¿Cómo restringir el acceso a Internet para algunas computadoras en la red?

3

Me gustaría diferenciar las máquinas (o, posiblemente, los usuarios) en la red de mi pequeña empresa para que solo algunas de ellas tengan acceso a Internet. La solución que he estado usando hasta hoy es bastante terrible: a los clientes que deberían tener acceso a Internet se les asigna una dirección IP específica basada en su dirección MAC o identificador.

A su vez, el firewall tiene una configuración diferente para esas direcciones IP predefinidas.

Esto es deficiente tanto en cuestiones de seguridad como de facilidad de uso: cambiar la IP de un cliente es incluso más fácil que falsificar una dirección MAC. Además, agregar una nueva máquina a la red implica agregar una entrada en el servidor DNS y modificar la configuración del firewall.

¿Cuál sería la forma correcta de restringir el acceso a Internet de los clientes (o, posiblemente, de los usuarios)?

Algunos detalles sobre el medio ambiente:

  • es para una red de pequeñas empresas que se duplica como una red doméstica;
  • hay alrededor de 15 usuarios + invitados;
  • hay aproximadamente 23 clientes en la red + 10 clientes móviles;
  • algunos clientes solo necesitan acceso a la LAN, otros (en su mayoría teléfonos) solo necesitan acceso a la WAN, otros (puntos de acceso) a ambos;
  • 2 NAS principales, 1 NAS de respaldo y algunos NAS domésticos para la copia de seguridad de los clientes;
  • un enrutador Cisco 1921 con un IOS no actualizado, IPsec;
  • un interruptor Netgear FS 526T;
  • 2 puntos de acceso inalámbricos, de los cuales el modelo se me escapa ahora mismo; Creo que son parte de la gama Cisco Small Business;
  • la absoluta falta de negocios últimamente significa que las inversiones por encima de unos pocos cientos de euros probablemente no sean razonables.
pregunta Édouard 05.11.2015 - 02:04
fuente

2 respuestas

1

debe comenzar a usar las VLAN y desactivar el enrutamiento entre redes.

Al usar VLAN, podrá crear múltiples LAN dentro de una sola red, pero todas ellas serán independientes, todo el tráfico de su enrutador en este momento es probablemente etiquetado como VLAN 1 (aunque no lo sepa). / p>

también puede utilizar el tráfico VPN, crear acceso VPN en la red y cualquier persona con credenciales VPN puede acceder a través del firewall.

Cualquier cosa que use la dirección de Mac o la dirección IP no tiene sentido, es mejor que no haga nada.

Necesitaría más detalles pero puede tener puntos de acceso WIFI en su oficina, uno en un vlan 20 por ejemplo ... todo el tráfico del vlan 20 será bloqueado por el muro de incendios.

Hay muchas posibilidades, pero las VLAN y / o VPN son tu mejor opción.

Confía en mí, soy un ingeniero de redes. (tanta información que me cuesta escribirla, hágame preguntas más específicas para obtener respuestas más específicas)

    
respondido por el TheHidden 05.11.2015 - 18:24
fuente
0

Podría usar un NAC (control de acceso a la red) como PacketFence. Esto todavía puede sucumbir a la falsificación de MAC, pero se vuelve mucho más poderoso si lo usa con conmutadores inteligentes y puntos de acceso, tal vez en conjunto con 802.1X.

    
respondido por el multithr3at3d 05.11.2015 - 06:31
fuente

Lea otras preguntas en las etiquetas