Wi-Fi explicado – Parte 2

Capítulo 2 – Conceptos lógicos en Wi-Fi

En el capítulo anterior hablamos sobre los aspectos físicos de la comunicación Wi-Fi. En este capítulo presentamos algunos conceptos lógicos, algunos de los mensajes que son enviados y los eventos siguientes, para explicar cómo se produce realmente la conectividad en Wi-Fi.

Este capítulo cubre la terminología necesaria para los próximos capítulos, por lo que he intentado mantenerlo resumido y enfocado en lo que es necesario para entender.

SSID

Un SSID es sólo el término técnico para el “Nombre de red” que ves cuando buscas redes disponibles.

BSS

Un BSS es un subconjunto de SSIDs (p.e. puede haber uno o más BSS en un SSID). Cuando hay múltiples BSSs. pueden ser diferentes interfaces de radio del mismo punto de acceso o una interfaz de radio de otro punto de acceso.

Por ejemplo, un punto de acceso de doble banda que provee una red llamada “SerInformatica” normalmente tendrá dos BSSs: uno para 5GHz y otro para 2.4GHz. Ambos BSSs actúan cómo un punto de acceso para la red “SerInformatica”, pero resulta que son ofrecidos por diferentes chips del mismo dispositivo.

En cambio, si tienes más de un SSID en el mismo dispositivo, eso también equivale a BSS diferentes. Por ejemplo, puedes tener tu red hogareña “SerInformatica”, pero también la red “Invitados” configurada. Entonces, además de uno o más BSS que sirven a la red “SerInformatica”, también habrá al menos un BSS que sirve a la red “Invitados”.

Probes

Cuando enciendes un dispositivo Wi-Fi, este intenta conectarse a una red disponible y recordada, ¿cómo sabe qué redes están disponibles? Envía mensajes “probe request”, que son mensajes especiales de control que consultan sobre otros dispositivos (normalmente la estación consulta al AP pero no necesariamente). En respuesta, el punto de acceso provee información sobre su nombre (SSID), sus capacidades y otra información relevante (que el proveedor puede ampliar a cualquier cosa).

Los “probe requests” pueden ser enviados como broadcast (difusión) o unicast (unidifusión), con un nombre de red específico o sin él. En un escaneo típico, la estación envía “probes” cómo broadcast sin especificar los nombres de red. La respuesta le dirá a la estación cuáles redes están disponibles y podrá decidir cuál de ellas es la mejor de acuerdo a sus capacidades y la intensidad de la señal con la que se recibe la respuesta del “probe”.

Es de notar que cada AP/BSS potencialmente trabaja en un canal diferente, por lo que una estación necesita enviar la petición en un canal que llegue al BSS correspondiente y luego, se mantiene a la escucha en el mismo canal para recibir una respuesta., pero cuando una estación realiza un escaneo, aún no conoce el canal. Para alcanzar esto, la estación tiene que enviar “probes” en todos los canales que soporta, haciendo una pausa en cada canal para esperar la respuesta. Esto puede llevar tiempo, dependiendo del número de canales soportados.

Por lo tanto, ejecutar un escaneo completo es perjudicial para la estación que actualmente está conectada a un BSS, ya que durante el escaneo, el dispositivo no está escuchando el canal al que está conectado.

Asociación y autenticación

Una vez que la estación conoce a cual BSS se quiere conectar, comienza el proceso de asociación en el cual debe autenticarse para, finalmente ser aceptada en la red.

La autenticación en Wi-Fi tiene muchas opciones, “abierta” significa que no hay autenticación y por lo tanto, no hay encriptación. Cualquier estación inalámbrica puede conectarse y enviar información y cualquier persona con herramientas básicas puede escuchar cualquier comunicación en la red. Este modo de seguridad normalmente es usado solamente en “hotspots”, donde normalmente tienes que realizar otro tipo de autenticación luego de que estés conectado a la red. Otro método diferente a este (red abierta y hotspot) no se recomienda en redes Wi-Fi abiertas.

El modelo de seguridad WEP es también conocido por ser débil desde el día uno. WEP puede prevenir que alguien se conecte a nuestra red por error, pero alguien que realmente quiere ingresar a la red no tendrá problemas en hacerlo. En resumen, no uses WEP.

WPA2 es la mejor práctica actual para la seguridad Wi-Fi en un ambiente hogareño.

WPS

Una de las cosas más molestas del Wi-Fi es cuando tienes que colocar la contraseña y no la recuerdas o la contraseña es compleja y tienes que tipear con el control remoto de tu smart TV.

WPS es una solución definida por Wi-Fi Alliance, que apunta a solventar este problema, permitiendo presionar un botón físico para evitar la seguridad por un tiempo limitado y así, conectar el dispositivo en la red sin conocer la contraseña o sin siquiera conocer el SSID.

La suposición es que si te encuentras físicamente cerca del emisor puedes hacer lo que desees, inclusive conectar un cable, entonces ¿por qué no dejar entrar tu estación?

WPS está soportado en Android, pero tienes que buscarlo en lo profundo del menú avanzado, lo que le gana al propósito. En Windows, sin embargo, es bastante natural. Windows te va a mostrar cuando una red soporte WPS y te va a decir que presiones el botón en el AP. Una vez que lo hagas, no deberás tipear la contraseña.

WPS es especialmente bueno para “dispositivos sin cabeza” o sin interfaz de usuario, donde no puedes escribir la contraseña. Usando WPS, un simple botón es todo lo que necesitas.

Uno de los principales problemas de WPS es que iOS no lo soporta, por lo que ningún punto de acceso puede depender únicamente de WPS.

Otro problema con WPS es que solamente una sesión puede suceder en un momento dado en la misma ubicación, porque no proporciona ninguna información a la red más que la hora y el lugar en que se presiona el botón. En consecuencia, si tu vecino realiza una conexión WPS al mismo tiempo que tú, el proceso va a fallar para los dos (mejor que conectarse a los APs incorrectos). Este tipo de eventos es raro en condiciones normales, pero que pasaría si algo no funciona bien y un dispositivo inalámbrico en mi hogar sigue enviando tramas que se parecen a WPS (estoy diciendo “que pasaría si”, pero esto ha sucedido realmente…)? Eso me impedirá realizar WPS. Si tengo un dispositivo sin interfaz de usuario donde esta es la única forma de conectarlo, entonces estaré completamente atascado sin poder avanzar.

Direcciones MAC

Al igual que en Ethernet (LAN cableada), cada dispositivo en una red inalámbrica tiene una única dirección que identifica físicamente el dispositivo, esta es una dirección MAC (Media Access Control). La dirección MAC tiene 48 bits de largo y es tiene el largo suficiente para proveer de una única dirección a cada dispositivo (apenas 281,474,976,710,656 direcciones MAC posibles)

Este es un ejemplo de una dirección MAC: 00-14-22-01-AF-D5.

En Wi-Fi, cada estación tiene una MAC y también cada BSS tiene un identificador BSS (BSSID) que en esencia es una dirección MAC. De esta manera una estación puede enviar información a/a través un BSS específico y vice-versa.

MAC ACL

ACL significa Lista de Control de Acceso. Es un término del dominio de la administración de redes y seguridad. Las ACLs se utilizan para definir entidades para las que se pueden establecer políticas. Por ejemplo, en un cortafuegos, una ACL puede armarse a partir de una dirección IP y puertos y eventualmente hay una regla que usa esa ACL para decidir si esa IP y puertos son permitidos o denegados.

En redes inalámbricas, incluyendo las de tu hogar, normalmente hay un concepto lista de control de acceso basado en direcciones MAC. Puedes definir una lista de direcciones MAC y luego definir una política para estas direcciones, tales cómo permitir o denegar el acceso a la red (o en un BSS específico). Esta es la forma más básica de administración y seguridad, para controlar cuál estación se permite conectar a tal BSS.

Resumen

En este capítulo hemos aprendido como una estación encuentra una red Wi-Fi y como se conecta a ella. Necesitaremos esto para entender cuando hablemos sobre redes con múltiples puntos de acceso.

Si piensas que este capítulo fue aburrido, no te culpo, dado que contiene terminología necesaria para los próximos capítulos.

En el próximo capítulo comenzaremos realmente a entender Wi-Fi, ¡lo prometo!