dos redes remotas. Enlaces tpicos tienen un alcance de hasta 16 km (10 millas).
Page 6
Page 7
Standards Wireless
Tipo de Red WPAN WLAN WBMAN IEEE Standard IEEE 802.15 IEEE 802.11 IEEE 802.16 Otros Standards Bluetooth WiFi WiMAX
WPAN: Wireless Personal Area Network WLAN: Wireless Local Area Network WBMAN: Wireless Broadband Metropolitan Area Network
Wireless: Standards Hay varias tecnologas distintas bajo la denominacin de Wireless. En el rea de networking, hay 3 standards para 3 aplicaciones distintas: o IEEE 802.15 para Wireless Personal Area Networks (Redes Personales) o IEEE 802.11 para Wireless Local Area Networks (Redes Locales) o IEEE 802.16 para Wireless Broadband Area Networks (Redes Metropolitanas) Adems existen algunas organizaciones y foros cuyo misin es hacer disponibles estos standards y garantiza interoperabilidad entre productos de distintos fabricantes. Entre esas organizaciones, la Alianza WiFi se encuentra liderando la industria en la implementacin del standard IEEE 802.11 para redes locales inalmbricas. En este taller se cubren los standards y tecnologas de redes locales inalmbricas.
Page 8
1, 2, 5.5, 11 6, 9, 12, 18, 24, 36, 48, 54 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 48, 54 Seguridad WLAN
Standard IEEE 802.11 IEEE 802.11 es a las redes locales inalmbricas lo que 802.3 es a Ethernet. Alcance El alcance de este standard es desarrollar una especificacin de control de acceso al medio (MAC) y capa fsica para conectividad inalmbrica para estaciones fijas, porttiles y mvils dentro de un raa local. Propsito El propsito de este standard es proveer conectividad inalmbrica a maquinaria automtica, esquipamiento, o estaciones que requieren despliegue rpido, que puede ser portables o manuales, o que pueden estar montadas en vehculos mviles dentro de un rea local. (Standard IEEE 802.11)
Page 9
Wi-Fi Alliance
Organizacin sin fines de lucro Certifica interoperabilidad entre fabricantes Ms de 200 compaas miembro Ms de 1500 productos certificados
La Alianza Wi-Fi Es una asociacin internacional sin fines de lucro formada en 1999 para certificar interoperabilidad entre productos basados en la especificacin IEEE 802.11. Actualmente la Alianza WiFi tiene ms de 200 compaas miembro alrededor del mundo, y ms de 1500 productos han recibido certificacin WiFi desde que la certificacin comenz en marzo de 2000. La meta de los miembros Alianza WiFi es mejorar la experiencia de los usuarios a travs de la interoperabilidad de los productos. La Tecnologa Wi-Fi Las redes WiFi usan tecnologas de radio llamadas IEEE 802.11b y 802.11a para proveer conectividad inalmbrica segura, confiable y rpida. A WiFi network puede ser usada para conectar computadoras entre ellas, a la internet, y a redes cabladas (que usan IEEE 802.3 o Ethernet). www.wi-fi.org La Alianza Wi-Fi ya a includo 802.11g dentro de su estrategia.
Page 10
Agenda Comunicacion Inalmbrica o Principios o Obstculos Opciones de la Capa Fsica IEEE 802.11 o 802.11 o 802.11 b o 802.11 a o 802.11 g
Page 11
Principios
Ondas electromagnticas
Parmetros: Amplitud, Frequencia y fase Espectro electromagntico
Multipath
Lnea-vista y la primer rea de Fresnel
Fading
Capa Fsica Los standards 802.11 definen la tecnologa inalmbrica que usa microondas como el medio fsico. Para comprender el desafo involucrado en el armado de redes inalmbricas se presentan algunos detalles de radiacin electromagntica, ondas, propagacin y antenas.
Page 12
Ondas electromagnticas
Velocidad de la luz
Ondas Electromagnticas Las cargas elctricas, tales como electrones e iones, generan: o camp elctrico o campo magntico (slo cuando se mueven) Ambos campos son manifestaciones del mismo fenmeno conocido como campo electromagntico. Cargas oscilantes (fuentes) distorsionan el campo electromagntico formando ondas (oscilaciones del campo) que se propagan alejandose de ellas. Otras cargas (receptoras) son afectadas por las oscilaciones del campo. Un arreglo adecuado de estas cargas puede ser usado para detectar las oscilaciones de la fuente. Es posible transportar informacin desde las fuentes hacia las receptoras codificandola dentro del patrn de oscilacin. Estas ondas se propagan a la velocidad de la luz.
Page 13
Parmetros de una onda electromagntica Frequencia: o Nmero de oscilaciones por unidad de tiempo. Longitud de Onda: o Tamao de una oscilacin completa. o Proporcional a la inversa de la frecuencia. Amplitud: o Valor mximo alcanzado por una oscilacin del campo. Fase: o distancia entre un instante de referencia en el tiempo y el ltimo valor 0. o Es un valor relativo. o Usualamente considerada como diferencia de fase entre dos ondas de la misma frecuencia en un cierto punto en el espacio.
Page 14
Modulacin
0 1 1 0
Por amplitud
Por frecuencia
Por fase
Modulacin Tcnica usada para codificar informacin en una onda. En el caso de informacin digital es suficiente definir cmo codificar unos y ceros sobre la onda (llamada portadora). Las tcnicas ms bsicas son o Modulacin por frecuencia o Modulacin por amplitud o Modulacin por Fase
Page 15
Espectro electromagntico
Frequencias (GHz) Radio Microondas Infrarojo Luz visible Ultravioleta Rayos X Rayos Gamma < 1.00 1.00 300 3.00x102 4.30x105 4.30x105 - 7.50x105 7.50x105 3.00x107 3.00x107 3.00x1010 > 3.00x1010
Espectro Electromagntico En un punto cualquiera del espacio, el campo electromagntico se compone como la suma de todos los campos elctricos y magnticos provenientes de todas las cargas del universo. Las ondas que lo componen pueden tener cualquier frecuencia. Distintas frecuencias son tiles para distintas aplicaciones ya que tienen diferentes energas, se propagan distintos en la atmsfera, e interactan distinto con la materia. Bandas y Canales La comunicacin por medio de ondas de radio y microondas estn organizadas en base a bandas y canales. Una banda es una porcin del espectro entre dos frecuencias. Un canal es parte de una banda utilizada en una comunicacin en particular.
Page 16
Antenas
Omnidireccional:
Direccional:
Antenas Son las interfaces fsicas con el campo electromagntico. Utilizada para trasmisin y recepcin, pero no al mismo tiempo. Distintas antenas tienen distintos patrones de radiacin (lbulos).
Page 17
Antenas Omnidireccionales
Vista lateral
Vista superior
Antenas Omnidireccionales Usualmente se construyen como un cilindro delgado. Su trasmisin genera un patrn de radiacin o lbulo con forma de anillo aplanado. En el plano del lbulo, la intensidad de radiacin decrese con la distancia a la antena. Adems, la radiacin es ms intensa cerca del plano.
Antenas Direccionales
Vista lateral
Vista superior
Antenas Direccionales Tiene forma de panel o disco Su lbulo est enfocado en una nica direccin
Page 18
Propagacin de microondas:
Las ondas se propagan alejandose de su fuente siguieno un camino recto (dentro del lbulo). La intensidad y pureza de la onda que arriba al receptor depende de una seria de factores.
Interferencias
Dispositivo receptor
Interferencias Una antena receptora, para poder decodificar la informacin trasnportada por la seal, filtra todas las frecuencias que caen fuera del canal. Si la antena receptora recibe ms de una seal en el canal, y dependiendo de la intensidad relativa de las seales, el proceso de decodificacin puede verse afectado hasta el punto en que la seal se vuelve ilegible. Interferencia no-intensional / seales legtimas Usuarios licenciados Hornos a microondas Otras WLANs, telfonos inalmbricos , etc. Interferencia Intensional (jamming) Denial of Service
Page 19
902
2440
5100
5400
5500
5600
5900
Regulacin del espectro Radiacin en frecuencias de radio y microondas: o Son fciles de trasmitir y recibir electrnicamente, se propagan bien en la atmsfera y pueden ser moduladas para transportar informacin digital o analgica. o Son las ms tiles en telecomunicaciones. o Hay restricciones: un receptor no puede recibir y separar dos seales provenientes de distintas fuentes si estn en la misma frecuencia (interferencia) o Por ello el espectro es considerado como un recurso natural limitado, y es regulado por los estados como parte de su soberana. Se requiere de licencia para trasmitir en las frecuencias de radio y microondas, excepto por algunas bandas. Bandas de RF (Radiofrecuencia) que no requieren licencia 902 928 MHz: Sobrepoblada usada en muchos modelos de telfono inalmbricos 2.4 2.4835 GHz: IEEE 802.11b y IEEE 802.11g WLANs 5.15 5.25 GHz + 5.25 5.35 GHz + 5.725 - 5.750 GHz: IEEE 802.11a WLANs
Page 20
Atenuacin en interiores
Atenuacin y bloqueo de seal en interiores Dependiendo de su frecuencia y la composicin de los distintos objetos, una onda que arriba a una pared, columna, mueble, etc puede ser trasmitida, absorbida o reflejada (en realidad las tres cosas suceden en distintas proporciones). Algunos obstculos, bloqueando total o parcialmente, absorbiendo p reflejando la seal, pueden afectar seriamente un patrn de radiacin. Como resultado, el despliegue de access points en interiores requiere un relevamiento detallado del lugar. Estos efectos pueden ser negativos o positivos, dependiendo de cmo se usan. Por ejemplo: una columna que bloquea la seal de y hacia un access point, puede ser aprovechada para seguridad, impidiendo que la seal salga del edificio.
Page 21
Multipath
Rebote de seal
(IEEE 802.11 1999 pg. 13) La figura 4 muestra un mapa de intensidad de seal de una habitacin cuadrada simple con un escritorio de metal y una puerta abierta. La figura 4 es una instantnea; los patrones de propagacin cambian dinmicamente a medida que los objetos se mueven y cambia el ambiente. En la figura 4 los bloques oscuro (slidos) en la esquina inferior izquierda son un escritorio y hay una puerta en la esquina superior derecha de la figura. La figura indica [... ] la variabilidad de la intensidad de campo an en un ambiente esttico.
Page 22
Antena trasmisora
Antena receptora
1 xD 2 f = c R=
R: radio del 1er rea de Fresnel D: Distanca entre antenas : Longitud de onda f: Frequencia c: velocidad de la luz
Propagacin de seales en exteriores el concepto de lnea-vista El requisito de lnea-vista puede describirse como poder ver la otra antena directamente. Pero la ausencia de obstculos en la lnea directa que una las antenas no es suficiente para una buena calidad de seal. El efecto de multipath generado por reflexin o difraccin puede interferir las ondas que arriban a la antena receptora. 1 Zona de Fresnel: La primer zona de Fresnel es el rea que necesita estar despejada de obstculos y es muy importante para la trasmisin wireless a larga distancia. Si se toma el plano que corta la lnea entre las antenas en su punto medio, la zona es un crculo centrado en la lnea tal que: Un onda arribando en el centro del crculo ha viajado media longitud de onda menos que una que llegue a su borde. Curvatura terrestre: Adems, debe tenerse en cuenta la curvatura terrestre.
Page 23
Cas0 1: H<R R
H
Antena trasmisora Superfice de agua (Lago) Antena receptora
Caso 2: H>R R
Ejemplo: superficie de agua En el ejemplo superior, la superficie de un lago refleja una parte del haz de radiacin que llega a la antena receptora e intercepta la parte qye llega directamente (multipath). La solucin es simple: instalar ambas antenas ms alto que el radio de la 1er zona de fresnel. Para grandes distancias, debe aumentarse la altura para compensar la curvatura terrestre.
Page 24
IEEE 802.11a
Orthogonal Frequency Division Multiplexing
Channel
1 2 3 4 5 6 7 8 9 10 11 12 13 14 Low 2,401 2,406 2,411 2,416 2,421 2,426 2,431 2,436 2,441 2,446 2,451 2,456 2,461 2,466 Band Central 2,412 2,417 2,422 2,427 2,432 2,437 2,442 2,447 2,452 2,457 2,462 2,467 2,472 2,477 High 2,417 2,428 2,433 2,438 2,443 2,448 2,453 2,458 2,463 2,468 2,473 2,478 2,483 2,488
802.11b 802.11b opera an la banda de 2.4000 a 2.4835 GHz Direct Sequence Spread Spectrum Es un sistema de comunicacin por RF en el cual la seal de banda base es intencionalmente dispersada sobre una banda ms ancha, por medio de la inyeccin de una seal de mayor frecuencia. Cmo la energa se distribuye sobre un ancho de banda mayor, la seal parece ruido. 802.11b dispersa la seal en canales de 22MHz de ancho usando la tcnica llamada Direct Sequence. La seal resultante es ms resistente a la interferencia y el multipath.
Page 25
5 MHz
5.150
5.250
5.350
5.725
5.825
6 MHz
802.11a 802.11a opera en 3 bandas de 100MHz: 5150-5250 MHz - 5250-5350 MHz - 57255825 MHz Cada banda es dividida en 4 canales parcialmente superpuestos. Los canales estn numerados: 36, 40, 44, 48 - 52, 56, 60, 64 - 149, 153, 157, 161
-26
-21
-7
21
26
802.11a Carrier
IEEE 802.11a Orthogonal Frequency Division Multiplexing Cada canal es dividido en 53 subportadoras (subcanales), o numerados 26 to 26 Subcarrier 0 es usado para alineacin y se llena con ceros Subcarriers 21, -7, 7 and 21 son subcanales piloto El resto: son subcanales de datos Ancho de banda de subcarriers: 0,3125MHz Bits codificados por subcarrier: 6 (para 54Mbps).
Page 26
IEEE 802.11g Usa las misma portadoras DSSS que 802.11b, Divide las portadoras en 53 subcarriers usando OFDM (tal como 802.11a) IEEE 802.11b y g en el mismo access point WLAN Access Points pueden asociarse simultneamente con estaciones 802.11b y 802.11g El Access Point espera seal (escucha) en modo de carrier nico (802.11b) Una estacin 802.11g que necesita trasmitir: o Genera un prembulo de carrier nico que precede al frame multicarrier o El access point, al recibir el prembulo pasa a modo multicarrier para recibir y decodificar el frame.
Page 27
Agenda
IEEE 802.11: Acceso al Medio o Porqu CSMA/CD falla en un ambiente inalbrico Estaciones ocultas Deteccin de colisiones Formatos de Frame Direcciones Seleccin de Canales Asociacin y Roaming
Page 28
Acceso al Medio
El Standard propone dos mtodos de acceso: PCF: Point Coordination Function (Funcin de Coordinacin Centralizada) o PCF es bsicamente una funcin de polling o Una estacin central (el Access Point) polea al resto de las estacin en un esquema de round robin (ronda): una estacin que tiene un frame listo para trasmisin debe esperar por el poll. o Ventaja: libre de colisiones o Desventaja: lento cuando hay poco trfico o En la redes inalmbricas actuales no se implementa PCF. DCF: Distributed Coordination Function (Funcin de Coordinacin Distribuda) o La DCF es similar al mtodo de contensin usado en Ethernet. o Sin embargo, CSMA/CD no funciona en ambientes inalmbricos (ver prximas pginas). o Por ello se utiliza una variante llamada CSMA/CA.
Page 29
Estaciones ocultas
Estacin A
Estacin B
Falla de Carrier Sensing: estaciones ocultas Estaciones ocultas son el resultado de: o Distancia o Obstculos Un access point nunca es oculto. En el ejemplo: o Todas las estaciones (A, B y C) ven el access point, pero no se ven entre ellas, pero: A y B estn cerca una de la otra, pero un obstculo bloquea a cada una las trasmisiones de la otra, y A y B estn demasiado lejos de C por lo tanto no reciben su seal, por lo tanto no detectan sus respectivas portadoras.
Deteccin de colisiones
Tx Rx
La misma antena se usa para trasmitir y para recibir, conectandose al trasmisor o receptor alternativamente. Pero mientras trasmite no puede recibir.
Page 30
Distributed Coordination Function: CSMA/CA CA: significa collision avoidance (prevensin de colisiones) o Antes de enviar un fram de datos la estacin enva un frame de control llamado: Request to Send (solicitud de envo) o RTS. o La estacin de destino responde con un Clear to Send (libre para envo). o Este primer intercambio funciona como un mecanismo de reserva del medio eliminando el riesgo de colisin. o Si ambos RTS y CTS son recibidos sin problemas, el medio est reservado ya que todas las estaciones recibieron al menos uno de los dos paquetes de control, y la estacin trasmite su frame de datos. o La otra estacin responde con un Acknowledge o ACK para confirmar la recepcin correcta. o El acknowledge es necesario ya que siempre subsiste el riesgo de erroroes de trasmisin por interferencia. o En este mecanismo las colisiones slo pueden suceder sobre los paquetes RTS y CTS. CSMA/CA Versin corta En los casos en que el fram de datos es demasiado corto (comparable con el RTS) no hahy ningn beneficio en reservar el medio previamente, por eso se puede elegir una versin corta de CSMA/CA en la que no se usa RTS y CTS. Simplemente se enva el frame de datos y se espera el ACK. Algunos dispositivos tienen un umbral (RTS threshold) que indica a partir de qu longitud de frame se usa RTS/CTS. En la mayora de los casos el umbral por defecto es igual a la longitud mxima de frame.
Page 31
Formato de Frame IEEE 802.11 IEEE 802.11 usa 3 tipos de frame: Management Frames o Asociacin y Autenticacin Control Frames o Funciones de Coordinacin o RTS, CTS, ACK, Poll Data Frames o Transportn PDUs de capa superiores.
Page 32
SA
IBSSID
N/A
1
DS
DA
BSSID
SA
N/A
Referencia DS: Distribution System IBSSID: Independent Basic Service Set ID BSSID: Basic Service Set ID RA: Receiveing Address TA: Transmitting Address SA: Source Address DA: Destination Address
Infraestructura
0
DS
BSSID
Infraestructura
SA
DA
N/A
1
DS
RA
LAN a LAN
TA
DA
DS
SA
Seleccin de Canal
11
11
11
11
Seleccin de Canal Es necesario asignar un canal a cada Access Point. Si hay ms de un access point, sus lbulos no deben interferir. Si dos lbulos se superponen, la forma de que no se interfieran es que operen en distintos canales. Note que: o cualquier superficie puede ser cubierta con slo 3 canales o la cobertura vertical de un access point es limitada La seleccin de canal puede ser: o Manual, por medio de la interface de administracin o Automtica, tambin llamada clear channel selection Si se configura un cierto canal, el access point siempre va a operar en l, an cuando est saturado. Si se elige Clear Channel Select, el AP va a recorrer todos los canales y seleccionar el que tenga menor ruido. Esto slo sucede durante el proceso de arranque.
Page 33
Asociacin
Asociacin Para poder enviar y recibir trfico de datos, una estacin cliente debe estar asociada al AP. Un proceso similar sucede en las topologas ad-hoc y LAN-LAN. Proceso de Asociacin (modo infraestructura): La estacin cliente indaga cada canal y detecta los access points disponibles. De la lista de access points disponibles, la estacin o Descarta aquellos que pertenecen a otro ESSID, e o Intenta asociarse con el Ap que le ofrezca la mejor calidad de seal. La asociacin o es iniciada por una estacin cliente, o puede incluir un proceso de autenticacin (ver seguridad) o puede ser aceptada o rechazada por el access point. o Si es exitosa cada una de las partes asigna a la otra un Association ID (relacionado con la MAC Address). o El rechazo puede deberse a distintas razones: Falla de autenticacin Lmite asociaciones (mximo) alcanzado o Etc.
Page 34
Roaming
1 6
11
11 1
Roaming Esta funcin es la que permite la movilidad de los dispositivos, ya que permite que la estacin se disocie de un access point y se asocie a otro, dentro del mismo ESS, en forma dinmica. Cada estacion cliente escanea permanentemente todos los canales y se mueve de un access point a otro buscando la mejor calidad y potencia de seal. Roaming se basa en una funcin de reasociacin.
Page 35
Page 36
Introduccin
Estacin autorizada
Cifrado
Hacker
Introduccin Las redes locales inalmbricas enfrentas dos desafos de seguridad: o Intrusin Acceso de estaciones/usuarios no autorizados a una red o dispositivo privado. o Sniffing Robo de informacin en trsito. Dos funciones se combinan para dar seguridad. o Autenticacin para evitar la intrusin o Encriptacin o cifrado para evitar el sniffing. Autenticacin Es el proceso de determinar la identidad de un cliente y si es quien dice ser. Es un medio para garantizar el control de acceso. La autenticacin puede aplicarse a: Estaciones Usuarios Trfico
Page 37
Autenticacin de Estacin
rea privada
Estacin
SDB
MAC Address List
Autenticacin de Estacin Una estacin de LAN puede ser autenticada por medio de su MAC address. El access point utiliza para ello una base de datos de seguridad (SDB) para almacenar una lista de direcciones MAC autorizadas. La SDB puede estar alojada localmente o en un servidor de autenticacin (Radius, etc.)
rea privada
UsuarioID+Pw Association Response Accept o Reject
Estacin
SDB
UsuarioID + Password
Autenticacin de Usuario Parte 1 Los usuarios son autenticados por medio de un proceso de login, usando un nombre de usuario y una contrasea. El access point usa la SDB para almacena los pares nombre-contrasea. La SDB puede estar alojada localmente o en un servidor de autenticacin (Radius, etc.)
Page 38
Funciones de Hashing
Mensaje
Clave
Algoritmo de Hashing
MSG Digest
Funcin de Hashing: Se aplica a un mensaje o archivo y genera una cadena de caracters conocida como digest, firma o huella digital. Cuando el algoritmo de hashing usa una clave para generar el digest, puede ser utilzado para autenticacin (integridad de origen o identidad). Los algoritmos de hashing ms utilizados en seguridad son MD5: Message Digest 5 y SHA-1: Security Hashing Algorithm 1.
Las funciones de hashing son irreversibles, y en particular no permiten deducir la clave de autenticacin.
Page 39
Association Request
rea Privada
UsuarioID Request
Estacin
UsuarioID Password (Auth Clave)
UsuarioID+
UsuarioID
SDB
UsuarioID + Password
Challenge Challenge Generation Challenge Challenge Client Msg Digest Hash Client Msg Digest
Hash
=
Local Msg Digest Association Response Accept o Reject
Autenticacin de Usuario Parte 2 El mtodo de autenticacin anterior (parte 1) es vulnerable ya que el nombre de usuario y la contrasea viajan por la red. Un mtodo de autenticacin puede ser adicionado para evitar que la contrasea sea descubierta. Este mtodo se llama challenge o desafo. Para autenticar a un usuario, que ya dio su nombre, se le solicita que resuelva un desafo: que genere el digest correcto para una determinada cadena de caracteres. El proceso cliente utiliza la clave de usuario para generarlo y retorna el digest al dispositivo autenticador.
Este realiza el mismo proceso sobre la cadena de desafo, usando la contrasea que tiene almacenada en la SDB y compara los resultados.
Page 40
Autenticacin de trfico
Estacin
Auth Clave Client Message Client Message Client Msg Digest Client Msg Digest
Client Message
Auth Clave
Hash
Hash
?
Private area
=
Client Message
Discard
Autenticacin de Trfico a nivel de paquete En algunos casos, autenticar las estaciones y los usuarios no es suficiente. En esos casos vale la pena autenticar cada paquete. Para ellos se usa MD5 o SHA-1 para generar una firma para cada paquete.
Cifrado (Encriptacin)
rea Privada
Encryption Clave Message Encrypt Cypher Text Decrypt Decryption Clave
Estacin
Message
Cifrado (Encriptacin) El cifrado es la conversin de una conjunto de datos (un mensaje o un archivo) a un formato, llamado texto cifrado, que slo puede ser decodificado (descifrado) por quienes conozcan la clave utilizada. Descifrado es el proceso de recuperar los datos originales a partir del texto cifrado.
Page 41
Autenticacin de Estacin
MAC Address
Usuario
Local UsuarioID+PW SDB
Estacin o Usuario
Local o Server based UsuarioID+PW SDB
WiFi WPA
Nombre: WPA
Algoritmo: RC4 Clave: TKIP 128-256 bits DinmicaTKIP: Temporary Key Integrity Protocol
Nombre: WPA2
Algoritmo: AES (Advanced Encryption Standard) Clave: TKIP 128-256 Dynamic
Evolucin de la seguridad en Wireless LAN La seguridad en redes inalmbricas a evolucionado desde el primitivo protocolo de cifrado WEP y un mecanismo de autenticacin opcional basado en direcciones MAC a un conjunto de funciones avanzadas de seguridad. La evolucin a alcanzado un punto en el cual se esperable que se desacelere y consolide. El substandard IEEE 802.11i coincide con la especificacin WiFi WPA 2. La autenticacin est basada en el standard IEEE 802.1X Port Based Network Access Control. Tambin conocido como Network Login, el standard 802.1X utiliza un algoritmo de desafo y requiere de un servidor de autenticacin (usualemente RADIUS). El cifrado se basa en el nuevo Advanced Encryption Standard y el Temporary Key Integrity Protocol para manejo de claves. Esquemas ms sencillos que utilizan MAC Address o nombre y contrasea estn an disponibles.
Page 42
Agenda Introduccin Dispositivos alimentados (Powered Devices) End Point Power Sourcing Equipment Midspan Power Sourcing Equipment
Power Over Ethernet Algunos dispositivos tales como access points, telfonos IP, y otros son ms fciles de instalar si se puede prescindir de los enchufes elctricos tradicionales. El standard IEEE 802.3af es una extensin del standard Ethernet y describe cmo alimentar dispositivos a travs de sus puertos Ethernet sobre UTP. IEEE 802.3af distingue Powered Devices (PDs Dispositivos alimentados) y Power Sourcing Equipment (PSEs Equipos alimentadores). La energa puede ser entregada utilizando los pares de datos (Alternativa A) o los pares libres (Alternativa B)..
Page 43
Powered Devices
Access Points, Wireless LAN Bridges, IP Telephones, etc DEBEN soportar las alternativas A y B.
End Point PSEs (Dispositivos Alimentadores Terminales): Son hubs o Switches que proveen potencia desde uno o todos sus puertos. Pueden implementarse usando tanto Alternativa A como B.
Midspan PSEs (Dispositivos Alimentadores Intermedios): Son dispositivos especiales que se intercalan en el enlace UTP e inyectan energa en la conexin de datos. Estos dispositivos slo pueden operar en la Alternativa B.
Page 44
Page 45
Wireless devices
Mdulo 7
Page 46
Access Points
Security
802.1D Ethernet Switch 802.1D Translational Bridge (Switch)
Security
802.3 Interface 802.3 Interface 802.3 Interface 802.3 Interface
Access Points Los Access Points son bsicamente un translational bridge (traductor) con dos interfaces: o 802.11 Wireless LAN o 802.3 Ethernet LAN El bridge es un dispositivo 802.1D que traduce cada frame que debe ir de una a otra interface ya que los formatos de frame no coinciden. Interfaces wireless de los Access Points Los Access Points pueden disearse con: o Una nica interface wireless: 802.11b, 802.11b+g or 802.11a o Dos interfaces wireless: Interface A: 802.11b or 802.11b+g Interface B: 802.11a Notas: o En un BSS un frame con origen y destino en estaciones wireless es enviado al Access Point y retrasmitido. o Algunos access points permiten bloquear el trfico entre estaciones wireless, lo que es una funcin de seguridad adicional.
Page 47
Security
Security
Interface 802.3
Ethernet LAN
Wireless Association
Ethernet LAN
Wireless LAN Bridges Al igual que los access points, los Wireless LAN Bridges son 802.1D translational bridges. La principal diferencia est en que aceptan una nica asociacin. Un Wireless LAN Bridge puede ser conectado a: o otro Bridge en una topologa wireless punto apunto o un access point en una topologa wireless punto a multipunto.
Page 48
Wireless LAN
Fundamentals Gua de Laboratorio
Lab 1
Notas: Estas actividades de laboratorio han sido diseadas como investigacin, en el sentido de que no se incluyen detalles de los ejercicios. Para completar estos laboratorios, es necesario que se unan de a dos grupos. Parte 1: Infrastructura Instale, conecte y configure la siguiente red:
Switch
Access PC 1 Point
Direccin IP 192.168.1.10 192.168.1.20
PC 2
ESSID N/A Grupo A: grupoa Grupo B: grupob Grupo C: grupoc N/A Grupo A: grupoa Grupo B: grupob Grupo C: grupoc
192.168.1.200 192.168.1.201
Parmetros de seguridad 1. Primero configure y verifique la red con Autenticacin y Encriptacin deshabilitadas. 2. Una vez que las PCs pueden intercambiar pings, agregue autenticacin basada en MAC Address y vuelva a verificar. 3. Una vez que las PCs pueden intercambiar pings, agregue encriptacin DES encryption y verifique.
PC 1
PC 2
ESSID Grupo A: grupoa Grupo B: grupob Grupo C: grupoc Grupo A: grupoa Grupo B: grupob Grupo C: grupoc
Canal Grupo A: 1 PC 1 c/ Grupo B: 6 Dispositivo Grupo C: 11 Cliente USB 192.168.1.20 Grupo A: 1 PC 2 c/ Grupo B: 6 Dispositivo Grupo C: 11 Cliente USB Subnet Mask: 255.255.255.0 Default Gateway: 192.168.1.254
Parmetros de seguridad 1. Primero configure y verifique la red con Autenticacin y Encriptacin deshabilitadas. 2. Una vez que las PCs pueden intercambiar pings, agregue autenticacin basada en MAC Address y vuelva a verificar. 3. Una vez que las PCs pueden intercambiar pings, agregue encriptacin DES encryption y verifique