El código abierto puede más. Router OS alternativo para infraestructuras remotas
La organización de una infraestructura moderna de oficina remota implica el uso de un virtualizador como Proxmox o VMWare en los servidores, lo que se debe a la necesidad de desplegar una serie de máquinas virtuales con diferentes niveles de acceso, comunicación limitada entre servidores y acceso a la red global. La opción más sencilla para controlar el acceso a una máquina virtual dentro de un virtualizador es utilizar un router de software de borde con un potente cortafuegos, que se instala en una de las máquinas virtuales del servidor.
Router OS es el claro ganador entre los routers software. Sin embargo, no dispone de una versión gratuita completa. Existen varias soluciones alternativas de código abierto basadas en FreeBSD: pfSense y OPNSense. Se trata de completos routers-firewalls por software con un completo conjunto de módulos y complementos necesarios para gestionar la red y el acceso a los dispositivos finales de la infraestructura remota.
pfSense es una continuación lógica del proyecto m0n0wall
pfSense está soportado y desarrollado por Netgate como uno de sus productos principales. El enrutador de software no requiere pago y se puede utilizar de forma totalmente gratuita porque este producto se suministra bajo la licencia Apache 2.0. Está disponible como imagen ISO y puede instalarse en una máquina virtual con parámetros muy modestos.
Características de pfSense
Tenga en cuenta que este producto tiene muchos módulos preinstalados y también permite la instalación de plugins adicionales que amplían las capacidades estándar del router.
Cortafuegos
He aquí algunas características principales que revelan las capacidades de este módulo:
- inspección de paquetes por estado (SPI), que permite filtrar las conexiones de red
- filtrado basado en direcciones IP y DNS junto con protección anti-spoofing
- soporte de reglas basadas en el tiempo y limitación del número de conexiones
- mapeo NAT bidireccional habilitado
Enrutador
De las características listadas a continuación, queda claro que este componente de pfSense es completamente autosuficiente:
- soporta múltiples direcciones IP por interfaz
- soporte para múltiples WANs habilitado para tolerancia a fallas y/o balanceo de carga
- servidor PPPoE integrado
- soporta enrutamiento basado en políticas
- se permite el funcionamiento simultáneo de enrutamiento IPv4 e IPv6
VPN
Quizás uno de los componentes más importantes de un router software para infraestructuras remotas:
- se admiten los protocolos y tecnologías de red privada virtual más populares y conocidos - IPsec, OpenVPN, WireGuard
- es posible organizar una conexión de sitio a sitio con cifrado SSL
- la interfaz gráfica de usuario permite configurar clientes VPN en distintos sistemas operativos
- hay soporte para multitúnel con conmutación por error entre túneles
- está disponible la autenticación RADIUS o LDAP, lo que resulta práctico si dispone de AD en la infraestructura
Prevención de ataques
En el contexto de las amenazas cibernéticas modernas, un bloque de funciones y mecanismos para analizar el tráfico de paso es una ventaja indudable de pfSense:
- Snort se utiliza como analizador de paquetes (sistema IDS/IPS)
- se admite el análisis y la detección de aplicaciones L7 gracias a la integración de una base de datos con una lista actualizada de amenazas
- es posible configurar el sistema de seguridad individualmente en la interfaz seleccionada con inspección profunda de paquetes
Otras características de pfSense
Enumerar todos los módulos y servicios ocuparía más de una página del blog, pero para una comprensión más objetiva de las capacidades del router software, podemos destacar las siguientes:
- disponibilidad de servicios de red estándar - servidor DHCP, reenvío DNS
- facilidad para crear copias de seguridad y volver a puntos de restauración
- un único repositorio de actualizaciones con la posibilidad de actualizar con sólo pulsar un botón
- el modelado del tráfico es compatible con la velocidad del canal o el volumen de datos
- gracias a una cómoda interfaz gráfica de usuario, se proporciona un registro legible de lo que ocurre en el router
- es posible recibir notificaciones del router por correo electrónico
OPNSense - un fork que puede superar al código original
OPNSense es un enrutador de software que es funcionalmente muy similar a pfSense. La diferencia obvia para la mayoría, incluso para usuarios experimentados y administradores de sistemas, será una interfaz completamente rediseñada. Otra diferencia es el conjunto de plugins y complementos en el repositorio de software adicional para la instalación. Debido a la similitud, es difícil destacar las características individuales de OPNSense y el usuario puede hacer una elección basada en la comodidad de la interfaz gráfica de usuario o preferencias en el conjunto de plugins disponibles.
En lugar de una conclusión
De una rápida revisión de la funcionalidad de pfSense y su tenedor OPNSense, queda claro que este router de software está dirigido a proyectos de infraestructura muy complejos, incluyendo no sólo servidores y servicios remotos, sino también oficinas locales. Los mecanismos de protección y autenticación de usuarios son adecuados tanto para construir una pequeña infraestructura de oficina híbrida como una gran red corporativa con docenas de servidores remotos, empleados y sucursales de oficina.