Como evitar saltarse el portal cautivo y protegerse de ataques



  • hola amigos del foro, hace un tiempo instale pfsense pero todas las reglas estas por default.
    un amigo mio intento saltalser el portal mediante tunel DNS y efectivamente logro evadirlo.
    mi pregunta es:
    existe alguna forma de protegerme de esos ataques como tunel DNS, que me clonen las MAC ADDRESS y esas cosas?
    he activado la opcion Deny unknown clients en el DHCP pero si pongo las ip manual mente logra llegar al portal.

    alguien puede ayudarme a configurar las reglas y esas cosas para protegerme un poco

    gracias..



  • Puedes explicar este metodo, me gustaria verlo y ver como podriamos defendernos, saludos.


  • Rebel Alliance

    Por aquí un método; de los resultados de san google ;)

    http://www.hackplayers.com/2013/09/evadir-un-portal-cautivo-mediante-un.html

    No se si es que ha utilizado el amigo de djnegrosabio



  • Ese doc habla hacerca de los hotspots que regularmente no tiene la regla que niega hacer queries  a otros DNS que no sean los mismo que los del provedor ISP del hotspot.

    Anteriormente una persona en este foro, no tengo el hilo a la mano, tenia un caso similar a lo mejor es lo mismo.

    El problema que tenia era que su CP tenia las reglas basicas, la mas simple y menos recomendada.

    TCP/UDP desde la red del CP hacia fuera, o sea pasale sin broncas…

    Entonces, el me paso un link y claro que si se podia uno saltar el CP, pero cuando restringimos a nivel FW para que solo permitiera hacer queries DNS a el mismo pfsense solamente esto bloqueo el hoyo que tenia.

    O sea, las queries solo deben permitirse a el mismo pfsense a nadie mas, es mi forma de trabajar, y no he tenido problemas aca.

    Si este no es el caso, digan como para analizarlo, me interesa, saludos.


  • Rebel Alliance

    Periko, me parece que este es el hilo al que haces referencia: https://forum.pfsense.org/index.php/topic,65233.0/all.html



  • Ese mismo…



  • ¿solo tienes el portal cautivo funcionando?, ¿que método uso tu amigo?, probare el que puso ptt aver que ondas.



  • Buenas noches, aquí esta una solución que yo aplique gracias a la ayuda de Periko, están los comandos para saltar el portal y probar, lo único malo para mi era que no podía salir con VPN.

    Me ayudo el amigo periko

    https://forum.pfsense.org/index.php?topic=65233.0

    Espero que le sirva.

    Saludos.-



  • ¿al final las reglas tienen que quedar como en este post? https://forum.pfsense.org/index.php/topic,65233.msg354618.html#msg354618



  • Epale Zac, esa regla me funciono para que no saltaran el portal con el comando descrito, pero hay que pulirlo ya que a mi me bloqueaba el acceso a un servidor que ahora no recuerdo cual era y la salida por vpn me daba error de conexión.

    Saludos.-


  • Rebel Alliance

    @ZAC:

    ¿al final las reglas tienen que quedar como en este post?

    Con la salvedad que es mejor tener TCP/UDP en lugar de solo UDP ;)

    En el caso de la LAN, yo utilizo una regla con la opción "not" así tengo 2 Reglas en 1

    Además aclaro que NO  utilizo el Portal Cautivo




  • ¿osea que con una regla?


  • Rebel Alliance

    Es 1 Regla en la LAN, que utilizo en nuestra red, para evitar el uso de DNS's externos….



  • Ok la apicare :D, ¿y borro todas las demás no?


  • Rebel Alliance

    Y como saldrás a internet si borras todas las demás….  :P

    Por eso Aclaré que la regla era SOLO para evitar el uso de DNS's externos  ;)

    Si tienes dudas respecto al tema, por que no mejor abres un hilo/tema Nuevo allí adjuntas unas capturas de pantalla de tus reglas, y planteas las dudas que tengas respecto a ellas ;)



  • Saludos a todos mis estimados!! Este es un problema grave que se da en casi todas las redes inalambricas con Hostspot, claro esta como han aclarado cada uno de los compañeros aca que seria efectivo el salto del portal si poseemos reglas muy basicas y no se realiza el correspondiente monitoreo de funcionamiento de la red. Es un tema de seguridad muy importante que actualmente se esta proliferando en la red y ya hasta un usuario comun a veces hasta menores de edad estan aprendiendo a realizar estas practica. En mi experiencia y sobre lo que me he actualizado el secreto esta en como ha dicho nuestro maestro bellera, bloquear lo que no usamos y proteger lo que si usamos explico. Si no estas necesitando usar algunos puertos crea reglas para bloquear el acceso a los mismo antes se pensaba que alguien no podia saber que puertos tienes abierto y tirar ataques por alli hoy en dia es super facil hacer esto con herramientas como "Nmap" tanto en windows y linux en solo unos minutos puedes tener esta informacion con unos cuantos clic y como dicen luego de "googlear". El tema como digo no es ya solo un tema de evitar que te roben el acceso a internet si no quizas tambien brindar un servicio de calidad y seguro ya que en tu red de servicios hay clientes confiados en la buena administracion del mismo y estos pueden ser atacados por alguna falla de seguridad como saltarse el portal cautivo. Actualmente he encontrado una forma de proteger tanto a mis clientes como mis servidores de este tipo de incidente, en lo personal he creado una dmz bastante restringida a los usuarios en lan y inalambricos, en la subred de servicios a cliente esta bloqueado absolutamente todo por defecto uso squid no transparente y mediante el doy acceso a los puertos y servicios necesarios a los clientes. Obviamente poseo mi host spot para captar posibles clientes interesados en los servicios los cuales solo son redirigidos a mi portal web trabajado en un server aparte en debian (Apache2) aparte he configurado un rango ip para clientes activos en mi red de servicios y otro rango para los posibles clientes que solo veran el portal web y no acederan a mi server dns local ni ningun otro servicio su dns por defecto es pfsense. El uso de squid para esos posibles clientes esta bloqueado por si algun cliente le pasa el dato jajajaja. Tanto la respuesta del ping y otras cosas mas desde pfsense estan bloqueados. Es decir se puede hacer esto bien si se le pone algo de cariño. Fijense que ese jueguito que clonan la mac y se saltan el portal y navegan en este escenario no se podria porque clonarian la mac de un posible cliente y no de un cliente activo y esto es el pan diario de cada dia en redes bajo "Mikrotik" muchos hoy en dia aca en venezuela lo usan pero he detectado un monton de redes inalambricas en las cuales solo clonas la mac de algun usuario conectado y listo navegas haces y deshaces como deseas. Espero  le sirva de por lo menos un abre boca mi experiencia a aquellos interesados en prestar servicios de calidad usando pfsense … SALUDOS