Configuración de Wireless Controller en FortiGate con FortiAP 220A
Configuración
de Wireless Controller en FortiGate con FortiAP 220A
| FortiOS |
4.0 MR2 Build 6322 |
| Modelo |
Todos los Modelos Superiores al
60B |
| Condición |
Tener acceso a la versión
especial Build 6322 Tener APs Thin modelo FAP-220A |
A partir de la versión de FortiOS 4.0 MR2 ya se soporta la funcionalidad de Contralador Wireless o lo que se conoce como Wireless Centralizado. Esto basicamente consiste en una funcionalidad que nos permite tener Access Points distribuidos convenientemente en nuestras oficinas para dar cobertura inalámbrica a nuestros usuarios, pero controlando los accesos y la seguridad desde un punto centralizado, función que haremos a través del mismo FortiGate, el cual estará corriendo una versión de FortiOS que nos permita tal funcionalidad.
En este caso, tomaremos como ejemplo el siguiente esquema (Figura 1), en donde tendremos un FortiGate-1240 configurado como Firewall Perimetral, y algunos Access Points distribuidos en todo nuestra red.
Figura 1:
Pasos a seguir
Para poder configurar una Red Wireless Centralizada con FortiaAP y FortiGates, es necesario seguir los siguientes pasos, de ser posible, en el orden aqui descrito.
1 - Actualización de FortiGate
Como antes hemos mencionado, debemos preparar el FortiGate que servirá como Wireless Controller, para lo cual será necesario descargar del sitio de Soporte de Fortinet, la versión de FortiOS especial que nos permite tal funcionalidad, en nuestro caso, utilizaremos la que está a día de hoy disponible en el site (FGT_1240B-v400-build6322-FortiAP.out)
Una vez descargado este Firmware actualizaremos nuestro FG, vía CLI o vía TFTP siguiendo los procedimientos normales de actualización para un FortiGate, parahacerlo vía consola puede seguir esta guía Actualización de Firmware a Fortigate desde el puerto de Consola
Realizada la actualización del FG, podemos verificar que nuestro equipo esté con el Build correcto entrando por la CLI y ejecutando el siguiente comando: get system status
| Version: Fortigate-1240B v4.0,build6322,100512 (MR2) Virus-DB: 9.00795(2008-12-08 15:09) IPS-DB: 2.00761(2010-02-23 11:23) FortiClient application signature package: 1.205(2010-08-10 18:44) Serial-Number: FG200A3907511748 BIOS version: 04000003 Log hard disk: Not available Internal Switch mode: switch Hostname: FG-Wireless Operation Mode: NAT Current virtual domain: root Max number of virtual domains: 10 Virtual domains status: 1 in NAT mode, 0 in TP mode Virtual domain configuration: disable FIPS-CC mode: disable Current HA mode: standalone Distribution: International Branch point: 272 Release Version Information: MR2 System time: Tue Aug 10 19:04:17 2010 |
En este punto es muy importante asegurarnos que el Build de Firmware sea el 6322 y el Branch Point sea el 272 (esto es para la versión que en este momento estamos probando). En caso que estemos instalando una versión mas reciente que sea liberada en el futuro, tendríamos que validar estos datos con el Release Note que viene con cada version de FortiOS.
Ahora nos toca configurar la IP para la Interface sobre la cual conectaremos los APs (Esto solo será necesario si la instalación es nueva o si utilizaremos una interface diferente para conectar los APs), para lo cual desde la CLI hacemos lo siguiente:
| config system interface edit "internal" set vdom "root" set ip 172.19.0.26 255.255.248.0 set allowaccess ping https ssh snmp http telnet set type physical next end |
Seguidamente nos toca verificar que la función de Wireless Controller esté activada en el FortiGate, esto lo podemos hacer desde la GUI: System >> Admin >> Settings donde activamos el check para la opción de "Enable Wireless Controller" o vía la CLI de la siguiente manera:
| config system global set wireless-controller enable end |
2 - Conexión de los APs en la Red
En este paso, solo es necesario conectar los APs en los puntos de red. Es importante ademas tener muy claro el escenario de conectividad, para asegurarnos que los Access Point puedan alcanzar la IP del FortiGate. En este Laboratorio el esquema que estamos utilizando es llamado "Gateway Deployment" y es sobre una LAN con Switches de capa II, por lo tanto los APs no tendrán problema en alcanzar al Wireless Controller.
Por defecto, los Access Points solicitarán una IP vía DHCP una vez sean conectados a la red. Pero en caso de no tener un servidor DHCP, entonces será necesario configurarles una IP que sea del mismo rango de la IP asignada al controlador Wireless.
Los parámetros que podemos configurar localmente en los APs son los siguientes:
*** Direccionamiento IP
*** Opciones de DHCP
*** IP del Controlador Wireless
*** Dirección Multicast
*** Actualización de Firmware
Aquí hay una guía completa sobre la administración de los Parámetros Configurables en un FortiAP FAP-220A
3 - Determinar el Método de Registro de los APs hacia el Wireless Controller
Si la instalación es en esquema de switches de capa II, una vez se haya conectado el AP, será necesario, determinar el método de registro de los APs hacia el Wireless Controller, que en este caso, será hacia la IP 172.19.0.26 (que es la IP para la Interface Internal del FortiGate o Wireless Controller)
Si no tenemos un Servidor DHCP para que nuestros APs puedan adquirir una Direccion IP, entonces estos responderán por defecto a la IP 192.168.1.2, en este punto es importante pegar un AP al tiempo, para evitar que estos puedan hacer un conflicto de dirección IP.
La forma mas sencilla para esto, es conectar una PC con una IP del rango 192.168.1.x directamente al port0 (puerto 0) del FortiAP, y ahora por podremos entrar al FortiAP haciendo telnet a la IP 192.168.1.2 (recuerde que esto solo será necesario si no tenemos un servidor DHCP)
Los métodos de registro del AP hacia el FortiGate son los siguientes:
*** A través de Broadcast.
Siempre y cuando los APs y el Wireless Controller estén conectados en el mismo segmento de red, este método es funcional, puesto que los APs envía un mensage de Solicitud de descubrimient (Discovery Request) como broadcast de UDP sobre la Red, con lo que el Controlador les replica con un mensaje de Respuesta de Descubrimiento (Discovery Response) en unicast
*** A través de la IP de Multicast.
Este método es utilizado cuando los APs y el Wireless Controller estan conectados en Switches de Capa II, en donde se comparte el mismo dominio de Broadcast. Es este caso, los APs envía un mensage de Solicitud de descubrimient (Discovery Request) como broadcast de UDP sobre la Red, con lo que el Controlador les replica con un mensaje de Respuesta de Descubrimiento (Discovery Response) en unicast
Por defecto la IP de Multicast que trae configurados tanto el FortiGate como los AP es la 224.0.1.140 la cual podemos cambiar en caso de que sea necesario con el comando: config wireless-controller global
| config wireless-controller global set discovery-mc-addr 224.0.1.140 |
*** Especificando la IP del Wireless Controller directamente en el FortiAP
En el caso de que los Access Points y el Controlador no esten en la misma Red (podría ser un esquema sobre redes de Capa III) podemos declarar de forma manual la IP del Controlador Wireless en el AP, de la siguiente manera.
| cfg –a AC_IPADDR_1="172.19.0.26" cfg -c |
*** Utilizando el Option Code 138 vía DHCP
Otra forma puede ser agregando el "Option Code" 138 en el mismo servicio del Servidor DHCP, con lo cual una vez el FortiAP haga la solicitud de DHCP, el servidor ademas de entregarle una dirección IP, le enviará también el código específico con la información de la IP del Controlador Wireless.
En este punto es muy importante que la IP del controlador que declararemos en el OPtion Code 138 esté en codigo Hexadecimal. Por lo tanto será necesario convertir la IP a código Hex. En este sitio usted puede hacer directamente la conversión
Nota: En caso que los APs y el FortiGate no esten en la misma red, será necesario asegurarse que entre los APs y el controlador se permitan los puertos UDP 5246 y 5247, los cuales son utilizados para la comunicación de los tuneles del controlador y el tunel de datos que se crean entre el AP y el Controlador Wireless.
4 - Actualización y Registro de los APs
La actualización de los Access Points la podemos hacer vía el FortiGate o directamente desde el AP entrando por una conexión telnet.
Los pasos a seguir para actualizar los APs desde el FortiGate son los siguientes:
a ) - Descargar desde el sitio de soporte de FortiNet el firmware para los FortiAP complementario para la version de FortiOS que hemos instalado al FortiGate.
Una vez que hayamos descargado el Firmware para los FortiAP, será necesario instalar un servidor de TFTP para poder actualizar nuestro AP.
Al tener instaldo nuestro TFTP Server, será necesario mover el Firmware del FortiAP a la carpeta o directorio donde para el cual apunta nuestro servidor TFTP. Seguidamente lo instalamos en el FortiGate desde la CLI, dcon el comando: exe "wireless-controller upload-wtp-image tftp <nombre-archivo-imagen.out> <ip.de.server.tftp>", tal cual se muestra en el siguiente prompt
| exe
wireless-controller upload-wtp-image tftp
FAP22A-v400-build0106-FORTINET.out 192.168.2.229 Getting file FAP22A-v400-build0106-FORTINET.out from tftp server 192.168.2.229... ### Image checking ... Image MD5 calculating ... Image Saving FAP22A-IMG.wtp ... Successful! File Syncing... |
Con el comando: "exe wireless-controller list-wtp-image", podremos ver la lista de firmware para FortiAP que tenemos alojados en el FortiGate.
| exe wireless-controller
list-wtp-image WTP Images on AC: ImageName ImageSize(B) ImageInfo ImageMTime FAP22A-IMG.wtp 3770305 FAP22A-v4.0-build106 Wed Aug 11 23:22:39 2010 |
b ) - Registar los APs en el Controlador
En este punto asumiremos que ya tenemos los Access Points conectados a la Lan y ya hemos elegido el metodo de registro, ya podremos ver nuestros AP desde el Controlador Wireless, tal como se muestra en la siguiente Imagen. Vía la GUI, "Wireless Controller >> Configuration >> Access Points"
Figura 2.
En este punto, nos toca seleccionar el AP, luego click en la opción de editar y en la opción de "Admin" seleccionamos "Enabled" y damos "OK"
c ) - Actualizar el Firmware para los FortiAP
Ahora desde la linea de comandos de FortiGate, actualizaremos el Firmware para los APs con el comando: "exe wireless-controller reset-wtp <all>|<SN>", "all" indica que se actualizarán todos los APs que esten registrados en el Wireless controller, mientras que "SN" indica que podríamos especificar la serie de un determinado AP que deseamos actualizar,tal cual se muestra a continuación.
| exe wireless-controller
reset-wtp all |
Hecho esto, una vez que el firmware sea actualizado para los APs, estos se reiniciarán de forma automática.
5 - Configuración de los Virtual AP
Ahora nos toca crear los Virtual AP, que no son mas, que las redes Wireless (SSID) que deseamos anunciar vía los AP. En este caso, es importante mecionar lo siguiente.
*** Por cada Radio se puede anunciar hasta 7 SSID, por lo tanto, si el AP maneja dos Radios podríamos anunciar hasta 14 SSIDs por AP.
*** Si mas de 7 VAP (SSIDs) son configurados para un radio, el sistema escogerá 7 SSID al azar, por lo tanto asegúrese de no asignar mas de 7 Virtual AP por Radio. Ver paso 6
*** Es en los SSIDs donde configuraremos los modos de seguridad para proteger las comunicaciones Wireless.
*** Cada SSID se convertirá en una Interface Virtual dentro del fortiGate. Ver paso 9
*** No se recomienda dejar los SSIDs de forma abierta, ya que esto representa un alto riesgo de seguridad.
En este caso, configuraremos una Red Wireless que que llamaremos Manager, para lo cual entraremos a través de la GUI del FortiGate, en la sección siguiente: Wireless Controller >> Configuratio >> Virtual AP tal cual se muestra en la figura 3.
Figura 3
En donde:
Name: Un nombre para identificar al Virtual AP. (Este nombre tambien será con el que se identifique la nueva interface virtual que se creará de forma automática en el FortiGate)
SSID: El nombre con el cual anunciaremos la red Wireless
SSID Broadcast: Si queremos que el SSID sea visto cuando los dispositivos Wireless hagan un escaneo de las redes inalambricas
Security Mode: En este punto seleccionaremos el Método de protección que deseamos implementar para proteger nuestra comunicación inalámbrica.
En este punto podremos seleccionar los siguientes métodos:
- None: Sistema Abierto, Donde cualquier usuario Wireless puede obtener acceso a la Red Inalámbrica
- WEP64: Este método requiere una llave de 10 dígitos en hexadecimal
- WEP128: Este método requiere una llave de 26 dígitos en hexadecimal
- WPA: Este método puede utilizar tanto el algoritmo de encripción TKIP o AES y requiere una llave de 64 caracteres o una frase de entre 8-63 caracteres. Ademas este método nos da la posibilidad de usar un servidor RADIUS para almacenar una llave separada por cada usuario.
- WPA2: Esta es una versión mejorada de WPA que implementa todos los requerimientos necesarios para el estandar de 802.11i de la IEEE. Las opciones de configuración son las mismas que para WPA.
Data Encryption: Dependiendo del modo de seguridad que hayamos elegido (en nuestro caso WPA), seleccionaremos el tipo de encripción de datos, que para este Lab usaremos el modo TKIP
Autentication: Escribimos la llave compartida que puede ser una frase en texto de entre 8 y 63 caracteres.
Radius Server: En caso de que tengamos un RADIUS configurado, podríamos seleccionar este método para el almacenamiento de las llaves
Maximun Clientes: El número máximo de clientes que deseamos permitir por cada SSID (VAP). el "0" indica que no hay un límite especificado
6 - Configuración de los AP Profiles
Tal como se muestra en la figura 4, los Perfiles de AP, nos permiten parametrizar el comportamiento de los Radios para los Access Points, de tal forma que será en esta sección donde indicaremos el modo de funcionamiento de los diferentes AP y desde donde asociaremos los SSIDs a los FortiAPs que deseamos configurar.
Para esto siempre por la GUI del FortiGate entraremos en Wireless Controller >> Configuration >> AP Profiles,
Figura 4.
Donde:
Name: El nombre para identificar el Perfil de AP que estamos creando
Geography: Seleccionamos la región que aplica para nuestra geografía, lo cual es muy importante para el cumplimiento de las regulaciones.
Mode: En Mode, tendremos 3 posibles opciones para seleccionar:
- Disable: Deshabilita el radio
- Access Point: Nos permite operar los radios y anunciar los SSIDs.
- Dedicated Monitor: Esta opción solo la elegiremos si deseamos que este radio esté especificamente para el monitoreo de otras redes Wireless que no son parte de nuestro esquema (Monitoreo de APs Rogue o Renegados)
Background Scan: Esta Opción nos permite utilizar nuestros APs para dar conectividad Wireless, pero también para monitorear los AP Rogue
Band: Seleccionaremos la Banda para la cual deseamos trabajar. En este punto es muy importante conocer el tipo de Radios que soporta nuestro AP.
Short Guard Interval: Básicamente el SGI consiste en una opción que nos permite mejorar los Intervalos de Guard de 800ns a 400ns, lo cual nos permite mejorar la taza de transferencia de Datos hasta en un 10-11%, pero se debe conocer muy bien su funcionamiento para decidir si lo activamos o no.
Channel: Seleccionamos el Canal por el cual queremos que nuestros radios transmitan. Se recomienda usar la Opción de "Auto"
TX Power: La potencia de transmisión con la cual deseamos operar. Es recomendable no cambiar los valores pre-establecidos.
Virtual AP: Seleccionamos los VAP (SSID) que deseamos propagar a través de este Perfil de AP.
NOTA: Para el caso de los FAP-220A, solo funcionarán correctamente si en Radio 1 seleccionamos la banda 802.11n y en radio 2 la banda 802.11n_5G
7 - Habilitación de los APs en el Wireless Controles
En este paso, nos toca asignar el Perfil AP a los Access Points que hayamos descubierto, con lo cual asociaremos tanto los SSIDs que anunciaremos por cada AP, asi como también los parámetros de comportamientos de los radios.
Desde la GUI entramos en: "Wireless Controller >> Configuration >> Access Points" y seleccionamos cada uno de los AP para editarlos, tal como se muestra en la siguiente figura.
Figura 5.
Serial Number: La serie del Equipo FortiAP descubierto.
Name: Podemos asignarle un nombre para identificar el AP.
Admin: Una vez descubierto el AP, le cambiamos la modalidad de "discovered" a "enabled"
Last-Error: Aquí se muestra el error mas reciente que se ha presentado durante el registro de los APs
AP Profile: Asignaremos el Perfil para el AP.
Coordinates: Esta funcionalidad nos servirá en el caso de que hayamos habilitado los APs para que hagan monitoreo de AP Rogue.
Si todo se ha configurado correctamente ahora veremos los APs habilitados, tal cual se muestra en la figura 6.
Figura 6.
8 - Configuración de las Interfaces Virtuales
Dentro de System >> Network >> Interface, editamos la Interface Virtual correspondiente al VAP que hemos creado (en nuestro caso "Managers"),tal como se muestra en la figura 7, en donde será necesario configurarle una Dirección IP con la respectiva mascara de Red que deseamos mantener para los usuarios Wireless que se asocien a este SSID. Tal como lo indicamos anteriormente, en nuestro caso asignaremos la IP 172.19.0.26 con una mascara de 24 bits para está red.
Figura 7.
Para mas información sobre las configuraciones de las interfaces de Red vease la guía sobre Cómo Configurar las Interfaces de Red de un FortiGate
9 - Configuración de los DHCP Servers en cada una de las Interfaces Virtuales
Ahora que ya tenemos configurada la IP de la Interface virtual, nos toca configurar el servicio de DHCP para poder asignar las direcciones IP para nuestros usuarios Wireless.
Tal como se muestra en la Figura 8, entramos vía GUI en: System >> DHCP Server >> Service >> Create New
Figura 8
10 - Creación de las Políticas de Firewall
Tal como lo hemos mencionado anteriormente, por cada SSID o VAP que agreguemos, automaticamente se creará una Interface virtual el el FortiGate. Por lo tanto, la unica forma de lograr que los usuarios Wireless de un SSID se comunique con otras redes (DMZ, LAN, Internet), será agregando políticas de Firewall entre las diferentes interfaces. Esto nos da un plus de seguridad y muchas alternativas al momento de aislar las redes Wireless de las redes privadas de la institución, puesto que únicamente las redes SSIDs que nosotros deseamos podrán pasar tráfico hacia nuestras redes privadas.
Un ejemplo muy interesante puede ser que el SSID de Manager sea utilizado exclusivamente por usuarios empleados de la institución, por lo tanto a estos usuarios les crearemos políticas de Firewall para que puedan accesar a los sistemas de Bases de Datos, correo institucional, servidores de Dominio de Directorio Activo (AD), Internet, etc. Mientras que también podríamos tener otro SSID para para usuarios "Invitados", para los cuales solo haremos una política de Firewall entre este SSID y la Interface de Internet, para que solo puedan navegar en la Nube de Internet sin que tengan permisos de accesar a las redes corporativas de la institución. Vease la figura 9, en donde se muestran las diferentes políticas de Firewall creadas para el acceso de los usuarios Wireless del SSID manager hacia las redes corporativas de la institución. Firewall >> Policy >> Policy.
Figura 9
Realacionados :
Parámetros Configurables en un FortiAP FAP-220A
Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/
