Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]

To: "debian-user-spanish@lists. debian. org" <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
From: "C. L. Martinez" <carlopmart@gmail.com>
Date: Wed, 14 May 2014 05:58:49 +0000
Message-id: <[🔎] CAEjQA5+96BdJ-HgF3FXKaxQjE9V1x_b06wuCzBV5GikYzhahgg@mail.gmail.com>
In-reply-to: <[🔎] 20140513182040.GA19963@cubo.casa>
References: <[🔎] 20140513153152.GA7301@cubo.casa> <[🔎] pan.2014.05.13.15.49.53@gmail.com> <[🔎] 20140513160238.GA8578@cubo.casa> <[🔎] pan.2014.05.13.16.19.01@gmail.com> <[🔎] 20140513165514.GA11440@cubo.casa> <[🔎] 20140513173726.GA22607@cantor.unex.es> <[🔎] 20140513182040.GA19963@cubo.casa>

2014-05-13 18:20 GMT+00:00 José Miguel (sio2)
<sio2.sio2+lista.debian@gmail.com>:
> El Tue, 13 de May de 2014, a las 07:37:26PM +0200, Santiago Vila dijo:
>
> Hombre, no creo que la lista esté para dar explicaciones filosóficas de
> por qué se hace una cosa y por qué otra no. Pero en fin: allá va.
>
> Es la red de un instituto y, por tanto, no es una red lúdica. Hay
> alumnos que llevan su portátil, porque trabajan con él y quiero darles
> servicio. Podría perfectamente deshabilitar la red wifi y santas
> pascuas, pero entiendo que les puede resultar más cómodo traerse el
> ordenador de su casa que usar un fijo que le facilitemos nosotros.
> Idéntico razonamiento se puede aplicar a un profesor.
>
> En cambio, la conexión de los smartphones no suele tener ese carácter
> académico y sobre todo, son muchísimos, porque absolutamente todos los
> chavales tienen uno: la red inalámbrica es insostenible con ellos, así
> que los tengo que vetar.
>
>> A ver si me entero: Si hubiera pocos smartphones y muchos portátiles,
>> ¿bloquearías a los portátiles?
>
> Si hubiera muchos portátiles, entonces eso significaría que habría pocos
> ordenadores fijos conectados, con lo que el aumento en el tráfico de
> unos se vería compensado por la disminución del tráfico de otros. Muchos
> portátiles por tanto, no sería problema. Además de que jamás se daría la
> circunstancia de que absolutamente todos tuvieran un portátil, así que
> ese "muchos" sería en términos absolutos, siempre pocos.
>
> Si hubiera pocos smartphones, los smartphones no serían ningún problema,
> así que ¿para qué filtrarlos?
>
>> Entonces: ¿Qué hay de la neutralidad de la red?
>
> Imagina el caso de que mi duda hubiera sido: ¿Puede alguien ayudarme a
> configurar un squid para que mis alumnos no vean porno durante las
> clases? ¿Crees que ante esta petición me habrías hecho la misma
> pregunta? Porque filtrar sitios web, sean o no porno, también atenta
> contra la neutralidad de la red.
>
> En esta red no hay neutralidad: efectivamente, es "mía" y hago con ella
> lo que me parece maś beneficioso.
>

Bueno dejando de lado el tema filosófico de la cuestión, y que
coincido contigo: si la "red es tuya" haces con ella lo que te dá la
gana.

Bien: tienes un serio problema. El tema MACs es sencillamente,
"infumable, insostenible, inviable e inadministrable". Yo no perdería
el tiempo con eso. En principio tu solución factible es la
autenticación sí o sí. Pero si esa autenticación es conocida por los
señores/as que llevan los smartphones de poco te va a valer.

Por tanto, solo te veo dos opciones (luego, te muestro otra más compleja):

a) Despliegue de dos redes wifi distintas + firewalling a nivel de
fingerprint (es decir discriminas por SO)
b) Utilizar solo una red wifi + firewalling a nivel de fingerprint (es
decir discriminas por SO)

 ¿Como se hace lo del fingerprint?, Bien de entrada, desconozco si con
iptables se puede hacer. Esta funcionalidad te la ofrecen los SO BSD
basados en firewalls pf (ojo, que aquí creo que pfsense no lo hace.
Tendrás que mirar su documentación).

 Se trataría de construir reglas del tipo:

 "si el IP x.x.x.x me devuelve como SO windows, dejo pasar el tráfico
y si no es windows, todo denegado". Mírate esto:
http://www.openbsd.org/faq/pf/filter.html#osfp.

 Obviamente, este sistema es falible. Si hay un estudiante mediante
espabilado y te pilla el truco, adiós invento. (También es verdad que
deberá saber como encontrar el problema y como solventarlo. Pero, por
experiencia, te aviso que no hay peor "hacker" que un tio motivado
para hace lo que quiere hacer).

 La solución "de verdad" es el despliegue de hotspots controlando las
wifis, con captive portals y autenticación via PKI (o sea
certificados) + PIN (si quieres ser más paranoico).

 Y en principio poco más se me ocurre. Como ves, eso de tener una wifi
"open" tiene sus cosas. Pero para terminar, digo, ¿y porqué no aislas
por completo la wifi con su ADSL y que no enrute en ningún caso hacia
tus redes productivas? En caso de que precisen acceder a las redes del
centro pues que lo hagan como lo harías tu desde tu casa: por Internet
y con una conexión VPN a ser posible. ¿Eso no te és factible hacerlo?

Saludos.

Reply to:

References:
- iptables y filtrado de muuuuchas MAC
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- Re: iptables y filtrado de muuuuchas MAC
  - From: Camaleón <noelamac@gmail.com>
- Re: iptables y filtrado de muuuuchas MAC
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- Re: iptables y filtrado de muuuuchas MAC
  - From: Camaleón <noelamac@gmail.com>
- Re: iptables y filtrado de muuuuchas MAC
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- Re: iptables y filtrado de muuuuchas MAC
  - From: Santiago Vila <sanvila@unex.es>
- [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>

Prev by Date: Re: OT: Algunas preguntas sobre TT-Rss
Next by Date: Re: iptables y filtrado de muuuuchas MAC
Previous by thread: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
Next by thread: Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
Index(es):
- Date
- Thread