Bienvenidas y bienvenidos a otra exploración a fondo. Hoy le entramos de lleno a los puntos de acceso inalámbrico FortiAP de Fortinet. Tenemos aquí la guía de pedidos, también la guía de configuración, una bastante nueva, la 7.6.3 y una tabla de compatibilidad. La idea es, pues, desmenuzar estos documentos, entender bien que son los FortiAP, como elegir el adecuado según lo que necesites.
Y claro, cómo se configuran, cómo se manejan dentro de todo este rollo del security fabric de Fortinet suena medio técnico, pero le vamos a sacar el jugo. Exacto. Son piezas, diría yo, fundamentales del security fabric la meta es dar wifi seguro. Rápido. Pero lo más importante, creo yo, es que todo se maneja desde un solo lugar.
Ya veremos cómo esa integración es, pues, su mayor ventaja. ¿Entendido? ¿Entonces, listos para empezar a desgranar esto? Vamos a lo básico. No, que es exactamente un FortiAP. Mira, en esencia un FortiAP es lo que se conoce como un punto de acceso delgado. Un fine AP delgado a que te refieres significa que, digamos la inteligencia, la parte de tomar decisiones no está tanto en el aparato en sí reside más bien en un controlador central.
Soportan lo más nuevo de wifi como wifi 6, 6 e, o sea, el 802.11 a x, pero claro, también jalan con tecnologías más viejitas. Y vienen en un montón de presentaciones, ¿eh? Hay para escritorio los típicos de interior para exterior que aguantan lluvia y sol, algunos con antenas que no se ven, otros con antenotas, hay unos que van en la pared, e, incluso, modelos superrobustos para fábricas o lugares así medio peligrosos como ese f at432FR que vienen la guía.
Mencionas eso de delgados y que son parte del security fabric. ¿Y eso qué significa en la práctica? Ósea, ¿Por qué nos debería ya importar? Que sean delgados, implica que necesitan ese controlador. Generalmente, es un FortiGate, es lo más común. De hecho, la guía se enfoca mucho en eso, aunque ojo también se pueden manejar desde la nube con FortiCloud ajá.
Y esto te da una visión completa, un control total, pero desde un solo panel, no tienes que ir a pie por AP. Ya todo centralizado. Exacto. Y lo del security fabric. Ese es el punto. No es solo dar wifi, y ya, es dar wifi seguro. Todas las políticas de seguridad que tienes en tu FortiGate antivirus control de abs identificar quién se conecta se aplican directito á la red inalámbrica es como extender tu escudo de seguridad al aire.
¿Ok, o sea la misma seguridad de la red cableada?, pero en el wifi, justo eso y algo interesante. Muchos modelos, especialmente los que tienen doble o triple radio, pueden usar una radio para dar wifi y otra para tareas de seguridad. Por ejemplo, para vigilar si hay intrusos inalámbricos, lo que llaman doble WIDS o para analizar el espectro y ver si hay mucha interferencia.
¡Ah, mira! O también pueden hacer mash esto es se conectan entre ellos por wifi. Si no puedes tirar cable Ethernet hasta todos lados. Muy útil. Mucha flexibilidad. La verdad, vale, vale. Queda clara la idea. Gestión central y seguridad integrada. Ahora, la guía de pedidos menciona un enfoque por personas o escenarios de uso eso como ayuda a elegir.
Suena más fácil que andar viendo expect. No más. Si totalmente es una forma más práctica, ¿no de clasificar según para qué lo quieres? Definen varios perfiles bastante claros. Primero, el trabajador remoto. Piensan alguien en su casa, un AP poquitos usuarios cinco, quizá baja densidad. Lo clave ahí es que sea superfácil de instalar eso que llaman zero touch, que no más lo conectes y funcione.
Ajá. Enchufar y listo. Luego la sucursal pequeña o una tienda parecidas, uno o dos AP’s. Ponle unos 10 usuarios baja densidad también buscan el zero touch fácil. Ok, el brinco fuerte es en pime. Tienda mediana o ya un campus universitario o empresarial, ahí ya hablas de cinco hasta miles de AP o cientos o hasta decenas de miles de usuarios, densidad media o alta.
Y ahí las prioridades cambian. Ya no es solo la facilidad, sino la automatización y superimportante poder resolver problemas fácil y rápido. El troubles hooting claro a esa escala. La gestión se complica. Exacto. Y hay otro perfil más de nicho, OT. Tecnología operacional. Piensa en fábricas, plantas en tornos industriales.
Ahí son menos AP’s cinco o 10, unos 100 usuarios, densidad media. Pero el foco está en cómo se integra con otros sistemas de control industrial interesante. ¿Cómo cambian las necesidades? La guía lista, un buen de modelos, ¿no? Fat 443K, 432G, 234F sus códigos de soporte. Y eso. Estos modelos van directo para cada persona.
Te dan una guía. Si te dicen mira este modelo que si es dos por dos o cuatro por cuatro, que si es de exterior, pues va bien para este perfil. Para un campus, chance, te recomiendan uno de gama alta con wifi 6E cuatro por cuatro, pero al final tienes que ver bien, ¿qué necesitas tú? Cuanta gente que área a cubrir qué velocidad esperas y ojo no es solo el fierro.
La guía también te dice que echase necesitas licencias extra si lo quieres manejar desde la nube Fort iCloud o si te interesa eso de analizar cuanta gente anda por tu local usando el Wifi y bluetooth, eso es Presence analítics o si quiere seguridad más avanzada, como antivirus, el PS, pero directo en el AP.
Para ciertos modelos y modos son las licencias UTP H. De acuerdo, eliges la p, las licencias según tu escenario. Y ahora, como lo echas a andar con un FortiGate que parece lo más común, el proceso básico es bastante lógico. Mira. Primero lo conectas físicamente. Un cable de red del FortiAP a un puerto del FortiGate.
Ok, ese puerto en el FortiGate tiene que estar configurado. Le pones una IP y superimportante activas la opción security fabric connection. Con eso le dices. Aguas por aquí se puede conectar un equipo Fortinet, muchas veces ese mismo puerto lo pones a dar IP’s por DHCP, a los AP’s para que sea más fácil.
Entiendo. Luego el AP prende y empieza a buscar quien lo controle. Es como si gritara hay un FortiGate por aquí. Usa varios métodos. Busca una IP que ya tenga guardada. Pregunta por DHCP con la opción 138, busca por nombre de DNS o manda mensajes a toda la red a ver quién contesta como que toca varias puertas ándale y el FortiGate en el puerto donde lo conectaste tiene que estar escuchando, digamos con la opción AP discover enable.
Cuando el FortiGate lo detecta, el AP aparece en la consola, pero como pendiente esperando que le des permiso, ah, no se conecta solo. No por seguridad, el administrador tiene que entrar y decirle si tú eres de confianza, conéctate, le das clic en la interfaz gráfica o usas un comando. Aunque, bueno, si vas a instalar muchísimos iguales, puedes pre-autorizarlos con su número de serie o hasta decirle al FortiGate que autorice automáticamente lo que se conecte a cierto puerto.
Pero con cuidado, ¿eh? Si me imagino, es un paso de seguridad importante y bueno, ya que la autorizaste que sigue ya empieza a transmitir la red wifi de la empresa. Así no más. Casi al autorizarlo. El FortiAP le asigna un FortiAP profile. Un perfil por default le pone uno genérico, según el modelo que sea, pero aquí viene lo bueno.
Lo ideal es que tú crees perfiles específicos. Y que es ese perfil es el corazón de la configuración del AP. Le dice exactamente como trabajar que redes wifi SSIS va a transmitir en que canales con que potencia, qué seguridad usar todo es como su manual de instrucciones personal. Ajá. Aquí se define todo el comportamiento suena crucial.
Háblanos un poco más de esos perfiles y de los ISSIS, o sea, las redes que vemos en el celular que tanto control te dan muchísimo control. El Fort profile es como la plantilla para un grupo de apps iguales de fines. Cosas clave como. ¿Primero para qué modelo de app es este perfil? Luego, como funciona cada radio, normalmente tienes una para 2.4 GHz, otra para 5 GHz, a veces hasta una tercera.
Y para cada una, decides si va a ser punto de acceso o solo va a monitorear que estándar wifi usa, 802 11ax, ACN como elige el canal si tú se lo fijas. Si lo elige solo, o si usa un sistema inteligente DRP que busca al menos lleno que ancho de canal, más ancho, más velocidad y la potencia de transmisión. Ok, control total sobre la radio sí.
Y también le dices que redes wifi que ISSIS va a anunciar en cada radio y ya detalles más finos que tan seguro es el túnel entre el AP y el FortiGate. El túnel cap up. Cuantos clientes se pueden conectar a ese AP a la vez, cosas de calidad de servicio QOS, como balancear la carga. Si hay muchos AP’s adjuntos como se usan los puertos Ethernet extra que traen algunos AP’s si va a usar.
Bluetooth, si manda a otro lado, es muy completo. Entiendo. Y el ISSD, la red que ve el usuario, el ISSID o como le dice Fortinet, a veces VAP , virtual access point ahí con figuras, obviamente el nombre de la red. Como se va a llamar el modo de tráfico. Esto es importantísimo. Los principales son tonel mode, donde todo el tráfico de los usuarios que se conectan a esa red viaja seguro hasta el FortiGate.
Ahí se revisa, se le aplican políticas. Y el bridge mode, donde el tráfico del usuario va directo, a la red local de la AP sin pasar por el FortiGate. Útil para redes de invitados ó si quieres que la AP aplique seguridad localmente con licencias UTP en algunos modelos hay otros modos como mesh ó standalone, pero son menos comunes.
Túnel para corporativo bridge para invitados. Más o menos WAP2 o el más nuevo y seguro WAP3 o con usuario y contraseña individuales. WAP Enterprise que usa un servidor radius también aquí con figuras los portales cautivos, esas páginas de bienvenida o hasta wd para cifrar redes abiertas. A y otras cosas como a que VLAN pertenece esa red.
Si este ese ISSIS va a dar IP por DHCP y mejoras para la experiencia air time fairness para que los lentos no afecten a los rápidos o ayuda para el roaming con 8 02 11 KBR para que te cambies de AP sin que se corte. Mencionaste WPA3. MPSK. Portales de todo eso que resaltaría hoy en día. Hay muchas opciones de seguridad.
Definitivamente, el soporte WAP3 es ya casi un requisito. Es mucho más seguro que WAP2 sobre todo doble WPA3 personal que usa SAI. Te protege mejor si alguien intenta adivinar tu contraseña, la guía explica bien, ¿cómo ponerlo? Y para empresas WAP3 Enterprise también da más robustez.
Okay, WAP3 es clave. Luego algo muy práctico es MPSK. Multiple pressure keys. Imagínate que tienes una red para dispositivos IOT, cámaras, sensores y no quieres que todos usen la misma clave. WAP personal con MPSK. Puedes crear varias claves para el mismo SSid. A distintas contraseñas para la misma red.
Exacto. Puedes darle una clave diferente a cada tipo de dispositivo o incluso a cada dispositivo individualmente. Si lo combinas con un servidor radius que valide MAC address, te da mucho control sin irte a la complejidad de WAP Enterprise muy útil para IOTt. Si suena muy bien eso y los portales cautivos, pues siguen siendo populares para invitados.
Lo interesante es la flexibilidad. Puedes usar uno básico del FortiGate, mandar a la gente a tu página web o usar sistemas modernos como y un detallito útil que trae la guía es la security exempt list. Puedes decir mira, aunque no te hayas loado en el portal, si puedes entrar a Facebook o a la página de la empresa, permites acceso a ciertas cosas antes de la autenticación completa.
Ah, mira que bien y algo más de seguridad. Pues puedes cambiar los certificados digitales que usa WPA Enterprise por los de tu propia empresa para más confianza y en algunos apps nuevos, activar protección extra en las señales de wifi vi con protección para evitar ciertos ataques muy completos. Ahora pensemos en lugares llenos de gente.
Oficinas grandes auditorios que herramientas traen estos apps para que el wifi no se sature. Si la densidad es el coco del wifi, hay varias cosas para ayudar. Intenta que un cliente muy lento o con mala señal no acapare todo el tiempo de transmisión de AP. Busca repartir el tiempo al aire más justo entre todos, se configura por SSid.
Ok para que todos juegue en parejo. Ándale. Luego el client load balancing tiene dos partes. Una es frecuencia Hoff. Si tu teléfono o lap pueden usar 2.4 y 5 GHz el AP trata de empujarte a 5 GHz que suele estar más libre y es más rápida. La otra es ape Hoff. Si una AP ya tiene mucha gente conectada, puede sugerirle a un nuevo cliente que mejor se conecte a la AP de alado que está más tranquilo.
Todo esto lo ajustas con límites en el perfil del AP inteligente para repartir la carga. Sí. También está transmite para ajustar como reintenta mandar datos si fallan, broadcast suppression para quitar tráfico de fondo innecesario que consume tiempo, aire DRAP que es el sistema que ayuda a los AP’S elegir el mejor canal y potencia solitos viendo la interferencia y la carga alrededor.
Y puedes controlar los data rates mínimos para no permitir clientes demasiado lentos que afecten a todos. Suena a que hay bastantes perillas para ajustar fino. La guía también menciona cosas como mesh. El three roaming split to nos resumes rápido para que es cada uno claro. Son soluciones para casos específicos para cuando necesitas poner una AP, donde no llega cable de red.
Creas un enlace wifi entre AP’S. Uno cableado le pasa la conexión al otro por radio ideal para almacenes, patios, edificios viejos, ok wifi sobre wifi entre esas zonas y tu conexión no se caiga. Mantiene tu IP y tu sesión superimportante para movilidad. Si básico en redes grandes y split on muy útil para teletrabajo.
Si tienes un FortiAP en casa conectado a la oficina, permite que tu tráfico normal de internet, navegar, ver videos, salga directo por tu conexión de casa, pero el tráfico que va a la red de la empresa, servidores internos, etc. Si se vaya por el túnel seguro al FortiGate de la oficina, es más eficiente y mejora la experiencia.
Si eso del split tonel suena ideal para el esquema híbrido. Oye, y otra cosa, configurar los puertos, LAN del propio FortiAP. Yo pensaba que solo era para conectarlo al switch. Pues fíjate que no muchos traen puertos extra y les puede sacar jugo desde el perfil. Les dices que hacer, por ejemplo, modo bridge two SSD conecta una impresora a ese puerto del AP y es como si estuviera en la red wifi de un SSD específico de SAP.
Sin WiFi la impresora. Ah, ¿qué truco? Sí, o puedes conectar otros aparatos cableados y aplicarle seguridad como autenticación por mac en modelos más pros. Hasta puedes juntar dos puertos con LACP para más velocidad o por si falla uno o un modo ONE LAND para separar tráfico físicamente. Dan bastante flexibilidad de esos puertos.
Vale que sí. Oye y esas funciones que suenan medio raras como ISSNP, qué onda con eso. Son como extras, aprovechando que el AP ya está ahí puesto bluetooth low energy, muchos APS traen bluetooth lo pueden usar para detectar beacons balizas bluetooth. Esa info sirve para sistemas de localización.
RTLS para saber donde está algo o alguien o para plataformas como forty presents que analizan. Cuánta gente pasa por una tienda también pueden emitir sus propios beacons. ¿Ah, para rastreo o análisis de presencia? Ajá. ESL Electronic shelf labels. Esto es muy de tiendas. Algunos AP’s sirven de puente para las etiquetas electrónicas de precios.
Reciben los precios nuevos y se los mandan a las etiquetas cercanas. Para actualizar precios automáticamente. Exacto. SNMP es el protocolo estándar para monitorear equipos de red. Puedes hacer que los FortiAP manden su estado y rendimiento a tu sistema de monitoreo general. Si usas CCNP y taca plus, si usa taca plus para que los administradores autentiquen, puedes incluir el acceso a la consola del propio FortiAP ese sistema.
Entendido son como capacidades adicionales. Bueno, para ir cerrando el círculo como vigilamos que todo esté bien. Y si algo falla como le hacemos, el FortiGate sigue siendo tú centro de mando. Tiene dashboards especiales para wifi. Ves rápido el estado de los apps. Cuantos clientes hay que canales se usan más si hay problemas.
Ok, la vista general, y puedes ir más a fondo, ver rock AP’s no autorizados que andan por ahí. El sistema te ayuda a detectarlos, ver si están conectados, a tu red cableada, e, incluso, intentar desconectar a quien se conecte a ellos importante para la seguridad mucho. También. Puedes ver detalles de cada cliente que señal tiene, cuanto ruido, que ancho de banda usa, qué app’’s corres y va por túnel y te da una calificación de salud.
Puedes desconectar a un cliente problemático si hace falta. Bien, si tienes interferencias raras, puedes poner una radio de una AP en modo monitor y hacer un análisis de espectro. ¿Te muestra un gráfico de qué señales hay en el aire? No solo wifi, te ayuda a cachar si un microondas o algo así está molestando.
Ah, para cazar interferencias y para trouble shooting. La guía de configuración trae su sección. Te da pistas para problemas comunes. Señal débil, lentitud, clientes que no se conectan fallos de DHSP clave mal o el AP que no conecta con el FortiGate. Te da comandos para ver lo wiles controller WAC y herramientas para capturar paquetes.
Esas capturas son oro para diagnósticos difíciles. Parece que hay buenas herramientas para buscarle y ya el último punto práctico, compatibilidad entre versiones y capacitación. La compatibilidad es básica si, sobre todo, con funciones nuevas. Hay una tabla, la que mencionamos que te dice que versión del sistema del FortiGate, FortiOS necesitas para que jalen ciertas cosas como el antivirus en el AP en modo bridge.
Siempre hay que checar eso antes de actualizar o comprar ok y revisar bien las versiones y las actualizaciones de los AP’s se manejan fáciles del Fortigate. Puedes poner que sé actual solo cuando los autorizas o tú picarle cuando quieras. Y si una AP conecta, hay formas de actualizarlo por TFTP y si hay cursos.
La guía menciona uno FSCP secure wireless land administrator. Parece el camino para volverse experto en esto con prácticas y todo. Bueno, pues creo que si le dimos una buena repasada a todo, no desde que son los FortiAP’s como se metan al security fabric, como elegirlos según para qué los quieres. Nos clavamos en los perfiles, los SSIS la seguridad con WAP3
MPSK, optimización, funciones extra como BLA, BLIS y hasta como monitorear y resolver broncas si fue bastante información, pero creo que tocamos lo más importante, son equipos muy capaces, muy flexibles. La clave como se ve en las guías es entender como armar el rompecabezas. El perfil, el SSID. Las políticas del FortiGate, la seguridad, todo tiene que cuadrar para tener la red que quieres segura y que funcione bien y bueno para dejar algo ahí picando antes de irnos.
Pues mira pensando a futuro. Vemos que las redes wifi cada vez tienen más gente, más aparatos conectados, se pide más velocidad. Todo se complica con este panorama. Como crees que vayan a evolucionar cosas como, no sé qué la inteligencia artificial maneje las radios de forma automática o que se integren todavía más con la seguridad del celular o la laptop que se conecta.
¿Crees que eso cambia radicalmente como manejamos y aseguramos estos AP’s pronto? Es algo interesante para tener en el radar. No una excelente pregunta para pensarle y con eso ahora sí cerramos esta exploración de los FortiAP’s de Fortinet. Muchas gracias por acompañarnos.
