Router Teldat. Interfaces Wireless LAN

Transcripción

1 Router Teldat Interfaces Wireless LAN Doc. DM771 Rev Junio, 2008

2 ÍNDICE Capítulo 1 Wireless LAN Introducción Nivel físico Tipos de redes inalámbricas Red inalámbrica Ad-Hoc Infraestructura Extensión de redes inalámbricas: el sistema de distribución Tramas en una WLAN Envío de tramas en una WLAN: acceso al medio... 8 a) Confirmación activa... 8 b) RTS/CTS: el problema del nodo oculto Formato de una trama WLAN Formato de las tramas de gestión Conexión a una red inalámbrica a) Identificación de la red inalámbrica Búsqueda pasiva Búsqueda activa b) Autenticación Autenticación abierta (Open-System Authentication) Autenticación con clave compartida (Shared-Key Authentication) c) Asociación Modo ahorro de energía a) Tramas unicast b) Tramas multicast Seguridad en redes Wireless LAN Control de acceso MAC Cifrado WEP Autenticación 802.1X Cifrado WEP dinámico WPA y WPA2 (RSN) Capítulo 2 Configuración de interfaces Wireless LAN Acceso a la configuración de la Wireless LAN Estructura del menú de configuración Configuración común a todos los BSS Configuración de seguridad Configuración de parámetros de acceso al medio Configuración del BSS Configuración de la seguridad Comandos del menú de configuración ? (AYUDA) ACCESS-CONTROL ANTENNA BEACON BSS CHANNEL COUNTRY FRAGMENT-THRESHOLD KEY LIST MODE NO POWER RTS ii -

3 5.15. EXIT Comandos del menú de configuración del BSS ? (AYUDA) AKM-SUITE AUTHENTICATION CIPHER GROUPKEY-UPDATE KEY DEFAULT LIST NO PRIVACY-INVOKED RSN SSID-SUPPRESS WEP-KEYSOURCE WPA-PSK EXIT Capítulo 3 Monitorización de interfaces Wireless Acceso a la monitorización de la Wireless LAN Comandos del menú de monitorización ? (AYUDA) ACL SHOW BEACON-SHOW BSS SHOW CHANNEL SHOW COUNTRY SHOW DOT1X SHOW DUMP RADAR SHOW STATION SHOW EXIT Capítulo 4 Ejemplos de configuración Configuración básica: bridge y DHCP Escenario Configuración Wireless LAN Configuración de bridge Configuración de DHCP Configuración completa WEP estático con control de acceso MAC Escenario Configuración WEP dinámico Escenario Configuración WPA-PSK Escenario Configuración WPA, WPA2 con servidor Radius Escenario Configuración Apendicé Códigos Códigos de país permitidos iii -

4 Capítulo 1 Wireless LAN

5 1. Introducción La utilización del interfaz Wireless LAN (WLAN) permite la conexión de varios equipos en red sin utilizar cables. Para ello, los paquetes se radian utilizando bandas de frecuencia y modulaciones estandarizadas. La principal ventaja de las redes inalámbricas es la movilidad de los usuarios, así como su flexibilidad para admitir nuevos usuarios sin realizar cambios en la infraestructura. Sin embargo, el hecho de que los paquetes se radien provoca que cualquiera pueda escuchar estos paquetes, por lo que se debe ser especialmente cuidadoso con la seguridad a la hora de montar una red inalámbrica. En este capítulo se introducen los conceptos básicos de funcionamiento de las redes inalámbricas, haciendo hincapié en la parte de seguridad. ROUTER TELDAT Interfaz Wireless LAN I - 2

6 2. Nivel físico El estándar que define el funcionamiento de una red Wireless LAN es el del IEEE. Sobre el estándar inicial, se han ido aprobando diferentes estándares para ampliarlo, ya sea para definir nuevas modulaciones (802.11a, b, g), mejorar el nivel de seguridad definido en el estándar inicial (802.11i) o definir nuevas funcionalidades (caso del estándar e, que define la calidad de servicio en redes Wireless LAN). En la actualidad, se utilizan tres estándares diferentes para el nivel físico. En la siguiente tabla se muestra la banda de frecuencia en la que operan y la velocidad máxima alcanzable en los distintos estándares. Modo Frecuencia Velocidad máxima a 5 GHz 54 Mbps b 2.4 GHz 11 Mbps g 2.4 GHz 54 Mbps Cómo se puede observar en la tabla, los estándares b y g comparten una misma banda de frecuencia, lo que permite la coexistencia de equipos de ambos estándares en una misma red. Los equipos que operan utilizando los estándares b/g son los más habituales en la actualidad. La banda de frecuencia en la que se opera se divide en canales. Cada país controla su espectro radioeléctrico, lo que se traduce en que los canales permitidos dentro de una banda de frecuencia varían de un país a otro. Para evitar interferencias entre canales, se recomienda que si hay dos redes inalámbricas operando en la misma zona, los canales en los que operan estén separados al menos por dos canales sin utilizar. Así, por ejemplo, si una red opera en el canal 1, la otra debe hacerlo en el 4 para minimizar la interferencia. ROUTER TELDAT Interfaz Wireless LAN I - 3

7 3. Tipos de redes inalámbricas El elemento básico en la creación de una red inalámbrica es el denominado BSS (Basic Service Set), que consiste en un conjunto de estaciones que se comunican entre sí. A la hora de crear una red inalámbrica existen dos opciones: red inalámbrica independiente o ad-hoc (también llamada IBSS: Independent Basic Service Set) y red inalámbrica en modo infraestructura. Las redes inalámbricas se distinguen a través de un identificador de red (SSID: Service Set IDentifier), cadena de 32 octetos Red inalámbrica Ad-Hoc En este tipo de redes, las estaciones inalámbricas se comunican entre sí directamente, sin necesidad de un elemento gestor del tráfico. Este modo está pensado para crear pequeñas redes temporales. En este tipo de red, para que dos estaciones se comuniquen, es necesario que las estaciones se escuchen, es decir, que cada estación esté dentro del área de cobertura de la estación con la que se quiere comunicar. Station 1 Station 3 Station 2 IBSS: red inalámbrica independiente 3.2. Infraestructura En las redes ad-hoc, no existe la posibilidad de comunicar las estaciones con otra red externa. Para ello, se necesita un elemento gestor, que no sólo controla el tráfico con otra red externa, sino que controla también el tráfico entre estaciones dentro de la red inalámbrica. ROUTER TELDAT Interfaz Wireless LAN I - 4

8 4 2 0 N A Station 1 Station 3 AP Station 2 Red inalámbrica en modo infraestructura Este elemento gestor es lo que se denomina punto de acceso o, en inglés, Access Point (AP). Todas las tramas que circulan por la red inalámbrica pasan por el punto de acceso, de modo que si una estación quiere comunicarse con otra, envía la trama al punto de acceso, indicando a qué estación final va dirigida la trama, y es el punto de acceso el encargado de enviar la trama a la estación destino. Este enfoque centralizado tiene, entre otras, las siguientes ventajas: - Las estaciones no hace falta que se escuchen directamente para comunicarse: si dos estaciones escuchan al punto de acceso, pueden comunicarse entre ellas. - Centraliza la seguridad, de modo que es el punto de acceso el que decide si permite que una estación entre a formar parte de la red inalámbrica o no. Esto facilita enormemente la definición de las estrategias de seguridad. - Permite la comunicación de varias redes a través del punto de acceso. En el resto del capítulo nos centraremos en redes inalámbricas en modo infraestructura 3.3. Extensión de redes inalámbricas: el sistema de distribución La zona en la que una estación puede pertenecer a una red inalámbrica está limitada, centrándonos en redes de infraestructura, porque reciba o no señal del punto de acceso. Esto a su vez depende, fundamentalmente, de la ganancia de las antenas utilizadas en la estación y punto de acceso, de la distancia de la estación al punto de acceso y de los obstáculos situados entre los dos elementos. Existe la posibilidad de extender una red inalámbrica a una zona más amplia. Para ello, se utilizan diferentes puntos de acceso, todos ellos configurados con el mismo identificador de red. La zona de cobertura de un punto de acceso define una zona de servicio básico o BSS. Si una estación se mueve y se sale de la zona de cobertura de un punto de acceso, puede enviar los paquetes a través de otro punto de acceso que cubra la nueva zona a la que se ha desplazado la estación. De igual modo, las estaciones cubiertas por diferentes puntos de acceso deben poder comunicarse entre ellas, ya que para ellas la red ROUTER TELDAT Interfaz Wireless LAN I - 5

9 4 2 0 N A N A debe ser única. Para ello, es necesario que exista la posibilidad de enviar paquetes de un punto de acceso a otro. La comunicación entre zonas de servicio básico, así como redes externas a la red inalámbrica, se realiza a través de lo que el IEEE denomina en sus estándares el sistema de distribución. Los estándares del IEEE no entran en detalle de cómo debe ser el sistema de distribución, indicando sólo las características que debe cumplir. En la práctica, el sistema de distribución más habitual es una red de área local tipo Ethernet, tal y como se observa en la figura siguiente. Station 1 Station 2 Station 4 AP 1 AP 2 Station 3 Station 5 Ethernet ESS: Zona de servicio extendido La unión de varias zonas de servicio básico da lugar a una zona de servicio extendido, normalmente denominada ESS (Extended Service Set). En la figura anterior se muestra una zona de servicio extendido formada por los siguientes elementos: - una zona de servicio básico, BSS1, cubierta por el punto de acceso AP1. A esta zona de servicio pertenecen las estaciones 1, 2 y 3. - una zona de servicio básico, BSS2, cubierta por el punto de acceso AP2. A esta zona de servicio pertenecen las estaciones 4 y 5. - un sistema de distribución, la Ethernet, que permite la comunicación entre los elementos de las dos zonas de servicio básico. Si la estación 1 quiere enviar un paquete a la estación 4, el procedimiento es el siguiente: 1. la estación 1 envía el paquete al punto de acceso AP1, indicando que el destinatario final es la estación 4. Como se puede suponer, una trama WLAN necesita más de dos direcciones para su direccionamiento correcto. En concreto, en este ejemplo son necesarias tres direcciones: la dirección origen (estación 1), la dirección que recibe el paquete (AP1) y la dirección destino (estación 4). En el caso más general, se necesitan hasta cuatro direcciones para el direccionamiento de una trama WLAN. ROUTER TELDAT Interfaz Wireless LAN I - 6

10 2. el punto de acceso AP1 hace bridge del paquete recibido y lo envía a través del sistema de distribución. El paquete por la Ethernet tiene como dirección MAC origen la de la estación 1, y como dirección MAC destino la de la estación el punto de acceso AP2 recibe el paquete enviado por el punto de acceso AP1. Al ir destinado a una estación conocida por él, el punto de acceso AP2 envía el paquete a la estación la estación 4 recibe el paquete originado en la estación 1. En la figura anterior, la estación 2 está cerca de los puntos de acceso AP1 y AP2, eligiendo uno u otro en función de la señal recibida. Si la estación se moviese hacia la derecha, recibiendo mayor señal del punto de acceso AP2, la estación se asociaría al nuevo punto de acceso, manteniéndose en todo momento dentro de la misma red. El elemento clave para que esto sea así es el identificador de la red o SSID (Service Set Identifier). El SSID es una cadena alfanumérica que identifica a una red inalámbrica, de modo que todos los puntos de acceso que pertenecen a una misma ESS, deben utilizar el mismo identificador de red. ROUTER TELDAT Interfaz Wireless LAN I - 7

11 4. Tramas en una WLAN 4.1. Envío de tramas en una WLAN: acceso al medio Antes de entrar a explicar el formato de una trama en una red inalámbrica y los tipos de tramas que pueden aparecer, conviene explicar, siquiera brevemente, el mecanismo utilizado en las redes inalámbricas para el envío de paquetes. Una red inalámbrica es una red en la que el medio es compartido entre todas las estaciones que componen la red. Incluimos aquí al punto de acceso como un tipo particular de estación. Cuando un medio es compartido es necesario que una estación, antes de enviar datos, escuche el medio para comprobar que no hay nadie más transmitiendo y puede transmitir sin interferir con otra trama. El mecanismo utilizado es básicamente el mismo que para la Ethernet común: detección de portadora para acceso múltiple (CSMA: Carrier Sense Multiple Access), con la diferencia de que en vez de utilizar un mecanismo de detección de colisiones (CD: Collision Detection), se utiliza un mecanismo para intentar evitar las colisiones (CA: Collision Avoidance). En los siguientes apartados se describen brevemente las particularidades del envío de tramas en un medio inalámbrico. a) Confirmación activa Cuando se envía una trama en un medio con cable, es de esperar que la trama enviada se reciba correctamente en su destino. Sin embargo, el medio utilizado para la transmisión en una WLAN está sujeto a todo tipo de interferencias y obstáculos. Por este motivo, el IEEE optó por recurrir a la confirmación activa de las tramas enviadas a través de la WLAN: cada vez que se envía una trama, el receptor de la misma debe enviar una trama confirmando su recepción (trama ACK). La excepción son las tramas dirigidas a varias estaciones por motivos obvios, no puede confirmarse la recepción de la trama por todas y cada una de las estaciones que conforman la red inalámbrica. Si el transmisor de una trama no recibe confirmación de recepción, debe considerar la trama perdida e iniciar el proceso para su retransmisión. La operación de envío y confirmación se considera una operación atómica, por lo que se facilitan mecanismos para reservar el medio durante la duración de todo el intercambio. Tx Frame Rx Ack Transmisión de una trama en WLAN: confirmación activa b) RTS/CTS: el problema del nodo oculto En una Ethernet, el cable lleva la señal a todos los nodos, que pueden sondear el medio para detectar posibles colisiones. En una red inalámbrica, la transmisión por radio hace que los límites de la red sean difusos. Una estación con una antena de alta ganancia puede detectar una red inalámbrica en un sitio en el que otra estación con una antena normal no detecta nada. Además, el movimiento, tanto de ROUTER TELDAT Interfaz Wireless LAN I - 8

12 4 2 0 N A las estaciones como de los obstáculos, puede dar lugar a zonas de sombra en las que una estación, a pesar de estar muy próxima a otra estación, no detecte su señal. Station 1 Station 3 AP Station 2 El problema del nodo oculto Imaginemos que, en la figura anterior, las estaciones 1 y 3 escuchan perfectamente al punto de acceso. Sin embargo, por razones de obstáculos o potencia, ambas estaciones no se escuchan entre sí. En estas circunstancias, si la estación 1 está transmitiendo y la estación 3 tiene algo que transmitir, ésta puede interpretar erróneamente que el medio está libre, al no poder escuchar el tráfico de la estación 1. Esto puede dar lugar a múltiples colisiones, con la consecuente degradación de la calidad del enlace experimentada por los usuarios. Para solucionar este problema, conocido como problema del nodo oculto, el IEEE introdujo un mecanismo adicional de transmisión en el medio: la operación atómica de envío de una trama va acompañada de una trama de petición de envío (RTS: Request To Send) y una trama de confirmación de que es posible el envío (CTS: Clear To Send). Tx RTS Rx CTS Frame Ack Transmisión de una trama en WLAN: confirmación activa En este caso, cuando la estación 1 desea transmitir una trama, envía previamente una trama RTS para indicar que va a utilizar el medio durante la duración de la operación atómica que supone el envío de la trama (duración de RTS + duración de CTS + duración de la trama + duración del ACK). Puesto ROUTER TELDAT Interfaz Wireless LAN I - 9

13 que la trama RTS es una trama pequeña, hay menos posibilidades de colisiones. Todas las estaciones que escuchan el RTS, tienen la obligación de permanecer calladas durante la duración indicada. A la recepción de la trama RTS, la estación receptora enviará una trama CTS, en la que se indica que el medio estará ocupado durante el resto de la operación atómica de envío de la trama (duración de CTS + duración de la trama + duración del ACK). Las estaciones que escuchen el CTS tiene la obligación de permanecer calladas durante la duración indicada. Una vez completado el intercambio RTS/CTS, ya puede procederse al envío de la trama tal y como se vio en el apartado anterior: envío de la trama seguido de confirmación por la estación receptora. Elimina esto el problema del nodo oculto? Sí, ya que se puede asegurar que cualquier estación perteneciente a la zona de servicio básico escuchará o bien el RTS, o bien el CTS. Téngase en cuenta que el punto de acceso interviene en todos los intercambios de tramas y que todas las estaciones escuchan al punto de acceso. Por tanto, si la estación transmite una trama, el punto de acceso transmitirá el CTS, que será escuchado por todas las estaciones del BSS si el punto de acceso transmite una trama, transmitirá el RTS, que será escuchado por todas las estaciones del BSS. El mecanismo RTS/CTS supone una sobrecarga adicional en el envío de una trama, por lo que normalmente sólo se usa cuando las tramas son largas y hay más posibilidades de colisiones. Habitualmente, los puntos de acceso incluyen entre sus parámetros configurables el tamaño mínimo de trama que activa el mecanismo RTS/CTS Formato de una trama WLAN Una trama WLAN tiene el siguiente formato: Frame control Duration / ID MAC Header Sequence Frame Address 1 Address 2 Address 3 Address 4 CRC Control Body Fragment Number 4 12 Sequence Number Protocol Version Type Subtype To From More Pwr More DS DS Frag Retry Protected Mgt Data Frame Order ROUTER TELDAT Interfaz Wireless LAN I - 10

14 Frame Control Dos octetos con información de las características de la trama. Los componentes de este campo son: - Protocol Version: Tipo de versión MAC a que corresponde la trama. De momento, sólo hay una versión, que tiene asignado el valor 0. - Type: Tipo de trama. En una red inalámbrica se distinguen tres tipos de tramas: - tramas de datos: transportan datos de un protocolo superior en el cuerpo de la trama. - tramas de control: tramas de control del medio. Son, entre otras, las tramas de RTS, CTS y ACK. - tramas de gestión: tramas para realizar tareas de supervisión de la red inalámbrica: asociación, autenticación, etc. - Subtype: Subtipo de trama. Los campos tipo y subtipo identifican el tipo de trama de que se trata. - To DS: Este bit indica si la trama va destinada al sistema de distribución. Este bit se pone a 1 en todas las tramas que van desde una estación a un punto de acceso. - From DS: Este bit indica si la trama procede del sistema de distribución. Este bit se pone a 1 en todas las tramas que van desde un punto de acceso a una estación. - More Fragments: En tramas fragmentadas se pone este bit a 1 para indicar que la trama se compone de más fragmentos. En el último fragmento, el valor de este campo es 0. - Retry: Puesto a 1 cuando se retransmite una trama. - Power Management: Una estación pone a 1 este bit para indicar al punto de acceso que después de la transmisión de la trama se pondrá en modo ahorro de energía. - More Data: Cuando una estación se pone en modo ahorro de energía, el punto de acceso almacena las tramas dirigidas a dicha estación para su posterior envío. Este bit se usa en las tramas enviadas por el punto de acceso para indicar a la estación que hay tramas pendientes de envío. Cuando el punto de acceso termina de enviar las tramas a la estación, se pone este bit a 0, indicando a la estación que puede volver a dormir. - Protected Frame: Indica que la trama está protegida utilizando algún mecanismo de seguridad. Este bit se denominaba, en la norma original, bit de WEP. - Order: Puesto a 1 para indicar que se desea que la trama sea entregada en orden estricto. DURATION / ID Este campo de dos octetos indica normalmente el tiempo que se espera que el medio esté ocupado por la transmisión de esta trama. En un caso especial de trama, utilizado durante el modo de ahorro de energía, identifica a la estación que pregunta al punto de acceso si hay tramas pendientes. ADDRESS 1-4 Campos de direcciones utilizados para direccionar una trama en una red inalámbrica. Los tres primeros campos son obligatorios y aparecen en todas las tramas. El campo con la cuarta dirección es opcional, y sólo aparece en tramas entre puntos de acceso a través del medio inalámbrico (Wireless Bridge, el sistema de distribución no es una Ethernet sino una WLAN). Las direcciones WLAN tienen el mismo formato que las direcciones MAC utilizadas en una ROUTER TELDAT Interfaz Wireless LAN I - 11

15 Ethernet. Dependiendo de la trama, las direcciones MAC pueden tener el siguiente significado: - dirección destino: dirección de la estación final a la que va dirigida la trama. - dirección origen: dirección de la estación que originó la trama. - dirección del transmisor: dirección de la estación que ha enviado la trama. Puesto que las tramas pasan todas por un punto de acceso, esta dirección puede ser diferente de la dirección origen. - dirección del receptor: dirección de la estación que debe recibir la trama. Esta dirección puede ser distinta de la dirección destino. Si, por ejemplo, una estación 1 envía una trama a otra estación 2 dentro de la misma zona de servicio básica, utilizando un punto de acceso AP: - la estación genera una trama con tres direcciones: o dirección origen: la de la estación 1 o dirección destino: la de la estación 2 o dirección del receptor: la del punto de acceso AP - el punto de acceso recibe la trama y se la envía a la estación 2. La trama generada tiene tres direcciones: o dirección origen: la de la estación 1 o dirección destino: la de la estación 2 o dirección del transmisor: la del punto de acceso AP SEQUENCE CONTROL Control de secuencia. Se divide en un identificador de secuencia, incrementado para cada nueva trama enviada, y un identificador de fragmento, utilizado para designar los distintos fragmentos en los que se divide una trama cuando se produce fragmentación de la misma. Cuando se fragmenta una trama en varias para su envío, el identificador de secuencia es el mismo para todos los fragmentos, variando el identificador de fragmento. FRAME BODY Campo de longitud variable con los datos de la trama. FRAME CHECK SEQUENCE CRC de todos los campos de la trama WLAN para comprobación de integridad en recepción Formato de las tramas de gestión No se va a realizar una descripción detallada de todos y cada uno de los tipos de trama que aparecen en una red inalámbrica, pero si conviene describir brevemente el formato de las tramas de gestión. Las tramas de gestión tienen una cabecera de acuerdo con lo descrito en el apartado 4.2. La parte de datos se divide en una serie de campos fijos y una serie de elementos de información. Los campos fijos son campos de longitud fija definidos en el estándar. Entre estos campos se encuentra, por ejemplo, el resultado de una asociación, campo fijo de dos octetos de longitud. ROUTER TELDAT Interfaz Wireless LAN I - 12

16 Los elementos de información son campos de longitud variable que permiten ampliar de forma cómoda el estándar. El formato genérico de un elemento de información es el siguiente: 1 Element ID 1 Length Length Information Element ID: Identificador del elemento de información. Length: Longitud de la información. Information: Información. La información se interpreta en función del identificador del elemento. Así, por ejemplo, el identificador de red SSID se envía utilizando el elemento de información con identificador 0, indicando el SSID en el campo de información. El estándar especifica exactamente qué campos fijos, qué elementos de información y en qué orden deben incluirse en las tramas de gestión Conexión a una red inalámbrica En una red Ethernet, cuando una estación quiere formar parte de una red basta con conectarla físicamente a la red en cuestión. En una red inalámbrica, dadas las peculiaridades del medio de transmisión, el proceso es necesariamente algo más complejo. Entre otras cosas, al ser un medio de acceso libre, hay que tener cuidado con la seguridad, permitiendo que sólo formen parte de la red las estaciones que tengan autorización para ello, denegando el acceso a los datos a toda estación que no haya demostrado que está autorizada a formar parte de la red. En este apartado se describe brevemente el proceso por el cual una estación pasa a formar parte de una red inalámbrica en modo infraestructura. a) Identificación de la red inalámbrica El primer paso, para que una estación se conecte a una red, es identificar la red en cuestión. Una red inalámbrica se identifica por el SSID (Service Set IDentifier), o identificador de zona de servicio. Hay dos formas de detectar las redes activas en el entorno de una estación: mediante una búsqueda pasiva y mediante una búsqueda activa. Búsqueda pasiva Durante la búsqueda pasiva, la estación realiza un barrido de todos los canales disponibles, escuchando las tramas que aparecen en el medio. Los puntos de acceso envían, periódicamente, una trama de gestión, denominada trama de beacon, en la que anuncian las características de la red inalámbrica a la que pertenecen: identificador de la red, velocidades permitidas, características de seguridad, etc. La estación que está realizando una búsqueda pasiva escucha las tramas de beacon y elige la red a la que conectarse. Normalmente, si no se ha configurado ningún identificador de red, la estación presenta al usuario una lista de las redes detectadas, con las características de señal, seguridad y canal utilizado, para que el usuario seleccione de ente las redes detectadas aquélla a la que desea conectarse. Si, por el contrario, se ha configurado un identificador de red, la estación intentará conectarse automáticamente a la red indicada sin intervención del usuario. En caso de que se detecten varios puntos de acceso anunciando la misma red, la estación normalmente elige el punto de acceso con mayor nivel señal. La búsqueda pasiva permite ahorrar batería, ya que la estación no envía tramas. ROUTER TELDAT Interfaz Wireless LAN I - 13

17 4 2 0 N A Búsqueda activa En la búsqueda activa, la estación busca una determinada red para conectarse a ella. En este caso, la estación realiza un barrido por todos los canales disponibles, pero, en lugar de esperar las tramas de Beacon para conocer las redes disponibles, tal y como se hace en la búsqueda pasiva, pregunta, utilizando una trama de gestión denominada Probe Request, por la red que está buscando. Si un punto de acceso recibe un Probe Request buscando el identificador de red al que pertenece, responde con una trama de gestión Probe Response. La trama Probe Response lleva la misma información que la trama de beacon, es decir, especifica las características de la red en cuestión. Tanto las tramas de beacon, como las tramas Probe-Request son tramas de broadcast, por lo que son recibidas por todas las estaciones que estén escuchando en el canal b) Autenticación Una vez identificada la red a la que la estación quiere conectarse, es necesario autenticarse con el punto de acceso. El proceso de autenticación, tal y como se describe en los estándares del IEEE, es un proceso unidireccional: la estación se autentica con el punto de acceso, pero el punto de acceso no se autentica con la estación. En cualquier caso, como se verá, este proceso de autenticación es muy simple y no proporciona ningún tipo de seguridad, manteniéndose únicamente por compatibilidad hacia atrás. En caso de desearse una autenticación real, debe utilizarse autenticación basada en el estándar 802.1X, tal y como se describe en el estándar i. En el apartado dedicado a la seguridad se describirá brevemente esta autenticación. De momento, centrándonos en la autenticación descrita en el estándar original, existen dos tipos de autenticación: autenticación abierta y autenticación con clave compartida. Autenticación abierta (Open-System Authentication) Esta es la autenticación más simple, y es la única obligatoria según el estándar Describir el proceso como autenticación es, desde luego, muy optimista: la estación envía una trama de petición de autenticación (Authentication Request) y el punto de acceso contesta con una trama de respuesta a la autenticación (Authentication Response). La respuesta contiene el resultado de la autenticación en condiciones normales ésta será una respuesta de éxito. Station Authentication-Request AP Authentication-Response (OK) Autenticación abierta En algunos puntos de acceso es posible configurar reglas de acceso asociadas a direcciones MAC. En este caso, si la dirección MAC de la estación que se está autenticando no tiene permitido el acceso a la red, el punto de acceso indicará en la respuesta error en la autenticación. ROUTER TELDAT Interfaz Wireless LAN I - 14

18 4 2 0 N A Autenticación con clave compartida (Shared-Key Authentication) La autenticación con clave compartida exige, antes de poder formar parte de la red, el conocimiento por parte de la estación de una clave. En este caso, la autenticación se lleva a cabo en cuatro pasos: 1. la estación pide autenticarse contra el punto de acceso. 2. el punto de acceso construye un mensaje aleatorio de 128 bytes de longitud (desafío) y se lo envía a la estación. 3. la estación cifra, con WEP, el desafío recibido y se lo envía al punto de acceso. 4. el punto de acceso descifra el mensaje recibido y, si coincide con el mensaje que él envió, considera la autenticación exitosa. Station Authentication-Request AP Authentication-Challenge Authentication-Challenge-Response Authentication-Response (OK) Autenticación con clave compartida Este tipo de autenticación, que sólo puede usarse cuando se usa cifrado WEP, supone dar pistas a un usuario malintencionado sobres las claves utilizadas para cifrar los datos. Teldat recomienda que no se utilice esta autenticación en ningún caso. c) Asociación Una vez que el punto de acceso ha autenticado a la estación, ésta puede asociarse a la red. El proceso de asociación consiste en el intercambio de dos tramas: la estación solicita asociación a la red inalámbrica y el punto de acceso contesta indicando el resultado de la asociación (exitosa o no). El punto de acceso puede devolver una respuesta de error si, por ejemplo, no dispone de recursos suficientes para tratar la asociación de otra estación a la red. Si la asociación es exitosa, el punto de acceso envía a la estación un identificador de asociación (AID: Association Identifier), utilizado cuando la estación se pone en modo ahorro de energía. En el estándar original, una vez que la estación se ha asociado con éxito, puede comenzar el envío y recepción de tramas. Sin embargo, si la red utiliza algún mecanismo de seguridad como WPA o WPA2, todavía falta un paso antes de que la estación pueda enviar y recibir tramas de datos: la estación y el punto de acceso deben demostrarse mutuamente que son quiénes dicen ser y que conocen las claves para cifrar las tramas. Este proceso se describe en el apartado dedicado a la seguridad en redes inalámbricas. ROUTER TELDAT Interfaz Wireless LAN I - 15

19 4.5. Modo ahorro de energía Una de las características básicas de una estación en una red inalámbrica es su movilidad. Es habitual, por tanto, que las estaciones no estén conectadas a una red eléctrica y utilicen baterías para la alimentación. Resulta interesante, por tanto, que una estación pueda desconectar la parte de radio cuando no espera paquetes, más teniendo en cuenta que la parte de radio de un equipo inalámbrico es uno de los elementos que más batería consumen en equipos portátiles. El estándar tiene en cuenta este hecho, facilitando el ahorro de energía sin sacrificar la conectividad. Diremos que una estación está dormida si ha entrado en modo ahorro de energía, refiriéndonos a ella como despierta en caso contrario. El elemento base para facilitar el ahorro de energía es el punto de acceso. En redes independientes existe también la posibilidad de entrar en modo ahorro de energía, pero es mucho menos eficiente que en redes en modo infraestructura, y no será descrito en este apartado. Como se ha visto, en la cabecera MAC de las tramas WLAN, existe un bit (Power Management) con el que la estación puede indicar al punto de acceso el estado en el que estará tras completar la transmisión o recepción de la trama actual. De este modo, el punto de acceso conoce en todo momento el estado de todas las estaciones. Cuando una estación va a entrar en modo ahorro de energía, lo indica poniendo a 1 el bit de Power Management. A partir de ese momento, el punto de acceso no entrega las tramas dirigidas a la estación, sino que las almacena para su posterior envío. El almacenamiento de las tramas destinadas a una estación que entra en modo ahorro de energía es sólo parte del proceso. Es necesario que, en algún momento, la estación se despierte para pedir las tramas almacenadas por el punto de acceso. A la hora de describir el proceso de entrega de las tramas, es necesario distinguir entre tramas unicast, dirigidas exclusivamente a la estación dormida y tramas multicast y broadcast, dirigidas a un grupo de estaciones. a) Tramas unicast Como se ya se ha indicado, el punto de acceso envía periódicamente una trama de gestión denominada trama de beacon. Pues bien, las tramas de beacon son las encargadas de indicar a las estaciones que hay tramas almacenadas en el punto de acceso para ellas. En la trama de beacon, el punto de acceso incluye un elemento de información, denomina TIM (Traffic Indication Map: mapa de indicación de tráfico). El TIM incluye un mapa de 2048 bits. Cada bit corresponde a una estación asociada al punto de acceso, de modo que, si el bit correspondiente a una estación está puesto a 1, el punto de acceso tiene tramas destinadas a la estación pendientes de entrega. Existen mecanismos para que el punto de acceso no tenga que transmitir el mapa completo, sino sólo una parte del mismo. Durante el proceso de asociación, el punto de acceso asigna a la estación un identificador de asociación (AID). Este identificador se usa como índice en el TIM. De este modo, la estación dormida, debe despertar para escuchar la trama beacon y mirar si el bit correspondiente a su identificador de asociación está puesto a 1. Durante el proceso de asociación, la estación indica al punto de acceso el intervalo de escucha que usará: número de tramas de beacon que puede permanecer dormida. El intervalo de escucha es un contrato con el punto de acceso: el punto de acceso se compromete a almacenar las tramas destinadas a una estación durante el tiempo indicado por el intervalo de escucha. Una vez pasado este tiempo, si la estación no ha pedido las tramas almacenadas, el punto de acceso puede descartarlas. Evidentemente, a mayor intervalo de escucha, mayores son los recursos que debe emplear el punto de acceso para ROUTER TELDAT Interfaz Wireless LAN I - 16

20 4 2 0 N A almacenar las tramas destinadas a una estación. Si el intervalo de escucha propuesto por la estación es inaceptable para el punto de acceso, éste debe denegar la asociación. Según lo visto hasta ahora: 1. la estación indica al punto de acceso que entra en modo ahorro de energía. 2. El punto de acceso almacena las tramas destinadas a la estación 3. El punto de acceso anuncia, en las tramas beacon, que hay tramas disponibles para la estación. 4. La estación despierta periódicamente para escuchar las tramas de beacon y comprobar si hay tramas destinadas a ella. Una vez una estación en modo ahorro de energía detecta que hay tramas pendientes de entrega, debe pedírselas al punto de acceso. Para ello se usa una trama de gestión denominada PS-Poll. Cuando el punto de acceso recibe una trama PS-Poll, envía una trama almacenada a la estación. El bit de More Data valdrá 1 si hay más tramas pendientes para la estación y cero en caso de que no haya más tramas. La estación puede, mediante sucesivas peticiones utilizando la trama PS-Poll, obtener todas las tramas almacenadas para ella. Station PS-Poll AP Frame 1, More Data = 1 ACK PS-Poll Frame 2, More Data = 0 ACK Petición de tramas almacenadas b) Tramas multicast Las tramas dirigidas a varias estaciones reciben un tratamiento aparte. En cuanto hay alguna estación en modo ahorro de energía, el punto de acceso almacena las tramas de grupo. Debido a que las tramas van dirigidas a un grupo de estaciones, no es posible utilizar un mecanismo de poll para obtenerlas. Cada cierto número de tramas de beacon, se indica, en el elemento de información TIM, si hay tramas de grupo almacenadas. Para ello se usa el identificador de asociación 0 dentro del mapa de bits del TIM. Este elemento de información recibe un nombre especial: DTIM (Delivery Traffic Indication Map). Inmediatamente después que se haya recibido/enviado una trama de beacon con el elemento de información DTIM, si hay tramas de grupo almacenadas, el punto de acceso envía dichas tramas. Utilizando el bit More Data, se indica si hay más tramas pendientes o ya se han enviado todas. Las ROUTER TELDAT Interfaz Wireless LAN I - 17

21 estaciones en modo ahorro de energía deben despertar en las tramas de beacon con el elemento de información DTIM si desean recibir las tramas de grupo, independientemente de su intervalo de escucha. Algunas estaciones utilizan un modo de ahorro de energía, al que denominan de extremadamente bajo consumo o algún otro nombre similar, en el que no despiertan para escuchar las tramas con DTIM. Todas las tramas de beacon incluyen, en el elemento de información TIM, dos valores que permiten que las estaciones sepan cuándo se va a producir la próxima entrega de tramas de grupo: el contador de DTIM: indica cuántas tramas beacon, incluyendo la actual, faltan para el siguiente DTIM. Cuando el contador llega a cero, el TIM es un DTIM. la periodicidad de DTIM: indica el número de tramas beacon entre DTIMs. Un valor de 1 indica que todas las tramas de beacon llevan el elemento de información DTIM. ROUTER TELDAT Interfaz Wireless LAN I - 18

22 5. Seguridad en redes Wireless LAN En las redes inalámbricas, las tramas viajan libremente por el aire, lo que hace que cualquier estación que esté suficientemente próxima pueda recibir dichas tramas. Si las tramas no están protegidas mediante algún tipo de cifrado, cualquier usuario que entre dentro de la zona de cobertura del punto de acceso puede tener acceso a los datos intercambiados en la red inalámbrica. No basta con limitar la potencia de transmisión del punto de acceso para que la señal no salga fuera del edificio si se disponen de antenas con ganancia lo suficientemente alta es posible que, a pesar de la limitación de potencia, se tenga acceso a los datos transmitidos. Es más, no sólo puede tenerse acceso a los datos intercambiados en la red inalámbrica, un usuario malintencionado podría asociarse con el punto de acceso. Puesto que habitualmente los puntos de acceso están conectados a la red de área local, que hace las veces de sistema de distribución, el usuario asociado tendría acceso a la red de la empresa. Con la proliferación de las redes inalámbricas, y su creciente popularidad, se han popularizado los ataques a este tipo de redes. Es habitual el uso de la red inalámbrica de un vecino para navegar desde un portátil usando el acceso a Internet de dicho vecino. Teniendo en cuenta todos estos hechos, no es de extrañar que la seguridad en las redes inalámbricas haya sido uno de los mayores quebraderos de cabeza de los desarrolladores y de los encargados de poner en marcha redes inalámbricas en empresas. De hecho, la falta de seguridad de las redes inalámbricas limitó durante algún tiempo su implantación. Hoy día, con la aprobación del estándar i, se puede considerar que las redes inalámbricas son lo suficientemente seguras. En este apartado se describen brevemente las distintas alternativas disponibles para proteger una red inalámbrica. Las alternativas de seguridad discutidas en este apartado se refieren a la red inalámbrica como tal. Puesto que las tramas WLAN normalmente llevan datos de protocolos de más alto nivel, es posible utilizar mecanismos de seguridad de estos protocolos para proteger los datos en una red inalámbrica. En concreto, el uso de IPSec para crear una red privada virtual está bastante extendido Control de acceso MAC El primer mecanismo que puede utilizarse para proteger el acceso a una red inalámbrica es configurar una lista de direcciones MAC, indicando para cada dirección MAC si se desea permitir el acceso a la red inalámbrica o denegarlo. La lista de direcciones MAC se configura en el punto de acceso. Cuando una estación desea formar parte de la red inalámbrica, el punto de acceso consulta su lista de direcciones para ver si la estación en cuestión tiene permitido el acceso o no. En caso de que la dirección MAC de esa estación tenga el acceso prohibido, el punto de acceso no permite la asociación de la estación a la red inalámbrica. Habitualmente, es posible configurar en el punto de acceso la política que debe seguirse en caso de que la dirección de una estación no aparezca en la lista de direcciones configurada. Si se configura una política estricta, únicamente las estaciones con dirección MAC configurada explícitamente en el punto de acceso como permitidas, tienen acceso a la red inalámbrica. En caso de que la política elegida no sea estricta, si la dirección MAC de la estación no está en la lista de direcciones configurada, se permite el acceso de la estación a la red inalámbrica. Este mecanismo de seguridad proporciona poca seguridad, ya que es relativamente sencillo cambiar la dirección MAC de una estación. Si un usuario desea realizar un ataque a una red con este tipo de seguridad únicamente, sólo necesita capturar tráfico y observar la dirección MAC de una estación ROUTER TELDAT Interfaz Wireless LAN I - 19

23 asociada correctamente a la red. En el momento en que la estación abandone la red inalámbrica (y el usuario que va a realizar el ataque puede utilizar mecanismos para forzar que una estación abandone la red), al usuario le basta con configurar la dirección MAC de la estación permitida en su equipo para garantizarse el acceso a la red inalámbrica. Debido a la poca seguridad proporcionada, sólo se recomienda utilizar este mecanismo de seguridad como complemento a otros mecanismos de seguridad Cifrado WEP El estándar original del IEEE en el que se definen las redes inalámbricas (802.11), sólo definía un mecanismo de seguridad, asociado a un tipo de cifrado de los datos denominado WEP (Wireless Equivalent Privacy). La idea del estándar era crear un cifrado que proporcionase niveles de seguridad similares a los que se encuentran en una red LAN tradicional. Desafortunadamente, la definición del algoritmo de cifrado tiene numerosos fallos que provocan que, hoy día, sea relativamente sencillo romper el cifrado WEP y obtener las claves utilizadas. Teldat no recomienda utilizar el cifrado WEP a no ser que sea imposible configurar un mecanismo de seguridad más robusto, como WPA o WPA2. Cuando se usa WEP, las tramas en la red inalámbrica van cifradas. La estación y el punto de acceso deben tener una clave común configurada para poder comunicarse. El estándar del IEEE distingue dos tipos de claves WEP: claves compartidas: se pueden configurar hasta cuatro claves WEP diferentes. De estas cuatro claves, se debe configurar una como clave por defecto (también llamada clave de transmisión). Esta clave es la que se usará para cifrar las tramas transmitidas por la estación cuando no exista clave privada asociada a la dirección MAC destino. claves privadas: es posible configurar una clave WEP asociada a una dirección MAC: la estación utilizará esta clave privada para cifrar las tramas destinadas a esa dirección y para descifrar las tramas provenientes de esa dirección. El estándar define las claves WEP como claves de 40 bits de longitud. Sin embargo, cuando se empezaron a conocer los fallos de seguridad del cifrado WEP, algunos fabricantes empezaron a desarrollar cifrados WEP utilizando claves de 104 bits e incluso de 128 bits, en la creencia (errónea) de que eran más seguros. Para complicar más las cosas, algunos fabricantes denominan WEP-64, WEP-128 y WEP- 152 al WEP con claves de 40, 104 y 128 bits respectivamente. No se va a describir el formato de una trama cifrada con WEP, basta con indicar que hay un campo de la trama en el que se indica el índice de la clave utilizada para cifrar la trama. Para enviar un paquete usando WEP: La estación mira si tiene configurada clave privada asociada a la dirección destino del paquete. Si la tiene, usa dicha clave para cifrar el paquete. Si no hay clave privada configurada, se utiliza la clave compartida configurada como clave por defecto, indicándose en la trama el índice de la clave utilizada. Cuando se recibe un paquete cifrado con WEP: ROUTER TELDAT Interfaz Wireless LAN I - 20

24 La estación mira si tiene configurada clave privada asociada a la dirección origen del paquete. Si la tiene, usa dicha clave para descifrar el paquete. Si no hay clave privada configurada, se utiliza la clave compartida indicada en la trama recibida para descifrar el paquete. La razón de que se puedan configurar hasta cuatro claves es facilitar el cambio de la clave WEP. Imaginemos que una estación está utilizando la clave 1 para transmitir y se desea cambiar dicha clave. La clave debe cambiarse en todas las estaciones, de forma que los datos cifrados por esta estación puedan ser descifrados por el resto de estaciones. Puesto que no hay mecanismos definidos para la transmisión de la clave, normalmente una persona encargada de la gestión de la red deberá ir estación por estación cambiando manualmente la clave. En el momento en que se cambie la clave en una estación, el resto de estaciones no podrán descifrar sus datos hasta que se actualice la clave. Para evitar errores de cifrado durante el proceso de cambio de la clave, se usan dos claves compartidas: 1. El punto de acceso emplea la clave 1 para transmitir, y se configura la nueva clave a utilizar en la posición Se actualizan todas las estaciones, configurando la nueva clave en la posición 2, y configurando dicha clave como clave por defecto. 3. En este momento, las estaciones actualizadas utilizarán la clave 2 para cifrar las tramas que transmiten, y el punto de acceso, que tiene dicha clave configurada, descifrará correctamente las tramas. Por otro lado, las estaciones no actualizadas y el punto de acceso seguirán utilizando la clave 1 para cifrar las tramas transmitidas y todas las estaciones serán capaces de descifrar dichas tramas, ya que tienen la clave 1 configurada correctamente. 4. Cuando se termina la configuración de la nueva clave en todas las estaciones, puede configurarse en el punto de acceso que la clave por defecto sea la clave 2, borrando la clave 1. La razón de que se usen hasta cuatro claves compartidas en lugar de dos estriba en que las claves utilizadas por la estación para transmitir al punto de acceso y por el punto de acceso para transmitir a las estaciones pueden ser diferentes: el punto de acceso puede, por ejemplo, utilizar la clave 3 para transmitir mientras que la estación utiliza la clave 2. El mecanismo de actualización de claves WEP descrito es muy engorroso, lo que lleva a que en la práctica las claves WEP no se actualicen prácticamente nunca Autenticación 802.1X En el apartado dedicado a la conexión a una red inalámbrica, se describieron los dos tipos de autenticación definidos por el estándar : autenticación abierta y autenticación con clave compartida. Como ya se indicó, ninguno de estos dos tipos de autenticación proporciona ningún nivel de seguridad. Es más, la autenticación con clave compartida, asociada al cifrado WEP, proporciona información que facilita el proceso de averiguar las claves WEP empleadas en una red inalámbrica, por lo que se desaconseja su utilización. Cuando aparecieron los primeros artículos dedicados a la falta de seguridad del cifrado WEP, el IEEE empezó a trabajar en un nuevo estándar de seguridad, que acabó cristalizando en el estándar i. Para el desarrollo de este nuevo estándar, el IEEE se fijó en estándares que hubiesen sido probados durante tiempo en entornos reales, demostrando su robustez. Así, el IEEE se fijó en el estándar 802.1X, desarrollado inicialmente para redes Ethernet, como método para autenticar una estación en una red inalámbrica. ROUTER TELDAT Interfaz Wireless LAN I - 21

25 4 2 0 N A De acuerdo con el estándar 802.1X, el punto de acceso ve cada asociación con una estación como un puerto lógico controlable. Inicialmente, el puerto está cerrado, no permitiendo que haya flujo de datos. Sólo cuando la estación ha completado un proceso de autenticación, el puerto se considera abierto, permitiéndose el flujo de datos. Para el proceso de autenticación se usa otro puerto lógico, no controlable, que permite el flujo únicamente de los paquetes intercambiados durante la autenticación. La base del proceso de autenticación es el protocolo EAP (Extensible Authentication Protocol). El estándar 802.1X define la forma de utilizar EAP en redes de LAN (ya sean inalámbricas o con cable). Para ello, define el encapsulado de los paquetes de EAP para su envío por la LAN, creando además nuevos tipos de paquetes para facilitar el empleo de EAP en redes de LAN. El encapsulado definido en el estándar 802.1X se denomina EAPOL (EAP Over LAN). En la autenticación utilizando EAP y, por extensión, en la autenticación 802.1X, se distinguen tres componentes: suplicante: elemento que desea acceso a la red. En redes inalámbricas, la estación asume el rol del suplicante. autenticador: elemento que controla el acceso a la red. En redes inalámbricas, el punto de acceso asume el rol del autenticador. Es el autenticador el que controla, mediante el puerto lógico controlable antes mencionado, si una estación tiene acceso a la red o no. Únicamente si el puerto está abierto (es decir, la estación ha completado el proceso de autenticación), se permite el tráfico desde y hacia la estación. servidor de autenticación: este es el elemento que autentica al suplicante, decidiendo si éste tiene acceso a la red o no. El servidor de autenticación puede ser el mismo autenticador, pero habitualmente es un elemento externo. Un ejemplo simple ayudará a entender el papel de cada elemento en el proceso de acceso a la red. Imaginemos que un extraño se presenta en una empresa deseando entrar en el edificio. Este es el suplicante. El portero del edificio controla el acceso al edificio, permitiendo la entrada al edificio o no. Sin embargo, no tiene potestad para decidir quién entra y quién no. Este es el autenticador. Cuando el extraño pide entrar, el portero llama al jefe de la empresa, preguntando si el extraño tiene permiso para acceder. Probablemente, el jefe pregunte datos sobre el extraño. El portero repetirá al extraño las preguntas del jefe, y al jefe las respuestas del extraño. Finalmente, en función de las respuestas dadas, el jefe tomará la decisión de dejar pasar al extraño o no. El jefe es el servidor de autenticación. En la siguiente figura se esquematizan los elementos que forman parte de la autenticación 802.1X. Ethernet Suplicant EAPOL Authenticator RADIUS Autentication Server (AS) El proceso de autenticación se lleva a cabo entre el suplicante y el servidor de autenticación. Cuando el suplicante desea tener acceso a la red, inicia el proceso de autenticación. El autenticador se encarga, ROUTER TELDAT Interfaz Wireless LAN I - 22

26 utilizando el puerto no controlable, de pasar los paquetes intercambiados durante la autenticación entre el suplicante y el servidor de autenticación. Es decir, el autenticador actúa de relay de los paquetes intercambiados entre el suplicante y el servidor de autenticación. El autenticador únicamente debe mirar el resultado final de la autenticación: si ésta es exitosa, procede a autorizar el puerto controlado y permite acceso al suplicante a la red La comunicación entre el suplicante y el autenticador se lleva a cabo utilizando EAPOL. Para que la autenticación sea segura, es imprescindible que el canal de comunicación entre el autenticador y el servidor de autenticación sea completamente seguro. Existen varias alternativas para la comunicación de los paquetes EAP entre el autenticador y el servidor de autenticación una de las más utilizadas hace uso del protocolo Radius para el envío de los paquetes de EAP. EAP es realmente un superconjunto de protocolos de autenticación. Durante la fase de autenticación se negocia el protocolo EAP particular que se empleará. Existen numerosos métodos de autenticación que utilizan las bases de EAP. Entre otros, cabe mencionar: PEAP: Protected EAP EAP-TLS: EAP-Transport Layer Secure EAP-TTLS: EAP-Tunneled Transport Layer Secure Para que un método de autenticación EAP se pueda utilizar en una WLAN, el estándar i impone que el método empleado debe realizar una autenticación mutua: no basta con que el servidor de autenticación compruebe que el suplicante es quien dice ser es necesario que el suplicante compruebe que el servidor de autenticación es quien dice ser. No se va a entrar en el detalle del formato de las tramas EAP y EAPOL o la forma de enviar EAP sobre Radius. En la siguiente figura se muestra esquematizado el proceso de autenticación. ROUTER TELDAT Interfaz Wireless LAN I - 23

27 4 2 0 N A Ethernet Suplicant EAPOL Authenticator RADIUS Autentication Server (AS) Start Indentity Request Identity Response Identity Response Request 1 Request 1 Response 1 Response 1 Request n Request n Response n Response n Success Success Proceso de autenticación 802.1X La autenticación 802.1X no sustituye a la autenticación abierta ya descrita, si no que se lleva a cabo una vez que la estación se ha asociado con el punto de acceso Cifrado WEP dinámico El siguiente paso a la hora de mejorar la seguridad de una red inalámbrica es emplear la autenticación 802.1X descrita en el apartado anterior junto con el cifrado WEP. En este esquema, el punto de acceso genera una clave común para todas las estaciones, clave que se utilizará para los paquetes de multicast. Además, cada vez que una estación se asocia al punto de acceso, se lleva a cabo una autenticación 802.1X. Como resultado de esta autenticación, el servidor ROUTER TELDAT Interfaz Wireless LAN I - 24

28 Radius genera una clave única a utilizar para la comunicación entre el punto de acceso y estación. Utilizando la autenticación 802.1X, la clave se instala tanto en el punto de acceso como en la estación. Cada estación tiene así una clave única para cifrar sus datos que, además, se modifica dinámicamente cada cierto tiempo mediante reautenticaciones con 802.1X. De esta forma, los ataques al WEP se hacen más complicados WPA y WPA2 (RSN) El último paso para mejorar la seguridad es utilizar seguridad robusta, tal y como se define en el estándar i del IEEE. El estándar i define un entorno completo de seguridad, que incluye la autenticación de las estaciones, el cifrado de los datos y la generación y distribución de las claves a utilizar. Existe cierta confusión con las siglas empleadas a la hora de hablar de seguridad en redes inalámbricas. Intentaremos clarificar aquí a qué se refieren las distintas siglas empleadas. Como ya se ha dicho, el estándar i surgió al conocerse las debilidades del cifrado WEP definido en el estándar original. Era necesario partir de cero e intentar utilizar, en la medida de lo posible, estándares conocidos y probados durante cierto tiempo. Como ya se ha visto, el estándar 802.1X fue considerado para realizar la autenticación. A la hora de elegir un algoritmo de cifrado es importante que no requiera demasiada memoria o cantidad de proceso. Durante los pasos iniciales del estándar i, la agencia nacional de ciencia y tecnología de los Estados Unidos, convocó un concurso para la elección de un método de cifrado para utilizar en el gobierno de los Estados Unidos. El elegido fue el cifrado AES (Advanced Encryption Standard). Esto facilitó bastante la tarea del IEEE que, obviamente, también eligió AES para el cifrado de los datos en el nuevo estándar de seguridad. AES es un algoritmo de cifrado que admite diversos modos de operación. Sin entrar en detalles, indiquemos que para el estándar i se eligió un modo de operación conocido como AES-CCMP (AES Counter Mode-CBC MAC Protocol). El problema del algoritmo de cifrado AES, es que requiere considerablemente más recursos que el cifrado WEP, necesitando para su correcto funcionamiento apoyo del hardware. Sin embargo, debido a los problemas detectados con el WEP, se hacía necesario encontrar un algoritmo de cifrado que, resolviendo los problemas detectados en el cifrado WEP, pudiese funcionar utilizando el mismo hardware que el cifrado WEP. De esta forma, los equipos antiguos, sin soporte hardware para el cifrado AES, podrían ser actualizados para soportar un cifrado más seguro que el WEP. Por este motivo, además del AES-CCMP, el estándar i define otro cifrado denominado TKIP (Temporal Key Integrity Protocol). Por otro lado, la aprobación de un estándar es un proceso largo. Dados los problemas detectados en el cifrado WEP, la industria se vio en la necesidad de adoptar un nuevo estándar de seguridad lo antes posible. Para ello, la Wi-Fi Alliance, encargada de definir las condiciones que debe cumplir un equipo WLAN para asegurar la interoperabilidad entre fabricantes, cogió elementos del estándar i en proceso (en concreto, se optó por utilizar el cifrado TKIP) y añadió algunas pequeñas modificaciones. El resultado se conoce como WPA (Wi-Fi Protected Access). Una vez aprobado el estándar i, la Wi-Fi Alliance lo adoptó como nuevo estándar de seguridad, denominándolo WPA2. Tanto WPA como WPA2 utilizan un elemento de información en las tramas beacon para anunciar las características de seguridad de la red inalámbrica. En el elemento de información se indica: el cifrado a emplear para los paquetes de grupo (tramas de broadcast y multicast). el conjunto de cifrados que se pueden emplear para el cifrado individual de los paquetes entre una estación y el punto de acceso. ROUTER TELDAT Interfaz Wireless LAN I - 25

29 el conjunto de métodos que se pueden emplear para la autenticación y gestión de claves. El formato del elemento de información empleado en WPA y WPA2 es similar, variando el identificador del mismo. En cualquier caso, la forma de indicar el cifrado a emplear y el método de autenticación y gestión de claves es idéntica en ambos casos. Por este motivo, aunque el estándar WPA no soporta AES-CCMP, en la práctica son muchos los equipos con WPA en los que es posible configurar cifrado AES-CCMP. Se denominan redes inalámbricas de seguridad robusta (RSN: Robust Security Networks) a las redes que utilizan WPA o WPA2. En caso de que se permita la asociación de una estación con WEP en una red que soporta WPA o WPA2, se habla de una red inalámbrica de seguridad en transición (TSN: Transitional Security Network). Recapitulando, las redes con WPA o WPA2 utilizan un elemento de información de las tramas beacon para anunciar las características de seguridad de la red. Éstas incluyen: método de cifrado a emplear método de autenticación y gestión de claves a emplear CIFRADO El estándar i admite el anuncio de los siguientes tipos de cifrado en el elemento de información de seguridad: WEP-40: Cifrado WEP con claves de 40 bits. WEP-104: Cifrado WEP con claves de 104 bits. TKIP AES-CCMP Cómo ya se ha indicado, es posible indicar varios tipos de cifrado en el elemento de información. De este modo, si se soportan varios cifrados, cada estación puede seleccionar el que desee en función de sus características. El cifrado que va a utilizar una estación se indica al realizar la petición de asociación al punto de acceso. El estándar i impone algunas restricciones al uso de los cifrados: los cifrados WEP-40 y WEP-104 sólo son válidos como cifrado de grupo (nunca pueden anunciarse como cifrado individual) y únicamente deben emplearse en redes TSN para facilitar la transición a una red RSN. En caso de que se soporten diferentes tipos de cifrado, y dado que todas las estaciones deben ser capaces de recibir las tramas de grupo, el cifrado que debe emplearse para el cifrado de grupo (tramas de broadcast y multicast) es el de menor seguridad, siendo el orden de seguridad, de menos seguro a más seguro, el utilizado en el listado anterior. AUTENTICACIÓN Y GESTIÓN DE CLAVES El estándar i contempla dos posibilidades para la autenticación y gestión de claves (AKM: Authentication Key Management): Autenticación utilizando 802.1X Pre-shared Key ROUTER TELDAT Interfaz Wireless LAN I - 26

30 En el primer caso, se utiliza la autenticación 802.1X para obtener la clave maestra (PMK: Pairwise Master Key). En el segundo caso, la clave maestra se configura directamente en el equipo inalámbrico. La clave maestra configurada en este segundo caso debe ser la misma para todas las estaciones que pertenecen a una red inalámbrica. En ambos casos, la clave maestra no se emplea directamente para cifrar los datos: a partir de la clave maestra, tanto el punto de acceso como la estación deben generar el conjunto de claves que se emplearán durante el cifrado de los datos (PTK: Pairwise Transient Key). Una vez que tanto la estación como el punto de acceso poseen la clave maestra (ya sea mediante autenticación 802.1X o por configuración directa en el equipo), se inicia un intercambio de paquetes en cuatro pasos, denominado 4-Way Handshake en el que: se confirma la existencia de una clave maestra utilizable. cada parte demuestra al otro extremo el conocimiento de la clave maestra. se deriva la clave PTK a utilizar durante la sesión. se instalan las claves a emplear. se confirma la instalación de todas las claves. De esta forma, en cada conexión de una estación a una red inalámbrica, se generan claves únicas para la sesión. Estas claves son, por otro lado, individuales: el punto de acceso utiliza claves diferentes para comunicarse con cada estación. Además, cada cierto tiempo se pueden renovar las claves empleadas, volviendo a realizar la negociación en cuatro pasos mencionada. Falta por considerar los paquetes de grupo. Puesto que estos paquetes van dirigidos a varias estaciones, deben cifrarse con alguna clave común. Para ello, el punto de acceso genera una clave de grupo maestra (GMK: Group Master Key), deriva de ella la clave de grupo a emplear (GTK: Group Transient Key) y se la comunica, mediante un intercambio de paquetes denominado Group-Key Handshake, a todas las estaciones que pertenecen a la red. Cada vez que una estación abandona la red inalámbrica, el punto de acceso genera una nueva clave GTK, comunicándosela a las estaciones. De esta forma se evitan riesgos de seguridad. En la siguiente figura se esquematiza el intercambio de paquetes que se produce entre una estación y un punto de acceso hasta el momento en que la estación puede empezar a enviar y recibir paquetes en la red inalámbrica. ROUTER TELDAT Interfaz Wireless LAN I - 27

31 4 2 0 N A Ethernet Suplicant Authenticator RADIUS Autentication Server (AS) Authentication-Request Authentication-Response (OK) Association-Request Association-Response (OK) EAP: Authentication 802.1X PMK, GMK 4-Way Handshake PTK Group-Key Handshake GTK Asociación a una red RSN ROUTER TELDAT Interfaz Wireless LAN I - 28

32 Capítulo 2 Configuración de interfaces Wireless LAN

33 1. Acceso a la configuración de la Wireless LAN Para acceder a la configuración del interfaz Wireless LAN, siga los pasos que se detallan a continuación: 1. Escriba LIST DEVICES en el menú de configuración Config> para obtener una lista de los interfaces disponibles. 2. Escriba el comando NETWORK seguido del identificador del interfaz Wireless LAN que desea configurar. Atlas 2G*config Atlas 2G Config>list devices Interface Connector Type of interface ethernet0/0 GE0/FE0/LAN1 Fast Ethernet interface ethernet0/1 GE1/FE1/LAN2 Fast Ethernet interface serial0/0 SERIAL0/WAN1 Synchronous Serial Line x25-node --- Router->Node wlan3/0 SLOT3 Wireless LAN Interface ppp1 --- Generic PPP Atlas2G Config>network wlan3/0 -- Wireless LAN Interface. Configuration -- Atlas2G wlan3/0 WLAN config> ROUTER TELDAT Configuración Interfaz Wireless LAN II - 30

34 2. Estructura del menú de configuración Aunque en la actualidad sólo es posible configurar una zona básica de servicio (BSS) por interfaz Wireless LAN, se prevé que en el futuro exista la posibilidad de configurar varios BSSs en un mismo interfaz WLAN, de modo que se puedan asignar diferentes características (de seguridad, VLAN) a cada red. Por este motivo, el menú de configuración de un interfaz Wireless LAN se compone de dos partes diferenciadas: en el menú raíz, se encuentran todos los parámetros comunes a todos los BSSs. En este menú se incluyen los parámetros físicos del interfaz (canal a utilizar, modo de funcionamiento, umbral de fragmentación, antena a utilizar, etc.), así como parámetros que, por restricciones hardware, no pueden diferenciarse por BSS (caso de las claves a utilizar si se emplea cifrado WEP o de las listas de acceso por direcciones MAC). al configurar un identificador de red (SSID), se accede a un menú de configuración particular para ese BSS, donde se pueden configurar parámetros específicos de un BSS. En concreto, dentro del menú de configuración del BSS se configuran los parámetros específicos de seguridad a utilizar en el BSS: tipo de autenticación, cifrado, etc. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 31

35 3. Configuración común a todos los BSS En este apartado se explican brevemente los parámetros configurables en el menú raíz de configuración de un interfaz Wireless LAN Configuración de seguridad Existen dos elementos de la configuración de seguridad que son comunes a todos los BSS: las listas de control de acceso MAC y las claves WEP. Aunque las claves WEP son comunes a todos los BSS, el índice de la clave por defecto a utilizar puede configurarse por BSS. Listas de control de acceso MAC Se pueden configurar los siguientes parámetros de las listas de control de acceso MAC Tipo de control de acceso: o si se desea configurar el control de acceso de modo que las estaciones cuya dirección MAC no aparezca en la lista puedan asociarse a la red inalámbrica, se usará el comando access-control enable. o si, por el contrario, se desea configurar el control de acceso de modo que las estaciones cuya dirección MAC no aparezca en la lista no puedan asociarse a la red inalámbrica, se usará el comando access-control strict. o para deshabilitar el control de acceso por dirección MAC, se usará el comando accesscontrol disable. Reglas de control de acceso. Para cada dirección MAC es posible: o permitir su asociación con el punto de acceso. o denegar su asociación con el punto de acceso. o establecer una clave WEP privada. Se desea configurar control de acceso por direcciones MAC de modo que se permita el acceso a la dirección MAC BB-20-A4. Además, se desea que esta dirección utilice la clave privada configurada en el índice 130: access-control enable access-control mac-address bb-20-a4 allow access-control mac-address bb-20-a4 keymap 130 Claves WEP Se pueden configurar claves WEP con las siguientes longitudes: 40 bits 104 bits 128 bits Las claves WEP se pueden introducir como caracteres ASCII o como caracteres hexadecimales. Además, es posible introducirlas en claro o cifradas. Por seguridad, al mostrar la configuración de un interfaz Wireless LAN, todas las claves configuradas se muestran cifradas. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 32

36 La sintaxis del comando para configurar una clave WEP es la siguiente: key <index> size ( ) (ascii hex) (plain ciphered) <key> Configuración de la clave keyke como clave privada en el índice 130, de 40 bits de longitud, usando caracteres ASCII, introduciéndola en claro: key 130 size 40 ascii plain keyke Configuración de la clave en el índice 3, de 104 bits de longitud, caracteres hexadecimales, introduciéndola cifrada: key 3 size 104 hex ciphered 0x018FC2F235ED F7E20048E CCAFC5C5 FCC4B72452BA4F Configuración de parámetros de acceso al medio Modo Se puede configurar el modo en que se desea que funcione la red inalámbrica mediante el comando mode. Los modos posibles son a, b y g. Canal Se puede configurar el canal de funcionamiento mediante el comando channel. Por defecto, el punto de acceso está configurado para que elija automáticamente el mejor canal posible. Para ello, en el arranque, se sondean, utilizando tramas de Probe Request, todos los canales disponibles a la búsqueda de posibles redes inalámbricas que puedan provocar interferencias. Si se detecta una trama de beacon o se recibe un Probe Response, se descarta el canal. Finalmente, se elige el canal no ocupado con la mejor calidad. País de trabajo Como se mencionó en la introducción, cada país regula el espectro radioeléctrico, asignando canales para las diferentes aplicaciones disponibles. Debido a esto, los canales que se pueden usar dependen del país en el que se trabaje. Mediante el comando country, es posible configurar el país de trabajo, de modo que se limiten los canales de trabajo a aquellos permitidos por la entidad reguladora del país en cuestión. Los códigos de país disponibles se muestran en el apéndice A. Antena a utilizar Mediante el comando antenna es posible seleccionar la antena que se empleará para la transmisión de tramas. Por defecto, el punto de acceso funciona con diversidad de antenas, es decir, selecciona en cada momento la antena idónea para transmitir en función de la calidad señal/ruido detectada. Si se desea que el punto de acceso utilice sólo una antena (si, por ejemplo, se ha instalado una antena de alta ganancia), debe tenerse en cuenta que las antenas están referenciadas mirando el punto de acceso desde atrás. Es decir, el comando antenna left selecciona la antena izquierda mirando el punto de acceso desde la trasera. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 33

37 Potencia de transmisión Se puede seleccionar la potencia de transmisión entre un máximo (valor por defecto) y un mínimo en decrementos de 3 dbm (1/2). Para ello se utiliza el comando power transmit. Periodicidad de las tramas de beacon Utilizando el comando beacon es posible configurar: Periodicidad de las tramas de beacon. Se configura usando el comando beacon period, indicando la periodicidad en unidades de tiempo (TU: Time Units). Una unidad de tiempo equivale a 1024 microsegundos. Periodicidad de las tramas de anuncio de entrega de tráfico (DTIM: Delivery Traffic Indication Map). Se configura usando el comando beacon dtim, indicando el número de tramas beacon que se envían entre tramas con el elemento de información DTIM. Si, por ejemplo, se configura un valor de 5, se envía el elemento de información DTIM en 1 de cada 5 tramas de beacon. Umbral de fragmentación El comando fragment-threshold permite configurar el tamaño de la trama WLAN que dispara la fragmentación, de modo que, si se intenta transmitir una trama de longitud mayor que el umbral configurado, la trama se fragmenta. Umbral RTS/CTS El comando rts threshold permite configurar el tamaño de la trama WLAN que dispara el mecanismo RTS/CTS, de modo que, si se intenta transmitir una trama de longitud mayor que el umbral configurado, se envía una trama de RTS y se espera una trama de CTS en respuesta antes de enviar la trama en cuestión. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 34

38 4. Configuración del BSS Para acceder a la configuración de un BSS, debe usarse el comando bss, seguido del identificador de red que se desea configurar. Si el BSS no existe, se crea. En la actualidad sólo es posible configurar un bss, por lo que si ya se ha creado uno, se indicará con un error el intento de crear otro. En el menú de configuración del BSS es posible configurar los parámetros de seguridad asociados al BSS Configuración de la seguridad Ocultación del identificador de red Mediante el comando ssid-suppress, se indica al punto de acceso que no envíe el identificador de la red (SSID) en las tramas de beacon. De esta forma, el punto de acceso no anuncia la red de la que forma parte, y sólo las estaciones que conozcan el nombre de la red en cuestión podrán pasar a formar parte de ella. La seguridad conseguida con esta opción es muy reducida. Autenticación Es posible configurar, utilizando el comando authentication, tres tipos de autenticación: open-system: autenticación abierta. Es la autenticación por defecto. shared-key: autenticación con clave compartida. auto: autenticación automática. El punto de acceso realiza autenticación con clave compartida para las estaciones que tengan habilitado WEP y autenticación abierta para el resto de estaciones. En caso de que se habilite WPA o WPA2, sólo es posible configurar autenticación abierta. Debido a los problemas de seguridad asociados a la autenticación con clave compartida, Teldat recomienda utilizar siempre autenticación abierta. Claves WEP Las claves WEP son comunes a todos los BSS y, por tanto, se configuran en el menú raíz de configuración del interfaz WLAN. Lo que sí es posible configurar para cada BSS es el índice de la clave utilizada por el punto de acceso para transmitir tramas en el BSS. La clave por defecto se configura utilizando el comando key default <index>. WEP Para habilitar WEP en un interfaz, debe usarse el comando privacy-invoked. Este comando pone en marcha algún tipo de seguridad en el punto de acceso. En caso de que no se configure WPA o WPA2, la seguridad invocada será WEP. Si se configura WEP, es posible configurar el tipo de claves a utilizar mediante el comando wepkeysource: static: claves estáticas. Se utilizan las claves configuradas en el menú de configuración del interfaz WLAN. dynamic: claves dinámicas. Las claves a utilizar se obtienen mediante autenticación 802.1X de un servidor de autenticación externo, y se distribuyen a las estaciones utilizando EAPOL. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 35

39 mixed: claves estáticas y dinámicas. Las estaciones que soporten autenticación 802.1X utilizarán claves dinámicas, mientras que las estaciones que no lo soporten usarán claves estáticas. Para enviar las tramas de multicast, el punto de acceso utilizará la clave estática que tenga configurada como clave por defecto. En caso de utilizar wep-keysource mixed, la clave en la posición 1 se sobreescribe con la clave dinámica obtenida del servidor de autenticación, por lo que las estaciones que deseen utilizar claves estáticas deben tener dicha clave configurada en las posiciones 2 a 4. WPA y WPA2 (RSN) Para crear una red de seguridad robusta (RSN), tal y como se define en el estándar i, es necesario habilitar WPA o WPA2. Para configurar seguridad WPA o WPA2: 1. Debe invocarse la seguridad en el BSS, utilizando el comando privacy-invoked. 2. Debe habilitarse WPA o WPA2, utilizando el comando rsn. Es posible configurar ambos tipos de seguridad. En este caso, el punto de acceso incluye en las tramas de beacon tanto el elemento de información asociado a WPA como el elemento de información asociado a WPA2. 3. Debe configurarse el tipo de cifrado a utilizar para los datos. Para configurar el cifrado en el BSS, se usa el comando cipher. Es posible configurar cifrado TKIP o AES-CCMP. Los cifrados no son excluyentes, de modo que si se configura cifrado AES-CCMP y cifrado TKIP, el punto de acceso anuncia en las tramas de beacon que es capaz de utilizar ambos cifrados. En este caso, las estaciones que deseen formar parte de la red inalámbrica, pueden elegir el tipo de cifrado que desean para la comunicación con el punto de acceso. En caso de configurarse varios cifrados, el punto de acceso utiliza el de menor seguridad para enviar las tramas multicast. El cifrado TKIP es menos seguro que el cifrado AES-CCMP. 1. Debe configurarse el tipo de autenticación y gestión de claves (AKM: Authentication and Key Management) que se desea utilizar mediante el comando akm-suite. Puede configurarse: dot1x: se utiliza autenticación 802.1X para obtener la clave maestra de un servidor de autenticación externo. psk: preshared-key: la clave maestra se configura en el punto de acceso y en la estación, derivándose de ella las claves particulares a utilizar durante una sesión. 2. En caso de configurar akm-suite psk, es necesario configurar la clave maestra que se utilizará para generar las diferentes claves. La clave maestra puede configurarse de dos formas diferentes: introduciendo la clave directamente, como 16 dígitos hexadecimales. Para ello se usa el comando wpa-psk key (plain ciphered) <key>. introduciendo una cadena de texto, de 8 a 63 caracteres de longitud. En este caso, el punto de acceso utiliza un procedimiento definido en el estándar i para generar la clave maestra a utilizar. Al ser un procedimiento estándar, se asegura que la clave generada en dos equipos distintos al introducir la misma cadena de texto es idéntica. Para configurar la clave maestra utilizando una cadena de texto se usa el comando wpa-psk passphrase (plain ciphered) <passphrase>. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 36

40 5. Comandos del menú de configuración En este apartado se resumen los distintos comandos de configuración disponibles en el menú de configuración de un interfaz Wireless LAN. Hay ciertos comandos comunes para todos los interfaces del equipo. Estos comandos se describen en el manual de configuración común de interfaces (Dm772 Configuración Común de Interfaces). El siguiente cuadro resume los comandos de configuración del interfaz WLAN. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de configuración o las opciones de los comandos. ACCESS-CONTROL Permite configurar listas de control de acceso por direcciones MAC. ANTENNA Configura la antena a utilizar para transmisión. BEACON Configura parámetros relativos al envío de tramas beacon. BSS Acceso al menú de configuración de un BSS CHANNEL Configura el canal a utilizar. COUNTRY Configura el país a cuyas normas debe atenerse el interfaz WLAN a la hora de seleccionar los canales permitidos. FRAGMENT-THRESHOLD Configura el umbral de fragmentación. KEY Configura las claves WEP. LIST Muestra la configuración. MODE Configura el estándar de trabajo del interfaz WLAN: a, b o g. NO Configura parámetros con valores por defecto. POWER Configura parámetros de potencia. RTS Configura parámetros relacionados con el envío usando el mecanismo RTS/CTS. EXIT Sale del menú de configuración del interfaz WLAN. 5.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando ACCESS-CONTROL Permite configurar las listas de control de acceso por direcciones MAC. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 37

41 Sintaxis: wlan3/0 WLAN config>access-control disable Disables MAC restricted access enable Enables MAC restricted access mac-address <mac> MAC restricted access allow Allows access deny Denies access keymap adds encryption key mapping default default key <1..200> key index disable: enable: strict: mac-address: mac-address allow: mac-address deny: mac-address keymap: Deshabilita el control de acceso por direcciones MAC. Habilita el control de acceso por direcciones MAC. Se permite el acceso a las direcciones MAC no configuradas. Habilita el control de acceso estricto por direcciones MAC. No se permite el acceso a las direcciones MAC no configuradas. Crea o modifica el control de acceso asociado a una dirección MAC. Permite la asociación de la dirección MAC indicada. Impide la asociación de la dirección MAC indicada. Asocia una clave WEP privada a la dirección MAC indicada. Esta opción sólo está disponible para direcciones MAC permitidas previamente con la opción allow. La clave asociada puede ser la clave configurada por defecto (opción default) o el índice de una clave configurada usando el comando key. Configuración de una lista de acceso en la que se permiten las direcciones 00-0F-CB-AF-EE-6A y BB-20-A4. Las direcciones no configuradas explícitamente no tienen permiso para asociarse con el punto de acceso. wlan3/0 WLAN config>access-control strict wlan3/0 WLAN config>access-control mac-address 00-0f-cb-af-ee-6a allow wlan3/0 WLAN config>access-control mac-address 00-0b-6b-34-af-03 allow Se asocia una clave privada, situada en el índice 10 a la dirección MAC 00-0F-CB-AF-EE-6A. wlan3/0 WLAN config>access-control mac-address 00-0f-cb-af-ee-6a keymap ANTENNA Configura la antena a utilizar para transmisión. Se puede seleccionar la antena izquierda, la derecha o ambas (diversidad de antenas). A la hora de seleccionar una antena debe tenerse en cuenta que las antenas se referencian mirando el equipo desde la trasera: la antena izquierda es la antena que queda más a la izquierda cuando se mira el equipo desde atrás. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 38

42 Sintaxis: wlan3/0 WLAN config>antenna? left selects left antenna right selects right antenna diversity selects antenna diversity wlan3/0 WLAN config> Valor por defecto: por defecto se utiliza diversidad de antenas. Se configura el equipo para que se utilice la antena derecha: wlan3/0 WLAN config>antenna right 5.4. BEACON Configura parámetros relativos al envío de tramas beacon. Sintaxis: wlan3/0 WLAN config>beacon? dtim Configures Data Beacon Rate (DTIM) period Configures beacon transmission period in time units (TUs) wlan3/0 WLAN config> BEACON DTIM Configura la periodicidad, en tramas de beacon, del elemento de información DTIM. El elemento de información DTIM se incluye periódicamente en las tramas beacon, informando de que inmediatamente después se va a proceder al envío de las tramas multicast y broadcast almacenadas en el punto de acceso. Esta información es usada por las estaciones que se encuentran en modo ahorro de energía, para escuchar las tramas de multicast y broadcast. La configuración de este parámetro afecta a las estaciones en modo de ahorro de energía. Cuanto mayor sea el valor configurado, mayor es el tiempo que puede permanecer una estación dormida, sin necesidad de despertar para recibir las tramas de broadcast y multicast. Sin embargo, debe tenerse en cuenta que valores altos implican que el punto de acceso debe almacenar más tramas para su posterior entrega. Si el valor configurado es alto, puede suceder que el punto de acceso se quede sin recursos para almacenar las tramas, descartándose tramas. Valor por defecto: el valor por defecto es 1, es decir, las tramas broadcast y multicast se entregan con cada trama beacon. El elemento de información DTIM se envía en una de cada tres tramas de beacon: wlan3/0 WLAN config>beacon dtim 3 BEACON PERIOD Configura la periodicidad de envío de las tramas de beacon. Las tramas de beacon son tramas enviadas periódicamente por el punto de acceso para anunciar las características de la red inalámbrica: modo de funcionamiento, velocidades soportadas, requisitos de seguridad, etc. La periodicidad de las tramas de beacon se indica en unidades de tiempo. La unidad de tiempo es un parámetro definido por el estándar del IEEE. Una unidad de tiempo (TU: Time Unit) equivale a 1024 microsegundos. La configuración de este parámetro afecta a las estaciones en modo ahorro de energía, teniendo unas implicaciones similares a las descritas en la configuración del parámetro beacon dtim: a mayor ROUTER TELDAT Configuración Interfaz Wireless LAN II - 39

43 periodicidad de las tramas de beacon, más tiempo pueden permanecer las estaciones dormidas sin embargo, el punto de acceso debe almacenar mayor cantidad de tramas para su posterior entrega. Valor por defecto: el valor por defecto es 100, es decir, se envía una trama de beacon cada milisegundos. Envío de las tramas de beacon cada 300 unidades de tiempo: wlan3/0 WLAN config>beacon period BSS El comando bss permite la creación de una zona de servicio básico (BSS) y el acceso a los parámetros de configuración de la misma. Una BSS se identifica por el SSID, identificador de red. En la actualidad sólo es posible configurar una zona de cobertura básica por interfaz WLAN. Sintaxis: wlan3/0 WLAN config>bss <ssid> siendo ssid una cadena alfanumérica de 1 a 32 caracteres de longitud. Configuración de una zona de cobertura básica con SSID Teldat WLAN : wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> Consúltese el apartado Comandos del menú de configuración del BSS para obtener información de la configuración del BSS CHANNEL Configura el canal de radio a utilizar. Para que el punto de acceso seleccione automáticamente el canal en función de las redes detectadas, debe usarse el comando no channel. Sintaxis: wlan3/0 WLAN config>channel? number Channel number frequency Channel frequency in MHz wlan3/0 WLAN config> number: frequency: configura el número de canal a utilizar. configura la frecuencia central del canal a utilizar. La frecuencia se indica en MHz. En caso de que el canal introducido no esté permitido con el modo y país configurados, se indica con un mensaje de error. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 40

44 Valor por defecto: por defecto el canal se selecciona automáticamente. Configuración del canal 10: wlan3/0 WLAN config>channel number 10 Configuración del canal 1 en modo b/g (frecuencia 2,412 GHz): wlan3/0 WLAN config>channel frequency 2412 Configuración de canal no permitido: wlan3/0 WLAN config>channel number 12 CLI Error: Channel is not part of country code NA or not possible with this hard ware CLI Error: Command error wlan3/0 WLAN config> 5.7. COUNTRY Configura el país a cuyas normas debe atenerse el interfaz WLAN a la hora de seleccionar los canales permitidos. Sintaxis: wlan3/0 WLAN config>country? <2 chars> Country code El código de país se introduce como dos caracteres correspondientes al código ISO del país. Por ejemplo, el código ISO de España es ES. En el apéndice A pueden consultarse los códigos ISO que reconoce el equipo. Valor por defecto: por defecto no hay código de país configurado. Esto se indica con el código de país especial NA (Not Available). Configuración del equipo para que funcione de acuerdo a la normativa que rige en España: wlan3/0 WLAN config>country ES 5.8. FRAGMENT-THRESHOLD Configura el umbral de fragmentación. En caso de que el paquete a transmitir sea mayor que el umbral configurado, el paquete se fragmenta para su transmisión. Sintaxis: wlan3/0 WLAN config>fragment-threshold? < > Value in the specified range wlan3/0 WLAN config> ROUTER TELDAT Configuración Interfaz Wireless LAN II - 41

45 Valor por defecto: El valor por defecto es Configuración del umbral de fragmentación de modo que se fragmenten los paquetes de longitud mayor de 1500 bytes. wlan3/0 WLAN config>fragment-threshold KEY Configura las claves WEP compartidas. Sintaxis: wlan3/0 WLAN config>key <index> size ( ) (ascii hex) (plain ciphered) <key> index: índice de la clave a configurar. Los valores permitidos van de 1 a 4. size: tamaño de la clave WEP. La clave WEP puede ser de 40, 104 o 128 bits. ascci: elija esta opción para introducir la clave utilizando caracteres ascci. Tenga en cuenta que un carácter ASCII equivale a 8 bits. hex: elija esta opción para introducir la clave utilizando caracteres hexadecimales. Tenga en cuenta que un carácter hexadecimal equivale a 4 bits. plain: elija esta opción para introducir la clave WEP sin cifrar. ciphered: elija esta opción para introducir la clave WEP cifrada. key: clave WEP que se desea configurar. Configuración de la clave teldatwepkey2, de 104 bits de longitud en la posición 2. wlan3/0 WLAN config>key 2 size 104 ascii plain teldatkeywep2 Configuración de la clave 0x , de 40 bits, en la posición 4. wlan3/0 WLAN config>key 4 size 40 hex plain LIST Muestra la configuración del interfaz Wireless LAN. Por motivos de seguridad, al listar la configuración no se muestran los valores de las claves configuradas. Sintaxis: wlan3/0 WLAN config>list MODE Configura el estándar de trabajo del interfaz WLAN: a, b o g. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 42

46 Sintaxis: wlan3/0 WLAN config>mode? 11a Mode 11a 11b Mode 11b 11g Mode 11g wlan3/0 WLAN config> Valor por defecto: por defecto el modo configurado es g. Configuración del interfaz WLAN para que funcione según el estándar a. wlan3/0 WLAN config>mode 11a NO Configura parámetros con valores por defecto o borra configuración. Sintaxis: wlan3/0 WLAN config>no? access-control Configures MAC access-control antenna Configures antenna to use beacon Configures Beacon parameters bss Configures the Basic Service Set channel Configures the radio channel country Configures the country code fragment-threshold Configures the fragment threshold key Configures encryption key mode Configures the wireless mode power Configures power parameters rts Configures RTS parameters Configuración del canal por defecto. wlan3/0 WLAN config>no channel Se elimina la clave configurada en la posición 3. wlan3/0 WLAN config>no key POWER Configura parámetros de potencia. Sintaxis: wlan3/0 WLAN config>power? transmit Set transmit power POWER TRANSMIT Configura la potencia de transmisión. Sintaxis: wlan3/0 WLAN config>power transmit? full maximum (normal) power half fractional (1/2) power quarter fractional (1/4) power eighth fractional (1/8) power minimum minimum power ROUTER TELDAT Configuración Interfaz Wireless LAN II - 43

47 full: half: quarter: eighth: minimum: se transmite a máxima potencia se aplica una atenuación de 3 dbm a la potencia de transmisión se aplica una atenuación de 6 dbm a la potencia de transmisión se aplica una atenuación de 9 dbm a la potencia de transmisión. se transmite a mínima potencia (atenuación de 12 dbm). Valor por defecto: por defecto se transmite a potencia completa (full). Transmisión con la mitad de la potencia normal (atenuación de 3 dbm). wlan3/0 WLAN config>power transmit half RTS Configura parámetros relacionados con el mecanismo RTS/CTS utilizado para el acceso al medio. Sintaxis: wlan3/0 WLAN config>rts? threshold Packet size to send an RTS RTS THRESHOLD Configura el umbral para la activación del mecanismo RTS/CTS para acceso al medio. En caso de que la trama que se va a transmitir sea mayor que el umbral configurado, se emplea el mecanismo RTS/CTS para reservar el medio antes del envío de la trama. Sintaxis: wlan3/0 WLAN config>rts threshold? < > Value in the specified range wlan3/0 WLAN config> Valor por defecto: Por defecto el umbral RTS/CTS es 2312 bytes. Se reserva del medio utilizando el mecanismo RTS/CTS para paquetes de longitud superior a 1500 bytes. wlan3/0 WLAN config>rts threshold EXIT Sale del menú de configuración del interfaz WLAN. Sintaxis: wlan3/0 WLAN config>exit ROUTER TELDAT Configuración Interfaz Wireless LAN II - 44

48 6. Comandos del menú de configuración del BSS En este apartado se resumen los distintos comandos de configuración disponibles en el menú de configuración de una zona de servicio básico (BSS) del interfaz Wireless LAN. Para acceder al menú de configuración del BSS, teclee bss seguido del identificador de red en el menú de configuración del interfaz WLAN. wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> El siguiente cuadro resume los comandos de configuración del BSS. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de configuración o las opciones de los comandos. AKM-SUITE Configura la política de autenticación y gestión de claves a utilizar en el BSS. AUTHENTICATION Configura la autenticación a utilizar en el BSS. CIPHER Configura el cifrado a emplear en el BSS. GROUPKEY-UPDATE Configura parámetros referentes a la actualización de la clave de grupo en redes RSN. KEY DEFAULT Configura la clave WEP a utilizar por defecto en el BSS. LIST Muestra la configuración. NO Configura parámetros con valores por defecto. PRIVACY-INVOKED Habilita la seguridad en el BSS. RSN Configura el tipo de red de seguridad robusta (RSN) que se usará en el BSS. SSID-SUPPRESS Elimina el SSID en las tramas de beacon. WEP-KEYSOURCE Configura el tipo de WEP a utilizar en el BSS. WPA-PSK Configura la clave a utilizar en WPA. EXIT Sale del menú de configuración del interfaz WLAN. 6.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando AKM-SUITE Configura la política de autenticación y gestión de claves (AKM: Authentication Key Management) a utilizar en el BSS. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 45

49 Sintaxis: wlan3/0 bss Teldat WLAN config>akm-suite? dot1x 802.1X authentication with 4-Way Handshake psk Preshared Key with 4-Way Handshake wlan3/0 bss Teldat WLAN config> dot1x: se emplea autenticación 802.1X, con la negociación de 4 mensajes (4-Way Handshake) definida en el estándar i para la derivación de las claves. psk: se emplea una clave preconfigurada (pre-shared key) como clave maestra utilizándose la negociación de 4 mensajes (4- Way Handshake) en el estándar i para la derivación de las claves. Valor por defecto: por defecto no hay configurada ninguna política de autenticación y gestión de claves. Es necesario configurar una política explícitamente para crear una red con seguridad robusta (RSN). Configuración de autenticación empleando 802.1X wlan3/0 bss Teldat WLAN config>akm-suite dot1x 6.3. AUTHENTICATION Configura la autenticación a utilizar en el BSS. Sintaxis: auto: open-system: shared-key: wlan3/0 bss Teldat WLAN config>authentication? auto auto open-system open system shared-key shared key wlan3/0 bss Teldat WLAN config> selecciona automáticamente la autenticación a utilizar: autenticación con clave compartida para estaciones que soportan WEP y autenticación abierta para estaciones que no soportan WEP. autenticación abierta. autenticación con clave compartida. El punto de acceso envía un desafío que la estación debe cifrar con la clave WEP para demostrar su conocimiento de dicha clave. En caso de que se habilite una política de seguridad robusta mediante el comando rsn, sólo será posible configurar autenticación abierta. Debido a la falta de seguridad de la autenticación con clave compartida, Teldat recomienda utilizar únicamente seguridad abierta. Valor por defecto: por defecto se utiliza autenticación abierta (open-system). ROUTER TELDAT Configuración Interfaz Wireless LAN II - 46

50 Configuración de autenticación con clave compartida. wlan3/0 bss Teldat WLAN config>authentication shared-key 6.4. CIPHER Configura el cifrado a emplear en el BSS. Sintaxis: wlan3/0 bss Teldat WLAN config>cipher? aes-ccmp AES-CCMP tkip TKIP wlan3/0 bss Teldat WLAN config> aes-ccmp: tkip: se emplea AES-CCMP para cifrar los datos. se emplea TKIP para cifrar los datos. Los mecanismos de cifrado no son excluyentes. Es posible configurar varios mecanismos de cifrado en un BSS, de modo que la estación que entre a formar parte del BSS puede seleccionar el cifrado que mejor se adapte a sus características. En caso de que se configuren varios cifrados, se empleará el de menor seguridad para cifrar las tramas de grupo (tramas de broadcast y multicast). El orden de los cifrados, de menos a más seguros es el siguiente: TKIP AES-CCMP Valor por defecto: por defecto no hay configurado ningún cifrado. Es necesario configurar un cifrado explícitamente para crear una red con seguridad robusta (RSN). Empleo de cifrado AES-CCMP en un BSS. wlan3/0 bss Teldat WLAN config>cipher aes-ccmp Empleo de cifrado AES-CCMP y TKIP en un BSS. Para las tramas de grupo se empleará cifrado TKIP. wlan3/0 bss Teldat WLAN config>cipher aes-ccmp wlan3/0 bss Teldat WLAN config>cipher tkip 6.5. GROUPKEY-UPDATE Configura parámetros referentes a la actualización de la clave de grupo en redes RSN. Sintaxis: wlan3/0 bss Teldat WLAN config>groupkey-update? time Configures groupkey update interval in seconds wlan3/0 bss Teldat WLAN config> ROUTER TELDAT Configuración Interfaz Wireless LAN II - 47

51 GROUPKEY-UPDATE TIME Configura el intervalo de actualización de la clave de grupo en redes RSN. El intervalo de actualización se especifica en segundos. Sintaxis: wlan3/0 bss Teldat WLAN config>groupkey-update time? < > Value in the specified range wlan3/0 bss Teldat WLAN config> Valor por defecto: el valor por defecto es 1800 segundos, es decir, se actualiza la clave de grupo cada 30 minutos. La clave de grupo se debe actualizar cada 10 minutos (600 segundos). wlan3/0 bss Teldat WLAN config>groupkey-update time KEY DEFAULT Configura la clave WEP a utilizar por defecto en el BSS. Este parámetro sólo tiene sentido para BSSs con seguridad WEP. Sintaxis: wlan3/0 bss Teldat WLAN config>key default <index> donde index es un valor de 1 a 4. Valor por defecto: por defecto la clave que se utiliza para transmitir tramas en una red con WEP es la clave en la posición 1. Configuración de la clave en la posición 3 como clave por defecto. wlan3/0 bss Teldat WLAN config>key default LIST Muestra la configuración de la zona de servicio básica BSS. Por motivos de seguridad, al listar la configuración no se muestran los valores de las claves configuradas. Sintaxis: wlan3/0 bss Teldat WLAN config>list 6.8. NO Configura parámetros con valores por defecto o borra configuración. Sintaxis: wlan3/0 bss Teldat WLAN config>no? akm-suite Configures Authentication Key Management suite authentication Configures authentication type cipher Configures cipher type ROUTER TELDAT Configuración Interfaz Wireless LAN II - 48

52 groupkey-update key privacy-invoked rsn ssid-suppress wep-keysource wpa-psk Se deshabilita la seguridad en el BSS. Configures groupkey update interval Configures encryption key Enables security Configures RSN Information Element To Send Suppress SSID in Beacon Frames Configures WEP encryption keys source Configures WPA-PSK wlan3/0 bss Teldat WLAN config>no privacy-invoked 6.9. PRIVACY-INVOKED Habilita la seguridad en el BSS. Sintaxis: wlan3/0 bss Teldat WLAN config>privacy-invoked En caso de que no se habilite una política de seguridad robusta mediante el comando rsn, se empleará WEP. Valor por defecto: por defecto la seguridad en el BSS está deshabilitada. Se habilita la seguridad en un BSS. wlan3/0 bss Teldat WLAN config>privacy-invoked RSN Configura el tipo de red de seguridad robusta (RSN) que se usará en el BSS. Sintaxis: wlan3/0 bss Teldat WLAN config>rsn? wpa WPA Information Element wpa2 WPA2 (802.11i) Information Element wlan3/0 bss Teldat WLAN config> wpa: wpa2: habilita WPA en el BSS. habilita WPA2 en el BSS. Estas dos opciones no son excluyentes. Si se habilita WPA y WPA2, el punto de acceso enviará, en las tramas de beacon, los elementos de información correspondientes a ambas políticas de seguridad. De esta forma, las estaciones que entren a formar parte del BSS, pueden seleccionar la política de seguridad más conveniente de acuerdo a sus características. Valor por defecto: por defecto no hay configurada ninguna política de seguridad robusta. Configuración de BSS para que admita WPA y WPA2. wlan3/0 bss Teldat WLAN config>rsn wpa wlan3/0 bss Teldat WLAN config>rsn wpa2 ROUTER TELDAT Configuración Interfaz Wireless LAN II - 49

53 En caso de que se configure una autenticación distinta de abierta, no será posible configurar una red RSN SSID-SUPPRESS Elimina el SSID en las tramas de beacon. Normalmente, en las tramas de beacon, el punto de acceso anuncia el identificador de la red a la que pertenece. Si se desea mantener esta información oculta, debe emplearse este comando. Sintaxis: wlan3/0 bss Teldat WLAN config>ssid-suppress Valor por defecto: por defecto el identificador de red se envía en las tramas de beacon. Configuración del punto de acceso para que no anuncie el identificador de red en las tramas de beacon. wlan3/0 bss Teldat WLAN config>ssid-suppress WEP-KEYSOURCE Configura el tipo de WEP a utilizar en el BSS. Sintaxis: wlan3/0 bss Teldat WLAN config>wep-keysource? static Configures WEP encryption with static keys dynamic Configures WEP encryption with dynamic keys mixed Configures WEP encryption with static and dynamic keys wlan3/0 bss Teldat WLAN config> static: WEP estático. Se emplean las claves configuradas en el interfaz WLAN mediante el comando key. dynamic: WEP dinámico. Las claves WEP a emplear se obtienen de un servidor de autenticación empleando autenticación 802.1X. mixed: WEP mixto. Las claves WEP a emplear se obtienen mediante autenticación 802.1X si la estación la soporta. Para las estaciones que no soporten autenticación 802.1X, se utilizan las claves configuradas en el interfaz WLAN mediante el comando key. Valor por defecto: por defecto se emplea WEP estático. Empleo de WEP dinámico en el BSS. wlan3/0 bss Teldat WLAN config>wep-keysource dynamic WPA-PSK Configura la clave a utilizar en WPA. Esta clave sólo tiene sentido si se utiliza una política de autenticación y gestión de claves basada en clave compartida, mediante el comando akm-suite psk. ROUTER TELDAT Configuración Interfaz Wireless LAN II - 50

54 Sintaxis: wpa-psk (passphrase key) (plain ciphered) <key-value> passphrase: configura la clave compartida mediante una frase de caracteres ASCII de 8 a 63 caracteres. Mediante un procedimiento estándar se obtiene la clave compartida a partir de la frase configurada. key: configura la clave compartida a utilizar. La clave debe ser una cadena de 64 caracteres hexadecimales. plain: elija esta opción para introducir la clave WPA-PSK sin cifrar. ciphered: elija esta opción para introducir la clave WPA-PSK cifrada. key-value: clave compartida a configurar. Valor por defecto: por defecto no hay configurada ninguna clave compartida. Configuración de la clave compartida mediante la frase Teldat Wireless LAN wlan3/0 bss Teldat WLAN config>wpa-psk passphrase plain "Teldat Wireless LAN" Configuración de la clave compartida directamente. La clave a utilizar es 0x repetido en secuencia hasta completar los 64 caracteres hexadecimales. wlan3/0 bss Teldat WLAN config>wpa-psk key plain EXIT Sale del menú de configuración del BSS. Sintaxis: wlan3/0 bss Teldat WLAN config>exit ROUTER TELDAT Configuración Interfaz Wireless LAN II - 51

55 Capítulo 3 Monitorización de interfaces Wireless

56 1. Acceso a la monitorización de la Wireless LAN Para acceder a la monitorización del interfaz Wireless LAN, siga los pasos que se detallan a continuación: 3. Escriba CONFIGURATION en el menú de monitorización + para obtener una lista de los interfaces disponibles. 4. Escriba el comando NETWORK seguido del identificador del interfaz Wireless LAN que desea configurar. *monitor Console Operador +configuration Teldat's Router, ATLAS S/N: 106/00203 P.C.B.=89 Mask=0c10 Microcode=134f0 CLK= KHz BUSCLK=65536 KHz PCICLK= KHz ID: AT150-16F128R L interfaces: Connector Interface MAC/Data-Link Status GE0/FE0/LAN1 ethernet0/0 Ethernet/IEEE Up GE1/FE1/LAN2 ethernet0/1 Ethernet/IEEE Up SERIAL0/WAN1 serial0/0 HDLC Down --- x25-node internal Up SLOT3 wlan3/0 WLAN Up Encryption Engines: Hardware: SEC-8272 Revision: 0xA +network wlan3/0 -- WLAN Console -- wlan3/0 WLAN+ ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 53

57 2. Comandos del menú de monitorización En este apartado se resumen los distintos comandos de monitorización disponibles en el menú de monitorización de un interfaz Wireless LAN. El siguiente cuadro resume los comandos de monitorización del interfaz WLAN. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de monitorización o las opciones de los comandos. ACL SHOW Muestra información de las listas de control de acceso configuradas. BEACON SHOW Muestra información de las tramas de beacon. BSS SHOW Muestra información del BSS. CHANNEL SHOW Muestra los canales disponibles en función del modo y país configurados. COUNTRY SHOW Muestra los códigos de país configurables. DOT1X SHOW Muestra información relacionada con la autenticación 802.1X. DUMP Muestra información diversa del interfaz WLAN. RADAR SHOW Muestra información asociada a la detección de señales de radar. STATION SHOW Muestra información de las estaciones asociadas a una red inalámbrica. EXIT Sale del menú de monitorización del interfaz WLAN. 2.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando ACL SHOW Muestra información de las listas de control de acceso configuradas. wlan2/0 WLAN+acl show Access Check: Enabled index mac-address flags key :0f:cb:af:ee:6a 2(access denied) :11:95:bb:20:a4 0(access allowed) 0 Se muestra el estado global del control de acceso por direcciones MAC: habilitado, deshabilitado o estricto y las reglas de acceso configuradas. De cada regla de control de acceso se muestra: index: índice ocupado por la regla en la tabla utilizada internamente. mac-address: dirección MAC a la que está asociada la regla de acceso. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 54

58 flags: información del tipo de regla de acceso configurada: dirección MAC permitida o no permitida, clave privada configurada o no. key: en caso de que se use una clave privada para la dirección MAC, se indica aquí el índice ocupado por la clave en la tabla utilizada internamente. Por motivos de seguridad, no es posible visualizar la tabla de claves utilizada BEACON-SHOW Muestra información de las tramas de beacon. Sintaxis: wlan3/0 WLAN+beacon show? base Displays base beacon frame information xr Displays extended Range beacon frame information wlan3/0 WLAN+ El punto de acceso es capaz de trabajar en modo rango extendido (XR) con aquellas estaciones que lo soporten. Es posible mostrar información de las tramas de beacon utilizadas para anunciar el BSS base (opción base), o las tramas utilizadas para anunciar el BSS de rango extendido (opción xr). wlan3/0 WLAN+beacon show base Beacon Status: enabled Beacon Interval: 100 DTIM Interval: 1 DTIM Count: 0 Missed Beacon Count: 0 Transmitted Beacon Count: 896 BSS Start Count: 1 Beacon Watchdog delay tick Count: TIM len: 6 + non-tim len: 135 = frame len: 141 Protocol ver 0 Type MGT Subtype BEACON To DS 0 From DS 0 More Frag 0 Retry 0 Pwr Mgt 0 More Data 0 WEP 0 Order 0 Duration/ID 0000 Dest Address 00:0b:6b:37:35:f5 Src Address 00:0b:6b:37:35:f5 BSS Id 00:0b:6b:37:35:f5 Sequence Num 0000 Fragment Num 0 Timestamp Beacon Intrv 0064 Capability Information CF Pollable 0 CF Poll Req 0 ESS 1 IBSS 0 Privacy 1 Allow ShortP 1 Allow ShortS 1 INFO ELEMENT SSID Length 0x0a bytes Value INFO ELEMENT Supported Rates Length 0x08 bytes Value b 96 0c INFO ELEMENT DS Parameter Set Length 0x01 bytes Value 01 INFO ELEMENT TIM Length 0x04 bytes Value INFO ELEMENT NONERP element Length 0x01 bytes Value 00 INFO ELEMENT Ext Supported Rates Length 0x04 bytes Value c INFO ELEMENT Vendor Private Length 0x09 bytes Value f f ff ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 55

59 INFO ELEMENT Vendor Private Length 0x1a bytes Value f b 6b f5 02 0b 6b f c INFO ELEMENT Vendor Private Length 0x18 bytes Value f a a e f 00 La información que se muestra es la siguiente: Beacon Status: estado de la transmisión de las tramas de beacon. Indica si se están enviando tramas de beacon o no. Beacon Interval: periodicidad de envío de tramas de beacon, expresado en unidades de tiempo. DTIM Interval: periodicidad de envío de las tramas con el elemento de información DTIM. Indica cada cuantas tramas de beacon se incluye el elemento de información DTIM. DTIM Count: cuenta descendente hasta el siguiente DTIM. Cuando el contador llega a cero, la siguiente trama de beacon se envía con el elemento de información DTIM. Missed Beacon Count: contador de tramas de beacon no enviadas por algún error en el punto de acceso. Transmitted Beacon Count: contador de tramas de beacon enviadas. BSS Start Count: contador de las veces que se ha arrancado el BSS. Indicador de posibles reseteos del chip que controla el interfaz WLAN debido a errores irrecuperables. Beacon Watchdog delay tick Count: parámetro para uso interno en Teldat. longitud y contenido de la trama de beacon BSS SHOW Muestra información del BSS. Sintaxis: wlan3/0 WLAN+bss show? base Displays Base Basic Service Set information xr Displays extended Range Basic Service Set information wlan3/0 WLAN+ wlan3/0 WLAN+bss show base SSID: Teldat WLAN BSS type: 1 Channel: 2412 Beacon Interval: 100 DTIM Interval: 1 BSS default-rate-index: 0 BSS minimum-rate-index: 0 BSS number of associated clients: 1 BSS number of sleeping clients: 0 BSS HW rate[0]: 1000, valid=1 BSS HW rate[1]: 2000, valid=1 BSS HW rate[2]: 5500, valid=1 BSS HW rate[3]: 11000, valid=1 BSS HW rate[4]: 6000, valid=0 BSS HW rate[5]: 9000, valid=0 BSS HW rate[6]: 12000, valid=1 BSS HW rate[7]: 18000, valid=1 BSS HW rate[8]: 24000, valid=1 BSS HW rate[9]: 36000, valid=1 BSS HW rate[10]: 48000, valid=1 BSS HW rate[11]: 54000, valid=1 BSS HW rate[12]: 6000, valid=1 BSS HW rate[13]: 12000, valid=1 ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 56

60 BSS HW rate[14]: 18000, valid=1 BSS HW rate[15]: 24000, valid=1 BSS HW rate[16]: 36000, valid=1 BSS HW rate[17]: 48000, valid=1 BSS HW rate[18]: 54000, valid=1 BSS HW rate[19]: 0, valid=0 BSS HW rate[20]: 0, valid=0 BSS HW rate[21]: 0, valid=0 BSS HW rate[22]: 0, valid=0 BSS HW rate[23]: 0, valid=0 BSS HW rate[24]: 0, valid=0 BSS HW rate[25]: 0, valid=0 BSS HW rate[26]: 0, valid=0 BSS HW rate[27]: 0, valid=0 BSS HW rate[28]: 0, valid=0 BSS HW rate[29]: 0, valid=0 BSS HW rate[30]: 0, valid=0 BSS HW rate[31]: 0, valid=0 BSS rate[0]: 130 BSS rate[1]: 132 BSS rate[2]: 139 BSS rate[3]: 150 BSS rate[4]: 12 BSS rate[5]: 24 BSS rate[6]: 48 BSS rate[7]: 72 BSS rate[8]: 18 BSS rate[9]: 36 BSS rate[10]: 96 BSS rate[11]: 108 La mayor parte de los parámetros mostrados son para uso interno en Teldat. Entre los parámetros interesantes desde el punto de vista del usuario cabe señalar: SSID: identificador de la red inalámbrica configurada (SSID). Channel: canal utilizado por la red inalámbrica. Beacon Interval: periodicidad de las tramas de beacon. DTIM Interval: periodicidad, en tramas de beacon, del envío del elemento de información DTIM. BSS number of associated clients: número de estaciones asociadas actualmente al punto de acceso. BSS number of sleeping clients: número de estaciones en modo ahorro de energía asociadas actualmente al punto de acceso CHANNEL SHOW Muestra los canales disponibles en función del modo y país configurados. Se puede utilizar este comando en caso de que se tenga alguna duda de los canales configurables. wlan3/0 WLAN+channel show Available Channels: Frequency (channel number) 2412 ( 1) 2417 ( 2) 2422 ( 3) 2427 ( 4) 2432 ( 5) 2437 ( 6) 2442 ( 7) 2447 ( 8) 2452 ( 9) 2457 (10) 2462 (11) wlan3/0 WLAN+ Se muestran las frecuencias disponibles, con el canal correspondiente entre paréntesis. En el ejemplo anterior, es posible configurar 11 canales. La frecuencia central de, por ejemplo, el canal 6 es 2437 MHz. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 57

61 2.6. COUNTRY SHOW Muestra los códigos de país configurables. wlan3/0 WLAN+country show NA - NO_COUNTRY_SET AL - ALBANIA DZ - ALGERIA AR - ARGENTINA AM - ARMENIA AU - AUSTRALIA AT - AUSTRIA AZ - AZERBAIJAN BH - BAHRAIN BY - BELARUS BE - BELGIUM BZ - BELIZE BO - BOLVIA BR - BRAZIL BN - BRUNEI DARUSSALAM BG - BULGARIA CA - CANADA CL - CHILE CN - CHINA CO - COLOMBIA CR - COSTA RICA more? y HR - CROATIA CY - CYPRUS CZ - CZECH REPUBLIC DK - DENMARK DO - DOMINICAN REPUBLIC EC - ECUADOR EG - EGYPT SV - EL SALVADOR EE - ESTONIA FI - FINLAND FR - FRANCE F2 - FRANCE_RES GE - GEORGIA DE - GERMANY GR - GREECE GT - GUATEMALA HN - HONDURAS HK - HONG KONG HU - HUNGARY IS - ICELAND IN INDIA more? n wlan3/0 WLAN DOT1X SHOW Muestra información relacionada con la autenticación 802.1X. wlan3/0 WLAN+dot1x show STA-mac: 00:11:95:BB:20:A4 Identity: xxxxxxxx Current Auth state: ST_AUTHENTICATED Radius Reauth in 0 seconds Current AS state: ST_IDLE ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 58

62 Authenticator Stats: ==================== authentersconnecting: 1 autheaplogoffswhileconnecting: 0 authentersauthenticating: 1 authauthsuccesseswhileauthenticating: 1 authauthtimeoutswhileauthenticating: 0 authauthfailwhileauthenticating: 0 authautheapstartswhileauthenticating: 0 authautheaplogoffwhileauthenticating: 0 authauthreauthswhileauthenticated: 0 authautheapstartswhileauthenticated: 0 authautheaplogoffwhileauthenticated: 0 RADIUS state: ============== backendresponses: 6 backendaccesschallenges: 5 backendotherrequeststosupplicant: 5 backendauthsuccesses: 1 backendauthfails: 0 wlan3/0 WLAN+ La información que se muestra es la siguiente: STA-mac: dirección MAC de la estación. Identity: identidad 802.1X usada por la estación. Current Auth state: estado de la máquina de estados 802.1X asociada al autenticador. Current AS state: estado de la máquina de estados 802.1X asociada a la comunicación con el servidor de autenticación (AS: Authentication Server). Radius Reauth: tiempo restante hasta que se produzca una reautenticación con el servidor Radius. Authenticator Stats: estadísticos asociados al autenticador. Incluyen: o authentersconnecting: número de veces que la máquina de estados del autenticador 802.1X ha entrado en estado conectando. o autheaplogoffswhileconnecting: contador de paquetes EAP-Logoff recibidos mientras se está en estado conectando. o authentersauthenticating: contador de veces que la máquina de estados del autenticador 802.1X ha entrado en estado autenticando. o authauthsuccesseswhileauthenticating: contador de autenticaciones exitosas. o authauthtimeoutswhileauthenticating: número de vencimientos de temporizador mientras se está realizando una autenticación. o authauthfailwhileauthenticating: contador de errores en la autenticación. o authautheapstartswhileauthenticating: contador de paquetes EAP-Start recibidos durante la autenticación. o authautheaplogoffwhileauthenticating: contador de paquetes EAP-Logoff recibidos mientras se está en estado autenticando. o authauthreauthswhileauthenticated: contador de reautenticaciones una vez que el suplicante se ha autenticado. o authautheapstartswhileauthenticated: contador de paquetes EAP-Start recibidos una vez autenticado. o authautheaplogoffwhileauthenticated: contador de paquetes EAP-Logoff recibidos una vez el suplicante se ha autenticado. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 59

63 RADIUS state: estadísticos asociados a la comunicación con el servidor de autenticación (servidor Radius). Incluyen: o backendresponses: respuestas del servidor de autenticación. o backendaccesschallenges: contador de paquetes Access-Challenge recibidos del servidor de autenticación. o backendotherrequeststosupplicant: contador de peticiones realizadas al suplicante. o backendauthsuccesses: contador de paquetes Access-Accept recibidos del servidor de autenticación. o backendauthfails: contador de paquetes Access-Reject recibidos del servidor de autenticación DUMP Muestra información diversa del interfaz WLAN. Sintaxis: wlan3/0 WLAN+dump? registers Displays WLAN chip registers wlan3/0 WLAN+ DUMP REGISTERS Muestra el contenido de los registros del chip utilizado para el interfaz WLAN. Esta información es para uso interno de Teldat. wlan3/0 WLAN+dump registers MAC Registers === 0x0008: 0x === 0x000C: 0x07427E40 === 0x0010: 0x === 0x0014: 0x === 0x0018: 0x === 0x001C: 0x === 0x0020: 0x === 0x0024: 0x === 0x0028: 0x === 0x002C: 0x === 0x0030: 0x === 0x0034: 0x === 0x0038: 0x074282D0 === 0x003C: 0x === 0x0040: 0x === 0x0044: 0x === 0x0048: 0x === 0x004C: 0x === 0x0050: 0x === 0x0054: 0x F === 0x0058: 0x === 0x005C: 0x0065CDF1 === 0x0060: 0x === 0x0064: 0x === 0x0068: 0x === 0x006C: 0x === 0x0070: 0x === 0x0074: 0x === 0x0078: 0x === 0x007C: 0x ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 60

64 === 0x0080: 0x === 0x0084: 0x === 0x0088: 0x === 0x008C: 0x === 0x0090: 0x === 0x0094: 0x000003A0 === 0x0098: 0x === 0x009C: 0x === 0x00A0: 0x000919F5 === 0x00A4: 0x F === 0x00A8: 0x F === 0x00AC: 0x F === 0x00B0: 0x === 0x00B4: 0x more? n wlan3/0 WLAN RADAR SHOW Muestra información asociada a la detección de señales de radar. Este comando sólo tiene sentido en el modo a. Dado que, en este modo, las frecuencias utilizadas pueden coincidir con frecuencias de radar, el estándar h obliga a que, si se detecta una señal de radar en el canal de operación, se abandone dicho canal. Esta normativa sólo aplica en Europa, pero existen normas similares en desarrollo por otros organismos reguladores del espectro radioeléctrico. wlan3/0 WLAN+radar show No radar detection for the selected wireless interface wlan3/0 WLAN STATION SHOW Muestra información de las estaciones asociadas a una red inalámbrica. Sintaxis: El comando station show admite diferentes opciones: seguido de la opción summary, muestra un resumen del estado de las estaciones pertenecientes a la red inalámbrica. seguida de la opción ap, muestra información detallada del punto de acceso. seguida de un número identificador de la estación, muestra información detallada de la estación indicada. seguida de la opción all, muestra información detallada de todas las estaciones pertenecientes a la red inalámbrica, incluyendo el punto de acceso. wlan3/0 WLAN+station show? <1..64> Displays detailed information about an associated station all Displays detailed information about the access point and every associated station ap Displays detailed information about the access point summary Displays a summary of associated stations wlan3/0 WLAN+ Información genérica de las estaciones que conforman la red inalámbrica. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 61

65 wlan3/0 WLAN+station show summary STA DEV MAC Address State Keytype Authtype AP wlan3/0 00:0B:6B:37:35:F5 up 1 wlan3/0 00:11:95:BB:20:A4 associated AES WPA wlan3/0 WLAN+ Se muestra la siguiente información: STA: identificador de la estación. Este es el identificador que se usa para mostrar información específica de una estación. DEV: identificador del interfaz WLAN. MAC Address: dirección MAC de la estación. State: estado de la estación en la red inalámbrica. Keytype: tipo de cifrado utilizado por la estación. Authtype: tipo de autenticación utilizado por la estación. Aquí se incluye WPA o WPA2. Información detallada del punto de acceso: wlan3/0 WLAN+station show ap Current Transmit Output Power 20.0 dbm 00:0b:6b:37:35:f5 AP Current Ant: 1, Rx Ant: 1 Ant 1: 0, Ant 2: 0, Switch: 0, Delta: 0 State: up WLAN Mode: 2.4GHz 54Mbps (802.11g) Channel 1 (2412 MHz) Encryption: ON Compression: OFF Power Save Mode: OFF WMM: Disabled Rx Data Rate: 1, RxSignalStrength: 22, AckSignalStrength: 21 Authentications: 1 Deauthentications: 1 Associations: 1 Reassociations: 0 Disassociations: 0 MSDU Data Mcast Mgmt Ctrl Errors Rx Tx RxErrors: RxPhyErrors: TxExcessiveRetries: 36 RxCrcErrors: 8128 TxFramesDropped: 36 RxDiscardFrames: 0 RtsFailCnt: 0 FcsFailCnt: 74 TxTotalRetries: 6 AckRcvFailures: TxShortFrameRetry: 5 1 TxLongFrameRetry: 0 2 TxShortFrameRetries: 1 2 TxLongFrameRetries: 0 ************************************************* wlan3/0 WLAN+ Se muestra la siguiente información (algunos de los contadores indicados a continuación pueden no aparecer en algún caso concreto si el valor de los mismos es cero): Current Transmit Output Power: potencia de transmisión, en dbm, utilizada. Dirección MAC del punto de acceso. Current Ant: índice de la última antena utilizada para transmitir. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 62

66 Rx Ant: índice de la última antena utilizada para recibir datos. Ant 1, Ant 2: contador de veces que se ha utilizado cada antena para transmitir. Switch: contador de cambios de antena para transmitir. Delta: diferencia entre el contador de transmisiones con la antena 1 y el contador de transmisiones con la antena 2. State: estado del punto de acceso. WLAN Mode: modo de trabajo del punto de acceso. Channel: canal utilizado. Entre paréntesis se indica la frecuencia central de dicho canal. Encryption: indica si se usa algún mecanismo de seguridad o no. Compression: indica si se utiliza compresión o no. Power Save Mode: indica si se utiliza modo de ahorro de energía o no. WMM: indica si se utiliza calidad de servicio (WMM: Wi-Fi MultiMedia ). Rx Data Rate: velocidad de recepción, en Mbps. RxSignalStrength: calidad de la señal en recepción de la última trama de datos recibida. AckSignalStrength: calidad de la señal en recepción de la última trama de ACK recibida. Authentications: contador de autenticaciones producidas. Deauthentications: contador de deautenticaciones producidas. En caso de que se haya producido alguna, se indica el último código empleado en la deautenticación. Associations: contador del número de asociaciones producidas. Reassociations: contador del número de reasociaciones producidas. Disassociations: contador del número de desasociaciones producidas. En caso de que se haya producido alguna, se indica el último código empleado en la desasociación. Contador de tramas recibidas y transmitidas: o MSDU: tramas MSDU (MAC Service Data Unit). o Data: tramas de datos. o Mcast: tramas multicast (incluye tramas de broadcast). o Ctrl: tramas de control. o Errors: tramas con errores. RxErrors: contador de errores en recepción. RxPhyErrors: contador de errores en recepción en el nivel físico. TxExcessiveRetries: contador de tramas no transmitidas debido a un exceso de reintentos. RxCrcErrors: contador de tramas recibidas con errores de CRC. RcvDecryptCrcErrors: contador de tramas recibidas con error de CRC al descifrarlos. RcvKeyCacheMisses: contador de tramas recibidas con errores de cifrado. Pending transmit frames: contador de tramas pendientes de transmisión. Pending Filtered frames: contador de tramas pendientes de envío debido al mecanismo de filtrado en la cola de transmisión. Contador para uso interno en Teldat. SW Retries: retransmisiones software. Exceeded SW Retry limits: tramas no transmitidas al superarse el máximo número de retransmisiones software. TxFiltered: contador de tramas no transmitidas debido al mecanismo de filtrado en la cola de transmisión. Contador para uso interno en Teldat. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 63

67 RxDuplicateFrames: contador de tramas duplicadas en recepción. TxFramesDropped: contador de tramas totales no enviadas por errores en la transmisión. RxDiscardFrames: contador de tramas descartadas en recepción (tramas duplicadas, tramas con tipo desconocido, etc.). RtsFailCnt: contador de errores producidos durante el intercambio RTS/CTS. FcsFailCnt: contador de errores de CRC. TxTotalRetries: contador de reintentos en transmisión. AckRcvFailures: contador de tramas transmitidas con error al recibir la trama de asentimiento ACK. RcvWEPExcludedCount: tramas cifradas descartadas en recepción por no estar habilitada la seguridad en el BSS. TxShortFrameRetry: contador del número de tramas con un número de retransmisiones (entre 1 y 16) determinado sin utilizar el mecanismo RTS/CTS. En el ejemplo mostrado, se han retransmitido cinco tramas una vez y una trama dos veces. TxLongFrameRetry: contador del número de tramas con un número de retransmisiones (entre 1 y 16) determinado utilizando el mecanismo RTS/CTS. psmulticastframes: contador de tramas multicast que han requerido almacenamiento para su envío por estar alguna estación en modo ahorro de energía. compsuccessframes: contador de tramas enviadas comprimidas con éxito. RxDecompCrcErrors: contador de tramas recibidas comprimidas con error de CRC al descomprimir. compcpcxcounter: contadores de rendimiento asociados a la compresión de tramas. Información detallada de la estación 1: wlan3/0 WLAN+station show 1 00:11:95:bb:20:a4 STA, AID 1 Current Ant: 1, Rx Ant: 2 Ant 1: 17, Ant 2: 0, Switch: 0, Delta: 17 State: associated WLAN Mode: 2.4GHz 54Mbps (802.11g), nonerp present: NO, nonerp protected: NO Start: 85, Last active: 1748 TX Rate: 1, lfrate: 1 Authentication Type: WPA Encryption: ON Keyflags = <dynamic,unique,locked> framekey=0 AES hwindex 4 Ciphers: AES(unicast), AES(multicast), supports AES Key cache misses: 0 Capabilities -> Element not present or invalid Compression: OFF Power Save Mode: OFF WMM: Disabled Rx Data Rate: 54, RxSignalStrength: 47, AckSignalStrength: 55 Authentications: 1 Deauthentications: 1 Associations: 2 Reassociations: 0 Disassociations: 0 MSDU Data Mcast Mgmt Ctrl Errors Rx Tx ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 64

68 STA-mac: 00:11:95:BB:20:A4 Identity: pnogueira Current Auth state: ST_AUTHENTICATED Radius Reauth in 0 seconds Current AS state: ST_IDLE Authenticator Stats: ==================== authentersconnecting: 1 autheaplogoffswhileconnecting: 0 authentersauthenticating: 1 authauthsuccesseswhileauthenticating: 1 authauthtimeoutswhileauthenticating: 0 authauthfailwhileauthenticating: 0 authauthreauthswhileauthenticating: 0 authautheapstartswhileauthenticating: 0 authautheaplogoffwhileauthenticating: 0 authauthreauthswhileauthenticated: 0 authautheapstartswhileauthenticated: 0 authautheaplogoffwhileauthenticated: 0 RADIUS state: ============== backendresponses: 6 backendaccesschallenges: 5 backendotherrequeststosupplicant: 5 backendnonnakresponsesfromsupplicant: 5 backendauthsuccesses: 1 backendauthfails: 0 ************************************************* wlan3/0 WLAN+ Se muestra la siguiente información (algunos de los contadores indicados a continuación pueden no aparecer en algún caso concreto si el valor de los mismos es cero): Dirección MAC de la estación e Identificador de Asociación (AID: Association IDentifier) asociado a la misma. Current Ant: índice de la última antena utilizada para transmitir. Rx Ant: índice de la última antena utilizada para recibir datos. Ant 1, Ant 2: contador de veces que se ha utilizado cada antena para transmitir. Switch: contador de cambios de antena para transmitir. Delta: diferencia entre el contador de transmisiones con la antena 1 y el contador de transmisiones con la antena 2. State: estado de la estación. WLAN Mode: modo de trabajo. nonerp present: elemento de información nonerp (Non-Extended Rate PHY s, utilizado en el estándar g) presente o no. nonerp protected: elemento de información nonerp protegido o no. Start: instante, en milisegundos contados desde el arranque del equipo, en que se recibió la primera trama desde esta estación Last active: instante, en milisegundos contados desde el arranque del equipo, en que hubo actividad con esta estación (se transmitió una trama a la estación o se recibió una trama desde la estación). TX Rate: velocidad empleada para transmitir datos a esta estación. lfrate: para uso interno en Teldat. Authentication Type: indica el tipo de autenticación empleado por la estación. Se incluyen aquí WPA y WPA2 como tipos de autenticación. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 65

69 Encryption: Indica si se usa algún mecanismo de seguridad o no. En caso de que se emplee seguridad, se incluyen datos de las claves empleadas para uso interno en Teldat. Ciphers: cifrado empleado. Se indica el cifrado empleado para las tramas unicast y para las tramas multicast. Key cache misses: contador de tramas recibidas con errores de cifrado. Capabilities: información sobre el elemento de información de capacidades propietario de Atheros. Compression: indica si se utiliza compresión o no. Power Save Mode: indica si se utiliza modo de ahorro de energía o no. WMM: indica si se utiliza calidad de servicio (WMM: Wi-Fi MultiMedia). Rx Data Rate: velocidad de recepción, en Mbps. RxSignalStrength: calidad de la señal en recepción de la última trama de datos recibida. AckSignalStrength: calidad de la señal en recepción de la última trama de ACK recibida. Authentications: contador de autenticaciones producidas. Deauthentications: contador de deautenticaciones producidas. En caso de que se haya producido alguna, se indica el último código empleado en la deautenticación. Associations: contador del número de asociaciones producidas. Reassociations: contador del número de reasociaciones producidas. Disassociations: contador del número de desasociaciones producidas. En caso de que se haya producido alguna, se indica el último código empleado en la desasociación. Contador de tramas recibidas y transmitidas: o MSDU: tramas MSDU (MAC Service Data Unit). o Data: tramas de datos. o Mcast: tramas multicast (incluye tramas de broadcast). o Ctrl: tramas de control. o Errors: tramas con errores. RxErrors: contador de errores en recepción. RxPhyErrors: contador de errores en recepción en el nivel físico. TxExcessiveRetries: contador de tramas no transmitidas debido a un exceso de reintentos. RxCrcErrors: contador de tramas recibidas con errores de CRC. RcvDecryptCrcErrors: contador de tramas recibidas con error de CRC al descifrarlos. RcvKeyCacheMisses: contador de tramas recibidas con errores de cifrado. Pending transmit frames: contador de tramas pendientes de transmisión. Pending Filtered frames: contador de tramas pendientes de envío debido al mecanismo de filtrado en la cola de transmisión. Contador para uso interno en Teldat. SW Retries: retransmisiones software. Exceeded SW Retry limits: tramas no transmitidas al superarse el máximo número de retransmisiones software. TxFiltered: contador de tramas no transmitidas debido al mecanismo de filtrado en la cola de transmisión. Contador para uso interno en Teldat. RxDuplicateFrames: contador de tramas duplicadas en recepción. TxFramesDropped: contador de tramas totales no enviadas por errores en la transmisión. ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 66

70 RxDiscardFrames: contador de tramas descartadas en recepción (tramas duplicadas, tramas con tipo desconocido, etc.). RtsFailCnt: contador de errores producidos durante el intercambio RTS/CTS. FcsFailCnt: contador de errores de CRC. TxTotalRetries: contador de reintentos en transmisión. AckRcvFailures: contador de tramas transmitidas con error al recibir la trama de asentimiento ACK. RcvWEPExcludedCount: tramas cifradas descartadas en recepción por no estar habilitada la seguridad en el BSS. TxShortFrameRetry: contador del número de tramas con un número de retransmisiones (entre 1 y 16) determinado sin utilizar el mecanismo RTS/CTS. En el ejemplo mostrado, se han retransmitido cinco tramas una vez y una trama dos veces. TxLongFrameRetry: contador del número de tramas con un número de retransmisiones (entre 1 y 16) determinado utilizando el mecanismo RTS/CTS. psrequestframes: contador total de tramas que han requerido almacenamiento para su envío por estar la estación en modo ahorro de energía. pssavedframes: contador de tramas que se han almacenado para su posterior envío por estar la estación en modo ahorro de energía. psagedframes: tramas almacenadas para su posterior entrega por estar la estación en modo ahorro de energía que se han descartado por no haber sido entregadas en el plazo indicado por la estación como período de escucha. compsuccessframes: contador de tramas enviadas comprimidas con éxito. RxDecompCrcErrors: contador de tramas recibidas comprimidas con error de CRC al descomprimir. Información de la autenticación 802.1X. La información mostrada puede consultarse en la descripción del comando dot1x EXIT Sale del menú de monitorización del interfaz WLAN. wlan3/0 WLAN+exit + ROUTER TELDAT Monitorización Interfaz Wireless LAN III - 67

71 Capítulo 4 Ejemplos de configuración

72 Teldat hecho por M.A. Berrojo Teldat hecho por M.A. Berrojo 1. Configuración básica: bridge y DHCP En este ejemplo se va a configurar el equipo de Teldat con la configuración más habitual: se hace bridge entre la Ethernet y la WLAN. Además, el punto de acceso asigna, mediante DHCP, direcciones a las estaciones que forman parte de la red inalámbrica Escenario Router Internet Atlas Ethernet Atlas (AP) Atlas Station 1 Station 2 En este escenario, las estaciones 1 y 2 se asocian con el punto de acceso, que les asigna direcciones por DHCP dentro del rango a Además, por DHCP se indica la dirección del router por defecto para salir a Internet ( ) y la dirección del servidor de DNS ( ) Configuración Wireless LAN La configuración de la interfaz WLAN en este apartado es muy simple: se configura un identificador de red Teldat WLAN, dejando el resto de los parámetros por defecto. network wlan3/0 -- Wireless LAN Interface. Configuration -- bss "Teldat WLAN" exit exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 69

73 1.3. Configuración de bridge En nuestro ejemplo, se configura bridge entre el interfaz WLAN y el interfaz de Ethernet (ethernet0/0). Para obtener información sobre la configuración de bridge puede consultarse el manual Dm717 Bridge. protocol asrt -- ASRT Bridge user configuration -- bridge irb port ethernet0/0 1 port wlan3/0 2 route-protocol ip exit 1.4. Configuración de DHCP En nuestro ejemplo, se configura el equipo de Teldat de forma que asigne direcciones en el rango de la a la Para obtener información sobre la configuración de DHCP puede consultarse el manual Dm730 Protocolo DHCP. protocol dhcp -- DHCP Configuration -- enable server server -- DHCP Server Configuration -- shared 1 shared 2 subnet wi-fi 2 network subnet wi-fi 2 range subnet wi-fi 2 dns-server subnet wi-fi 2 router exit exit 1.5. Configuración completa La configuración completa, incluyendo una dirección en el interfaz de bridge queda como sigue: Showing System Configuration for access-level ATLAS150 Router 7 38 Version Alfa log-command-errors no configuration add device bvi 0 set data-link x25 serial0/0 network ethernet0/0 -- Ethernet Interface User Configuration -- no ip address exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 70

74 network ethernet0/1 -- Ethernet Interface User Configuration -- no ip address exit network x25-node -- X25-node interface configuration -- no ip address exit network wlan3/0 -- Wireless LAN Interface. Configuration -- no ip address bss "Teldat WLAN" exit exit network bvi0 -- Bridge Virtual Interface configuration -- ip address exit protocol asrt -- ASRT Bridge user configuration -- bridge irb port ethernet0/0 1 port wlan3/0 2 route-protocol ip exit protocol dhcp -- DHCP Configuration -- enable server server -- DHCP Server Configuration -- shared 1 shared 2 subnet wi-fi 2 network subnet wi-fi 2 range subnet wi-fi 2 dns-server subnet wi-fi 2 router exit exit dump-command-errors end --- end --- ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 71

75 Teldat hecho por M.A. Berrojo Teldat hecho por M.A. Berrojo 2. WEP estático con control de acceso MAC En este ejemplo se va a configurar una red inalámbrica con seguridad WEP estática Escenario Router Internet Atlas Ethernet Atlas (AP) Atlas Station 1 Station 2 AP: MAC: 00:0B:6B:34:AF:03 IP: /16 Station 1: MAC: 00:11:95:BB:20:A4 IP: /16 Station 2: MAC: 00:0F:CB:AF:EE:6A IP: /16 Se va a crear una red inalámbrica formada por dos estaciones que se asocian al punto de acceso. La red inalámbrica formada utiliza WEP estático para el cifrado de los datos. Se va a utilizar una clave de 104 bits, situada en la posición 3. La clave configurada es teldatwepkey3. Para obtener algo más de seguridad, sólo se va a permitir la asociación de las dos estaciones mostradas en la figura. ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 72

76 2.2. Configuración Se muestra únicamente la configuración del interfaz WLAN. 1. Se accede a la configuración del interfaz WLAN *config Config>net wlan3/0 -- Wireless LAN Interface. Configuration -- wlan3/0 WLAN config> 2. Se configura el identificador de red, Teldat WLAN, y se accede a la configuración del BSS. wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> 3. Se invoca seguridad en el BSS. wlan3/0 bss Teldat WLAN config>privacy-invoked wlan3/0 bss Teldat WLAN config> 4. Se configura la clave en la posición 3 como clave por defecto. wlan3/0 bss Teldat WLAN config>key default 3 wlan3/0 bss Teldat WLAN config> 5. Se sale de la configuración del BSS. wlan3/0 bss Teldat WLAN config>exit wlan3/0 WLAN config> 6. Se configura la clave WEP en la posición 3. wlan3/0 WLAN config>key 3 size 104 ascii plain teldatwepkey3 wlan3/0 WLAN config> 7. Se habilita control de acceso por direcciones MAC. Control estricto, de modo que sólo se permitan las estaciones que aparecen en la lista. wlan3/0 WLAN config>access-control strict wlan3/0 WLAN config> 8. Se permite la asociación de las estaciones con direcciones MAC bb-20-a4 y 00-0fcb-af-ee-6a. ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 73

77 wlan3/0 WLAN config>access-control mac-address bb-20-a4 allow wlan3/0 WLAN config>access-control mac-address 00-0f-cb-af-ee-6a allow wlan3/0 WLAN config> 9. Se sale de la configuración del interfaz WLAN. wlan3/0 WLAN config>exit Config> La configuración completa del interfaz WLAN queda como sigue: network wlan3/0 -- Wireless LAN Interface. Configuration -- no ip address bss "Teldat WLAN" privacy-invoked key default 3 exit key 3 size 104 ascii plain teldatwepkey3 key 3 size 104 ascii ciphered 0x70F72A82CEA761FFE9E69D A0E exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 74

78 Teldat hecho por M.A. Berrojo 3. WEP dinámico Se va a configurar una red inalámbrica con seguridad WEP dinámica. Para ello se dispone de un servidor Radius Escenario Radius Server Ethernet Atlas (AP) Atlas Station 1 Station Configuración Configuración del interfaz WLAN: 1. Se accede a la configuración del interfaz WLAN *config Config>net wlan3/0 -- Wireless LAN Interface. Configuration -- wlan3/0 WLAN config> 2. Se configura el identificador de red, Teldat WLAN, y se accede a la configuración del BSS. ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 75

79 wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> 3. Se invoca seguridad en el BSS. wlan3/0 bss Teldat WLAN config>privacy-invoked wlan3/0 bss Teldat WLAN config> 4. Se indica que se use WEP dinámico. wlan3/0 bss Teldat WLAN config>wep-keysource dynamic wlan3/0 bss Teldat WLAN config> 5. Se sale de la configuración del BSS. wlan3/0 bss Teldat WLAN config>exit wlan3/0 WLAN config> 6. Se sale de la configuración del interfaz WLAN. wlan3/0 WLAN config>exit Config> Además, es necesario configurar la parte de Radius. Para obtener información sobre la configuración del Radius, puede consultarse el manual Dm733 Protocolo Radius. 1. Se accede al menú de configuración de Radius Config>feature radius -- RADIUS User Configuration -- RADIUS config> 2. Se configura la dirección del servidor Radius RADIUS config>primary-address RADIUS config> 3. Se configura la clave para el servidor Radius RADIUS config>primary-secret whatever RADIUS config> 4. Se habilita Radius ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 76

80 RADIUS config>enable radius RADIUS enabled RADIUS config> 5. Se sale del menú de configuración de Radius. RADIUS config>exit Config> La configuración completa del interfaz WLAN queda como sigue: network wlan3/0 -- Wireless LAN Interface. Configuration no ip address bss "Teldat WLAN" privacy-invoked wep-keysource dynamic exit exit y la de Radius: feature radius -- RADIUS User Configuration -- primary-address primary-secret whatever enable radius exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 77

81 Teldat hecho por M.A. Berrojo Teldat hecho por M.A. Berrojo 4. WPA-PSK Se va a configurar una red inalámbrica con seguridad WPA con clave compartida (WPA-PSK) y cifrado AES-CCMP Escenario Router Internet Atlas Ethernet Atlas (AP) Atlas Station 1 Station Configuración Configuración del interfaz WLAN: 1. Se accede a la configuración del interfaz WLAN *config Config>net wlan3/0 -- Wireless LAN Interface. Configuration -- wlan3/0 WLAN config> 2. Se configura el identificador de red, Teldat WLAN, y se accede a la configuración del BSS. ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 78

82 wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> 3. Se invoca seguridad en el BSS. wlan3/0 bss Teldat WLAN config>privacy-invoked wlan3/0 bss Teldat WLAN config> 4. Se indica que se utiliza WPA como entorno de seguridad wlan3/0 bss Teldat WLAN config>rsn wpa wlan3/0 bss Teldat WLAN config> 5. Se configura preshared-key. wlan3/0 bss Teldat WLAN config>akm-suite psk wlan3/0 bss Teldat WLAN config> 6. Se configura la clave a utilizar. wlan3/0 bss Teldat WLAN config>wpa-psk passphrase plain "Teldat WPA PSK" wlan3/0 bss Teldat WLAN config> 7. Se configura el cifrado a utilizar: AES-CCMP. wlan3/0 bss Teldat WLAN config>cipher aes-ccmp wlan3/0 bss Teldat WLAN config> 8. Se sale de la configuración del BSS. wlan3/0 bss Teldat WLAN config>exit wlan3/0 WLAN config> 9. Se sale de la configuración del interfaz WLAN. wlan3/0 WLAN config>exit Config> La configuración completa del interfaz WLAN queda como sigue: network wlan3/0 -- Wireless LAN Interface. Configuration -- no ip address bss "Teldat WLAN" privacy-invoked rsn wpa cipher aes-ccmp ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 79

83 akm-suite psk wpa-psk passphrase plain "Teldat WPA PSK" wpa-psk passphrase ciphered 0xFCCD3929AA296054C9784E10C exit exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 80

84 hecho por M.A. Berrojo Teldat 5. WPA, WPA2 con servidor Radius Se va a configurar una red inalámbrica con seguridad WPA y WPA2. Además, se permitirá tanto cifrado AES-CCMP como cifrado TKIP. De este modo, las estaciones tienen flexibilidad para seleccionar la política de seguridad que mejor se ajuste a sus características. Se dispone de un servidor Radius externo para la autenticación Escenario Radius Server Ethernet Atlas (AP) Atlas Station 1 Station Configuración Configuración del interfaz WLAN: 1. Se accede a la configuración del interfaz WLAN *config Config>net wlan3/0 -- Wireless LAN Interface. Configuration -- wlan3/0 WLAN config> 2. Se configura el identificador de red, Teldat WLAN, y se accede a la configuración del BSS. ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 81

85 wlan3/0 WLAN config>bss "Teldat WLAN" wlan3/0 bss Teldat WLAN config> 3. Se invoca seguridad en el BSS. wlan3/0 bss Teldat WLAN config>privacy-invoked wlan3/0 bss Teldat WLAN config> 4. Se indica que se utiliza WPA y WPA2 como entorno de seguridad wlan3/0 bss Teldat WLAN config>rsn wpa wlan3/0 bss Teldat WLAN config>rsn wpa2 wlan3/0 bss Teldat WLAN config> 5. Se configura autenticación y distribución de claves utilizando 802.1X wlan3/0 bss Teldat WLAN config>akm-suite dot1x wlan3/0 bss Teldat WLAN config> 6. Se configura el cifrado a utilizar: AES-CCMP y TKIP wlan3/0 bss Teldat WLAN config>cipher aes-ccmp wlan3/0 bss Teldat WLAN config>cipher tkip wlan3/0 bss Teldat WLAN config> 7. Se sale de la configuración del BSS. wlan3/0 bss Teldat WLAN config>exit wlan3/0 WLAN config> 8. Se sale de la configuración del interfaz WLAN. wlan3/0 WLAN config>exit Config> Además, es necesario configurar la parte de Radius. Para obtener información sobre la configuración del Radius, puede consultarse el manual Dm733 Protocolo Radius. 1. Se accede al menú de configuración de Radius Config>feature radius -- RADIUS User Configuration -- RADIUS config> 2. Se configura la dirección del servidor Radius ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 82

86 RADIUS config>primary-address RADIUS config> 3. Se configura la clave para el servidor Radius RADIUS config>primary-secret whatever RADIUS config> 4. Se habilita Radius RADIUS config>enable radius RADIUS enabled RADIUS config> 5. Se sale del menú de configuración de Radius. RADIUS config>exit Config> La configuración completa del interfaz WLAN queda como sigue: network wlan3/0 -- Wireless LAN Interface. Configuration -- no ip address bss "Teldat WLAN" privacy-invoked rsn wpa rsn wpa2 cipher aes-ccmp cipher tkip akm-suite dot1x exit exit y la de Radius: feature radius -- RADIUS User Configuration -- primary-address primary-secret whatever enable radius exit ROUTER TELDAT Ejemplos Interfaz Wireless LAN IV - 83

87 Apendicé Códigos

88 1. Códigos de país permitidos Se muestran a continuación los códigos de dos letras asociados a cada país en el comando de configuración country. País Sin país Albania Algeria Argentina Armenia Australia Austria Azerbaijan Bahrain Belarus Belgium Belize Bolvia Brazil Brunei Darussalam Bulgaria Canada Chile China Colombia Costa Rica Croatia Cyprus Czech Republic Denmark Dominican Republic Ecuador Egypt El Salvador Estonia Finland France France_Res Georgia Código de país NA AL DZ AR AM AU AT AZ BH BY BE BZ BO BR BN BG CA CL CN CO CR HR CY CZ DK DO EC EG SV EE FI FR F2 GE ROUTER TELDAT Apéndice A - 85

89 Germany Greece Guatemala Honduras Hong Kong Hungary Iceland India Indonesia Iran Ireland Israel Italy Japan Japan1 Japan2 Japan3 Japan4 Japan5 Japan6 Jordan Kazakhstan North Korea Korea Republic Korea Republic2 Kuwait Latvia Lebanon Liechtenstein Lithuania Luxembourg Macau Macedonia Malaysia Malta Mexico Monaco Morocco Netherlands New Zealand Norway DE GR GT HN HK HU IS IN ID IR IE IL IT JP J1 J2 J3 J4 J5 J6 JO KZ KP KR K2 KW LV LB LI LT LU MO MK MY MT MX MC MA NL NZ NO ROUTER TELDAT Apéndice A - 86

90 Oman Pakistan Panama Peru Philippines Poland Portugal Puerto Rico Qatar Romania Russia Saudi Arabia Singapore Slovak Republic Slovenia South Africa Spain Sweden Switzerland Syria Taiwan Thailand Trinidad & Tobago Tunisia Turkey Ukraine United Arab Emirates United Kingdom United States Uruguay Uzbekistan Venezuela Viet Nam Yemen Zimbabwe OM PK PA PE PH PL PT PR QA RO RU SA SG SK SI ZA ES SE CH SY TW TH TT TN TR UA AE GB US UY UZ VE VN YE ZW ROUTER TELDAT Apéndice A - 87