REDES INALAMBRICAS
Ley 9/2014 LGT: Solicitud de título habilitante (autorización) a la CNMC (Comisión Nacional de Mercados y la Competencia) para ofrecer servicio WIFI ya que las frecuencias de WIFI se encuentra dentro del CNAF (Cuadro Nacional de Atribución de Frecuencias)
Para WIFI y WIMAX, para las bandas libres no. Se le dará una concesión demanial.
Se utilizará una red mallada (Roaming AP transparente) siguiendo el IEEE 802.11s, con varios APs que utilicen canales distintos para evitar interferencias.
Controlador AP que permitirá la gestión remota de los APs distribuidos, permitiendo:
- Aplicación de políticas
- Gestión de BW
- Resolución de incidentes
- Detección de Rogue AP
- Gestión de usuarios…
- WIDS/WIPS
Beamforming (dirigir el haz/focalizar la señal al dispositivo, es más eficiente) https://www.redeszone.net/2019/08/17/beamforming-router-wi-fi-que-es/
MIMO/mMIMO (Massive MIMO, muchas antenas, facilita el beamforming)
Los APs tendrán los siguientes características:
802.1x/EAP Extensible Authentication Protocol protocolo de autenticación basado en el servidor RADIUS
802.11i para el cifrado de las tramas de datos, implementado con el WPA2-Enterprise, asignando a cada cliente una contraseña aleatoria para el cifrado de las comunicaciones compatible con anteriores (plantear infraestructura preparada para WPA3)
802.11w para el cifrado de las tramas de gestión
IMPORTANTETramas de control no se cifran
802.3at PoE+/802.3af PoE: para alimentarse por la red de comunicaciones
Gestión SNMPv3
Compatibilidad con los estándar:
WIFI 4 / 802.11n -> 2,4 y 5Ghz / 600Mbps
WIFI 5 / 802.11ac -> 5GHz / 1-2 Gbps
WIFI 6 / 802.11ax -> 2,4 y 5 Ghz / 10Gbps
Wi-Fi 6 es un estándar con compatibilidad hacia atrás, de modo que un dispositivo con conectividad Wi-Fi 6 puede conectarse a redes bajo una versión anterior, aunque en este caso no aprovecharía las novedades de la última versión.
Seguridad, utilizando las recomendaciones de la guía CCN STIC 816 de Seguridad en redes inalámbricas:
SSID y VLANs diferenciados según perfil, ejemplo:
SSID X (oculto) / VLAN X Para empleados y acceso identificándose y autenticación por LDAP
SSID Y (oculto)/ VLAN Y Para invitado, con portal cautivo con previo registro de actividad (CCN STIC 831 Registro de la actividad de los usuarios) , advertencia de legalidad, sesiones por tiempo limitado y con proxy.
Cada SSID tendrá un rango de IP’s diferente.
Otra posibilidad, conexión ADSL o FTTH o 4G independiente a la de la organización según acceso utilizando lote 3 de acceso a Internet del Servicio Unificado de Comunicaciones para tener la red independiente de la red corporativa. ->Ideal para ciudadanos y personal externo en la organización con portal cautivo, limitación de tiempo de sesión y NAC
WPA
WPA-Personal También conocido como modo WPA-PSK ( clave precompartida ), está diseñado para redes domésticas y de oficinas pequeñas y no requiere un servidor de autenticación. [20] Cada dispositivo de red inalámbrica encripta el tráfico de la red derivando su clave de encriptación de 128 bits de una clave compartida de 256 bits
WPA-Enterprise También se conoce como WPA 802.1X modo , ya veces sólo WPA (en contraposición a WPA-PSK), esto está diseñado para redes empresariales y requiere un RADIUS servidor de autenticación. Esto requiere una configuración más complicada, pero proporciona seguridad adicional (por ejemplo, protección contra ataques de diccionario en contraseñas cortas). Se utilizan varios tipos de protocolo de autenticación extensible (EAP) para la autenticación. El modo WPA-Enterprise está disponible con WPA y WPA2.
WEP - protocolo ya no utilizado
El protocolo WEP (Wired Equivalent Privacy) es un protocolo de seguridad utilizado en redes inalámbricas para proteger la confidencialidad de los datos transmitidos entre dispositivos. Fue uno de los primeros protocolos de seguridad utilizados en redes WiFi.
WEP fue desarrollado como un intento de proporcionar un nivel de seguridad similar al de las redes cableadas tradicionales. Utiliza algoritmos de cifrado simétrico, como RC4, para encriptar los datos transmitidos a través de la red inalámbrica.
Sin embargo, a lo largo del tiempo, se descubrieron importantes vulnerabilidades en el protocolo WEP que lo hicieron inseguro y susceptible a ataques. Estas vulnerabilidades permitían a los atacantes recuperar fácilmente la clave de cifrado y descifrar los datos transmitidos.
RADIUS
RADIUS (Remote Authentication Dial-In User Service) es un protocolo de red que proporciona servicios de autenticación, autorización y contabilidad (AAA) para controlar el acceso de los usuarios a una red. Es ampliamente utilizado en entornos de redes corporativas y proveedores de servicios de Internet (ISP).
RADIUS se utiliza principalmente para autenticar y autorizar el acceso de usuarios remotos a través de una red, como en conexiones de acceso remoto mediante módems o conexiones inalámbricas. Proporciona un mecanismo centralizado para la gestión de credenciales de usuarios, como nombres de usuario y contraseñas, y verifica la identidad del usuario antes de permitir el acceso a la red.
El protocolo RADIUS funciona mediante la comunicación entre un cliente RADIUS (como un punto de acceso inalámbrico) y un servidor RADIUS, que se encarga de la autenticación y autorización del usuario. El cliente RADIUS envía una solicitud de autenticación al servidor RADIUS, que luego verifica las credenciales del usuario y decide si se le concede o deniega el acceso. Además de la autenticación, RADIUS también puede realizar tareas de contabilidad, como el seguimiento del uso de la red por parte de los usuarios y la generación de registros para fines de facturación o auditoría.
La implementación de RADIUS permite una gestión centralizada de la autenticación y autorización de usuarios en una red, lo que mejora la seguridad y simplifica la administración de accesos. Además, RADIUS es compatible con una amplia gama de protocolos de red, lo que lo hace adaptable a diferentes tipos de infraestructuras de red.
Para implementar RADIUS, se requieren los siguientes servicios y componentes:
Servidor RADIUS: Necesitarás un servidor RADIUS que se encargue de procesar las solicitudes de autenticación, autorización y contabilidad de los usuarios. El servidor RADIUS puede ser una aplicación dedicada o estar integrado en un sistema operativo o dispositivo de red compatible.
Cliente RADIUS: Los dispositivos o servicios que necesiten autenticar a los usuarios a través de RADIUS actuarán como clientes RADIUS. Esto puede incluir puntos de acceso inalámbricos, switches, routers, servidores de acceso remoto, entre otros. Los clientes RADIUS envían solicitudes de autenticación al servidor RADIUS para validar las credenciales de los usuarios.
Protocolo RADIUS: El protocolo RADIUS (Remote Authentication Dial-In User Service) es la base de la comunicación entre el servidor RADIUS y los clientes RADIUS. Tanto el servidor como los clientes deben implementar este protocolo para establecer una comunicación segura y eficiente.
Base de datos de usuarios: Para autenticar y autorizar a los usuarios, el servidor RADIUS necesita acceder a una base de datos que almacene la información de los usuarios, como nombres de usuario, contraseñas y atributos de autorización. Puedes utilizar diferentes tipos de bases de datos, como LDAP, Active Directory u otras bases de datos personalizadas.
Configuración de políticas: Es necesario configurar políticas de acceso y autorización en el servidor RADIUS para determinar qué usuarios tienen permiso para acceder a la red y qué recursos pueden utilizar. Estas políticas definen reglas y condiciones específicas que se aplican durante el proceso de autenticación y autorización.
Seguridad: La implementación de RADIUS requiere medidas de seguridad adecuadas, como el uso de cifrado para proteger las comunicaciones entre el servidor RADIUS y los clientes RADIUS, así como la implementación de prácticas de seguridad para la gestión de las credenciales de los usuarios y la protección de la base de datos de usuarios.
Es importante tener en cuenta que la implementación específica de RADIUS puede variar según el entorno y los requisitos de la red. Puedes consultar la documentación y las guías de configuración proporcionadas por el fabricante de tus dispositivos y sistemas para obtener instrucciones detalladas sobre la configuración de RADIUS en tu infraestructura.
POE
La alimentación a través de Ethernet (PoE) es una función de red definida en los estándares IEEE 802.3af y 802.3at. PoE permite que los cables Ethernet suministren energía a los dispositivos de red a través de la conexión de datos existente.
Los dispositivos compatibles con PoE pueden ser equipos de suministro energético (PSE), dispositivos alimentados (PD) o, en ocasiones, de ambos tipos. El dispositivo que transmite alimentación es un PSE, mientras el que la recibe es un PD. La mayoría de PSE son switches de red o inyectores PoE pensados para su uso con switches sin PoE. Ejemplos habituales de PD incluyen teléfonos VoIP, puntos de acceso inalámbricos y cámaras IP.
¿Cuáles son las ventajas de PoE?
Dado que PoE permite utilizar un solo cable tanto para la alimentación como para la transmisión de datos, permite ahorrar dinero en la compra y el tendido de cables para equipos de red y teléfonos VoIP. PoE facilita y reduce significativamente los costes de la instalación o ampliación de una red en edificios en los que incorporar nuevas líneas eléctricas resultaría demasiado caro o complicado. El uso de PoE permite montar dispositivos en lugares en los que resultaría muy poco práctico instalar el cableado eléctrico, como, por ejemplo, en falsos techos. Con PoE es posible reducir la cantidad de cables y enchufes necesarios en una sala de equipos o un armario de cableado abarrotados.
¿Qué es PoE+?
La última actualización de PoE es el estándar IEEE 802.3at, conocido como PoE+. La principal diferencia entre 802.3af (PoE) y 802.3at (PoE+) es que los PSE con PoE+ pueden suministrar casi el doble de alimentación a través de un solo cable Ethernet.
Los PSE con PoE+ pueden suministrar energía a PD con PoE y PoE+ pero los PSE con PoE solo pueden alimentar a los PD con PoE. Los PD con PoE+ requieren una cantidad energética superior a la que pueden ofrecer los PSE con PoE.