Subinterfaces no pfSense



  • Olá pessoal,

    No ambiente de um cliente, tenho o seguinte cenário.

    Proxy Linux Ubuntu, com:

    Eth0 =192.168.0.0/24
    Eth0.1 = 192.168.1.0/24 (subinterface de eth0)
    Eth0.2 = 192.168.2.0/24 (subinterface de eth0)
    Eth1 = Wan

    Em roteadores Cisco podemos criar estas subinterfaces, também em algumas soluções de UTM, porém cada subinterface fica na sua VLAN, neste cliente as interface eth0 e suas subs, estão no mesmo switch, sem VLANS, no dhcp.conf existem os 3 ranges de endereços, sendo que apenas as máquinas com address mac cadastrado recebem ip nas redes 192.168.0.0 e 192.168.1.0, quem não tem address mac cadastrado, cai automaticamente em 192.168.2.0, uma espécie de rede de quarentena com acesso somente a internet.

    É meio esquisito, não vejo como uma forma de segurança eficiente, mas está funcionando e não rolam conflitos ou trocas de IP, então pergunto: É possível montar o mesmo cenário com o pfSense ? Ou vou ter que colocar interfaces individuais para cada rede e separar o switch em Vlans ?

    Obs: Se um cara chegar e botar IP manualmente no seu notebook usando a rede 192.168.0.0 vai pingar e ter acesso normal a rede, só que para resolver isso, vou sugerir ao cliente que configure tráfego IPSec na rede, como o ambiente é todo Windows Server 2008 e Windows 7, é possível fazer isso via GPO, desta forma os servidores só vão se comunicar com as máquinas que tiverem IPSec habilitado.

    Até mais e aguardo as dicas e comentários !

    Ivanildo Galvão



  • O pfsense vc pode utilizar vlan e criar subredes.
    No pfsense vc alem de utilizar o ipsec para garantir que nem um espertalhao fixe o ip e tenha acesso a rede voce pode utilizar o dhcp negando quem nao estiver cadastrado pegar IP e utilizar o ipguard que utiliza tabela ARP para negar quem nao estiver cadastrado no ipguard conectar.
    Nem fixando  IP manualmente funciona com o IPguard.



  • Ivanildo,

    Muito interessante esse cenário.



  • Gilmar Cabral, eu cheguei a conclusão que seria melhor para VLAN mesmo, mas o cliente desistiu da ideia dele mesmo porque não quer comprar um AP WiFi para a DMZ, então a rede ficará com apenas uma subnet.

    Quanto a segurança com IPSec e IPGuard, excelente dica e posso usar em outro projetos, mas se pensarmos melhor, o espertalhão com o IP fixo não se comunicaria com o pfSense e neste caso a proteção através de static ARP também resolveria, mas não impediria o cara de acessar os outros servidores da rede, como servidores de banco de dados e arquivos, como os servidores são Windows Server 2008 R2, então partiria para IPSec através de GPO.

    Bem, usando uma subnet apenas pelo menos agiliza o meu lado e depois mais na frente se o cliente quiser arrochar a segurança, veremos os métodos existentes, outra opção seria usar o NPS/NAP do Windows Server também.

    Valeu !



  • Reginaldo Barros, realmente é um ambiente bem interessante para se implementar, o que fico surpreso é que no Linux este troço funciona beleza e sem uso de VLAN, sem ocorrer broncas de DHCP.

    Valeu !



  • Se está no mesmo switch, nem com linux você impede o espertalhão de trocar ip.

    Com switches melhores como cisco, você pode implementar vários itens de hardening nele, dificultando bastante o trabalho do espertão.

    Mas nada substitui uma boa e velha segmentação da rede.


Log in to reply