Artykuł pochodzi z wydania: Lipiec-Sierpień 2022
Po darmową zaporę ogniową najczęściej sięgają mniejsze przedsiębiorstwa. Przyczyna jest oczywista – budżet potrzebny na zakup rozwiązania komercyjnego to znaczne obciążenie, a odnawianie licencji na poszczególne funkcje bezpieczeństwa wielokrotnie przewyższa początkowe koszty zakupu. Sprawdzamy zatem jedną z bezpłatnych opcji.
Firewall to jeden z podstawowych komponentów każdej sieci. Nawet najprostsze urządzenia przeznaczone do użytku domowego mają taką funkcjonalność, choć jest ona mocno ograniczona choćby ze względu na parametry wydajnościowe najtańszych urządzeń. Oczywiście w przypadku podstawowych zapór mamy zazwyczaj do czynienia z minimalnym zestawem parametrów konfiguracyjnych, nierzadko ograniczonym jedynie do funkcji włącz/wyłącz. To za mało dla nieco bardziej wymagających rozwiązań biznesowych, nawet jeśli mowa tu o najmniejszych firmach lub ich oddziałach, liczących raptem kilka–kilkanaście urządzeń. Paleta produktów komercyjnych, a także dostawców wyspecjalizowanych w dostarczaniu takich rozwiązań, jest całkiem spora i niemal każdy znajdzie tutaj coś dla siebie, z uwzględnieniem własnych preferencji.
Często jednak kierując się względami ekonomicznymi, wystarczy sięgnąć po jeden z darmowych firewalli typu open source. OPNsense, a więc platforma będąca przedmiotem naszych testów, to właśnie taka propozycja. Nazwa projektu w wolnym tłumaczeniu to swoista deklaracja: open source ma sens. Naszej redakcji nie trzeba specjalnie do tego przekonywać, co niejednokrotnie udowadnialiśmy, opisując darmowe alternatywy dla wielu rozwiązań komercyjnych. Niespełna półtora roku temu („IT Professional”, 2/2021) testowaliśmy poniekąd bliźniaczą platformę pfSense. Tym razem sprawdzimy, na ile „sensowne” jest jej nieco inne wcielenie.
> Architektura
Korzenie OPNsense sięgają trochę zapomnianego już projektu o nazwie m0n0wall, a także wspomnianego rozwiązania pfSense, które również bazowało na tej dystrybucji. Wspólnym mianownikiem dla każdego z nich jest jednak system FreeBSD wraz ze wszystkimi jego zaletami. Na skutek zmian organizacyjnych i własnościowych część społeczności pracującej nad projektem pfSense postanowiła zbudować własne odgałęzienie, którego pierwsza oficjalna wersja ujrzała światło dzienne z początkiem 2015 r. Za marką OPNsense stoi dzisiaj holenderska firma Deciso, a według zapewnień twórców z oryginalnego kodu, pochodzącego jeszcze z czasów pracy nad poprzednim projektem, pozostało mniej niż 10%. Cykl wydawniczy bazuje na dwóch wersjach wypuszczanych każdego roku. Testowany release o nazwie Observant Owl to pierwsza edycja planowana na ten rok, oznaczona numerem 22.1 (najnowsza aktualizacja to 22.1.8 z maja tego roku). W momencie publikacji testu powinna już być dostępna najnowsza wersja 22.7.
Fundamentem działania OPNsense jest wspomniany już system FreeBSD 13, na bazie którego zbudowano gotową do szybkiego wdrożenia zaporę ogniową, mogącą realizować praktycznie wszystkie funkcje z zakresu bezpieczeństwa sieci dostępne w komercyjnych rozwiązaniach tego typu. Użytkownicy systemów *BSD czy Linuksów znajdą tu całe mnóstwo dobrze im znanych, zintegrowanych i prekonfigurowanych produktów pochodzących z innych projektów open source. Znajdą się pewnie i tacy administratorzy, którzy wielokrotnie wdrażali własne realizacje firewalla opartego na identycznym zestawie narzędzi składowych.
Sedno tego typu projektów jest jednak nieco inne. OPNsense powinien stanowić realną alternatywę dla użytkowników i przedsiębiorstw, które niekoniecznie dysponują wyspecjalizowaną kadrą, zdolną do wdrożenia i utrzymania samodzielnie zaprojektowanych systemów realizujących funkcje bezpieczeństwa. Z jednej strony jest to zadanie nietrywialne, wymagające sporych nakładów zarówno czasowych, jak i finansowych. Z drugiej – po co wywarzać otwarte drzwi? OPNsense z założenia powinien być prosty i szybki we wdrożeniu oraz oferować zaawansowane funkcje, stabilność, a także jasno określony cykl życia. I to wszystko bez ponoszenia dodatkowych kosztów. Podobnie jak w przypadku innych tego typu projektów poza całkowicie darmową wersją Community istnieje także wersja Business Edition przeznaczona dla klientów instytucjonalnych. Relatywnie niedrogi model subskrypcyjny (149 euro/rok) pozwala na dostęp do wybranych wtyczek oraz komercyjnego repozytorium aktualizacji, a także o 20% tańszego, podstawowego wsparcia technicznego, które można wykupić osobno. W portfolio produktów firmy Deciso znaleźć można także urządzenia sieciowe zaprojektowane jako platforma sprzętowa dla oprogramowania OPNsense. Rozpiętość cenowa waha się w przedziale od 549 do 1699 euro.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.