Open-source może więcej. Router OS alternatywą dla zdalnej infrastruktury

Open-source może więcej. Router OS alternatywą dla zdalnej infrastruktury

Czytaj 5 minuta

Organizacja nowoczesnej infrastruktury zdalnego biura obejmuje wykorzystanie wirtualizatora, takiego jak Proxmox lub VMWare na serwerach, co wynika z potrzeby wdrożenia wielu maszyn wirtualnych o różnych poziomach dostępu, ograniczonej komunikacji między serwerami i dostępu do sieci globalnej. Najprostszą opcją kontroli dostępu do maszyny wirtualnej wewnątrz wirtualizatora jest użycie routera oprogramowania brzegowego z potężną zaporą sieciową, który jest zainstalowany na jednej z maszyn wirtualnych na serwerze.

Router OS jest zdecydowanym zwycięzcą wśród routerów programowych. Nie posiada on jednak w pełni darmowej wersji. Istnieje kilka alternatywnych rozwiązań open-source opartych na FreeBSD - pfSense i OPNSense. Są to kompleksowe programowe routery-firewalle z pełnym zestawem modułów i wtyczek niezbędnych do zarządzania siecią i dostępem do urządzeń końcowych zdalnej infrastruktury.

pfSense jest logiczną kontynuacją projektu m0n0wall

pfSense jest wspierany i rozwijany przez Netgate jako jeden z jej podstawowych produktów. Router programowy nie wymaga płatności i może być używany całkowicie bezpłatnie, ponieważ produkt ten jest dostarczany na licencji Apache 2.0. Dostępny jako obraz ISO i może być zainstalowany na maszynie wirtualnej z bardzo skromnymi parametrami.

Funkcje pfSense

Należy pamiętać, że ten produkt ma wiele wstępnie zainstalowanych modułów, a także umożliwia instalację dodatkowych wtyczek, które rozszerzają standardowe możliwości routera.

Firewall

Oto kilka głównych cech, które ujawniają możliwości tego modułu:

  • stanowa inspekcja pakietów (SPI), która umożliwia filtrowanie połączeń sieciowych
  • filtrowanie w oparciu o adresy IP i DNS wraz z ochroną antyspoofingową
  • obsługa reguł opartych na czasie i ograniczaniu liczby połączeń
  • włączone dwukierunkowe mapowanie NAT

Router

Z funkcji wymienionych poniżej jasno wynika, że ten komponent pfSense jest całkowicie samowystarczalny:

  • obsługuje wiele adresów IP na interfejs
  • obsługa wielu sieci WAN jest włączona w celu zapewnienia odporności na awarie i/lub równoważenia obciążenia
  • zintegrowany serwer PPPoE
  • obsługiwany jest routing oparty na zasadach
  • dozwolone jest jednoczesne działanie routingu IPv4 i IPv6

VPN

Być może jeden z najważniejszych elementów routera programowego dla infrastruktury zdalnej:

  • obsługiwane są najpopularniejsze i najbardziej popularne protokoły i technologie wirtualnych sieci prywatnych - IPsec, OpenVPN, WireGuard
  • możliwe jest zorganizowanie połączenia site-to-site z szyfrowaniem SSL
  • konfiguracje dla klientów VPN w różnych systemach operacyjnych są dostępne w GUI
  • istnieje wsparcie dla multi-tunnelingu z przełączaniem awaryjnym między tunelami
  • dostępne jest uwierzytelnianie RADIUS lub LDAP, co jest wygodne w przypadku posiadania AD w infrastrukturze.

Zapobieganie atakom

W kontekście współczesnych cyberzagrożeń niewątpliwą zaletą pfSense jest blok funkcji i mechanizmów do analizy przechodzącego ruchu:

  • Snort wykorzystywany jest jako analizator pakietów (system IDS/IPS)
  • analiza i wykrywanie aplikacji L7 jest wspierane dzięki integracji bazy danych z aktualizowaną listą zagrożeń
  • możliwa jest indywidualna konfiguracja systemu bezpieczeństwa na wybranym interfejsie z głęboką inspekcją pakietów.

Inne funkcje pfSense

Wymienienie wszystkich modułów i usług zajęłoby więcej niż jedną stronę bloga, ale dla bardziej obiektywnego zrozumienia możliwości routera programowego możemy wyróżnić następujące:

  • dostępność standardowych usług sieciowych - serwer DHCP, przekierowanie DNS
  • łatwość konfigurowania kopii zapasowych i cofania się do punktów przywracania
  • pojedyncze repozytorium aktualizacji z możliwością aktualizacji za pomocą kliknięcia przycisku
  • możliwość kształtowania ruchu w zależności od prędkości kanału lub ilości danych
  • dzięki wygodnemu graficznemu interfejsowi użytkownika dostępny jest czytelny dziennik tego, co dzieje się na routerze
  • możliwe jest otrzymywanie powiadomień z routera przez e-mail

OPNSense - fork, który może przewyższyć oryginalny kod

OPNSense to programowy router, który funkcjonalnie jest bardzo podobny do pfSense. Oczywistą różnicą dla większości, nawet doświadczonych użytkowników i administratorów systemu, będzie całkowicie przeprojektowany interfejs. Kolejną różnicą jest zestaw wtyczek i dodatków w repozytorium dodatkowego oprogramowania do instalacji. Ze względu na podobieństwo, trudno jest wyróżnić poszczególne cechy OPNSense, a użytkownik może dokonać wyboru na podstawie wygody GUI lub preferencji w zestawie dostępnych wtyczek.

Zamiast podsumowania

Z szybkiego przeglądu funkcjonalności pfSense i jego rozwidlenia OPNSense staje się jasne, że ten router programowy jest przeznaczony do bardzo złożonych projektów infrastrukturalnych, obejmujących nie tylko zdalne serwery i usługi, ale także lokalne biura. Mechanizmy ochrony i uwierzytelniania użytkowników nadają się zarówno do budowy małej hybrydowej infrastruktury biurowej, jak i dużej sieci korporacyjnej z dziesiątkami zdalnych serwerów, pracowników i oddziałów biurowych.