Portal Cautivo
Miguel Angel
jokercl en gmail.com
Mar Mayo 13 10:51:17 CLT 2014
2014-05-13 9:37 GMT-04:00 Carlos Albornoz <caralbornozc en gmail.com>:
> Hacer cualquier cosa relacionada con MAC's no es bueno, Se confía
> mucho en las MAC's y estas son super fácil de clonar, tanto en linux
> como en windows.
>
No necesariamente , si se ocupa autenticacion (802.1x) , pero para eso
necesitas un switch que lo soporte... y eso escapa de algo free
>
> 2014-05-13 0:22 GMT-04:00 Esteban De La Fuente Rubio <esteban en delaf.cl>:
> > El día 12 de mayo de 2014, 18:33, Patricio Morales
> > <airwolf97 en gmail.com> escribió:
> >> El 12 de mayo de 2014, 15:58, Esteban De La Fuente Rubio
> >> <esteban en delaf.cl>escribió:
> >>
> >>> Hola,
> >>>
> >>> Apoyo la idea que filtrar por MAC es mala idea, además que (si los APs
> >>> son sencillos) es muy poco escalable y se dificulta la administración.
> >>> Si bien una alternativa con un portal cautivo puede ser buena idea
> >>> (siempre y cuando sigas usando una clave WPA para cifrar) te
> >>> recomiendo el uso de WPA-Enterprise, o sea con un servidor RADIUS le
> >>> das usuario y clave a cada usuario de la red inalámbrica. En la misma
> >>> configuración de pfSense puedes configurar esto y te permite indicar,
> >>> por ejemplo, cuantas sesiones permites abiertas a dicho usuario.
> >>> Entonces si un profe da o "pierde" la clave, solo otro más la podrá
> >>> usar.
> >>>
> >>
> >> La idea es que eso se pueda complementar con alguna regla por
> mac-address ,
> >> de forma que aún
> >> cuando tengan la clave del portal cautivo, si entran con una mac-
> adress no
> >> registrada, por ejemplo
> >> el portal los redireccione a una página "Usuario no autorizado", y de
> fondo
> >> con un videito en formato .avi con la canción
> >> "trololo" ( http://www.youtube.com/watch?v=sTSA_sWGM44)...........XD.
> >> [...]
> >
> > Otra alternativa es el portal cautivo autenticado contra freeradius
> > (también lo puedes hacer con pfSense), en este caso la clave WPA2-PSK
> > es compartida e incluso pública entre tus usuarios, y solo la usas
> > para encriptación, pero dejas la autenticación al portal cautivo. Si
> > además quieres agregar filtro por mac (y estás dispuesto a pagar el
> > sobrecosto de administrar eso) nada te impide hacerlo :D
> >
> > Solo recuerda: a veces "mucha" seguridad o muchas medidas de seguridad
> > hacen engorroso los procesos para los usuarios, por eso yo decía
> > WPA-Enterprise, de esa forma solo usan un mecanismo de autenticación y
> > cifrado (más el squid que para tus usuarios es transparente).
> >
> > Saludos!
> >
> >
> > --
> > Esteban De La Fuente Rubio
> > http://esteban.delaf.cl
>
>
>
> --
> Carlos Albornoz C.
> Linux User #360502
> Fono: +56997864420
>
--
Miguel
Más información sobre la lista de distribución Linux