> OBConseil a écrit : > kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : > Hacking". La bas, > ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un > blog > lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus > après.
+1 > Par contre, les sites du figaro et de l'équipe était, eux, disponibles. Et puis ? on peut plus regarder le match de foot au bureau, maintenant ? :-) En redevenant sérieux, > Toussaint OTTAVI a écrit : > L'expérience prouve que, si on met une porte blindée trop compliquée à > ouvrir, les > utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à > trouver... +1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match de foot, c'est contre-productif : la fenêtre, une fois ouverte, est extrêmement difficile à refermer. Au bout du compte c'est parfois préférable de les laisser regarder le foot et de laisser leurs chefs de service faire la police. Pareil pour les clés USB : si l'utilisateur a une raison légitime de s'en servir, il va trouver comment détourner les restrictions qu'on met en place pour les désactiver, et là encore on ouvre la boite de Pandore. >> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori >> pour >> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, >> Pfsense > Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur :-) > Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison... +1. C'est bien pour çà qu'il faut de multiples systèmes indépendants, pour que le jour ou il y en a un qui ne marche pas, l'autre continue. >> soit tu peux le faire au niveau poste de travail > Deux choses à propos du filtrage sur les postes : > - C'est extrêmement chronophage et source de problèmes. Si on gère un seul > gros réseau, le outils de management de l'éditeur > peuvent faire le job. Mais si on gère plusieurs dizaines de petits réseaux > indépendants, je n'ai pas trouvé l'outil qui convient... T'inquiètes pas, tu n'es pas le seul. >> Michel Py a écrit : >> Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une >> autre crèmerie. >> Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même >> pas dans la course. > Tu as de la chance de pouvoir changer aussi facilement de crèmerie :-) Moi, > cela ne me traverse même pas l'esprit tant le travail > de migration serait colossal (ce sont les mêmes appareils qui font tout : > firewall, UTM, VPN, interco, failover, wifi, etc...) C'est encore plus colossal quand tu as des centaines de sites répartis sur 6 fuseaux horaires. > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me convient C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence planifiée à la con. J'ai 2 gammes, les ASA5555 et les FP2420, qui arrivent en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec du PA, possiblement. > et de le doubler en frontal par d'autres outils plus ciblés sur le filtrage > du caca en provenance d'Internet. Oui en théorie, sauf que à tant que s'emmerder avec un projet colossal, autant en profiter pour nettoyer et en plus se débarrasser de ce que l'équipe considère comme étant de la daube. Je vais probablement mettre de l'ASR devant les pare-feu, ceci dit. >> Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, >> et >> Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à >> vie. > Même remarque : comment tu fais pour gérer autant d'outils différents ? Je fais pas, c'est le bordel. J'essaie de standardiser, mais çà n'arrive pas du jour au lendemain. > Moi, je voudrais arriver à normaliser sur un seul. Même si ce sera > obligatoirement un compromis. Le critère essentiel est > la gestion multi-tier (une seule console d'admin pour gérer tous mes clients, > au lieu d'une console d'admin par client). Pareil, ce que tu saisis pas c'est la taille et la complexité de mon environnement. Tous les jours on crée, achète, fusionne, réorganise des branches. Il y en a qui sont des employés, d'autres des filiales, d'autres des franchises, etc. Rien que des noms de domaines différents on en a au moins 30. En 1 coup je viens d'hériter de 50 sites distants et plusieurs centaines d'utilisateurs. Il y en a qui ont Windows Home qu'on ne peut même pas joindre au domaine, certains qui croient que la machinbox Comcast c'est un pare-feu, et j'en passe. Les franchises achètent / fournissent leur propre matos, au contraire des filiales auxquelles on envoie les laptops avec l'image qui va bien. En plus, il y a toujours une période de transition : pendant plusieurs semaines, il faut qu'ils aient accès à l'ancien environnement et au mien. Et, pour en revenir au sujet, tu ne voudrais pas que en plus de faire marcher ce bordel géant il faudrait que je double sa taille en faisant du double-stack ? >> Au niveau IPv4 pur j'utilise : >> Et bien sur le mien : http://arneill-py.sacramento.ca.us/cbbc/ que plusieurs >> ici utilisent et même y contribuent, merci. > Cà donne des blocklists gargantuesques. Et je tombe sur un autre problème qui > est qu'elles sont trop grosses pour les petits firewalls, sur les petits > sites... Le CBBC (c'est du BGP pas des règles de FW) je donne le feed à un Cisco 1841 avec 384 Mégas; et ça marche : 69.000 et des poussières en ce moment, d'ailleurs depuis 2 jours il y a une pente soutenue qu'il va falloir que je regarde. Quand tu regardes l'âge d'un 1841 et la bouse que c'est par rapport à ce qui se fait aujourd'hui, la taille des blacklists ce n'est pas relevant. Un routeur ou pare-feu qui ne peut pas prendre 100.000 et plus préfixes ou règles de pare-feu, c'est la benne direct. >> - C'était un peu le sens de ma contribution initiale : être contraint de >> filtrer les connexions vers des IP malveillantes >> depuis les postes de travail, n'est-ce pas un aveu d'impuissance sur la >> façon dont nous concevons et gérons nos réseaux ? > David Ponzone a écrit : > Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont un > laptop pro qui se baladent chez eux ou autre. +1. Sur un WiFi potentiellement rempli de saloperies y compris dans un aéroport (pas trop en ce moment mais çà reviendra), ou a la maison avec la progéniture adolescente du salarié, qui passe une grande partie de son temps à essayer de cracker la protection de Papa pour regarder le contenu réservé aux adultes. Et en essayant, télécharge une ribambelle d'outils qui contiennent moulte virus, root kits et autres portes dérobées. On est en train de regarder, ça me plairait bien si l'environnement de travail Windows tournait dans une VM, et que pour accéder au réseau et au WiFi çà ait besoin de traverser une autre VM qui soit un pare-feu NG. On a pas encore trouvé comment faire marcher Windows dans une VM qui tourne sur le même portable que l'hyperviseur. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
