Firewall

在帶有無線電的盒子上執行 pfsense 有哪些安全風險?

  • October 5, 2012

在我的網路中,pfsense 是我整個網路的防火牆和路由器。它是唯一具有直接 WAN 訪問權限的機器。所有其他機器都在它後面(並通過交換機連接)。我正在嘗試確定無線訪問分配最安全的選擇:

  1. 在具有無線功能的盒子上執行 pfsense,並讓無線客戶端直接連接到 pfsense 路由器/防火牆。
  2. 在僅具有有線連接的盒子上執行 pfsense,並將 WAP(無線接入點)連接到我的區域網路上的交換機,它將連接從 pfsense 盒子分發到我的區域網路。

所以換個說法:在帶有無線電的盒子上執行 pfsense 是否存在安全風險,是否可以通過將無線接入點移動到網路上的另一個位置(在 pfsense 盒子後面)來解決這些風險?

您描述的場景的差異如下:

  • 如果您的 pfsense 具有專用的無線介面,您可以以適合您的方式調整防火牆規則。
  • 如果您將接入點連接到交換機,並且有人要侵入您的無線網路,那麼他將獲得對該 VLAN 的完全訪問權限。

讓我描述一下我們去年設立新總部時所做的事情。

  1. 在交換機上創建了兩個新 VLAN,一個用於訪客訪問,一個用於內部訪問
  2. 我們的接入點能夠使用這種“多 SSID”功能(我認為這是 Cisco 的品牌術語)——所以我們有一個“訪客”SSID,它被推到訪客 VLAN 和一個“內部”SSID,它被接通到“內部”VLAN。兩個 SSID/VLAN 都有自己的專用 IP 網路。
  3. 不允許其他機器在這些 VLAN 上。
  4. 網路在處理路由和防火牆的內部 pfsense 的 VLAN 介面上終止。
  5. 訪客 LAN 只被允許使用網際網路,內部 LAN 被允許訪問我們 DMZ 中的一些伺服器(Exchange 等)。

所以,給你的 pfsense 一個無線適配器不會太糟糕,但如果你想執行的不僅僅是一個 SSID,你需要找到一個真正支持它的適配器(我現在不知道)。

要回答您的最後一個問題:如果您將接入點連接到有線網路,請將其放在專用的安全區域(意味著:VLAN 和 IP 網路),並讓您的 pfsense 處理路由和防火牆。

引用自:https://serverfault.com/questions/435281