Questioni di Sicurezza
-
Ciao a tutti, scrivo per un piccolo dubbio concettuale…
Ho un server ESXi con due interfacce di rete fisiche collegate rispettivamente alla LAN e alla WAN della macchina virtuale pfSense ospitata.
L'interfaccia LAN (192.168.1.254) va sullo Switch LAN con classe standard 192.168.1.0/24
L'interfaccia WAN va sulla porta 1 dello Switch del modem Telecom in full bridge PPPoE prendendo l'IP statico pubblico di Telecom.Il modem non è collegato allo Switch della LAN e il suo IP è il classico 192.168.1.1
Sul modem è disabilitata la modalità Routed, in pratica non si connette da solo...
Supponendo di voler utilizzare l'Access Point interno del modem potrei collegare la porta 2 dello Switch del modem Telecom con lo Switch della LAN.
In questo modo un client che si connette tramite Wi-Fi riceve un IP della classe 192.168.1.0/24 (dal server DHCP) con gateway 192.168.1.254 e potrebbe sia sfogliare la rete LAN interna che navigare tramite pfSense.
Quindi, ricapitolando, dal modem Telecom partirebbero due cavi, uno verso la LAN è uno verso la WAN di pfSense.
Premesso che ho già installato un piccolo A.P. collegato direttamente sullo Switch LAN e premesso che a funzionare funziona, dal punto di vista della sicurezza, secondo voi, ci sono problemi ???
Voglio dire, in caso di hack dell'IP pubblico, l'IP interno del router dovrebbe essere irraggiungibile in ogni caso, o i router si craccano facilmente e si può arrivare sul lato LAN senza grosse difficoltà ?
In fondo i router senza pfSense sono utilizzati da milioni di persone...
Ciao, Eligio.
-
Premesso che è auspicabile che le classi di indirizzi IP di wan e lan siano diverse.
In che senso hai "installato un piccolo A.P. collegato direttamente sullo Switch LAN"? Hai usato un AP a sestante oppure quello integrato nel router?
-
Hai ragione, ho scritto il post ieri sera col cell e non avendo tutto il post sott'occio l'ho reso poco comprensibile nella frase:
"Premesso che ho già installato un piccolo A.P. collegato direttamente sullo Switch LAN e premesso che a funzionare funziona, dal punto di vista della sicurezza, secondo voi, ci sono problemi ???"
Volevo semplicemente dire che attualmente ho installato un Access Point indipendente, collegato solo allo Switch della LAN, quindi la domanda è solo per conoscenza.
L'espressione "a funzionare funziona" è riferita al fatto che ho fatto una prova a collegare il modem Telecom sia alla LAN che alla WAN di pfSense e l'A.P. del modem funziona come dovrebbe, ovvero i client che utilizzano il relativo Wi-Fi possoo sia sfogliare la rete che navigare attraverso pfSense.
Premesso che è auspicabile che le classi di indirizzi IP di wan e lan siano diverse.
Non so perchè hai fatto questa affermazione, la classe interna (LAN) l'ho specificata: 192.168.1.0/24, l'IP WAN lo prendo da Telecom e per forza di cose, secondo lo standard RFC 1918, non può essere della stessa classe, infatti è qualcosa del tipo 95.xxx.xxx.xxx: ci sono altre parti della mia domanda che creano confusione ?Ringrazio anticipatamente, Eligio.
-
Non mi sono mai piaciuti gli "Up" nei forum ma quasi quasi provo a farlo…
È una domanda a cui è difficile dare risposta o semplicemente inutile ?
Magari ne possiamo parlare, anche se non c'è un "Modus Operandi" definito e corretto.
Resto in attesa, grazie in anticipo...
-
Ciao,
sinceramente eviterei di usare un segmento di rete in modo promiscuo con 2 classi ip distinte, tanto più che una è protetta ed una no.Mi viene da girarti una domanda provocatoria: cosa te ne fai di un firewall pfSense se la sicurezza della tua rete è delegata al router?
Permettimi ancora un paragone magari banale, è come se a casa tua avessi due entrate, una con porta blindata e l'altra senza porta perché in fin dei conti prima di entrarti in casa devono scavalcare il cancello.
Ciao Fabio
-
Come ho scritto sopra era solo una domanda, in realtà non ho utilizzato quella configurazione…
Comunque grazie mille per la spiegazione e il paragone, sei stato chiarissimo come sempre.
Alla prox, Eligio.
-
Infatti, purtroppo è un peccato dover tenere spento l'access point integrato dei vari modem/router ADSL, ma tant'è..
Anzi, mi sapete consigliare un buon modem puro ADSL?