Network security: Pfsense и TNSR (Tensor)

  • Многое ниже на основе интервью Tom Lawrence из Lawrence Systems
  • PERFORMANCE LIMITATIONS (IMIX): routing 10G (ideal 20G), firewall 5G (ideal 20G), ipsec 1G (ideal 3G)
  • Pfsense основан на bsd (like juniper)
  • pfsense/opensense с плагинами крут, »проверено на опытных эксплуатациях»
  • TNSR Tensor основан на vector packet processing (VPP) и был придуман для задач, где pfsense уже не справлялся с обработкой
  • Pf в pfsense – это pf filter bsd, был создан примерно одновременно с iptables (2001 год PF, 1998 iptables)
  • В pfsense есть возможность подключать сторонние плагины (типо keenetic)
  • Используется очень часто в небольших банках и других небольших компаниях, но не только небольших:
    • используют в carprice
    • есть и крупные инсталляции по практике Lawrence System – напр.
      • устанавливали в мед. организации с 7к сотрудников пару NETGATE 7100 на базе x86 с 10G сетевыми интерфейсами Intel в режиме High Availability (HA)
      • настраивали pfsense + suricata в прозрачном режиме для industrial клиента с большим количеством SCADA систем, которым требуется availability 24/7
  • Поддерживаемый функционал – все без ограничений по лицензиям, ограничения в первую очередь по железу
    • BGP в виде FRR
    • wireguard, openvpn, ipsec (стандартный с поддержкой site to site напр. с Cisco)
    • High Availability (HA)
    • Интеграция с AD/LDAP/RADIUS
    • Поддерживает snort и suricata (даже в режиме transparent, кейс ниже), обновления сигнатур платные
    • Можно запускать в виртуализации – VMware, Proxmox
  • Успех pfsense не только в том, что он бесплатный; но и в том, что он имеет от Netgate
    • платную поддержку в том числе с SLA
    • поддержку в том числе на уровне разработки (they have a team of developers on stuff)
    • pfsense+ основан на pfsense, но код в виде проприетарных аддонов не открыт (напр. vpn import/export, aws wizard)
    • продажу под ключ (turnkey) девайсов (хотя и можно поставить почти на любую ОС) – в том числе на базе ARM (внутренняя компиляция под arm недоступная в opensource :D) напр. NETGATE SG-1100; причем компиляция под ARM крайне уникальна в зависимости от конкретных устройств и не открыта Netgate, поэтому (из-за специфики компиляции) не поддерживается RPi

Leave a Reply