L'open-source può fare di più. Alternativa al sistema operativo del router per l'infrastruttura remota

L'open-source può fare di più. Alternativa al sistema operativo del router per l'infrastruttura remota

Nataliya Oteir Leggi 7 minuti

Soluzione potente con interfaccia di gestione intuitiva

L'organizzazione di una moderna infrastruttura di ufficio remoto prevede l'utilizzo di un virtualizzatore come Proxmox o VMWare sui server, il che è dovuto alla necessità di distribuire un certo numero di macchine virtuali con diversi livelli di accesso, comunicazione inter-server limitata e accesso alla rete globale. L'opzione più semplice per controllare l'accesso a una macchina virtuale all'interno di un virtualizzatore è quella di utilizzare un router software edge con un potente firewall, installato su una delle macchine virtuali del server.

Router OS è il chiaro vincitore tra i router software. Tuttavia, non dispone di una versione completamente gratuita. Esistono diverse soluzioni alternative open-source basate su FreeBSD - pfSense e OPNSense. Si tratta di router-firewall software completi con un set completo di moduli e plug-in necessari per gestire la rete e l'accesso ai dispositivi finali dell'infrastruttura remota.

pfSense è la logica continuazione del progetto m0n0wall

pfSense è supportato e sviluppato da Netgate come uno dei suoi prodotti principali. Il router software non richiede alcun pagamento e può essere utilizzato in modo completamente gratuito, in quanto questo prodotto è fornito sotto la licenza Apache 2.0. È disponibile come immagine ISO e può essere installato su una macchina virtuale con parametri molto modesti.

Caratteristiche di PfSense

Si noti che questo prodotto ha molti moduli preinstallati e permette anche l'installazione di plugin aggiuntivi che espandono le capacità standard del router.

Firewall

Ecco alcune delle caratteristiche principali che rivelano le capacità di questo modulo:

  • stateful packet inspection (SPI), che permette di filtrare le connessioni di rete
  • filtraggio basato su indirizzi IP e DNS insieme alla protezione anti-spoofing
  • è presente il supporto per regole basate sul tempo e sulla limitazione del numero di connessioni
  • Mappatura NAT bidirezionale abilitata

Router

Dalle caratteristiche elencate di seguito, appare chiaro che questo componente di pfSense è completamente autosufficiente:

  • supporta più indirizzi IP per interfaccia
  • il supporto per più WAN è abilitato per la tolleranza ai guasti e/o il bilanciamento del carico
  • Server PPPoE integrato
  • È supportato il routing basato su politich
  • È consentito il funzionamento simultaneo del routing IPv4 e IPv6

VPN

Forse uno dei componenti più importanti di un router software per l'infrastruttura remota:

  • sono supportati i protocolli e le tecnologie di rete privata virtuale più diffusi e popolari - IPsec, OpenVPN, WireGuard
  • È possibile organizzare una connessione da sito a sito con crittografia SSL
  • La GUI consente di configurare i client VPN su diversi sistemi operativi
  • E' supportato il multi-tunneling con failover tra i tunnel
  • È disponibile l'autenticazione RADIUS o LDAP, comoda se si dispone di AD all'interno dell'infrastruttura

Prevenzione degli attacchi

Nel contesto delle moderne minacce cibernetiche, un blocco di funzioni e meccanismi per l'analisi del traffico in transito è un indubbio vantaggio di pfSense:

L'autenticazione RADIO o LADIAP è disponibile, il che è comodo se si dispone di AD all'interno dell'infrastruttura

    • Snort è utilizzato come analizzatore di pacchetti (sistema IDS/IPS)
    • l'analisi e il rilevamento delle applicazioni L7 è supportato grazie all'integrazione di un database con una lista aggiornata di minacce
    • è possibile configurare il sistema di sicurezza individualmente sull'interfaccia selezionata con deep packet inspection
    • .

    Altre caratteristiche di pfSense

    L'elenco di tutti i moduli e i servizi occuperebbe più di una pagina del blog, ma per una comprensione più oggettiva delle capacità del router software, possiamo evidenziare i seguenti:

    • disponibilità di servizi di rete standard - server DHCP, DNS forwarding
    • facilità di impostazione dei backup e di rollback dei punti di ripristino
    • un unico repository di aggiornamento con la possibilità di aggiornare con un semplice clic
    • Il traffic shaper è supportato dalla velocità del canale o dal volume dei dati
    • grazie a una comoda interfaccia grafica, viene fornito un registro leggibile di ciò che accade sul router
    • è possibile ricevere notifiche dal router via e-mail

    OPNSense un fork che può superare il codice originale

    OPNSense è un router software funzionalmente molto simile a pfSense. La differenza più evidente per i più, anche per gli utenti esperti e gli amministratori di sistema, sarà un'interfaccia completamente ridisegnata. Un'altra differenza è l'insieme di plugin e componenti aggiuntivi presenti nel repository del software aggiuntivo da installare. Data la somiglianza, è difficile individuare le singole caratteristiche di OPNSense e l'utente può fare una scelta in base alla comodità dell'interfaccia grafica o alle preferenze nell'insieme dei plugin disponibili.

    Invece di una conclusione

    Da un rapido esame delle funzionalità di pfSense e del suo fork OPNSense, risulta chiaro che questo router software è rivolto a progetti infrastrutturali molto complessi, che comprendono non solo server e servizi remoti, ma anche uffici locali. La protezione degli utenti e i meccanismi di autenticazione sono adatti sia per la costruzione di una piccola infrastruttura di ufficio ibrida che per una grande rete aziendale con decine di server remoti, dipendenti e filiali.

Quanto è stato utile questo post?

Clicca su una stella per votarla!
Рейтинг: 0/5 - 0 голосов