Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Dystrybucje open source na zaporę sieciową

Specjalizowane dystrybucje na bramę internetową sprawdzą się w funkcji routera, zapory sieciowej, serwera pośredniczącego oraz VPN. Stanowią alternatywę dla kosztownych, komercyjnych firewalli dostarczanych w formie sprzętowych rozwiązań (appliance).

Dystrybucje open source na zaporę sieciową klasyfikowane są zazwyczaj w jednej kategorii. Taki podział może być jednak zbytnim uproszczeniem, jeśli osobno rozpatrzymy rozwiązania bazujące na Linuksie i oprogramowanie BSD. Sercem każdej zapory jest filtr pakietów z obsługą mechanizmów NAT/PAT, przekierowania portów oraz DMZ. W Linuksie jest to netfilter, dostarczany wraz z narzędziami przestrzeni użytkownika iptables, który w przyszłości zostanie zastąpiony przez nftables. W BSD, a w szczególności FreeBSD, administratorzy mają do wyboru trzy konkurencyjne zapory: pf, ipfw oraz ipfilter (znaną również jako ipf), które w połączeniu z altq (pf) i dymmynet (ipfw) oferują dodatkowe mechanizmy kontroli przepływu danych.

Bogaty wybór

Lista specjalizowanych zapór sieciowych rozwijanych na zasadach open source jest długa. Wśród dystrybucji bazujących na Linuksie warto wymienić IPFire, IPCop, Zeroshell, VyOS, Smoothwall Express oraz systemy klasy UTM, w tym Untangle. Oprogramowanie to dostarcza funkcje routingu, zapory sieciowej z mechanizmami IPS/IDS, moduły ochrony przed wirusami, phishingiem, spyware i spamem, filtr treści, serwery VPN oraz oprogramowanie proxy pośredniczącego. W tej kategorii Untangle ma sporą konkurencję w postaci Endian Firewall, Sophos UTM oraz bardziej ogólnych dystrybucji na serwer sieciowy, takich jak Zentyal, NethServer albo Clear­OS. W oprogramowaniu klasy UTM znajdziemy również funkcje pomocne w zarządzaniu sieciami Wi-Fi, zabezpieczaniu dostępu dla urządzeń Internetu rzeczy (IoT), wdrażaniu strategii BYOD w organizacji oraz dostarczaniu publicznych hotspotów z portalem dostępowym (captive portal).

Na Linuksie bazuje też większość tzw. alternatywnego firmware’u dla routerów klasy SOHO, takich jak OpenWrt i jego fork LEDE, a także Tomato czy DD-WRT. Z drugiej zaś strony, wśród zapór programowych silną reprezentację mają rozwiązania oparte na systemach klasy BSD, do których zaliczamy dobrze znane administratorom projekty pfSense, OPNsense, m0n0wall i SmallWall. Każdy projekt stara się wyróżnić spośród konkurencji i wypełnić pewną niszę na rynku. Przykładowo VyOS to sieciowy system operacyjny, który został zaprojektowany jako alternatywa dla klasycznych rou­terów. Uwaga autorów skupia się tutaj na funkcjach routingu, choć usługi takie jak zapora sieciowa i VPN są również dostępne. Co ciekawe, w odróżnieniu od innych produktów VyOS zarządzany jest z poziomu wiersza poleceń, czyli podobnie jak routery.

Funkcje zapory

Typowa dystrybucja na bramę internetową może realizować wiele funkcji sieciowych na styku internetu (ISP) oraz sieci lokalnej. Dotyczy to obsługi statycznych i dynamicznych protokołów routingu (BGP, OSPF, RIP), filtrowania ruchu sieciowego dla IPv4 i IPv6 w oparciu o hosty w sieci oraz segmenty zabezpieczeń. Dystrybucja może dostarczać wiele dodatkowych funkcji sieciowych, takich jak NAT, przekierowanie portów czy DMZ. Na bramie sieciowej można też wdrażać usługi VPN w modelu punkt-punkt oraz zdalny dostęp dla protokołów PPTP, L2TP/IPsec oraz OpenVPN, a także serwery DNS i DHCP dla sieci lokalnej z obsługą sieci VLAN w standardzie 802.11q. Funkcje te realizowane są za pomocą otwartego oprogramowania, takiego jak iproute2, Quagga, netfilter, iptables, l7-filter, Snort, squid, ClamAV, ISC DHCP, Bind, OpenVPN, StrongS/WAN i wielu innych.

Zasadnicze różnice w sposobie tworzenia reguł iptables oraz zapór BSD mają znaczenie w zabezpieczaniu serwerów albo masowych wdrożeniach DevOps. Nieco inaczej rzecz się ma w przypadku dystrybucji na bramę internetową, gdzie administratorzy docenią możliwość konfiguracji systemu z poziomu intuicyjnego w obsłudze panelu webowego. To kierunek znany ze sprzętowych zapór i systemów klasy UTM. Wszystkie złożone aspekty zarządzania systemem Linux/BSD i jego usługami zostają ukryte za wygodnym w użyciu i prostym w obsłudze interfejsem administratora. Panel webowy umożliwia konfigurację niemal każdego aspektu działania usług sieciowych obsługiwanych na bramie, monitorowanie stanu systemu i sieci oraz dostęp do dzienników zdarzeń oraz statystyk prezentowanych w formie tabelarycznej i wykresów.

Modularna budowa wielu systemów sprawia, że funkcje bramy mogą być włączane na żądanie. Podejście to podnosi bezpieczeństwo całego systemu oraz upraszcza jego konfigurację. Kwestie bezpieczeństwa realizowane są tutaj na wielu płaszczyznach – od domyślnej konfiguracji systemu pod kątem zabezpieczeń (hardened), przez segmentację ruchu sieciowego, po system automatycznych aktualizacji, który pomaga szybko łatać wykryte luki w oprogramowaniu zapory. W dystrybucjach klasy UTM dodatkowe funkcje serwera (darmowe i płatne) wdrażane są ze sklepu z aplikacjami.

Komercjalizacja open source

Oprogramowanie zapory sieciowej można zainstalować na komputerze PC, serwerze lub urządzeniu wbudowanym (wybrane dystrybucje). Coraz więcej organizacji decyduje się na wdrożenie firewalla jako maszyny wirtualnej i taki scenariusz z powodzeniem może być realizowany również z wykorzystaniem oprogramowania open source.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej