DynFi Firewall
DynFi Firewall
Категория: Железо Теги: Межсетевые экраны Опубликовано: 9 апреля 2024

DynFi Firewall

Мне попался "первый французский брандмауэр с открытым исходным кодом", который я сразу взялся опробовать! 

Однако, он настолько же французский, насколько российские ноутбуки российские. На деле это форк OPNsense.

Тут нужно рассказать предысторию. Компания ранее называлась ToDoo. Они занимались распространением pfSense в роли дистрибьютора, пока в 2014 году компания Netgate не купила pfSense. Netgate изменили условия для дистрибьюторов и они тут же решили примкнуть к уже готовому на тот момент продукту OPNsense стать самостоятельными разработчиками. В 2015 году они стали поддерживать OPNsense, но по их словам играть чуть ли не ключевую роль в разработке. Дистрибьюторы, то есть те, кто продают программное обеспечение любят рассказывать такие сказки. Сказки, потому что в 99% случаев дистрибьютор занимается только распространением продукта и не имеет программистов в штате вообще.

На самом деле это типичная история, такое было и в России. Правообладатель изменил условия для распространителей (дистрибьюторов) и они тогда начинают нанимать программистов, платят какой-нибудь индийской фирме и под своим брендом выпускают свой "уникальный" софт. Сразу с нуля сделать серьезный продукт невозможно, поэтому это разумный шаг. Главное, чтобы это не было вечной перепродажей индийского продукта, а постепенно перешло в действительно собственную разработку, где больше половины кода будет написано своими программистами.

Думаю стоит привести цитату с их сайта "ToDoo активно поддерживает создание программного форка pfSense: OPNsense®, мы были одним из первых партнеров проекта в 2015 году.". Во первых, OPNsense появился еще в 2014 году, а в 2015 состоялся официальный релиз стабильной версии и они присоединились к готовому продукту. Во вторых, по тексту они пишут так, будто бы они делали основной вклад в OPNsense, но сейчас есть веб-архив, который позволяет посмотреть старые версии отдельных веб-страниц. Если посмотреть в веб-архиве страницу с партнерами за 2015, 2016 и 2017 годы, то в списке нет ни ToDoo, ни DynFi. Более того, я просмотрел архивные копии веб-страницы с перечислением партнеров OPNsense за весь 2015 год и там нет упоминания ToDoo или DynFi. Возможно, кто-то из их программистов действительно участвовал, но ToDoo не вносила весомый вклад в OPNsense, иначе они были бы отмечены в разделе Партнеры.

В 2019 они решили сделать форк OPNsense под названием DynFi Firewall, а уже в 2020 переименовали компанию ToDoo в DynFi.

Они делают ставку на системе DynFi Managed, которая позволяет централизовано управлять политиками брандмауэра.

Мои претензии направлены только на то, что они сильно приукрашивают своё участие в разработке OPNsense, что свойственно для дистрибьюторов программного обеспечения, а сейчас называют DynFi Firewall первым французским брандмауэром с открытым исходном кодом. Аналогичная ситуация со многими нашими отечественными операционными системами, который простои взяли Debian и навешали на него дополнительное ПО и библиотеки. Согласитесь нельзя сказать, что разработали российскую операционную систему? Разработали российский дистрибутив (установщик) международной ОС Linux. Вот и с DynFi Firewall такая же история.

Однако, сама по себе история мне нравится! Появление ответвления, то есть нового межсетевого экрана. Конкуренция хорошо, монополия плохо. У DynFi Firewall есть свои преимущества, хотя при просмотре в целом, это тот же самый OPNsense без плагинов и возможности даже вручную установить Zenrmor.

Устанавливаем французский межсетевой экран.

Приветствие

Все этапы установки показывать смысла нет, так как он точная копия процесса установки на OPNsense.

Процесс установки

Идёт процесс установки.

Установка завершена

Установка завершена, но для того, чтобы пройти аутентификацию мне пришлось помучаться, так как в документации у них не указан логин и пароль по умолчанию. 

По умолчанию логин root, а пароль dynfi.

На данном этапе нужно проверить, что он правильно идентифицировал ваши сетевые интерфейсы. 1 пункт позволяет инициализировать и обозначить сетевые интерфейсы, а 2 пункт задать IP-адрес, маску и шлюз.

Окно аутентификации в DynFi Firewall

Зайти в веб-интерфейс можно с внутреннего интерфейса (lan) через браузер по IP-адресу межсетевого экрана. Данные для доступа всё еще root/dynfi.

Приветствие мастера первичной настройки

При авторизации нас встречает приветствие мастера первичной настройки.

Основная информация для работы межсетевого экрана

Тут необходимо указать имя узла, домен, DNS-сервера и язык веб-интерфейса.

Первичная настройка завершена

Первичная настройка завершена.

Дашбоард

И вот нас встречает привычная страница OPNsense. С одной стороны, ничего не поменяли и напрашивается вопрос, зачем вообще тогда это всё? С другой стороны, зачем меня то, что и так удобно? Когда удобно, тогда удобно.

График сетевого трафика в режиме реального времени

Перевод конечно замечательный. Я могу ошибаться, но мне кажется, что в OPNsense он не такой кривой. По правильному это график сетевого трафика в режиме реального времени.

Различные метрики

Как истинный потомок OPNsense, Dynfi силён различными графиками.

Настройки Dynfi

Надеюсь вы меня простите, но нет желания показывать настройки, которые практически идентичны с OPNsense. Единственное, пропало главное преимущество - плагины. И Zenarmor поставить не получится, даже через команду в консоль.

Центры сертификации

Можно импортировать ключ УЦ или создать свой самоподписанный. Волшебником, кстати, называют мастер первичной настройки системы.

Настройки сетевых интерфейсов

Настройки сетевых интерфейсов. Тут ничего нового.

Алиасы

Алиасы - имена переменных для внутреннего использования. Как правило в них содержатся списки доменов или IP-адресов.

GeoIP

Вот это уже интересно - возможность подгрузить базу GeoIP по своему URL-адресу. Такого у его предка я не видел, поэтому интересно, но реализовано весьма топорно. Это попытка скопировать расширение pfBlockerNG из pfSense, но при сравнении эта реализация вызывает смех.

Хорошо, указал URL и нажал применить, но ничего не подгрузилось. Оба предка Dynfi Firewall выглядят более качественно.

Правила сетевого экрана для LAN

Правила сетевого экрана для LAN.

Правила сетевого экрана для WAN.

Правила сетевого экрана для WAN.

Также есть шейпер, какие-то категории (по умолчанию пусты и чем заполняются не понятно) и группы.

Виртуальные частные сети

Также есть возможность настроить сервер виртуальных частных сетей для подключения из внешней сети во внутреннюю сеть межсетевого экрана, например, для подключения из дома к офисной сети.

c-icap в dynfi

c-icap, который 1 в 1, как у предка.

ClamAV

Настройки антивируса ClamAV для ICAP сервера. Можно указать зеркало обновлений сигнатур угроз.

Captive Portal, DHCP, DNS и FreeRADIUS. Полезные вещи, которые без изменений перетекли от предка.

Система обнаружения вторжений dynfi

Та же самая, топорная реализация интерфейса системы обнаружения вторжений.

Загрузка правил для IDS

Загрузка правил для IDS. Сначала нужно выделить правило, нажать кнопку включить, потом опять выделить правило и нажать скачать.

Правила IDS

Такой же ужасный интерфейс правил. По умолчанию только предупреждение. Возможности изменить действие сразу для всех нет. В ответвлении нет смысла, удаляю. Это конечно сарказм, но что мешает один раз сделать для людей? OPNsense не позиционирует себя как удобный продукт. Они позиционируют себя как свободный аналог коммерческих межсетевых экранов, что не предполагает удобство. Dynfi по описанию позиционирует себя как продукт для людей, таковым не являясь.

Предупреждения в IDS

Предупреждения о событиях в IDS.

Политика IDS

Точная копия политики системы обнаружения вторжений предка, со всеми её недостатками, которые делают невозможным её использование новичком. Для того, чтобы IDS/IPS работала нужно создать политику.

Добавляем политику в IDS Dynfi Firewall

Проблема в том, что там где у меня ничего не выбрано скорее всего должны быть указаны конкретные правила. Иначе это может трактоваться как не использовать никакие правила в данной политике. Это конечно следует проверить более тщательно, но именно такое ощущение у меня сложилось после проверки этой же функциональности у его предка.

У того же Endian или IPFire есть возможность изменить действие для целой группы. Это легко и удобно, почему нельзя тут сделать так же? Потому, что одно дело скопировать и изменить под себя, а другое дело действительно что-то разработать. Скопировать OPNsense и я могу, поменять название, изменить логотип и назвать первым российским межсетевым экраном с открытым исходным кодом.

Monit

Monit - это легковесная система мониторинга серверов. Если правильно помню, у предка Monit устанавливался через плагины, а тут сразу из коробки установлен.

OpenDNS

Далее идет OpenDNS. Также есть сервер синхронизации времени, ntopng для мониторинга трафика, SMART статус и Unbound DNS. Последний признан устаревшим в последних версиях предка и его собираются исключать, а тут он не считается устаревшим.

Антивирус ClamAV

Антивирус ClamAV. Можно указать зеркало для обновлений.

nProbe

Это уже что-то вроде IPS от разработчиков ntop, но мне не понятно работает ли она без ввода лицензии во вкладке Лицензия.

Какую-то отчетность я не нашел, возможно она отображается в ntop, который с настройками из коробки не включился, а разбираться желания не было.

Прокси-сервер

Тот же прокси, что и OPNsense. Кривоватый в плане настроек. Настроить с первого раза так, чтобы он работал очень сложно, за то веб-странички открываются без тормозов.

DynFi Manager

Наконец-то я вижу их собственную разработку. Хвалёный DynFi Manager, но управлять им только через их портал, либо отдельный сервер нужно поднимать. 

Идея очень классная - через единый интерфейс смотреть статистику всех межсетевых экранов и управлять правилами брандмауэра. DynFi Manager поддерживает DynFi Firewall, pfSense и OPNsense.

Они пишут "Dynfi Manager можно бесплатно загрузить и использовать для администрирования до трех брандмауэров.". Цена лицензии от 4 межсетевых экранов начинается от 400 евро в год. Хороший способ заработать.

Вывод

На мой личный взгляд это простой копипаст межсетевого экрана OPNsense, который не просто не добавляет ничего нового, но и удалят ряд востребованных моментов, например, плагины. Если нужно централизованное управление через DynFi Manager, тогда лучше обратить внимание на OPNsense или pfSense, ведь DynFi Manager их тоже поддерживает.

Однако, в OPNsense через плагины можно установить Zenamor, в котором из коробки есть инструмент для централизованного управлениях через их сайт. Не изучал ограничения такого управления, но бесплатно что-то можно сделать. Про Zenamor в OPNsense писал тут.

Алексей Черемных
217