BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Bloquear acceso a internet en una LAN

rucarmail

Hola, no se si este tema corresponde exactamente a este subforo, pero me parece que pertenece al tema de seguridad.

Tengo una red de equipos pertenecientes a un dominio de windows y salen a internet a traves de un router de fibra de movistar, pasando antes por un firewall. Los euipos tienen dirección fija, y el problema es que alguien puede venir y conectar su portatil, ponerse una dirección ip del rango de la LAN y navegar. ¿Como podría impedir que esos ordenadores navegen a internet teniendo en cuenta que pueden ser los mismos usuarios que utilizan las máquinas del dominio?

Alguien sabe como podría hacerlo?

BocaDePez
BocaDePez
1

Bloquea por defecto la salida en el firewall y autoriza solo a los equipos que quieras que si puedan salir.

🗨️ 4
rucarmail

Actualmente estoy usando como firewall Zeroshell, pero no sé o no tiene, forma de bloquear los equipos que yo designe, que supongo sería por mac. ¿Como tendría que hacerlo?

🗨️ 3
BocaDePez
BocaDePez

Creo, aunque no soy un experto en el tema, que Zeroshell solo bloquea por ip, no por MAC.

🗨️ 2
BocaDePez
BocaDePez

Ese es el problema. Si el usuario pone la ip de un equipo que si esta permitido en un equipo suyo particular, el firewall le deja pasar.

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Aquí el tema de la seguridad es más físico que lógico en este caso. Ignoro si alguien ajeno a la red tendría la posibilidad de pinchar un equipo, pero en ese caso un posible bloqueo sería la necesidad de introducir credenciales, tipo proxy, para poder tener acceso a Internet... pero obligar a todo el mundo a introducir credenciales, no impide que un usuario legítimo conecte un equipo propio ajeno a la empresa.

Creo que la solución sería crear una lista blanca de MACs permitidas y bloquear todas las demás. Es más difícil, aunque tampoco imposible, que un luser típico tenga conocimientos para clonar MACs.

🗨️ 1
rucarmail

Exactamente, esos son los problemas que tengo.

Había pensado en crear una lista blanca de macs, pero en Zeroshell no veo como. No tendría problema en utilizar cualquier otro software firewall donde pudiera implementar estas listas. ¿Conoces alguno de software libre que tenga estas funciones?

Otra forma, supongo sería crear un certificado e instalarlo en cada una de las máquinas, para se autentifiquen con el proxy de red, ¿no es así?

vukits

¿tus switches son gestionables?

🗨️ 7
rucarmail

No estoy seguro si son gestionables, creo que si, aunque no los administro yo, podría solicitar que lo hicieran en caso de que lo fueran.

🗨️ 6
vukits

lo que normalmente se hace es permitir sólo ciertas MACs(por no decir una única MAC) en un puerto de switch determinado.

🗨️ 3
rucarmail

Pero eso sería extremadamente complicado, porque tendría que registrar en cada boca todas las posibles mac que pudieran conectarse, y tengo mas de 100 bocas en los swicth y alrededor de 80 equipos.

Debe haber alguna forma menos compleja o me tengo que pegar un tiro.

🗨️ 2
vukits
🗨️ 1
BocaDePez
BocaDePez

Si la seguirdad es importante y el problema es que cualquiera puede pinchar sus equipos te propongo 802.1x. Me suena que en su momento Microsoft reinventó la rueda con una tecnología parecida.

🗨️ 1
BocaDePez
BocaDePez

Ahí me pillas. Si con eso atajo el problema, bienvenido sea tu consejo. El problema es que no se como se implementa.

BocaDePez
BocaDePez
-1

Es sencillo, que la empresa contrate a un informático cualificado.

NO al intrusismo informático.

🗨️ 1
BocaDePez
BocaDePez

No se como debo tomarme lo que acabas de decir. En este mundo todos tenemos nuestras carencias y aprendemos segun las oportunidades. Y eso nos afecta a todos en mayor o menor medida y segun que actividades y cuando hay lo que hay y a uno le exigen mas de lo que reconcen en su puesto de trabajo, pues hace lo que puede.

vukits

es verdad que el 802.1x mola .. y mucho ;)

eso sí... está todo el rollo de certificados, creo ...