¿Cómo puedo evitar el abuso de nuestra red WiFi pública?

4

Uno de nuestros clientes tiene un parque de vacaciones con < 100 usuarios en él.

Actualmente tenemos un mikrotik en su lugar que evita el torrenting, etc. Sin embargo, su línea se ha cortado ya que alguien ha estado enviando correos electrónicos no deseados. e intentar atacar las cuentas en línea.

¿Qué podríamos implementar para prevenir la actividad maliciosa? ¿Funcionaría con un servicio como DYN DNS? El ISP no nos permitirá volver a estar en línea hasta que les hayamos demostrado que hemos tomado medidas para evitar nuevos abusos.

Gracias.

    
pregunta Matt Langstaff 29.08.2018 - 09:54
fuente

2 respuestas

2

No existe una solución simple para prevenir el abuso de las líneas compartidas de Internet, especialmente si desea asegurarse de que la línea siga siendo útil para los usuarios no abusivos.

Lo que quiero decir con esto es: muchas personas que usan un Wifi querrán enviar correos electrónicos desde clientes de correo electrónico de escritorio, usar conexiones VPN, mensajeros o hacer llamadas usando herramientas como Skype, por ejemplo.

Si restringe los puertos solo a los puertos http / https canónicos, no evitará ningún ataque de fuerza bruta contra GMail / Facebook / nombre, pero inutilizará la zona Wi-Fi de muchos usuarios. Internet ya no es solo la red mundial desde hace mucho tiempo.

Las medidas típicas que se toman en puntos de acceso público son limitaciones en términos de la cantidad de datos permitidos por unidad de tiempo. Esto generalmente significa implementar algunos algoritmos inteligentes de limitación de velocidad que, una vez más, están lejos de ser triviales, ya que si un cliente envía 100 MB en unos pocos segundos, esto estará perfectamente bien si se trata de un chat de video, pero no quiere permitir 100 MB de spam se envía en un minuto.

En caso de que no tenga la experiencia necesaria para tratar estos problemas de forma continua y no crea que quiera acumular ese conocimiento, una decisión muy acertada podría ser delegar esto en una empresa que haga eso. para ganarse la vida.

No quiero dejar ningún nombre aquí, pero hay compañías especializadas en todas partes del mundo que operan un esquema mediante el cual usted envía todo el tráfico de los clientes de sus clientes a través de una conexión VPN y serán maliciosos. tráfico y delegue el tráfico legítimo a Internet usando su dirección IP pública y no la de su ISP.

Su ISP solo verá el tráfico VPN y nunca lo culpará (corte su línea) por cualquier cosa que se haya enviado a través del enlace a menos que la cantidad pura de tráfico se convierta en un problema. Pero incluso eso generalmente se puede mitigar en el firmware del enrutador con el que la compañía con la que trabajará le proporciona.

    
respondido por el TorstenS 29.08.2018 - 11:38
fuente
0

Tienes muchas opciones.

La mayoría de los mejores son pagados, sin embargo, comience con el bloqueo de todos los puertos excepto 443 y 80, ya que esto se restringe solo al tráfico web normal.

Use OpenDNS y agregue una política que evite todas las cosas malas conocidas.

Luego, un poco más complejo, observe si hay archivos de bloqueo en su firewall (necesita la capa 7 / NGFW), un proxy web como squid o un IPS. Tendrá dificultades con el TLS y las preocupaciones sobre la privacidad superarían el beneficio.

Algo así como la potencia de fuego de Sophos UTM o CISCO puede hacer todo esto por aproximadamente £ 1k.

Yo usaría DNS y puertos para proporcionar cierto nivel de protección y quizás restricciones de ancho de banda. De lo contrario, se vuelve complejo, ya que puede registrar información confidencial y quedar atrapado en problemas mayores. También es probable que el ISP no detecte nada demasiado complejo por los mismos motivos.

    
respondido por el user2505690 29.08.2018 - 10:11
fuente

Lea otras preguntas en las etiquetas