Découvrez les fonctionnalités de DynFi Firewall

Un pare-feu qui protège vos réseaux

Firewall à gestion d’état

DynFi Firewall est un pare-feu à gestion d’états. Le pare-feu est programmé pour distinguer les paquets légitimes pour différents types de connexions. Seuls les paquets qui correspondent à une connexion active connue seront autorisés par le pare-feu, les autres seront rejetés.

L’inspection d’état appelée aussi le filtrage dynamique est une fonctionnalité essentielle de la cybersécurité des réseaux d’entreprises.

DynFi Firewall dispose des fonctions avancées de filtrage suivantes :

  • Filtrage TCP et UDP

  • Filtrage de 130 protocoles IPv4

  • Filtrage par source et destination au niveau des adresses IP

  • Capacité à limiter le nombre de connexion règle par règle

  • Filtrage avancé :

    • Filtrage par Système d’exploitation avec p0f
    • Filtrage avec routage dynamique : à l’accroche d’un flux par une règle de firewall, celui-ci sera routé par la passerelle de votre choix
    • Filtrage avec définition de plage horaires
    • Marquage et identification des trames 802.1Q
    • Possibilité de contrôle avancé des états règle par règle

Multiples technologies VPN

DynFi implémente différentes technologies de VPN telles que IPsec, OpenVPN et ZeroTier et bientôt WireGuard.

IPsec

C’est la technologie phare des VPN, elle est implémentée dans la plupart des pare-feu quelle que soit leur marque.

DynFi Firewall supporte :

  • Les VPN IPsec site à site avec support du mode Tunnel ou du mode routé via Virtual Tunnel Interfaces (VTI)
  • Les VPN IPsec pour clients mobiles
  • Les VPN IPsec vers les clouds tels qu’Azure ou OVH par exemple

DynFi Firewall est compatible avec les clients VPN standards (iOS, Android, Mac OS X, Windows ou Linux) et avec le Client VPN certifié de la société Française The Green Bow.

OpenVPN

La technologie de VPN OpenVPN est disponible sur DynFi Firewall, aussi bien en tant que client VPN ou serveur.

OpenVPN utilise les technologies d’authentification OpenSSL afin de permettre à des clients partageant des clés de chiffrement d’établir un tunnel. De nombreuses améliorations permettent d’assurer des fonctions avancées d’authentification et de routage.

ZeroTier

ZeroTier est une technologie qui permet de créer des réseaux sécurisés site à site, dans le cloud, ou via des connexions mobiles distantes.

ZeroTier est une technologie SD-WAN qui permet d’unifier ses VPN, ses VLAN avec une seule solution unique. ZeroTier offre un accès Ethernet (couche 2) avec des capacités multipath, multicast et de bridge. ZeroTier offre une sécurité zero-trust avec un chiffrement de bout en bout en 256 bits.

ZeroTier est gratuit jusqu’à 50 nœuds et utilise une licence BSL

Wire Guard

Dans une version à venir DynFi Firewall implémentera WireGuard.

WireGuard® est un système de VPN extrêmement simple, rapide et moderne qui utilise des méthodes de chiffrement à la pointe des technologies.

WireGuard cherche à être plus rapide, plus simple et plus léger qu’IPsec. Il se veut considérablement plus performant qu’OpenVPN. WireGuard est conçu comme un VPN multi-fonction qui répond à la plupart des cas d’usage.

Les performances actuelles du module FreeBSD sont moyennes car le module n’est pas implémenté au niveau du noyau. Dès que le module pour le noyau FreeBSD sera disponible, il sera implémenté dans DynFi Firewall.

Prévention et détection d’intrusions

DynFi Firewall utilise Suricata en tant que moteur de détection et de prévention des menaces sur les réseaux (IDS / IPS).

Suricata est capable de détecter les intrusions en temps réel, de prévenir les intrusions en ligne (IPS) et de surveiller la sécurité des réseaux (NSM).

DynFi Firewall proposera dans le courant de l’année 2021 des nouvelles fonctions avancées de filtrage utilisant Suricata, notamment pour un filtrage avancé des flux HTTPS.

Fonction de proxy

DynFi Firewall utilise le proxy Squid qui est le Proxy le plus utilisé au monde.

Squid est un proxy cache pour le Web qui prend en charge les protocoles HTTP, HTTPS, FTP. Il permet une réduction de la bande passante utilisée et améliore les temps de réponse en mettant en cache et en réutilisant les pages web fréquemment demandées.

Afin de permettre un filtrage plus complet, DynFi Firewall utilise la librairie c-icap qui propose une implémentation d’un serveur ICAP. Utilisé avec Squid, cela permet de mettre en œuvre des services d’adaptation et de filtrage de contenu, notamment un filtrage anti-virus via Clamav-Clamd.

Squid dispose aussi de contrôles d’accès étendus.

Le logiciel est sous licence GNU GPL.

Fonction d’anti-virus

DynFi Firewall dispose de l’anti-virus Open Source ClamAV®.

Clamav peut être utilisé pour l’analyse du courrier électronique, l’analyse des flux web et la sécurité des points d’accès. Il fournit un certain nombre d’utilitaires, dont un démon multi-threads flexible et évolutif, un scanner en ligne de commande et un outil avancé pour la mise à jour automatique de ses bases de données de signature virales.

Portail captif avec gestion de coupon intégrée

Le portail captif implémenté dans DynFi Firewall permet de déployer simplement un portail captif et d’y associer une gestion d’authentification et une gestion de coupon.

Système d’analyse de trafic temps réel

DynFi Firewall dispose de plusieurs mécanismes différents d’analyse, de filtrage et de visualisation temps réel des logs.

Analyse des logs du pare-feu

Le système par défaut est basé sur une analyse des logs de packet filter (pf) et permet en temps réel de filtrer et d’afficher tout ou partie des logs. C’est un outil essentiel pour assurer le bon debug de vos règles sur un pare-feu en production.

Analyse des logs via NetFlow

NetFlow est un protocole puissant d’analyse des flux réseau qui est devenu un standard au fil des ans. Il offre un haut niveau de détail des flux et permet ainsi de comprendre ce qui se passe sur votre réseau en temps réel.

DynFi Firewall implémente ce protocole nativement et permet une visualisation du protocole depuis le firewall.
Il est aussi possible de renvoyer les flux vers un logiciel tel que Ntop pour une analyse approfondie des flux.

Fonction de gestion de bande passante

La gestion de la bande passante dans DynFi Firewall a été revue et simplifiée afin de la rendre facile à appréhender et rapide à déployer.

Il est donc possible dans le pare-feu :

  • De prioriser simplement certains flux au sein de votre firewall,
  • D’attribuer une bande passante fixe à un sous-réseau
  • De limiter la bande passante attribué à un ou plusieurs utilisateurs
  • De fixer une priorité par application

Fonctions réseau centrales : DNS, DHCP, NTP

Ces fonctions sont implémentées de façon très qualitative au sein du firewall et permettent ainsi de déployer les services avec un niveau de contrôle et une granularité unique.

Les DNS via DNSmasq

Dnsmasq est un serveur léger conçu pour fournir les services DNS à des réseaux de taille petite ou intermédiaire. Le logiciel est simple à intégrer et à administrer.

Les DNS avec Unbound

Unbound est un résolveur DNS validateur, cache, récursif plus puissant que DNSmasq, il permet de réaliser des opérations plus avancée au niveau de DNS, c’est une bonne alternative à DNSmasq.


Services de supervision

DynFi Firewall à choisi de ne conserver qu’un nombre limité de services de supervision au sein du Firewall. En effet, il nous semble qu’un firewall ne doit pas (pour des raisons évidentes de sécurité) se transformer en un outil de monitoring et de supervision.

C’est la raison pour laquelle nous avons souhaité favoriser les outils de supervision intégrés au pare-feu ou ceux extrêmement léger qui ne posent pas de problèmes de sécurité particuliers.

Intégration DynFi Manager

DynFi Manager c’est notre outil de gestion centralisée de firewall, compatible avec les firewalls pfSense® et OPNsense®.

Ce logiciel est gratuit jusqu’à trois firewalls supervisés et peut être déployé en quelques clics.
Il dispose d’une interface de supervision complète et permet de centraliser les informations sur l’ensemble de vos pare-feux sur une interface riche et très fonctionnelle.

Pour un aperçu des fonctionnalités de DynfiManager, suivez ce lien.

Monit

Monit est un petit utilitaire Open Source pour la gestion et la surveillance des systèmes BSD et Linux. Il est utilisé au sein de DynFi Firewall en tant qu’outil d’alerte système. Couplé à n’importe quel compte e-mail monit permet de recevoir les alertes systèmes essentielles par courriel.

SMART

L’outil SMART propose un système de surveillance automatique du disque dur de votre appliance. Il permet de faire un diagnostic selon plusieurs indicateurs de fiabilité dans le but d’anticiper les erreurs sur le disque dur.

Support de nombreux type d’interfaces

L’objet principal d’un firewall est de devenir un outil complet de contrôle et de gestion de votre réseau. Avec DynFi Firewall, vous disposerez d’un pare-feu complet qui offre un accès à de nombreuses interfaces standards.

VLAN / 802.1Q

Les interfaces VLANs sont supportées sur DynFi Firewall.

Bridge

Les interfaces bridge sont supportées sur DynFi Firewall.

VXLAN

Les interfaces VXLAN

Le VXLAN (Virtual Extensible LAN) est une technologie de virtualisation réseau qui vise à résoudre des problèmes d’évolutivité associés au déploiement du Cloud-Computing. Il utilise une technique d’encapsulation proche du VLAN et permet d’encapsuler des trames Ethernet de couche 2 OSI dans des datagrammes UDP de couche 4.

VXLAN Permettra à votre DynFi Firewall de structurer un réseau vers un hyperviseur ou un switch situé dans un Cloud, un Data-Center ou un réseau distant, tout en préservant un lien de niveau 2 entre les deux parties du réseau.

LAGG

L’agrégation de liens 802.3ad est supporté dans DynFi Firewall.

GIF et GRE

DynFi Firewall supporte les deux types d’interfaces : GIF et GRE.

Ces deux protocoles se proposent d’encapsuler le trafic entre deux hôtes sans chiffrement. En plus d’encapsuler directement IPv4 ou IPv6, GIF peut être utilisé pour encapsuler IPv6 sur des réseaux IPv4 et vice versa. Les tunnels GIF sont couramment utilisés pour obtenir une connectivité IPv6 avec un courtier IPv6 tel que Hurricane Electric, ceci dans les endroits où la connectivité IPv6 n’est pas disponible.

PPP

DynFi Firewall permet d’utiliser PPP - Point to Point Protocol afin de déployer un modem ou tout autre équipement nécessitant l’utilisation de ce type de protocole.

Point-to-Point Protocol (PPP, protocole point à point) est un protocole de transmission pour internet, décrit par le standard RFC 1661, fortement basé sur HDLC, qui permet d’établir une connexion entre deux hôtes sur une liaison point à point. Il fait partie de la couche liaison de données (couche 2) du modèle OSI.

Interface WiFi 802.11

Il est enfin possible d’implementer des réseaux WiFi avec DynFi Firewall en se basant sur les protocoles supportés WiFi supportés par FreeBSD.

Le protocole 802.11 avec les normes B, G, A, N et bientôt AC sont supportés sur nos pare-feux.


DynFi Firewall & Manager : rapidité d’intégration

Une interface revisitée

L’interface de DynFi Firewall offre un accès rapide à de nombreuses fonctions du firewall. L’accès aux logs a été entièrement repensé afin d’offrir une logique aboutie et systématisée à travers tous les menus et sous-menus du pare-feu.

Les menus gagnent en clarté avec une iconographie meilleure et mieux adapté aux besoins des administrateurs système.

DynFi Manager : en trois clics !

L’intégration de votre pare-feu DynFi Firewall à notre gestionnaire centralisé de pare-feu DynFi Manager n’a jamais été aussi simple.

Grâce au gestionnaire de connexion, tous vos DynFi Firewall seront interconnectés au Manager pour une gestion centralisée rapide et efficace.