Каковы угрозы безопасности в выполнении pfsense на поле с беспроводным радио?
Можно настроить ключи, чтобы избежать необходимости вводить пароли. Я уверен, что это было покрыто здесь прежде (см., Как я использую открытый ключ SSH от удаленной машины?; подсказка ssh-keygen), и я всегда использую клиент командной строки OpenSSH (установленный со штрейкбрехером на моем Mac, с локальным диспетчером пакетов на Linux), таким образом, я не обращусь к глупым квазиграфическим клиентам.
Рецепт для передачи ssh или scp через шлюз
Вам будут нужны две командных строки на Вас исходная машина (который я назову orig). Шлюз называют логическим элементом и целевым dest.
Первая командная строка:
orig$ ssh -L 1111:dest.tld:22 gate.tld
Это связывает порт 1111, исходящий на orig для портирования 22 поступлений на dest посредством туннеля ssh через логический элемент.
Теперь, если Вы испытываете необходимость в этой передаче некоторое время, установите это на выполнение чего-то, что не освободит время сессии. Я использую top.
Вторая командная строка:
orig$ ssh -p 1111 username_on_dest@localhost
или
orig$ scp -P 1111 path/to/file/on/orig/filename username_on_dest@localhost:path/on/dest/new_filename
(заметьте, что опция определения порта берет difrerent капитализацию для ssh и scp... arghhh!) Чтение документация для различных способов, которыми можно играть с этим, но это - основная схема. Очень полезный, если Вы регулярно используете ресурсы, от которых держатся вдали общедоступная сеть из соображений безопасности.
В описанном вами сценарии разница заключается в следующем:
- Если ваш pfsense имеет выделенный беспроводной интерфейс, вы можете настроить свой правила брандмауэра подходящим для вас способом.
- Если вы подключите точку доступа к коммутатору, и кто-то должен взломать в вашу беспроводную сеть, то он получит полный доступ к этому VLAN.
Позвольте мне описать, что мы сделали, когда открыли нашу новую штаб-квартиру в прошлом году.
- Созданы две новые сети VLAN на коммутаторах, одна для гостевого доступа, другая для внутренний доступ
- Наши точки доступа могут использовать эту функцию "множественных SSID" (я думаю, что это фирменный термин Cisco) - так что у нас есть "гостевой" SSID, который передается в гостевую VLAN, и «внутренний» SSID, который передается во «внутреннюю» VLAN. У обоих SSID / VLAN есть собственная выделенная IP-сеть.
- Никакой другой машине не разрешалось находиться в этих VLAN.
- Сети заканчиваются на VLAN-интерфейсе внутреннего pfsense, который имеет дело с маршрутизацией и межсетевыми экранами.
- Гостевой локальной сети разрешено использовать Интернет только там, где внутренней локальной сети был разрешен доступ к некоторым серверам в нашей DMZ (Exchange и тому подобное).
Таким образом, дать вашему pfsense беспроводной адаптер подключения было бы неплохо, но если вы хотите использовать несколько SSID, вам нужно найти адаптер, который действительно поддерживает его (я не я знаю одну прямо сейчас).
Чтобы ответить на ваш последний вопрос: если вы подключаете точки доступа к проводной сети, поместите их в выделенную зону безопасности (означает: VLAN и IP-сеть) и позвольте вашему pfsense разобраться с маршрутизация и межсетевой экран.