Firewall Open Source per la PA

AlessandroFiori · 3 Luglio 2018, 2:41pm

Buonasera,
vorrei segnalare un ottimo firewall Open Source, il quale ha tra le sue funzioni, quello di avere un Inline Intrusion Prevention System (con il software Suricata), aggiornamenti automatici per le regole dell’IPS (“emerging threats” e altre fonti), un Web Proxy trasparente per l’analisi dei dati trasmessi in HTTPS e molte altre configurazioni molto utili, se utilizzate in una PA.

Il firewall in questione è OPNSense:
Link a OPNSense

Questo sistema operativo è basato su FreeBSD ed è un Fork di pfsense (altro progetto simile)

Questo firewall può essere installato su macchina fisica, sia manualmente che acquistando hardware con già preinstallato questo sistema operativo.
Per evitare costi ulteriori per la PA che vuole implementarlo, è possibile installarlo su macchina virtuale (nel nostro caso VirtualBox), impostare due schede di rete in modalità “bridge”, direttamente dall’interfaccia di VirtualBox, e impostare un indirizzo IP per la WAN e sulla seconda scheda l’indirizzo IP della LAN.

Sto testando questo tipo di configurazione da oltre un anno, e per chiunque voglia provare, metto a disposizione un link per scaricare un pacchetto OVA per importarlo su VirtualBox contenente una macchina virtuale già preimpostata.

I requisiti minimi sono:
2 GB RAM
20 GB HDD

La rete LAN preimpostata è:
192.168.140.1

L’indirizzo IP della WAN è da modificare, o la macchina non si connetterà verso l’esterno.

Le credenziali di accesso sono:
Utente: root
Password: opnsense

Ovviamente, data la delicatezza, consiglio di testare il pacchetto prima su una rete esterna non direttamente collegata alla rete principale, anche per vedere effettivamente quali e quanti dati scambia la macchina con la rete interna e con il mondo esterno, oltre al corretto utilizzo.

Configurazioni presenti nella macchina:
Sistema - Aggiornato all’ultima versione
IPS - Tutte le voci installate ed aggiornate da tutte le fonti gratuite disponibili
Web Proxy - Configurato per analisi trasparente dei dati criptati, CA interna con certificato a 2048 bit.

Link al download della macchina preconfigurata:
Link Google Drive a macchina preconfigurata

Fatemi sapere cosa ne pensate.

Alessandro Fiori

DimensioneComputer · 22 Gennaio 2019, 3:40pm

Buon pomeriggio Alessandro.
Molto molto interessante. prima di procedere con un test vorrei, se fosse possibile, un chiarimento. Il firewall che devo realizzare deve stare in una rete dove non posso cambiare il gateway in quanto il gestore non ci concede le password di gestione, quindi la rete di server e client non può essere modificata in alcun modo. Posso pensare di provare il sistema che tu molto bene esponi?
Grazie

Stefano

firewallhardware · 3 Luglio 2019, 2:30pm

Buongiorno,
sperando di fare cosa gradita e rimanendo in argomento vi segnalo 2 interessanti articoli che riguardano OPNsense (oppure la soluzione gemella pfSense ).
il primo argomento riguarda l’adeguamento di una installazione OPNsense o pfSense rispetto alla normativa GDPR: il link è il seguente:
https://www.firewallhardware.it/gdpr-e-pfsense-opnsense/

Il secondo argomento riguarda il test della sicurezza di una installazione OPNsense o pfSense e come poter certificare con strumenti gratuiti la bontà dell’instalazione: il link è:
https://www.firewallhardware.it/openvas-testare-la-sicurezza-di-pfsense-opnsense-zeroshell-e-ipfire-con-il-sistema-di-vulnerability-assessment-system-gratuito-piu-famoso-del-web/

Entrambe gli articoli potrebbero essere utilizzati per l’adeguamento ed il testing di altri sistemi operativi come Zeroshell o IPFier.

Buona lettura

Alessandro