Почему для Traffic Inspector Next Generation мы выбрали FreeBSD

77
Алексей Прокопчук

Автор: Алексей Прокопчук
Руководитель группы разработки NGFW Traffic Inspector Next Generation

 

 

Мы решили рассказать о некоторых технических деталях Traffic Inspector Next Generation (TING). Для многих заказчиков они не очевидны, потому что мы стараемся максимально изолировать пользователей от особенностей нашего продукта, чтобы не усложнять им жизнь. Но вопросы о том, как устроено у TING подкапотное пространство, тем не менее задают.

В этот раз мы расскажем о среде исполнения Traffic Inspector Next Generation и о том, почему для нее мы выбрали именно то, что выбрали.

 

Почему FreeBSD

Техническая особенность Traffic Inspector New Generation – использование в качестве среды исполнения FreeBSD. Его невозможно развернуть в другой операционной системе. Но используется в TING не «ванильный» FreeBSD, а OPNsense – форк, в котором уже имеется собственный брандмауэр и ПО для маршрутизаторов.

Конечно, OPNsense добавляет некоторые сложности. Разработчики этого форка из компании Deciso часто не успевают выпускать свои релизы одновременно с выходом патчей безопасности и других обновлений для очередной версии FreeBSD, которая используется для текущего релиза. Поэтому дорабатывать этот релиз, переносить патчи из новых версий FreeBSD в старые, которые реализованы в текущем релизе OPNsense, нам приходится своими руками. Касается это и ядра, и базовой системы.

Споры между поклонниками FreeBSD и Linux (эта операционка является альтернативой для FreeBSD и могла бы использоваться в TING) не менее острые, чем между «линуксоидами» и «виндузятниками». Нет смысла разбирать все аргументы за и против, назову только один. FreeBSD – целостная операционная система, а реализаций Linux может быть очень много. В результате специалист, знакомый с FreeBSD, может легко разобраться с администрированием и настройкой TING. Но если в качестве среды исполнения в нем мы выбрали бы один из клонов Linux, не факт, что администраторы наших заказчиков избежали бы сложностей.

Специалист Смарт-Софт, который изначально выбрал FreeBSD в качестве среды исполнения Traffic Inspector New Generation, конечно, был фанатом этой операционки. Выбор OPNsense был логичным продолжением это предпочтения. Я пришел в компанию позже, и в то время, хотя и был знаком с FreeBSD, предпочитал Linux. Достоинства FreeBSD пришлось постигать, когда стал работать с этой системой каждый день. Оказалось, что у нее есть множество преимуществ.

 

Почему в TING используется не ванильный FreeBSD

FreeBSD управляет программно-аппаратными комплексами Traffic Inspector New Generation. Если заказчик приобретает только программное обеспечение и планирует установить его на свой сервер, на нем должна быть именно FreeBSD.

FreeBSD в наших программно-аппаратных комплексах отличается от того варианта операционной системы, который можно скачать в Сети. Мы несколько модифицировали операционку: включили в нее патчи безопасности и другие доработки. Например, возможность сохранения МАС-адреса.

Одно из достоинств FreeBSD – возможность внесения изменений, которые позволяют менять логику управления аппаратными элементами. Вот пример. В нашей платформе S100 есть аппаратные элементы – три светодиода и кнопка. Для того, чтобы светодиоды сигнализировали о состоянии устройства, а кнопкой можно было управлять базовыми настройками, мы добавили изменения в операционку, которые позволяют сделать аппаратный сброс устройства к заводским настройкам.

Также мы внесли изменения в сетевой стек, потому что MAC-адрес сетевого устройства ни в Linux, ни во FreeBSD не сохраняется: его можно менять множество раз, а начальное значение можно выяснить только через системные логи, которые, к тому же, могут оказаться затертыми. Поэтому потребовались изменения, которые позволили сохранять оригинальный MAC-адрес сетевой карты.

Во FreeBSD есть и практически полный набор тестов, что существенно облегчает жизнь разработчикам. Ничего подобного в Linux я не встречал.

Главное достоинство FreeBSD – общая система контроля, которая покрывает всю базовую систему и все ядро. Любые изменения, которые вносятся в базовую систему, отрабатываются по единым стандартам. Это важное преимущество перед Linux.

 

А как быть с заказчиками

Мы вносим во FreeBSD достаточно серьезные изменения. Чтобы они не стали проблемой для заказчиков, стараемся их максимально «изолировать» от особенностей как самой FreeBSD, так и нашей реализации.

В целом, заказчику сложно догадаться, что в Traffic Inspector Next Generation используется именно FreeBSD, а не какой-то клон Linux. Вся работа с TING выполняется через веб-интерфейс, и только в крайне редких случаях ему приходится «ковыряться под капотом» системы. Практически всегда для решения таких неординарных задач заказчика подключается Служба технической поддержки Смарт-Софт.

Можно сказать, что возможная нелюбовь заказчиков к FreeBSD может быть связана с тем, что эта операционка не слишком дружит с графическим интерфейсом. Мы об этом позаботились, и веб-интерфейс для TING разработали (кстати, без особенных проблем).

Еще одной проблемой могут стать драйвера. Но и тут на практике оказалось все не так страшно. Проблемы возникали только тогда, когда мы сталкивались с продуктами, в которых поддержка FreeBSD не предусмотрена. В таких случаях приходилось дорабатывать исходники (это не слишком сложная задача) или запускать бинарные файлы Linux как «родные». Для этого во FreeBSD имеется специальная подсистема, такая же как WINE в Linux. Антивирусы, к слову, в эмуляторе Linux работают прекрасно.

 

FreeBSD и безопасность

В спорах между поклонниками Windows и Linux часто поднимается тема безопасности. Фанаты Linux считают, что уровень безопасности в этой ОС выше просто потому, что пользователей у нее меньше, чем у Windows. Следовательно, и взламывать эту систему не имеет смысла.

Это не так. Пользователи бывают прямые и косвенные. Прямые – администраторы, которые работают непосредственно с ОС. Косвенные – те, кто через операционку получают доступ к разным сервисам. Взлом аккаунта администратора сулит хакеру жирную добычу.

При аналогичном сравнении Linux и FreeBSD в «выигрыше» окажется FreeBSD. Можно сказать, что, расширяя пользовательскую аудиторию FreeBSD, мы повышаем уровень рисков. Ведь система получает большее распространение. Тем более используется она для средства защиты, которое атакуется в первую очередь.

Для нас «количественная» безопасность – палка о двух концах. Но пока со вторым, «плохим концом», мы не сталкивались.

 

Так ли критичны недостатки FreeBSD

Может сложится впечатление, что я считаю FreeBSD идеальной средой для файрволлов. Это не совсем так. Недостатки FreeBSD могут быть критичными в ряде случаев, но не в нашем.

FreeBSD – неоднозначная операционная система. В ней плохо реализована поддержка оборудования для беспроводных сетей, ниже среднего – поддержка мультимедиа. Но эти компоненты, как правило, используются в рабочих станциях.

С железом, которое устанавливается в серверах, все гораздо лучше. Оно практически всегда обеспечено поддержкой на уровне операционки. Если в сервере используются стандартные компоненты, те же процессоры от Intel или вменяемые RAID-контроллеры, то никаких проблем с их поддержкой не возникает. Исключения? Да, они возможны. Например, когда сетевые интерфейсы реализованы при помощи 10-гигабитных чипов на материнской плате, к каждому из которых подключены четыре PHY-устройства. С такой экзотикой FreeBSD не справляется, для нее придется писать отдельный драйвер.

Спорить о преимуществах FreeBSD или Linux можно бесконечно. Аргументы в пользу обеих ОС никогда не закончатся. В нашей ситуации FreeBSD оказался надежнее и удобнее в реализации. При этом мы понимаем потенциальные трудности заказчиков и для того, чтобы их избежать, в TING есть простой и понятный веб-интерфейс. На крайний случай Служба техподдержки придет на помощь.

Источник




Traffic Inspector Next Generation


Протестируйте бесплатно

Попробовать




Назад
Далее
Рекомендуем почитать Смотреть все

Вебинар по настройке GeoIP и маршрутизации BGP

Теги: вебинар, настройка Traffic Inspector Next Generation

Профессиональная контентная фильтрация

Теги: Контентный фильтр

На вкус и цвет UTM/NGFW есть: как выбрать защитное решение и не прогадать

Теги: Сравнение UTM/NGFW, Traffic Inspector Next Generation

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
Light
Программное обеспечение
ФСТЭК
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа