1 of 59

Seguridad, alimentación eléctrica y documentación de la solución

2 of 59

Agenda de la sesión 6

Seguridad de redes 802.11.
Alimentación eléctrica (PoE).
Documentación de la solución y validación post instalación.

3 of 59

Capítulos del CWDP asociados

11. Basic WLAN Security Design

12. Advanced Enterprise WLAN Security Design

13. Documentation and Finalizing the Design Solution.

14. Post-Installation Validation.

15. Design Troubleshooting.

4 of 59

Capítulos del CWNA* asociados

12. Power over Ethernet (PoE)

16. Wireless Attacks, Intrusion Monitoring, and Policy

17. 802.11 Network Security Architecture

* Corresponde a la versión CWNA-108 (2021)

Se cambió el orden respecto a versiones anteriores y además se agregó WPA3.

5 of 59

Seguridad en 802.11

Distintas alternativas definidas en la norma

6 of 59

7 of 59

Aspectos básicos de seguridad en 802.11

Privacidad e integridad de los datos (TKIP, CCMP).
Autenticación, autorización y registro (AAA*).
Segmentación

Uso de VLANs.

Monitoreo

Detección de intrusos y rogue APs.

Políticas

Establecer políticas a nivel institucional.

AAA* - Authentication, Authorization and Accounting.

8 of 59

Autenticación, autorización y registro (AAA)

Autenticación

Verificación de identidad y credenciales (usernames y passwords, certificados).

Autorización

Determinar si el dispositivo y/o el usuario tiene los permisos necesarios para acceder a un recurso.

Registro

De toda la actividad y el uso de los recursos por usuarios y dispositivos.

9 of 59

Métodos de autenticación - Legacy

Redes abiertas - Open authentication (2-way)

Opcional: WEP para encriptar (RC4).

Shared Key Authentication - WEP (4-way)

Misma clave WEP se usa para encriptar.
WEP fue crackeado y es fácil romper hoy en día.

10 of 59

Otros mecanismos de “seguridad”

Filtros de MAC según dirección de los dispositivos.

Es posible “mentir” la MAC (spoofing).

SSIDs ocultos

Puede traer más problemas que soluciones.

11 of 59

WPA - WiFi Alliance y 802.11i

WiFi Protected Access (WPA)

WPA Personal

Pre-Shared Key (PSK).

WPA Enterprise

802.1X/EAP (certificados).

El estándar 802.11i define la seguridad robusta (RSN).
Cambia la encripción de TKIP a CCMP (AES).
A esta versión se le denomina WPA2.
La nueva WPA3 incorpora encripción para redes abiertas (OWE) y cambia el PSK por SAE.

12 of 59

Evolución de la seguridad en 802.11

13 of 59

802.1x - 2004

14 of 59

802.1x - 2004

15 of 59

802.1x/EAP

16 of 59

Implementación en ambiente corporativo

17 of 59

Relación del roaming con la seguridad

Dada la complejidad que agrega la seguridad, es necesario simplificar el mecanismo para el roaming.
Charlas CWNP conference sobre roaming en 802.11:

Las mejoras al tema del roaming simplifican el intercambio de mensajes de control de acceso.

18 of 59

Tipos de ataques en redes 802.11

Ejemplos

Rogue APs → sistemas de monitoreo.
Peer to peer → aislación de los clientes.
Eavesdropping → típicamente en redes públicas.
Encryption cracking → WEP en menos de 5min.
MAC spoofing → hay diversas herramientas.
Secuestro inalámbrico → fuerzo asociación a otra red.
Ataques de autenticación, DoS, ingeniería social.
Ataques a los sistemas de gestión (WLC, NMS).

19 of 59

Rogue APs en redes 802.11

20 of 59

Ataques peer to peer

21 of 59

Secuestro inalámbrico

22 of 59

Monitoreo y detección de rogues/intrusos

23 of 59

Novedades en seguridad de 802.11

En 2018 la WiFi Alliance anunció WPA3 (ver detalles):

OWE (Opportunistic Wireless Encryption)

Agrega encriptación a redes abiertas.

SAE (Simultaneous Authentication of Equals)

Reemplaza el uso de pre-shared key (PSK) y agrega robustez frente a ataques con diccionarios.
Introduce encriptación con 256 bits.

Va a llevar tiempo que todos los dispositivos lo soporten, pero desde 2020 es obligatorio en las certificaciones.

24 of 59

Alimentación eléctrica

Normas del estándar para Power over Ethernet (PoE)

25 of 59

Power over Ethernet (PoE)

Alimentación eléctrica para el funcionamiento de los APs.
Se utilizan 2 o más pares del cable Ethernet.
Suele estar incluido en los switches o WLCs.
De lo contrario es necesario agregar fuentes específicas para los APs.

26 of 59

Power over Ethernet (PoE)

Estandarización comenzó en 1999, antes soluciones propietarias:

Incompatibles, distintos voltajes, podía provocar daños.

IEEE 802.3af → 2003

PoE para Ethernet 10Mbps, Fast 100 Mbps y 1000BaseT (Gig.).

IEEE Std 802.3-2005, Clause 33

Se incorpora 802.3af en la cláusula 33 del estándar 802.3.

IEEE 802.3at-2009

Conocido como PoE+ o PoE plus → más potencia (30 watts)

IEEE Std 802.3-2012, Clause 33

Ídem anterior, se agrega 802.3at en la cláusula 33.

27 of 59

Primeras soluciones propietarias	No compatibles entre sí.

802.3af (2003)	Define como proveer PoE sobre 10, 100 y 1000BaseT.
802.3-2005 Clause 33	Enmienda 802.3af se incorpora en estándar revisado.
802.3at-2009	Introduce PoE+ (mantiene compatibilidad hacia atrás).
802.3-2012 Clause 33	Incorporación oficial de 802.3at.

PoE pasivo	No compatible con los anteriores.

28 of 59

Power over Ethernet (PoE)

29 of 59

Definiciones de la norma

PD - Powered Devices

Dispositivos alimentados por PoE (Ej. Access Point).
Deben soportar una tensión de hasta 57 V DC.

PSE - Power Sourcing Equipment

Dispositivo que suministra energía a los PD.
Tensión nominal 48 V DC (rango 44 a 57 VDC).

Tipos de PSE:

Endpoint

(Ej. switch con PoE)

Midspan

Fuente con inyector

30 of 59

2 - Clasificación (opcional)

PD puede enviar información de cantidad de energía que necesita.

1 - Detección

PD responde a PSE si es 802.3-2012 compatible.

31 of 59

PoE - 2 y 3

(data + power)

Par 2: +V

Par 3: GND

32 of 59

PoE - 1 y 4

(only power)

Par 1: +V

Par 4: GND

33 of 59

34 of 59

Clasificación de Devices alimentados

35 of 59

The power-sourcing equipment (PSE) provides power to the PD.
The power supplied is at a nominal 48 volts (44 volts to 57 volts).

36 of 59

37 of 59

Distintas alternativas de implementación

38 of 59

Distintas alternativas - Endpoint PSE

39 of 59

Distintas alternativas - Endpoint PSE

40 of 59

Distintas alternativas - Midspan PSE

41 of 59

Distintas alternativas - Midspan PSE

42 of 59

Nuevo estándar de PoE (2018) - 802.11bt

El avance de los estándares 802.11 también aumenta los requerimientos en la alimentación eléctrica de los APs (mayor potencia).

The original IEEE 802.3af-2003^[1] PoE standard provides up to 15.4 W of DC power (minimum 44 V DC and 350 mA^[2]^[3]) on each port.^[4] Only 12.95 W is assured to be available at the powered device as some power dissipates in the cable.^[5] The updated IEEE 802.3at-2009^[6] PoE standard also known as PoE+ or PoE plus, provides up to 25.5 W of power for Type 2 devices.^[7] The 2009 standard prohibits a powered device from using all four pairs for power.^[8] Both of these standards have since been incorporated into the IEEE 802.3-2012 publication.^[9]

The IEEE 802.3bu-2016^[10] amendment introduced single-pair Power over Data Lines (PoDL) for the single-pair Ethernet standards 100BASE-T1 and 1000BASE-T1 intended for automotive and industrial applications. On the two-pair or four-pair standards power is transmitted only between pairs, so that within each pair there is no voltage present other than that representing the transmitted data. With single-pair Ethernet, power is transmitted in parallel to the data. PoDL defines 10 power classes, ranging from .5 to 50 W (at PD).

Looking at ways of increasing the amount of power transmitted, IEEE has defined IEEE 802.3bt 4PPoE in September 2018.^[11] The standard introduces two additional power types: up to 55 W (Type 3) and up to 90-100 W (Type 4). Each pair of twisted pairs needs to handle a current of up to 600 mA (Type 3) or 960 mA (Type 4).^[12] Additionally, support for 2.5GBASE-T, 5GBASE-T and 10GBASE-T is included.^[13] This development opens the door to new applications and expands the use of applications such as high-performance wireless access points and surveillance cameras.

–

Docs de Cisco y Aruba

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9100-access-points/215467-cisco-access-point-power-requirements-qu.html

https://www.arubanetworks.com/techdocs/AOS-CX/10.10/HTML/monitoring_4100i-6000-6100/Content/Chp_PoE/pow-ove-eth-oveview.htm

43 of 59

44 of 59

45 of 59

46 of 59

47 of 59

48 of 59

49 of 59

Documentación de la solución

Recomendaciones para documentar un proyecto

50 of 59

Documentación de un proyecto

Es una parte fundamental del trabajo.
Habitualmente se descuida y repercute en el resultado.
Hay que tener en cuenta varios aspectos:

Público objetivo.
Contenido técnico.
Almacenamiento y gestión de la documentación.

51 of 59

Documentación de un proyecto

Requerimientos mínimos

Diseño de RF, ubicación de los APs, cobertura.
Eventualmente asignación de canales y potencias.
Representación lógica de la red.
Diseño físico de las solución indicando:

Cableados a los equipos.
Ubicación y tipo de montaje de los APs.
Otros detalles necesarios (ej. tipo de PoE).

Incluir todas las fotos necesarias!!!

52 of 59

Documentación detallada de diseño de RF

Mapa del sitio con la ubicación de los equipos.

Descripción de cada puntos, zonas que cubre el AP.

Marca y modelo de cada uno de los APs.

Detalles de montaje e instalación.
Selección de antenas y orientación (si aplica).

Canales y niveles de potencia de cada AP (si aplica).
Detalle de los cableados, indicando tipo, ductos y otros detalles necesarios.
Indicar alimentación de los equipos (PoE).
Especificar ubicación de equipos centrales.

53 of 59

Diseño lógico de la solución

54 of 59

Esquema físico de la solución

55 of 59

Descripción de alto nivel de la solución

Indicar los requerimientos del sitio y su correspondencia en requerimientos técnicos.
Servicios y aplicaciones considerados en el diseño.
Dar una idea general de la arquitectura propuesta.
Mencionar principales casos de uso, dispositivos y usuarios típicos de las solución.
Resumen ejecutivo:

Omitir los detalles técnicos y centrarse en el problema, las aplicaciones y mostrar las ventajas.

56 of 59

Resumen técnico del diseño

Indicar los criterios de diseño utilizados para cada una de las decisiones tomadas:

Ubicación de los APs y configuración.
Direccionamiento y tamaño de las subredes.
Definición de VLANs y segmentación.
Redundancia de la solución.

57 of 59

Otros puntos relevantes

Si el objetivo es un presupuesto o una propuesta comercial

Detallar lista completa de materiales y costos (tanto de equipos como de instalación).

También incluir temas como garantías, upgrade de SW, contratos de mantenimiento.
Puede ser necesario definir un plan de mantenimiento de la solución.
También se podría incluir capacitación a usuarios o técnicos de TI que van a administrar la red.

58 of 59

Validación de la solución

Relevamiento con herramientas profesionales:

Cobertura, canales, potencias, CCI, pruebas.

59 of 59

Reportes del diseño/relevamiento