Seguridad Wireless - Wifi
Sistemas operativos => Zona GNU/Linux => Mensaje iniciado por: hammer en 04-09-2013, 13:00 (Miércoles)
-
Buenas.
Iremos al grano.
1.- Descripción del escenario:
1.1.- Escuela con 30 ordenadores portátiles que se conectan a la wifi (en unos meses el parque se ampliará a 50 portátiles)
1.2.- Punto de acceso WIFI conectado al router abierta sin contraseña, sin filtrado MAC, sin DHCP. Completamente abierta.
1.3.- Peligro de que los alumnos se conecten con sus móbiles, tablets, ...
2.- Objetivo
2.1.- desde un ordenador específico de sobremesa se debe centralizar, controlar y monitorizar todas las direcciones MAC que entran y salen del punto de acceso WIFI
2.2.- Podríamos filtrar MAC en la lista interna del punto de acceso WIFI pero no se permiten >25 direcciones
2.3.- se debe poder asignar un nombre (vincular) a una dirección MAC
3.- Supuesto escenario terminado (o lo que se espera tener)
3.1- El punto de acceso WIFI irá conectado por cable al ETH0 del ordenador. De este modo, el sistema podría monitorizar toda la actividad que entra y sale. El sistema, una vez configurado y teniendo la lista de MACs autorizadas, dejará pasar a los componentes de red WIFI a Internet mediante ETH1 que estará conectado al router.
3.2.- En una supuesta instalación correcta con su software concreto, la finalidad es poder tener un control de las direcciones MAC de todos los dispositivos autorizados/no autorizados (los 30 ordenadores portátiles), los profesores vendrán algun día con su tablet o portátil y es necesario poder acceder a la lista de direcciones para añadir como autorizada la dirección MAC de su dispositivo o cualquier otro dispositivo que entre temporalmente (visita de comerciales que necesitan conexión temporal a nuestra red)
Hemos probado varias distribuciones como ClearOS y similares.
¿Qué soft tenemos que usar para conseguir el objetivo?
Espero haber sido claro aunque un poco escueto con todo lo que queremos hacer. No dudéis en preguntar lo que no haya quedado claro.
Muchas gracias por todo.
-
Hola
¿y los profesores se van a conectar a esa red sin cifrado con sus portátiles?
Que osados jajjajajaj. Le voy a mandar el tema a samuellongui y jar que pilotan de esto .
Saludos
-
Marca y modelo del AP ?
Con OpenWrt (o firmwares similares) seguro que no tienes esa restricción de 25 equipos ...
Y sería bastante más práctico que tener un PC permanentemente encendido ...
-
Hola JAR229
Buena respuesta pero no es aplicable. Debe poder centralizarse todo desde un PC.
Gracias.
-
Mensaje recibido :D
Lo que se me ocurre:
Mediante un equipo Mikrotik tipo el 751, puedes monitorizar las mac que se conectan al ap y que te aparezcan en el log, guardar ese log en un archivo en la memoria del ap e incluso mandarlo por remoto a un servidor syslog.
Lo que has de hacer es habilitar el arp en la interfaz wlan pero antes añadir las mac que quieres permitir que se conecten. Despues de esto si unaac no autorizada se intenta conectar, no podra.
Otra solucion es mediante un hotspot identificando al usuario por user/pass en el portal cautivo.
Y la ultima que se me ocurre es montar un servidor pppoe y crearle a cada usuario el cliente pppoe en el portatil.
Todo esto mediante Mikrotik, desconozco otros sistemas
-
Joder que eficacia de gente responden rápido jajjajajajja. Gracias
-
Y estando de vacaciones... >:D
-
Samuelongui:
Bueno. Vale. Aceptamos Barco.
Digamos que no existe la distro GNU/Linux que estamos buscando y tenemos que reemplazar nuestro WIFI AP por un Mikrotik (tampoco es lo caro que sea)
El Mikrotik lo monto en un punto céntrico del instituto para dar máxima covertura WiFi a todos los puntos y le meto el cable ethernet hasta el router. ¿Me equivoco? O sea, tiro a la basura el AP que tenemos.
¿Podemos asignar nombres a las MACs autorizadas?
¿Cual es el límite en la lista de fitrado MAC?
Si el cacharro Mikrotik hace lo que espero que haga, pues nada. Adelante.
Gracias por tu respesta y felices vacaciones.
-
Distribuciones linux que hagan eso (y muchísimo más) las hay a patadas ... >:( >:( >:(
Se me ocurre por ejemplo SmoothWall http://www.smoothwall.org/
Joder que eficacia de gente responden rápido jajjajajajja. Gracias
Tenlo en cuenta a la hora de la paga ;D
-
necesitais un servidor con el demonio arpd y las herramientas de bridging.
ese "servidor" bien podria ser incluso un sistema embebido con openwrt.
en resumidas cuentas cualquier cosa que esté pensada para hacer de bridge/router y tenga cara y ojos.
y necesitáis cambiar de idea respecto al cifrado. ¡es totalmente suicida!
-
¿y los profesores se van a conectar a esa red sin cifrado con sus portátiles?
Que osados jajjajajaj.
Saludos
8)
y necesitáis cambiar de idea respecto al cifrado. ¡es totalmente suicida!
^-^
:P
Qué nooo!!! Que lo tenemos abierto por ahora mientras no empiezan las clases. Es temporal hasta que resuelva el tema del filtrado.
Es queee... como sois...
Saludos y muchas muchas muchas gracias por la ayuda.
-
ah vale xD
bueno. al margen de los consejos que no has pedido, mas o menos está claro, no?
cualquier cosa que coleccion tenga las bridgetools y arpd deberia servirte para hacer esto.
luego, como te comentan, hay distros especializadas.
-
lo que necesitas se llama Servidor y la mejor opción se llama Linux CentOS (aunque depende un poco de los gustos de cada uno), consume tan pocos recursos que si tienes un PC minimamente decente lo puedes virtualizar con VMware sin problemas.
otra opción es pasar por caja y usar routerOS, eso te convierte el PC en un súper router de la hostia bendita y todos los crustáceos, solo funciona en PC x86 así que cualquier patata de máquina que tengáis por ahí abandonada os sirve.
samuelongui seguro que conoce esto, a ver que opina.
y si no te quieres complicar mucho la vida lo mejor es Windows Server (ahora es cuando me lapidan).
un saludo
-
Hola
¿Que mas da windows server, si va sin cifrado jajjajaja. Ese es el menor de los males ?
Seguro que el profesor de informática se lo va a pasar como un chino viendo las fotos intimas de la becaria de ingles jajajjajajajja.
O quien sabe a lo mejor el de religión es un friky de la informática y monitorea al de informática jejej. Nunca se sabe
Saludos
-
patentarán un nuevo ataque:
profesor in the middle
-
Jajjajqkq.
-
patentarán un nuevo ataque:
profesor in the middle
jajajajajajajajajajajajajajaja >:( >:( >:(
-
Sr. Profesor, existen unos seres en el planeta que se llaman Informáticos y al igual que ellos no van por las casas y empresas dando clases de historia o de lengua usted no debería ir jugando a los administradores de sistemas.
solo es un consejo.
-
Pero mira que soys pérfidos lascivos. Que la wifi está abierta en el cole sin haber alumnos. Que es temporal hasta que empiecen las clases. :-\
y si no te quieres complicar mucho la vida lo mejor es Windows Server (ahora es cuando me lapidan).
A qué hora es "la reunión"?
Pues creo que ni Mikrotik ni SmoothWall. He encontrado IPCOP. A ver qué tal sale la cosa.
¿Alguien lo ha tocado/manejado?
Saludos.