Artykuł pochodzi z wydania: Luty 2021
Filtrowanie ruchu sieciowego to domena zapór ogniowych, instalowanych w różnych obszarach przedsiębiorstwa, w zależności od jego potrzeb oraz skali. Zadanie to z powodzeniem można zrealizować bez ponoszenia znacznych kosztów, wybierając jedną z darmowych dystrybucji stworzonych do tego celu.
Na przestrzeni kilku ostatnich lat wielokrotnie testowaliśmy zróżnicowane rozwiązania do ochrony firmowej sieci – zarówno te komercyjne, jak też całkowicie darmowe. Zapora sieciowa to jeden z podstawowych komponentów stojących pomiędzy siecią lokalną a źródłem wszelkich zagrożeń – internetem. Oczywiście nie można tu zapomnieć o potencjalnych zagrożeniach płynących z wewnątrz sieci jak też o potrzebie filtrowania ruchu pomiędzy różnymi jej segmentami. Na rynku istnieje szereg gotowych rozwiązań sygnowanych logo najbardziej rozpoznawalnych dostawców produktów security. Ich zaletami bez wątpienia są skuteczność, dostęp do wykwalifikowanego wsparcia producenta oraz możliwość współdzielenia wiedzy w ramach społeczności skupionej wokół danego rozwiązania. Rozwiązania komercyjne zazwyczaj gwarantują również szybką reakcję na nowe zagrożenia. Ewentualne błędy oprogramowania, które przecież zdarzają się najlepszym, zazwyczaj poprawiane są zdecydowanie szybciej, niż ma to miejsce w przypadku mniej popularnych rozwiązań czy projektów open source. Wśród tych ostatnich znaleźć można mnóstwo gotowych rozwiązań, począwszy od stanowej zapory sieciowej, poprzez IDS/IPS, serwery VPN, DNS, DHCP, proxy czy chociażby load balancery. Oczywiście nic nie stoi na przeszkodzie, aby samodzielnie postawić ulubioną dystrybucję Linuksa, a następnie zainstalować i skonfigurować wszystkie potrzebne pakiety oprogramowania, realizujące poszczególne funkcje bezpieczeństwa. Podstawowym problemem w takim przypadku okaże się brak zintegrowanego narzędzia do zarządzania całością, które pozwoliłoby w łatwy sposób podejrzeć stan pracy naszej wyrafinowanej zapory czy zmodyfikować jej parametry. Na szczęście dostępne są także projekty dostarczające gotowe, zintegrowane rozwiązanie, pozwalające uniknąć manualnego dłubania w plikach konfiguracyjnych każdego pakietu, oferując spójny graficzny interfejs webowy. Właśnie tego typu produktem jest pfSense – jedna z najpopularniejszych darmowych platform realizujących funkcje szeroko rozumianego firewalla.
> CZYM JEST pfSense?
Pracę nad pfSense rozpoczęto na bazie systemu m0n0wall, który z kolei powstał na podstawie FreeBSD. Intencją twórców było umożliwienie konfiguracji całości bez znajomości interfejsu linii poleceń systemu bazowego. Podstawowym interfejsem użytkownika jest WebGUI, z poziomu którego można wykonać wszystkie operacje związane z obsługą zapory. Również podstawowy interfejs dostępny z konsoli od razu po zainstalowaniu pfSense to uproszczone menu tekstowe, pozwalające wybrać spośród 16 predefiniowanych opcji, wśród których znaleźć można także dostęp do powłoki FreeBSD. Litery „pf” w nazwie pochodzą od nazwy pakietu realizującego funkcję firewalla w dystrybucjach *BSD o tej samej nazwie (ang. packet filter). Możliwości platformy są jednak znacznie większe. W najpopularniejszym scenariuszu wdrożeniowym dystrybucja pfSense może oczywiście funkcjonować jako urządzenie brzegowe, realizujące dostęp do internetu wraz z firewallem, NAT-em oraz usługą DHCP. Równie dobrze pfSense sprawdzi się jako w pełni funkcjonalny router obsługujący wielu dostawców ISP z wykorzystaniem protokołu BGP czy też jako koncentrator VPN lub sniffer sieciowy. Liczba możliwych scenariuszy wdrożeniowych jest niemal nieograniczona, a sposób wykorzystania pfSense dostosować można dowolnie do własnych potrzeb, np. integrując wiele z dostępnych funkcji w ramach pojedynczej instancji lub wykorzystując wybrane pojedyncze usługi. Najnowsza testowana przez nas wersja oznaczona została identyfikatorem 2.4.5-p1 i pochodzi z czerwca ubiegłego roku, a oparta jest na FreeBSD w wersji 11.3-STABLE.
pfSense to przede wszystkim oprogramowanie, które można zainstalować na sprzęcie wspieranym przez dystrybucję FreeBSD. Nic nie stoi na przeszkodzie, by konfrontować funkcje i możliwości tego projektu z drogimi, w pełni komercyjnymi rozwiązaniami tego typu, nierzadko wykazując funkcjonalną wyższość darmowej dystrybucji. Wydajność pfSense zależy już bezpośrednio od możliwości sprzętu, na którym zainstalowano produkt, lub zasobów obliczeniowych przydzielonych do maszyny wirtualnej albo wirtualnego urządzenia w przypadku implementacji w chmurze. Firma Netgate stojąca za projektem oferuje również usługi płatnego wsparcia Technical Assistance Center w systemie 24/7 z gwarantowanym czasem reakcji 4 godzin. Producent sprzedaje również własny hardware dedykowany i przetestowany do pracy z pfSense. Dostępnych jest osiemmodeli w obudowie typu desktop oraz rack oferujących wydajność od kilkuset Mb/s do kilkunastu Gb/s. Ceny urządzeń wahają się od 179 do 2649 dolarów. Najsłabsze urządzenia wykorzystują dwurdzeniowe procesory w architekturze ARM, 1–4 GB RAM oraz do sześciu portów 1 Gb. Najmocniejszy model sprzętowy wykorzystuje ośmiordzeniowy procesor Intel Xeon, 16 GB RAM, do ośmiu portów sieciowych (również w technologii 10 Gb) oraz dwa dyski M.2 SSD o pojemności 256 GB. Z łatwością znaleźć można zdecydowanie tańsze minikomputery wyposażone w wiele interfejsów sieciowych, wyspecjalizowane do użytku sieciowego. Użytkownicy mają jednak pełną dowolność w doborze sprzętu w zależności od własnych preferencji i wymagań, pamiętając jedynie o wsparciu sprzętowym ze strony aktualnie wykorzystywanej przez pfSense wersji FreeBSD. W naszym testowym środowisku pfSense uruchomiony został jako maszyna wirtualna VMware.
[…]
Marcin Jurczyk
Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.