Nous vous proposons ici un aperçu des fonctionnalités du firewall OpenSource OPNSense®.
Firewall
- Filtrage par source et destination au niveau des adresses IP, protocole IP, port source et destination des protocoles TCP et UDP.
- Capacité à limiter le nombre de connexion règle par règle.
- OPNSense utilise p0f, un programme qui permet de filtrer de façon passive en fonction du type de Système d’Exploitation qui initie la connexion. Vous souhaitez autoriser les systèmes FreeBSD et Linux à accéder à l’Internet, mais bloquer les système Windows (ou l’inverse) ? OPNSense peut réaliser cela en filtrant de façon passive les Systèmes d’Exploitation utilisés.
- Capacité à archiver les traces règle par règle.
- Grande flexibilité dans les politiques de routage en sélectionnant la passerelle par défaut règle par règle (utile pour la répartition de charge, le failover ou le multi-WAN, etc.).
- Les Alias permettent de regrouper les règles et de nommer les adresses IPs, les réseaux et les ports. Cela aide à conserver les règles de votre firewall propres et simple à comprendre. Spécialement dans des environnements avec de multiples adresses IPs publics et de nombreux serveurs.
- Filtrage de niveau 2 transparent permettant de passer les interfaces en mode pont et de filtrer à ce niveau, éventuellement pour un firewall sans IPs (bien que vous souhaitiez probablement avoir une IP pour la gestion de votre firewall…).
- Normalisation de paquets ou scrubbing (opéré par l'IDS) : «Scrubbing est l’action de normaliser les paquets afin qu’il n’y ait pas d’ambiguïté sur l’interprétation de la destination finale des paquets. La directive ‘scrub’ permet aussi de ré-assembler les paquets fragmentés, protégeant ainsi certains OS de certaines formes d’attaques. Elle supprime aussi les paquets TCP qui présentent des combinaisons incompatibles».
- Activé par défaut sur OPNSense
- Peut-être désactivé en cas de nécessité.
- Désactiver l’ensemble du filtrage de votre firewall si vous souhaitez transformer OPNSense en un routeur.
Gestion de table d’état
La table d’état du firewall maintien des informations sur les connexions réseau ouvertes. OPNSense est un firewall qui gère les états, par défaut toutes les règles prennent cela en compte.
La plupart des firewalls ne disposent pas de fonctionnalités qui permettent de gérer de façon très précises ces tables d’état. OPNSense a de nombreuses fonctionnalités qui permettent un contrôle précis de ces tables d’état, notamment grâce aux capacités de Packet Filter sous FreeBSD pf.
- Table d’état ajustable - il y a de nombreux firewall OPNSense en production qui gèrent plusieurs centaines de milliers d’état. La table d’état est ajustée de façon dynamique en fonction de la mémoire. Chaque ‘état’ prends environ 1KB de RAM .
- Règle par règle :
- Limite les connexions simultanées d’un hôte
- Limite le nombre d’état par hôte
- Limite le nombre de nouvelle connexion par seconde
- Définit un timeout en fonction des états
- Définit un type d’état
- Type d’état : OPNSense offre de multiple options pour la gestion des états.
- Conserve l’état - fonctionne avec tout les protocoles. Activé par défaut pour toutes les règles.
- Module l’état - ne fonctionne qu’avec le protocole TCP. OPNSense générera un Numéro de Séquence Initiale (ISN) forte agissant au nom de l’hôte.
- Etat Synproxy - met les connexions TCP entrantes en proxy afin d’aider à protéger les serveurs des attaques de type TCP SYN. Cette option inclus les fonctionnalités de conservation d’état et de modulation exposées ci-dessus.
- Aucune - ne conserve aucune information d’état pour ce trafic. Ceci est rarement utile, mais est mis à disposition car cela peut-être utile dans certains cas très limités.
- Optimisation des tables d’état - pf offre quatre options pour l’optimisation des tables d’état.
- Normal - l’algorithme par défaut
- Haute latence - utile pour les liens avec une grande latence tels que les liens satellites. Les connexions expirent plus tard que le normal.
- Agressif - Expire les connexions plus rapidement que la normal. Permet d’optimiser les ressources hardware, mais peut couper de connexions légitimes.
- Conservateur - Essai d’éviter de déconnecter les connexions légitimes avec en contre partie une surexploitation de la mémoire et du CPU.
NAT (Translation d’adresses réseau)
-
Forwarding de ports incluant des plages et de multiples IPs publics
-
NAT 1:1 pour des IPs individuelles ou des sous-réseaux entiers.
- NAT en sortie
- Les réglages par défaut NAT tout le trafic vers l’interface IP WAN. Dans le cas d’utilisation de multiple interfaces WAN, les réglages par défaut NAT le trafic sortant vers l’interface WAN qui est utilisée.
- Les réglages avancés de NAT sortant permettent à ce comportement par défaut d’être désactivé et de créer des règles de NAT très flexibles (ou pas de règles NAT).
- Dans certains cas un NAT réflexif peut être activé, cela permet à ce que des services IP disposant d’IP publiques soient accessibles depuis l'intérieur d’un réseau.
Interfaces multiples
Le firewall OPNSense intègre une gestion étendue des interfaces réseau. Il est ainsi possible de gérer des interfaces de type :
- Interface standard Ethernet
- Interface VLAN (802.1Q)
- Interface Bridge
- Interface GIF
- Interface LAGG
- Interface QinQ
- Gestion de PPP
- PPPoE
- Gestion d'interface WLAN
- mode AP
- mode pont
- mode infrastructure (BSS)
Proxy filtrant ou cache
OPNSense intègre un proxy qui peut être utilisé soit comme cache, soit comme proxy filtrant. Le GUI OPNSense permet d'intégrer simplement certaines règles de filtrage.
- Proxy filtrant ou cache basé sur une intégration de Squid
- Compatibilité avec ICAT
IDS / IPS via Surricata
OPNSense intègre l'IDS Surricata
- Support intégré pour les règle ET Open Rules.
- Le jeux de règle ETOpen Ruleset est une base données de règles IDS / IPS qui permet aux utilisateurs de bénéficier d'un filtrage des malware considérablement amélioré par rapport à un filrewall standard. Ce jeux de règle gratuit peut être complété par des règles payantes (Snort VRT ou d'autres jeux de règles).
Gestion intégré des black list SSL (SSLBL)
- Ce projet maintenu par abuse.ch. permet de fournir une liste de "mauvais" certificats SSL identifiés comme étant associés avec des activités de malware ou des botnet. SSLBL se sert de signature SHA1 pour lister et identifier ces certificats.
Tracker Feodo intégré
Le tracker Feodo (aussi connu sous le nom de Cridex or Bugat) est un cheval de Troie utilisé pour commettre des fraudes bancaires ou volé des données sensibles sur des ordinateurs cibles (cartes de crédit, autorisation d'accès, …). Pour le moment le tracker intégré dans OPNSense vérifie quatre versions de Feodo.
Base de donnée GeoLite intégrée
La gestion des règles de firewall n'a jamais été aussi simple. En utilisant les Alias, il est possible de regrouper les IP's par hôte sous forme de listes (IP, Ports, Réseau, règles dynamiques) afin de l'utiliser dans n'importe quelle règle de firewall. Les listes peuvent être récupérées de façon centralisée et dynamique (via une URL), par exemple les règles de type DROP (Do Not Route Or Peer), les règles de ransomware fournies par Abuse.ch et celles de Maxmind (GeoLite2 Country database).
Traffic Shaper
Le traffic shapping avec OPNSense est simple et flexible. Il est structuré autour de tuyaux, queues et l'activation de règles correspondantes. Les pipes définissent la bande passante autorisée, les queues peuvent être utilisées pour fixer un poids sur le tuyau et finalement les règles sont utilisées pour appliquer du shaping à certains flux.
Les règles de shapping sont gérées de façon indépendantes des règles de firewall et des autres paramètres.
Portail captif
Le portail captif vous permet de forcer l'authentification de tout utilisateur avant d'autoriser son accès au réseau ou de rediriger les requêtes vers un portail en vue d'une authentification et / ou l'acceptation de règles d'utilisation. Ce type de portail est utilisé pour les "Hot Spot" (typiquement dans les hôtels, restaurants), mais aussi dans les entreprises. Les portails captifs permettent de fournir un niveau de sécurité supplémentaire (notamment sur les réseaux sans fils).
OPNSense peut être intégré à une authentification RADIUS et supporte la gestion de coupons.
Haute disponibilité via CARP (actif / passif)
OPNsense utilise le protocole CARP (Common Address Redundancy Protocol) pour parer à une défaillance hardware.
Deux firewalls peuvent ainsi être configurés dans un "groupe failover". Si l'une des interfaces "tombe" sur le firewall primaire, le secondaire prendra automatiquement le relais et le primaire sera mis "hors service" jusqu'à réactivation.
En utilisant ce type de fonctionnalité avancé, OPNSense permet de mettre en place une stack complète redondante avec une reprise automatique en cas de défaillance.
L'ensemble de la stack réseau reste up pendant l'opération de basculement du primaire vers le secondaire avec une micro coupure d'environ une seconde.
Gestion de l'authentification à deux facteurs (2FA)
L'authtification à deux facteurs (aussi connue sous le nom de 2FA) est une méthode d'authentification qui permet d'utiliser deux mécanismes (pin/password + un jeton). OPNSense offre un support complet de l'authentification deux facteurs. Ceci est opéré à travers la le système Google Authenticator.
Les services pouvant bénéficier de type de services sont :
- L'accès au GUI OPNsense
- Le Portail Captif
- Les VPN (Virtual Private Networking) avec OpenVPN & IPsec
- Le Proxy Cache
Leave a comment.