Como evitar que hackee la red
-
tengo instalado el servidor pfsense en mi red y resulta que aun asi se meten los hackers a mi red esperan que los clientes se conecten a travez del portal cautivo y clonan sus mac y entran a navegar sin necesidad de autentificarse por el portal cautivo si alguien me podria ayudar a darle una mejor configuracion pàra evitar eso
router - servidor - ap –-------------> Ap Cliente -
podria dar mas detallado como esta tu red
-
Los usuarios se autentifican por radius o por el portal directamente?
-
¡Hola!
Emplear MAC como seguridad es poca seguridad … como tú mismo estás viendo.
Tienes que implantar una autentificación de usuarios por radius.
Saludos,
Josep Pujadas
-
tengo instalado el servidor pfsense en mi red y resulta que aun asi se meten los hackers a mi red esperan que los clientes se conecten a travez del portal cautivo y clonan sus mac y entran a navegar sin necesidad de autentificarse por el portal cautivo si alguien me podria ayudar a darle una mejor configuracion pàra evitar eso
router - servidor - ap –-------------> Ap Clientealguien me podria dar un manual como configurar radius tengo la version 1.2.2 tambien tengo instalado el free radius en el mismo servidor pero no se como configurarlo alguien me podria ayudar
-
Para configurar el freeradius package debes ir a Services–FreeRADIUS
luego vas a la pestaña Clients y ahí le das a agregar un cliente en el simbolo +
ahí te pedirá los datos del clienteClient: Ip de la interfaz donde esta configurado Captive Portal
Short Name: es un nombre de usuario para el nuevo cliente
Shared Secret: es la contraseña del usuario.Luego le das a save.
ahora te vas a la ficha Settings
ahi debes configurar:Listening Interface(s): ahí seleccionas el nombre de la interfaz donde tienes configurado tu captive portal.
Port: ahi el numero de puerto en el cual escuchara FreeRADIUS (yo cambie el numero que venia por defecto por que en el log de FreeRADIUS aparecía que el puerto ya estaba ocupado por lo cual yo puse 1896)
las demás configuraciones son log's ahí depende de que es lo que quieras guardarTerminado esto te vas a la configuración de Captive portal.
Esto es en Services--Captive Portal.ahi bajas hasta Authentication
y seleccionas RADIUS authentication
luego en Primary RADIUS server
en IP Address: pones nuevamente la ip de la interfaz en la cual esta configurado tu Captive Portal
en Port: ingresas el numero de puerto el cual configuraste antes en el FreeRADIUS Package
en Shared secret : la contraseña que configuraste en el cliente FreeRADIUS PackageLuego bajas hasta Reauthentication
ahi seleccionas Reauthenticate connected users every minute en el caso de tener cuentas que tengan un limite de tiempo
por ejemplo yo estoy empezando con un wisp y necesito que llegada una fecha los cientes ya no puedan volver a entrar hasta que realicen el pago del servicio y ademas que FreeRADIUS los desconecte automáticamente cumplida la fecha.luego en Accounting updates stop/start accounting para que desconecte a los clientes.
Ahora solo te falta crear los clientes en FreeRADIUS y borrar los de Captive Portal solo por seguridad.
Espero que te sirva
Saludos
-
Funcionan realmente las opciones de freeradius con el captive portal?
No consigo:
- que corte la conexion de un usuario al tiempo especificado
- que se asigne una ip segun usuario / contraseña
Esto indicando en el portal cautivo, que use radius, send RADIUS accounting packets SI,
Reauthenticate connected users every minute SI, con stop/start accounting o incluso interim update,
y funciona, porque autentifica correctamente, pero nada mas.Cómo lo teneis funcionando?
Un saludo!
Juanjo A. -
me podrias decir como tienes asegurado tu servidor pfsense ejemplo como entras al pfsense por http o por https?? como tienes configurado tus reglas de firewall como esta configurado tu portal y que servicios le has integrado ??
pocholinxd
-
En entornos digamos… "sensibles" también se usa a veces VPN sobre wifi.
Sería tratar tu Wifi como una WAN ya que al fin y al cabo no deja de ser una red "insegura" por los constantes ataques.
Se trata de conectar tus aps a un interfaz de red aislado del pfsense (como un WAN) y les das la config mejor que puedas (actualiza firmware si puedes) lo mejor en standalone como supondrás es WPA2-PSK luego WPA-PSK...En el Pfsense rechaza todo lo que venga de ese interfaz menos los puertos que vayas a emplear para vpn (yo te recomendaría OpenVPN)
Luego a tus clientes les instalas el cliente OpenVPN y configuras el OpenVpn del Pfsense.Y con el cliente configuras las wifi y cuando la tengas conectada tiras el tunel.
Para perforar ahí hace falta una broca mas gorda... ;)
-
solo hay que cambiar unas lineas de codigo.
saludos
http://forum.pfsense.org/index.php/topic,16539.0.html