Kontakt: +48 606 356 235 lub napisz do nas

opnsense - zabezpiecz swoją sieć!

Autor: Ireneusz Piasecki   9 Listopad 2023   17 Marzec 2024

OPNsense

Uwaga

Nasza firma oferuje usługi instalacyjne i serwisowe rozwiązań opartych o OPNSense. Zabezpiecz swoją sieć już dziś!

Zapraszamy do KONTAKTU i współpracy!

Tel. kontaktowy: +48 606 356 235

1. Wstęp

Chcielibyśmy Wam przybliżyć rozwiąznie OPNsense, które z powodzeniem stosujemy u naszych klientów. Materiał powstał na bazie ogólnodostępnych informacji zamieszczonych na opnsense.org

OPNsense to oprogramowanie “open source” typu firewall and routing oparte na platformie FreeBSD. OPNsense zawiera większość rozwiązań, które są dostępne w komercyjnych firewallach, a czasem i więcej. Z OPNsense otrzymujecie rozwiązanie, które jest otwarte i pochodzi ze sprawdzonego źródła (kod źródłowy jest publikowany na github.com).

OPNsense powstało jako “fork” pfSense® i m0n0wall w 2014 r., a jego pierwsza oficjalne wydanie miało miejsce w styczniu 2015 r. Projekt bardzo szybko się rozwijał, zachowując jednocześnie znane aspekty zarówno m0n0wall, jak i pfSense.

Twórcy OPNSense kładą bardzo mocny nacisk na bezpieczeństwo i jakość kodu swojego systemu.

OPNsense oferuje cotygodniowe aktualizacje bezpieczeństwa, reagując na nowe zagrożenia w możliwie najkrótszym czasie. Każdego roku twórcy wydają 2 główne wydania, co daje firmom możliwość planowania aktualizacji z odpowiednim wyprzedzeniem.

Dla każdej głównej wersji systemu, twórcy tworzą szczegółowy plan działania, który wyznacza kierunki rozwoju i jasne cele dla przyszłych wydań OPNsense.

2. Cechy charakterystyczne

Zestaw funkcji OPNsense obejmuje zaawansowane funkcje, m.inn. takie jak proxy WWW, kształtowanie ruchu, wykrywanie włamań i łatwą konfigurację klienta OpenVPN, Wireguard czy ZeroTier.

OPNsense jest oparte na FreeBSD w celu zapewnienia długoterminowego wsparcia i wykorzystuje nowo opracowany framework MVC oparty na Phalconie.

Solidny i niezawodny mechanizm aktualizacji umożliwia OPNsense dostarczanie ważnych aktualizacji zabezpieczeń w możliwie najkrótszym czasie.

3. Funkcjonalności wg. obszarów działalności

  • Biznes - Chroń swoją sieć firmową i zabezpiecz swoje połączenia za pomocą OpenVPN, IPsec lub Wireguard. Od zapory sieciowej z inspekcją stanową po wbudowany system wykrywania i zapobiegania włamaniom - wszystko jest dostępne bezpłatnie.

Użyj narzędzia do kształtowania ruchu, aby zwiększyć wydajność sieci i nadać priorytet transmisji głosu poprzez protokół IP (VoIP). Automatycznie wykonaj kopię zapasową konfiguracji w chmurze, nie ma już potrzeby ręcznego tworzenia kopii zapasowych!

  • Sieci Szkolne - Ograniczaj i dziel równomiernie dostępną przepustowość wśród uczniów i korzystaj z filtrowania sieciowego opartego na kategoriach, aby filtrować niechciany ruch, taki jak treści dla dorosłych i złośliwe strony internetowe. OPNsense jest łatwy w konfiguracji, ponieważ nie są wymagane żadne dodatkowe wtyczki ani pakiety. Ucz o bezpieczeństwie lub skorzystaj z dostępne dokumentacji, aby pokazać, jak działa sposób tworzenia aplikacji: MVC: Model - View - Controler

  • Zdalne biura i SOHO - (“Small Office, Home Office”) - Wykorzystaj zintegrowaną usługę VPN typu lokacja-lokacja (IPsec, SSL VPN / OpenVPN lub Wireguard), aby utworzyć bezpieczne połączenie sieciowe do i z odległych biur. Ciesz się łatwą konfiguracją i dokumentacją z możliwością przeszukiwania online oraz prostymi artykułami instruktażowymi.

  • Hotele i kempingi - Hotele i kempingi zazwyczaj korzystają z portalu przechwytującego tzw. “Captive Portal”, aby umożliwić gościom (płatny) dostęp do Internetu przez ograniczony czas. Goście muszą zalogować się przy użyciu kuponu, który można kupić lub otrzymać bezpłatnie w recepcji. OPNsense ma wbudowany portal przechwytujący z obsługą kuponów i może z łatwością tworzyć je na bieżąco.

  • “Home lab” - wykorzystaj OPNsense w domu, w swoim laboratorium IT, gdzie zdobywasz nową wiedzę i umiejętności. Całkowicie za darmo zabezpiecz swoją sieć domową.

4. Funkcjonalności OPNsense

  • Pulpit - ekran startowy z podstawowymi informacjami o systemie, jego wygląd i funkcjonalność może być konfigurowalna przez użytkownika.

  • Nowoczesny interfejs użytkownika - został zbudowany zgodnie z modelem tworzenia oprogramowania MVC, co ułatwia zarządzanie systemem i pozwala na szybkie wprowadzanie poprawek.

  • Firewall SPI - firewall umożliwia wykrywanie i monitorowanie ruchu na wszystkich interfejsach. Pakiety są poddawane bardzo szczegółowej analizie na podstawie ich stanu, co zapewnia wysoką ochronę przed złośliwym oprogramowaniem.

  • Aliasy i baza danych o kraju pochodzenia czyli GeoLite Country Database - wyświetlanie informacji o kraju, skąd nadchodzi ruch internetowy. Przydatne przy wszelkiego rodzaju atakach z Internetu.

  • Kształtowanie ruchu - Kształtowanie ruchu w ramach OPNsense jest bardzo elastyczne i zorganizowane wokół potoków, kolejek i odpowiednich reguł. Potoki definiują dozwoloną przepustowość, kolejki można wykorzystać do ustawienia wagi w potoku, a na koniec reguły służą do zastosowania kształtowania do określonego przepływu pakietów. Reguły kształtowania są obsługiwane niezależnie od reguł zapory i innych ustawień.

  • Uwierzytelnianie dwuskładnikowe - znane również jako 2FA lub weryfikacja dwuetapowa, to metoda uwierzytelniania wymagająca dwóch elementów, takich jak kod PIN/hasło + token. OPNsense oferuje pełną obsługę uwierzytelniania dwuskładnikowego (2FA) w całym systemie z wykorzystaniem TOTP, na przykład z Google Authenticator.

  • Captive Portal - umożliwia wymuszenie uwierzytelnienia lub przekierowania na stronę, na której można kliknąć, w celu uzyskania dostępu do sieci. Jest to powszechnie stosowane w sieciach typu hot spot, ale jest również szeroko stosowane w sieciach korporacyjnych w celu zapewnienia dodatkowej warstwy bezpieczeństwa dostępu bezprzewodowego lub Internetu. OPNsense oferuje większość funkcji dla przedsiębiorstw, w tym obsługę Radius i kuponów.

  • VPN - IPsec & OpenVPN GUI - OPNsense oferuje szeroką gamę technologii VPN, od nowoczesnych SSL VPN po dobrze znane IPsec, a także starsze (obecnie odradzane w używaniu) opcje, takie jak L2TP i PPTP. Możliwe są konfiguracje typu site-to-site i Road Warrior, a dzięki zintegrowanemu eksporterowi klientów OpenVPN klient może zostać skonfigurowany w ciągu kilku minut.

  • Wysoka dostępność (HA / CARP) - OPNsense wykorzystuje protokół Common Address Redundancy Protocol (CARP) do przełączania awaryjnego sprzętu. Dwie lub więcej zapór można skonfigurować jako grupę przełączania awaryjnego. Jeśli jeden z interfejsów ulegnie awarii na instancji podstawowej lub całkowicie przejdzie w tryb offline, interfejs pomocniczy stanie się aktywny. Wykorzystanie tej zaawansowanej funkcji OPNsense tworzy w pełni redundantną zaporę sieciową z automatycznym i płynnym przełączaniem awaryjnym. Podczas przełączania na zapasowe, połączenia sieciowe pozostaną aktywne z minimalnymi przerwami dla użytkowników.

  • Serwer pośredniczący - (caching proxy) oferowany przez OPNsense jest w pełni funkcjonalny i obejmuje filtrowanie sieci w oparciu o kategorie, obszerne listy kontroli dostępu i może działać w trybie przezroczystym. Serwer proxy można połączyć z narzędziem do kształtowania ruchu, aby poprawić komfort użytkownika. Integracja z większością profesjonalnych rozwiązań antywirusowych jest możliwa poprzez interfejs ICAP.

  • Wykrywanie intruzów i zapobieganie włamaniom - wbudowany system IPS OPNsense opiera się na Suricata i wykorzystuje Netmap w celu zwiększenia wydajności i zminimalizowania wykorzystania procesora. Ten system głębokiej inspekcji pakietów jest bardzo wydajny i może być używany do łagodzenia zagrożeń bezpieczeństwa z pełną szybkością łącza (bez opóźnień).

    • Zintegrowana obsługa reguł ETOpen
      Zestaw reguł ETOpen to doskonały zestaw reguł IDS/IPS chroniący przed złośliwym oprogramowaniem, który umożliwia użytkownikom z ograniczeniami kosztowymi znaczne usprawnienie wykrywania złośliwego oprogramowania w sieci.

    • Zintegrowana czarna lista SSL (SSLBL)
      Projekt prowadzony jest przez abuse.ch. Celem jest udostępnienie listy „złych” certyfikatów SSL zidentyfikowanych przez abuse.ch w celu powiązania ze złośliwym oprogramowaniem lub działalnością botnetu. SSLBL opiera się na odciskach palców SHA1 złośliwych certyfikatów SSL i oferuje różne czarne listy.

    • Zintegrowany moduł śledzący Feodo
      Feodo (znany również jako Cridex lub Bugat) to trojan używany do popełniania oszustw w bankowości elektronicznej i kradzieży poufnych informacji z komputera ofiary, takich jak dane karty kredytowej lub dane uwierzytelniające. W tej chwili Feodo Tracker śledzi cztery wersje Feodo.

  • Zenarmor - możliwość łatwej integracji z systemem Zenarmor - potężnym silnikiem wykrywania i blokowania zaawansowanego złośliwego oprogramowania, botnetów i innych zagrożeń, rozwiązane klasy dla biznesu. Wszystko za pomocą intuicyjnego interfejsu idealnie zintegrowanego z interfejsem OPNsense. Z Zenarmor OPNsense przeistacza się w tzw. Next-Generation Firewall (NGFW).

  • Odcisk palca SSL - opcja IPS umożliwiająca reguły definiowane przez użytkownika obejmuje opcję odcisku palca SSL. Dzięki tej opcji komunikację SSL można zablokować przy pierwszej próbie połączenia, przerywając wymianę kluczy SSL.

  • Kopia bezpieczeństwa i odtwarzanie - Całość konfiguracji wraz z historią zmian można zapisać lokalnie lub w chmurze. Integracja z Google drive.

  • Raportowanie i monitorowanie - OPNsense oferuje wiele opcji monitorowania i raportowania.

    • Ogólny stan systemu - dashboard
    • Analizator Netflow - stan sieci i aktywność użytkowników
    • Insight - zintegrowany analizator przepływu danych sieci

  • Firmware i pluginy - solidna ścieżka aktualizacji oprogramowania sprzętowego umożliwiająca reagowanie na pojawiające się zagrożenia w akceptowalnym czasie. OPNsense jest wyposażony w niezawodny i bezpieczny mechanizm aktualizacji zapewniający cotygodniowe aktualizacje zabezpieczeń. Do instalowania dodatkowych pakietów należy użyć mechanizmu wtyczek.

  • Dokumentacja - dostępna aktualna dokumentacja na stronie WWW OPNsense.

5. Wymagania

  • Procesor: 1 GHz dual core lub lepszy
  • RAM: 2 GB lub więcej
  • Przestrzeń dyskowa: 32 GB lub więcej
  • Karty sieciowe: min. 2 szt. (Do Internetu i sieci lokalnej)

6. Jak sprawdza się w praktyce ?

Krótko? Bardzo dobrze! Zastosowaliśmy to rozwiązanie w kilkudziesięciu instalacjach u naszych klientów. OPNsense jest stabilnym i wydajnym systemem. Nasze doświadczenia opieramy na instalacjach, gdzie OPNsense został zainstalowany jako maszyna wirtualna lub jako system zainstalowany na fizycznym sprzęcie. W każdym z tych przypadków system działa zgodnie z założeniami. Jak dotąd nie doświadczyliśmy żadnej niemiłej niespodzianki.

Przy tego typu rozwiązaniach należy pamiętać, iż są one przygotowane przez pewien zespół ludzi, którzy właśnie w taki sposób wyobrażają sobie, jak ich system powinien wyglądać oraz jakie powinien mieć funkcjonalności. OPNsense nie jest tutaj wyjątkiem.

Twórcy założyli i zaimplementowali te funkcjonalności, które uważają za przydatne w tego typu urządzeniach. System stale się rozwija i w przyszłości z pewnością będą dodane kolejne.

Dobrym przykładem niech tutaj będzie funkcjonalność web proxy. Twórcy umożliwiają dosyć pokaźną możliwość konfiguracji, jednak używany SQUID (jako web proxy) ma znacznie większe możliwości - tutaj są powiedzmy mocne podstawy, dzięki którym można go skonfigurować do wykorzystania w najpopularniejszych scenariuszach.

Innymi słowy, jeżeli chcecie mieć możliwość dostępu do konfiguracji każdego aspektu systemu, to jak w wielu tego typu rozwiązaniach “z pudełka” tutaj tego nie uświadczycie, można zrobić tylko tyle, na ile pozwala interfejs systemu.

Przy złożonych rozwiązaniach OPNsense może okazać się nie wystarczający, m.inn. właśnie z powodu powyższych ograniczeń, wówczas pozostaje wybranie innego gotowego rozwiązania lub zbudowania wszystkiego od zera, np. wybierając jedną z dostępnych dystrybucji Linuxa. Raczej będą to odosobnione przypadki i dla znakomitej większości użytkowników funkcjonalności dostępne w OPNsense będą wystarczające.

Twórcy rozwiązania nie zalecają i nie wspierają modyfikacji ustawień systemu poza oficjalnym interfejsem OPNsense (np. z poziomu shella).

Nie doświadczyliśmy żadnych “niespodzianek”, czy to wynikających z samego działania systemu, czy po instalacji aktualizacji (bardzo dobry, dobrze przetestowany system aktualizacji).

OPNsense to stabilne rozwiązanie, któremu można zaufać. Chcielibyśmy nadmienić, iż korzystamy zazwyczaj z wersji darmowej “Open Source” (jest ona wystarczająca dla naszych klientów), a nie płatnej (ze wsparciem). W uzasadnionych przypadkach dla naszych klientów oferujemy wersję z płatną subskrypcją dla biznesu.

Można nabyć wersję sprzętową OPNsense, która funkcjonalnie nie różni się funkcjonalnie od tej darmowej, nie mniej jednak instalacja z urządzeniem jest w wersji dla biznesu i posiada również w cenie wsparcie producenta.

7. Podsumowanie

OPNsense to system dopracowany w każdym elemencie. Przyjazny interfejs użytkownika, bogate możliwości, stabilność działania czynią z niego godnego konkurenta dla innych producentów tego typu rozwiązań.

Przykładowy ekran
OPNsense

Wyszukiwanie z google

Kategorie

Tagi