PFSense
Le tout en un historique fiable et performant
PFSense est une solution intégrant un firewall évolué, un proxy paramétrable et des fonctions VPN, le tout dans un environnement assisté et organisé.
Avec un module de plugins, ses fonctions peuvent être étendues facilement. Cet outil est une référence bien établie mais il vaut mieux avoir de solides compétences en réseau pour pouvoir le paramétrer convenablement.
DEFINITION
PFSense a été une sorte de Graal pendant des années : un outil fiable, performant, léger qui nous faisait gagner beaucoup de temps et qui reposait sur FreeBSD, moins courant que Linux et donc moins "sensibles" aux attaques. Aujourd’hui parfaitement mature, la solution PFSense continue à être disponible en téléchargement et également en mode "cloud" car on peut l’exploiter maintenant au travers des clouds AWS Amazon et Microsoft AZURE.
EN PRATIQUE
A notre niveau, nous n’avons qu’une pratique en mode "On premise", c’est à dire installé en interne sur un serveur (éventuellement virtualisé mais ca c’est un autre débat de virtualiser les firewalls ...).
PFSense repose sur FreeBSD, il faut donc faire attention à la prise en charge matérielle sur ce système d’exploitation. Soyez particulièrement vigilant sur les cartes RAID (les serveurs HP d’entrée de gamme ne pourront pas exploiter leurs fonctions RAID embarquées sur la carte mère) et les cartes réseau.
Fonctionnellement tout fonctionne, le firewall intègre l’agrégation des liens Internet, la gestion d’alias, la priorisation de flux, le stateful inspection. Le proxy peut être configuré en mode transparent, filtrant ou authentifié. Le VPN intègre plusieurs technos (dont notamment OpenVPN, L2TP et IPSec) qui permettront de répondre à quasiment tous les besoins.
CE QUE NOUS AVONS NOTE
PFSense intègre lors de son installation, la possibilité d’utiliser deux disques dur en parallèle. C’est très pratique pour voir une configuration de disques physiques redondants sans pour autant sortir l’artillerie lourde avec une carte RAID dédiée. Le système met tout seul en place un RAID1 en mode logiciel parfaitement géré par le système d’exploitation de PFSense et qui nous a pas semblé générer de ralentissements sensibles.
La fonction Backup/Restore est pratique car une fois configuré, il suffit de faire un backup de la configuration (qui se présente sous la forme d’un fichier XML) et en cas de problème, on ne cherche pas trop longtemps car une réinstallation / restauration de la conf sauvegardée est très rapide.
PFSense intègre une notion de packages que l’on peut ajouter au système. Cette fonction peut être très pratique pour intégrer une fonctionnalité non prévue nativement, mais elle pose parfois des problèmes lors des migrations de versions.
PFSense vient récemment de refondre l’interface en exploitant Bootstrap. Ca améliore grandement le ressenti utilisateurs tout en donnant une impression de déjà vu 1000 fois vu la surexploitation de Bootstrap dans les interfaces en ce moment.
La partie IDS/IPS n’est pas native. Elle se met en place en ajoutant le package SNORT au système.
La license BSD historique a été abandonnée pour passer sur une licence plus "commerciale" depuis 2014 : la licence ESF.
- Rédigé par :
- Mis en ligne : 10 août 2017
- Vues : 354
- Site Web : Site dédié
NOTRE CONCLUSION
PFSense est une très belle solution. Maintenant que son interface a été revue, cette notion est même applicable a son interface ! Le choix PFSense est un choix mature et sécurisant. A noter toutefois qu’on ressent une évolution dans la philosophie du produit qui semble se diriger vers une sorte de monétisation, à surveiller ...