Tassimat
28.09.2021 20:21:58
- #1
Quizás también funcione una solución VPN, si tus dispositivos finales que quieres conectar a este puerto lo permiten.
La red segura y de alta calidad en la casa unifamiliar
- Erstellt am 06.06.2020 23:00:54
Tarnari
28.09.2021 20:38:49
- #2
Necesitas algo donde funcione el servidor Radius. En mi caso, por ejemplo, es una pfSense. Entonces el dispositivo autorizado, por supuesto, debe poder usar 802.1x y conocer las credenciales de acceso Radius. Estos dispositivos tienen en algún lugar del menú una opción donde puedes activarlo e ingresar las credenciales de acceso.
No basta con conectar cualquier cosa, o mejor dicho, ¿cuál es en realidad el objetivo práctico? En algún momento debes registrar el dispositivo permitido en el sistema, ya sea a través de un simple filtro MAC o mediante credenciales de acceso Radius. ¿Cómo llegas ahora a un televisor? Pensé que querías asegurar conexiones exteriores. En el conector RJ45 del punto de acceso exterior en la terraza rara vez se conecta un televisor o una PC. En la casa (y supongo que te refieres a una vivienda particular) normalmente no hay invitados sospechosos que manipulen el LAN. Los puertos "vulnerables" en la habitación de invitados también se podrían bloquear directamente en una VLAN separada, muy restringida.
Con cámaras Hikvision se ve así, por ejemplo:
El objetivo práctico es que los tres puertos (sobre la terraza y dos en el garaje) no puedan ser usados por ningún dispositivo no autorizado por mí, pero que los puertos puedan ser usados para cualquier dispositivo que yo quiera. En el garaje está conectado el Gateway de Gardena y un punto de acceso, y sobre la terraza también hay un punto de acceso. Quiero evitar que alguien conecte un dispositivo allí (sea cual sea) y tenga acceso a mi red, pero que yo pueda permitir el acceso para mis dispositivos (sea cual sea).
Araknis
28.09.2021 20:43:37
- #3
No me puedo imaginar (sin investigar) que petardos chinos puedan hacer algo como un Gardena-Gateway Radius. Si realmente quieres poder conectar cualquier dispositivo, probablemente solo quede la opción del filtro MAC. Pero eso no es muy seguro, la MAC se puede leer fácilmente del dispositivo antiguo con un esfuerzo manejable y luego se puede suplantar a voluntad. Siempre algo sufre, usabilidad, selección de dispositivos o seguridad.
Pero "simplemente conectar" tampoco funciona con el filtro MAC, siempre debes registrar la dirección MAC primero en el punto de autorización. Para eso debería ser utilizable cualquier dispositivo que tenga una dirección MAC.
Pero "simplemente conectar" tampoco funciona con el filtro MAC, siempre debes registrar la dirección MAC primero en el punto de autorización. Para eso debería ser utilizable cualquier dispositivo que tenga una dirección MAC.
Tarnari
28.09.2021 20:52:13
- #4
Exactamente esa era mi pregunta. El filtro MAC no sirve para nada. Si la respuesta a mi pregunta es "no se puede", entonces ya estaría un paso adelante. Concretamente quería saber si puedo controlar qué dispositivo recibe una dirección por DHCP y cuál no. Si no es posible, está bien. Entonces sé que mi idea no era buena y que no me gusta eso.
Araknis
28.09.2021 20:55:53
- #5
Está bien, entonces breve:
Sí, puedes.
En realidad siempre funciona. Va "bien" si tu dispositivo soporta 802.1x. Va "menos bien" si solo tiene una dirección MAC.
En general, yo pensaría de manera realista sobre estos escenarios de ataque. Con VLANs ya bloqueas los puertos exteriores del resto de la red. Luego quedan ciertas rutas, por ejemplo, a Internet. ¿Y entonces? Tu visitante puede navegar. ¿Vale la pena tanto esfuerzo, cuando cada segundo WLAN en el vecindario está mal protegido? Más me molestaría que alguien aprovechara la ocasión para robarme el punto de acceso o la pasarela Gardena.
Concretamente quería saber si puedo controlar qué dispositivo recibe una dirección por DHCP y cuál no.
Sí, puedes.
Si no fuera posible, ok. Entonces sé que mi idea no era correcta y que no me gusta.
En realidad siempre funciona. Va "bien" si tu dispositivo soporta 802.1x. Va "menos bien" si solo tiene una dirección MAC.
En general, yo pensaría de manera realista sobre estos escenarios de ataque. Con VLANs ya bloqueas los puertos exteriores del resto de la red. Luego quedan ciertas rutas, por ejemplo, a Internet. ¿Y entonces? Tu visitante puede navegar. ¿Vale la pena tanto esfuerzo, cuando cada segundo WLAN en el vecindario está mal protegido? Más me molestaría que alguien aprovechara la ocasión para robarme el punto de acceso o la pasarela Gardena.
Tassimat
28.09.2021 21:14:40
- #6
En general, debería pensarse de manera realista sobre esos escenarios de ataque. Con VLANs ya bloqueas los puertos exteriores del resto de la red. Luego quedan ciertas rutas, por ejemplo, hacia Internet.
Lo veo igual. Para eso están hechos los VLANs. Si además limitas el tráfico a las direcciones que Gardena, etc., necesita mediante un firewall, entonces nadie puede hacer tonterías.
(O reduciendo la tasa de datos a velocidad de módem :D)