El día 12 de mayo de 2014, 18:33, Patricio Morales <airwol...@gmail.com> escribió: > El 12 de mayo de 2014, 15:58, Esteban De La Fuente Rubio > <este...@delaf.cl>escribió: > >> Hola, >> >> Apoyo la idea que filtrar por MAC es mala idea, además que (si los APs >> son sencillos) es muy poco escalable y se dificulta la administración. >> Si bien una alternativa con un portal cautivo puede ser buena idea >> (siempre y cuando sigas usando una clave WPA para cifrar) te >> recomiendo el uso de WPA-Enterprise, o sea con un servidor RADIUS le >> das usuario y clave a cada usuario de la red inalámbrica. En la misma >> configuración de pfSense puedes configurar esto y te permite indicar, >> por ejemplo, cuantas sesiones permites abiertas a dicho usuario. >> Entonces si un profe da o "pierde" la clave, solo otro más la podrá >> usar. >> > > La idea es que eso se pueda complementar con alguna regla por mac-address , > de forma que aún > cuando tengan la clave del portal cautivo, si entran con una mac- adress no > registrada, por ejemplo > el portal los redireccione a una página "Usuario no autorizado", y de fondo > con un videito en formato .avi con la canción > "trololo" ( http://www.youtube.com/watch?v=sTSA_sWGM44)...........XD. > [...]
Otra alternativa es el portal cautivo autenticado contra freeradius (también lo puedes hacer con pfSense), en este caso la clave WPA2-PSK es compartida e incluso pública entre tus usuarios, y solo la usas para encriptación, pero dejas la autenticación al portal cautivo. Si además quieres agregar filtro por mac (y estás dispuesto a pagar el sobrecosto de administrar eso) nada te impide hacerlo :D Solo recuerda: a veces "mucha" seguridad o muchas medidas de seguridad hacen engorroso los procesos para los usuarios, por eso yo decía WPA-Enterprise, de esa forma solo usan un mecanismo de autenticación y cifrado (más el squid que para tus usuarios es transparente). Saludos! -- Esteban De La Fuente Rubio http://esteban.delaf.cl