Ir para o conteúdo

Capítulo 54 – Checklist de Projeto OPNsense

Introdução

Projetos de firewall que “nascem certos” costumam operar com menos sustos, escalar com previsibilidade e custar menos para manter. Não é sorte: é método.
Este capítulo reúne um checklist comentado — do entendimento do cliente à operação diária — com boas práticas, decisões críticas e recomendações para que seu projeto OPNsense entre em produção com qualidade e permaneça saudável.

Objetivo

Oferecer uma trilha clara e pragmática para planejar, implementar e sustentar um firewall OPNsense em ambientes reais, desde clientes pequenos até operações mais complexas.

1) Descubra o contexto do cliente

Antes de iniciar a implantação do firewall, faça perguntas:

  • Quem é o cliente e o que faz? Número de unidades, usuários, aplicações críticas e janelas de manutenção.
  • Por que o projeto existe? Substituição de equipamento, necessidade de compliance, dor com instabilidades, consolidação de regras?
  • Qual o objetivo do firewall? Disponibilidade? Segmentação? Relatórios de navegação? Proteção de borda? VPN para filiais?

Resultado esperado: uma declaração de objetivos e critérios de aceitação (o que significa o sucesso desse projeto para o cliente).

2) Entenda a rede alvo

Converta o objetivo em desenho de rede:

  • Sub-redes e zonas: LAN, DMZ, VPN, Guest Wi-Fi, IoT, servidores.
  • VLANs e roteamento: tabela de VLANs, IPs de gateway, inter-VLAN permitido (mínimo necessário).
  • Topologia: desenhe (mesmo que seja um rascunho) para alinhar com o cliente e registrar premissas.
  • Homologação: se possível, simule no EVE-NG/PNETLab e valide o funcionamento adequado (NAT, regras, VPN).

Resultado esperado: mapa de rede acordado com o cliente e escopo fechado.

3) Escolha do hardware (custo, capacidade e suporte)

Para a escolha do hardware/VM, leve em conta:

  • CPU com AES-NI (hoje é base para bom desempenho em VPN/crypto).
  • Memória e armazenamento proporcional ao uso (IDS/IPS, Zenarmor, logs).

  • Perfil do cliente:

    • Baixo ticket: appliances genéricos são viáveis — tenha sempre um sobressalente.
    • Alto valor: parceiros nacionais com SLA e peça de reposição fazem diferença quando “der ruim”.

Resultado esperado: capacidade adequada e plano de contingência (appliance reserva, peças de reposição).

4) Instale e atualize com critério

  • Use versões homologadas (evite versões recém-lançadas em produção).
  • Padrão seguro: N-1 (uma release atrás), salvo se a última corrige um bug que te afeta.
  • Documente versão de firmware e plugins instalados.

Resultado esperado: software estável, igual em produção e laboratório.

  • Onde houver publicação de serviços (VPN, NAT, WebServer, etc) não abra mão de links dedicados com IP fixo (ao menos o link principal).
  • Defina os gateways Primário/Backup com monitoramento configurado (latência, perda, down timeout).
  • Em cenários específicos, use Gateway Groups e policy routing na regra para forçar rotas com redundância.

Resultado esperado: failover previsível e comportamento de saída coerente com a política de negócio.

6) Segmentação por VLAN (mínimo necessário)

  • Convidados não acessam redes internas (isolamento total).
  • Inter-VLAN: permita só o indispensável (princípio do menor privilégio).
  • Servidores: sem internet por padrão; libere somente o necessário (updates, integrações, NTP, etc.).

Resultado esperado: superfície de ataque reduzida e fluxos de comunicação explícitos.

7) DNS coerente com o ambiente

  • Com AD: estações usam DNS do AD; o AD encaminha para o OPNsense/externo.
  • Sem AD: estações usam o próprio firewall como DNS.
  • Overrides/forwarders:
    • Domínios internos (ex.: empresa.local) → AD.
    • Globais → resolvers externos (Cloudflare/OpenDNS/Google) que já filtram malware/pornografia (se for política da empresa).

Resultado esperado: resolução DNS previsível, sem intermitência e com seletividade de encaminhamento.

8) DHCP

  • (Opcional) Reserva por MAC para ativos corporativos.
  • Visitantes: concessões curtas (≈ 1h) para liberar IP rapidamente e reduzir rastros de sessão antigas.

Resultado esperado: endereçamento organizado e rastreável.

9) Filtro de websites

Opção A — Zenarmor (NGFW de camada de aplicação)

  • Use Elastic como backend.
  • Retenção de logs: 90 dias (ou conforme compliance).
  • Perfis/políticas separados por rede/grupo.

Opção B — Web Proxy (Squid) tradicional

  • SSO com Active Directory e controle por grupo.
  • Relatórios (SARG) para auditoria.
  • Outbound por padrão bloqueado; libere exceções fora do proxy (bypass) de forma estritamente controlada.

Opção C — Filtro DNS

  • Ferramentas como Lumiun DNS, NXFilter, NextDNS, ADGuard Home, entre outras.
  • Bloqueio de categorias de segurança e sites explícitos.
  • Relatórios de acessos por dispositivo cliente.

Resultado esperado: visibilidade e controle sobre navegação, compatíveis com o objetivo do cliente.

10) VPN (site a site e acesso remoto)

  • Site-to-site (IPsec, OpenVPN, WireGuard):
  • Configure e monitore com Monit para reinício automático em falha.
  • Acesso de usuários:
    • MFA obrigatório (TOTP)
    • política mínima de acesso
  • Políticas: dentro da VPN, libere o mínimo necessário (nada de “any↔any” por comodidade).

Resultado esperado: conexões estáveis, seguras e auditáveis.

11) Segurança aprimorada na borda

  • IDS/IPS (Suricata): se publicar serviços, detecção/bloqueio de ataques comuns e C2.
  • CrowdSec: bloqueio de IPs maliciosos conhecidos; considere a versão paga para listas específicas (bots de sites, atacantes direcionados, scanners conhecidos, entre outros).

Resultado esperado: camadas adicionais contra ameaças oportunistas e conhecidas.

12) Integração com Zabbix e/ou Wazuh

Zabbix

  • Estatísticas de Gateways (latência, perda, oscilações).
  • Histórico de uso de rede/WAN e tendência (capacidade).

Wazuh (SIEM)

  • Eventos de segurança:
  • Logins no firewall, VPN, Captive Portal.
  • Conexões maliciosas, IoCs, listas negras.
  • Consultas DNS e Navegação pelo proxy (se aplicável).

Resultado esperado: telemetria contínua, alertas úteis e correlação.

13) Backup automático (e teste de restauração)

  • Agende backup recorrente (remoto/criptografado).
  • Teste a restauração em laboratório.

Resultado esperado: recuperação rápida quando mais precisa.

Boas práticas que valem ouro

  • Menor privilégio sempre (regras, VPN, NAT, administração).
  • Documente IPs, VLANs, exceções, contas com privilégio.
  • Janela de mudança e plano de rollback.
  • Logs com retenção adequada e syslog remoto.
  • Teste periodicamente failover, VPN, proxy e alertas.
  • Padronize: nomes de objetos (aliases, grupos, gateways) e descrições consistentes.

Conclusão

Projetos de firewall bem-sucedidos parecem simples do lado de fora — exatamente porque lá dentro houve planejamento, padrões e disciplina.
Use este checklist como espinha dorsal: adapte para a realidade do cliente, registre as decisões e volte a ele ao longo do ciclo de vida do ambiente. A soma de pequenas boas decisões é o que transforma um OPNsense em um pilar confiável da rede.