En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido del deseo de innovación y funcionalidad mejorada, OpnSense ha obtenido rápidamente reconocimiento por sus sólidas funciones y su interfaz fácil de usar. Este artículo profundizará en el sencillo proceso de instalación y lo guiará a través de los pasos de configuración inicial esenciales para desbloquear todo el potencial de su firewall OpnSense.

Opnsense: VPN, IDS/IPS, Firewall y mucho más…

OPNsense es un completo sistema operativo, de código abierto, y orientado específicamente para usarlo como router y como firewall en nuestra red doméstica o empresa. OPNsense incorpora de manera completamente gratuita, una grandísima cantidad de opciones de configuración que solo los firewall comerciales más caros tienen.

pfSense, un sistema operativo basado en FreeBSD orientado a firewall y a router, OPNsense es un fork de este sistema operativo pfSense y también de m0n0wall. Por este motivo, OPNsense también está basado en el sistema operativo FreeBSD. El equipo de desarrollo de este proyecto ha centrado muchos esfuerzos en la seguridad del sistema y también en hacer un código fuente legible, con el fin de detectar fallos mucho más rápido.

Basado en el robusto sistema operativo FreeBSD, OpnSense se presenta como un firewall versátil de código abierto, disponible para su instalación en su hardware o como dispositivos preconfigurados de Decisio.

Los modestos requisitos del sistema de OpnSense lo hacen notablemente adaptable, permitiendo que incluso una computadora doméstica más antigua se transforme en un firewall capaz. Como mínimo, basta con una CPU de 500 Mhz, 1 GB de RAM, 4 GB de almacenamiento y dos tarjetas de interfaz de red.

Sin embargo, para una experiencia óptima y desbloquear todo el potencial de OpnSense, considere una CPU de 1 GHz, 1 GB de RAM, 4 GB de almacenamiento y dos o más tarjetas de interfaz de red PCI-e. Esta configuración garantiza un funcionamiento más fluido, especialmente cuando se aprovechan funciones avanzadas como Suricata, ClamAV o servicios VPN.

Instalación de OpnSense

Configurar su firewall OpnSense es sencillo, independientemente del hardware elegido. Sin embargo, es fundamental planificar y determinar cuidadosamente las funciones específicas de los puertos de interfaz de red (LAN, WAN, inalámbrica, etc.) para garantizar un funcionamiento sin problemas.

Durante la instalación, se le pedirá que configure sus interfaces LAN y WAN. Para agilizar este proceso, se recomienda conectar inicialmente solo la interfaz WAN. Una vez que OpnSense esté configurado, podrá conectar de forma segura la interfaz LAN para finalizar la instalación. Este enfoque garantiza un proceso de configuración centrado y minimiza los conflictos potenciales.

OPNsense Core Features

• Traffic Shaper

• Captive portal

  • Voucher support

  • Template manager

  • Multi zone support

• Forward Caching Proxy

  • Transparent mode supported

  • Blacklist support

• Virtual Private Network

  • Site to site

  • Road warrior

  • IPsec

  • OpenVPN

• High Availability & Hardware Failover

  • Includes configuration synchronization & synchronized state tables

  • Moving virtual IPs

• Intrusion Detection and Inline Prevention

  • Built-in support for Emerging Threats rules

  • Simple setup by use of rule categories

  • Scheduler for period automatic updates

• Built-in reporting and monitoring tools

  • System Health, the modern take on RRD Graphs

  • Packet Capture

  • Netflow

• Support for plugins

• DNS Server & DNS Forwarder

• DHCP Server and Relay

• Dynamic DNS

• Backup & Restore

  • Encrypted cloud backup to Google Drive and Nextcloud

  • Configuration history with colored diff support

  • Local drive backup & restore

• Stateful inspection firewall

• Granular control over state table

• 802.1Q VLAN support

• and more…

Características Principales de OPnsense

Entre algunas de sus características, se destaca:

• Firewall: Reglas flexibles para el control de tráfico con soporte para NAT (Network Address Translation).
• VPN: Soporte para diversas tecnologías de VPN, como IPsec y OpenVPN.
• IDS/IPS: Sistemas de detección y prevención de intrusiones integrados.
• Balanceo de Carga y Failover: Gestión de múltiples conexiones WAN.
• Interfaz Web: Interfaz gráfica de fácil uso para configuración y monitoreo.

¿Qué características incorpora este firewall?

Algunas de las características más importantes de este sistema operativo son las siguientes:

• Traffic Shaper
• Permite la autenticación con dos factores para iniciar sesión en la administración del sistema.
• Portal cautivo para el inicio de sesión de los usuarios, ideal para redes Wi-Fi de invitados en nuestro hogar o empresa
• Proxy caché transparente con soporte para lista negra
• VPN: incorpora tanto los modos site to site como road warrior, además, es compatible con IPsec y OpenVPN. Asimismo también incorpora compatibilidad con PPTP aunque no es recomendable su uso.
• Tiene la opción de HA (High Availability) y hardware failover, para que en caso de caída de un firewall automáticamente entre el siguiente
• Incorpora un IDS (sistema de detección de intrusiones) y también IPS (sistema de detección de intrusiones).
• Servidor DNS, DNS Forwarder, DHCP server, DHCP relay, Dynamic DNS etc.
• Permite ver gráficos del tráfico en tiempo real, exportar los datos a un servidor remoto, guardar la configuración cifrada y subirla a Google Drive e incluso podremos instalar plugins para aumentar el número de opciones disponibles.
• Soporta el estándar 802.1Q VLAN para segmentar la red adecuadamente

•  Best Effort (0, por defecto): Esta es la prioridad por defecto. El tráfico con esta prioridad será tratado por igual, independientemente del tipo de tráfico.
• Background (1, la más baja)
•  Excellent Effort (2)
• Critical applications (3)
• Vídeo (4): Esta prioridad se utiliza para el tráfico de vídeo. Tendrá mayor prioridad que el tráfico de Excelente Esfuerzo y Voz, para que no se interrumpa la transmisión de vídeo.
• Voz (5): Esta prioridad se utiliza para el tráfico de voz. Tendrá mayor prioridad que el tráfico Best Effort, para que las llamadas de voz no se vean interrumpidas por otros tipos de tráfico.
• Control de red (6): Esta prioridad se utiliza para controlar el tráfico. Se utiliza para protocolos como DHCP, DNS y NTP. Tendrá mayor prioridad que el tráfico Best Effort, Voz y Vídeo para que estos protocolos puedan funcionar correctamente.
• Control de red (7): Esta prioridad se utiliza para el tráfico de control de red. Se utiliza para protocolos como enrutamiento y conmutación. Tendrá mayor prioridad que el tráfico de Mejor Esfuerzo, Voz, Vídeo y Control para que estos protocolos puedan funcionar correctamente.

Actualizaciones en OPNsense y descarga

Según los desarrolladores de este sistema operativo, el equipo de desarrollo ofrece semanalmente actualizaciones de seguridad, y dos veces al año ofrece una versión nueva completa con una gran cantidad de cambios en su interior. Podemos descargar OPNsense directamente desde los mirrors que hay en la página de descargas, actualmente la última versión es la 17.1 y está disponible para arquitecturas amd64 y i386. Bloquear Internet con un firewall en Windows y evitar que se conecten los programas es sencillo.

Os recomendamos acceder a la página web oficial de OPNsense, donde encontraréis toda la información sobre este completo sistema operativo orientado a router y firewall. Una de las cosas que más nos ha gustado de este proyecto es que existe mucha documentación en su wiki, ideal para la puesta en marcha del equipo rápidamente.

• Monitoreo (estadisticas)

• Reportin => NetFlow Habilitar , Marcar Listen Interfaces (WAN y VPN) Marcar Local (si no no salen las graficas en Insight) Apply

• Reporting => Insight

Plugins para OPNsense

Comparativa plugins entre OPNSense y PFSense

 

Comunes

• acme
• apcupsd
• bind
• freeradius
• frr
• ftp-proxy
• haproxy
• iperf
• lcdproc
• lldpd
• ahavi/mdns-repeater
• net-snmp
• node_exporter
• nrpe
• ntopng
• nut
• siproxd
• stunnel
• telegraf
• tftp
• tinc
• vmware
• vnstat
• wireguard
• zabbix-agent
• zabbix6-agent
• zabbix62-agent
• zabbix4-proxy
• zabbix5-proxy
• zabbix6-proxy
• zabbix62-proxy

Plugins/Packages solo en pfSense

• arping (but some ARP information is available on “Interfaces > Diagnostics > ARP Table” page in OPNsense)
• arpwatch (but there is a possible alternative called OPNarp is available in the community repository)
• Backup
• bandwidthd
• cellular
• Cron (but functionality is built into OPNsense on the “System > Settings > Cron” page)
• darkstat
• Filer
• haproxy-devel
• LADVD
• Lightsquid
• mailreport
• mtr-nox11
• Netgate_Firmware_Upgrade (for Netgate specific hardware)
• nmap
• Notes
• openvpn-client-export (but functionality is built into OPNsense on the “VPN > OpenVPN > Client Export” page)
• pfBlockerNG (but much of the functionality can be implemented in other ways in OPNsense) (ZenArmor, por ejemplo)
• pfBlockerNG-devel
• pimd
• RRD_Summary (OPNsense has several RRD reports built-in which may offer similar functionality)
• Service_Watchdog
• Shellcmd
• snmptt
• snort (but the Snort ruleset is available for Suricata in OPNsense)
• softflowd
• squid (but web caching can be done with other plugins in OPNsense)
• squidGuard
• sudo (but is enabled by default in OPNsense – settings located on the “System > Settings > Administration” page)
• suricata (but functionality is built into OPNsense on the “Services > Intrusion Detection” pages)
• syslog-ng (but functionality is built into OPNsense by default)
• System_Patches (but custom system patches can be installed via command line)
• Tailscale (but can be obtained via the OPNsense community repository)
• zabbix-agent4 (OPNsense does not have this version of the Zabbix agent)
• zabbix-agent5 (OPNsense does not have this version of the Zabbix agent)
• zabbix-agent54 (OPNsense does not have this version of the Zabbix agent)
• zabbix-proxy (OPNsense does not have this version of the Zabbix proxy)
• zabbix-proxy54 (OPNsense does not have this version of the Zabbix proxy)
• zeek (but can be obtained via the OPNsense community repository)

Plugins/Packages sólo en OPNsense

• os-api-backup
• os-c-icap (but may be a part of squid package in pfSense)
• os-cache (but may be a part of squid package in pfSense)
• os-chrony
• os-clamav (but may be a part of squid package in pfSense)
• os-collectd
• os-crowdsec
• os-ddclient (but dynamic DNS functionality is built into pfSense)
• os-debug
• os-dmidecode
• os-dnscrypt-proxy
• os-dyndns (but dynamic DNS functionality is built into pfSense)
• os-etpro-telemetry (not sure if this telemetry ruleset is available in pfSense – let me know in the comments if it is or not)
• os-firewall
• os-git-backup
• os-google-cloud-sdk
• os-grid_example
• os-helloworld
• os-hw-probe
• os-igmp-proxy (but functionality is built into pfSense)
• os-intrusion-detection-content-et-open
• os-intrusion-detection-content-et-pro
• os-intrusion-detection-content-pt-open
• os-intrusion-detection-content-snort-vrt
• os-maltrail
• os-munin-node
• os-netdata
• os-nextcloud-backup
• os-nginx
• os-openconnect
• os-postfix
• os-puppet-agent
• os-qemu-guest-agent
• os-radsecproxy
• os-realtek-re
• os-redis (ntopng in pfSense includes Redis so it is not available as a separate plugin in pfSense)
• os-relayd
• os-rfc2136 (but functionality is built into the “Services > Dynamic DNS” page in pfSense)
• os-rspamd
• os-sensei-agent
• os-sunnyvalley (repository for Zenarmor – can be installed in pfSense manually)
• os-shadowsocks
• os-smart (but functionality is built into the “Diagnostics > S.M.A.R.T. Status” page)
• os-sslh
• os-tayga
• os-theme-cicada (theme is OPNsense specific)
• os-theme-rebellion (theme is OPNsense specific)
• os-theme-tukan (theme is OPNsense specific)
• os-theme-vicuna (theme is OPNsense specific)
• os-tor
• os-udpbroadcastrelay
• os-upnp (but functionality is combined with NAT-PMP on the “Firewall > NAT” page in pfSense)
• os-virtualbox
• os-web-proxy-sso
• os-wireguard-go (pfSense only has WireGuard-kmod and OPNsense has both WG-kmod and WG-go versions)
• os-wol (but functionality is built into the “Services > Wake-on-LAN” page in pfSense)
• os-xen
• os-zerotier

Fuentes:

https://www.redeszone.net/2017/02/04/opnsense-conoce-este-completo-firewall-gratuito-instalar-red-domestica-empresa/

https://www.wilivm.com/es/blog/best-way-to-install-opnsense-firewall-on-linux/