Ajuda/ideia para problema com possível brecha na rede



  • Boa tarde a todos,

    Sou iniciante no PFSENSE e preciso de uma ajuda ou ideia para eliminar uma possível brecha na minha rede.

    Detalhes das configurações atuais:
    -Atualmente na rede principal trabalho com ips na classe C com submascara /23

    -Trabalho com autenticação pelo captive portal utilizando cadastros no freeradius e proxy transparente para filtro de conteúdo.

    -Deixei os primeiros 254 ips (malha 10) para todos equipamentos necessários para funcionamento da empresa ou seja, essa malha inteira fica no bypass do proxy e livre no captive portal(basicamente não tem restrições nela)

    -Todos os pcs que acessam a rede ficam na malha 11 que possui 254 ips com todas restrições.

    -Em dhcp server esta habilitado a opção para fornecer ip somente para os registrados na lista com seus macs e ips.

    Problema:
    Qualquer usuário que setar um IP manual da malha 10 terá acesso livre alem de poder gerar conflitos com meus servidores até derrubando toda rede.(ps: os usuários não tem poder para alterações de ips e existem redes separadas para celulares e convidados porem ainda sim é uma brecha).

    Queria uma maneira que o PfSense recusasse ips manuais liberando o acesso somente para os MACs registrados ja que no DHCP server ele somente não fornece o IP, não impedindo o acesso de macs desconhecidos.

    Pensei em colocar os usuários numa rede diferente e manter a parte de servidores e equipamentos necessários na malha atual, mais não consegui mensurar ainda os problemas que podem aparecer com isso, como por exemplo a perda do acesso dos usuários ao servidor de arquivos local.

    Agradeço qualquer ideia que possam me oferecer.


Log in to reply