ClearOS Communty

Настало время написать обзор дистрибутива ClearOS Community, при помощи которого можно настроить сетевой шлюз - читай мелким шрифтом межсетевой экран.

У них есть три версии - Community, Home и Bussines. Установить все три версии можно из одного и того же дистрибутива. Community - свободно-распространяемая версия. Home - условно-бесплатная и только для дома. Bussines - платная.

Сразу по установщику видно качество кода. Посмотрите на то, как обрезаются первые буквы внизу. 

В целом, процесс установки весьма простой и быстрый. Во время установки мы указываем логин администратора и его пароль. Пароль поддерживается только в виде ASCII символов, то есть, только из английских букв.

Я по глупости ввёл на кириллице, и он спокойно позволил мне это сделать. Да, там было предупреждение небольшими, но красными буквами. Однако, нажимаем next, и он спокойно продолжает установку, а по её завершению ты уже не можешь зайти в эту систему, даже если будешь писать пароль на кириллице. Решение - установи заново и будь внимательнее. Это ведь не OPNsense какой-нибудь, тут можно и всю систему сломать, нажав не ту кнопку. Это, конечно, сарказм, но в каждой шутке есть доля истины.

Установил заново и на сей раз поставил пароль на английском.

Зайти в это чудо можно по адресу https://IP_АДРЕС:81/ . Если укажешь 81 порт и http, вместо https, он просто скажет, что страница недоступна, хотя, казалось бы, какая проблема сделать редирект?

Далее нас встречает мастер настройки нашего ClearOS и первое, что он просит сделать, так это выбрать режим работы. Мой интерес в том, чтобы попробовать сделать межсетевой экран, поэтому выбираю режим шлюз.

Сверху справа кнопки для переключения вперед и назад для навигации по мастеру настройки.

Теперь логичная просьба указать настройки для сетевых интерфейсов.

Надо отдать должное, после выбора режима шлюз он без проблем раздаёт интернет через интерфейс ens34 (ЛВС). Это делают все, но, глядя на это всё, я ожидал, что эта функция из коробки работать не будет и придется дополнительно что-то мудрить.

Далее указываем DNS-сервер.

Я выбрал версию Community. Может быть следовало выбрать Home? Но не думаю, что это того стоило, так как вся разница в плагинах, которые ты можешь установить в любой из версий.

Теперь нужно зарегистрировать дистрибутив. Нажимаем регистрация, и тут всё не сложнее, чем на любом сайте в интернете, но без странных проверок, робот ты или нет.

Доступные версии подгружались долго и, честно говоря, не понятно, почему для только что скаченного дистрибутива есть обновления. Это говорит о том, что такая история и в платной версии - дистрибутив то один.

Нажимаешь "обновить всё", и страница перестаёт отвечать, но сама система не зависла - она успешно обновляется. Веб-интерфейс реализован ужасно, видимо, разработчики еще не освоили многопоточность.

Спустя минут 10 я всё-таки вижу прогресс! Ура! Правда он появился только после завершения процесса обновления.

Указываем дату, время и часовой пояс.

Далее нас встречает рыночная площадь! Перевод, как вы понимаете, такой качественный, как и код всего этого... К-хм... межсетевого экрана!

Плагинов тут конечно много. Много платных, много условно-бесплатных и много свободных. Сразу хочу сказать, что действительно стоящих плагинов тут нет. Да, тут есть антивирус Касперского для шлюза, но смысла от такой качественной антивирусной проверки сетевых пакетов, если сам дистрибутив откровенно некачественный? Никакого.

Среди бесплатных плагинов можно найти:

• Custom Firewall;
• Content Filter Engine;
• Attack Detector;
• Application Filter;
• Antimalware File Scanner;
• Advanced Print Server;
• DHCP Server;
• DMZ;
• Dynamic DNS;
• Dynamic Firewall;
• Egress Firewall;
• Filter and Proxy Report;
• Firewall;
• Gateway Antiphishing;
• Gateway Antivirus;
• Intrusion Detection System;
• Intrusion Prevention System;
• IMAP and POP Server;
• Let's Encrypt;
• Mail Antispam;
• Mail Antivirus;
• Mail Greylisting;
• Mail Retrieval;
• Network Map;
• Photo Organizer;
• Port Forwarding;
• PPTP Server;
• Protocol Filter;
• RADIUS Server;
• SMTP Server;
• SSH Server;
• Web Proxy Server;
• Web Server (Apache);
• Windows Networks (Samba);
• WordPress (Beta).

И это далеко не все плагины. Вот вроде начинаешь смотреть по названиям и думаешь: "Ух, как круто", но после установки эти плагины вызывают смех.

Некоторые плагины вообще не понятно зачем нужны на таком сервере. Вот я могу понять принт-сервер, но вот Photo Organizer зачем? А в чем разница между "WordPress (Beta)" и "Web Server (Apache)"? Установка Apache с предустановленным Wordpress и без него? Знаете, если вы не можете установить WordPress, то и такой сервер трогать не стоит.

Некоторые плагины появляются только после установки других плагинов.

Хорошо, выбрал плагины и нажал Next.

Нам показывают, какие мы плагины выбрали, остается только нажать Загрузить и установить.

Я искренне рад, что тут индикаторы установки отображаются параллельно процессу установки. Правда, скорее всего, тут тоже нет многопоточности - просто изменение объекта производится после завершения установки каждого отдельного плагина.

Наконец-то этап первичной настройки завершен, теперь можно изучить наш шлюз и посмотреть, на что он всё-таки способен. И первым делом решил посмотреть общие настройки. Они, видимо, должны вызывать гордость, или тут какое-то другое слово должно быть... Я запутался.

Ух! Трепещите вирусы! Мы вас всех найдём! Это вообще все доступные настройки для этого компонента. Хочется сказать только одно - что ты вообще такое? Тут нет кнопки обновить, не говоря уже о возможности указать зеркало, то есть, из России обновить антивирусные базы невозможно.

У меня есть предположение, что плагин "Gateway Antivirus" связан с плагином "Antimalware File Scanner", так у них одинаковый издатель и одинаковая версия приложения. Просто во втором плагине хотя бы есть кнопки обновить! Однако эти плагины устанавливаются по отдельности, то есть, это должны быть не связанные с друг другом приложения.

Анти-фишинг! Видали? Видали? Ух, тут и механизм сигнатур, и эвристические алгоритмы, и блокировка SSL несоответствий, и блокировка скрытых URL. Можно глупый вопрос? Сигнатуры подразумевают регулярные обновления, где тут кнопка обновить базу сигнатур угроз? Её нет. 

Я не проверял, но мне кажется, что блокировка SSL несоответствий вызовет массу проблем с сертификатами, которые подписаны российскими ssl сертификатами.

Фильтр контента - звучит красиво, но только звучит. В глобальных настройках ты можешь вручную указать конкретный IP. Интерес вызывает политики App.

В целом, если не вникать, выглядит красиво. Да, они якобы позволяют искать вирусы, и можно исключить расширения, или, что более надежно, MIME типы. Phrase листы содержат по сути категории сайтов, мол, чаты, эротика и тому подобное, хотя среди них есть и malware.

Да, это лучше, чем ничего, но я сравниваю со свободным OPNsense, pfSense и Netdeep Secure Firewall. Даже ужасный Netdeep Secure Firewall предлагает более интересную фильтрацию приложений, не говоря уже о возможностях OPNsense или pfSense, а уж если поставить Zenarmor на OPNsense (про эту связку писал тут), так это вообще чит на режим бессмертия.

Стандартная функция. Возможности настройки, как всегда, на уровне дна.

Еще одно красивое название - Application Filter. С помощь кнопки Добавить можно заблокировать Netflix, YouTube, Amazon, Office 365,  Apple iCloud, Microsoft OneDrive, Gmail, Skype, WhatsApp, CNN, Wikipedia, Facebook, Windows Update, CloudFlare и многие другие!

Я по своей наивности хотел тут увидеть хоть одну категорию вредоносных приложений, или например, p2p, vpn, не говоря уже про откровенно зловредные категории приложений.

Фильтр протоколов. Выглядит это весьма разумно! И тут уже можно встретить DC, Торренты и другие протоколы. Однако, эти 176 возможных для блокировки протоколов, также не делают погоды. Среди них нет откровенно зловредных категорий, как это делают в качественных продуктах. Да, грамотный специалист по информационной безопасности знает, какие протоколы можно запретить, но межсетевой экран не сможет проверить источник и назначение, то есть, ты можешь по 80 порту и SSH пустить. Для безопасности полезность от этого нулевая.

Теперь пошли системы обнаружения и противодействия вторжениям. Первая вкладка это Attack Detector.

Даже тот, кто ничего не понимает в системах обнаружения вторжений, поймёт, что вот эти три правила выглядят скудно... В реальных СОВ этих правил может быть около сотни тысяч, и то не предел.

Наконец-то плагин с возможностью обновления базы сигнатур! Точнее, базы правил. 20 наборов правил, 525 правил. Это лучше, чем три правила.

Из 525 правил реально направлены на борьбу с зловредным ПО всего 12. Эксплоиты могут нанести вред, но даже при автоматизации они подразумевают целевую атаку. Никто не стучится во все IP-адреса по порядку. В этом нет смысла, так как сейчас у каждого второго есть fail2ban с синхронизацией в облако или что-то подобное, и ты после 2-3 серверов больше ничего не найдешь. Там все равно список целей, список прокси-серверов. Скрипт может тыкать разные урлы с разных прокси и сравнивать ответ сервера. А сетевые черви будут стучаться во все уязвимые сервисы, которые им известны. Откройте любой другой межсетевой экран и вы увидите, какие категории действительно должны быть в СОВ. В общем, брандмауэр Windows больше похож на систему обнаружения вторжений, нежели этот плагин.

Теперь система противодействия вторжениям. Вот часть описания "Служба динамически создает правила брандмауэра (iptables) для блокировки IP-пакетов, если поток пакетов соответствует известной сигнатуре атаки. ".

Видимо, правила она берёт из IDS, так как тут своих нет.

Далее в этом же описании "Сигнатуры предоставляются приложением для обнаружения вторжений, содержащим более 1000 известных векторов атаки. ". 

Мне очень хотелось бы увидеть, где эти правила есть, так в плагине вы сами пишете, что их всего 525. Либо 1000 их в платной подписке.

Antimalware File Scanner. Звучит, как и всё остальное, красиво. Вот что вы ждёте от такого компонента? Жду потоковой проверки! Поток pop3, imap, потом http (понятное дело https он не сможет расшифровать). На деле он нужен для сканирования директорий этих плагинов.

Плагин работает - он сканирует. И я надеюсь, что при обновлении тут, обновленные базы будут использоваться и в Gateway Antivirus. Однако это два разных плагина... 

Возможности указать зеркало для обновлений ClamAV нет, поэтому из России сие антивирусное чудо не получится обновить.

Далее просто покажу плагины для почтового сервера и плагин для принт-сервера. 

Принт-сервер штука интересная, но для него что-то еще нужно установить или подключить. Просто так из коробки даже вкладка не открылась. Будет смешно, если для него нужен AD или LDAP.

Custom firewall. Зачем тут комментарии? Давайте просто попробуем добавить правило.

Видали как удобно? Есть у меня подозрения, что в пункт правило нужно писать правило для iptables, а тут не каждый специалист с ходу напишет.

Динамический сетевой экран - очередное красивое название и очередное дно информационной безопасности.

Это уже лучше, хотя почему только входящий? Исходящий траффик блокировать не надо? Хм... что-то я не понимаю в информационной безопасности.

Радует, что тут можно добавить правило (по протоколу, по номеру порта, по диапазону портов). Конечно, без таких же правил для исходящих соединений это всё красивая упаковка для чего-то очень не красивого.

Далее идёт DHCP сервер. Это, наверное, единственный компонент, к которому у меня нет претензий - просто и удобно.

DNS-сервер. Можно добавить dns-запись, в которой к IP-адресу привязать до 5 псевдонимов.

SSH-сервер. Честно говоря, я противник SSH-сервера, смотрящего в интернет. Если есть открытый SSH в интернет, то его обязательно будут пытаться сломать, а учитывая качество кода этого программного продукта, я уверен, что у них может получиться.

Тут уже можно переключить режим, указать DNS сервер и изменить настройки сетевых интерфейсов.

Далее целый ряд системных настроек, которые открывать по отдельности не хочу.

Можно создать свой корневой сертификат, который потом будет использоваться в прокси, и, возможно, еще где-нибудь.

Это общие настройки, и я ожидал тут увидеть больше настроек...

Что за бревна в средстве просмотра журналов? Вход вход. Видимо, речь идет про интерфейсы.

Магазин приложений в ClearOS, наверное, вторая после DHCP функция, за которую не стыдно. Работает неплохо, выбор большой, устанавливается быстро и без ошибок.

Это можно увидеть в консоли. Довольно полезно, когда нужно анализировать траффик - почему пакеты куда-то не ходят, но исправить что-то отсюда ты не сможешь.

Это можно увидеть, если нажать кнопку Launch Graphics-mode Console, то есть, изменить из консоли ты сможешь только настройки сетевых интерфейсов.

Вывод

Один из самых ужасных межсетевых экранов по качеству, который можно сравнить с теми, которые лет 10-15 не обновляются, только вот ClearOS обновляется!

В целом, заявленный функционал работает, но эффективность защиты стремится к нулю. Буквально каждая функция и каждый плагин сделаны просто ужасно, будто бы разработчиков заставляют делать ненавистную чужую работу, мол, работает и ладно.

Прикольно, но цифра аптайма в консоли не меняется в течении написания статьи. К - качество.

Если говорить серьезно, то такой дистрибутив не стоит использовать даже в качестве домашнего межсетевого экрана, тем более не стоит использовать в качестве веб-сервера или чего-то еще. Это всё некачественно, не надежно и не безопасно. Для межсетевого экрана лучше использовать pfSense Community Edition или OPNsense с ZENARMOR на борту.