Fundamentos de Conectividad 802.11: ESS, Autenticación y Proceso de Asociación

Extended Service Set (ESS)

El Extended Service Set (ESS) está formado por dos o más Basic Service Sets (BSS) interconectados mediante un Distribution System (DS). Si la conexión del DS es inalámbrica, se denomina WDS (Wireless Distribution System).

Los nodos de un ESS pueden comunicarse entre sí, aunque pertenezcan a distintos BSS, incluso si están en movimiento. Los Access Points (AP) actúan como puentes, creando un mismo dominio de difusión a través del DS. Un ESS presenta al conjunto de BSS como una única red. Para ello, todos los BSS deben tener el mismo SSID, el cual también identifica al ESS.

Configuración del ESS (Uso de VLAN)

1. AP Isolation (Aislamiento del AP): Impide que los nodos asociados a ese AP se vean entre sí.
2. AP Virtuales: Permite la creación de distintos BSS/ESS en un mismo AP.

Autenticación en Redes 802.11 (Capa 2)

La autenticación ocurre en la Capa 2 (Enlace de Datos). El proceso se inicia cuando la estación cliente envía una trama de petición de autentificación al AP, y este acepta o rechaza la trama. Para iniciar este proceso, la estación realizará un escaneo pasivo o activo.

El nodo intentará unirse al BSS utilizando los mismos parámetros anunciados por este (mediante la trama BEACON).

El Punto de Acceso (AP) envía tramas beacon periódicamente para difundir su presencia y la información de la red (el SSID, etc.) a las estaciones cliente en su radio de cobertura. Las estaciones pueden obtener una lista de Puntos de Acceso disponibles buscando tramas beacon continuamente en todos los canales. Estas tramas contienen la información necesaria para identificar las características de la red y poder conectarse al AP deseado.

La autenticación se usa para establecer la identidad de la estación.

Tipos de Autenticación 802.11 (Estándar Original)

Esta autenticación es débil (o vana), pero obligatoria antes de la asociación. No es recomendable basarse solo en ella; requiere que un nodo establezca su identidad antes de enviar tramas. Existen dos sistemas:

1. Sistema Abierto (Open System): Solo se envía la dirección MAC; no hay autentificación real.
2. Clave Compartida (Shared Key - WEP): El AP desafía al nodo a que cifre un mensaje con la clave. Es muy vulnerable. WEP proporciona encriptación a nivel de Capa 2.

Autenticación 802.1X (Robusta)

Esta autenticación es robusta, opcional y posterior a la asociación. Ofrece autentificación de la capa de enlace y del usuario.

La versión para redes inalámbricas es el 802.11i, que integra la autentificación 802.1X junto con el manejo de claves y la integridad del mensaje. Su implementación actual es WPA2, aunque anteriormente hubo una transición con WPA.

Proceso de Asociación 802.11

Tras la autentificación, un nodo se asocia al AP para que el DS pueda registrar su ubicación. La asociación solo es posible en modo infraestructura y a un único AP. Se realizará mediante un proceso similar a ARP para asociar la dirección MAC del nodo con el puerto del AP.

Servicios de Asociación

• Reasociación: Mueve una asociación existente a otro AP (útil para el roaming).
• Desasociación: Puede ser iniciada por la estación o por el AP.

Intercambio de Tramas para la Asociación (3 Pasos)

El proceso de asociación es un intercambio de tres pasos:

1. El nodo envía una petición de asociación. Si el nodo no está autentificado previamente, recibe una anulación de autentificación.
2. El AP, tras procesar la petición, podrá:
   • Responder con el código 0 (éxito) y un ID de asociación.
   • Responder con un número distinto de 0 (fallo).
3. Luego, el AP inicia el procesamiento de tramas para el nodo a través del DS.