Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури

Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури

Read 5 minutes

Організація сучасної віддаленої офісної інфраструктури передбачає використання на серверах віртуалізатора на кшталт Proxmox або VMWare, що зумовлено необхідністю розгортання ряду віртуальних машин з різним рівнем доступу, обмеженою міжсерверною комунікацією та доступом до глобальної мережі. Найбільш простим варіантом контролю доступу до віртуальної машини всередині віртуалізатора є використання софт роутера з потужним файрволом, який встановлюється на одну з віртуальних машин на сервері.

Router OS – визнаний лідер серед програмних роутерів. Проте не має повноцінної безкоштовної версії. Існує кілька альтернативних open-source рішень, заснованих на FreeBSD - pfSense та OPNSense. Це комплексні у своєму розумінні програмні роутери-файрволи з повним набором модулів та плагінів, необхідних для управління мережею та доступом до кінцевих пристроїв віддаленої інфраструктури.

pfSense - логічне продовження проекту m0n0wall

pfSense підтримується і розробляється компанією Netgate як один з основних продуктів. Програмний продукт не потребує оплати і може використовуватися абсолютно безкоштовно, адже даний продукт поставляється під ліцензією Apache 2.0. Доступний у вигляді образа ISO і може бути встановлений на віртуальну машину з дуже скромними параметрами.

Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури

Можливості pfSense

Зазначимо, що даний продукт має безліч попередньо встановлених модулів, а також дозволяє встановити додаткові плагіни, що розширюють стандартні можливості роутера.

Firewall

Наведемо лише кілька основних характеристик, які розкривають можливості даного модуля:

  • перевірка пакетів з відстеження стану (SPI), що дозволяє фільтрувати мережеві підключення
  • фільтрація на основі IP адрес та DNS разом із захистом від спуфінгу
  • є підтримка правил, заснованих на часі та обмеження кількості підключень
  • включено двонаправлене зіставлення NAT

Роутер

З наведених нижче можливостей стає зрозуміло, що даний компонент pfSense цілком самодостатній:

  • підтримується кілька IP-адрес на інтерфейс
  • включена підтримка кількох WAN для відмовостійкості та/або балансування навантаження
  • інтегрований сервер PPPoE
  • підтримується маршрутизація на основі політик
  • дозволяється одночасна робота IPv4 та IPv6 маршрутизації

VPN

Мабуть, один із найважливіших компонентів програмного роутера для організації віддаленої інфраструктури:

  • підтримуються найбільш популярні та затребувані протоколи і технології віртуальної приватної мережі – IPsec, OpenVPN, WireGuard
  • є можливість організації підключення «мережа-мережа» із SSL-шифруванням
  • у GUI можна завантажити конфігурації для VPN клієнтів різних ОС
  • є підтримка мульти тунелювання з аварійним перемиканням між тунелями
  • доступна автентифікація RADIUS або LDAP, що зручно за наявності AD у рамках інфраструктури

Запобігання атакам

В умовах сучасних кіберзагроз подібний блок функцій і механізмів аналізу трафіку, що проходить — це безперечна перевага pfSense:

  • використовується Snort як аналізатор пакетів (система IDS/IPS)
  • підтримується аналіз та виявлення L7 додатків завдяки інтеграції бази даних із оновлюваним списком загроз
  • є можливість налаштування системи безпеки індивідуально на вибраному інтерфейсі з глибокою перевіркою пакетів

Інші особливості pfSense

Перелік усіх модулів та служб займе не одну сторінку блогу, але для більш об'єктивного розуміння можливостей програмного роутера можна виділити таке:

  • наявність стандартних мережевих сервісів – DHCP сервер, DNS форвардинг
  • простота налаштування бекапів та відкат до точок відновлення
  • єдиний репозиторій оновлень із можливістю апдейту натисканням однієї кнопки
  • підтримується шейпер трафіку за швидкістю каналу або обсягом даних
  • завдяки зручному GUI надається легко читаний лог всього, що відбувається на роутері
  • є можливість отримувати сповіщення від роутера на електронну скриньку

OPNSense - форк pfSense, який може перевершити вихідний код

OPNSense – функціонально максимально схожий на pfSense програмний роутер. Очевидною відмінністю для більшості навіть досвідчених користувачів та системних адміністраторів стане повністю перероблений інтерфейс GUI. Іншою відмінністю є набір плагінів та доповнень у репозиторії додаткового програмного забезпечення для встановлення. Зважаючи на схожість, важко виділити окремі особливості OPNSense і користувач може робити вибір виходячи зі зручності GUI або переваг у наборі доступних плагінів.

Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури

Замість висновків

З огляду функціонала pfSense і OPNSense стає ясно, що даний програмний роутер орієнтований на дуже складні інфраструктурні проекти, що включають не тільки віддалені сервери і сервіси, але і локальні офіси. Механізми захисту та автентифікації користувачів підійдуть для побудови як невеликої гібридної офісної інфраструктури, так і великої корпоративної мережі з десятками віддалених серверів, співробітників та офісних філій. Якщо ви хочете спробувати новий програмний продукт та побудувати власну віддалену інфраструктуру, то компанія Introserv може запропонувати вам великий вибір серверів, а також кваліфіковану підтримку на будь-якому етапі створення віддаленої мережі.

GPUDedicIT1

Показати більше