¿Cómo evitar que usuarios se asignen manualmente su IP?



  • @lalo:

    POR FAVOR AYUDA! cómo evito que algunos usuarios establezcan su IP manualmente dentro del rango "permitidos" ??



  • Ayuda!

    Necesito configurar 5 usuarios con acceso COMPLETO a internet y el resto solo acceso a gmail

    Hice lo siguiente:
    -Configuré DHCP Static Mapping para los 5 usuarios dándoles IP's dentro de 192.168.1.2 -> 192.168.1.20
    -Configuré DHCP dinámico en el rango 192.168.1.21 -> 192.168.1.254
    -Con SquidGuard dí acceso completo al rango 192.168.1.2 -> 192.168.1.20 y acceso limitado al resto

    Todo funciona perfectamente, pero si algún usuario configura su ip MANUALMENTE a 192.168.1.19 por ejemplo, entonces todo mi control de acceso se vuelve inútil =(

    Me es imposible hacer Static Mapping para todas las máquinas de la red, QUE PUEDO HACER???



  • Si estas usando equipos con windows podrias por medio de politicas de Active Directory deshabilitar que los usuarios puedan cambiar este tipo de cosas.
    Ademas te recomendaria que uses dhcp leases para identificar tus equipos y saber quien es quien.



  • habilita las opcines deny unknow clients y enable static arp entries en tu dhcp server, en caso de que no tuvieras un AD, en mi caso esto lo realizo por medio de politicas



  • Al momento de crear los usuarios,  puedes configurarlos como usuarios restringidos y no como administradores. De esa forma queda deshabilitada la opcion de configurar la ip o la hora y otras cosas más.



  • Hay alguna forma de hacerlo sin tener que configurar TODAS las computadoras de la red?

    es decir.. únicamente configurar un static mapping para las 5 computadoras y darles acceso full
    y dejar que el resto tome sus direcciones del dhcp con acceso limitado.

    Hay usuarios muy mañosos que intentan configurar manualmente su IP para entrar dentro del rango de IP's con acceso full

    La opción de configurar CADA una de las computadoras que entran a la red es complicada

    Debe existir una forma…. de otro modo la seguridad que ofrece el filtro de contenidos por rango de IP sería muy fácilmente vulnerada



  • Consulta tienes un Active Directory en tu red??



  • ni no tienes AD solo dale permisos de usuarios limitados o simplemente usa gpedit.msc en cada equipo y le quitas la opcion de red. es mucho mas latoso pero es mandar la politica por el AD, o quitarle el permiso de administrador o configurar equipo por equipo



  • Correcto como dice dementekuatiko seria mas laborioso tener que aplicar las restricciones equipo por equipo, pero en caso de no tener el AD lo tendrias que hacer de esta manera



  • no, no tengo active directory.. estoy buscando una solución práctica, barata y que requiera mínimo mantenimiento
    Usando PFsense

    Escenario:

    1. Una oficina quiere darle internet FULL a los directores (5)
    2. Internet limitado a los empleados y visitantes (100+) por ejemplo solo gmail, hotmail y yahoo
    3. Me pagarán por instalar, configurar e irme.. cero mantenimiento (o lo mínimo)
    4. Algunos empleados saben que si configuran su IP pueden caer en el rango de internet FULL

    Mi problema es que si uso la opción "deny unknown clients" en el DHCP la opción 2) requiere MUCHO mantenimiento
    si no uso "deny unknown clients" caigo en el problema 4)

    Quisiera bloquear por MAC u obligar a que algunas MAC con privilegios queden forzosamente ligados a su IP con privilegios

    El firewall y SquidGuard únicamente me permite hacer filtro por IP, no es posible por MAC..

    Qué se puede hacer?? alguien ha tenido este problema? cómo lo solucionó?



  • yo no soy quien para dar opiniones porque soy un neofito.

    Pero no seria mejor tener tres redes: wan , lan con los 5 superjefes  :D y opt1 con los demas plebeyos.

    Asi tendran diferentes redes y te sera mas facil controlarlos. pienso yo.

    es solo una idea.



  • bueno. tres tarjetas de red suena lógico. pero debe haber una forma de hacer que pfsense niegue el acceso a cualquiera que no tenga una dirección mac->ip  asignada por él



  • hay ya me pillas yo llevo solo unos dias usando pfsense.

    a ver si bellera sabe algo de eso.

    pero pienso que lo mejor es lo que te he dicho de la 3 tarjetas y le creas una reglas para dejar pasar solo lo que venga de su subred y aunque cambien la ip el pfsense no les dejara salir.

    esto solo es una idea que no se si funcionara, espero que bellera lo confirme.



  • @leoalfa09:

    habilita las opcines deny unknow clients y enable static arp entries en tu dhcp server, en caso de que no tuvieras un AD, en mi caso esto lo realizo por medio de politicas

    leoalfa09 os contestó con las únicas opciones posibles. O controlador de dominio (si las estaciones son Windows) o DHCP estático "cerrado" con pfSense.

    Hace un DHCP estástico "cerrado" tampoco es complicado, porque pfSense te permite capturar fácilmente las MAC a partir de los DHCP Leases.



  • pero yo creo, con todos mis respectos bellera, que estas en las mismas con el dchp cerrado porque si un usuario asigna su ip manualmente dentro del rango bueno tendria acceso full.

    ¿No seria asi?

    yo defiendo mas mi idea de 3 interfaces.  ::) yo porlo menos lo haria asi.



  • el problema con las tres interfaces y corrijanme si me equivoco, es que el squid se aplica a una interfaz, por ejemplo lan, al agregar una opt1 no tendrias filtraje en esta interfaz..

    Por otro lado pensando en una interfaz extra, tus usarios tambien se podrian asignar ips de la nueva interfa, si conocieran el rango..

    Algo que estuve pensando era que una posibilidad es en tu interfaz lan solo permitas que las macs de los gerentes sean capaces de recibir dhcp, habilitas las opciones deny unknow clients y configuras todas las demas pcs con ipstatica, configurando en el squid como ips que no pasan por el proxy las de los gerentes osea sin bloqueos…



  • Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.

    Lo de las tres interfases es "otra cosa". Evidentemente, troceando la red se aumenta la seguridad. Ese fue justamente el principal motivo que me impulsó a emplear pfSense, separar mis usuarios: profesorado, alumnos y WiFi, tal como explico en el tutorial, www.bellera.cat/josep/pfsense/indice.html



  • Se que alguna vez lei algo acerca de este tipo de problema, no recuerdo como es q se llama para hacer este tipo de restricciones, pero es lo que utilizan los ISP para que por ejemplo yo conecte mi modem y al obtener mi direccion ip y todo esto, cuando lo configuro manualmente (asi coloque exactamente los mismos parametros) no funciona y no navego… Necesariamente para tener acceso tiene que ser el proveedor de internet que me de los parametros y asi logro el acceso...

    A esto es lo que te refieres con dhcp cerrado? si @bellera:

    Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.

    Osea pq si es asi podria dejar mi clave wifi abierta y ningun usuario con ip configurada manualmente deberia tener acceso a la red.

    Si logro conseguir como se llama a lo que hago referencia lo posteo a ver si alguno tiene idea de como hacerlo funcionar en pfsense.

    Saludos.-



  • Leyendo un poco creo que una solucion podria ser instalar el squid en un equipo aparte que no sea pfsense(recordemos que el squid de pfsense tiene sus limitantes) y ya en el squid en tu otro equipo podrias realizar el filtrado por mac no tendiras problema con ese tema.

    Busca en google por squid-arp
    Suerte!!!!!



  • que coloque mas tarjetas de red y punto.



  • Si tal y como dices, es un trabajo de hacer la instalación y fuera, creo que lo más sencillo para los que se queden, es tenerlo configurado en diferentes segmentos. Nadie podrá entrar en la interface de los "superjefes" ya que tan solo estarán conectadas las rosetas pertinentes a esa interface, los demás sea por estática o DHCP estarán limitados por las restricciones de la otra interface.

    Saludos.



  • el squid no asigna ip ni mac

    en wifi para poder asignar una ip fija  la unica foma es hacer autenticacion con wpa o wap2 (seguridad) por un radius pagado  (nose si los free los trae)


Log in to reply