TEMA 19 – Redes inalámbricas IEEE 802.11
Estándares
Técnicas de transmisión
Dispositivos de interconexión
Topologías
Seguridad
Autenticación 802.1x.
WLAN es un término muy utilizando actualmente para referirnos a una red doméstica que no está conectada mediante cables.
La irrupción de la tecnología inalámbrica en el ámbito de red ha dotado a los usuarios de inmensas
posibilidades de conexión mediante WiFi y con anchos de banda incluso superiores a los que soporta una red cableada.
Qué es una WLAN
WLAN significa Wireless Local Area network, es decir, red de área local inalámbrica, siendo esta la principal diferencia con una red de área local o LAN.
En ella lo que tenemos es una red de intercambio de datos entre ordenadores pero que se hace a través de ondas electromagnéticas a través del aire, si un medio físico.
La esencia de una WLAN es crear una red de área local con un determinado número de dispositivos que se conectarán directamente a un enrutador o a un punto de acceso.
En ningún momento debemos hablar de WLAN para referirnos a la conexión entre teléfonos inteligentes con la red de cobertura GSM, 3G, 4G o 5G, ya que en este caso más bien estaríamos hablando cuanto menos de una WWAN o una WMAN.
Una WLAN proporcionará acceso a Internet como cualquier otra red interna a través de un enrutador, y exactamente igual que una LAN, a través de una puerta de enlace protegida con un cortafuegos mejor o peor, que en definitiva aísla la red interna de Internet.
Pero también podemos crear una WLAN con nuestro propio Smartphone, ya que en la actualidad los teléfonos inteligentes cuentan con una función de puntos de acceso, a esto se le denomina WiFi Direct.
Siendo capaz de suministrar un cierto rango de cobertura WiFi a otros equipos incluso asignándoles una dirección IP de forma automática.
A través del terminal podremos acceder a Internet como si de un enrutador se tratase.
WMAN y WWAN
Al igual que existen las MAN y la WAN en términos de Ethernet y redes cableadas, también existen las Redes Inalámbricas de Área Metropolitana y las Redes Inalámbricas de Área Extensa.
Una WMAN comprende aquella red que se extiende aproximadamente en un área metropolitana como puede ser una ciudad de tamaño medio/grande.
Una WMAN puede ser por ejemplo la tecnología WiMAX, un medio de amplia cobertura que proporciona conexión a través de microondas para zonas rurales, o áreas a donde no llegar fibra ADSL ni absolutamente nada.
Existen otras variantes no específicamente WiMAX que pueden considerarse WMAN.
Una WWAN será una red inalámbrica de área extensa, que puede ocupar un país o el mundo entero. Seguramente todos os imagináis qué red puede ser de este tipo, efectivamente la red GSM, 3G, 4G y 5G van a ser WWAN.
Obviamente en estos casos no hablamos de redes internas, no al menos mientras no utilicemos conexiones VPN o red privada virtual. En este caso los ordenadores conectados a una WWAN o WMAN no se podrán ver entre sí, por contar con direcciones IP públicas y efectuar su acceso a través de módem 4G, 5G o la versión en la que opere.
Clases de normas IEEE 802.11 para WLAN
IEEE 802.11a/b/g
Estos estándares se consideran identificadores de canales y frecuencias por donde se conectarán los hosts a la WLAN.
Con 802.11a opera sobre las bandas de 5 GHz a 20 MHz y 2,4 GHz, las dos más utilizadas en WiFi al menos en la zona de Europa.
Además, en esta zona opera junto a 802.11h que realiza ciertas modificaciones en el control dinámico de
frecuencias y potencias de transmisión para que no existan interferencias con señales por satélite y sistemas de radar.
802.11 b y g están operando solamente en la banda de 2,4 GHz dotándola de 11 canales para WiFi de los cuales normalmente se utilizan el 1, 6 y 11.
En esta banda se opera a una frecuencia de 25 MHz como ancho de banda. La velocidad de transmisión en la versión “b” es de 54 Mbps sin capacidad de envío OFDM (Multiplexación por división de frecuencias ortogonales) implementado en la última versión disponible.
IEEE 802.11n
Esta versión del estándar empezó a operar en 2008 aunque se definió en 2004. La velocidad asciende a los 600 Mbps en conexiones como máximo de 3×3 (3 antenas).
Utiliza de forma simultánea las bandas de 2,4 GHz y 5 GHz. Fue el primero en implementar la tecnología MIMO (Multiple Input – Multiple Output) que permite usar varios canales a la vez para el envío y recepción de datos con hasta 3 antenas.
Aún no llegamos a tasas de velocidad comparables a cableado LAN, pero el poder utilizar ambas frecuencias con un mismo punto inalámbrico dota a los dispositivos de gran cobertura.
IEEE 802.11ac
También se denomina WiFi 5 y fue implementado en el año 2014 y a día de hoy la
mayoría de aparatos trabajan sobre esta versión.
En este caso es una versión que solamente opera en la banda de 5 GHz para proporcionarnos velocidades de 433 Mbps en conexiones con una antena (1×1) y hasta 1,3 Gbps en 3×3.
Su máxima transferencia será de 3,39 Gbps utilizando 4 antenas a una frecuencia de 160 MHz o 6,77 Gbps con 8 antenas.
Este estándar implementa tecnología MU-MIMO con hasta 8 flujos de datos con ancho de bandas de hasta 160 MHz y 256 QAM (Modulación de amplitud en cuadratura). Normalmente opera junto a 802.11n para los dispositivos que utilicen la banda de 2,4 GHz.
IEEE 802.11ax
Esta es la nueva versión también denominada WiFi 6 y WiFi de 6ª generación implementada en 2019 y que muchos equipos ya tienen soporte gracias al nuevo hardware.
Además de MU-MIMO, se introduce la nueva tecnología OFDMA que mejora la eficiencia espectral de la red para WLAN en donde haya conectados gran cantidad de usuarios.
Por ello es un estándar que sobre todo aumenta sus prestaciones con grandes cargas de clientes y
transmisiones simultaneas.
Opera sobre las frecuencias de 2,4 GHz y 5 GHz, y soporta conexiones 4×4 y 8×8 en ambos casos. La velocidad de transmisión aumenta hasta los 11 Gbps con la frecuencia de 160 MHz y 1024QAM.
VARIANTES DE LA IEEE 802.11
Dentro del IEEE 802.11 hay definidos una serie de grupos de trabajo que se encargan de investigar y desarrollar diferentes temas relacionados con la 802.11. Estos grupos son los siguientes:
– 802.11a. Es un estándar también conocido como Wi-Fi5. Su misión es crear un estándar de WLAN en la banda de 5 GHz, capaz de alcanzar tasas de hasta 54 Mbps. Se publicó en el 1999.
– 802.11b. Es un estándar también conocido como Wi-Fi. Está pensado para WLAN en la banda de 2.4 GHz, con una tasa que alcanza los 11 Mbps. Fue publicada en el 1999.
– 802.11c. Provee de documentación a la 802.11 sobre procedimientos específicos MAC de la Organización Internacional para la Comisión Electrónica de Estandarización Internacional (ISO/IEC). Su trabajo está concluido.
– 802.11d. Su misión es definir nuevos requerimientos para la capa física para hacer funcionar la 802.11 en otros países donde no es posible implementar 802.11, por no tener la banda de 2.4 GHz libre o ser más corta.
– 802.11e. Este grupo trabaja en los aspectos relacionados con la calidad de servicio (QoS o Quality of Service, en inglés). En el mundo de las redes de datos, calidad de servicio significa poder dar más prioridad de transmisión a unos paquetes de datos que a otros, dependiendo de la
naturaleza de la información (voz, vídeo, imágenes, etc.).
– 802.11f. Básicamente, es una especificación que funciona bajo el estándar 802.11g y que se aplica a la intercomunicación entre puntos de acceso de distintos fabricantes, permitiendo el roaming o itinerancia de clientes.
– 802.11g. Pretende desarrollar una extensión de la 802.11b, higherspeed PHY, capaz de mantener la compatibilidad con la 802.11b. El objetivo inicial de este era alcanzar al menos 20 Mbps y se ha conseguido llegar hasta los 54 Mbps.
– 802.11h. Una evolución del IEEE 802.11a que permite asignación dinámica de canales y control automático de potencia para minimizar los efectos de posibles interferencias. Este punto es una de las desventajas que tiene IEEE 802.11a frente a su competidor europeo HiperLAN/2 (que también opera en la banda de los 5 GHz).
> 802.11i. Este estándar permite incorporar mecanismos de seguridad para redes inalámbricas, ofrece una solución interoperable y un patrón robusto para asegurar datos. Mejora los mecanismos de autenticación y seguridad de la 802.11, como es WEP. El sistema sobre el que se está trabajando se conoce como TKIP (Temporal Key Integrity Protocol).
> 802.1x. Pretende mejorar los mecanismos de seguridad de la 802.11, con los protocolos de seguridad extendida (EAP).
COMPONENTES DE LA ARQUITECTURA 802.11
En este apartado se intentarán separar los diferentes aspectos que conforman la arquitectura 802.11 y tener una comprensión global de la misma.
Se verán aspectos como componentes físicos que la forman, estructuras, tipos, así como otros aspectos de interés.
Componentes físicos
Cualquier red basada en alguna de las variantes del 802.11 está compuesta por cinco componentes físicos básicos. La existencia en el mercado de dichos dispositivos capaces de interconectarse de forma barata y sencilla ha dado origen a una gran variedad de aplicaciones que sobrepasan ampliamente el ámbito de utilización en entornos empresariales para el que nacieron las WLAN.
El uso de todos o sólo alguno de ellos dependerá de la situación a la que se intente hacer frente.
Estos componentes son:
– Sistema de distribución
Las limitaciones físicas determinan la distancia máxima posible entre estaciones de trabajo, pero en algunas redes esta no es suficiente. Si se dispone de una red extensa, compuesta por una serie de puntos de acceso, necesitaremos alguna forma para conectarlos. Los puntos de acceso pueden estar distantes, pero pueden estar formando parte de la misma red, la idea de conectarlos busca extender la zona de cobertura. De forma que las estaciones móviles puedan comunicarse con otras a través de la comunicación entre los puntos de acceso.
El Sistema de Distribución (DS) es el componente físico de la 802.11 que se encarga de conducir las tramas hasta su destino. En el estándar no se fija ninguna tecnología concreta para el DS. Este componente tiende a equipararse a la columna vertebral de la red (backbone network), usada para
enviar tramas entre los puntos de acceso.
– Punto de acceso.
En el texto del estándar se define un punto de acceso (AP) como una estación provista de acceso al sistema de distribución y capaz de proveer de los servicios del sistema de distribución, además de actuar como una estación.
El punto de acceso es el centro de las comunicaciones de la mayoría de las redes inalámbricas. El punto de acceso no sólo es el medio de intercomunicación de todos los terminales inalámbricos, sino que también es el puente de interconexión con la red fija e Internet.
Las tramas en la red deben convertirse de un tipo en otro para poder ser enviadas a cualquier destino.
Dentro de la WLAN las funciones básicas que puede realizar un punto de acceso son:
–Portal, para redes 802.X, de otro tipo (Internet, Intranet, etc…).
–Puente, hacia otros puntos de acceso para extender los servicios de acceso.
–Router, para direccionar los datos dentro de la zona de cobertura.
En general, los AP’s realizan una extensa variedad de funciones, pero una de las más importantes es actuar como puente entre la red cableada y la red inalámbrica, función de portal.
Para poder conectar una arquitectura 802.11 en una LAN cableada se define un componente lógico en la arquitectura, el portal. El portal es el punto lógico por el que las MSDU’s (MAC Service Data
Unit) pueden pasar de una red 802.x al sistema de distribución de la red 802.11 y viceversa.
Un punto de acceso puede realizar a la vez las funciones de punto de acceso y de portal. Esto puede ocurrir en los casos en los que el sistema de distribución se realiza con componentes de LAN basadas en 802, en los que ese punto de acceso es el que tiene conexión a las otras redes.
Controlador de puntos de acceso
El controlador de puntos de acceso, es el dispositivo necesario, para despliegues que requieren de varios puntos de acceso por razones de cobertura y/o tráfico.
Dentro de la WLAN, las funcionalidades básicas que puede realizar un controlador de puntos de son como:
-Punto de acceso
-Cliente VPN (Virtual Private Networks)
-Cliente Radius (Remote Authentication Dial In User Service)
-Routing
-Firewall
Medio inalámbrico
Para enviar tramas de una estación a otra, como es de esperar, el medio usado es el medio inalámbrico.
La arquitectura define varios tipos de capas físicas, para una capa MAC.
Tres capas físicas de radiofrecuencia y otra basada en infrarrojos.
Estación
La principal función de cualquier red, es la de intercambiar datos entre las diferentes estaciones que la componen.
Estas suelen ser algún tipo de computadoras, provistas de interfaces de red inalámbricos, tanto portátiles como no. El caso más habitual será el caso de un ordenador, portátil o no, provisto de alguna de las posibles tarjetas de red inalámbricas.
802.1X/EAP
Introduccion al 802.1X
El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalámbrica).
Esto se hace a través del uso de un servidor de autenticación.
El 802.1x se basa en el protocolo EAP (Protocolo de autenticación extensible), definido por el IETF. Este protocolo se usa para transportar la información de identificación del usuario.
EAP
La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario el acceso a la red.
El usuario en este sistema se llama solicitante. El controlador de acceso es un firewall básico que
actúa como intermediario entre el usuario y el servidor de autenticación, y que necesita muy pocos recursos para funcionar.
Cuando se trata de una red inalámbrica, el punto de acceso actúa como autenticador.
El servidor de autenticación (a veces llamado NAS, que significa Servicio de autenticación de red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso según sus credenciales.
Además, este tipo de servidor puede almacenar y hacer un seguimiento de la información relacionada con los usuarios.
En el caso de un proveedor de servicio, por ejemplo, estas características le permiten al servidor facturarles en base a cuánto tiempo estuvieron conectados o cuántos datos transfirieron.
Generalmente el servidor de autenticación es un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), un servidor de autenticación estándar definido por la RFC 2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticación en su lugar.
A continuación encontrará un resumen sobre cómo funciona una red segura que usa el estándar 802.1x:
El controlador de acceso, después de recibir la solicitud de conexión del usuario, envía una solicitud de autenticación.
El usuario envía una respuesta al controlador de acceso, quien enruta la respuesta al servidor de autenticación.
El servidor de autenticación envía un «challenge» al controlador de acceso, quien lo transmite al usuario. El challenge es un método para establecer la identificación.
Si el cliente no puede evaluar el challenge, el servidor prueba con otro y así sucesivamente.
El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de autenticación envía la aprobación al controlador de acceso, quien le permite al usuario ingresar a la red o a parte de ella, según los derechos otorgados.
Si no se pudo verificar la identidad del usuario, el servidor de autenticación envía un mensaje de denegación y el controlador de acceso le deniega al usuario el acceso a la red.
Intercambio de claves de cifrado
Además de autenticar usuarios, el estándar 802.1x les proporciona una manera segura de intercambiar claves de cifrado para mejorar la seguridad en general.