Capítulo 28 – Filtragem Web (Teoria)
Introdução
O controle de acesso à web em redes corporativas, educacionais ou domésticas vai muito além de bloquear sites específicos. Trata-se de um processo de segurança em múltiplas camadas, que equilibra proteção, privacidade, auditoria e desempenho.
O OPNsense oferece diferentes mecanismos para exercer esse controle — cada um com características próprias, vantagens, limitações e propósitos distintos.
Neste capítulo, abordaremos de forma conceitual e comparativa os principais métodos de filtragem web, explicando quando e por que usar cada um.
Objetivo deste capítulo
Compreender as diferenças entre regras de firewall, proxy de aplicação (Squid), filtro DNS, inspeção profunda de pacotes (DPI – Zenarmor) e captive portal.
Também discutiremos como essas ferramentas podem ser combinadas estrategicamente para atingir diferentes objetivos de segurança e controle de acesso.
Regras de Firewall: Controle em Camada de Rede (L3/L4)
O firewall é a primeira linha de defesa em qualquer rede.
No OPNsense, as regras de firewall operam nas camadas 3 (Rede) e 4 (Transporte) do modelo OSI — controlando o tráfego por endereços IP, portas e protocolos.
Essas regras são processadas diretamente no kernel do sistema, por meio do pf (packet filter), o mecanismo nativo do FreeBSD, oferecendo eficiência e alto desempenho.
Limitações das Regras de Firewall
Um firewall tradicional não enxerga o conteúdo da comunicação.
Ele sabe que há tráfego para a porta 443 (HTTPS), mas não distingue se o destino é o YouTube, um site bancário ou um portal corporativo.
Portanto, ele é ideal para:
- Bloquear serviços inteiros (VPNs, torrents, jogos, etc.).
- Impedir evasões (como túneis não autorizados).
- Reforçar políticas de segurança.
Mas não substitui mecanismos de filtragem por conteúdo ou categoria.
Complemento essencial
Combine o firewall com bloqueios de DoH/DoT (DNS sobre HTTPS/TLS) para impedir que usuários burlem o controle DNS.
Web Proxy (Squid): Inspeção e Controle em Camada de Aplicação (L7)
Para analisar o conteúdo real das requisições web (URLs, tipos de arquivo, categorias), é necessário um proxy.
O OPNsense inclui o Squid, um servidor proxy maduro e robusto que pode operar de duas formas:
- Explícita: configurada manualmente nos navegadores (ou via GPO).
- Transparente: intercepta automaticamente o tráfego HTTP/HTTPS.
Características principais
- Atua na camada 7 (Aplicação).
- Examina URLs completas.
- Aplica listas de bloqueio (blacklists por categoria).
- Controla tamanho e tipo de downloads.
- Pode exigir autenticação de usuário (ex.: integração com Active Directory).
- Gera logs detalhados e auditoria centralizada.
HTTPS e SSL Bump
Para inspecionar tráfego HTTPS, o Squid pode realizar SSL Bump, descriptografando temporariamente o conteúdo.
Essa técnica exige a instalação de um certificado interno (CA) em todos os dispositivos confiáveis da rede.
Limitações:
- Complexo em ambientes móveis (BYOD).
- Incompatível com HSTS, certificados pinados ou alguns apps.
- Aumenta a sobrecarga de CPU e exige manutenção de certificados.
Vantagens
- Controle granular e contextual.
- Auditoria detalhada e rastreabilidade.
Desvantagens
- Complexidade operacional.
- Requer hardware e manutenção adequados.
Filtro DNS: Bloqueio Rápido e Leve
A filtragem via DNS (Domain Name System) é uma abordagem simples e eficiente.
Ela impede o acesso a domínios indesejados antes da conexão ser estabelecida, bloqueando a resolução de nomes.
Métodos de implementação
| Método | Descrição |
|---|---|
| Externo (ex.: NextDNS, NxFilter, Cisco Umbrella, Lumium) | Integrável ao OPNsense, ideal para controle centralizado. |
| Interno (Unbound DNS) | Usa listas de bloqueio locais (RPZ ou blacklists). |
Pontos-chave
- Leve e eficaz, ideal para dispositivos móveis ou BYOD.
- Não exige proxy nem inspeção de pacotes.
Limitações do Filtro DNS
- Não enxerga URLs completas (ex.:
/videos,/admin). - Apenas produtos pagos podem diferenciar e autenticar usuários.
- Pode ser burlado via DNS alternativo, DoH (DNS-over-HTTPS) ou DoT (DNS-over-TLS), caso o firewall não bloqueie essas saídas.
Uso recomendado
Utilize o filtro DNS como camada primária de defesa, bloqueando domínios maliciosos e categorias amplas antes que a conexão se estabeleça.
Zenarmor (Sensei): Inspeção Profunda de Pacotes (DPI)
O Zenarmor (antigo Sensei) é um módulo de inspeção profunda de pacotes (DPI) que transforma o OPNsense em um Next-Generation Firewall (NGFW).
Ele identifica aplicações, protocolos e categorias de tráfego, mesmo sem proxy, oferecendo visibilidade e controle detalhados.
Características
- Opera entre camadas 3 e 7.
- Reconhece domínios HTTPS usando SNI (Server Name Indication).
- Oferece dashboards, relatórios e controle por usuário/grupo (via LDAP ou Captive Portal).
- Suporta regras por categoria e bloqueio de aplicativos (ex.: TikTok, WhatsApp, Teams).
Vantagens
- Controle granular de aplicações sem proxy.
- Interface gráfica moderna e intuitiva.
- Integração com autenticação centralizada.
Desvantagens
- Dependência de hardware compatível.
- Limitações frente a novos protocolos criptografados.
Ambiente ideal
Zenarmor é ideal quando se deseja visibilidade e controle de tráfego sem configurar proxy — especialmente em ambientes híbridos ou móveis.
Captive Portal: Autenticação de Usuários
O Captive Portal é um mecanismo de autenticação e controle de acesso à rede, não de filtragem de conteúdo.
Ele intercepta conexões HTTP não autenticadas e redireciona o usuário para uma página de login, validando credenciais antes de liberar o tráfego.
Métodos de autenticação
- Voucher (senhas temporárias)
- LDAP / Active Directory
- RADIUS
- Banco de dados local ou personalizado
Função principal
Associar usuários a endereços IP/MAC, permitindo auditoria de quem em qual dispositivo está usando a rede.
Limitações
- Não bloqueia URLs ou categorias.
- Não oferece inspeção de conteúdo.
- Requer integração com Proxy ou Zenarmor para auditoria detalhada.
Uso recomendado
Ideal para ambientes públicos, laboratórios, escolas, hotéis e cenários BYOD (Bring Your Own Device), em que é preciso autenticar e rastrear usuários antes do acesso.
Comparativo das Ferramentas
| Ferramenta | Camada OSI | Pontos Fortes | Ideal Para |
|---|---|---|---|
| Firewall (pf) | 3–4 | Bloqueio de serviços, VPNs e protocolos | Controle de tráfego bruto e segurança perimetral |
| Proxy (Squid) | 7 | Inspeção e auditoria detalhada por URL | Ambientes corporativos com AD |
| Filtro DNS | 3 | Leve, rápido e de fácil manutenção | Redes abertas, BYOD, residenciais |
| Zenarmor (DPI) | 3–7 | Controle por aplicativo, categoria e usuário | Ambientes NGFW com visibilidade avançada |
| Captive Portal | — | Autenticação e rastreabilidade de usuários | Redes públicas e ambientes temporários |
Combinação Estratégica
A melhor abordagem raramente é usar uma ferramenta isoladamente.
Camadas complementares oferecem segurança e flexibilidade:
- DNS Filter como defesa primária.
- Proxy ou Zenarmor para inspeção detalhada.
- Captive Portal para autenticação e rastreabilidade.
- Firewall para reforçar limites e impedir evasões.
Diagnóstico de Escolha Rápida
| Pergunta | Direcionamento |
|---|---|
| 1. Deseja filtrar toda a rede ou apenas segmentos? | Toda a rede → DNS Filter ou Firewall. Segmentado → Proxy ou Zenarmor. |
| 2. Precisa bloquear URLs específicas ou tipos de conteúdo? | URLs/MIME → Proxy (Squid). Domínios → DNS Filter ou Zenarmor. |
| 3. Quer controlar aplicativos (WhatsApp, TikTok, Teams)? | Zenarmor (DPI). |
| 4. Pode configurar dispositivos da rede? | Sim → Proxy com SSL Bump. Não → Zenarmor ou DNS Filter. |
| 5. Precisa autenticação ou logs por usuário? | Proxy autenticado, Captive Portal ou Zenarmor Premium. |
| 6. Exige logs detalhados? | Proxy e Zenarmor → detalhados; DNS → básicos. |
| 7. Possui visitantes ou BYOD? | DNS Filter e Captive Portal. |
| 8. Firewall com hardware limitado? | Prefira DNS Filter. |
| 9. Políticas dinâmicas por grupo/horário? | Squid ou Zenarmor. |
| 10. Deseja impedir evasão via DoH/VPN? | Regras de Firewall são essenciais. |
Boas Práticas
- Combine camadas de filtragem conforme o ambiente.
- Bloqueie DoH/DoT para preservar a integridade do DNS Filter.
- Use Proxy apenas onde há controle total dos dispositivos.
- Monitore desempenho: SSL Bump e DPI podem aumentar uso de CPU.
- Registre e audite acessos, principalmente em redes públicas.
- Revise periodicamente as listas de bloqueio e categorias.
- Utilize autenticação centralizada (LDAP/RADIUS) sempre que possível.
Conclusão
A filtragem web no OPNsense é uma arquitetura modular e complementar, não um único recurso.
Cada tecnologia — Firewall, Proxy, DNS Filter, Zenarmor e Captive Portal — cumpre um papel específico no equilíbrio entre segurança, desempenho e usabilidade.
A eficácia surge da combinação inteligente dessas camadas, ajustada ao contexto da rede e aos objetivos de segurança definidos.