Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 07 Feb 2013 19:32:12 GMT

mariomiranda — Thu, 07 Feb 2013 19:32:12 GMT

Se agradece el aporte, me ayudó a aprender algo para darle mas seguridad a mi equipo, saludos

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Sat, 19 Jan 2013 22:04:10 GMT

XibkayZacek — Sat, 19 Jan 2013 22:04:10 GMT

Hola que tal a todos, he estado haciendo experimentos al respecto y aqui les publico la imagen de mi ultimo experimento que me estaria resolviendo el problema planteado

*** ¿ COMO EVITAR EN INTERFACE WLAN ENTRAR A WEBGUI DE PFSENSE ? RESUELTO AL 100%**

1.- tomando como base el ejemplo http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635
se resuelve el que los usuarios malintencionados de WLAN puedan entrar a la WEBGUI de PFSENSE para tratar de hacer travesuras al servidor
de esta manera queda totalmente resuleto el problema de seguridad.

2.- Despues me surgio la inquietud de que yo siendo usuario WLAN, si ponia en el navegador la ip de la interface LAN se desplegaba de nuevo la WEBGUI de PFSENSE….. rayos .... ¿seguimos con el problema de seguridad? ya que repito cualquier usuario desde WLAN malintencionado podria intentar nuevamente hacer de las suyas en la WEBGUI DE PFSENSE.
aparentemente lo acabo de resolver hace unos segundos, y lo que hice fue copiar la misma regla, pero con la variante que en destino ahora puse la interface LAN.

De este modo un usuario malintencionado cualquiera que sea, conectado por dhcp a mi interface WLAN.... no podra entrar a webgui.....aunque ponga la ip de la interface WLAN y tampoco aunque llegue a poner la ip de la interface LAN. el navegador responde para ambos casos que la pagina web esta tardando mucho en respondr o que simplemente no esta funcionando y sale una pagina blanca y de ahi no pasa, asi pues les informo que he resulto mi problema de seguridad al 100 % y la administracion de WEBGUI esta restringida con acceso unicamente desde interface LAN.

Saludos Cordiales desde Puebla Puebla México

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Wed, 16 Jan 2013 20:58:14 GMT

c_setup — Wed, 16 Jan 2013 20:58:14 GMT

Saludos, mira te envio la regla que implemente y ya no entran en el webgui, desde la wifi-subnet

proto source port destination port gateway Queve
TCP/UDP * * ip-firewall 80 - 443 * none

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Tue, 15 Jan 2013 11:48:55 GMT

ptt — Tue, 15 Jan 2013 11:48:55 GMT

???

En la regla de "WLAN", destination, no debería ser: "WLAN Address" ?

Para Bloquear las 2 IPs (del menú Web) puedes crear un Alias con las IPS: 10.252.255.254 y 10.253.255.254, y modificas la regla de bloqueo de la interface WLAN,poniendo como destino (destination) el alias conteniendo las 2 IPs

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Tue, 15 Jan 2013 06:04:33 GMT

XibkayZacek — Tue, 15 Jan 2013 06:04:33 GMT

Pues ya hice los cambios que me sugieren. anexo imagenes de como quedaron las reglas en interface LAN e interface WLAN

pero al poner en el navegador la ip de LAN : 10.253.255.254 desde WLAN con ip asignada por DHCP = 10.252.71.19/16

me vuelve a desplegar la pagina de login de WEBGUI. y pos ahora si que no se si este haciendo bien las cosas con mis reglas de firewall en ambas interfaces

Saludos

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Mon, 14 Jan 2013 15:57:46 GMT

wirklich — Mon, 14 Jan 2013 15:57:46 GMT

ok muchas gracias por el dato lo tomare en cuenta :)

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Fri, 11 Jan 2013 05:43:18 GMT

XibkayZacek — Fri, 11 Jan 2013 05:43:18 GMT

En efecto lo que espero es que aunque en el navegador ponga la IP de la interface LAN, estando conectado( en WIFI_ZONE) interface WLAN , no me despliegue la pagina WEBGUI de PFSENSE, ya que la administracion WEBGUI se hara unicamente en la interface LAN.

Hare los cambios sugeridos y probare como se comporta el PFSENSE y aqui les estare comentado al respecto

Saludos desde Puebla Puebla México

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 10 Jan 2013 19:12:15 GMT

ptt — Thu, 10 Jan 2013 19:12:15 GMT

Efectivamente, la regla "Allow WLAN to ANY" es muy permisiva, la puedes modificar y en "Destination" marcas "not" " LAN Subnet" de esta forma los usuarios de WLAN acceden a todo (ANY) pero NO a la red LAN

En la regla de la imagen de mi primer post, tienes como queda la regla…. http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635

Tambien, si lo prefieres puedes crear otra regla en WLAN (arriba de la regla "Allow WLAN to ANY") bloqueando trafico de "ANY" hacia "LAN"

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 10 Jan 2013 16:08:34 GMT

XibkayZacek — Thu, 10 Jan 2013 16:08:34 GMT

Aqui agrego el screen de como quedaron las relgas del firewall en la interface WLAN, el que se nombra WIFI_ZONE es un 3COM OfficeConect Wireless 11g Cable/DSL Gateway, a este equipo se le desactivo el DHCP Server interno y se interconecta por medio del puerto Ethernet 1, y es asi como ya la maquina PFSENSE se encarga de asignar DHCP para el Access Point….

Saludos cordiales

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 10 Jan 2013 12:00:56 GMT

ptt — Thu, 10 Jan 2013 12:00:56 GMT

@ XibkayZacek

Por favor adjunta una captura de panatalla de tus reglas de FW de la interface "WIFI_ZONE" (abajo, Additional Options… Attach: )

Seguramente tienes una regla muy "permisiva"

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 10 Jan 2013 05:44:41 GMT

c_setup — Thu, 10 Jan 2013 05:44:41 GMT

Saludos, este es mi primer aporte, si estoy mal mil perdones, solo aplica la misma regla que en WIFI_ZONE para tu IP LAN_ZONE y de esta forma no entraran en tu webgui.
P.D. Quiero agradecer a toda la comunidad por este maravilloso sitio, tengo mas de 4 años leyendo y leyendo no digo nombres para no herir susceptibilidades, pero creo que debo hacer una mención especial al MASTER Ballera, por su incalculable aportación. Gracias

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Thu, 10 Jan 2013 03:18:40 GMT

XibkayZacek — Thu, 10 Jan 2013 03:18:40 GMT

Que tal bueno pues ya he hecho los cambios y al parecer en la interface WIFI_ZONE quedo a la perfeccion el navegador devuelve que no puede encontrar la pagina WEBGUI o que esta fuera de linea …

ahora pasa algo chistoso. al cambiar el ip de la WIFI_ZONE por el ip de LAN_ZONE... vuelve a desplegar la pagina WEBGUI......
aclaro estoy conectado desde WIFI_ZONE..... a lo mejor por que yo me se la ip de la LAN_ZONE. pero ahorame surge una duda.... es posible evitar que aunque en WIFI_ZONE ponga la ip de LAN_ZONE tambien se pueda evitar que se despligue la pagina WEBGUI ???

interface WIFI_ZONE 10.252.255.254
interface LA_ZONE 10.253.255.254

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Tue, 08 Jan 2013 22:29:01 GMT

ptt — Tue, 08 Jan 2013 22:29:01 GMT

;D No es para tanto….

Simplemente, me parece mejor mantener el tema en el foro, ya que si te respondo por privado, pues la respuesta solo te sirve a ti, en cambio si se responde aquí puede servir a otro compañero que tenga una duda similar, cité tu MP para que no quede mas claro el porque de la respuesta (sino parecería que estoy hablando solo :P ).... nada mas

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Tue, 08 Jan 2013 04:47:59 GMT

XibkayZacek — Tue, 08 Jan 2013 04:47:59 GMT

Ok sorry por el privado aun son nuevo en el foro y no lo se usar bien aun. pero si comparot tu idea de no manejar los privados… mil disculpas :)

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Sun, 06 Jan 2013 15:17:42 GMT

ptt — Sun, 06 Jan 2013 15:17:42 GMT

@ XibkayZacek

Considero que es mejor mantener los temas en el foro, en lugar de manejarlos por "mensajes privados" (Cito MP)

@XibkayZacek:

Hola que tal, estoy viendo el grafico que mandaste, pero no tengo idea de como crear el manports, que ahi recomiendas, podrias ayudarme a como debo crear ese manports…

De antemano muchas gracias

ManPort es un Alias, que contiene los puertos….

Lo Creas desde: Firewall --> Aliases

Mas Info: http://doc.pfsense.org/index.php/Main_Page

Reply to Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense on Mon, 24 Dec 2012 12:41:24 GMT

ptt — Mon, 24 Dec 2012 12:41:24 GMT

Con una regla de Firewall bloqueando el acceso a la IP/puerto de la interface WLAN (justo a la inversa de la "Anti-Lockout Rule" de la LAN)