5
Организация современной удаленной офисной инфраструктуры предполагает использование на серверах виртуализатора вроде Proxmox или VMWare, что обусловлено необходимостью развертывания ряда виртуальных машин с различным уровнем доступа, ограниченной межсерверной коммуникацией и доступом в глобальную сеть. Наиболее простым вариантом контроля доступа к виртуальной машине внутри виртуализатора является использование пограничного программного роутера с мощным брандмауэром, который устанавливается на одну из виртуальных машин на сервере.
Router OS — признанный лидер среди программных роутеров. Однако не имеет полноценной бесплатной версии. Существует несколько альтернативных open-source решений, основанных на FreeBSD — pfSense и OPNSense. Это комплексные в своем понимании программные роутеры-брандмауэры с полным набором модулей и плагинов, необходимых для управления сетью и доступом к конечным устройствам удаленной инфраструктуры.
pfSense — логичное продолжение проекта m0n0wall
pfSense поддерживается и разрабатывается компанией Netgate в качестве одного из основных продуктов. Программный роутер не требует оплаты и может использоваться совершенно бесплатно ведь данный продукт поставляется под лицензией Apache 2.0. Доступен в виде ISO образа и может быть установлен на виртуальную машину с весьма скромными параметрами.
Возможности pfSense
Отметим, что данный продукт имеет множество предустановленных модулей, а также разрешает установку дополнительных плагинов, расширяющих стандартные возможности роутера.
Брандмауэр
Приведем лишь несколько основных характеристик, раскрывающие возможности данного модуля:
- проверка пакетов с отслеживанием состояния (SPI), что позволяет фильтровать сетевые подключения
- фильтрация на основе IP адресов и DNS вместе с защитой от спуфинга
- есть поддержка правил, основанных на времени и ограничении количества подключений
- включено двунаправленное сопоставление NAT
Роутер
Из указанных ниже возможностей становится понятно, что данный компонент pfSense вполне самодостаточен:
- поддерживается несколько IP адресов на интерфейс
- включена поддержка нескольких WAN для отказоустойчивости и/или балансировки нагрузки
- интегрирован сервер PPPoE
- поддерживется маршрутизация на основе политик
- допускается одновременная работа IPv4 и IPv6 маршрутизации
VPN
Пожалуй, один из важнейших компонентов программного роутера для организации удаленной инфраструктуры:
- поддерживаются наиболее популярные и востребованные протоколы и технологии виртуальной частной сети — IPsec, OpenVPN, WireGuard
- есть возможность организации подключения «сеть-сеть» с SSL-шифрованием
- в GUI подготавливаются конфигурации для VPN клиентов на разных ОС
- есть поддержка мульти туннелирования с аварийным переключением между туннелями
- доступна аутентификация RADIUS или LDAP, что удобно при наличии AD в рамках инфраструктуры
Предотвращение атак
В условиях современных киберугроз подобный блок функций и механизмов анализа проходящего трафика — это несомненное преимущество pfSense:
- используется Snort в качестве анализатора пакетов (система IDS/IPS)
- поддерживается анализ и обнаружение L7 приложений благодаря интеграции базы данных с обновляемым списком угроз
- есть возможность настройки системы безопасности индивидуально на выбранном интерфейсе с глубокой проверкой пакетов
Другие особенности pfSense
Перечисление всех модулей и служб займет не дну страницу блога, но для более объективного понимания возможностей программного роутера можно выделить следующее:
- наличие стандартных сетевых сервисов — DHCP сервер, DNS форвардинг
- простота настройки бэкапов и откат до точек восстановления
- единый репозиторий обновлений с возможностью апдейта нажатием одной кнопки
- поддерживается шейпер трафика по скорости канала или объему данных
- благодаря удобному GUI предоставляется удобочитаемый лог происходящего на роутере
- есть возможность получать уведомления от роутера по почте
OPNSense — форк pfSense, который может превзойти исходный код
OPNSense — функционально максимально похожий на pfSense программный роутер. Очевидным отличием для большинства даже опытных пользователей и системных администраторов станет полностью переработанный интерфейс. Другим отличием является набор плагинов и дополнений в репозитории дополнительного ПО для установки. Ввиду сильной схожести трудно выделить отдельные особенности OPNSense и пользователь может делать выбор исходя из удобства графического интерфейса или предпочтений в наборе доступных плагинов.
Вместо заключения
Из беглого обзора функционала pfSense и его форма OPNSense становится ясно, что данный программный роутер ориентирован на весьма сложные инфраструктурные проекты, включающие в себя не только удаленные серверы и сервисы, но и локальные офисы. Механизмы защиты и аутентификации пользователей подойдут для построения как небольшой гибридной офисной инфраструктуры, так и для крупной корпоративной сети с десятками удаленных серверов, сотрудников и офисных филиалов. Если вы хотите попробовать новый программный продукт и построить удаленную инфраструктуру, то компания Introserv может предложить вам большой выбор серверов, а также квалифицированную поддержку на любом этапе построения удаленной сети.
