Seguridad y permisos acceso red
-
Les hablo de un centro educativo. Actualmente tengo montada una red local también con wifi. Los alumnos y profesores acceden a la misma, pero se les asigna por mac una vlan diferente con diferentes permisos. Se filtra por mac y no se permite si la mac no está en la lista. El problema es que los alumnos tienen acceso en los equipos a la contraseña de la wifi y a la mac de los mismos.
Creo que los alumnos ya se han dado cuenta que es factible clonar la mac.
¿Alguien puede darme otra idea con las opciones que ofrece pfsense para mejorar la seguridad?.
Gracias -
Hay diferentes formas de evitar en el captive portal la clonacion de la mac, puedes instalar un portal cautivo que pida user y password. Otra opcion es separar con routers en lugar de vlans. Si quieres ayuda por favor da mas informacion.
-
Este es el esquema de la red. Lo que quiero es evitar son dos cosas:
-
REDALUMNOS (vlanid 2) no tenga acceso a REDPROFESORES (vlanid 3)
-
Que los alumnos tengan acceso a la red con dispositivos diferentes a los ofrecidos por el centro.
Actualmente esto se realiza por filtrado MAC.
Si pongo portal cautivo:-
¿Los alumnos podrían usar el usuario y contraseña desde sus dispositivos?
-
Son 600 alumnos y 60 profesores como gestiono usuarios y contraseñas todos los años.
Busco una forma eficaz de mantener la seguridad de dicha red. Gracias
-
-
Ahora entiendo mejor, gracias. Con el portal cautivo puedes poner filtrado mac y que pida usuario (Red profesores) así solucionas que los alumnos accedan a ella. Por la parte de acceder desde diferentes dispositivos no veo el problema pero si lo quieres así puedes hacer también el Portal Captivo con filtrado mac, hay opciones para evitar la clonación de mac. Pero la que creo como mejor opcion es la de utilizar DHCP leases y prohibir el acceso a desconocidos, lo cual funcionaria en las dos redes. Con esta opcion tendras bastante trabajo pero creo que es la mejor, te dejo un par de manuales de "Bellera".
Manuales:
http://www.bellera.cat/josep/pfsense/Valladolid-2008-07-03_v12.pdf
http://www.bellera.cat/josep/pfsense/indice.htmlEspero haberte ayudado.
-
Tengo asctivado en el DHCP
"Deny unknown clients" Y "Enable Static ARP entries"
Y a cada MAC asociada una IP, pero no veo como esto evita el clonado de MAC.
¿Hay algo más que deba activar/configurar? -
Has leido los links que te he escrito? En ellos se explica pero aqui te dejo otro:
http://forum.pfsense.org/index.php?topic=52803.0
No entiendo porque no quieren permitir el uso de otros dispositivos por parte de los alumnos.
-
Hola, gracias por tus respuestas. Si los había leído ya hace tiempo, en el primero no indica nada de filtrado mac, y del segundo
http://www.bellera.cat/josep/pfsense/dhcp_cs.html tomé lo del filtrado MAC, he hecho lo que he indicado en el post anteior que a su vez es lo que se indica en dicho enlace, mi duda es si con eso evito que al clonar la mac de un equipo autorizado en otro que no lo está le de también acceso a este segundo.
He visto que hay una opción llamada "ARP Table Static Entry" en el DHCP al crear cada una de las asociaciones IP-MAC. ¿Es necesario habilitarla?
A la otra cuestión que planteas. No quiero que se conecten teléfonos móviles ipod… a la red, puesto que el centro ya tiene casi 200 equipos conectados y el ancho de banda de las ADSL no da para más.
Gracias por tu interés -
Red Profesores:
A menos que los alumnos entiendan de IT no creo que se molesten a escanear dicha red, encontrar MAC adresses y clonarlas pero mas vale poner reglas y paquetes para prevenirlo. Si utilizas un password potente (WPA2-PSK AES) y el filtrado de mac creo que esta la tienes solucionada.Red alumnos:
Mas o menos lo mismo que a la de profesores.He estado en el foro ingles y encontre que no es posible evitar el MAC spoofing al 100% pero si reducirlo, te dejo links de temas
http://forum.pfsense.org/index.php?topic=15163.0
http://forum.pfsense.org/index.php?topic=52803.0
http://forum.pfsense.org/index.php?topic=16631.0Si el problema es la poca velocidad de internet tambien puedes utilizar reguladores de caudal.
http://www.bellera.cat/josep/pfsense/indice.html