Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Descripción Wifi Fortinet v1.0
Descripción Wifi Fortinet v1.0
ÍNDICE
ÍNDICE..........................................................................................................................2
RESUMEN EJECUTIVO..............................................................................................3
ARQUITECTURA.........................................................................................................4
Conexión del AP al Controlador................................................................................4
Formas de despliegue de la red Wifi..........................................................................5
Trafico Tunelizado.................................................................................................5
Local Bridging – Conmutación local.....................................................................6
Wifi y Seguridad en el Firewall.............................................................................7
AUTENTICACIÓN.......................................................................................................9
WPA/WPA2 Enterprise.............................................................................................9
Portal Cautivo............................................................................................................9
Gestión y Provisión de Invitados.............................................................................10
BYOD..........................................................................................................................12
Identificación del dispositivo...................................................................................12
Políticas basadas en tipo de dispositivo...................................................................12
CONECTIVIDAD.......................................................................................................13
Meshing....................................................................................................................13
Monitorización del espectro.....................................................................................14
Alta densidad de usuarios........................................................................................14
Privacidad Intra SSID..............................................................................................15
Optimización del tráfico Multicast..........................................................................15
SEGURIDAD EN LA RED WIFI...............................................................................16
Ataques a la infraestructura wireless.......................................................................16
Detección y eliminación de APs no Autorizados – Rogue AP................................16
PLANIFICACIÓN Y MONITORIZACIÓN...............................................................17
Fortiplanner..............................................................................................................17
RESUMEN EJECUTIVO
El presente documento tiene como objetivo mostrar las funcionalidades de la solución
Wifi de Fortinet.
La solución de Fortinet integra de forma directa con el Firewall, siendo cada red wifi
una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de
seguridad en la red Wifi que en la red cableada, pudiendo configura en la wifi reglas
de Firewall, Traffic-Shaping, Control de Aplicaciones, Webfiltering, etc… de forma
sencilla y transparente.
Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red
wifi, pudiendo crear reglas de seguridad basadas en tipo de dispositivo.
ARQUITECTURA
Todos los equipos FortiGate a partir de su versión de firmware 4.3 incorporan un
controlador wireless capaz de controlar puntos de acceso de Fortinet. Al igual que en
la mayoría de las soluciones Wireless Enterprise estos puntos de acceso pueden ser
desplegados en cualquier lugar de la red requiriendo exclusivamente conectividad IP
contra el controlador para funcionar.
Fortinet dispone de una amplia gama de puntos de acceso que permite dar cobertura
tanto en escenarios de interior como de exterior. El gráfico inferior muestra los puntos
de acceso disponibles a día de hoy.
3x3:3
Re s ilie nc y FAP-320B
Thro ug hput
Dual Radio
Dual Band
FAP-223B
2x2:2 FAP-221B
Pe rfo rmanc e FAP-222B
Single Radio
FAP-28C
FAP-14C
1x1:1
FAP-11C FAP-112B
80
a) Vía atributo de DHCP, la opción 138 puede ser usada para suministrar la IP
del FortiGate que actúa como controlador.
b) A través de BroadCast.
c) Mediante paquetes multicast contra la IP 224.0.1.140
Una vez el AP descubre el Firewall, podemos aceptar ese AP desde la gestión del
Firewall y empezar a actuar sobre el mismo. La captura inferior muestra un AP
descubierto y Aceptado como válido:
Trafico Tunelizado
En el caso de tunelizar el tráfico hasta el controlador nos aseguramos que cualquier
paquete de la red wifi pase a través del firewall, pudiendo así aplicar sobre dicho
tráfico todas las funcionalidades de Fortigate: Control de Aplicaciones, IPS,
Webfiltering, Antivirus, Firewalling, etc. El diagrama inferior muestra la arquitectura
basada thin APs con tráfico tunelizado.
La opción de Local Bridging evita enviar el tráfico de la red wifi al controlador para
tomar en el mismo las decisiones de conmutación. Por el contrario, el tráfico del SSID
wifi es directamente enviado a la red cableada a través del AP.
FortiGate Wireless
Controller
S S ID =Gue s t
802.1 Q trunk Po rt
Enterprise
Network
Fo rtiAP-220B/221B Ethernet
SS ID = Financ e Switch
Sobre estas interfaces es posible crear reglas de firewalling pudiendo completar las
mismas con las inspecciones en capa 7 deseadas (Webfiltering, AppCtrl, IPS, DLP y
AV)
Como se puede ver en la captura anterior, se trata de una regla de firewall para el
tráfico con interfaz de entrada el SSID whumo y salida la Wan1. Esta regla incluye
además reglas basadas en la identidad de usuario, de forma que en base al usuario o su
AUTENTICACIÓN
Las solución wifi de Fortinet permite emplear mecanismos de autenticación seguros.
Así pues, por cada SSID configurado podemos definir que tipo de autenticación se
quiere emplear:
WPA/WPA2 Enterprise
Portal Cautivo
Este portal puede ser manejado por el personal de seguridad, un bedel o una
secretaria, de manera que cuando una visita acceda al edificio, durante el proceso de
registro de la misma se le pueda ofrecer credenciales para la red wifi. El suministro de
las credenciales puede hacerse de varias formas, bien imprimiéndolas, enviándolas
por email al invitado o enviándolas por SMS a través de una pasarela SMS.
BYOD
Identificación del dispositivo
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de firewalling. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos
dispositivos y restringirlos desde sistemas operativos no corporativos. La captura
inferior muestra una regla de firewall que hace uso de este concepto de dispositivo:
CONECTIVIDAD
Meshing
La solución wifi de Fortinet dispone de mecanismos para que cada punto de acceso
monitorice le espectro y radie en el canal que menos interferencias presenta. La
funcionalidad de Automatic Radio Resource Provision (ARRP) permite seleccionar
los canales sobre los que queremos trabajar y dejar al equipo elegir el canal óptimo.
Otra funcionalidad interesante es el ajuste de potencia automático. En despliegues con
mucha densidad de APs es importante que estos ajusten la potencia de forma
automática para evitar solapes cuando todos los APs están presentes y para cubrir
zonas que pudieran quedar sin cobertura en el caso de fallo de un AP.
La solución wifi de Fortinet dispone de mecanismos que optimizan los escenario con
alta densidad de usuarios. Entre estos destacamos los siguientes:
La solución wifi de Fortinet permite detectar puntos de acceso que estén emitiendo y
que no pertenezcan a la red corporativa. De igual forma, una vez detectado estos
puntos de acceso se podría bloquear los mismos para evitar que usuarios internos se
conecten a dichos puntos. Para ello el AP lícito inunda con tramas de autententicacion
y deseautenticación el AP rogué, de forma que éste último no puede aceptar las
peticiones de autenticación de los usuarios. La captura inferior muestra la detección
de APs no aprobados:
PLANIFICACIÓN Y MONITORIZACIÓN
Fortiplanner
Una vez desplegados los puntos de acceso, FortiPlanner permite mostrar mapas de
calor o cobertura en tiempo real, permitiendo así detectar zonas negras fácilmente.