OPNsense i Zenarmor - eleganckie bezpieczeństwo

1. Wstęp

O OPNsense pisaliśmy szerzej w jednym z naszych poprzednich blogów: OPNsense - zabezpiecz swoją sieć! . W podstawowej konfiguracji OPNsense jest typowym firewallem zarządzającym ruchem sieciowym - jest tzw. “firewallem stanowym” z pełną obsługą stosów protokołów IPv4 i IPv6. Umożliwia również podgląd na żywo ruchu zablokowanego i przekazanego dalej. Jego siłę z pewnością stanowi mechanizm tzw. “pluginów” - możliwość instalacji dodatkowych paczek z oprogramowaniem, które rozszerzają OPNsense o dodatkowe funkcjonalności.

Dodatek Zenarmor, dzięki właśnie mechanizmowi “pluginów”, idealnie integruje się z platformą OPNsense. Integracja jest wykonana na poziomie profesjonalnym, notabene OPNsense i Zenarmor są partnerami technologicznymi, i właśnie w warstwie integracyjnej tę współpracę bardzo dobrze widać.

Zenarmor zapewnia najnowocześniejsze funkcje nowej generacji, które nie są obecnie dostępne w innych produktach tego typu. Jeśli w organizacji jest wykorzystywany firewall typu L4 (wszystkie zapory typu “open source” należą do tej kategorii) i istnieje potrzeba implementacji takich funkcjonalności jak: kontrola aplikacji, analityka sieci i inspekcja TLS - Zenarmor ma to wszystko i wiele więcej. ;-)

Poniżej główne cechy Zenarmor - po więcej szczegółów odsyłamy na stronę zenarmor.com

2. Główne cechy Zenarmor

2.1 Technologia

Podstawową technologią zaimplementowaną w Zenarmor jest bardzo lekki, a zarazem bardzo wydajny rdzeń kontroli pakietów, który może zapewnić szeroką gamę funkcji bezpieczeństwa sieci klasy korporacyjnej.

2.2 Unikalna technologia niewymagająca użycia dedykowanych urządzeń (ang. “applance-free technology”)

Lekka i wydajna technologia niewymagająca użycia dedykowanych urządzeń umożliwia organizacjom natychmiastowe uruchamianie zapór sieciowych na żądanie i łatwe zabezpieczanie środowisk tak małych jak sieci domowe lub skalowanie do wdrożeń obejmujących wiele chmur.

Rdzeń kontroli pakietów jest wystarczająco wydajny, aby móc chronić organizację przed szyfrowanymi zagrożeniami (szyfrowanie plików), a jednocześnie jest na tyle lekki i wydajny, że może z powodzeniem pracować w środowiskach o bardzo ograniczonych zasobach sprzętowych.

2.3 Stos zabezpieczeń o zerowym opóźnieniu

Z Zenarmor można wdrożyć zabezpieczenia o zerowych opóźnieniach bez przesyłania pakietów danych tam i z powrotem między punktami POP i centrami danych.

Architektura jednoprzebiegowa działająca w Zenarmor przetwarza pakiety tylko raz, zapewniając kontrolę bezpieczeństwa na najwyższym poziomie oraz ponadprzeciętną wydajność skanowania ruchu sieciowego.

Ten sam stos zabezpieczeń działa wszędzie tam, gdzie Zenarmor jest wdrażany, zapewniając przy tym bezprecedensowy poziom spójności podczas stosowania zasad bezpieczeństwa.

2.4 Wdrażaj gdziekolwiek, zarządzaj z chmury

Możliwość kontroli zarówno lokalnej, jak i zdalnej (zarządzanie centralnie).

Zarządzanie w chmurze zapewnia kontrolę nad wszystkimi politykami i wdrożeniami sieciowymi.

Projektowanie zasad niezależne od lokalizacji i urządzeń, egzekwowanie ich we wszystkich środowiskach IT.

Agregowanie i wizualizowanie wszystkich danych telemetrycznych dotyczących zabezpieczeń z jednego panelu. Od ogółu - do szczegółu: od widoku na poziomie przedsiębiorstwa do widoku szczegółów poszczególnych połączeń na konkretnym urządzeniu.

2.5 Funkcje zapory sieciowej nowej generacji (ang. “NGFW firewall features”)

1. Kontrola aplikacji

2. Kontrola aplikacji w chmurze (kontrole Web 2.0)

3. Zaawansowana analityka sieciowa

4. Filtrowanie i bezpieczeństwo sieci

5. Analiza zagrożeń w chmurze

6. Filtrowanie i raportowanie oparte na użytkownikach

7. Integracja z Active Directory

8. RESTful API

9. Scentralizowane zarządzanie i raportowanie w oparciu o chmurę

10. Identyfikacja urządzenia

11. Kontrola dostępu do urządzenia

12. Kształtowanie ruchu i ustalanie priorytetów w oparciu o kategorię aplikacji/internetu

13. Filtrowanie oparte na zasadach i QoS

14. Szyfrowane zapobieganie zagrożeniom

15. Pełna inspekcja TLS na wszystkich portach (dla każdego portu TCP, nie tylko HTTPS) *Już wkrótce

2.6 Wspierane platformy

Zenarmor obecnie jest wspierany na następujących platformach:

1. OPNsense® (OPNsense 23.x - 24.x, pełna integracja z panelem zarządzania OPNsense)
2. FreeBSD® (FreeBSD 12,13)
3. Ubuntu Linux (Ubuntu 20.04 LTS, 22.04 LTS, 2304)
4. CentOS Linux (Centos 7, 8)
5. Debian Linux (Debian 10, 11, 12)
6. pfSense ® software (pfSense ® software 2.5.x-2.7.x)
7. AlmaLinux (AlmaLinux 1)
8. Rocky Linux (Rocky Linux 9)
9. RedHat Enterprise Linux (RHEL 8.5-9)
10. Amazon Linux (Amazon Linux 2)

2.7 Scentralizowane zarządzanie zasadami w chmurze

Możliwość tworzenia polityki dla poszczególnych zapór sieciowych lub możliwość tworzenia scentralizowanych polityk, które można przypisać do wybranej grupy zapór sieciowych. Wszystko za pomocą kilku kliknięć i bez konieczności logowania! się do poszczególnych firewalli.

Punkty przywracania zasad umożliwiają tworzenie kopii zapasowych konfiguracji zasad i przywracanie określonej konfiguracji w ciągu kilku sekund.

Wszystkie zasady lokalne i chmurowe są natychmiast synchronizowane, dzięki czemu nie ma potrzeby martwić się o to, że będzie potrzebna ręczna konfiguracja drugiej strony podczas konfiguracji zasad w chmurze lub w lokalnym interfejsie użytkownika OPNsense.

2.8 Scentralizowane raportowanie i analityka

Funkcjonalność polegająca na agregacji i wizualizacji wszystkich danych telemetrycznych, które dotyczą zabezpieczeń - z jednego panelu. Widok od ogółu, do szczegółu.

Próba śledzenia poszczególnych systemów jeden po drugim jest żmudnym procesem, który z dużym prawdopodobieństwem może spowodować pominięcie lub zignorowanie ważnych alertów.

Podobnie jak centralne zarządzanie polityką, Cloud Central Management umożliwia przesyłanie strumieniowe wszystkich raportów do pojedynczej instancji raportowania specyficznej dla projektu.

Komunikacja między zaporą sieciową a serwerami w chmurze Zenarmor jest zabezpieczona 256-bitowym szyfrowaniem AES. Zastosowano 2048-bitowe klucze RSA i uwierzytelnianie Mutual TLS (mTLS), aby zapewnić bezpieczeństwo i zaufanie ruchu w obu kierunkach pomiędzy zaporą ogniową a serwerami Zenarmor Cloud.

W przypadku raportów scentralizowanych można swobodnie korzystać z własnych instancji Elasticsearch, ponieważ nie muszą one być hostowane w chmurze. Alternatywnie można także skorzystać z instancji chmurowych Cloud Elastic.co. Scentralizowane raporty są również pobierane i wyświetlane przez jedną z zapór sieciowych.

Co więcej, można tworzyć scentralizowane instancje raportowania dla każdego projektu. Oznacza to, że można zgrupować zapory sieciowe firmy A w ramach projektu i przypisać do tej grupy zapór pojedynczą konfigurację instancji Elasticsearch. Świetne rozwiązanie!

2.9 Edycje

Zenarmor jest dostępny w edycjach:

1. Darmowej

2. Płatnej - dla użytkowników domowych

3. Płatnej - dla małych firm i biur

4. Płatnej - dla użytkowników biznesowych - średnich i dużych przedsiębiorstw.

Zachęcamy do zapoznania się z materiałem porównującym edycje: www.zenarmor.com/plans

Edycja “Darmowa” nie ma kilku istotnych funkcjonalności: np. brak detekcji urządzeń, limity w tworzeniu polityk, nie wszystkie zagrożenia są wykrywane. Brak tych funkcjonalności czynią wersję darmową mało użyteczną w średnich lub dużych przedsiębiorstwach - nie zapewnia pełnej ochrony, tak jak robią to wersje Zenarmor z subskrypcją.

3. Instalacja Zenarmor w OPNsense

Instalacja Zenarmor w OPNsense jest banalnie prosta - sprowadza się do wybrania odpowiedniego pluginu, które włączy repozytorium z paczkami Zenarmor: os-sunnyvalley. Następnie po wybraniu pluginu: os-sensei nastąpi instalacja samego oprogramowania Zenarmor.

Po instalacji, w menu głównym OPNsense, pojawi się podmenu Zenarmor wraz z: Dashboard, Reports, Live Sessions, Policies, Settings, Notification (polski interfejs nie został do końca przetłumaczony). Po instalacji pozostaje jeszcze krótki proces konfiguracyjny - wybór bazy danych, wybór interfejsów które monitoruje Zenarmor i praktycznie system jest gotowy do działania. Resztę konfiguracji dokonuje się z menu Zenarmor: Settings.

4. Zenarmor: Dashboard

Centralne miejsce aplikacji. Tutaj możemy sprawdzić stan bezpieczeństwa naszej sieci: liczbę wykrytych zagrożeń oraz zablokowanych potencjalnych zagrożeń. Mamy wgląd również w stan przepustowości interfejsów monitorowanych przez Zenarmor. Ponadto na ekranie zobaczymy statystykę: najczęstsze zagrożenia, najaktywniejsze hosty oraz najczęściej używane aplikacje. Zawarto również stan silnika Zenarmor, stan bazy danych oraz informację o statusie podłączenia Zenarmor do usług chmurowych .

Sprawdzimy również stan zajętości procesora, ilość wolnego/zajętego miejsca na dysku, wykorzystanie pamięci oraz stan usług chmurowych Zenarmor.

5. Zenarmor: Devices (w płatnej wersji)

Zenarmor automatycznie wykrywa i klasyfikuje wszystkie urządzenia podłączone do sieci, prezentując kompleksowe podsumowanie ich cech, w tym dostawcy sprzętu, systemu operacyjnego, nazwy, nazwy hosta, adresów IP i adresów MAC. Urządzenia te można następnie kategoryzować zgodnie z ich istotą. Np.: kamera wideo, serwer, router etc.

Zarządzanie urządzeniami w sieci lokalnej podnosi poziom bezpieczeństwa i umożliwia większą kontrolę nad tym, co jest podłączone do sieci (nieznane urządzenia mogą być domyślnie blokowane).

6. Zenarmor: Reports

W tej sekcji w myśl idei “od ogółu do szczegółu” mamy dostęp do wszelkiego rodzaju raportów i statystyk. Ta część Zenarmor zawiera wiele interaktywnych wykresów pomocnych w analizie ruchu i zagrożeń bezpieczeństwa w sieci.

Wszystkie raporty posiadają swoje predefiniowane wykresy. Każdy raport posiada z nim skorelowany wykres.

7. Zenarmor: Live Sessions

W tej sekcji są wyświetlane szczegółowe dzienniki połączeń w formacie umożliwiającym sortowanie. Ten widok jest przydatny do uzyskania wglądu w bieżącą aktywność w danej sieci.

Eksplorator sesji na żywo jest podzielony na sześć widoków raportów, co ułatwia dostęp do żądanych szczegółów dziennika:

1. Połączenia wszystkie
2. Połączenia sklasyfikowane jako zagrożenia
3. Zablokowane połączenia
4. Płączenia do sieci WWW
5. Połączenia do DNS
6. Połączenia za pomocą protokołu TLS

Każde połączenie przechodzące przez silnik Zenarmor jest tutaj uwidocznione.

8. Zenarmor: Activity Explorer (w płatnej wersji)

Strona Eksploratora aktywności umożliwia przeglądanie szczegółów aktywności połączenia. Na stronie Eksplorator aktywności można przeglądać aplikacje i połączenia internetowe z ostatnich 24 godzin oddzielnie na dwóch różnych kartach.

9. Zenarmor: Policies

Zaawansowane filtrowanie oparte na zasadach to jedna z najbardziej wykorzystywanych funkcji Zenarmor. W oparciu o standardy bezpieczeństwa informacji Twojej organizacji polityka Zenarmor definiuje, w jaki sposób zapory ogniowe Twojej organizacji powinny przetwarzać przychodzący i wychodzący ruch sieciowy dla określonych adresów IP, zakresów adresów, użytkowników, grup użytkowników, protokołów, aplikacji, kategorii treści i nie tylko.

Zasady Zenarmor są łatwe do skonfigurowania w interfejsie systemu.

10: Zenarmor: Settings

Tutaj można skonfigurować wszystkie aspekty działania Zenarmor. Interfejs jest intuicyjny, a wszystkie opcje są doskonale opisane.

11. Zenarmor: Notification

Zenarmor posiada bogaty system logowania. Każdy wpis w logu ma swój priorytet. Dzięki temu mechanizmowi wiemy dokładnie co dzieje się w systemie, ponieważ każde zdarzenie w systemie jest zapisywane i może być w razie potrzeby odszukane, i wyświetlone.

12. Podsumowanie

Zenarmor jest kolejnym systemem, który wraz z innymi elementami ochrony, pozwala administratorom zwiększyć ochronę sieci lokalnej przed cyberatakami.

System używany do klasyfikacji zagrożeń w Zenaromor korzysta z chmury dostawcy, dzięki temu sygnatury zagrożeń na urządzeniu są zawsze aktualne.

Lokalny system cache przechowuje lokalną bazę danych z sygnaturami, co wydatnie przyśpiesza cały proces skanowania ruchu wchodzącego i wychodzącego.

Ciekawą opcją są mechanizmy blokujące dostęp do stron, które mogą stanowić potencjalne zagrożenie dla użytkowników. Stosowanie wyjątków pozwala na elastyczne zarządzanie blokowanym ruchem.

I na koniec bezsprzeczny fakt - idealna integracja z OPNsense sprawia, że aż się prosi, aby co najmniej wypróbować Zenarmor w swojej organizacji. Jest dostępna 6 dniowa wersja trial subskrypcji odblokowująca wszystkie funkcjonalności oraz pełną ochronę.

Źródła:

[1] Zenarmor.com