Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

pfSense – darmowa zapora sieciowa

Data publikacji: 04-02-2021 Autor: Marcin Jurczyk

Filtrowanie ruchu sieciowego to domena zapór ogniowych, instalowanych w różnych obszarach przedsiębiorstwa, w zależności od jego potrzeb oraz skali. Zadanie to z powodzeniem można zrealizować bez ponoszenia znacznych kosztów, wybierając jedną z darmowych dystrybucji stworzonych do tego celu.

 

 Na przestrzeni kilku ostatnich lat wielokrotnie testowaliśmy zróżnicowane rozwiązania do ochrony firmowej sieci – zarówno te komercyjne, jak też całkowicie darmowe. Zapora sieciowa to jeden z podstawowych komponentów stojących pomiędzy siecią lokalną a źródłem wszelkich zagrożeń – internetem. Oczywiście nie można tu zapomnieć o potencjalnych zagrożeniach płynących z wewnątrz sieci jak też o potrzebie filtrowania ruchu pomiędzy różnymi jej segmentami. Na rynku istnieje szereg gotowych rozwiązań sygnowanych logo najbardziej rozpoznawalnych dostawców produktów security. Ich zaletami bez wątpienia są skuteczność, dostęp do wykwalifikowanego wsparcia producenta oraz możliwość współdzielenia wiedzy w ramach społeczności skupionej wokół danego rozwiązania. Rozwiązania komercyjne zazwyczaj gwarantują również szybką reakcję na nowe zagrożenia. Ewentualne błędy oprogramowania, które przecież zdarzają się najlepszym, zazwyczaj poprawiane są zdecydowanie szybciej, niż ma to miejsce w przypadku mniej popularnych rozwiązań czy projektów open source. Wśród tych ostatnich znaleźć można mnóstwo gotowych rozwiązań, począwszy od stanowej zapory sieciowej, poprzez IDS/IPS, serwery VPN, DNS, DHCP, proxy czy chociażby load balancery. Oczywiście nic nie stoi na przeszkodzie, aby samodzielnie postawić ulubioną dystrybucję Linuksa, a następnie zainstalować i skonfigurować wszystkie potrzebne pakiety oprogramowania, realizujące poszczególne funkcje bezpieczeństwa. Podstawowym problemem w takim przypadku okaże się brak zintegrowanego narzędzia do zarządzania całością, które pozwoliłoby w łatwy sposób podejrzeć stan pracy naszej wyrafinowanej zapory czy zmodyfikować jej parametry. Na szczęście dostępne są także projekty dostarczające gotowe, zintegrowane rozwiązanie, pozwalające uniknąć manualnego dłubania w plikach konfiguracyjnych każdego pakietu, oferując spójny graficzny interfejs webowy. Właśnie tego typu produktem jest pfSense – jedna z najpopularniejszych darmowych platform realizujących funkcje szeroko rozumianego firewalla.


> CZYM JEST pfSense?


Pracę nad pfSense rozpoczęto na bazie systemu m0n0wall, który z kolei powstał na podstawie FreeBSD. Intencją twórców było umożliwienie konfiguracji całości bez znajomości interfejsu linii poleceń systemu bazowego. Podstawowym interfejsem użytkownika jest WebGUI, z poziomu którego można wykonać wszystkie operacje związane z obsługą zapory. Również podstawowy interfejs dostępny z konsoli od razu po zainstalowaniu pfSense to uproszczone menu tekstowe, pozwalające wybrać spośród 16 predefiniowanych opcji, wśród których znaleźć można także dostęp do powłoki FreeBSD. Litery „pf” w nazwie pochodzą od nazwy pakietu realizującego funkcję firewalla w dystrybucjach *BSD o tej samej nazwie (ang. packet filter). Możliwości platformy są jednak znacznie większe. W najpopularniejszym scenariuszu wdrożeniowym dystrybucja pfSense może oczywiście funkcjonować jako urządzenie brzegowe, realizujące dostęp do internetu wraz z firewallem, NAT-em oraz usługą DHCP. Równie dobrze pfSense sprawdzi się jako w pełni funkcjonalny router obsługujący wielu dostawców ISP z wykorzystaniem protokołu BGP czy też jako koncentrator VPN lub sniffer sieciowy. Liczba możliwych scenariuszy wdrożeniowych jest niemal nieograniczona, a sposób wykorzystania pfSense dostosować można dowolnie do własnych potrzeb, np. integrując wiele z dostępnych funkcji w ramach pojedynczej instancji lub wykorzystując wybrane pojedyncze usługi. Najnowsza testowana przez nas wersja oznaczona została identyfikatorem 2.4.5-p1 i pochodzi z czerwca ubiegłego roku, a oparta jest na FreeBSD w wersji 11.3-STABLE.


pfSense to przede wszystkim oprogramowanie, które można zainstalować na sprzęcie wspieranym przez dystrybucję FreeBSD. Nic nie stoi na przeszkodzie, by konfrontować funkcje i możliwości tego projektu z drogimi, w pełni komercyjnymi rozwiązaniami tego typu, nierzadko wykazując funkcjonalną wyższość darmowej dystrybucji. Wydajność pfSense zależy już bezpośrednio od możliwości sprzętu, na którym zainstalowano produkt, lub zasobów obliczeniowych przydzielonych do maszyny wirtualnej albo wirtualnego urządzenia w przypadku implementacji w chmurze. Firma Netgate stojąca za projektem oferuje również usługi płatnego wsparcia Technical Assistance Center w systemie 24/7 z gwarantowanym czasem reakcji 4 godzin. Producent sprzedaje również własny hardware dedykowany i przetestowany do pracy z pfSense. Dostępnych jest osiemmodeli w obudowie typu desktop oraz rack oferujących wydajność od kilkuset Mb/s do kilkunastu Gb/s. Ceny urządzeń wahają się od 179 do 2649 dolarów. Najsłabsze urządzenia wykorzystują dwurdzeniowe procesory w architekturze ARM, 1–4 GB RAM oraz do sześciu portów 1 Gb. Najmocniejszy model sprzętowy wykorzystuje ośmiordzeniowy procesor Intel Xeon, 16 GB RAM, do ośmiu portów sieciowych (również w technologii 10 Gb) oraz dwa dyski M.2 SSD o pojemności 256 GB. Z łatwością znaleźć można zdecydowanie tańsze minikomputery wyposażone w wiele interfejsów sieciowych, wyspecjalizowane do użytku sieciowego. Użytkownicy mają jednak pełną dowolność w doborze sprzętu w zależności od własnych preferencji i wymagań, pamiętając jedynie o wsparciu sprzętowym ze strony aktualnie wykorzystywanej przez pfSense wersji FreeBSD. W naszym testowym środowisku pfSense uruchomiony został jako maszyna wirtualna VMware.


> WYMAGANIA I INSTALACJA


pfSense wspierany jest dla sprzętu w 64-bitowej architekturze x86-64 (AMD64 lub x64). Wsparcie dla architektury ARM dostępne jest tylko dla urządzeń własnych firmy Netgate. Minimalne wymagania sprzętowe to procesor z taktowaniem 600 MHz, 512 MB RAM, co najmniej 4 GB przestrzeni dyskowej, interfejs sieciowy, port USB oraz napęd CD/DVD, z którego można przeprowadzić instalację. Takie zasoby powinny wystarczyć na obsługę do 100 Mb/s nieszyfrowanego ruchu. Dla realnych zastosowań warto dysponować kilkoma rdzeniami procesora i przynajmniej 4 GB pamięci operacyjnej. Zapotrzebowanie na przestrzeń dyskową oraz jej wydajność w kontekście IOPS zależeć już będzie bezpośrednio od liczby usług sieciowych, z których zamierzamy korzystać, oraz wolumenu ruchu do obsłużenia, a także liczby użytkowników w sieci. Gigabajt RAM-u wystarczy do obsługi 500 000 równoczesnych połączeń dla zapory stanowej. Uruchomienie w tym samym czasie usługi VPN, IPS/IDS czy kilku sesji BGP w sposób automatyczny zwiększy zapotrzebowanie na zasoby obliczeniowe. Nie bez znaczenia jest także wybór adapterów sieciowych. W zależności od akceleracji sprzętowej niektórych operacji na poziomie chipsetu sieciowego zależeć będzie całkowita wydajność pfSense. To samo dotyczy odpowiedniego doboru algorytmów szyfrowania dla protokołów VPN, tak aby wykorzystać chociażby mechanizm wsparcia sprzętowego AES-NI dostępny z poziomu CPU.


Wśród wspieranych platform wirtualizacyjnych znaleźć można wszystkie najpopularniejsze, zarówno typu pierwszego, jak i drugiego – VMware vSphere, Fusion, Workstation, Proxmox, VirtualBox, Xen, KVM, MS Hyper-V itp.

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"