PODER DE ADMINISTRACIÓN 802

El poder de administración puede prologan la vida de la batería de los clientes permitiendo que los clientes la suspenda por periodos cortos de tiempo mientras sus mensajes son almacenados por el AP. Se necesitaría balancear el desarrollo inalámbrico versus vida de la batería. El poder de administración obliga a activar más el uso de inalámbricos medios, los cuales podrían conducir a retardos de transmisiones más frecuentemente tiempos de respuesta muy bajos durante la transferencia de archivos. Con tiempo de respuestas muy bajos, el cliente puede ocupar mas tiempo en modos operacionales resultando de poder de administración menos efectivos. En tales casos, deshabilitar el poder de administración en el cliente resultaría la mejor manera durante su desempeño. El poder de administración de la tarjeta PC RoamAbout 802.11es separado de cualquier función de poder de administración de la computadora.

AP RoamAbout

El AP RoamAbout automáticamente soporta el poder de administración 802.11. El único parámetro que puede ser colocado es el intervalo Delivery Traffic Indication Maessage (DTIM), el cual coloca los tiempos de almacenamiento. El valor predeterminado de 1 corresponde a 100 milisegundos de tiempo de reposo. Esto es altamente recomendado no cambiar este valor.

Client RoamAbout

Se puede habilitar o deshabilitar el poder de administración del Cliente RoamAbout. Con el poder de administración habilitado, los clientes pueden estar en el modo de reposo para minimizar el consumo de poder. El tráfico inalámbrico es almacenado en el AP que los clientes usan para conectarse ala red. El cliente checa el tráfico de direccionamiento en la red en intervalos regulares. Si no hay trafico en el direccionamiento, el cliente retorna al modo de reposo. Si el tráfico es almacenado en el AP, el cliente colecciona los mensajes

almacenados por prioridad para retornar al modo de reposo. Los siguientes casos nos muestran como el poder de administración puede impactar en los datos de las redes inalámbricas.

• El poder de administración causa pequeñas o no diferencias en el desarrollo de la red cuando se están usando aplicaciones para procesar transacciones, tales como scanner manuales antiguos o clientes que usan la red inalámbrica solamente para enviar y recibir correo electrónico.

• Se experimenta tiempos de respuestas de red muy largos cuando se transfiere archivos grandes entre la red y clientes donde el poder de administración esta habilitado. El tamaño de los archivos y la repetición de transferencias de archivos son los factores. Si se modifica un documento en la red, cualquier componente que lo auto guarde puede causar frecuentemente transferencias de archivos.

• El AP puede causar tiempos de respuesta de red muy largos si el número de clientes usan el mismo AP para almacenar sus mensajes mientras están en modo de reposo.

21.

SEGURIDAD

A continuación se muestran los diferentes tipos de seguridad de los RoamAbout inalámbricos:

• Seguridad en los sistemas operativos de red. • Seguridad de acceso en AP RoamAbout • Encriptación Wired Equivalent Privacy (WEP)

• Comunidad de nombre con el protocolo Simple Network Management Protocol (SNMP)

• SNMPv3 ( solamente en el RoamAbout R2)

• Autentificación de dispositivos, los cuales requieren de un servidor Remote Authentification Dial In User Service (RADIUS). La autentificación puede estar basada en :

Direcciones MAC 802.1X

Ambos, direccioenes Mac y 802.1X • 802.1X

• Contraseña para el puerto de Consola • Filtrando direcciones

Seguridad en los sistemas Operativos de Red

Para acceder a los servicios o datos de la red, un cliente inalámbrico necesita correr en un Sistema Operativo de Red apropiado. La mayoría de los sistemas operativos de red usan las medidas de seguridad estándar tales como nombres de usuarios y contraseñas. Cuando se siguen las medidas de seguridad de red estándares y las recomendaciones para los sistemas operativos de red ningún usuario no autorizado puede acceder a los servicios o datos de la red sin ningún nombre de usuario y contraseña apropiado.

Seguridad de acceso en AP RoamAbout

Cuando la seguridad de acceso es habilitada, el AP niega el acceso a clientes inalámbricos que no usan el nombre correcto de la red inalámbrica. Además, el AP no transmite su nombre de red, así que los clientes con sistemas operativos como Windows XP no ven el nombre en los cuadros de dialogo de la configuración de Lan inalámbricas. Cuando esta deshabilitado, los usuarios pueden configurar clientes dejando en campo de nombre de red en blanco o usando ANY (en mayúsculas) como el nombre de la red inalámbrica, y conectarse a la red. Los clientes pueden ser capaces de ver el nombre de red en los cuadros de dialogo de configuración de la LAN inalámbrica.

Encriptación Wired Equivalent Privacy (WEP)

El componente WEP encripta todos los datos transmitidos dentro de la red inalámbrica. La encriptación usa el algoritmo RC4 definido en el IEEE 802.11 como Wired Equivalent Privacy estándar. Los dispositivos RoamAbout pueden ser configurados con cuatro llaves de ecriptación. Cada llaves es colocado en una posición especifica (llave1, llave 2, llave 3 o llave 4). Se selecciona una llave para encriptar los datos transmitidos. Para descifrar el dato, el dispositivo inalámbrico que esta recibiendo debe tener una llave usada para encriptar los datos en la misma posición que el dispositivo que esta enviando. El dispositivo que esta recibiendo puede transmitir datos enviando al dispositivo que los envía usando una diferente llave para su transmisión, mientras que el otro dispositivo tiene una llave para transmitir en la misma posición. En una infraestructura de red inalámbrica los APs se pueden configurar para:

• Solo aceptar datos encriptados de clientes. Solamente clientes que tienen las llaves correctas de enciptación pueden participar en esta red.

• Aceptar datos encriptados de clientes con la encriptación habilitada, y desencriptar datos de clientes sin la encriptación habilitada. Esto permite que clientes que requieren seguridad para usar encriptaciín sin prevenir que otros clientes lo estén usando en la red.

En la configuración LAN to LAN, se usa la encriptación para tener los enlaces inalámbricos seguros. En una red AD-HOC, la encriptación se usa para prevenir usuarios no invitados para unirse a la red.

Autentificación

El AP RoamAbout soporta la autentificación de grupos de clientes inalámbricos. Un AP puede autentificar clientes basados en:

• Direcciones MAC • 802.1X

• Autentificación híbrida ( Direcciones MAC y 82.1X )

Cuando se esta usando cualquiera de estos tipos de autentificación , el AP se debería configurar como cliente RADIUS.

Cliente RADIUS

El RADIUS (Remote Autentication Dial In User Service) es un protocolo que el AP usa para comunicarse con un servidor remoto de autentificación. Saparando el servidor de autentificación del AP significa que muchos APs pueden compartir la misma base de datos

de autorización centralizada. Sin embargo, esto también significa que para autentificar satisfactoriamente a los clientes inalámbricos se debe configurar al AP como cliente RADIUS. Cuando esta configurado como cliente RADIUS, el AP pasa información de autentificación de usuarios al servidor designado como RADIUS. El servidor RADIUS recibe preguntas que vienen de usuarios conectados, procesa las preguntas para autentificar al usuario, entonces responde al AP con la información necesarios para liberar el servicio al usuario.. El AP influye en la respuesta que es retornado por el servidor RADIUS para permitir o denegar el acceso de los usuarios a la red. El AP y el servidor RADIUS autentifican las transacciones durante el uso de secretos compartidos, los cuales nunca lo envían a la red. Ellos usan el secreto compartido para encriptar atributos RADIUS que contiene contraseñas y otos datos delicados. Esta seguridad de red reduce mucho la posibilidad de revelar las contraseñas o divulgar secretos. Si tu habilitas la autentificación en el AP sin configurarlo como cliente RADIUS, el AP podría deshabilitarse para contactar al servidor de autentificación. Por lo tanto el AP asume que todos los clientes de los puertos controlados son no autorizados y prevenir el acceso a la LAN.

Autentificación de direcciones MAC

La autentificación de direcciones MAC es una forma de autentificación que no coloca ningún requerimiento especial sobre los clientes. El servidor RADIUS es configurado con direcciones MAC de los clientes inalámbricos. Cuando un cliente es asociado con LAN inalámbricas, el AP usa las direcciones MAC de los clientes como su nombre de usuario. El cliente es ignora que la autentificación de direcciones MAC esta tomando lugar, excepto hasta que el AP bloquea los accesos LAN.

Autentificación 802.1X

La autentificación IEEE 802.1X permite entradas basadas en nombres de usuarios, contraseñas, usuarios certificados y otros métodos que pueden soportar mutuamente por el servidor de autentificación y los clientes. Solo los clientes que soportan 802.1X pueden participar en una red inalámbrica que usa este tipo de autentificación. La autentificación IEEE 802.1X también impone mas requerimientos en el servidor RADIUS. Para autentificación de direcciones MAC el servidor RDIUS solo necesita dirigirse al RADIUS.. Para 802.1X el servidor también se dirige al Extensible Autentication Protocol (EAP) y uno o más protocolos, tales como Message Digest 5 (MD5) o Transport Layer Seciruty (TLS). Microsoft Windows 2000 Advenced Server es un ejemplo de un producto que soporta todos los protocolos necesitados para 802.1x. Algunos métodos de acceso asociados con IEEE 802.1X proveen una manera por la cual un AP puede proteger la distribución de llaves de radio. Cuando todos los clientes en una LAN inalámbrica usan tales métodos de acceso, llega hacer práctico para usar Rapid Rekeying. Este aumenta la seguridad por el cambio frecuente de encriptación de llaves, reduciendo el tiempo para decodificar y usar la llave de encriptación.

Autentificación híbrida

La autentificación híbrida es un modo especial de autentificación de sitios experimentando una transición al IEEE 802.1X. El AP usa las direcciones MAC y la autentificación 802.1X. El 802.1X toma precedencia pero en la ausencia del 802.1X contesta de un cliente, el AP garantiza el acceso basado en las direcciones MAC. Estos permisos permiten introducir clientes sin interrumpir a clientes de no 802.1X acceder a la LAN,. Sin embargo, estas prohibiciones para usar el componente Rapid Rekeying. Rapid Rekeying no es valido en este modo de autentificación. Los clientes de direcciones MAC no pueden ser

capaces de mantenerse con los cambios de llaves de radio y pueden perder la conectividad a la LAN.

802.1X Rapid REkeying

ES conocido también como Llave acróbata, suministrado por el IEEE 802.11 generación de encriptación de llaves WEP y redistribución frecuente de llaves WEP.

La siguiente información es aplicable para usar Rapid Rekeying:

• Rapid Rekeying requiere el uso de la autentificación 802.1X. Los clientes no autentificados y clientes de autentificación de direcciones MAC no pueden recibir actualizaciones de llaves WEP, y podrían perder pronto la conectividad con la LAN. • Rapid Rekeying automáticamente deshabilita las llaves WEP de encriptación para

usuarios específicos.

• Rapid Rekeying requiere el uso de un método de acceso EAP que genera llaves de sesión, y el uso de un servidor RADIUS que distribuirá esas llaves al AP. El AP usa la sesión de llaves para encriptar los mensajes de la llave WEP. Clientes sin sesión de llaves no pueden obtener las nuevas llaves WEP.

• Autentificación EAP – TLS usando la certificación X.509 en los clientes para trabajar con Rapid Rekeying.

• Autentificaión de contraseñas EAP – MD5 no trabajan con Rapid Rekeying, No negocia sesión de llaves.

• Autentificación basada en Paquetes trabajan con Rapid Rekeying si la autentificación basada en paquete usas el método basado en TLS, tales como TTLS o PEAP. El requerimiento es que hay sesión de llaves TLS negociando y reteniendo al cliente y al AP.

La siguiente información muestra como el AP introduce nuevas parejas de llaves:

1. El AP y clientes están usando las llaves existentes en el principio del ciclo de encriptación Rapid Rekeying.

AP Cliente

Num. Llave Encriptación TX/RX Estado TX/RX Encriptación

Llave 1 aaaaaaaaaaaaaaa RX Activo TX aaaaaaaaaaaaaaa

Llave 2 Bbbbbbbbbbbbbbb TX Activo RX Bbbbbbbbbbbbbbb

Llave 3 xxxxxxxxxxxxxxx Inactivo xxxxxxxxxxxxxxx

Llave 4 xxxxxxxxxxxxxxx Inactivo xxxxxxxxxxxxxxx

2. El periodo de la llave expira. El AP crea 2 nuevas llaves aleatorias y buscan dentro del autentificador inactivo llaves indexadas (llaves 3 y 4 en este ejemplo). La llave todavía no son usada para transmitir o recibir.

AP Cliente

Num. Llave Encriptación TX/RX Estado TX/RX Encriptación

Llave 1 aaaaaaaaaaaaaaa RX Activo TX aaaaaaaaaaaaaaa Llave 2 bbbbbbbbbbbbbbb TX Activo RX Bbbbbbbbbbbbbbb

Llave 3 ccccccccccccccc Inactivo xxxxxxxxxxxxxxx

Llave 4 dddddddddddddd Inactivo xxxxxxxxxxxxxxx

3. El AP empieza a transmitir el nuevo par de llaves para autentificar clientes en la lista. Cuando un cliente recibe las nuevas llaves, este inmediatamente empieza a transmitir

usando la nueva llave TX. El AP no usa la nueva llave TX hasta que el mensaje haya sido transmitido a todos los clientes. Durante este tiempo, el AP acepta transmisiones en las nuevas y viejas llaves RX. Notamos que un cliente solo puede tener una llave TX. La siguiente tabla muestra que algunos clientes usan l llave 1 como llave TX mientras que otros clientes usan la llave 3.

AP Cliente

Num. Llave Encriptación TX/RX Estado TX/RX Encriptación

Llave 1 aaaaaaaaaaaaaaa RX Activo TX aaaaaaaaaaaaaaa

Llave 2 bbbbbbbbbbbbbbb TX Activo RX Bbbbbbbbbbbbbbb

Llave 3 ccccccccccccccc RX Inactivo TX cccccccccccccc

Llave 4 dddddddddddddd Inactivo dddddddddddddd

4. Una vez que el AP transmite las nuevas llaves a todos los clientes de la lista de peticiones, este empieza usando la nueva llave TX. En ese tiempo todas las peticiones están usando la llave 3 como llave TX.

AP Cliente

Num. Llave Encriptación TX/RX Estado TX/RX Encriptación

Llave 1 aaaaaaaaaaaaaaa Activo aaaaaaaaaaaaaaa

Llave 2 bbbbbbbbbbbbbbb Activo Bbbbbbbbbbbbbbb

Llave 3 ccccccccccccccc RX Inactivo TX ccccccccccccccc

Llave 4 dddddddddddddd TX Inactivo RX ddddddddddddddd

5. El periodo de la llave expira- El AP crea 3 nuevas llaves aleatorias, busca dentro del autentificador inactivo las llaves indexadas 8 llave 1 y 2 en este ejemplo), y repite el proceso ( empezando en el paso 3).

AP Cliente

Num. Llave Encriptación TX/RX Estado TX/RX Encriptación

Llave 1 eeeeeeeeeeeeee Inactivo aaaaaaaaaaaaaaa

Llave 2 fffffffffffffff Inactivo Bbbbbbbbbbbbbbb

Llave 3 ccccccccccccccc RX Activo TX ccccccccccccccc

Llave 4 dddddddddddddd TX Activo RX ddddddddddddddd

Comunidad de Nombres SNMP

La comunidad de nombres SNMP permite administrar herramientas utilizando SNMP para desplegar o modificar parámetros del AP remotamente. El RoamAbout R2 soporta SNMPv3. Para acceder a los parámetros del RoamAbout R2 vía SNMP, la aherramienta de administración debe conocer la contraseña de autentificación y la contraseña de privacidad. Para soportar las herramientas de administración usando SNMPv2 o SNMPv1, el R” provee 4 comunidad de nombres que permiten al SNMPv1 y SNMPv2 leer solamente y acceso de lectura – escritura. Los nombres son deshabilitados de fábrica con la excepción de la comunidad de nombre # 1. La cual es colocada par el público. La comunidad de nombres son solamente accesibles desde el puerto de consola del R2. El AP 2000 soporta una comunidad de nombre de lectura/escritura y una comunidad de solamente lectura. Por fábrica, el AP usa Público como la comunidad de nombre de lectura/escritura predeterminada, Esto permite que cualquier herramienta de administración usando SNMP para acceder al AP cambie parámetros. Cambiando la comunidad de lectura/escritura, los usuarios pueden entrar a la comunidad de nombre correcta para modificar los parámetros del AP. La comunidad de solamente lectura permite que las herramientas de administración vean pero no cambien los parámetros del AP. Se puede cambiar la comunidad de solo lectura para que los usuarios entren al nombre correcto antes de que ellos vean los parámetros del AP.

Seguridad del Puerto de Consola RoamAbout Access Point 2000

El Puerto de consola el Access Point RoamAbout tiene 2 componentes de seguridad:

• Para cambiar la configuración del puerto de consola se requiere de una contraseña antes de que los usuarios puedan acceder al menú de instalación.

• Para configurar el puerto de consola y prevenir que cualquier sistema de administración que este usando SNMP para modificar los parámetros de encriptación. RoamAbout R2

El puerto de consola del RoamAbout R2 soporta SNMpv3, y tiene los siguientes componentes de seguridad:

• Para acceder a la consola de requiere de una contraseña. El nombre de usuario es “admin” y la contraseña por fábrica es “contraseña”. La contraseña debe ser un mínimo de 8 caracteres ASCII.

• La habilidad de habilitar o deshabilitar la administración Web y Telnet