Embed Size (px)
Citation preview
Guía Básica para configurar AP cisco
1. Configuración de parámetros básicos
EXPRESS SETUP
System Name: Identificación del AP
Configuration Server Protocol: Seleccione el método para asignar la
dirección IP. Para nuestro caso se selecciono Static IP
IP Address: Colocar la dirección IP
IP Subnet Mask: Colocar mascara
Default Gateway: Dirección IP de Gateway
SNMP Community:
2. Creación de VLAN: Para crear VLAN se debe realizar los siguientes
procedimientos.
SERVICES
VLAN
o VLAN ID: Nro. de VLAN
o VLAN name (Optional): Nombre de la VLAN
Native VLAN
Enable Public Secure Packet Forwarding
Nota: Las dos últimas opciones se seleccionan en caso de que sea conveniente. En la
siguiente imagen se muestran los pasos para realizar la creación de VLAN
La opción de SERVICE no solo nos permite crear VLAN sino que además nos
permite verificar los servicios que están habilitados entre los cuales están:
Servicios
Telnet/SSH
Hot Standby
CDP
DNS
Filters
HTTP
Proxy Mobile IP
QoS
SNMP
VLAN
STREAM
SNTP
3. Creación de SSID
Security
SSID Properties
SSID: Introduzca el SSID
VLAN: Utilice el menú desplegable para seleccionar la VLAN a la
que se le asigna el SSID
Interfaces: Radio0-802.11N2.4GHz. Habilitar el radio donde está el
SSID estará habilitado.
Multiples BSSID Beacon Settings
Multiple BSSID Beacon
Set SSID as Guest Mode: Habilitado Para que se difunda el SSID-
deshabilitado para que no se difunda.
Apply
Cuando se crean múltiples SSID debemos:
Guest Mode/Infrastructure SSID Settings
Set beacon Mode
Multiples BSSID: Habilitado
Apply
En las siguientes imágenes se ilustran los pasos que se deben seguir para crear SSID:
4. Configuración de Seguridad:
A continuación se realizara el estudio de los diferentes protocolos inalámbricos y de
la seguridad que cada uno provee para así seleccionar el más adecuado
Acceso Abierto
Encriptación de
primera
generación
Provisoria Presente
SSID WEP WPA WPAv2
Sin
encriptación
Autenticación
básica
Manejo no
seguro
Sin
autenticación
fuerte
Claves
estáticas
frágiles
No escalable
Estandarizada.
Encriptación
mejorada
Autenticación
fuerte, basada
en el usuario
(por ejemplo:
LEAP, PEAP,
EAP-FAST
Encriptación
EAS.
Autenticación
802.1x.
Administración
de clave
dinámica
WPAv2 es la
implementación
WiFi Allience
de 802.11i
El protocolo WEP filtra los datos en su red de forma que solo los destinatarios deseados
puedan acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP.
Cuanto más larga sea la clave, más fuerte será el cifrado. Cualquier dispositivo de
recepción deberá conocer dicha clave para descifrar los datos. Sin embargo, las claves
WEP compartidas demostraron ser defectuosas debido a que no dispone de un
mecanismo de distribución de claves automático, por tal motivo la clave no suele
cambiarse nunca.
Otro problema que presenta WEP es que la misma clave se almacena tanto en el
punto de acceso como en todas las estaciones, carece de mecanismos de protección
contra paquetes falsificados o repetidos, tiene un mecanismo de integración CRC
(verificación de errores en la transmisión) pero se ha demostrado que no sirve
Unas de las alternativas que se crearon para solventar el problema es la creación de
WEP2 que utiliza claves de 10424 bits (no está estandarizado) observándose que el
uso de claves mayores no resuelve el problema. En general, WEP no es una medida de
seguridad adecuada para las WLAN
Con respecto a WPA es un sistema destinado a proteger las redes inalámbricas
creadas con la finalidad de corregir las deficiencias del sistema WEP. Emplea el cifrado
de clave dinámico, lo que significa que la clave está cambiando constantemente. WPA
está considerado como uno de los más altos niveles de seguridad, la clave se insertan
como dígitos alfanuméricos, sin restricciones de longitud, n la que se recomienda
utilizar caracteres especiales, números, mayúsculas y minúsculas, y palabras difíciles de
asociar entre ellas o con información personal. Hay dos versiones de WPA, que utilizan
distintos procesos de autenticación:
El que utiliza el protocolo de integridad de claves temporales (TKIP), este es
un tipo de mecanismo empleado para crear el cifrado de clave dinámico y
autenticación mutua, debido a que las claves están en constante cambio, ofrecen
un alto nivel de seguridad para su red.
Cuando se necesita una red con restricciones altas, es decir para el uso
empresarial se puede utilizar el protocolo de autenticación extensible (EAP).
Este método emplea la tecnología de servidor 802.1x para autenticar los
usuarios a través de un servidor radius, esto aporta una seguridad de fuerza
industrial.
Ventajas de WPA con respecto a WEP
WPA: Problemas de WEP resueltos
WEP WPA
Integridad débil (CRC) de
WEP
Claves estáticas y manuales
Autenticación mínima
Código MIC
Claves generadas dinámicamente y
distribución automática.
Autenticación fuerte de usuarios a través
de 802.1X/EAP/RADIUS
Por último, existe un protocolo de seguridad considerado como la segundo
generación de WPA y está disponible en los AP más modernos. No se creó para afrontar
ninguna de las limitaciones de WPA. La principal diferencia con respecto a WPA es que
WPAv2 necesita el estándar de cifrado (AES, Advanced Encryption Standard),) para el
cifrado de los datos mientras que la primera necesita TKIP.
Aunque WPAv2 es la opción más recomendable para la implementación de una red
inalámbrica empresarial en la actualidad muchos dispositivos no soportan este
protocolo. Por lo tanto, en este proyecto se elegirá para la seguridad inalámbrica
WPA.
Procedimiento:
Los pasos para configurar el modo de encriptación son los siguientes:
Security
Encryption Manager
o Set encryption mode and keys for VLAN: Se selecciona la
VLAN
Encryption modes
o Cipher : TKIP
Apply
En la siguiente imagen observamos los pasos mencionados anteriormente:
Selección de VLAN Selección de método de encriptación
Configuración del método de autenticación y gestión de clave
Los Pasos que se deben seguir son los siguientes:
Security
SSID manager
SSID properties
o SSID: Seleccionar el SSID
Client authentication setting
Methods accepted
o Open Authentication
Client authenticated key management
o Key management: Mandatory
o Enable WPA: Activar
o WPA o WPAv2: Seleccionar del menú desplegable
o WPA pre-share key: Introducir la clave
NOTA: La clave se puede colocar en ASC11 o Hexadecimal según se desee
Apply
La manera grafica de aplicar estos procedimientos se muestran en la imagen a
continuación:
Grafica Nro. 20 Pasos 1-2-3 para configurar niveles de seguridad
Fuente: Autor
Paso 4 para configurar niveles de Seguridad
Pasos 5-6-7-8 para configurar niveles de seguridad
Pasos 9 para configurar niveles de seguridad
5. Configuración de la interface radio, activación y selección de canal.
En esta fase encontramos varios parámetros relacionados a la interface radio de las
cuales se explicaran los más importantes. Primeramente se describirá la forma de activar
la interfaz radio. Si la función Enable Radio esta activada (enable), el AP envía paquetes
a través de su interfaz de radio 802.11N. Si se desea cambiar el estado administrativo de
la radio de activo a inactivo, disable.
Network Interface
Radio0 802.11N2.4Ghz
Setting
o Enable Radio: Enable
Apply
Configuración de la interfaz de radio
El ajuste Data Rates permite elegir la velocidad de transmisión de datos. Esta
velocidades se expresan en megabits por segundos (Mbps). El dispositivo siempre
intenta de transmitir a las velocidades más altas de las seleccionadas. Si hay obstáculos
o interferencia, el dispositivo baja a la siguiente velocidad más alta que permita la
transmisión de los datos. Para cada una de las velocidades seleccione Require, Enable o
Disable.
Explicación de parámetros de selección
Ajuste Descripción
Required
Habilita la transmisión a esta velocidad para todos los
paquetes, tanto unidifusión como multidifusión. Al
menos una de las velocidades debe estar marcada como
Required. Un cliente debe soportar una velocidad
required antes de poder asociarse
EnableHabilita la transmisión a esta velocidad únicamente
para los paquetes unidifusión
Disable No permite la transmisión a esta velocidad
Selección de canal
El ajuste Transmitter Power (mW) determina el nivel de potencia de
transmisión de la radio. El ajuste predeterminado es la potencia de transmisión
más alta.
El campo Client Power (mW) establece el nivel de potencia máximo permitido
en los dispositivos clientes que se asocian al AP. Todos los valores se expresan
en mW.
El ajuste Default Radio Channel define el canal. Least Congested Channel
Search es la lista de canales.
6. Configuración de la interfaz GigabitEthernet
Así como se puede configurar la interfaz radio también se puede configurar la
Ethernet. Los parámetros básicos que se pueden variar son la velocidad, el modo de
transmisión y la activación de la interfaz.
Network Interface
GigabitEthernet
Setting
o Enable Ethernet: Enable
o RequestdDuplex: auto
o RequestdSpeed: auto
Apply
