=>-----Mensaje original-----
=>De: Roy Frances González [mailto:roy.fran...@gal.sld.cu]
=>Enviado el: viernes, 09 de febrero de 2018 01:11 p.m.
=>Para: gutl-l@listas.jovenclub.cu
=>Asunto: [Gutl-l] Filtrado para navegacion
=>
=>Buenas a todos.
=>
=>Necesito saber como implementar una politica para dar acceso a Internet
=>filtrando las MAC contra usuarios. Quiero decir que cada usuario tenga
=>acceso solamente por un dispositivo registrado ya sea una laptop o un
=>celular si en este caso usara mi conexion wifi interna.
=>
=>Saludos cordiales
=>
=>
=>Roy Frances González
=>
=>Administrador de Red
=>
=>Hospital Provincial de Cienfuegos.
=>
=>Telef: 43518154
=>
=>
=>--
=>Este mensaje le ha llegado mediante el servicio de correo electronico
=>que ofrece Infomed para respaldar el cumplimiento de las misiones del
=>Sistema Nacional de Salud. La persona que envia este correo asume el
=>compromiso de usar el servicio a tales fines y cumplir con las
=>regulaciones establecidas
=>
=>Infomed: http://www.sld.cu/
=>_______________________________________________
=>Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
=>To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

Suponiendo que uses SQUID como proxy para esos menesteres, te tengo la mala 
notica que SQUID solo hace soporte de MAC a través de ARP (de ahí las acl tipo 
arp) siempre y cuando los clientes estén en su misma red. (Ver documentación 
adjunta de SQUID sobre acl de tipo arp).

Así que la única forma viable que veo es que en tu AP tengas el mismísimo SQUID 
o que de alguna forma mágica puedas llevar la MAC hasta el squid.

Ahora vías alternativas para solucionar este problemilla.

1.- Puedes crear reglas IP + Usuario que si funcionan sin ningún problema. La 
nota discordante aquí es que como sabes (aún en una wifi) el IP puede ser 
fijado de forma manual (no es lo común pero si funciona) y por tanto alguien 
puede hacerse pasar por otro. El punto a favor es que se utiliza la 
autenticación por usuario y ahí si no hay trueque porque, se lo diste a otra 
persona o te "cojieron" la contraseña.

2.- No sé hasta qué punto la autenticación de portal cautivo pueda generar un 
token y este ser pasado a squid, así solo crearías reglas para dichos token y 
la autenticación de usuarios.

3.- Crear tu propio script de validación de conexión (Ver documentación de 
squid para atutenticar con programas externos) donde a cada cliente le instalas 
o generas un certificado de seguridad (que solo funcionaría en esa PC con ese 
IP) y lo que deberías chequear es contra esos certificados. Si, yo se que 
parece de locos pero en teoría es la contra-mega-super-protección del copón 
divino, siempre y cuando nadie te parta en 2 ese certificado.

Mi sugerencia: Usar la variante 1 y que si ocurre algo el usuario firmó un 
"papelito" con nombre código de ética donde se le designa la responsabilidad 
que todo lo que se registre con ese usuario es su responsabilidad.

Nota: Me gustaría un mundo que si alguien tiene implementado la 3ra lo comparta.

Mientras aparezca la indicada, goza con la equivocada  
=================================================== 
Linux User Register #623704 
https://www.linuxcounter.net/cert/623704.png 
Salu2


--
Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

Reply via email to