Instalación pfsense en un servidor virtualizado
-
Trabajar acceso inalambrico por medio de claves??? Dioos que puedo decir…
-
amnarl, el hecho de usar claves para la parte inalambrica creo que no es algo nuevo y para el caso en el que los usuarios no son permanentes ayudo mucho tener un sistema como este, el sistema puede tener muchas variaciones. incluyendo la autenticacion por radius y algun sistema que pueda incluso generar las claves de manera dinámica como lo hace el controlador de Ruckus Wireless que basicamente se autogestiona. O simplemente pedirsela a la persona de recepcion que podria generarla via algun sistema web con la anuencia del depto de TI.
La red de invitados puede ser una interface independiente o una VLAN que unicamente permita el acceso hacia internet , para el caso de usuarios de la empresa fijos o temporales se puede asociar otro ESSID a otra VLAN o incluso a interfaces diferentes. Hay muchas maneras de resolver las cosas , el hecho de que no nos parezcan lo mejor para nosotros no implica que no le sean útiles a otras personas. Venimos para el foro tratando de encontrar algo de ayuda. Es muy posible que encontremos critica y hasta burla pero si posteamos creo que debemos de dar por lo menos alguna alternativa util.
Saludos
-
Trabajar acceso inalambrico por medio de claves??? Dioos que puedo decir…
Matarme la cabeza con un radius o portal, para personas quequizas nunca vuelvan a ira la empresa, no creo que sea algo por lo que deba sufrir. La solucion que tengo funciona y es segura. No tengo mi red comprometida por eso al final es lo que importa.
P.D tengo una solucion parecida y esa ni clave tiene :D :D :D ;)..
-
Esta bien Juancho, pero igual no aportas nada en el comentario. Cual seria la sugerencia ?
No todo mundo entiende de Vians o switches de capa 2 o tres . Tal vez una solución sería colocar otra interface con sus reglas de Shaping y salida de tráfico , no se , se me ocurre .
-
Yo hago la pregunta por este medio estimados porque estoy en proceso de practica… y lamentablemente no tengo mucho apoyo de las personas que trabajan en la parte de redes en esta empresa, he tenido que hacer todo yo sola y nadie me explica... por eso pregunto por este foro, ya que quiero darle luego la solución a la mejora de la red inalambrica.
Puede que sea buena o no la solución, pero solo necesito que me ayuden, porque estoy urgida con este tema.
Saludos.
-
Pues, en ese caso, debes crear la VLAN (en la que estará el CP para los invitados) tanto en Tu/s Switch/es como en el pfSense, y luego activas el CP en dicha VLAN ;)
https://forum.pfsense.org/index.php?topic=23409.0
-
Sres el tema es que realmente un portal cautivo dejando entrar hosts para darle conexion a internet en la misma subred de clientes es un fallo de seguridad barbaro a eso me refiero y las conexiones con claves como seguridad hoy dia no es una solucion profesional . Lo que yo sugiero es colocar otra subred bien sea fisica o por medio de vlan por donde pueda conectar a esos clientes ocasionales y habilitar la conexion por ese tiempo especifico estableciendo los parametros de su conexion y hasta donde pueden llegar. Que si usara radius u otra forma de activar la conexion a dichos clientes ya lo dejo a criterio de la compañera en lo personal le pudiera recomendar como dijo el compañero acriollo y dependiendo de sus conocimiento en sistemas web o la posibilidad dentro de su organizacion de usarlo, crear un sistema web donde el personal autorizado le cargue la informacion del equipo si sera por filtro de mac en pfsense que hara el servicio para asi activar la conexion en el portal durante el tiempo de estadia de dicho personal que requiere la conexion.
Jamas uno se imagina las cosas que pueden suceder en entornos como esos poco seguro y en la seguridad informatica si a veces hay que se medio paranoico protegerse de toda posible intrusion vuelvo y repito uno nunca sabe cuales son las intensiones de personas inclusive que pertenezcan a la organizacion por ello es mejor estar prevenidos mas en entorno donde hay data importante y sensible a cualquier usuario mal intencionado.
Espero me entiendan la sugerencia planteada a la compañera
NOTA: En ningun momento estoy estableciendo algun tipo de burla o quizas malos comentarios con mi respuesta anterior solo que me causo admiracion que en una organizacion estemos pensando en que la proteccion de acceso inalambrico sea por una clave al estilo routers en hogares cuando no es una cosa de otro mundo saber que existen sistemas al estilo mkbrutus que en tan solo 5 min pueden a fuerza bruta decifrar un password.
-
Sres el tema es que realmente un portal cautivo dejando entrar hosts para darle conexion a internet en la misma subred de clientes es un fallo de seguridad barbaro a eso me refiero y las conexiones con claves como seguridad hoy dia no es una solucion profesional
NOTA: En ningun momento estoy estableciendo algun tipo de burla o quizas malos comentarios con mi respuesta anterior solo que me causo admiracion que en una organizacion estemos pensando en que la proteccion de acceso inalambrico sea por una clave al estilo routers en hogares cuando no es una cosa de otro mundo saber que existen sistemas al estilo mkbrutus que en tan solo 5 min pueden a fuerza bruta decifrar un password.
Evidentemente, sabemos que aca son muchos los profesionales que hay no se trata de eso, pero si ves en mi intervencion inicial, claramente se le recomienda a la compañera, que esas redes deben estar separadas por cuestiones de seguridad
Yo resolvi eso con una Vlan+switch administrable +Access point.
Esta vlan esta totalmente desvinculada de las redes de la empresa, igual tiene sus niveles de seguridad para evitar que cualquiera se conecte. al llegar una "visita" simplemente le doy la clave y me olvido de registrar mac y todo eso. (anteriormente tenia que hacer eso). ahora me quite ese dolor de cabeza
aunque en realidad es una interfaz directa del pfsense a un switch administrable donde se crea la vlan para conectar los 5 AP a su red. No le veo la falta de seguridad ni la mala recomendacion..
-
Hola, creo que la idea desde un inicio es la de colocar la parte de invitados en otra subred con las respectivas reglas de seguridad, shaping, etc.
El dilema esta en como implementarlo, pero todo depende de las habilidades de cada uno o la facilidad para adquirirlas, informacion hay bastante en el foro.
Las opcione son :
Switch + VLANs + proceso de autenticacion
Interface independiente en el pfsense + proceso de autenticacion
Aps L2/L3 + Switch + proceso de autenticaionComo siempre hay varias maneras de atacar el problema y ya uno como administrador deberá de tomar las decisiones y responsabilidades correspondientes.
Ojala esto abone en algo positivo.
-
Estimados,
Para realizar el proceso de DHCP, debo crearlo en el mismo pfsense y después engancharlo a un DHCP diferente? o debo direccionarlo directamente al DHCP que hay en la empresa?
Muchas gracias por la ayuda.