Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur

Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur

Read 6 minutes

Die Organisation einer modernen Remote-Office-Infrastruktur beinhaltet die Verwendung eines Virtualisierers wie Proxmox oder VMWare auf Servern, was auf die Notwendigkeit zurückzuführen ist, eine Reihe virtueller Maschinen mit unterschiedlichen Zugriffsebenen, begrenzter Kommunikation zwischen Servern und Zugang zum globalen Netzwerk einzusetzen. Die einfachste Möglichkeit, den Zugang zu einer virtuellen Maschine innerhalb eines Virtualisierers zu kontrollieren, ist die Verwendung eines Edge-Software-Routers mit einer leistungsstarken Firewall, der auf einer der virtuellen Maschinen auf dem Server installiert wird.

Router OS ist der klare Sieger unter den Software-Routern. Allerdings gibt es keine vollständig kostenlose Version. Es gibt mehrere alternative Open-Source-Lösungen, die auf FreeBSD basieren - pfSense und OPNSense. Dabei handelt es sich um umfassende Software-Router-Firewalls mit einem vollständigen Satz von Modulen und Plug-ins, die für die Verwaltung des Netzwerks und den Zugang zu den Endgeräten der entfernten Infrastruktur erforderlich sind.

pfSense ist eine logische Fortsetzung des m0n0wall-Projekts

pfSense wird von Netgate als eines seiner Kernprodukte unterstützt und entwickelt. Der Software-Router ist nicht kostenpflichtig und kann völlig kostenlos genutzt werden, da dieses Produkt unter der Apache 2.0 Lizenz ausgeliefert wird. Es ist als ISO-Image verfügbar und kann mit sehr bescheidenen Parametern auf einer virtuellen Maschine installiert werden.

Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur

pfSense Eigenschaften

Bitte beachten Sie, dass dieses Produkt viele vorinstallierte Module hat und auch die Installation von zusätzlichen Plugins erlaubt, die die Standardfähigkeiten des Routers erweitern.

Firewall

Hier sind nur einige Hauptmerkmale, die die Fähigkeiten dieses Moduls aufzeigen:

  • Stateful Packet Inspection (SPI), die es Ihnen ermöglicht, Netzwerkverbindungen zu filtern
  • Filterung auf der Grundlage von IP-Adressen und DNS sowie Anti-Spoofing-Schutz
  • Unterstützung von Regeln auf der Grundlage der Zeit und der Begrenzung der Anzahl der Verbindungen
  • Bidirektionale NAT-Zuordnung aktiviert

Router

Anhand der unten aufgeführten Features wird deutlich, dass diese pfSense-Komponente völlig autark ist:

  • unterstützt mehrere IP-Adressen pro Interface
  • Unterstützung für mehrere WANs ist aktiviert für Fehlertoleranz und/oder Lastausgleich
  • integrierter PPPoE-Server
  • Policy-basiertes Routing wird unterstützt
  • gleichzeitiger Betrieb von IPv4- und IPv6-Routing ist erlaubt

VPN

Vielleicht eine der wichtigsten Komponenten eines Software-Routers für entfernte Infrastrukturen:

  • die populärsten und bekanntesten virtuellen privaten Netzwerkprotokolle und Technologien werden unterstützt - IPsec, OpenVPN, WireGuard
  • es ist möglich, eine Site-to-Site-Verbindung mit SSL-Verschlüsselung zu organisieren
  • Konfigurationen für VPN-Clients auf verschiedenen Betriebssystemen sind in der GUI verfügbar
  • es gibt Unterstützung für Multi-Tunneling mit Failover zwischen den Tunneln
  • RADIUS- oder LDAP-Authentifizierung ist verfügbar, was praktisch ist, wenn Sie AD innerhalb der Infrastruktur haben

Verhinderung von Angriffen

Im Zusammenhang mit modernen Cyber-Bedrohungen ist ein Block von Funktionen und Mechanismen zur Analyse des passierenden Datenverkehrs ein unbestrittener Vorteil von pfSense:

  • Snort wird als Paketanalysator (IDS/IPS-System) eingesetzt
  • die Analyse und Erkennung von L7-Anwendungen wird durch die Integration einer Datenbank mit einer aktualisierten Liste von Bedrohungen unterstützt
  • es ist möglich, das Sicherheitssystem individuell auf die ausgewählte Schnittstelle mit Deep Packet Inspection zu konfigurieren

Weitere Merkmale von pfSense

Die Auflistung aller Module und Dienste würde mehr als eine Seite dieses Blogs einnehmen, aber für ein objektiveres Verständnis der Fähigkeiten des Software-Routers, können wir die folgenden hervorheben:

  • Verfügbarkeit von Standard-Netzwerkdiensten - DHCP-Server, DNS-Weiterleitung
  • einfache Einrichtung von Backups und Rollback auf Wiederherstellungspunkte
  • ein einziges Update-Repository mit der Möglichkeit, Updates mit einem Mausklick durchzuführen
  • Traffic Shaper wird nach Kanalgeschwindigkeit oder Datenvolumen unterstützt
  • dank einer praktischen grafischen Benutzeroberfläche wird ein lesbares Protokoll der Vorgänge auf dem Router bereitgestellt
  • es ist möglich, Benachrichtigungen vom Router per E-Mail zu erhalten
Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur

OPNSense - ein Fork, der den ursprünglichen Code übertreffen kann

OPNSense ist ein Software-Router, der funktional pfSense sehr ähnlich ist. Der offensichtliche Unterschied für die meisten, selbst erfahrene Benutzer und Systemadministratoren, ist die komplett neu gestaltete Oberfläche. Ein weiterer Unterschied ist die Reihe von Plugins und Add-ons im Repository der zusätzlichen Software zur Installation. Aufgrund der Ähnlichkeit ist es schwierig, einzelne Funktionen von OPNSense hervorzuheben, und der Benutzer kann seine Wahl auf der Grundlage der Bequemlichkeit der Benutzeroberfläche oder der Präferenzen bei den verfügbaren Plugins treffen.

Statt eines Fazits

Ein kurzer Überblick über die Funktionalität von pfSense und seinem Ableger OPNSense zeigt, dass dieser Software-Router auf sehr komplexe Infrastrukturprojekte ausgerichtet ist, die nicht nur entfernte Server und Dienste, sondern auch lokale Büros umfassen. Benutzerschutz- und Authentifizierungsmechanismen eignen sich sowohl für den Aufbau einer kleinen hybriden Büroinfrastruktur als auch für ein großes Unternehmensnetzwerk mit Dutzenden von entfernten Servern, Mitarbeitern und Niederlassungen.

DedicServerES