DynFi Firewall, le premier parefeu Open Source français

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud et tisaac. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
4
12
nov.
2021
Sécurité

DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.

DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.

Origine du projet

DynFi Firewall est un fork de OPNsense, qui a revisité tous les mécanismes de compilation grâce à l'utilisation de poudriere et d'une base FreeBSD 13.
L’accès au code source du pare-feu nous distingue de la plupart de nos concurrents, c’est un point essentiel qui permet de garantir l’absence de portes dérobées ou de logiciel malveillant sur nos pare-feu. Cette stratégie de transparence favorise l’adoption généralisée du pare-feu par les utilisateurs qui peuvent le télécharger et l’installer gratuitement.
Dans la ligné de nos prédécesseurs, nous avons publié notre code source sous licence BSD deux clauses.

Un mécanisme de compilation original et moderne

Pour les experts, nous proposons aussi un article qui détaille comment compiler le code source du pare-feu afin d'obtenir votre propre image d'installation de DynFi Firewall.
« Nous sommes très fiers de la mise au point de ce nouveau pare-feu qui offre une alternative aux firewalls Open Source Américain leader pfSense®, il permettra aux entreprises de protéger efficacement leurs réseaux tout en réalisant un grand pas vers la souveraineté numérique française et européenne. Trois années de travail avec une équipe de quatre ingénieurs ont été nécessaires pour parvenir à ce résultat ! » , @gregober, le boss de DynFi.

Des fonctionnalités au rendez-vous

Issu de la lignée des firewalls dérivés de FreeBSD tels que pfSense®, OPNsense®, mais aussi Stormshield®, DynFi Firewall peut être installé sur n’importe quelle appliance i386 ou amd64.

Une documentation originale en français

Pendant le premier confinement, les équipes de DynFi ont travaillé à la publication de la première documentation en français sur les pare-feu Open Source. C'est un travail de traduction et de compilation important qui n'est pas complet et pour lequel la communauté Open Source est la bienvenue pour apporter son support!

Capture d'écran DynFi Firewall

Disponible gratuitement, DynFi Firewall se télécharge à partir d’une image disque (retour série ou VGA) et s’installe sur la plupart des appliances du marché ou de façon virtualisée. Il est compatible avec le gestionnaire centralisé DynFi Manager qui simplifie la vie des administrateurs en permettant une gestion en nombre des pare-feux.

De nombreuses fonctionnalités

DynFi Firewall propose de très nombreuses fonctionnalités de filtrage réseau :

  • Firewall à gestion d’état
  • Détection et Prévention des intrusions
  • VPN: IPSec / Open VPN
  • Proxy
  • Reverse Proxy
  • Multi-WAN
  • Déploiement en cluster
  • Anti-virus
  • Traffic shaper
  • Support d’IPv6
  • Intégration à DynFi Manager

Un catalogue d'appliances

Pour financer le projet, la société DynFi propose un catalogue d'appliances avec DynFi Firewall pré-installé. cela répond aux besoins des PME, ETI ou des Grands Groupes et permet d’accélérer le déploiement de politique de cybersécurité unifiée dans l’entreprise.
DynFi® Firewall a été développé par la société DynFi depuis trois ans avec le soutien de la BPI, de RECIA (Région Centre Interactive) et de Systematic Paris Région.

Capture d'écran de DynFi Firewall

Capture d'écran DynFi Firewall

Aller plus loin

  • # Equipe et plus

    Posté par  . Évalué à 3 (+2/-0).

    L'équipe d'OSNet était bien sympathique à l'époque, j'ai fait une formation là bas sur pfSense sur 2 jours. C'était aussi le tout début de DynFi :D

    Si on pouvait espérer avoir aussi des appliances matériel de type OPNSense, DEC840 et autres ce serait top !

    de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

    • [^] # Re: Equipe et plus

      Posté par  . Évalué à 2 (+2/-0).

      Nous allons tout faire pour essayer d'avoir des utilisateurs heureux !
      Des contributeurs sympas et un projet ambitieux.

      N'hésitez pas à nous remonter vos envies.

  • # Roadmap et différences

    Posté par  . Évalué à 7 (+6/-0).

    Utilisateur de PfSense et OPNSense depuis un moment, le projet semble intéressant. Ce qui me manque, c'est les différences entre OPNSense et DynFi, du point de vue utilisateur (quelles fonctionnalités ont été ajoutées / supprimées). Et est-ce qu'il y a une roadmap définie ?

    • [^] # Re: Roadmap et différences

      Posté par  . Évalué à 0 (+2/-2).

      Cela n'est pas une "plaquette publicitaire", sauf à considérer que trois années de développement avec une équipe de quatre développeurs puisse l'être. Tout a été Open Sourcé sous licence FreeBSD.

      Vous pouvez regarder sur GitHub les différentes contributions et projet qui constituent notre fork.

      Concernant la roadmap, celle-ci n'est pas 100% définie à ce stade.
      Nous avons des grands projets comme l'intégration d'un filtrage L7 sur lesquels nous souhaitons orienter nos développements.

      Cela va pas mal dépendre des retours que nous aurons de la part des utilisateurs.

      • [^] # Re: Roadmap et différences

        Posté par  . Évalué à 10 (+9/-0). Dernière modification le 15/11/21 à 15:37.

        Vous pouvez regarder sur GitHub les différentes contributions et projet qui constituent notre fork.

        On peut mais tu te doutes bien que personne ne va aller éplucher les 266306 commits de FreeBSD-base et les 12888 commits de opnsense-core. C'est vous qui avez travaillé sur le projet, c'est vous qui connaissez les particularités.

        C'est bien pour ça qu'il est demandé qu'elles sont les différences entre le projet original et votre fork.

        Personnellement je trouve ça complètement lunaire de proposer un fork sans mettre en avant la valeur ajoutée de celui-ci par rapport à l'original (à part le "français" avec des screenshots en anglais…).

        Je ne sais pas si c'est un problème de communication ou s'il y a vraiment une volonté de ne pas communiquer sur votre valeur ajoutée mais je crains que dans un cas ou dans l'autre, ça vous desserve.

        La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

      • [^] # Re: Roadmap et différences

        Posté par  (site Web personnel) . Évalué à 8 (+7/-1).

        Concernant la roadmap, celle-ci n'est pas 100% définie à ce stade

        la feuille de route, c'est pas le truc qui est défini au début du voyage ?! o_O

  • # ça fait un peu pub?

    Posté par  . Évalué à 10 (+11/-1).

    Ca ressemble à une plaquette publicitaire un peu, non?

    Après, j'aime bien le côté libre, et tout et tout, mais c'est très orienté marketing?

    Issu de la lignée des firewalls dérivés de FreeBSD tels que pfSense®, OPNsense®, mais aussi Stormshield®

    Alors stomrshield c'est une base freeBSD, oui, mais tout le reste est du code privateur il me semble, non?

    • [^] # Re: ça fait un peu pub?

      Posté par  . Évalué à 4 (+4/-0).

      Ca ne ressemble pas qu'à une plaquette publicitaire malheureusement.

      J'ai essayer de l'installer en test sur mon serveur ESX en pensant remplacer mon Pfsense à partir de l'image ISO DynFi 0.99 fournit par le site.

      Résultat :
      - Doc française écrite avec les pieds => Beaucoup de faute mais effort louable. Cherche toujours la doc en anglais sur le site
      - DOC =>
      + Complétement décalé avec ce que fournit l'ISO sur les étapes d'installation
      - Installation dans une VM =>
      + Après plusieurs réinstallation, Suis toujours en train de chercher le menu d'installation.
      + Sensé y avoir un login password, la version iso ne demande que le login.
      + Semble n'avoir installé que le BSD => Suis toujours en train de chercher ou a installer les packages.

      Résultat de l'essai => Poubelle direct et retour sue Pfsense qui lui a le mérite de fonctionner direct

      • [^] # Re: ça fait un peu pub?

        Posté par  . Évalué à -4 (+7/-11).

        Mais dis-moi, tu as compté le nombre de fautes dans ton message ?

      • [^] # Re: ça fait un peu pub?

        Posté par  . Évalué à 4 (+4/-0).

        Pardon pardon, nous avons été un peu vite et la documentation qui a été faite pendant le premier confinement ne contient pas des images à jour de l'installer.

        Nous avons publié une release qui corrige le bug d'installation constaté.
        Super désolé, on a merdouillé, mais c'est corrigé.

        https://dynfi.com/telecharger/dynfi-firewall/

        Je sais pour la lancement officiel on aurait dû vérifier un peu mieux ce que l'on publiait, mais on était concentré sur des problématique de haut niveau quand l'installer était cassé.

        Bon c'est fix.
        J'espère que l'on parviendra à se faire pardonner en obtenant une seconde tentative.

        Et effectivement, nous comprenons bien le résultat de l'essai => poubelle direct.
        C'était la bonne destination pour cette image.

        • [^] # Re: ça fait un peu pub?

          Posté par  . Évalué à 2 (+2/-0).

          Pas de souci, cela arrive bien que ce soit frustrant et oui j'ai laissé une seconde chance à DynFi.

          Effectivement, l'ISO mis à jour est désormais fonctionnel et on peut enfin le configurer et utiliser.

          J'apprécie particulièrement l'interface qui est très clair et intuitive pour moi => En tout cas, plus intuitive et rapide que celle de pfsense quand on veut effectuer une action.

          En attente de la V1.

  • # Traduction d'OpenOffice

    Posté par  (site Web personnel) . Évalué à 10 (+8/-0).

    DynFi Firewall, le premier parefeu Open Source français

    ou plutôt "la version traduite en francais de OPNSense".

    L'affirmation ci-dessus aurait un sens si DynFi n'utilisait pas le parefeu "pf", le reste n'étant qu'une interface évoluée de configuration de "pf" et du système FreeBSD… qui n'ont rien de français.

    Bref… demain je traduis TensorFlow et l'autoproclame la première plateforme d'apprentissage automatique?

    • [^] # Re: Traduction d'OpenOffice

      Posté par  . Évalué à 0 (+4/-4). Dernière modification le 15/11/21 à 14:53.

      Encore une fois, prenez le temps de regarder les milliers de lignes de code qui distinguent notre projet de celui d'OPNsense.

      La traduction de l'interface graphique à 100% n'est qu'une des partie des travaux que nous avons effectués.

      https://github.com/DynFi

      Nous sommes par exemple entrain de produire une documentation en Français qui se trouve ici et à laquelle je vous invite à contribuer.

      C'est incomplet, ce n'est pas parfait, mais cela représente tout de même plusieurs milliers d'heure de travail.

  • # Ce que tout le monde veut savoir...

    Posté par  . Évalué à 10 (+23/-0).

    …c'est qu'en est-il de l'intégration avec libreoffice?

  • # Liens cassés sur le site DynFI

    Posté par  . Évalué à 4 (+3/-0).

    En visitant le catalogue j'ai voulu télécharger un fichier PDF pour avoir les specs techniques d'un appareil et je suis tombé sur un lien mort vers le domaine www-test.dynfi.lan.
    J'ai pas tout vérifié mais j'en ai trouvé 3 des comme ça. Ça ressemble à une mise en prod pas vraiment terminée :)

  • # dynfi-manager

    Posté par  . Évalué à 2 (+2/-0). Dernière modification le 12/11/21 à 16:53.

    Un truc qui me semble vraiment cool dans ce projet, c'est le dynfi-manager:

    DynFi® Manager : le seul gestionnaire centralisé pour firewalls Open Source.
    Il est compatible avec les pare-feux pfSense®, OPNSense® et avec notre propre système de pare-feu DynFi Firewall.

    A ma connaissance, il n'existe pas d'équivalent avec PFSense et OPNSense, non?

  • # Quelles sont les diffrences avec OPNSense ?

    Posté par  . Évalué à 8 (+6/-0). Dernière modification le 12/11/21 à 17:05.

    Donc si j'ai bien compris, en gros c'est un OPNSense avec une UI traduite en français, qui est build avec poudrière (c'est pas le cas d'OPNSense ?) et qui utilise le kernel FreeBSD au lieu de celui d'OPNSense (basé sur celui d'hardened BSD si je me souviens bien) ?

    Dans les screenshots, outre revoir l'UI d'OPNSense (en anglais, c'est un peu balot lorsqu'on veut vendre un produit en français) avec une charte graphique différente, j'ai noté dans le menu la présence de "DynFi Connection Agent", qu'est-ce que c'est ?

    De même, dans les fonctionnalités, outre celles déjà présentes dans OPNSense et PfSense, ou des éléments tout simplement standard au 21ème siècle (tel que le firewall à gestion d’état, ça existe encore des firewall réseaux qui soient stateless ?), on y trouve "Intégration à DynFi Manager" : qu'est-ce que c'est ?

    Petite question bonus, sur la partie VPN : est-ce que la gestion des VPN IPSec IKEv2 a été améliorée ? Est-ce que l'auth EAP a été ajoutée pour ces tunnels ? J'en ai quelques uns qu'actuellement je dois gérer en cli à cause des limitations de l'UI.

    EDIT : au niveau des appliances je vois des PCEngines qui peuvent avoir un débit max théoriques de 800 Mbps : je suppose que la bande passante est la raison principale de l'utilisation du kernel FreeBSD au lien de celui d'OPNSense ?

    Emacs le fait depuis 30 ans.

    • [^] # Re: Quelles sont les diffrences avec OPNSense ?

      Posté par  . Évalué à 1 (+3/-2).

      L'analyse est assez bonne.

      A priori nos packages proviennent de la version 13 de FreeBSD, donc si certaines améliorations ont été apporté aux packages dans la version 13 de FreeBSD, ils le seront dans notre version.

      Nous avons souhaité démarrer par l'installer et le build.

      Rome ne s'est pas construit en un jour, ni notre projet !

      • [^] # Re: Quelles sont les diffrences avec OPNSense ?

        Posté par  (site Web personnel) . Évalué à 0 (+2/-2).

        A priori nos packages proviennent de la version 13 de FreeBSD

        Ça sent la confiance… Pour un parefeu, ça laisse songeur…

      • [^] # Re: Quelles sont les diffrences avec OPNSense ?

        Posté par  . Évalué à 5 (+3/-0).

        Mouais, pas très convaincant sans aucune réponses aux questions. Je vois toujours pas l'intérêt par rapport à un OPNSense du coup, autre que la bande passante (mais dans ce cas, autant remplacer le kernel soit-même ou aller sur un PfSense …).

        J'ai jeté un coup d'oeil à la doc du fw, l'explication du pourquoi du comment du kernel ressemble plus à une justification qu'à un raisonnement technique :

        Dans ces conditions, il nous semblé préférable de suivre la politique de sécurité de FreeBSD, d’activer les nombreux mécanismes de sécurité préexistants au sein de FreeBSD et de bénéficier des contributions des centaines de développeurs qui participent à la mise au point et à l’amélioration du Kernel FreeBSD.

        Le kernel d'HardenedBSD bénéficie également de tout ces développements. Ce n'est pas juste un kernel maintenu par 2 gus dans un garage vivant en autarcie complète.

        Emacs le fait depuis 30 ans.

  • # Des Binaires

    Posté par  . Évalué à 7 (+6/-0).

    L’accès au code source du pare-feu nous distingue de la plupart de nos concurrents, c’est un point essentiel qui permet de garantir l’absence de portes dérobées ou de logiciel malveillant sur nos pare-feu. Cette stratégie de transparence favorise l’adoption généralisée du pare-feu par les utilisateurs qui peuvent le télécharger et l’installer gratuitement

    Question de noob
    Si vous fournissez des isos/binaires, comment peut on s'assurer que dans le processus de build, il n'ont pas été altéré ?

  • # Pourquoi forker ?

    Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

    Pourquoi Forker, et pas simplement contribuer ?

    D'ailleurs, le site ne contient pas cette réponse. Les seules références à OpnSense sont des promotions pour une console d'administration DynFi/PfSense/OpnSense/

    Pour l'instant, cela ressemble plus à de l'appropriation qu'à de la collaboration pour un produit open source.

    References opnsense sur le site: https://duckduckgo.com/?t=ffsb&q=opnsense+site%3Adynfi.com

    • [^] # Re: Pourquoi forker ?

      Posté par  . Évalué à 7 (+7/-0).

      Bonjour André,

      Nous avons plusieurs bonnes raisons pour forker.

      Tout d'abord à l'époque ou nous avons décidé de créer le fork (2018), OPNsense fonctionnait sur HardenedBSD et fonctionne toujours avec cette distribution à cette date.

      La qualité générale de HardenedBSD, son scope, la façon dont le projet était maintenu, tout nous poussait à créer un fork.

      Par ailleurs, nous avions déjà véçu une situation avec pfSense ou nous avons été leur distributeurs en France et ou un changement de politique nous a conduit à ne plus l'être.

      Ensuite l'installer DynFi a été intégralement revu et se base sur l'installer FreeBSD.

      Enfin et surtout, nous utilisons un mécanisme de compilation totalement original et différent de celui d'OPNsense qui est basé sur Poudriere.

      Enfin BIS, nous sommes passés sur FreeBSD 13 depuis déjà un certain temps.

      Pour plus d'information sur le sujet, tu peux consulter notre documentation ici : https://dynfi.com/documentations/dynfi-firewall/historique_dynfi_firewall.html#un-nouveau-fork-opnsense-2015-2019

      J'ai aussi donné un talk au Paris Open Source summit sur les firewalls Open Source ou j'évoquais le sujet en long en large et en travers ;-)

      L'équipe DynFi.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.