Escolar Documentos
Profissional Documentos
Cultura Documentos
Myriam Muoz
Juanita Recalde
Edwin Tquerrez
NIVEL: 9 CIERCOM
FECHA: 20/11/2011
3. INTRODUCCIN
En la facultad existen varias redes, pero estas no tienen cobertura en todas las aulas, adems no
siempre cuentan con acceso a internet, la implementacin de esta red busca que los usuarios de la
facultad tengan acceso oportuno a una red correctamente administrada, para lograr este objetivo se
utilizaran equipos que estaban disponibles en la facultad: para el control y administracin de la red se
utilizara el Cisco 2106 Wireless LAN Controller y 4 APs, CISCO Aironet Lightweight Access Point, los
cuales debemos estudiar para configurarlos de la mejor manera , realizar las pruebas necesarias de
funcionamiento y establecer la ubicacin de los mismos con el fin de lograr que la red funcione en
condiciones ptimas.
DISPOSITIVO
LAN CONTROLLER
AP 1
AP 2
AP 3
AP 4
IP
192.168.15.2
192.168.15.3
192.168.15.4
192.168.15.5
192.168.15.6
MASCARA
255.255.255.240
255.255.255.240
255.255.255.240
255.255.255.240
255.255.255.240
GATEWAY
192.168.15.1
192.168.15.1
192.168.15.1
192.168.15.1
192.168.15.1
DESCRIPCION
Management
4.2.1. Generalidades
Wireless LAN Controller es un dispositivo centralizado ubicado generalmente en el centro de datos al
cual estan conectados, directa o indorectamente todos los APs.
Cisco Wireless LAN Controller es un dispositivo que se encarga de todo el sistema funciones de una
LAN inalmbrica, por ejemplo las polticas de seguridad, prevencin de intrusiones, gestin de RF,
calidad de servicio (QoS) y movilidad. Trabajan en conjunto con los puntos de acceso Cisco para
soportar negociaciones de aplicaciones inalmbricas crticas. Soporta desde servicios de voz y datos
hasta el rastreo de la ubicacin, Cisco Wireless LAN Controller proporciona el control, escalabilidad,
seguridad y fiabilidad que los administradores de red necesitan para construir seguridad, en redes
inalmbricas a escala empresarial.
Cisco Wireless LAN Controller puede intergrarse sin problemas en las redes existentes. Se comunican
con los puntos de acceso basados en controlador sobre cualquier capa 2 (Ethernet) o de la
infraestructura de capa 3 (IP) utilizando el protocolo de punto de acceso ligero (LWAPP).
2
Debido a que el Cisco Wireless LAN Controller soporta 802.11a/b/g y el estndar IEEE 802.11n se
puede implementar la solucin que mejor se adapte a las necesidades individuales de cada medio .
Para el caso especfico de un controlador Cisco 2100 Series Wireless LAN Controller tenemos las
siguientes caractersticas:
4.2.2. Caractersticas
(Ver Anexo 1)
4.2.2.1. PUERTOS
Est formado por 8 puertos , 2 puertos con PoE y 6 puertos del sistema de distribucin, se mustran
en la figura que sigue:
Figura N 2 Puertos de CISCO 2100 series WLC, obtenida de PDF: Configuracin de la GUI interfaz grfica WLC
Puerto de distribucin: conecta al WLC con un switch y sirve como la ruta de datos entre estos dos
dispositivos.
En el CISCO 2106 WLC estos puertos soportan Etehernet 10/100 sirven adems para conectar el WLC a
los puntos de acceso. Dos de estos puertos (7 y 8) tienen PoE habilitado y puede ser utilizado para
suministrar energa directamente a los puntos de acceso que estn conectados a estos puertos.
Puerto consola Por medio de el conectamos el WLC, al computador para configurarlo mediante
programas como el hyperterminal .
4.2.2.2. INTERFACES
El CISCO 2106 WLC posee diversos tipos de interfaz
Interfaz de gestin (Management Interface): mediante esta se puede acceder a la interfaz grfica del
controlador. La interfaz de administracin es la interfaz por defecto para conectividad a los servicios de
la empresa, tales como servidores AAA. Tambin se utiliza para las comunicaciones entre el
controlador y los puntos de acceso.
4.2.2.3. SEGURIDAD
802.1X con claves dinmicas. El 802.1x se basa en el protocolo EAP (Protocolo de autenticacin
extensible), Este protocolo se usa para transportar la informacin de identificacin del usuario. La
autenticacin es realizada normalmente por un tercero, tal como un servidor de RADIUS.
Wi-Fi Protected Access (WPA) claves dinmicas. La solucin de Cisco WPA incluye:
- TKIP (protocolo de integridad de claves Temporal) y el mensaje de control de la integridad del cdigo
claves dinmicas
-Claves WEP, con o sin una clave previamente compartida contrasea
Opcin de filtrado de direcciones MAC
Opcin de Bloqueo Manual o automtico
En el bloqueo manual se bloquea el acceso usando la direccin MAC del cliente. En el bloqueo
automtico, el cual siempre est activo el software del sistema operativo bloquea automticamente el
acceso a los servicios de red por un perodo de tiempo definido por el usuario cuando un cliente no
puede autenticar en un nmero determinado de intentos consecutivos. Esta caracterstica se puede
utilizar para impedir ataques de fuerza bruta de inicio de sesin.
Certificado digital
Cada WLC se fabrica con un nico certificado X.509. Estos certificados firmados se utilizan para verificar
el cdigo descargado antes de que se carga, asegurando que los hackers no se descargan cdigo
malicioso en cualquier WLC o AP.
4.2.3. Configuracin
ACCESO A LA INTERFAZ GUI EN EL LAN CONTROLLER CISCO 2106
Para la configuracin inicial de del WLC se tiene los siguientes pasos
PASO 1
Conectamos la fuente de alimentacin al WLC y utilizando el Hyperterminal, accedemos por consola al
WLC (Ver Anexo 2)
PASO 2
Limpieza de la configuracin actual, seguido de un reinicio del sistema, para poder escribir la nueva
configuracin (Ver Anexo 3) para esto utilizamos los siguientes comandos:
clear config
reset system
PASO 3
Al reiniciar un asistente de configuracin nos pedir que introduzcamos los atributos bsicos de
configuracin.
El primer indicador que se pide es un nombre de sistema. Pulse Intro para mantener el valor por
defecto o escriba el nombre que desee.
El siguiente solicita el nombre de usuario y la contrasea administrativa. Use "ciercom" para el nombre
de usuario y "ciercom5" para contrasea. (Ver Anexo 4. Parte 1 )
PASO 4
Introducimos la informacin de la interfaz de gestin: su direccin IP que es la que usaremos para
poder acceder a la interfaz de usuario, tambin nos solicita la mscara de red , el Gateway
(Management Interface Default Router) y el puerto al cual designamos para la administracin
(Ver Anexo 4 .Parte 2)
PASO 5
Configuramos la direccin IP del gateway virtual como 1.1.1.1 (esto es aceptable porque no se est
usando para enrutamiento). La direccin de puerta de enlace IP virtual es por lo general una direccin
ficticia, como la direccin que estamos usando, para ser utilizado por la capa 3 de seguridad y
administradores de la Movilidad.
Utilizamos los valores predeterminados para el resto de la configuracin. (Pulsamos Intro en cada
pregunta) y por ultimo guardamos la configuracin (Ver Anexo 4 .Parte 3)
PASO 6
HAY QUE TOMAR EN CUENTA QUE PARA ACCEDER A LA INTERFAZ GUI DEL WLC
ES NECESARIO ACTIVAR LOS PUERTOS DE ACCESO A TELNET Y HTTP, YA QUE HTTPS
ESTA ACTIVADO POR DEFECTO
La activacin del puerto web se la debe realizar para poder tener acceso al Wirelless Lan Controller por
medio grfico.
Por defecto slo el acceso https est activado. Para habilitar el acceso HTTP, se debe introducir el
siguiente comando config network webmode enable, para activar el acceso telnet se utiliza el
siguiente comando config network telnet enable y luego guardar los cambios. (Ver Anexo 5)
PASO 7
Ingreso al modo GUI
Para ingresar al modo grafico debemos en un explorador digitar la direccin IP que anteriormente
mediante consola le asignamos al Wireless Lan Controller .
La interfaz grfica de usuario debe ser utilizado en un PC con Windows XP SP1 o superior o Windows
2000 SP4 o superior.
La interfaz grfica de usuario es totalmente compatible con Microsoft Internet Explorer versin 6.0 SP1
o superior.
192.168.15.2
Una vez ingresada a la interfaz grfica del Wirelless LAN Controller tendremos que ingresar el usuario y
contrasea que configuramos por consola.
4.3.1 Caractersticas
Tipo de dispositivo: Punto de acceso inalmbrico
Tipo incluido: Externo
Dimensiones (Ancho x Profundidad x Altura): 19.1 cm x 3.3 cm x 19.1 cm
Peso: 0.7 kg
RAM instalada (mx.): 32 MB
Memoria flash instalada (mx.): 16 MB Flash
Protocolo de interconexin de datos: IEEE 802.11b, IEEE 802.11a, IEEE 802.11g
Protocolo de gestin remota: SNMP, Telnet, HTTPS
Caractersticas: Auto-sensor por dispositivo, soporte BOOTP
Alimentacin por Ethernet (PoE): S
Alimentacin: CA 120/230 V ( 50/60 Hz )
Garanta del fabricante: 1 ao de garanta
Factor de forma:
Externo
8
1 fuente de alimentacion
2 puerto ethernet LAN
4 puerto de consola
LED Ethernet
LED Radio
Luz central
Estado del
LED
Significado
10
Estado de
arranque
Estado de
asociacin
Estado de
Operacin
Estado de
advertencia
Estado de
error
Verde
Verde
Verde
Apagado
Celeste
Apagado
Verde
parpadeando
Verde
Verde
Apagado
Azul
Verde
n/a
Verde
n/a
Verde
Verde Claro
n/a
n/a
Verde Claro
Verde
Verde
Parpadeando
n/a
n/a
n/a
n/a
n/a
n/a
n/a
Verde
Parpadeando
n/a
Apagado
Rojo
Ambar
Apagado
Apagado
Apagado
Azul oscuro
Parpadeando
Amarillo
Amarillo
Amarillo
Apagado
Rojo
Rosado
Verde
Parpadeando
rojo
Rojo
Rojo
Rosado
Parpadeando
y apagado
Rojo
Apagado
Rojo
Apagado
Ambar
Ambar
Apagado
Rojo
Apagado
Rosado
Rojo
parpadeando
y azul
Rojo
parpadeando
y celeste
Rojo
parpadeando
y amarillo
Rojo
Verificacin de la memoria
DRAM correcta
Inicializacin del sistema de
los archivos de la flash
Verificacin de la memoria
flash correcta
Verificacin del puerto
Ethernet correcto
Arranque del IOS Cisco
Condicin de operacin
normal, pero sin dispositivos
clientes inalmbricos
asociados
Condicin de operacin
normal, y por lo menos un
cliente asociado
Enlace Ethernet funcionando
Transmitiendo o
recibiendo paquetes Ethernet.
Transmitiendo o
recibiendo paquetes de radio.
Actualizacin del software en
progreso
Enlace Ethernet no funciona
Error de Ethernet
Configuracin de la
recuperacin en curso
(Botn Modo presionado por
2 a 3 segundos).
Recuperacin de la imagen
(Botn Modo presionado
por 20 a 30 segundos)
Recuperacin de la imagen en
progreso y el botn
de modo se libera.
Error de la prueba de la
memoria DRAM.
sistema de la flash fallido
Variable de
entorno (ENVAR) fallido
direccin MAC mal
parpadeando
y apagado
Rojo
parpadeando
y apagado
Rojo
parpadeando
y apagado
Rojo
parpadeando
y apagado
n/a
Ambar
Ambar
Rojo
Ambar
Ambar
Ambar
Ambar
parpadeando
n/a
n/a
Ambar
parpadeando
n/a
rojo
Rojo
Tomate
n/a
n/a
Tomate
Verde
parpadeando
Verde
parpadeando
Verde
parpadeando
recuperacin de la imagen.
Error en el entorno de
arranque
El IOS Cisco no tiene el
archivo de imagen
Falta del cargador
Error al Transmitir o
recibir Ethernet.
Reintentos mximos
o memoria llena ocurrido en
el radio
Falla de software, intente
desconectar y conectar la
alimentacin
Advertencia
general, alimentacin
insuficiente.
Activacin de usuario del
indicador de localizacin
VPN Pass-Through
12
802.1X
Estatic WEP
(Wi-Fi Protected
Access)
utiliza la
encriptacin de
clave dinmica
es una
norma del
IEEE para el
control de
acceso a red
basada en
puertos
Utiliza un
servidor
RADIUS
(Wired
Equivalent
Privacy)
proporciona la
autenticacin
simple y cifrado
basados en
claves
compartidas
inmutable que
estn
preconfigurados
en todos los
puntos de
acceso y los
equipos cliente.
Descripcin
Estatic
WEP+802.1X
Unin de las
dos tecnologas
CKIP
(Cisco Key
Integrity
Protocol )es
un protocolo
propietario de
Cisco de
seguridad para
la encriptacin
de medios
802.11. Usa en
el modo de
infraestructura
con la clave de
permutacin
MIC, y el
nmero de
secuencia de
mensajes
Para establecer una propuesta de que seguridad debe soportar nuestra red inalmbrica debemos
establecer una poltica de seguridad interna y despus implementar la mejor solucin.
Propuesta de seguridad
Para el ingreso a la red inalmbrica los estudiantes deben conocer una clave de acceso la cual les
permita no solo mirar el SSID sino ingresar a todos los servicios que brinda este uno de ellos es el
servicio de internet
Para esto se decide utilizar la encriptacin de clave dinmica WPA (Wi-Fi Protected Access) la cual se
deriva en dos versiones que utilizan diferentes procesos de autenticacin:
TKIP
El Protocolo de integridad de clave temporal (Temporal Key Integrity Protocol, TKIP) es un tipo de
mecanismo utilizado para crear encriptacin de clave dinmica y autenticacin mutua. Las funciones de
seguridad de TKIP resuelven las limitaciones de WEP y ofrecen un nivel de proteccin muy alto, ya que
las claves cambian permanentemente.
13
EAP
El Protocolo de autenticacin extensible (Extensible Authentication Protocol, EAP) se utiliza para
intercambiar mensajes durante el proceso de autenticacin. Este protocolo emplea la tecnologa de
servidor 802.1x para autenticar a los usuarios a travs de un servidor RADIUS (Remote Authentication
Dial-In User Service: servicio de autenticacin remota telefnica de usuario). Esto proporciona un nivel
de seguridad industrial para la red, aunque se requiere un servidor RADIUS.
Para nuestro caso implementaremos el TKIP ya que este no requiere de un servidor RADIUS externo y
puede implementarse directamente en el LAN CONTROLLER.
Configuracin de la seguridad WPA+WPA2
14
5. BIBLIOGRAFIA
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
http://www.cisco.com
http://www.normes-internet.com/normes.php?rfc=rfc2819&lang=es
http://www.cisco.com/en/US/products/ps7221/index.html
http://wirelessccielab.blogspot.com/
http://es.scribd.com/doc/36484099/PRACTICA-DE-LABORATORIO-N%C2%BA-2-mayrita
http://forums.whirlpool.net.au/archive/1242057
http://es.kioskea.net/contents/wifi/wifi-802.1x.php3
http://dns.bdat.net/seguridad_en_redes_inalambricas/x59.html
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
PDF: Configuracin de la GUI interfaz grfica WRLC
http://technet.microsoft.com/es-es/library/cc781243%28WS.10%29.aspx
http://personales.upv.es/rmartin/TcpIp/cap04s09.html
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a0
0807f42e9.shtml
15
16
REFERENCIA
Detalles tcnicos
Caractersticas tcnicas
Conectividad
Cantidad de puertos
Tecnologa Ethernet
Control de energa
Energa sobre Ethernet (PoE), soporte
Tipo de fuente de alimentacin
Requisitos de energa
Condiciones ambientales
Humedad relativa
Alcance de temperatura operativa
Transmisin de datos
Tasa de transferencia (mx)
Velocidad de transferencia de datos
Seguridad
Mtodo de autenticacin
Algoritmo de seguridad
Interfaces
Interfaz de gestin
Interfaz Virtual
17
INGRESO AL HYPERTERMINAL
INICIO
PROGRAMAS
ACCESORIOS
COMUNICACIONES
HYPERTERMINAL
Aparecern las siguientes ventanas, en las primera escogemos el puerto, luego el nombre y un icono, ,
clic en ACEPTAR.
En la tercera aplicamos los valores por defecto y verificamos que estos sean los que se muestran :
18
LIMPIAR CONFIGURACION
(Cisco Controller) >clear config
Are you sure you want to clear the configuration? (y/n) y
Configuration Cleared!
(Cisco Controller) >reset system
The system has unsaved changes.
Would you like to save them now? (y/N) n
Configuration Not Saved!
Are you sure you would like to reset the system? (y/N) y
System will now restart!
19
Interface
Interface
Interface
Interface
Interface
Interface
IP Address: 192.168.15.2
Netmask: 255.255.255.0
Default Router: 192.168.1.1
VLAN Identifier (0 = untagged): 0
Port Num [1 to 4]: 1
DHCP Server IP Address: 192.168.1.1
Configuration correct? If yes, system will save it and reset. [yes][NO]: YES
Configuration saved!
Resetting system with new configuration...
Configuration saved!
20
21
AP # 1
Nombre del Producto
Marca
Nmero de Serie
MAC
Serie del producto
Nmero del producto
Numero de Activo fijo UTN
AP # 2
Nombre del Producto
Marca
Nmero de Serie
MAC
Serie del producto
Nmero del producto
Numero de Activo fijo UTN
AP # 3
Nombre del Producto
Marca
Nmero de Serie
MAC
Serie del producto
Nmero del producto
Numero de Activo fijo UTN
CRONOGRAMA DE REUNIONES
FECHA
Martes 07/11/2011
Martes 08/11/2011
Viernes 11/11/2011
Domingo 13/11/2011
Mircoles 16/11/2011
Domingo 20/11/2011
Mircoles 23/11/2011
Viernes 26/11/2011
Martes 29/11/2011
FECHA
Martes 07/11/2011
Martes 08/11/2011
Viernes 11/11/2011
Domingo 13/11/2011
Mircoles 16/11/2011
Domingo 20/11/2011
Mircoles 23/11/2011
Viernes 26/11/2011
Martes 29/11/2011
ACTIVIDAD
Peticin de equipos
Ingreso a la interfaz GUI
Reunin con compaeros
Ingreso a la interfaz y configuracin por consola
para hacer posible la misma.
Autenticacin de un AP al LAN Controller
Autenticacin de 2 APs en el LAN Controller
consulta para salida a internet
Reunin con compaeros y pruebas de salidas a
internet y alcance de APs y roaming.
Recopilacin de informacin para documentar ,
establecer un direccionamiento fijo y configurar
todos los equipos con estas direcciones
Redaccin de informe y preparacin de exposicin
ACTIVIDAD
Peticin de equipos
Ingreso a la interfaz GUI
Reunin con compaeros
Ingreso a la interfaz y configuracin por consola
para hacer posible la misma.
Autenticacin de un AP al LAN Controller
Autenticacin de 2 APs en el LAN Controller
consulta para salida a internet
Reunin con compaeros y pruebas de salidas a
internet y alcance de APs y roaming.
Recopilacin de informacin para documentar ,
establecer un direccionamiento fijo y configurar
todos los equipos con estas direcciones
Redaccin de informe y preparacin de exposicin
23
GLOSARIO
WPA depende de protocolos de autenticacin y de un algoritmo de cifrado cerrado: TKIP (Protocolo de
integridad de clave temporal) El TKIP genera claves aleatorias y, para lograr mayor seguridad, puede
alterar varias veces por segundo una clave de cifrado.
El funcionamiento de WPA se basa en la implementacin de un servidor de autenticacin (en general
un servidor RADIUS) que identifica a los usuarios en una red y establece sus privilegios de acceso.
WEP (Wired Equivalent Privacy) fue el primer protocolo de encriptacin introducido en el primer
estndar IEEE 802.11 all por 1999. Est basado en el algoritmo de encriptacin RC4, con una clave
secreta de 40 o 104 bits, combinada con un Vector de Inicializacin (IV) de 24 bits para encriptar el
mensaje de texto M y su checksum el ICV (Integrity Check Value). El mensaje encriptado C se
determinaba utilizando la siguiente frmula:
C = [ M || ICV(M) ] + [ RC4(K || IV) ]
CERTIFICADO DIGITAL El Certificado Digital es un documento firmado por una Autoridad Certificadora
(AC). El documento contiene, principalmente, el nombre de un sujeto y su llave pblica. Si el
Certificado es autntico y confiamos en la AC, entonces, podemos confiar en que el sujeto identificado
en el Certificado Digital posee la llave pblica que se seala en dicho certificado. As pues, si un sujeto
firma un documento y anexa su certificado digital, cualquiera que conozca la llave pblica de la AC
podr autenticar el documento .
24
BOOTP: El protocolo de arranque (BOOTP) es un protocolo de configuracin de host. Las LANs hacen
posible el uso de hosts sin disco como estaciones de trabajo, routers, concentradores de terminal, etc.
Los hosts sin disco requieren un mecanismo para arrancar remotamente sobre una red. El protocolo
BOOTP se usa para arranque remoto sobre redes IP. Permite una pila de protocolo IP mnima sin
informacin de configuracin, tpicamente almacenada en ROM, para obtener suficiente informacin
para comenzar el proceso de descarga del cdigo necesario para arrancar. BOOTP no define cmo se
realiza la descarga, ya que este proceso tpicamente usa TFTP
25