3Com

Confidential
FUNDAMENTOS REDES
WIRELESS (WLAN)
Paul Mendieta paul_mendieta@3com.com

IT Specialist
Wireless & Security
3Com
Confidential
OBJETIVOS
>Revisar tecnologas actuales Wireless
>Identificar los estndares utilizados en redes Wireless LAN
>Conocer las diferencias entre 802.11 a,b y g y estndares que se
desprenden.
>Identificar los estndares de seguridad para redes WLAN
>Conocer las diferentes topologas y modos de operacin en redes
wireless
>Identificar las nuevas tecnologas WLAN


3Com
Confidential

Wireless Wide
Area Network
PANORAMA REDES WIRELESS
Wireless Local
Area Network
GPRS
UMTS
GSM
IEEE 802.16 MAN
& 802.20 WAN
Wireless Personal
Area Network
IEEE 802.15.1
802.11a/b/g/n
3Com
Confidential
COMPONENTES WLAN
>Infraestructura
Access Points
> Acta como un hub
> Conectado a una red cableada
> Consiste de un radio, una interfase Ethernet y software
Wireless LAN Building-to-Building Bridge
> Conectividad wireless entre sitios situados a largas distancias
>Interfases (Clientes)
Tarjetas para Laptops para conectarse a redes wireless
Tarjetas PCI para adherir dispositivos de escritorio a redes wireless
Tarjetas USB para adherir dispositivos de escritorio donde no se
tienen ranuras PCI
>Firmware y Software
Roaming y balanceo de cargas, Seguridad, administracin,
configuracin y diagnstico de red

3Com
Confidential
TERMINOS WIRELESS
>Service Set Identifier (SSID) valor que enva un access point
hacia afuera para que clientes wireless puedan asociarse a l.
>Basic Service Set (BSS) un access point con clientes wireless
asociados
>Extended Service Set (ESS) Mltiples access points
sobrelapados con clientes asociados
>Independent Basic Service Set (IBSS) red Ad-hoc wireless solo
para clientes wireless
3Com
Confidential
Name > Title
3Com
Confidential
ESTNDAR WIRELESS
3Com
Confidential
WLANs (A,B,Gs)
>Background
IEEE finaliza el estndar inicial para redes wireless (WLANs),
IEEE 802.11 en Junio de 1997
El estndar original especifica una frecuencia de operacin a
con una velocidad de 1 y 2Mbps y dos categoras de
especificaciones.
La primera categora define completamente el sistema de
Wireless LANs
> Sus 3 especificaciones principales son: 802.11a, b, y g
La segunda categora define adelantos que mitigan las
debilidades en los protocolos existentes.
> No hay nuevos sistemas, en cambio se han aplicado extensiones a
los sistemas existentes
> Actualmente se cuenta con 6 especificaciones dentro de esta
categora 802.11d, e, f, h, i, j
3Com
Confidential
VISIN GENEREAL ESTNDARES IEEE 802.11
802.11a 802.11b 802.11g
Estndar Ratificado
2002 1999 2003
Banda de Radio
5 GHz 2.4 GHz 2.4 GHz
Tasas de
transferencia
Hasta 54 Mbps Hasta 11 Mbps Hasta 54 Mbps
rea de
Cubrimiento
Hasta 50 Metros Hasta 100 Metros Hasta 100 Metros
+
> Menos posibilidad de
interferencia
> Buen soporte para
aplicaciones multimedia y
ambientes con gran
densidad de usuarios
> Sistema ampliamente
instalado
> Banda de 2.4Ghz esta
disponible en muchos
pases
> Compatible con 802.11b
> Alta tasa de transferencia y
amplio rea de cubrimiento
> Banda de 2.4Ghz esta
disponible en muchos
pases
-
> La banda de 5Ghz no esta
disponible en todos los
pases
> Menos rea de cubrimiento
> No es compatible con la
una base instalada grande
de 802.11b
> Baja tasa de transferencia
> Interferencias en la banda
de 2.4 Ghz
> Interferencias en la banda
de 2.4 Ghz

3Com
Confidential
IEEE 802.11b
>2.4 GHz
Banda no licenciada
3 canales de no
sobrelapamiento






>Tasas de Transferencia:
>Modulacin CCK
>Rango ~ 100 m
2.422 2.432 2.442 2.452 2.462 2.472 2.484 2.412
2.417 2.427 2.437 2.447 2.457 2.467
2
3
4
5
1
7
8
9
10
6 11
12
13
CCK = Complimentary Code Keying
1Mbps
2Mbps
5.5Mbps
11Mbps
11
1
6
11
6
11
1
6
802.11b
3Com
Confidential
MODULACIN CCK
>Complimentary Code Keying (CCK) es el formato bsico de
modulacin para los sistemas actuales Wi-Fi (IEEE 802.11b).
>CCK es un sistema de portadora sencilla. En otras palabras, toda
la informacin es transmitida por una onda de frecuencia sencilla o
portadora.

CCK es un formato de modulacin Portadora Sencilla
3Com
Confidential
IEEE 802.11a
>5 GHz
Puede utilizar bandas licenciadas
8 canales de no-sobrelapamiento
>Emplea modulacin OFDM
>Tasas: 6, 9,12,18,24,36,48, or 54 Mbps
(6,12 y 24 son mandatarios)
>Rango ~ 50m
La distancia depende del ambiente
Gua detallada:

OFDM = Orthogonal Frequency Division Multiplexing
5
8
6
7
2
3
1
4
802.11a
Velocidad (Mbps) 54 48 36 24 18 12 9 6
Distancia (Bajo techo)
Metros
18 25 30 35 40 45 48 50
3Com
Confidential
MODULACIN OFDM
>Divisin de Frecuencia por Multiplexacin Ortogonal (OFDM) es un
esquema de modulacin multi-portadora. La informacin es
dividida entre varios espacios estrechamente separados sub-
portadoras
OFDM Sistema de Transmisin en mltiples Subportadoras
3Com
Confidential
IEEE 802.11g
>En trminos prcticos: a + b = g
>2.4 GHz
Banda no-Licenciada
3 canales de no-sobrelapamiento
Emplea OFDM y/o modulacin CCK
>Tasas: 54, 22,11, 5.5, 2 y 1
>Rango: 30% ms que 802.11a



>Compatibilidad garantizado con el sistema existente
Wi-Fi (802.11b)

OFDM
modulacin
CCK
modulacin
3Com
Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11a si:
Se tiene una densidad de usuarios alta
en un rea reducido
Se quiere correr aplicaciones que
requieren alto ancho de banda
> Voz/video sobre la red Wireless
Necesita transferir archivos de gran
tamao
> Archivos CAD, documentos publicitarios,
otros documentos grficos de gran
tamao
No necesita gran rea de cubrimiento
3Com
Confidential
COMO ESCOGER EL SISTEMA WLAN ADECUADO?
>Escoger 802.11g si:
Se requiere compatibilidad con la existente
sistema 802.11b WLAN
> Se quiere maximizar la inversin actual
Necesidad de alto ancho de banda
Tener una gran rea de cubrimiento
Sistema empleado ms comnmente en la
actualidad
>Escoger 802.11b si:
No se puede comprar an los anteriores
sistemas (se debe estar seguro que el
equipo pueda ser actualizado
posteriormente).

3Com
Confidential
802.11n
> Estndar para mayor velocidad bajo desarrollo
> Se pretende alcanzar velocidades de 108 y superiores
> Muchos fabricantes ofrecen un llamado pre-n con velocidades
de 108Mbps
> El estndar es basado en tecnologa MIMO (mltiples entradas,
mltiples salidas), utilizando mltiples antenas

3Com
Confidential
ESTANDARES ADICIONALES
>Adems de los 3 especificaciones principales (802.11a, b & g)
existen adicionalmente 6 grupos de trabajo en IEEE trabajando
sobre estos 3 estndares.

802.11d Define los requerimientos fsicos que satisfacen las
condiciones de regulacin dentro de los pases donde no se cuenta
con reglas de operacin para redes WLAN de 802.11
802.11e Afinacin de 802.11MAC para mejorar el QoS (Calidad de
Servicio) para incrementar la calidad en aplicaciones de audio y
video
802.11f Desarrolla un conjunto de requerimientos para desarrollar
un grupo de requerimientos para la comunicacin entre Access Points
llamado Inter-Access Point Protocol (IAPP), incluyendo aspectos
operacionales y de administracin.
3Com
Confidential
ESTANDARES ADICIONALES
802.11h Adhiere caractersticas de atenuacin de poder y
seleccin de canales de radio para redes 802.11a solamente
802.11i Toma 802.1X como base y adhiere caractersticas
adicionales para redes Wireless. Incluye algoritmos de encripcin
como AES que reemplazan las llaves estticas y manuales
configuradas en WEP
802.11k Permite a los sistemas WLAN usar recursos en forma
ms eficiente
802.11n Pretende alcanzar mayores velocidades de transferencia.
El estndar es basado en tecnologa MIMO (mltiples entradas,
mltiples salidas), utilizando mltiples antenas. Actualmente muchos
fabricantes ofrecen velociadades de 108Mbps con un estndar
llamado pre-n
Adicionalmente para seguridad en LANs y WLANs:
802.1x Control de Acceso a la red Basado en Puerto
3Com
Confidential
INTER ACCESS POINT PROTOCOL (802.11f)
Switch
Normalmente cuando un cliente wireless quiere acceder una red Wireless, necesitan
autenticarse en la red usando 802.1x (TLS, PEA, TTLS ) as como cifrado.

Sin IAPP, cuando un clientes realiza roaming a un nuevo AP el tendra que re-autenticarse as
como tener un nuevo cifrado.

Con IAPP los nuevos AP envan un mensaje de broadcast preguntando si alguien mas tiene este
cliente, los AP pasados envan un mensaje a el nuevo AP con las llaves de cifrado y su estatus
de autenticacin.
Client Authenticated and Encrypted
Roams to a New AP
Broadcast Message
Response Message
Client Continues to work
3Com
Confidential
Name > Title
3Com
Confidential
SEGURIDAD
3Com
Confidential
VULNERABILIDADES WLAN
>Sniffing ondas de radio
Capa fsica esta en el aire
Robar y volver a emplear una direccin MAC valida
>Denegacin de Servicio
>Hombre en el medio
>Access Point no autorizado (Rogue AP)
Configurado por un usuario por conveniencia
Configurado por un hacker



3Com
Confidential
Hacking & Encripcin
Para simplificar el escaneo de wireless Access Points:
>Utilidades de Site Survey (usualmente enviado gratis en algunos
productos) o herramientas gratuitas como:



Dbiles (ej. Claves estticas) y no recomendadas
>Sin Encripcin inherentemente insecuro!
>WEP (40/104/128-bit) = RC4 based algorithm inseguro!
Soluciones basadas en sesiones encriptadas:
>3Coms Dynamic Security Link pre-WPA standard
>Ciscos LEAP pre-WPA standard
Actualmente se cuentan con fuertes estndares para
soluciones wireless
>WPA (basado en TKIP) con encripcin AES y 802.1X para autenticacin
en la red

3Com
Confidential
OPCIONES DE AUTENTICACIN LOCAL
>Access Point Autenticacin/Cifrado Local
La Autenticacin es realizado por el Access Point
> Opciones de Cifrado
Sin Seguridad (encripcin)
Cifrado 40-bit shared key (parte de los requerimientos WiFi)
Cifrado 128-bit shared key
Dynamic Security Link (128-bit)
> Autenticacin Usuario/Contrasea con 128bit Dynamic Session key
encryption

WPA en modo PSK (Pre-Shared Key mode)
3Com
Confidential
IEEE 802.1x CONTROL DE ACCESO DE RED BASADO
EN PUERTO
>802.1x es un estandard para autenticar clientes Wireless sobre
una red 802.11
>Caracterstica importante en sistemas operativos Microsofts
Windows XP
>Necesidad de implementar la autenticacin en conjuncin con un
servidor centralizado de RADIUS soportando EAP-MD5 or EAP-
TLS
>Escalabilidad para redes en grandes empresas
>La autenticacin se realiza en forma centralizada, en vez de
hacerlo en cada Access Point
3Com
Confidential
AUTENTICACIN RADIUS
> Autenticacin RADIUS centralizada
La autenticacin es proveda entre los clientes wireless y servidor
de RADIUS, en conjuncin con el estndar basad en login de red
IEEE 802.1x
RADIUS soporta EAP-MD5, EAP-TLS, EAP-TTLS
Implementacin en conjuncin con 802.1x para suministrar una
autenticacin segura en clientes Wireless


> Contabilidad RADIUS
Usuario, tiempo de inicio, tiempo de finalizacin, paquetes
entrada/salida
3Com
Confidential
EAP-MD5
> Autenticacin
Nunca enva contraseas en texto claro
Usa MD-5 HMAC
> 128 bit HASH
La mayora de los servidores RADIUS soportan actualmente
> Cisco
> Funk
3Com
Confidential
EAP-TLS
> Autenticacin
Autentica dispositivo y usuario
Dispositivo por certificado
> Usuario mediante Usuario/Contrasea

> Requiere Certificado digital

> Soportado en productos avanzados de servidores RADIUS, ej
Microsoft, Funk Steel Belted Radius, Cisco
3Com
Confidential
CERTIFICADO UNIVERSAL EAP-TLS
> El certificado es requerido para
autenticacin mutua
> Usado por cualquier cliente WLAN
3Com en modo de autenticacin
EAP-TLS
> Requerido para autenticacin serial
> Desarrollado en 3Com para utilizar
completamente la autenticacin
EAP-TLS
> Clave Pblica para cliente es
generalmente costosa de desarrollar
3Com
Confidential
EAP-TTLS
> Tnel EAP-TLS
Crea un Tnel Interior
Requiere an certificado digital
Pero puede utilizar autenticacin heredada, para comprobar la
contrasea (PAP, CHAP, MS-CHAP)
3Com
Confidential
PEAP - Protected EAP
> Compite con EAP-TTLS
> Usa TLS y certificados digitales
> Dos fases de autenticacin TLS
> Usa cifrado TLS
> Soportar tarjetas Token
3Com
Confidential
Bank
AUTO VLAN USANDO RADIUS
Servidor
RADIUS
Switch
WLAN
Trunk Port
Cuando un cliente wireless quiere acceder a una red wireless, el necesita autenticarse a la red usando 802.1x (TLS,
PEAP, TTLS).

Cuando el cliente suministra su Usuario/Contrasea al servidor RADIUS, el servidor revisa las credenciales y retorna el
ID de la VLAN a la cual el usuario tiene acceso permitido por el administrador de la red que configuro su cuenta.
El Switch controla que los usuarios de ventas no accedan al servidor de recursos humanos y solo puedan acceder a su
servidor de ventas.
Servidor
Ventas
VLAN Ventas
VLAN Recursos
Humanos
Router
Trunk Port
Servidor
Recursos
Humanos
3Com
Confidential
MULTIPLESS SSID
Access Point
SSID1 y SSID2

SSID1 = WPA
SSID1 = WPA
SSID2 = WEP
SSID2 = WEP
3Com
Confidential
TKIP - Temporal Key Integrity Protocol
> Usa cifrado RC4 - stream codificado
> Fase I
Usa direcciones MAC en conjunto con TK para producir la clave de
fase I
> Fase 2
La llave de la fase 1 es combinada con el vector IV de inicializacin
para derivar claves por paquete.
> Cada llave es usada para cifrar uno y solo un paquete de datos.
3Com
Confidential
WPA - Wi-Fi ACCESO PROTEGIDO
>Requiere Autenticacin y Encripcin
>Autenticacin
Requiere EAP (Certs, TLS, TTLS, PEAP)
Autenticacin mutua
> Protege al usuario de acceder accidentalmente a AP intrusos
> Negociacin de 4 vas
>Encripcin
Requiere TKIP uso de una clave temporal
Llave de 128 bit - RC4 Stream cifrado
>MIC (Message Integrity Check)
Se asegura que el paquete no ha sido modificado.
>Modo Dual
PSK (Pre-shared Key) modo SoHo
RADIUS Enterprise Mode
3Com
Confidential
ENCRIPCIN AES
>AES reemplaza DES
>Encripcin AES significa: 1.1 x
10
77
posibles llaves de 256-bit

Actualmente es estima que podra
tomar a una maquina de encripcin
dedicada a descifrar una llave AES
de AES128 bit el periodo de 149
miles de billones de aos para
descifrarlo (con la posibilidad mas
pequea de AES)

En perspectiva: se cree que el
universo que es menos de 20
billones de aos de antiguedad


3Com
Confidential
RECOMENDACIONES - COMO CONSTRUIR UNA RED
WIRELESS ALTAMENTE SEGURA EN LA ACTUALIDAD
>Deshabilitar la caracterstica de broadcasting de el ESSID
>Bloquear la comunicacin cliente-cliente en el AP
>Usar WPA (TKIP) para generacin de llaves dinmicas por
paquete
>Usar encripcin AES para la cifrar la informacin
>Usar Login a la red con 802.1X para autenticar usuarios
>Usar tarjetas Token
>EAP-(T)TLS o PEAP como protocolo de autenticacin
>Usar DuD (Disconnect Unauthorized Device) sobre los switches
para evitar que sea instalados AP no autorizados
Se debe crear una red wireless que sea ms segura que su actual red
cableada.
3Com
Confidential
Name > Title
3Com
Confidential
TOPOLOGAS Y
MODOS DE
OPERACIN
3Com
Confidential
TOPOLOGA
>Topologas
Punto a punto
> Asociacin directa entre dos puntos
Punto a Multipunto
> Permite comunicacin wireless entre mas de dos puntos
3Com
Confidential
BUILDING TO BUILDING BRIDGE (Solucin Punto a Punto )
B-to-B Bridge
B-to-B Bridge
B-to-B Bridge
3Com
Confidential
AP8200
B-to-B Bridge
B-to-B Bridge
BUILDING TO BUILDING BRIDGE (Solucin Punto a Multipunto)
3Com
Confidential
MODOS DE OPERACIN
>Ad hoc (punto a punto)
> Topologa bsica punto a punto
> Dos clientes pueden asociarse sin Access point
> Permite conectar LANs mediante dispositivos wireless

>Access Point (Infraestructura)
> Topologa bsica para punto a multipunto

3Com
Confidential
Name > Title
3Com
Confidential
WDS
3Com
Confidential
WDS MODO BRIDGE
Punto a Punto(PTP)
Enlace WDS
Desktops
Cableados
Access Point
Modo PTP
Desktops
Cableados
Access Point
Modo PTP
3Com
Confidential
WDS MODO BRIDGE
Punto a Multipunto (PTMP)
Desktops
Cableados
Desktops
Cableados
Access Point
Modo PTMP
Wired Desktops
Access Point
Modo PTP
Access Point
Modo PTP
Enlace WDS con
WPA-PSK
Enlace WDS con
WPA-PSK
3Com
Confidential
WDS MODO CLIENTE
45
Desktops
Cableados
Access Point
Dispositivo
con puerto
Ethernet
Access Point
in Client Mode
Ethernet Cable
Access Point en Modo Cliente
Enlace WDS con
WPA-PSK
3Com
Confidential
WDS Repeater Mode
Desktops
Cableados
Enlace WDS con
WPA-PSK
Access Point
Access Point en
Modo repetidor
Clientes
Wireless

Access Point en Modo Repetidor
Delivering Enterprise Class Solutions to SMB
3Com
Confidential
Name > Title
3Com
Confidential
WIRELESS SWITCH
3Com
Confidential
CAMBIO DE PARADIGMA REDES WLAN
APs ROBUSTOS vs. SENCILLOS
Wireless Switch Red
Escuela
802.11 a/b/g
Antenna
Encryption
Mobile IP, IPSec, Certs
802.1x, TKIP,
802.11e, 802.11f, 802.11h
Site Surveys Per-user Firewall
Self-Healing RF Management
Rogue Wireless Protection
Fit APs
Red
Escuela
Switch Capa 2
802.11 a/b/g
Mobile IP, IPSec, Certs
802.1x, TKIP,
802.11e, 802.11f, 802.11h
Antenna
Encryption
Fat APs
Solucin Wireless
ms administrada
Red AP Independiente Red Wireless Switching
Aps Costo bajo
Seguridad ms fuerte
y centralizada
3Com
Confidential
3Com Wireless Mobility Solution
>Planeamiento
Cubrimiento y Capacidad
>Seguridad
Autenticacin & Encripcin
Ejecucin de polticas
>Movilidad
Roaming & administracin de
usuarios
>Administracin de RF
Deteccin de Intrusos (rogue
APs)
Administracin de canal y
potencia
3Com
Confidential
ELEMENTOS SOLUCIN WIRELESS SWITCH
Software de
administracin
y planeamiento
Wireless
Switch
AP sencillo
3Com
Confidential
ARQUITECTURA DE MOBILIDAD
AAA
Servers
Mobility Domain
WX4400
Wireless Switch
Manager
WX4400
WX1200
4400PWR
4400PWR
Fit
APs
Fat
APs
3
rd
Party
APs
Switched LAN
Infrastructure
Fit
APs
WAN
Branch Office
Headquarters/ Regional Office
3Com
Confidential
Name > Title
3Com
Confidential
VISIN GENERAL
PRODUCTOS
WIRELESS
3Com
Confidential
SOLUCIONES WIRELESS
SOHO and SMB
Connectivity with
OfficeConnect

WLAN products
Enterprise 11a/b/g WLAN
& Switching Solutions
Building to Building
Wireless and Client
Bridging
3CRWX
440095
Enterprise RF
Management, Security
and Deployment Tools
3Com
Confidential
Name > Title
3Com
Confidential
PREGUNTAS
3Com
Confidential
GRACIAS