[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]

2014-05-14 13:48 GMT+00:00 José Miguel (sio2)
<sio2.sio2+lista.debian@gmail.com>:
> El Wed, 14 de May de 2014, a las 05:58:49AM +0000, C. L. Martinez dijo:
>
>> Bien: tienes un serio problema. El tema MACs es sencillamente,
>> "infumable, insostenible, inviable e inadministrable". Yo no perdería
>> el tiempo con eso. En principio tu solución factible es la
>> autenticación sí o sí. Pero si esa autenticación es conocida por los
>> señores/as que llevan los smartphones de poco te va a valer.
>
> Ya sé que con MAC es intratable, pero la solución que yo planteo no es
> con MAC: yo identifico los dispositivos no por la MAC, sino por las
> opciones que envían al servidor DHCP cuando piden la configuracióni[1].
> Tras identificarlos, los meto en una subred y filtro esa subred. Por las
> pruebas que he hecho, funciona bastante bien.
>
> Por supuesto, esto tiene agujeros: a alguno se le puede ocurrir, viendo
> que acceden portátiles, ver que ocurre si cambia esa ip dinámica por una
> parecida a la del portátil. Entonces descubrirá que sí puede salir.
>
> Así que para evitar esto, quería vetarle el acceso por MAC (que obtuve
> cuando pilló la configuración del DHCP) durante un tiempo (pongamos que
>  una hora). Si hace la prueba anterior, no podrá salir, porque en esta
> ocasión será el filtrado por MAC el que se lo impida.
>
> Como ves, el filtrado no se realiza por MAC, este es una segunda
> derivada y, además, la lista de MAC nunca será inmensamente grande
> porque las veto sólo durante una hora. A la hora se borra esa regla y si
> en algún momento o algún otro día se intenta volver a conectar, volverá
> a ser vetado.
>
> Por supuesto, sigue habiendo posibilidad de burlar la medida: se
> autentica en la wifi, sin pedir dirección ip y se la pone a mano. Pero
> esto es bastante más improbable que lo de "Leñe! No entro. A ver qué
> pasa si le pongo la misma ip que tenía antes este portatil".
>

Uhmm .. A ver, tú a efectos prácticos estás filtrando por MAC. Y eso
sigue siendo inadministrable. Y el problema no es la RAM que puedan
ocupar las entradas, si no el gestionar esas entradas.

Si por ende, descubren que cambiando la IP como dices ya lo tienen
arreglado, sigo pensando que pierdes el tiempo. Tendrías una opción
que es "Authenticated MAC Address":

http://www.arubanetworks.com/techdocs/ArubaOS_60/UserGuide/MAC_Authentication.php
http://www.juniper.net/techpubs/en_US/uac5.0/topics/topic-map/security-access-control-service-mac-address-authentication-server-using.html

Sé que hace algún timepo hubo un proyecto opensource en Italia para
tratar este tema pero creo que se abandonó.

Siguo pensando que tu mejor opción es WiFi+PKI ...IMO.

Saludos.
Reply to: