Das Akronym OPNSense ist den Entwicklern zufolge abgeleitet von "Open" und "Sense" und steht daher für "Open (source) makes sense". OPNSense basiert auf FreeBSD 10.1 und ist eine Abspaltung von pfSense, das wiederum auf dem zwischenzeitlich eingestellten Projekt "M0n0wall" basiert.
Das erste offizielle Release von OPNSense erschien im Januar 2015, der Code wird von der Deciso B.V., einem niederländischen Netzwerkausrüster, gepflegt und erweitert. Weiterhin bietet Deciso auch kommerzielle Support-Pakete für Endkunden und Systemintegratoren an.
OPNSense verfolgt einen sechsmonatigen Release-Zyklus für Major Releases. Derzeit aktuell ist Version 16.7.3 (Dancing Dolphin), die Versionsnummern folgen dabei der Namenskonvention "Jahr.Monat", Minor Releases im selben Monat werden durch eine eigene Zahl gekennzeichnet. Die aktuelle Version ist im Juli 2016 erschienen und hat zwischenzeitlich das dritte Minor-Update erfahren. Das nächste Major Release (17.1) erscheint im Januar 2017, Details zur Roadmap sind unter [1] zu finden.
OPNSense läuft auf x86-Hardware (32 oder 64 Bit) und damit auch auf den gängigen Hypervisoren beziehungsweise in der Amazon Cloud (AWS). Unter [2] stehen vier verschiedene Installationsmedien zum kostenfreien Download bereit:
- cdrom: Standardmedium als ISO Image
- vga: USB-Installations-Image
- serial: USB-Installations-Image mit Unterstützung für die serielle Konsole
- nano: Vorinstalliertes "serial"-Image für 4-GByte-USB-Sticks, SD- oder CF-Karten für Embedded Devices
Darüber hinaus existiert auch eine OPNSense-Variante auf Basis von Hardened-BSD [3], einem auf hohe Sicherheit optimierten Fork des FreeBSD-Projekts. Für diese Variante gibt es allerdings keinen offiziellen Support.
Die Feature-Liste von OPNSense ist beachtlich, enthält sie doch neben der IPv4/IPv6-Unterstützung und den klassischen Firewall-Funktionen Stateful Packetfiltering, Intrusion Prevention und VPN auch einige regelrechte Enterprise-Features:
- Hochverfügbarkeit (HA): OPNSense unterstützt den Failover-Betrieb über das Common Address Redundancy Protocol (CARP). Damit lassen sich zwei Firewalls zu einer Failover-Gruppe zusammenfassen. Im Cluster ist immer nur ein System aktiv, Konfigurationsänderungen werden auf alle Sys- teme in einer Failover-Gruppe repliziert. Fällt das Produktivsystem aus, übernimmt automatisch das zweite System aus der Failover-Gruppe den Produktivbetrieb.
- Multi-WAN-Anbindung und Traffic Shaping: OPNSense kann mehrere Internet-Uplinks verwalten und damit Failover, Loadbalancing oder eine Kombination beider realisieren.
- Unterstützung für externe Authentifizierungsserver: OPNSense bringt eine Benutzerdatenbank mit und bindet zusätzlich externe Authentifizierungsdienste wie LDAP inclusive Microsoft Active Directory und RADIUS ein.
- 2-Faktor-Authentifizierung: Für die Dienste Web-GUI, Captive Portal, VPN (OpenVPN & IPsec) und den Caching Proxy unterstützt OPNSense 2-Faktor-Authentifizierung mit One-Time Passwords nach dem TOTP-Standard.
- HTTP / HTTPS / Caching Web Proxy mit Blacklist Support: Der auf Squid basierende Web-Proxy unterstützt auch den Transparent-Modus, bei dem für den Proxy-Betrieb keine Änderung an den Clients erforderlich ist.
- Captive Portal / Voucher Support: Für den Betrieb von Gästenetzwerken (Ethernet oder WiFi) bietet OPNSense ein integriertes Captive Portal inklusive Voucher-Verwaltung.
- 802.1Q VLAN Support: Unterstützung für getaggte VLANs zur Verwaltung mehrerer virtueller Netzwerke.
Das Hauptaugenmerk von OPNSense liegt eindeutig eher auf dem Network- als auf dem Application Layer. Im Vergleich zu modernen (UTM / XTM) Firewallsystemen fehlen OPNSense daher zur echten Enterprise-Firewall eigentlich "nur" ein SMTP-Proxy mit Antispam-Funktion, User-/Application-Control beziehungsweise "Next-Generation Firewallfunktionen" und ein Virenscanner. Letzterer lässt sich im Bedarfsfall aber über die integrierte ICAP-Schnittstelle von extern andocken, wenn auch derzeit nur für HTTP/HTTPS, nicht aber für SMTP.
Auf Netzwerk-Ebene kann OPNSense dafür aber gleich mehrfach punkten. So bringt es ein sehr leistungsfähiges, auf Suricata basierendes Inline-Intrusion-Detection-System mit, das "ET Open Rules", die freien IDS-Patterns von Emerging Threats, nutzen kann. Weiterhin bindet OPNSense auf Wunsch SSL-Blacklisten von abuse.ch sowie die – ebenfalls kostenlose – GeoIP-Datenbank "Maxmind GeoLite2 Country" ein. Ein weiteres Highlight ist der Netflow Analyzer "Insight", mit dessen Hilfe Admins die Netzwerknutzung auf Benutzer- und Port- beziehungsweise Protokollebene grafisch und "on the fly" aufbereiten können.
Erwähnenswert ist die Tatsache, dass Administratoren bei OPNSense zwischen der Standard-Kryptobibliothek OpenSSL und der freien Alternative LibreSSL wählen können. Angesichts einiger Horror-Bugs der jüngeren Vergangenheit in OpenSSL (Heartbleed, FREAK, Poodle...) ist die Verwendung einer alternativen Kryptobibliothek eine Überlegung wert.