Fonctionnalités

Interface utilisateur

  • HTTPS par défaut via le port 48443
  • Accès rapide au paramétrage via le Dashboard et widgets
  • Fonction Alertes Mail de type SMTP à configurer
  • Aide contextuelle disponible sur chaque page depuis l'interface web.

Interfaces Réseaux

  • 3 interfaces WAN/LAN de type Gigabit mais forcé en Ethernet pour compatibilité hardware
  • Fonction PPPoE XDSL/Fibre Optique
  • Mode Bridge LAN pour LAN+WIFI
  • Gestion de groupe d'Interfaces
  • Alias d'IP / IP virtuels
  • VLANs de type QinQ
  • Fonction gestion Gateway FailOver et Routes Statiques pour l'OpIOS multi-WAN
  • Toutes les interfaces sont optionnelles sauf le WAN
  • Toutes les interfaces peuvent être renommées, même LAN / WAN

Firewall

L’OpIOS utilise p0f, un utilitaire qui permet de filtrer de façon passive en fonction du type de Système d’Exploitation qui initie la connexion. Vous souhaitez autoriser les systèmes FreeBSD et Linux à accéder à l’Internet, mais bloquer les système Windows (ou l’inverse) ? L’OpIOS peut réaliser cela en filtrant de façon passive les Systèmes d’Exploitation utilisés.

Filtrage par source et destination au niveau des adresses IP, protocole IP, port source et destination des protocoles TCP et UDP. Capacité à limiter le nombre de connexion et à archiver les traces règle par règle.

Grande flexibilité dans les politiques de routage en sélectionnant la passerelle par défaut règle par règle (utile pour la répartition de charge, le failover ou le multi-WAN, etc.). Les Alias permettent de regrouper les règles et de nommer les adresses IPs, les réseaux et les ports. Cela aide à conserver les règles de votre firewall propres et simple à comprendre. Spécialement dans des environnements avec de multiples adresses IPs publics et de nombreux serveurs. Filtrage de niveau 2 transparent permettant de passer les interfaces en mode pont et de filtrer à ce niveau, éventuellement pour un firewall sans IPs (bien que vous souhaitiez probablement avoir une IP pour la gestion de votre firewall…).

Normalisation de paquets par le «Scrubbing est l’action de normaliser les paquets afin qu’il n’y ait pas d’ambiguité sur l’interprétation de la destination finale des paquets. La directive ‘scrub’ permet aussi de ré-assembler les paquets fragmentés, protégeant ainsi certains OS de certaines formes d’attaques. Elle supprime aussi les paquets TCP qui présentent des combinaisons incompatibles ».

  • Activé par défaut sur l’OpIOS
  • Peut-être désactivé en cas de nécessité par un appel au support. Cette option peut provoquer des problèmes sur certaines implémentations de NFS, mais doit normalement être laissé activé dans la plupart des cas.

Fonction de Traffic shaping OpIOS - supporte maintenant n'importe quelle combinaison d'interfaces multi-WAN et multi-LAN. Ajout d'un nouveau Wizard.

Filtrage de protocole de niveau 7.

Fonctionnalité EasyRule - qui permets d'ajouter des règles depuis l'écran de log et depuis la console. Règle flottante qui permet d'ajouter des règles indépendamment des interfaces.

Tables d'état qui se re-dimensionnent suivant la RAM disponible dans le système.

Les règles de programmation dans le temps sont effectuées au niveau de pf, permettant ainsi aux sessions existantes d'être déconnectées.

Vue résumée de l'état, le rapport montre les états groupés par IP d'origine, IP de destination, …

Table d’état

La table d’état du firewall maintien des informations sur les connexions réseau ouvertes. L’OpIOS est un firewall qui gère les états, par défaut toutes les règles prennent cela en compte. La plupart des firewalls ne disposent pas de fonctionnalités qui permettent de gérer de façon très précises ces tables d’état. L’OpIOS a de nombreuses fonctionnalités qui permettent un contrôle précis de ces tables d’état, notamment grâce aux capacités d’OpenBSD pf.

Table d’état ajustable - il y a de nombreux firewall OpIOS en production qui gèrent plusieurs centaines de milliers d’état. La table d’état par défaut à une taille de 20.000 entrées, mais elle peut être ajustée à la volée à la taille de votre choix. Chaque ‘état’ prends environ 1KB de RAM. Il ne faut donc pas fixer à une valeur arbitrairement trop haute. Règle par règle :

  • Limite les connexions simultanées d’un hôte
  • Limite le nombre d’état par hôte
  • Limite le nombre de nouvelle connexion par seconde
  • Définit un timeout en fonction des états
  • Définit un type d’état

Type d’état : l’OpIOS offre de multiples options pour la gestion des états.

  • Conserve l’état - fonctionne avec tous les protocoles. Activé par défaut pour toutes les règles.
  • Module l’état - ne fonctionne qu’avec le protocole TCP. L’OpIOS générera un Numéro de Séquence Initiale (ISN) forte agissant au nom de l’hôte.
  • Etat Synproxy - met les connexions TCP entrantes en proxy afin d’aider à protéger les serveurs des attaques de type TCP SYN. Cette option inclus les fonctionnalités de conservation d’état et de modulation exposées ci-dessus.
  • Aucune - ne conserve aucune information d’état pour ce trafic. Ceci est rarement utile, mais est mis à disposition car cela peut être utile dans certains cas très limités.

Optimisation du mode de Pare-feu pour les tables d’état - pf offre quatre options pour l’optimisation des tables d’état.

  • Normal - l’algorithme par défaut
  • Haute latence - utile pour les liens avec une grande latence tels que les liens satellites. Les connexions expirent plus tard que le normal.
  • Agressif - Expire les connexions plus rapidement que la normal. Permet d’optimiser les ressources hardware, mais peut couper de connexions légitimes.
  • Conservateur - Essai d’éviter de déconnecter les connexions légitimes avec en contrepartie une surexploitation de la mémoire et du CPU mais nécessaire pour la VoIP et le trafic SIP.

NAT (Translation d’adresses réseau)

Forwarding de ports incluant des plages et de multiples IPs publics NAT 1:1 pour des IPs individuelles ou des sous-réseaux entiers. NAT en sortie :

  • Les réglages par défaut NAT tout le trafic vers l’interface IP WAN. Dans le cas d’utilisation de multiple interfaces WAN, les réglages par défaut NAT le trafic sortant vers l’interface WAN qui est utilisée.
  • Les réglages avancés de NAT sortant permettent à ce comportement par défaut d’être désactivé et de créer des règles de NAT très flexibles (ou pas de règles NAT).
  • Dans certains cas un NAT réflexif peut être activé, cela permet à ce que des services IP disposant d’IP publiques soient accessibles depuis l'intérieur d’un réseau.

IPsec

  • Possibilité de multiples sous-réseaux via IPsec (Multiple IPsec phase2 par phase1)
  • Support d'IPsec xauth
  • Mode transport pour IPsec
  • Fonction IPsec NAT-T
  • ipsec-tools pour le débug

Gestion des utilisateurs

  • Gestionnaire d'utilisateurs qui centralise les différents écrans précédemment disponibles.
  • Types d'authentification : utilisateurs locaux.
  • Page de diagnostic des authentifications.

Gestion de Certificats

  • Gestion GUI de certificats pour gérer IPsec, les utilisateurs, et les certificats OpenVPN.

OpenVPN

  • Fonctionnalité de filtrage OpenVPN - un onglet avec les règles OpenVPN est disponible, donc l'interface OpenVPN n'a pas besoin d'être assignée pour permettre le filtrage.
  • Export des configurations OpenVPN prêt à l'emploi pour intégrer les certificats dans Windows, export type Viscosity, et export sous forme de fichier au format ZIP avec tous les certificats utilisateur et les fichiers de configuration.
  • Page d'état pour OpenVPN avec la liste des clients connectés – et la possibilité de “tuer” les connexions actives.
  • Authentification des utilisateurs et gestion des certificats.
  • opios/fonctionnalites/start.txt
  • Dernière modification: 2020/09/24 12:01
  • par adm