Odprta koda lahko naredi več. Alternativa za usmerjevalnik OS za oddaljeno infrastrukturo

Odprta koda lahko naredi več. Alternativa za usmerjevalnik OS za oddaljeno infrastrukturo

Read 5 minute

Organizacija sodobne infrastrukture oddaljene pisarne vključuje uporabo virtualizatorja, kot sta Proxmox ali VMWare, na strežnikih, kar je posledica potrebe po namestitvi številnih virtualnih strojev z različnimi ravnmi dostopa, omejeno komunikacijo med strežniki in dostopom do globalnega omrežja. Najpreprostejša možnost za nadzor dostopa do virtualnega stroja znotraj virtualizatorja je uporaba robnega programskega usmerjevalnika z zmogljivim požarnim zidom, ki je nameščen v enem od virtualnih strojev v strežniku.

Operacijski sistem Router OS je jasen zmagovalec med programskimi usmerjevalniki. Vendar nima brezplačne različice. Na voljo je več alternativnih odprtokodnih rešitev, ki temeljijo na FreeBSD - pfSense in OPNSense. To sta celovita programska usmerjevalnika - požarna zidova s celotnim naborom modulov in vtičnikov, potrebnih za upravljanje omrežja in dostopa do končnih naprav oddaljene infrastrukture.

pfSense je logično nadaljevanje projekta m0n0wall

pfSense podpira in razvija podjetje Netgate kot enega svojih ključnih izdelkov. Programski usmerjevalnik ne zahteva plačila in se lahko uporablja popolnoma brezplačno, saj je ta izdelek dobavljen pod licenco Apache 2.0. Na voljo je kot slika ISO in ga je mogoče namestiti v navidezni računalnik z zelo skromnimi parametri.

Odprta koda lahko naredi več. Alternativa za usmerjevalnik OS za oddaljeno infrastrukturo

Značilnosti programa pfSense

Upoštevajte, da ima ta izdelek veliko vnaprej nameščenih modulov, omogoča pa tudi namestitev dodatnih vtičnikov, ki razširjajo standardne zmogljivosti usmerjevalnika.

Požarni zid

Tukaj je samo nekaj glavnih značilnosti, ki razkrivajo zmožnosti tega modula:

  • pregledovanje paketov (stateful packet inspection - SPI), ki omogoča filtriranje omrežnih povezav
  • filtriranje na podlagi naslovov IP in DNS skupaj z zaščito proti podtikanju
  • podpora za pravila na podlagi časa in omejevanja števila povezav
  • omogočeno je dvosmerno kartiranje NAT

Usmerjevalnik

Iz spodaj navedenih funkcij je razvidno, da je ta komponenta pfSense popolnoma samozadostna:

  • podpira več naslovov IP na vmesnik
  • omogočena je podpora za več omrežij WAN za toleranco napak in/ali izravnavo obremenitve
  • integriran strežnik PPPoE
  • podprto je usmerjanje na podlagi politike
  • omogočeno je hkratno delovanje usmerjanja IPv4 in IPv6

VPN

Morda ena najpomembnejših komponent programskega usmerjevalnika za oddaljeno infrastrukturo:

  • podprti so najbolj priljubljeni in priljubljeni protokoli in tehnologije navideznih zasebnih omrežij - IPsec, OpenVPN, WireGuard
  • mogoče je organizirati povezavo med lokacijami s šifriranjem SSL
  • v grafičnem vmesniku so na voljo konfiguracije za odjemalce VPN v različnih operacijskih sistemih
  • na voljo je podpora za več tunelov s funkcijo failover med tuneli
  • na voljo je avtentikacija RADIUS ali LDAP, kar je priročno, če imate v infrastrukturi AD

Preprečevanje napadov

V kontekstu sodobnih kibernetskih groženj je blok funkcij in mehanizmov za analizo prehajajočega prometa nedvomna prednost programa pfSense:

  • Snort se uporablja kot analizator paketov (sistem IDS/IPS)
  • analiza in zaznavanje aplikacij L7 sta podprta zaradi integracije podatkovne zbirke s posodobljenim seznamom groženj
  • možno je individualno konfiguriranje varnostnega sistema na izbranem vmesniku z globokim pregledovanjem paketov

Druge funkcije sistema pfSense

Seznam vseh modulov in storitev bi zasedel več kot eno stran bloga, vendar lahko za bolj objektivno razumevanje zmogljivosti programskega usmerjevalnika izpostavimo naslednje:

  • razpoložljivost standardnih omrežnih storitev - strežnik DHCP, posredovanje DNS
  • enostavnost vzpostavljanja varnostnih kopij in vračanja na obnovitvene točke
  • enotno skladišče posodobitev z možnostjo posodobitve s klikom na gumb
  • oblikovanje prometa je podprto glede na hitrost kanala ali količino podatkov
  • s priročnim grafičnim uporabniškim vmesnikom je zagotovljen berljiv dnevnik dogajanja na usmerjevalniku
  • možno je prejemanje obvestil iz usmerjevalnika po elektronski pošti
Odprta koda lahko naredi več. Alternativa za usmerjevalnik OS za oddaljeno infrastrukturo

OPNSense - vilica, ki lahko preseže izvirno kodo

OPNSense je programski usmerjevalnik, ki je funkcionalno zelo podoben usmerjevalniku pfSense. Očitna razlika za večino, tudi izkušenih uporabnikov in sistemskih upraviteljev, bo popolnoma prenovljen vmesnik. Druga razlika je nabor vtičnikov in dodatkov v skladišču dodatne programske opreme za namestitev. Zaradi podobnosti je težko izpostaviti posamezne lastnosti OPNSense, uporabnik pa se lahko odloči na podlagi priročnosti grafičnega vmesnika ali želja v naboru razpoložljivih vtičnikov.

Namesto zaključka

Iz hitrega pregleda funkcionalnosti programa pfSense in njegove vilice OPNSense je razvidno, da je ta programski usmerjevalnik namenjen zelo kompleksnim infrastrukturnim projektom, ki ne vključujejo le oddaljenih strežnikov in storitev, temveč tudi lokalne pisarne. Mehanizmi za zaščito in avtentikacijo uporabnikov so primerni tako za gradnjo majhne hibridne pisarniške infrastrukture kot velikega podjetniškega omrežja z več deset oddaljenimi strežniki, zaposlenimi in podružnicami pisarn.

GPUDedicPL1