Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On Tue, Sep 24, 2013, at 20:27, Thibaut MARTIN wrote: > l’opérateur de communications électroniques Ne pas oublier que la plupart des entreprises (la ou on deploie du filtrage web), ne sont PAS des operateurs au sens de la loi, et leur reseau n'est PAS "ouvert au public". Les obligations legales ne sont donc pas les memes. Garder une certaine tracabilite permer d'eviter certains ennuis eventuels, mais il n'y a (au moinsen theorie) pas l'obligation legale. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On Tue, Sep 24, 2013, at 16:37, Xavier Beaudouin wrote: > Ce MITM nécessite que tu dépose une CA sur tous les postes clients de ton > réseau. > > Dans le cas d'un réseau que tu maitrise (M$ ou pas) c'est facile, dans > le cas d'un réseau BYOD c'est autre chose. Et dans tous les cas ca annulle la fonctionalite "authentification du serveur par le client". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Concernant la partie WiFi, effectivement c'est le bordel. J'ai eu un design à faire avec des notions de Guest et il en ressortait 2 articles côté France: Articles L 34.1.1et R .10.13 du Code des Postes et Communications Electroniques, que l’opérateur de communications électroniques, est tenu de conserver, un certain nombre d’éléments au nombre desquels les informations permettant d'identifier l'utilisateur. Les lois européennes et françaises sont assez contradictoires ou floues sur le sujet. En plus il fallait faire attention aux points suivants: L’étendue de cette obligation doit être lue à la lumière de la directive communautaire EC/2006/24 ( art 5.1.a.2)b) qui définit l’identification d’un utilisateur comme : les données nécessaires pour retrouver et identifier la source d’une communication : En ce qui concerne l’accès à Internet, le courrier électronique par Internet et la téléphonie par Internet : les numéros d’identifiant attribué(s) le numéro d’identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public les noms et adresse de l’abonné ou de l’utilisateur inscrit à qui une adresse IP, un numéro identifiant ou un numéro de téléphone a été attribué au moment de la communication.» (…) » Donc au final, dès qu'on fourni un service libre d'accès et que les personnes interne à l'entreprise l'utilise (notamment smartphone, tablette personnels), on est dans l’obligation d’identifier les utilisateurs des services offerts, afin de pouvoir assister les autorités judiciaires ou administratives dans le cadre d’enquêtes, notamment dans le cadre de la lutte contre le terrorisme. A défaut, des sanctions pénales sont encourues . Un petit tableau qui peut-être pratique pour bien se situer, par contre il me semble que des textes ont été changés dernièrement, est-ce que quelqu'un en sait un peu plus à ce sujet ? Partenaire privé Opérateur est un fournisseur de service est un exploitant d’infrastructure réseau obligation d’identifier l’utilisateur sur une base déclarative ► nom ; prénom adresse, numéro de téléphone et/ou mai ► S’il dispose d’équipements réseau : adresse IP et diverses données de connexion et de traçabilité disponibles obligation de conserver le trafic par utilisateur et le mettre à disposition de l’entité requise. ► adresse IP et diverses données de connexion et de traçabilité disponibles, ► la date, l'horaire et la durée de chaque communication (les date et heure de début et de fin de la connexion, les caractéristiques de la ligne de l’abonné, le type de protocole ou de réseau utilisé Pour info, on était partis sur de l'UCOPIA pour les logs avec un syslog en backup derrière des FW BIG-IP. On Sep 24, 2013, at 1:12 PM, Yann Vercucque wrote: > Désolé mais c'est complètement faux... La charte informatique que les > salariés doivent signer pour utiliser des Pc de la société, doit indiquer > clairement que le surf à titre personnel est toléré (ou non) et que le > service informatique ce réserve le droit d'en contrôler l'accès. > > Un salarié pourrait très bien aller sur des sites illégaux (pédophilie, > nacisme ou autre) en https. Si les forces de l'ordre s'en aperçoivent, il > faut être capable de les renseigner... Cela rejoint, à mon sens, la > réglementation sur les hotspots wifi qui doivent absolument tout logguer. > > Concernant le choix des firewall, Palo Alto ont également des rapports bien > fournis. > > Yann, > >> Le 24 sept. 2013 à 11:15, Raphaël Jacquot a écrit : >> >>> On 24.09.2013 11:06, Jean-Henri Antunes wrote: >>> lol, pas mis en place ce truc là, mais justement ca m'interresse >>> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit >>> trojan utiliser des sessions ssl... >>> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer >>> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. >>> Par contre sur l'aspect "illégal" c'est étonnant... c'est du >>> déchiffrement (man in the midle) juste pour assurer la sûreté du >>> flux / la conformité avec la politique de l'usage internet... dans le >>> cas où les utilisateurs sont informés... pour moi celà s'apparente >>> à l'analyse d'une pièce jointe par l'AV >> >> la communication chiffrée est assimilée a de la correspondance privée, a >> l'opposé >> de l'email qui transite en clair dans le serveur de l'entreprise. >> >> l'utilisation de produits de MITM est donc une intrusion illégale dans un >> systeme >> de traitement de l'information, au sens de la réglementation. >> si, par exemple, l'utilisateur se connecte a son gmail en https, le fait >> d'utiliser >> un outil de MITM est une intrusion dans les serveurs de Google >> >>> Le 24 septembre 2013 10:55, Raphaël Jacquot a >>> écrit : On 24.09.2013 10:52, Jean-Henri Antunes wrote: > (...) dechiffrement (...) c'est moche le MITM... c'est même illégal (intrusion dans une correspondance privée) ---
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Par contre sur l'aspect "illégal" c'est étonnant... c'est du déchiffrement (man in the midle) juste pour assurer la sûreté du flux / la conformité avec la politique de l'usage internet... dans le cas où les utilisateurs sont informés... pour moi celà s'apparente à l'analyse d'une pièce jointe par l'AV Ce MITM nécessite que tu dépose une CA sur tous les postes clients de ton réseau. Dans le cas d'un réseau que tu maitrise (M$ ou pas) c'est facile, dans le cas d'un réseau BYOD c'est autre chose. Après je parle pas de DANE et ses amis... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 24/09/2013 10:55, Raphaël Jacquot a écrit : On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) c'est moche le MITM... c'est même illégal (intrusion dans une correspondance privée) A noter que Squid 3.3 le fait aussi... My 0,02€ -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour à tous, Pour Raphaël J. : ça m'intéresse d'avoir des références, pour la France, sur la réglementation dont vous parlez concernant le fait de ne pas avoir le droit d'analyser des flux chiffrés à travers son pare-feu. Je parle bien entendu d'un usage professionnel du parefeu avec des utilisateurs prévenus. Sinon pour apporter mes 2 cents au débat, à 44 ans j'ai fais et vu pas mal de marques d'appliances tout en ayant mis les mains dans le cambouis sur des plateformes libres. A ce jour j'ai une nette préférence sur la marque Watchguard face aux Sonicwall (DELL maintenant), Netasq, Fortinet, Sophos, Checkpoint et autre ASA de chez Cisco. Je ne connais pas du tout les produits de Palo Alto ni les Juniper mais sur ces derniers on est plus dans les mêmes budgets à puissance équivalente. En tout cas je reste preneur des retours sur ces dernières marques. Bien entendu je compare ces produits par rapport aux retours de terrains dont j'ai été acteur ou au moins observateur auprès de collègues, dans des utilisations poussées (firewalling sur mesure pour chaque besoin en entrée et en sortie, plusieurs VPN Ipsec sites à sites avec adresses translattées dans tous les sens, VPN Ipsec et SSL pour les roadwarriors, proxies applicatifs liés à la lutte UTM dont AV et IPS, gestion de VLANs, gestion de QoS, gestion multi-wan en routage ou au moins en multi-liens avec répartition des flux sur au moins deux liens Internet, etc.). Le tout en environnement PME de 50 à 1 500 postes pour les plus gros sites. Pour ceux qui veulent un retour d'XP plus détaillé sur les produits Watchguard, n'hésitez pas à me contacter en privé. Je ne garanti pas une réponse de suite mais je répondrai c'est promis :-) Bien à vous, Olivier Le 24 septembre 2013 11:25, Naskaputt a écrit : > Bonjour à tous, > > Je me permets de réagir sur cette demande, je souhaiterais profiter en > avance (*on est pas encore 'dredi*) de critiques, commentaires par rapport > aux Netasq ? > Cela ne fait que quelques mois que je suis inscrit à cette mailing-list, et > forcé de constater que ce nom ne revient pas souvent. Étant actuellement en > stage de fin d'études dans une société qui en fait pas mal, je dois avouer > que je reste très surpris de ce que manque d'intérêt. Ainsi pourais-je > peut-être avoir des retours de personnes beaucoup plus expérimentées que > moi à ce sujet. > Connaissant bien Netasq, et Cisco, j'étais dans l'optique de trouver un > troisième pour pouvoir me former là-dessus et varier un peu les plaisirs, > autant parier sur un bon dada ce coup-ci. > > À vous les studios, micros, ;-) > > Merci beaucoup d'avance. > > > > > 2013/9/24 Raphaël Jacquot > > > On 24.09.2013 11:06, Jean-Henri Antunes wrote: > > > >> lol, pas mis en place ce truc là, mais justement ca m'interresse > >> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit > >> trojan utiliser des sessions ssl... > >> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer > >> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. > >> > >> Par contre sur l'aspect "illégal" c'est étonnant... c'est du > >> déchiffrement (man in the midle) juste pour assurer la sûreté du > >> flux / la conformité avec la politique de l'usage internet... dans le > >> cas où les utilisateurs sont informés... pour moi celà s'apparente > >> à l'analyse d'une pièce jointe par l'AV > >> > > > > la communication chiffrée est assimilée a de la correspondance privée, a > > l'opposé > > de l'email qui transite en clair dans le serveur de l'entreprise. > > > > l'utilisation de produits de MITM est donc une intrusion illégale dans un > > systeme > > de traitement de l'information, au sens de la réglementation. > > si, par exemple, l'utilisateur se connecte a son gmail en https, le fait > > d'utiliser > > un outil de MITM est une intrusion dans les serveurs de Google > > > > Le 24 septembre 2013 10:55, Raphaël Jacquot a > >> écrit : > >> > >> On 24.09.2013 10:52, Jean-Henri Antunes wrote: > >>> > >>> (...) dechiffrement (...) > > >>> > >>> c'est moche le MITM... c'est même illégal (intrusion dans une > >>> correspondance privée) > >>> > >>> --- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ [1] > >>> > >> > >> > >> > >> Links: > >> -- > >> [1] http://www.frnog.org/ > >> > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On 24.09.2013 13:12, Yann Vercucque wrote: de meme, la mise en place des dites chartes est soummises a ceci http://www.murielle-cahen.com/publications/p_charte.asp --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On 24.09.2013 13:12, Yann Vercucque wrote: Désolé mais c'est complètement faux... La charte informatique que les salariés doivent signer pour utiliser des Pc de la société, doit indiquer clairement que le surf à titre personnel est toléré (ou non) et que le service informatique ce réserve le droit d'en contrôler l'accès. Un salarié pourrait très bien aller sur des sites illégaux (pédophilie, nacisme ou autre) en https. Si les forces de l'ordre s'en aperçoivent, il faut être capable de les renseigner... Cela rejoint, à mon sens, la réglementation sur les hotspots wifi qui doivent absolument tout logguer. Concernant le choix des firewall, Palo Alto ont également des rapports bien fournis. Yann, oui et non, c'est loin d'etre le farwest que tu décris http://www.chefdentreprise.com/Chef-d-entreprise-Magazine/Article/Comment-acceder-en-toute-legalite-a-l-ordinateur-d-un-salarie-33504-1.htm --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Désolé mais c'est complètement faux... La charte informatique que les salariés doivent signer pour utiliser des Pc de la société, doit indiquer clairement que le surf à titre personnel est toléré (ou non) et que le service informatique ce réserve le droit d'en contrôler l'accès. Un salarié pourrait très bien aller sur des sites illégaux (pédophilie, nacisme ou autre) en https. Si les forces de l'ordre s'en aperçoivent, il faut être capable de les renseigner... Cela rejoint, à mon sens, la réglementation sur les hotspots wifi qui doivent absolument tout logguer. Concernant le choix des firewall, Palo Alto ont également des rapports bien fournis. Yann, > Le 24 sept. 2013 à 11:15, Raphaël Jacquot a écrit : > >> On 24.09.2013 11:06, Jean-Henri Antunes wrote: >> lol, pas mis en place ce truc là, mais justement ca m'interresse >> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit >> trojan utiliser des sessions ssl... >> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer >> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. >> Par contre sur l'aspect "illégal" c'est étonnant... c'est du >> déchiffrement (man in the midle) juste pour assurer la sûreté du >> flux / la conformité avec la politique de l'usage internet... dans le >> cas où les utilisateurs sont informés... pour moi celà s'apparente >> à l'analyse d'une pièce jointe par l'AV > > la communication chiffrée est assimilée a de la correspondance privée, a > l'opposé > de l'email qui transite en clair dans le serveur de l'entreprise. > > l'utilisation de produits de MITM est donc une intrusion illégale dans un > systeme > de traitement de l'information, au sens de la réglementation. > si, par exemple, l'utilisateur se connecte a son gmail en https, le fait > d'utiliser > un outil de MITM est une intrusion dans les serveurs de Google > >> Le 24 septembre 2013 10:55, Raphaël Jacquot a >> écrit : >>> On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) >>> c'est moche le MITM... c'est même illégal (intrusion dans une >>> correspondance privée) >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ [1] >> Links: >> -- >> [1] http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour à tous, Je me permets de réagir sur cette demande, je souhaiterais profiter en avance (*on est pas encore 'dredi*) de critiques, commentaires par rapport aux Netasq ? Cela ne fait que quelques mois que je suis inscrit à cette mailing-list, et forcé de constater que ce nom ne revient pas souvent. Étant actuellement en stage de fin d'études dans une société qui en fait pas mal, je dois avouer que je reste très surpris de ce que manque d'intérêt. Ainsi pourais-je peut-être avoir des retours de personnes beaucoup plus expérimentées que moi à ce sujet. Connaissant bien Netasq, et Cisco, j'étais dans l'optique de trouver un troisième pour pouvoir me former là-dessus et varier un peu les plaisirs, autant parier sur un bon dada ce coup-ci. À vous les studios, micros, ;-) Merci beaucoup d'avance. 2013/9/24 Raphaël Jacquot > On 24.09.2013 11:06, Jean-Henri Antunes wrote: > >> lol, pas mis en place ce truc là, mais justement ca m'interresse >> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit >> trojan utiliser des sessions ssl... >> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer >> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. >> >> Par contre sur l'aspect "illégal" c'est étonnant... c'est du >> déchiffrement (man in the midle) juste pour assurer la sûreté du >> flux / la conformité avec la politique de l'usage internet... dans le >> cas où les utilisateurs sont informés... pour moi celà s'apparente >> à l'analyse d'une pièce jointe par l'AV >> > > la communication chiffrée est assimilée a de la correspondance privée, a > l'opposé > de l'email qui transite en clair dans le serveur de l'entreprise. > > l'utilisation de produits de MITM est donc une intrusion illégale dans un > systeme > de traitement de l'information, au sens de la réglementation. > si, par exemple, l'utilisateur se connecte a son gmail en https, le fait > d'utiliser > un outil de MITM est une intrusion dans les serveurs de Google > > Le 24 septembre 2013 10:55, Raphaël Jacquot a >> écrit : >> >> On 24.09.2013 10:52, Jean-Henri Antunes wrote: >>> >>> (...) dechiffrement (...) >>> >>> c'est moche le MITM... c'est même illégal (intrusion dans une >>> correspondance privée) >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ [1] >>> >> >> >> >> Links: >> -- >> [1] http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On 24.09.2013 11:06, Jean-Henri Antunes wrote: lol, pas mis en place ce truc là, mais justement ca m'interresse dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit trojan utiliser des sessions ssl... par exemple si le certificat ssl ne match pas xxx et que yyy appliquer déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. Par contre sur l'aspect "illégal" c'est étonnant... c'est du déchiffrement (man in the midle) juste pour assurer la sûreté du flux / la conformité avec la politique de l'usage internet... dans le cas où les utilisateurs sont informés... pour moi celà s'apparente à l'analyse d'une pièce jointe par l'AV la communication chiffrée est assimilée a de la correspondance privée, a l'opposé de l'email qui transite en clair dans le serveur de l'entreprise. l'utilisation de produits de MITM est donc une intrusion illégale dans un systeme de traitement de l'information, au sens de la réglementation. si, par exemple, l'utilisateur se connecte a son gmail en https, le fait d'utiliser un outil de MITM est une intrusion dans les serveurs de Google Le 24 septembre 2013 10:55, Raphaël Jacquot a écrit : On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) c'est moche le MITM... c'est même illégal (intrusion dans une correspondance privée) --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
lol, pas mis en place ce truc là, mais justement ca m'interresse dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit trojan utiliser des sessions ssl... par exemple si le certificat ssl ne match pas xxx et que yyy appliquer déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. Par contre sur l'aspect "illégal" c'est étonnant... c'est du déchiffrement (man in the midle) juste pour assurer la sûreté du flux / la conformité avec la politique de l'usage internet... dans le cas où les utilisateurs sont informés... pour moi celà s'apparente à l'analyse d'une pièce jointe par l'AV Le 24 septembre 2013 10:55, Raphaël Jacquot a écrit : > On 24.09.2013 10:52, Jean-Henri Antunes wrote: > > (...) dechiffrement (...) >> > > c'est moche le MITM... c'est même illégal (intrusion dans une > correspondance privée) > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) c'est moche le MITM... c'est même illégal (intrusion dans une correspondance privée) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On 24.09.2013 10:31, Youssef Ghorbal wrote: J'en profite pour demande si vous avez eu la possibilite de jouer avec Palo Alto. Est ce que vous avez des retour la dessus ? Youssef ca dépends de l'usage et de la taille du bidule. ceux présents a l'ULB ont eu très mal lors des RMLL ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Salut, J'ai quelques Palo en prod. (j'en utilise depuis 2011 en complément ou remplacement de Fortinet/ASA/NetASQ) Leur GUI est sympa, la CLI scriptable et leur API est pratique. Nous on en est très content. Je pense qu'il y a 3-4 ans ils avaient une longueur d'avance sur les concurrents concernant tout ce qui est reconnaissance des appli / dechiffrement etc. pour filter l'internet de end users c'est top. En datancenter c'est pas mal aussi mais ca depend du besoin... le WilFire est un truc vraiment pas mal (du fait que ce soit intégré au firewall). Leur Gamme PA20X0 par contre a super mal viellie. Pas assez de RAM pour la partie management (qui est séparée du dataplane) et ca se ressent énormément. Perso en shortlist j'hésitai entre reprendre du Forti et passé au Palo (en 2011) et ils m'ont preté un boitier pour test et on a était convaicu comme ca... Si tu veux un contact pas de souci. JH Le 24 septembre 2013 10:31, Youssef Ghorbal a écrit : > J'en profite pour demande si vous avez eu la possibilite de jouer avec > Palo Alto. > Est ce que vous avez des retour la dessus ? > > Youssef > > 2013/9/23 Raphael Maunier : > > Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit : > > > >> On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote: > >> > >>> Attention, le CLI est inexistant sur ces deux derniers, c'est > >>> clickodrome. Mais pour du firewall, très franchement, le tout cli je > >>> crois que c'est dépassé > >> > >> > >> Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour > >> la gestion des regles. Par contre, pour faire du debug ou utiliser > >> certaines fonctionalites, il *FAUT* passr par la casse CLI. > > > > > > Donc pour moi inexistant :) Quand tu peux pas vraiment l'utiliser car il > > faut avoir le pdf à porté de main, c'est que c'est pas fait pour être > > utilisé > > > > > >> > >>> marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. > >>> > >>> Je me demande meme comment les trucs comme ASA se vendent encore, > jamais > >>> vu un truc aussi pénible à administrer. > >> > >> > >> Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette "Cisco" > >> collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA > >> series "-X" ont juste un prix totalement delirant (meme apres minimum > >> 50% de remise) pour ce qu'ils offrent. > > > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
J'en profite pour demande si vous avez eu la possibilite de jouer avec Palo Alto. Est ce que vous avez des retour la dessus ? Youssef 2013/9/23 Raphael Maunier : > Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit : > >> On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote: >> >>> Attention, le CLI est inexistant sur ces deux derniers, c'est >>> clickodrome. Mais pour du firewall, très franchement, le tout cli je >>> crois que c'est dépassé >> >> >> Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour >> la gestion des regles. Par contre, pour faire du debug ou utiliser >> certaines fonctionalites, il *FAUT* passr par la casse CLI. > > > Donc pour moi inexistant :) Quand tu peux pas vraiment l'utiliser car il > faut avoir le pdf à porté de main, c'est que c'est pas fait pour être > utilisé > > >> >>> marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. >>> >>> Je me demande meme comment les trucs comme ASA se vendent encore, jamais >>> vu un truc aussi pénible à administrer. >> >> >> Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette "Cisco" >> collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA >> series "-X" ont juste un prix totalement delirant (meme apres minimum >> 50% de remise) pour ce qu'ils offrent. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit : On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote: Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour la gestion des regles. Par contre, pour faire du debug ou utiliser certaines fonctionalites, il *FAUT* passr par la casse CLI. Donc pour moi inexistant :) Quand tu peux pas vraiment l'utiliser car il faut avoir le pdf à porté de main, c'est que c'est pas fait pour être utilisé marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette "Cisco" collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA series "-X" ont juste un prix totalement delirant (meme apres minimum 50% de remise) pour ce qu'ils offrent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote: > Attention, le CLI est inexistant sur ces deux derniers, c'est > clickodrome. Mais pour du firewall, très franchement, le tout cli je > crois que c'est dépassé Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour la gestion des regles. Par contre, pour faire du debug ou utiliser certaines fonctionalites, il *FAUT* passr par la casse CLI. > marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. > > Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu > un truc aussi pénible à administrer. Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette "Cisco" collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA series "-X" ont juste un prix totalement delirant (meme apres minimum 50% de remise) pour ce qu'ils offrent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-23 12:27, Raphael Mazelier a écrit : Le 23/09/2013 12:09, Raphael Maunier a écrit : Un barbu qui s'enflamme :) Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut que les barbus s'enflamment, sinon, les valeurs se perdraient ! Il faudra retester avec la sortie de Freebsd 10 et pf qui est maintenant SMP aware. Niveau performance cela devrait commencer à être intéressant avec du bon matos, type les appliances Apligo. J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque FW un type d'utilisation. Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, pour de la prod, je partirais plutôt sur un constructeur ( apliance ou soft dans une vm ) Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire ça pour le dernier :) ). Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de Juniper maintenant :) ) Entièrement d'accord. Je suis pro Juniper aussi, mais mon avis sur les Srx est mitigés. Les Srx fonctionne raisonnablement bien (modulo quelques soucis habituels avec les Alg). Niveau performance c'est OK. Mais alors la ou la CLI Juniper est généralement un avantage sur un routeur, sur la partie règles c'est beaucoup trop verbeux. On peut un petit peu améliorer les choses avec les apply-groups, mais si tu dépasse les 500 règles ça devient illisible. Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé L'approche Netscreen avec NSM était un compromis acceptable. Maintenant NSM fonctionne vraiment très mal avec les SRX. Ensuite, les trucs genre Checkpoint, Cisco ASA "leaders" du marché ... Je passerais mon chemin. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Checkpoint, bah checkpoint :) CQFD. Checkpoint le seul gros/énorme avantage est leur GUI. ASA j'ai beau chercher ? bah go Stonesoft alors, c'est 100 fois mieux :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 23/09/2013 12:09, Raphael Maunier a écrit : Un barbu qui s'enflamme :) Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut que les barbus s'enflamment, sinon, les valeurs se perdraient ! Il faudra retester avec la sortie de Freebsd 10 et pf qui est maintenant SMP aware. Niveau performance cela devrait commencer à être intéressant avec du bon matos, type les appliances Apligo. J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque FW un type d'utilisation. Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, pour de la prod, je partirais plutôt sur un constructeur ( apliance ou soft dans une vm ) Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire ça pour le dernier :) ). Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de Juniper maintenant :) ) Entièrement d'accord. Je suis pro Juniper aussi, mais mon avis sur les Srx est mitigés. Les Srx fonctionne raisonnablement bien (modulo quelques soucis habituels avec les Alg). Niveau performance c'est OK. Mais alors la ou la CLI Juniper est généralement un avantage sur un routeur, sur la partie règles c'est beaucoup trop verbeux. On peut un petit peu améliorer les choses avec les apply-groups, mais si tu dépasse les 500 règles ça devient illisible. Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé L'approche Netscreen avec NSM était un compromis acceptable. Maintenant NSM fonctionne vraiment très mal avec les SRX. Ensuite, les trucs genre Checkpoint, Cisco ASA "leaders" du marché ... Je passerais mon chemin. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Checkpoint, bah checkpoint :) CQFD. Checkpoint le seul gros/énorme avantage est leur GUI. ASA j'ai beau chercher ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-21 10:46, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS a écrit : #include reply.h Je vais pas aller dans les détails, je parle pour moi et c'était le sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense est un bon produit base BSD donc stable mais faut pas trop cumuler les services d'une part, d'autre part les packages c'est confus, les migrations et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup. Comme tout logiciels opensource, ceci dépends très sérieusement de ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes. Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau intel, j'ai jamais eu le moindre problème. Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des modules). Un barbu qui s'enflamme :) Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut que les barbus s'enflamment, sinon, les valeurs se perdraient ! J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque FW un type d'utilisation. Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, pour de la prod, je partirais plutôt sur un constructeur ( apliance ou soft dans une vm ) Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire ça pour le dernier :) ). Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de Juniper maintenant :) ) Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé Pour un déploiement avec une centaine de FW avec corrélation des logs, sans hésiter ==> Stonesoft. Si c'est une boîte en cluster pour protéger une plateforme, sans utm, je ferais juste un POC avec un injecteur de trafic ( Ex Breaking point ) et aussi un test avec des tables de nat bien full, j'ai vu des trucs marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. Ensuite, les trucs genre Checkpoint, Cisco ASA "leaders" du marché ... Je passerais mon chemin. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Checkpoint, bah checkpoint :) CQFD. Après, si tu es joueur, j'ai vu un test sur le "firewall" F5 Si FreeBSD tenais pas le pavé, je pense que ces 2 marques "auraient" des soucis. Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va super bien oui. Evidement si tu mets 20 règles de firewall c'est que tu as un problème de fond : est-ce que tu utilises bien ton firewall... Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / vlan. Xavier Le 20/09/2013 11:04, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS a écrit : Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define "corporate" pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la paix romaine" avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent "mouillés" on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour, Je travaille pour Check Point, acteur incontournable du marché de la sécurité informatique. Si vous souhaitez avoir plus d'informations sur nos produits et notamment nos FW je vous invite à prendre contact avec moi. Il est envisageable également de vous mettre un boitier à votre disposition pour que vous puissiez le tester. Cordialement Martin Laborie | Channel Account Manager 1, place Victor Hugo, 92411 Courbevoie Cedex, France Mobile : +33 7 77 69 75 37 | Email : mlabo...@checkpoint.com Bureau : +33 1 55 49 12 00 | Fax : +33 1 55 49 12 01 Appliance 2012 Models | 3D Security Analysis Report | Financial Results | Gartner 2012 -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Eddy Minet Sent: Friday, September 20, 2013 2:23 PM To: frnog-t...@frnog.org Subject: RE: [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour Thibaut, J'ai eu l'occasion de le manipuler pas mal entre l'époque où le produit s'appelait Astaro et le rachat par Sophos, en fw / routage / NAT / VPN IPSec (site à site), en appliance physique et virtuelle. J'avoue avoir eu un certain coup de cœur pour ce produit bien qu'il faille quand même à mon avis "entrer dedans" car la philosophie de configuration est un peu particulière. Mais une fois l'interface prise en main il fait ce qu'on lui demande et plutôt bien il me semble. J'ai eu aussi l'occasion de le tester en protection d'un serveur web (reverse proxy) alors que cette fonctionnalité était assez nouvelle et là par contre je suis tombé sur pas mal de pépins, mais l'équipe du support a été réactive et les choses qui posaient problème ont été corrigées. J'ai été assez bluffé aussi par l'éventail de possibilité offerte en connexions Nomades (Portail, SSL, IPSec, PPTP ...), notamment l'intégration du RDP dans le navigateur, sans activex ni java par exemple, j'ai trouvé ça assez cool et facile d'accès pour l'utilisateur final. Voilà pour mon ressenti sur le produit. Après, je n'ai pas d'expérience sur pfsense donc je ne peux pas comparer et je ne sais pas non plus ce que ça vaut avec IPv6 ni en terme de montée en charge ... Eddy -Message d'origine- De : frnog-requ...@frnog.org [mailto:] De la part de Thibaut MARTIN Envoyé : vendredi 20 septembre 2013 01:10 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour à tous, Je voudrais sécuriser une partie de mon réseau et je me posais la question du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM http://www.sophos.com/fr-fr/products/free-tools.aspx Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? T.M --- Liste de diffusion du FRnOG http://www.frnog.org/ Email secured by Check Point --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour, Je travaille pour Check Point, acteur incontournable du marché de la sécurité informatique. Si vous souhaitez avoir plus d'informations sur nos produits et notamment nos FW je vous invite à prendre contact avec moi. Il est envisageable également de vous mettre un boitier à votre disposition pour que vous puissiez le tester. Cordialement Martin Laborie | Channel Account Manager 1, place Victor Hugo, 92411 Courbevoie Cedex, France Mobile : +33 7 77 69 75 37 | Email : mlabo...@checkpoint.com Bureau : +33 1 55 49 12 00 | Fax : +33 1 55 49 12 01 Appliance 2012 Models | 3D Security Analysis Report | Financial Results | Gartner 2012 -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Eddy Minet Sent: Friday, September 20, 2013 2:23 PM To: frnog-t...@frnog.org Subject: RE: [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour Thibaut, J'ai eu l'occasion de le manipuler pas mal entre l'époque où le produit s'appelait Astaro et le rachat par Sophos, en fw / routage / NAT / VPN IPSec (site à site), en appliance physique et virtuelle. J'avoue avoir eu un certain coup de cœur pour ce produit bien qu'il faille quand même à mon avis "entrer dedans" car la philosophie de configuration est un peu particulière. Mais une fois l'interface prise en main il fait ce qu'on lui demande et plutôt bien il me semble. J'ai eu aussi l'occasion de le tester en protection d'un serveur web (reverse proxy) alors que cette fonctionnalité était assez nouvelle et là par contre je suis tombé sur pas mal de pépins, mais l'équipe du support a été réactive et les choses qui posaient problème ont été corrigées. J'ai été assez bluffé aussi par l'éventail de possibilité offerte en connexions Nomades (Portail, SSL, IPSec, PPTP ...), notamment l'intégration du RDP dans le navigateur, sans activex ni java par exemple, j'ai trouvé ça assez cool et facile d'accès pour l'utilisateur final. Voilà pour mon ressenti sur le produit. Après, je n'ai pas d'expérience sur pfsense donc je ne peux pas comparer et je ne sais pas non plus ce que ça vaut avec IPv6 ni en terme de montée en charge ... Eddy -Message d'origine- De : frnog-requ...@frnog.org [mailto:] De la part de Thibaut MARTIN Envoyé : vendredi 20 septembre 2013 01:10 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour à tous, Je voudrais sécuriser une partie de mon réseau et je me posais la question du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM http://www.sophos.com/fr-fr/products/free-tools.aspx Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? T.M --- Liste de diffusion du FRnOG http://www.frnog.org/ Email secured by Check Point --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour, Xavier Beaudouin : [...] > Comme tout logiciels opensource, ceci dépends très sérieusement de ton > matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à > l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset > a la con (broadcom...), là tu es sûr d'avoir des emmerdes. Sauf à mettre du 8139 en production, le recours à des composants Realtek comme les 816x dans un contexte où des VLAN sont nécessaires risque plutôt de se heurter à des problèmes logiciels. Après, c'est sûr, les composants Realtek n'offrent pas forcément les fonctions d'amélioration des performances qui sont devenues la norme ailleurs et ils ont leur lot de bugs. Je suis preneur hors-liste si tu as quelques détails d'un cas d'utilisation foireux avec des VLAN. > Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau > intel, j'ai jamais eu le moindre problème. Tu ne le choisis pas complètement au pif pour autant. -- Ueimor --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS a écrit : > #include reply.h > > Je vais pas aller dans les détails, je parle pour moi et c'était le sujet > (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense > est un bon produit base BSD donc stable mais faut pas trop cumuler les > services d'une part, d'autre part les packages c'est confus, les migrations > et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des > phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, > du Snort qui boit beaucoup. Comme tout logiciels opensource, ceci dépends très sérieusement de ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes. Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau intel, j'ai jamais eu le moindre problème. Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des modules). Si FreeBSD tenais pas le pavé, je pense que ces 2 marques "auraient" des soucis. > Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va > super bien oui. Evidement si tu mets 20 règles de firewall c'est que tu as un problème de fond : est-ce que tu utilises bien ton firewall... Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / vlan. Xavier > Le 20/09/2013 11:04, Xavier Beaudouin a écrit : >> Hello, >> >> Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS a écrit : >> >>> Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et >>> complet en terme de fonctionnalités. C'est plus corporate que pfSense, je >>> dirais que c'est du Netasq/Fortinet like. >> Heu j'utilise pfsense pour pas mal de choses là où je bosse... >> >> #define "corporate" pour un firewall... >> >> Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen >> out the box... (pas taper on est vendredi). >> >> Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est >> un *bien* infini avec le wizard qui fait le binaire autoconf pour les >> windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la >> paix romaine" avec les gens qui se baladent un peu partout (y compris dans >> les UE ou les VPN IPsec sont souvent "mouillés" on vas dire). >> >> Xavier >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonjour Thibaut, J'ai eu l'occasion de le manipuler pas mal entre l'époque où le produit s'appelait Astaro et le rachat par Sophos, en fw / routage / NAT / VPN IPSec (site à site), en appliance physique et virtuelle. J'avoue avoir eu un certain coup de cœur pour ce produit bien qu'il faille quand même à mon avis "entrer dedans" car la philosophie de configuration est un peu particulière. Mais une fois l'interface prise en main il fait ce qu'on lui demande et plutôt bien il me semble. J'ai eu aussi l'occasion de le tester en protection d'un serveur web (reverse proxy) alors que cette fonctionnalité était assez nouvelle et là par contre je suis tombé sur pas mal de pépins, mais l'équipe du support a été réactive et les choses qui posaient problème ont été corrigées. J'ai été assez bluffé aussi par l'éventail de possibilité offerte en connexions Nomades (Portail, SSL, IPSec, PPTP ...), notamment l'intégration du RDP dans le navigateur, sans activex ni java par exemple, j'ai trouvé ça assez cool et facile d'accès pour l'utilisateur final. Voilà pour mon ressenti sur le produit. Après, je n'ai pas d'expérience sur pfsense donc je ne peux pas comparer et je ne sais pas non plus ce que ça vaut avec IPv6 ni en terme de montée en charge ... Eddy -Message d'origine- De : frnog-requ...@frnog.org [mailto:] De la part de Thibaut MARTIN Envoyé : vendredi 20 septembre 2013 01:10 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour à tous, Je voudrais sécuriser une partie de mon réseau et je me posais la question du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM http://www.sophos.com/fr-fr/products/free-tools.aspx Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? T.M --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
#include reply.h Je vais pas aller dans les détails, je parle pour moi et c'était le sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense est un bon produit base BSD donc stable mais faut pas trop cumuler les services d'une part, d'autre part les packages c'est confus, les migrations et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup. Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va super bien oui. Le 20/09/2013 11:04, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS a écrit : Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define "corporate" pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la paix romaine" avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent "mouillés" on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS a écrit : > Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et > complet en terme de fonctionnalités. C'est plus corporate que pfSense, je > dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define "corporate" pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir "la paix romaine" avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent "mouillés" on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Le 20/09/2013 01:10, Thibaut MARTIN a écrit : Bonjour à tous, Je voudrais sécuriser une partie de mon réseau et je me posais la question du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM http://www.sophos.com/fr-fr/products/free-tools.aspx Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? T.M --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Ca dépend, ca gère le RFC 1149 ? Le 20 septembre 2013 10:01, Moncef ZID a écrit : > Tout dépend de ce que vous allez faire , UTM ? pour sécuriser un DC ? > Environnement virtuel ou pas ? > > Moncef ZID > Manaraway Consulting > Technical MANAGER > Phone 0033169301734 > ATTENTION : NEW Mobile 0033699812512 > Moncef ZID > Website : www.manaraway.com > Email: zmon...@manaraway.com > ConsultingAudit and Training > Data Center , Security , Cloud , Application Delivery > > > -Original Message- > From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of > Thibaut MARTIN > Sent: vendredi 20 septembre 2013 01:10 > To: frnog-t...@frnog.org > Subject: [FRnOG] [TECH] Choix d'une appliance Firewall > > Bonjour à tous, > > Je voudrais sécuriser une partie de mon réseau et je me posais la question > du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM > http://www.sophos.com/fr-fr/products/free-tools.aspx > Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait > remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? > > T.M > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Sébastien Gioria --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Choix d'une appliance Firewall
Tout dépend de ce que vous allez faire , UTM ? pour sécuriser un DC ? Environnement virtuel ou pas ? Moncef ZID Manaraway Consulting Technical MANAGER Phone 0033169301734 ATTENTION : NEW Mobile 0033699812512 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Thibaut MARTIN Sent: vendredi 20 septembre 2013 01:10 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Choix d'une appliance Firewall Bonjour à tous, Je voudrais sécuriser une partie de mon réseau et je me posais la question du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM http://www.sophos.com/fr-fr/products/free-tools.aspx Avez-vous une expérience sur cet appliance ? et pensez-vous que ça pourrait remplacer un pfsence sachant qu'il est marqué comme compatible IPv6 xD ? T.M --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Mais non voyons, à 1€ c'est le module 4G avec APN dédié sur TH2. Vendredi quand tu nous tiens. On Sep 20, 2013, at 1:53 AM, Serge Marienon wrote: > Oui, mais il faut prendre la version familiale et prendre l'upgrade > 'adresses ilimitées' pour 1€ de plus > > > 2013/9/20 Thibaut MARTIN > >> Bonjour à tous, >> >> Je voudrais sécuriser une partie de mon réseau et je me posais la question >> du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM >> http://www.sophos.com/fr-fr/products/free-tools.aspx >> Avez-vous une expérience sur cet appliance ? et pensez-vous que ça >> pourrait remplacer un pfsence sachant qu'il est marqué comme compatible >> IPv6 xD ? >> >> T.M > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Oui, mais il faut prendre la version familiale et prendre l'upgrade 'adresses ilimitées' pour 1€ de plus 2013/9/20 Thibaut MARTIN > Bonjour à tous, > > Je voudrais sécuriser une partie de mon réseau et je me posais la question > du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM > http://www.sophos.com/fr-fr/products/free-tools.aspx > Avez-vous une expérience sur cet appliance ? et pensez-vous que ça > pourrait remplacer un pfsence sachant qu'il est marqué comme compatible > IPv6 xD ? > > T.M --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Bonsoir, LOL Cordialement, Le 20 septembre 2013 01:10, Thibaut MARTIN a écrit : > Bonjour à tous, > > Je voudrais sécuriser une partie de mon réseau et je me posais la question > du FW. J'ai vu qu'il était possible de tester gratuitement un Sophos UTM > http://www.sophos.com/fr-fr/products/free-tools.aspx > Avez-vous une expérience sur cet appliance ? et pensez-vous que ça > pourrait remplacer un pfsence sachant qu'il est marqué comme compatible > IPv6 xD ? > > T.M -- Julien Follenfant jfollenf...@gmail.com Tel: +33 6 47 56 22 48 --- Liste de diffusion du FRnOG http://www.frnog.org/
