Odprta koda lahko naredi več. Alternativa za usmerjevalnik OS za oddaljeno infrastrukturo

by Nataliya Oteir

Preberite 4 min.

Organizacija sodobne infrastrukture oddaljene pisarne vključuje uporabo virtualizatorja, kot sta Proxmox ali VMWare, na strežnikih, kar je posledica potrebe po namestitvi številnih virtualnih strojev z različnimi ravnmi dostopa, omejeno komunikacijo med strežniki in dostopom do globalnega omrežja. Najpreprostejša možnost za nadzor dostopa do virtualnega stroja znotraj virtualizatorja je uporaba robnega programskega usmerjevalnika z zmogljivim požarnim zidom, ki je nameščen na enem od virtualnih strojev v strežniku.

Operacijski sistem Router OS je jasen zmagovalec med programskimi usmerjevalniki. Vendar nima brezplačne različice. Na voljo je več alternativnih odprtokodnih rešitev, ki temeljijo na FreeBSD - pfSense in OPNSense. To sta celovita programska usmerjevalnika-zaporna zidova s celotnim naborom modulov in vtičnikov, potrebnih za upravljanje omrežja in dostopa do končnih naprav oddaljene infrastrukture.

pfSense je logično nadaljevanje projekta m0n0wall

pfSense podpira in razvija podjetje Netgate kot enega svojih ključnih izdelkov. Programski usmerjevalnik ne zahteva plačila in se lahko uporablja popolnoma brezplačno, saj je ta izdelek dobavljen pod licenco Apache 2.0. Na voljo je kot slika ISO in ga je mogoče namestiti v navidezni računalnik z zelo skromnimi parametri.

Značilnosti programa pfSense

Upoštevajte, da ima ta izdelek veliko vnaprej nameščenih modulov, omogoča pa tudi namestitev dodatnih vtičnikov, ki razširjajo standardne zmogljivosti usmerjevalnika.

Požarni zid

Tukaj je samo nekaj glavnih značilnosti, ki razkrivajo zmožnosti tega modula:

pregledovanje paketov (stateful packet inspection - SPI), ki omogoča filtriranje omrežnih povezav
filtriranje na podlagi naslovov IP in DNS skupaj z zaščito proti podtikanju
podpora za pravila na podlagi časa in omejevanja števila povezav
omogočeno je dvosmerno kartiranje NAT

Usmerjevalnik

Iz spodaj navedenih funkcij je razvidno, da je ta komponenta pfSense popolnoma samozadostna:

podpira več naslovov IP na vmesnik
omogočena je podpora za več omrežij WAN za toleranco napak in/ali izravnavo obremenitve
integriran strežnik PPPoE
podprto je usmerjanje na podlagi politike
omogočeno je hkratno delovanje usmerjanja IPv4 in IPv6

VPN

Morda ena najpomembnejših komponent programskega usmerjevalnika za oddaljeno infrastrukturo:

podprti so najbolj priljubljeni in priljubljeni protokoli in tehnologije navideznih zasebnih omrežij - IPsec, OpenVPN, WireGuard
mogoče je organizirati povezavo med lokacijami s šifriranjem SSL
v grafičnem vmesniku so na voljo konfiguracije za odjemalce VPN v različnih operacijskih sistemih
na voljo je podpora za več tunelov s funkcijo failover med tuneli
na voljo je avtentikacija RADIUS ali LDAP, kar je priročno, če imate v infrastrukturi AD

Preprečevanje napadov

V kontekstu sodobnih kibernetskih groženj je blok funkcij in mehanizmov za analizo prehajajočega prometa nedvomna prednost programa pfSense:

Snort se uporablja kot analizator paketov (sistem IDS/IPS)
analiza in zaznavanje aplikacij L7 sta podprta zaradi integracije podatkovne zbirke s posodobljenim seznamom groženj
možno je individualno konfiguriranje varnostnega sistema na izbranem vmesniku z globokim pregledovanjem paketov

Druge funkcije sistema pfSense

Seznam vseh modulov in storitev bi zasedel več kot eno stran bloga, vendar lahko za bolj objektivno razumevanje zmogljivosti programskega usmerjevalnika izpostavimo naslednje:

razpoložljivost standardnih omrežnih storitev - strežnik DHCP, posredovanje DNS
enostavnost vzpostavljanja varnostnih kopij in vračanja na obnovitvene točke
enotno skladišče posodobitev z možnostjo posodobitve s klikom na gumb
oblikovanje prometa je podprto glede na hitrost kanala ali količino podatkov
s priročnim grafičnim uporabniškim vmesnikom je zagotovljen berljiv dnevnik dogajanja na usmerjevalniku
možno je prejemanje obvestil iz usmerjevalnika po elektronski pošti

OPNSense - vilica, ki lahko preseže izvirno kodo

OPNSense je programski usmerjevalnik, ki je funkcionalno zelo podoben usmerjevalniku pfSense. Očitna razlika za večino, tudi izkušenih uporabnikov in sistemskih upraviteljev, bo popolnoma prenovljen vmesnik. Druga razlika je nabor vtičnikov in dodatkov v skladišču dodatne programske opreme za namestitev. Zaradi podobnosti je težko izpostaviti posamezne lastnosti OPNSense, uporabnik pa se lahko odloči na podlagi priročnosti grafičnega vmesnika ali želja v naboru razpoložljivih vtičnikov.

Namesto zaključka

Iz hitrega pregleda funkcionalnosti programa pfSense in njegove vilice OPNSense je razvidno, da je ta programski usmerjevalnik namenjen zelo kompleksnim infrastrukturnim projektom, ki ne vključujejo le oddaljenih strežnikov in storitev, temveč tudi lokalne pisarne. Mehanizmi za zaščito in avtentikacijo uporabnikov so primerni tako za gradnjo majhne hibridne pisarniške infrastrukture kot velikega podjetniškega omrežja z več deset oddaljenimi strežniki, zaposlenimi in pisarniškimi podružnicami.

Nataliya Oteir

Copywriter

Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.