Open-source može učiniti više. Alternativa Router OS-u za udaljenu infrastrukturu

by Nataliya Oteir

čitati 4 min.

Organizacija moderne infrastrukture udaljenog ureda uključuje korištenje virtualizatora poput Proxmoxa ili VMWare-a na serverima, što je zbog potrebe za implementacijom brojnih virtualnih strojeva s različitim razinama pristupa, ograničenom komunikacijom između servera i pristupom globalnoj mreži. Najjednostavnija opcija za kontrolu pristupa virtualnom stroju unutar virtualizatora je korištenje rubnog softverskog usmjerivača s moćnim vatrozidom, koji je instaliran na jednom od virtualnih strojeva na serveru.

Router OS je jasan pobjednik među softverskim usmjerivačima. Međutim, nema potpuno besplatnu verziju. Postoji nekoliko alternativnih open-source rješenja baziranih na FreeBSD-u - pfSense i OPNSense. Ovo su sveobuhvatni softverski usmjerivači-vatrozidi s punim skupom modula i dodataka potrebnih za upravljanje mrežom i pristupom krajnjim uređajima udaljene infrastrukture.

pfSense je logični nastavak m0n0wall projekta

pfSense je podržan i razvijen od strane Netgatea kao jedan od njegovih glavnih proizvoda. Softverski usmjerivač ne zahtijeva plaćanje i može se koristiti potpuno besplatno jer se ovaj proizvod isporučuje pod Apache 2.0 licencom. Dostupan je kao ISO slika i može biti instaliran na virtualni stroj s vrlo skromnim parametrima.

pfSense značajke

Imajte na umu da ovaj proizvod ima mnogo preinstaliranih modula i također omogućuje instalaciju dodatnih dodataka koji proširuju standardne mogućnosti usmjerivača.

Vatrozid

Evo samo nekoliko glavnih karakteristika koje otkrivaju mogućnosti ovog modula:

stateful packet inspection (SPI), koji vam omogućuje filtriranje mrežnih veza
filtriranje temeljeno na IP adresama i DNS-u zajedno sa zaštitom od spoofinga
postoji podrška za pravila temeljena na vremenu i ograničavanju broja veza
omogućeno dvosmjerno NAT mapiranje

Usmjerivač

Iz značajki navedenih ispod, postaje jasno da je ova pfSense komponenta potpuno samodostatna:

podržava više IP adresa po sučelju
omogućena je podrška za više WAN-ova za toleranciju grešaka i/ili raspodjelu opterećenja
integrirani PPPoE server
podržano je usmjeravanje temeljeno na politikama
dopušteno je istovremeno funkcioniranje IPv4 i IPv6 usmjeravanja

VPN

Možda jedna od najvažnijih komponenti softverskog usmjerivača za udaljenu infrastrukturu:

podržani su najpopularniji protokoli i tehnologije virtualne privatne mreže - IPsec, OpenVPN, WireGuard
moguće je organizirati site-to-site vezu sa SSL enkripcijom
konfiguracije za VPN klijente na različitim OS-ima dostupne su u GUI-ju
postoji podrška za višestruko tuneliranje s prebacivanjem između tunela
dostupna je RADIUS ili LDAP autentifikacija, što je zgodno ako imate AD unutar infrastrukture

Prevencija napada

U kontekstu modernih kibernetičkih prijetnji, blok funkcija i mehanizama za analizu prolaznog prometa je nesumnjiva prednost pfSense-a:

Snort se koristi kao analizator paketa (IDS/IPS sustav)
podržana je analiza i detekcija L7 aplikacija zahvaljujući integraciji baze podataka s ažuriranom listom prijetnji
moguće je konfigurirati sigurnosni sustav pojedinačno na odabranom sučelju s dubokom inspekcijom paketa

Ostale značajke pfSense-a

Nabrajanje svih modula i usluga zauzelo bi više od jedne stranice bloga, ali za objektivnije razumijevanje mogućnosti softverskog usmjerivača, možemo istaknuti sljedeće:

dostupnost standardnih mrežnih usluga - DHCP server, DNS prosljeđivanje
jednostavnost postavljanja sigurnosnih kopija i vraćanja na točke vraćanja
jedno spremište ažuriranja s mogućnošću ažuriranja jednim klikom
podržan je oblikovanje prometa prema brzini kanala ili volumenu podataka
zahvaljujući zgodnom GUI-ju, pruža se čitljiv log onoga što se događa na usmjerivaču
moguće je primati obavijesti od usmjerivača putem e-pošte

OPNSense — fork koji može nadmašiti izvorni kod

OPNSense je softverski usmjerivač koji je funkcionalno vrlo sličan pfSense-u. Očita razlika za većinu, čak i iskusnih korisnika i sistemskih administratora, bit će potpuno redizajnirano sučelje. Druga razlika je skup dodataka u spremištu dodatnog softvera za instalaciju. Zbog sličnosti, teško je izdvojiti pojedinačne značajke OPNSense-a i korisnik može napraviti izbor na temelju praktičnosti GUI-ja ili preferencija u skupu dostupnih dodataka.

Umjesto zaključka

Iz brzog pregleda funkcionalnosti pfSense-a i njegovog forka OPNSense-a, postaje jasno da je ovaj softverski usmjerivač usmjeren na vrlo složene infrastrukturne projekte, uključujući ne samo udaljene servere i usluge, već i lokalne urede. Mehanizmi zaštite korisnika i autentifikacije prikladni su za izgradnju kako male hibridne uredske infrastrukture tako i velike korporativne mreže s desetinama udaljenih servera, zaposlenika i uredskih podružnica.

Nataliya Oteir

Copywriter

Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.