Subinterfaces no pfSense
-
Olá pessoal,
No ambiente de um cliente, tenho o seguinte cenário.
Proxy Linux Ubuntu, com:
Eth0 =192.168.0.0/24
Eth0.1 = 192.168.1.0/24 (subinterface de eth0)
Eth0.2 = 192.168.2.0/24 (subinterface de eth0)
Eth1 = WanEm roteadores Cisco podemos criar estas subinterfaces, também em algumas soluções de UTM, porém cada subinterface fica na sua VLAN, neste cliente as interface eth0 e suas subs, estão no mesmo switch, sem VLANS, no dhcp.conf existem os 3 ranges de endereços, sendo que apenas as máquinas com address mac cadastrado recebem ip nas redes 192.168.0.0 e 192.168.1.0, quem não tem address mac cadastrado, cai automaticamente em 192.168.2.0, uma espécie de rede de quarentena com acesso somente a internet.
É meio esquisito, não vejo como uma forma de segurança eficiente, mas está funcionando e não rolam conflitos ou trocas de IP, então pergunto: É possível montar o mesmo cenário com o pfSense ? Ou vou ter que colocar interfaces individuais para cada rede e separar o switch em Vlans ?
Obs: Se um cara chegar e botar IP manualmente no seu notebook usando a rede 192.168.0.0 vai pingar e ter acesso normal a rede, só que para resolver isso, vou sugerir ao cliente que configure tráfego IPSec na rede, como o ambiente é todo Windows Server 2008 e Windows 7, é possível fazer isso via GPO, desta forma os servidores só vão se comunicar com as máquinas que tiverem IPSec habilitado.
Até mais e aguardo as dicas e comentários !
Ivanildo Galvão
-
O pfsense vc pode utilizar vlan e criar subredes.
No pfsense vc alem de utilizar o ipsec para garantir que nem um espertalhao fixe o ip e tenha acesso a rede voce pode utilizar o dhcp negando quem nao estiver cadastrado pegar IP e utilizar o ipguard que utiliza tabela ARP para negar quem nao estiver cadastrado no ipguard conectar.
Nem fixando IP manualmente funciona com o IPguard. -
Ivanildo,
Muito interessante esse cenário.
-
Gilmar Cabral, eu cheguei a conclusão que seria melhor para VLAN mesmo, mas o cliente desistiu da ideia dele mesmo porque não quer comprar um AP WiFi para a DMZ, então a rede ficará com apenas uma subnet.
Quanto a segurança com IPSec e IPGuard, excelente dica e posso usar em outro projetos, mas se pensarmos melhor, o espertalhão com o IP fixo não se comunicaria com o pfSense e neste caso a proteção através de static ARP também resolveria, mas não impediria o cara de acessar os outros servidores da rede, como servidores de banco de dados e arquivos, como os servidores são Windows Server 2008 R2, então partiria para IPSec através de GPO.
Bem, usando uma subnet apenas pelo menos agiliza o meu lado e depois mais na frente se o cliente quiser arrochar a segurança, veremos os métodos existentes, outra opção seria usar o NPS/NAP do Windows Server também.
Valeu !
-
Reginaldo Barros, realmente é um ambiente bem interessante para se implementar, o que fico surpreso é que no Linux este troço funciona beleza e sem uso de VLAN, sem ocorrer broncas de DHCP.
Valeu !
-
Se está no mesmo switch, nem com linux você impede o espertalhão de trocar ip.
Com switches melhores como cisco, você pode implementar vários itens de hardening nele, dificultando bastante o trabalho do espertão.
Mas nada substitui uma boa e velha segmentação da rede.