pfSense Firewall s podporou 3G, EDGE a GPRS

Firewall je základný prvok digitálnej bezpečnosti. Mala by ho používať každá firma, ktorá ma pripojenie do internetu. Od vlastností použitého firewall-u závisí Vaša bezpečnosť a možnosti riešení, ktoré zjednodušujú prístup k Vašim serverom, alebo aplikáciám pre zamestnancov alebo zákaníkov z intenretu. Samozrejme toto všetko má dopad na cenu, ktorú na požadované riešenie musíte vynaložiť.

V dnešnej dobe sa firmy pripájajú do internetu hlavne cez DSL, kde k službe automaticky dostanú štandardný DSL router. Tento DSL router by som určite neodporúčal používať ako hlavný firewall pre firmu aj keď je to malá firma. Je to zariadenie určené pre domácnosti. Už v prípade, že nejaká Vaša služba je/musí byť dostupná z internetu, je štandardný DSL router nepostačujúci.

Firmám odporúčam používať zariadenia teda firewally na to určené, od známich svetových výrobcov Juniper, Cisco, Checkpoint, alebo firewall ktorý vyrábam: pfSense Firewall a tomu sa chcem v tomto článku venovať.

Základný popis

pfSense Firewall je založený na open source distribúcií FreeBSD upravenej práve pre použitie ako firewall, proxy server, web cache, intrusion prevention and detection system (IDS/IPS) a web application firewall (WAF). Silu a felxibilitu tomuto firewallu dodáva aj systém balíkov, ktorými môžete rozšíriť funkcionalitu firewallu bez obáv pred potencionálnymi bezpečnostnými hrozbami. pfSense Firewall používa na Slovensku už mnoho zákazníkov od malých až po veľké organizácie a tiež lokálny poskytovatelia internetu, kde chráni stovky zariadení pripojených do internetu.

Presný popis vlastností pfSense firewallu nájdete na tejto linke:
http://shop.erikkirschner.sk/pc-engines/pfsense-3f-firewall-proxy-server-and-traffic-shaper/

Ďalej budem popisovať vlastnosti, alebo riešenia, ktoré iné zariadenia v tejto cenovej relácií nemajú. Je to hlavne riešenie záložného pripojenia v pripade výpadku primárnej linky, kryptovanie a predstavenie HW variant pfSense Firewallu, ktorý vyrábam.

Príklad zapojenia pfSense Firewallu s backup linkou cez 3G a kryptovaným tunelom cez Internet do datacentra Rackscale pre prístup k svojím serverom.

Možnosti záložného pripojenia  (backup)

pfSense Firewall na rozdiel od mnohých iných firewallov vie robiť automatickú zálohu v prípade výpadku primárneho pripojenia do internetu.  Tu môže nastať viac variant:

Varianta č.1, záložná linka cez DSL
Pripojenie do internetu je priamo cez jedno FastEthernet rozhranie a záložná linka je cez druhé FastEthernet rozhranie pripojené do DSL routra (DSL router je nakonfigurovaný ako DSL modem). Tretie FastEthernet rozhranie je pripojné do Vašej LAN siete.

Varianta č.2, záložná linka cez 3G mobilného operátora
Primárne pripojenie do internetu je realizované cez prvé FastEthernet rozhranie pripojené do DSL routra (DSL router je nakonfigurovaný ako DSL modem) a do USB portu je pripojený USB modem podporujúci pripojenia 3G, HSDPA (do 7,2 Mbps), HSUPA (do 2,0 Mbps), EDGE a GPRS (Orange, T-Mobile, O2).

V oboch variantách v prípade výpadku alebo prerušenia primárnej linky sú automaticky dáta presmerované do záložnej linky. Keď je primárna linka opäť v poriadku, dáta sa presmerujú do primárnej rýchlejšiej linky. Týmto mechanizmom je zabezpečené pripojenie do internetu s vyššou dostupnosťou. Pozri obrázok.

Kryptovanie IPSec, OpenVPN, L2TP, PPTP

pfSense Firewall umožňuje vytvoriť kryptovaný tunel medzi cez internet medzi centrálou, pobočkou a napríklad aj dátovým centrom. Bezpečne dokáže prepojiť dve lokality cez internet pomocou IPSec alebo OpenVPN protokolu.

Pre bezpečný mobilný vzdialený prístup do firemnej siete pre obchodníkov, alebo z dôvodu práce z domu je tiež možné použiť protokoly IPSec, OpenVPN, L2TP alebo PPTP. V tomto prípade sa do notebookov, počítačov alebo tabletov/mobilov nainštaluje klientská aplikácia, ktorá zabezpečí kryptovaný tunel cez internet. V prípade iPhonu, iPadu alebo Apple Mac OS X je IPSec klient zabudovaný v rámci iOS/OS daného zariadenia a teda nie je potrbené nič inštalovať. Pozri obrázok.

Hardware varianty

pfSense 3F Firewall, Proxy Server and Traffic Shaper s/bez WiFi
pfSense Firewall 3F má 3x rozhrania FastEthernet (10/100Mbps), 1x WiFi a 2x USB port. Do internetu je najčastejšie pripojený cez FastEthernet rozhranie buď priamo, alebo cez DSL router (v tomto pripade je DSL router nakonfigurovaný len ako modem). Prihlasovacie údaje k DSL účtu su zadávané priamo v pfSense Firewalle.

Výkonnosť tohto typu zariadenia je:
Throughput Clear Traffic: 60-70Mbps
Crypto Traffic IPSec: 10-15Mbps
Crypto Traffic IPSec with crypto module card: 34Mbps

pfSense 2G/4G High Performance Firewall, Proxy, Web Cache & Traffic Shaper
pfSense 2G/4G High Performance Firewall je v rackmount prevedení a má podla typu buď 2 alebo 4 Gigabit Ethernet porty (10/100/1000Mbps) a 2x USB port.

Výkonnosť tohto typu zariadenia je:
Throughput Clear Traffic: 500-700Mbps
Crypto Traffic IPSec: 200-300Mbps

Záver

V prípade, že Vás pfSense Firewall vyrábaný na Slovensku zaujal, kontaktujte ma cez mail erik.kirschner@rackscale.sk. Viem Vám navrhnúť riešenie presne šité pre Vaše potreby aj s realizáciou na kľúč a následnou starostlivosťou a podporou počas prevádzky. pfSense Firewall je možné si kúpiť aj ako službu, teda bez investičných nákladov.