Portal Cautivo

[Esteban De La Fuente Rubio]

El día 12 de mayo de 2014, 18:33, Patricio Morales
<airwolf97 en gmail.com> escribió:
> El 12 de mayo de 2014, 15:58, Esteban De La Fuente Rubio
> <esteban en delaf.cl>escribió:
>
>> Hola,
>>
>> Apoyo la idea que filtrar por MAC es mala idea, además que (si los APs
>> son sencillos) es muy poco escalable y se dificulta la administración.
>> Si bien una alternativa con un portal cautivo puede ser buena idea
>> (siempre y cuando sigas usando una clave WPA para cifrar) te
>> recomiendo el uso de WPA-Enterprise, o sea con un servidor RADIUS le
>> das usuario y clave a cada usuario de la red inalámbrica. En la misma
>> configuración de pfSense puedes configurar esto y te permite indicar,
>> por ejemplo, cuantas sesiones permites abiertas a dicho usuario.
>> Entonces si un profe da o "pierde" la clave, solo otro más la podrá
>> usar.
>>
>
> La idea es que eso se pueda complementar con alguna regla por mac-address ,
> de forma que aún
> cuando tengan la clave del portal cautivo, si entran con una mac- adress no
> registrada, por ejemplo
> el portal los redireccione a una página "Usuario no autorizado", y de fondo
> con un videito en formato .avi con la canción
> "trololo" ( http://www.youtube.com/watch?v=sTSA_sWGM44)...........XD.
> [...]

Otra alternativa es el portal cautivo autenticado contra freeradius
(también lo puedes hacer con pfSense), en este caso la clave WPA2-PSK
es compartida e incluso pública entre tus usuarios, y solo la usas
para encriptación, pero dejas la autenticación al portal cautivo. Si
además quieres agregar filtro por mac (y estás dispuesto a pagar el
sobrecosto de administrar eso) nada te impide hacerlo :D

Solo recuerda: a veces "mucha" seguridad o muchas medidas de seguridad
hacen engorroso los procesos para los usuarios, por eso yo decía
WPA-Enterprise, de esa forma solo usan un mecanismo de autenticación y
cifrado (más el squid que para tus usuarios es transparente).

Saludos!


-- 
Esteban De La Fuente Rubio
http://esteban.delaf.cl