Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Como evitar saltarse el portal cautivo y protegerse de ataques

    Scheduled Pinned Locked Moved Español
    16 Posts 6 Posters 6.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • perikoP
      periko
      last edited by

      Ese doc habla hacerca de los hotspots que regularmente no tiene la regla que niega hacer queries  a otros DNS que no sean los mismo que los del provedor ISP del hotspot.

      Anteriormente una persona en este foro, no tengo el hilo a la mano, tenia un caso similar a lo mejor es lo mismo.

      El problema que tenia era que su CP tenia las reglas basicas, la mas simple y menos recomendada.

      TCP/UDP desde la red del CP hacia fuera, o sea pasale sin broncas…

      Entonces, el me paso un link y claro que si se podia uno saltar el CP, pero cuando restringimos a nivel FW para que solo permitiera hacer queries DNS a el mismo pfsense solamente esto bloqueo el hoyo que tenia.

      O sea, las queries solo deben permitirse a el mismo pfsense a nadie mas, es mi forma de trabajar, y no he tenido problemas aca.

      Si este no es el caso, digan como para analizarlo, me interesa, saludos.

      Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
      www.bajaopensolutions.com
      https://www.facebook.com/BajaOpenSolutions
      Quieres aprender PfSense, visita mi canal de youtube:
      https://www.youtube.com/c/PedroMorenoBOS

      1 Reply Last reply Reply Quote 0
      • pttP
        ptt Rebel Alliance
        last edited by

        Periko, me parece que este es el hilo al que haces referencia: https://forum.pfsense.org/index.php/topic,65233.0/all.html

        1 Reply Last reply Reply Quote 0
        • perikoP
          periko
          last edited by

          Ese mismo…

          Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
          www.bajaopensolutions.com
          https://www.facebook.com/BajaOpenSolutions
          Quieres aprender PfSense, visita mi canal de youtube:
          https://www.youtube.com/c/PedroMorenoBOS

          1 Reply Last reply Reply Quote 0
          • ZACZ
            ZAC
            last edited by

            ¿solo tienes el portal cautivo funcionando?, ¿que método uso tu amigo?, probare el que puso ptt aver que ondas.

            1 Reply Last reply Reply Quote 0
            • J
              joselms02
              last edited by

              Buenas noches, aquí esta una solución que yo aplique gracias a la ayuda de Periko, están los comandos para saltar el portal y probar, lo único malo para mi era que no podía salir con VPN.

              Me ayudo el amigo periko

              https://forum.pfsense.org/index.php?topic=65233.0

              Espero que le sirva.

              Saludos.-

              1 Reply Last reply Reply Quote 0
              • ZACZ
                ZAC
                last edited by

                ¿al final las reglas tienen que quedar como en este post? https://forum.pfsense.org/index.php/topic,65233.msg354618.html#msg354618

                1 Reply Last reply Reply Quote 0
                • J
                  joselms02
                  last edited by

                  Epale Zac, esa regla me funciono para que no saltaran el portal con el comando descrito, pero hay que pulirlo ya que a mi me bloqueaba el acceso a un servidor que ahora no recuerdo cual era y la salida por vpn me daba error de conexión.

                  Saludos.-

                  1 Reply Last reply Reply Quote 0
                  • pttP
                    ptt Rebel Alliance
                    last edited by

                    @ZAC:

                    ¿al final las reglas tienen que quedar como en este post?

                    Con la salvedad que es mejor tener TCP/UDP en lugar de solo UDP ;)

                    En el caso de la LAN, yo utilizo una regla con la opción "not" así tengo 2 Reglas en 1

                    Además aclaro que NO  utilizo el Portal Cautivo

                    Block_Ext_DNS.PNG_thumb
                    Block_Ext_DNS.PNG

                    1 Reply Last reply Reply Quote 0
                    • ZACZ
                      ZAC
                      last edited by

                      ¿osea que con una regla?

                      1 Reply Last reply Reply Quote 0
                      • pttP
                        ptt Rebel Alliance
                        last edited by

                        Es 1 Regla en la LAN, que utilizo en nuestra red, para evitar el uso de DNS's externos….

                        1 Reply Last reply Reply Quote 0
                        • ZACZ
                          ZAC
                          last edited by

                          Ok la apicare :D, ¿y borro todas las demás no?

                          1 Reply Last reply Reply Quote 0
                          • pttP
                            ptt Rebel Alliance
                            last edited by

                            Y como saldrás a internet si borras todas las demás….  :P

                            Por eso Aclaré que la regla era SOLO para evitar el uso de DNS's externos  ;)

                            Si tienes dudas respecto al tema, por que no mejor abres un hilo/tema Nuevo allí adjuntas unas capturas de pantalla de tus reglas, y planteas las dudas que tengas respecto a ellas ;)

                            1 Reply Last reply Reply Quote 0
                            • A
                              amnarl
                              last edited by

                              Saludos a todos mis estimados!! Este es un problema grave que se da en casi todas las redes inalambricas con Hostspot, claro esta como han aclarado cada uno de los compañeros aca que seria efectivo el salto del portal si poseemos reglas muy basicas y no se realiza el correspondiente monitoreo de funcionamiento de la red. Es un tema de seguridad muy importante que actualmente se esta proliferando en la red y ya hasta un usuario comun a veces hasta menores de edad estan aprendiendo a realizar estas practica. En mi experiencia y sobre lo que me he actualizado el secreto esta en como ha dicho nuestro maestro bellera, bloquear lo que no usamos y proteger lo que si usamos explico. Si no estas necesitando usar algunos puertos crea reglas para bloquear el acceso a los mismo antes se pensaba que alguien no podia saber que puertos tienes abierto y tirar ataques por alli hoy en dia es super facil hacer esto con herramientas como "Nmap" tanto en windows y linux en solo unos minutos puedes tener esta informacion con unos cuantos clic y como dicen luego de "googlear". El tema como digo no es ya solo un tema de evitar que te roben el acceso a internet si no quizas tambien brindar un servicio de calidad y seguro ya que en tu red de servicios hay clientes confiados en la buena administracion del mismo y estos pueden ser atacados por alguna falla de seguridad como saltarse el portal cautivo. Actualmente he encontrado una forma de proteger tanto a mis clientes como mis servidores de este tipo de incidente, en lo personal he creado una dmz bastante restringida a los usuarios en lan y inalambricos, en la subred de servicios a cliente esta bloqueado absolutamente todo por defecto uso squid no transparente y mediante el doy acceso a los puertos y servicios necesarios a los clientes. Obviamente poseo mi host spot para captar posibles clientes interesados en los servicios los cuales solo son redirigidos a mi portal web trabajado en un server aparte en debian (Apache2) aparte he configurado un rango ip para clientes activos en mi red de servicios y otro rango para los posibles clientes que solo veran el portal web y no acederan a mi server dns local ni ningun otro servicio su dns por defecto es pfsense. El uso de squid para esos posibles clientes esta bloqueado por si algun cliente le pasa el dato jajajaja. Tanto la respuesta del ping y otras cosas mas desde pfsense estan bloqueados. Es decir se puede hacer esto bien si se le pone algo de cariño. Fijense que ese jueguito que clonan la mac y se saltan el portal y navegan en este escenario no se podria porque clonarian la mac de un posible cliente y no de un cliente activo y esto es el pan diario de cada dia en redes bajo "Mikrotik" muchos hoy en dia aca en venezuela lo usan pero he detectado un monton de redes inalambricas en las cuales solo clonas la mac de algun usuario conectado y listo navegas haces y deshaces como deseas. Espero  le sirva de por lo menos un abre boca mi experiencia a aquellos interesados en prestar servicios de calidad usando pfsense … SALUDOS

                              Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                              http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.