Назад | Перейти на главную страницу

Каковы риски безопасности при запуске pfsense на приставке с беспроводным радио?

В моей сети pfsense - это брандмауэр и маршрутизатор для всей моей сети. Это единственная машина с прямым доступом к WAN. Все остальные машины находятся за ним (и подключены через коммутатор). Я пытаюсь решить, какой вариант распределения беспроводного доступа будет наиболее безопасным:

  1. Запустите pfsense на устройстве с беспроводными возможностями и пусть беспроводные клиенты подключаются напрямую к маршрутизатору / брандмауэру pfsense.
  2. Запустите pfsense на устройстве, имеющем только проводные соединения, и подключите WAP (беспроводную точку доступа) к коммутатору в моей локальной сети, который распределяет подключения из модуля pfsense в мою сеть.

Итак, перефразируя мой вопрос: существуют ли риски безопасности при запуске pfsense на коробке с беспроводным радио, и могут ли они потенциально быть решены путем перемещения точки беспроводного доступа в другое место в сети (за ящиком pfsense)?

Разница в описанном вами сценарии заключается в следующем:

  • Если ваш pfsense имеет специальный беспроводной интерфейс, вы можете настроить правила брандмауэра так, как вам удобно.
  • Если вы подключите точку доступа к коммутатору и кто-то взломает вашу беспроводную сеть, он получит полный доступ к этой VLAN.

Позвольте мне описать, что мы сделали, когда открыли новую штаб-квартиру в прошлом году.

  1. Созданы две новые сети VLAN на коммутаторах, одна для гостевого доступа, другая для внутреннего доступа
  2. Наши точки доступа могут использовать эту функцию «множественных SSID» (я думаю, что это фирменный термин Cisco), поэтому у нас есть «гостевой» SSID, который передается в гостевую VLAN, и «внутренний» SSID, который проходит во «внутреннюю» VLAN. У обоих SSID / VLAN есть собственная выделенная IP-сеть.
  3. Никакой другой машине не разрешалось находиться в этих VLAN.
  4. Сети оканчиваются на VLAN-интерфейсе внутреннего pfsense, который занимается маршрутизацией и межсетевыми экранами.
  5. Гостевой локальной сети было разрешено использовать только Интернет, а внутренней локальной сети было разрешено получить доступ к некоторым серверам в нашей демилитаризованной зоне (Exchange и тому подобное).

Итак, дать вашему pfsense беспроводной адаптер adpater было бы неплохо, но если вы хотите использовать более одного SSID, вам нужно найти адаптер, который действительно поддерживает его (я не знаю его прямо сейчас).

Чтобы ответить на ваш последний вопрос: если вы подключаете точки доступа к своей кабельной сети, поместите их в выделенную зону безопасности (означает: VLAN и IP-сеть) и позвольте вашему pfsense заниматься маршрутизацией и межсетевым экраном.