MTCNA - CFP UPV - Módulo 3 - Redes Wireless

MikroTik MTCNA (MikroTik Certified Network Associate)
Módulo 3: Wireless
Raúl Llinares / David Vaello ‐ v8.0 1
3. Wireless
MTCNA (Mikrotik Certified Network Associate)
• 1. Redes Wireless 802.11
• 2. Seguridad en Redes Wireless
• 3. Diseño de Redes Wireless
MTCNA (Mikrotik Certified Network Associate) 1. Redes Wireless 802.11
Estándares WLAN – 2.4 GHz
802.11b 802.11g 802.11n
Ancho de Canal 20 MHz 20 MHz 20/40 MHz
Tecnología SISO SISO MIMO
Flujos/chains/streams 1 1 Hasta 4*
Intervalo de Guarda (GI) long (800 ns) long (800 ns) long (800 ns) / short (400 ns)
Modulación Espectro Ensanchado Hasta 64 QAM Hasta 64 QAM

450 Mbps (3 streams)
Velocidad Máxima 11 Mbps 54 Mbps
600 Mbps (4 streams)
802.11n (HT = High Throughput)
* Versiones comerciales de 3 streams
1. Redes Wireless 802.11
Estándares WLAN – 5 GHz
802.11ac (Wave 1)
802.11a 802.11n
802.11ac (Wave 2)
20/40/80 MHz
Ancho de Canal 20 MHz 20/40 MHz
20/40/80/160 MHz
MIMO
Tecnología SISO MIMO
MU‐MIMO
Hasta 3 (AP) / Hasta 3 (cliente) (1 a 1)
Flujos/chains/streams 1 Hasta 4*
Hasta 8 (AP) / Hasta 4 (cliente) (varios a 1)
long (800 ns) / short (400 ns)
Intervalo de Guarda (GI) long (800 ns) long (800 ns) / short (400 ns)
long (800 ns) / short (400 ns)
Hasta 256 QAM
Modulación Hasta 64 QAM Hasta 64 QAM
Hasta 256 QAM
1300 Mbps (AP) / 1300 Mbps (cliente)
Velocidad Máxima 54 Mbps 600 Mbps
6900 Mbps (AP) / 3400 Mbps (cliente)
802.11a (Estados Unidos y Japón)
802.11ac (VHT = Very High Throughput)
* Versiones comerciales de 3 streams
BSS (Basic Service Set) Parámetros Redes Wireless
BSSID (Basic Service Set IDentifier):
MAC del AP
Beacon Frame: información sobre
SSID, Rates, Seguridad…
Estándar: 802.11n Estándar: 802.11n
Banda: 2.4 GHz Banda: 2.4 GHz
Ancho de Canal: 20 MHz Ancho de Canal: 20 MHz
SSID: MTCNAUPV SSID: MTCNAUPV
Frecuencia (canal): 2412 Scan List: Banda 2.4GHz
Seguridad: WPA2/PSK Seguridad: WPA2/PSK
SSID (Basic Service Set Identifier) ¿Cuáles configura el usuario?
Parámetros Básicos
• Para acceder a la interface wireless (wlanX):
– Menú Interfaces
– Menú Wireless Hay que activar la interfaz
Doble click sobre la interfaz
para configuración
Parámetros Básicos
Advanced Mode
Mode: modo de trabajo
Band: 2.4 GHz o 5 GHz
Channel Width: ancho de canal
Frequency: frecuencia
SSID: Identificador de red (puede
ocultarse “Hide SSID”)
Radio Name: Identificador de equipo
Scan List: frecuencias donde el
cliente busca el SSID
Wireless Protocol: 802.11
Configuraciones Wireless
• Existen tres modos de trabajo básicos en Wireless:
– Punto de Acceso:
• ap bridge: enlaces PTMP (Point To Multi Point)
• bridge: enlaces PTP (Point To Point) (no es bridge MAC)
– Estación o cliente: conecta el equipo wireless a la red
• Station (L3)
• Station bridge (L2 o L3)
• Otros
– Repetidor
• Wireless Distribution System: extensión de la red sin cableado
Modo Wireless Punto de Acceso PTMP
Internet
Punto de Acceso (AP) en WLAN:
Implementa 802.11 y sirve de
bridge MAC entre 802.11 y Punto de
Ethernet Acceso
(Licencia L4)
Modo Punto de Acceso Enrutado
wlan2 5 Ghz. ether1
10.10.10.100/24 158.42.176.97
modo ap bridge
Internet
Si se desea enrutar la red creada con el ap bridge, la

wlan2 5 Ghz. interfaz wlanX que implementa el ap bridge será
10.10.10.1/24 tratada como una interfaz más del router a la que
modo station se le asignará IP
ether5 ether1
192.168.1.1/24 ∙
∙
∙
Internet
etherX
Ethernet etherN wlan1
192.168.1.100/24 192.168.10.1/24
MIKROTIK
Wireless
192.168.10.0/24
Modo Punto de Acceso Conmutado
Ethernet
192.168.1.1/24
Internet
Ethernet
192.168.1.101/24
modo ap bridge
BRIDGE
+ bridge entre wlan1 y ether1
Ethernet
Raúl Llinares / David Vaello ‐ v8.0
192.168.1.100/24 11
Modo Wireless Punto de Acceso PTP
Bridge Wireless
(Licencia L3)
Station Wireless
(Licencia L3)
Bridge Wireless:
Une dos redes LAN (a nivel 2 ‐ transparente o a nivel 3 ‐ enrutado)

mediante un enlace punto a punto inalámbrico
Modos Punto de Acceso
• Estándar (compatibles con otros equipos 802.11):
– ap bridge: modo Access Point básico (punto a multipunto)
– bridge: igual que ap bridge pero limitado a un solo cliente (punto
a punto)
Superchannel (I). Modo de Trabajo Estándar
• Los canales del estándar se encuentran en el rango de frecuencias:
– 2,4 GHz: 2412 – 2462 MHz
– 5 GHz: 5180 – 5825 MHz
• En los AP wireless (modo ap bridge o modo bridge):

– Se configura la frecuencia en el campo Frequency
– Se configura un SSID
• En los clientes wireless (modo station):
– Tendrá lugar la conexión a una red wireless mediante el SSID (campo
Frequency indistinto)
– Se realizará una búsqueda del SSID en las frecuencias estándar: campo Scan‐
List igual a default
– El campo Scan‐List es utilizado para especificar un rango de frecuencias donde
buscar el SSID
Superchannel (II). Modo de Trabajo fuera de banda
• El hardware de Mikrotik permite utilizar otras frecuencias disponibles
en el modo Superchannel del campo Frequency Mode. Comúnmente:
– 2,4 Ghz: 2312 – 2732 Mhz
– 5 Ghz: 4900 – 6100 Mhz
• En los AP wireless (modo ap bridge o modo bridge):

– Se configura el modo Superchannel, eligiendo la frecuencia fuera de banda
(campo Frequency)
– Se configura un SSID
• En los clientes wireless (modo station):
– Tendrá lugar la conexión a una red wireless mediante el SSID (campo
Frequency indistinto)
– Se realizará una búsqueda del SSID en las frecuencias fuera de banda: campo
Scan‐List con un valor igual a la frecuencia del Superchannel o un rango que
incluya esa frecuencia
Herramientas
• Antes de implementar una red Wireless, se debe
seleccionar un canal lo más libre posible
• Freq Usage…: Muestra el uso de los canales en la banda
del interface
Herramientas
• Snooper…
Conexión a Red Wireless
wlan1:modo ap bridge 10.10.10.100

Internet
wlan2
5 Ghz.
802.11
DHCP client
• El Trainer implementará una red Wireless en 5 GHz con los
siguientes parámetros:
– SSID: MTCNAUPV
– Wireless protocolo: 802.11
– Sin parámetros de seguridad
Configuraciones Wireless Típicas
Internet
Station (STA) en WLAN:
Implementa 802.11
Ruta de vuelta Modo Cliente Enrutado
192.168.1.0/24  10.10.10.1
o NAT en dispositivo
10.10.10.100
Internet
wlan2
10.10.10.1/24
modo station
modo station‐bridge
ether5 L3
modo station‐pseudobridge
192.168.1.1/24 modo station‐pseudobridge‐clone
Ethernet
192.168.1.100/24
Modos Cliente Conmutado
10.10.10.100/24
Internet
modo station
L2
El modo station no permite
realizar bridging de capa 2, solo
BRIDGE
válido para realizar enrutado
Ethernet
10.10.10.100/24
Modos Cliente Conmutado
10.10.10.100/24
Internet
wlan2 5 Ghz.
modo station‐bridge (modo propietario con WDS implícito)
L2 modo station‐pseudobridge (enmascara las MAC de los clientes)
modo station‐pseudobridge‐clone (enmascara las MAC de los clientes)
BRIDGE
+ bridge entre wlan1 y ether5
No hay direccionamiento IP en ninguna
Ethernet interface ni NAT ni enrutado
10.10.10.1/24
Modos de Operación
• Modos cliente
– station
– station‐bridge
– station‐pseudobridge
– station‐pseudobridge‐clone
Modos Cliente
• Estándar (compatibles con otros equipos 802.11):
– station: modo estación o modo cliente básico. Necesita enrutado
para funcionar
– station‐pseudobridge: como modo station, pero con traducción
de dirección MAC a todo el tráfico. Permite que el interface sea
agregado a un bridge
– station‐pseudobridge‐clone: como station‐pseudobridge, pero
utiliza la dirección en el campo station‐bridge‐clone‐mac o la del
primer equipo conectado a la red cableada para conectarse al AP
• Propietarios de Mikrotik:
– station‐bridge: Permite realizar bridging de L2 sin limitaciones.
Solo funciona con APs RouterOS que deben tener el parámetro
bridge‐mode habilitado
Modos Cliente
• El formato de trama Wi‐Fi contempla únicamente un
dispositivo por conexión (un punto de acceso con clientes)
Frame Length Dirección Dirección Dirección Seq. Datos CRC
Control 1 2 3
MAC MKT_AP MAC ST MAC Z

Enlace Wireless Dst Address
MAC Z
MAC ST
MAC MKT_AP
Raúl Llinares / David Vaello ‐ v9.0 Modo AP bridge 26

Modos Cliente
• El formato de trama Wi‐Fi contempla únicamente un
dispositivo por conexión (con cambios según sentido)
Control 1 2 3
MAC ST MAC MKT_AP MAC Z

Enlace Wireless Src Address
MAC Z
MAC ST
MAC MKT_AP
Raúl Llinares / David Vaello ‐ v9.0 Modo AP bridge 27
Modos Cliente
• ¿Es posible extender el dominio Wireless en L2 más allá
del cliente?
Control 1 2 3
MAC MKT_AP MAC MKT_ST MAC Z
Enlace Wireless Dst Address ¿Dónde insertamos la dirección MAC origen
correspondiente a una estación cableada?
MAC A MAC B MAC C MAC D
MAC Z
MAC MKT_AP MAC MKT_ST
Modo AP bridge Modo station‐bridge
SOLUCIÓN NO ESTANDARIZADA
Modos Cliente
• El formato de trama “station‐bridge” (modo WDS
embebido) permite una cuarta dirección MAC:
Frame Length Dirección Dirección Dirección Seq. Dirección Datos CRC
Control 1 2 3 4
MAC MKT_AP MAC MKT_ST MAC Z MAC A
Enlace Wireless Dst Address Src Address
MAC A MAC B MAC C MAC D
MAC Z
MAC MKT_AP MAC MKT_ST
Modo AP bridge Modo station‐bridge
Matriz Compatibilidad protocolos Wireless
• Compatibilidad con protocolos Wireless:
802.11: cualquier equipo de cualquier fabricante implementando 802.11
ROS 802.11: Equipos Mikrotik implementando 802.11
Escanear Redes Wireless
• Antes de conectarse a una red Wireless el cliente escanea
redes Wireless de forma:
– Activa: mediante una trama “Probe Request”
– Pasiva: mediante tramas “Beacon Frames” emitidas por los APs
• En ambos casos la información es: SSID, rates, seguridad…
SSID: MTCNAUPV SSID: MTCNAUPV
SSID: UPVNET
SSID: UPVINFO
SSID: ∙∙∙
SSID: UPVNET
SSID: UPVINFO
Escanear Redes Wireless
• Desde el cliente, la herramienta Scan… muestra las redes disponibles y
permite seleccionar los parámetros de una de ellas
Connect: copia
los parámetros
de una red en la
configuración
del interface
wlanX
10.10.10.100
Internet
wlan2
5 Ghz.
802.11
wlan2
Bridge: 10.10.10.XX/24
wlan2:modo station bridge ether5
10.10.10.X/24
• Resetear el dispositivo SIN los valores por defecto
• Conectar al router del trainer con el interfaz wlan2 (5 Ghz.)
– Mode: station‐bridge
– SSID: MTCNAUPV
– Scan List: default
– Radio Name: MK‐XX
• Crear bridge entre wlan2+wlan1+ether5. ¿Es necesario
asignar una IP al dispositivo? ¿dónde debería asignarse?
• Asignar una dirección IP al portátil por DHCP y comprobar
conectividad a Internet
• Cambiar el modo a station y comprobar si el portátil tiene
conectividad a Internet
• Dejar la configuración en station‐bridge
Niveles de Señal Recibidos
• Nivel de señal recibido (PR = PAP + GAP – L + GR)

– Potencia Transmitida (PAP + GAP)
– Pérdidas (L)
• Distancia
• Obstáculos
• Reflexiones / Refracciones: multicamino
Potencia Transmitida
• La potencia transmitida o radiada por el AP o por el
dispositivo cliente es:
PT = PAP + GAP
• La normativa de la banda ISM, limita la potencia
transmitida por dispositivo mediante el concepto de PIRE
Potencia Isotrópica Radiada Equivalente (PIRE)
• Banda 2.4 GHz:
– La potencia isotrópica radiada equivalente (PIRE) total será inferior a
100 mW
• Banda 5 GHz:
– Banda 5150 – 5350 MHz:
• banda restringida para su utilización únicamente en el interior de recintos
• La potencia isotrópica radiada equivalente máxima será de 200 mW (PIRE)
• En la banda 5250‐5350 MHz, si no se si no se dispone de técnicas de
control de potencia (TPC) que permitan como mínimo un factor de
reducción de 3 dB de la potencia de salida, la PIRE máxima será 100 mW
– Banda 5470 ‐ 5725 MHz:
• banda utilizada en el interior o exterior de recintos
• La potencia isotrópica radiada equivalente será inferior o igual a 1 W
(PIRE) o 500 mW si no se dispone de TPC para reducir mínimo 3dB
Potencia Isotrópica Radiada Equivalente (PIRE)
• Ejemplo: PIRE 100 mW (20 dBm)
Ganancia 15 dBi
Receptor con
Potencia Radiada: parabólica, más lejos
Ganancia 0 dBi
20 dBm (isotrópica) Ganancia 15 dBi
Potencia TRX: 5 dBm PR = PAP + GAP ≤ PIRENORMATIVA

(3.16 mW) P
Ganancia 0 dB
(isotrópica) Potencia Radiada: En P debo recibir la misma potencia que si pusiese una
20 dBm antena isotrópica de 0 dB independientemente del tipo
de antena utilizada en transmisión (PIRE)
Potencia TRX: 20 dBm
(100 mW)
Reducción de Potencia de Transmisión en RouterOS
• Menú Interfaces, elegir interface Radio, pestaña Tx Power
Se utiliza all rates fixed para ajustar PTP, es recomendable

antes de ajustar potencias, seleccionar velocidades del
enlace
Country Regulations
• Es posible dejar que el Mikrotik regule la potencia dependiendo del
país escogido:
regulatory‐domain: frecuencias y potencia de la
normativa del país
• Otros modos Frequency mode:
– Manual‐txpower: frecuencias del país y potencia en pestaña Tx Power
– Superchannel: cualquier frecuencia y potencia que permita el hardware
Laboratorio. Client station
• Comprobar niveles de potencia transmitida en Wireless –
wlan2 – Current Tx Power (seleccionar Advanced Mode)
• Disminuir la potencia transmitida para evitar
interferencias:
– Potencia transmitida: 6dBm (tx power, all rates fixed)
• Comprobar niveles de señal recibidos en Wireless –
Registration
• El nivel de señal o potencia recibida (PR = PAP + GAP – L + GR) sufre

variaciones en interiores debido a las pérdidas (L) que dependen de
– Distancia (valor fijo de pérdidas)
– Obstáculos (valor fijo de pérdidas)
– Reflexiones / Refracciones: multicamino (valor variable de pérdidas)
• Clasificación de Rangos de Potencias recibidas:
– – 20 dBm a –40 dBm : señal excesiva
– – 40 dBm a –60 dBm : señal idónea
– – 60 dBm : enlace bueno (límite habitual ‐65 dBm)
– – 70 dBm: enlace normal‐bajo
– – 80 dBm: señal mínima aceptable para establecer la conexión
– – 90 dBm: a partir de este valor no puede establecerse conexión
• RSSI (Received Signal Strength Indicator):

– medida de la potencia recibida
– no existe relación estandarizada de medidas físicas con el RSSI
– los fabricantes de chipsets proporcionan su propia precisión y
granularidad para la RSSI (de 0 a RSSI_max)
• Comprobar niveles de señal recibidos en Wireless –
Registration
Aparecen los clientes registrados
en el AP (modo AP)
Tx/Rx Signal = Señal recibida por el

cliente / Señal recibida por el AP
Modulaciones y Velocidades Alcanzadas
• Los datos que se envían en una red Wireless van modulados en una
onda electromagnética
• Existen diferentes modulaciones en redes Wireless que implican el
envío de mayor cantidad de bits/símbolo (mayor tasa de bps)
– BPSK: 1 bits / símbolo
– QPSK: 2 bits / símbolo
– 16 QAM: 4 bits / símbolo
– 64 QAM: 6 bits / símbolo
Modulaciones y Velocidades Alcanzadas
• La potencia de la señal recibida influye en la modulación que se va a
utilizar
BPSK QPSK
16QAM 64QAM
• Menor potencia recibida implica puntos más cercanos:
– Menor inmunidad al ruido
– Una sensibilidad suficiente
Sensibilidad del Receptor
• Sensibilidad del receptor
Modulaciones
• Comprobar modulaciones utilizadas en Wireless –
Registration
Si no hay tráfico, la velocidad es la menor posible
Anchos de Canal
• Ancho de Canal:
– Mayores anchos de canal implican más portadoras que envían más
símbolos simultáneamente  más bps
– Mayores anchos de canal precisan mejores niveles de señal en
recepción (3 dB cada vez que se dobla el canal)
20 Mhz: 802.11a/b/g/n
40 Mhz: 802.11n/ac
80 Mhz: 802.11ac
Canales 2.4 GHz
• Canales de ancho de banda reducido:
– 5 MHz (un cuarto de ancho de banda): variación de 802.11g, con
una velocidad de 13.5 Mbps
– 10 MHz (mitad de ancho de banda): variación de 802.11g, con una
velocidad de 27 Mbps
• Canales de doble ancho de banda:
– 40 MHz turbo channel: variación de 802.11g, con una velocidad de
108 Mbps
– 40 MHz turbo channel: variación de 802.11a, con una velocidad de
108 Mbps
– Soluciones no estándar , obsoletas
Canales 2.4 GHz
• 802.11b, 802.11g y 802.11n: 14 canales de 20 MHz
llamados wide channels
Canales 2.4 GHz
• 802.11n: la banda de 2.4 GHz no es adecuada para
despliegues con más de 1 AP con canales de 40 MHz
(siempre hay solape)
Canales 2.4 GHz
• En anchos superiores a 20 MHz:
– es posible aceptar también clientes de 20 MHz
– No todos los dispositivos Mikrotik permiten anchos superiores a
20 MHz de forma exclusiva (por ejemplo, solo 40 MHz)
• Es necesario especificar cuál será el canal primario de 20
MHz (XX para que RouterOS seleccione el canal primario)
HT
Canales 5 GHz
• Anchos de canal en 5 GHz:
– 20 MHz, 40 MHz (igual que en 2.4 GHz)
– 80 MHz
– 160 MHz
Canales 5 GHz
• En anchos superiores a 20 MHz:
– es posible aceptar también clientes de 20 MHz
– No todos los dispositivos Mikrotik permiten anchos superiores a
20 MHz de forma exclusiva (por ejemplo, solo 40 MHz)
• Es necesario especificar cuál será el canal primario de 20
MHz (XX para que RouterOS seleccione el canal primario)
VHT HT
Canales 5 GHz
• Selección de Canal (ejemplo 802.11n):
Anchos de Canal
• Comprobar anchos de canal utilizados en Wireless –
Registration
Intervalo de Guarda
• Intervalo de Guarda (tiempo entre símbolo y símbolo):
– 800 ns (long interval)
– 400 ns (short interval): menos tiempo entre transmisión de
símbolos  más bps
Intervalo de Guarda
• Comprobar intervalos de guarda utilizados en Wireless –
Registration
short
long
Chains
• Chains
– Las técnicas MIMO permiten utilizar varias antenas para
transmisión (en un extremo) y para recepción (en otro extremo)
para enviar varios flujos independientes de forma simultánea
(misma frecuencia) sin interferirse
– La velocidad en bps:
• Se dobla (2 chains): 2x2
• Se triplica (3 chains): 3x3
• Se cuadruplica (4 chains): 4x4
Chains
• Tanto emisor como receptor deben implementar el mismo
número de flujos espaciales (chains) para alcanzar la
máxima velocidad
Chains
• Comprobar flujos espaciales utilizados en Wireless –
Registration
Velocidades soportadas 802.11b/g
• Supported Rates:
– velocidades soportadas por los clientes
– debe incluir todos los Basic Rates
• Basic Rates:
– velocidades utilizadas en la primera
comunicación (establecimiento de
conexión, intercambio de claves, …) y en
las tramas de control
– Sin Basic rates no se establece enlace
• Al seleccionar los data rates, el cliente
debe soportar (supported) al menos, los
basic rate del AP
• Velocidad máxima de enlace: la máxima
velocidad en común AP y cliente
Velocidades soportadas 802.11n/ac
• Velocidades soportadas 802.11n y 802.11ac
Parámetros:
‐ Ancho de canal
‐ Niveles en la modulación
‐ Flujos espaciales
MCS – Modulation Coding Scheme

Velocidades soportadas 802.11n/ac
Comparar:
‐ 1 chain vs 2 chains
‐ GI: 800ns vs 400ns
‐ Canal: 20MHz vs 40MHz
802.11n
MCS 0 y 8
MCS 1 y 9
MCS 2 y 10
∙∙∙
requieren las mismas
condiciones de RF (S y SNR)
Configuración 802.11n en RouterOS
Supported Rates:
velocidades soportadas
por los clientes
Basic Rates: velocidades
utilizadas en la primera
comunicación
(establecimiento de
conexión, intercambio de
claves, …) y en las tramas
de control
Configuración 802.11ac en RouterOS
MCS independientes por chains
Velocidades 802.11n/ac
• ¿Cuál de las velocidades puede fijarse en una red Wireless
802.11n? ¿Y en 802.11ac?
• El Trainer fijará el MCS y se comprobará que el registro se

ha realizado a la velocidad adecuada, así como:
– Modulación
– Intervalo de guarda
– Flujos espaciales
Ruido
• Ruido:
1
0.8
0.6
0.4
0.2
-0.2
-0.4
-0.6
-0.8
-1
-1 -0.8 -0.6 -0.4 -0.2 0 0.2 0.4 0.6 0.8 1
S (Señal Recibida) en dBm
N (Ruido) en dBm
SNR = S – N (dB)
Ruido
• Ruido:
Factores que afectan al rendimiento
• Protocolo:
– Aleatorio: 802.11
– Ordenado:
• Basado en TDMA: nv2
• Basado en Polling: nstreme
• Rendimiento del Protocolo:
– 802.11: velocidad MAC (throughput) entorno al 50% velocidad PHY
– nv2: velocidad MAC (throughput) entorno al 70% velocidad PHY
– nstreme: velocidad MAC (throughput) entorno al 80% velocidad PHY
• Utilización del Protocolo:
– Más usuarios disminuyen el rendimiento
– Usuarios lejanos (baja señal  baja modulación  baja velocidad):
disminuyen el rendimiento global
• Buenas condiciones de RF (S y SNR):
vs 11
vs max 54
vs 54
vs 54
vs 65
vs 144.4
vs 300
• Otras redes Wireless afectan notablemente al rendimiento
– en el mismo canal (Interferencia Co‐Canal)
– en canales adyacentes (Interferencia Canal Adyacente)
Laboratorio
• Estudiar el throuhgput máximo de una red Wireless
mediante una sola estación
– En un canal libre
– En un canal saturado
ESS (Extended Service Set)
Configuraciones Repetidor
Repetidor:
Permite aumentar la cobertura
de la red Wireless sin necesidad
de cableado
El rendimiento es la mitad del
habitual
WDS (Wireless Distribution System)
Wireless Mesh:
Permite interconectar
redes LAN sin necesidad de
cableado intermedio
• Modos WDS (Wireless Distribution System):
– station wds
– wds slave
Combinaciones Modos Wireless
3. Wireless
• 3. Diseño de redes Wireless
MTCNA (Mikrotik Certified Network Associate) 2. Seguridad en Redes Wireless
Seguridad
• Autenticación: asegura la aceptación de transmisiones
solo desde fuentes confirmadas
• Tipos de autenticación:
– Dispositivo (típicamente PSK – secreto compartido)
– Usuario (típicamente mediante un servidor RADIUS)
• Encriptación:
– Confidencialidad: asegura que la información solo es accesible
desde fuentes autorizadas
– Integridad: asegura que la información no es cambiada por
ninguna otra fuente y que los datos son exactamente los mismos
que fueron enviados
2. Seguridad en Redes Wireless
WPA
• El protocolo WPA (Wi‐Fi Protected Access) apareció en 2003:
– solución temporal antes de aparecer el estándar 802.11i
– mejoró la seguridad propuesta en 802.11
• Autenticación abierta o PSK
• Cifrado WEP (basado en RC4)
• Otros mecanismos (filtrado MAC, ocultación SSID)
• Métodos WPA:
– Autenticación: PSK y 802.1X (Radius, EAP)
– Cifrado: TKIP (basado en RC4)
– Integridad: Message Integrity Check (MIC)
• WPA‐TKIP solo funcionará hasta 54 Mbps
WPA2
• El estándar 802.11i (2004) define el protocolo WPA2:
– Autenticación: PSK y 802.1X (Radius, EAP)
– Cifrado: AES
– Integridad: Cipher Block Chaining Message Authentication Code

(CCMP)
Perfiles de Seguridad
Menú Wireless
Doble click en la configuración
por defecto o crear una nueva
(botón +)
Mode: claves dinámicas
Authentication: WPA / WPA2:
‐ PSK: secreto compartido
‐ TKIP / AES: cifrado
‐ Pre‐Shared Key (PSK): clave
• Management Protection (extensión
propietaria)
– disabled ‐ Deshabilitado (default)
– allowed ‐ use management protection if
supported by remote party (for AP ‐ allow
both, non‐management protection and
management protection clients, for client ‐
connect both to APs with and without
management protection)
– required ‐ establish association only with
remote devices that support management
protection (for AP ‐ accept only clients that
support management protection, for client ‐
connect only to APs that support
management protection).
– Access‐list/Connect‐list (AP / Client mode)
predominará sobre Security Profile
Se debe seleccionar el
Security Profile apropiado
en la interface Wireless
Seguridad
• Securizar la red Wireless:
– Se implementará seguridad WPA2 PSK/AES con clave compartida:
MTCNAUPV
– Se implementará Management Protection con clave:
formacionmikrotik.com
Lista de Acceso / Lista de Conexiones
• Los dispositivos Wireless implementan filtrados MAC para
filtrar qué estaciones pueden autenticarse en su red
Accept
MAC A
MAC B
Drop
Resto
• Mikrotik implementa dos tipos de filtrado MAC:
– A nivel de AP: ¿qué dispositivos cliente va a aceptar? (Access List)
– A nivel de cliente: ¿a qué dispositivos AP va a conectarse?
(Connect List)
• Tanto en Access List como en Connect List:

– Las entradas en las listas están ordernadas y tienen
funcionamiento secuencial (como en firewall)
• cada petición de autenticación tendrá que pasar desde la primera
entrada hasta una coincidencia
– Puede haber varias entradas para la misma dirección MAC (con
diferentes condiciones)
– Puede haber una entrada para todas las direcciones MAC (sin
especificar MAC)
– Las entradas pueden ser específicas del interface wireless o
globales para el dispositivo (todas las interfaces)
El comportamiento viene marcado por los siguientes
campos del interface Wireless:
Default Authenticate habilitado:
‐ Como AP: permitirá conectar clientes aunque no
estén en la Access List
‐ Como Cliente: Se conectará al punto de acceso
aunque no esté en la Connection List
Default Forward habilitado:
Permite a los clientes conectados al AP comunicarse
entre sí, excepto cuando la Access List no lo permita
Lista de Acceso
¿La MAC está en Access List?
– SÍ: se llevan acabo acciones indicadas en Access List independiente
de “Default Authenticate”
• ¿Tiene parámetros de seguridad específicos?
– SÍ: Aplican parámetros de seguridad de Access List
– NO: Aplica Security Profile
– NO: ¿está habilitado “Default Authenticate”?
• SÍ: Aplica Security Profile
• NO: No conecta
Lista de Conexiones
¿La MAC está en Connect List?
– SÍ: se llevan acabo acciones indicadas en Connect List
independiente de “Default Authenticate”
• Aplica Security Profile de Connect List
– NO: ¿está habilitado “Default Authenticate”?
• SÍ: Aplica Security Profile
• NO: No conecta
Lista de Acceso
Menú Wireless
Se dan de alta las
direcciones MAC a las
que se les permitirá el
acceso al AP(modo AP)
Recomendación: no
Authentication: aceptar clientes con
no ‐ Client association will always fail. bajo nivel de señal
yes ‐ Use authentication procedure
that is specified in the security‐
profile of the interface.
Lista de Acceso
forwarding
no – los clientes no pueden conectarse
con otros clientes en el mismo punto de
acceso
yes ‐ los clientes pueden conectarse con
otros clientes en el mismo punto de
acceso
Es posible especificar una clave de

autenticación (PSK) distinta para cada
cliente:
‐ Si Security Profile WEP: Private key
‐ Si Security Profile WPA/WPA2: Private
Pre Shared key
Las opciones de seguridad especificadas en
Access List / Connect List predominan sobre las
Raúl Llinares / David Vaello ‐ v8.0 especificadas en Security Profile 94
Lista de Acceso
Permite añadir la condición
temporal (días de la
semana y horas) a la
entrada de la Access List
Lista de Acceso
Añadir en Access List la
limitación de la tasa de
transmisión:
‐ Desde AP a Cliente
‐ Desde cliente a AP (siempre
que sea Mikrotik)
Lista de Conexiones
Menú Wireless
Se dan de alta las
direcciones MAC de los
AP a los que se podrá
conectar (modo cliente)
Laboratorio
10.10.10.100
Internet
wlan2
5 Ghz. wlan2:modo station bridge
bridge entre wlan2 y wlan1
wlan1: modo ap bridge
wlan1
2,4 Ghz.
10.10.10.X/24 10.10.10.X/24
Laboratorio. Modo Punto de Acceso
• Configurar interface wireless wlan1 en modo ap bridge:

– 802.11n en 2.4 GHz con canal de 20 MHz
– SSID: MK‐XX
– Canal: auto
– Potencia transmitida: 3dBm (tx power, all rates fixed)
– Seguridad WPA2, perfil “MTCNA”: password “MK‐XXMTCNA”
• Conectar el portátil y el móvil por Wireless y comprobar
conectividad a Internet de ambos dispositivos
Laboratorio. Filtrado MAC y AP Isolation
• Connect List:
– añadir AP Trainer en interfaz wlan2, deshabilitar Default
Authenticate
• Access List:
– Añadir portátil y móvil, deshabilitar Default Authenticate, Default
Forward
– Comprobar que no hay conectividad entre los dispositivos
– Habilitar conectividad entre ellos
– Crear una clave WPA2‐PSK DISTINTA para cada uno de los
dispositivos
– Configurar que no pueda conectarse el móvil

Laboratorio. Filtrado MAC y AP isolation
• ¿Que ocurriría si todos los grupos emitieran el mismo SSID
con la misma seguridad? ¿Se balancean los clientes
automáticamente?
• Supóngase que los puntos de acceso de clase deben dar
servicio en un evento para 300 personas. El horario del
evento será de lunes a miércoles de 10:00 a 14:00 y de
16:00 a 18:00
– Cambiar el SSID por: “EventoUPV”
– Security‐profile: none
• Ajustar access‐list
WPS
• WiFi Protected Setup (WPS) es una funcionalidad que permite
acceso a la red wireless sin contraseña
• RouterOS soporta:
– WPS accept (para AP)
– WPS client (para station)
– Es posible deshabilitar WPS
• Pulsando el botón WPS se facilita el acceso:
– 2 minutos de margen
– hasta que una estación conecta
• Se debe pulsar WPS para cada nuevo cliente

WPS
• Todos los RouterOS tiene un botón
WPS virtual (Wireless‐cm2)
• Algunos tienen botón WPS físico
• El cliente WPS está soportado por casi

todos los SO incluyendo RouterOS
• RouterOS no soporta el modo

“insecure PIN”
3. Wireless
• 3. Diseño de Redes Wireless

MTCNA (Mikrotik Certified Network Associate) 3. Diseño de Redes Wireless
Diagramas de Radiación
• Las antenas radian la señal electromágnetica siguiendo un
diagrama o patrón de radiación determinado
• Se trabaja en dos planos: azimuth y elevación
Raúl Llinares / David Vaello ‐ v8.0
azimuth elevación 105
3. Diseño de Redes Wireless
Antena Ideal
• Isotrópica: Es una antena ideal que radia por igual en
todas las direcciones (360º).Tiene ganancia cero (G=0 dB)
• Sirve como referencia para la ganancia del resto de
antenas (antenas reales)

Tipos de antena. Interiores
• Omnidireccional: implementación mediante dipolos.
Ganancia típica: 2.14 dB
Tipos de antena. Interiores
• Antena sectorial: antena direccional para concentrar la
cobertura (típicamente 6 dBi)

Tipos de antena. Exteriores
• Direccional:
– Implementada habitualmente en antenas parabólicas.
– Ganancias típicas desde: 19 dBi a unos 34 dBi
A mayor ganancia, más estrecho 3. Diseño de Redes Wireless
será el haz horizontal y vertical
Paábola de 30 dBi
Paábola de 34 dBi

Existen
antenas con
“Null Fill”
Celdas
• Diseño de celdas
– En 2,4Ghz (802.11
b/g/n) sólo
disponemos de 3
canales simultáneos
sin solape (1, 6, 11)
– Se deben distribuir
de forma que no
haya solapes

Celdas
• Solapes(Roaming)
Datos Voz
Celdas
• Dos escenarios típicos:
– Baja densidad de APs:
• Celdas con mayores áreas de cobertura
• Entornos con pocos usuarios
• Antenas con diagramas de radiación de mayor apertura (típicamente
360º)
• Utilización de celdas con canales: 1,6,11
– Alta densidad de APs:
• Celdas con menores áreas de cobertura (reducción de potencia)
• Entornos con muchos usuarios
• Antenas con diagramas de radiación de menor apertura
• Utilización de celdas con canales: 1,5,9,13

Celdas
Celdas en Interiores

Celdas en Exteriores

MTCNA - CFP UPV - Módulo 3 - Redes Wireless

Cargado por

Copyright:

Formatos disponibles

MTCNA - CFP UPV - Módulo 3 - Redes Wireless

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MTCNA - CFP UPV - Módulo 3 - Redes Wireless

Cargado por

Copyright:

Formatos disponibles

MikroTik MTCNA (MikroTik Certified Network Associate)

802.11b 802.11g 802.11n

Ancho de Canal 20 MHz 20 MHz 20/40 MHz

Tecnología SISO SISO MIMO

Intervalo de Guarda (GI) long (800 ns) long (800 ns) long (800 ns) / short (400 ns)

Modulación Espectro Ensanchado Hasta 64 QAM Hasta 64 QAM

SSID (Basic Service Set Identifier) ¿Cuáles configura el usuario?

Si se desea enrutar la red creada con el ap bridge, la

Une dos redes LAN (a nivel 2 ‐ transparente o a nivel 3 ‐ enrutado)

• En los AP wireless (modo ap bridge o modo bridge):

• En los AP wireless (modo ap bridge o modo bridge):

wlan1:modo ap bridge 10.10.10.100

MAC MKT_AP MAC ST MAC Z

Raúl Llinares / David Vaello ‐ v9.0 Modo AP bridge 26

MAC ST MAC MKT_AP MAC Z

Raúl Llinares / David Vaello ‐ v9.0 Modo AP bridge 27

MAC A MAC B MAC C MAC D

MAC A MAC B MAC C MAC D

wlan2:modo station bridge ether5

• Nivel de señal recibido (PR = PAP + GAP – L + GR)

Potencia TRX: 5 dBm PR = PAP + GAP ≤ PIRENORMATIVA

Se utiliza all rates fixed para ajustar PTP, es recomendable

• El nivel de señal o potencia recibida (PR = PAP + GAP – L + GR) sufre

• RSSI (Received Signal Strength Indicator):

Tx/Rx Signal = Señal recibida por el

MCS – Modulation Coding Scheme

• El Trainer fijará el MCS y se comprobará que el registro se

– Integridad: Cipher Block Chaining Message Authentication Code

– disabled ‐ Deshabilitado (default)

• Tanto en Access List como en Connect List:

Es posible especificar una clave de

• Configurar interface wireless wlan1 en modo ap bridge:

Raúl Llinares / David Vaello ‐ v8.0 100

Raúl Llinares / David Vaello ‐ v8.0 101

Raúl Llinares / David Vaello ‐ v8.0 102

• Algunos tienen botón WPS físico

• El cliente WPS está soportado por casi

• RouterOS no soporta el modo

Raúl Llinares / David Vaello ‐ v8.0 103

Raúl Llinares / David Vaello ‐ v8.0 104

Raúl Llinares / David Vaello ‐ v8.0 106

Raúl Llinares / David Vaello ‐ v8.0 107

Raúl Llinares / David Vaello ‐ v8.0 108

Raúl Llinares / David Vaello ‐ v8.0 109

Raúl Llinares / David Vaello ‐ v8.0 110

Raúl Llinares / David Vaello ‐ v8.0 111

Raúl Llinares / David Vaello ‐ v8.0 112

Raúl Llinares / David Vaello ‐ v8.0 113

Raúl Llinares / David Vaello ‐ v8.0 114

Raúl Llinares / David Vaello ‐ v8.0 115

Raúl Llinares / David Vaello ‐ v8.0 116

Raúl Llinares / David Vaello ‐ v8.0 117

También podría gustarte