在带有无线收音机的盒子上运行pfsense有什么安全风险？

Question

在我的网络中，pfsense是我整个网络的防火墙和路由器。它是唯一可以直接访问广域网的机器。所有其他机器都在后面(并通过开关连接)。我正在努力决定什么是无线接入分发的最安全选项：

1. 在具有无线功能的盒上运行pfsense，并让无线客户端直接连接到pfsense路由器/防火墙。
2. 在只具有有线连接的盒上运行pfsense，并将WAP (无线接入点)连接到我的lan上的开关上，该开关将从pfsense框中的连接分配到我的lan。

因此，换句我的问题:在带有无线无线电的盒子上运行pfsense是否存在安全风险，是否可以通过将无线接入点移动到网络上的另一个位置( pfsense框后面)来解决这些问题？

Answer 1

您所描述的场景的不同之处如下：

• 如果您的pfsense有一个专用的无线接口，您可以调整您的防火墙规则，以适合您的方式。
• 如果您将accesspoint连接到交换机，然后有人侵入您的无线网络，那么他将完全访问该VLAN。

让我来描述一下我们去年设立新总部时做了些什么。

1. 在交换机上创建了两个新的VLAN，一个用于来宾访问，一个用于内部访问
2. 我们的附加程序可以使用这个“多重SSID"-feature (我认为这是思科的一个品牌术语)，所以我们有一个”来宾“SSID，它被推送到客服- VLAN，和一个”内部“SSID，它被连接到”内部“VLAN。两个SSID/VLAN都有自己的专用IP网络。
3. 其他机器不允许出现在这些VLAN上。
4. 网络终止在VLAN接口的内部pfsense，它处理路由和防火墙。
5. 客人局域网只允许使用互联网，在那里，内部局域网可以访问我们DMZ中的一些服务器(Exchange和诸如此类)。

因此，给您的pfsense提供一个无线adpater并不太糟糕，但是如果您想运行不止一个SSID，您需要找到一个真正支持它的适配器(我现在还不知道一个)。

要回答你的最后一个问题:如果你把接入点连接到你的电缆网络上，把它放在一个专用的安全区(意思是: VLAN和IP网络)，让你的感知处理路由和防火墙。