Киберзащита за малкия бизнес (част 11): защо избрахме точно тези технологии

Единадесета част от поредицата ни за киберзащита на малкия и среден бизнес. Досега изградихме цялата система парче по парче — рутер, суич, сървър, услуги, VPN, мониторинг, архив и обучен персонал. В тази част спираме и отговаряме на въпроса, който всеки управител рано или късно задава: защо избрахме точно тези технологии, а не готово „облачно“ решение с месечен абонамент?
Отворен код, независимост и общност — всичко работи на нашата собствена техника, без месечни лицензи и без данните ни да живеят в чужд облак.
Това не е случаен сбор от програми. Зад всеки избор стои един и същ принцип. Независимост: няма доставчик, който да вдигне цената, да смени условията или да затвори услугата и да ни остави без данни. Собственост: всичко — до последния файл, лог и архив — стои на техника, която е физически наша; дори DNS-ът и резервното копие не са в някоя голяма компания, а в нашата стая и в нашия втори обект. Отворен код: осем от десетте градивни елемента по-долу са с отворен код — кодът им може да се чете, одитира и никой не може да ни го отнеме. Общност: зад тях стоят хиляди разработчици по света, а не един вендор — това е, което гарантира, че ще ги има и след десет години. Ето ги, един по един.

1. Nextcloud — файлов и медиен сървър
Nextcloud се ражда през 2016 г., когато Франк Карличек — създателят на ownCloud — прави отклонение (fork) и събира голяма част от оригиналния екип около изцяло отворен модел. Nextcloud е вашият собствен Dropbox / Google Drive: файлов, архивен и медиен облак със синхронизация, споделяне, календари и офис — но хостван изцяло при вас. Днес той е де факто стандартът за самостоятелно хостван облак — ползван е от германското федерално правителство, от френската държавна администрация и от хиляди университети и фирми именно защото данните никога не напускат собствената им инфраструктура. Точно затова е сърцето на нашия проект.

2. MikroTik — рутер и суич
MikroTik е латвийска компания от Рига, основана през 1996 г., която прави операционната система RouterOS (базирана на Linux ядро) и достъпния хардуер RouterBOARD към нея. От един и същ интерфейс получавате рутер, защитна стена, VPN концентратор, суич и мониторинг — функционалност, за която друг вендор би искал няколко отделни (и скъпи) устройства. RouterOS не е отворен код, но е важно да сме честни защо все пак пасва на философията ни: лицензът е еднократен, а не месечен, устройството е физически ваше и няма никаква облачна зависимост — рутерът работи и когато производителят го няма. MikroTik е сред най-разпространените мрежови производители в света и е гръбнакът на огромна част от интернет доставчиците, с една от най-големите технически общности в бранша.

3. Wazuh — SIEM / EDR
Wazuh тръгва през 2015 г. като разширение на легендарния отворен проект OSSEC, водено от Сантяго Басет, и днес е пълноценна платформа за сигурност с отворен код (GPL). Той е нашите „очи“ върху системата: събира логовете от сървъра и рутера, следи целостта на файловете, разпознава атаки и подозрително поведение и вдига аларма — това, което големите компании плащат скъпо като „SIEM/EDR“. Wazuh е една от най-бързо растящите платформи за сигурност с отворен код, с милиони инсталации по света — корпоративна защита без корпоративен ценоразпис.

4. LibreNMS — мониторинг
LibreNMS е общностен fork от 2013 г. на Observium, изцяло отворен (GPL) и разработван от широка международна общност. Той автоматично открива устройствата в мрежата и ги следи по SNMP — трафик, натоварване, температура, състояние на портове — и рисува графики и праща аларми, преди един проблем да стане авария. Това е разликата между „разбираме за проблема, когато клиентът се обади“ и „виждаме го как назрява“. LibreNMS е сред водещите отворени платформи за мрежов мониторинг, без нито едно евро за лиценз.

5. AdGuard Home — филтриращ DNS
Компанията AdGuard съществува от 2009 г., а AdGuard Home е нейният изцяло отворен (GPL) продукт за филтриране на цялата мрежа. Той работи на ниво DNS — тоест прихваща всяка заявка за име на домейн още преди връзката да се осъществи — и блокира реклами, тракери и зловредни домейни за всички устройства в офиса наведнъж, без да се пипа нито един компютър. Заедно с Pi-hole, AdGuard Home е най-популярното решение за самостоятелен филтриращ DNS. Ключовото за нас: така дори DNS-ът е наш — не подаваме всяка стъпка на служителите към чужд DNS доставчик.

6. WireGuard — VPN
WireGuard е дело на Джейсън Доненфелд и през 2020 г. получава рядка чест — включен е директно в ядрото на Linux (версия 5.6). Тайната му е простотата: само около 4000 реда код (за сравнение — стотици хиляди при старите решения), което го прави едновременно лесен за одит, много бърз и с малка повърхност за атака. С него свързваме офиси и отдалечен достъп през криптиран тунел, все едно са в една мрежа. За кратко време WireGuard се превърна в де факто модерния VPN стандарт, изместващ тежките IPsec и OpenVPN.

7. Let’s Encrypt — сертификати (TLS)
Let’s Encrypt стартира през 2015 г. от нестопанската организация ISRG, с подкрепата на EFF, Mozilla и други, с една ясна мисия: да направи криптирания уеб безплатен и автоматичен за всички. Той е сертификатен орган (CA), който издава безплатните TLS сертификати, заради които всичко в нашата система работи през защитено HTTPS — Nextcloud, Wazuh, панелите — с автоматично подновяване чрез протокола ACME. Днес Let’s Encrypt е издал милиарди сертификати и осигурява по-голямата част от криптирания интернет — доказателство, че сигурността не трябва да е привилегия срещу такса.

8. SSH — сигурен отдалечен достъп
Протоколът SSH е създаден през 1995 г. от финландеца Тату Улонен, за да замести несигурните telnet и rlogin, при които паролите пътуваха в чист текст. Отворената реализация OpenSSH е дело на проекта OpenBSD от 1999 г. и оттогава е навсякъде. Всяко наше управление на сървъри и мрежово оборудване, както и криптираният канал на архива, минават през SSH — с ключове вместо пароли, така че връзката не може да бъде подслушана или подлъгана. SSH е универсалният стандарт за сигурна администрация — на практика няма Linux/Unix сървър в света, който да не го използва.

9. rsync — синхронизация и архивиране
rsync е създаден през 1996 г. от Андрю Тридгел и Пол Макерас (Австралия) и е отворен код. Гениалната му идея е „делта-трансферът“ — вместо да копира всичко всеки път, той сравнява източника и целта и прехвърля само променените части на файловете. Точно затова нощният ни архив към отдалечения NAS минава за секунди по Интернет, вместо да влачи терабайти. rsync е де факто стандартът за архивиране и синхронизация в Unix/Linux вече близо 30 години — рядка дълготрайност, която сама по себе си е гаранция за надеждност.

10. NAS — отдалеченото хранилище за архива
NAS (Network Attached Storage) е мрежовото хранилище, върху което живее резервното копие. Ние избрахме ASUSTOR (подразделение на ASUS от 2011 г.) — компактно x86 устройство с Linux-базирана система, на което върви познатият ни SSH и rsync. Хардуерът и системата му не са отворен код, но тук важното не е марката — а принципът: архивът стои на устройство, което държим физически в ръцете си, в друг наш обект в друг град, а не в облака на Amazon, Google или Microsoft. ASUSTOR, заедно със Synology и QNAP, е сред водещите производители на NAS — но всеки от тях би свършил работа, защото ролята му е една: последната линия на отбрана да остане изцяло под наш контрол.
Заключение — това се нарича независимост
Съберете елементите наедно и се получава нещо, което трудно се купува наготово: цялостна корпоративна инфраструктура, при която осем от десет компонента са отворен код, останалите два са хардуер, който е физически ваш, няма нито един месечен лиценз, и нито един байт не живее в чужд облак — нито файловете, нито DNS-ът, нито архивът. Зад всеки инструмент стои голяма международна общност, а не един вендор, който може да фалира или да вдигне цената. Това е разликата между това да наемаш сигурността си на месец и това да я притежаваш. И точно това се нарича независимост — целта, заради която започнахме тази поредица.