OPNsense: cos'è, come si installa e come usarlo

Il mercato offre molteplici soluzioni proprietarie già pronte per gestire firewall, routing e sicurezza delle reti. OPNsense è una piattaforma open source basata su FreeBSD che ha come obiettivo primario quello di proteggere le reti aziendali e domestiche. Nata nel 2015 come fork di pfSense, OPNsense è ideata con il preciso intento di fornire una soluzione più aperta e collaborativa con la comunità che riveste un ruolo primario nello sviluppo e nel miglioramento del sistema.

Le principali funzioni integrate in OPNsense

OPNsense è caratterizzato da una vasta gamma di funzionalità avanzate, che lo rendono adatto per le reti di ogni dimensione e complessità. L’interfaccia Web per la configurazione e la gestione delle impostazioni consentono agli amministratori di monitorare e controllare la rete da una singola console centralizzata.

Tra le caratteristiche più importanti ricordiamo la presenza del firewall avanzato, capace di filtrare indirizzi IP, porte, protocolli e così via. Gli amministratori di rete possono definire regole specifiche per controllare il traffico in entrata e uscita.

Grazie alla funzione di filtraggio dei contenuti, OPNsense può bloccare l’accesso a siti Web indesiderati o potenzialmente pericolosi, fornendo un maggiore controllo sulla navigazione degli utenti.

OPNsense supporta inoltre diverse tecnologie e protocolli VPN per consentire connessioni sicure tra sedi remote o utenti mobili ed è personalizzabile in profondità tramite l’installazione di plugin e pacchetti aggiuntivi, che aggiungono funzionalità extra e si adattano alle esigenze specifiche della rete.

La piattaforma integra anche meccanismi di load balancing e failover oltre a un sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS), antivirus, antispoofing e molto altro. Il tutto al fine di garantire il massimo livello possibile di protezione della rete locale.

Una soluzione come OPNsense è nota per i frequenti aggiornamenti via via rilasciati e l’utilizzo predefinito di HTTPS per tutte le interfacce di gestione.

Hardware necessario per eseguire OPNsense

Un software come OPNsense può essere eseguito direttamente sul sistema prescelto (configurazione bare metal) oppure, ad esempio, all’interno di una macchina virtuale. Molti utenti, a seconda delle esigenze, allestiscono un Mini PC utilizzato come appliance per la difesa dei sistemi collegati a valle in rete locale.

In generale, gli sviluppatori di OPNsense raccomandano l’utilizzo di un sistema (fisico o virtuale) dotato di un processore da almeno 1,5 GHz e 8 GB di memoria RAM. Tuttavia, è opportuno evidenziare che l’hardware richiesto per eseguire OPNsense varia significativamente sulla base delle operazioni da gestire.

I servizi che richiedono un quantitativo minimo di risorse hardware sono i seguenti: routing (<= 10 Gbps), firewall, DHCP, DNS, Dynamic DNS, mDNS Repeater, NTP, Monit (supervisione dei processi), SSH, CrowdSec (sistema per la “difesa collettiva” che riceve informazioni dagli altri utenti).

Tra i servizi che impegnano la memoria RAM ci sono Zenarmor (Web Application Firewall avanzato progettato per proteggere le applicazioni Web da attacchi malevoli e minacce informatiche) e il sistema di intrusion detection Suricata. La CPU è invece notevolmente sollecitata dai seguenti servizi: Zenarmor (sulle interfacce > 2,5 Gbps), Suricata e VPN (specialmente se l’hardware non supporta il set di istruzioni AES-NI).

Nella maggior parte dei casi, soprattutto, con i sistemi più vecchi, è necessario acquistare una scheda di rete aggiuntiva. A condizione di utilizzare cavi Ethernet e dispositivi di rete adeguati, si può acquistare una scheda di rete 10 Gbps. Le schede di rete SFP+ possono spesso essere più economiche delle schede Ethernet da 10 Gbps: se le apparecchiature di rete sono fisicamente vicine l’una all’altra, è possibile scegliere proprio queste schede per connettersi a server e switch abbinandole a un cavo in fibra corto o a un cavo in rame collegato direttamente.

Su distanze più lunghe, quando non si dispone di un cavo in fibra ottica, è possibile utilizzare schede Ethernet da 10 Gbps.

Installazione e configurazione

Per installare OPNsense è sufficiente scaricarne l’immagine aggiornata dal sito ufficiale quindi creare un supporto avviabile. Effettuando il boot da tale unità, è poi necessario seguire le istruzioni mostrate a video per effettuare l’installazione su hard disk o SSD.

La configurazione inziale prevede, a installazione ultimata, l’accesso al pannello di amministrazione via Web: le credenziali predefinite sono root per il nome utente e opnsense come password). La procedura guidata guida l’utente nell’impostazione di indirizzo IP, informazioni di rete, password amministrative e così via.

Le interfacce di rete di OPNsense (LAN, WAN,…) vanno quindi configurate in base alla topologia della rete assegnando gli indirizzi IP appropriati e impostando le preferenze di sicurezza.

La routine di configurazione presentata da OPNsense fornisce, come si vede nell’immagine, gli identificativi di tutte le schede di rete presenti sulla macchina. Dapprima viene chiesto di specificare la scheda da usare per l’interfaccia WAN, quindi quella da destinare alla LAN.

Alla comparsa di una schermata simile a quella riprodotta in figura, è necessario digitare installer accanto a login quindi introdurre la password opnsense. Qui è fondamentale NON utilizzare l’username root perché così facendo non si avvierebbe la procedura d’installazione vera e propria e OPNsense ma la piattaforma verrebbe caricata in modalità “live”.

Le regole firewall consentono di permettere e bloccare il traffico in base alle esigenze della rete: ad esempio, l’amministratore può autorizzare l’accesso a servizi specifici (HTTP, HTTPS) e  impedire tutte le altre comunicazioni. È inoltre possibile configurare subito funzionalità server VPN per consentire agli utenti remoti di accedere alla rete in modo sicuro.