Portal Cautivo
Carlos Albornoz
caralbornozc en gmail.com
Mar Mayo 13 09:37:30 CLT 2014
Hacer cualquier cosa relacionada con MAC's no es bueno, Se confía
mucho en las MAC's y estas son super fácil de clonar, tanto en linux
como en windows.
2014-05-13 0:22 GMT-04:00 Esteban De La Fuente Rubio <esteban en delaf.cl>:
> El día 12 de mayo de 2014, 18:33, Patricio Morales
> <airwolf97 en gmail.com> escribió:
>> El 12 de mayo de 2014, 15:58, Esteban De La Fuente Rubio
>> <esteban en delaf.cl>escribió:
>>
>>> Hola,
>>>
>>> Apoyo la idea que filtrar por MAC es mala idea, además que (si los APs
>>> son sencillos) es muy poco escalable y se dificulta la administración.
>>> Si bien una alternativa con un portal cautivo puede ser buena idea
>>> (siempre y cuando sigas usando una clave WPA para cifrar) te
>>> recomiendo el uso de WPA-Enterprise, o sea con un servidor RADIUS le
>>> das usuario y clave a cada usuario de la red inalámbrica. En la misma
>>> configuración de pfSense puedes configurar esto y te permite indicar,
>>> por ejemplo, cuantas sesiones permites abiertas a dicho usuario.
>>> Entonces si un profe da o "pierde" la clave, solo otro más la podrá
>>> usar.
>>>
>>
>> La idea es que eso se pueda complementar con alguna regla por mac-address ,
>> de forma que aún
>> cuando tengan la clave del portal cautivo, si entran con una mac- adress no
>> registrada, por ejemplo
>> el portal los redireccione a una página "Usuario no autorizado", y de fondo
>> con un videito en formato .avi con la canción
>> "trololo" ( http://www.youtube.com/watch?v=sTSA_sWGM44)...........XD.
>> [...]
>
> Otra alternativa es el portal cautivo autenticado contra freeradius
> (también lo puedes hacer con pfSense), en este caso la clave WPA2-PSK
> es compartida e incluso pública entre tus usuarios, y solo la usas
> para encriptación, pero dejas la autenticación al portal cautivo. Si
> además quieres agregar filtro por mac (y estás dispuesto a pagar el
> sobrecosto de administrar eso) nada te impide hacerlo :D
>
> Solo recuerda: a veces "mucha" seguridad o muchas medidas de seguridad
> hacen engorroso los procesos para los usuarios, por eso yo decía
> WPA-Enterprise, de esa forma solo usan un mecanismo de autenticación y
> cifrado (más el squid que para tus usuarios es transparente).
>
> Saludos!
>
>
> --
> Esteban De La Fuente Rubio
> http://esteban.delaf.cl
--
Carlos Albornoz C.
Linux User #360502
Fono: +56997864420
Más información sobre la lista de distribución Linux