Hello >> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me > convient >> >> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence > planifiée à la con. J'ai 2 gammes, les ASA5555 et les FP2420, qui arrivent > en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que > çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, > ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné > : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec > du PA, possiblement. > > Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me > semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le > EoL, c'est court, et en même temps quand tu vois les progrès entre deux > gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça > semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est > rarement remis en question, sauf niveau prix où là c'est clairement pas à > portée de tout le monde.
Pour les ASA-5555 (-X) de notre coté, on vas les dégager. Entre l'UI en java merdique qui bouffe tous les cores et leur idée géniale de faire 2 objets, un en IPv4 et un IPv6... on vas s'en passer parce que - on doit passer 2G in /out de traffic - la maintenance coute un bras - il ne sert pas a un grand chose - on a décidé de faire de l'open source et ... 2 xeon-d coutent moins cher que un ASA pour faire ce qu'on a envie de faire (du pkt filter only). > Et que tout le monde n'a pas le débit pour faire remonter l'accès internet > en central, donc on met en place du split tunneling, parce qu'à 40 sur la > ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec > juste une box en déporté, parce que le firewall à 400 balles c'est trop > cher pour un bureau avec une seule personne et "ça fait des économies", > alors la même, pas de split tunneling, rien que de la navigation locale > derrière une box opérateur pas sécure, faut bien apporter un minimum sur le > poste de travail. Autrement un poste de travail en "deporté" eg : citrix par exemple permet justement de limiter l'effet de bord de poste de travail verolé ET ne pas avoir besoin d'un Tbps pour gérer le traffic. > Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve > plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au > niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir > ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de > la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que > tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est > plus suffisante. Ça c'est la rançon de la gloire d'avoir intercepté le traffic légitime des usager... C'est bien domage, car un proxy cache était assez pratique pour ne pas charger 1000 fois jquery et whatever... Bon Decentraleyes aide déjà pas mal ... Mais c'est une question d'envie perso / politik de la boite. Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
