all services para wifi público ¿es una opción segura?

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
Brother307
Mensajes: 2
Registrado: 27 Jun 2014, 11:11

all services para wifi público ¿es una opción segura?

Mensaje por Brother307 »

Hola a todos, primero quiero agradecer al foro en general y a gabyrossi en particular por lo mucho que me han ayudado en mi aprendizaje sobre Fortinet.

Trabajo en el área de seguridad informática de un grupo de salud y revisando las configuraciones de los app de wireless públicos de las clinicas he observado que están configurados para ofrecer todos los servicios es decir en la regla de navegación de wifi la opcion es ALL
Por el tipo de acceso publico me interesa ofrecer solo acceso a navegación es decir DNS HTTP y HTTPS, pero si tomo esa opción veo que estoy bloqueando por ejemplo whatsapp que utiliza tcp /5222 y 5223.
Hay servicios de google y Microsoft que utlizan UDP y así con muchas app de android y i-phone.

La pregunta es ¿justifica seleccionar los servicios y puertos individualmente o es un trabajo que no aporta mucho a la seguridad?
La idea de dejar trafico tunelizado via VPN o servcios de correo en la wifi pública no me gusta demasiado.

Por otro lado estoy barajando dejar todos los servicios abiertos y manejarme con webfilter y control de aplicaciones para restringir pero no estoy tan seguro que sin deep inspeccion esto funcione de manera eficiente.

En fin mas que modos de configuración de reglas estoy buscando estrategias o mejores prácticas para configurar WIFI de acceso público desde el punto de vista de seguridad y no he encontrado nada en las web de los colegas.

Saludos Cordiales.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: all services para wifi público ¿es una opción segura?

Mensaje por gabyrossi »

Hola, como estas? de nada ...
En general cuando se da un servicio de wifi publico o invitados muchas veces se utiliza un enlace de internet de menor calidad que para los demas ssid y sobre todo diferente al que use tu red lan. Haciendo esta diferencia ya es bastante. Por que? por que si alguna maquina o celular o dispositivo que se conecte a ese wifi publico y esta infectado o spamea... si es un enlace de poca calidad no te va a importar o sobre todo no te va a molestar que pongan en backlist esa Ip publica (en genral ya lo estan jajaja si son adsl o cablemodem).
Si esto no pasara y no queres tener estos problemas, en general se bloque puertos salientes, y el filtrado se ajusta a los requrimientos que se le quieren dar.

En general se bloquean puertos sea cual fuera el enlace de internet para este wifi, y tambien los bloqueos.
Si no haces deep inspection (en wifi publico no lo podras hacer porque no podes instalarles los certifciados a los navegadores) tendras que ajustar aun mas los filtros (web filter, app control etc).


espero que sirva-

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder