Ir para o conteúdo

Capítulo 29 – Zenarmor

Introdução

O Zenarmor é um motor de inspeção profunda de pacotes (DPI) e controle de tráfego de nova geração (NGFW) que pode substituir ou complementar um proxy tradicional em ambientes baseados em OPNsense.
Ao operar diretamente sobre as interfaces de rede, o Zenarmor analisa o tráfego sem redirecionamento para proxy e oferece:

  • Filtragem de conteúdo e aplicativos
  • Prevenção de ameaças
  • Relatórios e dashboards avançados
  • Baixo impacto na performance

Propósito do Zenarmor

O Zenarmor amplia as capacidades nativas do OPNsense, fornecendo visibilidade, controle e segurança em camada de aplicação, sem a complexidade de proxies.
Este capítulo aborda sua instalação, configuração essencial, boas práticas e casos de uso reais.

Licenciamento: Gratuito × Pago

O OPNsense é totalmente open source e gratuito, além de ter uma versão Paga (Business).
O Zenarmor, por sua vez, oferece duas modalidades de licençaFree (Community) e Paid (Business / Enterprise) — com diferentes níveis de recurso e suporte.

Modalidade Principais Recursos Limitações
Free (Community Edition) - Filtragem web e aplicação básica
- Relatórios em tempo real
- Uma política global		 - Sem categorias avançadas
- Relatórios históricos limitados
- Sem suporte técnico oficial
Business / Enterprise - Políticas granulares por usuário/grupo
- Integração com AD / LDAP
- Categorias completas (Malware, C2, Criptominer, etc.)
- Inspeção TLS/SSL avançada
- Relatórios históricos e alertas
- Suporte e atualizações priorizadas

Importante

Este material utiliza a edição gratuita (Community), que pode ser usada para fins não comercial ou pequenos escritórios.
Para ambientes corporativos, recomenda-se a edição paga, que pode ser obtida no Brasil via revenda oficial Cloudfence. Para saber mais sobre o licenciamento, consulte:

Práticas de uso da edição gratuita

  • A edição Free permite apenas uma política global, mas pode ser aplicada seletivamente por VLANs ou departamentos.
  • Para outros segmentos, use proxy transparente ou filtro DNS (como Unbound Blocklist ou OpenDNS).

Atenção

O Zenarmor deve ser habilitado somente nas interfaces internas (LAN/VLAN).
Para inspecionar o tráfego Internet → Rede Local, utilize IDS/IPS (camada complementar).

Pré-Requisitos

Hardware recomendado

Ambiente Mínimo Recomendado
Produção 8 GB RAM, CPU i3 ou superior, NIC Intel
Laboratório 4 GB RAM, CPU dual-core, NIC Intel

Cuidado

NICs Realtek podem causar instabilidade.
Prefira Intel por desempenho e melhor compatibilidade conforme recomendação do fabricante/desenvolvedor.

Configurações iniciais

  1. Acesse Interfaces → Settings.
  2. Marque todas as opções de Hardware Offloading (CRC, TSO, LRO).
  3. Clique em Save & Apply.

Instalação do Zenarmor

A instalação requer dois plugins: o repositório SunnyValley e o Zenarmor (Sensei).

Etapas

  1. Acesse System → Firmware → Plugins.
  2. Instale o plugin os-sunnyvalley.
  3. Caso falhe, atualize o firmware antes de tentar novamente.
  4. Instale o plugin os-sensei.
  5. Atualize a página: o menu Zenarmor aparecerá no painel lateral.

Configuração Inicial (Setup Wizard)

  1. Acesse Zenarmor → Settings.
  2. Aceite os termos de licença (I Agree).
  3. Escolha instalar o banco de dados Elasticsearch 5 ou MongoDB e clique em Install Database.
  4. Após a instalação, clique em Next.
  5. Selecione a interface LAN e marque como Security Zone = LAN.
  6. Clique em Next.
  7. Escolha Get me the Free Edition.
  8. Preencha:
    • Deployment Size: 100
    • Email: seu endereço de contato
    • Origem: OPNsense documentation
  9. Clique em Complete e aguarde a instalação.

O Zenarmor está agora instalado e operante.
O próximo passo é definir as políticas e ajustes essenciais.

Banco de dados mais leve

Em laboratório, é possível usar SQLite que é extremamente leve.

Configurações Essenciais

Acesse Zenarmor → Settings e revise os parâmetros abaixo:

Categoria Ação Recomendada
Reporting & Data Desmarque Enable Community ID flow hashing.
Database Ajuste Reporting Period para 30 dias (SQLite: 2–7 dias).
Cloud Threat Intelligence Adicione domínios internos (ex.: citrait.corp) em Local domains to exclude.

Definindo a Política de Acesso (Free Edition)

Iremos definir uma política inicial. Fique à vontade para ajustar conforme sua necessidade.

Acesse Zenarmor → Policies e abra Default Policy.

1. Guia Security

Marque todas as categorias de Essential Security.

2. Guia App Controls

Bloqueie as seguintes categorias:

  • Ad Tracker
  • Ads
  • File Transfer
  • Gaming
  • Instant Messaging
  • Media Streaming
  • Proxy
  • Remote Access
  • Social Network
  • Storage & Backup

3. Guia Web Controls

Selecione: Category Based Controls → High Control

4. Guia Exclusions (Whitelists/Blacklists)

Adicione exceções conforme a necessidade:

Tipo Exemplo Descrição
Whitelist whatsapp.com, gov.br, drive.google.com, dropbox.com, suaempresa.com.br Liberação de serviços legítimos
Blacklist citrait.com.br Bloqueio global de conteúdo ou domínios específicos

Após as alterações, clique em Apply Changes (canto superior direito).

Validando os Bloqueios

  1. Vá em Zenarmor → Live Sessions.
  2. Clique em Blocks.
  3. Tente acessar um site bloqueado (ex.: citrait.com.br).
  4. Atualize a lista — o bloqueio deve aparecer.

Verificação

Para auditoria, é possível filtrar por endereço IP, categoria, protocolo ou aplicação diretamente na tela de Live Sessions.

Auditoria e Relatórios

Como auditar o acesso de um usuário

  1. Acesse Zenarmor → Live Sessions.
  2. Clique em Filter (superior direito).
  3. Adicione filtros, por exemplo:
    • Source IP: 192.168.1.100
    • Destination hostname: opcional
    • Application category: opcional
  4. Ajuste o período (ex.: Last 6 hoursCustom Range).
  5. Clique em Export CSV para gerar o relatório.

Limitação

A exportação via interface permite até 10.000 registros quando se usa o ElasticSearch.
Se for este o caso, procure na base de conhecimento o procedimento para estender este limite.

Relatórios

  1. Acesse Zenarmor → Reports.
  2. Veja os diferentes gráficos e informativos que aparecem.
  3. Interaja com os dashboards fazendo Drill-down, ou seja, filtrando apenas a informação útil para afunilar o que realmente importa.
  4. É possível agendar relatórios periódicos sendo enviados por e-mail. A configuração é feita pelo menu Zenarmor → Settings → Scheduled Reports e permite selecionar quais gráficos serão compilados e enviados por e-mail.

Observações Importantes

  • Escopo: habilite apenas em interfaces internas (LAN/VLAN).
  • Desempenho: desative Hardware Offloading nas interfaces de rede e use discos SSD para performance da base de dados.
  • Banco de dados: monitore o crescimento do índice; mantenha retenção entre 30 e 90 dias se possível.
  • Exclusões: sempre adicione domínios internos e corporativos (AD, IdP, MDM, AV, repositórios).

Boas Práticas

  • Planeje a política por VLAN ou departamento.
  • Defina objetivos claros de bloqueio e liberação.
  • Teste exceções antes de aplicar em produção.
  • Bloqueie QUIC (UDP/443) para otimizar identificação de tráfego.
  • Ajuste o período de logs conforme a necessidade (recomenda-se 30 dias).
  • Faça revisões mensais: apps mais usados, top bloqueios, falsos positivos.
  • Documente: versões, categorias, exceções e datas de revisão.
  • Evite sobreposição de camadas (DNS Filter + Proxy + Zenarmor no mesmo fluxo).
  • Monitore Live Sessions e Blocks regularmente.
  • Para >100 usuários, considere hardware servidor ao invés do appliance.

Casos de Uso Práticos

1. Escritório com Política Única (Free Edition)

  • Objetivo: reduzir riscos e distrações.
  • Configuração: política Default, categorias Essential Security, bloqueio de Ads/Proxy/Streaming.
  • Resultado: menor exposição a malvertising e aumento da produtividade.

2. Rede de Convidados (Guest Wi-Fi)

  • Objetivo: garantir segurança e limitar uso.
  • Configuração: aplicar Zenarmor na VLAN Guest; bloquear Downloads, Adulto, Remote Access.
  • Resultado: navegação segura e controlada para visitantes.

3. Ambientes Educacionais

  • Objetivo: conformidade e foco pedagógico.
  • Configuração: bloquear Adulto, Jogos, Ads/Trackers, Proxy; liberar Google Classroom, Teams, Zoom.
  • Resultado: proteção de menores e produtividade acadêmica.

4. BYOD Corporativo

  • Objetivo: mitigar riscos de Shadow IT.
  • Configuração: bloquear Storage/Backup, Remote Access, Proxy; liberar apps corporativos.
  • Resultado: menor chance de exfiltração e vazamento de dados.
  • Objetivo: otimizar banda.
  • Configuração: bloquear Media Streaming e Gaming; permitir aplicações críticas e integrar com Traffic Shaping.
  • Resultado: uso eficiente da largura de banda.

6. Conformidade (LGPD / Auditoria)

  • Objetivo: manter evidências e controle preventivo.
  • Configuração: bloquear Malware/C2, Ads/Trackers, outras categorias pertinentes; logs de 90 dias; integrar com SIEM Wazuh.
  • Resultado: rastreabilidade e suporte a auditorias.

Conclusão

O Zenarmor amplia significativamente as capacidades do OPNsense, oferecendo inspeção, controle e relatórios avançados sem a complexidade de um proxy tradicional.
Quando configurado de forma estratégica — com políticas bem definidas, manutenção contínua e hardware adequado — ele se torna um componente essencial de segurança e visibilidade de rede.