BFW Firewall & Router

[MirageIII]

Arranque a leer sobre el tema ya que ni idea de q es radius o el servidor radius ( pense que era lo mismo pero no).
www.esdebian.org/foro/34418/servidor-radius
Como siempre no soy el unico hay de todo en la web me paresio piola. Este foro.
Ya hay algunos link hay.
Por ahora solo lectura para tomar algo de nivel y ver como se aplica.
Si tenemos algun genio. Sobre el tema !!! Froten ya esa lampara y que aparesca!

[juancho]

dejame recopilar todo lo que tengo.. y recordar como fue que lo configuré...hace unos meses que no veo este servidor

[MirageIII]

dejame recopilar todo lo que tengo.. y recordar como fue que lo configuré...hace unos meses que no veo este servidor

grande!! el pibee!!! ( y explica como se usa como si fuera un nene de jardin de infantes salita de 3 años)

[masilvad]

dejame recopilar todo lo que tengo.. y recordar como fue que lo configuré...hace unos meses que no veo este servidor

Juancho lo hiciste con brazilfw?

[niraseco]

Hola,

El día de hoy estuve investigando de como montar el servidor freeradius (el cual también está disponible para windows xp http://www.freeradius.net/index.php?opt ... =2&catid=3 , de fábula para los que virtualizamos), y de forma rápido conforme estuve viendo, hay que configurar los ap con seguridad wpa, y de acuerdo a este manualito http://www.proxyservicios.com/descargas ... basico.pdf hay que ir usuario por usuario o cliente por cliente (como prefieran llamarlo) para configurarle el equipo y que éste logre tener acceso a internet (tiene que obtner un certificado, la verdad el manual es muy superficial).
No sé ustedes, pero se mira bastante engorroso, pensé que el freeradius era algo asi como el easycaptive (login - password), donde todo estaba centralizado, pero no, segun entiendo hay que configurar los equipos de los clientes, lo cual lo hace perder atractivo.

En la distro pfsense (creo que así se escribe)(sería interesante si lees esto AdsWiFI, que comentaras un poco por favor, ya que según recuerdo tenes experiencia en esta distro) miré que ya tiene integrado el server radius y su portal cautivo, que lástima que para nuestro querido brazilfw hasta el momento no hay algo parecido (a excepción del easy captive). Estuve viendo en post anteriores que Juancho estuvo tratando de compilar el radius para brazilf (esos post datan del 2007), pero el asunto quedó en stanby.

Antes no le había puesto mente a la seguridad a las redes inalambricas (a pesar que tengo un graciosillo que desde hace rato se cambia las mac´s), pero he estado reflexionando sobre el peligro inminente que esto significa, perfectamente pueden obtener contraseñas de TODO, y eso es UN GRAN PROBLEMA.

¿Hay alguna manera que podamos evitar el Clonado de MAC, el snifeo (hay herramientas disponibles tanto como para linux como para windows), y mil maldiciones más?
¿La versión 3 trae algo que haga frente a esto?

Perdón por meter bulla al asunto, pero la verdad es preocupante esto, porque el mejor aliado para estos vagos que j0den, es el tiempo.

Saludos

[gamba47]

Yo tengo una pregunta, quizás es tonta.

No se puede usar OpenVPN y hacer una red adentro de la red ? quiero decir, que al usuario le de cualquier IP de la LAN por DHCP y que después, luego de autenticar en la VPN le de una IP para poder navegar ?

Esto tiene lo malo de instalar el software en el cliente, pero lo que se logra es que toda la información pase cifrada, quizás se pierda algo de velocidad, pero no lo se.

Saludos. gamba47

[niraseco]

Yo tengo una pregunta, quizás es tonta.

No se puede usar OpenVPN y hacer una red adentro de la red ? quiero decir, que al usuario le de cualquier IP de la LAN por DHCP y que después, luego de autenticar en la VPN le de una IP para poder navegar ?

Esto tiene lo malo de instalar el software en el cliente, pero lo que se logra es que toda la información pase cifrada, quizás se pierda algo de velocidad, pero no lo se.

Saludos. gamba47

La verdad no tengo idea de como implementar lo que decis, pero capto el mensaje, tiene bastante lógica, creo que nachazo una vez comentó algo al respecto. Si lees esto Nachazo, porfavor comentá algo, la verdad que si planteamos ideas, talvéz logramos sacar algo.

Una preguntonta, el easyCaptive nos puede ayudar en esto, o sea, al pedir autentificación (login - password), la clave viaje en texto plano o cifrada?

[AdslWiFi]

En la distro pfsense (creo que así se escribe)(sería interesante si lees esto AdsWiFI, que comentaras un poco por favor, ya que según recuerdo tenes experiencia en esta distro) miré que ya tiene integrado el server radius y su portal cautivo, que lástima que para nuestro querido brazilfw hasta el momento no hay algo parecido (a excepción del easy captive).

Ciereto, PfSense lo trae pero nunca lo utilicé puesto que no utilizo ningún tipo de cifrado por este mismo motivo, porque si alguien sabe y quiere al final acaba encontrando algo y además porque creo ralentiza bastante la red y la mia al ser wifi cualquier merma se nota.

¿Hay alguna manera que podamos evitar el Clonado de MAC, el snifeo (hay herramientas disponibles tanto como para linux como para windows), y mil maldiciones más?

Precisamente estoy en eso, en dotar al Add-on SecurIP de utilidades para detectar sniffeo (que se puede) y bloquearlos.

Saludos...

[masilvad]

[Precisamente estoy en eso, en dotar al Add-on SecurIP de utilidades para detectar sniffeo (que se puede) y bloquearlos.

Saludos...

Amigo que posibilidad hay de que ese addon SecureIP lo hagas compatible con la versión 2.30.1?

[AdslWiFi]

Voy a verlo...

Saludos...

[niraseco]

Muchas gracias por responder AdslWifi,
En cuanto tengas novedad sobre el desarrollo del addon estoy a tu orden para testearlo.

Nota: Instale Easy captive en modo autenticado para detener un poco la J0dedera del HdP en mi red. (Perdón por el Exabrupto).

Saludos

[MirageIII]

Che pero radius no es solo para una red wifi tambien es aplicable a una red cableada ya q podria ser atacada! ( Codsa rara pero bueeno podria)

[niraseco]

Hola de nuevo,
Sin ánimo de meter bulla al tema referente a servidores free radius, comento lo siguiente acerca de la vulnerabilidad del clonado de mac.
Googleando encontre varios artículos de como se puede prevenir este tipo de ataques (http://es.wikipedia.org/wiki/ARP_Spoofing).

Será posible establecer un muro de contención en nuestro brazilfw por medio de la definición de tablas Arp estáticas, algo parecido a esto http://www.chw.net/foro/gnu-linux-y-otr ... nicio.html
o por este método:
http://clan-aof.iespana.es/inyx/Protecc ... ultiOS.pdf

No tengo conocimientos avanzados en Linux, lo poco que sé ha sido gracias a este foro, asi que de antemano me excuso por si es alguna pavada la que estoy sugiriendo.
Creo que lo mejor sería crear un tema paralelo a esto de la seguridad para reunir ideas.

Comentarios?

Saludos

[AdslWiFi]

Hacer que la relación IP-MAC del servidor sea estática ayuda bastante a evitar errores, pero no es del todo seguro puesto que también pueden clonar esa MAC y ponerle esa IP... vamos lo que comúnmente se llama "una gran putada"...

De todos modos se agradece sigáis tirando ideas... el tema de la seguridad creo debería tomar un papel primordial en el foro (incluso podría tener un subforo ¿que os parece?) puesto que si no tenemos seguridad de nada vale instalar un add-on u otro puesto que si nos tumban el server... de nada nos vale todo lo configurado

Saludos...

[MirageIII]

Y esto va para largo!.
Si no seria mala la idea de una seccion dedicada a solo seguridad.
Pero esto sera prueba y error !!

[ipnet]

Bueno...esto merece un tuto de seguridad con Radius. Me pongo a cocinarlo.

[Lord]

si tenemos los ap en modo bridge el uso de radius o pppoe no provoca un retraso significativo q sea muy notable... la implementacion de unou otro depende de los gustos.. alguien me comento q no usaba el pppoe pq todos sus clietnes se lo pasarian... pues seria lo mismo que cuadno se usaba la conexion dial up-... si la usaba otro sejo.... asi de simple le indicas a tu cliente que su clave es privada el mal uso de la misma es responsabilidad del cliente... las ventajas de pppoe es que se puede usar comprension de datos...
el uso de radius le añadiria otro tanto de seguridad... e incluso un hotspot aun mas....

[MirageIII]

Hay forma de sacar pppoe+radius de mk y llevarlo a bfw?

[nachazo]

Hay forma de sacar pppoe+radius de mk y llevarlo a bfw?

con las sources o fuentes en principio seria posible...