Conseil et Systèmes d'Information

• Accueil

• pfSense
• Conseil & Audit
• Administration
  Unix & Réseau
• Sécurité informatique
  & DNS
• Serveurs de mail
• Hébergement
• Formation & Enseignement


• Expertise internationale
• Exemple de réalisations
• Documentations & How to
• 
  

Informations complémentaires

ToDoo est une SARL qui a été créé par Grégory Bernard en Octobre 2001, à la suite du rachat des actifs et de la clientèle de la société Groupe Multimédia.

Informations in English

Available here.

Nos coordonnées

ToDoo
37, rue de Longchamp
75116 Paris

Tél : +33 9 54 56 82 02
info@todoo.biz


©ToDoo.biz 2004-2011
Reproduction Interdite

Les solutions de firewalling OpenSource

La société ToDoo travaille depuis plusieurs années sur l'étude de solutions de filtrage de flux Internet basées sur des logiciels OpenSource. Nos travaux nous ont conduit à étudier plus particulièrement le projet pfSense. Cette solution offre des avantages important en terme de filtrage des flux Internet et peut permettre de répondre efficacement à la plupart des problèmes de sécurité et de filtrage des flux Internet.

La société ToDoo est l'éditeur et le propriétaire du site www.osnet.eu qui commercialise des appliances OpenSource basées sur l'IOS pfSense. Ce site comporte de nombreux guides d'utilisation qui vous aiderons à configurer pfSense.

La solution pfSense : présentation générale

pfSense est une appliance dérivée de FreeBSD. pfSense propose un système pré-configuré qui est simple à déployer et fonctionnera immédiatement dès sa mise en œuvre.

Les fonctionnalités principales de pfSense sont les suivantes :

• Simplicité de l’activation / désactivation des modules de filtrage.
• Système tès robuste basée sur un noyau FreeBSD
• Une interface HTML qui permet le paramétrage du firewall.
• Un module intégré de log.
• Des fonctionnalités réseaux avancées.
• Des packages qui permettent d'étendre les fonctionnaliés du syètème.

Interfaces

• tunnels GRE
• tunnels gif
• Support de la 3G (je ne sais pas ce que cela signifiera précisément)
• modem distant
• Interfaces LAAG
• Gestion de groupe d'Interfaces
• Alias d'IP / IP virtuels
• VLANs de type QinQ
• Amélioration de la fonction Gateway pour le multi-WAN
• Possibilité d'utiliser Block Private Networks / Block Bogon Networks sur n'importe quelle interface
• Toutes les interfaces sont optionnelles sauf le WAN (cela va simplifier pas mal de choses)
• Toutes les interfaces peuvent etre renommées, même LAN / WAN
• Amélioration du mode passerelle - possibilité de contrôler toutes les options de if_bridge, et assigner des interfaces de type bridge

Interface utilisateur

• HTTPS par défaut avec une redirection systématique de HTTP sur HTTPS
• Ajout de Dashboard et de widgets
• L'écran System > Advanced a été divisé en multiple sous-sections (tab) avec de nombreuses options disponibles.
• Alertes de type SMTP et growl.
• Nouveaux thèmes produits par la communauté
• Aide contextuelle disponible sur chaque page depuis l'interface web.

Les Alias

• Les alias peuvent être encapsulés (des alias dans des alias.
• L'auto complétion des alias n'est plus sensible à la casse.
• Possibilité de fixer des plage d'IP dans les alias.
• Plus d'entrées au niveau des alias.
• Import d'Alias en bloc.
• Alias d'URL.
• Table d'alias d'URL - utilise une table de type pf persist pour les très grande listes (+ de 40,000).

Firewall

• Fonction de Traffic shaping ré-écrite - supporte maintenant n'importe quelle combinaison d'interfaces multi-WAN et multi-LAN. Ajout d'un nouveau Wizard.
• Filtrage de protocole de niveau 7.
• Fonctionnalité EasyRule - qui permets d'ajouter des règles depuis l'écran de log et depuis la console (super !!).
• Règle flotante qui permet d'ajouter des règles indépendemment des interfaces.
• Tables d'état qui se re-dimensionnent suivant la RAM disponible dans le système (pas mal du tout !).
• Plus de règles avancés de firewalling disponibles.
• Mode FTP helper maintenant au niveau du noyau.
• Proxy TFTP.
• Les règles de temporisation (Scheduled) sont maintenant effectuées au niveau de pf, les sessions existantes peuvent donc être déconnectées.
• Vue résumée de l'état, le rapport montre les états groupés par IP d'origine, IP de destin.

IPsec

• Possibilité de multiple sous-réseaux via IPsec (Multiple IPsec p2's per p1)
• Support d'IPsec xauth
• Ajout d'un mode transport pour IPsec
• Fonction IPsec NAT-T
• ipsec-tools passe en version 0.8

Gestion des utilisateurs

• Nouveau gestionnaire d'utilisateurs qui centralise les différents écrans précédemment disponibles.
• Gestion des droits d'accès des utilisateurs par page pour les utilisateurs administrateurs.
• Trois types d'authentification possibles : utilisateurs locaux, LDAP et RADIUS.
• Page de diagnostique des authentifications.

Gestion de Certificats

• Ajout d'une fonctionnalité de gestion de certificats pour gérer IPsec, l'interface web, les utilisateurs, et les certificats OpenVPN (trsè cool !). OpenVPN
• Fonctionnalité de filtrage OpenVPN - un onglet avec les règles OpenVPN est disponible, donc l'interface OpenVPN n'a pas besoin d'être assignée pour permettre le filtrage (merci !).
• Possibilité d'export des configurations OpenVPN sous forme de package - fourni un installer prêt à l'emploi pour intégré les certificats dans Windows, export type Viscosity, et export sous forme de fichier au format ZIP avec tous les certificats utilisateur et les fichiers de configuration (top !).
• Page d'état pour OpenVPN avec la liste des clients connectés -- et la possibilité de "tuer" les connexions actives.
• Authentification des utilisateurs et gestion des certificats.
• Support de l'authentification RADIUS et LDAP.

Portail captif

• Ajout des supports de type Voucher.
• Capacité Multi-interface.
• Restrictions au niveau de la bande passante au niveau MAC
• Restriction de bande passante sur les IP autorisées
• Règle Pass-through de niveau MAC auto ajouté -- après une authentification réussie, une règle pass-through niveau MAC peut-être automatiquement ajoutée.

Sans-fils (Wi-Fi)

• Support des AP virtuels (VAP).
• Plus de cartes WLAN supprotés suivant la version FreeBSD RELENG_8 (8.1).

Load balancing niveau serveur

• Fonction relayd et ses fonctionnalités avancées remplacées par slbd.

Autres

• Possibilité de faire du VPN avec L2TP
• Page de recherche DNS ajoutée
• PFTop et Top intégrés dans l'interface utilisateur - mise à jour temps réel.
• La fonctionnalité d'historique de config incorpore maintenant une fonction diff.
• La fonctionnalité d'historique de config a une fonction téléchargement pour les versions précédentes.
• La fonctionnalité d'historique de config à une fonctionnalité de survol de zone (mouseover) pour les descriptions.
• Fonctionalité de parse de log (/usr/local/bin/filterparser)
• Passage à PHP 5
• Ajout d'un proxy IGMP
• Support de Multiple comptes Dynamic DNS, y compris un support complet pour le multi-WAN et multi-comptes sur chaque interface.