Conectar el AdvProxy de IpCop con el LDAP de Active Directory para controlar los usuarios que pueden conectar a Internet
Bueno señores, traté de subir esto anoche pero… he tenido problemas renderizando el vídeo así que este es uno de esos tutoriales que me llevan más de un día, bien, quiero decir que personalmente es un vídeo que me ha gustado mucho hacer, personalmente creo que me he vuelto a superar ya que no hay información o no la he encontrado por Internet y al final he podido hacer justo lo que quería que era controlar a los usuarios pertenecientes a un grupo para que puedan acceder o no a Internet y además ubicarlos en unidades organizativas para restringir los cambios del proxy.
¿Problemas? me imagino que si usan Firefox se la saltarán tranquilamente pero bueno chic@s, ¿no somos ya unos administradores con recursos? son ya más de 150 videotutoriales los que tenemos aquí que ofrecen multitud de formas de evitar la instalación y uso de los programas que queramos nosotros, además creo que podemos restringir si no me equivoco mediante el propio IpCop los navegadores que pueden acceder a Internet, pero bueno el tema que nos ocupa es otro ya que todo lo visto hasta ahora, pues ya lo hemos visto y lo tenemos en el DVD ordenadito y guardadito, vamos con la tarea.
1. Configuraciones de IpCop Yo lo primero que hago para evitar más quebraderos de cabeza, que en serio, si no seguimos los pasos al dedillo podemos tener problemas, es más en el vídeo los tenemos pero no me gusta quitarlos desde hace un tiempo, pero bien lo primero que hago es desactivar el BOT o Block Out Traffic, ¿porque? para evitarme problemas y acotar las causas de un mal funcionamiento, es como cuando tenemos ISA y probamos algo nuevo, lo mejor es dejarlo con acceso libre y cuando todo funciona lo reactivamos y así nos aseguramos que ISA no tiene nada que ver, con IpCop lo mismo. Bueno aparte de desactivar el BOT desactivaremos el Proxy transparente ya que no es compatible con la autenticación.
2. Creamos un usuario que pueda leer en el directorio si, el administrador puede pero… ¿no sería peligroso dejar los datos del administrador del dominio por todas partes? mejor creamos uno y mediante esa maravillosa opción de “Delgar control” podemos permitir a este usuario que acceda a los datos necesarios para que los usuarios puedan autenticarse al conectar a Internet.
3. Crearemos un grupo para los usuarios que podrán acceder a Internet este grupo será el que le diremos a IpCop que puede acceder a Inertent, si un usuario no pertenece a este grupo o no tiene los credenciales requeridos no podrá acceder a Internet.
4. Agregamos al grupo los usuarios que queramos para que puedan acceder a Internet utilizando como Proxy el AdvProxy.
5. Aplicamos directivas a las unidades organizativas de esta forma nos aseguramos que nadie va a alterar la configuración del proxy de Internet Explorer y así podremos estar tranquilos de que no saldrán a Internet.
6. Por último configuramos los datos de LDAP en el IpCop de esta forma mediante el usuario que creamos antes y con su contraseña etc podremos conectar a los objetos del directorio necesario para ubicar los usuarios grupos etc, esto lo veremos mejor en el vídeo.
Y bueno solo me queda decir que trataemos de ser muy metódicos, que empezos por no complicarnos mucho con esto hasta que lo tengamos controlado y poco a poco vayamos variando la configuración como he hecho yo en el vídeo para ir configurando todo a nuestro gusto, puede ser muy interesante crear a dos usuarios para ir probando las configuraciones y cuando este todo correcto aplicar las directivas y demás sobre los demás usuarios, después podemos hacer un reinicio forzado de todos los usuarios de la red para que se les apliquen los cambios de inmediato y ya estará todo listo…
Pero bien veamos el vídeo.
|
|||||||
Y bueno, espero que os sea de muchísima ayuda, un saludo a todos!!
lighthammer
Acojonante la verdad …. no tengo palabras. Un 10….
Un millon de gracias
Pablo Martinez
Y yo no tengo palabras para contestarte… solo decir que espero que estos videotutoriales sean tan valiosos como yo los considero, tras buscar información precisa sobre como llevar a cabo, en este caso esta tarea , no he sido capaz de encontrar nada y espero haber aportado algo nuevo a Internet, aunque no me cabe duda de que ya habrá algo por ahí pero confio en que el videotutorial sea de gran ayuda para muchos así que espero que ayue a muchos a “descubrir” cosas nuevas.
Y me repito, personalmente me ha demostrado que soy tan capaz como lo he sido siempre de superar los problemas (tal vez con el clustering en virtual no lo he intentado lo sufciente) que se me han planteado en mi vida como administrador de sistemas, espero que alguién pueda valorarlo un poco, y con alguién me refiero a alguna empresa que necesite colaboración o servicios que no es un secreto que ando buscando trabajo.
Saludos a todos y mil gracias Lighthammer, espero que veas recompensado tu donativo a este espacio y prometo seguir así y más aún, prometo mejorar los contenidos siempre que este en mis manos hacerlo.
Jerson
me sale error no puedo ver el video ,me lo revisas Gracias
Mario
Hola Pablo estoy Instalando IpCop y me surgio una duda durante la revision de tu video en donde comentas que debemos configurar nuestro windows server o en otras palabras conectar nuestro windows server con IpCop disculpa mi ignorancia pero como se hace eso yo tengo un windows 2003 server con Active Directory.
Saludos desde Mexico !!!!
preventa
Hola Mario.
Lo que se indica en el video es poder acceder a internet con los usuarios del Dominio que quiere decir, los usuarios de Active Directory. Tienes que crear el usuario y grupo para que éstos puedan acceder a internet con su login de usuario. Si no te es necesario que realicen login con los usuarios del Dominio, no tienes que integrar IPCOP con tu Dominio.
Un saludo a todos !!!
REVAL20
hola pablo martinez que tal gracias por el video esta bueno , pero en mi caso a un no necesito implementarlo veras , yo tengo un pequeño problema , yo reparto internet inalambrico a 10 personas como digo a 10 personas hasta el momento la red trabaja muy bien es rapida ligera uffffff muy bien , pues bien a cada usuario le de dado 64k para que pueda navegar bueno que es hasta esa opcion que el ipcop me da ahora bien todos mis usuarios navegan a 64 k
mi problema es que mi rango de ip es de en la red grenn de 192.168.0.10 al 192.168.0.20 osea osea 10 ip para mis dies usuarios ahora bien el problema esta enque un cliente que recepsiona la red inalambrica con un ap que tiene 5 puertos conecta internet a 3 de sus maquinas y ese es el problema yo solo quiero que pueda conectafr una sola maquina el dhcp del ipcop estaba habilitado pero por mas que lo deshabilito el tipo ese mira el rango de ip y de ahy a cada una de sus maquina le va poniendo manualmente y asi sigue teniendo internet en sus demas maquinas tambien he visto que poniendo manual mente las ip osea si por decir mi rango de ip es de 192.168.0.10 hasta el 192.168.0.20 tambien puedo configurar el 192.168.0.21 de ahy para adelante no habra una forma de solo poder tener esas ip osea me refiro al 192.168.0.10 al 192.168.0.20 osea que solo hasta ese rango que por mas que alguien trate de poner las ips manualmente me refiero a 192.192.168.0.21 osea no quiero que salga mas ip de las que ya tengo podrias ayudarme con este punto pablo martinez he estado viendo en el servidor de dhc de ipcop y veo que hay una cantidad de opciones pero a un no logro comprender
ahora bien el otro problema que tengo esque que mi red inalambrica tiene cifrado wep las que ya es muy comun poder romper esa seguridad al igual que las wpa , ahora bien las wpa2 me pone muy lenta la red es por eso que lo he dejado en wep bueno ambas wep y wpa son facilles de romper las wpa con diccionario y las wep por ataques , ahora bien el filtrado mac es mas facil todavia es por eso que solo tengo wep si le pongo filtrado mac de nada me va a servir porque como tengo clientes conectados al ap con el airodump pueden ver que mac estan conectados y asi me clonan la mac y listo averiguan el rango de ip dns y listo ya pueden salir a internet claro tambien la wep por eso esque he estado viendo en el ipcop algunas opciones , ahora bien porque no pongo por autentificacion ldap esque el problema esque no quiero que sepan que pasan por proxy ademas tengo algunos asuarios que creo que hacen pagos bancarios por internet y pues bien no quiero llegar a tener problemas mas adelante que segun dice todo lo que uno hace se almacena en el servidor ipop es por eso que no le pongo por autentificacion , ahora bien por eso estuve viendo alguna seguridad en el ipcop en la ipcion del dhcp de ipcop , el tiro seria que una ves qu elogren romper el wep puedan burlar el filtrado mac ver el rango de ip el ipcop no les de acceso a internet , pablo maritnes podrias ayudarme con ese punto ver en la opcion del dhcp de ipcop hay una opcion de dhcp-client-identifier me podrias echar una mano en ese punto gras te estare muy gradecido
Pablo Martinez
Contestando a Jerson:
Acabo de comrobar el enlace, sin problemas.
Contestando a Mario:
Me imagino porque ahora mismo no lo recuerdo a que es conectar el interfaz que antes conectaba con el router a la red green de nuestro IpCop. Ver comentario de preventa.
Contestando a preventa:
Gracias maestro!!!
Menudo escrito has dejado… en cuanto a los problemas de acceso…. puedes restrigir por MAC en el AP si no en el IpCop puedes, pero te recuerdo que esta la interfaz BLUE para AP en IpCop (creo recordar que es la BLUE).
En cuanto a lo otro que acabo de leer y que deja claro que mi respuesta es inutil… ¿VPN? tal vez una VPN te sirva, mira, si el problema es que te resulta inviable proteger el acceso mediante tecnologías de cifrado Wireless creop y pienso que vas a tener que recurrir a métodos de autenticación de usuarios, de forma que solo los usuarios que puedan acceder, pueden acceder, utiliza accesos https para encriptar los datos y cosas así, pero creo que la mejor solución es o bien conectar con un LDAP y ojito con el tema de los sniffer o bien mediante una VPN que enrute al server en una DMZ, esto complicaría bastante el problema, ahora más no veo más soluciones, tal vez si nos explicas un poco mejor cual es tu escenario Wireless podamos dar mejores soluciones.
Un saludo a todos y gracias por vuestros comentarios.
reval20
holapablo martines buenas resulque la unica solucion que he encontrado ahora con repecto ami problema es con el blockout traffic en la seccion de permitir que mac sale y que ,mac no ps hata ahora es la unica solucion que he podido , claro ps la red wireless le puse filtrado mac yo mismo me puse a romper la wep una ves obtnida la web y haberlo introducido en mi maquina no podia salir a internet porqu een el block out trefiic habia habilitados reglas para ver wur ip sale y que ip no o por mac es lo mismo
bueno seguire probando hast adond ele puedo dar seguridad
haaa otra cosa que tambien necesito de tu ayuda mira ya me he instalado el copfilter pero no se como configurarolo veras solo quiero que me proteja de los virus que entra de internet segun tengo entendido que se debe de configurar un correo , blablabla la verdad no lo he podido hacer andar podrias ayudarme pablo martinez con esos sobre como configurar el copfilter para tener instalado un antivirus para que me proteja de lo que venga de internet ok t estare muy agradecido
Pablo Martinez
Puffff, ahora mismo no puedo, tendría que descargar copfilter instalarlo y configurarlo así que… se ve complicado.al menos de momento, pero no recuerdo haber tenido mucho problema con el en su día, es más lo tuve implementad para proteger mi propia red y la verdad que me funcionó muy bien.
Un saludo y a ver si puedo encontrar un ratito para tu duda!!
REVAL20
hola pablo martinez un gusto , he quiero comentarte algo con el video del b.lockouttrafifc no se si lo recordaras que necesitaba que el ares o cualquiero otro p2p se bloqueara pues bien el amigo preventa dio uns tips de configuracion con el blockoutrafic donde dijoq ue habia bloqueado el ares y cual quiero otro p2p y que no tenia problemas con el msn , hotmail. gmail.yahoo. ect ect pues bien claro en si yo tambien he podido bloquear el ares y cual quieri otro p2p claro pero como te dije podia navegar por la web y el ares no se conectaba , epro el problema est aenque el msn , hotmail tambien se habian bloqueado ahora bien tuve que agregar una regla 443 https permitir esa regla , ok hise todo eso ahor asi el msn y apodia salir al igual que el hotmail . esta ese momento esta fecil porque el msn y hotmail ya podia salir y el maldito ares seguia bloqueado pues bien el problema surgio y seguramente el amigo preventa se le ha pasado ese punto veras en mi maquina normal entr ael msn y hotmail , el problema esta en mis demas maquinas a las que tambien tienen acceso a internet mediante el servisor proxy esque ahy en esas maquinas no entra el msn segurament eel amigo prevenat solo probo en una maquina mas no en las demas maquinas o en varias maquinas segun por lo que sigo viendo el msn trabaja con variso puertos y si habres unos de esos puertos es muy probable que el ares y cualquier otro p2p pueda pasar no se muy bien cuantos opuertos necesite el msn pero segun en los logs del firewall un ejemplo mi otra maquian que est aaccediendo al msn y no le deja entrar ,con la ip 192.168.0.19 , pue sbien en los logs del firewall me bota una catidad de puertos que creo que son del msn que la maquina con la ip 19 esta tratando de acceder pero al estar cerrado todos los puertos no puede ahora porque en mi otra maquian si puedo salir al msn actual mente el msn me esta saliendo por http sera por eso que tengo problemas haber si me puedes echar una mano
reval20
hola pablo martinez un gusto , he quiero comentarte algo con el video del b.lockouttrafifc no se si lo recordaras que necesitaba que el ares o cualquiero otro p2p se bloqueara pues bien el amigo preventa dio uns tips de configuracion con el blockoutrafic donde dijoq ue habia bloqueado el ares y cual quiero otro p2p y que no tenia problemas con el msn , hotmail. gmail.yahoo. ect ect pues bien claro en si yo tambien he podido bloquear el ares y cual quieri otro p2p claro pero como te dije podia navegar por la web y el ares no se conectaba , epro el problema est aenque el msn , hotmail tambien se habian bloqueado ahora bien tuve que agregar una regla 443 https permitir esa regla , ok hise todo eso ahor asi el msn y apodia salir al igual que el hotmail . esta ese momento esta fecil porque el msn y hotmail ya podia salir y el maldito ares seguia bloqueado pues bien el problema surgio y seguramente el amigo preventa se le ha pasado ese punto veras en mi maquina normal entr ael msn y hotmail , el problema esta en mis demas maquinas a las que tambien tienen acceso a internet mediante el servisor proxy esque ahy en esas maquinas no entra el msn segurament eel amigo prevenat solo probo en una maquina mas no en las demas maquinas o en varias maquinas segun por lo que sigo viendo el msn trabaja con variso puertos y si habres unos de esos puertos es muy probable que el ares y cualquier otro p2p pueda pasar no se muy bien cuantos opuertos necesite el msn pero segun en los logs del firewall un ejemplo mi otra maquian que est aaccediendo al msn y no le deja entrar ,con la ip 192.168.0.19 , pue sbien en los logs del firewall me bota una catidad de puertos que creo que son del msn que la maquina con la ip 19 esta tratando de acceder pero al estar cerrado todos los puertos no puede ahora porque en mi otra maquian si puedo salir al msn actual mente el msn me esta saliendo por http sera por eso que tengo problemas haber si me puedes echar una mano
preventa
Hola Reval20
Las políticas de salida que tengo en el IPCOP sólo son las que pone el videotutorial de Pablo. Sólo permito HTTP y HTTPS para acceso a Internet. Con ésto puedo acceder a MSN, Hotmail, Yahoo, etc. Los programas P2P los para, ya sea con 1 máquina o con varias ya que no tiene nada que ver. Que quede claro que sólo permito la comunicación de los puertos 80 y 443, nada más. Con esto quiero decir que no es posible pasarse datos con MSN con el puerto 1863 ni respectivos.
Espero haberte aclardo tus dudas.
Un saludo a todos.
Pablo Martinez
El problema que comentas es que nosotros trabajamos con entornos virtualizados y no podemos como es comprensible levantar 15 equipos virtuales a ver que pasa.
Ahora mismo no me atrevo a decirte nada, pero aquí tenemos un problema muy común, coo permitir sin permitir demasiado, o, como restringir sin restringir demasiado…
Cono ISA se seguro que se puede solucionar esto, pero con IpCop no sé muy bien como podrías solucionarlo, yo optaría primero por bloquear enel firewall de los clientes estos programas, por directivas puedes impedir que se modifique el firewall, también puedes impedir la ejecución de los software instalados mediante HASH como ya hemos visto en otras ocasiones, además recuerdo que hay listas con los servidores para el MSN y demás que son los que deberías permitir en IpCop, juntándolo todo no deben salir.
En caso de que sigan los usuarios por ahí yo como empresario vería correcto el corte total del acceso a Internet, nosotros como administradores tenemos la obligación de hacer cuanto esta en nuestras manos, pero un usuarios negligente es muy peligroso, ten en cuenta que puedes tener el peligro dentro de tu propia red, detrás de tu IpCop y en conexión directa con el servidor.
Aplica cuantas medias se te ocurran, ya te digo las que yo empezaría a implementar, lo que no sé es porque en redes corporativas se permite el acceso a servicios tipo hotmail cuando hay soluciones de mensagería interna sin necesidad de permitir acceso a Internet.
No sé, que alguién apoye lo que digo o que lo corrija y así podremos sacar lgo en claro, yo como comento y me repito, muchas medidas de un impacto pequeño es lo mejor que pocas medidas muy restrictivas pero a veces los usuarios son muy cabezotas.
Añado:
Prohibe la instalación de software
Elimina todos los software del sistema que no deban estar
configura el firewall correctamente
aplica reglas de hash
permite solo el acceso a determinados servidores de internet (Hotmail, google, la web de ka empresa…)
No creo que la solución ande mucho más lejos.
Ya me dirás algo.
Pablo Martinez
Mira que a contestado este rápido… preventa que no se te escapa una macho!
Pablo Martinez
Por cierto, apoyo lo que ha comentado preventa, si prohibes el acceso y no haces exclusión de Ip’s, estas prohibiendo el acceso, no solo para un equipo, sino para todos.
Lo que he comentado es un remiendo a lo comentado, pero la solución de preventa, que trabajé y apliqué en el vídeo y se ve claramente que funciona es muy correcta.
reval20
ok pablo martineez entonces no hay forma de bloquear los p2p con el blockouttraffic sin que afecte al msn en la demas maquinas que tengo peor bueno esque la verdad estoy con un dolor de cabeza con estos de los p2p resulta que cvomo te digo yo me dedico a vender internet i inlambrico y tengo 20 usuarios y les quiero impedir que ellos pueedan hacer uso de los p2p porque me saturan la red se llevan todo el ancho de banda cusandome problema con los demas usuarios por eso decidi implementar el ipcop , pues creo que con el bot no se puede y si lo hace tambien afecta al msn ok por ahy he buscando info sobre p2pblock que e zpara ipcop dime lo as probado l p2pblock lo malo que es para una version de ipcop inferior y no para la 1.4.21 que es la que yo tengo ok mira estere buscnado algo y si encuentro algo sobre como bloquear los p2p , ha se m olvidaba segun me dijieron que los p2p se deberia bloquear pero en capa 7 osea unsar un addons layer7 dime as oido hablar de eso saludos
Pablo Martinez
La verdad que no, pero la solución del vídeo debería bastarte, si el problema es que no puedes acceder a los equipos cliente puedes restringir el ancho de banda consumido por usuario, hay te quitas todos los problemas, todos contentos y felices, nadie gasta más que nadie, y esto lo puedes hacer con IpCop.
Pero repito que la solución debería ser válida, esta solución no va dirigida a un puesto en particular si no a las conexiones en general.
Ya me vas diciendo algo.
reval20
ummmmmm haber segun en el advproxy puedes asignar 64 kb pero es para todos en general osea me refiero que solo se aplicaria para la navegacion web mas no para lo quees la descarga haora bien para los p2p creo que seria diferente cosa que no creo haber visto en ipcop
reval20
veras pablo martinez ahorita mismo estoy conectado al ipcop y en advproxy lo tengo comio 64 kb para l agren es decir limite por maquina en grenn es de 64 kbist pero creo que eso solo se aplica a la navegacion ahora para la descarga pero por maquina como seria es decir que tal maquina tenga 64 kits de descarga sea navegacion web o descarga de algun archivo y tambien sea de p2p que sea solo de 64 kbis para todo eso
Pablo Martinez
Es una limitación general por lo que tengo entendido ya que nunca lo he implementado, de todas formas para navegar, solo navegar, con 15-20Kb sobra, que quieres más caña, 30Kb.
El problema lo veo ahora con el upload de los P2P ya que si no te queda Upload la navegación igual se resiente.
Un saludo.
reval20
ok pablo martinez l verda me tiene hasrto estos p2p quiera bloquearlos pero sin tene rproblemas con el msn , como te dije yo vendo intrenet inalambrico tengo como 20 usuarios l anavegacion es rapida porque se hace cache a todas las paginas , pero el problema es con los p2p de todas maneras mucha gracias pablo martinez gracias por tu ayuda amigo vere o seguire buscando mas informacion con respecto alos p2p sin afectar el msn en los demas usuarios o maquinas veras solo una puede salir pero no las demas maquinas ahora dime es verdad que el msn para cada sesion usa un puerto es decir si tengo 20 maquinas y las 20 maquinas usan el msn cada una usa un puerto o es un puerto en general para todso , segun he leido qu eel msn para cada sesion usa un puerto , entonces eso quiere decir que yo estoy saliendo al msn pòr https y no por los puertos por donde deberia pasa el msn o salir porque cuando sale por https siento que el msn es un poco lento
preventa
Holaaaaaa
Mañana intentaré realizar una prueba con varias máquinas. No entiendo que haya problema para conectar varios MSN a la vez. MSN utiliza el puerto HTTP y HTTPS sean los usuarios que sean. Si puedo, mañana os digo algo respecto a las pruebas que pueda realizar.
Un saludoooooo
P.D.: Pablo, ya sabes que con el IPCOP estoy siempre atento, je, je, je…
reval20
ok preventa yo tambien vere que puedo hacer con el blockouttraffic veras se me ocurren varias idea con el blockouttraffic vere que mas puedo hacer con este addons y que si logro loque necesito estere postenado mis resultados gracia spreventa he muchas gracias tio estare atento
Pablo Martinez
Yo es que sinceramente, no sé el problema de fondo por donde vendrá, esto es como si estableces un fondo de escritorio a toos los usuarios de un dominio y a uno le sale un fondo diferente, pues no sé… esto huele a que ese usuario esta trabajando con directivas diferentes por el motivo que sea…
Yo no me comprometo a mirar ya que quiero hacer algo sobre Kerio y seguir con el taller de Güindous server dosmilocho
hasta luego señores!!
Bruj0
Para reveal20. Vamos a ver si tienes 20 equipos que usan el messenger todos apuntan al mismo puerto, al 1863; y si este estubiera bloqueado saldría por el 80, ya que los ingenieros de microsoft son muy listos y para que su messenger tenga salida le hacen salir por el 80; porque a que administrador se le ocurriría cerrar este puerto? Es igual que si navegan tus clientes, aunque naveguen a la vez todas las conexiones web iran al 80, sin importar cuantas conexiones o usuarios sean.
Y si quieres bloquear programas p2p lee un poco sobre el layer 7, que es el que puede filtrar este tipo de conexiones; y si quieres restringir el canal de bajada usa qos, que es la calidad de servicio, que te permite entre otras cosas limitar el ancho por subredes, usuarios, o direcciones macs. Las soluciones son infinitas.
Bueno te dejo esas claves que yo me voy a la cama y te he escrito muy rapido
Saludos
Bruj0
Por cierto que se me olvidaba, para q te resulte mas facil comprenderlo el layer7 se encarga de filtrar protocolos.
reval20
hola brujo mira que mas hecho entrar en razon claro tienes razon porque h eprobado y probado creo que con el bot no se puede bloquear los p2p y si lo haces pue stambien afecta al msn haber sobre p2pblock y layer7 si lo he leido pero veras que no hay para la version 1.4.21 solo para versiones inferiores a ipcop ahora bien lo smismo me fijieron usar layer7 y p2pblock pero como repito no hay para ipcop mas actuales
reval20
haber brujo dime el layer 7 es tambien un addon al igual que p2pblock pero como te repito solo hay para versiones inferiores , dime tu as probado esos addons en versiones de ipcop actuales y si lo as probado me podrias decir como instalarlos yaque cuando instalo el p2pblock este me tira un erros al igual que layer 7
Bruj0
Yo esto no lo uso en ipcop, para eso uso mikrotik que lo puedes hacer funcionar como router multiwan, con balance de carga, failover y soporta qos y layer7, que es la última capa. Asi puedes bloquear por protocolos y no por puertos, ya que bloquear el ares por puertos es imposible, porque sale por el que quiera.
Pablo Martinez
El tema va a ser que IpCop pueda hacer esto… sé que ISA si trabaja filtrando paquetes (lo que estamos hablando de la capa 7 del modelo OSI) aunque la verdad nunca me ha dado por ahí.
en cuanto a todo lo demás no sé… volvemos a lo mismo, mientras puedes navegar puedes usar MSN, pero no comprendo el problema de navegar y no poder utilizar MSN en unos equipos si y en otros no… se estará escapando algo.
El Modelo OSI según la Wikipedia
reval20
para pablo martinez aque te refieres con tu pregunta , veras yo he seguido la configuracion del ipcop al pie de la letra como en el video que hiciste sobre el blockouttraffic pero con la opcion de que le añadi una regla que aceptara https osea que me permita usar el msn yaque con la configuracion que le diste al bot bloqueaba el ares , pero tambien el msn y entonces cuando usaba el msn y se me bloqueba solo me fijaba en los logs del firewall haber que pasaba con el msn . y en los logs del firewall me fijaba que se me rechazaba el puerto https 443 y cuqando acepte esa regla pudo salir el msn y al igual que el hotmail no se aque te refieres pablo martinez con tu pregunta pero esa es lo que yo hice para que el msn pudiera salir otra cosa no hice me fie segun el video
Pablo Martinez
A ver que me explique, solo digo que es raro que con mismas configuraciones hayan comportamientos distintos, bueno no es raro en esto de la informática pero bueno, no sé si me explico que a veces no lo hago o lo hago muy mal….
Voy a mirar el tema de mikrotik, la verdad que no conocía esto y me ha sorprendido bastante la web, veré que puedo hacer con esto en cuanto termine las tareas pendientes que tengo dos vídeos o tres pendientes ahora mismo y que no se acumulen más…
Saludos.
Por cierto, el IpCop sé que ha presentado problemas (como podemos ver en el foro) en configuraciones de hardware demasiado limitadas…
reval20
haber pablo martinez mikrotik si tengo lo amlo esque es con licencia osea se paga ademas axiste el routerborad y ek ruterOS que es el software del mikrotik que se puede implementar en un pc al igual que ipcop pero repito es con lincecia y las que he encontrado segun em dijieron esban crackeados ps no me han trabajado bien , como te digo es con licencia no es gratis como el ipcop
Pablo Martinez
Bueno, voy a intentar hacer un vídeo de esto más adelante, ahora se me acumula el trabajo y me tendré que quedar esta noche de videotutos así que mañana a los más madrugadores tendrán algunas novedades en el blog.
Espero terminar y ponerme con lo tuyo también, un saludo y gracias por aguantar el hilo.
reval20
hola pablo matinez veras este es el problema que me bota en los logs del firewall y este es el motivo por el cual las demas maquinas no pueden salir al msn haber la prueba la hice con una maquina que tiene por ip 192.168.0.19 acontinuacion detallo lo que se me rechaza en esa ip
12:59:37 GREEN ACCEPT eth0 TCP 192.168.0.19
50236 00:21:5c:24:65:03 192.168.0.1
800(MDBS_DAEMON)
reval20
hola pablo martinez disculpa pero ya tengo imagenes del ipcop con respecto al msn que se me bloquea en las demas maquinas como podria pasarte las imagenes y para que veas que para esa ip se le rechaza todo menos el mdbs 800 ytambien el 53 domain dime como podria pasarte las imagnes que he secado a las ip de mi otra maquina que no puede ingresar a msn
Pablo Martinez
A través de este formulario puedes hacerme llegar las imágenes (comprimidas en .rar)
http://www.s3v-i.net/colabora/
En cuanto a lo de arriba:
12:59:37 GREEN ACCEPT eth0 TCP 192.168.0.19
50236 00:21:5c:24:65:03 192.168.0.1
800(MDBS_DAEMON)
Según esto el paquete no se rechaza, si no seria si mal no recuerdo esto:
12:59:37 GREEN >strong>REJECT eth0 TCP 192.168.0.19
50236 00:21:5c:24:65:03 192.168.0.1
800(MDBS_DAEMON)
o…
12:59:37 GREEN DROP eth0 TCP 192.168.0.19
50236 00:21:5c:24:65:03 192.168.0.1
800(MDBS_DAEMON)
Espero esas imágenes, un saludo y perdona la tardanza estoy que no paro en estos días!!!
reval20
hola pablo marttinez haber he estado probando en otro servidor al igual que el ipcop algo similar al blockouttraffic y esta ves si el ares no sale ni cualquiero otro p2p y claro msn hotmail,yahoo skype. etc etc ya puede salir sin prolemas en cualquier maquina ahora bien los puertos que habia que aceptar eran estos haber si tambien nos valdrian para el ipcop en la seccion blockòuttrafic haber que dices pablo puede implementarlo estos puertos
pablo con esots puertos en el otro distro que tambien te cierra todo slos puertos acepte todos esos puertos y el msn hotmail, salia en todas las maquinas sin ningun problema y el ares o cualuier otro p2p ya no salia te paso los puertos que fui habirnedo ok epseor que haber lso puedas probar ene l ipcop
25 tcp
80:81 tcp
110 tcp
389 tcp
443 tcp
522 tcp
531 tcp
587 tcp
995 tcp
1024:1025 tcp
1503 tcp
1863 tcp
1935 tcp
2082 tcp
2084 tcp
2383 tcp
3389 tcp
3724 tcp
5000 tcp
5050 tcp
5061 tcp
5222:5223 tcp
6060 tcp
6112:6119 tcp
6666:6667 tcp
6891:6901 tcp
7775 tcp
7779 tcp
7980 tcp
8000:8002 tcp
8010:8020 tcp
8070 tcp
8080 tcp
8129 tcp
8180 tcp
9000:9999 tcp
13324:13325 tcp
20000:20019 tcp
28800:29000 tcp
30000 tcp
37494 tcp
44405 tcp
49152 tcp
55901 tcp
55904 tcp
9 udp
25 udp
53 udp
110 udp
587 udp
995 udp
1024:1025 udp
2082 udp
2084 udp
3389 udp
3724 udp
5000:5010 udp
5190 udp
6112:6119 udp
6666:6667 udp
6901 udp
7001 udp
7777:7781 udp
8001:8002 udp
8129 udp
8180 udp
9010 udp
27000:27039 udp
30000 udp
37494 udp
44405 udp
49152 udp
55901 udp
55904 udp
56000 udp
ok pablo con estos puertos en la otra distro me todo bieb msn en todas las maquinas y ares y otro p2p no sale espero tu comentario
reval20
holla pablo alguna novedad con los puertos q
Bruj0
con esos puertos el ares puede descargar, abre el ares y da a buscar algo; pon bisbal y veras
reval20
brujo yo he probado en otra distro el msn sale como si nada en todas las maquinas y ekl ares o cualquier otro p2p no lo hece justamente ahora estoy testenado en esta distro y ek ares sigue sin pasar el msn sale normal en todos las maquinas
reval20
ok brujo solo decia que en esta distro hay una opcion que dice denegar
Denegar el uso de todos los servicios externos
creoq ue algo parecido al blockoutraffic porque te cierra todos los puertos y con esos puertos que que lagrego en permitir el ares y otor p2p no pasa y elmsn en todas las maquinas trabaja bien
Pablo Martinez
Perdona estaba actualizando el blog…
Si como dice Bruj0 (aunque no lo he comprobado) no me extrañaria que el Ares salga, por norma general o si no recuerdo mal mejor dicho, hay unos puertos “ocupados” puertos como 80, 443, 25, 21, 125, 53, 3389… estos muy comunes y otros no tanto, hasta cierto número de puerto es peligroso hacer pasar un software (que se comunique por ahí) ya que puedes tener problemas al intentar dos servicios utilizar el mismo puertos.
Por norma general una opción rápida que le veo es abrir todos los puertos hasta un puerto X (tengo que consultar algún listado de puertos, en el blog dejé uno) y de ese puerto en adelante todo bloqueado, el problema es que no recuerdo exactamente si el BOT permite aplicar reglas por rangos de puertos, pero si lo permite lo tienes solucionado.
Si bares puertos por el rango 50000 como bien dice Bruj0, Ares tardará más o menos pero pienso como el ha comentado que el Ares acabará accediendo a Internet ya que no son puertos conocidos, de todas formas en ese listado estas concediendo accesos a unos puertos que considero peligroso e innecesario… los puertos deben abrirse con mucho cuidado y sabiendo a que corresponde cada puerto.
Buscaré más información y te lo comento, pero conste que sigo sin comprender porque con la configuración del vídeo (en el que además se ve claramente que Ares no navega) a ti si te navega ¿no te estarás dejando algo?
A ver si alguien arroja alguna luz sobre esto.
Por cierto Bruj0, muchas gracias por tu colaboración, será tenida en cuenta.
Saludos a tod@s!!
Bruj0
Mira yo solo te digo una cosa, el messenger te funciona porque le tienes su puerto abierto que es el 1863, sino lo tuvieras saldria igualmente por el 80. El messenger solo se puede capar bloquendo el dominio live.com creo recordar, lo hice pero ya no lo tengo.
El ares nunca lo vas a cortar, te lo digo porque aunque no lo haya probado aun teniendo el puerto 80 abierto creo q te va a salir por ahi, pq hay servidores con este puerto a la escucha, precisamente por eso, impedir que se pueda capar. Te digo q no lo he probado esto ehhh. Seguramente t tarde mas en conectar pero acabara haciendolo seguro.
Lo unico que puedes hacer es intentar controlarlo con el layer7; y dejarlo casi muerto. Yo lo tengo asi y el ares sique nunca conecta, siempre pone conectando aunque lo dejes 3 dias, que esto sique lo he hecho. Pero si te vas a buscar una cancio, por ejemplo pones bisbal y te van a aparecer sus cancioncitas, eso si, con muy pocas fuentes, 1 o 2 estrellas. Con lo que el cliente hará muy pocas conexiones y su descarga será muy lenta, con lo que no saturará tu red.
El emule u otros p2p sique se cortan 100% con layer 7, el emule no conecta a ningún servidor y con lo cual no permite busquedas ni descargas.
Si quieres probar, abre el ares y da a buscar bisal, veras como te salen canciones; y seguramente tarde o temprano te acabará conectando e irá cogiendo mas fuentes e irá ampliando sus conexiones e irá haciendo mas lenta tu red.
Pruebalo y nos cuentas.
Saludos ! ! Por cierto Pabl9 (por lo de Bruj9) jeje, muchas denadas, asi aprendemos todos trasteando.
Bruj0
Por cierto , acabo de releer el comentario y parece que lo ha escrito un cheyenne, pero son las 2 y mañana entro a las 8 a curras jeje.
Me piro a la piltra, nanit !!
Pablo Martinez
Bruj9?? no lo entiendo….
(corregido)
Gracias por tú comentario.
JAU!!!
REVAL20
hhola pablo martinez creo que te as confundido ami siguiendo el video el ares no pasa pero tambien el msn no pasa asi que si no tengo msn mis demas maquinas no salen ahora , bien como t edije tengo que agregar el puerto 443 https ahy recien el msn puede salir pero repito no en todas las maquinas por es estoy tratando de ver como puedo solucionar , he preventa dijoq eu lo iba a probar con varia smaquinas el msn y nos iba a comentar estoy esperando los resultados de preventa si logro porbar con varias maquinas el msn
REVAL20
hola pablo martinez , que tal despues de probar y probar logre que el msn pudiera salir sin problemas en dos maquinas voya aprobar en todas las demas maquinas pero como dije al principio solo em salia en una maquina yquier probar en todas las maquinas bien te dire lo que hice mejor t envio imagenes ok por cierto ya tenecie una imagenes
ahhhhhhhhh el ares no sale te enviare imagenes proque no esta demas que des tu opinion derepenet habri un puerto qu es peligroso ok espero tu comentario
Pablo Martinez
Para no liar más el tema yo creo que deberías de mirar como te dijo Bruj0 el tema de Layer7, en el vídeo todo funciona y piensa que si sale yuna máquina y la otra no eso es lo raro, no es que nos funcione a otros dos con la misma configuración. Los P2P suelen utilizar puertos altos aleatorios y puede que sea este el motivo por el que la configuración del vídeo funciona, pero creo que lo más aconsejable es hacer lo que dijo Bruj0, ahí no se escapa nadie y si mal no recuerdo es el filtrado que implementa ISA Server.
Y bueno por lo demás lo iré mirando pero estoy muy liado últimamente y tranqui con preventa que el pobre cuando puede participa, a ver si esta muy ocupado y no puede visitarnos estos días.
Un saludo y tranquilo reval20, no tengas prisa que iremos dando las soluciones pero piensa que el blog lleva mucho mantenimiento.
REVAL20
ok pablo martinez solo quiero salirmde d eduda en el video tu solo habres dos puertos 800 MDBS 53 DOMAIN AHORA BIEN PARA QUE EL MSN SALGA TUVE QUE HABRIR EL PUERTO 80 no se si esto este bien que aiga abierto el puerto 80 como te digo el ares no pasa y eo me tranquuiliza y el msn sale ya en todas las maquinas algo que en el video tu no habrias el puerto 80 ok pero bueno pa no darle mas el tema caso cerrado seguire probando mas cosas , losiento amigo no es mi intension inreempirte eb tus labores pero de todos modos muchas gracias
REVAL20
sobre los puertos que t emande eso lo saque en el foro de brazilfw porque ahy aceptan todos esos puertos y el msn sale normal en varias maquinas y el ares no si quieres te puedo pasar el link de donde lo saque
pero como te digo eso lo saque de un foro de brazilfw
Pablo Martinez
Si pero abren puertos que no corresponden… el puerto de servicios de terminal por ejemplo… hay que ir con cuidado con esas cosas porque eso es crear un problema de seguridad que no nos interesa a nadie.
Y no me interrumpes, solo digo que estoy muy atareado nada más, sabes que estoy aquí dispuesto a contestar en todo lo que puedo a todos y que es un principio de este blog que será así por siempre, o eso espero.
Me alegro que al fin lo hayas podido solucionar, en serio, pero me repito de nuevo una vez más, no entiendo porque no te funcionaba el tema del vídeo nada más que en una máquina…
Saludos!
preventa
Hola a todos.
Despues de realizar pruebas os puedo confirmar que el IPCOP acepta tantas conexiones MSN necesites. Está probado con 5 equipos conectados a la vez al Messenger y ninguno de ellos me ha dado error para conectarme. Reval20 no sé cual puede ser tu problema. He seguido los pasos del Videotutorial de Pablo y no es necesario abrir el puerto 80. Solo tienes que abrir los puertos MDBS800, DNS y HTTPS, nada más. Que es lo que puede ser que no te funcione en el MSN, creo que el audio y video, pero esto de momento no he podido probarlo.
Recuerda: MDBS800 y DNS acceso IPCOP. HTTPS acceso a otra red.
Espero haberte ayudado a solucionar el problema.
Un saludo a todos
REVAL20
ok preventa como te dije yo he seguido todos esos pasos y aun asi no me permitia salir al msn en todas las maquinas pero de todos modos muchas gracias , logre que saliera solo habriendo los puertos del msn pero com ootra red afuera asi el msn audio video me funciona bien no tebngio problemas el msn sale en todas la maquinas ya no tengo problemas , por es aparte esoty felis claro tuve que tambien habrir el puerto 443 https otra red afuera ok de todos modos muchas gracias a todos en especial a pablo martinez , jeje un rollo con mi problma pero como ahora veras deseo darle seguridad ami red ya que en la tarjeta que hace de grenn le he puerto un acces point con seguridad wep no le pongo wpa ni wpa2 porque me ponen lenta la red ahora el filtrado mac es facil burlarlo al iguak que la wep y tambien como es facil averiguar el rango de ip como dije el proceso es mas facil si en la red inalambrica hay clientes conectados comoe s mi caso si hay clientes conectados es muy facil clonarse la mac , romper la wep , y averiguar el rango de ip , mi pregunta es habra allguna forma de protegerme he estado rpobado con el blockoutrtafic epro veo que noe smuy seguro digo poniendo ya no redes por defecto si no Formato de la Direccion: osea yo decido que ip sale y que ip no tambien seria por mac pero no em convence si por decir pongo una ip ala que le dy acceso ps facil tambien es ponerse esa ip y listo sale a internet
reval20
hola pablo maritnnez nuevamente molestandote con respecto al ipcop ya estoy trabajando normal con el blockoutrafic testeado , ningun p2p pasa , tale scomo ares.limewire.kazza.emule. etc , etc, bien pero aun asi sigue siendo vulnerable el ipcop
Pablo Martinez
Como que sigue siendo vulnerable? no entiendo…
reval20
hola pablo martinez , bueno si con respecto a la vulnerabilidad del ipcop veras sopongamos que yo en la red gren le ponga un acces point y asi ofresco internet inalambrico a mis clientes unos 10 usuarios , haber si le pongo wep es facil de hackear , si le pongo filtrado mac es facil clonar la mac , si le pongo seguridad wpa/2 me pone muy lenta la red , en fin un sin fin de problemas ahora claro todo eso lo configuro en el ap que pongo en la red grenn , pero digo yo habra alguna forma de de que el servidor sea seguro , osea que en el servidor pueda amarar la mac con la ip osea que si alguien trata de clonar la mac y ponerse la ip , digo esto porque ci en el ap estan conectados los clientes a los que le permito el acceeso a internet uno facilmente usando un distro como el wifislax facilmente puede
1- hackear la seguridad wep en el ap , y si tiene filtrado mac facilmente en el wifislax que mac estan conectados al ap osea mis clientes a los que permito el acceso , y tambien facilmente pueden averiguar que rango de ip tiene es decir si en el servidor pongo el dhcp deshabilitado facilmente , uno podria averiguar el rango de ip , hacker la wep, clonar la mac osea ponerse una mac que tenga acceso . y wala tiene acceso ,
ahora bien estuve tratando con el blockoutrafic pero veo que este tampoco es muy seguro estuve ahora permitiendo acceso ahora por mac o por ip en el blockoutrafic pero igual sigue siendo vulnerable digo porque si ene el blockoutrafic espesifico que mac sale o no igual en el ap se puede clonar la mac bueno blockoutrafic no es seguro , ahora bien hay una opcion en el dhcp de ipcop en opciones de dhcp he visto opciones que se le puede agregar al dhcp , pero tambien vi ipciones como crear concesiones fijas es decir a cada mac se le pone una ip y siempre sele va a asiganar la misma ip , bueno eso si me ha funcuonado , epro en opciones d edhcp he visto cosas que se le pudieran agregar a al dhcp hay una opcione que dice dhcp-client-identifier , que pro que he buscado info en la net no he encontrado nada sobre esas opciones que se le pudieran poner al dhcp , pablo disculpa que te moleste pero queisera ver si tu me podrias ayudar echandolo una oejada a ese punto que te digo para como algo asi de tratar de amarar las ip con sus respecticas macs asi para que nadie pueda tratar de clonar la mac y cambiarse e ip ok pablo haber si me puedes echar una mano
preventa
Hola Reval20
¿Qué tal sería implementar la autentificación con usuario? Sería una manera fácil de imposibilitar la navegación sin haberse autenticado antes.
Un saludo a todos !!!
reval20
hola preventa con autetificacion la verdad creo que a cada rato cuando quiera nevegar tendria que interoducir su contreseña y no estaria en modo transparente , la verdad no quieri que los usuarios sepan que estan pasando por un proxy porque si pongo con autetificacion tendria configurar manualmente el proxy en windows ok espero tu ayuda con lo del dhcp en ipcop opciones de dhcp
alondra
hola kisiera saber si esto q ustedes dicen es para conectarme a internet sin necesidad d usar un modem
Pablo Martinez
A ver reval20, comentas unos problemas que me asustan, no sé porque es un problema que puedan acceder a la red si proteges los servicios mediante acceso por usuario, el problema es que cuando alguien accede a tu red, también pueda hacerlo a tus servicios y recursos, si crees que es inevitable deberás primero mejorar la seguridad en estos puntos.
Creo además que estas un poco atolondrado y estas sacando conclusiones precipitadas, lo comento porque veo algunos detalles en tu comentario que indican, por decirlo de alguna manera, un grado de frustración algo elevado… IpCop dispone de una interfaz para conectarle a un AP, si conectas el Ap donde no debes claro esta, vas a tener problemas.
Trata de buscar algo de información acerca de la posibilidad de conectar un Ap a IpCop, si no encuentras nada avisa y tratamos de darte algo, pero creo ante todo, no debes precipitarte, por otra parte y en caso de que sea tan inseguro el sistema como comentas deberás de plantearte algo:
1. Sustituir el sistema de protección
2. Valorar que es más importante:
a) Un proxy transparente
b) Un nivel de seguridad adecuado
Yo es que sinceramente no veo tantos problemas, si usando el cifrado WPA/2 como comentas, tanto afecta al rendimiento de la red (creo recordar que era para Internet) creo que el problema no viene por el cifrado, si no por el hardware con el que realizas los enlaces, un AP que soporta WPA no debe ralentizarse ni bajar su ancho de banda por activar este tipo de cifrado, yo lo he aplicado a algunos clientes y no he visto afectado el rendimiento en ningún momento, es más confirmame si el problema de rendimiento se aprecia conectando a Internet, porque de ser así creo que el problema esta en el hardware.
Por cierto, el cifrado WPA no es ni mucho menos 100% seguro, aunque es más costoso también es vulnerable a un ataque…
En cuanto a alondra… ¿has revisado un poco el artículo? te lo comento porque me a sorprendido bastante la pregunta y creo que no la entiendo… para conectar IpCop a inertenet al final debes poner un módem para obtener acceso a la red de redes.
Un saludo.
PD: No es que este borde, y va por reval20 y por alondra, pero creo que en el caso de reval20 no le va a beneficiar en absoluto que sigamos dándole soluciones directas ya que hasta el momento lo único que hemos conseguido es trasladar el problema de un lado a otro… deberías de aprovechar un par de tardes para darle un buen repaso a IpCop, hacer pruebas tontas y descubrir algunas de las opciones que desconozcas, en cuanto a alondra, sinceramente creo que se ha equivocado de sitio, más que nada por la forma de presentar la cuestión.
Coor
Hola Pablo.
Podrias explicarme paso paso como hiciste la configuracion de “Enrutamiento y acceso remoto”?
Nose como pusiste lo de WAN, LAN en servidor de servidor de seguridad o NAT.
Gracias de antemano y gran proyecto.
Pablo Martinez
Aquí tienes un vídeo de instalación y configuración del servicio:
http://www.s3v-i.net/2008/01/09/routing-and-remote-acces-enrutamiento-y-acceso-remoto-rras-videotutorial/
Lo de WAN y LAN es el nombre que he asignado a las tarjetas de red, igualmente te recomiendo este artículo:
http://www.s3v-i.net/2009/02/05/el-video-final-despliegue-de-servicios-esenciales-de-red-para-obtener-una-infraestructura-basica-con-windows-server-2003/
Un saludo.
reval20
pablo martines haber creo que te as molestado con mis comentarios claro que repaso y repaso el ipcop tanto asi que hago pruebas y pruebas con respecto a la seguridad es decir yo doy internet ya sea cableado o inalambrico , haber me voya a tratar de explicar bien
veras yo en el ipcop en la red grenn en ves de ponerle un swicth le pongo un ap porque tengo usuarios unos 20 usuarios ok pues bien
en el ipcop tengo este rango de ip 192.168.0.1 que es del ipcop la red grenn y las ip que se asignan mediante el dhcp son 192.168.0.2 hasta el 192.168.0.20 ok se supone que solo hasta ese rango el ipcop va a entregar ips pero haber , yo he estado probando por decir cada cliente se conecta con un ap de por lo menos 5 puetos en cualquiera de los puertos asigna internet entiendes y si le pongo manualmente las ip puedo sacar hasta mas ip es decir si solo en el ipcop debe de entregar hasta el 20 ps si yo pongo 192.168.0.21 normal sigo asignado ip y or consiguiente puedo salir a internet , lo que no encuentro es como limitar eso en el ipcop y ahe pronado desactivando el dhcp pero nada sigue pablo si he estado viendo ese punto peor no consigo como hacerlo como limitar las conexiones en el ipcop
Pablo Martinez
Pero es que el problema es… mira, el interfaz Blue…
http://www.ipcop.org/1.4.0/en/install/html/decide-configuration.html
No te molestes pero en la guide de IpCop vienen todas las interfaces que necesitas entonces la CFG debería quedar así:
Interfaz Red -> Internet
Interfaz Green -> Tu puesto de trabajo
Interfaz Blue -> Ap y clientes Wireless
Otra cosa, si tienes muchos clientes Wireless si es posible que se ralentice un poco la red por lo que tal vez necesites un Ap más serio.
Por lo de la limitación, si mañana puedo hago un vídeo, ahora estos días estoy muy liado, si no igual haz un cosa, el próximo Lunes/Martes me dejas un comentario haciéndome memoria ¿ok? trato de hacer lo posible, un saludo.
preventa
Hola a todos !!!!
Reval20, no te entiendo muy bien. ¿Quieres que solo naveguen desde las IP 2 hasta la 20? Si es así, lo que podrías hacer es restringir todo menos ese rango de IP’s. Yo lo mejoraría con subnetting, pero eso ya es un tema más complicado.
Un saludo !!!!!
reval20
hola preventa que tal si muchas gracias por responder veras si como te digo yo lo que necesito es poder limitar las conexiones tanto para las red grenn como para la red blue veras yo pense que con solo con el dhcp podria hacer eso y auqe si par ala red grenn pongo el dhcp habilitado y este entrega un rango de ip desde 192.168.2.2/10 ok pense uqe solo esas ip podrian tener acceso pero me di cuenta que si pongo manual mente es decir si pongo la ip 192.168.2.11 o 192.168.2.20 un ejemplo
normal pueden tener acceso , como te dije lo que yo deseo es poder limitar eso , solo quiero que esas ip en las que el dhcp entrega , tengan acceso las demas que no tengan permiso sin que yo lo autorize ,
ahora veran acabo de implementar la red blue para la wireless es decir en la tarjeta blue que es para el ap , pero digo yo ahbra una forma de poder portegerme ya que cuando le doy permiso a una mac que seria un cliente con un ip ps facil con un sniffer uno puede ver aque mac le doy permiso y que ip ,le pongo si deshabilitar ael dhcp , espero no molestorlos amigos pero la verdad que es estado probando y probado pero nada no consigo lo uno ni lo otro como limitar conexiones y que mi red wireless sera seguro sin ponerle filtrado wpa/2
Pablo Martinez
Oculta el SSID, utiliza el cifrado más alto que te sea posible, cambia las contraseñas regularmente, filtra por MAC étc…
Por cierto, ¿Tan seguro estas de que están atacando tu red?, con un cifrado WPA y cambiando la contraseña cada 10 o 15 días yo creo que harás desesperar a cualquiera…
Saludos…
reval20
hola a todos pablo martinez dime sabe scomo limitar conexiones por ip en el ipcop es decir solo el ipcop que de acceso a 20 ips que es lo que necesito , el problema que tengo esque si en la red grenn habilito el dhcp desde este rango 192.168.2.2 hasta el 192.168.2.20 solo quiero que aiga esas ip no mas porque es la cantidad de maquinas que uso , pero por ahy alguiien ha colocado una mauqina mas y le ha asignado ip manualmente es decir 192.168.2.21 en adelante y tiene acceso lo que yo quiero es poder limitar esas conexiones solo hasta el 192.168.2.20 que de ahy en adelante no puedan tener acceso
reval20
hola a todos nuevamente aqui volviendo a este foro de pablo martinez veras pablo sorry no ingresar , pero traigo algo nuevo no si servira , es algo que investigando lo logre logre amarrar la mac a la ip en ipcop osea , si alguno se cambia de ip ps no tiene acceso no se hasta ahora me ha trabajado muy bien en mi red wireless osea e amarrado la ip 192.168.2.1 hasta la 192.168.2.10 con sus respectivas mac aparrit de ahy en adelante los he amarrado con unas mac falsas
osea
192.168.2.1 con mac 00:11:22:33:44:55
192.168.2.2 con mac 00:22:SD:FG:FG:GH
192.168.2.3 con mac 00:11:22:33:RT:JH
192.168.2.4 con mac 00:11:22:33:SD:PQ
192.168.2.5 con mac 00:11:22:QA:DF:DF
192.168.2.6 con mac 00:11:22:33:44:55
192.168.2.7 con mac 00:11:22:XX:VC:55
192.168.2.8 con mac 00:11:22:33:44:55
192.168.2.9 con mac 00:01:22:3F:4F:55
192.168.2.10 con mac 02:1F:22:33:44:55
OK ESAS IP ESTAN amarrados a esas mac osea como solo tengo 10 clientes conectados inalambricamente
ahora apartir de la ip 192.168.2.11 hasta la 192.168.2.254 estan amarrados con las mac falsas un ejemplo
192.168.2.11 con mac 00:00:00:00:00:00
192.168.2.12 con mac 00:11.XX:XX:XX:XX
192.168.2.13 con mac ss:ss:ss:ss:ss:ss
192.168.2.14 con mac xx:xx:xx:xx:xx:xx:xx
ok hasta la ip 192.168.2.254
ahora he probado mi red inalambrica con cifrado wep
he atacado mi red obtuve la clave wep
ahora tras averiguar el rango de ip dns mac
me propuse a ingresar a mi red claro me daba ahora ingrese y asigno ip 192.168.2.11 y nopodia navegar porque esa ip estaba amarrado a un mac 00:00:00:00:00:00 entonces , como no hay un cliente conectado inalambricamente on esa mac ps no tuve acceso , claro tendria que cambiarme la mac por la 00:00:00;00:00:00 claro yo lo se pero un atacante comp podria saber que
las ip lo tengo amarrado a tal mac falsa
ahora si quisiera ponerse la mac de uno de los clientes que tiene acceso que ip se pondria no podria ponerse la ip que le pertenece an un cliente real porque botaria error de conflicto de ip ahora no podria ponerse la mac 00:00:00:00:00:00 porque no sabria que mac esta amarrado a tal ip bueno me refiero las falsas pablo martinez es algo seguro eso por favor espero tus comentarios
Pablo Martinez
Creo que sigues teniendo un problema, y es que puede sniffar tu tráfico de red… yo creo que la solución esta en aumentar la seguridad de misión/recepción de datos y no en centrar todo tu esfuerzo en impedir que otro se conecte a Internet cuando eso puede ser un mal menor…
Igualmente te felicito porque es una solución muy interesante y seguro que a más de uno le sirve, yo por ejemplo lo que hago cuando instalo una wifi es dejar durante unos días que accedan los clientes que quieran, luego establezco la seguridad, impido a las MAC que se conectaron que puedan acceder y cambio el nombre de la red…
Pero lo que si quiero es felicitarte por la excelente siolución.
reval20
hola que tal pablo martines bueno gracias investigando di con esa solucion pos siemplemente es amarrrar la mac a la ip
ip neigh replace 192.168.2.2 lladdr 00:11:22:33:44:55 dev eth0 nud perm
ip neigh replace 192.168.2.3 lladdr 11:2K:33:44:F5:H6 dev eth0 nud perm
ip neigh replace 192.168.2.4 lladdr 11:2F:3K:44:55:66 dev eth0 nud perm
ip neigh replace 192.168.2.5 lladdr 11:22:33:4J:55:6G dev eth0 nud perm
ip neigh replace 192.168.2.6 lladdr 11:22:33:44:55:66 dev eth0 nud perm
ip neigh replace 192.168.2.7 lladdr 11:22:3H:4L:55:66 dev eth0 nud perm
ip neigh replace 192.168.2.8 lladdr 11:22:3J:44:H5:66 dev eth0 nud perm
ip neigh replace 192.168.2.9 lladdr 11:2F:3G:44:55:66 dev eth0 nud perm
ip neigh replace 192.168.2.10 lladdr 11:FG:13:44:DF:66 dev eth0 nud perm
OK hasta ahy es mi red osea los clientes que menejo inalambricamente es decir esos clientes estan amarrados por ,mac u por ip
ahora aparit de la ip 192.168.2.11 hasta la 192.168.2.254 estan amarrados con mac falsas 00:00:00:00:00:00
ip neigh replace 192.168.2.11 lladdr 00:00:00:00:00:00 dev eth0 nud perm
ip neigh replace 192.168.2.12 lladdr 00:00:00:00:00:00 dev eth0 nud perm
ip neigh replace 192.168.2.13 lladdr 00:00:00:00:00:00 dev eth0 nud perm
asi hasta llegar la ip 192.168.2.254
ip neigh replace 192.168.2.254 lladdr 00:00:00:00:00:00 dev eth0 nud perm
ok
ahora tu dices que seguiria siendo vulnerable
como tengo clientes conectados inalambricamente facil con un wifislax veo la mac y cada ip que tiene las mac ahora
bien si el intrusi llegase a ingresar a mi red obvio de con cifrado wep
claro en si si estaria dentro de la red pero no podria navegar porque que ip se pondria
su pongamos que ingreso a la red y le asigno la ip 12 pero esa ip 12 esta amarrado a la mac 00:00:00:00:00:00:00 por lo tanto el tendria que cambiarse de mac pero como sabria que mac esta amarrado a esa ip si esas mac en realidad nunca generarian trafico y tampoco habria un cliente con esa mac
ahora si clona la mac de un cliente que si esta permitido
tendria que ponerse la misma ip que pertenece a esa mac y si se pone esa ip ps simplemente me botaria erro conflicto de ip ps porque no podrian haber dos ip no se ps pablo martines tu creess que siga siendo vulnerable
Pablo Martinez
Me refiero a que lo que estas haciendo es solo impedir que otro acceda a Internet a través de tu conexión pero no estas protegiendo la integridad de los datos de esta red… no sé si me explico.
Y lo repito, es una excelente solución la verdad que me ha gustado mucho, una vez más, felicidades por esa estupenda idea.
reval20
ok pablo martinez claro tiene stoda la razon , ummm pero dime sabe sde algun comando en linux que por decir unas que ya amarre todas las ip es decir de la 192.168.2. hasta la 192.168.2.254
todas esy¡tan amarradas
ahora los clientes reales solo son
del 192.168.2.2.hasta el 192.168.2.10 ok solo quiero que se veas esas ips ahora si yopongo por decir el comando arp pues me muestra todas las ip sea tanto las ip con las mac originales como las ip con las mac falsas y en completo deseorden ps y asi no se puede tener un control total la verda ese desorden hace que uno se mareee , ahora dime habra algun comando que me muestre solo las ip y las mac que estan conectadas ok pablo martines agradeceria tu ayuda
Pablo Martinez
Yo te recomiendo hacer subnetting y limitar l máximo el número de equipos que pueden conectarse que en tú caso serían 14…. a ver.
Establece esta máscara de subred
255.255.255.240
Y las Ip válidas serían:
192.168.2.1
192.168.2.2
192.168.2.3
192.168.2.4
192.168.2.5
192.168.2.6
192.168.2.7
192.168.2.8
192.168.2.9
192.168.2.10
192.168.2.11
192.168.2.12
192.168.2.13
192.168.2.14
Si alguien entra en la ip 192.168.2.41 estará fuera de la red…
¿Te sirve? así limitarias más el acceso a la red y el tráfico de broadcast por lo que podrías intentar aumentar el cifrado wireless a ver si te da algo más de rendimiento.
Bueno ya me dices algo.
reval20
Hola `pablo martinez eso de subneting no lo sabia haber por lo poco que h elogrado compreder basta solo con cambiar la mascara de subred la 255.255.255.0 por 255.255.255.240 solo es eso l averdad no he comprendido muy bien eso de subnetig pero en fin eso fue lo que enmtiendo con lo que me explicas ahora
ami siempre me da por macara 255.255.255.0 osea solo debo de cmbiar la mascara ,
reval20
hola pablo martinez hay algo que no me queda claro si yo establesco como mascara 255.255.255.240 y mi servidor que es el que da acceso a internet a los demas equipos tiene por ip 192.168.2.1 mascara 255.255.255.0 entonces si yo establesco esa mascara en mis equipos ps quedaria fuera de la red nose `pero no logro comprender si establesco esa mascara tambien tendria que hacerlo en mi servidor
newronas
Duda sobre como colocar el IpCop sobre una maquina Virtual.
Supongamos lo siguiente: 1 equipo fisico al cual tengo 3 placas de red. 2 para WAN de 2 ISP diferentes. La 3er placa para el SW donde estan conectados el resto de los equipos de la Lan. La idea es virtualizar un IpCop en el equipo fisico pero como debo de colocar las 2 placas que van a los ISP para que tomen la ip de los ISP y la otra placa para que envie el DHCP, etc para toda la Lan. Y para el caso que quiera tener otra maquina virtualizada como parte de mi lan????? como configuro VMWare Server para esto…. alguna pista?
Pablo Martinez
A ver, respondiendo a reval20: En los últimos artículos encontrarás algo sobre subnetting, echales un ojo a ver si aclaras algunas dudas y ya me cuentas, ok?
A ver newronas, hace ya bastante que no utilizo el VMWare, recuerdo que podemos escoger con que placas de red queremos trabajar de las que tenemos en el pc, pero no recuerdo exactamente donde y como, mirate los menús y las opciones porque verás seguro en alguno la forma de asignar los adaptadores de red al sistema de virtualización.
Un saludo cualquier duda me consultáis y si alguien tiene VMWare y puede explicar esto mejor lo agradeceré.
reval20
hola pablo martinez que tal nuevamente molestandote aqui veras gracias por los manuales de subneting veras me ha servidor mucho en cuanto a slo tener un maxio de ip jejej garcias te pasaste
ahor averas estuve viendo otra sulucion algo similar el ldap , que es el metodo de autenticacion por radius ipcop dispone de autenticacion por radius tengo problemas al tratar de implementar ese punto
veras segun tengo entendido , para trabajar con metodo de autenticacion debe de estar deshabilitado el modo transparente en ipcop ok deshabilito el modo transparente en ipcop y se le pongo el metodo auteticacion por radius lo activo nadie podria navegar a internet en ese momento
veras no entiendo muy bien lo del servidor radius pablo podrias ayudarme como se configura el radius en ipcop
Pablo Martinez
Voy a preparar algo sobre esto del Radius… Ok?
PD: Si soy capaz…
reval20
hola que tal amigos veran ipcop lleva incorporado el metodo autenticacion local/ident/LDAP/windows/radius
este ultimo ami em gusta el servidor radius segun he visto es seguro lo cual he visto en algunos manuales es seguro para la red wireless
ahopra veran tengo entendido que para usar el metodo autenticacion tengoi que deshabilitar el proxy transparente en ipcop es decir no se puede trabajar autenticacion con modo transparente
entonces deshabilito el modo transparente en ipcop y si activo el modo autenticacion por radius me pide algunos parametros a configurar
RADIUS Server (Introduzca la dirección IP del servidor RADIUS que desea utilizar para la autenticación.) dice que tengo que introducir la ip direccion ip del servidor radius en este caso que ip seria la ip de mi servidor ipcop osea 192.168.2.1
Puerto (Escriba el puerto que se utilizará para comunicarse con el servidor RADIUS. El valor por defecto es el puerto 1812, algunos
Servidores RADIUS puede utilizar el puerto 1645 en lugar depreciado.
Identificador
Este es un campo opcional y se puede utilizar para identificar su IPCop para el servidor RADIUS. Si se deja vacío, el
Dirección IP de su IPCop será utilizada para la identificación.
Secreto compartido
Este es el secreto compartido para la autenticación de su IPCop contra el servidor RADIUS. Este debe ser el
misma contraseña que ha introducido en el servidor RADIUS.
ahora bien tiene varias opcionesmas pero lo que no logro comprender son esos tres primeros puntos sobre donde me pide que introduzca la direccion ip del servidor radius pero que ip deberia yo de introducir la ip de mi servidor ipcop 192.168.2.1
ahora bien pablo martinez tambien me pide que instale algo un cre una extension bueno esto es lo que dice el manual en ingles
Classroom extensions section overview
The classroom extensions section will appear in the Advanced Proxy GUI after the CRE supplement has been
installed (see chapter 3.3). These are the administrative parameters related to the classroom extensions.
6.1.2 Enabled
This
OK PABLO podrias ayudarme con esto la verdad radius lo veo muy seguro para la red wireless alguana idea pablo
Pablo Martinez
A ver Reval que no es que no te haga caso, es que ando liado estos días y esta respuesta quiero tomármela con tiempo y extenderme lo más posible, seguramente te haré todo un artículo para hacerlo y tratar de sacarte de dudas en mayor medida.
Un saludo.