Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

OPNsense, czyli darmowy firewall

Data publikacji: 14-07-2022 Autor: Marcin Jurczyk

Po darmową zaporę ogniową najczęściej sięgają mniejsze przedsiębiorstwa. Przyczyna jest oczywista – budżet potrzebny na zakup rozwiązania komercyjnego to znaczne obciążenie, a odnawianie licencji na poszczególne funkcje bezpieczeństwa wielokrotnie przewyższa początkowe koszty zakupu. Sprawdzamy zatem jedną z bezpłatnych opcji.

 

Firewall to jeden z podstawowych komponentów każdej sieci. Nawet najprostsze urządzenia przeznaczone do użytku domowego mają taką funkcjonalność, choć jest ona mocno ograniczona choćby ze względu na parametry wydajnościowe najtańszych urządzeń. Oczywiście w przypadku podstawowych zapór mamy zazwyczaj do czynienia z minimalnym zestawem parametrów konfiguracyjnych, nierzadko ograniczonym jedynie do funkcji włącz/wyłącz. To za mało dla nieco bardziej wymagających rozwiązań biznesowych, nawet jeśli mowa tu o najmniejszych firmach lub ich oddziałach, liczących raptem kilka–kilkanaście urządzeń. Paleta produktów komercyjnych, a także dostawców wyspecjalizowanych w dostarczaniu takich rozwiązań, jest całkiem spora i niemal każdy znajdzie tutaj coś dla siebie, z uwzględnieniem własnych preferencji.

 

Często jednak kierując się względami ekonomicznymi, wystarczy sięgnąć po jeden z darmowych firewalli typu open source. OPNsense, a więc platforma będąca przedmiotem naszych testów, to właśnie taka propozycja. Nazwa projektu w wolnym tłumaczeniu to swoista deklaracja: open source ma sens. Naszej redakcji nie trzeba specjalnie do tego przekonywać, co niejednokrotnie udowadnialiśmy, opisując darmowe alternatywy dla wielu rozwiązań komercyjnych. Niespełna półtora roku temu („IT Professional”, 2/2021) testowaliśmy poniekąd bliźniaczą platformę pfSense. Tym razem sprawdzimy, na ile „sensowne” jest jej nieco inne wcielenie.


> Architektura


Korzenie OPNsense sięgają trochę zapomnianego już projektu o nazwie m0n0wall, a także wspomnianego rozwiązania pfSense, które również bazowało na tej dystrybucji. Wspólnym mianownikiem dla każdego z nich jest jednak system FreeBSD wraz ze wszystkimi jego zaletami. Na skutek zmian organizacyjnych i własnościowych część społeczności pracującej nad projektem pfSense postanowiła zbudować własne odgałęzienie, którego pierwsza oficjalna wersja ujrzała światło dzienne z początkiem 2015 r. Za marką OPNsense stoi dzisiaj holenderska firma Deciso, a według zapewnień twórców z oryginalnego kodu, pochodzącego jeszcze z czasów pracy nad poprzednim projektem, pozostało mniej niż 10%. Cykl wydawniczy bazuje na dwóch wersjach wypuszczanych każdego roku. Testowany release o nazwie Observant Owl to pierwsza edycja planowana na ten rok, oznaczona numerem 22.1 (najnowsza aktualizacja to 22.1.8 z maja tego roku). W momencie publikacji testu powinna już być dostępna najnowsza wersja 22.7.

 

Fundamentem działania OPNsense jest wspomniany już system FreeBSD 13, na bazie którego zbudowano gotową do szybkiego wdrożenia zaporę ogniową, mogącą realizować praktycznie wszystkie funkcje z zakresu bezpieczeństwa sieci dostępne w komercyjnych rozwiązaniach tego typu. Użytkownicy systemów *BSD czy Linuksów znajdą tu całe mnóstwo dobrze im znanych, zintegrowanych i prekonfigurowanych produktów pochodzących z innych projektów open source. Znajdą się pewnie i tacy administratorzy, którzy wielokrotnie wdrażali własne realizacje firewalla opartego na identycznym zestawie narzędzi składowych.

Sedno tego typu projektów jest jednak nieco inne. OPNsense powinien stanowić realną alternatywę dla użytkowników i przedsiębiorstw, które niekoniecznie dysponują wyspecjalizowaną kadrą, zdolną do wdrożenia i utrzymania samodzielnie zaprojektowanych systemów realizujących funkcje bezpieczeństwa. Z jednej strony jest to zadanie nietrywialne, wymagające sporych nakładów zarówno czasowych, jak i finansowych. Z drugiej – po co wywarzać otwarte drzwi? OPNsense z założenia powinien być prosty i szybki we wdrożeniu oraz oferować zaawansowane funkcje, stabilność, a także jasno określony cykl życia. I to wszystko bez ponoszenia dodatkowych kosztów. Podobnie jak w przypadku innych tego typu projektów poza całkowicie darmową wersją Community istnieje także wersja Business Edition przeznaczona dla klientów instytucjonalnych. Relatywnie niedrogi model subskrypcyjny (149 euro/rok) pozwala na dostęp do wybranych wtyczek oraz komercyjnego repozytorium aktualizacji, a także o 20% tańszego, podstawowego wsparcia technicznego, które można wykupić osobno. W portfolio produktów firmy Deciso znaleźć można także urządzenia sieciowe zaprojektowane jako platforma sprzętowa dla oprogramowania OPNsense. Rozpiętość cenowa waha się w przedziale od 549 do 1699 euro.


> Funkcjonalność


Podstawowym zadaniem każdego firewalla jest filtrowanie ruchu. W przypadku OPNsense użytkownik dostaje zaporę pozwalającą na definiowanie reguł na bazie trzeciej i czwartej warstwy modelu OSI, a więc najbardziej standardowy zestaw, uważany przez niektórych jako nieprzystający do współczesnych wymagań. Reguły przypisywane są do konkretnych interfejsów w kontekście ruchu przychodzącego lub wychodzącego. Lista reguł przetwarzana jest sekwencyjnie aż do pierwszego dopasowania, po czym wykonywana jest odpowiednia akcja (Pass, Block, Reject).


Poza standardowymi regułami dostępne są także reguły typu floating umożliwiające filtrowanie ruchu dla wielu interfejsów jednocześnie w obu kierunkach. Reguły można także grupować. Ma to również znaczenie w kontekście kolejności przetwarzania – reguły typu floating przetwarzane są w pierwszej kolejności, przed regułami dla grup interfejsów oraz regułami dotyczącymi pojedynczego interfejsu. Filtrowanie ruchu względem źródła można doprecyzować o wybraną wersję systemu operacyjnego, z którego pochodzi ruch. Mechanizm pasywnego fingerprintingu analizuje pakiety TCP SYN inicjujące połączenie TCP, na podstawie czego możliwe jest zidentyfikowanie konkretnej wersji systemu operacyjnego. Działanie zapory można także zaplanować na podstawie wbudowanych harmonogramów. Z tego samego poziomu da się też określić, przez który interfejs ruch ma opuścić naszą zaporę, co pozwala na realizację dość podstawowego policy based routingu. Wśród zaawansowanych opcji firewalla możliwe jest także podejmowanie akcji na podstawie priorytetów, flag TCP czy chociażby wewnętrznego znakowania pakietów. Część konfiguracji firewalla można modyfikować także z poziomu API, co ułatwia integrację z innymi systemami bezpieczeństwa, które mogą automatycznie modyfikować zestaw reguł.


Podstawową funkcjonalność zapory da się rozszerzyć za pomocą wbudowanego systemu IDS/IPS. W przypadku OPNsense za analizę ruchu na tym poziomie odpowiada opisywana już przez nas Suricata. Administrator może oczywiście skonfigurować silnik wykrywania zarówno w trybie czystej detekcji, jak też w trybie inline, umożliwiającym natychmiastowe blokowanie dla zdefiniowanych zdarzeń. Skuteczność wykrywania w dużej mierze zależeć będzie od zestawu wykorzystanych sygnatur. W standardzie OPNsense umożliwia skorzystanie zarówno z bezpłatnych zestawów reguł Emerging Threats, jak również w pełni komercyjnych paczek, wymagających zakupu odpowiedniej subskrypcji. Reguły stworzymy oczywiście własnoręcznie, trzymając się ustandaryzowanego formatu. Suricatę można także wykorzystać jako mechanizm identyfikacji popularnych aplikacji sieciowych, dla których możliwe jest zdefiniowanie odpowiedniej akcji, w tym blokowania ruchu. W ten sposób OPNsense pozwala również na filtrowanie ruchu w warstwie aplikacyjnej, bez konieczności analizy ruchu na poziomie adresów IP. Dzięki temu skutecznie zarządza się zaporą, z wykorzystaniem jedynie nazw najpopularniejszych aplikacji, jak chociażby Facebook, Netflix, Dropbox czy WhatsApp.

 

[...]

 

Autor od 2004 r. związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"