2014-05-13 9:37 GMT-04:00 Carlos Albornoz <[email protected]>: > Hacer cualquier cosa relacionada con MAC's no es bueno, Se confía > mucho en las MAC's y estas son super fácil de clonar, tanto en linux > como en windows. >
No necesariamente , si se ocupa autenticacion (802.1x) , pero para eso necesitas un switch que lo soporte... y eso escapa de algo free > > 2014-05-13 0:22 GMT-04:00 Esteban De La Fuente Rubio <[email protected]>: > > El día 12 de mayo de 2014, 18:33, Patricio Morales > > <[email protected]> escribió: > >> El 12 de mayo de 2014, 15:58, Esteban De La Fuente Rubio > >> <[email protected]>escribió: > >> > >>> Hola, > >>> > >>> Apoyo la idea que filtrar por MAC es mala idea, además que (si los APs > >>> son sencillos) es muy poco escalable y se dificulta la administración. > >>> Si bien una alternativa con un portal cautivo puede ser buena idea > >>> (siempre y cuando sigas usando una clave WPA para cifrar) te > >>> recomiendo el uso de WPA-Enterprise, o sea con un servidor RADIUS le > >>> das usuario y clave a cada usuario de la red inalámbrica. En la misma > >>> configuración de pfSense puedes configurar esto y te permite indicar, > >>> por ejemplo, cuantas sesiones permites abiertas a dicho usuario. > >>> Entonces si un profe da o "pierde" la clave, solo otro más la podrá > >>> usar. > >>> > >> > >> La idea es que eso se pueda complementar con alguna regla por > mac-address , > >> de forma que aún > >> cuando tengan la clave del portal cautivo, si entran con una mac- > adress no > >> registrada, por ejemplo > >> el portal los redireccione a una página "Usuario no autorizado", y de > fondo > >> con un videito en formato .avi con la canción > >> "trololo" ( http://www.youtube.com/watch?v=sTSA_sWGM44)...........XD. > >> [...] > > > > Otra alternativa es el portal cautivo autenticado contra freeradius > > (también lo puedes hacer con pfSense), en este caso la clave WPA2-PSK > > es compartida e incluso pública entre tus usuarios, y solo la usas > > para encriptación, pero dejas la autenticación al portal cautivo. Si > > además quieres agregar filtro por mac (y estás dispuesto a pagar el > > sobrecosto de administrar eso) nada te impide hacerlo :D > > > > Solo recuerda: a veces "mucha" seguridad o muchas medidas de seguridad > > hacen engorroso los procesos para los usuarios, por eso yo decía > > WPA-Enterprise, de esa forma solo usan un mecanismo de autenticación y > > cifrado (más el squid que para tus usuarios es transparente). > > > > Saludos! > > > > > > -- > > Esteban De La Fuente Rubio > > http://esteban.delaf.cl > > > > -- > Carlos Albornoz C. > Linux User #360502 > Fono: +56997864420 > -- Miguel
