=>-----Mensaje original-----
=>De: Roy Frances González [mailto:roy.frances@gal.sld.cu]
=>Enviado el: viernes, 09 de febrero de 2018 01:11 p.m.
=>Para: gutl-l(a)listas.jovenclub.cu
=>Asunto: [Gutl-l] Filtrado para navegacion
=>
=>Buenas a todos.
=>
=>Necesito saber como implementar una politica para dar acceso a Internet
=>filtrando las MAC contra usuarios. Quiero decir que cada usuario tenga
=>acceso solamente por un dispositivo registrado ya sea una laptop o un
=>celular si en este caso usara mi conexion wifi interna.
=>
=>Saludos cordiales
=>
=>
=>Roy Frances González
=>
=>Administrador de Red
=>
=>Hospital Provincial de Cienfuegos.
=>
=>Telef: 43518154
=>
=>
=>--
=>Este mensaje le ha llegado mediante el servicio de correo electronico
=>que ofrece Infomed para respaldar el cumplimiento de las misiones del
=>Sistema Nacional de Salud. La persona que envia este correo asume el
=>compromiso de usar el servicio a tales fines y cumplir con las
=>regulaciones establecidas
=>
=>Infomed:
http://www.sld.cu/
=>_______________________________________________
=>Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu
=>To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu
Suponiendo que uses SQUID como proxy para esos menesteres, te tengo la mala notica que
SQUID solo hace soporte de MAC a través de ARP (de ahí las acl tipo arp) siempre y cuando
los clientes estén en su misma red. (Ver documentación adjunta de SQUID sobre acl de tipo
arp).
Así que la única forma viable que veo es que en tu AP tengas el mismísimo SQUID o que de
alguna forma mágica puedas llevar la MAC hasta el squid.
Ahora vías alternativas para solucionar este problemilla.
1.- Puedes crear reglas IP + Usuario que si funcionan sin ningún problema. La nota
discordante aquí es que como sabes (aún en una wifi) el IP puede ser fijado de forma
manual (no es lo común pero si funciona) y por tanto alguien puede hacerse pasar por otro.
El punto a favor es que se utiliza la autenticación por usuario y ahí si no hay trueque
porque, se lo diste a otra persona o te "cojieron" la contraseña.
2.- No sé hasta qué punto la autenticación de portal cautivo pueda generar un token y este
ser pasado a squid, así solo crearías reglas para dichos token y la autenticación de
usuarios.
3.- Crear tu propio script de validación de conexión (Ver documentación de squid para
atutenticar con programas externos) donde a cada cliente le instalas o generas un
certificado de seguridad (que solo funcionaría en esa PC con ese IP) y lo que deberías
chequear es contra esos certificados. Si, yo se que parece de locos pero en teoría es la
contra-mega-super-protección del copón divino, siempre y cuando nadie te parta en 2 ese
certificado.
Mi sugerencia: Usar la variante 1 y que si ocurre algo el usuario firmó un
"papelito" con nombre código de ética donde se le designa la responsabilidad que
todo lo que se registre con ese usuario es su responsabilidad.
Nota: Me gustaría un mundo que si alguien tiene implementado la 3ra lo comparta.
Mientras aparezca la indicada, goza con la equivocada
===================================================
Linux User Register #623704
https://www.linuxcounter.net/cert/623704.png
Salu2
--
Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed
para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona
que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con
las regulaciones establecidas
Infomed:
http://www.sld.cu/