Tu vas dire que pas un seul type de la liste ne va argumenter quant aux côtés éthiques du truc ?
Mettre ce genre de produits qui drop à la volée engendre trop souvent les dérives suivantes : - limitation des libértés côtés cust (ex: bloquer des ports, drop du trafic port 80 qui n'est pas HTTP etc) - limitation de l'évolutivité d'Internet (ex: bloquer tout ce qui n'est pas TCP/UPD/IP, bloquer les paquets TCP avec une option que j'connais pas, bloquer l'HTTP avec une méthode que j'connais pas etc) C'est, à mes yeux, bien plus important que la guerre sur les moyens, non ? On 25/01/2014 00:35, Guillaume Barrot wrote: > Question récurrente, posée environ tous les deux mois sur la liste. > > Je vais te résumer à la grosse les positions trollesques que tu vas avoir : > > ** "discussion stérile sur firewalling c'est du niveau 3/4" vs "meuh non > c'est du niveau 7, UTM sa maman" etc pendant environ 20-30 mails ** > > ** puis on invoque les trolls pro technos ** > > gna gna gna SRX gna gna CLI super cool et MPLS gna gna > > grouf grouf grouf Fortinet grouf grouf parce qu'ASA ah ah ah > > gna gna Fortinet c'est de la dreum, la CLI est pourrie gna gna gna > > grouf grouf Juniper m'en fous du MPLS sur mon firewall grouf grouf > > ** discussion stérile pendant 45 mails environ ** > > ** intervention d'un pro solution en train de trepasser (Checkpoint, > Stonesoft, etc...) ** > > ki ki ki Firewall truc truc ? ki ki ki > > => atomisation de l'outrecuidant > > ** intervention d'un pro firewall opensource ** > > pouet pouet Pfsenso-Mikrotiko-Gentoo-over-x86 ? pouet pouet > > => double atomisation "soyons serieux bordel" et finalisation du lustrage > par un point Godwin bien mérité. > > Tu finis avec mal aux yeux, des idées bien embrouillées, voire quelques > envies de meurtres. > > Bref : > 1- pose une sonde (serveur + snort), fais des stat (netflow est ton ami) > 2- fais en un cahier des charges et un cahier de tests (fais toi ta matrice > IMIX). Oublie pas de bien qualifier les usages que tu comptes en faire et > les SLA que tu veux pouvoir offrir. > 3- envoie ça aux fournisseurs > 4- rencontre les et avec un couteau bien aiguisé sous la gorge, négocie des > POC chez eux et du pret de matos > 5- fais des labs et des tests (merci la virtualisation, quasiment tous les > firewalls serieux ont une demo en VM downloadable directement sur le site > => tests fonctionnels, test de l'API etc.) > 6- si tu as un injecteur, vérifie les datasheets. Si t'en as pas, va faire > des pocs chez les constructeurs. Si c'est trop long/compliqué => fais donc > confiance aux Datasheets ou au Gartner (et pleure). > Et fais toi ta propre opinion en fonction des tes besoins, du niveau des > tes équipes, de tes habitudes (CLI, GUI, API) et du niveau de tes devs. > > Demande l'avis à une mailing list ... autant regarder le Gartner et choisir > le point en haut à droite ! > > PS : Juniper ISG ? Tu veux pas installer un PIX non plus ??? > > > Le 24 janvier 2014 12:23, Yoann THOMAS <ytho...@openip.fr> a écrit : > >> Bonjour la liste, >> >> Je suis en plene réflexion sur l'implémentation de nouveau firewall en >> frontal de nos services cloud, dans ce cadre j'aurais souhaitez avoir vos >> avis et/ou retour d'expérience. >> >> Pour ma part aujourd'hui je suis sur les pistes suivantes : >> >> Brocade ADX >> Juniper ISG >> Cisco ASA (pas trop fan) >> Fortigate 3600 >> >> Merci d'avance pour vos retours. >> >> Yoann >> >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > -- "UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." – Doug Gwyn "Trouve un travail qui te plaît et plus jamais tu ne travailleras" Confucius "Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux" Thomas Jefferson
signature.asc
Description: OpenPGP digital signature
