Обзор DynFi Firewall
Мне попался "первый французский брандмауэр с открытым исходным кодом", который я сразу взялся опробовать!
Однако, он настолько же французский, насколько российские ноутбуки российские. На деле это форк OPNsense.
Тут нужно рассказать предысторию. Компания ранее называлась ToDoo. Они занимались распространением pfSense в роли дистрибьютора, пока в 2014 году компания Netgate не купила pfSense. Netgate изменили условия для дистрибьюторов и они тут же решили примкнуть к уже готовому на тот момент продукту OPNsense стать самостоятельными разработчиками. В 2015 году они стали поддерживать OPNsense, но, по их словам, играть чуть ли не ключевую роль в разработке. Дистрибьюторы, то есть, те, кто продают программное обеспечение, любят рассказывать такие сказки. Сказки, потому что в 99% случаев дистрибьютор занимается только распространением продукта и не имеет программистов в штате вообще.
На самом деле это типичная история, такое было и в России. Правообладатель изменил условия для распространителей (дистрибьюторов) и они тогда начинают нанимать программистов, платят какой-нибудь индийской фирме и под своим брендом выпускают свой "уникальный" софт. Сразу с нуля сделать серьезный продукт невозможно, поэтому это разумный шаг. Главное, чтобы это не было вечной перепродажей индийского продукта, а постепенно перешло в действительно собственную разработку, где больше половины кода будет написано своими программистами.
Думаю, стоит привести цитату с их сайта "ToDoo активно поддерживает создание программного форка pfSense: OPNsense®, мы были одним из первых партнеров проекта в 2015 году.". Во-первых, OPNsense появился еще в 2014 году, а в 2015 состоялся официальный релиз стабильной версии, и они присоединились к готовому продукту. Во-вторых, по тексту они пишут так, будто бы они делали основной вклад в OPNsense, но сейчас есть веб-архив, который позволяет посмотреть старые версии отдельных веб-страниц. Если посмотреть в веб-архиве страницу с партнерами за 2015, 2016 и 2017 годы, то в списке нет ни ToDoo, ни DynFi. Более того, я просмотрел архивные копии веб-страницы с перечислением партнеров OPNsense за весь 2015 год, и там нет упоминания ToDoo или DynFi. Возможно, кто-то из их программистов действительно участвовал, но ToDoo не вносила весомый вклад в OPNsense, иначе они были бы отмечены в разделе Партнеры.
В 2019 они решили сделать форк OPNsense под названием DynFi Firewall, а уже в 2020 переименовали компанию ToDoo в DynFi.
Они делают ставку на системе DynFi Managed, которая позволяет централизовано управлять политиками брандмауэра.
Мои претензии направлены только на то, что они сильно приукрашивают своё участие в разработке OPNsense, что свойственно для дистрибьюторов программного обеспечения, а сейчас называют DynFi Firewall первым французским брандмауэром с открытым исходном кодом. Аналогичная ситуация со многими нашими отечественными операционными системами, который простои взяли Debian и навешали на него дополнительное ПО и библиотеки. Согласитесь, нельзя сказать, что разработали российскую операционную систему? Разработали российский дистрибутив (установщик) международной ОС Linux. Вот и с DynFi Firewall такая же история.
Однако сама по себе история мне нравится! Появление ответвления, то есть, нового межсетевого экрана. Конкуренция - хорошо, монополия - плохо. У DynFi Firewall есть свои преимущества, хотя при просмотре в целом, это тот же самый OPNsense без плагинов и возможности даже вручную установить Zenrmor.
Устанавливаем французский межсетевой экран.
Все этапы установки показывать смысла нет, так как он точная копия процесса установки на OPNsense.
Идёт процесс установки.
Установка завершена, но для того, чтобы пройти аутентификацию, мне пришлось помучиться, так как в документации у них не указан логин и пароль по умолчанию.
По умолчанию логин root, а пароль dynfi.
На данном этапе нужно проверить, что он правильно идентифицировал ваши сетевые интерфейсы. 1 пункт позволяет инициализировать и обозначить сетевые интерфейсы, а 2 пункт - задать IP-адрес, маску и шлюз.
Зайти в веб-интерфейс можно с внутреннего интерфейса (lan) через браузер по IP-адресу межсетевого экрана DynFi Firewall. Данные для доступа всё еще root/dynfi.
При авторизации нас встречает приветствие мастера первичной настройки.
Тут необходимо указать имя узла, домен, DNS-сервера и язык веб-интерфейса.
Первичная настройка завершена.
И вот нас встречает привычная страница OPNsense. С одной стороны, ничего не поменяли, и напрашивается вопрос, зачем вообще тогда это всё? С другой стороны, зачем менять то, что и так удобно? Когда удобно, тогда удобно.
Перевод, конечно, замечательный. Я могу ошибаться, но мне кажется, что в OPNsense он не такой кривой. По-правильному, это график сетевого трафика в режиме реального времени.
Как истинный потомок OPNsense, Dynfi силён различными графиками.
Надеюсь, вы меня простите, но нет желания показывать настройки, которые практически идентичны с OPNsense. Единственное, пропало главное преимущество - плагины. И Zenarmor поставить не получится, даже через команду в консоль.
Можно импортировать ключ УЦ или создать свой самоподписанный. Волшебником, кстати, называют мастер первичной настройки системы.
Настройки сетевых интерфейсов. Тут ничего нового.
Алиасы - имена переменных для внутреннего использования. Как правило, в них содержатся списки доменов или IP-адресов.
Вот это уже интересно - возможность подгрузить базу GeoIP по своему URL-адресу. Такого у его предка я не видел, поэтому интересно, но реализовано весьма топорно. Это попытка скопировать расширение pfBlockerNG из pfSense, но при сравнении эта реализация вызывает смех.
Хорошо, указал URL и нажал применить, но ничего не подгрузилось. Оба предка Dynfi Firewall выглядят более качественно.
Правила сетевого экрана для LAN.
Правила сетевого экрана для WAN.
Также есть шейпер, какие-то категории (по умолчанию пусты, и чем заполняются - не понятно) и группы.
Также есть возможность настроить сервер виртуальных частных сетей для подключения из внешней сети во внутреннюю сеть межсетевого экрана, например, для подключения из дома к офисной сети.
c-icap, который 1 в 1, как у предка.
Настройки антивируса ClamAV для ICAP сервера. Можно указать зеркало обновлений сигнатур угроз.
Captive Portal, DHCP, DNS и FreeRADIUS. Полезные вещи, которые без изменений перетекли от предка.
Та же самая топорная реализация интерфейса системы обнаружения вторжений.
Загрузка правил для IDS. Сначала нужно выделить правило, нажать кнопку включить, потом опять выделить правило и нажать скачать.
Такой же ужасный интерфейс правил. По умолчанию только предупреждение. Возможности изменить действие сразу для всех нет. В ответвлении нет смысла, удаляю. Это конечно сарказм, но что мешает один раз сделать для людей? OPNsense не позиционирует себя как удобный продукт. Они позиционируют себя как свободный аналог коммерческих межсетевых экранов, что не предполагает удобство. Dynfi по описанию позиционирует себя как продукт для людей, таковым не являясь.
Предупреждения о событиях в IDS.
Точная копия политики системы обнаружения вторжений предка, со всеми её недостатками, которые делают невозможным её использование новичком. Для того, чтобы IDS/IPS работала, нужно создать политику.
Проблема в том, что там где у меня ничего не выбрано, скорее всего должны быть указаны конкретные правила. Иначе это может трактоваться как не использовать никакие правила в данной политике. Это, конечно, следует проверить более тщательно, но именно такое ощущение у меня сложилось после проверки этой же функциональности у его предка.
У того же Endian или IPFire есть возможность изменить действие для целой группы. Это легко и удобно, почему нельзя тут сделать так же? Потому что одно дело скопировать и изменить под себя, а другое - действительно что-то разработать. Скопировать OPNsense и я могу, поменять название, изменить логотип и назвать первым российским межсетевым экраном с открытым исходным кодом.
Monit - это легковесная система мониторинга серверов. Если правильно помню, у предка Monit устанавливался через плагины, а тут сразу из коробки установлен.
Далее идет OpenDNS. Также есть сервер синхронизации времени, ntopng для мониторинга трафика, SMART статус и Unbound DNS. Последний признан устаревшим в последних версиях предка, и его собираются исключать, а тут он не считается устаревшим.
Антивирус ClamAV. Можно указать зеркало для обновлений.
Это уже что-то вроде IPS от разработчиков ntop, но мне не понятно, работает ли она без ввода лицензии во вкладке Лицензия.
Какую-то отчетность я не нашел, возможно, она отображается в ntop, который с настройками из коробки не включился, а разбираться желания не было.
Тот же прокси, что и OPNsense. Кривоватый в плане настроек. Настроить с первого раза так, чтобы он работал, очень сложно, зато веб-странички открываются без тормозов.
Наконец-то я вижу их собственную разработку. Хвалёный DynFi Manager, но управлять им можно только через их портал, либо отдельный сервер нужно поднимать.
Идея очень классная - через единый интерфейс смотреть статистику всех межсетевых экранов и управлять правилами брандмауэра. DynFi Manager поддерживает DynFi Firewall, pfSense и OPNsense.
Они пишут "Dynfi Manager можно бесплатно загрузить и использовать для администрирования до трех брандмауэров.". Цена лицензии от 4 межсетевых экранов начинается от 400 евро в год. Хороший способ заработать.
Вывод
На мой личный взгляд это простой копипаст межсетевого экрана OPNsense, который не просто не добавляет ничего нового, но и удаляет ряд востребованных моментов, например, плагины. Для того, чтобы оценить их глубину переработки базы OPNsense, достаточно посмотреть тут и сразу станет ясно, что всё это чистый маркетинг и не более того. Сравните с количеством изменений у оригинального проекта, тогда и у вас все вопросы отпадут сами собой.
Если нужно централизованное управление через DynFi Manager, тогда лучше обратить внимание на OPNsense или pfSense, ведь DynFi Manager их тоже поддерживает.
Однако, в OPNsense тоже есть возможность централизованного управления (Central Management) или через плагины можно установить Zenamor, в котором из коробки есть инструмент для централизованного управлениях через их сайт. Не изучал ограничения такого управления, но бесплатно что-то можно сделать. Про Zenamor в OPNsense писал тут.