Oct 2013

Funcionalidades Wireless Fortinet

The Power to Control Página 1 de 17

 Oct 2013

ÍNDICE
ÍNDICE ......................................................................................................................................... 2
RESUMEN EJECUTIVO .......................................................................................................... 3
ARQUITECTURA....................................................................................................................... 4
Conexión del AP al Controlador ............................................................................................ 4
Formas de despliegue de la red Wifi ...................................................................................... 5
Trafico Tunelizado............................................................................................................... 5
Local Bridging – Conmutación local................................................................................. 6
Wifi y Seguridad en el Firewall ........................................................................................... 7
AUTENTICACIÓN .................................................................................................................... 9
WPA/WPA2 Enterprise.......................................................................................................... 9
Portal Cautivo ........................................................................................................................... 9
Gestión y Provisión de Invitados ......................................................................................... 10
BYOD........................................................................................................................................... 12
Identificación del dispositivo ................................................................................................ 12
Políticas basadas en tipo de dispositivo............................................................................... 12
CONECTIVIDAD .................................................................................................................... 13
Meshing .................................................................................................................................... 13
Monitorización del espectro.................................................................................................. 14
Alta densidad de usuarios ...................................................................................................... 14
Privacidad Intra SSID ............................................................................................................ 15
Optimización del tráfico Multicast....................................................................................... 15
SEGURIDAD EN LA RED WIFI ......................................................................................... 16
Ataques a la infraestructura wireless .................................................................................... 16
Detección y eliminación de APs no Autorizados – Rogue AP........................................ 16
PLANIFICACIÓN Y MONITORIZACIÓN ...................................................................... 17
Fortiplanner ............................................................................................................................. 17

The Power to Control Página 2 de 17

 Oct 2013

RESUMEN EJECUTIVO
El presente documento tiene como objetivo mostrar las funcionalidades de la solución
Wifi de Fortinet.

El coste de un proyecto de wireless viene determinado en un 35-45% por el coste de la

controladora wifi. Los clientes de Fortinet que tengan firewalls FortiGate pueden
reducirse ese coste si acomete el proyecto wifi con puntos de acceso de Fortinet, pues
todos los Firewalls FortiGate, a partir de la versión 4.3, son un completo controlador
Wifi. En ese caso sólo sería necesario comprar los puntos de acceso para poder ofrecer
una solución wifi Enterprise.

La solución de Fortinet integra de forma directa con el Firewall, siendo cada red wifi una
nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de seguridad en la
red Wifi que en la red cableada, pudiendo configura en la wifi reglas de Firewall, Traffic-
Shaping, Control de Aplicaciones, Webfiltering, etc… de forma sencilla y transparente.

Dispone además de opciones de portal cautivo para invitados, pudiendo delegar la

gestión de dichos invitados. Para ello dispone de un portal de administración restringido
que permite dar acreditaciones a la red wifi de manera sencilla, pudiendo suministrar la
información de usuario y contraseña de varios métodos, incluyendo SMS, email o
impreso.

Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi,
pudiendo crear reglas de seguridad basadas en tipo de dispositivo.

A nivel de conectividad, la solución de Fortinet cuenta con las funcionalidades de

conectividad más requeridas para los entornos Enterprise, funcionalidades tales como
meshing, local bridging, asignación dinámica de canales, asignación dinámica de potencia,
balanceo de clientes entre puntos de acceso, fast roaming, etc…

A lo largo de este documento se detallan los puntos aquí enumerados.

The Power to Control Página 3 de 17

 Oct 2013

ARQUITECTURA
Todos los equipos FortiGate a partir de su versión de firmware 4.3 incorporan un
controlador wireless capaz de controlar puntos de acceso de Fortinet. Al igual que en la
mayoría de las soluciones Wireless Enterprise estos puntos de acceso pueden ser
desplegados en cualquier lugar de la red requiriendo exclusivamente conectividad IP
contra el controlador para funcionar.

Fortinet dispone de una amplia gama de puntos de acceso que permite dar cobertura
tanto en escenarios de interior como de exterior. El gráfico inferior muestra los puntos
de acceso disponibles a día de hoy.

FortiAP Product Family

3x3:3
Resiliency FAP-320B
Throughput
Dual Radio

Dual Band

FAP-223B

2x2:2 FAP-221B
Performance FAP-222B
Single Radio

FAP-28C

FAP-14C
1x1:1
FAP-11C FAP-112B

Remote Outdoor Indoor

80

Conexión del AP al Controlador

El punto de acceso, llamado FortiAP, puede ser emplazado en cualquier lugar de la red
siempre y cuando haya comunicación en capa 3 con el Firewall. El FortiAP dispone de
mecanismos para poder localizar el controlador wireless. Estos mecanismos son los
siguientes:

a) Vía atributo de DHCP, la opción 138 puede ser usada para suministrar la IP del
FortiGate que actúa como controlador.
b) A través de BroadCast.
c) Mediante paquetes multicast contra la IP 224.0.1.140
d) Configurando la IP del controlador estáticamente en el FortiAP

The Power to Control Página 4 de 17

 Oct 2013

Una vez el AP descubre el Firewall, podemos aceptar ese AP desde la gestión del Firewall
y empezar a actuar sobre el mismo. La captura inferior muestra un AP descubierto y
Aceptado como válido:

Formas de despliegue de la red Wifi

Jugando con los modelos de puntos de acceso de Fortinet y con la configuración de los
SSID se pueden desplegar las redes wireless según las siguientes arquitecturas:

1.- Con APs ligeros, de gestión centralizada, tunelizando el tráfico hasta el controlador.
2.- Con APs ligeros, de gestión centralizada, conmutando el tráfico directamente a la red
cableada (Local Bridging)

Trafico Tunelizado
En el caso de tunelizar el tráfico hasta el controlador nos aseguramos que cualquier
paquete de la red wifi pase a través del firewall, pudiendo así aplicar sobre dicho tráfico
todas las funcionalidades de Fortigate: Control de Aplicaciones, IPS, Webfiltering,
Antivirus, Firewalling, etc. El diagrama inferior muestra la arquitectura basada thin APs
con tráfico tunelizado.

CAPWAP es el protocolo empleado para establecer el túnel entre el AP y el Controlador.

En caso de requerirlo por motivos de seguridad y privacidad, este tráfico puede ir

The Power to Control Página 5 de 17

 Oct 2013

cifrado. La aplicación de CAPWAP en las redes Wifi de Fortinet cumple con el estándar
RFC-5415.

Local Bridging – Conmutación local

La opción de Local Bridging evita enviar el tráfico de la red wifi al controlador para
tomar en el mismo las decisiones de conmutación. Por el contrario, el tráfico del SSID
wifi es directamente enviado a la red cableada a través del AP.

FortiGate Wireless
Controller

Es posible realizar la configuración de Local Bridging de forma que el tráfico de

diferentes SSIDs sea enviado a diferentes VLANs de la red local. Así pues sería posible
separar el tráfico de invitados en una VLAN y el tráfico de usuarios en otra VLAN
diferente. La imagen inferior ilustra esta arquitectura.

!Associate VLAN ID with a SSID

!FAP Eth. interface shall work as 802.1Q trunk port
!Wifi traffic will be bridged locally and tagged with corresponding VLAN id

Vlan 30 associated with SSID = Finance

SSID =Guest
802.1 Q trunk Port

Enterprise
Network
FortiAP-220B/221B Ethernet
SSID = Finance Switch

Vlan 1 (Mgt VLAN)

Vlan 10 associated with SSID = Guest

SSID = Employee DHCP Server
Vlan 20 associated with SSID = Employee

The Power to Control Página 6 de 17

 Oct 2013

El Roadmap de Fortinet incorpora una mejora a esta funcionalidad. Esta mejora permite
la publicación de un único SSID y, en base a la pertenencia de un usuario a uno u otro
grupo de directorio activo (atributo enviado por el Radius que realice la autenticación), el
tráfico del usuario será etiquetado en una u otra VLAN. Este funcionalidad permitirá
reducir el número de SSIDs publicados.

Una ventaja de Fortinet es que se pueden combinar estos modos de despliegue, no

siendo exclusivos. A la hora de definir un SSID se define el modo de
funcionamiento de éste. Así pues, podemos tener SSIDs en los que todo el tráfico
se tunelice hasta el controlador (por ejemplo invitados o dispositivos móviles) y SSIDs
en los que se opte por realizar conmutación local (por ejemplo, SSIDs de oficinas
remotas).

Wifi y Seguridad en el Firewall

La wifi de Fortinet permite dotar a la red inalámbrica de las mismas medidas de

seguridad que aplicamos al tráfico cableado. Cada SSID que creamos en modo túnel es
una nueva interfaz del firewall a todos los niveles, como una interfaz cableada. Es decir,
podemos definir routing, políticas de filtrado, control de aplicaciones, webfiltering, etc…
de igual forma que haríamos con una interfaz cableada.

La captura inferior muestra un FG100D con tres SSIDs creados.

Sobre estas interfaces es posible crear reglas de firewalling pudiendo completar las
mismas con las inspecciones en capa 7 deseadas (Webfiltering, AppCtrl, IPS, DLP y AV)

Como se puede ver en la captura anterior, se trata de una regla de firewall para el tráfico
con interfaz de entrada el SSID whumo y salida la Wan1. Esta regla incluye además reglas
basadas en la identidad de usuario, de forma que en base al usuario o su pertenencia a un
grupo de directorio podemos aplicar unos servicios y unos perfiles de protección en capa
7.

The Power to Control Página 7 de 17

 Oct 2013

A continuación se puede ver el detalle de definición de una regla en la que se aplican

perfiles de seguridad específicos de Antivirus, Web filtering, IPS, e-mail filtering y DLP
a un tráfico de navegación desde un SSID:

La wifi de Fortinet dispone de una funcionalidad llamada WSSO (Wireless Single

Sign On) mediante la cual una vez el usuario se ha autenticado en la red wifi
mediante WPA2 Enterprise (por ejemplo, usando su nombre de usuario y
contraseña de dominio) automáticamente el Firewall aprende que dicho usuario está
autenticada y el grupo de dominio al que pertenece. A partir de ese momento el FW es
capaz de aplicar reglas de inspección particularizadas para el tráfico de ese usuario en
base a su grupo de pertenencia sin necesidad de volver a autenticarle. Esto permite una
gran personalización de las reglas aplicadas en la red wifi.

The Power to Control Página 8 de 17

 Oct 2013

AUTENTICACIÓN
Las solución wifi de Fortinet permite emplear mecanismos de autenticación seguros. Así
pues, por cada SSID configurado podemos definir que tipo de autenticación se quiere
emplear:

WPA/WPA2 Enterprise

WPA/WPA2 hacen uso de Radius como protocolo de autenticación, pudiendo según la

configuración del Radius validar las credenciales del usuario contra un Directorio Activo.

Portal Cautivo

Es también posible crear un SSID con autenticación basada en Portal Cautivo, de forma
que el usuario se autentique a través de una portal web en la red wireless. El portal
cautivo puede ser modificado para adaptarse a los requisitos del cliente. La captura
inferior muestra la personalización de uno de los portales cautivos.

The Power to Control Página 9 de 17

 Oct 2013

Los usuarios autenticarán en el portal cautivo bien con sus contraseñas de dominio
o bien con contraseñas de uso temporal creadas para la ocasión (por ejemplo
usuarios invitados). Para facilitar la creación de usuarios temporales la solución de
FortiGate incorpora una herramienta de Gestión de Invitados.

Gestión y Provisión de Invitados

Es posible configurar en el FortiGate un portal de gestión de invitados. Desde este portal

un usuario no administrador puede dar de alta y de baja a usuarios visitantes o invitados
para que puedan disfrutar de forma temporal de la red wifi.

Este portal puede ser manejado por el personal de seguridad, un bedel o una secretaria,
de manera que cuando una visita acceda al edificio, durante el proceso de registro de la
misma se le pueda ofrecer credenciales para la red wifi. El suministro de las credenciales
puede hacerse de varias formas, bien imprimiéndolas, enviándolas por email al invitado o
enviándolas por SMS a través de una pasarela SMS.

The Power to Control Página 10 de 17

 Oct 2013

En el caso de tener un evento o necesitar crear múltiples usuarios para un acceso

puntual, la solución dispone de una funcionalidad que permite crear con un par de clicks
tantos usuarios temporales como fueran necesarios. Esta funcionalidad es llamada “Batch
Guest User Creation”.

La siguiente imagen muestra la creación de múltiples usuarios invitados:

Independientemente del mecanismo de autenticación empleado, el Firewall presenta

varias vistas que permiten monitorizar y controlar los usuarios autenticados en la red wifi.

The Power to Control Página 11 de 17

 Oct 2013

BYOD
Identificación del dispositivo

La solución wifi de Fortinet permite identificar el tipo dispositivo que se ha conectado a

la red wireless. De esta forma se tiene visibilidad de inmediata de usuarios, sistema
operativo y dirección IP. El pantallazo inferior es una muestra:

Políticas basadas en tipo de dispositivo

Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de firewalling. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos
y restringirlos desde sistemas operativos no corporativos. La captura inferior muestra una
regla de firewall que hace uso de este concepto de dispositivo:

The Power to Control Página 12 de 17

 Oct 2013

CONECTIVIDAD
Meshing

La solución Wireless de Fortinet permite realizar el despliegue de los puntos de acceso

utilizando meshing allí donde no se puede llegar con cable. Esta técnica permite utilizar
una de las radios del AP remoto para conectarse a la red wifi central y la otra radio para
dar cobertura. De esta forma se puede extender la red wifi con APs sin necesidad de tirar
cable Ethernet hasta los puntos de acceso.

Utilizando las funcionalidades de Meshing es también posible la creación de enlaces

punto a punto entre dos APs de Fortinet. La imagen inferior muestra un escenario de
despliegue típico de esta funcionalidad.

The Power to Control Página 13 de 17

 Oct 2013

Monitorización del espectro

La solución wifi de Fortinet dispone de mecanismos para que cada punto de acceso
monitorice le espectro y radie en el canal que menos interferencias presenta. La
funcionalidad de Automatic Radio Resource Provision (ARRP) permite seleccionar los
canales sobre los que queremos trabajar y dejar al equipo elegir el canal óptimo. Otra
funcionalidad interesante es el ajuste de potencia automático. En despliegues con mucha
densidad de APs es importante que estos ajusten la potencia de forma automática para
evitar solapes cuando todos los APs están presentes y para cubrir zonas que pudieran
quedar sin cobertura en el caso de fallo de un AP.

Alta densidad de usuarios

La solución wifi de Fortinet dispone de mecanismos que optimizan los escenario con alta
densidad de usuarios. Entre estos destacamos los siguientes:

A. Balanceo de Clientes entre APs.

Es posible configurar un número máximo de clientes aceptados por un punto de
acceso de forma que a partir de este número el AP no acepte más conexiones y el
AP fuerce al cliente a conectarse a otra radio menos cargada o redirigirlo a otro
AP

B. Rechazo de clientes en una determinada frecuencia.

Esta funcionalidad permite que el AP determine en que bandas de frecuencia
puede conectarse un cliente y mediante RSSI mida la calidad de la señal para cada
cliente en cada banda. Cuando un dispositivo trate de conectarse a la red
verificamos si tiene opción de conectarse en las dos bandas. En tal caso el AP
fuerza al dispositivo a conectar en la banda de 5GHz en lugar de en la de 2.4.

C. DFS o selección dinámica de frecuencias en 5GHz

Permite trabajar con canales normalmente reservados para Radar en caso de no
detectar señales de Radar, aumentando así el número de canales disponibles y
reduciendo los solapamientos en despliegues con alta densidad de APs.

The Power to Control Página 14 de 17

 Oct 2013

Privacidad Intra SSID

Se puede configurar el SSID para evitar comunicaciones entre clientes conectados al

mismo SSID. Esta opción es interesante a tener en cuenta en redes de invitados o redes
de dispositivos móviles.

Optimización del tráfico Multicast

En despliegues wireless es recomendable tratar de forma adecuada el tráfico multicast.

Para ello Fortinet incorpora una funcionalidad que permite convertir las tramas multicast
a tramas únicast y asignar un ancho de banda reservado al tráfico multicast.

The Power to Control Página 15 de 17

 Oct 2013

SEGURIDAD EN LA RED WIFI

Ataques a la infraestructura wireless

Fortinet incorpora en su solución wifi la posibilidad de monitorizar la red Wifi de cara a

detectar ataques contra la infraestructura wireless. Así pues, el FortiGate es capaz de
detectar los siguientes tipos de ataques:

Detección y eliminación de APs no Autorizados – Rogue AP

La solución wifi de Fortinet permite detectar puntos de acceso que estén emitiendo y que
no pertenezcan a la red corporativa. De igual forma, una vez detectado estos puntos de
acceso se podría bloquear los mismos para evitar que usuarios internos se conecten a
dichos puntos. Para ello el AP lícito inunda con tramas de autententicacion y
deseautenticación el AP rogué, de forma que éste último no puede aceptar las peticiones
de autenticación de los usuarios. La captura inferior muestra la detección de APs no
aprobados:

The Power to Control Página 16 de 17

 Oct 2013

PLANIFICACIÓN Y MONITORIZACIÓN
Fortiplanner

Fortiplanner es una herramienta de Fortinet que permite planificar los despliegues de

wifi. No sustituye a un análisis de cobertura pero permite estimar con bastante precisión
el número de APs y su localización óptima de cara a un despliegue de wifi.

Una vez desplegados los puntos de acceso, FortiPlanner permite mostrar mapas de calor
o cobertura en tiempo real, permitiendo así detectar zonas negras fácilmente.

The Power to Control Página 17 de 17