Open-source może więcej. Router OS alternatywą dla zdalnej infrastruktury

by Nataliya Oteir

Czytaj 4 min.

Organizacja nowoczesnej infrastruktury zdalnego biura obejmuje wykorzystanie wirtualizatora, takiego jak Proxmox lub VMWare na serwerach, co wynika z potrzeby wdrożenia wielu maszyn wirtualnych o różnych poziomach dostępu, ograniczonej komunikacji między serwerami i dostępu do sieci globalnej. Najprostszą opcją kontroli dostępu do maszyny wirtualnej wewnątrz wirtualizatora jest użycie routera oprogramowania brzegowego z potężną zaporą sieciową, który jest zainstalowany na jednej z maszyn wirtualnych na serwerze.

Router OS jest zdecydowanym zwycięzcą wśród routerów programowych. Nie posiada on jednak w pełni darmowej wersji. Istnieje kilka alternatywnych rozwiązań open-source opartych na FreeBSD - pfSense i OPNSense. Są to kompleksowe programowe routery-firewalle z pełnym zestawem modułów i wtyczek niezbędnych do zarządzania siecią i dostępem do urządzeń końcowych zdalnej infrastruktury.

pfSense jest logiczną kontynuacją projektu m0n0wall

pfSense jest wspierany i rozwijany przez Netgate jako jeden z jej podstawowych produktów. Router programowy nie wymaga płatności i może być używany całkowicie bezpłatnie, ponieważ produkt ten jest dostarczany na licencji Apache 2.0. Dostępny jako obraz ISO i może być zainstalowany na maszynie wirtualnej z bardzo skromnymi parametrami.

Funkcje pfSense

Należy pamiętać, że ten produkt ma wiele wstępnie zainstalowanych modułów, a także umożliwia instalację dodatkowych wtyczek, które rozszerzają standardowe możliwości routera.

Firewall

Oto kilka głównych cech, które ujawniają możliwości tego modułu:

stanowa inspekcja pakietów (SPI), która umożliwia filtrowanie połączeń sieciowych
filtrowanie w oparciu o adresy IP i DNS wraz z ochroną antyspoofingową
obsługa reguł opartych na czasie i ograniczaniu liczby połączeń
włączone dwukierunkowe mapowanie NAT

Router

Z funkcji wymienionych poniżej jasno wynika, że ten komponent pfSense jest całkowicie samowystarczalny:

obsługuje wiele adresów IP na interfejs
obsługa wielu sieci WAN jest włączona w celu zapewnienia odporności na awarie i/lub równoważenia obciążenia
zintegrowany serwer PPPoE
obsługiwany jest routing oparty na zasadach
dozwolone jest jednoczesne działanie routingu IPv4 i IPv6

VPN

Być może jeden z najważniejszych elementów routera programowego dla infrastruktury zdalnej:

obsługiwane są najpopularniejsze protokoły i technologie wirtualnych sieci prywatnych - IPsec, OpenVPN, WireGuard
możliwe jest zorganizowanie połączenia site-to-site z szyfrowaniem SSL
konfiguracje dla klientów VPN w różnych systemach operacyjnych są dostępne w GUI
istnieje wsparcie dla multi-tunnelingu z przełączaniem awaryjnym między tunelami
dostępne jest uwierzytelnianie RADIUS lub LDAP, co jest wygodne, jeśli masz AD w infrastrukturze.

Zapobieganie atakom

W kontekście współczesnych cyberzagrożeń niewątpliwą zaletą pfSense jest blok funkcji i mechanizmów do analizy przechodzącego ruchu:

Snort wykorzystywany jest jako analizator pakietów (system IDS/IPS)
analiza i wykrywanie aplikacji L7 jest wspierane dzięki integracji bazy danych z aktualizowaną listą zagrożeń
możliwa jest indywidualna konfiguracja systemu bezpieczeństwa na wybranym interfejsie z głęboką inspekcją pakietów.

Inne funkcje pfSense

Wymienienie wszystkich modułów i usług zajęłoby więcej niż jedną stronę bloga, ale dla bardziej obiektywnego zrozumienia możliwości routera programowego możemy wyróżnić następujące:

dostępność standardowych usług sieciowych - serwer DHCP, przekierowanie DNS
łatwość konfigurowania kopii zapasowych i cofania się do punktów przywracania
pojedyncze repozytorium aktualizacji z możliwością aktualizacji za pomocą kliknięcia przycisku
możliwość kształtowania ruchu w zależności od prędkości kanału lub ilości danych
dzięki wygodnemu graficznemu interfejsowi użytkownika dostępny jest czytelny dziennik tego, co dzieje się na routerze
możliwe jest otrzymywanie powiadomień z routera przez e-mail

OPNSense - fork, który może przewyższyć oryginalny kod

OPNSense to programowy router, który funkcjonalnie jest bardzo podobny do pfSense. Oczywistą różnicą dla większości, nawet doświadczonych użytkowników i administratorów systemu, będzie całkowicie przeprojektowany interfejs. Kolejną różnicą jest zestaw wtyczek i dodatków w repozytorium dodatkowego oprogramowania do instalacji. Ze względu na podobieństwo, trudno jest wyróżnić poszczególne cechy OPNSense, a użytkownik może dokonać wyboru na podstawie wygody GUI lub preferencji w zestawie dostępnych wtyczek.

Zamiast podsumowania

Z szybkiego przeglądu funkcjonalności pfSense i jego rozwidlenia OPNSense staje się jasne, że ten router programowy jest przeznaczony do bardzo złożonych projektów infrastrukturalnych, obejmujących nie tylko zdalne serwery i usługi, ale także lokalne biura. Mechanizmy ochrony i uwierzytelniania użytkowników nadają się zarówno do budowy małej hybrydowej infrastruktury biurowej, jak i dużej sieci korporacyjnej z dziesiątkami zdalnych serwerów, pracowników i oddziałów biurowych.

Nataliya Oteir

Copywriter

Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.