Топ-8 межсетевых экранов Open Source для защиты сети

В данной статье пойдет речь о бесплатных межсетевых экранах, которые отличаются от своих «родственников» в сфере веб-приложений. Они предназначены для защиты инфраструктуры, а не определенного кода или приложения.

По статистике, миллионы данных крадутся или считаются утерянными каждый день.

Насколько безопасна сеть, которую использует человек? Активен ли межсетевой экран, обеспечивающий защиту сетевой инфраструктуры?

1. pfSense

Решение для обеспечения безопасности с открытым исходным кодом и пользовательским ядром на базе ОС FreeBSD. pfSense является одним из ведущих межсетевых экранов для коммерческих целей. Он доступен в виде аппаратного устройства, виртуальной машины и загружаемого двоичного файла (многопользовательская версия)

Бесплатным является последний вариант.

Из преимуществ можно выделить подробное описание условий использования и простота применения. Характерные особенности pfSense включают в себя:

• Межсетевой экран — фильтрация IP / портов, ограничение соединений, поддержка приема и передачи данных, клининг.
• Таблица состояний – по умолчанию все правила являются статусными, доступно несколько конфигураций для обработки состояний.
• Балансировка нагрузки на сервер – встроенный LB, который способен распределить нагрузку между несколькими бэкендами сервера.
• NAT (трансляция сетевых адресов) — переадресация и отражения портов.
• HA (возможность обеспечения бесперебойной работы) — переход на вторичный ресурс при отказе работы первичного.
• Multi-WAN (глобальная вычислительная сеть) – возможность использовать более одного подключения к интернету.
• VPN — поддержка IPsec и OpenVPN.
• Отчетность – пользователь способен хранить информацию о посещенных и использованных ресурсах.
• Мониторинг в реальном времени.
• Динамический DNS – использование нескольких DNS-клиентов одновременно.
• Ретрансляция и DHCP .

Функции межсетевого экрана, которые предоставляются бесплатно.

Кроме того, у пользователя также есть возможность устанавливать пакеты всего одним щелчком мыши. Например:

• Безопасность — stunner, snort, tinc, nmap, arpwatch
• Мониторинг — iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport
• Сеть – netio, nut, Avahi
• Маршрутизация — frr, olsrd, routed, OpenBGPD
• Услуги – iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

pfSense действительно выглядит многообещающе и заслуживает внимания. О хостинге подробнее можно прочитать, перейдя по ссылке .

2. IPFire

IPFire был разработан на основе межсетевого экрана Netfilter и уже завоевал доверие тысячи компаний по всему миру.

IPFire можно использовать как межсетевой экран, прокси-сервер или VPN-шлюз. Все зависит от того, как пользователь его настроит. Программа обладает достаточной гибкостью.

IDS (система обнаружения вторжений) уже встроена, поэтому атаки обнаруживаются и предотвращаются сразу после установки. С помощью Guardian (опциональное дополнение) можно запустить автоматическую профилактику.

3. OPNSense

OPNSense — это форк pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский.

OPNSense доступен на многих уровнях корпоративной безопасности и обладает функциями межсетевого экрана, такими как IPSec, VPN, беспроводная 2-факторная авторизацию, QoS, IDPS, протокол Netflow, прокси, веб-фильтр. Он совместим с 32-битной или 64-битной архитектурой системы и доступен для загрузки в виде ISO-образа и USB-установщика.

4. NG Firewall

Ng Firewall, созданный untangle, — это единая платформа, где пользователь может получить все необходимое для защиты его корпоративной сети.

Он обладает красивым интерфейсов панели инструментов, который можно оценить, перейдя по ссылке . Это похоже на магазин приложений, где человек способен включить или отключить конкретный модуль в зависимости от его требований.

В бесплатной версии пользователь получает доступ к межсетевому экрану NG Firewall и приложениям, а также он может включить платные функции, которые будут деактивированы через 14 дней.

5. Smoothwall Express

Smoothwall Express — это бесплатное решение с простым веб-интерфейсом для настройки и управления межсетевого экрана.

Smoothwall Express поддерживает LAN, DMZ, внутреннюю и внешнюю защиту межсетевого экрана, веб-прокси для ускорения выполнения операций, статистику трафика.

Завершение работы или перезагрузка возможны непосредственно с помощью веб-интерфейса.

Примечание : следующие две программы предназначены специально для серверов Linux.

6. ufw

ufw («незамысловатый» межсетевой экран) работает на Ubuntu. Он представляет собой интерфейс командной строки для управления системой фильтрации пакетов ядра Linux ( netfilter ).

7. csf

csf (ConfigServer security) поддерживается и тестируется на следующих операционных системах и виртуальных серверах:

• RHEL/CentOS
• CloudLinux
• Fedora
• OpenSUSE
• Debian
• Ubuntu
• Slackware
• OpenVZ
• KVM
• VirtualBox
• XEN
• VMware
• Virtuozzo
• UML

csf – это межсетевой экран с отслеживанием состояния соединений. Он способен зафиксировать вход и обеспечить необходимые решения, связанные с безопасностью серверов Linux.

8. Endian

Endian Firewall Community (EFW) — это мощный, простой в установке и использовании продукт безопасности на базе Linux для домашних и корпоративных сетей. Он может превратить «голое» металлическое аппаратное устройство в мощное и эффективное унифицированное решение для предотвращения угроз и управления ими. Это приложение включает в себя межсетевой экран, антивирус, VPN и возможность фильтрации контента.

Межсетевой экран с сохранением состояния соединений позволяет защитить сеть от широкого спектра атак и угроз, а также предлагает безопасный VPN. Это обеспечивает комфортную работу сотрудников в удаленном режиме.

Основные характеристики EFW включают в себя;

• Мониторинг в режиме реального времени, ведение журнала и отчетности о деятельности сети, использовании ресурсов, таких как пропускная способность.
• Повышение безопасности удаленного доступа через endian community VPN.
• Улучшенное управление событиями.
• Улучшенная безопасность сетевых почтовых служб в дополнение к системе предотвращения вторжений (IPS).

Обзор программных межсетевых экранов при защите ИСПДн

Выбор межсетевого экрана для определенного уровня защищенности персональных данных

В данном обзоре мы будем рассматривать межсетевые экраны, представленные в таблице 1. В этой таблице указано название межсетевого экрана и его класс. Данная таблица будет особенно полезна при подборе программного обеспечения для защиты персональных данных.

Таблица 1. Список сертифицированных ФСТЭК межсетевых экранов

Программный продукт	Класс МЭ
МЭ «Блокпост-Экран 2000/ХР»	4
Специальное программное обеспечение межсетевой экран «Z-2», версия 2	2
Средство защиты информации TrustAccess	2
Средство защиты информации TrustAccess-S	2
Межсетевой экран StoneGate Firewall	2
Средство защиты информации Security Studio Endpoint Protection Personal Firewall	4
Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1»	3
Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1»	3
Программный комплекс «Клиент безопасности CSP VPN Client. Версия 3.1»	3
Программный комплекс межсетевой экран «Ideco ICS 3»	4
Программный комплекс «Трафик Инспектор 3.0»	3
Средство криптографической защиты информации «Континент-АП». Версия 3.7	3
Межсетевой экран «Киберсейф: Межсетевой экран»	3
Программный комплекс «Интернет-шлюз Ideco ICS 6»	3
VipNet Office Firewall	4

Все эти программные продукты, согласно реестру ФСТЭК, сертифицированы как межсетевые экраны.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г. для обеспечения 1 и 2 уровней защищенности персональных данных (далее ПД) применяются межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы (ИС) с сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом.

Для обеспечения 3 уровня защищенности ПД подойдут межсетевые экраны не ниже 3 класса (или 4 класса, в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом). А для обеспечения 4 уровня защищенности подойдут самые простенькие межсетевые экраны — не ниже 5 класса. Таковых, впрочем, в реестре ФСТЭК на данный момент не зарегистрировано. По сути, каждый из представленных в таблице 1 межсетевых экранов может использоваться для обеспечения 1-3 уровней защищенности при условии отсутствия угроз 3-го типа и отсутствия взаимодействия с Интернетом. Если же имеется соединение с Интернетом, то нужен межсетевой экран как минимум 3 класса.

Сравнение межсетевых экранов

Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры.

Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети. Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.

Наверное, читатель будет удивлен, но развертывание в ActiveDirectory не поддерживают много межсетевых экранов, представленных в таблице 1, то же самое можно сказать и о других функциях, таких как регулирование нагрузки и маскировка портов. Дабы не описывать, какой из межсетевых экранов поддерживает ту или иную функцию, мы систематизировали их характеристики в таблице 2.

Таблица 2. Возможности брандмауэров

Как будем сравнивать межсетевые экраны?

Основная задача межсетевых экранов при защите персональных — это защита ИСПДн. Поэтому администратору часто все равно, какими дополнительными функциями будет обладать межсетевой экран. Ему важны следующие факторы:

1. Время защиты. Здесь понятно, чем быстрее, тем лучше.
2. Удобство использования. Не все межсетевые экраны одинаково удобны, что и будет показано в обзоре.
3. Стоимость. Часто финансовая сторона является решающей.
4. Срок поставки. Нередко срок поставки оставляет желать лучшего, а защитить данные нужно уже сейчас.

Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.

Брандмауэры в обзоре

Далее мы будем сравнивать три межсетевых экрана — VipNet Office Firewall, Киберсейф Межсетевой экран и TrustAccess.
Брандмауэр TrustAccess — это распределенный межсетевой экран с централизованным управлением, предназначенный для защиты серверов и рабочих станций от несанкционированного доступа, разграничения сетевого доступа к ИС предприятия.
Киберсейф Межсетевой экран — мощный межсетевой экран, разработанный для защиты компьютерных систем и локальной сети от внешних вредоносных воздействий.
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.

Время защиты ИСПДн

Что такое время защиты ИСПДн? По сути, это время развертывания программы на все компьютеры сети и время настройки правил. Последнее зависит от удобства использования брандмауэра, а вот первое — от приспособленности его установочного пакета к централизованной установке.

Все три межсетевых экрана распространяются в виде пакетов MSI, а это означает, что можно использовать средства развертывания ActiveDirectory для их централизованной установки. Казалось бы все просто. Но на практике оказывается, что нет.

На предприятии, как правило, используется централизованное управление межсетевыми экранами. А это означает, что на какой-то компьютер устанавливается сервер управления брандмауэрами, а на остальные устанавливаются программы-клиенты или как их еще называют агенты. Проблема вся в том, что при установке агента нужно задать определенные параметры — как минимум IP-адрес сервера управления, а может еще и пароль и т.д.
Следовательно, даже если вы развернете MSI-файлы на все компьютеры сети, настраивать их все равно придется вручную. А этого бы не очень хотелось, учитывая, что сеть большая. Даже если у вас всего 50 компьютеров вы только вдумайтесь — подойти к каждому ПК и настроить его.

Как решить проблему? А проблему можно решить путем создания файла трансформации (MST-файла), он же файл ответов, для MSI-файла. Вот только ни VipNet Office Firewall, ни TrustAccess этого не умеют. Именно поэтому, кстати, в таблице 2 указано, что нет поддержки развертывания Active Directory. Развернуть то эти программы в домене можно, но требуется ручная работа администратора.

Конечно, администратор может использовать редакторы вроде Orca для создания MST-файла.

Рис. 1. Редактор Orca. Попытка создать MST-файл для TrustAccess.Agent.1.3.msi

Но неужели вы думаете, что все так просто? Открыл MSI-файл в Orca, подправил пару параметров и получил готовый файл ответов? Не тут то было! Во-первых, сам Orca просто так не устанавливается. Нужно скачать Windows Installer SDK, из него с помощью 7-Zip извлечь orca.msi и установить его. Вы об этом знали? Если нет, тогда считайте, что потратили минут 15 на поиск нужной информации, загрузку ПО и установку редактора. Но на этом все мучения не заканчиваются. У MSI-файла множество параметров. Посмотрите на рис. 1 — это только параметры группы Property. Какой из них изменить, чтобы указать IP-адрес сервера? Вы знаете? Если нет, тогда у вас два варианта: или вручную настроить каждый компьютер или обратиться к разработчику, ждать ответ и т.д. Учитывая, что разработчики иногда отвечают довольно долго, реально время развертывания программы зависит только от скорости вашего перемещения между компьютерами. Хорошо, если вы заблаговременно установили инструмент удаленного управления — тогда развертывание пройдет быстрее.

Киберсейф Межсетевой экран самостоятельно создает MST-файл, нужно лишь установить его на один компьютер, получить заветный MST-файл и указать его в групповой политике. О том, как это сделать, можно прочитать в статье «Разграничение информационных систем при защите персональных данных». За какие-то полсача (а то и меньше) вы сможете развернуть межсетевой экран на все компьютеры сети.

Именно поэтому Киберсейф Межсетевой экран получает оценку 5, а его конкуренты — 3 (спасибо хоть инсталляторы выполнены в формате MSI, а не .exe).

Продукт	Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Удобство использования

Брандмауэр — это не текстовый процессор. Это довольно специфический программный продукт, использование которого сводится к принципу «установил, настроил, забыл». С одной стороны, удобство использования — второстепенный фактор. Например, iptables в Linux нельзя назвать удобным, но ведь им же пользуются? С другой — чем удобнее брандмауэр, тем быстрее получится защитить ИСПДн и выполнять некоторые функции по ее администрированию.

Что ж, давайте посмотрим, насколько удобны рассматриваемые межсетевые экраны в процессе создания и защиты ИСПДн.

Начнем мы с VipNet Office Firewall, который, на наш взгляд, не очень удобный. Выделить компьютеры в группы можно только по IP-адресам (рис. 2). Другими словами, есть привязка к IP-адресам и вам нужно или выделять различные ИСПДн в разные подсети, или же разбивать одну подсеть на диапазоны IP-адресов. Например, есть три ИСПДн: Управление, Бухгалтерия, IT. Вам нужно настроить DHCP-сервер так, чтобы компьютерам из группы Управление «раздавались» IP-адреса из диапазона 192.168.1.10 — 192.168.1.20, Бухгалтерия 192.168.1.21 — 192.168.1.31 и т.д. Это не очень удобно. Именно за это с VipNet Office Firewall будет снят один балл.

Рис. 2. При создании групп компьютеров наблюдается явная привязка к IP-адресу

В межсетевом экране Киберсейф, наоборот, нет никакой привязки к IP-адресу. Компьютеры, входящие в состав группы, могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети. Посмотрите на рис. 3. Филиалы компании расположены в разных городах (Ростов, Новороссийск и т.д.). Создать группы очень просто — достаточно перетащить имена компьютеров в нужную группу и нажать кнопку Применить. После этого можно нажать кнопку Установить правила для формирования специфических для каждой группы правил.

Рис. 3. Управление группами в Киберсейф Межсетевой экран

Что касается TrustAccess, то нужно отметить тесную интеграцию с самой системой. В конфигурацию брандмауэра импортируются уже созданные системные группы пользователей и компьютеров, что облегчает управление межсетевым экраном в среде ActiveDirectory. Вы можете не создавать ИСПДн в самом брандмауэре, а использовать уже имеющиеся группы компьютеров в домене Active Directory.

Рис. 4. Группы пользователей и компьютеров (TrustAccess)

Все три брандмауэра позволяют создавать так называемые расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время. В VipNet Office Firewall расписания создаются в разделе Расписания (рис. 5), а в Киберсейф Межсетевой экран время работы правила задается при определении самого правила (рис. 6).

Рис. 5. Расписания в VipNet Office Firewall

Рис. 6. Время работы правила в Киберсейф Межсетевой экран

Рис. 7. Расписание в TrustAccess

Все три брандмауэра предоставляют очень удобные средства для создания самих правил. А TrustAccess еще и предоставляет удобный мастер создания правила.

Рис. 8. Создание правила в TrustAccess

Взглянем на еще одну особенность — инструменты для получения отчетов (журналов, логов). В TrustAccess для сбора отчетов и информации о событиях нужно установить сервер событий (EventServer) и сервер отчетов (ReportServer). Не то, что это недостаток, а скорее особенность («feature», как говорил Билл Гейтс) данного брандмауэра. Что касается, межсетевых экранов Киберсейф и VipNet Office, то оба брандмауэра предоставляют удобные средства просмотра журнала IP-пакетов. Разница лишь в том, что у Киберсейф Межсетевой экран сначала отображаются все пакеты, и вы можете отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рис. 9). А в VipNet Office Firewall сначала нужно установить фильтры, а потом уже просмотреть результат.

Рис. 9. Управление журналом IP-пакетов в Киберсейф Межсетевой экран

Рис. 10. Управление журналом IP-пакетов в VipNet Office Firewall

С межсетевого экрана Киберсейф пришлось снять 0.5 балла за отсутствие функции экспорта журнала в Excel или HTML. Функция далеко не критическая, но иногда полезно просто и быстро экспортировать из журнала несколько строк, например, для «разбора полетов».

Итак, результаты этого раздела:

Продукт	Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Стоимость

Обойти финансовую сторону вопроса просто невозможно, ведь часто она становится решающей при выборе того или иного продукта. Так, стоимость одной лицензии ViPNet Office Firewall 4.1 (лицензия на 1 год на 1 компьютер) составляет 15 710 р. А стоимость лицензии на 1 сервер и 5 рабочих станций TrustAccess обойдется в 23 925 р. Со стоимостью данных программных продуктов вы сможете ознакомиться по ссылкам в конце статьи.

Запомните эти две цифры 15710 р. за один ПК (в год) и 23 925 р. за 1 сервер и 5 ПК (в год). А теперь внимание: за эти деньги можно купить лицензию на 25 узлов Киберсейф Межсетевой экран (15178 р.) или немного добавить и будет вполне достаточно на лицензию на 50 узлов (24025 р.). Но самое главное в этом продукте — это не стоимость. Самое главное — это срок действия лицензии и технической поддержки. Лицензия на Киберсейф Межсетевой экран — без срока действия, как и техническая поддержка. То есть вы платите один раз и получаете программный продукт с пожизненной лицензией и технической поддержкой.

Продукт	Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Срок поставки

По нашему опыту время поставки VipNet Office Firewall составляет около 2-3 недель после обращения в ОАО «Инфотекс». Честно говоря, это довольно долго, учитывая, что покупается программный продукт, а не ПАК.
Время поставки TrustAccess, если заказывать через «Софтлайн», составляет от 1 дня. Более реальный срок — 3 дня, учитывая некоторую задержку «Софтлайна». Хотя могут поставить и за 1 день, здесь все зависит от загруженности «Софтлайна». Опять-таки — это личный опыт, реальный срок конкретному заказчику может отличаться. Но в любом случае срок поставки довольно низкий, что нельзя не отметить.

Что касается программного продукта КиберСейф Межсетевой экран, то производитель гарантирует поставку электронной версии в течение 15 минут после оплаты.

Продукт	Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Что выбрать?

Если ориентироваться только по стоимости продукта и технической поддержки, то выбор очевиден — Киберсейф Межсетевой экран. Киберсейф Межсетевой экран обладает оптимальным соотношением функционал/цена. С другой стороны, если вам нужна поддержка Secret Net, то нужно смотреть в сторону TrustAccess. А вот VipNet Office Firewall можем порекомендовать разве что как хороший персональный брандмауэр, но для этих целей существует множество других и к тому же бесплатных решений.