5. Introducción: ¿Quién es quien? Organización creada por líderes proveedores de software y equipos inalámbricos con la misión de certificar los productos basados en el 802.11 para lograr interoperatibilidad y promover el término Wi-Fi. IEEE Instituto de Ingenieros Eléctricos y Electrónicos, una asociación técnico-profesional mundial dedicada a la estandarización, entre otras cosas. Es la mayor asociación internacional sin ánimo de lucro formada por profesionales de las nuevas tecnologías 2
6. Introducción: Características de la tecnología Wi-Fi: Velocidad. Conexión inalámbrica de banda ancha consiguiendo 11 Mbps con 802.11b y hasta 54 Mbps con 802.11a Regulación. Debe tener en cuenta ciertos aspectos legales (CNAF, ley sobre emisiones radioeléctricas, etc). Opera en la banda libre ICM (Industrial, Científica y Médica) de 2,4 y 5 GHz Arquitectura abierta. Se está tratando con estándares como el 802.11a y el 802.11b/g y con grupos de certificación como el FCC o la ETSI Escalabilidad. Introduciendo más puntos de acceso se amplia la cobertura. Obliga a utilizar varias frecuencias Coste. La madurez hace que los costes de los equipos sean más bajos y que tengan un rendimiento aceptable 3
7. Introducción: Inconvenientes Interferencia y degradación de la señal de radio. Administración de la energía Interoperabilidad Seguridad de la red (menos segura) Fiabilidad y conectividad Problemas de instalación y de diseño del sitio Temas de salud 4
11. Estandares disponibles: IEEE 802.11 Primer estándar del IEEE para redes inalámbricas (1997) Funciona en la banda ICM de 2,4 GHz Dos tipos de modulación: DSSS – Direct Sequence Spread Spectrum FHSS – Frequency Hopped Spread Spectrum Velocidad de transmisión entre 1 y 2 Mbps 8
12. Estandares disponibles: IEEE 802.11b Evolución natural del anterior estándar Velocidad de transferencia de hasta 11 Mbps Banda de frecuencia 2,4 GHz (2,412 – 2,497 GHz) Divide el espectro en 14 canales, 3 sin solapamiento Modulación DSSS con el sistema de codificación CCK Rango de operación óptimo de 50 metros en interiores y 100 metros en exteriores 9
15. Estandares disponibles: IEEE 802.11a Velocidad de transferencia de datos de hasta 54 Mbps Funciona sobre la banda de 5 GHz (5,150 – 5,350 GHz y 5,470 – 5,725 GHz) Utiliza la técnica de modulación OFDM (Ortogonal FrequencyDivisionMultiplexing) Se pueden tener en funcionamiento hasta 8 canales sin solapamiento, con el consiguiente aumento en la capacidad para las comunicaciones simultáneas Menor cobertura que 802.11b 10
16. Estandares disponibles: IEEE 802.11g Velocidad de transferencia de datos de hasta 54 Mbps Funciona sobre la banda de 2,4 GHz (2,412 – 2,497 GHz) y es compatible con 802.11b, pueden coexistir utilizar dos métodos de modulación: DSSS y OFDM Divide el espectro en 14 canales, 3 sin solapamiento Similares características del 802.11b pero con mayor velocidad de transferencia. 11
17. Estandares disponibles: Otros estándares del grupo 802.11 IEEE 802.11e: estándar para la implementación de características de QoS y multimedia en las redes 802.11 IEEE 802.11f: estándar para la intercomunicación entre puntos de acceso de distintos fabricantes, permitiendo el roaming o itinerancia de clientes IEEE 802.11h: Permite Selección Sinámica de Frecuencia (DFS, DynamicFrequiencySelection) y Control de Potencia de Transmisión (TCP, TransmitPower Control) IEEE 802.11i: estándar que permite incorporar mecanismos de seguridad para redes inalámbricas IEEE 802.11m: propuesto para mantenimiento de redes inalámbricas 12
18. Componentes red wifi: Adaptador cliente (o Terminal de usuario) Puntos de acceso (AP, Access Point) Puentes inalámbricos (WB, Wireless Bridge) Routers inalámbricos Antenas 13
19. Componentes red wifi: Adaptador cliente Dotados de una Tarjeta de Interfaz de Red (NIC, “Network Interface Card”) Transceptor radio Antena Proporcionan comunicaciones inalámbricas de datos entre dispositivos fijos, portátiles o móviles y otros dispositivos inalámbricos o una infraestructura de red cableada Su función primordial es la de transferir paquetes de datos a través de la infraestructura inalámbrica Funcionan de forma parecida a un producto de red estándar, excepto que el cable es sustituido por una conexión de radio 14
21. Componentes red wifi: Punto de acceso (AP) Es un transceptor que puede actuar como el punto central de una red inalámbrica única Se puede utilizar como punto de conexión entre redes inalámbricas y cableadas La itinerancia proporcionada por varios AP permite que los usuarios inalámbricos se muevan libremente por la instalación manteniendo un acceso perfecto e ininterrumpido a la red Según el fabricante y el modelo puede tener varios modos de funcionamiento: Modo AP: actúa como hub, comunicando entre sí las estaciones asociadas al AP Modo Bridging: Unen dos AP inalámbricamente, simulan un sistema de distribución cableado 16
22. Componentes red wifi: Puentes inalámbricos (WB) Están diseñados para conectar dos o más redes que normalmente están ubicadas en edificios diferentes Entregan unas velocidades de transmisión de datos altas y un rendimiento superior para las aplicaciones de línea de visión con gran intensidad de datos Los puentes conectan sitios difíciles de cablear: Plantas no contiguas Sucursales Los edificios de un campus o de un parque empresarial, Almacenes Se pueden configurar para aplicaciones punto a punto o punto a multipunto 17
23. Componentes red wifi: Routersinalámbricos Dispositivos inalámbricos multifunción para el entorno SOHO (Oficina pequeña/Oficina en casa, Small Office/Home Office) Este tipo de routers son realmente tres dispositivos en una sola caja: Un punto de acceso inalámbrico Un switch de varios puertos para conectar dispositivos Ethernet cableados Un router que permite que toda la red comparta una conexión a Internet por cable de alta velocidad mediante xDSL o cable 18
24. Componentes red wifi: Antenas El acoplamiento de una antena correcta con el AP apropiado permite una cobertura eficaz en cualquier instalación, así como una mayor fiabilidad a velocidades de transmisión de datos altas Tienen diferentes capacidades de ganancia, alcance, anchura de rayo y factor de forma según el modelo Permiten dos configuraciones Direccional para la transmisión punto a punto Omnidireccional para las implantaciones punto a multipunto 19
26. Topologias inalámbricas: BSS Independiente (BBSI) Para comunicarse fuera una de las estaciones debe actuar de gateway 21
27. Topologias inalámbricas: Sistema de distribucion (DS) En ocasiones es necesario aumentar la cobertura BSS como elemento de un cojunto de servicio extendido (ESS), no un elemento independiente F.O., cable, inalambrica, …. 22
28. Topologias inalámbricas: Sistema de distribucion (DS) Las estaciones dentro de un ESS se pueden comunicar, y las estaciones moviles se puden mover de un BSS a otro (itenerancia) 23
29. Seguridad En una red Wi-Fi la transmisión de datos se realiza a través de ondas de radio. Amenaza para la seguridad de la red La información que se envía por un canal queda expuesta a posibles intrusos. Cualquier persona con un dispositivo wireless puede introducirse en la red para hacer uso de ella o efectuar un ataque. Analizar: Vulnerabilidades Amenazas 24
30. Seguridad Vulnerabilidades Débil autenticación, sólo del dispositivo: Los dispositivos cliente están autenticados. Los usuarios no están autenticados. Esto permite que los usuarios sin autorización accedan a los recursos y ventajas de la red. Cifrado débil de los datos: El método de cifrado WEP (WiredEquivalentPrivacy) es ineficaz como medio para cifrar los datos No hay integridad del mensaje: El ICV (IntegrityCheckValue) también se ha mostrado ineficaz como medio para garantizar la integridad del mensaje Estas vulnerabilidades de seguridad del 802.11 pueden ser una barrera para la implantación de una red Wi-Fi en un entorno empresarial El personal de la empresa es reacia a implantar una tecnología que podría permitir el acceso no autorizado a datos importantes 25
31. Seguridad Tipos de ataques Ataque de AP falso (man-in-the-middle) Ataques contra la WEP Ataques de denegación de servicio (DoS) Ataques de reconocimiento Descubrimiento y asignación no autorizados de sistemas, servicios o vulnerabilidades Técnicas de captura de paquetes para escuchar a escondidas y descubrir SSIDs, validar MACs o saber si hay encriptación Ataques de acceso Intruso no autorizado que obtiene acceso a un dispositivo restringido 26
32. Seguridad Mecanismos de seguridad Soluciones de seguridad inalámbrica de primera generación Evitar la difusión del SSID Filtrado MAC Cifrado WEP Soluciones de seguridad inalámbrica de segunda generación 802.1X (EAP) Cifrado WPA (TKIP) 27
33. Seguridad Evitar la difusión del SSID (1º generacion) Los primeros equipos inalámbricos eran caros y difíciles de encontrar Se ocultaba el SSID en el AP como medida de seguridad Esta solución no asegura la red ya que un sniffer inalámbrico puede capturar fácilmente un SSID válido del tráfico que circula por la red No es suficiente Filtrado MAC (1º generacion) La autenticación basada en MAC no está definida en las especificaciones 802.11 Sin embargo, la mayoría de fabricantes lo implementan El AP debe consultar una lista de direcciones MAC válidas en un servidor centralizado Tampoco proporciona seguridad, hoy dia existe software capaz de emular la MAC deseada. No es suficiente 28
34. Seguridad WEP (WiredEquivalentPrivacy) (1º generacion) El estándar IEEE 802.11 incluye WEP para proteger a los usuarios autorizados de una red inalámbrica ante una escucha casual Es un algoritmo de cifrado de la información que viaja a través del aire El estándar IEEE 802.11 WEP especifica una clave estática de 40 bits, aunque la mayoría de los fabricantes tienen WEP extendida a 128 bits o más Al utilizar WEP, tanto el cliente inalámbrico como el AP deben tener una clave WEP coincidente WEP está basada en un tipo de cifrado existente y familiar: Rivest Cipher 4 (RC4) 29
35. Seguridad 802.1X (2º generacion) No se abrirá el puerto ni se permitirá la conexión, hasta que el usuario esté autenticado y autorizado contra una base de datos alojada en el Servidor RADIUS. Principios basicos: Autenticación. Claves para encriptación dinámicas o rotativas Emplea EAP (Extensible AuthenticationProtocol) para autenticar y autorizar a los usuarios Usa un Servidor de tipo RADIUS para autenticar y autorizar contra la base de datos Se definen 3 elementos: suplicante, autenticador (AP) y servidor de autenticación (RADIUS o AAA) 30
36. Seguridad WPA (Wi-Fi Protected Access) (2º generacion) Método de cifrado que sustituye a WEP No requiere cambio de hardware, basta con actualizar el software Es un preámbulo del estándar 802.11i Necesita que todos los dispositivos lo implementen No utilizado para topología Ad hoc (necesita comunicación con estaciones base) Cifrado de datos con TKIP (Temporal Key IntegrityProtocol) 31
37. Seguridad WPA (Wi-Fi Protected Access) Dos modos de funcionamiento: WPA Personal (PSK) La autenticación se realiza mediante una clave (Shared Key) conocida por los clientes y la estación base Si la clave es descubierta la transmisión queda comprometida WPA Enterprise Requiere un servidor de autenticación Utiliza 802.1X para autenticación Gestión centralizada de las diferentes claves 32
38. Seguridad WPA2 Incluido en el estándar 802.11i Utiliza el Estándar de Encriptación Avanzada (AES) reemplazando a RC4 Claves de 128, 192 y 256 bits Compatible con WPA Incluye TKIP y 802.1X Es necesario una actualización de equipos Al igual que en WPA, dos clases: Personal y Enterprise 33
40. Marco legislativo El marco legislativo español actual, en materia de telecomunicaciones, se configura en torno a un conjunto de normativas, decretos, leyes, notas técnicas: Organismos Internacionales de Gestión del Espectro Conferencia Europea de Administraciones Postales y Telecomunicaciones (CEPT). Organismos de Normalización Instituto Europeo de Normas de Telecomunicación (ETSI). Unión Internacional de Telecomunicaciones (UIT). Comité Europeo de Normalización Electrotécnica (CENELEC). Asociación Española de Normalización (AENOR). 34
41. Marco regulatorio Unión Internacional de Telecomunicaciones (UIT) Reglamento de Radiocomunicaciones de la UIT-R: Se actualiza de acuerdo a resoluciones, recomendaciones y normativas de organismos y conferencias competentes. Efectúa la atribución de las bandas de frecuencias del espectro radioeléctrico y la adjudicación de frecuencias radioeléctricas. Coordina los esfuerzos para eliminar las interferencias perjudiciales entre las estaciones de radiocomunicación de los diferentes países. Conferencias Mundiales de Radiocomunicaciones. 35
42. Marco regulatorio Unión Europea Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002. Fija las funciones de las Autoridades Nacionales de Reglamentación en la materia Instaura una serie de procedimientos para garantizar la aplicación armonizada del marco regulador en toda la Comunidad Europea Ministerio de Ciencia y Tecnología (Industria, Turismo y Comercio) Aprueba mediante la orden CTE/630/2002, de 14 de Marzo de 2002, el Cuadro Nacional de Atribución de Frecuencias (CNAF) En él se recogen las atribuciones en el ámbito nacional de las diferentes bandas de frecuencias atribuidas a los distintos servicios de radiocomunicaciones 36
43. Marco regulatorio Ministerio de Ciencia y Tecnología (Industria, Turismo y Comercio) Ley 32/2003, de 3 de Noviembre, General de Telecomunicaciones (LGTel). Mediante esta ley se incorpora al ordenamiento jurídico español el contenido de la normativa comunitaria adaptándolo a las peculiaridades propias del derecho y la situación de España. Se regulan, las obligaciones de servicio público, que se imponen a los explotadores de redes públicas, y prestadores de servicios de telecomunicaciones disponibles para el público . Se crea la Agencia Estatal de Radiocomunicaciones. Real Decreto 1066/2001 37
44. Utilizacion del CNAF Normas de Utilización Nacional aplicables a Wi-Fi UN-85 (Banda de frecuencias 2,400 a 2,483 GHz) Estas frecuencias pueden ser utilizadas en redes de área local para la interconexión sin hilos entre dispositivos en el interior de edificios. La potencia total será inferior a 100 mW (PIRE). Puede utilizarse para aplicaciones generales de baja potencia en recintos cerrados y exteriores de corto alcance. Las características radioeléctricas de los equipos se deben ajustar a las especificaciones . 38
45. Utilizacion del CNAF UN-128 (Redes de área local de altas prestaciones en la banda de 5 GHz) Se distinguen dos bandas de frecuencias que pueden ser utilizadas por el servicio móvil en redes de área local de altas prestaciones Banda 5,150 – 5,350 GHz El uso del servicio móvil se restringe al interior de recintos. Potencia máxima en función de la frecuencia y las modalidades técnicas instaladas. TPC – Técnicas de control de potencia. DFS – Selección Dinámica de Frecuencia. 39
46. Utilizacion del CNAF Banda 5,470 – 5,725 GHz Usada para redes de área local en el interior o exterior de recintos con potencia inferior o igual a 1 W. Estos sistemas deben disponer de TPC y DFS 40
47. Utilizacion del CNAF Uso de banda de frecuencia Orden 9 de Marzo de 2000. Las bandas de las normas anteriores son de uso común. No deben producir interferencias a otros servicios que utilicen estas bandas. No se garantiza la protección frente a otros servicios de radiocomunicaciones con categoría diferente. 41
48. Prestaciones de servicios El establecimiento de una red Wi-Fi para la prestación de servicios de telecomunicaciones, es una forma de explotación de una red pública de telecomunicaciones. La anterior normativa exigía un título habilitante para la creación, gestión y explotación de tal red. Para prestar un servicio de acceso a Internet a través de redes Wi-Fi era necesario solicitar a la CMT Licencia tipo C2 (establecimiento o explotación de redes públicas que impliquen el uso del dominio radioeléctrico) y Autorización General Tipo C Nueva LGTel es suficiente con efectuar una notificación a la CM Datos de la persona física o jurídica que va a explotar la red Descripción de la red y de los servicios a prestar Compromisos de calidad Forma en que se van a prestar 42
50. Metodología Deberá contemplar los siguientes aspectos: Especificaciones de la red Dimensionado y determinación del equipamiento Planificación radioeléctrica Cálculo del nivel de emisiones radioeléctricas Despliegue 44
51. Metodología Especificaciones de la red Etapa de análisis de los requisitos de red Capacidad Funcionalidad Servicios Planes de futura ampliación Compatibilidad con las redes existentes Interoperabilidad entre dispositivos Seguridad El cliente debe proporcionar los requisitos junto con: Estructura de los edificios Infraestructura de redes existentes 45
52. Metodología Dimensionado y determinación del equipamiento Se determinan las capacidades y equipamientos necesarios para el funcionamiento de la red Hay que tener en cuenta: Especificación de la red realizada en el punto anterior Cantidad de clientes potenciales en la red Tipo de emplazamiento Área de cobertura Políticas de seguridad Se selecciona: Estándar inalámbrico a utilizar Equipamiento necesario 46
53. Metodología Planificación radioeléctrica Se definen las estaciones fijas y ubicaciones exactas junto con las prestaciones esperadas de la red en cada punto de servicio Hay que tener en cuenta: Dimensionado Ubicación emplazamientos Información y características del emplazamientos Restricciones geográficas, técnicas y legales La planificación es especialmente importante si hay muchos puntos de acceso y es necesaria la reutilización de frecuencias Cálculo de la cobertura 47
54. Proyecto tipo Estructura de un proyecto tipo Portada Memoria Planos y esquemas Pliego de condiciones Presupuesto Anexos 48
55. Proyecto tipo Portada Una hoja con los datos básicos del proyecto: Descripción Situación del emplazamiento Identificación del cliente Datos del proyecto Tipo de red Tipo de despliegue Datos del colegiado que realiza el proyecto Visado del COIT 49
56. Proyecto tipo Memoria Descripción del proyecto técnico a realizar: Antecedentes Especificaciones de la red Dimensionado del sistema Planificación radioeléctrica Descripción de los equipos utilizados Emisiones radioeléctricas Tabla de parámetros técnicos Matriz de cumplimiento de las especificaciones Planos y Esquemas Materialización de los resultados obtenidos en la memoria técnica 50
57. Proyecto tipo Pliego de condiciones Condiciones particulares: Características del estándar utilizado Parámetros y características técnicas de los equipos que se instalen Condiciones generales: Legislación aplicable a las bandas de frecuencias Normas generales sobre la instalación Requisitos de licencias de explotación Prevención de riesgos laborales Presupuesto 51