El código abierto puede más. Router OS alternativo para infraestructuras remotas

El código abierto puede más. Router OS alternativo para infraestructuras remotas

Nataliya Oteir Leer 7 minutos

Solución potente con interfaz de gestión fácil de usar

La organización de una infraestructura de oficina remota moderna implica el uso de un virtualizador como Proxmox o VMWare en los servidores, lo que se debe a la necesidad de desplegar una serie de máquinas virtuales con diferentes niveles de acceso, comunicación limitada entre servidores y acceso a la red global. La opción más sencilla para controlar el acceso a una máquina virtual dentro de un virtualizador es utilizar un enrutador de software de borde con un potente cortafuegos, que se instala en una de las máquinas virtuales del servidor.

Router OS es el claro ganador entre los routers de software. Sin embargo, no dispone de una versión gratuita completa. Existen varias soluciones alternativas de código abierto basadas en FreeBSD - pfSense y OPNSense. Se trata de completos routers-firewalls de software con un completo conjunto de módulos y plug-ins necesarios para gestionar la red y el acceso a los dispositivos finales de la infraestructura remota.

pfSense es una continuación lógica del proyecto m0n0wall

pfSense está soportado y desarrollado por Netgate como uno de sus productos principales. El enrutador de software no requiere pago y se puede utilizar de forma totalmente gratuita porque este producto se suministra bajo la licencia Apache 2.0. Está disponible como imagen ISO y se puede instalar en una máquina virtual con parámetros muy modestos.

Características de pfSense

Tenga en cuenta que este producto cuenta con numerosos módulos preinstalados y también permite la instalación de plugins adicionales que amplían las capacidades estándar del router.

Firewall 

Aquí hay sólo algunas características principales que revelan las capacidades de este módulo:

  • inspección de paquetes con seguimiento de estado (SPI), que permite filtrar las conexiones de red
  • filtrado basado en direcciones IP y DNS junto con protección anti-spoofing
  • hay soporte para reglas basadas en tiempo y limitación del número de conexiones
  • Mapeo NAT bidireccional habilitado

Router

A partir de las características listadas a continuación, queda claro que este componente de pfSense es completamente autosuficiente:

  • soporta múltiples direcciones IP por interfaz
  • soporte para múltiples WANs habilitado para tolerancia a fallos y/o balanceo de carga
  • servidor PPPoE integrado
  • se admite el enrutamiento basado en políticas
  • se permite el funcionamiento simultáneo de enrutamiento IPv4 e IPv6

VPN

Quizás uno de los componentes más importantes de un router software para infraestructura remota:

  • se soportan los protocolos y tecnologías de redes privadas virtuales más populares y conocidos - IPsec, OpenVPN, WireGuard
  • es posible organizar una conexión de sitio a sitio con cifrado SSL
  • en la interfaz gráfica de usuario están disponibles configuraciones para clientes VPN en diferentes SO
  • hay soporte para multitunneling con conmutación por error entre túneles
  • La autenticación RADIUS o LDAP está disponible, lo cual es conveniente si tiene AD dentro de la infraestructura

Prevención de ataques

En el contexto de las modernas amenazas cibernéticas, un bloque de funciones y mecanismos para analizar el tráfico de paso es una ventaja indudable de pfSense:

  • Snort se utiliza como analizador de paquetes (sistema IDS/IPS)
  • se soporta el análisis y detección de aplicaciones L7 gracias a la integración de una base de datos con una lista actualizada de amenazas
  • es posible configurar el sistema de seguridad individualmente en la interfaz seleccionada con inspección profunda de paquetes

Otras características de pfSense

Enumerar todos los módulos y servicios ocuparía más de una página del blog, pero para una comprensión más objetiva de las capacidades del router software, podemos destacar las siguientes:

  • disponibilidad de servicios de red estándar - servidor DHCP, reenvío DNS
  • facilidad para configurar copias de seguridad y volver a puntos de restauración
  • un único repositorio de actualizaciones con la posibilidad de actualizar con solo pulsar un botón
  • el conformador de tráfico es compatible con la velocidad del canal o el volumen de datos
  • gracias a una cómoda interfaz gráfica de usuario, se proporciona un registro legible de lo que sucede en el router
  • es posible recibir notificaciones del router por correo electrónico

OPNSense - un fork que puede superar al código original

OPNSense es un router software que es funcionalmente muy similar a pfSense. La diferencia obvia para la mayoría, incluso para usuarios experimentados y administradores de sistemas, será una interfaz completamente rediseñada. Otra diferencia es el conjunto de plugins y complementos en el repositorio de software adicional para la instalación. Debido a la similitud, es difícil destacar las características individuales de OPNSense y el usuario puede hacer una elección basada en la comodidad de la interfaz gráfica de usuario o preferencias en el conjunto de plugins disponibles.

En lugar de una conclusión

A partir de un rápido repaso a las funcionalidades de pfSense y su fork OPNSense, queda claro que este router software está orientado a proyectos de infraestructuras muy complejas, que incluyen no sólo servidores y servicios remotos, sino también oficinas locales. La protección de usuarios y mecanismos de autenticación son adecuados tanto para construir una pequeña infraestructura de oficina híbrida como una gran red corporativa con docenas de servidores remotos, empleados y sucursales de oficina.

How useful was this post?

Click on a star to rate it!
Рейтинг: 0/5 - 0 голосов