5
L'organizzazione di una moderna infrastruttura di ufficio remoto prevede l'uso di un virtualizzatore come Proxmox o VMWare sui server, il che è dovuto alla necessità di distribuire un certo numero di macchine virtuali con diversi livelli di accesso, comunicazione inter-server limitata e accesso alla rete globale. L'opzione più semplice per controllare l'accesso a una macchina virtuale all'interno di un virtualizzatore è quella di utilizzare un router software edge con un potente firewall, installato su una delle macchine virtuali del server.
Router OS è il chiaro vincitore tra i router software. Tuttavia, non ha una versione completamente gratuita. Esistono diverse soluzioni alternative open-source basate su FreeBSD: pfSense e OPNSense. Si tratta di router-firewall software completi, con un set completo di moduli e plug-in necessari per gestire la rete e l'accesso ai dispositivi finali dell'infrastruttura remota.
pfSense è la logica continuazione del progetto m0n0wall.
pfSense è supportato e sviluppato da Netgate come uno dei suoi prodotti principali. Il router software non richiede alcun pagamento e può essere utilizzato in modo completamente gratuito, in quanto questo prodotto è fornito sotto la licenza Apache 2.0. È disponibile come immagine ISO e può essere installato su una macchina virtuale con parametri molto modesti.
Caratteristiche di pfSense
Si noti che questo prodotto ha molti moduli preinstallati e permette anche l'installazione di plugin aggiuntivi che espandono le capacità standard del router.
Firewall
Ecco alcune caratteristiche principali che rivelano le capacità di questo modulo:
- Stateful Packet Inspection (SPI), che consente di filtrare le connessioni di rete.
- filtraggio basato su indirizzi IP e DNS con protezione anti-spoofing
- supporto di regole basate sul tempo e sulla limitazione del numero di connessioni
- mappatura NAT bidirezionale abilitata
Router
Dalle caratteristiche elencate di seguito, risulta chiaro che questo componente di pfSense è completamente autosufficiente:
- supporta più indirizzi IP per interfaccia
- supporto per più WAN abilitato per la tolleranza agli errori e/o il bilanciamento del carico
- server PPPoE integrato
- è supportato il routing basato su policy
- è consentito il funzionamento simultaneo del routing IPv4 e IPv6
VPN
Forse uno dei componenti più importanti di un router software per infrastrutture remote:
- sono supportati i protocolli e le tecnologie di rete privata virtuale più diffusi e popolari - IPsec, OpenVPN, WireGuard
- è possibile organizzare una connessione da sito a sito con crittografia SSL
- le configurazioni per i client VPN su diversi sistemi operativi sono disponibili nella GUI
- è presente il supporto per il multi-tunneling con failover tra i tunnel
- È disponibile l'autenticazione RADIUS o LDAP, comoda se si dispone di AD all'interno dell'infrastruttura.
Prevenzione degli attacchi
Nel contesto delle moderne minacce informatiche, un blocco di funzioni e meccanismi per l'analisi del traffico in transito è un indubbio vantaggio di pfSense:
- Snort viene utilizzato come analizzatore di pacchetti (sistema IDS/IPS)
- l'analisi e il rilevamento delle applicazioni L7 sono supportati grazie all'integrazione di un database con un elenco aggiornato delle minacce
- è possibile configurare il sistema di sicurezza individualmente sull'interfaccia selezionata con deep packet inspection
Altre caratteristiche di pfSense
L'elenco di tutti i moduli e servizi occuperebbe più di una pagina del blog, ma per una comprensione più oggettiva delle funzionalità del router software, possiamo evidenziare le seguenti:
- disponibilità di servizi di rete standard - server DHCP, inoltro DNS
- facilità di impostazione dei backup e del rollback dei punti di ripristino
- un unico repository di aggiornamenti con la possibilità di aggiornarli con un semplice click
- il traffic shaper è supportato dalla velocità del canale o dal volume dei dati
- grazie a una comoda interfaccia grafica, viene fornito un registro leggibile di ciò che accade sul router
- è possibile ricevere notifiche dal router via e-mail
OPNSense - un fork che può superare il codice originale
OPNSense è un router software funzionalmente molto simile a pfSense. La differenza più evidente per i più, anche per gli utenti esperti e gli amministratori di sistema, sarà un'interfaccia completamente ridisegnata. Un'altra differenza è l'insieme di plugin e componenti aggiuntivi presenti nel repository del software aggiuntivo da installare. Data la somiglianza, è difficile individuare le singole caratteristiche di OPNSense e l'utente può scegliere in base alla comodità dell'interfaccia grafica o alle preferenze nell'insieme dei plugin disponibili.
Invece di una conclusione
Da un rapido esame delle funzionalità di pfSense e del suo fork OPNSense, risulta chiaro che questo router software è destinato a progetti infrastrutturali molto complessi, che comprendono non solo server e servizi remoti, ma anche uffici locali. I meccanismi di protezione e autenticazione degli utenti sono adatti sia per la costruzione di una piccola infrastruttura di ufficio ibrida che per una grande rete aziendale con decine di server remoti, dipendenti e filiali.
