Configuraciones y seguridad entecnologías WIFIAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Jul...
Unidad 4 (cont)• 4.1 Acceso al equipo inalámbrico:• Sesión telnet:• Se debe conocer la dirección IP que trae el equipo def...
Unidad 4 (cont)Imagen 1. Laboratorio de pruebasFuente: Mahdi, 2009Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de el...
Unidad 4 (cont)La sesión telnet la abriríamos en nuestra PC con elprompt de MSDOSImagen 2. Sesión de TELNETFuente: Pérez, ...
Unidad 4 (cont)SSH: La sesión de SSH se abre desde puttypor el puerto 22Imagen 3. Sesión deSSH, a través dePUTTYFuente: Pé...
Unidad 4 (cont)WEB:Imagen 4. Loging al LIBRAPLUS 5860 mediante WEBFuente: EION, 2010Autor: Ing. Andrés de la Caridad Pérez...
Unidad 4 (cont)• Para acceder por web, por ejemplo, elequipamiento Libra Plus 5860, ser haría de lasiguiente manera:• Abra...
Unidad 4 (cont)• 4.2 Configuraciones básicas:• Las configuraciones básicas son aquellasindispensables para que un enlace i...
Unidad 4 (cont)• Configuración Básica:• Topología Punto a Multipunto (Punto a Punto es un casoparticular):• Interface Wire...
Unidad 4 (cont)• Interface Ethernet:Dirección IP:Máscara de Red:Default Gateway: >> (cuando el equipo es fullbridge) y ...
Unidad 4 (cont)• Para el AP:• EION:• interface wireless 0• type ap• ssid Eion• mode a• speed 54 (put speed ‘auto’ for vari...
Unidad 4 (cont)• EION:• interface FastEthernet 0• ip address 192.168.0.1 255.255.255.0 (IP to be Modified)• no shutdown• e...
Unidad 4 (cont)• Para el CPE:• EION:• interface wireless 0• type station• ssid Eion• mode a• speed auto• channel 5805• tx-...
Unidad 4 (cont)• interface FastEthernet 0• ip address 192.168.0.5 255.255.255.0 (IP to be modified)• no shutdown• exit• 25...
Unidad 4 (cont)• 4.4 Configuraciones Avanzadas:• Las configuraciones avanzadas son aquellasque permiten trabajar un enlace...
Unidad 4 (cont)• Configuración Avanzada:• Topología Punto a Multipunto (Punto a Punto es un casoparticular):• Interface Wi...
Unidad 4 (cont)• Interface Wireless (cont): Burst (Bursting) Ráfaga: ON/OFF.• Mayor cantidad de tramas de datos en un per...
Unidad 4 (cont)Imagen 5. Tiempos de inter-tramasFuente: IEEE, 2003Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de el...
Unidad 4 (cont)• Interface Wireless (cont):TDM (polling): LEVEL/TIME SLOT (en capítuloposterior analizaremos en detalle e...
Unidad 4 (cont)• Interface Wireless (cont): DFS: ON/OFF, (Dynamic frequency selection): para evitación deradares y satéli...
Unidad 4 (cont)• Interface Wireless (cont):VLAN: VLAN ID (1 a 4094) >> trabajan con elstandard 802.1Q (tag: TPID+TCI), TP...
Unidad 4 (cont)• Interface Wireless (cont):Dynamic Turbo: (hay tecnologías que lo habilitany deshabilitan automático). Do...
Unidad 4 (cont)• Interface Wireless (cont):• Canalización Turbo:2.4 GHZ >> Canal 6 (2437) Smart Channel)5 GHZ:Canales E...
Unidad 4 (cont)Imagen 6. Niveles de Throughput por algoritmos de aceleraciónFuente: EION, 2010Autor: Ing. Andrés de la Car...
Unidad 4 (cont)• Interface Ethernet:Max Flow Rate TX/RX: kbps (MIR) (PIR)Min Flow Rate TX/RX: kbps (CIR)ACL (Access Con...
Unidad 4 (cont)• Interface Ethernet (cont):DHCP Server (sólo para Master ó AP): ON/OFF, encaso de habilitar, hay que decl...
Unidad 4 (cont)• Interface Ethernet (cont):• Priorización de tráfico: VLAN Priority Threshold: 0-7 default=7, significa q...
Unidad 4 (cont)• Consideraciones Especiales:• Hay tecnologías que trabajan con antenas duales, yentonces hay que especific...
Unidad 4 (cont)Imagen 7. Configuraciones por DEFAULT en el LIBRALUS 5860Fuente: EION, 2010Autor: Ing. Andrés de la Caridad...
Unidad 4 (cont)Imagen 7. ContinuaciónAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 201...
Unidad 4 (cont)• 4.4 Control de Acceso por MAC ADDRESS:• Lista Blanca:• Consiste en activar una lista de acceso, en la cua...
Unidad 4 (cont)• 4.5 Standard WIFI 802.11i WPA y WPA2:• IEEE802.11i• Ante las fallas de WEP (wireless equivalent privacy),...
Unidad 4 (cont)• El modo particular de encriptación que el grupoha fijado es:AES-CCMP (AES Counter-mode Cipher blockchain...
Unidad 4 (cont)Imagen 8:.Niveles de seguridad inalámbricaFuente: Atheros, 2011Autor: Ing. Andrés de la Caridad Pérez Alons...
Unidad 4 (cont)• TKIP consiste en cuatro parches del algoritmoWEP. Es importante notar que TKIP no proveeun nivel de segur...
Unidad 4 (cont)• Autenticación 802.1x• 802.1x es un standard abierto paraautenticación de estaciones wireless(supplicants)...
Unidad 4 (cont)Imagen 9. Autenticación por servidor centralFuente: Atheros, 2011Autor: Ing. Andrés de la Caridad Pérez Alo...
Unidad 4 (cont)• WPA (WIFI protected access):• En ausencia de un standard completo 802.11i, la WIFIAlliance propuso el WPA...
Unidad 4 (cont)• Como muchas redes no tienen la posibilidad de utilizarservidor RADIUS para autenticar estaciones, WPAprov...
Unidad 4 (cont)• WPA2 (WIFI protected access version 2):• WPA2 es el sucesor de WPA. WPA2 es compatiblecon WPA, de manera ...
Unidad 4 (cont)• Uno de los principales logros en WPA2 es queprovee encriptación más robusta, añadiendoel soporte AES-CCMP...
Unidad 4 (cont)• La mayoría de las tecnologías, aún ofrecenWEP, al menos para la topología punto apunto, pero se va imponi...
Unidad 4 (cont)• Bibliografía:• Atheros.(2011). Construyendo una redinalámbrica segura.• Recuperado el 11 de septiembre de...
Unidad 4 (cont)• IEEE. (2003). 802.11 Normas: 802.11ª-1999,802.11b-1999,• 802.11g-2003. Recuperado el 11 deseptiembre de• ...
Unidad 4 (cont)Número Cita Fuente1 Laboratorio de pruebas Mahdi, 20092 Sesión de TELNET Pérez, 20103 Sesión de SSH, a trav...
Unidad 4 (cont)8 Niveles de seguridad inalámbrica Atheros, 20119 Autenticación por servidor central Atheros, 2011Autor: In...
Próxima SlideShare
Cargando en…5
×

redes internet

624 visualizaciones

Publicado el

redes

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
624
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
6
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

redes internet

  1. 1. Configuraciones y seguridad entecnologías WIFIAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  2. 2. Unidad 4 (cont)• 4.1 Acceso al equipo inalámbrico:• Sesión telnet:• Se debe conocer la dirección IP que trae el equipo defábrica (factory default), debemos poner nuestra PC enel mismo segmento de red. Por ejemplo si el equipotrae la dirección: 192.168.0.5, generalmente la máscarade red es 255.255.255.0, entonces debemos ponernosen la dirección IP digamos: 192.168.0.10, con máscara:255.255.255.0, para acceder al equipo directamente ymontaríamos el siguiente esquema:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  3. 3. Unidad 4 (cont)Imagen 1. Laboratorio de pruebasFuente: Mahdi, 2009Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  4. 4. Unidad 4 (cont)La sesión telnet la abriríamos en nuestra PC con elprompt de MSDOSImagen 2. Sesión de TELNETFuente: Pérez, 2010Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  5. 5. Unidad 4 (cont)SSH: La sesión de SSH se abre desde puttypor el puerto 22Imagen 3. Sesión deSSH, a través dePUTTYFuente: Pérez, 2010Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  6. 6. Unidad 4 (cont)WEB:Imagen 4. Loging al LIBRAPLUS 5860 mediante WEBFuente: EION, 2010Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  7. 7. Unidad 4 (cont)• Para acceder por web, por ejemplo, elequipamiento Libra Plus 5860, ser haría de lasiguiente manera:• Abra el web browser en la PC• Escriba http://192.168.1.44:28086 en su webbrowser y presione “Enter”• Cuando aparezca el prompt login, escriba“admin” como el login, y “admin123” como elpassword, y entonces dé click en el botón “OK”Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  8. 8. Unidad 4 (cont)• 4.2 Configuraciones básicas:• Las configuraciones básicas son aquellasindispensables para que un enlace inalámbricopueda levantarse y trabajar de forma adecuada.Por tanto, esta configuración básica debe incluirlos parámetros esenciales que sin ellos, no podrátrabajar un enlace, y deberá incluir laconfiguración básica en la interface wireless y lainterface ethernet.• Vamos a analizar primero, el caso más sencillo, deuna configuración punto a punto:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  9. 9. Unidad 4 (cont)• Configuración Básica:• Topología Punto a Multipunto (Punto a Punto es un casoparticular):• Interface Wireless: Tipo: AP/Station (CPE) >> salvo en el caso que el AP y el CPE vengandefinidos por hardware Modo: 802.11ª/802.11b/802.11g/s-turbo (Turbo se explicará enconfiguración avanzada) Canal: (MHZ)/channel Potencia de Tx: dBm Speed: MBPS Distancia: Km/m SSID: a opciónAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  10. 10. Unidad 4 (cont)• Interface Ethernet:Dirección IP:Máscara de Red:Default Gateway: >> (cuando el equipo es fullbridge) y estos parámetros sólo sirven paragestionar el equipoCon esos parámetros el equipo inalámbrico puedefuncionar básicamente.A continuación, un ejemplo de configuración básicaen comandos (CLI):Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  11. 11. Unidad 4 (cont)• Para el AP:• EION:• interface wireless 0• type ap• ssid Eion• mode a• speed 54 (put speed ‘auto’ for variable signal strength)• channel 5805• tx-power 5 (use the maximum if field installation)• no rts• distance 3000 (use the real distance if field installation)• wds-mode• fast-frame• no burst• no compression• no wmm• no dfs• no atpc• polling (enable the polling mechanism)• polling-max-station 3 (the number of CPEs to be associated with the AP)• polling-txtimeslot 40• polling-rxtimeslot 40• no shutdown• exitAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  12. 12. Unidad 4 (cont)• EION:• interface FastEthernet 0• ip address 192.168.0.1 255.255.255.0 (IP to be Modified)• no shutdown• exit• EION:• interface bridge 0 (create the bridge)• interface bridge 0 (enter the bridge interface)• no shutdown• ip address 192.168.0.1 255.255.255.0 (IP to be modified)• exit• EION:• interface wireless 0 bridge-group 0• interface FastEthernet 0 bridge-group 0• 26• Field Installation• copy running-config startup-config• rebootAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  13. 13. Unidad 4 (cont)• Para el CPE:• EION:• interface wireless 0• type station• ssid Eion• mode a• speed auto• channel 5805• tx-power 26 (use the maximum if field installation)• no rts• distance 300 (use the real distance if field installation)• wds-mode• fast-frame• polling• no burst• no compression• no wmm• no dfs• no atpc• no shutdown• exit• EION:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  14. 14. Unidad 4 (cont)• interface FastEthernet 0• ip address 192.168.0.5 255.255.255.0 (IP to be modified)• no shutdown• exit• 25• Field Installation• EION:• interface bridge 0 (create the bridge)• interface bridge 0 (enter the bridge interface)• no shutdown• ip address 192.168.0.5 255.255.255.0 (IP to be modified)• exit• EION:• interface wireless 0 bridge-group 0• interface FastEthernet 0 bridge-group 0• copy running-config startup-config• rebootAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  15. 15. Unidad 4 (cont)• 4.4 Configuraciones Avanzadas:• Las configuraciones avanzadas son aquellasque permiten trabajar un enlace con mayordesempeño (throughput) y con seguridad.• A continuación muestro todo el espectro deparámetros de configuraciones avanzadas:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  16. 16. Unidad 4 (cont)• Configuración Avanzada:• Topología Punto a Multipunto (Punto a Punto es un casoparticular):• Interface Wireless: Beacom interval: (100) mseg (sólo AP)>> para mantener lasincronización del reloj del AP con las CPEs Fragment Length: (2046) bytes RTS/CTS Threshold: (2346) bytes Short preamble: ON/OFF (sólo 802.11b) Lista de Acceso por MAC ADDRESS (sólo AP) >> lista blanca o listanegra: Lista blanca: no se asocia nadie, sólo los que están en lalista, Lista Negra: se asocian todos menos los que están en la lista)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  17. 17. Unidad 4 (cont)• Interface Wireless (cont): Burst (Bursting) Ráfaga: ON/OFF.• Mayor cantidad de tramas de datos en un período detiempo dado. Está soportado en 802.11e (QoS). Las Txstandars están separadas por un período de tiempollamado DIFS (distributed interframe space), durante el cualtodos los clientes se aguantan para transmitir datos.Después de haber transmitido con éxito una trama, otrosproductos se aguantan por el tiempo-aire otra vez, paratransmitir de nuevo datos. En régimen Burst, la unidad seaguanta por el tiempo aire una vez, antes de transmitir unaserie de tramas de datos en ráfaga (sucesión rápida). Deesta forma se reduce la sobre carga de tiempo, de esperarpor el tiempo muerto entre tramas. Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  18. 18. Unidad 4 (cont)Imagen 5. Tiempos de inter-tramasFuente: IEEE, 2003Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  19. 19. Unidad 4 (cont)• Interface Wireless (cont):TDM (polling): LEVEL/TIME SLOT (en capítuloposterior analizaremos en detalle este esquemade transmisión)Seguridad:Tipo de Autenticación: Ninguna/WEP/WPA/WPA2Modo de autenticación: TKIP/CCMP/AESFrase de encriptación: WEP: 5 caracteres, WPA: 5a 13 caracteresAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  20. 20. Unidad 4 (cont)• Interface Wireless (cont): DFS: ON/OFF, (Dynamic frequency selection): para evitación deradares y satélites WMM: ON/OFF, Wireless Mulimedia: Diferencia la calidad deservicio, dependiendo del IP TOS Fast Frame: (Fast frame aggregation): ON/OFF, aumenta althroughput de radio creando paquetes jumbo que se envían sobreel enlace inalámbrico. El resultado es parecido al efecto bursting,en éste, agrupa varias tramas de datos Ethernet en una mismatrama en una misma trama wireless, reduciendo la cabecerawireless en el airlink. Una vez que se negocia el fast frame entre unAP y un CPE, ambos pueden enviar tramas de hasta 3000 Bytes. Compression: ON/OFF, emplea el algoritmo Lempel Ziv, que se usaen programas populares. Se comprimen los datos antes de sertransmitidos, y se descomprimen después de la recepción.Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  21. 21. Unidad 4 (cont)• Interface Wireless (cont):VLAN: VLAN ID (1 a 4094) >> trabajan con elstandard 802.1Q (tag: TPID+TCI), TPID indica queel paquete viaja con tag y TCI indica prioridad delpaquete (802.1p) y el VLAN IDClientBridge: ON/OFF >> para especificar cuál CPEcomunicará con otra CPE dentro de unainfraestructura de un APATPC (automatic transmit power): ON/OFF(generalmente cuando se habilita, el Tx tiene unapotencia máxima de 17 dBm)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  22. 22. Unidad 4 (cont)• Interface Wireless (cont):Dynamic Turbo: (hay tecnologías que lo habilitany deshabilitan automático). Dobla el efecto detodos los demás mecanismos de mejora dedesempeño (fast frame, burst, compression),incrementando el throughput en un enlacewireless en cualquier data rate que trabaje. Tomael doble del ancho de banda pues es multi-canal.Static Turbo: ON/OFF, es igual al Dynamic,excepto que el modo siempre está activadocuando está en ON.Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  23. 23. Unidad 4 (cont)• Interface Wireless (cont):• Canalización Turbo:2.4 GHZ >> Canal 6 (2437) Smart Channel)5 GHZ:Canales Estáticos:42 (5210), 50 (5250), 58 (5290), 152 (5760), 160(5800)Canales Dinámicos:40 (5200), 48 (5240), 56 (5280), 153 (5765), 161(5805)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  24. 24. Unidad 4 (cont)Imagen 6. Niveles de Throughput por algoritmos de aceleraciónFuente: EION, 2010Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  25. 25. Unidad 4 (cont)• Interface Ethernet:Max Flow Rate TX/RX: kbps (MIR) (PIR)Min Flow Rate TX/RX: kbps (CIR)ACL (Access Control List): permitir/denegar >> sepueden permitir/denegar Direcciones IPFuente/Destino y Puertos Fuente/Destino, asícomo tipos de tráfico por protocolo como ICMP,TCP o UDPBridge MTU: 576 a 2290 Bytes Default: 1568Multicast: Tráfico Multicast: ON/OFFAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  26. 26. Unidad 4 (cont)• Interface Ethernet (cont):DHCP Server (sólo para Master ó AP): ON/OFF, encaso de habilitar, hay que declararMaskStart IPEnd IPGateway IPDNS ServerDHCP Client (sólo para Slave ó CPE): ON/OFFAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  27. 27. Unidad 4 (cont)• Interface Ethernet (cont):• Priorización de tráfico: VLAN Priority Threshold: 0-7 default=7, significa quetodos los paquetes tienen prioridad baja (equivalente adeshabilitar el clasificador VLAN) ToS Priorization: ON/OFF, si se habilita, entoncesintervienen: IP Precedence Threshold: 0-7 (ejemplo: 6 voice) DSCP Threshold: 0-63 (ejemplo 46 :redireccionamientoexpedito, para servicios preferenciales): 0 (best effort)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  28. 28. Unidad 4 (cont)• Consideraciones Especiales:• Hay tecnologías que trabajan con antenas duales, yentonces hay que especificar: Por cuál antena, qué potencia , qué data rate (speed) yqué canal se utilizará• Hay tecnologías que trabajan como Bridge y comoRouter. Cuando trabajan como Router hay queespecificar y crear la interface wireless (puertaWAN>>antena) y especificar y crear la interfaceethernet (puerta LAN) y crear las rutas estáticas.• Como resumen, muestro una tabla de lasconfiguraciones más representativas:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  29. 29. Unidad 4 (cont)Imagen 7. Configuraciones por DEFAULT en el LIBRALUS 5860Fuente: EION, 2010Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  30. 30. Unidad 4 (cont)Imagen 7. ContinuaciónAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  31. 31. Unidad 4 (cont)• 4.4 Control de Acceso por MAC ADDRESS:• Lista Blanca:• Consiste en activar una lista de acceso, en la cual,los CPE que no tengan registradas sus MACADDRESS en el AP, no podrán asociarse con el AP• Lista Negra:• Consiste en activar una lista de acceso, en la cual,todas las MAC ADDRESS se asociarán, menos lasque estén registradas en la listaAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  32. 32. Unidad 4 (cont)• 4.5 Standard WIFI 802.11i WPA y WPA2:• IEEE802.11i• Ante las fallas de WEP (wireless equivalent privacy), elgrupo de tarea 802.11i se formó para establecer unasolución de seguridad para las WLAN. Completaron unstandard llamado RSN (robust security network).Estestandard incluye dos partes: AES (advanced encryption standard) para encriptaciónde tráfico WLAN y el: 802.1x, autenticación standard basada en redes parausuarios WLANAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  33. 33. Unidad 4 (cont)• El modo particular de encriptación que el grupoha fijado es:AES-CCMP (AES Counter-mode Cipher blockchaining Message authentication code Protocol).Tamién se ha recomendado series de WEP fijadaspara acomodar productos anteriores (legacy) queno soportan actualización a AES, debido a suslimitaciones de diseño. Estas constituyen el:TKIP (temporal key integrity protocol)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  34. 34. Unidad 4 (cont)Imagen 8:.Niveles de seguridad inalámbricaFuente: Atheros, 2011Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  35. 35. Unidad 4 (cont)• TKIP consiste en cuatro parches del algoritmoWEP. Es importante notar que TKIP no proveeun nivel de seguridad conseguido con AES.TKIP es menos robusto que AES. El standardrecomienda el uso de TKIP sólo condispositivos que no pueden comunicarse conAES-CCMPAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  36. 36. Unidad 4 (cont)• Autenticación 802.1x• 802.1x es un standard abierto paraautenticación de estaciones wireless(supplicants) con un servidor de autenticaciónde la red cableada a través de un AP(autenticador). El servidor de autenticación esgeneralmente el mismo servidor RADIUSusado para autenticar usuarios de discado(remote authentication dial-in user server)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  37. 37. Unidad 4 (cont)Imagen 9. Autenticación por servidor centralFuente: Atheros, 2011Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  38. 38. Unidad 4 (cont)• WPA (WIFI protected access):• En ausencia de un standard completo 802.11i, la WIFIAlliance propuso el WPA, como una solución interim aWEP.• La especificación WPA incluye soportes paraencriptaciones AES, pero como muchos de losdispositivos anteriores de la 802.11b no son capaces desoportar AES, para garantizar inter-operabilidad, se haimplementado TKIP, el cual sí puede ser instrumentadoen las actualizaciones de software/firmware de losproductos anteriores (legacy)Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  39. 39. Unidad 4 (cont)• Como muchas redes no tienen la posibilidad de utilizarservidor RADIUS para autenticar estaciones, WPAprovee un mecanismo PSK (pre shared key). Para usarPSK, el usuario entra un “pass phrase”, tanto en el APcomo en la estación wireless. Esta “pass phrase” se usapara autenticar cualquier estación que trate deconectarse. El AP provee a la estación wireless con una“session key” que se refresca a intervalos regulares.• Los productos que están clasificados como que tienen“WPA-personal” soportan mecanismos deautenticación PSKAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  40. 40. Unidad 4 (cont)• WPA2 (WIFI protected access version 2):• WPA2 es el sucesor de WPA. WPA2 es compatiblecon WPA, de manera tal que encriptaciones TKIPy AES, así como autenticación 802.1x y PSK sonparte de este standard. WPA2 está orientado ausuarios que hace “roaming”entre celdas ó AP.• WPA y WPA2 son modos mixtos y están hechospara facilitar la transición entre standards.Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  41. 41. Unidad 4 (cont)• Uno de los principales logros en WPA2 es queprovee encriptación más robusta, añadiendoel soporte AES-CCMP como la 802.11i• Como resumen, para redes inalámbricascorporativas de mediano tamaño, donde eluso de servidor RADIUS no está disponible, serecomienda usar:• Encriptación AES-CCMP con• Autenticación WPA-PSK ó WPA2-PSKAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  42. 42. Unidad 4 (cont)• La mayoría de las tecnologías, aún ofrecenWEP, al menos para la topología punto apunto, pero se va imponiendo WPA.• Cuando elegimos el tipo de autenticaciónWPA, tenemos dos caminos para el modo deautenticación: TKIP, CCMP, y la frase deencriptación será entre 8 y 63 caracteres.Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  43. 43. Unidad 4 (cont)• Bibliografía:• Atheros.(2011). Construyendo una redinalámbrica segura.• Recuperado el 11 de septiembre de 2011de http://www.qca.qualcomm.com/• EION. (2011).LIBRAPLUS 5860 User Manual.• Recuperado el 11 de septiembre de 2011 dehttp://www.eionwireless.com/products/libraplus-5860Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  44. 44. Unidad 4 (cont)• IEEE. (2003). 802.11 Normas: 802.11ª-1999,802.11b-1999,• 802.11g-2003. Recuperado el 11 deseptiembre de• 2011 dehttp://www.forosdelweb.com/f20/normas-ieee-802-11-a-804324/• Mahdi. (2009). Curso certificación LIBRAPLUS• 5845.La Habana, Cuba:UNEAutor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  45. 45. Unidad 4 (cont)Número Cita Fuente1 Laboratorio de pruebas Mahdi, 20092 Sesión de TELNET Pérez, 20103 Sesión de SSH, a través de PUTTY Pérez, 20104 Loging al LIBRAPLUS 5860mediante WEBEION, 20105 Tiempos de inter-tramas IEEE, 20036 Niveles de Throughput por algoritmosde aceleraciónEION, 20107 Configuraciones por DEFAULT en elLIBRALUS 5860EION, 2010Numeración de imágenes:Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México
  46. 46. Unidad 4 (cont)8 Niveles de seguridad inalámbrica Atheros, 20119 Autenticación por servidor central Atheros, 2011Autor: Ing. Andrés de la Caridad Pérez AlonsoFecha de elaboración: 14 de Julio de 2010Fecha de actualización: 8 de Septiembre de 2011Guadalajara, Jalisco, México

×