02 Oct

Clasificación de Redes Inalámbricas

En términos generales, las redes inalámbricas se clasifican en los siguientes tipos:

  • Redes de Área Personal Inalámbrica (WPAN)

    Tienen un alcance de unos pocos metros. En las WPAN, se utilizan dispositivos con Bluetooth o Wi-Fi Direct habilitado.

  • LAN Inalámbricas (WLAN)

    Tienen un alcance de unos 30 m, como en una sala, un hogar, una oficina e incluso un campus.

  • Redes de Área Extensa Inalámbrica (WWAN)

    Tienen un alcance de kilómetros, como un área metropolitana, una jerarquía de datos móviles o incluso los enlaces entre ciudades mediante retransmisiones de microondas.

Estándares de Banda Ancha Inalámbrica

  • Fidelidad Inalámbrica (Wi-Fi)

    Es un estándar de WLAN IEEE 802.11 que se implementa generalmente para proporcionar acceso a la red a los usuarios domésticos y empresariales. Permite incluir tráfico de datos, voz y video a distancias de hasta 300 m (0,18 mi).

  • Interoperabilidad Mundial para el Acceso por Microondas (WiMAX)

    Es un estándar de WWAN IEEE 802.16 que proporciona acceso a servicios de banda ancha inalámbrica hasta 30 mi (50 km). WiMAX es una alternativa a las conexiones de banda ancha por cable y DSL. Se agregó la movilidad a WiMAX en 2005, y los proveedores de servicios ahora la pueden usar para proporcionar banda ancha de datos móviles.

  • Banda Ancha Celular

    Consta de varias organizaciones empresariales, nacionales e internacionales que usan el acceso de datos móviles de un proveedor de servicios para proporcionar conectividad de red de banda ancha celular. Estuvo disponible por primera vez en 1991 con los teléfonos celulares de segunda generación (2G), con mayores velocidades disponibles en 2001 y 2006 como parte de la tercera (3G) y la cuarta (4G) generación de la tecnología de comunicaciones móviles.

  • Banda Ancha Satelital

    Proporciona acceso de red a sitios remotos mediante el uso de una antena parabólica direccional que se alinea con un satélite específico en la órbita geoestacionaria (GEO) de la Tierra. Normalmente es más costosa y requiere una línea de vista despejada.

Regulación del Espectro de Radiofrecuencia

Todos los dispositivos inalámbricos funcionan en la banda de las ondas de radio del espectro electromagnético. Es responsabilidad del Sector de Radiocomunicaciones de la Unión Internacional de Telecomunicaciones (ITU-R) regular la asignación del espectro de radiofrecuencia (RF).

Específicamente, se asignan las siguientes bandas de frecuencia a las LAN inalámbricas 802.11:

  • 2,4 GHz (UHF): 802.11b/g/n/ad
  • 5 GHz (SHF): 802.11a/n/ac/ad
  • Banda de 60 GHz (EHF): 802.11ad

Comparación entre WLAN y LAN

Las WLAN usan RF en lugar de cables en la capa física y la subcapa MAC de la capa de enlace de datos. Comparada con el cable, la RF tiene las siguientes características:

  • La RF no tiene límites físicos, como los límites de un cable envuelto. Esto permite que las tramas de datos que se transmiten a través de los medios de RF estén disponibles para cualquier persona que pueda recibir la señal de RF.
  • La señal RF no está protegida de señales exteriores, como sí lo está el cable en su envoltura aislante. Las radios que funcionan de manera independiente en la misma área geográfica, pero con una RF igual o similar, pueden interferir entre sí.

Componentes de la Infraestructura Inalámbrica

La mayoría de las implementaciones inalámbricas requieren lo siguiente:

  • Terminales con NIC inalámbricas.
  • Dispositivo de infraestructura, como un router o un AP inalámbricos.

Por ejemplo, un usuario doméstico normalmente interconecta dispositivos inalámbricos mediante un pequeño router inalámbrico integrado. Estos routers integrados más pequeños funcionan como lo siguiente:

Funciones del Router Inalámbrico Integrado

  • Punto de Acceso (AP): Proporciona acceso inalámbrico 802.11a/b/g/n/ac.
  • Switch: Proporciona un switch Ethernet 10/100/1000, full-duplex, de cuatro puertos para conectar dispositivos por cable.
  • Router: Proporciona un gateway predeterminado para la conexión a otras infraestructuras de la red.

Tipos de Puntos de Acceso (AP)

Los AP se pueden categorizar como AP autónomos o AP basados en controladores.

AP Autónomos

Los AP autónomos, a veces denominados “AP pesados”, son dispositivos autónomos que se configuran mediante la CLI de Cisco o una GUI. Los AP autónomos son útiles en situaciones en las que solo se requiere un par de AP en la red. De manera optativa, se pueden controlar varios AP mediante los servicios de dominio inalámbrico (WDS) y se pueden administrar mediante el motor de soluciones de LAN inalámbricas (WLSE) CiscoWorks.

AP Basados en Controladores

Los AP basados en controladores son dispositivos que dependen del servidor y no requieren una configuración inicial. Cisco ofrece dos soluciones basadas en controladores. Los AP basados en controladores son útiles en situaciones en las que se requieren muchos AP en la red. A medida que se agregan más AP, un controlador de WLAN configura y administra cada AP automáticamente.

Antenas para Puntos de Acceso Empresariales

La mayoría de los AP de clase empresarial requieren el uso de antenas externas para convertirlas en unidades de funcionamiento pleno. Cisco desarrolló antenas diseñadas específicamente para usar con AP 802.11 y que admiten condiciones de implementación específicas, incluidas la disposición física, la distancia y la estética.

Tipos de Antenas Cisco Aironet

  • Antenas Wi-Fi Omnidireccionales: Con frecuencia, el engranaje Wi-Fi de fábrica usa antenas dipolos básicas, conocidas como “antenas de goma”, similares a aquellas usadas en las radios walkie-talkie. Las antenas omnidireccionales proporcionan cobertura de 360° y son ideales para áreas de oficinas abiertas, pasillos, salas de conferencias y exteriores.
  • Antenas Wi-Fi Direccionales: Las antenas direccionales concentran la señal de radio en un sentido determinado. Esto mejora la señal desde y hasta el AP en el sentido que apunta la antena, lo que proporciona una mayor potencia de señal en un sentido, así como una menor potencia de señal en todos los demás sentidos.
  • Antenas Yagi: Son un tipo de antena de radio direccional que se puede usar para las redes Wi-Fi de larga distancia. Normalmente, estas antenas se usan para extender el alcance de las zonas de cobertura exteriores en un sentido específico o para llegar a un edificio externo.

Topologías de Red Inalámbrica (Modos 802.11)

Las LAN inalámbricas pueden utilizar diferentes topologías de red. El estándar 802.11 identifica dos modos principales de topología inalámbrica:

  • Modo Ad Hoc

    Ocurre cuando dos dispositivos se conectan de manera inalámbrica sin la ayuda de un dispositivo de infraestructura, como un router o un AP inalámbrico. Los ejemplos incluyen Bluetooth y Wi-Fi Direct.

  • Modo de Infraestructura

    Ocurre cuando los clientes inalámbricos se conectan mediante un router o un AP inalámbrico, como en las WLAN. Los AP se conectan a la infraestructura de la red mediante el sistema de distribución (DS) conectado por cable, como Ethernet.

Nota: El estándar IEEE 802.11 denomina a las redes ad hoc “conjunto de servicios básicos independientes” (IBSS).

Arquitectura IEEE 802.11: BSS y ESS

La arquitectura IEEE 802.11 consta de varios componentes que interactúan para proporcionar una WLAN que admita clientes. Define dos componentes básicos de la topología del modo de infraestructura: un conjunto de servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).

Conjunto de Servicios Básicos (BSS)

Un BSS consta de un único AP que interconecta todos los clientes inalámbricos asociados. En la figura 4.1.3.3 (1), se muestran dos BSS. Los círculos representan el área de cobertura dentro de la que los clientes inalámbricos del BSS pueden permanecer comunicados. Esta área se denomina “área de servicios básicos” (BSA). Si un cliente inalámbrico sale de su BSA, ya no se puede comunicar directamente con otros clientes inalámbricos dentro de la BSA. El BSS es el componente básico de la topología, mientras que la BSA es el área de cobertura real (los términos BSA y BSS a menudo se usan de manera indistinta).

Conjunto de Servicios Extendidos (ESS)

Cuando un único BSS proporciona una cobertura de RF insuficiente, se pueden unir dos o más BSS a través de un sistema de distribución (DS) común para formar un ESS. Como se muestra en la figura 4.1.3.3 (2), un ESS es la unión de dos o más BSS interconectados mediante un DS por cable. Los clientes inalámbricos en una BSA ahora se pueden comunicar con los clientes inalámbricos en otra BSA dentro del mismo ESS. Los clientes con conexión inalámbrica móvil se pueden trasladar de una BSA a otra (dentro del mismo ESS) y se pueden conectar sin inconvenientes.

Protocolo MAC y Prevención de Colisiones (CSMA/CA)

Las WLAN IEEE 802.11 usan el protocolo MAC CSMA/CA (Acceso Múltiple por Detección de Portadora con Prevención de Colisiones).

Los sistemas Wi-Fi son configuraciones de medios compartidos half-duplex; por lo tanto, los clientes inalámbricos pueden transmitir y recibir en el mismo canal de radio. Esto crea un problema, ya que un cliente inalámbrico no puede oír mientras envía; por lo tanto, no es posible detectar una colisión. Para abordar este problema, el IEEE desarrolló un mecanismo adicional para la prevención de colisiones denominado “función de coordinación distribuida” (DCF).

Mediante DCF, un cliente inalámbrico transmite solo si el canal está libre. Todas las transmisiones se confirman; por ello, si un cliente inalámbrico no recibe un acuse de recibo, supone que ocurrió una colisión y lo vuelve a intentar después de un intervalo de espera aleatorio.

Como se muestra en la figura 4.2.2.1(1), cuando un cliente inalámbrico envía datos, primero evalúa los medios para determinar si otros dispositivos los están usando para transmitir. De lo contrario, envía una trama RTS (Request to Send) al AP. Esta trama se usa para solicitar acceso dedicado al medio de RF durante un período específico. El AP recibe la trama y, si está disponible, otorga al cliente inalámbrico acceso al medio de RF mediante el envío de una trama CTS (Clear to Send) de la misma duración. Todos los demás dispositivos inalámbricos que observan la trama CTS ceden los medios al nodo transmisor para la transmisión.

Proceso de Conexión Inalámbrica

Los dispositivos inalámbricos usan las tramas de administración para completar el siguiente proceso de tres etapas:

  1. Descubrir nuevos AP inalámbricos.
  2. Autenticar con el AP.
  3. Asociarse al AP.

Para asociarse, un cliente inalámbrico y un AP deben acordar parámetros específicos. Para permitir la negociación de estos procesos, se deben configurar los parámetros en el AP y posteriormente en el cliente.

Parámetros Inalámbricos Configurables Comunes

Los parámetros inalámbricos configurables comunes incluyen lo siguiente:

  • SSID (Service Set Identifier)

    Un SSID es un identificador único que usan los clientes inalámbricos para distinguir entre varias redes inalámbricas en la misma área. El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un cliente. Según la configuración de la red, varios AP en una red pueden compartir un SSID. En general, los nombres tienen una longitud de 2 a 32 caracteres.

  • Contraseña (Password)

    El cliente inalámbrico la necesita para autenticarse con el AP. Las contraseñas a veces se denominan “clave de seguridad”. Evita que los intrusos y otros usuarios no deseados accedan a la red inalámbrica.

  • Modo de Red (Network Mode)

    Se refiere a los estándares de WLAN 802.11a/b/g/n/ac/ad. Los AP y los routers inalámbricos pueden funcionar en modo Mixed (Mixto), lo que implica que pueden usar varios estándares a la vez.

  • Modo de Seguridad (Security Mode)

    Se refiere a la configuración de los parámetros de seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel más alto de seguridad que se admita.

  • Configuración de Canales (Channel Settings)

    Se refiere a las bandas de frecuencia que se usan para transmitir datos inalámbricos. Los routers y los AP inalámbricos pueden elegir la configuración de canales, o esta se puede establecer manualmente si existe interferencia con otro AP o dispositivo inalámbrico.

Descubrimiento de AP (Proceso de Sondeo)

Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de análisis (sondeo). Este proceso puede realizarse de los siguientes modos:

  • Modo Pasivo

    El AP anuncia abiertamente su servicio al enviar periódicamente tramas de señal de difusión que contienen el SSID, los estándares admitidos y la configuración de seguridad. El propósito principal de la señal es permitir que los clientes inalámbricos descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir qué red y qué AP usar.

  • Modo Activo

    Los clientes inalámbricos deben conocer el nombre del SSID. El cliente inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.

Si un AP o un router inalámbrico se configuran para que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.

Mecanismos de Autenticación Inicial 802.11

El estándar 802.11 se desarrolló originariamente con dos mecanismos de autenticación:

  • Autenticación Abierta

    Fundamentalmente, una autenticación NULA donde el cliente inalámbrico dice “autentíqueme” y el AP responde “sí”. La autenticación abierta proporciona conectividad inalámbrica a cualquier dispositivo inalámbrico y se debe usar solo en situaciones donde la seguridad no es un motivo de preocupación.

  • Autenticación de Clave Compartida

    Es una técnica que se basa en una clave previamente compartida entre el cliente y el AP.

Gestión de Canales e Interferencia

Los dispositivos LAN inalámbricos tienen transmisores y receptores sintonizados en frecuencias específicas de ondas de radio para comunicarse. Es habitual asignar las frecuencias como rangos. Estos rangos después se dividen en rangos más pequeños denominados “canales”.

Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sobresature. La saturación de un medio inalámbrico deteriora la calidad de la comunicación. Con el paso de los años, se creó un número de técnicas para mejorar la comunicación inalámbrica y aliviar la saturación.

La interferencia ocurre cuando una señal no deseada se superpone a un canal reservado para una señal deseada, lo que causa una posible distorsión. La solución a la interferencia es usar canales que no se superpongan. Específicamente, los canales 1, 6 y 11 son canales 802.11b no superpuestos.

Planificación de la Ubicación de los AP

Consulte el plano de planta de la figura 4.2.3.3 (1). Cuando se planifica la ubicación de los AP, el administrador no puede simplemente dibujar círculos del área de cobertura y arrojarlos sobre un plano. El área de cobertura circular aproximada es importante, pero existen algunas recomendaciones adicionales:

  • Si los AP deben usar un cableado existente o si hay ubicaciones en las que no se pueden colocar los AP, señale estas ubicaciones en el mapa.
  • Posicione los AP por encima de las obstrucciones.
  • De ser posible, posicione los AP en forma vertical, cerca del techo, en el centro de cada área de cobertura.
  • Coloque los AP en las ubicaciones en las que se espera que estén los usuarios. Por ejemplo, las salas de conferencias son, en general, una mejor ubicación para los AP que un pasillo.

Amenazas de WLAN

Las dificultades para mantener segura una red conectada por cable se multiplican con una red inalámbrica. La seguridad debe ser una prioridad para cualquiera que utilice o administre redes.

  • Intrusos inalámbricos
  • Aplicaciones no autorizadas
  • Intercepción de datos
  • Ataques DoS

Ataques de Denegación de Servicio (DoS) Inalámbricos

Los ataques DoS inalámbricos pueden ser el resultado de lo siguiente:

  • Dispositivos Mal Configurados

    Los errores de configuración pueden deshabilitar la WLAN. Por ejemplo, un administrador puede modificar accidentalmente una configuración y deshabilitar la red, o un intruso con privilegios de administrador puede deshabilitar una WLAN intencionalmente.

  • Interferencia Malintencionada

    Un usuario malintencionado interfiere en la comunicación inalámbrica intencionalmente. Su objetivo es deshabilitar la red inalámbrica por completo o a tal punto que ningún dispositivo legítimo pueda acceder al medio.

  • Interferencia Accidental

    Las WLAN operan en las bandas de frecuencia sin licencia y, por lo tanto, todas las redes inalámbricas, independientemente de las características de seguridad, pueden sufrir la interferencia de otros dispositivos inalámbricos. La interferencia accidental puede provenir de dispositivos como los hornos de microondas, los teléfonos inalámbricos, los monitores para bebés, entre otros. La banda de 2,4 GHz es más proclive a la interferencia que la banda de 5 GHz.

Manipulación de Tramas de Administración

Las tramas de administración se pueden manipular para crear varios tipos de ataque DoS. Los dos tipos de ataques comunes a las tramas de administración incluyen lo siguiente:

  • Ataque de Desconexión Suplantada

    Esto ocurre cuando un atacante envía una serie de comandos de “desasociación” a los clientes inalámbricos dentro de un BSS. Estos comandos hacen que todos los clientes se desconecten. Al desconectarse, los clientes inalámbricos inmediatamente intentan volver a asociarse, lo que crea un estallido de tráfico. El atacante continúa enviando tramas de desasociación, y el ciclo se repite.

  • Saturación con CTS (Clear to Send)

    Esto ocurre cuando un atacante aprovecha el método de contienda CSMA/CA para monopolizar el ancho de banda y denegar el acceso de todos los demás clientes inalámbricos al AP. Para lograr esto, el atacante satura repetidamente el BSS con tramas de Listo para Enviar (CTS) a una STA falsa. Todos los demás clientes inalámbricos que comparten el medio de RF reciben las CTS y retienen sus transmisiones hasta que el atacante deja de transmitir las tramas CTS. Se muestra cómo un atacante satura con CTS al enviar este tipo de tramas a un cliente inalámbrico falso. Todos los demás clientes ahora deben esperar la duración especificada en la trama CTS.

Mecanismos de Seguridad Heredados

Para abordar las amenazas relacionadas con mantener alejados a los intrusos inalámbricos y proteger los datos, en un principio se usaron dos características de seguridad:

  • Ocultamiento del SSID

    Los AP y algunos routers inalámbricos permiten que se deshabilite la trama de señal del SSID. Los clientes inalámbricos deben identificar manualmente el SSID para conectarse a la red.

  • Filtrado de Direcciones MAC

    Un administrador puede permitir o denegar el acceso inalámbrico a los clientes de forma manual según la dirección MAC del hardware físico.

Autenticación Mediante Clave Compartida

Se introdujeron dos tipos de autenticación con el estándar 802.11 original:

  • Autenticación de Sistema Abierto

    Cualquier cliente inalámbrico se debe poder conectar con facilidad, y este método solo se debe usar en situaciones en las que la seguridad no es motivo de preocupación, como en los lugares que proporcionan acceso gratuito a Internet (cafés, hoteles y áreas remotas).

  • Autenticación Mediante Clave Compartida

    Proporciona mecanismos como WEP, WPA o WPA2 para autenticar y cifrar datos entre un cliente y un AP inalámbricos. Sin embargo, la contraseña se debe compartir previamente entre las dos partes para que estas se conecten.

Como se muestra en la figura 4.3.2.2 (1), existen tres técnicas de autenticación mediante clave compartida:

Protocolos de Cifrado Inalámbrico

  • Privacidad Equiparable a la de Redes Cableadas (WEP)

    Especificación 802.11 original, diseñada para proporcionar una privacidad similar a la de conectarse a una red mediante una conexión por cable. Los datos se protegen mediante el método de cifrado RC4 con una clave estática. Sin embargo, la clave nunca cambia al intercambiar paquetes, por lo que es fácil de descifrar.

  • Acceso Protegido Wi-Fi (WPA)

    Un estándar de Wi-Fi Alliance que usa WEP, pero protege los datos con un algoritmo de cifrado del Protocolo de Integridad de Clave Temporal (TKIP), que es mucho más seguro. TKIP cambia la clave para cada paquete, lo que hace que sea mucho más difícil de descifrar.

  • IEEE 802.11i / WPA2

    IEEE 802.11i es un estándar del sector para proteger las redes inalámbricas. La versión de Wi-Fi Alliance se denomina WPA2. Tanto 802.11i como WPA2 usan el Estándar de Cifrado Avanzado (AES). En la actualidad, se considera que AES es el protocolo de cifrado más seguro.

Ya no se recomienda WEP. Se comprobó que las claves WEP compartidas presentan errores y, por lo tanto, no se lo debe usar nunca. Para contrarrestar la debilidad de las claves WEP compartidas, el primer enfoque de las empresas fue probar técnicas, como el ocultamiento de los SSID y el filtrado de las direcciones MAC. Se comprobó que estas técnicas también son demasiado débiles.

Protocolos de Cifrado WPA y WPA2

El estándar IEEE 802.11i y los estándares WPA y WPA2 de Wi-Fi Alliance usan los siguientes protocolos de cifrado:

  • Protocolo de Integridad de Clave Temporal (TKIP)

    Es el método de cifrado que usa WPA. Provee apoyo para el equipo WLAN heredado que atiende las fallas originales asociadas con el método de encriptación WEP 802.11. Usa WEP, pero cifra el contenido de capa 2 mediante TKIP y realiza una comprobación de integridad de los mensajes (MIC) en el paquete cifrado para asegurar que no se alteró el mensaje.

  • Estándar de Cifrado Avanzado (AES)

    Es el método de cifrado que usa WPA2. Es el método preferido, ya que se alinea con el estándar del sector IEEE 802.11i. AES realiza las mismas funciones que TKIP, pero es un método de cifrado más seguro. Usa el protocolo.

Tipos de Autenticación WPA/WPA2

WPA y WPA2 admiten dos tipos de autenticación:

  • Personal

    Diseñada para las redes domésticas o de oficinas pequeñas.

  • Enterprise (Empresarial)

    Diseñada para las redes empresariales, pero requiere un servidor de servicio de autenticación remota telefónica de usuario (RADIUS).

Resolución de Problemas de Red

Existen tres métodos principales de resolución de problemas para solucionar los problemas de una red:

  • Ascendente

    Comenzar por la capa 1 y continuar en sentido ascendente (figura 4.4.3.1 (1)).

  • Descendente

    Comenzar en la capa superior y continuar en sentido descendente (figura 4.4.3.1(2)).

  • Divide y Vencerás

    Hacer ping al destino. Si los pings fallan, verificar las capas inferiores. Si los pings se realizan correctamente, verificar las capas superiores.

Optimización del Ancho de Banda Inalámbrico

Para optimizar y aumentar el ancho de banda de los routers 802.11n/ac de banda dual, realice lo siguiente:

  • Actualice sus Clientes Inalámbricos

    Los dispositivos anteriores a 802.11b e incluso 802.11g pueden hacer que toda la WLAN sea más lenta. Para lograr el mejor rendimiento, todos los dispositivos inalámbricos deben admitir el mismo estándar más alto aceptable.

  • Divida el Tráfico

    La manera más fácil de mejorar el rendimiento inalámbrico es dividir el tráfico inalámbrico entre las bandas 802.11n de 2,4 GHz y de 5 GHz. Por lo tanto, IEEE 802.11n (o superior) puede usar las dos bandas como dos redes inalámbricas separadas para ayudar a administrar el tráfico. Por ejemplo, use la red de 2,4 GHz para las tareas de Internet básicas, como la navegación web, el correo electrónico y las descargas, y use la banda de 5 GHz para la transmisión de multimedios.

Etiquetas: , , , , , , ,

Deja un comentario