Escolar Documentos
Profissional Documentos
Cultura Documentos
UNIDAD CULHUACAN
TESINA
Seminario de Titulación:
“Las tecnologías aplicadas a las redes de computadoras”
DES/ESIME-CUL/509/05/2008
ADMINISTRACIÓN DE DISPOSITIVOS
MÓVILES Y SEGURIDAD DE ACCESOS CON
WLAN CONTROLLER SOBRE UN AMBIENTE
CORPORATIVO
Ingeniero en Informática
Presentan:
Norma Aurelia Franco Ramírez
Janet García Maceda
Laura Patricia Herrera de la Trinidad
Paulina
Antes y primero que todo quiero agradecerle a Dios por guiarme por el camino de la
sabiduría,delatoleranciaypacienciaparapodercumplirunodemisgrandesobjetivos.
Delamismamanera,amispadresHerminioyEnriquetaporquesé,quejamáshabráuna
manera de agradecerles toda una vida de lucha, sacrificio y esfuerzo para sacarme
adelante,yportodoesoquieroquesesientanpartefundamentaldeestelogroyquees
un sueño que logramos hacer realidad juntos, por ser la fuerza que me impulsa para
seguirsiempreadelanteysercadadíamejorpersona,mejorhija,mejorhermana,mejor
amiga…mejorserhumano.Deverdadgracias,ysepanquelosadmiraretodamivida.
AmishermanosBrendayEnriqueporserpartefundamentalenmivida,poralegrarla,
poriluminarla,portenersiempreunasonrisaparami,porimpulsarmecadadíamás.
Gracias a mi prima Berenice, a mi tía Guillerma y a mi tía Rosa por siempre apoyarme,
ayudarmeyaconsejarmeyhastaregañarmecuandoasíhasidonecesario,encadapaso
quedoy.
GraciasamisamigosJanet,LaurayHazaelportenermepacienciaentodoestetiempoque
nosconocimos.Graciasatodasaquellaspersonasquefueronosonpartedemividapor
apoyarmeparaconcluirestesueño.
Norma
Este gran esfuerzo plasmado, es dedicado a mis Padres quienes a lo largo de mi vida han
sido de apoyo incondicional y son los que han hecho posible esta gran oportunidad de
superación, a mis Hermanos quienes me han dado ánimos para terminar esta labor, a mi
Sobrino quien con su llegada a este mundo ha sido uno de mis grandes inspiradores, a
mis Abuelos, Tíos y Primos quienes han contribuido con esta gran alegría y a mis
Amigas quienes han colaborado en el desempeño de este compromiso.
Pero sobre todo agradezco a Dios por darme un día el privilegio de conocerlo de
la forma que lo conozco ahora y por la fortaleza que me ha brindado para seguir adelante
tanto en los momentos buenos como en los malos, ya que sin él nada de lo que he
logrado desde el día que le conocí hubiera sido posible en mi vida sin sentirme tan llena
y plena como ahora. Gracias Dios por la familia que me diste y por este proyecto que me
permites concluir.
Con Amor:
Janet García Maceda
Quiero agradecerle a mi familia por siempre apoyarme en todas las etapas de mi vida y
más aun en esta, por darme su paciencia y confianza y aliento, aun en los momentos más
difíciles, a mi padre RAUL por haberme dado todas sus enseñanza y educado para ser un
hombre de provecho, a mi madre REYNA por darme todo el cariño y paciencia.
A mi abuela ALICIA por haber confiado en mí cuando más lo necesite y ser un ejemplo a
seguir para mí.
A Dani E. P. L. por haberme dado el momento más feliz de mi vida y a Regina por ser la
luz que ilumino mi vida, ya que si no fuera por ellas nunca habría dado el primer paso de
este logro que ahora culmine.
A Adriana E. Q. por ser mi ángel guardián regresarle la magia a mi vida, guardar todos mis
secretos y darme todos sus consejos.
A mis amigos por estar conmigo en las buenas y en las malas y darme su amistad
incondicional.
Raúl
Como cada fruto que crece en un árbol con la ayuda de los elementos del sol y el agua,
todos aquéllos elementos fueron el apoyo, comprensión, sacrificio de familia y amigos
que permitieron que culminará esta etapa, por ello es que quiero agradecer:
A mis amigos
Por estar inmersos en todo instante a mi lado, e hicieron que el trayecto de esta meta
fuera muy ameno.
A Dios:
Más que a nada le agradezco a Dios porque con su luz y el poder de su amor me brindó
todos los elementos necesarios para poder vencer diversos obstáculos y cumplir con esta
meta.
Laura
OBJETIVOS
Así WLAN Controller está pensado como un esquema dinámico para mantener la
administración correcta de los dispositivos y la seguridad de toda la información, que se
maneje dentro de una empresa.
Por lo tanto, genera beneficios expresados en la optimización de los tiempos y costos que
implican para la empresa.
ÍNDICE
OBJETIVOS ....................................................................................................................................... I
JUSTIFICACIÓN ............................................................................................................................ II
CONCLUSIONES ........................................................................................................................... 79
BIBLIOGRAFÍA ............................................................................................................................. 80
Una de las tecnologías de redes actuales con gran auge ha sido la aplicación de las redes
WLAN, las cuales son un sistema flexible de comunicación de datos implementados como
una extensión o como una alternativa para una LAN cableada.
Uno de los problemas a los cuales se enfrentan las redes WLAN de tecnología Wi-Fi es la
seguridad. Un elevado porcentaje de redes son instaladas sin tener en consideración la
seguridad convirtiendo así sus redes en redes abiertas (vulnerables a los crackers), sin
proteger la información que por ellas circulan y siendo fácilmente descifrada, ya que las
transmisiones viajan por un medio no seguro (a diferencia de una LAN cableada),
requiriendo mecanismos que aseguren la confidencialidad de los datos enviados así como
su integridad y autenticidad, aún más cuando se trata de una red corporativa.
Confidencialidad
Integridad
Confiabilidad
Autenticidad
No intrusión
Disponibilidad
Principalmente la realización de este proyecto estará enfocado y dirigido para los usuarios
promedio de un corporativo ya que no tendrá complejidad para su uso al ser implementado.
CAPÍTULO 1: CONCEPTOS BÁSICOS
3
o IrDA: Desarrollado por la compañía Infrarred Data Association para transmisión
de pequeñas cantidades de información.
Transmite la información bit a bit por medio de un led instalado en el
dispositivo que genera pulsos de luz intermitentes. Maneja velocidades ideales
de hasta 4 Mbps que dependen de factores ambientales como la luz y la
proximidad entre los dispositivos.
o Bluetooth:: Estándar de “facto” para las redes WPAN. Transmite la información
empleando ondas de radio sobre la frecuencia pública 2,45 MHz. El rango de
alcance de la señal es de aproximadamente10 mts. con velocidades que oscilan
entre 64 y 730 Kbps. Es la base del nuevo estándar 802.15 que se está
desarrollando para regular las redes WPAN. Se encuentra integrado con PDAs o
teléfonos inteligentes de algunos fabricantes.
- WLAN (Red local Inalámbrica): permiten conectar una red de computadores en una
localidad geográfica, de manera inalámbrica para compartir archivos, servicios,
impresoras, y otros recursos. Usualmente utilizan señales de radio, las cuales son
captadas por PC-Cards, o tarjetas PCMCIA conectadas a laptops, o a slots PCI para
PCMCIA de PCs de escritorio. Estas redes a groso modo, soportan generalmente tasas
de transmisión entre los 11Mbps y 54Mbps (mega bits por segundo) y tienen un rango
de entre 30 a 300 metros, con señales capaces de atravesar paredes.
Requieren NIC’s especiales en los clientes (PCs, PDAs o Laptops) para efectuar la
comunicación. Se encuentran definidas por el estándar IEEE 802.11 y sus diferentes
variantes.
4
Definidas por las distintas variaciones del estándar, actualmente se emplean las
siguientes tecnologías:
Sistema TCP
Operativo
de Red
IP
Redes similares pueden formarse con edificios, o vehículos, esta tecnología permite
conectar un vehículo a la red por medio de un transmisor en una laptop o PDA, al punto
de acceso dentro del edificio. Estas tecnologías son de gran uso en bibliotecas, unidades
móviles como ambulancias para los hospitales, etc. y están basadas en HiperLAN (LAN
de Radio de alto rendimiento), o tecnologías basadas en WI-FI (Fidelidad inalámbrica).
- WI-FI: es uno de los sistemas más utilizados para la creación de redes inalámbricas en
computadoras, permitiendo acceso a recursos remotos como Internet e impresoras.
Utiliza ondas de radio. Y es una marca de la WI-FI Alliance (anteriormente la WECA:
Radio Alianza de Compatibilidad de Ethernet), la organización comercial que adopta,
prueba y certifica que los equipos cumplen los estándares 802.11.
5
Las redes inalámbricas LAN ofrecen muchas ventajas sobre las LAN Ethernet
convencionales, tales son, movilidad, flexibilidad, escalabilidad, velocidad, simplicidad,
y costos reducidos de instalación. Son una solución para edificios que por su
arquitectura, o su valor histórico, no pueden ser perforados para instalar cableado
estructurado.|
En los Estados Unidos, muchas bibliotecas han implantado con éxito redes inalámbricas
LAN a costos mucho más bajos de lo que saldría implantar redes físicas, y además les
permiten acceso a la red en cualquier lugar de la biblioteca a todos sus usuarios.
La gran aceptación que ha tenido la tecnología WIFI se debe a varios factores como
bajo precio, facilidad de uso, integración transparente con redes LAN cableadas, esto
debido a que lo único que cambia es el medio por donde llega la información, y aunque
su velocidad no es comparable con las LAN cableadas es una muy buena opción en
aplicaciones de casa y oficina.
6
Redes con Infraestructura: En este tipo de red se necesita un punto de acceso,
independientemente de si está o no conectado a la red de área local o a Internet en el
caso de un router inalámbrico. Cada equipo móvil debe comunicar con uno de estos
enlaces dentro de su radio de acción. El nodo puede moverse libremente pero si sale
fuera del rango de su enlace, debe conectar con otro para asegurar que la
información llegue a su destino. Un ejemplo de este tipo de redes es la red de
telefonía móvil formada por numerosas estaciones y antenas dispersas por todas las
ciudades. En la red inalámbrica se utiliza un dispositivo llamado punto de acceso,
que funciona como el HUB tradicional, el cual envía directamente los paquetes de
información a cada equipo de la red.
En las redes con infraestructura o general, la asociación de las máquinas de destino
con la red de infraestructura es más sencilla.
Existen más opciones de seguridad, además de ser más sólidas, lo que no ocurre con
las redes Ad-Hoc.
- Fixed Wireless Data: Es un tipo de red inalámbrica de datos que puede ser usada para
conectar dos o más edificios juntos para extender o compartir el ancho de banda de una
red sin que exista cableado físico entre los edificios.
- WWAN (redes inalámbricas de área extensa): es una red de computadores que abarca
un área geográfica relativamente extensa, típicamente permiten a múltiples usuarios
como oficinas de gobierno, universidades y otras instituciones conectarse en una
misma red. Las WAN tradicionales hacen estas conexiones generalmente por medio de
líneas telefónicas, ó líneas muertas, conectando diferentes localidades utilizando
conexiones satelitales, ó enlaces de microondas, los cuales interconectan una o más
estaciones bases, para la emisión y recepción, conocidas como estaciones terrestres.
Los satélites utilizan una banda de frecuencias para recibir la información, luego
amplifican y repiten la señal para enviarla en otra frecuencia. Para que la comunicación
satelital sea efectiva generalmente se necesita que los satélites permanezcan
estacionarios con respecto a su posición sobre la tierra, si no es así, las estaciones en
tierra los perderían de vista. Para mantenerse estacionario, el satélite debe tener un
período de rotación igual que el de la tierra, y esto sucede cuando el satélite se
encuentra a una altura de 35,784 Km.
7
Figura 1.1.3 Redes WWAN
Con la llegada de nuevas tecnologías celulares con GPRS (tecnología digital) como
2.5G y 3G. Las tecnologías actualmente empleadas para la transmisión de datos sobre
redes celulares, son las siguientes:
Figura 1.1.4 Ámbito de uso de los tipos de redes inalámbricas según coberturas.
8
De acuerdo a la clasificación de las redes inalámbricas por su alcance, la solución que se
dará será de tipo WLAN, empleando la tecnología WI-FI con infraestructura, puesto que la
implementación será en un ambiente corporativo, y se pretende tener tanto la
administración de dispositivos móviles como su seguridad, de modo que al no tener alguna
infraestructura, se puede incurrir en que no se mantenga un control y los nodos sean
desatendidos, además, sin tener alguna protección física contra manipulaciones provocando
que la red se encuentre en un ambiente susceptible de muchos peligros.
AP (Access Point / Punto de acceso): este dispositivo es como su nombre lo indica el nodo
de conexión, el punto de acceso inalámbrico a la red de PCs (LAN) cableada. Es decir, es la
interfaz necesaria entre una red cableada y una red inalámbrica, es el traductor entre las
comunicaciones de datos inalámbricas y las comunicaciones de datos cableadas. Hace las
veces del HUB tradicional o SWITCH.
En la actualidad, es normal que el mismo router incluya un punto de acceso WI-FI, que es
el que se encarga de enviar cada paquete de información directamente a los dispositivos
conectados con lo que mejora sustancialmente la velocidad y eficiencia de la red. Según su
velocidad se clasifican en función del protocolo inalámbrico utilizado:
Se debe tener en cuenta que estos valores de la velocidad son teóricos ya que influyen
factores como interferencias, distancias y ganancia de las antenas.
Antena: Se utilizan solamente para amplificar la señal, así que no siempre son necesarias.
Las antenas direccionales emiten en una sola dirección y es preciso orientarlas "a mano".
9
Router: La función del router es ejercer de intermediario entre dos redes diferentes como
una red local e Internet. Un router tiene como mínimo dos interfaces con direcciones IP
diferentes (IP local /IP Internet). Se encarga de escuchar las comunicaciones y tomar
decisiones sobre ambas.
El router ADSL se incorpora en un módem para poder transmitir datos a la red telefónica.
Los routers neutros o gateways (puertas de enlace) tienen una interface o entrada tipo
Ethernet para conectarse a la red local o Internet, por lo que pueden utilizarse junto con un
cable módem con una conexión de cable.
Swicht y hub: Son concentradores para conectar los distintos cables de una red. La
diferencia entre ellos lo marca el número de puertos y su velocidad (puede ser de 10, 100 o
1000Mbps).
Pigtail: es simplemente el cable que conecta la antena con la tarjeta de red. Es el único
cable necesario en una WLAN y con el que hay que vigilar posibles pérdidas de señal.
Adaptador Ethernet: Es la tarjeta con conexión RJ45, todos los ordenadores traen una en
la placa base. Se pueden instalar también en slots o en puertos USB. Se dividen según su
velocidad que puede ser de 10/100Mbps o 1Gbps.
Repetidores Wi-fi: Son puntos de acceso capaces de recibir la señal y reenviarla para
aumentar la distancia de la red inalámbrica. Se puede evitar su uso utilizando antenas de
gran ganancia.
Adaptadores bluetooth: Similar a una memoria flash en aspecto. Este tipo de conexión se
utiliza mucho en teléfonos móviles, algunas computadoras portátiles la llevan integrada, y
lo más común es recurrir a un adaptador tipo USB.
10
Típicamente un sistema 802.11 se compone de 1 Access Point y de tantos usuarios y
dispositivos inalámbricos como computadoras se desee conectar en forma inalámbrica.
En las aplicaciones en interiores puede suceder que, con el fin de incrementar el área de
servicio interno en un edificio, sea necesaria la instalación de más de un Access Point
(Punto de acceso).
Cada Access Point cubrirá un área de servicio determinada y las computadoras tomaran
servicio de LAN a través del Access Point (Punto de acceso) más cercano.
En las aplicaciones de Internet Inalámbrica para exteriores puede darse el caso que la
cantidad de usuarios y dispositivos inalámbricos sea elevado y debido al alto tráfico que
ellos generan se requiera instalar más de un AP (Access Point / Punto de acceso) con el fin
de poder brindar servicio de alta calidad.
En estas aplicaciones, con el fin de mejorar el área de cobertura, puede instalarse en el nodo
central un amplificador bidireccional a tope de torre.
11
Figura 1.2.3 Tarjeta de Red inalámbrica USB
12
DDoS, IPs disfrazadas. - Ataques de Man-in-the-
- Si el ruteador falla, se cae Middle: Rogue APs.
toda la red. - Vulnerabilidades en
- Las direcciones MAC e IP APs en modo "bridge":
del ruteador están expuestas. ARP Poisoning.
- Vulnerable a saturamiento. - Ataques de Denegación
- El Firewall No puede de Servicio.
distinguir “lo bueno de lo - Encontrar redes
malo”. wireless: Facilísimo y
- El antivirus detecta la no es ilegal.
amenaza ya que está en la
red.
- Sólo analiza una cantidad
limitada de tráfico.
- Genera demasiadas alarmas
falsas IDS.
1.- Asegurar el Punto de
Acceso:
- Cambia la contraseña por
defecto.
2.- Aumentar la seguridad de
los datos transmitidos:
- Usa encriptación WEP,
WPA y WPA2.
3.- Ocultar tu red WI-FI:
- Cambia el SSID por
En una red cableada tradicional, defecto.
el control del acceso es sencillo - Desactiva el broadcasting
Estrategias de
y controlable (aún cuando es SSID.
Seguridad
imposible confiar por completo 4.- Evitar que se conecten:
en todos los usuarios). - Activa el filtrado de
direcciones MAC.
- Establece el número
máximo de dispositivos que
pueden conectarse.
- Desactiva DHCP.
5.- Para los más cautelosos:
- Desconecta el AP cuando
no lo uses.
- Cambia las claves WEP
regularmente.
Las redes cableadas proporcionan a los usuarios una buena seguridad y la capacidad de
mover muchos datos de manera rápida y efectiva. Además son más rápidas que las redes
inalámbricas y son más económicas de implementar.
13
Sin embargo el costo de las redes cableadas puede crecer entre más computadoras sean y
mas retiradas se encuentren entre ellas.
14
del tiempo hay necesidades de construir uno nuevo y ya no tenemos espacio en los
switches instalados.
La mayor parte de las organizaciones que tienen desplegado un punto de acceso a redes
inalámbricas no cuenta con un nivel de seguridad adecuado.
Uniendo todas estas definiciones, podemos establecer que Seguridad en redes se entiende
como: “Mantener la provisión de información libre de riesgo, confiable y brindar servicios
de calidad para un determinado fin”
15
para la empresa y el hogar. Para indicar la compatibilidad entre dispositivos
inalámbricos, tarjetas de red o puntos de acceso de cualquier fabricante; se les incorpora el
logo "WI -FI" (estándar de Fidelidad Inalámbrica), y así los equipos con esta marca,
soportada por más de 150 empresas, se pueden incorporar en las redes sin ningún problema,
siendo incluso posible la incorporación de aparatos telefónicos WI-FI a estas redes para
establecer llamadas de voz.
El protocolo WEP no fue creado por expertos en seguridad o criptografía, así que pronto se
demostró que era vulnerable ante los problemas RC4 descritos por David Wagner. En 2001,
Scott Fluhrer, Itsik Mantin y Adi Shamir (FMS para abreviar) publicaron un artículo sobre
WEP, mostrando dos vulnerabilidades en el algoritmo de encriptación: debilidades de no-
variación y ataques IV conocidos. Ambos ataques se basan en el hecho de que para ciertos
valores de clave es posible que los bits en los bytes iniciales del flujo de clave dependan de
tan sólo unos pocos bits de la clave de encriptación (aunque normalmente cada bit de un
flujo de clave tiene una posibilidad del 50% de ser diferente del anterior). Como la clave de
encriptación está compuesta concatenando la clave secreta con el IV, ciertos valores de IV
muestran claves débiles. Estas vulnerabilidades fueron aprovechadas por herramientas de
seguridad como AirSnort, permitiendo que las claves WEP fueran descubiertas analizando
una cantidad de tráfico suficiente. Aunque este tipo de ataque podía ser desarrollado con
éxito en una red con mucho tráfico en un plazo de tiempo razonable, el tiempo requerido
para el procesamiento de los datos era bastante largo. David Hulton (h1kari) ideó un
método optimizado de este mismo ataque, tomando en consideración no sólo el primer byte
de la salida RC4 (como en el método FMS), sino también los siguientes. Esto resultó en
una ligera reducción de la cantidad de datos necesarios para el análisis.
16
Figura 1.3.2.1.2 Ataque para romper una clave WEP
17
WPA adopta la autentificación de usuarios mediante el uso de un servidor, donde se
almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de
tal servidor para el despliegue de redes, WPA permite la autentificación mediante clave
compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir
la misma clave en todos los equipos de la red.
Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave
Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinámicamente a
medida que el sistema es utilizado. Cuando esto se combina con un vector de inicialización
(IV) mucho más grande, evita los ataques de recuperación de clave (ataques estadísticos) a
los que es susceptible WEP.
WPA implementa un código de integridad del mensaje (MIC - Message Integrity Code),
también conocido como "Michael". Además, WPA incluye protección contra ataques de
"repetición" (replay attacks), ya que incluye un contador de tramas.
Características de WPA
Las principales características de WPA son la distribución dinámica de claves, utilización
más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas
de integridad y autentificación.
Debilidades WPA
Aunque se han descubierto pequeñas debilidades en WPA desde su lanzamiento,
ninguna es peligrosa si se siguen unas mínimas recomendaciones de seguridad. El
algoritmo Michael fue el más fuerte que los diseñadores de WPA pudieron crear,
bajo la premisa de que debía funcionar en las tarjetas de red inalámbricas más
viejas; sin embargo es susceptible a ataques. Para limitar este riesgo, las redes WPA
se desconectan durante 60 segundos al detectar dos intentos de ataque durante 1
minuto y algunos puntos de acceso requieren que los clientes se vuelvan a asociar
cada 30 segundos.
"WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público.
Los productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad que
la tecnología cumple con estándares de interoperatividad". 1
Debilidades WPA2
Una debilidad WPA2 es una posibilidad de Denegación del Servicio durante el 4-Way
Handshake, utilizado en el proceso de asociación entre dos estaciones Con los equipos
actuales, puede decirse que WPA2 ofrece un buen nivel de seguridad en comparación
con WEP.
1
Frank Hazily Managing Director de la Wi-Fi Alliance.
20
1.3.2.7. Closed Network Access Control / Control de Acceso de Red Cerrado
Sólo se permite el acceso a la red a aquellos que conozcan el nombre de la red, o SSID.
Éste nombre viene a actuar como contraseña.
1.3.2.9. Wardriving
Es el método más conocido para detectar las redes inalámbricas inseguras, identificando los
datos de los puntos de acceso (SSID, WEP, direcciones MAC, etc.).
Para realizar el Wardriving se necesitan realmente pocos recursos. Los más habituales son
un dispositivo portátil con una tarjeta inalámbrica, un dispositivo GPS para ubicar el PA en
un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o
NetStumbler para Windows).
1.3.2.10. WarChalking
Se trata de un lenguaje de símbolos utilizado para marcar sobre el terreno la existencia de
las redes inalámbricas, de forma que puedan ser utilizadas por aquellos que 'pasen por allí'.
Dos semicírculos opuestos significa que el área está cubierta por una red abierta que provee
acceso a Internet, un círculo indica la presencia de una red inalámbrica abierta sin acceso a
una red conectada y una W dentro de un círculo revela que es una red inalámbrica
adecuadamente segura.
21
1.3.2.11. Filtrado de direcciones MAC
Los puntos de acceso deben tener una relación de las direcciones MAC que pueden
conectarse. No es un método que ofrezca un alto grado de seguridad, pero es una medida
básica para evitar que el primero que pase por la calle pueda acceder a la red.
Existen muchos riesgos que surgen por no asegurar una red inalámbrica de manera
adecuada:
- La intercepción de datos es la práctica que consiste en escuchar las transmisiones
de varios usuarios de una red inalámbrica.
- El crackeo es un intento de acceder a la red local o a Internet.
- La interferencia de transmisión significa enviar señales radiales para interferir con
tráfico.
- Los ataques de denegación de servicio inutilizan la red al enviar solicitudes falsas.
Intercepción de datos
Una red inalámbrica es insegura de manera predeterminada. Esto significa que está abierta
a todos y cualquier persona dentro del área de cobertura del punto de acceso puede
potencialmente escuchar las comunicaciones que se envían en la red. En el caso de un
individuo, la amenaza no es grande ya que los datos raramente son confidenciales, a menos
que se trate de datos personales. Sin embargo, si se trata de una compañía, esto plantea un
problema serio.
Intrusión de red
La instalación de un punto de acceso en una red local permite que cualquier estación acceda
a la red conectada y también a Internet, si la red local está conectada a ella. Es por esto que
una red inalámbrica insegura les ofrece a los hackers la puerta de acceso perfecta a la red
interna de una compañía u organización.
Interferencia radial
Las ondas radiales son muy sensibles a la interferencia. Por ello una señal se puede
interferir fácilmente con una transmisión de radio que tenga una frecuencia cercana a la
utilizada por la red inalámbrica. Hasta un simple horno microondas puede hacer que una
22
red inalámbrica se vuelva completamente inoperable si se está usando dentro del rango del
punto de acceso.
Denegación de servicio
El método de acceso a la red del estándar 802.11 se basa en el protocolo CSMA/CA, que
consiste en esperar hasta que la red este libre antes de transmitir las tramas de datos. Una
vez que se establece la conexión, una estación se debe vincular a un punto de acceso para
poder enviarle paquetes. Debido a que los métodos para acceder a la red y asociarse a ella
son conocidos, un hacker puede fácilmente enviar paquetes a una estación solicitándole que
se desvincule de una red. El envío de información para afectar una red inalámbrica se
conoce como ataque de denegación de servicio.
El uso de políticas de seguridad de red tiene como objetivo proteger las redes, reducir
riesgos y pérdidas asociadas con recursos de red y seguridad.
23
1.3.4.1. Parámetros para establecer Políticas de Seguridad
Es importante que al momento de formular las políticas de seguridad de la red, se
consideren por lo menos los siguientes aspectos:
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
Identificar quién tiene la autoridad para tomar decisiones en cada departamento,
pues son ellos los interesados en salvaguardar los activos críticos su área.
Monitorear periódicamente los procedimientos y operaciones de la empresa, de
forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
Detallar explícita y concretamente el alcance de las políticas con el propósito de
evitar situaciones de tensión al momento de establecer los mecanismos de seguridad
que respondan a las políticas trazadas.
Cabe destacar que son propias y particulares de cada empresa, por lo que no todas tendrán
el mismo efecto de una empresa en otra,
24
menú o navegación basada en íconos por medio de una "rueda" o cursor, y que
ofrecen acceso a e-mails, lista de direcciones, SMS, y un navegador web básico. Un
típico ejemplo de este tipo de dispositivos son las BlackBerry y los Teléfonos
Inteligentes.
x Dispositivo Móvil de Datos Mejorados (Enhanced Data Mobile Device):
dispositivos que tienen pantallas de medianas a grandes (por encima de los 240 x
120 pixeles), navegación de tipo stylus, y que ofrecen las mismas características que
el "Dispositivo Móvil de Datos Básicos" (Basic Data Mobile Devices) más
aplicaciones nativas como aplicaciones de Microsoft Office Mobile (Word, Excel,
PowerPoint) y aplicaciones corporativas usuales, en versión móvil, como Sap,
portales intranet, etc. Este tipo de dispositivos incluyen los Sistemas Operativos
como Windows Mobile 2003 o versión 5, como en las Pocket PCs.
- Sistemas operativos
Los sistemas operativos más usados en los teléfonos inteligentes son:
x Symbian OS de Symbian Ltd. (65% del mercado)
25
x Windows Mobile from Microsoft (12% del mercado)
x RIM BlackBerry (11% del mercado)
x Linux operating system (7% del mercado)
x iPhone OS de Apple, Inc. (7% del mercado)
x Palm OS, desarrollado por PalmSource (1% del mercado)
Teléfono inalámbrico
Un teléfono inalámbrico es básicamente un aparato de radio que se conecta sin cables a
una base, que a su vez está conectada a la red telefónica local (fija). Generalmente tiene un
rango de 100 metros o menos de su estación base y funcionan en las frecuencias de 900
MHz en América Latina, en la frecuencia de los 2.4 GHz y en los últimos modelos, de 5.8
GHz Para comunicarse con la base utilizan DECT.
La base del teléfono necesita estar conectada tanto a una línea fija como a la electricidad; el
teléfono funciona por medio de baterías recargables las cuales normalmente se cargan al
dejarlo en su base cuando no se usa.
Actualmente todos los teléfonos vendidos en los Estados Unidos usan las bandas de 900
MHz, 2.4 GHz y 5.8 GHz. La recientemente asignada frecuencia de 1.9 GHz es usada por
el estándar DECT desarrollado en Europa.
PDA
PDA, del inglés Personal Digital Assistant (Asistente Digital Personal), es un computador
de mano originalmente diseñado como agenda electrónica (calendario, lista de contactos,
bloc de notas y recordatorios) con un sistema de reconocimiento de escritura. Hoy día se
puede usar como una computadora doméstica (ver películas, crear documentos, juegos,
correo electrónico, navegar por Internet, reproducir archivos de audio, etc.).
26
Smartphone con sus marcas propias (como Qtek) o fabricando para terceros y, sobre
todo, operadores de telefonía móvil;
x Research In Motion con sus Blackberry, más propiamente Smartphones que PDAs,
pero que han copado una parte importante del mercado corporativo a la vez que
incorporaban prestaciones de PDA.
x Dispositivos Symbian OS presente en las gamas altas de teléfonos móviles de
Nokia y Sony Ericsson;
x Dispositivos Linux liderado por las Sharp Zaurus.
x Y por último, multitud de PDAs de juguete, desde los verdaderos juguetes infantiles
como los de VTech (líder del boyante mercado del ordenador infantil) a los aparatos
baratos fabricados en China, pero que, aparte del reconocimiento de escritura,
incorporan todas las prestaciones básicas de las primeras PDAs (incluyendo
cámaras digitales básicas y comunicaciones con los PCs).
x Un tipo especial de PDA son las denominadas PDT (siglas en inglés de Portable
Data Terminal, Terminal de Datos Portátil): equipos dirigidos al uso industrial (por
ej., como lector móvil de código de barras, código de puntos o etiquetas de
radiofrecuencia), en la construcción y militar. Los principales fabricantes son:
o Symbol Technologies
o Intermec
o DAP Technologies
o Hand Held Products
Mensáfono
Un mensáfono (en inglés pager, también llamado dispositivo de radio búsqueda,
dispositivo de radio mensajería, buscapersonas, o familiarmente busca) es un dispositivo
electrónico usado para contactar personas a través de una red de telecomunicaciones. Los
mensáfonos preceden a la tecnología de telefonía móvil, siendo muy populares durante los
años 1980 y 1990. Por entonces se utilizaban señales radio para enlazar un centro de control
de llamadas y el destinatario. Gran parte de los pagers usan el Protocolo FLEX. El
protocolo POCSAG, más lento, es todavía usado en algunos sistemas de pager en los
Estados Unidos.
Computadora portátil
Un(a) computador(a) portátil (América) o un ordenador portátil (España), también
llamado en inglés laptop o notebook, es una pequeña computadora personal móvil, que pesa
normalmente entre 1 y 3 Kg. Las computadoras portátiles son capaces de realizar la mayor
parte de las tareas que realizan las computadoras de escritorio, con la ventaja de ser más
pequeños, livianos y de tener la capacidad de operar desconectados por un período
determinado.
PC Ultra Móvil
El Ultra Mobile PC (UMPC), o PC Ultra Móvil en español, previamente conocido por su
nombre código Project Origami (Proyecto Origami), es un Tablet PC de factor de forma
pequeño. Fue un ejercicio de desarrollo conjunto entre Microsoft, Intel, y Samsung, entre
27
otros. Ofrece el sistema operativo Windows XP Tablet PC Edition 2005 o Windows Vista
Home Premium Edition, o Linux y tiene un microprocesador Intel Pentium de voltaje ultra
bajo, corriendo en el rango de 1 GHz. La portabilidad de la PC Ultra Móvil puede ser
atractivo a los viajeros internacionales de negocios y a los "viajeros con mochila"
(backpackers) globales.
De modo que los colaboradores e invitados como consultores y vendedores serán más
productivos cuando la tecnología les proporcione soporte sin importar el lugar desde el que
trabajan en una empresa. Con un Wireless LAN Controller, se podrá liberar a los
colaboradores de una empresa para que mejoren la atención al cliente y sean más eficaces.
28
CAPÍTULO 2: SOLUCIONES ACTUALES PARA WLAN EN
UNA RED CORPORATIVA
Las principales tendencias que dominan los nuevos despliegues de redes inalámbricas Wi-
Fi en las empresas de Norteamérica es la adopción de tecnologías de inteligencia
centralizada, basadas en controladores WLAN (Wireless LAN), y el cambio a las
alternativas de mayor capacidad, basadas en el borrador del estándar IEEE 802.11n.
Algunos ven el 11n la única tecnología capaz de proporciona ancho de banda y calidad
suficiente para permitir que las WLAN desplacen finalmente las redes de cable Ethernet en
la conectividad de la mayoría de los clientes a las LAN corporativas, dadas las ventajas que
pueden proporcionar en términos de facilidad de despliegue, ahorro de cableado, movilidad,
entre otras ventajas.
Uno de los retos que deben enfrentar las WLAN empresariales es el cliente inalámbrico, su
administración y su seguridad; ya que algunos clientes, pueden no soportar una
determinada solicitud de autenticación basada en certificado de un punto de acceso 802.1x,
o quizá soportarla sólo de manera irregular. Es importante un buen plan de soporte técnico
al usuario, en el que tanto los técnicos como los usuarios reciban la formación necesaria
para garantizar un entorno de conectividad inalámbrica seguro y eficiente. Para la adopción
de infraestructuras WLAN dentro de las organizaciones son la dotación de conectividad
móvil a los usuarios, con el objetivo último de favorecer y mejorar la colaboración y la
productividad dentro de la compañía.
29
2.1. MODELO ACTUAL(TRADICIONAL)
Hoy día gran parte de las implementaciones tradicionales de WLAN consisten en puntos de
acceso que funcionan como nodos separados e independientes que se configuran de manera
autónoma. Estos puntos de acceso en la red, también llamados puntos de acceso “robustos”,
se gestionan, operan y configuran de manera independiente. Durante el período en el cual
las organizaciones crecen, contratan nuevos empleados o se mudan a diferentes edificios o
pisos, la capacidad de gestionar toda la infraestructura inalámbrica plantea nuevos
requerimientos y desafíos.
Tabla 2.1.1 Resalta los desafíos y la forma en la que se manejan hoy en día los puntos de
acceso (robustos) autónomos.
SOLUCIÓN
TRADICIONAL
REQUERIMIENTO DESCRIPCIÓN
(SOLUCIÓN PUNTO DE
ACCESO ROBUSTO)
Se implementan scripts o la
solución de Protocolo Simple
Gestionar, monitorear e de Administración de Red para
implementar la red configurar la gestión de
Gestión y Monitoreo
inalámbrica de manera WLAN y configurar
rentable. individualmente cada punto de
acceso, a través de la gestión
centralizada.
Tiempo para implementar Se despliega una estación de
puntos de acceso adicionales gestión de red centralizada o se
Costes de actualización e impulsar nuevas imágenes utilizan scripts. Dado que
a los puntos de acceso requiere un software externo
actuales. tiene un costo extra.
Se implementa una red de área
Capacidad de brindar a los local virtual (VLAN) especial
clientes, proveedores y en cada punto de acceso y se
Acceso a invitados
partners acceso controlado a conectan a través de toda la
la red manteniéndola segura. red. No es fácil de usar y su
gestión es incómoda.
Entender el proceso de
despliegue de una red
inalámbrica e incluir Se utiliza una herramienta de
Planificación de RF
herramientas que lo planificación externa que tiene
(Radio Frecuencia)
asesoren sobre cómo un coste extra.
implementarla en base a la
estructura del edificio.
Servicios de voz rentables, Se encuentra disponible la
Voz sobre WLAN en tiempo real que utilizan implementación parcial con
la infraestructura soporte limitado para roaming
30
inalámbrica actual. rápido y soporte de protocolo
de voz.
Los puntos de acceso
Equilibrio automático de la individuales reconocen la
Balanceo de carga carga de los clientes entre carga, pero ésta no se
puntos de acceso. distribuye automáticamente a
través de los puntos de acceso.
Roaming de cliente sin Agrega un punto de acceso que
Roaming rápido y seguro inconvenientes dentro de las soporta bridging y repeating
redes y las VLAN. para facilitar el roaming.
Adaptación dinámica e Generalmente no está
Cobertura Inalámbrica inmediata del medio disponible en puntos de acceso
inalámbrico. robustos.
Capacidad de detectar La detección de Rogue AP
puntos de acceso no puede utilizarse en el punto de
Detección de Rogue AP
autorizados y acceso no acceso, sin embargo, eso afecta
autorizado. su rendimiento general.
Cuando el tamaño de las PYMEs aumenta, se deben abordar tres temas fundamentales:
1. Reducción del coste de implantación
2. Facilidad de gestión
3. Seguridad
2.1.1 Proveedores
El Nortel WLAN Serie 2300 es una completa solución de 802,11 para las empresas que
deseen implementar cobertura inalámbrica, la telefonía IP y aplicaciones multimedia
convergentes. La solución combina las últimas normas de la industria con una arquitectura
centralizada y características avanzadas para crear un seguro, en función de los costos
eficaz y altamente escalable.
- Características y beneficios:
31
- Radio Frecuencia dinámica de gestión, garantiza el servicio mediante la
protección de la resistencia contra la interferencia inesperada.
- Lleno de redundancia n +1 de todos los componentes de la red de protección
contra la interrupción de un servicio.
32
5. Estándares abiertos: enfoque de cliente para el usuario y la compatibilidad de las
aplicaciones.
- Se adhiere a la última IEEE (Instituto de Ingenieros Eléctricos y Electrónicos)
para garantizar la seguridad y la calidad de servicio, manteniendo al mismo
tiempo la compatibilidad con los dispositivos de usuario.
- Apoya las normas de seguridad tales como WPA, WPA2, 802.11i/802.1x con
WEP, WEP dinámico, TKIP, CCMP, EAP-TLS, TTLS y PEAP, PEAP-TLS.
- Apoya las normas incluidas QoS 802.1p ,DiffServ y SVP.
- Características avanzadas tales como la dinámica de gestión de RF (radio
frecuencia), el roaming y la gestión de las políticas de usuario son compatibles
con todos los 802.11 clientes.
- Características:
33
redundancia n +1 de punto de acceso a la conectividad y elimina los puntos
únicos de falla.
- Enlace WAN descargar: para proteger contra el uso excesivo de ancho de banda
WAN limitado, el interruptor de Contabilidad de Autorización de Autenticación
802.1x/EAP, servidores de procesamiento y sólo el retorno de datos de tráfico
que se destina a otros sitios.
- WAN Falta de Protección de Enlace: en el caso de que un enlace WAN falle el
interruptor puede asumir los servicios de Contabilidad de Autorización de
Autenticación local para mantener el servicio WLAN vivo.
- VPN y firewall compatible: el interruptor WLAN proporciona control local de
los puntos de acceso y no requiere la reconfiguración de routers WAN,
gateways VPN o cortafuegos.
- Desventajas
Los factores que contribuyen a elevar significativamente los costes de implementación son
las inspecciones del sitio antes de la instalación, el tendido de cables nuevos, la
alimentación a los puntos de acceso y la reconfiguración de la infraestructura de la red
existente, incluyendo la configuración de puntos de acceso individuales.
Los controladores LAN inalámbricos eliminan las inspecciones de sitios, ya que incorporan
un software inteligente de planificación Radio Frecuencia.
Además, ofrecen Power over Ethernet basados en estándares (IEEE 802.3af), eliminando
así la necesidad de una línea de alimentación para cada punto de acceso. No es necesario
que los puntos de acceso estén directamente conectados al controlador inalámbrico. Los
puntos de acceso pueden instalarse en cualquier parte de la red y el controlador inalámbrico
los descubrirá y configurará, determinando el nivel de potencia, configuración de seguridad
y canales para optimizar el rendimiento y cobertura a lo largo del sistema.
34
2.2.1. Proveedores
Nombres como Cisco, 3Com entre otras, llevan ofreciendo WLAN desde hace más de 10
años, pero sus ofertas están basadas en el modelo del punto de acceso, que tiene su propia
dirección IP y es gestionado como un elemento de red independiente. Los puntos de acceso
son gestionados como radios de red integradas, ligadas a un controlador o switch WLAN
centralizado, que proporciona ajustes de acceso central, configuración y seguridad. Es
decir, que la WLAN opera como segunda red y reside en lo alto de la red LAN Ethernet. La
seguridad y el acceso a la capa física se gestionan como asuntos separados.
La mayoría de los fabricantes de switchs LAN con oferta WLAN venden esta tecnología
que han comprado o licenciado de empresas tipo start-up. Ofrecen LAN y WLAN
integradas junto a las políticas, herramientas de gestión de dispositivos y otros asuntos para
clientes conectados, incluso aunque estén conectados a través de dispositivos que no hayan
sido desarrollados por el mismo fabricante.
Cisco ha realizado importantes progresos en esta área, y probablemente líder en este punto,
en términos de ofrecer adaptadores unificados LAN/WLAN con una capa de gestión. En
este sentido, actualmente Cisco ofrece controladores WLAN que pueden ser integrados en
sus propios switches, como los Catalyst 6500. Además, también tiene controladores WLAN
que funcionan como dispositivos independientes.
Desde entonces, Cisco ha estado más centrado en las herramientas de gestión de red,
añadiéndoles control de seguridad y configuraciones para Ethernet y dispositivos basados
en 802.11, ya que, según su opinión, es lo que más reclaman los usuarios.
Sin embargo, la mayoría de las redes no son iguales, incluso en aquellas en las que sólo
exista un proveedor, dado que suelen convivir modelos antiguos y modernos de switches.
Al mismo tiempo, es lo que hace que muchas compañías sigan sin querer adoptar una
solución integrada.
Uno de los factores que podría facilitar la integración de la tecnología WLAN en los
switches en un futuro cercano es la culminación del estándar 802.11n, que incluye
velocidades de hasta 540 Mbps y opera en los canales de frecuencia tanto de 2.4 como de 5
GHz.
Se espera que cuando 802.11n sea realmente un estándar definitivo, muchas empresas vean
solucionados sus temores acerca de la integración de tecnologías inalámbricas en sus redes
Ethernet.
35
A continuación se describen algunos escenarios de implementación típicos:
36
o Soluciones para WLAN corporativas sin infraestructura de red
37
o Soluciones para WLAN corporativas con infraestructura de red
COMMANDCENTER
Nombre del WIRELESS LAN
WLC-4006 SECURE GATEWAY
modelo CONTROLLER 4404
V1 CLUSTER KIT
Factor de forma Externo Montable en bastidor Montable en bastidor
No de puertos - 4 -
Tecnología de
Cableado - Cableado
conectividad
Protocolo de
Ethernet, Fast
interconexión de Ethernet, Fast Gigabit Ethernet
Ethernet.
datos
Red / Protocolo TCP/IP, PPTP, TCP/IP, UDP/IP,
TCP/IP, UDP/IP
de transporte UDP/IP, NTP, IPSec, ICMP/IP, IPSec
SNMP 1, RMON,
Protocolo de SNMP 2, Telnet, Telnet, SNMP 3, SNMP, HTTP,
gestión remota HTTP, HTTPS SNMP 2c, HTTP, HTTPS
HTTPS
Puntos de acceso Puntos de acceso
Capacidad -
gestionables : 6 gestionables : 100
Criptografía 128 bits,
Protección firewall, Soporte de DHCP,
asistencia técnica
soporte de NAT, soporte BOOTP,
VPN, soporte LDAP,
soporte VLAN, soporte ARP, soporte
Características soporte para Syslog,
soporte para Syslog, VLAN, soporte para
activable, Alta
servidor DNS Syslog, Quality of
disponibilidad, soporte
dinámico. Service (QoS)
SNTP
Actividad de enlace,
Indicadores de alimentación, tinta
- -
estado OK, estado,
despertador
Triple DES,
RSA, RC4, MD5,
Blowfish, RSA,
AES, WEP de 128
MD5, CAST, AES,
Algoritmo de bits, SSL, TLS 1.0,
WEP de 128 bits, SSL
cifrado WEP de 104 bits,
encriptación de 64
TKIP, WPA, WPA2,
bits WEP, WEP de
PKI, AES-CCMP
152 bits.
38
RADIUS, PAP,
CHAP, certificados
Secure Shell (SSH),
Método de X.509, Identificación
- RADIUS, TACACS+,
autentificación de conjunto de
LDAP
servicios de radio
(SSID), MS-CHAP.
IEEE 802.1p, IEEE
IEEE 802.3, IEEE
Cumplimiento 802.1x, IEEE
802.3u, IEEE 802.1D, -
de normas 802.11i, IEEE
IEEE 802.1Q, X.509
802.11e
2 ( 2 ) x Ranura de
Total ranuras de
expansión
expansión - -
4 ( 4 ) x SFP (mini-
(libres)
GBIC)
1 x red - Ethernet 1 x gestión - consola - 1 x teclado - genérico
10Base-T/100Base- D-Sub de 9 espigas - mini-DIN de 6
TX - RJ-45 ( WAN ) (DB-9) espigas (estilo PS/2)
Interfaces
4 x red - Ethernet 1 x gestión - Ethernet 1 x ratón - genérico -
10Base-T/100Base- 10Base-T/100Base- mini-DIN de 6 espigas
TX - RJ-45 TX - RJ-45 (estilo PS/2)
Fuente de
alimentación -
Dispositivo de Adaptador de Fuente de
conectable en caliente
alimentación corriente – externa alimentación - interna
/ redundante - módulo
de inserción
Voltaje CA 230V - -
Cantidad
- 1 1
instalada
Potencia
- - 300 vatios
suministrada
Cantidad
máxima - 2 -
soportada
Temperatura
mínima de 5 °C 0 °C 10 °C
funcionamiento
Temperatura
máxima de 40 °C 40 °C 35 °C
funcionamiento
Ámbito de
humedad de 0 - 80% 10 - 95% -
funcionamiento
AIR-WLC4404-100-
MPN - CC-2XV1-256
K9
Tipo de Dispositivo de gestión Dispositivo de gestión
-
dispositivo de la red de la red
39
Altura - 1U 1U
Anchura - 44.3 cm 61.5 cm
Profundidad - 40 cm 48.5 cm
Altura - 4.5 cm 4.4 cm
Peso - - 10.8 kg
Tiempo medio
- - 36,354 hora(s)
entre errores
CE, VCCI, EN 60950,
Cumplimiento EN55022, ICES-003,
- -
de normas EN55024, UL 60950-
1
Procesadores 1 x AMD Opteron
- -
instalados serie 100
RAM instalada - - 2 GB
80 GB x 2 - Serial
Disco duro - -
ATA-150
Nivel RAID - - RAID 1
Almacenamiento
- - DVD-ROM
óptico
Servicio y
- - 2 años de garantía
mantenimiento
Detalles de
Garantía limitada -
Servicio y - -
repuesto - 2 años
Mantenimiento
40
Distinguiendo los beneficios ofrecidos por el modelo basado en WLAN Controller, se
dispuso a comparar los dispositivos que se ofrecen actualmente en el mercado, para evaluar
la mejor opción de costo-beneficio.
Las necesidades de la empresa para satisfacer el mercado, es decir para cubrir las
necesidades y/o expectativas de los consumidores son las que dan la pauta para poder
definir las acciones o actividades a realizar para cubrir dichas necesidades.
Con el estudio de los diferentes productos que se encuentran en el mercado pueden
cumplirse los objetivos dentro del ambiente corporativo. Iniciando así la búsqueda de
nuevas oportunidades que sean reconocidas por los clientes y les dé un valor agregado para
los mismos, con respecto al punto de vista de la empresa, la oportunidad a buscar debe
integrarse con la visión, los objetivos y planes de la empresa.
Existe un aspecto esencial cuando se tiene que seleccionar la oportunidad de mejora y es la
realización de un benchmark que integre el planeamiento de la empresa y con él, las
distintas unidades de negocio, en donde se deberá analizar el grado de eficiencia de los
productos. Este estará dado por el impacto, en términos de valor y satisfacción, sobre el
cliente externo, los clientes internos, los resultados de la empresa; en todos los casos, se
debe reconocer la importancia de los distintos actores que recibirán beneficios de ese
benchmarking.
Para poder cumplir con los objetivos y/o expectativas de la empresa se realizo la
comparación con y sin una infraestructura de red. Ya que estos productos pueden
implementarse desde el inicio, o sea cuando aun no se tiene ninguna infraestructura de red,
cuando se realiza la modificación total de los dispositivos con los que se cuenta en ese
momento, pero también se pueden implementar cuando ya se tienen una infraestructura de
red donde se requiere un punto de acceso independientemente si esta o no conectado a
Internet. Dentro de la tabla comparativa en donde no existe una infraestructura de red se
analizo los siguientes productos: CATALYST 3750G INTEGRATED WIRELESS LAN
CONTROLLER de CISCO, PROCURVE WIRELESS EDGE SERVICES XL MODULE
de HP y WIRELESS LAN CONTROLLER WX2200 de 3COM, aquí se tomaron en cuenta
elementos importantes como Cantidad de licencias, Dimensiones (Ancho x Profundidad x
Altura), Peso, Protocolo de interconexión de datos, Garantía del fabricante, precio, entre
otros aspectos.
En la tabla comparativa Tabla 2.2.1.2 que es a la que nos enfocaremos en donde ya que
existe una infraestructura de red se analizaron los siguientes productos: WLC-4006 de
LANCOM, WIRELESS LAN CONTROLLER 4404 de CISCO y COMMANDCENTER
SECURE GATEWAY V1 CLUSTER KIT de RARITAN en donde también se tomaron en
cuenta aspectos muy importantes para la aceptación de alguno de los productos.
Algunos de esos aspectos importantes son:
- Tecnología de conectividad
- Protocolo de interconexión de datos
- Red / Protocolo de transporte
- Cumplimiento de normas
41
- Dispositivo de alimentación
- Peso
- Garantía y precio.
Dentro de esta tabla se analizo toda la información proporcionada por el proveedor, como
resultado de este análisis se tomo la decisión de obtener el producto WIRELESS LAN
CONTROLLER 4404 de CISCO ya que este cumple con los de objetivos y metas, los
progresos y resultados competitivos que se obtendrán, tiempos para su logro, Inversión,
Resultados económicos y financieros, Retorno de la inversión.
Además se optó en específico por la marca de Cisco porque, ningún fabricante ofrece
soluciones de controlador de acceso de terceros puntos. La razón de esto es que la
interacción de punto de acceso y el controlador debe ser extremadamente precisa de todos
los aspectos de la configuración y la seguridad que deberá comunicarse de manera eficaz.
Por esta razón, los fabricantes optimizan sus soluciones con el controlador de sus propios
puntos de acceso.
Actualmente cisco tiene aproximadamente 65% del mercado de redes corporativas por lo
que es más probable encontrar una red LAN de una empresa usando equipo CISCO.
Adicionalmente Cisco maneja una plataforma denominada Red inalámbrica unificada Cisco
(CUWN) por sus siglas en ingles, lo que hace que WLAN sea más una plataforma que tan
solo un dispositivo.
42
CAPÍTULO 3: IMPLEMENTACIÓN DE WLAN
CONTROLLER SERIE 4400
Cisco Wireless LAN Controller permite tener en un sistema inalámbrico LAN funciones,
tales como las políticas de seguridad, prevención de intrusiones, gestión de Radio
Frecuencias, la calidad de servicio (QoS), y la movilidad. Los dispositivos de Cisco
trabajan en conjunción con los puntos de acceso Cisco y Cisco Wireless Control del
Sistema (WCS) para apoyar a las empresas con aplicaciones inalámbricas críticas. Desde
servicios de voz y datos para el seguimiento de la ubicación, Cisco Wireless LAN
Controller proporciona el control, escalabilidad, seguridad y confiabilidad de red que
necesitan los directores para construir la seguridad de redes inalámbricas, desde sucursales
hasta los principales campus.
Cisco Wireless LAN Controller sin integrarse en las redes de las empresas se comunican
con el controlador de acceso basado en puntos a lo largo de toda la capa 2 (Ethernet) o la
capa 3 (IP) utilizando la infraestructura de acceso ligero Point Protocol (LWAPP). Estos
dispositivos ofrecen apoyo a la automatización de numerosas configuraciones de redes
inalámbricas y a las funciones de gestión de la empresa en todos los lugares.
Debido a que el controlador de Cisco Wireless LAN 802.11a/b/g brinda apoyo al protocolo
IEEE 802.11n 2.0 Standard, las organizaciones pueden implementar la solución que mejor
satisfaga sus necesidades individuales. Las organizaciones pueden ofrecer una cobertura
sólida con 802.11 a / b / g o entregar mayor rendimiento y gran fiabilidad utilizando
802.11n de Cisco de próxima generación de Soluciones Inalámbricas.
La Serie 4400 de Cisco Wireless LAN Controller está diseñada para medianas y grandes
instalaciones de empresas. La Serie 4400 está disponible en dos modelos: 4402 con dos
puertos Gigabit Ethernet y viene en configuraciones que admiten 12,25 y 50 puntos de
acceso y el 4404 con cuatro puertos Gigabit Ethernet que soporta 100 puntos de acceso y
proporciona dos ranuras de expansión que se puede utilizar para agregar una funcionalidad
mejorada, tales como la terminación de VPN y otras capacidades, en el futuro.
43
- Dividir a los usuarios en segmentos autorizados y bloquear a los usuarios
desautorizados.
- Proporcionar el acceso de red fácil y seguro a los empleados que visitan otros sitios.
- Fácil administración central o remota de los puntos de acceso.
CARACTERÍSTICAS ESPECIFICACIÓN
IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h,
Wireless
802.11n
IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX
Conmutación /
especificación, IEEE 802.1Q VLAN etiquetado, y que
enrutamiento
abarca IEEE 802.1D Protocolo de Árbol
• RFC 768 UDP
• RFC 791 IP
• RFC 792 ICMP
• RFC 793 TCP
RFC (Request For
• RFC 826 ARP
Comments)
• RFC 1122 Requisitos de los anfitriones de la Internet
• RFC 1519 CIDR
• RFC 1542 BOOTP
• RFC 2131 DHCP
• WPA
• IEEE 802.11i (WPA2, RSN)
• RFC 1321 MD5 Message-Digest Algorithm
• El RFC 1851 ESP Triple DES transformar
• RFC 2104 HMAC: Hashing en función de autenticación
de mensajes
• RFC 2246 protocolo TLS versión 1.0
• RFC 2401 Arquitectura de Seguridad para el Protocolo
de Internet
• RFC 2403 HMAC-MD5-96 en ESP y AH
• RFC 2404 HMAC-SHA-1-96 en ESP y AH
Normas de Seguridad
• RFC 2405 ESP DES-CBC Algoritmo de cifrado con
explícitas IV
• IPSec RFC 2406
• RFC 2407 Interpretación de ISAKMP
• RFC 2408 ISAKMP
• RFC 2409 IKE
• RFC 2451 ESP-CBC-Mode Cipher Algoritmos
• Internet RFC 3280 PKI X.509 certificado y CRL perfil
• El RFC 3602 AES-CBC Algoritmo de cifrado y su uso
con IPSec
• RFC 3686 usando AES contra el modo con IPSec ESP
44
• WEP y TKIP-MIC: RC4 40, 104 y 128 bits (tanto
estática como llaves compartidas )
Cifrado • SSL y TLS: RC4 128-bit y RSA 1024 - y 2048-poco
• AES: CCM, CCMP
• IPSec: DES-CBC, 3DES, AES-CBC
• IEEE 802.1X
• RFC 2548 Microsoft específicas de su proveedor
atributos RADIUS
• RFC 2716 PPP EAP-TLS
• RFC 2865 autenticación RADIUS
Autenticación, • RFC 2866 RADIUS Contabilidad
autorización y • RFC 2867 RADIUS túnel de Contabilidad
contabilidad (AAA) • RFC 2869 Extensiones RADIUS
• RFC 3576 Extensiones de autorización dinámica para
RADIUS
• RFC 3579 RADIUS Apoyo a la EAP
• RFC 3580 IEEE 802.1X RADIUS Directrices
• RFC 3748 Protocolo de autenticación extensible
• SNMP v1, v2c, v3
• RFC 854 Telnet
• RFC 1155 de Información de Gestión para TCP / IP
basado en Internets
• RFC 1156 MIB
• RFC 1157 SNMP
• RFC 1213 SNMP MIB II
• RFC 1350 TFTP
• RFC 1643 Ethernet MIB
• RFC 2030 SNTP
• RFC 2616 HTTP
• RFC 2665 Ethernet-como el interfaz MIB tipos
Gestión
• RFC 2674 definiciones de objetos administrados para
puentes con las clases de tráfico, filtrado de multidifusión,
y las extensiones de LAN virtual
• RFC 2819 MIB RMON
• RFC 2863 MIB Grupo de Interfaces
• RFC 3164 syslog
• RFC 3414 Basado en el usuario modelo de seguridad
(USM) para SNMPv3
• RFC 3418 SNMP MIB para
• RFC 3636 definiciones de objetos administrados para
IEEE 802.3 Maus
• Cisco privado MIBs
• Basado en la Web: HTTP / HTTPS
Gestión de Interfaces
• Interfaz de línea de comandos: Telnet, SSH, puerto serie
• Enlace ascendente: 2 (4402) o 4 (4404) 1000Base-X
Interfaces e indicadores
ranuras de transceptor
45
• Indicadores LED: Indican alguna actividad
• Puerto de servicio: 10/100 Mbps Ethernet (RJ45)
• Utilidad de Puerto: 10/100/1000 Mbps Ethernet (RJ45)
• Slots de Expansión: 1 (4402) o 2 (4404)
• Puerto de la consola: RS232 (DB-9 macho, interfaz
DTE)
• Otros Indicadores: Situación, Alarma, el suministro de
energía 1, Alimentación 2
• Dimensiones (LxFxA): 17,45 x 15,75 x 1,75 pulgadas
(443 x 400 x 44,5 mm)
• Peso: 15,3 libras (6,95 kg) con 2 fuentes de alimentación
• Temperatura:
• En funcionamiento: 32 a 104 ° F (0 a 40 ° C)
• Almacenamiento: -13 a 158 ° F (-25 a 70 ° C)
Física y Medio Ambiente • Humedad:
• Humedad de funcionamiento: 10 95%, sin condensación
• Humedad de almacenamiento: hasta 95%
• Entrada de potencia: 100 240 VAC, 50/60 Hz, 0,43 A a
110 VAC, 0,23 A a 220 VAC, 50W. Poder redundante
opción disponible.
• disipación de calor: 171 BTU / hora
• Marca CE
• Seguridad:
• UL 60950-1:2003
• EN 60950:2000
Cumplimiento de Normas • EMI y susceptibilidad (Clase A):
• EE.UU.: FCC Parte 15.107 y 15.109
• Canadá: ICES-003
• Japón: VCCI
• Europe: EN 55022, EN
46
puntos de acceso son de cero configuraciones por lo que solo se conectan y están listos para
operar con el WLAN Controller.
Para poder llevar a cabo esta comunicación entre punto de acceso y controlador se utiliza el
Protocolo de punto de acceso ligero LWAPP el cual tiene como funciones principales:
- Mantener el control del protocolo y el formato de la información.
- Encapsulación de datos entre el punto de acceso y el WLAN Controller.
47
3.1.1 Protocolo LWAPP
El encabezado del protocolo LWAPP contiene un BIT de control (C-BIT), que identifica
los datos y los paquetes de control. Cuando es usada la capa 3 del LWAPP los datos y
paquetes de control se envían a los puertos UDP por separado.
48
se utilizara para garantizar el correcto funcionamiento en procesos futuros y para los
paquetes de control.
6. Después de que el punto de acceso se ha integrado a la red a través del WLAN
Controller se intercambian mensajes y el punto de acceso inicia una descarga de
firmware desde el WLAN Controller (si hay una versión nueva para el punto de
acceso). Si el firmware no es el mismo que el registrado por el WLAN Controller
este descargara la versión de firmware registrada al punto de acceso para
permanecer en sincronizado con las versiones.
7. Después de validar que el WLAN Controller y el punto de acceso coinciden en
versiones de firmware, el controlador realizara en el punto de acceso las
configuraciones apropiadas. Estas configuraciones pueden incluir SSID (nombre
público de la red), los parámetros de seguridad, parámetros como velocidades de
transmisión de datos, los canales de radiofrecuencia a usar y los niveles de potencia,
etc.
8. Después de que las fases de asociación y configuración se han completado, el punto
de acceso y el WLAN Controller entran en el estado de ejecución y estará listo para
funcionar recibiendo trafico de red.
9. Durante el tiempo de operación, el controlador puede enviar varios comandos al
punto de acceso a través de mensajes de control. Estos comandos pueden ser de
reconfiguración o solicitudes de información estadística recogida y mantenida por el
punto de acceso.
10. Durante el tiempo de operación existen mensajes de “KEEP - ALIVE” que no son
más que mensajes para indicar que el punto de acceso sigue “SIGO VIVO” o
trabajando, estos mensajes son intercambiados entre el controlador y el punto de
acceso para mantener el canal de comunicación, cuando un número suficiente de
mensajes “KEEP - ALIVE” intercambiados se han perdido por un punto de acceso,
el punto de acceso intenta buscar un nuevo controlador de LAN inalámbrica al cual
asociarse.
49
3.2 INSTALACIÓN Y CONFIGURACIÓN DE UN WLAN
CONTROLLER
A pesar de que cada instalación y configuración de el WLAN Controller será diferente de
acuerdo a las características de cada ambiente corporativo existen una serie de pasos a
seguir y aspectos básicos de configuración que se deben de hacer para un correcto
funcionamiento y para explotar todas y cada una de las posibilidades que el WLAN
Controller ofrece.
3.2.1 Requerimientos
Para poder realizar la implementación usando el WLAN Controller se debe de contar con lo
siguiente:
- Un equipo Cisco de la serie 2000 y que cuente por lo menos con la versión 4.2 (o un
equipo que ofrezca características similares de cualquier otra marca).
- El WLAN Controller (en nuestro caso será el 4400).
- Puntos de accesos configurados en modo ligero (LWAPP)
Algunos puntos de acceso pueden estar en modo autónomo y a través de una herramienta
de actualización de firmware se pueden pasar a modo ligero o se pueden adquirir de fábrica
para que estén en modo ligero.
50
3.2.2 Identificar el tipo de ambiente
Como primer paso para implementar de manera correcta la red inalámbrica se tiene que
seleccionar el Punto de acceso adecuado para el lugar donde se piensa implementar
tomando en cuenta aspectos como:
- El tipo de entorno físico donde estará el AP (interior y exterior).
- Tipo de medio ambiente al que estará expuesto (seco, húmedo, al intemperie, etc.).
- Radio de cobertura (si tendrá radio de cobertura y que obstáculos puede haber).
- Número aproximado de usuarios (la carga máxima promedio).
Una ventaja que se tiene con Cisco es que cuenta un una amplia variedad de puntos de
acceso diseñado para cumplir con las necesidades especificas de cada empresa.
Debido a que la plataforma del WLAN Controller está pensada para que se agregue de
manera transparente y sea parte integral de una red ya establecida o se construya desde
cero, la instalación no es muy compleja, exigiendo asistentes de configuración que manejan
modos predeterminados para ciertos esquemas, topologías y aplicaciones.
Figura 3.2.2.1 Puntos de acceso para interiores y exteriores normales y de uso rudo.
Dentro de las opciones que se tienen con el WLAN Controller se pueden usar dos o más de
ellos en una red axial como dispositivos como el Wireless Control System que no es más
que una aplicación de software instalado en un equipo que nos permite administrar y
controlar varios WLAN Controller para simplificar la administración y control sobre una
red.
51
Figura3.2.3.1 arquitectura Con WCS
Nos enfocaremos a la interface grafica por ser la más sencilla para el monitoreo,
administración y mantenimiento de la red.
Para poder acceder al WLAN Controller es necesario conocer la IP que tendrá nuestra red.
Abrimos nuestro navegador (Internet Explorer 6 o superior o Firefox 2 o superior) y
acceder mediante http://(direcion IP) o si se requiere una conexión más segura https://(
dirección IP).
Una vez que hayamos accedido de manera correcta nos mandara una pantalla como la de la
figura 3.3.1.
52
Figura 3.3.1 Pantalla principal del WLAN Controller
Dentro de esta interface de del WLAN Controller tendremos 8 diferentes menús donde se
configuran y visualizan diferentes opciones. Estos menús son:
- Monitor
- WLAN´s
- Controller
- Wireless
- Security
- Management
- Commands
- Help
Este menú nos mostrara un resumen de las configuraciones del WLAN Controller como
son el estado de los puertos del equipo, configuración del Controller, el estado y actividad
de los puntos de acceso, así como de clientes conectados y las redes configuradas, además
de una bitácora de sucesos en la red y el controlador como se muestra en la figura 3.3.1.1.
53
Figura 3.3.1.1 Menú Monitor
54
La función principal de esta pantalla es monitorear y administrar la actividad de la red
inalámbrica dentro de esta opción nos permite:
Tener un resumen en general del equipo AP clientes y trafico,
Generar reportes y estadísticas de actividad de la red, servicios, puertos,
acciones del controlador, clientes conectados, grupos de trabajo usuarios y
VLAN´s,
Monitorear y administrar AP, Clientes, grupos de trabajo, usuarios, VLAN´s
y servicios dentro de la red,
Monitorear y administrar la señal de WIFI frecuencia, potencia, etc.,
Monitorear y administrar el servidor RADIUS,
Detectar posibles dispositivos intrusos en la red y actuar en el momento.
55
Figura 3.3.2.1 Menú WLAN’s
56
3.3.3 Menú Controller
La función principal de este menú es dar todas las opciones de administración para la red
inalámbrica así como de los dispositivos conectados dando al administrador opciones de
configuración y administración pensadas para tener un control total de la red, señal
entregada, dispositivos, usuarios, servicios y tráfico de la WLAN.
Este menú es el que nos permite tener la interacción de la red inalámbrica y administración
de los diferentes dispositivos de la red inalámbrica.
57
Figura 3.3.3.1 Menú Controller
58
3.3.4 Menú Wireless
59
Figura 3.3.4.1 Menú Wireless
60
3.3.5 Menú Security
61
Figura 3.3.5.1 Menú Security
62
3.3.6 Menú Management
Este menú nos permitirá tener el control de quienes son los que entran al controlador así
como que privilegios usan y porque medios pueden ingresar.
63
Figura 3.3.6.1 Menú Management
64
3.3.7 Menú Commands
3.3.8 Help
Este menú únicamente sirve para dar guías sobre dudas que se pueden tener con el
controlador.
65
Figura 3.3.7.1 Menú Commands
66
3.4 SEGURIDAD SOPORTADA POR EL WLAN CONTROLLER
Uno de los aspectos más importantes en esta solución es el de la seguridad por lo cual se
mencionaran las diferentes opciones de seguridad así como una breve descripción de las
mismas que soporta el WLAN Controller, las cuales pueden usarse por separado o en
conjunto siempre y cuando sean compatibles entre ellas por lo que no se podrá configurar
una autentificación WEP con una WPA o WPA o EAP al mismo tiempo para un usuario o
una autentificación local y externa a través de un servidor RADIUS simultáneamente.
Las ACL son como su nombre lo indica, listas que permiten un control del tráfico de red, a
nivel de los routers. Una ACL es una lista de una o más instrucciones, donde primero se
deben de definir las excepciones y por último la o las reglas a nivel general. Se asigna una
lista a una o más interfaces, cada instrucción permite o rechaza tráfico, usando uno o más
de los siguientes criterios: el origen del tráfico, el destino del tráfico y el protocolo usado.
Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen. Las ACL
extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen, la
dirección de destino y el protocolo utilizado.
También podemos usar ACL nombradas en vez de usar un rango de números. El darles un
nombre facilita entender la configuración (y por lo tanto, también facilita hacer
correcciones).
Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una
ACL para tráfico entrante, y una ACL para tráfico saliente.
67
3.4.3 Autentificación Local
El WLAN Controller puede ser configurado para poder soportar diferentes mecanismos de
seguridad internamente como restringir el acceso a dispositivos en función del número de
intentos consecutivos fallidos al tratar de conectarse o como uso de:
Clave WEP estática o dinámica, WPA y WPA2 con EAP, LEAP,PEAP
TKIP y variantes de cada uno como TLS, MD5, TTLS, PKS, etc.
802.1x
CKIP
Autentificación vía WEB
Manejo de VPN
Un certificado es un archivo electrónico que se usa con el fin de identificar un servidor, una
empresa, o alguna otra entidad y de asociar esa identidad con una clave pública. El
certificado se obtiene de manera personal por cada usuario el cual identifica al equipo y al
usuario que se conecta y se puede usar en combinación con otros métodos de
autentificación como WPA, WEP TKIP, EAP LEAP, etc., por lo que si un dispositivo o
usuario no cuenta con este archivo en su equipo aunque tenga la clave de acceso no podrá
acceder a la red.
Una alternativa más que permite el WLAN Controller es dar un acceso a la red a través de
un cliente VPN por lo que aunque se tenga la clave de encriptación de la red WIFI para
acceder a recursos de la red hay que ingresar a través de un cliente de VPN en la red
inalámbrica.
El WLAN Controller ofrece también tecnologías propias de Cisco como la ACS que es un
protocolo optimizado para equipos Cisco el cual usa el protocolo EAP en conjunto con el
Active directory para administrar los acceso a los usuarios de manera individual.
68
3.4.8 Filtrado de MAC
Uno de los sistemas más básicos para poder limitar el acceso a una red y muy efectivo es el
filtrado de MAC en el cual se usa una lista y todo dispositivo que no esté en esta lista no
será admitido aunque la clave de autentificación sea la correcta.
Una opción que se puede montar dentro del WLAN Controller es la de tener varios SSID o
nombres para la misma red y dependiendo cual tenga el usuario configurada en el
dispositivo lo direccionara a una red o a otra esto mediante un servidor RADIUS o
ACTIVE DIRECTORY.
69
CAPÍTULO 4: APLICACIONES Y BENEFICIOS DE WLC
La centralización de las redes LAN inalámbricas (WLAN) ofrece avanzadas características
y beneficios que son fáciles de desplegar, escalar, y de gestionar. Estos beneficios incluyen
la facilidad de despliegue, facilidad de actualizaciones, la fiabilidad de las conexiones a
través de dinámicas de gestión de RF, establecimiento de redes usuario simplificado,
Sistema de detección de intrusiones (IDS) inalámbrico, servicios de localización, voz sobre
IP, reducción del coste total de propiedad (TCO), y unificación con cable e inalámbrica.
Tradicionalmente, las redes LAN inalámbricas han tenido una falta de perspectiva porque
cada punto de acceso funciona como un nodo independiente, autónomo configurado con los
ajustes del canal y de energía de un plan estático RF (generalmente una predicción del RF).
Si bien estos puntos de acceso autónomo al tener señales de acceso operando en el mismo
canal con otros puntos de acceso el punto de acceso autónomo no tiene ninguna manera de
determinar si el punto de acceso adyacente es parte de la misma red o de una red vecina.
70
b) Centralización WLAN
Cisco Systems inicio la centralización WLAN, y entrego a la industria la primera
plataforma unificada para los servicios avanzados de LAN inalámbrica. La arquitectura
unificada de Cisco, es la entrega de datos de un punto de acceso ligero, a través de la red a
un dispositivo Wireless LAN Controller. Después de considerar otros protocolos, Cisco
decidió desarrollar un nuevo protocolo. El protocolo de Punto de Acceso Ligero (LWAPP)
que soporta el paquete de información de seguridad de despliegue y Control de Tiempo real
del Punto de Acceso.
LWAPP divide el MAC entre el Wireless LAN Controller y el punto de acceso ligero.
Algunas funciones críticas de dicho protocolo son la gestión de la movilidad, la
autenticación, la gestión de RF, IDS inalámbricas, y el reenvío de paquetes es gestionado
en el Wireless LAN Controller.
71
Funciones MAC Controller
802.11 Administración MAC: petición
de asociación y acción de marcos.
802.11 Datos: encapsulación y envió a
Puntos de Acceso.
x Políticas de Seguridad 802.11e Reserva de Recursos: Protocolo
x Políticas de QoS de Control llevado a Puntos de Acceso
x Administración de RF en 802.11, administración de marcos –
x Administración de señalización hecha en el Controlador
Movilidad
Hay una ligera relación entre los puntos de acceso y Wireless LAN Controller, un único
Wireless LAN Controller puede administrar y operar un gran número de puntos de acceso
ligeros. Además, el Wireless LAN Controller puede coordinar y recopilar información a
través de una gran red inalámbrica e incluso a través de una WAN. El controlador tiene una
visión de toda la red de la misma manera que un satélite tiene una visión completa de un
área geografía amplia.
a) Fácil de instalar.
Cuando la centralización utiliza puntos de acceso ligeros y un Wireless LAN Controller se
introduce en una red, el enlace de VLAN en la capa de acceso no es necesario. En lugar de
ello, las VLAN son enlazadas dentro de un Wireless LAN Controller centralizado y, el
controlador divide a usuarios y WLANs dentro de VLANs. Esto simplifica el despliegue
WLAN y la gestión.
Después de que el punto de acceso ligero se pone en contacto con el Wireless LAN
Controller, el controlador programa todas las políticas de RF y de LAN inalámbrica sobre
72
el punto de acceso ligero. Dado que todos los paquetes de los puntos de acceso se colocan
en un túnel LWAPP y posteriormente son enviados al Wireless LAN Controller esto sin
necesidad de ampliar las VLAN a individuales puntos de acceso.
b) Facilidad de Actualizaciones.
Un bajo coste de la operación hace que el capital de la organización sea más eficiente. Con
el Unificado de Cisco de red inalámbrica, todas las imágenes de puntos de acceso ligeros
son insertadas en el controlador de imagen. Cuando un controlador de imagen se actualiza,
se actualizan todos los puntos de acceso que están asociadas con ella. No hay necesidad de
desplegar una secuencia de comandos especializados, o crear un trabajo especial en una
estación de administración centralizada.
Otro beneficio del Unificado de Cisco de red inalámbrica de bajo costo y de actualizaciones
de imágenes de puntos de acceso es que la interoperabilidad entre los puntos de acceso
ligeros y los controladores ha sido completamente probada y certificada por el equipo de
aseguramiento de la calidad de Cisco.
Cuando hay un grupo Wireless LAN Controller (es decir, muchos controladores
desplegados en una red única) en la red por defecto se elije un controlador, y todos los
demás controladores por defecto alimentan la información del controlador para sus puntos
de acceso ligeros. El valor por defecto del controlador correlaciona la información para
todos los puntos de acceso en la red y, después, empuja el canal óptimo y la potencia para
cada punto de acceso en la red.
El controlador entonces elige el punto de acceso que responda a la sonda del cliente,
teniendo en cuenta la fuerza de la señal del cliente. Por ejemplo, un punto de acceso
adyacente puede proporcionar un servicio equivalente pero con una menor fuerza de señal.
El controlador decide el punto de acceso que debe responder al cliente de la sonda sobre la
base de su fuerza de la señal (RSSI).
Figura 4.2.1 Wireless LAN Controller decide el punto de acceso que debe responder a un
cliente de la sonda.
f) IDS Inalámbrico
La seguridad es una preocupación para los administradores de red y la seguridad
inalámbrica es una preocupación de los profesionales de la seguridad. La introducción de
un sistema IDS inalámbrico en la red proporciona un añadido de la capa de protección y
seguridad en la red. Una LAN inalámbrica IDS reduce la amenaza de los hackers o usuarios
maliciosos para acceder a recursos de red críticos.
Los puntos de acceso ligero y los dispositivos Wireless LAN Controller actúan como
servicio de datos de dispositivos y sensores IDS. Esto es posible a través del protocolo
74
LWAPP, en donde algunas capacidades están en el punto de acceso, otras se encuentran en
el controlador. El LWAPP MAC permite dividir los puntos de acceso ligeros para escanear
los canales sin interrupción de los servicios de datos. Los Puntos de acceso y los
controladores tienen una sólida biblioteca de firmas de ataque que se utilizan para detectar
las amenazas inalámbricas, que podrían ser puntos de acceso eliminados, redes ad-hoc, o
personas maliciosas que tratan de encontrar una debilidad en la red inalámbrica. Los puntos
de acceso ligeros pueden detectar ataques en el mismo canal que operan.
Además, debido a que el Unificado de Cisco de red inalámbrica, los puntos de acceso
ligeros y los Wireless LAN Controller cuentan con certificados X.509, que pueden detectar
un punto de acceso no autorizado o la suplantación de identidad (como si fuera un señuelo)
en la red.
g) Servicios de Localización.
Servicios de localización son un requisito absoluto para la próxima generación de redes
inalámbricas. Estos servicios se utilizan para aplicaciones críticas de alto valor, como el
seguimiento de activos, la administración de TI, la seguridad y la aplicación de la política
empresarial.
De la misma manera que los Wireless LAN Controller tienen una comprensión de la
pérdida de la trayectoria y la fuerza de la señal entre los puntos de acceso ligero, también
obtiene información sobre la fuerza de la señal del cliente del protocolo LWAPP.
Los Wireless LAN Controller reciben información interesante de la fuerza de la señal del
cliente sobre el Sistema de Control Inalámbrico Cisco (WCS) y Aplicación de Localización
Inalámbrica Cisco, donde con la toma de huellas dactilares y RF intensas se hacen los
cálculos que se toman en cuenta para el tipo de materiales de construcción, múltiples, y la
reflexión para determinar la ubicación de la 802,11 o dispositivo RFID activa. Esta
información está disponible en tiempo real. LWAPP es el protocolo de control y de
transporte que permite servicios de localización.
Voz sobre 802.11 para soluciones autónomas utiliza el mismo protocolo subyacente para
regular el tráfico de datos, además de capacidades adicionales mediante el uso de 802.11e,
que se extiende entre un punto de acceso autónomo y una terminal de voz.
Lamentablemente, los puntos de acceso autónomos que operan en el mismo canal no tienen
la capacidad de coordinar su Control de Admisión de Llamadas (CAC). Además, todos los
dispositivos que se pueden escuchar unos a otros que operan en el mismo canal están
sujetos a interferencia y los puntos de acceso autónomos no pueden direccionar fácilmente
esta cuestión.
Figura 4.2.2 Costos proyectados de mano de obra por punto de acceso configurado.
76
Debido a que el Wireless LAN Controller es capaz de buscar en toda la red inalámbrica,
puede coordinar la información y usar capacidades avanzadas como la localización de
problemas de conectividad del cliente.
La Red inalámbrica Unificada ofrece una solución completa de extremo a extremo que sea
unificado e innovador. Proporciona sólida protección de la inversión que ayuda a garantizar
la seguridad, movilidad, coste-efectivo de trabajo interactivo para el cable y red
inalámbrica.
77
requerida para prestar apoyo a la única configuración y a las características de Radio
Frecuencia de los pisos y edificios de una empresa que pueden afrontar.
78
CONCLUSIONES
Dentro de las principales tendencias que dominan a las redes inalámbricas se encuentran la
adopción de tecnologías basadas en controladores Wireless LAN. En el mercado se
encuentran diversas marcas de WLAN que proporcionan diferentes características; por tal
motivo se realizo un análisis de las marcas más reconocida como son CISCO, HP y 3COM
para un ambiente corporativo sin infraestructura.
Pero pese a eso la utilidad y beneficios que ofrece el WLAN Controller se recompensa a
largo plazo, teniendo un mayor control en la administración de dispositivos móviles y
seguridad de acceso en un ambiente corporativo repercutiendo en las utilidades de la
empresa.
79
BIBLIOGRAFÍA
CONCEPTOS GENERALES
Redes e Internet de alta velocidad rendimiento y calidad de servicio
Editorial Prentice Hall
Pag 147-154
Autor Williams Stallings
SEGURIDAD
Seguridad para comunicaciones inalámbricas
Editorial McGraw-Hill
Pag 357-377
Autor Randall K. Nichols, Panos C. Lekkas
ADMINISTRACIÓN
80
http://www.hp.com/sbso/espanol/news/movilice-facilmente.html
DISPOSITIVOS MÓVILES
http://www.microsoft.com/spain/empresas/temas/actualice_tecnologia/movilidad.mspx
WLAN CONTROLLER
Fecha de consulta: 29 de Noviembre
Guía rápida implementación de WLC
81
GLOSARIO
A
82
C
Cisco. Cisco Systems es una empresa multinacional ubicada en San Jose (California,
Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y
consultoría de equipos de telecomunicaciones tales como: dispositivos de conexión para
redes informáticas: routers (enrutadores, encaminadores o ruteadores), switches
(conmutadores) y hubs (concentradores), Dispositivos de seguridad como Cortafuegos y
Concentradores para VPN. Productos de Telefonía IP como teléfonos y el CallManager
(una PBX IP), Software de gestión de red como CiscoWorks y Equipos para Redes de Área
de Almacenamiento. Actualmente, Cisco Systems, es Líder Mundial en soluciones de red e
infraestructuras para Internet.
83
cargarán y copiarán en el disco duro). Un servidor DHCP puede devolver parámetros
BOOTP o la configuración específica a un determinado host.
Dispositivo GPS. Dentro de los dispositivos GPS encontramos teléfonos móviles que
pueden vincularse a un receptor GPS diseñado a tal efecto. Suelen ser módulos
independientes del teléfono que se comunican vía inalámbrica bluetooth, o implementados
en el mismo terminal móvil, y que le proporcionan los datos de posicionamiento que son
interpretados por un programa de navegación. Esta aplicación del GPS está particularmente
extendida en los teléfonos móviles que operan con el sistema operativo Symbian, y PDAs
con el sistema operativo Windows Mobile, aunque varias marcas han lanzado modelos con
un módulo gps integrado con software GNU/Linux.
Estándar DECT. El estándar DECT define una tecnología de acceso radio para
comunicaciones inalámbricas. Como tal, define el camino radio, sin entrar en el o los
elementos de conmutación de red que se utilicen, que variarán en función de la aplicación.
El estándar soporta desarrollos mono y multicélula, mono y multiusuario.
Conceptualmente, da lugar a sistemas de comunicaciones sin hilos full-dúplex similares a
los "celulares" que son ya ampliamente conocidos, estando la principal diferencia en que
DECT está optimizado para coberturas locales o restringidas con alta densidad de tráfico.
84
H
HiperLAN. Es un estándar global para anchos de banda inalámbricos LAN que operan con
un rango de datos de 54 Mbps en la frecuencia de banda de 5 GHz. HIPERLAN/2 es una
solución estándar para un rango de comunicación corto que permite una alta transferencia
de datos y Calidad de Servicio del tráfico entre estaciones base WLAN y terminales de
usuarios. La seguridad está provista por lo último en técnicas de cifrado y protocolos de
autenticación.
HP. Hewlett-Packard (NYSE: HPQ), también conocida como HP, es la mayor empresa de
tecnologías de la información del mundo, superando en el 2006 a IBM, fábrica con sede en
Palo Alto, California. Fabrica y comercializa hardware y software además de brindar
servicios de asistencia relacionados con la informática. La compañía fue fundada en 1939 y
se dedicaba a la fabricación de instrumentos de medida electrónica y de laboratorio. Hoy en
día es la empresa líder en venta de impresoras.
DELL. Dell, Inc. (NASDAQ: DELL) es una compañía multinacional estadounidense
establecida en Round Rock (Texas) que desarrolla, manufactura, vende y soporta
computadores personales, servidores, switches de red, programas informáticos, periféricos
y otros productos relacionados con la tecnología. En 2008 tenía 95.000 empleados a nivel
mundial.
IBSS. El modo IBSS, también conocido como modo ad-hoc, se ha diseñado para facilitar
las conexiones punto a punto. En realidad existen dos tipos distintos de modos ad-hoc. Uno
es el modo IBSS, también conocido como modo ad-hoc o modo ad-hoc del IEEE. Este
modo se encuentra especificado en el estándar IEEE 802.11. El segundo tipo se denomina
modo ad-hoc de demostración o modo ad-hoc de Lucent (y algunas veces, también se le
llama simplemente modo ad-hoc, lo cual es bastante confuso). Este es el modo de
funcionamiento antiguo, anterior al estándar 802.11, del modo ad-hoc debería utilizarse
sólo en instalaciones propietarias. No profundizaremos más sobre estos modos de
funcionamiento.
ICMP. El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet
Control Message Protocol) es el sub protocolo de control y notificación de errores del
Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por
ejemplo que un servicio determinado no está disponible o que un router o host no puede ser
localizado. ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza
directamente por las aplicaciones de usuario en la red. La única excepción es la herramienta
85
ping y traceroute, que envían mensajes de petición Echo ICMP (y recibe mensajes de
respuesta Echo) para determinar si un host está disponible, el tiempo que le toma a los
paquetes en ir y regresar a ese host y cantidad de hosts por los que pasa.
INTERNET EXPLORER. Fue creado en 1995 tras la adquisición por parte de Microsoft
del código fuente de Mosaica, un navegador desarrollado por Spyglass, siendo rebautizado
entonces como Internet Explorer.
IP. Una dirección IP es un número que identifica de manera lógica y jerárquica a una
interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de
referencia OSI. Dicho número no se ha de confundir con la dirección MAC que es un
número hexadecimal fijo que es asignado a la tarjeta o dispositivo de red por el fabricante,
mientras que la dirección IP se puede cambiar.
ISM Band. ISM (Industrial, Scientific and Medical) son bandas reservadas
internacionalmente para uso no comercial de radiofrecuencia electromagnética en las áreas
industrial, científica y médica. En la actualidad estas bandas han sido popularizadas por su
uso en comunicaciones WLAN (e.g. Wi-Fi) o WPAN (e.g. Bluetooth). El uso de estas
bandas de frecuencia está abierto a todo el mundo sin necesidad de licencia, respetando las
regulaciones que limitan los niveles de potencia transmitida.
IV. Vector de Inicialización. es un bloque de bits que es requerido para permitir un cifrado
en flujo o un cifrado por bloques, en uno de los modos de cifrado, con un resultado
independiente de otros cifrados producidos por la misma clave. El tamaño del IV depende
del algoritmo de cifrado y del protocolo criptográfico y a menudo es tan largo como el
tamaño de bloque o como el tamaño de la clave. Los vectores de inicialización son
implementados en cifrados por bloques y cifrados en flujo.
86
M
NIS. Network Information Service (conocido por su acrónimo NIS, que español significa
Sistema de Información de Red), es el nombre de un protocolo de servicios de directorios
cliente-servidor desarrollado por Sun Microsystems para el envío de datos de configuración
en sistemas distribuidos tales como nombres de usuarios y hosts entre computadoras sobre
una red. NIS está basado en ONC RPC, y consta de un servidor, una biblioteca de la parte
cliente, y varias herramientas de administración.
PCI. Un Peripheral Component Interconnect. Bus de datos de 32 bits para los procesadores
486 y superiores, que trabaja de 33 Mhz. Su principal ventaja es que es independiente del
bus del micro.
PDA. PDA, del inglés Personal Digital Assistant (Asistente Digital Personal), es un
computador de mano originalmente diseñado como agenda electrónica (calendario, lista de
contactos, bloc de notas y recordatorios) con un sistema de reconocimiento de escritura.
Hoy día se puede usar como una computadora doméstica (ver películas, crear documentos,
juegos, correo electrónico, navegar por Internet, reproducir archivos de audio.
PDT. Es un dispositivo que es utilizado para introducir o recibir datos a través de una
transmisión inalámbrica. Tienen múltiples utilidades, por ejemplo, acceder a una base de
datos remotamente (por ejemplo, para determinar el precio de un producto en un
supermercado).
87
Protocolo FLEX. La familia de protocolos FLEX fue introducida por la empresa Motorola
en junio de 1993, comprende a los protocolos FLEX, ReFLEX e InFLEX, tiene velocidades
de 1600, 3200 y 6400 BPS, es de tipo sincrónico lo cual produce ahorro de energía y por lo
tanto mayor duración de la batería. La duración de la carga de la batería puede ser de hasta
10 veces la de los sistemas POCSAG, soporta hasta 1.000 millones de direcciones y hasta
600.000 pagers numéricos por canal. Para los pagers numéricos de 10 dígitos, tiene más de
4 veces más capacidad que los sistemas POCSAG de 1200 KBPS. Para los pagers
alfanuméricos de 40 caracteres, tiene 5 veces más capacidad. Los protocolos FLEX
funcionan con las interfaces de radio en las bandas de VHF, UHF y en la de 900 Mhz.
Protocolo PPP. El protocolo PPP proporciona un método estándar para transportar data
gramas multiprotocolo sobre enlaces simples punto a punto entre dos "pares" esto es cada
una de las máquinas en los dos extremos del enlace (-en inglés es peer-). Estos enlaces
proveen operación bidireccional full dúplex y se asume que los paquetes serán entregados
en orden. Cuenta con los siguientes componentes. Un mecanismo de enmarcado para
encapsular data gramas multiprotocolo y manejar la detección de errores, Un protocolo de
control de enlace (LCP, Link Control Protocol) para establecer, configurar y probar la
conexión de datos, Una familia de protocolos de control de red (NCP’s, Network Control
Protocols) para establecer y configurar los distintos protocolos de nivel de red.
Pymes. Son generalmente compañías que emplean a menos de 250 pero a más de diez
individuos, de acuerdo a un criterio común.
QoS. Calidad de Servicio (Quality of Service, en inglés) son las tecnologías que garantizan
la transmisión de cierta cantidad de datos en un tiempo dado (throughput). Calidad de
servicio es la capacidad de dar un buen servicio.
88
QWERTY. Es una forma de ordenar las teclas en un teclado, QWERTY hace referencia a
las primeras seis letras que aparecen en la esquina superior izquierda de este tipo de
teclados. Es el más extendido en la actualidad, Esta ubicación de las teclas se utiliza
actualmente en casi todos los teclados, incluso aquellos que no son para el inglés. Aunque
hay algunas adaptaciones dependiendo del idioma al que está destinado el teclado. Por
ejemplo, el español agrega la tecla Ñ en donde en inglés está el; (punto y coma).
RFID. La identificación por radiofrecuencia o RFID por sus siglas en inglés (radio
frequency identification), es una tecnología de identificación remota e inalámbrica en la
cual un dispositivo lector o reader vinculado a un equipo de computo, se comunica a través
de una antena con un transponer (también conocido como tag o etiqueta) mediante ondas de
radio, se ha utilizado y se sigue utilizando para múltiples aplicaciones incluyendo casetas
de peaje, control de acceso, identificación de ganado y tarjetas electrónicas de transporte.
Rogue AP. Es un punto de acceso inalámbrico que ha sido instalado en una empresa de
seguridad de red sin autorización explícita de un administrador de la red , o se ha creado
para permitir a un cracker llevar a cabo un ataque de red . El rogue AP es una amenaza para
la seguridad de las grandes organizaciones con muchos empleados, porque cualquier
persona con acceso a los equipos locales puede ignorantemente o maliciosamente instalar
un router inalámbrico que puede potencialmente permitir el acceso a una red segura o a
partes no autorizadas.
Scripts. El guion, script o archivo de órdenes o archivo de procesamiento por lotes (en
inglés script) es un programa usualmente simple, que generalmente se almacena en un
archivo de texto plano. Los script son casi siempre interpretados, pero no todo programa
interpretado es considerado un script. El uso habitual de los scripts es realizar diversas
tareas como combinar componentes, interactuar con el sistema operativo o con el usuario.
Servidor AAA. Los servidores AAA, cuyas siglas significan autorización, autenticación y
accounting (registro de logs), se utilizan para una mayor seguridad en el acceso dentro de
una red VPN remota. Cuando se hace una petición para poder establecer una sesión desde
un cliente externo, dicha petición es enviada al servidor AAA y hace las siguientes tareas:
autentifica, autoriza y supervisa que haces mientras estás conectado (accounting) Este
último punto es especialmente útil para hacer un seguimiento de clientes y poder realizar
auditorías de seguridad, facturación y análisis de uso.
89
Servidor RADIUS. Remote Authentication Dial-In User Server). Es un protocolo de
autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el
puerto 1813 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP
mediante módem, DSL, cable módem, Ethernet o Wi-Fi, se envía una información que
generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un
dispositivo NAS (Servidor de Acceso a la Red o Network Access Server (NAS) sobre el
protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo
RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando
esquemas de autentificación como PAP, CHAP o EAP. Si es aceptado, el servidor
autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección
IP, y otros parámetros como L2TP.
SNMP. SNMP significa Protocolo simple de administración de red. Es un protocolo que les
permite a los administradores de red administrar dispositivos de red y diagnosticar
problemas en la red.
USB. El Universal Serial Bus (bus universal en serie) o Conductor Universal en Serie,
abreviado comúnmente USB, es un puerto que sirve para conectar periféricos a una
computadora.
VLAN. Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que
agrupa un conjunto de equipos de manera lógica y no física. Efectivamente, la
comunicación entre los diferentes equipos en una red de área local está regida por la
arquitectura física. Gracias a las redes virtuales (VLAN), es posible liberarse de las
limitaciones de la arquitectura física (limitaciones geográficas, limitaciones de dirección,
etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos
según determinados criterios (direcciones MAC, números de puertos, protocolo, etc.).
90
W
91