Tutoriels OPNsense®

 

 

opnsense

 

 

OPNsense le futur du routeur parefeu open source

Depuis janvier 2015, un nouveau projet de firewall OpenSource a vue le jour : OPNsense.

Opnsense est un routeur-pare-feu open source basé sur la distributionFreeBSDIl inclut la plupart des fonctionnalités disponibles dans les pare-feux commerciaux coûteux et a l'avantage d'être ouvert et fiable. 

Grâce à l'interface web, la configuration et les mise à jours d'OPNsense sont facile à mettre en place et ne nécéssite aucune connaissance approfondie du système d'exploitation FreeBSD sous-jacent. Le projet d'OPNsense est construit sur des bases et un code solides. Voici une liste des principales caractéristiques actuelle d'OPNsense . Toutes ces fonctionnalités sont réalisable dans l'interface utilisateur graphique, sans rien toucher à la ligne de commande. Le GUI a été crée en utilisant la technologie Bootstrap.

OPNsense inclut des fonctionnalités haut de gamme tels que la mise en cache direct du proxy, la régulation de trafic, détection d'intrusion et l'installation facile du client OpenVPN. La dernière version est basée sur FreeBSD 10.2 pour un soutien à long terme et utilise un MVC-framework récemment mis au point basé sur l'architecture de Phalcon.

L'accent d'OPNsense sur la sécurité apporte des fonctionnalités uniques telles que la possibilité d'utiliser libressl au lieu de OpenSSL (sélectionnable dans l'interface graphique) et une version personnalisée basée sur HardenedBSD. Le mécanisme de mise à jour robuste et fiable donne à OPNsense la capacité de fournir des mises à jour de sécurité importantes en temps opportun .

 

 

Parmi les caractéristiques d'OPNsense

Pare-feu

  • Filtrage par IP source et destination, le protocole IP, la source et port de destination pour le trafic TCP et UDP
  • Permet de limiter les connexions simultanées basé sur une règle
  • OPNsense utilise p0f, un système avancé de détection d'empreintes digitales réseau des systèmes d'exploitation pour vous permettre de filtrer par le système d'exploitation qui à initier l'ouverture de la connexion. Vous voulez permettre à FreeBSD et Linux d'aller sur Internet, mais bloquer les machines Windows? OPNsense peut (parmi bien d'autres possibilités) détecter passivement le système d'exploitation utilisé.
  • Option pour enregistrer ou non le trafic correspondant à une règle
  • Politique de routage très flexible pour la sélection de la passerelle basé sur des règles (pour l'équilibrage de charge, basculement, WAN multiple, etc.)

Tables d'etats

La table d'état du pare-feu gère les informations sur vos connexion réseau ouvertes. Le logiciel OPNsense est un firewall qui gère les états, par défaut, toutes les règles prennent cela en compte.

La plupart des pare-feux ne sont pas capable de contrôler finement votre table d'état. Le logiciel OPNsense a de nombreuse fonctionnalités permettant un contrôle granulaire (contrôle détaillé des flux/des utilisateurs avec plusieurs paramètres/détails)de votre table d'état.

Règle par règle :

  • Limite les connexions simultanées d’un hôte
  • Limite le nombre d’état par hôte
  • Limite le nombre de nouvelle connexion par seconde 
  • Définit un timeout en fonction des états 
  • Définit un type d’état

Type d’état : OPNsense offre de multiple options pour la gestion des états. 

  • Conserve l’état - fonctionne avec tout les protocoles. Activé par défaut pour toutes les règles. 
  • Module l’état - ne fonctionne qu’avec le protocole TCP. OPNsense générera un Numéro de Séquence Initiale (ISN) forte agissant au nom de l’hôte. 
  • Etat Synproxy - met les connexions TCP entrantes en proxy afin d’aider à protéger les serveurs des attaques de type TCP SYN. Cette option inclus les fonctionnalités de conservation d’état et de modulation exposées ci-dessus. 
  • Aucune - ne conserve aucune information d’état pour ce trafic. Ceci est rarement utile, mais est mis à disposition car cela peut-être utile dans certains cas très limités. 

État des options d'optimisation de table - pf propose quatre options pour l'optimisation de la table d'état.

  • Normal - l'algorithme par défaut
  • Latence élevée - Utile pour les liens à latence élevée, tels que les connexions par satellite. 
  • Aggressive - Le délai d'expiration des connexions inactives est plus rapide. L'utilisation  des ressource matérielles est plus efficaces, mais peut supprimer des connexions légitimes.
  • Conservateur - Essaie de ne pas laisser tomber les connexions légitimes au détriment de l'utilisation accrue de la mémoire et de l'utilisation du processeur.

Translation d'adresses (NAT)

  • Le port forward comprend l'utilisation de plages ainsi que de plusieurs adresses IP publiques.
  • le NAT 1:1 pour les IPs individuels ou sous réseaux entiers.
  • Outbound NAT
    • Les paramètres par défaut NAT tout le trafic sortant vers l'IP WAN. Dans plusieurs scénarios WAN, les paramètres NAT sorte par défaut vers l'adresse IP de l'interface WAN utilisé.
    • Les fonctions avancées du NAT sortant qui permet ce comportement est désactivé par défaut et permet la création de règles NAT très flexible.
  • NAT Reflection est possible si les services sont accessible par IP publique à partir des réseaux internes.

Redondance

CARP d'OpenBSD permet le basculement de matériel. Deux ou plus de Firewalls peuvent être configurés comme des groupes de basculement. Si une interface échoue sur le primaire ou que le primaire devient entièrement hors ligne, le second devient actif. OPNsense inclus aussi la capacité de synchronisation de configuration. Si vous faite des changements de configuration sur le primaire ceux ci sont automatiquement synchronizés sur le Firewall secondaire.

pfsync assure que les tables d'état du Firewall soit répliqué sur tout les Firewall de basculement configurés. Cela signifie que vos connexions existantes seront maintenu en cas de défaillance, cela est important pour prévenir d'une interruption réseau.

Redondance du matériel

Le CARP depuis OpenBSD permet la redondance du matériel. Deux ou plusieurs pare-feu peuvent être configurés comme un groupe de basculement. Si une interface échoue sur le premier ou le premier se met hors ligne entièrement, le second devient actif.

Configuration de synchronisation

OPNsense inclut des capacités de synchronisation de la configuration, de sorte que lorsque vous faites vos changements de configuration sur le premier, il synchronise automatiquement le pare-feu secondaire.

Equilibrage de charge

L'équilibrage de charge du serveur est utilisé pour répartir la charge entre plusieurs serveurs. Ceci est communément utilisé avec les serveurs Web, serveurs de messagerie, et autres. Les serveurs qui ne répondent pas aux requêtes ping ou aux connexions de port TCP sont retirés du pool.

Table d'État synchronisée

pfsync assure la réplication sur tous les pare-feu des tables d'état lorsque la redondance est configuré. Cela signifie que vos connexions existantes seront maintenues en cas cas d'échec, ce qui est important en cas de perturbations du réseau.

Réseau privé virtuel

Un réseau privé virtuel (VPN) étend un réseau privé à travers un réseau public, tel qu'Internet. Il permet à un ordinateur pour envoyer et recevoir des données à travers des réseaux partagés ou publics, comme s'il est connecté directement au réseau privé, tout en bénéficiant des politiques du réseau privé fonctionnalité, de sécurité et de gestion.

OPNsense offre trois options pour la connectivité VPN, IPsec, OpenVPN et PPTP.

IPsec

IPsec permet la connectivité avec tous les appareils supportant la norme IPsec. Ceci est le plus couramment utilisé pour la connexion site à site avec d'autres installations de OPNsense, d'autres pare-feu open source (m0n0wall, etc.) ou la plupart des des solutions de pare-feu commerciaux (Cisco, Juniper, etc.). Il peut également être utilisé pour la connexion des clients mobiles.

OpenVPN

OpenVPN est une solution flexible, VPN SSL très puissant, il peut soutenir un large éventail de systèmes d'exploitation client.

Serveur PPTP (Non recommandé car non sécurisé)

PPTP est une option de VPN tres populaire car presque tous les OS sont construit avec le client PPTP.
Comme par exemple chaque nouvelle version de Windows depuis Windows 95 OSR2. 
Cependant, il est maintenant considéré comme un protocole non sécurisé et ne doit pas être utilisé.

Serveur PPPoE

Le logiciel OPNsense offre un serveur PPPoE. Une base de données local pour les utilisateurs peut être utilisé pour l'authentification. RADIUS est également supporté.

Rapport et monitorage

Les graphiques RRD dans le logiciel OPNsense affiche des informations sur les points suivants.

  • L'utilisation du processeur
  • Le débit total
  • L'état des pare-feux
  • Débit individuelle pour toutes les interfaces
  • Taux de paquets par seconde pour toutes les interfaces
  • Temps de reponse des interface de passerelle WAN
  • Files d'attente Traffic Shaper sur les systèmes avec le lissage du trafic activées

Information temps réel

L'historique d'information est important, mais parfois, il est plus important d'obtenir des informations en temps réel. 

  • Le Graphiques SVG montrent le débit en temps réel pour chaque interface.
  • Pour les utilisateurs de traffic shaper, L'écran d'état de la files d'attente fournit un affichage en temps réel de l'utilisation de la file d'attente au moyen de jauges AJAX mises à jour.
  • La page d'accueil comprend la jauges AJAX pour l'affichage du CPU en temps réel, la mémoire, swap et l'utilisation du disque, et la taille de la table d'état.

DNS dynamique

Un client DNS Dynamic est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services DNS dynamiques.

  1. Custom – allowing defining update method for providers not specifically listed here.
    • DNS-O-Matic
    • DynDNS
    • DHS
    • DNSexit
    • DyNS
    • easyDNS
    • freeDNS
    • HE.net
    • Loopia
    • Namecheap
    • No-IP
    • ODS.org
  2. OpenDNS
  3. Route 53
  4. ZoneEdit
  5. Un client est également disponible pour les mises à jour RFC 2136 des DNS dynamique, pour une utilisation avec les serveurs DNS BIND comme qui soutiennent ce moyen de mise à jours.

Portail captif

Le Portail captif permet de forcer l'authentification, ou la redirection vers une page de clic pour l'accès au réseau. Ceci est généralement utilisé sur les hotspot, mais est également utilisé dans les réseaux d'entreprise qui souhaite une couche de sécurité supplémentaire sur l'accès sans fil ou Internet.

Ce qui suit est une liste de fonctionnalités du portail captif de OPNsense :

  • Maximum de connexions simultanées - Limiter le nombre de connexions au portail par client IP. Cette fonctionnalité empêche un déni de service à partir de PC clients qui envoient du trafic réseau à plusieurs reprises sans authentification ou sans cliquer sur la page de garde.
  • Idle timeout - Déconnecter les clients qui sont inactifs depuis un nombre défini de minutes.
  • Dur timeout - Forcer une déconnexion de tous les clients après un délai défini.
  • Fenêtre pop-up de deconnexion - Option pour faire apparaître une fenêtre avec un bouton de deconnexion.
  • Redirection URL - après authentification ou clique sur le portail captif, les utilisateurs peuvent être redirigé à l'URL définie.
  • Le filtrage MAC - par défaut, les filtres OPNsense utilise les adresses MAC. 
  • Options d'authentification - Il existe trois options d'authentification disponibles.
    • Aucune authentification - Cela signifie que l'utilisateur clique simplement via votre page de portail sans entrer les informations d'identification.
    • gestionnaire d'utilisateur local - Une base de données d'utilisateur local peut être configuré et utilisé pour l'authentification.
    • l'authentification RADIUS - Ceci est la méthode d'authentification le plus pratique pour les environnements d'entreprise et les FAI. Il peut être utilisé pour authentifier à partir de Microsoft Active Directory et de nombreux autres serveurs RADIUS.
  • capacités RADIUS
    • Forcé de ré-authentification
    • Mises à jour des utilisateurs.
    • L'authentification RADIUS MAC du portail captif permet de s'authentifier à un serveur RADIUS en utilisant l'adresse MAC du client comme le nom d'utilisateur et mot de passe.
    • Permet la configuration des serveurs RADIUS redondants.
  • HTTP ou HTTPS - La page du portail peut être configuré pour utiliser le protocole HTTP ou HTTPS.
  • Pass-through adresses MAC et IP - Vous pouvez autoriser le contournement du portail captif à certaines machine ou leur bloquer l'accès.
  • Gestionnaire de fichiers - Cela vous permet de télécharger des images à utiliser dans vos pages du portail.

802.1Q VLAN

Les VLAN sont des segments de LAN virtuels d'un commutateur. Quand OPNsense est branché sur un port trunk, il peut utiliser des VLAN afin d'avoir plusieurs interfaces virtuelles, une pour chaque VLAN disponibles. De cette manière, OPNsense peut communiquer avec un grand nombre de réseaux sans avoir besoin d'interfaces physique supplémentaires.

Serveur et relais DHCP

Le logiciel OPNsense comprend à la fois le serveur DHCP et la fonctionnalité de relais.

 

Et bien plus encore ..