Le routeur pare-feu OPNsense est une solution firewall prête à l'emploi avec la distribution open source OPNsense® pré-installée en format rack 1U assemblé avec une carte mère AMD GX-412TC 4 cœurs à 1 GHz, 3 ports Ethernet Gigabit. Impression UV personnalisée en façade
Veuillez nous contacter pour une impression UV personnalisée de haute qualité en façade (logos, symboles, informations, etc...)
Technologie Rack Matrix®
Boîtier 1U de haute qualité, modulaire, robuste et rackable conçu par Rack Matrix Technology®.
Logiciel
OPNsense® comprend la plupart des fonctionnalités disponibles dans les pare-feux commerciaux coûteux voir plus dans de nombreux cas et a l'avantage d'être ouvert et fiable.
Grâce à l'interface web, la configuration et les mises à jour d'OPNsense sont simples à mettre en place et ne nécéssitent pas de connaissances approfondies du système d'exploitation FreeBSD sous-jacent. Le projet d'OPNsense est construit sur des bases et un code solides. Toutes les manipulations se font depuis une interface utilisateur graphique moderne, sans recourir à la ligne de commande. L'interface utilisateur web a été créé en utilisant le fameux framework Bootstrap.
OPNsense inclut des fonctionnalités haut de gamme telles que la mise en cache direct du proxy, la régulation de trafic, la détection d'intrusion et l'installation facile du client OpenVPN. La dernière version est basée sur FreeBSD 10.2 pour un soutien à long terme et utilise un framework MVC récemment mis au point basé sur l'architecture de Phalcon.
L'accent d'OPNsense sur la sécurité apporte des fonctionnalités uniques telles que la possibilité d'utiliser libressl au lieu de OpenSSL (séléctionnable dans l'interface graphique) et une version personnalisée basée sur HardenedBSD. Le mécanisme de mise à jour robuste et fiable donne à OPNsense la capacité de fournir des mises à jour de sécurité importantes en temps opportun.
Ce produit est pré-installé avec le logiciel OPNsense®.
Filtrage par IP source et destination, le protocole IP, la source et port de destination pour le trafic TCP et UDP
Permet de limiter les connexions simultanées basé sur une règle
OPNsense utilise p0f, un système avancé de détection d'empreintes digitales réseau des systèmes d'exploitation pour vous permettre de filtrer par le système d'exploitation qui a initié l'ouverture de la connexion. Voulez-vous permettre à FreeBSD et Linux d'aller sur Internet, mais bloquer les machines Windows? OPNsense peut (parmi bien d'autres possibilités) détecter passivement le système d'exploitation utilisé
Option pour enregistrer ou non le trafic correspondant à une règle
Politique de routage très flexible pour la sélection de la passerelle basée sur des règles (pour l'équilibrage de charge, basculement, WAN multiple, etc.)
Alias permettant de grouper et nommer les IPs, réseaux et ports. Vos règles de routage sont ainsi organisées et simple à comprendre, surtout dans les environnements ayant de nombreux serveurs et de multiples IP publiques
Normalisation des paquets : Le "Scrubbing" permet la normalisation des paquets afin de garantir qu'il n'y ait pas d'ambiguités dans l'interprétation de la destination finale du paquet. La directive "scrub" permet le réassemblage des paquets fragmentés protégeant les systèmes d'exploitation de certaines formes d'attaques, les paquets TCP ayant une combinaison invalide sont ainsi omis.
Désactivation du filtrage : Il est possible de désactiver le filtrage entièrement si vous souhaitez transformer le logiciel OPNsense en routeur pure.
Activé par défaut par le logiciel OPNsense
Peut être désactivé si nécessaire. Cette option peut poser problèmes pour certaines implémentations NFS mais est sûre et devrait rester activée pour la plupart des installations.
La table d'état du pare-feu permet de garder en mémoire l'état des connexions au réseau (comme les flux TCP, les communications UDP) qui le traversent. Le logiciel OPNsense est un pare-feu à états, par défaut, Le logiciel OPNsense est un firewall qui gère les états, par défaut, toutes les règles prennent cela en compte.
La plupart des pare-feux ne sont pas capables de contrôler finement votre table d'état. Le logiciel OPNsense a de nombreuses fonctionnalités permettant un contrôle granulaire (contrôle détaillé des flux/des utilisateurs avec plusieurs paramètres) de votre table d'état.
La taille de la table d'état est ajustable. La taille par défaut de la table d'état varie selon la quantité de RAM installé dans votre système, la taille peut être augmentée à n'importe quel moment avec la valeur de votre choix. Chaque état prend approximativement 1 Ko de RAM, il est important de faire attention à l'usage mémoire lors du redimensionnement de votre table.
Règle par règle :
Limite les connexions simultanées d’un hôte
Limite le nombre d’état par hôte
Limite le nombre de nouvelles connexions par seconde
Définit un timeout en fonction des états
Définit un type d’état
Type d’état : OPNsense offre de multiples options pour la gestion des états.
Conserve l’état - fonctionne avec tous les protocoles. Activé par défaut pour toutes les règles.
Module l’état - ne fonctionne qu’avec le protocole TCP. OPNsense générera un Numéro de Séquence Initiale (ISN) fort agissant au nom de l’hôte.
État Synproxy - met les connexions TCP entrantes en proxy afin d’aider à protéger les serveurs des attaques de type TCP SYN. Cette option inclus les fonctionnalités de conservation d’état et de modulation exposées ci-dessus.
Aucune - ne conserve aucune information d’état pour ce trafic. Ceci est rarement utile, mais est mis à disposition car cela peut-être utile dans certains cas très limités.
État des options d'optimisation de table : pf propose quatre options pour l'optimisation de la table d'état.
Normal - l'algorithme par défaut
Latence élevée - Utile pour les liens à latence élevée, tels que les connexions par satellite.
Aggressive - Le délai d'expiration des connexions inactives est plus rapide. L'utilisation des ressources matérielles est plus efficace, mais peut supprimer des connexions légitimes.
Conservateur - Essaie de ne pas laisser tomber les connexions légitimes au détriment de l'utilisation accrue de la mémoire et de l'utilisation du processeur.
Le port forward comprend l'utilisation de plages ainsi que de plusieurs adresses IP publiques.
le NAT 1:1 pour les adresses IP individuelles ou sous réseaux entiers.
Outbound NAT
Les paramètres par défaut NAT tout le trafic sortant vers l'IP WAN. Dans plusieurs scénarios WAN, les paramètres NAT sortent par défaut vers l'adresse IP de l'interface WAN utilisée.
Les fonctions avancées du NAT sortant qui permet ce comportement est désactivé par défaut et permet la création de règles NAT très flexibles.
NAT Reflection est possible si les services sont accessibles par IP publique à partir des réseaux internes.
Limitations PPTP / GRE : Le code de tracking d'état au sein de pf pour le protocole GRE peut suivre seulement une seule session par IP publique et par serveur externe. Cela veut dire que si vous utilisez les connexions PPTP VPN, seule une machine interne peut se connecter simultanément à un serveur PPTP sur Internet. Une centaine de machines peuvent se connecter simultanément à une centaine de serveurs PPTP différents mais seulement une seule peut se connecter simultanément à un seul serveur. Le seul moyen de régler ce problème est d'utiliser de multiples IP publiques sur votre pare-feu, une par client ou d'utiliser de multiples IP publiques sur un serveur PPTP externe. Ce n'est pas un problème pour les autres types de connections VPN. Le PPTP est obsolète et ne devrait plus être utilisé.
CARP d'OpenBSD permet le basculement de matériel. Deux ou plus de Firewalls peuvent être configurés comme des groupes de basculement. Si une interface échoue sur le primaire ou que le primaire devient entièrement hors ligne, le second devient actif. OPNsense inclus aussi la capacité de synchronisation de configuration. Si vous faites des changements de configuration sur le primaire ceux ci sont automatiquement synchronisés sur le Firewall secondaire.
pfsync assure que les tables d'état du Firewall soient répliquées sur tous les Firewall de basculement configurés. Cela signifie que vos connexions existantes seront maintenues en cas de défaillance, cela est important pour prévenir d'une interruption réseau.
La fonctionnalité Multi-WAN permet l'usage de connexions internet multiples avec équilibrage de charge et/ou failover pour une amélioration de la disponibilité de l'internet et la distribution de l'usage de la bande passante.
L'équilibrage de charge du serveur est utilisé pour répartir la charge entre plusieurs serveurs. Ceci est communément utilisé avec les serveurs Web, serveurs de messagerie, et autres. Les serveurs qui ne répondent pas aux requêtes ping ou aux connexions de ports TCP sont retirés du pool.
OPNsense offre trois options pour la connectivité VPN, IPsec, OpenVPN et PPTP.
IPsec
Permet la connectivité avec tous les appareils supportant la norme IPsec. Ceci est le plus couramment utilisé pour la connexion site à site avec d'autres installations de OPNsense, d'autres pare-feux open source (m0n0wall, etc.) ou la plupart des solutions de pare-feux commerciaux (Cisco, Juniper, etc.). Il peut également être utilisé pour la connexion des clients mobiles.
OpenVPN
OpenVPN est une solution flexible, VPN SSL très puissant, il peut soutenir un large éventail de systèmes d'exploitation client.
Serveur PPTP (Non recommandé car non sécurisé)
PPTP est une option de VPN très populaire car presque tous les OS sont construits avec le client PPTP.
Comme par exemple chaque nouvelle version de Windows depuis Windows 95 OSR2. Cependant, il est maintenant considéré comme un protocole non sécurisé et ne doit pas être utilisé.
Le logiciel OPNsense offre un serveur PPPoE. Une base de données locale pour les utilisateurs peut être utilisée pour l'authentification. RADIUS est également supporté.
Graphiques RRD
Les graphiques RRD dans le logiciel OPNsense affichent des informations sur les points suivants.
L'utilisation du processeur
Le débit total
L'état des pare-feux
Débit individuel pour toutes les interfaces
Taux de paquets par seconde pour toutes les interfaces
Temps de réponse des interfaces de passerelles WAN
Files d'attente Traffic Shaper sur les systèmes avec le lissage du trafic activé
Informations temps réel
L'historique d'information est important, mais parfois, il est plus important d'obtenir des informations en temps réel.
Les Graphiques SVG montrent le débit en temps réel pour chaque interface.
Pour les utilisateurs de traffic shaper, l'écran d'état de la file d'attente fournit un affichage en temps réel de l'utilisation de la file d'attente au moyen de jauges AJAX mises à jour.
La page d'accueil comprend les jauges AJAX pour l'affichage du CPU en temps réel, la mémoire, swap et l'utilisation du disque, et la taille de la table d'état.
Un client DNS Dynamic est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services DNS dynamiques.
Custom - Permet de définir une méthode de mise à jour pour les fournisseurs qui ne sont pas listés ci-dessous.
DNS-O-Matic
DynDNS
DHS
DNSexit
DyNS
easyDNS
freeDNS
HE.net
Loopia
Namecheap
No-IP
ODS.org
OpenDNS
Route 53
SelfHost
ZoneEdit
Un client est aussi disponible pour le RFC 2136 (mise à jour DNS dynamique), pour l'utilisation avec des serveurs DNS comme BIND qui supporte ce moyen de mise à jour.
Le Portail captif permet de forcer l'authentification, ou la redirection vers une page de clic pour l'accès au réseau. Ceci est généralement utilisé sur les hotspot, mais est également utilisé dans les réseaux d'entreprise qui souhaitent une couche de sécurité supplémentaire sur l'accès sans fil ou Internet.
Ce qui suit est une liste de fonctionnalités du portail captif de OPNsense :
Maximum de connexions simultanées - Limiter le nombre de connexions au portail par client IP. Cette fonctionnalité empêche un déni de service à partir de PC clients qui envoient du trafic réseau à plusieurs reprises sans authentification ou sans cliquer sur la page de garde.
Idle timeout - Déconnecter les clients qui sont inactifs depuis un nombre défini de minutes.
Dur timeout - Forcer une déconnexion de tous les clients après un délai défini.
Fenêtre pop-up de déconnexion - Option pour faire apparaître une fenêtre avec un bouton de déconnexion.
Redirection URL - après authentification ou clique sur le portail captif, les utilisateurs peuvent être redirigés à l'URL définie.
Le filtrage MAC - par défaut, les filtres OPNsense utilisent les adresses MAC.
Options d'authentification - Il existe trois options d'authentification disponibles.
Aucune authentification - Cela signifie que l'utilisateur clique simplement via votre page de portail sans entrer les informations d'identification.
Gestionnaire d'utilisateur local - Une base de données locale d'utilisateurs peut être configurée et utilisée pour l'authentification.
Authentification RADIUS - Ceci est la méthode d'authentification la plus pratique pour les environnements d'entreprise et les FAI. Il peut être utilisé pour authentifier à partir de Microsoft Active Directory et de nombreux autres serveurs RADIUS.
Possibilités RADIUS
La ré-authentification forcée
Les mises à jour des utilisateurs.
L'authentification RADIUS MAC du portail captif permet de s'authentifier à un serveur RADIUS en utilisant l'adresse MAC du client comme le nom d'utilisateur et mot de passe.
La configuration des serveurs RADIUS redondants.
HTTP ou HTTPS - La page du portail peut être configurée pour utiliser le protocole HTTP ou HTTPS.
Pass-through adresses MAC et IP - Vous pouvez autoriser le contournement du portail captif à certaines machines ou leur bloquer l'accès.
Gestionnaire de fichiers - Cela vous permet de télécharger des images à utiliser dans vos pages du portail.
Les VLAN sont des segments de LAN virtuels d'un commutateur. Quand OPNsense est branché sur un port trunk, il peut utiliser des VLAN afin d'avoir plusieurs interfaces virtuelles, une pour chaque VLAN disponible. De cette manière, OPNsense peut communiquer avec un grand nombre de réseaux sans avoir besoin d'interfaces physiques supplémentaires.
Le logiciel OPNsense comprend à la fois le serveur DHCP et la fonctionnalité de relais.