Netdeep Secure Firewall
Netdeep Secure Firewall
Категория: Железо Теги: Межсетевые экраны Опубликовано: 24 марта 2024

Netdeep Secure Firewall

Очередной свободно-распространяемый межсетевой экран Netdeep Secure Firewall, который распространяется по лицензии GNU General Public License version 2.0.

Он не заброшен, и версия 3.6.3690 была опубликована 2023-12-27. Вот его описание.

Netdeep Secure основан на Linux и ориентирован на сетевую безопасность.

Это брандмауэр нового поколения с открытым исходным кодом, который обеспечивает множество функции сетевой безопасности. Его настройка полностью производится через веб-интерфейс.

Функции Netdeep Secure:

NGFW;
UTM;
якобы до L7;
глубокая проверка пакетов;
URL-фильтр;
удобный веб-интерфейс;
антивирус (так и не смог заставить его работать);
отчеты и аудит;
безопасное соединение через VPN;
якобы обнаружение и предотвращение вторжений, которое я не смог найти;
DHCP, DNS, VLANS, BRIDGE, DynDNS;
контроль траффика;
резервирование, балансировка и аварийное переключение;
репутация IP/DNS.

Теперь буду по порядку показывать функционал. Управляется сие чудо через веб-интерфейс с локальной сети (интерфейс Green) и порт используется 8443, то есть для доступа нужно указать https://IP_Адрес_межсетевого_экрана:8443.

Можно настроить удаленный доступ по SSH, который по умолчанию отключен.

Удаленный доступ по SSH

Далее идёт планировщик задач. А-ля cron с графическим интерфейсом.

Планировщик задач

Также отдельное меню посвящено проверке наличия обновлений, но делать его скриншот не интересно, так как там всего две кнопки.

Раздел Backup позволяет создать зашифрованную резервную копию и соответственно восстановить из резервной копии.

Резервное копирование и восстановление

Есть настройки веб-интерфейса с тремя языками, но среди них нет русского. Также там можно включить различные счетчики для главной страницы.

Самое главное - страница описания About.

Вкладка About

Фишка этого межсетевого экрана в том, что при установке тебя просят указать пароль для трех пользователей: root, admin и operator. У каждого свои полномочия. Соответственно, под root ты не сможешь зайти в веб-интерфейс.

Управление пользователями

Не люблю такие разделы, но дальше идёт вкладка Status с 6-тью подпунктами.

Уровень использования CPU и ОЗУ

График сетевого траффика

Кстати, забыл упомянуть важную черту этого межсетевого экрана! Он при установке сразу просит указать какой интерфейс Green, то есть локальная сеть, а какой интерфейс red, то есть интернет. Еще есть Orange и Blue, но их значение не записал.

Техническая информация о системе

Дальше идёт таблицы с правилами сетевого экрана, и кстати именно благодаря им мы узнаем, что тут используется IPTables.

Потом идет информация о статусе сети, а после неё статус системы.

Статус системы в Netdeep Secure Firewall

И да, запустить антивирус у меня так и не получилось.

Далее блок Network и первым пунктом Алиасы. Можно задать свой алиас для определенного IP.

Алиасы

Потом популярный у провайдеров шэйпер, который позволяет управлять скоростью соединения.

Ограничение скорости для клиентов межсетевого экрана

Потом идёт стандартная для всех роутеров Dynamic DNS, и настолько наскучившая, что делать скриншот нет желания, хотя функция безусловно полезная. Речь о том, что с ними сейчас умеет работать даже самый дешевый роутер.

Потом идет некий редактор hosts файла.

Следующий раздел, по всей видимости для модемного соединения.

Настройки модема

Потом настройки PPPoE.

Настройки PPPoE

Далее пошел блок Services и это действительно интересный блок! Первым пунктом Антивирус!

Антивирус в netdeep secure firewall

Так у меня и не получилось запустить антивирус. Суть в том, что он не включится, пока не будет обновлена база, а база не обновляется из России... Указать зеркало обновлений возможности нет. Мне даже VPN не помог обновить антивирус.

Далее настройки портала.

Настройки портала межсетевого экрана

Что интересно, так это возможность заменить логотип... 

Далее идёт URL-фильтр, и для того, чтобы его включить недостаточно нажать Enabled! Еще нужно в Web proxy включить редиректоры.

URL-фильтр

Для того, чтобы категории на скриншоте выше появились, нужно в конце страницы поставить галочку Blacklist Update и нажать кнопку Update now.

Кстати, проверить работоспособность этих категорий я не смог, так как мой OPNsense упорно выдаёт мне безопасную выдачу))))

Настраиваемые черные списки для URL-фильтра

Можно задать свои черные списки и белые списки.

Сетевые настройки управления доступом

Обновление черных списков

Дальше идёт Network monitor.

Network monitor

При нажатии на кнопку Monitor traffic открывается вкладка с тем же IP, но уже не по порту 8443, а по порту 3000.

Мониторинг траффика

Обозреватель угроз

Дальше идёт web-proxy (squid).

Настройки веб-прокси

Расширенные настройки веб-прокси

Дополнительные настройки веб-прокси

Настройки веб-браузеров и редиректоров в Web-proxy

Мне очень понравилась возможность разрешить только определенные веб-браузеры! 

Для работы URL-фильтров нужно именно тут поставить галочку Enabled в блоке Redirectors.

Смысла ставить проверку при помощи ClamAV тут нет, если он у вас не обновился, так как тогда не будут открываться веб-страницы совсем.

И кстати, галочка Enable ssl inspection действительно работает! Главное загрузить CA Certificate и установить его в качестве доверенного корневого центра сертификации и тогда он действительно расшифровывает ssl. Напоминаю, что в некоторых браузерах своё хранилище сертификатов, например, firefox.

Дальше идёт вкладка с настройками NTP для синхронизации времени, а после неё вкладка со стандартными настройками DHCP-сервера.

Потом вкладка с настройками Radius сервера.

Настройки Radius server

Далее идут немного странные настройки SNMP.

Настройки SNMP

Странные, потому что не очень понятно что заполнять в некоторые поля в какой роли выступает этот модуль? Сервер? Агент?

Далее идёт большой блок с вкладками Firewall.

Настройки файрволла

Настройки адресов в сетевом экране.

Настройки адресов

Группы адресов

Группы служб

Настройки интерфейсов в сетевом экране

Правила сетевого экрана

Хочу отметить, что это один из самых удобных интерфейсов для настройки правил сетевого экрана, даже несмотря на то, что он на английском. Отдельный протокол, отдельную службу, или в направлении конкретной страны. Очень удобно. Пожалуй это нужно показать.

Редактирование правила сетевого экрана

Добавляем правило межсетевого экрана

Далее правила беспроводного доступа.

Правила беспроводного доступа

Интересно, но отдельного меню для настройки wi-fi точки доступа я не нашел... к чему этот пункт?

Потом настройки служб.

Настройки служб в сетевом экране

Внизу список дефолтных служб и он очень длинный!

Дальше раздел виртуальных частных сетей. Открывают раздел настройки IPSec. Это очень хорошая история, когда нужно обеспечить безопасный доступ к домашней сети, например, с работы или при нахождении в командировке.

Настройки IPSec

Далее настройки OpenVPN, но вкладка называется ssl.

Настройки OpenVPN

Далее раздел сертификатов.

Настройки сертификатов в Netdeep Secure Firewall

После идёт большой блок отчетов. Отдельно каждую вкладку показывать не хочу.

Отчеты

На главной странице упоминается IDS, но при попытке нажать на неё видишь 404.

IDS тут нет

Видимо IDS есть только в корпоративной версии, которая уже платная.

Вывод

В целом, это достаточно качественный межсетевой экран. Прокси и правила межсетевого экрана сделаны очень качественно. Отдельный веб-интерфейс для мониторинга сетевого траффика это просто бомба, и мониторинг угроз. Очень круто сделано. Из коробки работает интернет на компьютерах, которые ты подключаешь к межсетевому экрану. Главное во время установки задать Red и Green интерфейсы.

Он умеет расшифровывать траффик, если вы установите в систему и в браузер его сертификат.

Однако, в качестве домашнего межсетевого экрана я бы себе его не поставил. Антивирус ClamAV не обновляется из России и нет возможности указать зеркало, поэтому антивирусной проверки траффика на прокси нет. Нет никакой системы обнаружения вторжений.

Да, правила межсетевого экрана очень качественные и настраивать их одно удовольствие! Тем не менее, для этого требуются очень прямые и очень опытные руки, иначе толку будет мало. Именно поэтому, я рекомендую вам оставить свой выбор на OPNsense с IPS или OPNsense с Zenarmor.

Алексей Черемных
416