Asignación dinámica para el encriptado wireless



  • La idea es tener una red "abierta" pero que cuando se conecte un cliente haya un encriptado de sus datos al vuelo, sin necesidad de clave.

    A ver el problema es evitar la configuración manual de una clave wep o wpa en los host pero sin los problemas de dejar la red abierta para que cualquiera puede leer el tráfico (de por ejemplo el portal cautivo). Hay alguna forma de lograr esto? no se muy bien por donde empezar.



  • ¿Quién hace de AP? ¿pfSense o APs fuera de pfSense?



  • En este caso sería pfsense, pues los aps están todos en modo puente



  • Leyendo algo del libro wndw3 http://wndw.net/pdf/wndw3-es/ comenta sobre el protocolo 802.11x con WPA
    Se trata de identificar usuarios con un servidor radius y asignar claves, veo que por ejemplo en los bullet ubiquiti hay opción de configurar wpa con EAP dar dirección del servidor radius y demas. En este caso el usuario podría ingresar a la red de forma encriptada sin necesidad de configurar contraseñas manualmente?



  • WPA permite varias opciones. Una de ellas es que los usuarios se validen en un Radius para tener acceso a la WLAN. Por lo que conozco, este método de acceso debe configurarse en los APs.

    http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access

    Lo que tu quieres es WPA Enterprise (mediante Radius) y no WPA Personal (mediante clave).

    No me queda claro que con pfSense como AP y como CP (Portal Cautivo) esto quede resuelto. Hay gente en este foro con mucha experiencia montando wireless. A ver si alguien dice algo…

    Te sugiero pienses en tener el AP (o los APs) fuera de pfSense con una distribución específica como http://es.wikipedia.org/wiki/DD-WRT

    También puedes optar por algo "propietario" como equipos de http://www.mikrotik.com (económicos) o el switch D-Link DWS-3024L que permite alimentar/configurar/controlar hasta 24 APs de la propia marca. Este último es una estructura costosa pero permite cubrir grandes edificios de forma centralizada.



  • @bellera:

    WPA permite varias opciones. Una de ellas es que los usuarios se validen en un Radius para tener acceso a la WLAN. Por lo que conozco, este método de acceso debe configurarse en los APs.

    http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access

    Lo que tu quieres es WPA Enterprise (mediante Radius) y no WPA Personal (mediante clave).

    No me queda claro que con pfSense como AP y como CP (Portal Cautivo) esto quede resuelto. Hay gente en este foro con mucha experiencia montando wireless. A ver si alguien dice algo…

    Te sugiero pienses en tener el AP (o los APs) fuera de pfSense con una distribución específica como http://es.wikipedia.org/wiki/DD-WRT

    También puedes optar por algo "propietario" como equipos de http://www.mikrotik.com (económicos) o el switch D-Link DWS-3024L que permite alimentar/configurar/controlar hasta 24 APs de la propia marca. Este último es una estructura costosa pero permite cubrir grandes edificios de forma centralizada.

    Pues, creo que la solución no esta en portal cautivo con redes abiertas pues la autentificación va en plano y para alguien sería fácil capturar la mac y la contraseña de un usuario. Mmm aunque en pfsense se puede usar una página sobre https lo que al menos evitaría eso (aunque el resto del tráfico viajaría en claro que es lo que no deseo)

    Si pongo los aps fuera creo que tendré un problema pues mi esquema de red no es en estrella sino en cascada por cuestiones de geografía y economía.  :'(


Locked