Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури
Потужне рішення із зручним інтерфейсом керування
Організація сучасної віддаленої офісної інфраструктури передбачає використання на серверах віртуалізатора на кшталт Proxmox або VMWare, що зумовлено необхідністю розгортання ряду віртуальних машин з різним рівнем доступу, обмеженою міжсерверною комунікацією та доступом до глобальної мережі. Найбільш простим варіантом контролю доступу до віртуальної машини всередині віртуалізатора є використання софт роутера з потужним файрволом, який встановлюється на одну з віртуальних машин на сервері.
Router OS – визнаний лідер серед програмних роутерів. Проте не має повноцінної безкоштовної версії. Існує кілька альтернативних open-source рішень, заснованих на FreeBSD - pfSense та OPNSense. Це комплексні у своєму розумінні програмні роутери-файрволи з повним набором модулів та плагінів, необхідних для управління мережею та доступом до кінцевих пристроїв віддаленої інфраструктури.
pfSense - логічне продовження проекту m0n0wall
pfSense підтримується і розробляється компанією Netgate як один з основних продуктів. Програмний продукт не потребує оплати і може використовуватися абсолютно безкоштовно, адже даний продукт поставляється під ліцензією Apache 2.0. Доступний у вигляді образа ISO і може бути встановлений на віртуальну машину з дуже скромними параметрами.
Можливості pfSense
Зазначимо, що даний продукт має безліч попередньо встановлених модулів, а також дозволяє встановити додаткові плагіни, що розширюють стандартні можливості роутера.
Firewall
Наведемо лише кілька основних характеристик, які розкривають можливості даного модуля:
- перевірка пакетів з відстеження стану (SPI), що дозволяє фільтрувати мережеві підключення
- фільтрація на основі IP адрес та DNS разом із захистом від спуфінгу
- є підтримка правил, заснованих на часі та обмеження кількості підключень
- включено двонаправлене зіставлення NAT
Роутер
З наведених нижче можливостей стає зрозуміло, що даний компонент pfSense цілком самодостатній:
- підтримується кілька IP-адрес на інтерфейс
- включена підтримка кількох WAN для відмовостійкості та/або балансування навантаження
- інтегрований сервер PPPoE
- підтримується маршрутизація на основі політик
- дозволяється одночасна робота IPv4 та IPv6 маршрутизації
VPN
Мабуть, один із найважливіших компонентів програмного роутера для організації віддаленої інфраструктури:
- підтримуються найбільш популярні та затребувані протоколи і технології віртуальної приватної мережі – IPsec, OpenVPN, WireGuard
- є можливість організації підключення «мережа-мережа» із SSL-шифруванням
- у GUI можна завантажити конфігурації для VPN клієнтів різних ОС
- є підтримка мульти тунелювання з аварійним перемиканням між тунелями
- доступна автентифікація RADIUS або LDAP, що зручно за наявності AD у рамках інфраструктури
Запобігання атакам
В умовах сучасних кіберзагроз подібний блок функцій і механізмів аналізу трафіку, що проходить — це безперечна перевага pfSense:
- використовується Snort як аналізатор пакетів (система IDS/IPS)
- підтримується аналіз та виявлення L7 додатків завдяки інтеграції бази даних із оновлюваним списком загроз
- є можливість налаштування системи безпеки індивідуально на вибраному інтерфейсі з глибокою перевіркою пакетів
Інші особливості pfSense
Перелік усіх модулів та служб займе не одну сторінку блогу, але для більш об'єктивного розуміння можливостей програмного роутера можна виділити таке:
- наявність стандартних мережевих сервісів – DHCP сервер, DNS форвардинг
- простота налаштування бекапів та відкат до точок відновлення
- єдиний репозиторій оновлень із можливістю апдейту натисканням однієї кнопки
- підтримується шейпер трафіку за швидкістю каналу або обсягом даних
- завдяки зручному GUI надається легко читаний лог всього, що відбувається на роутері
- є можливість отримувати сповіщення від роутера на електронну скриньку
OPNSense - форк pfSense, який може перевершити вихідний код
OPNSense – функціонально максимально схожий на pfSense програмний роутер. Очевидною відмінністю для більшості навіть досвідчених користувачів та системних адміністраторів стане повністю перероблений інтерфейс GUI. Іншою відмінністю є набір плагінів та доповнень у репозиторії додаткового програмного забезпечення для встановлення. Зважаючи на схожість, важко виділити окремі особливості OPNSense і користувач може робити вибір виходячи зі зручності GUI або переваг у наборі доступних плагінів.
Замість висновків
З огляду функціонала pfSense і OPNSense стає ясно, що даний програмний роутер орієнтований на дуже складні інфраструктурні проекти, що включають не тільки віддалені сервери і сервіси, але і локальні офіси. Механізми захисту та автентифікації користувачів підійдуть для побудови як невеликої гібридної офісної інфраструктури, так і великої корпоративної мережі з десятками віддалених серверів, співробітників та офісних філій. Якщо ви хочете спробувати новий програмний продукт та побудувати власну віддалену інфраструктуру, то компанія Introserv може запропонувати вам великий вибір серверів, а також кваліфіковану підтримку на будь-якому етапі створення віддаленої мережі.