Está en la página 1de 92

Agenda

Configuración de Clientes Inalámbrico (plataforma Windows y Linux)

Configuración avanzadas de Clientes inalámbricos

Configuración Básica de Routers

Configuración de Protocolos de Seguridad

Configuración de filtrado de MAC, DHCP

Configuración de Seguridad Avanzada de Routers

Administración local y remoto de router

Administración de reglas de control de acceso, control de ancho de

banda

Configuración de servidor Radius

Uso y manejo de herramientas

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

2

Configuración de Cliente Inalámbrico

En un ambiente Windows

1. Dentro del Panel de control, busque la opción “Redes e internet" y

escoja "Centro de redes y recurso compartido" y haga click sobre él.

de redes y recurso compartido" y haga click sobre él. BSCI Module 5 © 2006 Cisco

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

3

Configuración de Cliente Inalámbrico

2. Escoger la opción configurar una nueva conexión o red y

luego aparecerá otra ventana y seleccionamos la opción configurar

una red ad hoc inalámbrica

la opción configurar una red ad hoc inalámbrica BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

4

Configuración de Cliente Inalámbrico

3. Le

definiciones especificas de la misma

saldrá

una

ventana

informativa

de

la

red

ad-hoc

y

la misma saldrá una ventana informativa de la red ad-hoc y BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

5

Configuración de Cliente Inalámbrico

4. A continuación ingresamos el Nombre de la red: CIN-G1 y el

tipo de seguridad que será para la primera prueba.

y el tipo de seguridad que será para la primera prueba. BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

6

Configuración de Cliente Inalámbrico

Tipo de Seguridad

Descripción

Sin autenticación (Sistema abierto)

Sin ningún tipo de autenticación es decir sin contraseña

WEP

Clave que puede ser 5 o 13 caracteres (distinguen mayúsculas de minúsculas) o 10 o 26 caracteres hexadecimales [0-9, a-f]

WPA2-Personal

Clave que puede ser

8 a 63 caracteres (distinguen mayúsculas de

minúsculas) o 64 caracteres hexadecimales [0-9, a-f]

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

7

Configuración de Cliente Inalámbrico

5. Guardamos la red y damos click en siguiente

Inalámbrico 5. Guardamos la red y damos click en siguiente BSCI Module 5 © 2006 Cisco

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

8

Configuración de Cliente Inalámbrico

Si damos doble click sobre la red creada podremos visualizar configuración realizada para la NIC específica

visualizar configuración realizada para la NIC específica BSCI Module 5 © 2006 Cisco Systems, Inc. All

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

realizada para la NIC específica BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved.

9

Configuración de Cliente Inalámbrico

Busque y seleccione en la lista de elementos el Protocolo Internet (TCP/IP) y haga clic sobre el botón "Propiedades". Se abrirá una ventana para introducción de datos.

Desmarque "Obtener una dirección

IP automáticamente“. Y asigne la

dirección ip estática deseada

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Y asigne la dirección ip estática deseada BSCI Module 5 © 2006 Cisco Systems, Inc. All

10

Configuraciones Avanzadas de Cliente Inalámbrico

Busque y seleccione en la lista de elementos el Protocolo Internet

(TCP/IP)

y haga clic sobre el botón "Propiedades". Se abrirá una

ventana para introducción de datos.

Desmarque "Obtener una dirección IP automáticamente“. Y asigne

la dirección ip estática deseada(recomendado a nivel de seguridad)

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

11

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show drivers -> Muestra las propiedades de los

controladores LAN inalámbricos en el sistema

de los controladores LAN inalámbricos en el sistema BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

12

Configuraciones Avanzadas de Cliente Inalámbrico

Si soporta las topologías se procede con la creación de las mismas

- Creación de red adhoc o hospedada,

netsh

key=clave [keyUsage=]persistent|temporary

wlan

set

hostednetwork

mode=allow

ssid=nombre

De donde asignamos el nombre del SSID y la clave respectiva

- Luego se procede con la inicialización de la red adhoc

netsh wlan start hostednetwork

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

13

Configuraciones Avanzadas de Cliente Inalámbrico

Si se desea parar la red adhoc se procede con el comando netsh wlan stop hostednetwork

En el caso de error al inicializar la red adhoc se debe deshabilitar el adaptador de red en el administrador de dispositivos y volver a

habilitar el mismo.

administrador de dispositivos y volver a habilitar el mismo. BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

14

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan set

netsh wlan show

- Establece la información de configuración.

- Muestra información.

netsh wlan start

- Inicia la red hospedada.

netsh wlan stop

netsh wlan show alias

- Detiene la red hospedada.

- Lista todos los alias definidos.

netsh wlan show mode

- Muestra el modo actual.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

15

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan add - Agrega una entrada de configuración a una tabla.

netsh wlan connect

- Se conecta a una red inalámbrica.

netsh wlan delete Elimina una entrada de configuración de una tabla.

netsh wlan disconnect

- Se desconecta de una red inalámbrica.

netsh wlan refresh Actualiza la configuración de la red hospedada.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

16

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show all - Muestra el dispositivo inalámbrico completo

e información de redes.

show wlanreport - Genera un informe que muestra información de las sesiones inalámbricas recientes

netsh wlan show autoconfig - Muestra si la lógica de configuración automática está habilitada o deshabilitada.

netsh wlan show blockednetworks - Muestra la configuración de visualización de las redes bloqueadas.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

17

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show drivers - Muestra las propiedades de los

controladores LAN inalámbricos en el sistema.

netsh wlan show filters bloqueadas.

- Muestra la lista de redes permitidas y

netsh wlan show hostednetwork - Muestra las propiedades y el estado de la red hospedada.

netsh wlan show interfaces - Muestra una lista de las interfaces LAN inalámbricas del sistema.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

18

Configuraciones Avanzadas de Cliente Inalámbrico

Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show networks

visibles en el sistema.

- Muestra una lista de

las redes

netsh wlan show profiles - Muestra una lista de perfiles configurados en el sistema.

netsh wlan show settings LAN inalámbrica.

- Muestra la configuración global de

netsh wlan show tracing - Muestra si el seguimiento de LAN inalámbrica está habilitado o deshabilitado.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

19

Configuraciones de Cliente Linux

Para poder comenzar a utilizar la interfaz Wifi, solo basta ejecutar el mandato iwconfig:

[root@server /]# iwconfig

De donde se puede tener las siguientes funcionalidades:

iwconfig [interface] iwconfig interface [essid X] [nwid N] [mode M] [freq F] [channel C][sens S ][ap A ][nick NN ] [rate R] [rts RT] [frag FT] [txpower T] [enc E] [key K] [power P] [retry R] [commit] iwconfig --help iwconfig --version

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

20

Configuraciones de Cliente Linux

La sintaxis:

iwconfig [interface] [opción]

De donde interface puede ser iwconfig ath0

[essid X] essid Nombre_red:

de tipo wlan0, ath0 ejemplo

Ejemplo:

iwconfig ath0 essid "Wireless 1"

Nos servirá para configurar nuestra red con el nombre que queramos o a la que queramos asociarnos.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

21

Configuraciones de Cliente Linux

[mode M]

mode monitor, managed, ad-hoc

Ejemplo:

iwconfig ath0 mode monitor

Para capturar trafico de redes externas.

Ejemplo:

iwconfig ath0 mode managed

Es el modo infraestructura.

Ejemplo:

iwconfig ath0 mode ad-hoc

Para conectar varios PCs sin puntos de acceso.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

22

Configuraciones de Cliente Linux

[channel C]

Ejemplo:

channel número _ canal

iwconfig ath0 channel 6

Fijamos el canal elegido para nuestra tarjeta.

[freq F]

Ejemplo:

freq ValorGhz

iwconfig ath0 freq 2.412G

Fijamos el valor de frecuencia para nuestra tarjeta. Podemos

también utilizar el canal .

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

23

Configuraciones de Cliente Linux

Tenemos para:

canal 1= 2.412G

canal 2= 2.417G

canal 3= 2.422G canal 4= 2.427G canal 5= 2.432G

canal 6= 2.437G

canal 7= 2.442G canal 8= 2.447G canal 9= 2.452G

canal 10= 2.457G

canal 11= 2.462G canal 12= 2.467G canal 13= 2.472G

canal 14= 2.484G

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

24

Configuraciones de Cliente Linux

[rate R]

Ejemplo:

rate valorvelocidad

iwconfig ath0 rate 11M

Fijamos la velocidad en las comunicaciones para 802.11b. Podemos también utilizar 54M. O ponerlo en modo automático.

iwconfig ath0 rate auto

Para que la tarjeta elija la velocidad adecuada, incluso:

iwconfig ath0 rate 54M auto

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

25

Configuraciones de Cliente Linux

[power P]

Ejemplo:

power period

iwconfig ath0 power period 60

Tiempo actividad la tarjeta cuando no se utiliza alguna conexión. Por lo tanto en modo monitor la captura de datos caería a la hora.

El ID de red. Como todas las redes

inalámbricas adyacentes comparten el mismo medio, este parámetro se utiliza para diferenciarlos e identificar nodos que pertenecen a la misma célula. Algunas tarjetas, puede desactivar la

[nwid N]

comprobación de ID de red (NWID promiscuo) con off (y para volver a activar). Iwconfig eth0 nwid AB34

iwconfig eth0 nwid off

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

26

Configuraciones de Cliente Linux

[nick NN ]

Ajuste el nombre de la estación​​. Algunos productos 802,11 lo definen, pero esto no se utiliza en cuanto a los protocolos (MAC, IP, TCP). Sólo algunas herramientas de diagnóstico móviles pueden usarlo.

Ejemplo:

iwconfig eth0 nickname "My Linux Node"

[txpower T] Establece la potencia de transmisión en dBm. Si W es la potencia en vatios, la potencia en dBm es P = 30 + 10.log (W). Si el valor se fijó posteriormente por mW, se convierte automáticamente en dBm.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

27

Configuraciones de Cliente Linux

Además, dentro y fuera activar y desactivar la radio, y auto fijo y activar y desactivar el control de potencia (si estas funciones están disponibles).

Examples :

iwconfig eth0 txpower 15

iwconfig eth0 txpower 30mW

iwconfig eth0 txpower auto

iwconfig eth0 txpower off

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

28

Configuraciones de Cliente Linux

[retry R] Para establecer el número máximo de reintentos. Este es un valor absoluto. Para establecer la duración máxima de tiempo que el MAC debe reintentar. De forma predeterminada, este valor en segundos, añada el sufijo m o u para especificar los valores en milisegundos o microsegundos. También puede agregar los valores mínimo y máximo. (nic compatible)

Examples :

iwconfig eth0 retry 16

iwconfig eth0 retry min limit 8

Nota: estas opciones puede realizarse de manera conjunta.

Ejemplo: iwconfig ath0 essid "Wireless_casa" channel 6 rate auto

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

29

Configuraciones de Cliente Linux

Con iwconfig comprobamos si la tarjeta se asoció o no

Tarjeta no asociada: En la MAC del AP aparece todo a 0

o no Tarjeta no asociada: En la MAC del AP aparece todo a 0 BSCI Module

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

30

Configuraciones de Cliente Linux

Tarjeta asociada: Nos asociamos porque en Access Point aparece la MAC del AP

Nos asociamos porque en Access Point aparece la MAC del AP BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

31

Configuraciones de Cliente Linux

iwevent

Muestra eventos generados por los controladores inalámbricos y los cambios de configuración en tiempo real

Los eventos que se generan serán notificados cuando se actualice o genere cambios en:

ID de red

ESSID

Frecuencia

Modo

cifrado

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

32

Configuraciones de Cliente Linux

iwlist

Obtiene información inalámbrica más detallada desde una interfaz inalámbrica.

iwlist interface scanning

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public

33

Configuraciones de Cliente Linux

iwlist wlan0 frequency

Configuraciones de Cliente Linux iwlist wlan0 frequency iwlist wlan0 key BSCI Module 5 © 2006 Cisco

iwlist wlan0 key

de Cliente Linux iwlist wlan0 frequency iwlist wlan0 key BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

34

Configuraciones de Cliente Linux

iwlist wlan0 power

Configuraciones de Cliente Linux iwlist wlan0 power iwlist wlan0 txpower iwlist wlan0 retry BSCI Module 5

iwlist wlan0 txpower

de Cliente Linux iwlist wlan0 power iwlist wlan0 txpower iwlist wlan0 retry BSCI Module 5 ©

iwlist wlan0 retry

wlan0 power iwlist wlan0 txpower iwlist wlan0 retry BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

35

Configuraciones de Cliente Linux

iwlist wlan0 event

Configuraciones de Cliente Linux iwlist wlan0 event iwlist --help iwlist --version BSCI Module 5 © 2006

iwlist --help iwlist --version

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

36

Configuraciones de Cliente Linux

iwgetid

Informa ESSID, NWID o AP / Dirección de celda de la red inalámbrica. De donde puede usarse los siguientes parametros

iwgetid [interface] [--raw] [--scheme] [--ap] [--freq] [--mode] [-- protocol] [--channel]

Scheme

Esta opción deshabilita impresión de la información, sólo el ESSID prima (o NWID o Dirección AP) se imprime. Además, los caracteres que no son alfanuméricos (como espacios, signos de puntuación y control) se omiten.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

37

Configuraciones de Cliente Linux

-ap Muestra la dirección MAC del punto de acceso inalámbrico

- frecuencia Muestra la frecuencia actual o el canal utilizado por la interfaz.

- Modo Muestra el modo actual de la interfaz.

- protocolo

Muestra el nombre del protocolo de la interfaz. Esto permite identificar todas las tarjetas que son compatibles entre sí y aceptar el mismo tipo de configuración.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

38

Configuraciones de Cliente Linux

iwspy

Obtiene estadísticas inalámbricas de nodos específicos

iwspy [interface] iwspy interface [+] DNSNAME | IPADDR | HWADDR [ iwspy interface off iwspy interface setthr low high

iwspy interface getthr

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

]

39

Configuraciones de modo Ad-hoc

Desde el equipo servidor

1. Dar de baja a la interface la cual puede ser ath0, eth1, wifi0, wlan0, etc.

# ifconfig wlan0 down

2. Configuración de la interface, pasando a modo ad-hoc el wireless tengan

en cuenta que no todas las tarjetas inalámbricas pueden hacer esto, debido

a que no todas tienen drivers nativos o completos para linux

# iwconfig wlan0 mode ad-hoc

3. Damos un nombre a la red que vamos a crear

# iwconfig wlan0 essid "servidorx“

4. Configurar el canal

# iwconfig wlan0 channel 6

5. Seguridad en la red por medio de contraseña

BSCI Module 5

# iwconfig wlan0 key "0123456789”

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

40

Configuraciones de modo Ad-hoc

Estos últimos 4 pasos pueden hacerse en uno solo

#

iwconfig wlan0 mode ad-hoc essid "servidorx" channel 7 key "0123456789“

6.

Asignar damos una dirección ip al servidor

#

ifconfig wlan0 192.162.0.1

7.

Habilitar el redireccionamiento, para ello ejecutamos el siguiente comando:

#

echo 1 > /proc/sys/net/ipv4/ip_forward

8.

Configuramos iptables para que permita compartir servicio al cliente

#

iptables -t nat -A POSTROUTING -s 192.162.0.0/24 -j MASQUERADE

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

41

Configuraciones de modo Ad-hoc

Desde el equipo cliente

1. Damos de baja la interface

# ifconfig wlan0 down

2. Configuramos la interface de la misma forma que la configuración del

servidor, es muy importante que todos los datos del modo, nombre de la red, canal y clave sean iguales al servidor, lo único que hay que cambiar es la interface

# iwconfig wlan0 mode ad-hoc essid "servidorx" channel 7 key "0123456789“

3. Configurar la dirección IP

# ifconfig wlan0 192.162.0.2

4. Enrutar el servidor con el cliente,

# route add default gw 192.162.0.1

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

42

Configuración de Router

Accediendo al Router/AP

Ingresamos al navegador con la dirección IP de administración, que puede ser por defecto las siguientes

de administración, que puede ser por defecto las siguientes o BSCI Module 5 © 2006 Cisco

o

administración, que puede ser por defecto las siguientes o BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

43

WPS (Wi-Fi Protected Setup)

Sirve para agregar un nuevo dispositivo a la red de forma rápida. Si

el nuevo dispositivo compatible con WPS y está equipada con un

botón de configuración, puede agregarlo a la red y pulse el botón en el router en dos minutos. El LED de estado del router se iluminará en verde durante 5 minutos si el dispositivo ha sido agregado con éxito

a la red. Si el nuevo dispositivo compatible con WPS puede

agregarlo a la red mediante la introducción de PIN del router.

a la red mediante la introducción de PIN del router. BSCI Module 5 © 2006 Cisco

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

44

Tipo de Conexión LAN/WAN

Configuramos los parámetros IP para nuestro entorno red LAN, como la dirección ip y mascara de red. Acá se detecta automáticamente la MAC address de la Nic inalámbrica.

automáticamente la MAC address de la Nic inalámbrica. BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

la MAC address de la Nic inalámbrica. BSCI Module 5 © 2006 Cisco Systems, Inc. All

45

Configuración Inalámbrica

Configuración Inalámbrica BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 46

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

46

Seguridad Inalámbrica

Seguridad Inalámbrica BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 47

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

47

Filtración de MAC

La función Wireless MAC Address Filtering le permite controlar las estaciones inalámbricas que acceden a la AP, que dependen de las direcciones MAC de la estación.

la AP, que dependen de las direcciones MAC de la estación. BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

48

Opciones Avanzadas Inalámbricas

Opciones Avanzadas Inalámbricas BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

49

Opciones Avanzadas Inalámbricas

Beacon Interval - Son los paquetes enviados por el router para

sincronizar una red inalámbrica. Beacon Interval valor determina el

intervalo de tiempo de los paquetes. Puede especificar un valor

entre 40-1000 milisegundos. El valor por defecto es 100.

Umbral RTS - Aquí puede especificar el RTS (Request to Send) Umbral. Si el paquete es más grande que el tamaño de umbral especificado RTS, el router envía tramas RTS a una estación de recepción y negociar el envío de una trama de datos. El valor por defecto es 2346.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

50

Opciones Avanzadas Inalámbricas

Umbral de fragmentación - Este valor es el tamaño máximo para determinar si los paquetes se fragmentan. Ajuste del umbral de fragmentación demasiado bajo puede resultar en un rendimiento pobre de la red ya que los paquetes excesivos. 2346 es el valor predeterminado y se recomienda. Esta función se desactivará si el modo inalámbrico 11n sólo 11bgn o mixta.

DTIM Interval - Este valor determina el intervalo del mensaje de indicación de tráfico (DTIM). Puede especificar un valor entre 1-255 intervalos de beacon. El valor predeterminado es 1, lo que indica el intervalo DTIM es el mismo intervalo de sondeo

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

51

Opciones Avanzadas Inalámbricas

Habilitar WMM - Función WMM puede garantizar que los paquetes con mensajes de alta prioridad que se transmite preferentemente.

Habilitar Short GI - Se recomienda esta función para que aumentará la capacidad de datos mediante la reducción del tiempo de intervalo de guarda.

Habilitar Aislamiento AP - Aislar todas las estaciones inalámbricas conectadas para que las estaciones inalámbricas no pueden

acceder a ellos a través de WLAN. Esta función se desactivará si

WDS / bridge está habilitado.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

52

Estadísticas Inalámbricas

Esta página muestra la dirección MAC, estado actual, los paquetes recibidos y enviados por cada estación inalámbrica conectada.

y enviados por cada estación inalámbrica conectada. BSCI Module 5 © 2006 Cisco Systems, Inc. All

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

53

Configuración DHCP

El router está configurado de forma predeterminada como un servidor DHCP (Protocolo de configuración dinámica de host), que proporciona la configuración TCP / IP para todas las PCs que están conectados al router en la LAN.

todas las PCs que están conectados al router en la LAN. BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

54

Reserva de Dirección IP

Cuando se especifica una dirección IP reservada para una PC en la

LAN, esa PC siempre recibirá la misma dirección IP cada vez que se

accede al servidor DHCP. Las direcciones IP reservadas podrían ser

asignados a servidores que requieren permanentes IP.

ser asignados a servidores que requieren permanentes IP. BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

55

Herramientas de diagnóstico

Herramientas de diagnóstico BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

56

Herramientas de diagnóstico

Las herramientas de diagnóstico (ping y traceroute) permiten comprobar las conexiones de los componentes de la red.

Ping - Esta herramienta de diagnóstico soluciona conectividad, la accesibilidad, y la resolución de nombres para un huésped dado o puerta de enlace mediante el uso de la Internet Control Message Protocol (ICMP).

Traceroute - Esta herramienta de diagnóstico determina la ruta

tomada hacia un host determinado mediante el envío de Internet

Control Message Protocol (ICMP) mensajes de solicitud de eco con mayor o menor tiempo de vida (TTL) valores a su destino.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

57

Actualización de firmware

Actualización de firmware BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

58

Actualización de firmware

Para actualizar el firmware del router, siga estas instrucciones:

- Descargar un archivo de actualización de firmware más reciente desde el sitio web del fabricante

- Seleccione el nombre de la ruta donde se guarda el archivo

descargado en el equipo en el espacio en blanco Nombre de

archivo.

- Haga clic en el botón Actualizar.

El proceso de actualización tarda unos segundos y se reinicia el router automáticamente cuando la actualización se haya completado.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

59

Copia de seguridad y restauración

Sirve para guardar todos los ajustes de configuración en el equipo local como un archivo.

de configuración en el equipo local como un archivo. BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

60

Definiciones de Radius Server

RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite gestionar la “autenticación, autorización y registro” de usuarios remotos sobre un determinado recurso. La tupla “autenticación, autorización y registro” es más conocida como AAA, al ser éste su acrónimo de su denominación original inglesa “Authentication, Authorization, and Accounting”.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

61

Definiciones de Radius Server

1. Autenticación (authentication)

La autenticación se refiere al proceso de validación de la identidad

del usuario haciendo coincidir las credenciales proporcionadas por el usuario (por ejemplo, nombre, contraseña) con las configuradas en

el servidor AAA. Si las credenciales coinciden, el usuario se

autentica y obtiene acceso a la red. Si las credenciales no coinciden, la autenticación falla y se deniega el acceso a la red.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

62

Definiciones de Radius Server

2. Autorización (authorization)

La autorización se refiere al proceso de determinar qué permisos se otorgan al usuario. Por ejemplo, el usuario puede o no tener permitido ciertos tipos de acceso a la red o puede emitir ciertos comandos.

Es posible configurar restricciones a la autorización de determinados servicios en función de aspectos como, por ejemplo, la hora del día,

la localización del usuario, o incluso la posibilidad o imposibilidad de

realizar múltiples “logins” de un mismo usuario.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

63

Definiciones de Radius Server

3. Registro (accounting)

La contabilidad se refiere a la grabación de información sobre los recursos que un usuario consume mientras están en la red. La información recopilada puede incluir la cantidad de tiempo del sistema utilizado, la cantidad de datos enviados o la cantidad de datos recibidos por el usuario durante una sesión.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

64

Definiciones de Radius Server

Aunque RADIUS es el protocolo para AAA más extendido en la actualidad, ya existe un nuevo protocolo que está llamado a sustituir a RADIUS. Su nombre es DIAMETER, y también proporciona manejo de errores y comunicación entre dominios.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

65

Componentes de Radius

BSCI Module 5

Cisco Public
Cisco Public

© 2006 Cisco Systems, Inc. All rights reserved.

66

Configurando Servidor RADIUS

Instale los paquetes necesarios los que se encuentran en rojo

los certificados

predeterminados ejecutando el mandato radiusd con la opción -X:

Generar

radiusd -X

Lo anterior iniciará el servicio radiusd e

iniciará la generación de los certificados.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

la generación de los certificados. BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved.

67

Configurando Servidor RADIUS

Iniciando servicio radius

systemctl start radiusd.service

radiusd X

(modo debug)

Deteniendo servicio radius

systemctl stop radiusd.service

Reiniciando servicio radius

systemctl restart radiusd.service

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

68

Configurando Servidor RADIUS

Recargando archivos de servicio radius

systemctl reload radiusd.service

Bajada/Subida automática de servicio radius

systemctl disable radiusd.service

systemctl enable radiusd.service

Validando servicio activo Radius

systemctl enable radiusd.service

BSCI Module 5

ps ef |grep radiusd

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

69

Configurando Servidor RADIUS

Existe 4 ficheros importantes en la configuración de Freeradius:

- radiusd.conf

- users

- clients.conf

- eap

Los mismos que se encontran en /usr/local/etc/raddb/ si es alguna distribución Debian o en /etc/raddb/ si es Redhat, los que se detallan

a continuación.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

70

Configurando Servidor RADIUS

Radiusd.conf

Contiene la configuración del servidor. Cuando el servidor se inicia,

lee este archivo y lo almacena en caché. Los datos se analizan para

establecer valores para variables o para determinar otra configuración, como los módulos.

Una vez que se carga la configuración, el servidor recibe y procesa paquetes. Cuando el servidor se ejecuta (radiusd -X), la configuración que se está utilizando se imprime en la ventana del terminal actual. Esta información incluye los archivos que se están leyendo, los módulos que se están cargando y valores de cualquier configuración utilizada.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

71

Configurando Servidor RADIUS

Users

El archivo donde se especifican las credenciales de los usuarios de

la red. Se usa este archivo si no existe otro backend para el

almacenamiento de los usuarios.

En este fichero se configurara el modo de acceso es decir un usuario y contraseña, como por ejemplo:

“usuario1" Cleartext-Password:= "654321"

Reply-Message = "Hello, %{User-name}"

Donde

contraseña.

usuario

es

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

el

usuario

Cisco Public

a

autenticar

y

654321

sería

la

72

Configurando Servidor RADIUS

clients.conf:

En este fichero se añaden los puntos de acceso, en el mismo se

escribirá la dirección IP del AP (administración) y clave de acceso

entre AP y el server Radius, el mismo que es una palabra que comparten ambos, como por ejemplo:

client private-network-1{ ipaddr = 192.168.0.1/24 secret = clave123

}

ipaddr es la dirección Ip de administración secret es la clave entre el router y el servidor Radius

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

73

Configurando Servidor RADIUS

Eap

Es el archivo de configuración de las directivas EAP a utilizar. Es un include de radiusd.conf. Como vamos a trabajar con suplicantes bajo Windows se va a necesitar soporte de PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el atributo “default_eap_type” general, de “md5a “peap” (en minúsculas), y en el apartado de peap asegúrate de que

“default_eap_type” esté a “mschapv2.

El fichero se encuentra en las rutas:

/etc/raddb/mods-enabled/eap

/etc/raddb/mods-available/eap

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

74

Configurando Servidor RADIUS

Cada vez que se realice un cambio en los archivos de configuración toca reiniciar el servicio radiusd. Para realizar una prueba de test use radtest que se encuentra en el paquete freeradius-utils. Sintaxis radtest nom_usu cla_usu nam_ser port cla_radius

Ejemplo # radtest usuario1 654321 localhost 1812 testing123

Sending Access-Request of id 222 to 127.0.0.1 port 1812

User-Name = “usuario1"

User-Password = 654321"

NAS-IP-Address = 127.0.0.1

NAS-Port = 1812

rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=222,

length=20

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

75

Configurando Servidor RADIUS

Reglas para permitir servicio Radius

iptables -A INPUT -p udp --dport 1812 -j ACCEPT

iptables -A INPUT -p udp --dport 1813 -j ACCEPT

Validación de reglas agregadas

iptables -L -n |grep 181

Guardar reglas

iptables-save

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

76

Configurando Cliente RADIUS

Windows 7

Active el dispositivo de comunicación inalámbrico de su cliente

inalámbrico y vaya a Panel de control, busque la opción “Redes e

internet" y escoja "Centro de redes y recurso compartido" y haga click sobre él. Seleccione “Crear una red manualmente”

sobre él. Seleccione “Crear una red manualmente” BSCI Module 5 © 2006 Cisco Systems, Inc. All

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

77

Configurando Cliente RADIUS

Escribimos el “Nombre de la red:xxxxx

“Tipo de seguridad:WPA2-Enterprise “Tipo de crifrado:AES

” WPA2- ‐ Enterprise “Tipo de crifrado: ” AES BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

78

Configurando Cliente RADIUS

“Elija un método de autenticación de red: Microsoft: EAP protegido (PEAP) Marcar “Recordar mis credenciales para esta conexión cada

vez que inicie sesión

BSCI Module 5

conexión cada vez que inicie sesión ” BSCI Module 5 © 2006 Cisco Systems, Inc. All

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

79
79

Configurando Cliente RADIUS

Configurando Cliente RADIUS BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Configurando Cliente RADIUS BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

80

Configurando Cliente RADIUS

Configurando Cliente RADIUS BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Configurando Cliente RADIUS BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

81

Proceso de autenticacion con EAP-TLS

Proceso de autenticacion con EAP-TLS BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

82

Seguridad Avanzada

Para proteger el router de ser atacado por TCP-SYN Flood, UDP e ICMP Flood-. El filtrado INUNDACIONES tendrá efecto sólo cuando las estadísticas de tráfico en Herramientas del sistema está habilitado.

de tráfico en Herramientas del sistema está habilitado. BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

83

Seguridad Avanzada

Ignorar paquetes Ping desde el puerto WAN - Habilitar o Deshabilitar Ignorar paquetes Ping desde el puerto WAN. La configuración por defecto está desactivada. Si se activa, el paquete de ping de Internet no se puede acceder al router.

Prohibir Ping Packet De Puerto LAN - Activar o Desactivar Ping Packet Forbid Desde el puerto LAN. La configuración por defecto está desactivada. Si se activa, el paquete de ping de LAN no pueden acceder al router. (Protege contra algunos virus).

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

84

Administración Local

Si desea permitir que los PCs con direcciones MAC específicas para

acceder a la página de configuración haga clic en el botón de opción

Sólo los PCs lista puede navegar por la incorporada en las páginas

web para realizar tareas de administrador.

en las páginas web para realizar tareas de administrador. BSCI Module 5 © 2006 Cisco Systems,

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

85

Administración Remota

Esta característica le permite administrar el router desde una ubicación remota a través de Internet.

el router desde una ubicación remota a través de Internet. BSCI Module 5 © 2006 Cisco

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

86

Administración Remota

Dirección IP de administración remota- Esta es la dirección actual que va a utilizar para acceder a su router de Internet. Para activar esta función 0.0.0.0 cambio a una dirección IP válida. Si se establece en 255.255.255.255, entonces todos los hosts pueden acceder al router desde Internet.

Ejemplo:

http://202.96.12.8:8080

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

87

Administración de regla de Control de acceso

El router proporciona acceso a internet y una fuerte función de control, puede controlar las actividades en Internet de las máquinas en la LAN. Así como un horario para restringir la navegación por Internet de estos equipos.

restringir la navegación por Internet de estos equipos. BSCI Module 5 © 2006 Cisco Systems, Inc.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

88

Administración de regla de Control de acceso

Schedule Define los horario posibles para una regla.

Target. Dirección IP o nombre de un dominio a llegar.

Host. Dirección IP fuente

Rule. Regla de control de acceso a un host basado un Schedule y target.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

89

Enrutamiento estático

Una ruta estática es un camino predeterminado que la información de la red debe seguir para alcanzar un host o red específicos.

la red debe seguir para alcanzar un host o red específicos. BSCI Module 5 © 2006

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

90

Configuración de control de trafico

Las reglas de Control de Tráfico funcionará correctamente sólo cuando la función de control de ancho de banda está habilitado.

la función de control de ancho de banda está habilitado. BSCI Module 5 © 2006 Cisco

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

91

Control de ancho de banda

Control de ancho de banda BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved.

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

92

Lista ARP

Se puede ver las direcciones IP de la red LAN y sus direcciones MAC asociadas al ver la lista de ARP.

LAN y sus direcciones MAC asociadas al ver la lista de ARP. BSCI Module 5 ©

BSCI Module 5

© 2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

93