L'open-source può fare di più. Alternativa al sistema operativo del router per l'infrastruttura remota
L'organizzazione di una moderna infrastruttura di ufficio remoto prevede l'utilizzo di un virtualizzatore come Proxmox o VMWare sui server, il che è dovuto alla necessità di distribuire un certo numero di macchine virtuali con diversi livelli di accesso, comunicazione inter-server limitata e accesso alla rete globale. L'opzione più semplice per controllare l'accesso a una macchina virtuale all'interno di un virtualizzatore è quella di utilizzare un router software edge con un potente firewall, installato su una delle macchine virtuali del server.
Router OS è il chiaro vincitore tra i router software. Tuttavia, non dispone di una versione completamente gratuita. Esistono diverse soluzioni alternative open-source basate su FreeBSD - pfSense e OPNSense. Si tratta di router-firewall software completi con un set completo di moduli e plug-in necessari per gestire la rete e l'accesso ai dispositivi finali dell'infrastruttura remota.
pfSense è la logica continuazione del progetto m0n0wall
pfSense è supportato e sviluppato da Netgate come uno dei suoi prodotti principali. Il router software non richiede alcun pagamento e può essere utilizzato in modo completamente gratuito, in quanto questo prodotto è fornito sotto la licenza Apache 2.0. È disponibile come immagine ISO e può essere installato su una macchina virtuale con parametri molto modesti.
Caratteristiche di PfSense
Si noti che questo prodotto ha molti moduli preinstallati e permette anche l'installazione di plugin aggiuntivi che espandono le capacità standard del router.
Firewall
Ecco alcune delle caratteristiche principali che rivelano le capacità di questo modulo:
- stateful packet inspection (SPI), che permette di filtrare le connessioni di rete
- filtraggio basato su indirizzi IP e DNS insieme alla protezione anti-spoofing
- è presente il supporto per regole basate sul tempo e sulla limitazione del numero di connessioni
- Mappatura NAT bidirezionale abilitata
Router
Dalle caratteristiche elencate di seguito, appare chiaro che questo componente di pfSense è completamente autosufficiente:
- supporta più indirizzi IP per interfaccia
- il supporto per più WAN è abilitato per la tolleranza ai guasti e/o il bilanciamento del carico
- Server PPPoE integrato
- È supportato il routing basato su politich
- È consentito il funzionamento simultaneo del routing IPv4 e IPv6
VPN
Forse uno dei componenti più importanti di un router software per l'infrastruttura remota:
- sono supportati i protocolli e le tecnologie di rete privata virtuale più diffusi e popolari - IPsec, OpenVPN, WireGuard
- È possibile organizzare una connessione da sito a sito con crittografia SSL
- La GUI consente di configurare i client VPN su diversi sistemi operativi
- E' supportato il multi-tunneling con failover tra i tunnel
- È disponibile l'autenticazione RADIUS o LDAP, comoda se si dispone di AD all'interno dell'infrastruttura
Prevenzione degli attacchi
Nel contesto delle moderne minacce cibernetiche, un blocco di funzioni e meccanismi per l'analisi del traffico in transito è un indubbio vantaggio di pfSense:
L'autenticazione RADIO o LADIAP è disponibile, il che è comodo se si dispone di AD all'interno dell'infrastruttura
- Snort è utilizzato come analizzatore di pacchetti (sistema IDS/IPS)
- l'analisi e il rilevamento delle applicazioni L7 è supportato grazie all'integrazione di un database con una lista aggiornata di minacce
- è possibile configurare il sistema di sicurezza individualmente sull'interfaccia selezionata con deep packet inspection .
- disponibilità di servizi di rete standard - server DHCP, DNS forwarding
- facilità di impostazione dei backup e di rollback dei punti di ripristino
- un unico repository di aggiornamento con la possibilità di aggiornare con un semplice clic
- Il traffic shaper è supportato dalla velocità del canale o dal volume dei dati
- grazie a una comoda interfaccia grafica, viene fornito un registro leggibile di ciò che accade sul router
- è possibile ricevere notifiche dal router via e-mail
Altre caratteristiche di pfSense
L'elenco di tutti i moduli e i servizi occuperebbe più di una pagina del blog, ma per una comprensione più oggettiva delle capacità del router software, possiamo evidenziare i seguenti:
OPNSense un fork che può superare il codice originale
OPNSense è un router software funzionalmente molto simile a pfSense. La differenza più evidente per i più, anche per gli utenti esperti e gli amministratori di sistema, sarà un'interfaccia completamente ridisegnata. Un'altra differenza è l'insieme di plugin e componenti aggiuntivi presenti nel repository del software aggiuntivo da installare. Data la somiglianza, è difficile individuare le singole caratteristiche di OPNSense e l'utente può fare una scelta in base alla comodità dell'interfaccia grafica o alle preferenze nell'insieme dei plugin disponibili.
Invece di una conclusione
Da un rapido esame delle funzionalità di pfSense e del suo fork OPNSense, risulta chiaro che questo router software è rivolto a progetti infrastrutturali molto complessi, che comprendono non solo server e servizi remoti, ma anche uffici locali. La protezione degli utenti e i meccanismi di autenticazione sono adatti sia per la costruzione di una piccola infrastruttura di ufficio ibrida che per una grande rete aziendale con decine di server remoti, dipendenti e filiali.