pfsense

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
PfSense
Logo
PfSense v1.2.3
PfSense v1.2.3

Famille FreeBSD
Plates-formes Intel x86, Intel x64
Entreprise /
Développeur
Chris Buechler et Scott Ullrich
Dernière version stable 2.2.2 (15/04/2015)
Site web http://www.pfsense.org/

pfSense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. A l'origine d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels propriétaires. pfSense convient pour la sécurisation d'un réseau domestique ou de petite entreprise.

Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à distance depuis l'interface web et gère nativement les VLAN (802.1q).

Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP[1]...

Hardware[modifier | modifier le code]

pfSense peut fonctionner sur du matériel de serveur ou domestique, sur des solutions embarquées, sans toutefois demander beaucoup de ressources ni de matériel puissant.

La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être supportées à l'avenir[2].

Configuration requise[modifier | modifier le code]

Configuration minimale Configuration recommandée
Processeur 500 Mhz 1 Ghz
Mémoire vive 256 Mo 1 Go
Stockage > 1 Go

NAT et processeur[3][modifier | modifier le code]

Dans le cas du NAT ou tout le réseau privé se partage une unique adresse IPv4 publique, la puissance du processeur est négligeable pour des débits de l'ordre de 10/100 Mbit/s, comme dans le cas de l'ADSL ou la bande passante n'excède pas 20Mbit/s dans les meilleures conditions. Un processeur cadencé à 1Ghz ou moins suffit amplement.

Cependant, pour obtenir du 1Gbit/s avec la fibre optique, il faut un processeur plus puissant, de préférence multi-cœur d'au moins 2Ghz ou plus.

Cartes réseaux[modifier | modifier le code]

pfSense supporte la majorité des cartes réseaux, mais il est préférable d'avoir des cartes réseaux Intel pour optimiser les performances. La liste de compatibilité matérielle actuelle (BSD 10.1) se trouve ici[4] A noter que certains modèles de cartes réseaux ne supportent pas toutes les VLANs (802.11q).

Certaines cartes réseaux sans fil sont supportées, mais tous les modes de fonctionnement ne sont pas disponibles pour chacune d'entre elles. Le site officiel propose une liste de cartes recommandées.

Déclinaisons de pfSense[modifier | modifier le code]

Pfsense peut être téléchargé en différentes versions selon le type d'utilisation et d'installation (avec un moniteur et un clavier, ou par liaison série) :

  • "Live CD with Installer", pour pouvoir l'installer vers le disque dur depuis un CD d'installation classique.
  • "Live CD with Installer (on USB Memstick)", adapté pour une installation depuis une clé USB.
  • "Embedded" Ce type d'installation est typiquement utilisé sur les systèmes embarqués où par manque de place, pfSense est installé directement sur une carte mémoire ou sur une clé USB, sans recourir à un disque dur. Cette version fonctionne spécialement sous NanoBSD pour réduire les accès à la carte mémoire afin de ne pas l'endommager.

Version Embedded avec une clé USB[modifier | modifier le code]

Le démarrage de pfSense est possible avec une clé USB, mais cela nécessite un délai supplémentaire pour charger correctement les pilotes[5],[6].

Pour un usage quotidien avec une clé USB, il faut modifier dans /boot/loader.conf.local (depuis l'interface web : Diagnostics > Edit file)

kern.cam.boot_delay="10000"

IPv6[modifier | modifier le code]

Le support IPv6 est présent[7], mais il est nécessaire d'avoir un fournisseur d'accès Internet supportant l'IPv6 ce qui est encore peu commun pour les opérateurs grand public, mais qui tend à se développer[8].

Historique[modifier | modifier le code]

Le projet pfsense, est basé sur un fork de m0n0wall réalisé en 2004 par Chris Buechler et Scott Ullrich[9].

La version 1.0 a été lancée le 4 octobre 2006[10].

La version 2.0 finale est arrivée fin décembre 2011.

Fonctionnalités[modifier | modifier le code]

  • Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP
    • Capable de limiter les connexions simultanées sur une base de règle
    • pfSense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d'exploitation qui initie la connexion.
    • Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
    • Politique très souple de routage possible en sélectionnant une passerelle sur une base par règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
    • Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux serveurs.
    • Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont filtrant.
    • La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans l'interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets fragmentés, protège les systèmes d'exploitation de certaines formes d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.

Activé dans pfSense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque des problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activé sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre de pare-feu si vous souhaitez configurer pfSense comme un routeur pur.

Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN Multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT réflexion : dans certaines configurations, NAT réflection est possible si les services sont accessibles par IP publique à partir de réseaux internes.

  • Basculement base sur CARP et pfsync

Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour faire de la répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense

  • pfsync assure la table d'état du pare-feu est répliquée sur tous les pare-feu configurés de basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas d'échec, ce qui est important pour prévenir les perturbations du réseau.
  • Load Balancing/ Répartition de charge :

La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la passerelle souhaitée ou le groupe d'équilibrage local.

  • VPN

pfSense offre quatre options de connectivité VPN: IPSec, OpenVPN, PPTP et L2TP.

  • RRD Graphiques

Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuelle pour toutes les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle (s) de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec lissage du trafic activée.

  • Dynamic DNS

Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS dnsExit DYNS easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit

  • Captive Portal

Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès au réseau. Ceci est communément utilisé sur les réseaux de points chauds, mais est également largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur l'accès sans fil ou Internet. Ce qui suit est une liste des fonctionnalités du portail captif de pfSense.

Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients établissant des connexions réseau à plusieurs reprises sans authentification.

Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.

Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes.

Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion.

redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs peuvent être redirigés vers l'URL définie.

Filtrage MAC - Par défaut, les filtres pfSense en utilisent des adresses MAC. Si vous avez un sous-réseau derrière un routeur sur une interface compatible de portail captif, chaque machine derrière le routeur sera autorisé après qu'un utilisateur est autorisé. Le filtrage MAC peut être désactivée pour ces scénarios.

Les options d'authentification - Il ya trois options d'authentification disponibles : Aucune authentification - Cela signifie que l'utilisateur verra s'afficher votre page de portail sans avoir à entrer d'information d'identification. Gestionnaire d'utilisateur local - Une base de données d'utilisateur local peut être configurée et utilisée pour l'authentification. Authentification RADIUS - Méthode d'authentification lorsque la base de données d'utilisateur est déportée sur un serveur. La négociation entre Pfsense et le serveur utilisera la norme RADIUS.

Ré-authentification forcée - Possibilité de demander à forcer une ré-authentification. authentification MAC RADIUS - Permet au portail captif d'utiliser l'adresse MAC du client pour l'authentification à un serveur RADIUS au lieu du login. HTTP ou HTTPS - La page du portail peuvent être configurés pour utiliser le protocole HTTP ou HTTPS. Pass-Through adresses MAC et IP - adresses MAC et IP peuvent être white-listés pour contourner le portail. Toutes les machines s'authentifiant avec les adresses MAC et IP listées seront autorisées sans avoir besoin de passer par le portail captif. Vous pouvez exclure certaines machines pour d'autres raisons. Gestionnaire de fichiers - Ceci vous permet de télécharger des images pour les utiliser dans vos pages du portail.

  • Serveur DHCP et relais

pfSense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP

Références[modifier | modifier le code]

  1. « Packages - PFSenseDocs », sur doc.pfsense.org (consulté le 3 juin 2015)
  2. « Does pfSense support non-x86 hardware platforms - PFSenseDocs », sur doc.pfsense.org (consulté le 3 juin 2015)
  3. « Hardware Requirements and Appliances for pfSense », sur www.pfsense.org (consulté le 3 juin 2015)
  4. La version de BSD est susceptible d'évoluer pour les nouvelles versions de pfSense, il faudra changer le lien en conséquence.
  5. « Boot Troubleshooting - PFSenseDocs », sur doc.pfsense.org (consulté le 3 juin 2015)
  6. « Astuce post installation PfSense sur clé USB » (consulté le 3 juin 2015)
  7. « Is there IPv6 support available - PFSenseDocs », sur doc.pfsense.org (consulté le 3 juin 2015)
  8. « IPv6 : Orange commencera ses tests en 2015 » (consulté le 3 juin 2015)
  9. (en) « pfSense Open Source Firewall Distribution - History »
  10. (en) Scott Ullrich, « 1.0-RELEASED! », pfSense Digest,‎ october 13th, 2006

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Lien externe[modifier | modifier le code]