Выпуск дистрибутива для создания межсетевых экранов OPNsense 17.1

02.02.2017 10:34

Представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 17.1 (форк проекта pfSense). Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Готовые сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (250 Мб).

Основные новшества:

Обновление системных компонентов до FreeBSD 11 с дополнительной интеграцией патчей для повышения защищённости (ASLR, PIE, SEGVGUARD), разработанных проектом HardenedBSD;
Реализация возможности удалённой установки по SSH. После загрузки установочного образа системе назначается IP 192.168.1.1 и запускается DHCP-сервер, что позволяет осуществить установку с подключенной к той же локальной сети клиентской системы, подключившись по SSH с логином "installer" и паролем "opnsense";
Механизм безопасной установки обновлений расширен средствами для ведения полного лога всех изменений и новыми возможностями аудита установленных версий программ на предмет наличия в них известных уязвимостей;
В состав включены новые плагины для FTP Proxy, Tinc VPN и Let’s Encrypt;
Возможность применения PAM для организации двухфакторной аутентификации (2FA over SSH);
Переработана nano-сборка, оформленная в виде готового образа для карт памяти. Задействована утилита growfs для автоматической адаптации образа под размер носителя;
Реализован режим изоляции туннелей IPsec;
Добавлена поддержка mesh-маршрутизации для VPN;
Расширены возможности по работе через нескольких провайдеров (правила межсетевого экрана, средства ограничения пропускной способности и captive portal могут совместно использоваться на нескольких WAN-интерфейсах);
В RESTful API и систему плагинов включены средства для использования подключаемых наборов правил межсетевого экрана и дополнительных сервисов аутентификации;
Добавлена поддержка PHP 7.0 и проведена оптимизация web-интерфейса.

Напомним, что целью ответвления OPNsense от проекта pfSense было желание сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).

Среди возможностей OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45963-opnsense

Ключевые слова: opnsense

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, dkg (?), 11:35, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Зачем плодить одно и то же? Есть Pfsense, бесплатный, стабильный. Имхо у opnsense совсем мало отличий, для форка.

2.3, Аноним (-), 11:52, 02/02/2017 [^] [^^] [^^^] [ответить]	+5 +/–
У всех открытых проектов есть фатальный недостаток и форки должны их справить

2.6, Аноним (-), 12:37, 02/02/2017 [^] [^^] [^^^] [ответить]	+3 +/–
> Зачем плодить одно и то же? Есть Pfsense, бесплатный, стабильный. Имхо у > opnsense совсем мало отличий, для форка. В том то то и дело, что Pfsense не совсем открытый проект - инструменты для сборки закрыты, а изменения принимаются по указке коммерческой компании.

2.13, Аноним (-), 16:09, 02/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Отличия небольшие есть, конечно. Но в основном - аксиома Эскобара.

1.2, dkg (?), 11:38, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
А так да, штука получше всяких Kerio.

1.5, Аноним (-), 12:32, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Кстати, у кого-нибудь получилось на *sense завести из коробки SSO через AD?

2.11, коньяк (?), 14:10, 02/02/2017 [^] [^^] [^^^] [ответить]	+/–
лично я не слышал, но оказался бы рад подключаться через него

1.7, Аноним (-), 12:43, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
ну что когда там теперь фейсбук впн залявный запилит? не сочтити за офтоп

2.10, zanswer CCNA RS (?), 13:57, 02/02/2017 [^] [^^] [^^^] [ответить]	+/–
Facebook анонсировали свой VPN протокол?

3.12, коньяк (?), 14:13, 02/02/2017 [^] [^^] [^^^] [ответить]	+/–
а почему не сделать этого?

4.16, zanswer CCNA RS (?), 21:13, 02/02/2017 [^] [^^] [^^^] [ответить]	+/–
Почему не создать новый протокол? А для чего? Какие недостатки вы видите в существующих?

5.23, Аноним (-), 08:28, 03/02/2017 [^] [^^] [^^^] [ответить]	+/–
Такие же, как сабже - NIH же!

6.25, zanswer CCNA RS (?), 08:55, 03/02/2017 [^] [^^] [^^^] [ответить]

+/–

Проблема с сетевыми протоколами в том, что их создание не чем не ограничено, а вот распространение и реализация, ограниченны производителями. Не напрямую, а опосредованно, то есть, создать новый протокол вам никто не мешает, вы даже можете написать RFC и опубликовать его с определённой долей везения. Но кто реализует или внедрит ваш протокол?

Пример с OpenVPN показывает, как трудно продвинуть новый протокол на устройства, даже при условии, что разработчики сами поддерживают реализацию протокола. Причин почему его не внедряет Cisco или Juniper, или Microsoft, много, в числе которых и наличие собственных реализаций SSL VPN протоколов к примеру.

То есть, вы создадите новый протокол, но пользоваться им никто не сможет, потому, что производители не пожелают его внедрять.

1.8, Catwoolfii (ok), 13:04, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Куда у них подевалось libressl?

1.9, Аноним (-), 13:51, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Очень важный проект, чтобы PFSense активнее работали и не борзели

2.35, Аноним (-), 20:43, 04/02/2017 [^] [^^] [^^^] [ответить]	+/–
> Очень важный проект, Более того, они держат нас в курсе.

1.15, Аноним (-), 19:03, 02/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Годнота

1.22, Catwoolfii (ok), 00:52, 03/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как в этом гребанном дистре включить wan access? редирект в nat не помогает

2.26, klim (??), 09:25, 03/02/2017 [^] [^^] [^^^] [ответить]	+/–
правило на ван сделай

1.24, Аноним (-), 08:53, 03/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Rock me Amadeuz. Для армов версии нету. печаль.

1.27, Аноним (-), 10:43, 03/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
L7 в нем реализовали или так же как и в родном пф нету с 1.2.3?

2.30, zanswer CCNA RS (?), 18:33, 03/02/2017 [^] [^^] [^^^] [ответить]	+/–
OpenBSD PF обладает возможностью инспекции пакетов на Layer 7 модели OSI?! Или я не правильно вас понял?

3.31, . (?), 03:55, 04/02/2017 [^] [^^] [^^^] [ответить]	+/–
Нет конечно - не могет он такого. Но кто тебе сказал что там только pf?! :-) Туда столько всего всунуто ... но я про pfSence - этот даже не пробовал ещё :(

4.32, zanswer CCNA RS (?), 08:10, 04/02/2017 [^] [^^] [^^^] [ответить]

+/–

В PFSense судя по их вики, ipfw-classifyd удалили, но и при его наличие это было очень не эффективно из-за высокой нагрузки на CPU.

А вот использование Snort выглядит предпочтительным и разумным, вот только где брать для него готовые сигнатуры? Cisco свои или TrendLab IPS сигнатуры к Snort не предоставляет, самостоятельное их создание выглядит практически не реальным. Как вы выходите из этой ситуации?

5.38, Аноним (-), 21:43, 06/02/2017 [^] [^^] [^^^] [ответить]	+/–
я рад что о обо мне думают. но всеже если у меня есть все ресурсы чтобы смотреть трафик(не нужное отсекать) почему решили что оно мне не надо? может быть заговор? может это комуто выгодно?

1.37, Аноним (-), 13:37, 06/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Подскажите маленькую, дешёвую и тихую железку с двумя сетевыми портами, на которую можно поставить сабж. На оф-сайте pfSense какие-то уж очень дорогие варианты. Раньше ALIXы были хорошим вариантом, но теперь их в России днём с огнём не сыщешь.

2.39, Аноним (-), 10:54, 11/02/2017 [^] [^^] [^^^] [ответить]	+/–
microserv gen 8

игнорирование участников | лог модерирования

Добавить комментарий

Текст: