Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
DHCP seguro (portal cautivo o similar)
36 views
Skip to first unread message
Leo Perez
Jul 1, 2016, 6:20:02 PM7/1/16
to
Hola Grupo.
Esto genera comodidad para los equipos nuevos pero tiene la contra que cualquiera que "enchufe" un equipo a la red ya queda conectado.
Les dejo una nueva consulta, en este momento en la red de mi empresa tenemos un server DHCP.
Esto genera comodidad para los equipos nuevos pero tiene la contra que cualquiera que "enchufe" un equipo a la red ya queda conectado.
Al respecto quisiera implementar una capa de seguridad para que cuando alguie conecte un nuevo equipo a la red, antes de que se le configure la red le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
Algo similar busco aplicar para los routers wifi.
Que se podría "armar"?
Muchas Gracias a todos!!!
Saludos.
Juan Pablo Jaramillo Pineda
Jul 1, 2016, 7:20:02 PM7/1/16
to
El día 1 de julio de 2016, 17:17, Leo Perez <leos.e...@gmail.com> escribió:
> Hola Grupo.
Hola
>
> Les dejo una nueva consulta, en este momento en la red de mi empresa tenemos
> un server DHCP.
>
> Esto genera comodidad para los equipos nuevos pero tiene la contra que
> cualquiera que "enchufe" un equipo a la red ya queda conectado.
Algunos equipos de red a nivel Ethernet dejan realizar filtrado por la
MAC de las tarjetas de red.
>
> Al respecto quisiera implementar una capa de seguridad para que cuando
> alguie conecte un nuevo equipo a la red, antes de que se le configure la red
> le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
No conozco algún sistema de login a nivel de capa 2 :(
>
> Algo similar busco aplicar para los routers wifi.
Esto sí se puede lograr con un servidor Radius.
>
> Que se podría "armar"?
>
> Muchas Gracias a todos!!!
Mucha suerte, saludos.
>
> Saludos.
--
Juan Pablo Jaramillo Pineda
Ingeniero en Sistemas y Computación
http://pablox.co
@pablox_co
> Hola Grupo.
Hola
>
> Les dejo una nueva consulta, en este momento en la red de mi empresa tenemos
> un server DHCP.
>
> Esto genera comodidad para los equipos nuevos pero tiene la contra que
> cualquiera que "enchufe" un equipo a la red ya queda conectado.
MAC de las tarjetas de red.
>
> Al respecto quisiera implementar una capa de seguridad para que cuando
> alguie conecte un nuevo equipo a la red, antes de que se le configure la red
> le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
>
> Algo similar busco aplicar para los routers wifi.
>
> Que se podría "armar"?
>
> Muchas Gracias a todos!!!
>
> Saludos.
--
Juan Pablo Jaramillo Pineda
Ingeniero en Sistemas y Computación
http://pablox.co
@pablox_co
Garacciolo Marcelo
Jul 1, 2016, 7:20:02 PM7/1/16
to
En los router tenes una parte que dice mac, para que pongas las mac un están habilitadas a conectarse a tu empresa.
http://askubuntu.com/questions/392599/how-to-reserve-ip-address-in-dhcp-server
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
http://forums.fedoraforum.org/showthread.php?t=211419
Garacciolo Marcxelo
Enviado desde TypeApp
Camaleón
Jul 2, 2016, 9:40:02 AM7/2/16
to
El Fri, 01 Jul 2016 19:17:21 -0300, Leo Perez escribió:
> Hola Grupo.
Ese formato...
> Les dejo una nueva consulta, en este momento en la red de mi empresa
> tenemos un server DHCP.
>
> Esto genera comodidad para los equipos nuevos pero tiene la contra que
> cualquiera que "enchufe" un equipo a la red ya queda conectado.
Hombre, no. Puedes crear varias redes, una local y otra para invitados
con acceso restringido (p. ej., que sólo puedan ver al router para
navegar por Internet). Pero eso no es cosa del DHCP sino de cómo
estructures tu red interna.
> Al respecto quisiera implementar una capa de seguridad para que cuando
> alguie conecte un nuevo equipo a la red, antes de que se le configure la
> red le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
Por MAC puedes filtrar pero es tedioso y poco práctico, además de que las
MAC se pueden alterar, no es un sistema fiable para el control de acceso.
> Algo similar busco aplicar para los routers wifi.
>
> Que se podría "armar"?
Puedes separar las redes pero el servidor con DHCP tendrá que tener al
menos 2 tarjetas instaladas.
Saludos,
--
Camaleón
> Hola Grupo.
Ese formato...
> Les dejo una nueva consulta, en este momento en la red de mi empresa
> tenemos un server DHCP.
>
> Esto genera comodidad para los equipos nuevos pero tiene la contra que
> cualquiera que "enchufe" un equipo a la red ya queda conectado.
con acceso restringido (p. ej., que sólo puedan ver al router para
navegar por Internet). Pero eso no es cosa del DHCP sino de cómo
estructures tu red interna.
> Al respecto quisiera implementar una capa de seguridad para que cuando
> alguie conecte un nuevo equipo a la red, antes de que se le configure la
> red le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
MAC se pueden alterar, no es un sistema fiable para el control de acceso.
> Algo similar busco aplicar para los routers wifi.
>
> Que se podría "armar"?
menos 2 tarjetas instaladas.
Saludos,
--
Camaleón
William Romero
Jul 2, 2016, 11:20:03 AM7/2/16
to
> El Fri, 01 Jul 2016 19:17:21 -0300, Leo Perez escribió:
>
>> Hola Grupo.
>
> Ese formato...
>
>> Les dejo una nueva consulta, en este momento en la red de mi empresa
>> tenemos un server DHCP.
>>
>> Esto genera comodidad para los equipos nuevos pero tiene la contra que
>> cualquiera que "enchufe" un equipo a la red ya queda conectado.
>
>
>> Al respecto quisiera implementar una capa de seguridad para que cuando
>> alguie conecte un nuevo equipo a la red, antes de que se le configure la
>> red le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
>
>> alguie conecte un nuevo equipo a la red, antes de que se le configure la
>> red le pida un usuario contraseña, o bien algún control por MAC ADDRESS.
>
>> Algo similar busco aplicar para los routers wifi.
>>
>> Que se podría "armar"?
>
>>
>> Que se podría "armar"?
>
Una de la cosas mas senscillas de fitracion para validar los usuarios es por MAC desde un APoint, en eso no tendras problemas
por lo Otro de igual manera en iptables pode hacer lo mismo.
http://www.enlinux.org/filtrar-acceso-de-direcciones-ip-y-mac-addres-en-el-servicio-ssh-de-gnulinux/
saludos
WRC
>
JavierDebian
Jul 2, 2016, 8:10:02 PM7/2/16
to
El 01/07/16 a las 19:17, Leo Perez escribió:
Si tenes ese tipo de problemas, es que tus usuarios no son muy confiables.
Eso no es nada raro, pero el daño depende de la capacidad de los mismos
para saltarse las restricciones.No se cómo tienes montado el servidor
DHCP, si es un equipo dedicado a esa tarea y que funge como enrutador
(router), o usas las bondades de un enrutador de buena marca.
Desde un "router" más o menos bueno, podés ir cargando las MAC de los
equipos que se vayan a conectar, sin inconvenientes, y de esa manera
sólo los equipos autorizados pueden conectarse.
La forma de saltarse la restricción es clonado las MAC en las placas de
red. Los enrutadores son un poco tontos, y dan como válidas mil y una
conexiones con la misma placa de red.
Por eso es conveniente pasarle este trabajo a una máquina que funcione
como router y contrafuegos del sistema.
Uno muy bueno es ZeroShell http://www.zeroshell.org/
(Es con el que más he trasteado, justamente para saltármelo)
Los "usuarios y contraseñas" al momento de la conexión son los "portales
cautivos" que mencionas, y ZeroShell también lo maneja.
La forma de saltear el límite a esto es que alguien en alguna máquina
con más de una placa de red comparta la conexión a través de reglas NAT
en su máquina y de allí difunda la conexión.
Como alguno ha hecho
https://lists.debian.org/debian-user-spanish/2016/06/msg00098.html
En pocas palabras, la seguridad de la red depende de cuan honrado son
tus usuarios.
Acá tenés una lista de "firewalls"
https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions
Por lo que el submundo suele comentar, Smoothwall sería el mejor.
Nunca lo usé, y espero no topármelo en algún lado.
JAP
Eso no es nada raro, pero el daño depende de la capacidad de los mismos
para saltarse las restricciones.No se cómo tienes montado el servidor
DHCP, si es un equipo dedicado a esa tarea y que funge como enrutador
(router), o usas las bondades de un enrutador de buena marca.
Desde un "router" más o menos bueno, podés ir cargando las MAC de los
equipos que se vayan a conectar, sin inconvenientes, y de esa manera
sólo los equipos autorizados pueden conectarse.
La forma de saltarse la restricción es clonado las MAC en las placas de
red. Los enrutadores son un poco tontos, y dan como válidas mil y una
conexiones con la misma placa de red.
Por eso es conveniente pasarle este trabajo a una máquina que funcione
como router y contrafuegos del sistema.
Uno muy bueno es ZeroShell http://www.zeroshell.org/
(Es con el que más he trasteado, justamente para saltármelo)
Los "usuarios y contraseñas" al momento de la conexión son los "portales
cautivos" que mencionas, y ZeroShell también lo maneja.
La forma de saltear el límite a esto es que alguien en alguna máquina
con más de una placa de red comparta la conexión a través de reglas NAT
en su máquina y de allí difunda la conexión.
Como alguno ha hecho
https://lists.debian.org/debian-user-spanish/2016/06/msg00098.html
En pocas palabras, la seguridad de la red depende de cuan honrado son
tus usuarios.
Acá tenés una lista de "firewalls"
https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions
Por lo que el submundo suele comentar, Smoothwall sería el mejor.
Nunca lo usé, y espero no topármelo en algún lado.
JAP
0 new messages