Escolar Documentos
Profissional Documentos
Cultura Documentos
ÍNDICE
ÍNDICE ......................................................................................................................................... 2
RESUMEN EJECUTIVO .......................................................................................................... 3
ARQUITECTURA....................................................................................................................... 4
Conexión del AP al Controlador ............................................................................................ 4
Formas de despliegue de la red Wifi ...................................................................................... 5
Trafico Tunelizado............................................................................................................... 5
Local Bridging – Conmutación local................................................................................. 6
Wifi y Seguridad en el Firewall ........................................................................................... 7
AUTENTICACIÓN .................................................................................................................... 9
WPA/WPA2 Enterprise.......................................................................................................... 9
Portal Cautivo ........................................................................................................................... 9
Gestión y Provisión de Invitados ......................................................................................... 10
BYOD........................................................................................................................................... 12
Identificación del dispositivo ................................................................................................ 12
Políticas basadas en tipo de dispositivo............................................................................... 12
CONECTIVIDAD .................................................................................................................... 13
Meshing .................................................................................................................................... 13
Monitorización del espectro.................................................................................................. 14
Alta densidad de usuarios ...................................................................................................... 14
Privacidad Intra SSID ............................................................................................................ 15
Optimización del tráfico Multicast....................................................................................... 15
SEGURIDAD EN LA RED WIFI ......................................................................................... 16
Ataques a la infraestructura wireless .................................................................................... 16
Detección y eliminación de APs no Autorizados – Rogue AP........................................ 16
PLANIFICACIÓN Y MONITORIZACIÓN ...................................................................... 17
Fortiplanner ............................................................................................................................. 17
RESUMEN EJECUTIVO
El presente documento tiene como objetivo mostrar las funcionalidades de la solución
Wifi de Fortinet.
La solución de Fortinet integra de forma directa con el Firewall, siendo cada red wifi una
nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de seguridad en la
red Wifi que en la red cableada, pudiendo configura en la wifi reglas de Firewall, Traffic-
Shaping, Control de Aplicaciones, Webfiltering, etc… de forma sencilla y transparente.
Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi,
pudiendo crear reglas de seguridad basadas en tipo de dispositivo.
ARQUITECTURA
Todos los equipos FortiGate a partir de su versión de firmware 4.3 incorporan un
controlador wireless capaz de controlar puntos de acceso de Fortinet. Al igual que en la
mayoría de las soluciones Wireless Enterprise estos puntos de acceso pueden ser
desplegados en cualquier lugar de la red requiriendo exclusivamente conectividad IP
contra el controlador para funcionar.
Fortinet dispone de una amplia gama de puntos de acceso que permite dar cobertura
tanto en escenarios de interior como de exterior. El gráfico inferior muestra los puntos
de acceso disponibles a día de hoy.
3x3:3
Resiliency FAP-320B
Throughput
Dual Radio
Dual Band
FAP-223B
2x2:2 FAP-221B
Performance FAP-222B
Single Radio
FAP-28C
FAP-14C
1x1:1
FAP-11C FAP-112B
80
El punto de acceso, llamado FortiAP, puede ser emplazado en cualquier lugar de la red
siempre y cuando haya comunicación en capa 3 con el Firewall. El FortiAP dispone de
mecanismos para poder localizar el controlador wireless. Estos mecanismos son los
siguientes:
a) Vía atributo de DHCP, la opción 138 puede ser usada para suministrar la IP del
FortiGate que actúa como controlador.
b) A través de BroadCast.
c) Mediante paquetes multicast contra la IP 224.0.1.140
d) Configurando la IP del controlador estáticamente en el FortiAP
Una vez el AP descubre el Firewall, podemos aceptar ese AP desde la gestión del Firewall
y empezar a actuar sobre el mismo. La captura inferior muestra un AP descubierto y
Aceptado como válido:
Jugando con los modelos de puntos de acceso de Fortinet y con la configuración de los
SSID se pueden desplegar las redes wireless según las siguientes arquitecturas:
1.- Con APs ligeros, de gestión centralizada, tunelizando el tráfico hasta el controlador.
2.- Con APs ligeros, de gestión centralizada, conmutando el tráfico directamente a la red
cableada (Local Bridging)
Trafico Tunelizado
En el caso de tunelizar el tráfico hasta el controlador nos aseguramos que cualquier
paquete de la red wifi pase a través del firewall, pudiendo así aplicar sobre dicho tráfico
todas las funcionalidades de Fortigate: Control de Aplicaciones, IPS, Webfiltering,
Antivirus, Firewalling, etc. El diagrama inferior muestra la arquitectura basada thin APs
con tráfico tunelizado.
cifrado. La aplicación de CAPWAP en las redes Wifi de Fortinet cumple con el estándar
RFC-5415.
La opción de Local Bridging evita enviar el tráfico de la red wifi al controlador para
tomar en el mismo las decisiones de conmutación. Por el contrario, el tráfico del SSID
wifi es directamente enviado a la red cableada a través del AP.
FortiGate Wireless
Controller
SSID =Guest
802.1 Q trunk Port
Enterprise
Network
FortiAP-220B/221B Ethernet
SSID = Finance Switch
El Roadmap de Fortinet incorpora una mejora a esta funcionalidad. Esta mejora permite
la publicación de un único SSID y, en base a la pertenencia de un usuario a uno u otro
grupo de directorio activo (atributo enviado por el Radius que realice la autenticación), el
tráfico del usuario será etiquetado en una u otra VLAN. Este funcionalidad permitirá
reducir el número de SSIDs publicados.
Sobre estas interfaces es posible crear reglas de firewalling pudiendo completar las
mismas con las inspecciones en capa 7 deseadas (Webfiltering, AppCtrl, IPS, DLP y AV)
Como se puede ver en la captura anterior, se trata de una regla de firewall para el tráfico
con interfaz de entrada el SSID whumo y salida la Wan1. Esta regla incluye además reglas
basadas en la identidad de usuario, de forma que en base al usuario o su pertenencia a un
grupo de directorio podemos aplicar unos servicios y unos perfiles de protección en capa
7.
AUTENTICACIÓN
Las solución wifi de Fortinet permite emplear mecanismos de autenticación seguros. Así
pues, por cada SSID configurado podemos definir que tipo de autenticación se quiere
emplear:
WPA/WPA2 Enterprise
Portal Cautivo
Es también posible crear un SSID con autenticación basada en Portal Cautivo, de forma
que el usuario se autentique a través de una portal web en la red wireless. El portal
cautivo puede ser modificado para adaptarse a los requisitos del cliente. La captura
inferior muestra la personalización de uno de los portales cautivos.
Los usuarios autenticarán en el portal cautivo bien con sus contraseñas de dominio
o bien con contraseñas de uso temporal creadas para la ocasión (por ejemplo
usuarios invitados). Para facilitar la creación de usuarios temporales la solución de
FortiGate incorpora una herramienta de Gestión de Invitados.
Este portal puede ser manejado por el personal de seguridad, un bedel o una secretaria,
de manera que cuando una visita acceda al edificio, durante el proceso de registro de la
misma se le pueda ofrecer credenciales para la red wifi. El suministro de las credenciales
puede hacerse de varias formas, bien imprimiéndolas, enviándolas por email al invitado o
enviándolas por SMS a través de una pasarela SMS.
BYOD
Identificación del dispositivo
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de firewalling. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos
y restringirlos desde sistemas operativos no corporativos. La captura inferior muestra una
regla de firewall que hace uso de este concepto de dispositivo:
CONECTIVIDAD
Meshing
La solución wifi de Fortinet dispone de mecanismos para que cada punto de acceso
monitorice le espectro y radie en el canal que menos interferencias presenta. La
funcionalidad de Automatic Radio Resource Provision (ARRP) permite seleccionar los
canales sobre los que queremos trabajar y dejar al equipo elegir el canal óptimo. Otra
funcionalidad interesante es el ajuste de potencia automático. En despliegues con mucha
densidad de APs es importante que estos ajusten la potencia de forma automática para
evitar solapes cuando todos los APs están presentes y para cubrir zonas que pudieran
quedar sin cobertura en el caso de fallo de un AP.
La solución wifi de Fortinet dispone de mecanismos que optimizan los escenario con alta
densidad de usuarios. Entre estos destacamos los siguientes:
La solución wifi de Fortinet permite detectar puntos de acceso que estén emitiendo y que
no pertenezcan a la red corporativa. De igual forma, una vez detectado estos puntos de
acceso se podría bloquear los mismos para evitar que usuarios internos se conecten a
dichos puntos. Para ello el AP lícito inunda con tramas de autententicacion y
deseautenticación el AP rogué, de forma que éste último no puede aceptar las peticiones
de autenticación de los usuarios. La captura inferior muestra la detección de APs no
aprobados:
PLANIFICACIÓN Y MONITORIZACIÓN
Fortiplanner
Una vez desplegados los puntos de acceso, FortiPlanner permite mostrar mapas de calor
o cobertura en tiempo real, permitiendo así detectar zonas negras fácilmente.