Alfonso Castro

Profesional de la Seguridad
Fortinet NSE 4, NSE 5 y NSE 7

TEGRA
D
RELES

re Access

0
Contenido
1. Redes Wireless............................................................................................................................4
1.1. Modos de despliegue de acceso seguro..............................................................................4
1.2. Puntos de acceso WiFi.........................................................................................................4
1.3. Wireless Integrado................................................................................................................5
1.4. Despliegue Acceso Seguro...................................................................................................5
2. Manejando FortiAPs....................................................................................................................6
2.1. Habilitar y Configurar el Controlador Wireless......................................................................6
2.2. Métodos de Descubrimiento de AP......................................................................................7
2.3. CAPWAP...............................................................................................................................8
2.4. Habilitando CAPWAP............................................................................................................8
2.5. Autorizar APs........................................................................................................................9
2.6. Pre-autorizando APs...........................................................................................................10
2.7. Aprovisionamiento de APs..................................................................................................11
2.8. Perfil de AP.........................................................................................................................11
2.9. Límite de Clientes...............................................................................................................13
2.10. Balanceo de carga AP HandOff......................................................................................13
2.11. Balanceo de carga Frecuencia HandOff.........................................................................14
2.12. Fragmentación de Paquetes en Túneles CAPWAP........................................................14
3. SSIDs.........................................................................................................................................15
3.1. Modos de tráfico SSID........................................................................................................15
3.1.1. Modo Túnel...................................................................................................................15
3.1.2. Modo Bridge.................................................................................................................16
3.1.3. Modo Mesh...................................................................................................................18
3.1.4. SSID Modos de Seguridad...........................................................................................20
3.2. Ajustes Wireless..................................................................................................................21
3.3. WPA2 Personal...................................................................................................................21
3.4. Múltiples PSKs (MPSK)......................................................................................................22
3.5. Recomendaciones Passphrase PSK..................................................................................22
3.6. WPA2 Enterprise.................................................................................................................23
3.7. WPA3..................................................................................................................................23
3.7.1. ¿Cómo es WPA3 de diferente?....................................................................................24
3.8. Portal Cautivo......................................................................................................................24
3.9. Aplicando SSID...................................................................................................................24
3.10. VLANs dinámicas - Enterprise RADIUS Authentication..................................................25
3.11. VLANs dinámicas - MAC RADIUS Authentication..........................................................26
3.11.1. IoT – Segregación de dispositivos............................................................................27
3.12. VLAN Pooling - Grupo de FortiAP...................................................................................27
1
 3.13. VLAN Pooling - Balanceo de Carga................................................................................28
3.14. Reemplazando los Certificados Wi-Fi.............................................................................29
4. Acceso de invitados...................................................................................................................30
4.1. SSID invitados.....................................................................................................................31
4.2. Portal Cautivo......................................................................................................................31
4.2.1. Tipos de Portal Cautivo................................................................................................31
4.2.2. Tipos de autenticación.................................................................................................32
4.2.3. Excepciones Destinos/Servicios..................................................................................32
4.2.4. Método Excepciones vía Política de Firewall...............................................................33
4.2.5. Política de Firewall.......................................................................................................33
4.2.6. Workflow Portal Cautivo Externo..................................................................................34
4.2.7. HTTPS POST...............................................................................................................35
4.2.8. Certificado de Autenticación.........................................................................................35
4.2.9. Parámetros POST........................................................................................................35
5. Portal de invitados - FortiAuthenticator.....................................................................................36
5.1. Grupo de invitados..............................................................................................................36
5.2. Definiendo Portales de Invitados........................................................................................37
5.3. Servicios Pre-Login.............................................................................................................38
5.4. Servicios Post-Login...........................................................................................................39
5.5. Reglas de asignación..........................................................................................................39
5.6. Cliente RADIUS..................................................................................................................40
5.7. Cuenta de Sponsor.............................................................................................................40
5.8. Cuentas de Invitado............................................................................................................41
5.9. Workflow del Portal de Invitados.........................................................................................41
5.10. Monitorizar Usuarios Invitados........................................................................................42
6. Cuarentena de clientes Wireless...............................................................................................43
6.1. Respuesta automatizada....................................................................................................43
6.2. Security Fabric Automatización de la Cuarentena..............................................................44
6.3. Security Fabric Automatización Stitch/Reparación.............................................................45
6.4. Cuarentena Integrada Wireless..........................................................................................46
6.5. Cuarentena Manual de un Cliente......................................................................................48
7. WIDS - Gestión de AP Malicioso...............................................................................................49
7.1. Amenazas Wireless............................................................................................................49
7.2. Wireless Intrusion Detection System (WIDS).....................................................................49
7.3. Detección de AP malicioso.................................................................................................50
7.4. Background Scanning.........................................................................................................51
7.5. Monitor dedicado.................................................................................................................51
7.6. Detección de AP malicioso en cable...................................................................................52
2
 7.7. Supresión de APs maliciosos.............................................................................................52
7.8. Monitor de APs maliciosos..................................................................................................53
7.9. Suplantación de SSIDs.......................................................................................................54
7.10. Monitor y Logs suplantación de SSID.............................................................................55
8. Monitorizando las redes WiFi....................................................................................................55
8.1. Medidas importantes...........................................................................................................56
8.2. Ruido de canal - Salud wireless..........................................................................................56
8.3. Fuerza de la señal - Salud wireless....................................................................................56
8.4. Tasa de línea - Salud wireless............................................................................................57
8.5. Utilización del canal - Capacidad wireless..........................................................................58
8.6. Contador clientes asociados - Capacidad wireless............................................................58
8.7. Monitor de Salud Wi-Fi........................................................................................................59
8.8. FortiAPs gestionados..........................................................................................................59
8.9. Mapas WiFi.........................................................................................................................60
8.10. Eventos WiFi....................................................................................................................60
8.11. Monitor de cliente WiFi....................................................................................................61
8.12. CLI del Controlador..........................................................................................................61
8.13. Comandos CLI del AP.....................................................................................................62
8.14. Monitorizar Regularmente es esencial............................................................................64
9. Troubleshooting.........................................................................................................................65
9.1. Ajustes de canales..............................................................................................................65
9.2. VPN Probe Tool..................................................................................................................67
10. Wireless Best Practices..........................................................................................................69
10.1. Broadcast SSID excesivo................................................................................................69
10.2. Umbral de Sonda Respuesta...........................................................................................70
10.3. Conversión Multicast a Unicast.......................................................................................71
10.4. Deshabilitar velocidades 802.11b....................................................................................72
10.5. Deshabilitar Velocidades/Rates bajas de datos..............................................................72

3
1. Redes Wireless
1.1. Modos de despliegue de acceso seguro
Fortinet ofrece múltiples soluciones de despliegue para Wireless segura. Las soluciones de
controlador constan de los FortiWireless Controllers (FortiWLCs).

 FortiWLC se usa solo como controlador wireless dedicado para series de APs universales.
 La solución integrada usa el controlador wireless integrado FortiOS, que está disponible
en todos los dispositivos FortiGate, incluyendo VMs.
 Los dispositivos Fortinet también pueden manejar FortiAPs usando las características de
gestión FortiCloud. En este modo de despliegue, usas el servicio basado en la nube de
Fortinet para la gestión y configuración.

1.2. Puntos de acceso WiFi

Es importante destacar que no todos los modelos de FortiAP soportan todos los modos de
despliegue wireless.
Cuando elijas un FortiAP, asegúrate de que seleccionas el modelo adecuado para tu despliegue y
red.
 FortiAP-U (Universal): estos modelos trabajan con todos los modos de despliegue,
incluyendo FortiWLC. Ofrecen la flexibilidad de conectar automáticamente y manualmente
a todas las plataformas de gestión wireless de Fortinet.
 FortiAP-C (Connectivity): estas series soportan dos tipos de despliegue: integrado
FortiGate y FortiCloud. Ofrecen aprovisionamiento zero-touch para los sitios remotos que
requieren una conectividad básica wireless.
 FortiAP-S (Smart): esta serie es una familia de APs de una o dos radios 802.11ac,
diseñados para despliegues en pequeños o medianos negocios (SMBs) y sedes
distribuidas. Contiene funciones de seguridad avanzada embebidas en el hardware del AP.
Equipados con memoria extra y el doble de procesamiento que los típicos APs ligeros.
Pueden realizar procesamiento de seguridad en tiempo real en el borde de la red, no en la
nube o en la red corporativa.

4
 1.3. Wireless Integrado
La solución Wireless Integrada de Fortinet ofrece un único panel para la gestión de la seguridad y
el acceso.
La solución Wireless Integrada incluye a FortiGate como plataforma de seguridad, FortiAP como
puntos de acceso y gestión centralizada. FortiGate consolida el control WLAN, firewall, VPN
Gateway, IPS, DLP, protección de malware, filtrado web, control de aplicaciones y control del
endpoint en un único dispositivo.

1.4. Despliegue Acceso Seguro

La solución de Fortinet Secure Access incluye APs, Switches, Firewall y FortiAuthenticator.

Los FortiAPs están conectados a un FortiSwitch PoE, que se conecta al firewall FortiGate,
usando la conexión FortiLink, que integra efectivamente toda la gestión de switch y las funciones
de configuración en la interfaz de gestión de FortiGate.
El flujo del tráfico es directo. El tráfico de gestión del AP va directamente a FortiGate. La ruta de
acceso del usuario o dispositivo va al switch y entonces a FGT. El tráfico de usuario es
monitorizado y asegurado en el AP, enviado a través del switch, hacia el firewall y sale a internet
u otro destino.

5
Los tipos de tráfico y su propósito son:
 Management: HTTP, SSH, etc, se usa cuando administramos directamente el AP.
 Control: control CAPWAP, lo usa el controlador para configurar, gestionar y actualizar el
AP.
 Data: Es el tráfico que están enviando los clientes wifi al resto de la red.

2. Manejando FortiAPs
Veamos como aprovisionar y gestionar FortiAPs usando el Controlador Wireless Integrado en
FortiGate.

2.1. Habilitar y Configurar el Controlador Wireless

Antes de comenzar a instalar y configurar APs, es posible que necesites realizar alguna
configuración previa. Por defecto, algunos dispositivos FGT no muestran la opción del controlador
Wi-Fi en el menú. Si no ves la opción en el menú principal, puedes habilitarlo usando la opción de
visibilidad del sistema en el menú System.
Si tienes planeado utilizar redes wireless abiertas (redes sin ningún tipo de cifrado o
autenticación), necesitarás habilitar también la opción Wireless Open Security, bajo Additional
Features.

Cuando configuras los ajustes de radio del AP, es importante conocer el dominio regulatorio en el
que estás operando.
Por defecto, el controlador wireless usa las regulaciones de Norte Americana que gobiernan el
uso de canales y las potencias de transmisión. Si estas operando APs en otra parte del mundo,
necesitas cambiar la evaluación de control, antes de crear cualquier perfil de AP o añadir
cualquier AP.
Puedes configurar el domino regulatorio mediante la CLI, usando el comando set country
seguido del código de país.
Si no estás seguro del código de país, puedes usar ? para ver la lista completa de códigos de
país.

6
config wireless-controller setting
set country ?
end

2.2. Métodos de Descubrimiento de AP

Antes de que un AP sea gestionado por FGT, el AP y el controlador se tienen que descubrir. El
proceso lo inicia el AP durante el arranque. El AP usará múltiples métodos para determinar la
dirección IP del controlador local y conectarse, o en el caso de la nube, el cloud-based host.
Por defecto, el método de descubrimiento es auto, lo que significa que el AP circulará
cíclicamente a través de los siguientes métodos de descubrimiento, en el orden indicado:

Para cada tipo de descubrimiento, FortiAP envía las solicitudes de descubrimiento y puedes
ajustar el timeout entre 2 y 180 segundos, por defecto es 5 segundos.
Si el AP alcanza el timeout y falla al conectar con el controlador, pasará al siguiente método de
descubrimiento y repetirá el proceso hasta que el último método de descubrimiento falle; en ese
caso el AP pasa al estado SULKING/ENFURRUÑADO.
Después de aprox. 30 segundos, FortiAP entrará en el estado AC_IP_DISCVER. Después de que
encuentre la AC IP, entrará en el estado IDLE, y eventualmente entrará en el estado
DISCOVERY y entonces repetirá el proceso.

Cuando el AP no está desplegado en la misma subred que el controlador wireless, y no puede ser
alcanzado por los métodos multicast o broadcast, puedes configurar la IP estática o DNS
hostname del controlador, desde la GUI, CLI o el puerto serial del FortiAP.
Debes hacer este cambio manualmente en los APs antes de desplegarlos.

Por defecto, FortiAP usa la opción DHCP 138 para recibir la dirección IP del controlador .
Necesitas convertir la dirección IP del controlador a hexadecimal. Convierte cada octeto por
separado, de izquierda a derecha y concaténalos.
Por ejemplo, 192.168.0.1 se convierte en C0A80001. Si usas la opción DHCP 138 para otro
propósito en tu red, puedes cambiar el nº de opción de los APs.

7
El AP envía solicitudes de descubrimiento multicast y el controlador responde con un mensaje
unicast al AP. El AP y el controlador no necesitan estar en el mismo dominio de broadcast, si el
routing multicast está bien configurado. La dirección multicast de destino es 224.0.1.140.
Puedes cambiarla usando la CLI, pero debes hacerlo tanto en el controlador, como en el AP.

2.3. CAPWAP
Control and Provisioning of Wireless Access Points (CAPWAP).
CAPWAP permite al controlador administrar un parque de APs y gestionar la configuración del
dispositivo o empujarle una actualización de firmware.
Usa el puerto UDP 5246 como canal de control y el 5247 como canal de datos.

Los dispositivos con CAPWAP habilitado, pueden crear un canal de datos seguro al controlador
usando cifrado DTLS o IPSec.
Habitualmente si los APs están localizados en la LAN, no solemos cifrar los datos (aunque es
aconsejable hacerlo siempre ); pero si el AP se encuentra conectado remotamente por una
línea WAN, el cifrado de los datos es muy recomendable.
Habilitar el cifrado puede impactar en el rendimiento, particularmente cuando usamos DTLS que
requiere cifrado/descifrado en la CPU y no se puede descargar al hardware. El uso de IPSec
beneficiará el rendimiento de tu FGT, porque puede descargar CAPWAP al hardware (Network
Processor), mejorando el rendimiento.
CAPWAP debe habilitarse en la interfaz en la que los FortiAPs se conectarán.
El proceso de descubrimiento CAPWAP es:
1. FortiAP envía una solicitud de descubrimiento, FortiGate responde con una respuesta de
descubrimiento.
2. Ambos establecen una sesión segura DTLS.
3. Después de que FGT autoriza el FortiAP, tiene lugar la fase del descubrimiento CAPWAP y
la unión.
4. A continuación, se establece el túnel CAPWAP, FGT envía toda la gestión requerida y
configuración relativa de WLAN al FortiAP.

2.4. Habilitando CAPWAP

En FGT eliges una interfaz donde conectarás los APs. Debes habilitar el acceso CAPWAP en
cualquier interfaz que conectará con los APs, incluso si intervienen switches o líneas ruteadas.
Si es necesario, habilita el servidor DHCP para permitir que FGT asigne direcciones IP a los
FortiAPs. Desde la CLI, puedes controlar que solo asigne IPs a los FortiAPs mediante la
coincidencia de la cadena VCI (Vendor Class Identifier), con los siguientes comandos:
config system dhcp server
8
 set vci-match enable
set vci-string “FortiAP”
end
También es posible usar otros servidores DHCP, pero estos servidores deben configurarse para
pasar opciones DHCP, cuando se necesite.
Esto evitará que tengas que configurar manualmente la dirección IP de cada AP.

2.5. Autorizar APs

Después de haber habilitado CAPWAP, el AP comenzará a tratar de descubrir al controlador.
Para ver el nuevo AP en tu controlador, ve a Wi-Fi and Switch Controller > Managed FortiAPs.
Si el nuevo AP añadido no es visible, haz clic en Refresh.
Después de que FGT descubre el FortiAP, lo debes autorizar para establecer el túnel CAPWAP .
Esto le indica al controlador, que ahora es responsable de la gestión del AP.
Cuando autorizas al FortiAP, usa un perfil por defecto de FortiAP que está determinado por el
modelo de AP y aplica la configuración del perfil de AP, en base al hardware.
Una vez que el túnel CAPWAP se establece entre los dos dispositivos, verás una marca verde
junto al AP (Online). Esto indica que el FortiAP puede comunicar con FGT y que ha recibido la
configuración inicial.
También puedes autorizar a los APs descubiertos usando la CLI, pero debes autorizar uno a uno:

9
Una vez que el AP es autorizado, puedes realizar varias tareas usando la GUI de FGT. En la
página Managed FortiAPs, puedes:
 Cambiar el estatus de un AP (autorizado a desautorizado)
 Realizar un upgrade de firmware
 Cambiar el perfil asignado al AP
 Reinicia el FortiAP
 Telnet al CLI de FortiAP, para ejecutar comandos directamente al AP

Podrías ver el mensaje “A new Firmware version is avaliable”. Lo que indica que podemos
actualizar el FortiAP. Haz clic con el botón derecho en la unidad FortiAP y selecciona Upgrade
Firmware. FortiOS encontrará automáticamente el firmware apropiado para el AP y lo actualizará.
Esta opción requiere que FortiAP este convenientemente registrado en la web de Fortinet y que
tenga un contrato de soporte válido.

2.6. Pre-autorizando APs

FortiGate te permite que pre-autorices los FortiAPs que añadas a tu red. Debes añadir todos los
FortiAPs manualmente, uno a uno, a FGT usando el número de serie del AP. Después de pre-
autorizar los APs se ponen en línea, son descubiertos y autorizados por FGT automáticamente.
FGT establecerá el túnel CAPWAP y les empujará la configuración, en base al perfil AP
asignado.
10
 2.7. Aprovisionamiento de APs
FGT asigna automáticamente un perfil default de AP cuando es descubierto y autorizado
manualmente.
Una vez que el túnel CAPWAP se establece entre FGT y el AP, FGT usa el control de canal
CAPWAP, para empujar todos los parámetros del perfil AP.
Es posible asignar un perfil de AP diferente al default. Un perfil específico de ajustes de canal o
del AP que quieras desplegar. Puedes asignar el perfil de AP a uno o muchos APs, pero no
puedes asignar múltiples perfiles a un único AP.
Todos los APs que usan el mismo perfil de AP recibirán el mismo conjunto de configuraciones
desde FGT. Para más flexibilidad y granularidad, puedes anular la configuración del perfil de AP y
modificar la configuración en un AP individual usando la GUI o CLI.

2.8. Perfil de AP
Para ver y manejar los perfiles FortiAP ve a Wi-Fi & Switch Controller > FortiAP profiles.
Solo se muestran los perfiles que están en uso. Esto incluye los perfiles por defecto de cualquier
AP o perfiles que fueron creados.
Cuando se asigna un perfil a un AP, ese perfil controla la gestión y ajustes de radio usados en los
ajustes de canal, anchos de canal, niveles de potencia de transmisión y el broadcast de red
wireless (SSID).
Cada tipo de hardware (AP) puede requerir ligeros ajustes de configuración, lo que requiere que
cada tipo de AP tenga su propio perfil para definir el alcance de los ajustes permitidos.
Por defecto, no verás todos los perfiles disponibles, para ver la lista completa de perfiles
soportados por el controlador, haz clic en View All Profiles. Veras los perfiles default de todos
los modelos de AP actualmente soportados.

Nota: Según la versión del firmware de FGT, es posible que no aparezcan todos los modelos de
FortiAP y sea necesario actualizar FGT para que soporte los modelos más recientes.

11
Puedes crear múltiples perfiles, creando nuevos o clonando los existentes. Puedes tener múltiples
perfiles para el mismo tipo de AP y cada uno con configuraciones ligeramente diferentes.
Cuando un AP no necesite usar un perfil, puedes borrarlo. Los perfiles por defecto del sistema no
se pueden borrar.

Los perfiles de AP controlan las opciones de configuración para las radios y los APs.
Como los distintos modelos tienen distintas capacidades, un perfil no puede controlar todos
diferentes modelos de AP. Cada perfil tiene diferentes opciones dependiendo de las capacidades,
tipo y número de radios.
El perfil de AP es donde decides que canales y niveles de potencia usará el AP.
También controlas que redes wireless vas a difundir y en que interfaces wireless.
Por instancia, es posible difundir una sola red en la interfaz de 5 GHz, configurando solo la
interfaz de radio 2.
Cuando esta seleccionado el ajuste Auto, todos los VAPs/SSIDs configurados en modo túnel, se
difunden automáticamente por este perfil, y cualquier otro SSID en modo túnel que creemos
después de crear el perfil de AP, también será difundido.

El ajuste Manual te da un control total sobre que VAPs/SSIDs se difunden.

La opción manual es la única disponible para difundir VAPs/SSIDs en modo puente.
Los cambios en el perfil se aplican inmediatamente.

12
 2.9. Límite de Clientes
Hay tres maneras de limitar el número de clientes que pueden conectarse a una red wireless.
Puedes limitar el número de clientes que pueden conectarse a un SSID, un AP o una radio.
Limitando el número de clientes que pueden asociarse a una radio o un AP, puedes incrementar
el rendimiento y una mayor eficiencia en el balaceo de carga de los clientes wireless.
Hacerlo en el SSID, limita el número de clientes que pueden conectarse, sin importar el AP en el
que se radia. El límite aplica a todos los APs que están difundiendo el SSID. Puedes aplicar el
límite de clientes por SSID desde GUI, o en la CLI en los ajustes config wireless-controller vap.
Limitar el número de clientes que pueden asociarse a un AP o radio, afectará a todos los SSIDs
que está difundiendo el AP.
Ten en cuenta que algunos APs tienen más radios que otros y pueden manejar más tráfico.
Cuando limitamos el número de clientes por AP, ten presente esto y haz los ajustes necesarios.
13
Si un AP tiene más de una radio, debes hacer los cambios en todas las radios. De otra forma, el
AP solo hará cumplir los ajustes en una única radio y como resultado podrías ver más clientes
asociados con un AP. Debes hacer este cambio en el perfil del AP usando la CLI en FGT.

2.10. Balanceo de carga AP HandOff

AP Handoff es un método de balanceo de carga que FGT usa para incrementar el rendimiento
wireless y aprovechar los recursos de los APs más eficientemente.
Si un AP esta sobrecargado y el máximo número de clientes está configurado para un AP o radio,
FGT tira al cliente que tiene la señal más débil e indica al AP más cercano que conecte al cliente.
El valor de umbral RSSI definido en el perfil de AP, se usa cuando el cliente trata de conectar a
un segundo AP. La fuerza de la señal del cliente, debe ser igual o mayor que la definida en el
valor umbral RSSI del AP. La fuerza de la señal se determina en base al valor RSSI, a mayor
valor de RSSI mayor fuerza de señal será necesaria.
Handoff-sta-thresh define el umbral de clientes conectados, para iniciar protocolo handoff para
un nuevo cliente. FortiGate indicará al AP cercano menos ocupado que responda la solicitud de
unión para cualquier nuevo cliente que trate de conectar con el AP sobrecargado, mientras se
mantenga la condición del valor de RSSI configurado.
Puedes usar la función handoff en todas las radios de un AP y cambiar los umbrales RSSI vía
CLI.

2.11. Balanceo de carga Frecuencia HandOff

Frecuency Handoff es una técnica de gobierno de banda que FGT utiliza para alentar a los
clientes a usar 5 GHz en lugar de 2.4 GHz. Los clientes que soportan 5 GHz se benefician de
velocidades mayores y menores interferencias.

14
También beneficia a los clientes que no soportan 5 GHz, porque la reducción de clientes
disminuye la interferencia en 2.4 GHz. FGT prueba continuamente a los clientes para identificar si
pueden operar en la frecuencia de 5 GHz.
FGT mantiene una tabla para hacer un seguimiento de los clientes que soportan ambas
frecuencias, y registra el valor RSSI, junto con la otra información para cada frecuencia.
Cuando los clientes tratan de conectar, FGT comprueba si soporta 5 GHz y si es así, como de
buenas son las señales. Si el cliente soporta 5 GHz y la señal es bastante fuerte para conectar,
FGT ignorará la solicitud de conectarse a la red en 2.4 GHz del cliente, hasta que se acabe el
tiempo de la solicitud. El cliente entonces tratará automáticamente de unirse a la misma red
usando 5 GHz y FGT indicará al AP que responda la solicitud y permita al cliente conectarse.

2.12. Fragmentación de Paquetes en Túneles CAPWAP

Como en cualquier otro protocolo de encapsulamiento o cifrado, la fragmentación puede ocurrir
debido a que la "envoltura" del túnel CAPWAP aumenta el tamaño del paquete IP a transmitir, lo
que puede resultar en fragmentación. La fragmentación ocurre cuando un paquete IP es más
largo que el tamaño de MTU permitido. Puede causar problemas como perdida de datos, latencia,
disminución del rendimiento y en algunos casos inhabilitar la gestión de los FortiAP.
Una de las soluciones a este problema es controlar el tamaño del paquete en el AP gestionado.
Puedes disminuir el tamaño de MTU para los túneles CAPWAP, modificando el tamaño de la
MTU en el túnel de subida y de bajada, en la configuración del perfil de AP en la CLI.
También puedes anular este ajuste para una AP específico, en lugar de modificarlo usando el
perfil de AP.
En el entorno LAN, la fragmentación no se considera un problema debido a la naturaleza de la
infraestructura. Sin embargo, los APs remotos podrían sufrir fragmentación cuando usan
diferentes configuraciones de líneas WAN entre el AP y FGT.

3. SSIDs
Veamos los distintos tipos de SSIDs y las posibilidades que ofrecen.

3.1. Modos de tráfico SSID

Puedes configurar tres tipos de SSIDs en FGT: modo túnel, modo bridge y mesh.
3.1.1. Modo Túnel
Por defecto el modo túnel esta seleccionado cuando creas un SSID en FGT.
En este modo, todo el tráfico dentro de los túneles CAPWAP DTLS o no DTLS, se envía a FGT
antes de que este permitido en la LAN o Internet.
Hay dos principales ventajas usando este modo:

15
  El tráfico está sujeto a las políticas de firewall y el escáner de amenazas de seguridad. El
tráfico debe atravesar la inspección de los perfiles de seguridad y el examen de las
políticas antes de colocarse en la interfaz de salida.
 El tráfico se procesa a nivel de sesión. Esto le da a FGT una completa visibilidad de las
actividades del usuario y dispositivo en la red. FGT puede hacer un seguimiento y registro
de las actividades de usuario y controlar el acceso al nivel de usuario.
Hay dos principales desventajas usando este modo:
 FortiGate debe dimensionarse adecuadamente para gestionar el tráfico.
 Si el controlador cae, la red wireless cae.

3.1.1.1. Split Tunneling

Si split tunneling está habilitado, solo el tráfico con destino la red corporativa, se dirige a FGT.
El tráfico hacia internet se envía sin cifrar al gateway de la red local.
Split tunneling evita cargar a FGT con el tráfico local del usuario y permite acceso directo a las
redes privadas locales en la ubicación del FortiAP, incluso si la conexión con el controlador
cae.
Aplica a los APs gestionados remotamente o por FortiAPCloud.

3.1.1.2. Configurando SSIDs en modo túnel

Después de crear el SSID, no puedes cambiar el modo o nombre de la interfaz.
El SSID en modo túnel, es tratado como una interfaz virtual más en FGT.
Debes configurar la dirección IP, máscara y la apropiada política de firewall, antes de que los
clientes puedan conectarse al túnel SSID y pasar tráfico.
Los clientes que se conecten al SSID tunelizado requerirán de una dirección IP. Puedes
configurar el servidor de DHCP y un alcance/scope o habilitar el relay a un servidor DHCP de
terceros.

16
 3.1.1.3. Configurar Split Tunneling
Puedes habilitar esta opción en el GUI. Split Tunneling se habilita por SSID.
Las reglas de enrutamiento o Split Tunneling ACLs, deben definirse en el perfil de AP o anular
los ajustes en base al AP.
Cuando split-tunneling-acl-path está ajustado en local, define las subredes donde el tráfico
permanecerá local, en lugar de enviarlo por el tunel.
Si está ajustado en tunnel, define las subredes del tráfico que será tunelizado hacia el
controlador.

3.1.2. Modo Bridge

En el modo local bridge, el tráfico wireless es puenteado (interfaz aire-cable) directamente a la
red local LAN a la que el AP está conectado.
Este modo es útil cuando desplegamos APs en localizaciones remotas que conectan al
controlador sobre líneas WAN.
Para asegurarte de que todo el tráfico es analizado en busca de amenazas de seguridad,
deberías desplegar APs de la serie Smart (FortiAP-S). Tiene dos ventajas importantes:
 Las estaciones de trabajo cableadas y wireless pueden estar en la misma subred.
 Un rendimiento potencial de 1 Gbps o más si usas la agregación de enlaces en los APs
que lo soportan.
En contra tiene:
 Los perfiles de seguridad solo están disponibles con FortiAP-S.
 Limitada agrupación de VLAN.

17
 3.1.2.1. Soporte de perfiles de seguridad
Si el modo SSID bridge está configurado para gestionar FortiAP-S (o Smart FortiAP), puedes
añadir un perfil de seguridad al grupo en el controlador.
Esta configuración te permite aplicar las características del perfil de seguridad al tráfico sobre el
SSID bridge.
 Antivirus (incluida la protección antibotnet)
 IPS Prevención de intrusiones
 App Control Control de Aplicaciones
 Filtrado web
Necesitas una suscripción FortiGuard separada por AP y solo se soporta en el modo bridge.
Puedes crear un grupo de perfil de seguridad y aplicarlo a un SSID. No puedes aplicar perfiles
de seguridad individuales a un SSID como con las políticas de firewall.
FortiAP-S obtiene las actualizaciones del perfil desde FortiGuard, mediante la suscripción
FortiGuard que contratas por AP.

18
 3.1.2.2. Modo Bridge - Local Standalone
En el caso de que la conexión al controlador sea inalcanzable, especialmente, cuando FortiAPs
están desplegados remotamente o sobre una red congestionada; la opción Local Standalone
permite que los clientes que ya están asociados con un FortiAP en modo bridge, pueden
continuar con acceso a la red.
Opcionalmente, el dispositivo FortiAP también puede continuar autenticado a usuarios (WPA2 y
WPA3 Personal), si el SSID se encuentra en estas condiciones.
El tráfico y la autenticación es manejado por FortiAP, sin tener en cuenta el estado de la conexión
entre FortiAP y FGT.

3.1.2.3. Configurando SSIDs en modo bridge

Los SSIDs en modo bridge son significativamente más fáciles de configurar porque es un simple
puente del tráfico wireless a la interface Ethernet local.
Las opciones adicionales que ves, controlan que ocurre en la conexión wireless, si el controlador
FGT se encuentra inalcanzable.
Como he indicado antes, existe la posibilidad de que los clientes se conecten y autentiquen
localmente, aunque el AP no pueda comunicar con el controlador.

3.1.3. Modo Mesh

La funcionalidad Mesh proporciona conectividad a través de radio desde un AP hacia su
controlador, evitando la necesidad de utilizar cableado para esto.
Si bien cualquier modelo de FortiAP puede configurarse en modo Mesh, se recomienda utilizar
modelos que integren al menos 2 Radios, tanto en el FortiAP directamente conectado al
FortiGate, como en el que se va a interconectar con este a través de radio.

19
El FortiAP que está directamente conectado a FGT, debe radiar un SSID de tipo Mesh.
El campo Traffic mode debe ser del tipo Mesh Downlink:

En el perfil del AP seleccionar el SSID Mesh en la radio de 5 GHz y no la que trabaja a 2.4
GHz, tal y como se ve en la siguiente imagen:

Tras configurar los datos de red del AP que no está conectado a FGT y que no tiene conexión por
cable, a través de la gestión web del propio AP, ya que no tienes gestión aún desde FGT.
Configura el modo Connectivity en Mesh y se introduce el nombre del SSID Mesh y la password
que previamente has configurado en el FortiAP directamente conectado al FortiGate.

20
Una vez que el nuevo FortiAP termine de arrancar, aparecerá en el GUI del FortiGate, listo para
ser autorizado y gestionado del mismo modo que un FortiAP conectado directamente por cable al
FortiGate:

3.1.4. SSID Modos de Seguridad

El Modo de Seguridad se usa para la autenticación de cliente y cifrado del tráfico entre los
clientes y el AP.
Recuerda, wireless es un medio compartido, de forma que hay más vectores de ataque incluso
que en las conexiones cableadas. El controlador wireless de FortiGate soporta múltiples métodos
de autenticación:
 Nombre de usuario y password (WPA2/WPA3 enterprise o portal cautivo)
 Clave precompartida (WPA2 personal)
 Autenticación Simultanea de Iguales (SAE) usada en WPA3 personal
Alternativamente, si necesitas ofrecer acceso a invitados sin autenticación, puedes usar el portal
cautivo como modo de seguridad y disclaimer only como tipo de portal.
Los Modos de Seguridad soportados son:
 Captive portal – solo autenticación de usuario, no cifrado.
 WPA2 personal
 WPA2 personal con portal cautivo
 WPA2 enterprise – autenticación de usuario basada en RADIUS
 WPA3 SAE – conocida como WPA3 personal
 WPA3 enterprise – autenticación de usuario basada en RADIUS
 WPA3 SAE transition
 Sin autenticación y sin cifrado
 OSEN
21
El modo WPA3 SAE transition, es un paso intermedio temporal que permite soportar ambos
modos de Seguridad: WPA3-SAE y WPA2-PSK (WPA2 personal) en el mismo SSID.
Los antiguos estándares basados en TKIP, ya no se soportan.
Recuerda que la opción de red WiFi abierta, solo estará disponible si la habilitaste en
características de visibilidad.

3.2. Ajustes Wireless

Dependiendo de los ajustes configurados, FGT esconderá o mostrará los ajustes aplicables en la
GUI automáticamente.
Por ejemplo, si seleccionas el modo de seguridad WPA2 personal, FGT no mostrará la opción de
configurar la autenticación.
Esto también aplica a las opciones como Local Authetication, múltiples claves compartidas,
etc; que solo están disponibles para la opción WPA personal.

3.3. WPA2 Personal

La Seguridad WPA2 con clave precompartida (o passphrase) se denomina WPA2 personal o
WPA2 PSK. Esta clave es estática y compartida a todos los clientes que se conectan a este SSID
y utiliza cifrado AES 256 para asegurar los datos al vuelo.
WPA2 y particularmente WPA2 PSK, ha sido el pilar del cifrado wireless durante 10 años,
ofreciendo efectividad, pero no sin limitaciones.
WPA2 personal puede funcionar bien para un entorno personal o un grupo pequeño de gente
estable y de confianza en un pequeño negocio. Pero cuando el número de usuarios se
incrementa, es difícil distribuir nuevas claves seguras y aumenta el riesgo de que la clave caiga
en manos equivocadas. Incluso si esas claves están preinstaladas en los dispositivos, es fácil
obtenerlas, permitiendo a los usuarios entregar la clave a otras personas.
La complejidad de la clave es también un componente crítico de la seguridad PSK. El tráfico
wifi puede capturarse y analizarse fuera de línea. Durante el análisis offline, el tráfico se somete a
un ataque de fuerza bruta y de diccionario, para obtener la clave. La facilidad que tienen los

22
atacantes para obtener la clave, depende de la complejidad y longitud de la misma y también de
la capacidad computacional de los atacantes.
Si la clave fuese comprometida, tendrás que emplear tu tiempo para cambiarla en todos los
dispositivos que la usen.

3.4. Múltiples PSKs - MPSK

Una extensión del estándar original PSK, es la posibilidad de habilitar múltiples PSKs (MPSK)
para la red wireless. Esto permite usar múltiples claves para permitir el acceso a la red.
Los usuarios y dispositivos tienen unas claves únicas. Si un usuario desaparece o se pierde un
dispositivo, simplemente cambias la credencial de ese dispositivo o usuario.

El número de PSKs permitido depende de las especificaciones del FortiGate. Es posible limitar el
número de dispositivos por cliente que usa MPSK (Múltiple PSKs).
MPSK solo está disponible en las redes wireless que permiten la autenticación WPA2-PSK.

3.5. Recomendaciones Passphrase PSK

WPA2-PSK se usa muy a menudo debido a la facilidad de uso, las preshared keys se pueden
distribuir fácilmente a los usuarios wireless. Pero podemos incrementar la seguridad de la red, si
aumentamos la longitud y complejidad de las preshared keys.
WPA3 ha mejorado la Seguridad, pero seguimos sin adoptar la buena práctica de aumentar la
longitud y complejidad de la password.
Debemos tener en cuenta cuando creamos una preshare key o passphrase:
 Longitud - en FortiOS 6.2.1para WPA2 la longitud de la clave tiene que ser almenos de
12 caracteres; pero se recomienda más larga aún.
 Complejidad – usa una mezcla de mayúsculas, minúsculas y números. Algunos
dispositivos IoT no admiten caracteres especiales.
23
  Facilidad de uso – Es más fácil recordar tres palabras familiares aleatorias que una
clave compleja generada aleatoriamente, por ejemplo: Blancocielonieve2# es más fácil
de recordar que zndn8xjol3Rfqñes1d. Ambas frases constan de 18 caracteres y ambas
podría llevar años calcularlas con un enfoque de fuerza bruta. Un ataque de diccionario
podría hacer más insegura potencialmente la primera password, pero aún podría llevar
una cantidad excesiva de tiempo descubrirla. Podrías incrementar rápidamente la
complejidad usando tres o más cadenas de palabras.

3.6. WPA2 Enterprise

WPA2 enterprise es la forma más segura de WPA, pero necesita de infraestructura adicional en
forma de un servidor AAA (Authentication, Autorization, Accounting). Cada usuario tiene sus
propias credenciales de autenticación, verificadas mediante de un servidor de autenticación,
habitualmente RADIUS. Esto permite un control del acceso en base al usuario, a diferencia que
PSK que permite a cualquiera con la clave conectarse.
FortiOS también puede autenticar conexiones WPA2 enterprise mediante una funcionalidad del
grupo de usuario interno, que no necesita un servidor RADIUS externo.
Esto lo hace una excelente alternativa a PSK, aliviando las limitaciones de redes PSK mientras
añade complejidad adicional, sin la necesidad de añadir usuarios a la base de datos interna.
Una desventaja de este enfoque es que muchos dispositivos IoT o de hogar no lo soportan.
Soportar WPA2 enterprise no es obligatorio en ningún estándar wireless.
Los grupos de usuarios FortiGate pueden incluir servidores RADIUS y puedes seleccionar
usuarios por grupos de usuarios RADIUS. Esto lo hace el control de acceso basado en rol
(RBAC).
Como con WPA2-PSK, WPA2 enterprise cifra al vuelo la comunicación usando AES (Advanced
Encryption Standard). Como no hay una clave estática para atacar, es más difícil atacar una red
cifrada WPA2 enterprise.
Pero como han pasado los años y aparecen más vectores de ataque potenciales, debemos
priorizar mudarnos a WPA3.

3.7. WPA3
WPA3 es la primera gran mejora en la seguridad wireless desde WPA2, hace 14 años. WPA3
corrige múltiples vulnerabilidades que afectaban a la version WPA2.
Las características SAE (Simultaneous Authentication of Equals) que incorpora WPA3, están
definidas en el estándar 802.11 de 2016 e inicialmente incluidas como parte de la enmienda
802.11s para redes en malla. También es conocido como Dragonfly Key Exchange.
Con SAE, el cliente y el punto de acceso se autentican probando a la otra parte, que se encuentra
en posesión de una clave. Como resultado del proceso, una clave maestra (PMK) es compartida
entre los dos. La clave no se envía, y el intercambio es tal que un observador que capture los
paquetes utilizados, no puede averiguar ni la clave original, ni la clave maestra generada.
SAE añade más seguridad a las redes con clave compartida (PSK), haciendo más complicados
los ataques de diccionario: la clave PSK no se usa directamente como PMK, sino que se utiliza
para generar la clave PMK.

24
WPA3 también soporta la gestión de la protección, que ahora identifica las tramas que llegan de
los APs. Esto permite a los clientes verificar continuamente la identidad de las tramas que están
usando para conectar y moverse por la red wireless, haciendo más complicado el histórico ataque
man-in-the-middle.
WPA3 es el futuro de la Seguridad wireless, pero como es un nuevo estándar, puede llevar
tiempo que sea adoptado.
Es muy probable que las actualizaciones de clientes puedan requerir actualizar sistemas
operativos, drivers e incluso hardware que podría no soportar WPA3.
Ten en cuenta que no todos los FortiAPs van a soportar WPA3. Mira el datasheet para
asegurarte.
3.7.1. ¿Cómo es WPA3 de diferente?

3.8. Portal Cautivo

El portal cautivo se usa como una página de destino después de que el usuario conecta a la red.
Es usado mayoritariamente para el acceso de invitados y redes que requieren de un “Descargo
de responsabilidad“ o disclaimer.
También puedes autenticar a tus usuarios en la página del portal cautivo pidiendo las
credenciales. Hasta que el usuario este autenticado correctamente, la página del portal es la
respuesta a cualquier petición HTTP.
Después de una autenticación satisfactoria, el usuario accede a la URL solicitada y puede
acceder a otros recursos web, como le permitan las políticas de Seguridad. Opcionalmente, el
portal cautivo en sí mismo puede permitir el acceso web solo a los miembros de un grupo
específico.

3.9. Aplicando SSID

Antes de usar un SSID, debes aplicarlo a un perfil de AP, de forma que ese AP pueda emitir la
información y los clientes puedan conectarse.

25
Si no aplicas el SSID al perfil de AP, se mantiene en la configuración de FGT, pero no lo
empujará a los APs. Los APs deben recibir la configuración de FGT antes de que puedan emitirla.
Como hemos indicado, los perfiles de AP están configurados para que automáticamente ( Auto)
hereden todos los SSIDs configurados en modo túnel y empujarla a los APs.
Sin embargo, tienes que seleccionar Manual para elegir un SSIDs en modo bridge.

3.10. VLANs dinámicas - Enterprise RADIUS Authentication

Tenemos la opción de añadir VLANs dinámicas al SSID en FGT, tanto en modo túnel como
bridge.
Puedes aplicar VLAN dinámicas a los SSIDs WPA2 Enterprise o WPA3 Enterprise y tengan
habilitado RADIUS Server en el campo autenticación.

El servidor RADIUS es responsable de enviar todos los atributos requeridos después de una
autenticación exitosa. El servidor RADIUS debe enviar los siguientes atributos a FGT:
 IETF 64 ajustado a VLAN: Este atributo le dice a FGT que hay información de VLAN
adjunta a la respuesta del RADIUS.
 IETF 65 ajustado a IEEE 802: Este atributo le dice a FGT que el atributo IEEE 802 se
adjunta a la respuesta del RADIUS.
 IETF 81 ajustado a VLAN ID: Este atributo le dice a FGT que asocie al usuario a la interfaz
VLAN ID especificada.

El servidor RADIUS puede entonces pasar de

vuelta los atributos opcionales, como parte de
la respuesta RADIUS accept.
 Fortinet-Group-Name
 Filter-ID
 Tunnel-Type
 Tunnel-Medium-Type
 Tunnel-Pvt-Group-ID

26
 3.11. VLANs dinámicas - MAC RADIUS Authentication
También es posible añadir VLANs dinámicas a redes no-enterprise. Tradicionalmente, las redes
abiertas o PSK no permiten la asignación dinámica de VLANs. Pero, el filtrado MAC usando
RADIUS, ahora hace posible entregar los siguientes atributos al servidor RADIUS, cuando
autenticamos clientes usando su dirección MAC:
 Called Station Identifier
 NAS IP4 Address
 NAS Identifier
 NAS Port Type
Esto permite al servidor RADIUS autenticar un dispositivo usando su dirección MAC y una PSK, lo
que resulta en dos factores de autenticación. El servidor RADIUS puede entonces pasar de vuelta
los siguientes atributos opcionales, como parte de la respuesta RADIUS de autenticación MAC:
 Fortinet-Group-Name
 Filter-ID
 Tunnel-Type
 Tunnel-Medium-Type
 Tunnel-Pvt-Group-ID
Así es posible asignar al cliente a una
VLAN y un atributo Fortinet como el
nombre de grupo para permitir VLANs y
políticas de firewall dinámicas.
VLANs dinámicas no está habilitado por
defecto, debes habilitarlo desde la CLI.

3.11.1. IoT – Segregación de dispositivos

Muchos dispositivos IoT simples no soportan un suplicante WPA2-Enterprise. Muchos soportan la
conexión a redes wireless usando una PSK. Mientras que este nivel de seguridad puede ser
suficiente para un entorno pequeño o de hogar; en entornos enterprise con muchos dispositivos,
usar una única PSK puede ser una debilidad.
En un intento de controlar los dispositivos IoT, las empresas usan a menudo múltiples PSKs que
asignan a cada VLAN. Esto supone una sobrecarga de gestión y potenciales problemas de
rendimiento, debido al número de redes que se están difundiendo.
La autenticación RADIUS MAC ahora permite controlar el acceso de los dispositivos IoT.
FGT ahora envía y recibe atributos RADIUS para permitir la asignación dinámica de la VLAN y
política de firewall, usando un servidor RADIUS adecuadamente configurado. Se puede añadir a

27
la autenticación MAC un Segundo Factor de autenticación en forma de PSK, o si está habilitado
MPSK (múltiple PSK), elegir una clave.
Ahora es posible publicar una única red basada en PSK que sirve para múltiples
propósitos. Podría permitir conectar y controlar las impresoras y dispositivos IoT, asignando sus
propias VLANs y políticas de firewall, mientras todavía los clientes normales PSK, como invitados
se conectan y ganan el acceso.

3.12. VLAN Pooling - Grupo de FortiAP

Para facilitar la gestión, puedes agrupar los FortiAPs. Por ejemplo, puedes agrupar los APs en
base a la planta de la oficina donde están instalados. Debes configurar los grupos de AP
gestionados, antes de usarlos en la configuración VLAN Pooling.
Puedes usar grupos de FortiAPs para asignar dinámicamente VLANs a los clientes en
función del AP al que se conecte. Esta característica es útil en grandes despliegues, evitando
poner a todos los clientes en una misma subred. Otra razón de asignar VLAN en base a los APs,
es aplicar inspecciones de Seguridad y reglas de firewall en base a la ubicación de los clientes
wireless.

Puedes definir las VLANs y asignarlas a los grupos de AP en la configuración del SSID. Pero
sigue siendo necesario que configures manualmente los ajustes del interfaz, como la red, el
acceso administrativo, DHCP, etc.

3.13. VLAN Pooling - Balanceo de Carga

Hay dos opciones más disponibles en la configuración de VLAN Pooling que permiten balancear a
los clientes wireless: Round Robin y Hash.
Una vez que habilitas VLAN Pooling en el SSID, puedes habilitar Managed AP Groups, Round
Robin o Hash.
De forma similar a la configuración del grupo de APs, puedes definir VLANs directamente en la
configuración SSID para ambas opciones, Round Robin y Hash.

28
Cuando habilitas la opción Round Robin, se asigna la VLAN menos ocupada a los nuevos
clientes que se conectan al SSID.
Cuando habilitas la opción Hash, se asigna la VLAN en base al valor de hash del actual número
de clientes conectados al SSID y el número de VLANs disponibles en el pool.
VLAN Pooling load balancing solo está disponible en los SSIDs que operan en modo túnel.

FortiGate pondrá automáticamente todas las VLANs load balancing en una zona basada en el
SSID donde fueron definidas. Las VLANs están atadas al interfaz SSID.
El nombre de la zona se forma con el nombre del SSID seguido de: .zone.
Debes configurar en cada VLAN las opciónes del interfaz, como subred, DHCP, etc.

3.14. Reemplazando los Certificados Wi-Fi

FortiGate usa certificados cuando conectan los clientes wireless. Para ver o cambiar estos
certificados ve a System > Settings.
El certificado Fortinet_Wifi es un certificado instalado en fábrica que se usa principalmente para
identificar y autenticar al controlador cuando está operando como un servidor de autenticación o
como autenticador. Esto ocurre cuando seleccionamos Autenticación local.
Cuando usamos un servidor RADIUS externo, los clientes usarán el certificado instalado en el
servidor RADIUS.
El certificado Fortinet_Wifi esta emitido a Fortinet Inc. por DigiCert con el CN auth-
cert.fortinet.com.
Se puede actualizar automáticamente mediante el servicio certificate bundle update de
FortiGuard, pero requiere reemplazarlo manualmente, si FortiGuard no está disponible.

29
Puedes actualizar el certificado en la GUI o CLI. System > Settings.

Si una compañía necesita su propio CN en su despliegue WiFi, deben remplazar el certificado

Fortinet_Wifi por el suyo.
Nota: Algunos SO de clientes y configuraciones de suplicantes podrían mostrar mensajes de error
cuando presentas el certificado DigiCert.

30
4. Acceso de invitados
Veamos cómo gestionar el acceso de invitados usando FortiGate (FGT).
FGT ofrece varios caminos para gestionar de forma segura el acceso de invitados a tu red
wireless. Puedes desplegar una red wireless completamente separada usando el hardware
existente.
FGT usa AP virtual (VAP) para desplegar múltiples SSIDs completamente aislados unos de otros.
Esto permite tener un control total del tráfico, incluyendo la habilidad de asignar políticas de
firewall, perfiles de seguridad, etc.
FGT también permite tener un portal cautivo que puedes usar como página de aterrizaje para
permitir a los invitados el acceso a la red o a los recursos locales.
Para gestionar un acceso seguro de los invitados, FGT ofrece herramientas de gestión local que
puedes usar temporalmente para crear y distribuir cuentas de invitados.
Alternativamente, puedes redirigir a los invitados a un portal cautivo externo para autenticación,
disclaimer, etc. FGT permitirá el acceso a los recursos solo si recibe una respuesta válida del
servidor externo.
3.
4.1. SSID invitados
Deberías desplegar un SSID separado para invitados que no requieren acceso a la red
corporativa o privada. Puedes radiar varios SSIDs usando el mismo hardware. SSIDs separados
significa eso, que tengas control completo sobre el tráfico de red.
Es muy recomendable desplegar el SSID de invitados en modo túnel, para asegurarte que se
envía todo el tráfico a FGT usando el canal de control de datos CAPWAP. Esto permite a FGT
mantener un control total sobre el flujo de tráfico, y puedes aplicar perfiles de seguridad para
eliminar las amenazas antes de colocar el tráfico en la interfaz de salida.
Puedes usar portal cautivo local o externo para proveer a los invitados de una página de
aterrizaje, el disclaimer, y/o autenticar a los usuarios invitados usando cuentas de invitado.
Puedes elegir difundir la red solo en los APs que están instalados en las ubicaciones donde
esperas que los usuarios invitados estén.

4.2. Portal Cautivo

El portal cautivo se usa como página de aterrizaje después de que un usuario se conecta a
la red. Habitualmente usado para el acceso de invitados y redes que necesitan informar mediante
un disclaimer, términos de uso, etc.
También puedes autenticar a los usuarios en la página del portal cautivo, solicitando el nombre de
usuario y password. Hasta que el usuario no se autentica satisfactoriamente, la página de
autenticación se devuelve como respuesta a cualquier petición HTTP.
Después de la autenticación satisfactoria, el usuario puede acceder a la URL solicitada y a otros
recursos web, según lo que permita la política de firewall.
Opcionalmente, el portal cautivo en sí mismo, puede permitir el acceso web solo a los miembros
de un grupo específico de usuarios.

31
6.
4.2.1. Tipos de Portal Cautivo
Hay tres tipos de portal cautivo que puedes habilitar en una interfaz: autenticación, disclaimer con
autenticación y solo disclaimer.
 Autenticación: se solicita al usuario autenticar antes de permitir el acceso.
 Disclaimer con Autenticación: se presenta al usuario una página disclaimer y una página
de autenticación. Debe aceptar el disclaimer y autenticar con éxito para poder acceder.
 Solo Disclaimer: se presenta al usuario una página disclaimer. En este caso los usuarios
no tienen que autenticar. El acceso a la red se permite después de aceptar el disclaimer.

4.2.2. Tipos de autenticación

Tras seleccionar Authentication en el Portal Type, selecciona Local o External en el campo
Authentication Portal.
Si eliges Local el FortiGate usará su página interna de portal. Toda la configuración del portal
incluyendo, la página web que se presenta a los usuarios como página de aterrizaje, se alojan en
FGT.

Si eliges External en el campo Authentication Type, introduce el FQDN o IP del servidor del
portal cautivo externo. FGT redirigirá a los usuarios al servidor especificado. Una vez que el
usuario cumple los requerimientos del servidor del portal cautivo externo, FGT permitirá a los
usuarios acceder en base a las políticas de firewall.
4.2.3. Excepciones Destinos/Servicios
Por defecto, FGT bloquea todo el tráfico de los usuarios detrás de una interfaz que tiene el modo
de Seguridad ajustado a Portal Cautivo.

32
Todo el tráfico HTTP se redirige a la página del portal cautivo y el resto de tráfico se bloquea.
Dispones de una opción para exceptuar cierto tráfico que debe atravesar FGT sin cumplir las
condiciones de portal cautivo (disclaimer y/o autenticación); como en el caso de un portal cautivo
en un servidor externo. Tienes que configurar una política de firewall y exceptuar el tráfico web
hacia la IP del servidor desde la página del SSID.
Añade los objetos/direcciónes que quieres exceptuar en Exempt Destinations/Services.
Hacer estas excepciones no es bastante para permitir que el tráfico atraviese FGT, es necesario
configurar la correspondiente política de firewall para permitir que el tráfico atraviese el FGT.

Hay dos pasos en el proceso de configurar excepciones:

1. En la sección Exempt Destinations/Services, selecciona el destino y servicios en la
página de configuración del SSID o interfaz.
2. En la interfaz del portal cautivo, crea una política de firewall hacia la interfaz que conecta
con el servidor del portal cautivo externo. No tienes que especificar objetos de destino en la
política.
También puedes especificar el origen de las direcciones IP que quieres exceptuar del portal
cautivo. Puede serte útil para los dispositivos que no pueden aceptar las condiciones usando
HTTP/HTTPS pero que requieren conexión a Internet para actualizaciones, etc.
4.2.4. Método Excepciones vía Política de Firewall
Puedes configurar una política de firewall separada para permitir que el tráfico alcance a un
servidor externo de portal cautivo sin autenticación en la interfaz del portal cautivo.
Crea una política de firewall y ajusta el destino a tu servidor de portal cautivo y servidor DNS.
En la CLI, edita la política de firewall y habilita la opción captive-portal-exempt.
Esta opción indica a FGT que permita pasar el tráfico a través del destino especificado, sin forzar
primero a autenticar a los usuarios.

33
Puedes usar una dirección IP o FQDN para apuntar al servidor del portal cautivo. Si se está
forzando HTTPS, la dirección del portal necesita ser un FQDN que coincida con el CN del
certificado que se está usando en FGT.
4.2.5. Política de Firewall
Crea una política de firewall desde la interfaz de invitados a Internet. Si estas usando un grupo de
usuarios invitados, asegurate de asignarlo en la política. Cuando haces esto, FGT solo permite
acceder a Internet a los usuarios autenticados que forman parte del grupo.

4.2.6. Workflow Portal Cautivo Externo y FortiAutheticator

1. El cliente trata de acceder a un sitio web.
2. El tráfico inicial HTTP es interceptado por el controlador wireless de FGT y lo redirige a la
página web de registro de FortiAuthenticator, definida en el perfil de portal cautivo de FGT.
3. FortiAuthenticator presenta la página de registro al usuario.
4. El cliente introduce sus credenciales en la página web de registro de FortiAuthenticator.
5. El mensaje de inicio de sesión indica al navegador del usuario invitado, que envíe las
credenciales de usuario directamente a FGT como un HTTPS POST para el procesamiento
de la autenticación.
6. Cuando FGT recibe las credenciales del cliente en el HTTPS POST, envía una solicitud de
acceso RADIUS al servidor RADIUS FortiAuthenticator para autenticar al usuario.
7. FortiAuthenticator valida el mensaje Access-Request usando su base de datos de
usuarios, que puede ser local o remota (LDAP/RADIUS).
8. Basado en los resultados del proceso de autenticación y autorización. FortiAuthenticator
responde con un mensaje Access-Accept o Access-Reject. Si la autenticación es exitosa,
el mensaje de Access-Accept incluye uno o más atributos RADIUS para definir el contexto
de la sesión del cliente.
Estos atributos pueden incluir, pero no están limitados: la duración de la sesión, ancho de
banda y permisos de acceso.
34
 Cuando FGT recibe el mensaje Access-Accept, cambia el rol de la sesión de cliente
permitiendo al dispositivo acceder a la red.
9. FGT envía una solicitud RADIUS accounting a FortiAuthenticator para verificar si el usuario
ya ha establecido la sesión o si hay una sesión en progreso.
10. Una respuesta RADIUS accounting se envía de vuelta, después de escribir el registro
accounting en FortiAuthenticator después de que la solicitud fuese verificada.
11. Siguiendo la autenticación exitosa y la iniciación de la sesión de usuario, el cliente es
redirigido a la URL que originalmente solicitó, que ahora deberá ser accesible.
12. El usuario debería poder acceder al sitio web y una comienza la cuenta atrás del timeout
captive portal session.

4.2.7. HTTPS POST

Durante el proceso de redirección, las credenciales de usuario pueden comunicarse (seguras y
cifradas) al servidor del portal cautivo. En los ajustes globales de usuario, puedes configurar la
autenticación para que use HTTP sobre SSL. Puedes especificar puerto, por defecto es 1003.

4.2.8. Certificado de Autenticación

Si rediriges la página de autenticación a una página HTTPS, se presentará el certificado
configurado.

35
Por defecto, el certificado que se presenta es el que viene de fábrica con FGT.
Puedes usar otro certificado, generado localmente o comprarlo.

4.2.9. Parámetros POST

Cuando FGT redirige a un usuario a un portal cautivo externo, añade los parámetros siguientes a
la solicitud HTTPS:

La primera parte de la URL re direccionada incluye la dirección del servidor externo, seguido de la
dirección de la interfaz de FGT que tiene habilitado el portal cautivo. El parámetro Magic ID es el
session ID que se usa para rastrear la solicitud de información.

5. Portal de invitados - FortiAuthenticator

El portal de invitados en FortiAuthenticator está disponible solo a través de una URL . Sin
embargo, el portal que coincide está basado en reglas de mapeo y perfil de cliente RADIUS, que
hace esta configuración muy flexible y escalable.
36
Puedes configurar múltiples portales de invitado en FortiAuthenticator, que pueden servir a
usuarios conectados en distintos FGTs o redes.
FortiAuthenticator usa los parámetros HTTP POST que está enviando FGT en la solicitud de
portal cautivo, junto con las configuraciones del cliente RADIUS, para asignar las solicitudes de
portal cautivo a sus respectivos portales de invitados.
Puedes definir la asignación de reglas basadas en la dirección de la subred, dirección MAC del
AP, SSID, localización del AP, etc.
El portal de invitados ofrece servicios de pre-login y post-login a los usuarios que se están
autenticando usando FortiAuthenticator.
Como sugiere el nombre, los servicios pre-login están disponibles para los usuarios sin
autenticación y los servicios post-login se ofrecen después de una autenticación exitosa.
Los servicios de pre-login incluyen la creación de cuentas de invitado con la opción de validar por
email o SMS, opción de inicio de sesión mediante redes sociales (esto es algo complicado),
cuestionario al cliente, disclaimer, password reset, etc.
Después de que los usuarios se han registrado satisfactoriamente, pueden acceder a la página de
los servicios post-login, visitando la página de inicio de sesión de FortiAuthenticator.
En esa página, los usuarios pueden hacer cambios en su cuenta, como actualizar su información,
cambiar su password, descargar un perfil compacto de conexión y realizar el registro del token (2º
Factor de autenticación).

4.
5.1. Grupo de invitados
Cuando configuras el portal de invitados, deberías empezar creando un grupo de usuarios
invitados en FortiAuthenticator. Puedes referenciar este grupo a la configuración del portal de
invitados, así cualquier usuario que se registre a través del portal, será puesto en este grupo.

Puedes usar los atributos RADIUS, como el nombre de grupo, para asociar los usuarios con un
grupo en FortiGate. Esto actúa como una etiqueta de autorización y puedes referenciar ese grupo
en la política de firewall.
El valor del atributo RADIUS es sensible a mayúsculas/minúsculas y debe coincidir con la
configuración del grupo de invitados en FortiGate.

37
 5.2. Definiendo Portales de Invitados
Puedes definir portales de invitados en la página de configuración Portals de FortiAuthenticator.
Todos los portales serán accesibles en la misma URL, pero la asignación de portales dependerá
de las reglas de asignación definidas.
Cada portal debe configurarse con un único nombre. Puedes configurar múltiples clientes
RADIUS o perfiles dentro del mismo portal de invitados. Esto permite aceptar las solicitudes de
autenticación para el mismo portal de invitados desde múltiples dispositivos.

5.3. Servicios Pre-Login

Dentro de la configuración del portal de invitados, puedes también definir el tipo de autenticación
(usuario o dispositivo) o si quieres usar para una cuenta de inicio de sesión y/o social login.
La opción social login permite a los usuarios autenticar usando un servicio SSO de terceros
como Facebook, Linkedin, etc. Debes configurar los perfiles social login para usar este método.
Account Login significa que esas credenciales de usuario se proveerán desde la base de datos
interna de FortiAuthenticator o desde un servidor remoto de autenticación.
Después de que completes la configuración en la sección Authentication, puedes habilitar los
servicios pre-login que quieras usar para este portal de invitados.
 Account Registration habilita a los usuarios invitados a crear y validar sus cuentas
usando una página web basada en formulario.
 Account expires after te permite configurar un periodo de validez de la cuenta. Este
ajuste se aplicará a todas las cuentas auto-registradas.
 Requiere administrator approval, requiere que un administrador manualmente habilite
las cuentas auto-registradas.
 Todos las cuentas de invitados creadas usando la opción Account Registration, serán
colocadas en el grupo definido por la opción Place registered users into a group.
38
FortiAutheticator puede generar aleatoriamente una password para el usuario invitado, o puede
dejar que los usuarios elijan su propia password.
Todas las cuentas registradas a través del portal de invitados deben ser validadas a través de un
SMS o email antes de que puedan ser usadas para iniciar sesión. FortiAuthenticator enviará al
usuario invitado un código de activación que se usará para activar su cuenta. En este caso el
administrador no tiene que activar manualmente cada solicitud de auto-registro.
Puedes seleccionar el campo que está obligado a rellenar el usuario cuando registra su cuenta. El
campo seleccionado no puede dejarse vacío.
La opción Token Revocation añade un enlace “Lost my token” a la página de verificación de
token del portal de invitados. Los usuarios pueden usar el enlace si necesitan solicitar que
reaprovisionar su FortiToken Mobile, cambiar a un token email o deshabilitar su cuenta.

5.4. Servicios Post-Login

En la misma página de configuración, también puedes seleccionar a que servicios post-login
tendrán acceso los usuarios. Los servicios post-login estarán disponibles para los usuarios solo
después de que se autentiquen.
 Profile permite a los usuarios ver o editar la información de su cuenta, como nombre,
email, teléfono, etc. También puedes dar a los usuarios la capacidad de cambiar su
password.
 Token Registration, permite a los usuarios auto-provisión o solicitar un nuevo token al
administrador.
 Smart Connect permite a los usuarios descargar un perfil compacto de conexión para sus
redes.
 Device Tracking and Management permite a los administradores asignar todos los
dispositivos invitados a un grupo de dispositivos. Los usuarios deben registrar todos sus
dispositivos antes que se le permita el acceso a la red.

39
 5.5. Reglas de asignación
Las reglas del portal de invitados usan los parámetros del POST entrante y las condiciones
definidas dentro de las reglas para asignar las solicitudes a los portales. Puedes definir una o
varias condiciones que deben coincidir con el parámetro del POST, antes de que una solicitud de
portal cautivo se asigne a un portal de registro de invitados.

Puedes seleccionar un parámetro HTTP y usar uno de los tres operadores predefinidos
(exact_match, substring_match o in_range) para añadir una condición. Debes definir los
valores de la condición manualmente.

5.6. Cliente RADIUS

Los clientes RADIUS deben estar configurados para que FortiAuthenticator acepte solicitudes del
servicio de autenticación Captive/Guest portal. Esto permite a los clientes RADIUS enviar
solicitudes de autenticación a FortiAuthenticator desde una IP o FQDN específico.
Si deshabilitas esta opción, el cliente RADIUS no podrá autenticar a usuarios usando los portales
cautivos.

40
Los usuarios invitados auto-registrados serán añadidos a la base de datos local de
FortiAuthenticator. Asegurate que el perfil RADIUS está configurado para usar un dominio que
permita el procesamiento de la autenticación de usuario local.

5.7. Cuenta de Sponsor

FortiAuthenticator permite que las cuentas de usuario tengan permiso de un patrocinador. Las
cuentas patrocinadas son cuentas temporales que están creadas por el administrador o por el
usuario visitante. Los usuarios locales pueden iniciar sesión en FortiAuthenticator y patrocinar a
una o más cuentas de invitado.
Hay tres modos de creación: Express, From CSV file y Manual Input.

 Express: crea los detalles del login automáticamente. Los usuarios deben definir la fecha
de expiración de la cuenta y tiempo antes de que puedan crear una cuenta de invitado.
Puedes seleccionar el número o cuentas de invitado que quieres patrocinar y los grupos
que están asignados a ello. Después de crear la cuenta, FortiAuthenticator mostrará la
información de login. Puedes elegir enviar esta información a los invitados directamente
usando SMS o email; o la puedes imprimir.
 From CSV file: permite crear una o más cuentas de invitado usando parámetros desde un
archivo CSV.
 Manual Input: solicita al administrador o usuarios que rellenen manualmente la
información para sus invitados (nombre, dirección, teléfono, etc). Ellos deben también
definir manualmente usuario y password, usando este modo.

5.8. Cuentas de Invitado

Es importante tener en cuenta que todas las cuentas de invitados auto-registrados se listarán en
la página Local Users en la GUI de FortiAuthenticator . El sistema asignará automáticamente una
fecha de expiración definida en los ajustes del portal.
41
Las cuentas patrocinadas se listarán en la página Guest Users en la GUI de FortiAuthenticator.
Estas cuentas expirarán conforme a la fecha y hora seleccionada al tiempo que se creó la cuenta.

5.9. Workflow del Portal de Invitados

1. Un cliente conecta a una red con portal cautivo en FortiGate. El cliente trata de visitar un sitio
web. FortiGate recibe una solicitud HTTP GET desde un usuario sin autenticar.
5. FGT redirige al usuario a la url del portal cautivo en FortiAuthenticator, junto con los
parámetros POST.

6. FortiAuthenticator usa los parámetros POST y la configuración de cliente RADIUS para buscar
las reglas de asignación. Si todas las condiciones definidas en una regla de asignación se
cumplen, FortiAuthenticator usa el portal de invitados asignado y presenta la página de login al
usuario.

42
7. Si el usuario invitado no tiene una cuenta, puede pulsar en el enlace de la página para
registrar una cuenta. FortiAuthenticator presentará una página basada en formulario para que
la rellene.
8. Después de que el usuario rellene toda la información solicitada, incluyendo su número de
teléfono móvil y/o su dirección de correo, FortiAuthenticator le enviará un código de activación.
Este código de activación es un requisito para finalizar el proceso de auto-registro.

9. Una vez que introduce un código correcto de activación, FortiAuthenticator añadirá

automáticamente la cuenta a su base de datos de usuarios local y redirige al usuario a la
página de login.
10. Ahora, el usuario puede iniciar sesión usando sus credenciales. Una vez que el usuario esta
autenticado, FortiAuthenticator lo colocará en el grupo de invitados y envía a FortiGate el
nombre del grupo usando el atributo RADIUS.
11. FortiGate usará el atributo como autorización y permite al usuario acceder a los recursos en
base a la configuración de las políticas de firewall.

5.10. Monitorizar Usuarios Invitados

8.8.
FortiAuthenticator registra toda la información relativa a la autenticación. Esto incluye el nombre
de usuario, tiempo de autenticación, estatus, IP, portal de invitados usado, etc.
FGT muestra las sesiones de los usuarios activos en en la sección Firewall User Monitor, que
lista el nombre de usuario, grupo de usuario, duración de la sesión y dirección IP.

43
6. Cuarentena de clientes Wireless
Veamos cómo los clientes son puestos en cuarentena en una red wireless controlada usando
FortiGate (FGT).
1.
6.1. Respuesta automatizada
Security Fabric te permite detectar y controlar los hosts comprometidos, sin importar donde están
conectados (cable o WiFi).
Si un dispositivo falla la prueba del indicador de compromiso (IOC), todos los elementos que
forman Security Fabric, pueden reaccionar automáticamente. FortiSwitches y FortiAPs pueden
poner en cuarentena a ese dispositivo si se considera comprometido. La cuarentena del
dispositivo previene que la amenaza se extienda en la red.
Los dispositivos tipo IoT comprometidos serán aislados. Cualquier otro tipo de dispositivo, como
dispositivos de invitados, también serán aislados cuando se encuentren comprometidos, pero
estos dispositivos tendrán la opción de remediar por sí mismos, si se requiere.

44
 6.2. Security Fabric Automatización de la Cuarentena
La información sobre amenazas conocidas y desconocidas es compartida eficientemente entre
todos los elementos y localizaciones dentro de Security Fabric.
La automatización definida por usuario en FortiGate, se puede usar para poner en cuarentena los
hosts comprometidos; un proceso que puede fortificarse añadiendo los servicios IOC desde
FortiAnalyzer.
En la siguiente imagen se muestra el flujo de eventos que ocurren cuando IOC y la
automatización de la cuarentena se combinan para detectar las estaciones comprometidas y
ponerlas en cuarentena.
1. Un dispositivo intenta acceder a un contenido que se considera un riesgo de seguridad,
como un sitio web malicioso.
2. FGT bloquea el acceso al sitio web, basado en la política de firewall definida con un perfil
de filtrado web,
3. FGT envía un registro a FortiAnalyzer respecto de la violación cometida.
4. FortiAnalyzer procesa el log usando la información de los servicios IOC.
5. FortiAnalyzer determina el veredicto de riesgo de seguridad y lo envía a FGT.
6. Una automatización definida pone en cuarentena al dispositivo comprometido y lo aísla.

45
 6.3. Security Fabric Automatización Stitch/Reparación
Los hosts comprometidos wireless se tratan de la misma forma que los hosts comprometidos
cableados, FortiAnalyzer los identifica usando los servicios de detección de amenazas, y
entonces envía el veredicto IOC al FortiGate raiz del grupo Security Fabric.
Si está configurada la reparación automatizada, entonces también se implementará.
El veredicto IOC asignado a un host comprometido dispara las acciones especificadas en la
reparación automatizada.
La cuarentena de la capa de acceso, es una acción capa 2, que pone al dispositivo en
aislamiento. IP ban es una acción de capa 3 que prohíbe al dispositivo en base a su dirección IP.

46
 6.4. Cuarentena Integrada Wireless
El proceso de cuarentena para los clientes wireless es muy similar al de los clientes cableados,
sin embargo, hay unas ligeras diferencias en cuanto a configuración.
Nota: solo podemos aplicar cuarentena en SSIDs en modo túnel. Para un correcto análisis del
endpoint, los APs y FGT deben formar un grupo Security Fabric junto con FortiAnalyzer.
Puedes habilitar la cuarentena en el SSID. Entonces FGT crea automáticamente un soft-switch e
interfaz, junto con el portal cautivo.
Puedes crear todas estas características en FGT. FortiSwitch no lo requiere. Por defecto, no hay
políticas que permitan a los dispositivos en cuarentena acceder a Internet.
Ten en cuenta que toda la automatización de seguridad puede ocurrir solo al nivel de FGT, y no al
nivel del AP.
Una vez configurado, los clientes wireless serán puestos en cuarentena automáticamente usando
las mismas reparaciones automáticas configuradas en Security Fabric para los clientes
cableados.
Los clientes que están en cuarentena, se colocan en su propia VLAN de aislamiento y entonces
se presenta un portal cautivo informando que están en aislamiento.
Puedes configurar este portal cautivo de la misma forma que cualquier otro, para dar información
de cómo remediar su dispositivo.

47
Habilitar la cuarentena crea automáticamente un soft-switch con un rango de IPs privadas, junto
con un servidor DHCP. También crea un portal cautivo y entonces crea una subinterfaz debajo de
la red wireless en cuarentena.
Si quieres que los clientes tengan acceso a Internet, habilita que ellos mismos puedan actualizar
y/o instalar el software requerido, necesitarás configurar el conjunto de políticas para permitir el
acceso limitado a los recursos requeridos. Típicamente necesita DNS y acceso específico
HTTP/S a los recursos que el host necesita para obtener los archivos de remediación.

48
 6.5. Cuarentena Manual de un Cliente
Puedes poner en cuarentena a un cliente wireless manualmente en Security Fabric o en
FortiView.
Puedes manejar cualquier host que este en cuarentena o sacar a los hosts de la cuarentena
desde el Quarantine Monitor.

49
7. WIDS - Gestión de AP Malicioso
Veamos cómo implementar WIDS y configurarlo para detectar y gestionar los APs maliciosos y
SSIDs.

1.
7.1. Amenazas Wireless
Las redes wireless deben considerarse como un vector de ataque para que los malos accedan a
la red. La incapacidad de tener un total control de donde se propagará la señal wifi, la hacen un
medio atractivo para usar cuando atacan a una red directa o indirectamente, por ejemplo,
configurando honeypots para atrapar a usuarios despistados.
Las amenazas wireless deben considerarse como una amenaza de seguridad, donde el malo
intenta ganar acceso a los datos en la red o en el dispositivo final (como credenciales y datos del
usuario). También como una amenaza de rendimiento y confianza, que los problemas RF
generan alrededor del nuestros APs.
Hay tres tipos principales de amenazas:
 Intento de intrusión wireless: el malo usa varios métodos y exploits conocidos para
derrotar y saltarse la seguridad de la red, o denegar el acceso. Este tipo de intento de
intrusión ocurre típicamente a nivel de radio, Capa 1 o Capa 2.
 AP malicioso: se coloca un AP dentro o cercano a tu zona. La clasificación depende del
propósito por el que está en ese lugar. Un verdadero AP malicioso está colocado para
ofrecer acceso no autorizado a tu red, usando una puerta trasera SSID conocida por el
atacante; o para acceder a los datos del cliente, atrayendo a los clientes legítimos
suplantando el SSID.
El segundo tipo de AP malicioso, es un dispositivo incontrolado, que no está puesto para
ningún intento malicioso en particular, pero que en última instancia puede suponer otro
vector para que los malos ganen el acceso a la red porque existe una pobre seguridad del
SSID o causar interferencias que dejan problemas de confianza y rendimiento.
 AP interfiriendo: como el espectro de radio no está licenciado, y es libre para todos, nada
evita que usuarios legítimos instalen APs para crear sus propias redes. Mientras no sea
una amenaza de seguridad, un vecino wireless puede causar problemas en tu red.

7.2. Wireless Intrusion Detection System (WIDS)

Usamos el perfil WIDS para configurar la protección intrusión wireless y la suplantación de SSID.
Lo asignamos a la radio del AP, en el perfil del AP.
Puedes configurar WIDS en el perfil, lo que permite detectar un amplio rango de amenazas
específicas Wi-Fi, reportando posibles intentos de intrusión como:
 Cifrados débiles WEP IV usada para romper claves WEP.
 Respuestas Sonda NULL SSID, que causan que las tarjetas wireless y los dispositivos
paren de responder.
 Broadcast de desautenticación, son ataques de denegación de servicio (DoS) que
causan que los usuarios se desconecten del AP.
 MAC OUI invalidas; los primeros 3 bytes de la dirección MAC son el Organizationally
Unique Indentifier (OUI), administrados por el IEEE.
50
  Varias inundaciones de gestión, EAP, autenticación y balizas.
Cuando habilitamos las diferentes opciones, encontrarás que algunas tendrán intervalos y
umbrales configurables. Normalmente se requiere alterar estas opciones.

7.3. Detección de AP malicioso

Hay dos formas de configurar FortiAP para detectar los APs maliciosos:
 Como un monitor dedicado (puedes asignar una o ambas radios).
 En los periodos ociosos de la operación del AP, referido como escaneo en
background.
Puedes usar una radio en un AP para escaneo y reservar la otra radio para uso normal, pero solo
puedes usar una frecuencia (2.4 GHz o 5 GHz), porque solo puedes usar una banda por radio.

51
Cuando un AP malicioso se conecta, el atacante trata de usarlo para un acceso no autorizado.
FortiOS automáticamente detecta y muestra en el Rogue AP Monitor.

7.4. Background Scanning

¿cómo trabaja la detección de AP malicioso en FortiOS?.
Usa la radio para escuchar y detectar otros APs. Si tu AP no está usando todas sus radios,
puedes dedicar una para monitorizar los APs malicioso.
Si no quieres usar una radio dedicada al escaneo, puedes configurar el AP para corra el escaneo
en background cuando la radio esta ociosa o a un umbral definido.
El escaneo background es oportunista. Durante los periodos ociosos, FortiAP conmuta
brevemente la radio para actuar como un AP monitorizando. Por defecto, el periodo de
escaneo comienza cada 600 segundos, y cada segundo se monitorea un canal durante 20 mseg,
hasta que todos los canales en la frecuencia de radio se han comprobado. Si la radio es capaz
dual-band, no cambiará a la otra frecuencia.
Durante el momento de mayor tráfico en el AP, es posible que el escaneo del análisis de espectro
en background, pierda paquetes cuando la radio conmuta a monitor. Esta técnica ofrece una
pobre detección de AP malicioso, está habilitada cuando usas Distributed Automatic Radio
Resource Provisioning (DARRP).

7.5. Monitor dedicado

Puedes usar un AP como monitor dedicado para reducir la carga de otros APs y evitar que
conmuten de modo AP a modo monitor.
Las radios de un monitor dedicado están reservadas para el escaneo y supresión, si está
habilitada. No difundirán SSID y no permitirán que ningún cliente se conecte.
Esta es la técnica requerida para suprimir activamente los APs maliciosos.
Si estas usando monitores dedicados, para una solución normal de cobertura, deberías permitir
un monitor dedicado por 4 APs dedicados a la conexión de clientes.
Esto permite una adecuada cobertura de detección de APs maliciosos, porque solo necesita
detectar de las tramas de gestión de los APs. Las tramas de gestión son transmitidas
típicamente a bajas tasas de línea, que permite a la señal de los APs maliciosos propagarse más
lejos.

52
 7.6. Detección de AP malicioso en cable
FortiOS compara la dirección MAC en el tráfico wireless y cableado. En las tramas Wi-Fi de los
clientes y desde los APs.
Si FortiOS y FortiAP ve la dirección MAC de un cliente wireless en la red cableada, entonces el
AP malicioso al que el cliente está conectado debe estar en el cable. Este escenario requiere que
el AP malicioso sea un AP bridge en capa 2, en lugar de un router wireless en capa 3, donde el
controlador wireless verá solo la dirección MAC del router y no la MAC del cliente.
El escaneo en cable usa dos métodos de detección maliciosa:
 Exact MAC address match: Si la misma dirección MAC es vista en tramas de la red
cableada LAN y en la red Wi-Fi, significa que el cliente wireless está conectado a la LAN.
Si no autorizas el AP que el cliente está usando, entonces FortiOS tratará ese AP como
malicioso en cable.
 MAC adjacency: Si un AP es un router wireless, aplica NAT a los paquetes Wi-Fi. Esto
puede hacer más difícil la detección maliciosa, porque las tramas en el tráfico de cable y
wifi no tienen la misma MAC. Sin embargo, la dirección MAC de la interfaz wifi es similar a
la dirección MAC que se ve en el cable (proximidad de los números hexadecimales de
ambas MACs). Por defecto, el valor de MAC adjacency es 7.
Si se encuentra un AP a través de la detección en cable, aparecerá en el monitor de AP y una
marca verde aparece en su columna On Wire.
Ten en cuenta por lo que he explicado la posibilidad de tener falsos positivos.

7.7. Supresión de APs maliciosos

Una vez que has detectado un AP malicioso, habitualmente quieres activamente evitar que los
usuarios se conecten a este. Puedes usar las radios de los FortiAPs para suprimirlo.
Antes de habilitar esta característica, verifica que la operación de supresión maliciosa cumple con
las leyes y regulaciones de tu región.
Dado que la supresión de APs maliciosos es un proceso activo, requiere que dediques una de las
radios de FortiAP a hacerlo. No puedes usar el escaneo en background para hacerlo.

¿Cómo trabaja la supresión de APs maliciosos?

FGT usa las radios dedicadas a monitorizar del AP, para enviar mensajes de desautenticación a
los clientes del AP malicioso y también imita a los clientes del AP malicioso, enviando mensajes
de desautenticación al AP malicioso.
La supresión de APs maliciosos se está convirtiendo en algo muy complicado, porque los
estándares de seguridad están adoptando 802.11w, que protege la gestión de tramas.

53
WPA3 requiere que los clientes autentiquen las tramas de gestión como legítimas, evitando los
ataques man-in-the-middle. La supresión del AP malicioso es una forma de ataque man-in-the-
middle, ya que un AP al que el cliente no está conectado, está tratando de enviar tramas de
desautenticación y 802.11w evitará que el cliente acepte noticias del AP dedicado a monitorizar.

7.8. Monitor de APs maliciosos

Si FGT detecta un nuevo AP que no está autorizado, el AP aparece en Rogue AP Monitor.
Puedes ordenar y filtrar esta lista. Ordenar por Signal Interference es especialmente útil, porque
ordena los APs con la señal más fuerte detectada en la parte superior.
En el ejemplo de muestra, el AP no solo está en tu espacio, la fuerza de la señal indicada es
relativamente fuerte, pero también está conectado a tu infraestructura cableada, y también está
difundiendo un falso SSID, vamos que blanco y en botella .

Puede que estés usando equipamiento de distintos fabricantes en tu red, en cuyo caso FGT lo
detectará como un AP malicioso y un falso SSID. En ese caso, necesitas marcar este
equipamiento como Aceptado. O el AP podría ser uno de los malos intentando un ataque man-in-
the-middle, y el dispositivo sospechoso debería investigarse y clasificarse apropiadamente.
Puedes marcar los APs como Accepted o Rogue y controlar que APs están autorizados por ti.
Por defecto, marcar un AP como Rogue no afecta para usar ese punto de acceso. Por eso
necesitas configurar la supresión.
Marcar un AP como Aceptado quita al AP de la lista de maliciosos. Esto indica que AP no es
tratado en términos de seguridad de red, pero la presencia de ese AP necesita considerarse
como una fuente de interferencia, si el AP está en el mismo canal, la interferencia co-canal (CCI)
o la interferencia de canal adyacente, podría ser un problema. En ese caso, puede que necesites
cambiar tu configuración de canal.

7.9. Suplantación de SSIDs

Al igual que la detección de APs maliciosos, es posible comprobar que redes podrían haberse
configurado para realizar operaciones de suplantación. A menudo los malos intentan atraer
conexiones de los clientes legítimos difundiendo un SSID igual o muy similar, al SSID oficial.
FortiAP puede detectar la suplantación de nuestros SSIDs y clasificarlos como fake.
Solo se puede configurar desde la CLI.
Puedes registrar y/o suprimir, estos falsos SSIDs.

54
Al igual que buscamos coincidencias idénticas de SSID, también es posible buscar SSIDs
definidos por usuario. Esto puede ser útil para detectar SSIDs que se parecen tanto al oficial, que
los usuarios intentan conectarse. Estos SSIDs se clasifican como offending.
Puedes elegir registrar el evento o suprimirlos (se generan cada 15 min.).
Hasta 128 offending SSIDs pueden definirse en todos los modelos de controlador , incluso es
posible definir una wildcard y se pueden hacer excepciones.
Puedes suprimir los SSIDs suplantados de la misma forma que los APs maliciosos, pero se
requieren los mismos prerrequisitos.

Por defecto los SSIDs falsos/fake solo son detectados y registrados. Está definido no offending
SSID; y puedes añadir palabras usando el comando config offending-ssid con la opción log o
log + suprimir.
Si se necesita, puedes añadir una exclusión para los SSIDs seleccionados. En el ejemplo, una
wildcard coincide para cualquier SSID que comienza con FTNT, sin embargo, la exclusión para
FTNT1 ha sido excluida de la coincidencia offending SSID.

7.10. Monitor y Logs suplantación de SSID

Una vez que habilitas la detección de suplantación, es posible registrar entradas en las secciones
Rogue AP Monitor y Wi-Fi Events.
Aquí puedes clasificar SSIDs de la misma forma que con los APs maliciosos, y opcionalmente
suprimirlos.

55
8. Monitorizando las redes WiFi
La solución de problemas de las redes WiFi, normalmente gira entorno a mantener una serie de
métricas RF dentro de unos valores aceptables.
Las medidas y métricas se dividen en dos categorías: Salud wireless y Capacidad wireless.
Salud wireless
Incluye medidas de factores que afectan a la fiabilidad de la conexión, o como conseguir
quedarse conectado a la red wifi.
Como de saludable es el espectro RF alrededor de una interfaz específica.
Como de bien se están transmitiendo las tramas wireless desde los APs a los clientes.
 El ruido en el canal, para una interfaz en un área específica.
 La fuerza de la señal del cliente.
 Las tasas de línea del cliente.

Capacidad wireless
Mide factores que afectan a la capacidad de la interfaz y la capacidad del canal.
Mide la utilización del canal; como de ocupada esta la interfaz y el espectro; junto con el número
de clientes en una interfaz.
La tasa de reintentos de procesamiento (retry rate) puede indicar una alta tasa de colisiones
RF, por ejemplo, si hay una gran cantidad de clientes en la red.

56
 11.1. Medidas importantes
Las métricas son relevantes en ambas categorías, sin embargo, algunas son más importantes
que otras. La tasa de línea puede usarse como primer indicador de la calidad de la
conexión.
Algunas de estas medidas, como las tasas de reintentos de procesamiento y perdida (Retry rate y
Loss rate), no son fáciles de medir en un sistema FortiWi-Fi. Estas medidas son importantes en el
cálculo de la tasa de línea entre el cliente y el AP.

11.2. Ruido de canal (SnR) - Salud wireless

Las interfaces del AP están constantemente monitorizando el canal wireless con el que esta
sintonizado. Por ejemplo, cuando no está manteniendo clientes, puede registrar medidas del ruido
de planta.
El ruido de canal es una medida del background de la señal wireless, que la radio no puede
interpretar como señal wireless LAN. Para una radio, cualquier señal que viene de otro
dispositivo no-WiFi, suena como la radio estática a un humano. El ruido de canal ambiente se
genera por muy diferentes fuentes que pueden interferir con la red.
Al nivel más alto de ruido, le corresponde la tasa señal-ruido (SnR) más baja. Cuanto menor
sea la relación señal/ruido, peor será la comunicación.
Esto puede afectar tanto a APs como a clientes cuando envían las tramas; porque ambos el
cliente y las radios del AP responderán reduciendo la tasa de línea de las conexiones
(disminuyendo la velocidad de TX). El resultado puede ser una aceptable fuerza de señal, pero
una pobre velocidad de línea, que indica un potencial problema de ruido.
Como la interfaz no está dedicada a analizar el espectro, esta medida es solo estimativa. Sin
embargo, es un indicador muy importante de potenciales interferencias en un área específica
de la red, que podría causar problemas significativos en la red si es potente y frecuente.

11.3. Fuerza de la señal - Salud wireless

El controlador mantiene una tabla de la fuerza de la señal recibida (RSSI), de todos los clientes.
El AP mide las transmisiones de cada cliente y obtiene el valor RSSI.
No es una medida tomada por el cliente de la fuerza de la señal del AP, aunque posiblemente
sea más importante porque la mayoría de los datos son de bajada hacia el cliente. En general, la
potencia de transmisión de un AP es superior que la potencia de transmisión de un cliente, así
que es razonable esperar que la fuerza de señal del cliente sea inferior a la del AP.

57
Cuanto menor sea la intensidad de la señal, menor será la posibilidad de que la radio use
tasas de modulación altas. Cuanto más bajas sean esas tasas, más bajo será el rendimiento de
la conexión del cliente.
Escenarios de señal baja se pueden dar por varios motivos. Lo habitual es que alguien está
tratando de usar la red wireless desde una zona que no dispone de suficiente cobertura WiFi.
También puede significar que un AP ha dejado de funcionar. La red está diseñada con un solape
que permite la redundancia RF. En el caso de que un AP falle, hay otro AP dentro del rango, pero
con una fuerza de señal mucho más baja. El resultado es que el cliente se asociará con ese otro
AP, y aparecerá como un cliente con una fuerza de señal baja.
En entornos RF más complejos, el cliente podría mantener una conexión con el AP original.
Después de que el cliente se mueve a otra localización, se mantiene pegado en el AP original y
son conocidos como clientes pegajosos.
La fuerza de la señal es un factor significante en el rendimiento de un cliente.

11.4. Tasa de línea - Salud wireless

La tasa de TX de línea muestra la tasa de datos del AP y la tasa de RX de línea muestra la tasa
de datos que está recibiendo el cliente.
Ambas están muy relacionadas con la fuerza de la señal y a menudo van de la mano, pero
también están impactadas por otros factores.
El AP mantiene un registro de las tasas de línea usadas cuando trasmite hacia (TX) y desde (RX)
cada cliente asociado.
El objetivo final de todas las implementaciones wireless es asegurar que la tasa de línea es lo
más alta posible para los clientes. Una alta tasa de línea alta implicaa que ambas, la fuerza y la
calidad de la señal son buenas. Dado que es posible medir la tasa de línea de subida
directamente, es una buena forma de comprobar si el cliente está sufriendo problemas RF.
Cuanto más alta es la tasa de línea, más rápido se transmiten los datos y se usa menos tiempo
en el aire para las transmisiones. No solo asegura un alto rendimiento para el cliente, también
permite maximizar las oportunidades de que otros clientes transmitan también, mejorando el
rendimiento en general.
Las tasas de línea son calculadas por un chip y se basan en la fuerza de la señal, el SnR y
las tasas de reintentos y perdidas de tramas. Un cliente podría tener una muy buena fuerza de
señal, pero una baja tasa de línea, lo que podría indicar que el ruido de planta es más alto de lo
que es óptimo porque la SnR es potencialmente bastante pequeña. Esto provoca que el cliente no
utiliza tasas de línea superiores.
Unas altas tasas de reintentos y perdidas de tramas pueden ocasionar tasas bajas de
conexión. Si el cliente o la radio del AP están luchando para enviar tramas, por ejemplo, hay gran
número de colisiones debido a las estaciones en los APs vecinos, la radio puede reducir su tasa
de línea para tratar de hacer transmisiones más fiables.
Las tasas de línea bajas también pueden indicar que el cliente solo soporta los antiguos
estándares, donde las tasas de línea eran mucho más bajas.
Para obtener la máxima eficiencia, vale la pena reemplazar esos clientes obsoletos lo antes
posible por un cliente que soporte tasas de línea más eficientes.

58
Las tasas de línea de subida se pueden ver reducidas cuando el cliente entra en modo
ahorro de energía. Muchos dispositivos reducen agresivamente las tasas de línea, cuando no
están transmitiendo datos porque pueden ahorrar batería y parecerá que el cliente está teniendo
una pobre experiencia, porque la fuerza de la señal no es bastante fuerte. Las tasas de línea
bajas son relevantes en este escenario cuando ves que el cliente está transmitiendo datos. La
radio debería tratar de lograr la tasa de línea más alta posible, y si no lo consigue es un indicativo
de que el cliente podría tener un problema RF.

11.5. Utilización del canal - Capacidad wireless

La utilización del canal es el principal indicador de la capacidad alrededor de una interfaz .
Cuando está habilitado, el AP constantemente monitoriza la cantidad de tráfico wireless que
puede decodificar en el canal y entrega la medida.
No es solo un conteo del tráfico transmitido por sus propios clientes, sino que es también el
conteo de otros tráficos wireless en el canal, que podrían venir de APs vecinos y clientes que no
están asociados a tu red.
Los APs vecinos y clientes wireless también consumen capacidad, incluso aunque no sean parte
de tu red, y tu red no puede transmitir datos mientras esas otras transmisiones están ocurriendo.
La utilización del canal, que se mide en porcentaje, nos indica cuanto tiempo de aire libre
está disponible.
Es el indicador más importante de la capacidad wireless.

Una alta utilización del canal suele estar causada por un alto número de conexiones de estación,
o por un pequeño número de estaciones transmitiendo grandes cantidades de datos. No importa
si las estaciones y APs son propios o de dispositivos vecinos.

11.6. Contador clientes asociados - Capacidad wireless

Otra de las medidas críticas para la interfaz wireless es el número de clientes asociados con
cada interfaz. Un número alto de clientes siempre afectará al rendimiento, pero las aplicaciones
en uso y los tipos de clientes también cuentan en el rendimiento.
Muchos dispositivos equivalen a muchas asociaciones. Un número muy superior del esperado
podría causarlo un AP cercano que ha dejado de funcionar o una inesperada mezcla de clientes
que prefieren una frecuencia sobre la otra (por ejemplo 2.4 GHz en lugar de 5 GHz).

11.7. Monitor de Salud Wi-Fi

Wireless Health monitor, ofrece una vista del entorno wireless. Una serie de widgets muestran
del estado de los APs y contadores de clientes a través del controlador.
59
Channel Utilization y Top Wireless Interference muestra las interfaces de radio que están
sufriendo problemas por alta utilización del canal o por interferencia excesiva.
Si pasas el ratón sobre los elementos, amplias la información de un evento específico.
En el widget Top Wireless Interference, puedes hacer clic en una radio para mostrar la tabla de
APs vecinos que la radio detecta y la fuerza de la señal que está recibiendo. Puedes ordenar por
las radios que soportan más interferencias. Esta es una información clave que puedes usar para
diagnosticar posibles causas de un rendimiento pobre y fiabilidad de la conexión.

11.8. FortiAPs gestionados

La tabla Managed FortiAPs también contiene información útil sobre el estado de los APs
conectados. La encontramos bajo Wi-Fi & Switch Controller > Managed FortiAPs y ofrece tres
vistas diferentes.

AP, es la vista por defecto y agrupa las interferencias de radio juntas bajo un AP.
Radio es más útil para la evaluación de carga porque permite ordenar fácilmente las radios que
tienen más problemas.
Recuerda que puedes añadir columnas útiles en la vista como Utilization.

60
 11.9. Mapas WiFi
Es difícil trabajar sin una tabla estática que relaciona la localización de un AP respecto de otro.
La posición de un AP es particularmente importante cuando accedemos a los ajustes de canal, y
el mapa WiFi nos permite identificar a los APs cercanos, que podrían usar el mismo número de
canal, causando un problema.
Debes importar los mapas y posicionar los APs.
Permite identificar APs sobrecargados o que registran una alta utilización del canal.

11.10. Eventos WiFi

El registro de eventos ofrece una vista histórica de la red wireless.
Puedes usarla para identificar eventos que afectan a clientes y APs a lo largo del tiempo.
Añadiendo columnas adicionales, consigues filtrar a los clientes o APs que tienen problemas.

61
 11.11. Monitor de cliente WiFi
El Wi-Fi Client Monitor ofrece una información detallada sobre los clientes que estás conectados
actualmente. Añade columnas adicionales con información útil sobre el estado de la conexión del
cliente, como la fuerza de la señal que el AP está recibiendo desde la estación, la tasa de línea de
bajada y la configuración del canal entre otras.

11.12. CLI del Controlador

Al igual que en la GUI del controlador, puedes recoger información desde la CLI.
diag wireless-controller wlac -d sta | grep –v 0.0.0.0 muestra las estaciones conectadas y APs.
La GUI solo muestra las que tienen más interferencia; en la CLI puedes mostrar todas las
interfaces.
get wireless-controller rf-analysis Estatus RF de todas las radios.
O puedes analizar un AP, especificando el WTP ID (número de serie del AP).
Hay una pequeña información histórica disponible en la GUI, pero podemos monitorizar la
sobrecarga de clientes a lo largo de horas o días, con el comando get wireless-controller
status.

11.13. Comandos CLI del AP

Utilizando el CLI del AP obtenemos información específica de un AP o la conectividad del cliente.
La conexión con el AP puede hacerse directamente con cable de consola, o desde la red si los
protocolos apropiados están habilitados en el AP.

62
Podemos conectar con el AP a través del túnel CAPWAP. Útil cuando el AP es remoto y además
no necesitas abrir puertos porque los comandos van por el túnel como un paquete de datos.
El AP ejecuta el comando y devuelve el resultado. Si envías otro comando antes de que conteste,
el primer comando se cancela. Por defecto, la salida del comando está fijada a 32Kb, pero el
límite es de 4Mb.
La forma más fácil de conectarse a un FortiAP es usando el GUI del controlador, desde la tabla
Managed FortiAPs, y entonces hacer clic en Connect to CLI.
Por defecto, el timeout del CLI es de aprox. 5 minutos, pero puedes extenderlo usando el
comando cfg -a <admin_timeout>.
cw_diag -d sta <MAC_address>. Información RF más detallada de los clientes. Este comando
puede revelar las tramas que se perdieron cuando el AP fallo al enviarlas al cliente, junto con las
tramas que ha vuelto a reintentar enviar.
No es habitual ver un número bajo de tramas perdidas (en relación al contador de tramas
transmitidas TX), pero si cada vez muestra un número mayor, el resultado es que el AP no ha
podido enviar tramas de datos satisfactoriamente después de numerosos reintentos.
Esto puede indicar que el dispositivo es incapaz recibir o decodificar las tramas del AP y no está
enviando el recibí de la trama. Podría deberse a una fuerza de señal pobre en el cliente o un ruido
de planta muy alto.

El reintento de tramas no es inusual, es parte de la operación normal en redes LAN wireless; pero
un número alto indica un problema.
El comando cw_diag -c his-chutel muestra una corta historia de la utilización del canal de un AP.
En lugar de tomar la medida una sola vez, que podría ser un pico, muestra la utilización del canal
sobre un periódo de 1 minuto de tiempo.
La información clave que no está disponible en cualquier otro lugar es la tasa de línea de bajada y
subida (AP al cliente). Ambas son grandes medidas de la calidad de la conexión, pero asume que
entiendes el rango de tasas de conexión de lo que son capaces el AP y los clientes.
Por instancia, los clientes probablemente tendrán solo una única o dual-stream radio y nunca
conseguirá la misma tasa de línea que un Apple MacBook Pro. Revisar las especificaciones del
cliente te indicará la tasa de línea máxima de la que es capaz. Revisando su conexión usando el
comando cw_diag ksta, mostrará como esta de cerca de su velocidad máxima de conexión y
como de saludable es la conexión.

63
Recuerda que muchos dispositivos ahorran batería reduciendo la tasa de línea cuando la
conexión esta ociosa, así que, para obtener una buena representación de las tasas de línea,
debes transmitir y recibir algunos datos.

Puedes ver más información detallada del interfaz usando el comando iwconfig.

11.14. Monitorizar Regularmente es esencial

Recuerda que es mejor una medida baja de ruido de canal.
La fuerza de la señal se mide en decibelios negativos, el mayor número negativo indica la
señal más débil.
Ruido
 Una señal más débil que -92 se considera óptima.
 Una señal por encima de -80 es aceptable.
 Una señal por debajo de los -80 o -70 indica una interferencia significativa que deberías
investigar usando un analizador de espectros.
Las redes wireless deberían diseñarse con el objetivo de disponer de señal fuerte para los
clientes. No es habitual tener un pequeño número de estaciones que están más débiles. Por

64
ejemplo, los dispositivos wireless que entran y dejan el edificio, podrían causar pequeños
números de clientes con baja señal, que aparecen y desaparecen.
Generalmente, deberías ver en tu red, señales con fuerzas de -64 o más fuertes, con una buena
relación señal-ruido (SnR) de mínimo 15, pero preferiblemente 25 o más.
Los nuevos estándares de alta velocidad, requerirán fuerzas de señal altas y grandes SnR, pero
estos números te dan una buena referencia y permiten que la mayoría de las conexiones
funcionen.
Finalmente, el último indicador de la salud son las tasas de línea que el cliente y AP usan para
comunicar el uno con el otro. Antes de que hagas un juicio sobre la tasa de línea, necesitas
entender las especificaciones de los clientes, para identificar la máxima tasa de línea que pueden
usar.
El análisis de las tasas de línea podría mostrar, más bien, lo cerca de los máximos teóricos: 433
Mbps (para clientes con 1 stream 802.11c) o 866 Mbps (para clientes con 2 stream).
Podrías esperar que se conecten cerca de los 65 Mbps.
A menudo es simplemente porque los clientes se están conectando a la radio de 2.4 GHz en lugar
de una radio más adecuada de 5 GHz. Igualmente, las tasas de línea se verán reducidas si las
métricas subyacentes (perdida, reintentos, fuerza de señal y ruido) están impactadas.

9. Troubleshooting
Veamos algunas áreas clave donde las redes wireless pueden experimentar problemas.

12.1. Ajustes de canales

Una gran fuente de problemas en una red wireless, suele ser una incorrecta configuración de los
canales.

65
Al margen de si los canales son configurados manualmente o por un sistema automático como el
Radio Resource Provisioning, podemos encontrarnos un escenario donde las radios de los APs
tienen ajustes de canal o potencia que causan Co-chanel interference (CCI).
Los sistemas automáticos pueden cambiar los canales para adaptarse a los cambios en las
condiciones RF locales. Esto puede causar que los APs intenten recalcular sus ajustes de canal.
Es menos probable, pero puede ocurrir que en 5 GHz los canales DFS detecten la señal de un
radar y obligar a que los APs cambien los canales.
Si tienes APs que están muy cerca unos de otros, deberían evitar estar en el mismo canal.
Es importante estar seguro que la población de APs está configurada de la mejor manera posible
y de acuerdo a las condiciones.
En las redes wireless modernas puede ser difícil balancear las necesidades de los clientes de 5
GHz y los viejos clientes de 2.4 GHz.

Los nuevos estándares de 5GHz, requieren unos niveles de potencia altos y mayor relación señal
ruido (SnR), de forma que esos APs necesitan estar mucho más cerca unos de otros para
asegurar un buen rendimiento. Esto puede hacer muy difícil el despliegue de los clientes de 2.4
GHz desde el mismo conjunto de APs, porque las señales de 2.4 GHz tienden a propagarse más
lejos.
Puede ser demasiado difícil adaptarse, por instancia, reduciendo la potencia de transmisión. En
muchas redes modernas, ahora es una práctica común, apagar las radios de 2.4 GHz, o
dedicarlas a la detección de APs maliciosos.
Revisar los canales del AP, el mapa Wi-Fi es muy útil, porque te permite ver los ajustes de canal
para cada AP instantáneamente y que interfaces del AP que podrían interferir con otros.

66
Es posible ver cada frecuencia individualmente. Deberías prestar mayor atención a las interfaces
de 2.4 GHz, porque son las que habitualmente causan problemas.
La tabla Top Wireless Interference (en el Wi-Fi Health Monitor), cuando esta ordenada,
también muestra los APs que están potencialmente interfiriendo.
Puedes ordenar por las radios que más interfieren. Algunas de estas radios bien podrían ser
tuyas, en cuyo caso, podrías hacer algo al respecto.
Sin embargo, es igualmente probable que esas radios sean de redes circundantes que tienen
bastante fuerza de señal para causarte problemas.

Para revisar los APs cercanos en la CLI, usa los comandos:

cw_diag -c his-chutil
cw_diag -c all-chutil
Podrías considerar cambiar tus canales en el AP para evitar los que estan usando en las redes
vecinas.
Como referencia, debes considerar que las radios en el mismo canal, con una señal tan fuerte
como -80 podrían causar problemas.
Si identificas radios de AP en tu propia red, que están interfiriendo unos con otros, entonces la
primera cosa que hacer es ajustar los niveles de potencia en uso. Por defecto, un algoritmo
gestiona la potencia automáticamente variando entre 10 y 17 decibelios.
Si la radio ya está en el mínimo de 10 dbm, entonces esta desaconsejado reducirla, porque
podría tener un impacto en cualquiera de los clientes conectados.
En lugar de reducir la potencia, deberías tratar de ajustar la radio en otro canal.
En el rango de 2.4 GHz puede ser difícil por el limitado número de canales disponibles (1, 6, 11).
Si al final no puedes cambiar el canal o reducir la potencia, considera deshabilitar la radio. Así
permites a las otras radios con interferencias, incrementar su potencia y ofrecer un mejor servicio.

67
Si identificas APs de fuera de la red que interfieren con los de tu red, solo tienes la opción de
cambiar de canal, para evitar CCI.

Ten en cuenta que la cantidad de CCI es proporcional a la cantidad de tráfico wireless que se
está transmitiendo en tu entorno, como en los edificios multioficina.

12.2. VPN Probe Tool

Algunos de los problemas comunes de conectividad wireless, no está en absoluto relacionado con
la conectividad física.
La red wireless, como todos los tipos de redes, depende de servicios como DNS y DHCP para
proveer conectividad.
La flexibilidad y la habilidad de conectar a los clientes, depende de servicios que pueden sufrir
una sobrecarga.
La herramienta VPN probe es una nueva característica que permite al administrador identificar
problemas con la configuración DHCP y VLAN en el puerto cableado de un AP.

Puedes usar la herramienta desde FortiGate o en el AP. Muestra la información sobre VLANs que
se etiquetan en el puerto del AP. También realizará un test de disponibilidad DHCP, comprobando
que el servidor DHCP está configurado, y puede asignar direcciones IP.
VPN probe, está disponible en FortiOS 6.2 y requiere que el AP también este actualizado a la
versión de firmware 6.2.

68
Solo puedes ejecutar la herramienta desde el CLI, sin embargo, puedes ver los resultados en el
apartado de Logs, usando el GUI de FortiGate.
Lo mínimo que debes especificar es el ID del AP, junto con el comando apropiado (0), para
empezar la prueba. Opcionalmente puedes especificar el rango de etiquetado VLAN, junto con
una interfaz específica cableada del AP (si tiene varios puertos).
También puedes cambiar los reintentos de la sonda DHCP y el time-out, si es necesario.
La prueba devolverá información sobre las VLANs encontradas, junto con cualquier
información DHCP obtenida durante la prueba.
Como dije, también puedes ejecutar la herramienta desde la consola del AP. Las opciones y los
resultados desde la CLI son similares a FortiGate.

La salida de los comandos en la CLI es inmediata. Los resultados se muestran también en la GUI
en Log & Report > Events > Wi-Fi Events.
Si indicas un rango de VLANs en la CLI, el AP intentará descubrir cada VLAN en el rango y
realizar un descubrimiento de DHCP.

69
Si se recibe un DHCP Offer, la VLAN se marca como detected.
Si no se recibe un DHCP Offer, la VLAN se marca como Missing.

10. Wireless Best Practices

13.1. Broadcast SSID excesivo

Una buena práctica que debes considerar el la reducción o minimización del número de redes que
difunden tus APs. Esto se puede aplicar a todos los fabricantes de redes wifi.
La tentación de difundir muchas redes wireless para cumplir con muchos propósitos es habitual
(los APs pueden emitir 8 o más SSIDs). Sin embargo, cada red wireless que difunde un AP
requiere una cantidad de tráfico de gestión. Este tráfico, o estas tramas de gestión, no llevan
datos y ocupan tiempo en el aire o capacidad wifi.
Por defecto las tramas de gestión, también tienden a ser difundidas a bajas tasas de datos, lo que
significa no solo que podría haber muchas, si se están difundiendo muchos VAPS/SSIDs; sino
que usarán una sustancial cantidad de tiempo en aire.

La tabla de la imagen muestra un cálculo aproximado del tiempo en aire usado cuando un número
de APs en un canal difunden un número de SSIDs.
Por ejemplo, si solo un AP emite 10 redes o SSIDs, aproximadamente el 32% del tiempo en aire
disponible podría usarse enviando y recibiendo tramas de gestión sin intercambiar datos útiles.
Este cálculo asume un entorno ideal, con nulas o pequeñas interferencias. En el mundo real, es
muy apropiado pensar que se perdería una mayor capacidad.
Ten en cuenta que no hay diferencia si es tu AP o el de un vecino, se aplica la misma sobrecarga.
Para minimizar los efectos, una buena práctica es limitar el número de redes difundidas a 5, pero
preferiblemente menos. Cuenta que hay varios mecanismos, como VLANs dinámicas, que
puedes usar para ayudarte a evitar difundir muchas redes.
70
 13.2. Umbral de Sonda Respuesta
La fuerza de la señal es uno de los mayores factores en el rendimiento wireless.
Los clientes con señales de poca fuerza hacia y desde el AP; causarán un pobre rendimiento en
otros clientes conectados al mismo AP, debido a la excesiva cantidad de tiempo en el aire que se
necesita para transmitir y recibir sus datos.
El cliente wifi está controlado por el proceso de selección del AP en una red Fortinet integrada y
en la nube.
Debido a las particularidades de RF, y la posible pobre calidad del hardware o los drivers de los
clientes wifi, es posible que dispositivos tomen malas decisiones cuando se conectan a los APs.
Un cliente puede elegir conectarse a un AP más lejano del que podría y con una señal pobre y
bajas tasas de línea; repercutiendo en el rendimiento.

El AP y el controlador, tienen una capacidad limitada de controlar como se conectan los clientes.
Parte del proceso de conexión del cliente involucra a una sonda solicitud y una sonda respuesta
que ocurre durante la asociación inicial. Esto puede dar al AP la oportunidad de no responder a la
sonda solicitud del cliente que está demasiado lejos. Si el cliente no consigue la sonda
respuesta desde un AP, debería buscar otro AP disponible para conectar.
El AP puede medir la fuerza de la señal de la sonda solicitud del cliente. Si decide que la señal es
muy débil, entonces puede elegir no responder con la trama sonda respuesta.
La fuerza de señal que el AP utiliza está definida por el valor del umbral de la sonda respuesta y
se mide en dbm.
El umbral de la sonda respuesta aplica solo cuando el cliente está intentando conectarse al
AP. Si el cliente ya está conectado y comienza a alejarse del AP, resultando en que la fuerza de
la señal queda por debajo del umbral, no se forzará a desconectarse por el AP o el controlador.
Sin embargo, si la conexión se corta por alguna razón, y el cliente necesitará probar a reconectar;
en este punto el cliente estará por debajo del umbral y no conseguiría la sonda respuesta.
71
El umbral de la sonda respuesta aplica al VAP/SSID; y solo es posible configurarlo en la CLI
(entre -20 y -95), por defecto el umbral es -80 dbm. Lo que determina que cualquier sonda
solicitud que venga desde cualquier radio, debería ser -80 o más fuerte, antes de ser respondida.
config wireless-controller vap
edit <vap_name>
set probe-resp-suppression enable
set probe-resp-threshold <level_int>
end
-80 permite a los clientes con señales relativamente débiles conectarse. Mientras que esto puede
ser aceptable para algunas redes, cuando hablemos de rendimiento y alta densidad podemos
sufrir problemas por estos lentos clientes a los que permitimos conectarse e intercambiar
pequeñas cantidades de datos a través de líneas de baja velocidad, usando grandes cantidades
de tiempo en aire.
La mayoría de las redes deberían diseñarse con el objetivo de señal fuerte en mente para sus
clientes, que normalmente están alrededor de -64. Es una buena práctica monitorizar los clientes
conectados a la red y monitorizar la fuerza de la señal. Si tienes una gran cantidad de clientes
conectando con señales pobres, podría indicar lo siguiente:
 Los clientes están tratando de conectarse desde áreas con muy poca cobertura. En ese
caso, debes pensar e investigar si necesitas cobertura adicional.
 Podría significar que los clientes se están conectando a un AP que no es óptimo.
Variaciones en RF causadas por reflejos y multicaminos, pueden hacer que un AP parezca
más atractivo al cliente, de lo que debería. La calidad del cliente (hardware o drivers
defectuosos), puede ser un gran factor en la selección de AP y tomar malas decisiones.

Si encuentras una gran cantidad de clientes conectados con señales con poca fuerza y sin otros
obvios problemas, puedes reducir el umbral de sonda respuesta para el VAP/SSID. Recuerda que
los decibelios son logarítmicos. Pequeños cambios contados en decibelios pueden significar
grandes cambios en la fuerza de la señal, así que realiza incrementos alrededor de 5 dBm para
empezar. Tras cambiarlo, monitoriza el efecto durante un tiempo y ajústalo si se necesita.

13.3. Conversión Multicast a Unicast

Por defecto, el tráfico multicast se envía a bajas tasas de transmisión wireless. Si una gran
cantidad de tráfico multicast está pasando por la red, eso consume innecesario tiempo en aire.
Convertir el tráfico multicast a unicast podría incrementar el tráfico enviado, porque cada mensaje
multicast será convertido a unicast, por cada cliente conectado al SSID. Sin embargo, como el
tráfico unicast se transmite a tasas de datos mucho mayores, el efecto es positivo en el
rendimiento del tráfico neto de la red, porque cada trama consume mucho menos tiempo en el
aire.
Solo lo podemos configurar vía CLI.
config wireless-controller vap
edit <vap_name>

72
 set multicast-enhance enable
El efecto en la red dependerá obviamente de la cantidad de tráfico multicast circulando, sin
embargo, habilitar la conexión por defecto probablemente tenga un pequeño efecto negativo, pero
es una buena práctica habilitarlo.

13.4. Deshabilitar velocidades 802.11b

Los estándares wireless están diseñados para ser compatibles hacia atrás. Lo que significa que
los estándares más nuevos se tienen que acomodar a conexiones wireless que fueron diseñadas
hace más de 20 años.
El estándar original 802.11b obliga que las tramas de gestión se deben enviar a las velocidades
más bajas MCS (modulación y codificación en redes wifi), que para 802.11b era 1 Mbps.
Deshabilitar las velocidades 802.11b significa que las tramas de gestión se transmiten ahora a un
mínimo de 6 Mbps, mejorando la eficiencia en el aire. También tiene el efecto de evitar que
clientes se conecten desde un rango extremo. Incluso cuando un cliente moderno trate de utilizar
las tasas antiguas 802.11b para conectarse a un AP lejano. Prohibiendo estas velocidades
también paras el excesivo tiempo de uso del aire de los clientes que están muy lejos para hacer
un buen uso de la red wireless.
Si eliges deshabilitar estas velocidades (por ejemplo, en redes de alta densidad). Deberías ser
consciente de que los clientes no se podrán conectar, y el rango de recepción de los APs también
será menor. Sin embargo, tu red está diseñada correctamente, los clientes que requieren
cobertura wireless tendrán una señal bastante fuerte para permitir una buena conexión y no
necesitarán revertir a velocidades antiguas.
config wireless-controller wtp-profile
edit <name_string>
config radio-1
set powersave-optimize no-11b-rate
end

13.5. Deshabilitar Velocidades/Rates bajas de datos

Es posible configurar el soporte de velocidades de datos de una forma más granular. Si se
necesita, es posible personalizar velocidades individuales por cada SSID/VAD emitido. Por
ejemplo, un SSID corporativo que se usa para un tipo de cliente conocido, se puede configurar
para soportar solo velocidades altas de 2.4 y 5 GHz. Sin embargo, un SSID de invitados podría
tener una amplia variedad de clientes, de forma que no es una buena idea eliminar las
velocidades por defecto.
Ajustando apropiadamente las velocidades de datos, evitamos clientes pegados al AP después
de una asociación inicial, cuando el cliente está en itinerancia, la actualización de velocidades de
línea asegurará que el cliente se mueve a un AP más adecuado y más rápidamente por el
incremento de las velocidades soportadas. También conseguimos una significante barrera contra
los clientes que están conectando con señales pobres.
Las velocidades solo se pueden configurar en la CLI, en base al VAP/SSID. Esto permite difundir
diferentes redes wireless desde el mismo AP, pero con diferentes velocidades soportadas.
73
Es posible configurar velocidades separadas para 2.4 GHz 802.11bg y 802.11n. y para 5 GHz
802.11a, 802.11n y 802.11ac.
config wireless-controller vap
edit <vap_name>
set rates-11bg <basic> <supported> <supported> <supported>
set rates-11a <basic> <supported> <supported> <supported>
end
Cuando especificamos velocidades a/b/g, al menos debes elegir una velocidad básica. La
velocidad menor a la que difunde el tráfico de gestión el AP.
Una vez que hemos definido las velocidades básicas, puedes definir las velocidades opcionales
soportadas, que los clientes pueden usar si encuentran los requerimientos de señal adecuados.
Cuando configuras velocidades 802.11n y ac, solo necesitas especificar las velocidades
soportadas.
set rates-11n-ss12 o set rates-11n-ss34
set rates-11ac-ss12 o set rates-11ac-ss34

Aunque es posible alterar las velocidades soportadas en 802.11n y ac, actualmente no existe una
mejor práctica que sugiera que sea necesario hacerlo.
Cuando usamos estándares wireless antiguos, en entornos congestionados o de alta densidad,
puedes mejorar el tiempo en aire eliminando las velocidades de conexión bajas.
Permitiendo conexiones a velocidades bajas aparecen los clientes pegados, o clientes que
conectan a los APs inapropiadamente.
Deshabilitar las tasas restaura la configuración predeterminada en el AP.

74