Open source - не приговор. Альтернатива Router OS для удаленной инфраструктуры

Open source - не приговор. Альтернатива Router OS для удаленной инфраструктуры

Читать 5 минут

Организация современной удаленной офисной инфраструктуры предполагает использование на серверах виртуализатора вроде Proxmox или VMWare, что обусловлено необходимостью развертывания ряда виртуальных машин с различным уровнем доступа, ограниченной межсерверной коммуникацией и доступом в глобальную сеть. Наиболее простым вариантом контроля доступа к виртуальной машине внутри виртуализатора является использование пограничного программного роутера с мощным брандмауэром, который устанавливается на одну из виртуальных машин на сервере.

Router OS — признанный лидер среди программных роутеров. Однако не имеет полноценной бесплатной версии. Существует несколько альтернативных open-source решений, основанных на FreeBSD — pfSense и OPNSense. Это комплексные в своем понимании программные роутеры-брандмауэры с полным набором модулей и плагинов, необходимых для управления сетью и доступом к конечным устройствам удаленной инфраструктуры.

pfSense — логичное продолжение проекта m0n0wall

pfSense поддерживается и разрабатывается компанией Netgate в качестве одного из основных продуктов. Программный роутер не требует оплаты и может использоваться совершенно бесплатно ведь данный продукт поставляется под лицензией Apache 2.0. Доступен в виде ISO образа и может быть установлен на виртуальную машину с весьма скромными параметрами.

Open source - не приговор. Альтернатива Router OS для удаленной инфраструктуры

Возможности pfSense

Отметим, что данный продукт имеет множество предустановленных модулей, а также разрешает установку дополнительных плагинов, расширяющих стандартные возможности роутера.

Брандмауэр 

Приведем лишь несколько основных характеристик, раскрывающие возможности данного модуля:

  • проверка пакетов с отслеживанием состояния (SPI), что позволяет фильтровать сетевые подключения
  • фильтрация на основе IP адресов и DNS вместе с защитой от спуфинга
  • есть поддержка правил, основанных на времени и ограничении количества подключений
  • включено двунаправленное сопоставление NAT

Роутер

Из указанных ниже возможностей становится понятно, что данный компонент pfSense вполне самодостаточен:

  • поддерживается несколько IP адресов на интерфейс
  • включена поддержка нескольких WAN для отказоустойчивости и/или балансировки нагрузки
  • интегрирован сервер PPPoE
  • поддерживется маршрутизация на основе политик
  • допускается одновременная работа IPv4 и IPv6 маршрутизации

VPN

Пожалуй, один из важнейших компонентов программного роутера для организации удаленной инфраструктуры:

  • поддерживаются наиболее популярные и востребованные протоколы и технологии виртуальной частной сети — IPsec, OpenVPN, WireGuard
  • есть возможность организации подключения «сеть-сеть» с SSL-шифрованием
  • в GUI подготавливаются конфигурации для VPN клиентов на разных ОС
  • есть поддержка мульти туннелирования с аварийным переключением между туннелями
  • доступна аутентификация RADIUS или LDAP, что удобно при наличии AD в рамках инфраструктуры

Предотвращение атак

В условиях современных киберугроз подобный блок функций и механизмов анализа проходящего трафика — это несомненное преимущество pfSense:

  • используется Snort в качестве анализатора пакетов (система IDS/IPS)
  • поддерживается анализ и обнаружение L7 приложений благодаря интеграции базы данных с обновляемым списком угроз
  • есть возможность настройки системы безопасности индивидуально на выбранном интерфейсе с глубокой проверкой пакетов

Другие особенности pfSense

Перечисление всех модулей и служб займет не дну страницу блога, но для более объективного понимания возможностей программного роутера можно выделить следующее:

  • наличие стандартных сетевых сервисов — DHCP сервер, DNS форвардинг
  • простота настройки бэкапов и откат до точек восстановления
  • единый репозиторий обновлений с возможностью апдейта нажатием одной кнопки
  • поддерживается шейпер трафика по скорости канала или объему данных
  • благодаря удобному GUI предоставляется удобочитаемый лог происходящего на роутере
  • есть возможность получать уведомления от роутера по почте

OPNSense — форк pfSense, который может превзойти исходный код

OPNSense — функционально максимально похожий на pfSense программный роутер. Очевидным отличием для большинства даже опытных пользователей и системных администраторов станет полностью переработанный интерфейс. Другим отличием является набор плагинов и дополнений в репозитории дополнительного ПО для установки. Ввиду сильной схожести трудно выделить отдельные особенности OPNSense и пользователь может делать выбор исходя из удобства графического интерфейса или предпочтений в наборе доступных плагинов.

Open source - не приговор. Альтернатива Router OS для удаленной инфраструктуры

Вместо заключения

Из беглого обзора функционала pfSense и его форма OPNSense становится ясно, что данный программный роутер ориентирован на весьма сложные инфраструктурные проекты, включающие в себя не только удаленные серверы и сервисы, но и локальные офисы. Механизмы защиты и аутентификации пользователей подойдут для построения как небольшой гибридной офисной инфраструктуры, так и для крупной корпоративной сети с десятками удаленных серверов, сотрудников и офисных филиалов. Если вы хотите попробовать новый программный продукт и построить удаленную инфраструктуру, то компания Introserv может предложить вам большой выбор серверов, а также квалифицированную поддержку на любом этапе построения удаленной сети.

VPSServerSL

Показать ещё