Problema de Seguridad…...



  • Buenas Tardes, tengo un problema con la configuración del PFSENSE la cual ilustrare y luego explicare el problema:

    INTERNET –------------------> PFSENSE --------------------> AP -------------------> Usuarios
    (172.16.1.0/26)                      (192.168.1.1/24)                (192.168.1.2/24)                    (192.168.1.100 - 160)

    Tengo configurado el PFSENSE con Portal Cautivo + SquidGuard y me funciona de maravillas pero acabo de darme cuenta de un problema de seguridad en el cual si una persona se conecta a mi SSID (WIFI) el PFSENSE lo conecta mi RED pero como dicha persona no posee USUARIO y CONTRASEÑA no puede navegar, pero puede conectarse a las pc's que pertenecen a mi RED (Puede copiar archivos de otras PC's que tengan carpetas compartidas y hasta tratar de tener acceso a mi SERVIDOR y/o AP).

    Por tal motivo, es una falla de seguridad muy peligrosa y es por eso que recurro al FORO para que me puedan ayudar.

    1.- ¿Cómo puedo evitar que personas que no tienen USUARIO y CONTRASEÑA puedan ver o incluso hacer PING a las PC's de mi RED?
    2.- ¿Es posible que PFSENSE "SEPARE" la red 192.16.1.0/26 de 192.168.1.0/24?, si fuera posible ¿Cómo hacerlo?}
    3.- Es posible que los usuarios de la red 192.168.1.0/24 puedan solo acceder y/o ver una dirección IP de la red 172.16.1.0/26 (por ejemplo 172.16.1.60 - Impresora de RED).

    De antemano, muchas gracias por su ayuda; el que les habla es una persona que recién esta empezando a usar PFSENSE y Linux.

    Saludos



  • si tienes un access point tiene que tener la opción  client isolation

    pero si hay más de un access point tienes que tener un switch administrable para las vlan



  • @jonmestev:

    si tienes un access point tiene que tener la opción  client isolation

    pero si hay más de un access point tienes que tener un switch administrable para las vlan

    Gracias amigo por tu respuesta, revisare si mi AP tiene es opción, pero la pregunta sigue siendo ¿Se puede separar o hacer que las 02 REDES no se puedan ver?

    Gracias



  • 1- Bloquea trafico ICMP
    2- Es posible ya sea con vlans o tarjetas fisicas separadas, tambien podrias asignar un rango especifico para tus clientes que se conectan por wifi y desde aqui jugr un poco con las reglas.
    3- si si es posible como te dije deberias jugar un poco con las reglas y aliases

    Suerte!!!!


Log in to reply