[Solucionado]¿Posible vulnerabilidad en mi red?

Iniciado por s0em, 30 Octubre 2010, 02:59 AM

0 Miembros y 2 Visitantes están viendo este tema.

s0em

Tengo mi red configurada de la siguiente manera: Hay varios AP distribuidos por todo el edificio que conducen a un servidor que tengo configurado como puerta de enlace que tiene instalado el PFSENSE y los routers que proporcionan la salida a internet estan configurados con las subredes 192.168.2.0/24 y 192.168.3.0/24. Para poder conectarme, tengo clave WEP en los AP y filtrado MAC en el PFSENSE asociando a cada una de estas una IP estatica.
Mi problema es el siguiente: Me puedo conectar directamente a los routers configurando manualmente la direccion IP de mi maquina. ¿Como podria restringir el acceso a internet a los que accedieran de esta forma?

Muchas gracias.

moikano→@

Creo que si tienes un filtrado de mac es un tanto difícil que entren en tu red, pero no imposibile. Si entienden de crackeadores wep y se dan cuenta de que está filtrado por mac y con IP estática pueden robarle las dos direcciones a algún cliente despues de denegarle el servicio desde el router al cliente. Yo te aconsejaría que si es una empresa que maneja muchos datos internos que son MUY confidenciales que quitaras la wifi y en caso de no poder quitarla (esto si que lo haría ya) por lo menos ponerle WPA2 con control de usuario. Es muchísimo mas segura que la WEP.
Espero que te sirva =)

s0em

Muchas gracias por la respuesta, pero creo que no me he explicado bien, ya que mi problema es mucho mas simple.
Directamente pueden acceder a los routers de esta manera: En conexiones de red/ Protocolo TCP/IP se pone una direccion IP dentro de la subred, la mascara y la puerta de enlace de cualquiera de los routers, que en este caso es 192.168.3.1 o 2.1 y luego los DNS en este caso los de telefonica. Se conectan a los AP con la contraseña ya que  son un usuarios de mi red, por lo que tendrian acceso al router que ellos eligieran, mientras que lo que yo quiero es distribuir los routers segun mi criterio.

Muchas gracias.

moikano→@

#3
OK, creo que lo e entendido. Lo mas fácil sería poner en cada router una contraseña distinta y por supuesto un WPA2 con control de usuarios. Con esta seguridad tienes la opción de que los usuarios se validen con su nombre y una contraseña propia. Así tienes la red mucho mas segura y además tienes controlados los routers y sus accesos.
Para tenerlo mas organizado podrías poner el nombre de la sección que quieras para cada router y sus usuarios, me explico.

Sección de administración de la empresa---->> ESSID=R1-ADM ------> Users= Juanito,Pablo,...
Sección de finanzas de la empresa ----->> ESSID= R1-FIN --------> Users= Antonio,Pepe,...
(Lo del ESSID es como se llama el router y como se ve en el ordenador cuando te conectas)

Y luego teniendo lo de WPA2 tienes el control total de acceso, ya que no podrán acceder de la forma que tu dices porque tendrán que tener validada la contraseña y el usuario, además si le pones filtrado por mac a cada usuario no podrán pasarse entre si las contraseñas de los routers. (A no ser que se pasen la mac también) Y si por si lo quieres hacer aún mas paranoico =), puedes bajar la señal del router para que se conecten justo los del área que desees.
Y en caso de que no quieras que entren en el router para modificar los datos de configuración ponle una contraseña y usuario que no sean los que trae el router por defecto, o bien deshabilita la configuración por http en los puerto ethernet que quieras. Si quieres hacerlo menos complicado cambia la dirección IP desde donde se modifica la configuración, aunque esto se podría sacar esnifando la red.

Si hay algo que no entiendes que es demasiado técnico dímelo y te lo explico en un momento. =)

s0em

Muchas gracias por tu ayuda, voy a ponerlo en practica.

Un saludo!