Zenarmor è il modulo che trasforma un firewall OPNsense in un Firewall di Nuova Generazione (NGFW, Next Generation FireWall). Questo articolo riguarda l’installazione e la configurazione dell’esione Zenarmor di Sunny Valley Networks.

Il risultato finale sarà la possibilità di controllare il traffico tcp/ip e di monitorarlo tramite dei log grafici e report.

1. Modelli hardware certificati

  • L’articolo è stato realizzato con il Compact Small UTM 3
  • L’Add-on Zenarmor è stato testato e certificato sui Firewall Corporate
  • Possono funzionare bene anche i firewall entry level
    *occorre prestare attenzione alle performances richieste.

2. Installazione e funzionamento

Per prima cosa bisogna effettuare l’upgrade del firewall, quindi installare il plugin os-sunnyvalley

Una volta installato il plugin os-sunnyvalley sarà possibile reperire ed installare il plug-in os-sensei (gli altri plug-in che iniziano con os-sensei verranno installati automaticamente)

Finita l’installazione di os-sensei, apparirà un nuovo menu dal nome Zenarmor, perfettamente integrato al sistema OPNsense e del tutto simile agli altri menu.

Zenarmor Dashboard - OPNsense

Terminata l’installazione, sarà necessario effettuare la prima configurazione. Basterà cliccare su un qualunque menu di Zenarmor e partirà il wizard di configurazione.

Verrà chiesto come configurare Zenarmor: quale DB usare (scelta importante in quanto poi non modificabile), per quanti utenti si suppone di usare il sistema, la tipologia di controllo (solo report, oppure anche blocco) ecc.

In breve vengono fatte delle domande su come dimensionare il sistema. Verrà anche effettuata una analisi dell’hardware per verificare compatibilità e prestazioni.

Si consiglia di disabilitare l’hardware offloding dal sistema OPNsense:

OPNsense - Interfaces - Settings

3. Come funziona Zenarmor

Zenarmor, non si sostituisce al firewall, bensì aggiunge un componente di controllo e blocco sia livello application (app filtering) che URL (URL filtering). Pertanto le regole del firewall continuano a valere.

In breve il traffico viene permesso se le regole di Zenarmor e poi anche le regole di OPNsense lo permettono, in tutti gli altri casi viene bloccato.

4. Le regole (Policies)

Per la gestione delle regole Zenarmor utilizza un comodo sistema a profili (la versione free prevede un solo profilo); ogni profilo è indipendente.

La configurazione del profilo obbedisce a 4 tab:

Acquista le licenze Zenarmor utilizzando il codice sconto dopo averti iscritto al corso gratuito.

Security: Gestione a categorie di rischio: Malware, Phishing, Spam ecc.

– consigliamo di usare le prime 5, in quanto le successive bloccano molti siti e vanno valutate con attenzione per evitare blocchi indesiderati. (vedi immagine sotto)

– ogni categoria è globale, non prevede sottocategorie né modifiche

App control: Gestione a livello applicativo, dove si possono scegliere la tipologia di applicativo da bloccare: social, ads, Media ecc.

– Ogni categoria in realtà è un insieme di sottocategorie. Per esempio la categoria “social” include traffico quali: facebook, twitter, tiktok, myspace ecc.

– Si possono aggiungere sotto categorie personalizzate in qualunque categoria

– Si può scegliere cosa far passare o bloccare in modo puntuale

Web Control: Permette la gestione del traffico per categorie web. Benché possa sembrare simile al tab app control, in realtà tale tab si occupa in modo specifico e soltanto del traffico URL (http, https).

– Non è possibile (nella versione free) scegliere le categorie in modo puntuale, ma solo per profili predefiniti

– Il tab Web Control è prioritario rispetto al tab App Control

– si possono aggiungere categorie personalizzate a cui associare url personalizzate

Exclusion: Questo tab implementa white list e black list personalizzate. Queste due liste sono prioritarie rispetto a tutte le altre policy

Zenarmor Policies - OPNsense

5. Reports

La parte di report permette di analizzare tutto il traffico generato. Ha un complesso sistema di filtraggio, sia ali vello grafico, che a riga (sessioni). I grafici permettono una visione generale del traffico.

La visione a riga (visualizzabile da session detail o da “live session” – vedi immagine qui sotto) permette una analisi puntuale del traffico, con una gran quantità di dettagli; chi ha generato il traffico verso di chi con quale protocollo ecc.

Zenarmor Reports - OPNsense
Zenarmor Session Details

6. Vantaggi e Considerazioni

  • Ottima integrazione con OPNsense
  • Configurazione e gestione del traffico intuitiva
  • Impatto minimo sul throughput di rete
  • Possibilità di gestione profili in modo indipendente e parallelo, facile confrontare le differenze fra i profili (solo versioni non free)
  • Ottimo sistema di gestione delle policies personalizzate, delle white list e black list
  • Reports ricchi di informazioni

Considerazioni

  • Prima configurazione (Wizard), DB non modificabile
  • Occupazione risorse, richiede hardware adeguato.
  • Capire la priorità delle regole, non immediato.
  • Filtro dei report non sempre intuitivo.
  • Gestione utenti ed integrazione con Active Directory

7. Dimensionamento Hardware

Il dimensionamento Hardware necessita di una analisi precisa, di seguito forniamo alcuni suggerimenti da utilizzare solo come esempio.

Active Devices

Maximum WAN Bandwidth

Minimum Memory

Miniserver

0 – 25

200 Mbps

4 GB

Compact Small UTM

25-100

500 Mbps 10 Kpps

4 GB

Appliance Small UTM 3

100-250

1 Gbps 20 Kpps

8 GB

Appliance B1 Server Aluminum

250-1000

1-2 Gbps 40 Kpps

16 GB

Appliance A2 Server Aluminum

1000-2000

1-2 Gbps

32 GB

Appliance A2 Server Aluminum

2000+

1-2 Gbps

64GB

Appliance A3 Server Aluminum

Firewall Entry LevelCorporate Data Center

Firewall Entry Level, Corporate, Datacenter
Miniserver YouTube
Cluster Proxmox 3 nodi con Ceph

Hai trovato utile questo articolo? Invialo a un amico o condividilo sui social!


Articoli correlati