Czy bezpieczeństwo musi być drogie i skomplikowane? Niekoniecznie. Jednym z haseł przyświecających powstaniu naszego bloga było motto „bezpieczeństwo to nie kwestia budżetu, a świadomości zagrożeń”. Równie przydatna jest jednak świadomość dostępnych projektów open source, które pozwalają nam to bezpieczeństwo utrzymać.
Darmowe firewalle open source
Pandemia koronawirusa okazała się problemem dla wielu firm, które musiały oddelegować swoich pracowników do pracy zdalnej nie posiadając wystarczającej ilości licencji VPN. Komercyjni dostawcy firewalli często każą sobie bowiem płacić za ilość jednoczesnych sesji, które można zestawić z ich urządzeniem. W rozwiązaniu tego problemu mogą nam pomóc darmowe, opensourcowe firewalle, takie jak pfSense i OPNsense. Firewalle można zainstalować na fizycznej maszynie, wirtualizatorze albo w chmurze aby odizolować swoje wirtualne serwery i chronić świadczone przez nie usługi.
Czym oba firewalle się różnią ?
PfSense powstał jako pierwszy i jest sprzedawany przez firmę Netgate również jako fizyczny appliance. Można też wykupić do niego wparcie techniczne. Do OPNsense natomiast można dokupić jedynie wsparcie techniczne, bez gotowego appliance’u. Ponadto PfSense dystrybuowany jest na licencji Apache 2.0 natomiast OPNsense na licencji “Open Source Initiative approved licence” . Oba firewalle są bardzo do siebie podobne funkcjonalnością i różnią się jedynie mniej istotnymi detalami. PfSense zalecany jest do dużych środowisk, szczególnie ze względu na możliwość wykupienia fizycznego appliance’u od Netgate, który zapewniał będzie większą stabilności. OPNsense natomiast lepiej sprawdzi się w małych firmach (SOHO) i niewielkich środowiskach ze względu na przyjaźniejszy interfejs. W dalszych artykułach z tego cyklu będę opisywał właśnie firewalla OPNsense.
Jak zainstalować ?
Instalacja jest prosta i bardzo dobrze opisana na stronie OPNsense https://docs.opnsense.org/manual/install.html. W skrócie opisuje ją też nasz artykuł: Instalacja firewalla OPNsense w 10 prostych krokach Bardzo polecam zainstalowanie OPNsense na początku w wirtualnej maszynie, nawet na zwykłym domowym komputerze aby najpierw zaznajomić się z interfejsem i przetestować poszczególne funkcje.
Dostępne funkcje
Niektóre z najbardziej przydatnych opcji dostępnych w OPNsense to :
- Klient VPN w dodatku z bardzo bezpiecznym i łatwym w instalacji MFA z wykorzystaniem Google Authenticatora z komórki.
- Funkcjonalności takie jak: security audit, backups do google drive, łatwe narzędzia do troubleshootingu.
- High availability CARP.
- Blokowanie dostępu z wykorzystaniem geolokalizacji IP (chcesz żeby twój VPN lub serwer był dostępny tylko z Polski? – nie ma problemu). Poświęciliśmy temu odrębny artykuł: Geolokalizacja IP w regułach firewalla OPNsense
- IPS/IDS.
- Unbound DNS server lub plugin z DNS bind.
- Client Caching Proxy.
- Nginx jako reverse proxy.
Niektóre z powyższych rozwiązań zostaną opisane w kolejnych artykułach.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Niektórzy uważają, że pfSense jest mniej elastyczny od OPNsense, więc dlaczego w większości tego typu artykułów ten drugi (OPNsense) jest pomijany
OPNsense również sprzedaje sprzęt – czy jak tu napisane coś w formie: „fizycznego appliance’u”
https://shop.opnsense.com/product-categorie/hardware-appliances/