Me gustaría diferenciar las máquinas (o, posiblemente, los usuarios) en la red de mi pequeña empresa para que solo algunas de ellas tengan acceso a Internet. La solución que he estado usando hasta hoy es bastante terrible: a los clientes que deberían tener acceso a Internet se les asigna una dirección IP específica basada en su dirección MAC o identificador.
A su vez, el firewall tiene una configuración diferente para esas direcciones IP predefinidas.
Esto es deficiente tanto en cuestiones de seguridad como de facilidad de uso: cambiar la IP de un cliente es incluso más fácil que falsificar una dirección MAC. Además, agregar una nueva máquina a la red implica agregar una entrada en el servidor DNS y modificar la configuración del firewall.
¿Cuál sería la forma correcta de restringir el acceso a Internet de los clientes (o, posiblemente, de los usuarios)?
Algunos detalles sobre el medio ambiente:
- es para una red de pequeñas empresas que se duplica como una red doméstica;
- hay alrededor de 15 usuarios + invitados;
- hay aproximadamente 23 clientes en la red + 10 clientes móviles;
- algunos clientes solo necesitan acceso a la LAN, otros (en su mayoría teléfonos) solo necesitan acceso a la WAN, otros (puntos de acceso) a ambos;
- 2 NAS principales, 1 NAS de respaldo y algunos NAS domésticos para la copia de seguridad de los clientes;
- un enrutador Cisco 1921 con un IOS no actualizado, IPsec;
- un interruptor Netgear FS 526T;
- 2 puntos de acceso inalámbricos, de los cuales el modelo se me escapa ahora mismo; Creo que son parte de la gama Cisco Small Business;
- la absoluta falta de negocios últimamente significa que las inversiones por encima de unos pocos cientos de euros probablemente no sean razonables.