Tabla de contenidos
Opnsense es un firewall basado en el sistema operativo FreeBSD, que es lanzado por la empresa holandesa Deciso bajo una licencia de código abierto. OpnSense existe desde 2015 y en ese momento se separó del proyecto de firewall pfsense o m0n0wall. El cortafuegos OpnSense ahora se puede comparar con los proveedores de cortafuegos comerciales.
Te recomendamos leer: ¿Qué es un clúster de Kubernetes?
Historia y desarrollo de opnsense
El firewall opnsense existe desde 2015 y es prácticamente una bifurcación del firewall de código abierto existente pfsense. El trasfondo de estos llamados «forks» de pfsense fue el cambio en el modelo de licencia de pfsense por parte del fabricante estadounidense Netgate.
Era importante para los creadores del entonces nuevo firewall OpnSense poder continuar ofreciendo su producto abiertamente sin restricciones de licencia. Además, los desarrolladores de Deciso tienen como objetivo ofrecer tecnologías de firewall avanzadas y de alta calidad como una aplicación de código abierto utilizable.
Leer: ¿Qué es Nagios?
Características de OpnSense
Las funciones que obtienes de OpnSense como empresa que lo usa se pueden comparar con los firewalls clásicos como Sophos, Clavister, Cisco, etc.
Funciones básicas
- Gestión de conexiones de red con IPv4 e IPv6.
- Gestión de elementos de red (hosts, redes, puertos, VLAN, puerta de enlace).
- Administrar reglas de cortafuegos.
- Servicios de red como DHCP, DNS, NTP, SNMP.
- Acceso telefónico remoto a través de OpenVPN o IPSEC.
- Túnel IPSEC a otras ubicaciones.
- NAT (traducción de direcciones de red).
- Conformación de tráfico, por ejemplo, para Voz sobre IP (VoIP).
Otras funciones de OpnSense
- Alta disponibilidad con 2 dispositivos o cortafuegos virtuales.
- Proxy web (calamar).
- Sistema de detección de intrusos o prevención de intrusos (suricata).
- Portal cautivo.
- Multi-WAN: múltiples conexiones a Internet.
- Gestión de Zonas Desmilitarizadas (DMZ).
- Proxy HA como proxy inverso.
- Protocolos de enrutamiento (OSPF, RIP, BGP).
Además, un OpnSense se puede equipar con módulos adicionales para expandir la funcionalidad del dispositivo de firewall. Esto puede ser, por ejemplo, paquetes pequeños como qemu-guest-agent o vmware tools en entornos virtuales. También hay extensiones de software mucho más potentes para OpnSense, con las que se puede aumentar significativamente la gama de funciones, como Wireguard como alternativa VPN u otros sistemas de detección de intrusos.
En aras de la justicia, se debe mencionar que, con una gran cantidad de paquetes adicionales, las demandas sobre el hardware físico o virtual también aumentan.
Requisitos de hardware de un firewall OpnSense
Como responsable de la toma de decisiones, es importante saber que el software OpnSense no está vinculado a ningún fabricante de hardware específico. En términos de hardware, un firewall OpnSense se puede operar en casi cualquier hardware en el que también se pueda instalar la distribución de Linux FreeBSD.
Esto significa que se puede instalar en nuevos modelos de PC o sistemas de servidor, así como en «hardware antiguo». OpnSense Firewall también se puede operar fácilmente como una máquina virtual en centros de datos o entornos hiperconvergentes. Se utiliza en muchos centros de datos o por proveedores de nube como Amazon o Azure de Microsoft.
Ahora existen diferentes proveedores de hardware especializado para firewalls genéricos que tienen, por ejemplo, hasta 8 conexiones de red, muchas de ellas incluso con conexiones de 10GBit/s para fibra óptica.
En términos puramente formales, los requisitos mínimos para el hardware o máquina virtual son: CPU de doble núcleo de 1 Ghz, 2 GB de RAM y 4 GB de espacio en disco duro. OpnSense también se puede instalar en una memoria USB o en una tarjeta CompactFlash. Según la experiencia con muchos dispositivos OpnSense físicos y virtuales, se recomienda a los principiantes que utilicen 4 GB de memoria principal (RAM) y 2 a 4 núcleos de procesador.
Si planeas ejecutar un proxy web como Squid, un proxy inverso o un IDS en OpnSense, definitivamente debes elegir un SSD sólido como disco duro y abstenerte de memorias USB o tarjetas CF.
Instalación de un cortafuegos OpnSense
La instalación real de un firewall OpnSense no es demasiado difícil. Todo lo que necesitas es el medio de instalación del sitio web del proyecto. Esto luego inicia el hardware físico o virtual preferido. Después de asignar una conexión de red interna y externa y dos direcciones IP, OPnSense está listo para usar.
A diferencia de los proveedores comerciales, el conjunto de reglas necesarias para operar un firewall está preconfigurado con OpnSense de tal manera que, en teoría, el firewall puede estar listo para usarse después de unos minutos. En realidad, la configuración de un OpnSense suele ser un asunto larga, ya que a menudo es necesario configurar varios servicios, como dhcp, DNS o una conexión VPN.
Actualizaciones y mayor desarrollo de OpnSense
Si observas más detenidamente y lo comparas especialmente con el firewall pfsense, se nota que el fabricante Deciso actualiza y desarrolla con mucha más frecuencia que en el caso de pfsense.
Según nuestra experiencia en los últimos años, el firewall pfsense tiene un máximo de una versión o corrección de errores cada seis meses, mientras que se puede esperar que OpnSense tenga al menos una actualización por trimestre. El proceso de actualización de OpnSense en sí es relativamente sencillo, pero incluye un reinicio en casi todos los casos (en los últimos 4 o 5 años).
Solo si OpnSense se usa en una asociación HA (alta disponibilidad) se deben tomar algunas precauciones para que ambos firewalls OPnSense tengan de manera confiable el mismo firmware y la configuración adecuada después de la actualización.
Gestión/administración de un firewall OpnSense
Si bien OpnSense todavía se instala a través de la interfaz de línea de comandos (CLI), el administrador de la red puede llevar a cabo con relativa facilidad la configuración y administración adicionales del firewall a través de la interfaz web.
En aras del buen orden, cabe mencionar que algunas, aunque no muchas, tareas administrativas se pueden realizar a través de la línea de comandos. En particular, las actualizaciones del sistema operativo o del software OpnSense real se pueden realizar más rápidamente que a través de la interfaz web.
Leer: ¿Qué es Microsoft Dynamics 365?
¿Qué tan alto es el esfuerzo de entrenamiento?
Como ya se describió anteriormente, el esfuerzo de instalar un OpnSense es manejable. Sin embargo, al igual que con otros cortafuegos, el esfuerzo de aprendizaje posterior para el administrador de red interesado es considerable.
Configurar servicios básicos como DNS, DHCP y crear reglas simples también será fácil para los principiantes. Sin embargo, tan pronto como se trata de la concepción y configuración de túneles IPSEC, accesos telefónicos OpenVPN o la configuración de un sistema de detección o prevención de intrusos, se exige mucho del networker interesado. Por lo general, solo una muy buena comprensión de las redes y, a veces, mucha experiencia ayuda aquí.