Ir para o conteúdo

Capítulo 55 – Boas Práticas no OPNsense

Introdução

Em segurança da informação e administração de redes, boas práticas não são leis absolutas — são norteadores criados a partir de experiências reais que evitam dores de cabeça no futuro.
Segui-las não significa rigidez, e sim sabedoria na prevenção de problemas. Elas ajudam a construir um ambiente previsível, seguro e de fácil manutenção, especialmente em produção.

Use estas recomendações como um manual de referência, ajustando conforme a realidade do seu cliente ou da sua infraestrutura.

1. Infraestrutura e Hardware

O hardware é o alicerce da estabilidade. Escolher bem aqui evita gargalos e falhas críticas.

  • Prefira appliances dedicados para produção em vez de máquinas virtuais.
    As VMs podem introduzir latência, problemas de temporização de rede e dependência do hypervisor.
  • Configure o perfil de firewall no modo Conservativo, garantindo que conexões legítimas não sejam encerradas indevidamente por timeouts curtos.

2. Firmware e Atualizações

Manter o OPNsense atualizado é essencial, mas requer equilíbrio entre segurança e estabilidade.

  • Trabalhe sempre com o firmware mais recente estável, mantendo plugins compatíveis.
  • Aguarde ao menos um mês após o lançamento oficial antes de atualizar em produção — isso permite a maturação dos patches e evita impactos por bugs recém-introduzidos.
  • Instalar plugins de drivers Realtek (se aplicável) e também microcode de cpus intel/amd.

3. Acesso à Interface de Gerenciamento (WebGUI)

A interface administrativa do firewall é o ponto mais sensível da operação. Proteja-a como se fosse a porta do cofre.

  • Altere a porta padrão da WebGUI (443) para outra menos óbvia.
  • Desative o redirecionamento automático da porta 80 para a 443.
  • Habilite autenticação de múltiplos fatores (2FA) para acesso administrativo.
  • Sempre limite o acesso à interface somente de IPs ou redes administrativas.

4. Acesso Remoto e SSH

Evite expor portas diretamente para a Internet. O melhor acesso remoto é aquele que não está diretamente acessível.

  • Nunca publique SSH, HTTPS ou portas de gerenciamento na Internet sem proteção.
  • Sempre utilize VPN (OpenVPN, IPsec ou WireGuard) para acesso remoto de administradores.
  • Restrinja usuários SSH apenas a quem realmente precisa e, se possível, desabilite o login root via SSH.

5. DNS e Resolução de Nomes

DNS é o coração da comunicação em rede. Configurações equivocadas geram lentidão, falhas e riscos de segurança.

  • Intercepte consultas DNS da LAN redirecionando-as para o próprio firewall (NAT local).
  • Evite que o DNS da operadora seja utilizado como preferencial.
  • Prefira servidores DNS que oferecem filtros de segurança, como:
  • Cloudflare: 1.1.1.3 e 1.0.0.3
  • OpenDNS: 208.67.220.123 e 208.67.222.123
  • AdGuard: 94.140.14.15 e 94.140.15.16
  • Para ambientes com Active Directory:
  • As estações devem consultar o servidor AD.
  • O AD deve encaminhar as consultas para o firewall.
  • O firewall faz o forwarding para a Internet.
  • Crie DNS Overrides (split-horizon) para domínios internos que precisam resolver localmente (ex.: portalrh.seusite.com.br).
  • Faça override de domínios .onion para o IP do próprio firewall, evitando que máquinas internas usem a rede Tor.
  • Realizar o bloqueio de DoH/DoT (DNS over HTTPS e DNS over TLS ).

6. Regras de Firewall e Aliases

Um firewall bem configurado é aquele que bloqueia por padrão e libera apenas o necessário.

  • Remova a regra padrão da LAN que permite todo o tráfego irrestrito.
  • Utilize Aliases em vez de IPs fixos — facilita manutenção e leitura.
  • Categorize as regras por Ação / Direção / Intenção, para facilitar auditorias.
  • Aplique GeoIP filtering em regras de publicação, restringindo acesso a países específicos (ex.: Brasil ou América do Sul).
  • Crie uma regra para bloquear comunicações com nós da rede Tor, usando listas como torproject.org/torbulkexitlist.

7. Qualidade de Serviço (QoS)

O objetivo do QoS é tornar a experiência dos usuários previsível, priorizando o que é essencial.

  • Priorize tráfego de voz (SIP/RTP) e DNS em relação ao restante.
  • Aplique Buffer Bloat control (FQ_CoDel+ECN) para reduzir latência sob carga.
    Embora reduza levemente a banda total, melhora a experiência perceptível de uso.

8. VPN Site-to-Site

Para interligar filiais ou escritórios remotos, a disponibilidade do túnel é crítica.

  • Configure túneis redundantes (OpenVPN, IPsec ou WireGuard).
  • Quando redundância não for possível, use o Monit para:
  • Monitorar o IP remoto da outra ponta.
  • Reiniciar o túnel automaticamente em caso de falha.

9. VPN de Acesso Remoto

A VPN de usuários precisa equilibrar praticidade e segurança.

  • Utilize endereços de discagem redundantes (mais de um IP público ou DNS dinâmico).
  • Permita apenas o tráfego necessário — nada de acesso irrestrito à rede interna.
  • Diferencie perfis de acesso (Administradores, Usuários e Terceiros).
  • Limite horários permitidos de conexão à VPN, conforme a política de uso.

10. IDS/IPS e Zenarmor

Combine as forças de cada mecanismo de segurança para proteção completa.

  • Utilize o Zenarmor para monitorar e proteger o tráfego das redes locais (LAN).
  • Configure o Suricata (IDS/IPS) para atuar nas interfaces WAN, bloqueando tentativas externas e conexões suspeitas.

11. DHCP e Inventário de Dispositivos

Um DHCP bem configurado ajuda a manter o controle do ambiente.

  • Realize o vínculo IP/MAC para dispositivos críticos, como:
  • Telefones VoIP
  • Pontos de Acesso Wi-Fi
  • Relógios de ponto
  • Equipamentos de rede e estações fixas
  • Use a base de DHCP como inventário vivo da rede.

12. Monitoramento e Alta Disponibilidade

A visibilidade do ambiente é essencial para ação rápida em caso de falhas.

  • Configure monitoramento de links (Gateways Monitor) para detectar quedas e instabilidade.
  • Utilize endereços confiáveis como alvos de monitoramento: 8.8.8.8, 1.1.1.1 e 9.9.9.9.
  • Integre o firewall com sistemas como Zabbix, Monit ou Wazuh para monitorar desempenho, disponibilidade e eventos de segurança.

13. Backup e Recuperação

Backup é a última linha de defesa — e a mais esquecida.

  • Configure backup automático da configuração do firewall.
  • Valide periodicamente a restauração de backups em ambiente de teste.
  • Armazene cópias criptografadas em local seguro (cloud ou NAS interno).

Considerações Finais

Essas boas práticas representam o acúmulo da experiência de inúmeros administradores e consultores que já enfrentaram os mais diversos cenários — de falhas simples a incidentes graves.
Adotá-las não apenas fortalece a segurança e resiliência do seu ambiente, mas também aumenta a previsibilidade operacional, reduzindo riscos de parada e facilitando auditorias futuras.

Boas práticas não são regras inflexíveis.
São caminhos pavimentados pela experiência — siga-os com sabedoria.