5
Modern bir uzak ofis altyapısının organizasyonu, sunucularda Proxmox veya VMWare gibi bir sanallaştırıcının kullanılmasını içerir; bu da farklı erişim seviyelerine, sınırlı sunucular arası iletişime ve küresel ağa erişime sahip bir dizi sanal makinenin konuşlandırılması ihtiyacından kaynaklanmaktadır. Bir sanallaştırıcı içindeki bir sanal makineye erişimi kontrol etmek için en basit seçenek, sunucudaki sanal makinelerden birine yüklenen güçlü bir güvenlik duvarına sahip bir uç yazılım yönlendiricisi kullanmaktır.
Router OS, yazılım yönlendiricileri arasında açık ara galiptir. Ancak, tam ücretsiz bir sürümü yoktur. FreeBSD tabanlı birkaç alternatif açık kaynak çözümü vardır - pfSense ve OPNSense. Bunlar, ağı yönetmek ve uzak altyapının uç cihazlarına erişmek için gerekli olan eksiksiz bir modül ve eklenti setine sahip kapsamlı yazılım yönlendiricileri-güvenlik duvarlarıdır.
pfSense, m0n0wall projesinin mantıksal bir devamıdır
pfSense, Netgate tarafından temel ürünlerinden biri olarak desteklenmekte ve geliştirilmektedir. Yazılım yönlendiricisi ödeme gerektirmez ve bu ürün Apache 2.0 lisansı altında sağlandığı için tamamen ücretsiz olarak kullanılabilir. ISO görüntüsü olarak mevcuttur ve çok mütevazı parametrelerle sanal bir makineye kurulabilir.
pfSense özellikleri
Lütfen bu ürünün önceden yüklenmiş birçok modüle sahip olduğunu ve yönlendiricinin standart yeteneklerini genişleten ek eklentilerin yüklenmesine de izin verdiğini unutmayın.
Güvenlik Duvarı
İşte bu modülün yeteneklerini ortaya koyan birkaç ana özellik:
- ağ bağlantılarını filtrelemenize olanak tanıyan durum bilgisi içeren paket denetimi (SPI)
- Sahteciliğe karşı koruma ile birlikte IP adreslerine ve DNS'ye dayalı filtreleme
- zamana dayalı kurallar ve bağlantı sayısının sınırlandırılması için destek vardır
- çift yönlü NAT eşlemesi etkin
Yönlendirici
Aşağıda listelenen özelliklerden, bu pfSense bileşeninin tamamen kendi kendine yeterli olduğu anlaşılmaktadır:
- arayüz başına birden fazla IP adresini destekler
- Hata toleransı ve/veya yük dengeleme için birden fazla WAN desteği etkinleştirilir
- entegre PPPoE sunucusu
- politika tabanlı yönlendirme desteklenir
- IPv4 ve IPv6 yönlendirmenin aynı anda çalışmasına izin verilir
VPN
Uzak altyapı için bir yazılım yönlendiricisinin belki de en önemli bileşenlerinden biri:
- en popüler ve yaygın sanal özel ağ protokolleri ve teknolojileri desteklenmektedir - IPsec, OpenVPN, WireGuard
- SSL şifreleme ile siteden siteye bağlantı düzenlemek mümkündür
- Farklı işletim sistemlerindeki VPN istemcileri için yapılandırmalar GUI'de mevcuttur
- tüneller arasında yük devretme ile çoklu tünelleme desteği vardır
- RADIUS veya LDAP kimlik doğrulaması kullanılabilir, bu da altyapınızda AD varsa kullanışlıdır
Saldırıların önlenmesi
Modern siber tehditler bağlamında, geçen trafiği analiz etmek için bir işlevler ve mekanizmalar bloğu, pfSense'in şüphesiz bir avantajıdır:
- Snort bir paket analizörü olarak kullanılır (IDS/IPS sistemi)
- güncellenmiş bir tehdit listesi içeren bir veritabanının entegrasyonu sayesinde L7 uygulamalarının analizi ve tespiti desteklenmektedir
- derin paket denetimi ile seçilen arayüzde güvenlik sistemini ayrı ayrı yapılandırmak mümkündür
pfSense'in diğer özellikleri
Tüm modülleri ve hizmetleri listelemek blogun bir sayfasından fazlasını kaplar, ancak yazılım yönlendiricisinin yeteneklerini daha objektif bir şekilde anlamak için aşağıdakileri vurgulayabiliriz:
- standart ağ hizmetlerinin kullanılabilirliği - DHCP sunucusu, DNS yönlendirme
- yedekleme ayarlama ve geri yükleme noktalarına geri dönme kolaylığı
- tek bir düğmeye tıklayarak güncelleme yapabilen tek bir güncelleme havuzu
- trafik şekillendirici kanal hızı veya veri hacmi tarafından desteklenir
- kullanışlı bir GUI sayesinde, yönlendiricide neler olup bittiğine dair okunabilir bir günlük sağlanır
- yönlendiriciden e-posta ile bildirim almak mümkündür
OPNSense - orijinal koddan daha iyi performans gösterebilen bir çatal
OPNSense, işlevsel olarak pfSense'e çok benzeyen bir yazılım yönlendiricisidir. Çoğu, hatta deneyimli kullanıcılar ve sistem yöneticileri için bariz fark, tamamen yeniden tasarlanmış bir arayüz olacaktır. Diğer bir fark ise kurulum için ek yazılım deposundaki eklenti ve eklentilerdir. Benzerlik nedeniyle, OPNSense'in bireysel özelliklerini ayırmak zordur ve kullanıcı GUI'nin rahatlığına veya mevcut eklentiler kümesindeki tercihlere göre bir seçim yapabilir.
Sonuç yerine
pfSense ve çatalı OPNSense'in işlevselliğinin hızlı bir incelemesinden, bu yazılım yönlendiricisinin yalnızca uzak sunucular ve hizmetler değil, aynı zamanda yerel ofisler de dahil olmak üzere çok karmaşık altyapı projelerine yönelik olduğu anlaşılmaktadır. Kullanıcı koruma ve kimlik doğrulama mekanizmaları, hem küçük bir karma ofis altyapısı hem de düzinelerce uzak sunucu, çalışan ve ofis şubesi içeren büyük bir kurumsal ağ oluşturmak için uygundur.
