Nous vous proposons une liste des fonctionnalités de l'IOS OpenSource OPNsense®.
Par bien des aspects les fonctionnalités offertes par les logiciels OPNsense® et pfSense® sont supérieures à de nombreux pare-feux du marché.

Couplés avec le logiciel d'administration centralisée DynFi®, vous atteindrez des niveaux de qualité équivalents à ceux des grandes marques de firewalls à un coût nettement inférieur.

 

Interface utilisateur

Sécurité de la plate-forme

  • HTTPS par défaut avec une redirection possible de HTTP sur HTTPS
  • Intégration des certificats SSL  et d'une PKI interne
  • Sécurisation HSTS (HTTP Strict Transport Security)
  • Vérification du DNS Rebinding
  • Support de SSH (clé publique, login / password, désactivation du compte root)
  • Protection de l'accès à la console
  • Accès à "sudo" optionnelle
  • Mode console autonome
  • Gestion étendue des logs (local ou distante)
  • Nombreux widgets présents sur la page d'accueil

Packages et mise à jour

  • Nombreux plugins externes offrant des fonctionnalités avancés de sécurité

Nom du package

Version

Commentaires

os-c-icap 

1.6

c-icap connects the web proxy with a virus scanner

os-clamav 

1.5

Antivirus engine for detecting malicious threats

os-dyndns 

1.9

Dynamic DNS Support

os-nginx 

1.0

Nginx HTTP server and reverse proxy

os-acme-client

1.17

Let's Encrypt client

os-arp-scan

1.1

Get all peers connected to a local network

os-bind

1.2

BIND domain name service

os-boot-delay

1.0

Apply a persistent 10 second boot delay

os-cache

1.0

Webserver cache

os-collectd

1.1

Collect system and application performance metrics periodically

os-debug

1.3

Debugging Tools

os-freeradius

1.8.0

RADIUS Authentication, Authorization and Accounting Server

os-frr

1.4

The FRRouting Protocol Suite

os-ftp-proxy

1.0

Control ftp-proxy processes

os-haproxy

2.9

Reliable, high performance TCP/HTTP load balancer

os-helloworld

1.3

A sample framework application

os-igmp-proxy

1.3_1

IGMP-Proxy Service

os-intrusion-detection-content-et-pro

1.0

IDS Proofpoint ET Pro ruleset (needs a valid subscription)

os-intrusion-detection-content-pt-open

1.0

IDS PT Research ruleset (only for non-commercial use)

os-intrusion-detection-content-snort-vrt

1.0

IDS Snort VRT ruleset (needs registration or subscription)

os-iperf

1.0

Connection speed tester

os-l2tp

1.7_2

L2TP server based on MPD5

os-lcdproc-sdeclcd

1.1

LCDProc for SDEC LCD devices

os-lldpd

1.1

LLDP allows you to know exactly on which port is a server

os-mdns-repeater

1.0

Proxy multicast DNS between networks

os-net-snmp

1.1

Net-SNMP is a daemon for the SNMP protocol

os-node_exporter

1.0

Prometheus exporter for machine metrics

os-ntopng

1.0

Traffic Analysis and Flow Collection

os-nut

1.0

Network UPS Tools

os-openconnect

1.2

OpenConnect Client

os-postfix

1.5

SMTP mail relay

os-pppoe

1.7_2

PPPoE server based on MPD5

os-pptp

1.7_2

PPTP server based on MPD5

os-quagga

1.4.4_1

End of life, superseded by FRR plugin

os-redis

1.0

Redis DB

os-relayd

2.3

Relayd Load Balancer

os-rfc2136

1.4

RFC-2136 Support

os-rspamd

1.3

Protect your network from spam

os-shadowsocks

1.0

Secure socks5 proxy

os-siproxd

1.3

Siproxd is a proxy daemon for the SIP protocol

os-smart

1.4

SMART tools

os-snmp

1.3_2

End of life, superseded by Net-SNMP plugin

os-telegraf

1.5.1

Agent for collecting metrics and data

os-theme-cicada

1.4_1

The cicada theme - grey/orange

os-theme-rebellion

1.6

A suitably dark theme

os-theme-tukan

1.3

The tukan theme - blue/white

os-tinc

1.4

Tinc VPN

os-tor

1.7

The Onion Router

os-upnp

1.2_2

Universal Plug and Play Service

os-vmware

1.5

VMware tools

os-web-proxy-sso

2.2_1

Kerberos authentication module

os-web-proxy-useracl

1.1_1

Group and user ACL for the web proxy

os-wol

2.0

Wake on LAN Service

os-xen

1.2

Xen guest utilities

os-zabbix-agent

1.3_1

Enterprise-class open source distributed monitoring agent

os-zabbix-proxy

1.1

Zabbix Proxy enables decentralized monitoring

os-zerotier

1.3.2

Virtual Networks That Just Work

 

  • Mise à jour opérée via les mécanismes standards de FreeBSD depuis les sources des repo OPNsense
    • Affichage de la liste des packages déployés
    • Version et type de licence OpenSource applicable
    • Possibilité d'utiliser OpenSSL ou LibreSSL comme variante SSL

 

Interfaces

  • Interfaces IP standards
  • Interfaces WLAN (gestion des modes AP et structured)
    • Support des AP virtuels (VAP).
    • Support du 802.11 a,b,g,n
  • Interfaces VLAN
  • Gestion de groupe d'Interfaces (LAGG)
  • Interfaces BRIDGE
  • tunnels GIF
  • Support de certains modems 4G
  • Alias d'IP / IP virtuels
  • Fonction Gateway multi-WAN
  • Interfaces Point à Point (support du PPPoE)
  • Interfaces optionnelles (sauf le WAN)
  • Toutes les interfaces peuvent être renommées, même LAN / WAN

 
Les Alias

  • Alias de type "Hôtes", "Réseaux", "Ports", "URLs IPs", "URLs Ports", "GeoIP", "Externe"
  • Les alias externes peuvent être récupérés à interval régulier
  • Table d'alias d'URL - utilise une table de type pf pour les très grande listes (+ de 40,000).
  • Possibilité de fixer des plage d'IP dans les alias.
  • Plus d'entrées au niveau des alias.
  • Import d'Alias en bloc.
  • Alias d'URL.

 

Le logiciel DynFi® que nous éditons permet de bénéficier de nombreuses avancées technologiques et notament une administration centralisée des alias.
Grace à DynFi vous pouvez simplement gérer de manière centralisée une collection d'alias et la diffuser sur l'ensemble de vos firewalls d'un simple click.

 

 

Firewall

Fonctions standards

  • Firewall à gestion avancé d'état
  • Gestion des règles de firewall avec trois options "Pass", "Block", "Reject"
  • Sélection de l'interface sur laquelle s'applique la règle
  • Choix de la version IP (v.4, v6, les deux)
  • Choix du protocole (TCP, UDP, TCP+UDP, ICMP, IGMP, …)
  • Définition de la source, de la destination et des ports avec grande granularité
  • Option de log du traffic généré par la règle

 

Fonctions avancées

  • Détection de l'OS pour les trames TCP
  • Règles planifiées avec gestion de calendrier
  • Règles appliquées sur une Gateway donnée
  • Application et modificaction de priorité 802.1Q  sur le traffic du firewall
  • Adaptation de règles par rapport à la priorité appliqué au paquet
  • Gestion d'état adaptative et limitation des états par règle
  • Application de règle en fonction de flag TCP (SYN, ACK, FIN, …)
  • Gestion de l'état de l'a connexion
  • Mode haute disponibilité basé sur CARP
    • Mode actif-passif
    • Synchronisation des tables d'état
    • Synchronisation des configurations des firewalls
    • Adresse IP partagée entre les deux nœuds du cluster

 

Panneau d'affichage des règles de firewalls par OPNsense

 

Les règles de NAT

NAT Port Forward

  • Support du forward de port
  • Haut niveau de granularité
  • Association de règle de firewall pour simplifier l'administration du NAT
  • Possibilité de marquage des trames au moment du NAT

NAT 1:1

  • Support du NAT 1 à 1

NAT en Sortie

  • Support du NAT Outbound
  • Réglage fin des politiques de NAT en sortie
  • Mode automatique, hybride ou manuel

NAT NPTv6

  • Support du nAT NPT pour IPv6

 

Passerelles et routage

  • Gestion des passerelles multiples
  • Configuration de politique de priorité sur "n" passerelles
  • Etablissement de règles dynamique de basculement entre passerelles basés sur :
    • la latence
    • les paquets perdus
    • calculs de fréquence des essais
  • Routes multiples
  • Support de protocole de routage
    • BGP, IS-IS, LDP, OSPF, PIM et RIP
    • Via le package FRRouting

 

Traffic Shaping

  • Gestion de la répartition de la bande passante
  • Assistant pour la construction de politique de shaping
  • Multiple politique de shaping applicable
    • Gestion de pipe
    • Gestion de queue
    • Gestion des règles

 

VPN IPsec

  • Gestion des phases 1 et phases 2 depuis l'interface
  • Support des algorythmes d'encryption "AES, AES GCM 128, 192, 256, Camelia, Blowfish, 3DES, Cast128, DES"
  • Algorythmes de hashage "MD5, SHA1, 256, 384, 512, AES-XCBC"
  • DH Key Group de 0 à 30
  • Gestion de nombreux paramètres liés au protocole
  • NAT Traversal
  • DPD
  • MobIKE
  • Gestion des clients mobiles
  • Gestion avancée du debug IP-Sec (par section de configuration)
  • Aperçu des états de connexion avec détail des phases et routage associé
  • basée sur StrongSwan 5.6.3 (version du 28/9/2018)

 

VPN OpenVPN

  • Support d'OpenVPN en mode client ou serveur
  • Support de différents modes serveurs
    • Peer to peer (SSL/TLS)
    • Peer to peer (Shared Key)
    • Remote access (SSL/TLS)
    • Remote access (User auth)
    • Remote access (SSL/TLS + User auth)
  • Gestion du mode device en TUN ou TAP (possibilité d'interface de niveau 2)
  • Gestion de TLS et auto-génération de clé TLS partagée
  • Accès à la PKI local (certificats serveurs et client)
  • Gestion de très nombreux algorithmes d'encryption (AES, BF-CBC, DES, …)
  • Gestion de l'accélération matériel
  • Gestion de paramètres avancés pour la définition de la topologie réseau et le routage
  • Gestion sur mesure du niveau de log
  • Gestion de la surcharge au niveau des options clients
  • Possibilité d'export des configurations OpenVPN sous forme de package - fourni un installer prêt à l'emploi pour intégrer les certificats dans Windows, export type Viscosity, et export sous forme de fichier au format ZIP avec tous les certificats utilisateur et les fichiers de configuration.

 

Gestion des utilisateurs

  • Gestionnaire d'utilisateurs centralisé
  • Gestion des droits d'accès des utilisateurs par page pour le GUI
  • Gestion de multiples langues
  • Administration du shell par défaut
  • Gestion de groupes et des privilèges associés
  • Gestion de certificats par utilisateur
  • Gestion des graines OTP (One Time Password)
  • Gestion des clés d'accès SSH
  • Gestion des clés d'accès IP-Sec
  • Quatre types d'authentification possibles : utilisateurs locaux avec OTP, LDAP, RADIUS, Voucher.
  • Page de diagnostique des authentifications.

 

Gestion de Certificats

  • Gestion des certificats à multiple niveau
    • Génération d'une autorité de certification auto-signée
    • Génération de certificats associés à la CA
    • Possibilité d'import de certificat de tierce partie
    • Système de révocation des certificats incorporé

 
Portail captif

  • Ajout des supports de type Voucher.
  • Capacité Multi-interface.
  • Restrictions au niveau de la bande passante au niveau MAC
  • Restriction de bande passante sur les IP autorisées
  • Règle Pass-through de niveau MAC auto ajouté -- après une authentification réussie, une règle pass-through niveau MAC peut-être automatiquement ajoutée.
     

Services Système

  • Service DHCPv4
    • Support des options avancées (contrôle par adresse MAC, option TFTP, …)
    • Support du Relay DHCP  
  • Service DHCPv6
  • NTP
  • Services DNS
    • DNSMasq (Relai DNS)
    • DynDNS
    • Unbound (cache DNS)

 

Services de détection d'intrusions

 

  • Basé sur Suricata
  • Support des règles standards
  • Jeux de règles supplémentaires (via les packages)
  • Règles sur mesure
  • Paramétrage temporaire de la mise à jour des règles

Services Proxy

  • Basé sur Squid
  • Filtrage en mode cache ou pass-through
  • Simplicité du déploiement des listes de filtrage externes
  • Simplicité du déploiement des règles externes
  • Possibilité de filtrer avec I-CAP
  • Serveur I-CAP en package
  • Simplicité de déploiement du filtrage anti-virus avec I-CAP