Глава 4 Приёмы безопасного администрирования

Когда мы проскользнём на своих шатлах
мимо их системы оповещения и уничтожим город автоботов,
Автоботы будут побеждены навсегда!
- Мегатрон
The Transformers: The Movie

Является ли поддержка системы вашей обязанностью или вы только недавно завершили установку системы - ваша работа в качестве администратора безопасности только начинается. Система, сегодня собранная, настроенная и укреплённая не может быть навсегда названа "безопасной". В лучшем случае, можно утверждать, что наложены все патчи и система не подвержена известным уязвимостям. Через несколько месяцев невмешательства, это заявление станет не актуальным. Изменения системы могут привести к формированию ещё более уязвимой системы, требующей более сложного администрирования. Даже если никто не использовал систему после развёртывания, переодически обнаруживаемые ошибки ПО и новые средства эксплуатации уязвимостей сделают систему уязвимой.

Учитывая то, что вы строите сервер, который должен использоваться, как минимум, в течение нескольких лет, осторожная и хорошо продуманная система администрирования спасёт вас и вашу организацию от ненужной головной боли. Для некоторых людей слово "обслуживание" кажется ненормальным. Кто захочит тратить время на поддержку системы, когда построение новой системы более интересно? Такой подход часто приводит к ленивому и небрежному администрированию, которая, в конечном итоге, приведёт к компрометации системы. Работы по очистке заражённой системы или сети, в большинстве случаев включают в себя тщательный анализ и много сверурочной работы. Это доставляет намного меньше удовольствия, чем регулярный и тщательный уход за системой.

В этой главе, мы рассмотрим практические решения безопасного администрирования в долгосрочной перспективе. Тщательный контроль поможет сделать вашу систему легко поддерживаемой, безопасной и конфигурируемой. Далее, мы обратим внимание на управление обслуживанием в безопасном режиме: выполнение установки ПО, модернизацию системы и смягчение уязвимостей посредством обновлений. Поскольку системы FreeBSD и OpenBSD часто используются для оказания сетевых сервисов, мы рассмотрим риски связанные с некоторыми общими сервисами и, конечно же, способы снижения рисков. Наконец, мы обратим наше внимание на состояние системы, как средство стабильного поведения и контроля отклонений.

В этой главе. мы подойдём к стандартным задачам системного администрирования сфокусировавшись на вопросах безопасности. Это позволит оценить наши действия с точки зрения безопасности и гарантировать, что эти действия не приведут к снижению общего уровня безопасности системы.

4.1. Контроль доступа
Предосталение пользователям и администраторам прав на систему - обманчиво простая задача, являющаяся одной из самых основных задач, стоящих перед системным администратором. Контроль доступа к системе, начинающийся с базовых аккаунтов Unix, членства в группе и прав доступа к файлам. Последние дополнения FreeBSD, такие как ACL и MAC могут сделать управление доступом весьма сложной задачей (однако и более гибкой -п.п.) Потратьте немного времени, чтобы задуматься о дизайне контроля доступа вашей системы и возможности предоставления необходимо доступа, без ущерба безопасности. 

продолжение следует...

 

Глава собрана и доступна в PDF - iboxjo.h1.ru/projects.html
Возвращаюсь к переводу Mastering FreeBSD and OpenBSD Security.

Завтра постараюсь собрать и выложить - п.п.

18.6.2 Дополнительная защита с VPN
Добавление каптивного портала обеспечивает дополнительный уровень аутентификации, но не предоставляет дополнительных средств защиты беспроводного трафика от прослушивания. VPN добавляет ещё один уровень аутентификации, прежде чем разрешить доступ к внутренней сети и Интернет, и предлагает дополнительный уровень шифрования беспроводного трафика. Конфигурирование выбранного типа VPN не будет отличаться от конфигурирования удалённого доступа, однако потребуется настроить правила брандмауэра на интерфейсе pfSense для разрешения VPN трафика от ваших беспроводных клиентов.

18.6.2.1. Настройка правил брандмауэра для IPsec
Рисунок 18.5, "Правила позволяющие только IPsec из беспроводной сети", показывает минимальные требования для позволения доступа только по IPsec на WAN IP. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок.

18.6.2.2. Настройка правил брандмауэра для OpenVPN
Рисунок 18.6, "Правила разрешающие только OpenVPN из беспроводной сети", покаывает минимальные требования, необходимые для разрешения доступа только по OpenVPN на IP WLAN. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок. Здесь мы предполагаем, что используется порт UDP 1194 (по умолчанию). Если вы выберете иной протокол или порт, следует соответственно изменить правила.


18.6.2.3. Конфигурирование правил брандмауэра для PPTP
Рисунок 18.7, "Правила позволяющие только PPTP из беспроводной сети", показывает минимальные требования для позволения доступа только по PPTP на WAN IP. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок.


18.7. Настройка безопасной точки доступа
Возможно, ваша компания пожелает предоставлять доступ в Интернет для клиентов или гостей, используя для этого существующее подключение Интернет. Это может быть благом для вашего бизнеса и клиентов, но может так же подвергать опасности вашу сеть, в том случае, если настройки произведены не корректно. В этом разделе мы рассмотрим средства предоставления доступа для гостей и клиентов, обеспечивающие защиту вашей внутренней сети.

18.7.1. Несколько брандмауэров
Для обеспечения лучшей защиты между частной и публичной сетью, следует получить у провайдера по крайней мере два публичных IP адреса и использовать для частной сети второй брандмауэр. Это позволит использовать преймущество входа в публичную сеть с различных публичных IP адресов, и вы сможете легко локализовать возникшую проблему. Брандмауэр защищающий вашу частную сеть будет виден вашей публичной сети так же как иные хосты Интернет.

18.7.2. Единственный брандмауэр
В случае, когда использование нескольких брандмауэров экономически не выгодно или не желательно, вы можете защитить внутреннюю сеть путём подключения вашей сети к OPT интерфейсу pfSense. Вы должны назначить OPT интерфейс выделенной часной IP-подсети и настроить правила брандмауэра, позволяющие доступ к Интернет, но не к вашей внутренней сети.

18.7.3. Соображения по контролю доступа и выходной фильтрации
Кроме запрета трафика из публично доступной сети к часной сети, есть некоторые дополнительные моменты, которые необходимо рассмотреть при конфигурировании точки доступа.

18.7.3.1. Ограничение доступа к сети
Хотя многие точки доступа используют открытые беспроводные сети без аутентификации, следует рассмотреть дополнительные меры защиты, предотвращающие злоупотребление сетью. На вашей беспроводной сети следует рассматривать возможность использования WPA или WPA2 и предоставление пароля для ваших гостей и клиентов. Это может бть парольная фраза на плакате в зоне ожидания, сообщение в гостевой комнате или предоставление пароля по запросу. Кроме того, следует рассмотреть вопрос о предоставление каптивного портала на pfSense (глава 19, "Каптивный портал"). Это поможет предотвратить использование беспроводной сети вне здания.

18.7.3.2. Отключение внутренних связей (Intra-BSS коммуникаций)
Если точка доступа позволяет, вам не следует использовать intra-BSS коммуникаций. Это предотвратит общения беспроводных клиентов между собой, что защитит пользователей от преднамеренных нападений других пользователей беспроводной сети и непреднамеренных нападений вирусов.

18.7.3.3. Фильтрация исходящего трафика
Рассмотрим принципы конфигурования исходящей фильтрации. Основная задача, позволить доступ к Интернет и не позволять доступ к внутренней сети - достаточно разобрана, но необходимо рассмотреть дополнительные ограничения. Чтобы избежать попадания вашего публичного IP-адреса в чёрные списки инфицированных систем или спам-ботов, следует рассмотреть вопрос о блокировании SMTP. Альтернатива, позволяющая клиентам использовать свой SMTP, но ограничивающая влияние спам-ботов - создание правила разрешающего SMTP с указанием максимального числа записей состояний на хост (Maximum state entries per host) в расширенных опциях (Advanced Options) брандмауэра на странице Firewall -> Rules -> Edit. Убедитесь, что это правило находится выше любых иных правил проверяющих SMTP трафик, и укажите нижний предел. Поскольку почтовый клиент или сервер не всегда корректно закрывают соединение, не следует устанавливать предел слишком низко, чтобы не блокировать законных пользователей, и значение не более пяти соединений должно быть вполне разумным. вы можете указать значение Maximum state entries per host для всех правил брандмауэра, однако имейте ввиду, что некоторые протоколы требуют для работы десятки и сотни подключений. HTTP и HTTPS могут потребовать многочисленных соединений для загрузки одной страницы, в зависимости от её содержания и поведения браузера, т.ч. не следует выставлять слишком сильные ограничения. Вам необходимо сбалансировать желания пользователей защититься от рисков, связанных с предоставлением доступа к Интернет и определить политику соответствующую вашей среде.

18.8. Устранение проблем беспроводных подключений
Когда речь идёт о беспроводной связи, возникает множество ситуаций когда что-то может пойти не так. Проблемой может стать неисправное оборудование, наличие радиопомех, несовместимость драйверов и ПО. В данном разделе будут рассмотрены некоторые из наиболее распространённых проблем, с которыми приходится сталкиваться пользователям и разработчикам pfSense.

18.8.1. Проверка антенны
Прежде чем начинать разбираться с проблемами, дважды-трижды проверьте подключение антенн. Если она привинчивающаяся - убедитесь, что все соединения затянуты. Для карт mini-PCI, проверьте правильность установки в разъёмах. Антенные хвосты (pigtails) весьма хрупкие и могут легко ломаться. После нескольких подключений/отключений может потребоваться их замена.

18.8.2. Попробуйте несколько клиентов или беспроводных карт
Чтобы исключить возможную несовместимость между беспроводными функциями pfSense и клиентами, попробуйте работу нескольких устройств. Если проблема повторяется для различных устройств и моделей, вероятно, присутствуют проблемы с конфигурацией или оборудованием сервера.

18.8.3. Низкий уровень сигнала
Если сигнал слабый, даже в непосредственной близости от точки доступа, снова проверьте антенны. Для mini-PCI с двумя внутренними разъёмами - попробуйте переключиться на второй разъём. Так же, вы можете попробовать изменить канал или настройки мощности передачи в конфигурации беспроводного интерфейса. Для mini-PCI карт следует проверить коннекторы антенных хвостовиков на предмет их целостности.

КОНЕЦ ГЛАВЫ 18

18.5.2.11.1 Слабости шифрования беспроводных сетей
WEP, на протяжении многих лет, имеет известные и достаточно серьёзные проблемы безопасности, и не должен использоваться, если не является единственным доступным вариантом для используемых устройств. В большинстве случаев, WEP может быть взломан в течение нескольких минут и его не следует считать безопасным.

TKIP (Temporal Key Integrity Protocol), являющийся частью AES, стал заменой WEP после его взлома. Он использует тот же базовый механизм, что и WEP, и следовательно так же уязвим для некоторых видов аналогичных атак. За последнее время подобные атаки становятся всё более и более успешными. На момент написания данной главы, TKIP было не так просто взломать как WEP, но вам, по возможности не следует его использовать, если у вас имеются устройства поддерживающие WPA и WPA2 с AES. WPA и WPA2 в сочетании с AES исключают недостатки присущие TKIP.

18.5.2.12. Завершение настройки AP
Предшедствующих настроек должно быть достаточно чтобы запустить в работу точку доступа 802.11g с поддержкой шифрования WAP2+AES. Существует ряд иных параметров, которые могут использоваться для тонкой настройки поведения точки доступа, однако, в большинстве сред, они не являются необходимыми для её нормального функционирования. Когда вы закончите настройку, нажмите кнопку Save, а затем Apply Changes.

18.5.2.13. Настройка DHCP
Сейчас, когда мы создали отдельную сеть, нам потребуется включить DHCP, чтобы беспроводные клиенты могли автоматически получать IP-адреса. Перейдите на страницу Services -> DHCP Server, нажмите на закладке вашего беспроводного интерфейса (для нашего примера ConfRoom). Установите флаг Enable и необходимый диапазон адресов, а так же любые дополнительные опции. затем нажмите Save и Apply Changes. Для получения более подробной информации о конфигурировании DHCP смотрите раздел 21.1, "Сервер DHCP".

18.5.2.14. Добавление правил брандмауэра
Поскольку наш беспроводный интерфейс OPT, он не будет иметь правил брандмауэра по умолчанию. В крайнем случае, необходимо иметь правило для трафика из данной подсети к подсети назначения. Нашим пользователям понадобится доступ в Интернет и доступ к ресурсам другой сети. Разрешающее правило по умолчанию в данном контексте будет вполне уместно. Чтобы создать правило, перейдите на страницу Firewall -> Rules, а затем на вкладку беспроводного интерфейса (ConfRoom). Добавьте правило для прохождения трафика любого протокола, с адресом источника подсети ConfRoom, и любым назначением. Для получения детальной информации о создании правил брандмауэра, обратитесь к главе 6, "Брандмауэр".

18.5.2.15. Привязка клиентов
Вновь настроенная точка доступа должна появиться в списке доступных точек доступа вашего беспроводного устройства, в случае, если вы не отключили широковещание SSID. У вас должна появиться возможность связывать с ней клиентов, так же как с любой другой точкой доступа. Точный порядок связывания будет изменяться в зависимости от операционной системы, устройства и используемого драйвера, но в большинстве случаев процесс достаточно прост.

18.5.2.16. Просмотр статуса беспроводных клиентов
Если у вас есть бесповодной интерфейс настроенный в режиме точки доступа, связанные с ним клиенты будут перечислены на странице Status -> Wireless.

18.6. Дополнительная защита вашей беспроводной сети
В дополнение к надёжному шифрованию WPA или WPA2 с AES, некоторые пользователи могут использовать дополнительный уровень шифрования и аутентификации, прежде чем разрешить доступ к сетевым ресурсам. Два наиболее часто используемых решения - каптивный портал и VPN. Эти методы могут работать независимо от того, используете ли вы внешнюю точку доступа на OPT интерфейсе или внутренний беспроводной адаптер.

18.6.1. Дополнительная защита беспроводной сети с помощью каптивного портала
При включении каптивного портала на границе беспроводной сети, появляется возможность запроса аутентификации прежде, чем пользователь получит доступ к сетевым ресурсам. В корпоративных сетях обычно, развёртываемых с RADIUS аутентификацией Microsoft Active Directory, пользователи могут использовать полномочия AD для аутентификации в беспроводной сети. Конфигурирование каптивного портала рассматривается в главе 19, "Каптивный портал".

продолжение следует...

18.5.2. Конфигурирование pfSense как точки доступа
Процесс конфигурирования pfSense для работы в качестве точки доступа (AP) весьма прост. Многие из опций должны быть вам знакомы, если вы раньше настраивали другие беспроводные маршрутизаторы, а некоторые могут показаться новыми, ели вы использовали беспроводное оборудование коммерческого класса. Существуют десятки способов настройки точки доступа и в большинстве случаев они зависят от вашей среды. Здесь, мы рассматриваем установку pfSense в качестве базовой AP которая использует шифрование WPA2 с AES. В данном примере, ExampleCo обеспечивает беспроводной доступ для ноутбуклов в конференц-зале.

18.5.2.1. Подготовка беспроводного интерфейса
Прежде чем что-либо сделать, следует убедиться, что в маршрутизатор установлены соответствующие беспроводные карты и антены. Как было описано ранее, беспроводная карта должна быть назначена в качестве OPT-интерфейса и включена, прежде чем будет произведено последующее конфигурирование.

18.5.2.2. Описание интерфейса (Interface Description)
Использование точки доступа с именем "WLAN" (Wireless LAN) или Wireless, позволит достаточно просто определить её в списке интерфейсов. Если у вас имеется уникальный SSID, возможно, его, будет более удобно использовать в описании. Если pfSense будет управлять несколькими точками доступа, должен существовать способ более удобного различия, например, "WLANadmin" и "WLANsales". В данный момент, мы будем использовать имя ConfRoom.

18.5.2.3. Тип интерфейса/IP-адрес (Interface Type/IP Address)
Поскольку наша точка доступа будет находиться в отдельной IP-подсети, то необходимо установить значение Type в Static и указать IP-адрес и маску подсети. Поскольку, эта подсеть отлична от других интерфейсов, это может быть подсеть 192.168.201.0/24, не используемая в сети ExampleCo.

18.5.2.4. Стандарт беспроводной сети (Wireless Standard)
В зависимости от поддерживаемого оборудования, есть несколько возможностей выбора используемого стандарта беспроводной сети, в том числе 802.11b, 802.11g, 802.11g turbo, 802.11a и 802.11a turbo, а так же ряда других. В данном примере мы выберем 802.11g.

18.5.2.5. Режим работы беспроводной сети (Wireless Mode)
Установите значение поля Mode в Access Point, и pfSense будет использовать hostapd для работы в качестве точки доступа.

18.5.2.6. Service Set Identifier (SSID)
Собственно, данный параметр представляет собой имя точки доступа с точки зрения клиентов. Вы должны выбрать уникальный, но достаточно легко идентифицируемый SSID. Соответственно, мы используем в данном примере имя ConfRoom.

18.5.2.7. Ограничение доступа к 802.11g Only (Limiting Access to 802.11g Only)
Установка 802.11g only позволяет работать с точкой доступа, только клиентам поддерживающим стандарт не старее 802.11b. С учётом наличия, в некоторых средах, старых клиентов, этот параметр может быть востребованым. Некоторые устройства, такие как Nintendo DS и Palm Tungsten C совместимы только с устройствами 802.11b и для своей работы требуют смешанной сети. Оборотной стороной этого, является то, что точка доступа должна будет работать на скорости самого медленного устройства 802.11b. Например, в нашем конференц-зале клиенты будут использовать только новые ноутбуки, поддерживающие стандарт 802.11g, поэтому мы отметим данную опцию.  
   
18.5.2.8. Intra-BSS Communication
Если вы отметили флаг Allow intra-BSS communication, беспроводные клиенты смогут непосредственно видеть друг друга, а не маршрутизировать весь трафик через точку доступа. Если клиентам необходим только доступ в Интернет, безопаснее снять данный флаг. В нашем случае, клиентам в конференц-зале, необходимо обменитьваться файлами непосредственно, поэтому отметим данный флаг.

18.5.2.9. Скрытие SSID (отключение широковещания SSID - Disable SSID Broadcasting)
Как правило, точка доступа транслирует свой SSID, что позволяет клиентам обнаружить её и легко подключиться. По мнению некоторых людей, это может предоставлять угрозу безопасности, но в большинстве случаев удобство перевешивает риск безопасности. Некоторые преёмущества скрытия SSID явно преувеличины, поскольку существует множество инструментов легко обнаруживающих скрытые сети. Для точки доступа нашего конференц-зала, мы оставим этот флаг неотмеченным, что позволит облегчить клиентам поиск точки доступа и использование её сервисов.

18.5.2.10. Выбор канала беспроводной сети
При выборе канала (Cannel), вам необходимо знать о наличии близлежащих точек доступа работающих на аналогичной частоте. Кроме беспроводных точек доступа, существуют беспроводные телефоны, устройства Bluetooth, видеоняни, видео передатчики, микроволновое печи и множество иных устройств, работающих на частоте 2.4ГГц, которые могут вызывать помехи. Часто, в можете использовать любой канал, пока клиент находится в непосредственной близости от точки доступа. Наиболее безопасно использовать 1, 6 и 11 каналы, поскольку их частотные полосы не пересекаются. Так же, вы можете указать Auto, чтобы адаптер самостоятельно выбрал наиболее подходящий канал, однако эта функция не работает с некоторыми беспроводными адаптерами. Если вы выбрали Auto, и что-то не работает, следует выбрать определённый канал. Для нашей сети, мы выберем канал 1.

18.5.2.11. Шифрование беспроводной сети (Wireless Encryption)
Сети 802.11 поддерживают три типа шифрования: WEP, WPA и WPA2. WPA2 с AES является самым безопасным выбором. Даже если вы не обеспокоены шифрованием эфирного трафика (которое должно присутствовать), данный тип шифрования обеспечивает дополнительные средства контроля доступа. Парольная фраза WPA/WPA2 работает аналогично WEP ключю на большинстве устройств; она действует подобно паролю в виде длинной строки шестнадцатеричных символов. Как и в случае выбора между 802.11b и 802.11g, некоторые старые устройства поддерживают только WEP и WPA, однако большинство современных адаптеров поддерживают WPA2.

В нашем конференц-зале будет использоваться WAP2, поэтому необходимо отключить WEP. Для этого снимите флаг Enable WEP, и отметьте Enable WPA. Для использования только WPA2, установите WPA Mode в значение WPA2.  Для WPA Pre-Shared Key, будем использовать excoconf213, и установим WPA Key Mode Management в значение Pre-Shared Key. При необходимости использования WPA2+AES, установите WPA Pairwise в значение AES.

Примечание
Для использования WPA2 на беспроводных клиентах Windows XP, необходимо наличие драйвера поддерживающего WPA2. Если вы используете интерфейс настройки беспроводных клиентов, предоставляемый Windows XP, для работы с точкой доступа WPA2, необходима установка Windows XP SP3 или наличие установленного патча Microsoft Knowledge Base article 917021 [http://support.microsoft.com/kb/917021].

продолжение следует...

18.4.3. Мост беспроводной сети на интерфейсе OPT
Если вы хотите добиться максимального контроля над беспроводными клиентами, добавление интерфейса OPT в pfSense может оказаться наилучшим решением. Если вы хотите сохранить беспроводную и проводную сети в одной подсети и одном широковещательном домене, вы можете обхеденить интерфейс OPT с интерфейсом вашей локальной сети (LAN). Этот сценарий эквивалентен подключению точки доступа непосредственно в коммутатор, за исключением того, что поскольку pfSense находится в середине, она может фильтровать трафик беспроводной сети, обеспечивая защиту хостов локальной сети.

Так же, при желании, вы можете разместить беспроводную сеть на выделеной IP-подсети, не объединяя интерфейс OPT на pfSense и назначив ему IP-подсеть вне диапазона вашей локальной подсети. Это даёт возможность осуществления маршрутизации между внутренней и деспроводной сетями, в соответствии с набором правил брандмауэра. Данная схема, обычно реализуется в крупных сетях, где к коммутатору подключено несколько точек доступа, а коммутатор, в свою очередь подключен к интерфейсу OPT pfSense. Кроме того, желательно форсировать подключение беспроводных клиентов к VPN, прежде чем позволить им подключение к внутренним сетевым ресурсам.

18.4.3.1. Выбор между мостом и маршрутизацией
Принцип выбора между мостом (использование той же IP подсети, что и LAN) или маршрутизацией (использование выделенной IP подсети для беспроводной сети) для беспроводных клиентов будет зависеть от сервисов, требуемых клиентам. Некоторые приложения и устройства, для нормального функционирования полагаются на широковещание. Например Apple AirTunes, не будет работать через два широковещательных домена, следовательно, если в беспроводной сети используется AirTunes и вы планируете использовать его, вам придётся использовать мост проводной и беспроводной сети. Другим примером могут являться медиа-серверы, используемые такими устройствами как Xbox 360 и Playstation 3. Они используют многоадресный и широковещательный трафик, который может функционировать только при использовании моста проводной и беспроводной сети. В множестве домашних сетевых сред имеются приложения и устройства которым требуется использование моста для объединение проводной и беспроводной сети. В большинстве корпоративных сетей нет приложений требующих использования моста. в конце концов, тип соединения будет зависить от сетевых приложений и ваших личных предпочтений.

Есть и несколько компромисных решенний, одним из которых является пакет Avahi. Он может слушать на двух разлиных широковещательных доменах и ретранслировать сообщения от одного домена к другому для обеспечения многоадресного DNS (типа Rendezvous или Bonjour) в целях исследования сети и сервисов. Сервер WINS (Windows Internet Name Service) является ещё одним примером, так как он позволяет просматривать сети с машинами Windows/SMB, даже если вы находитесь не в сети широковещательного домена.

18.5. pfSense как точка доступа
Используя беспроводную карту, поддерживающую режим hostap (ath(4), ral(4) и wi(4)), можно сконфигурировать pfSense в качестве беспроводной точки доступа.

18.5.1. Должен ли я использовать внешнюю точку доступа или pfSense как точку доступа?
Исторически сложилось, что функция точки доступа в FreeBSD часто страдала из-за проблем несовместимости с некоторыми беспроводными клиентами. С появлением FreeBSD 7.x ситуация улучшилась, однако и здесь можно обнаружить ряд несовместимых устройств. Данные трудности не всегда ограничиваются FreeBSD, но вы можете обнаружить, что, в ряде случаев, даже дешёвый класс потребительских беспроводных маршрутизаторов обеспечивает лучшую совместимость, чем точка доступа FreeBSD. Дома, я без проблем использую pfSense с MacBook Pro, Apple AirTunes, Mac mini G4, iPod Touch, Palm Treo и различными ноутбуками, Xbox360  и клиентами FreeBSD. Всё работает весьма надёжно. Существует возможность найти несовместимых клиентов для любой точки доступа. FreeBSD не является исключением. Я не рекомендую использовать функциональность точки доступа на старых версиях FreeBSD, особенно в m0n0wall на FreeBSD 4.x. Сегодня FreeBSD хорошо работает практически со всеми устройствами и возможно подойдёт для вашей сети. В настоящее время, список несовместимых устройств можно найти по адресу http://www.pfsense.org/apcompat.

продолжение следует...

18.3. Мосты и беспроводные сети
В конфигурации моста будет работать только беспроводной интерфейс в режиме точки доступа (hostap). Вы можете создать мост беспроводного интерфейса в hostap к любому другому интерфейсу для объединения двух интерфейсов в один широковещательный домен. Это может быть необходимо, если у вас имеются устройства или приложения которые должны находиться в одном и том же шикроковещательном домене для нормального функционирования. Более подробно, данный вопрос обсуждается в разделе 18.4.3.1, "Выбор моста или маршрутизации".

18.3.1. Беспроводная сеть BSS и IBSS и мосты
Из-за способа работы в режимах BSS (Basic Service Set) и IBSS (Independent Basic Service Set), и способа работы моста, вы не сможете объединить в мост беспроводной интерфейс в BSS или IBSS режиме. Каждому устройству, соединённому с беспроводным адаптером в режиме BSS или IBSS должен быть предоставлен один и тот же MAC адрес. При использовании моста, MAC адрес должен соответствовать актуальному MAC адресу присоединённого устройства. Это нормально - так работает мост. При использовании беспроводного устройства, единственный способ работы - когда все устройства за беспроводной картой имеют тот же самый MAC адрес в беспроводной сети. Более подробно, данная ситуация разъясняется экспертом по беспроводным сетям, Джимом Томпсоном (Jim Thompson) в списках рассылки [http://lists.freebsd.org/pipermail/freebsd-current/2005-
October/056977.html], (http://lists.freebsd.org/pipermail/freebsd-current/2005-October/0 56977.html
). В качестве одного из примеров, когда VMware Player, рабочая станция или сервер настроены на конфигурацию моста с беспроводным интерфейсом, он автоматически транслирует его MAC адрес на беспроводную карту. Поскольку, в FreeBSD нет никакого способа просто транслировать MAC адрес, и из-за способа работы моста в FreeBSD, трудно найти любые обходные пути, похожие на те которые предоставляет VMware.

18.4. Использование внешней точки доступа
Если у вас есть беспроводная точка доступа или маршрутизатор, который вы хотите использовать в качестве точки доступа когда pfSense выступает в роли брандмауэра, существует несколько способов размещения беспроводной сети в вашей сети. В этом разделе мы рассмотрим наиболее часто используемые сценарии.

18.4.1. Переключение беспроводного маршрутизатора в точку доступа
Когда вы помещаете простой беспроводной маршрутизатор, подобный Linksys или D-Link в сеть с периметровым брандмауэром pfSense, функционирование беспроводной сети может быть сохранено путём включения беспроводного маршрутизатора как точки доступа. Следуйте шагам описанным в данном разделе. Эти шаги являются достаточно общими и должны быть выполнены для любого беспроводного устройства. Для обнаружения специфических особенностей вашего беспроводного маршрутизатора, обратитесь к его документации.

18.4.1.1. Отключите сервер DHCP
Сначала вам необходимо отключить DHCP сервер, если он использовался ранее. Если вы используете для данной цели pfSense, то два DHCP сервера могут вызвать проблемы в сети.

18.4.1.2. Измените LAN IP
Далее, вам необходимо изменить LAN IP на неиспользуемый IP диапазон, на котором собственно будет находиться ваша точка доступа (обычно LAN). Вам потребуется назначить другой адрес для сохранения возможностей управления точкой доступа.

18.4.1.3. Подключите LAN интерфейс
Большинство беспроводных маршрутизаторов объединяют беспроводной интерфейс с внутренним LAN портом или портами. Это означает, что беспроводной интерфейс будет находиться в том же широковещательном домене и IP подсети что и продные порты. Для маршрутизаторов со встроенными коммутаторами, любые порты коммутатора работают обычным способом. Вы же не хотите подключаться к порту WAN или Internet! Это переместит вашу беспроводную сеть в другой широковещательный домен и в результате приведёт к трансляции трафика между вашей беспроводной сетью и LAN и двойной трансляции трафика между вашей беспроводной сетью и Интернет. Такой уродливый дизайн, в ряде случаев, приведёт к проблемам, особенно если необходимо общаться между беспроводными клиентами и локальной сетью. Когда вы подключите LAN интерфейс, вы будете зависеть от дизайна вашей сети. Следующий раздел посвящается соображениям по выбору различных опций.

18.4.2. Мост беспроводной и локальной сети
Один из наиболее распространённых способов развёртывания беспроводной сети - подключение точки доступа непосредственно в тот же коммутатор на котором находятся хосты вашей локальной сети, и куда AP подключает беспроводных клиентов. Эта схема будет прекрасно работать, но предполагает ограниченный контроль над возможностями беспроводного клиента в плане связей с внутренними системами.

продолжение следует...

Глава 18 Беспроводные сети
pfSense включает встроенные беспроводные возможности, которые позволяют превратить её в беспрводную точку доступа и использовать беспроводную связь формата 802.11 для подключения к WAN или локальным сетям. В этой главе рассматриваются способы развёртывания безопасной беспроводной точки доступа. Всестороннее освещение технологии 802.11 выходит за рамки данной книги. Для тех, кто ищет соответствующую информацию, я рекомендую книгу 802.11 Wireless Networks: The Definitive Guide [http://www.amazon.com/gp/product/0596100523?ie=UTF8&tag=pfsense-20&linkCode=as2&camp=1789&creative=9325&creative ASIN=0596100523].

18.1. Рекомендации по выбору беспроводного оборудования
Существует ряд беспроводных карт, поддерживаемых в FreeBSD 7.2 и, соответственно, включённых в поддержку pfSense. Некоторые из этих карт поддерживаются лучше чем другие. Большинство разработчиков pfSense работают с оборудованием Atheros, и следовательно, это наиболее рекомендуемое оборудование. Многие добились успеха с использованием других карт, и вторым популярным производителем является оборудование Ralink. Другие карты могут поддерживаться частично, с потерей некоторой функциональности. В частности некоторые карты Intel могут использоваться в режиме инфраструктуры, но не могут работать в режиме точки доступа из-за аппаратных ограничений.

18.1.1. Беспроводные карты известных производителей
Linksys, D-Link, Netgear и другие крупные производители, часто используют различные чипсеты в беспроводных картах, не изменяя при этом номер модели. Достаточно сложно определить совместимость конкретных моделей, поскольку незначительная ревизия может сильно изменить возможности карты. В то же время, когда одна ревизия той или иной модели может хорошо работать, другая карта, той же модели может оказаться совершенно не совместимой. По этой причине, мы рекомендуем избегать карт от крупных производителей. Если, всётаки, у вас имеется подобная карта, есть смысл проверить её, но имейте в виду, что покупка "ту же модели, которая у кого-то работала" может заончится плачевно.

18.1.2. Драйверы беспроводных устройств включённые в pfSense 1.2.3.
В этом разделе перечислены беспроводные драйверы включённые в pfSense 1.2.3, и чипсеты которые поддерживаются данными драйверами (со страниц руководства драйверов FreeBSD). В FreeBSD, руководство по драйверам относится к (4) разделу справки, как ath(4). (4) указывает на интерфейсы ядра, в данном случае сетевые драйверы. Драйверы перечислены в порядке частоты их использования в pfSense, основанном на информации списков рассылки и сообщений форумов.

Для получения более подробной информации о поддерживаемых картах и актуализации информации обратитесь к страницам pfSense wiki [http://doc.pfsense.org/index.php/Supported_Wireless_Cards].

(Соответственно, pfSense 2.0.1 использует оборудование доступное в FreeBSD 8.2. Кроме того, не следует забывать, что в ветке 8.x изменились принципы использования беспроводных интерфейсов путём введения виртуального интерфейса wlan. Вообще говоря, я глубоко убеждён в том что нет лучших рекомендаций как соответствующий базовой версии FreeBSD документ Hardware Notes, достпный на сайте проекта FreeBSD - п.п.)

18.1.2.1. ath(4)
Поддерживает карты основанные на чипсетах Atheros AR5210, AR5211 и AR5212.

18.1.2.2. ral(4)
Драйвер беспроводных устройств Ralink Technology IEEE 802.11 - поддерживает карты основанные на чипсетах Ralink Technology RT2500, RT2501 и RT2600.

18.1.2.3. wi(4)
Драйвер Lucent Hermes, Intersil PRISM and Spectrum24 IEEE 802.11 - поддерживает карты основанные на чипсетах Lucent Hermes, Intersil PRISM-II, Intersil PRISM-2.5, Intersil Prism-3, и Symbol Spectrum24. Эти карты поддерживают только 802.11b.

18.1.2.4. awi(4)
Беспроводные драйверы AMD PCnetMobile IEEE 802.11 PCMCIA - поддерживают карты основанные на контроллерах AMD 79c930
с радио-чипсетом Intersil (ранее Harris) PRISM.

18.1.2.5. an(4)
Беспроводные драйверы Aironet Communications 4500/4800 - поддерживают даптеры Aironet Communications 4500 и 4800, и их варианты.

18.2. Беспроводной WAN
Вы можете назначить свою беспроводную карту в качестве WAN интерфейса или OPT WAN в multi-WAN развертывании. В этом разделе описывается назначение и настройка беспроводного интерфейса WAN.

18.2.1. Назначение интерфейса
Если вы ещё не назначили беспроводной интерфейс, перейдите на страницу Interfaces -> Assign. Нажмите Add для добавления интерфейса OPT беспроводному адаптеру, или выберите WAN, если это необходимо. Рисунок 18.1, "Назначение интерфейса - беспроводной WAN", показывает назначение карты Atheros в качестве WAN.
18.2.2. Конфигурирование беспроводной сети
Перейдите в меню Interfaces вашего беспроводного WAN интерфейса. Этот пример использует WAN, поэтому я буду работать на странице Interfaces -> WAN. Выберите тип конфигурации (DHCP, static IP и т.п.), и прокрутите экран до настройки беспроводной сети. Выберите режим инфраструктуры (BSS), заполните SSID и настройки шифрования, такие как WEP (Wired Equivalent Privacy) или WPA (Wi-Fi Protected Access), если планируете их использовать. Большинству беспроводных сетей не требуются никакие иные настройки, однако, если у вас есть особые требования, убедитесь что они выполнены в соответветствующих настройках точки доступа. Затем нажмите кнопку Save.

18.2.3. Проверка статуса беспроводной сети
Перйдите на страницу States -> Interfaces для просмотра статуса сконфигурированного беспроводного интерфейса. Посмотрев на состояние интерфейса, вы сможете определить, что интерфейс успешно ассоциировался с выбранной точкой доступа. Статус Associated означает, что интерфейс успешно подключен, что и показано на рисунке 18.2, "Ассоциация беспроводного WAN". Если указан статус No carrier (нет несущей), ассоциация не произведена. Рисунок 18.3, "Отсутствие несущей на беспроводном WAN", показывает пример, когда я настроил SSID ASDF для несуществующей беспроводной сети.
На странице Status -> Wireless, вы можете наблюдать беспроводные сети, которые видит ваш брандмауэр, что и показано на рисунке 18.4., "Статус беспроводных сетей". К этому моменту, ваш беспроводной интерфейс уже должен быть настроен.
 
   
продолжение следует...

Соберу и выложу завтра, пока нет времени.  - п.п.

17.2.6. Проверка балансировки нагрузки
Для проверки балансировки нагрузки, лучшим вариантом является curl, который использует кеш web-браузера, а постоянные соединения не влияют на результат тестирования. curl доступен для всех мыслимых ОС и может быть загружен с сайта curl -  [http://curl.haxx.se]. Для использования необходимо просто выполните curl http://mysite, заменив mysite на IP-адрес или имя хоста вашего сайта. Тестирование необходимо выполнять вне вашей сети. Следующий пример иллюстрирует тестирование с помощью curl на стороне WAN.

# curl http://10.0.66.25
<html>
<head>
<title>.12</title>
</head>
<body>
<p> 192.168.33.12 - Server 2 </p>
</body>
</html>

При первоначальном тестировании балансировки нагрузки, вам необходимо настроить каждый сервер на возврат страницы указывающей имя хоста, IP-адрес или оба этих параметра, что позволит узнать какой сервер вы используете. Если у вас не включены липкие соединения, то каждый раз, при запросе страницы с curl, вы будете получать ответ от другого сервера (исключая ситуацию описанную в разделе 17.3.2, "Неравная балансировка").

17.3. Устранение проблем с сервером балансировки нагрузки
В этом разделе описаны наиболее распространённые вопросы пользователей встречающиеся при настройке сервера балансировки нагрузки и пути их решения.

17.3.1. Подключения не балансируются
Не балансированные подключения - практически всегда ошибки используемого метода тестирования и специфики HTTP. Обычно, web-браузеры поддерживают окрытым подключение к web-серверу, а хиты просто обновляют используемые соединения. Единственное соединение не будет направляться на другой сбалансированный сервер.

Другой распространённой проблемой является кэш браузера, когда браузер не запрашивает страницу снова. В данном случае предпочтительно использовать для тестирования инструменты командной строки, такие как curl, поскольку он гарантирует, что вы не испытаете проблем связанных со спецификой web-браузера - они не используют кэш и каждый раз открывают новое соединение к серверу. Более подробную информацию о curl можно найти в разделе 17.2.6, "Тестирование балансировки нагрузки".

Если вы используете липкие соединения, следует убедиться, что вы провели тестирование с нескольких источников IP-адресов.  Если вы не выждали достаточное длительное время между соединениями, тесты от одного IP-адреса всегда будут следовать к одному серверу.

17.3.2. Неравная балансировка
Из-за особенностей функционирования ПО, в условиях низкой нагрузки балансировка будет неравной. Базовая служба мониторинга slbd сбрасывает якорь pf на каждом контролируемом интервале - примерно каждые 5 секунд. Это означает, что каждые 5 секунд последующее соединение будет следовать на первый сервер в пуле. При обслуживании очень низкой нагрузки, с частотой одно или меньше соединений каждые 5 секунд, вы будете наблюдать крайне малую балансировку. У вас есть возможность полного перехода на другой ресурс при сбое одного из серверов. На самом деле эта проблема самоустраняемая - когда нагрузка увеличится до некоторого значения, при котором балансировка станет важным фактором, балансировка станет равномерной. В рабочих условиях, при обработке тысяч пакетов в секунду, балансировка между серверами равнозначная.

17.3.3. Недоступный сервер не маркируется как Offline
Если сервер не доступен, но не помечается как offline, это происходит по той причине, что с точки зрения мониторинга проводимого pfSense, сервер доступен. При использовании TCP мониторинга, это означает что TCP порт принимает соединения. Сервис на данном порту может быть нарушен различными методами, но по прежнему отвечать на TCP соединения. Для ICMP мониторинга, эта проблема усугубляется, так как серверы могут иметь кучу сервисов, которые по прежнему будут отвечать на ping.

17.3.4. Живой сервер не маркируется как Online
Если сервер находится в online, но не маркируется как Online, это происходит по причине того, что с точки зрения брандмауэра сервер не доступен.  Сервер должен отвечать на используемом TCP порту или отвечать на ping полученный с IP интерфейса на интерфейсе брандмауэра в сторону сервера. Например, если сервер находится в LAN, он должен отвечать на запросы инициированные LAN IP брандмауэра. Чтобы убедиться в этом, для ICMP мониторинга, перейдите на страницу Diagnostics -> Ping и пропингуйте IP сервера через интерфейс на котором находится сервер. Для TCP мониторинга, войдите на брандмауэр с помощью SSH или с консоли и выберите раздел меню 8. в командной строке используйте telnet-соединение на слушающий порт сервера. Например, для тестирования web-сервера описанного в данной главе, выполните команду  telnet 192.168.33.11 80. Успешное соединение должно произойти немедленно, в то время как ошибочное будет висеть на открытие. Ниже приведён пример неудачного соединения:

# telnet 192.168.33.12 80
Trying 192.168.33.12...
telnet: connect to address 192.168.33.12: Operation timed out
telnet: Unable to connect to remote host

А вот пример успешного соединения:

# telnet 192.168.33.12 80
Trying 192.168.33.12...
Connected to 192.168.33.12.
Escape character is '^]'.

При обнаружение неудачного соединения необходимо устранить проблемы на сервере.        

КОНЕЦ ГЛАВЫ 17