Les recomiendo una buena opción de configuración en estos routers, consiste en no poner ninguna clave inalámbrica a este y conectarlo en la interfaz de red secundaria (la que reparte el intranet) y en medio de este un servidor linux que contiene un proxy bloqueador de paginas de internet (ya sea Squid u OpenDNS) con IPTABLES, (para cerrar los demás puertos que no sean http:// y ftp://) a su vez conectado al modem exterior (de extranet o verdadero internet) por la interfaz primaria. Todo el que entre al router que no este en los permitidos de la lista de control de acceso, se le bloquean absolutamente todas las paginas de internet, ya que los permitidos están anotados con su MAC address relativo a su dirección IPNoten que no estoy mintiendo:
Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP correspondiente a la red y la máscara de la sub-red. Por ejemplo, si se tiene una red donde las máquinas tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0, podemos utilizar lo siguiente:
acl miredlocal src 192.168.1.0/255.255.255.0
También puede definirse una Lista de Control de Acceso especificando un fichero localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones IP. Ejemplo:
acl permitidos src "/etc/squid/permitidos"
El fichero /etc/squid/permitidos contendría algo como siguiente:
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.15 192.168.1.16 192.168.1.20 192.168.1.40
Lo anterior estaría definiendo que la Lista de Control de Acceso denominada permitidos estaría compuesta por las direcciones IP incluidas en el fichero /etc/squid/permitidos.
El resto de la documentación esta aquí:
www.codigolibre.org Posted by Felipe Mateo
7 comments:
La opción que das de seguridad es muy buena, pero hay que tener cierto conocimiento avanzado.
Es verdad, pero si no quieres complicarte la vida.En mi caso tengo un AP Cisco, y lo que hago es un filtrado de Macs.Solo las macs que pongo en mi AP pueden acceder a el.
Simple!!!
Hey yo tengo un AP de cisco tambien como tu haces eso de filtrado de Mac????
Bueno en la configuracion por Browser que me imagino que tu sabes acceder a esa parte, hay una opcion en la pestaña de seguridad que te dice Mac. entras hay y pones las Mac de las pc que van a tener acceso al AP.
Que es squid? en visto ese termino Linuxiano en varias ocasiones pero aun no le llego al concepto.
Squid es un servidor proxy de Linux. entra a wikipedia que da un explicación detallada.
No es igual de efectivo que usar una clave WPA2... solo tengo que "snifar" el trafico de tu red y ver que equipos se estan conectando con tráfico al router inalámbrico... cuando pille unos cuantos equipos que estan conectados, ya sabe sus IP's y sus MACs...
Si tienes activado el DHCP, tu router me concedera la IP, y solo tengo que cambiar la MAC de mi tarjeta de red y poner una de las conectadas al router... si no tienes DHCP, ademas, solo pruebo con cualquier IP que no este en uso, y si no se conecta, por las IP's que esten conectadas, puedo deducir tus posibles mascaras de red, y si no averiguo las IP libres, pues me apunto todas las conectadas y en cuanto se libere alguna, me la adueño...
En fin, o mucho me equivoco, o es complicado, requiere tener un equipo extra siempre encendido, y es mas inutil que poner una contraseña WPA2, por que además saltarse la "proteccion" quiza lleve menos tiempo que reventar una simple WEP.
Lo mejor es juntar varios métodos de seguridad, yo tambien tengo filtrado MAC, pero con clave de seguridad activada, me parece grave que recomiendes no poner clave de seguridad
Publicar un comentario