Oct 2013

Funcionalidades Wireless Fortinet

The Power to Control Página 1 de 20

 Oct 2013

ÍNDICE
ÍNDICE..........................................................................................................................2
RESUMEN EJECUTIVO..............................................................................................3
ARQUITECTURA.........................................................................................................4
Conexión del AP al Controlador................................................................................4
Formas de despliegue de la red Wifi..........................................................................5
Trafico Tunelizado.................................................................................................5
Local Bridging – Conmutación local.....................................................................6
Wifi y Seguridad en el Firewall.............................................................................7
AUTENTICACIÓN.......................................................................................................9
WPA/WPA2 Enterprise.............................................................................................9
Portal Cautivo............................................................................................................9
Gestión y Provisión de Invitados.............................................................................10
BYOD..........................................................................................................................12
Identificación del dispositivo...................................................................................12
Políticas basadas en tipo de dispositivo...................................................................12
CONECTIVIDAD.......................................................................................................13
Meshing....................................................................................................................13
Monitorización del espectro.....................................................................................14
Alta densidad de usuarios........................................................................................14
Privacidad Intra SSID..............................................................................................15
Optimización del tráfico Multicast..........................................................................15
SEGURIDAD EN LA RED WIFI...............................................................................16
Ataques a la infraestructura wireless.......................................................................16
Detección y eliminación de APs no Autorizados – Rogue AP................................16
PLANIFICACIÓN Y MONITORIZACIÓN...............................................................17
Fortiplanner..............................................................................................................17

The Power to Control Página 2 de 20

 Oct 2013

RESUMEN EJECUTIVO
El presente documento tiene como objetivo mostrar las funcionalidades de la solución
Wifi de Fortinet.

El coste de un proyecto de wireless viene determinado en un 35-45% por el coste de

la controladora wifi. Los clientes de Fortinet que tengan firewalls FortiGate pueden
reducirse ese coste si acomete el proyecto wifi con puntos de acceso de Fortinet, pues
todos los Firewalls FortiGate, a partir de la versión 4.3, son un completo controlador
Wifi. En ese caso sólo sería necesario comprar los puntos de acceso para poder
ofrecer una solución wifi Enterprise.

La solución de Fortinet integra de forma directa con el Firewall, siendo cada red wifi
una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de
seguridad en la red Wifi que en la red cableada, pudiendo configura en la wifi reglas
de Firewall, Traffic-Shaping, Control de Aplicaciones, Webfiltering, etc… de forma
sencilla y transparente.

Dispone además de opciones de portal cautivo para invitados, pudiendo delegar la

gestión de dichos invitados. Para ello dispone de un portal de administración
restringido que permite dar acreditaciones a la red wifi de manera sencilla, pudiendo
suministrar la información de usuario y contraseña de varios métodos, incluyendo
SMS, email o impreso.

Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red
wifi, pudiendo crear reglas de seguridad basadas en tipo de dispositivo.

A nivel de conectividad, la solución de Fortinet cuenta con las funcionalidades de

conectividad más requeridas para los entornos Enterprise, funcionalidades tales como
meshing, local bridging, asignación dinámica de canales, asignación dinámica de
potencia, balanceo de clientes entre puntos de acceso, fast roaming, etc…

A lo largo de este documento se detallan los puntos aquí enumerados.

The Power to Control Página 3 de 20

 Oct 2013

ARQUITECTURA
Todos los equipos FortiGate a partir de su versión de firmware 4.3 incorporan un
controlador wireless capaz de controlar puntos de acceso de Fortinet. Al igual que en
la mayoría de las soluciones Wireless Enterprise estos puntos de acceso pueden ser
desplegados en cualquier lugar de la red requiriendo exclusivamente conectividad IP
contra el controlador para funcionar.

Fortinet dispone de una amplia gama de puntos de acceso que permite dar cobertura
tanto en escenarios de interior como de exterior. El gráfico inferior muestra los puntos
de acceso disponibles a día de hoy.

FortiAP Product Family

3x3:3
Re s ilie nc y FAP-320B
Thro ug hput
Dual Radio

Dual Band

FAP-223B

2x2:2 FAP-221B
Pe rfo rmanc e FAP-222B
Single Radio

FAP-28C

FAP-14C
1x1:1
FAP-11C FAP-112B

Remote Outdoor Indoor

80

Conexión del AP al Controlador

El punto de acceso, llamado FortiAP, puede ser emplazado en cualquier lugar de la

red siempre y cuando haya comunicación en capa 3 con el Firewall. El FortiAP
dispone de mecanismos para poder localizar el controlador wireless. Estos
mecanismos son los siguientes:

a) Vía atributo de DHCP, la opción 138 puede ser usada para suministrar la IP
del FortiGate que actúa como controlador.
b) A través de BroadCast.
c) Mediante paquetes multicast contra la IP 224.0.1.140

The Power to Control Página 4 de 20

 Oct 2013

d) Configurando la IP del controlador estáticamente en el FortiAP

Una vez el AP descubre el Firewall, podemos aceptar ese AP desde la gestión del
Firewall y empezar a actuar sobre el mismo. La captura inferior muestra un AP
descubierto y Aceptado como válido:

Formas de despliegue de la red Wifi

Jugando con los modelos de puntos de acceso de Fortinet y con la configuración de

los SSID se pueden desplegar las redes wireless según las siguientes arquitecturas:

1.- Con APs ligeros, de gestión centralizada, tunelizando el tráfico hasta el

controlador.
2.- Con APs ligeros, de gestión centralizada, conmutando el tráfico directamente a la
red cableada (Local Bridging)

Trafico Tunelizado
En el caso de tunelizar el tráfico hasta el controlador nos aseguramos que cualquier
paquete de la red wifi pase a través del firewall, pudiendo así aplicar sobre dicho
tráfico todas las funcionalidades de Fortigate: Control de Aplicaciones, IPS,
Webfiltering, Antivirus, Firewalling, etc. El diagrama inferior muestra la arquitectura
basada thin APs con tráfico tunelizado.

The Power to Control Página 5 de 20

 Oct 2013

CAPWAP es el protocolo empleado para establecer el túnel entre el AP y el

Controlador. En caso de requerirlo por motivos de seguridad y privacidad, este tráfico
puede ir cifrado. La aplicación de CAPWAP en las redes Wifi de Fortinet cumple con
el estándar RFC-5415.

Local Bridging – Conmutación local

La opción de Local Bridging evita enviar el tráfico de la red wifi al controlador para
tomar en el mismo las decisiones de conmutación. Por el contrario, el tráfico del SSID
wifi es directamente enviado a la red cableada a través del AP.

FortiGate Wireless
Controller

Es posible realizar la configuración de Local Bridging de forma que el tráfico de

diferentes SSIDs sea enviado a diferentes VLANs de la red local. Así pues sería
posible separar el tráfico de invitados en una VLAN y el tráfico de usuarios en otra
VLAN diferente. La imagen inferior ilustra esta arquitectura.

! Associate VLAN ID with a SSID

! FAP Eth. interface shall work as 802.1Q trunk port
! Wifi traffic will be bridged locally and tagged with corresponding VLAN id

Vlan 30 associated with SSID = Finance

S S ID =Gue s t
802.1 Q trunk Po rt

Enterprise
Network
Fo rtiAP-220B/221B Ethernet
SS ID = Financ e Switch

Vlan 1 (Mgt VLAN)

Vlan 10 associated with SSID = Guest

SS ID = Emplo ye e DHCP S e rve r
Vlan 20 associated with SSID = Employee

The Power to Control Página 6 de 20

 Oct 2013

El Roadmap de Fortinet incorpora una mejora a esta funcionalidad. Esta mejora

permite la publicación de un único SSID y, en base a la pertenencia de un usuario a
uno u otro grupo de directorio activo (atributo enviado por el Radius que realice la
autenticación), el tráfico del usuario será etiquetado en una u otra VLAN. Este
funcionalidad permitirá reducir el número de SSIDs publicados.

Una ventaja de Fortinet es que se pueden combinar estos modos de despliegue,

no siendo exclusivos. A la hora de definir un SSID se define el modo de
funcionamiento de éste. Así pues, podemos tener SSIDs en los que todo el tráfico
se tunelice hasta el controlador (por ejemplo invitados o dispositivos móviles) y
SSIDs en los que se opte por realizar conmutación local (por ejemplo, SSIDs de
oficinas remotas).

Wifi y Seguridad en el Firewall

La wifi de Fortinet permite dotar a la red inalámbrica de las mismas medidas de

seguridad que aplicamos al tráfico cableado. Cada SSID que creamos en modo túnel
es una nueva interfaz del firewall a todos los niveles, como una interfaz cableada. Es
decir, podemos definir routing, políticas de filtrado, control de aplicaciones,
webfiltering, etc… de igual forma que haríamos con una interfaz cableada.

La captura inferior muestra un FG100D con tres SSIDs creados.

Sobre estas interfaces es posible crear reglas de firewalling pudiendo completar las
mismas con las inspecciones en capa 7 deseadas (Webfiltering, AppCtrl, IPS, DLP y
AV)

Como se puede ver en la captura anterior, se trata de una regla de firewall para el
tráfico con interfaz de entrada el SSID whumo y salida la Wan1. Esta regla incluye
además reglas basadas en la identidad de usuario, de forma que en base al usuario o su

The Power to Control Página 7 de 20

 Oct 2013

pertenencia a un grupo de directorio podemos aplicar unos servicios y unos perfiles de

protección en capa 7.

A continuación se puede ver el detalle de definición de una regla en la que se aplican

perfiles de seguridad específicos de Antivirus, Web filtering, IPS, e-mail filtering y
DLP a un tráfico de navegación desde un SSID:

La wifi de Fortinet dispone de una funcionalidad llamada WSSO (Wireless

Single Sign On) mediante la cual una vez el usuario se ha autenticado en la red
wifi mediante WPA2 Enterprise (por ejemplo, usando su nombre de usuario y
contraseña de dominio) automáticamente el Firewall aprende que dicho usuario está
autenticada y el grupo de dominio al que pertenece. A partir de ese momento el FW es
capaz de aplicar reglas de inspección particularizadas para el tráfico de ese usuario en
base a su grupo de pertenencia sin necesidad de volver a autenticarle. Esto permite
una gran personalización de las reglas aplicadas en la red wifi.

The Power to Control Página 8 de 20

 Oct 2013

AUTENTICACIÓN
Las solución wifi de Fortinet permite emplear mecanismos de autenticación seguros.
Así pues, por cada SSID configurado podemos definir que tipo de autenticación se
quiere emplear:

WPA/WPA2 Enterprise

WPA/WPA2 hacen uso de Radius como protocolo de autenticación, pudiendo según

la configuración del Radius validar las credenciales del usuario contra un Directorio
Activo.

Portal Cautivo

Es también posible crear un SSID con autenticación basada en Portal Cautivo, de

forma que el usuario se autentique a través de una portal web en la red wireless. El
portal cautivo puede ser modificado para adaptarse a los requisitos del cliente. La
captura inferior muestra la personalización de uno de los portales cautivos.

The Power to Control Página 9 de 20

 Oct 2013

Los usuarios autenticarán en el portal cautivo bien con sus contraseñas de

dominio o bien con contraseñas de uso temporal creadas para la ocasión (por
ejemplo usuarios invitados). Para facilitar la creación de usuarios temporales la
solución de FortiGate incorpora una herramienta de Gestión de Invitados.

Gestión y Provisión de Invitados

Es posible configurar en el FortiGate un portal de gestión de invitados. Desde este

portal un usuario no administrador puede dar de alta y de baja a usuarios visitantes o
invitados para que puedan disfrutar de forma temporal de la red wifi.

Este portal puede ser manejado por el personal de seguridad, un bedel o una
secretaria, de manera que cuando una visita acceda al edificio, durante el proceso de
registro de la misma se le pueda ofrecer credenciales para la red wifi. El suministro de
las credenciales puede hacerse de varias formas, bien imprimiéndolas, enviándolas
por email al invitado o enviándolas por SMS a través de una pasarela SMS.

The Power to Control Página 10 de 20

 Oct 2013

En el caso de tener un evento o necesitar crear múltiples usuarios para un acceso

puntual, la solución dispone de una funcionalidad que permite crear con un par de
clicks tantos usuarios temporales como fueran necesarios. Esta funcionalidad es
llamada “Batch Guest User Creation”.

La siguiente imagen muestra la creación de múltiples usuarios invitados:

The Power to Control Página 11 de 20

 Oct 2013

Independientemente del mecanismo de autenticación empleado, el Firewall presenta

varias vistas que permiten monitorizar y controlar los usuarios autenticados en la red
wifi.

The Power to Control Página 12 de 20

 Oct 2013

BYOD
Identificación del dispositivo

La solución wifi de Fortinet permite identificar el tipo dispositivo que se ha conectado

a la red wireless. De esta forma se tiene visibilidad de inmediata de usuarios, sistema
operativo y dirección IP. El pantallazo inferior es una muestra:

Políticas basadas en tipo de dispositivo

Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de firewalling. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos
dispositivos y restringirlos desde sistemas operativos no corporativos. La captura
inferior muestra una regla de firewall que hace uso de este concepto de dispositivo:

The Power to Control Página 13 de 20

 Oct 2013

The Power to Control Página 14 de 20

 Oct 2013

CONECTIVIDAD
Meshing

La solución Wireless de Fortinet permite realizar el despliegue de los puntos de

acceso utilizando meshing allí donde no se puede llegar con cable. Esta técnica
permite utilizar una de las radios del AP remoto para conectarse a la red wifi central y
la otra radio para dar cobertura. De esta forma se puede extender la red wifi con APs
sin necesidad de tirar cable Ethernet hasta los puntos de acceso.

Utilizando las funcionalidades de Meshing es también posible la creación de enlaces

punto a punto entre dos APs de Fortinet. La imagen inferior muestra un escenario de
despliegue típico de esta funcionalidad.

The Power to Control Página 15 de 20

 Oct 2013

Monitorización del espectro

La solución wifi de Fortinet dispone de mecanismos para que cada punto de acceso
monitorice le espectro y radie en el canal que menos interferencias presenta. La
funcionalidad de Automatic Radio Resource Provision (ARRP) permite seleccionar
los canales sobre los que queremos trabajar y dejar al equipo elegir el canal óptimo.
Otra funcionalidad interesante es el ajuste de potencia automático. En despliegues con
mucha densidad de APs es importante que estos ajusten la potencia de forma
automática para evitar solapes cuando todos los APs están presentes y para cubrir
zonas que pudieran quedar sin cobertura en el caso de fallo de un AP.

Alta densidad de usuarios

La solución wifi de Fortinet dispone de mecanismos que optimizan los escenario con
alta densidad de usuarios. Entre estos destacamos los siguientes:

A. Balanceo de Clientes entre APs.

Es posible configurar un número máximo de clientes aceptados por un punto
de acceso de forma que a partir de este número el AP no acepte más
conexiones y el AP fuerce al cliente a conectarse a otra radio menos cargada o
redirigirlo a otro AP

B. Rechazo de clientes en una determinada frecuencia.

Esta funcionalidad permite que el AP determine en que bandas de frecuencia
puede conectarse un cliente y mediante RSSI mida la calidad de la señal para
cada cliente en cada banda. Cuando un dispositivo trate de conectarse a la red
verificamos si tiene opción de conectarse en las dos bandas. En tal caso el AP
fuerza al dispositivo a conectar en la banda de 5GHz en lugar de en la de 2.4.

C. DFS o selección dinámica de frecuencias en 5GHz

Permite trabajar con canales normalmente reservados para Radar en caso de
no detectar señales de Radar, aumentando así el número de canales disponibles
y reduciendo los solapamientos en despliegues con alta densidad de APs.

The Power to Control Página 16 de 20

 Oct 2013

Privacidad Intra SSID

Se puede configurar el SSID para evitar comunicaciones entre clientes conectados al

mismo SSID. Esta opción es interesante a tener en cuenta en redes de invitados o
redes de dispositivos móviles.

Optimización del tráfico Multicast

En despliegues wireless es recomendable tratar de forma adecuada el tráfico

multicast. Para ello Fortinet incorpora una funcionalidad que permite convertir las
tramas multicast a tramas únicast y asignar un ancho de banda reservado al tráfico
multicast.

The Power to Control Página 17 de 20

 Oct 2013

SEGURIDAD EN LA RED WIFI

Ataques a la infraestructura wireless

Fortinet incorpora en su solución wifi la posibilidad de monitorizar la red Wifi de cara

a detectar ataques contra la infraestructura wireless. Así pues, el FortiGate es capaz de
detectar los siguientes tipos de ataques:

Detección y eliminación de APs no Autorizados – Rogue AP

La solución wifi de Fortinet permite detectar puntos de acceso que estén emitiendo y
que no pertenezcan a la red corporativa. De igual forma, una vez detectado estos
puntos de acceso se podría bloquear los mismos para evitar que usuarios internos se
conecten a dichos puntos. Para ello el AP lícito inunda con tramas de autententicacion
y deseautenticación el AP rogué, de forma que éste último no puede aceptar las
peticiones de autenticación de los usuarios. La captura inferior muestra la detección
de APs no aprobados:

The Power to Control Página 18 de 20

 Oct 2013

The Power to Control Página 19 de 20

 Oct 2013

PLANIFICACIÓN Y MONITORIZACIÓN
Fortiplanner

Fortiplanner es una herramienta de Fortinet que permite planificar los despliegues de

wifi. No sustituye a un análisis de cobertura pero permite estimar con bastante
precisión el número de APs y su localización óptima de cara a un despliegue de wifi.

Una vez desplegados los puntos de acceso, FortiPlanner permite mostrar mapas de
calor o cobertura en tiempo real, permitiendo así detectar zonas negras fácilmente.

The Power to Control Página 20 de 20