Isolando redes Wi-Fi usando sub-redes VLAN através do switch pfSense + Unifi e um pouco mais…

Posted on by Thiago Crepaldi

Uma rede doméstica típica é simples e se algum de seus dispositivos estiver comprometido ou infectado com malware, o invasor pode ser capaz de espalhar malware e comprometer todos seus dispositivos.

Você pode proteger melhor sua rede doméstica separando sua rede doméstica em várias sub-redes. Os dispositivos em uma sub-rede não têm acesso a outra sub-rede, portanto, o risco de um dispositivo comprometido seria limitado a uma única sub-rede.

Existem muitas maneiras de se segregar redes, mas neste post vamos focar na segregação através de VLANs Wi-Fi, que requer pfSense, um switch gerenciado (Unifi USW-24-POE no meu caso) e um Ponto de Acesso (UniFi AP FlexHD). Como exemplo, usaremos três redes Wi-Fi diferentes (Casa, Visitante e Sigilosa). Enquanto as 3 redes têm acesso à internet, nenhuma delas será capaz de ver a outra. A rede Sigilosa usará uma conexão VPN como gateway, tornando seu tráfego privado da porta pra fora. Também discutiremos sobre uma rede de IoT que você pode criar, na qual ela pode ter acesso à Internet, mas não à sua Casa ou então que tem acesso a Casa, mas sem acesso a Internet. Use sua criatividade para determinar as políticas de acesso entre as redes e internet.

Requisitos

  • pfSense como roteador principal
    • 1 porta física LAN conectada ao USW-24-PoE
    • 1 porta física WAN conectada a Internet
  • Switch Unifi, como USW-24-POE
  • Unifi Access point (aka aparelho Wifi) conectado ao switch Unifi
    • Redes Wi-Fi Casa, Visitante e Sigilosa

Configurar sub-redes Wi-Fi VLAN no switch Unifi

O primeiro passo é configurar VLAN para suas redes WiFi. Estou assumindo que você deseja modificar suas redes Wireless existentes (Visitante e, opcionalmente, Sigilosa), mas criar novas redes Wi-Fi é fácil. Conecte-se a uma rede diferente (como Wi-Fi Casa ou uma conexão com fio) do Wi-Fi que você modificará (também conhecido como Visitante), caso contrário você terá problemas de conectividade durante o processo.

Recomendo o uso de uma VLAN entre 2 e 254, para que possamos usar VLAN ID como parte do terceiro octeto do IP. Por exemplo, dado que as VLANs serão criadas na rede 10.20.0.0/24, para um VLAN ID 100, podemos ter 10.20.100.0/24 como a rede VLAN, o que ajuda a identificar conexões em análises de tráfego futuras.

Vá para página Configurações >> Redes e clique em Adicionar uma nova rede:

  • Nome: VLAN_100
  • Avançado:
    • VLAN ID: 100

Clique em Aplicar alterações. O próximo passo é associar a rede Wi-Fi Visitante a esta VLAN criada.

Vá para Configurações >> WiFi e clique em Editar para modificar o Wi-Fi Visitante:

  • Rede: VLAN_100

Clique em Aplicar alterações. Isso causará problemas de conectividade a esta conexão Wi-Fi. Precisamos configurar o pfSense para reconhecer a nova VLAN para que as coisas comecem a funcionar novamente.

Configurar sub-redes Wi-Fi VLAN no pfSense

Aqui precisamos criar uma interface para cada Wi-Fi VLAN na mesma interface física da sua LAN. Siga este post usando as seguintes informações de rede como referência:

  • Endereço LAN: 20/10.0.1/24
  • VLAN ID: 100
  • Intervalo DHCP: 20.10.0.100-10.20.100.199
  • Servidor NTP/DNS: 10.20.100.1
  • Nome de domínio: lan.domain.com

Neste ponto, você tem um WiFi Visitante operacional sobre VLAN 100, mas as regras de firewall criadas são muito permissivas, especificamente a última chamada “Regra padrão que permite tudo”. Vá para Firewall >> Regras >> VLAN100 e exclua essa regra e adicione uma nova para permitir o acesso à Internet apenas clicando em Adicionar (adicionar à parte inferior).

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: VLAN100
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: VLAN100
  • Destino
    • Seleção invertida: selecionado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Regra padrão que permite acesso somente a Internet

Finalize clicando em Salvar e Aplicar alterações. Agora, sua rede Wi-Fi Visitante tem acesso somente à internet, mas não pode acessar a rede Wi-Fi Casa, pois eles estão em redes diferentes e restringimos a regra de firewall para permitir conexões não destinadas a endereços privados.

Se você seguiu meu post Proteção do DNS usando pfSense, você também precisa duplicar as regras do NAT (no Firewall >> NAT >> Redirecionamento de Portas) da LAN principal que envolvem a porta 53.

VLANs e além…

Depois de seguir este longo post, você foi capaz de criar uma nova sub-rede Wi-Fi Visitante usando VLANs, que é completamente isolada do Wi-Fi Casa e da rede cabeada. Sejamos honestos, existem maneiras mais fáceis de aplicar políticas de rede visitante usando o controlador Unifi apenas sem usar pfSense e/ou VLAN, mas queremos o jeito mais legal, e não o mais fácil!

Usando a conexão VPN como gateway do Wi-Fi

Uma das razões pelas quais escrevi este post foi para mostrar como usar esses conceitos e técnicas para criar redes Wi-Fi Sigilosa que não só não têm acesso à minha rede Casa (e rede cabeada), mas também usa uma conexão VPN como gateway padrão. A rede Wi-Fi Sigilosa funciona lado a lado com redes Wi-Fi normais (Casa and Visitante), mas é completamente isolada e anônima. Esta abordagem é poderosa, pois permite selecionar qual tráfego deve ser protegido numa rede Wi-Fi (e potencialmente mais lento devido às limitações de largura de banda da VPN) e qual tráfego deve usar conexão Internet do provedor (potencialmente mais rápida) nas outras redes Wi-Fi.

Para implementar o WiFi Sigilosa, repita etapas anteriores e crie uma nova rede Wi-Fi no switch Unifi, defina seu VLAN ID e, no seu pfSense, crie uma interface VLAN, configure suas regras de servidor DHCP, DNS, NAT e Firewall. Teste a conectividade com a internet antes de fazer alterações que permitirão conexões com VPN gateway e/ou restrições.

A diferença entre as Wi-Fi Casa/Visitante e Sigilosa é que ele usa uma conexão VPN como gateway. Para isso, no seu pfSense, vá para Firewall >> Regras e pressione Editar na regra Regra padrão que permite acesso somente a internet:

  • Opções extras
    • Opções avançadas

Pressione Salvar e Aplicar alterações e você está protegido.

Isolando a internet das coisas (IoT)

Todos nós temos dispositivos IoT que raramente são atualizados, representando uma enorme ameaça à sua rede doméstica; mesmo se seus roteadores, switches, laptops, telefones e tablets estejam atualizados. Esses dispositivos podem ser categorizados em 2 tipos:

  1. Dispositivos IoT que precisam de internet para funcionar, mas não interagem com sua rede
    • Exemplos são o Google home, dispositivos inteligentes como geladeira, fechaduras, etc.
  2. Dispositivos IoT que não precisam de Internet, mas precisam estar disponíveis em sua rede
    • Exemplos são câmeras de vigilância. Eles geralmente são acessados pelo Wi-Fi da sua casa para gravação e visualização, mas você não quer que eles enviem sua vida pra internet. E se quiser, use um servidor VPN

Isolando IoT da rede da sua casa

Se seu dispositivo é do tipo 1) acima, é melhor permitir que esses dispositivos se conectem à internet, mas isole-os de sua casa. O Google home não precisa xeretar sua rede pra conseguir tocar uma música, certo? Nem a sua TV!

Isso é exatamente o que já fizemos para o Wi-Fi Visitante, então apenas repita os passos anteriores para a IoT e já era!

Isolando IoT da Internet

Para dispositivos do tipo 2), podemos usar o VLAN ID 50, repetir as etapas anteriores para a IoT, mas depois modificar a regra de firewall para permitir conexões LAN apenas, sem Internet.

No seu pfSense, vá para Firewall >> Regras e pressione Editar na regra Regra padrão que permite acesso somente a internet:

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: VLAN50
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: VLAN500
  • Destino
    • Seleção invertida: desmarcado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Regra padrão que permite somente acesso LAN

Pressione Salvar e Aplicar alterações para finalizar.

Resumo

Durante essa jornada, melhoramos nossa rede colocando o nosso ponto de acesso Wifi Unifi AP para trabalhar junto do pfSense e switch Unifi, permitindo tráfego VLAN entre eles.

Em seguida, discutimos que não precisamos fazer alterações na rede Wi-Fi Casa, pois queremos que ela esteja na mesma rede do que a rede cabeada da casa, se isso faz sentido para você.

A seguir, configuramos uma rede Wi-Fi Visitante que pode conectar à Internet, mas está isolada da rede doméstica.

Também criamos uma rede Wi-Fi criptografada Sigilosa que está isolada da Casa e usa conexão VPN como gateway, adicionando uma camada adicional de privacidade (para quando você deseja visitar sites suspeitos).

Finalmente, discutimos dois sabores de redes Wi-Fi IoT, uma que tem acesso à Internet, mas não a rede local e vice-versa.

Espero que tenha gostado…

Deixe uma resposta