Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
604 lecturas y 18 respuestas
  • Bloquear acceso a internet en una LAN

    Hola, no se si este tema corresponde exactamente a este subforo, pero me parece que pertenece al tema de seguridad.

    Tengo una red de equipos pertenecientes a un dominio de windows y salen a internet a traves de un router de fibra de movistar, pasando antes por un firewall. Los euipos tienen dirección fija, y el problema es que alguien puede venir y conectar su portatil, ponerse una dirección ip del rango de la LAN y navegar. ¿Como podría impedir que esos ordenadores navegen a internet teniendo en cuenta que pueden ser los mismos usuarios que utilizan las máquinas del dominio?

    Alguien sabe como podría hacerlo?

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    • Boca de Pez Boca de Pez
      6

      Aquí el tema de la seguridad es más físico que lógico en este…

      Aquí el tema de la seguridad es más físico que lógico en este caso. Ignoro si alguien ajeno a la red tendría la posibilidad de pinchar un equipo, pero en ese caso un posible bloqueo sería la necesidad de introducir credenciales, tipo proxy, para poder tener acceso a Internet... pero obligar a todo el mundo a introducir credenciales, no impide que un usuario legítimo conecte un equipo propio ajeno a la empresa.

      Creo que la solución sería crear una lista blanca de MACs permitidas y bloquear todas las demás. Es más difícil, aunque tampoco imposible, que un luser típico tenga conocimientos para clonar MACs.

      • Exactamente, esos son los problemas que tengo. Había pensado…

        Exactamente, esos son los problemas que tengo.

        Había pensado en crear una lista blanca de macs, pero en Zeroshell no veo como. No tendría problema en utilizar cualquier otro software firewall donde pudiera implementar estas listas. ¿Conoces alguno de software libre que tenga estas funciones?

        Otra forma, supongo sería crear un certificado e instalarlo en cada una de las máquinas, para se autentifiquen con el proxy de red, ¿no es así?

          • Pero eso sería extremadamente complicado, porque tendría que…

            Pero eso sería extremadamente complicado, porque tendría que registrar en cada boca todas las posibles mac que pudieran conectarse, y tengo mas de 100 bocas en los swicth y alrededor de 80 equipos.

            Debe haber alguna forma menos compleja o me tengo que pegar un tiro.

            • en cada boca todas las posibles mac que pudieran conectarse…

              en cada boca todas las posibles mac que pudieran conectarse

              en una red bien hecha, debe de haber un unico equipo por boca .. pero bueno :D ..

              Haz lo que te han comentado los compañeros, sobre las MAC's y el firewall ...

              • Es cierto, pero aqui suele haber cierta movilidad y, aunque…

                Es cierto, pero aqui suele haber cierta movilidad y, aunque no todos, pero se suelen cambiar los equipos de sitio. No es frecuente pero cuando hay reestructuración se modifican bastante las ubicaciones y se cambian equipos.

        • Boca de Pez Boca de Pez
          6

          Si la seguirdad es importante y el problema es que cualquiera…

          Si la seguirdad es importante y el problema es que cualquiera puede pinchar sus equipos te propongo 802.1x. Me suena que en su momento Microsoft reinventó la rueda con una tecnología parecida.

          • Boca de Pez Boca de Pez
            6
            Ahí me pillas. Si con eso atajo el problema, bienvenido sea…

            Ahí me pillas. Si con eso atajo el problema, bienvenido sea tu consejo. El problema es que no se como se implementa.

      • Boca de Pez Boca de Pez
        6

        No se como debo tomarme lo que acabas de decir. En este mundo…

        No se como debo tomarme lo que acabas de decir. En este mundo todos tenemos nuestras carencias y aprendemos segun las oportunidades. Y eso nos afecta a todos en mayor o menor medida y segun que actividades y cuando hay lo que hay y a uno le exigen mas de lo que reconcen en su puesto de trabajo, pues hace lo que puede.

    • es verdad que el 802.1x mola .. y mucho ;) eso sí... está…

      es verdad que el 802.1x mola .. y mucho ;)

      eso sí... está todo el rollo de certificados, creo ...