Open-source — не вирок. Альтернатива Router OS для віддаленої інфраструктури

Організація сучасної віддаленої офісної інфраструктури передбачає використання на серверах віртуалізатора на кшталт Proxmox або VMWare, що зумовлено необхідністю розгортання ряду віртуальних машин з різним рівнем доступу, обмеженою міжсерверною комунікацією та доступом до глобальної мережі. Найбільш простим варіантом контролю доступу до віртуальної машини всередині віртуалізатора є використання софт роутера з потужним файрволом, який встановлюється на одну з віртуальних машин на сервері.

Router OS – визнаний лідер серед програмних роутерів. Проте не має повноцінної безкоштовної версії. Існує кілька альтернативних open-source рішень, заснованих на FreeBSD - pfSense та OPNSense. Це комплексні у своєму розумінні програмні роутери-файрволи з повним набором модулів та плагінів, необхідних для управління мережею та доступом до кінцевих пристроїв віддаленої інфраструктури.

pfSense - логічне продовження проекту m0n0wall

pfSense підтримується і розробляється компанією Netgate як один з основних продуктів. Програмний продукт не потребує оплати і може використовуватися абсолютно безкоштовно, адже даний продукт поставляється під ліцензією Apache 2.0. Доступний у вигляді образа ISO і може бути встановлений на віртуальну машину з дуже скромними параметрами.

Можливості pfSense

Зазначимо, що даний продукт має безліч попередньо встановлених модулів, а також дозволяє встановити додаткові плагіни, що розширюють стандартні можливості роутера.

Firewall

Наведемо лише кілька основних характеристик, які розкривають можливості даного модуля:

• перевірка пакетів з відстеження стану (SPI), що дозволяє фільтрувати мережеві підключення
• фільтрація на основі IP адрес та DNS разом із захистом від спуфінгу
• є підтримка правил, заснованих на часі та обмеження кількості підключень
• включено двонаправлене зіставлення NAT

Роутер

З наведених нижче можливостей стає зрозуміло, що даний компонент pfSense цілком самодостатній:

• підтримується кілька IP-адрес на інтерфейс
• включена підтримка кількох WAN для відмовостійкості та/або балансування навантаження
• інтегрований сервер PPPoE
• підтримується маршрутизація на основі політик
• дозволяється одночасна робота IPv4 та IPv6 маршрутизації

VPN

Мабуть, один із найважливіших компонентів програмного роутера для організації віддаленої інфраструктури:

• підтримуються найбільш популярні та затребувані протоколи і технології віртуальної приватної мережі – IPsec, OpenVPN, WireGuard
• є можливість організації підключення «мережа-мережа» із SSL-шифруванням
• у GUI можна завантажити конфігурації для VPN клієнтів різних ОС
• є підтримка мульти тунелювання з аварійним перемиканням між тунелями
• доступна автентифікація RADIUS або LDAP, що зручно за наявності AD у рамках інфраструктури

Запобігання атакам

В умовах сучасних кіберзагроз подібний блок функцій і механізмів аналізу трафіку, що проходить — це безперечна перевага pfSense:

• використовується Snort як аналізатор пакетів (система IDS/IPS)
• підтримується аналіз та виявлення L7 додатків завдяки інтеграції бази даних із оновлюваним списком загроз
• є можливість налаштування системи безпеки індивідуально на вибраному інтерфейсі з глибокою перевіркою пакетів

Інші особливості pfSense

Перелік усіх модулів та служб займе не одну сторінку блогу, але для більш об'єктивного розуміння можливостей програмного роутера можна виділити таке:

• наявність стандартних мережевих сервісів – DHCP сервер, DNS форвардинг
• простота налаштування бекапів та відкат до точок відновлення
• єдиний репозиторій оновлень із можливістю апдейту натисканням однієї кнопки
• підтримується шейпер трафіку за швидкістю каналу або обсягом даних
• завдяки зручному GUI надається легко читаний лог всього, що відбувається на роутері
• є можливість отримувати сповіщення від роутера на електронну скриньку

OPNSense - форк pfSense, який може перевершити вихідний код

OPNSense – функціонально максимально схожий на pfSense програмний роутер. Очевидною відмінністю для більшості навіть досвідчених користувачів та системних адміністраторів стане повністю перероблений інтерфейс GUI. Іншою відмінністю є набір плагінів та доповнень у репозиторії додаткового програмного забезпечення для встановлення. Зважаючи на схожість, важко виділити окремі особливості OPNSense і користувач може робити вибір виходячи зі зручності GUI або переваг у наборі доступних плагінів.

Замість висновків

З огляду функціонала pfSense і OPNSense стає ясно, що даний програмний роутер орієнтований на дуже складні інфраструктурні проекти, що включають не тільки віддалені сервери і сервіси, але і локальні офіси. Механізми захисту та автентифікації користувачів підійдуть для побудови як невеликої гібридної офісної інфраструктури, так і великої корпоративної мережі з десятками віддалених серверів, співробітників та офісних філій. Якщо ви хочете спробувати новий програмний продукт та побудувати власну віддалену інфраструктуру, то компанія Introserv може запропонувати вам великий вибір серверів, а також кваліфіковану підтримку на будь-якому етапі створення віддаленої мережі.