RE: [FRnOG] [TECH] Solutions firewall NGN
> Radu-Adrian Feurdean a écrit : > Pour un FAI, techniquement, non. Je suis d'accord, mais à placer dans le contexte : qui déploient des firewall ? pas les FAI (pas pour la partie "transit"). A part ceux qui veulent la fin de la neutralité du net et ralentir Netflix, mais là c'est plus du firewall. Pour bloquer le port 25 en sortie sur l'aDSL, on appelle pas çà firewall non plus, çà s'appelle access-list. Donc je récapépète : dans le contexte, firewall == enterprise. > Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui > est SSL c'est pareil 8 heures par jour, > t’étonnes pas si a la maison les memes utilisateurs n'arrivent plus a faire > la distinction entre un certif normal, > un EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais > c'est le mien. Tu n'as pas bien lu une de mes contribs récentes : je suis d'accord. A force d'avoir des erreurs, on clique sur "ignorer" sans regarder l'erreur et on réduit la sécurité. > Donc si je peux mettre des batons dans les roues a tout le monde qui deploie > du "SSL inspection", je vais le faire. Je comprends. Mais politiquement, je n'ai pas le choix. >> Le jour ou tu te feras véroler par quelque chose que tu n'as pas >> intercepté parce que tu ne l'as pas scanné, tu changeras d'avis. > Par contre, le jour ou tu te feras veroler par quelque-chose que tu as déjà > scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis. Hélas. > Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal. Moi aussi, mais pas à $job[0]. A la maison, j'ai récemment activé (ou au moins, essayé) l'option SSL intercept sur le firewall qui marche pour moi à la maison, Untangle. C'est une vraie chiotte. J'ai lu la doc, j'ai installé le certificat, etc etc. Les options par défaut çà sert à presque rien, les options avancées faut passer sa vie à mettre des exceptions. Je vais pas le renouveler, et c'est pas à cause des $50 par an, c'est parce que j'ai un taf à temps plein et pas besoin d'un autre. Il y a 2 utilisateurs, dont moi. L'autre a compris qu'elle aura le mot de passe enable quand elle revient à la maison avec son numéro CCIE. A la maison, pas d'intercept SSL. On en revient à la question de base : HTTPS partout, c'est fait. On va pas l'enlever. Done deal. Cà fait chier tout le monde et moi en particulier, merci de ne pas refaire la connerie avec 3 concurrents pour chaque TLS pour chaque protocole. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On Sun, Jul 1, 2018, at 20:45, Michel Py wrote: > On peut pas avoir de proxy non plus ? Franchement la différence entre un Comme FAI, de base non. Il faut que ca soit un service apart. > proxy et un firewall qui fait de l'inspection SSL est pas vraiment Ca depend. Un proxy, de memoire, peut autoriser le SSL en mode aveugle. Ca a comme avantage de ne pas casser la chaine de confiance SSL. > La destination, c'est les yeux de l'utilisateur, pas le PC qui Pour un FAI, techniquement, non. C'est soit un "end-user device" (PC, telephone, whatever) ou un equipement intermediaire (apartenant au client !!!). > L'utilisateur n'a pas le droit d'utiliser le réseau de l'entreprise à > des fins personnelles. Toutes les données qui transitent sur le réseau > de l'entreprise appartiennent à l'entreprise, pas à l'utilisateur. La Certainement pas pour un FAI. Meme pour une entreprise, de ce cote le d'eau j'ai quelques reserves. > partie de l'infrastructure de l'entreprise dans laquelle je choisis de > scanner (et probablement plus qu'une partie), c'est mon choix; que > j'inspecte sur le poste de travail ou sur le firewall, çà ne change > absolument rien à la loi. Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui est SSL c'est pareil 8 heures par jour, t’étonnes pas si a la maison les memes utilisateurs n'arrivent plus a faire la distinction entre un certif normal, un EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais c'est le mien. Donc si je peux mettre des batons dans les roues a tout le monde qui deploie du "SSL inspection", je vais le faire. SSL = "PAS REGARDER DEDANS". Si toi comme entreprise tu n'est pas d'accord, tu peux bloquer. > Le jour ou tu te feras véroler par quelque chose que tu n'as pas > intercepté parce que tu ne l'as pas scanné, tu changeras d'avis. Par contre, le jour ou tu te feras veroler par quelque-chose que tu as deja scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis. Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal. Par contre je suis d'accord que ce n'est pas applicable a tout le monde. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
> Radu-Adrian Feurdean a écrit : > Tout comme ne pas donner acces a tout l'Internet aux salaries. C'est con, > mais ca se fait. 80 % de mes salariés n'ont ni email ni accès à l'Internet et en plus si on les pique avec leur téléphone perso à l'intérieur, ç'est bye-bye assuré s'ils ont de la chance et Guantanamo si on trouve quelque chose (je suppose, c'est pas moi qui décide ou ils vont). Je travaille pas pour l'Internet des bisounours. Les ingés qui streament le match de foot du bureau, faut qu'ils soient intelligents : le match de foot quand il y a rien a faire que ranger son bureau ou remplir de la paperasse, c'est pas mon problème. Le match de foot quand il y a quelque chose sur le feu, c'est mon problème. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
On peut pas avoir de proxy non plus ? Franchement la différence entre un proxy et un firewall qui fait de l'inspection SSL est pas vraiment grande, surtout comme sur un fortigate l'inspection SSL est par défaut en mode "proxy" pas "stream". > Radu-Adrian Feurdean a écrit : > Avec un antivirus, c'est *APRES* le traffic est arrive a destination. La destination, c'est les yeux de l'utilisateur, pas le PC qui appartient à l'entreprise. Ou ce que l'on fait avec les données, si on les stocke (ce que je ne fais pas). L'utilisateur n'a pas le droit d'utiliser le réseau de l'entreprise à des fins personnelles. Toutes les données qui transitent sur le réseau de l'entreprise appartiennent à l'entreprise, pas à l'utilisateur. La partie de l'infrastructure de l'entreprise dans laquelle je choisis de scanner (et probablement plus qu'une partie), c'est mon choix; que j'inspecte sur le poste de travail ou sur le firewall, çà ne change absolument rien à la loi. > Modulo que le contrat (de travail dans ce cas) doit respecter un certain > nombre de regles (au moins ici). Et ca c'est valable en entreprise. Ici aussi. Par exemple, j'ai pas le droit de lire le courrier des employés ou de regarder combien ils gagnent. Mais j'ai le droit de scanner tout ce que je veux à condition que je ne stocke pas les données dans lesquelles je ne trouve pas de virus. > Mais ca reste quand-meme la question si c'est le bon chose a faire. Que ca > soit en entreprise ou en mode SP. Mon avis c'est que ce n'est pas. Le jour ou tu te feras véroler par quelque chose que tu n'as pas intercepté parce que tu ne l'as pas scanné, tu changeras d'avis. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On Sun, Jul 1, 2018, at 19:14, Michel Py wrote: > Dans le contexte, qui c'est qui installe un firewall ? Pas tout le temps, et comme je viens de le dire, meme en entreprise il y a des regles. Ne pas avoir un Wifi ouvert aux visiteurs ca se fait. Tout comme ne pas donner acces a tout l'Internet aux salaries. C'est con, mais ca se fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On Sun, Jul 1, 2018, at 19:14, Michel Py wrote: > > Radu-Adrian Feurdean > > La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des > > choses > > qui disent que par default, regarder le traffic c'est totalement interdit. > > C'est complètement débile. Qu'est-ce que çà fait, un antivirus comme > Symantec Endpoint ou Malwarebytes ? çà regarde le réseau. C'est qui > l'installe, l'administre, et collecte les résultats ? moi, pas > l'utisateur. On peut plus avoir d'antivirus Entreprise, non plus ? Avec un antivirus, c'est *APRES* le traffic est arrive a destination. > > Comme je le disais, c'est le signal que l'inspection dans le reseau c'est > > peut-etre (mois je dis "certainement") la mauvaise approche: > > Dans le contexte, qui c'est qui installe un firewall ? l'entreprise. > C'est MON réseau, les utilisateurs c'est mes employés, ils ont signé un > contrat de travail, et s'ils sont pas d'accord la porte de sortie est > toujours ouverte. Modulo que le contrat (de travail dans ce cas) doit respecter un certain nombre de regles (au moins ici). Et ca c'est valable en entreprise. Chez un FAI les regles ne sont pas tout a fait les memes. Mais il y a quand-meme la possibilite de le faire, s'il y a un service en plus de l'access simple. Par contre, de base - interdit. Les FAI qui le font, s'ils ne sont pas trop mauvais, ils font payer ce service. Mais ca reste quand-meme la question si c'est le bon chose a faire. Que ca soit en entreprise ou en mode SP. Mon avis c'est que ce n'est pas. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
> Radu-Adrian Feurdean > La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des > choses > qui disent que par default, regarder le traffic c'est totalement interdit. C'est complètement débile. Qu'est-ce que çà fait, un antivirus comme Symantec Endpoint ou Malwarebytes ? çà regarde le réseau. C'est qui l'installe, l'administre, et collecte les résultats ? moi, pas l'utisateur. On peut plus avoir d'antivirus Entreprise, non plus ? > Comme je le disais, c'est le signal que l'inspection dans le reseau c'est > peut-etre (mois je dis "certainement") la mauvaise approche: Dans le contexte, qui c'est qui installe un firewall ? l'entreprise. C'est MON réseau, les utilisateurs c'est mes employés, ils ont signé un contrat de travail, et s'ils sont pas d'accord la porte de sortie est toujours ouverte. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On Fri, Jun 29, 2018, at 21:01, Michel Py wrote: > > Raphaël Jacquot a écrit : > > c'est possiblement illégal, assimilable a une intrusion dans la vie > > personnelle des gens... > > Allo la terre ? Si c'était illégal çà ne serait pas une option chez tous > les vendeurs de pare-feu. La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des choses qui disent que par default, regarder le traffic c'est totalement interdit. Par contre: - modulo un contrat bien fait (surtout maintenant avec la GDPR), le client peut souscrire a un service de "nettoyage", qui ouvre la porte a toutes les fenetres. - meme s'il y a encore des gens qui inistent sur le fait que la loi soit respecte en tant que tel, ceux qui ralent haut et fort "securite a tout prix" sont parfois assez "violents" dans leur demarches. Il faut en meme temps avoir les co*s et les ressources pour les resister. > C'est parfaitement légal, je ne déchiffre pas les données pour regarder > le contenu, mais pour trouver les virus et autres merdiciels. Ca ne change rien, de base. DE ce cote il faut que les choses soient clairement definies pour que tu puisses le faire. > > Renaud Chaput a écrit : > > On est trolldredi, c'est ça ? Comment on peut encore dire que mettre du > > HTTPS partout est une mauvaise idée ? > > Je dis pas que HTTPS c'est mal, mais le "partout" c'est devenue une > chienlit de première classe. Comme je le disais, c'est le signal que l'inspection dans le reseau c'est peut-etre (mois je dis "certainement") la mauvaise approche: > > Radu-Adrian Feurdean a écrit : > > Donc le "tout HTTPS" c'est peu-etre la (n-ieme) bonne occasion de re-penser > > si ce qu'on fait c'est bien ou non. > > Exactement. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
>> Michel Py a écrit : >> Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS >> car les menaces sont chiffrées. > Raphaël Jacquot a écrit : > c'est possiblement illégal, assimilable a une intrusion dans la vie > personnelle des gens... Allo la terre ? Si c'était illégal çà ne serait pas une option chez tous les vendeurs de pare-feu. C'est parfaitement légal, je ne déchiffre pas les données pour regarder le contenu, mais pour trouver les virus et autres merdiciels. > Renaud Chaput a écrit : > On est trolldredi, c'est ça ? Comment on peut encore dire que mettre du HTTPS > partout est une mauvaise idée ? Je dis pas que HTTPS c'est mal, mais le "partout" c'est devenue une chienlit de première classe. > Si tu veux que tes utilisateurs ne soient pas infectés par des pubs vérolées > ... installe un adblock > par défaut sur leur poste ? Ca prend 10 minutes à déployer, et ça bloquera > 95% des vecteurs classiques. Je suis un fan, adblockplus ! C'est bien, mais pas suffisant. > Radu-Adrian Feurdean a écrit : > Donc le "tout HTTPS" c'est peu-etre la (n-ieme) bonne occasion de re-penser > si ce qu'on fait c'est bien ou non. Exactement. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Le 29 juin 2018 à 10:48, Radu-Adrian Feurdean a écrit : > Ou peut-etre que fait l'interpreter le HTTPS differemment : au lieu de dire > que c'est quelque-chose qu'il faut inspecter "en transit", le voire cote > reseau en tant que ce qu'il est suppose etre - du traffic de classe "payload > is *NOT* your fscking problem, surtout *NE* *PAS* regarder dedans", les > transactions bancaires etant un bon exemple - et deplacer la protection vers > les end-points. > > Parce-que finalement, chaque fois qu'on deploye de la securite "dans le > reseau" en commencant a filtrer certaines choses tout en laissant passer > d'autres, tout le monde finit par s'alignier sur ce qui n'est pas (et ne peut > pas) etre filtre pour encapsuler leurs traffic dedans. Bien-sur, les editeurs > de merdiciel sont parmi les premiers a le faire. Donc le "tout HTTPS" c'est > peu-etre la (n-ieme) bonne occasion de re-penser si ce qu'on fait c'est bien > ou non. This + 1 000. Surtout que maintenant les browsers ont les API qui vont bien afin que les antivirus puissent scanner le contenu des pages sans avoir à faire du MITM. -- Jonathan Leroy. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On Thu, Jun 28, 2018, at 22:34, Michel Py wrote: > Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic > HTTPS car les menaces sont chiffrées. Ou peut-etre que fait l'interpreter le HTTPS differemment : au lieu de dire que c'est quelque-chose qu'il faut inspecter "en transit", le voire cote reseau en tant que ce qu'il est suppose etre - du traffic de classe "payload is *NOT* your fscking problem, surtout *NE* *PAS* regarder dedans", les transactions bancaires etant un bon exemple - et deplacer la protection vers les end-points. Parce-que finalement, chaque fois qu'on deploye de la securite "dans le reseau" en commencant a filtrer certaines choses tout en laissant passer d'autres, tout le monde finit par s'alignier sur ce qui n'est pas (et ne peut pas) etre filtre pour encapsuler leurs traffic dedans. Bien-sur, les editeurs de merdiciel sont parmi les premiers a le faire. Donc le "tout HTTPS" c'est peu-etre la (n-ieme) bonne occasion de re-penser si ce qu'on fait c'est bien ou non. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Et ne pas toujours possible. mh Le 29 juin 2018, à 07:43, "Raphaël Jacquot" a écrit: On 28/06/2018 22:34, Michel Py wrote: Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car les menaces sont chiffrées. c'est possiblement illégal, assimilable a une intrusion dans la vie personnelle des gens... --- Liste de diffusion du FRnOG http://www.frnog.org/ Le 29 juin 2018 à 07:43, à 07:43, "Raphaël Jacquot" a écrit: > > >On 28/06/2018 22:34, Michel Py wrote: > >> Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic >HTTPS car les menaces sont chiffrées. > >c'est possiblement illégal, assimilable a une intrusion dans la vie >personnelle des gens... > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On 28/06/2018 22:34, Michel Py wrote: Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car les menaces sont chiffrées. c'est possiblement illégal, assimilable a une intrusion dans la vie personnelle des gens... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
> Xavier Beaudouin a écrit : > Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. Je plussoie, c'était le point que j'essayais de faire avec DNS/TLS. Tant que l'ancien système est actif (et il le restera longtemps), c'est un emmerdement de plus et un gain questionnable. Autre exemple : HTTPS. Utiliser HTTPS pour les transactions bancaires : bonne idée. Utiliser HTTPS pour les pubs des pages web : mauvaise idée. Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car les menaces sont chiffrées. C'est pénible, çà marche pas toujours, faut installer un certificat sur les postes de travail. En partant d'une bonne idée, on a crée une vulnérabilité car il n'est pas toujours possible d'inspecter HTTPS; les malfaisants on bien compris le système : maintenant ils distribuent leur merdiciel sur HTTPS. Chaque fois qu'on introduit un nouveau mécanisme de sécurité, on se complique la vie, on perd de la visibilité, et parfois on dégrade la sécurité car la nécessité de contourner le mécanisme en question pousse à faire des choses pires que le problème. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Franchement, si c'est pour faire du signature based, Clam/Clamwin ou l'AV embarqué de Windows font suffisament bien (comprendre mal) le job, pas besoin de passer 2 ans sur le sujet. Après si on veut vraiment sécuriser le truc, vu les attaques bien merdiques qu'on voit maintenant, il faut passer sur des solutions bien plus avancés, avec du sandboxing, etc... A priori la solution qui a le vent en poupe sur le sujet, c'est Sentinel One (gagne les marchés bancaires, institutionnels, etc...) qui s'intègre avec Fortinet justement, ou Palo Alto. Bon c'est vraiment du truc de grand comptes, faut avouer, mais voilà, c'est très avancé comme solution. Le mer. 27 juin 2018 à 14:05, Michael Bazy a écrit : > Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est > insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité > dans le traitement, notamment sur les possibilités de faux-positifs, > d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, > etc). La nouvelle génération d'AVs de poste fait de l'analyse > comportementale pour bloquer les activités processus trop louches (ROP, nop > sleds, etc...). > > Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font > Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et > ça devrait venir à terme dans FortiClient. > Si je ne m'y arrête pas, c'est également ce que font la plupart des > solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi > comme ça que fonctionnait un des modules de MalwareBytes il y a quelques > années). > > Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti > d'un travail conjoint en open source entre des universités françaises et > américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. > > Michael > +33628781171 > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Michel Py > Envoyé : mardi 26 juin 2018 23:54 > À : David Ponzone ; > samuel.gaiani-porq...@infiniteconnection.fr > Cc : Xavier Beaudouin ; frnog > Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > > > David Ponzone a écrit : > > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? > > Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le > pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même > constructeur, ce qui augmente les chances d'intercepter le virus. > > > Il serait donc peut-être intéressant d’établir une liste des solutions > AV Endpoint sérieuses ? > > Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. > McAffee j'évite comme la peste. > Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). > > J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la > license à vie), mais récemment ils ont complètement pété les plombs. Non > seulement c'est cher pour la solution Entreprise (plus cher que Symantec) > et en plus maintenant çà plante; ça fait plusieurs machines récemment (y > compris une installation fraiche) ou j'ai du l'enlever). > > Michel. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle génération d'AVs de poste fait de l'analyse comportementale pour bloquer les activités processus trop louches (ROP, nop sleds, etc...). Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait venir à terme dans FortiClient. Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que fonctionnait un des modules de MalwareBytes il y a quelques années). Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un travail conjoint en open source entre des universités françaises et américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. Michael +33628781171 -Message d'origine- De : frnog-requ...@frnog.org De la part de Michel Py Envoyé : mardi 26 juin 2018 23:54 À : David Ponzone ; samuel.gaiani-porq...@infiniteconnection.fr Cc : Xavier Beaudouin ; frnog Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > David Ponzone a écrit : > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même constructeur, ce qui augmente les chances d'intercepter le virus. > Il serait donc peut-être intéressant d’établir une liste des solutions AV > Endpoint sérieuses ? Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. McAffee j'évite comme la peste. Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la license à vie), mais récemment ils ont complètement pété les plombs. Non seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une installation fraiche) ou j'ai du l'enlever). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
> David Ponzone a écrit : > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même constructeur, ce qui augmente les chances d'intercepter le virus. > Il serait donc peut-être intéressant d’établir une liste des solutions AV > Endpoint sérieuses ? Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. McAffee j'évite comme la peste. Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la license à vie), mais récemment ils ont complètement pété les plombs. Non seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une installation fraiche) ou j'ai du l'enlever). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Discussion intéressante, d’autant plus qu’on a tendance à lire/dire que pour protéger un PC, il faudrait au moins 4 ou 5 AV Endpoint différents. Probablement un problème de réputation: les constructeurs de firewall ont une réputation, usurpée ou pas, de sérieux, qu’ont moins les éditeurs d’AV Endpoint. Il serait donc peut-être intéressant d’établir une liste des solutions AV Endpoint sérieuses ? Les solutions AV Endpoint des constructeurs de FW/UTM sont-elles plus sérieuses ? Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? > Le 25 juin 2018 à 09:41, samuel.gaiani-porq...@infiniteconnection.fr a écrit : > > Bonjour à tous, > > Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?) ton > pare feu ne va pas te protéger des dernières attaques (Mais en vrai, si la > NSA, le KGB ou le Mossad en a après toi, peu de choses vont te protéger à > part des bonnes pratiques de gérer ton SI et ton Lan AMHA), mais permets > quand même d'évacuer plusieurs problématiques et éviter de tout centraliser > sur ton CPE, qui risque soit dit en passant de couter une fortune si ta boîte > se refuse à faire confiance à une marque type couteau suisse comme 'Krotik > (Non je ne troll pas.) ou EdgeRouter en fonction de tes débits. > > Je trouve personnellement intéressant de diviser certains domaines de > responsabilité et de gestion de certains services (Gestion des VPNs Mobiles, > gestion de la BP en fonction des besoins etc...), ca évite de devoir mettre > les mains trop régulièrement dans ton équipement d'extrémité, de tout lui > faire porter, de pouvoir répartir sa gestion plus facilement dans l'équipe > etc ... . Mais là, tu n'es pas forcément obligé de dépenser des tonnes pour > avoir le bon équipement, il me semble qu'un pfSense fait le travail pour le > besoin exprimé en tête de ce thread. > > Après voilà, on est d'accord, aujourd'hui 90% des besoins des entreprises en > terme de "Firewalling" sont plus des besoins de gestion du réseau classique, > capables d'être assurés par un grnd nombre de routeur, bien plus > abordable que les marques de pare feu qui risquent de le faire moins bien > d'ailleurs et de créer des limitations (cc la réflexion de Xavier sur les > implem' des protocoles réseaux sur les pare feu). > > Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de bien > analyser son besoin pour ne pas tomber dans le piège et de payer trop cher? > Et de convaincre sa hiérarchie non technique aussi :D > > Do one thing and (maybe) do it well > > Sam > > > Le 25.06.2018 09:05, Xavier Beaudouin a écrit : >> Hello, >>> Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. >>> Déjà, sans firewall, comment tu empêches les gens de se mettre sur le >>> réseau et >>> de sortir sur internet autrement que via ton proxy? >> Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les >> pkts qui viennent de ton lan. >>> Quid des attaques par brute-force/DDos, ou plus généralement des attaques >>> qui se >>> basent sur les paquets? Des vieux serveurs historiques pour la prod sur >>> lesquels il ne faut surtout rien installer mais quand même protéger ? >> Sur les DDoS tu crois franchement qu'un firewall vas te protéger des >> récentes attaques ? >> Sans compter le coût du biniou pour tenir un vrai DDoS. >> Quand aux serveurs "historiques" si le port est forwardé a ton vieux >> serveur alors c'est >> pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement). >>> Quand à ton règlement qui empêchent les gens d'avoir des activités non >>> productives : comment tu contrôles ça justement? >> Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul. >>> Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à >>> négliger, OK, >>> mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à >>> dire que tu t'es un peu emporté un peu vite quand même là, non? :) >> Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes >> sans >> nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver >> une >> solution de contournement du machin pour arriver a faire leur taf. Je pense >> qu'un certain nombre de personnes peuvent ici donner plein anecdotes... >> Sans compter la vision très souvent avec des œillères des >> constructeurs de firewalls >> du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont >> articulées >> autour des LIMITATION de ces produits plutôt que d'utiliser les choses >> qui feront >> un machin redondant. >> Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. >> Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais >> *peux* y contribuer. >> La sécurité passe par un ensemble de pratiques du routeur core aux terminaux >> en >> passant par la couche de routage et accessoirement des firewalls. >> My 0,02€ >> Xavier >> --- >> Liste de diffusion
Re: [FRnOG] [TECH] Solutions firewall NGN
Bonjour à tous, Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?) ton pare feu ne va pas te protéger des dernières attaques (Mais en vrai, si la NSA, le KGB ou le Mossad en a après toi, peu de choses vont te protéger à part des bonnes pratiques de gérer ton SI et ton Lan AMHA), mais permets quand même d'évacuer plusieurs problématiques et éviter de tout centraliser sur ton CPE, qui risque soit dit en passant de couter une fortune si ta boîte se refuse à faire confiance à une marque type couteau suisse comme 'Krotik (Non je ne troll pas.) ou EdgeRouter en fonction de tes débits. Je trouve personnellement intéressant de diviser certains domaines de responsabilité et de gestion de certains services (Gestion des VPNs Mobiles, gestion de la BP en fonction des besoins etc...), ca évite de devoir mettre les mains trop régulièrement dans ton équipement d'extrémité, de tout lui faire porter, de pouvoir répartir sa gestion plus facilement dans l'équipe etc ... . Mais là, tu n'es pas forcément obligé de dépenser des tonnes pour avoir le bon équipement, il me semble qu'un pfSense fait le travail pour le besoin exprimé en tête de ce thread. Après voilà, on est d'accord, aujourd'hui 90% des besoins des entreprises en terme de "Firewalling" sont plus des besoins de gestion du réseau classique, capables d'être assurés par un grnd nombre de routeur, bien plus abordable que les marques de pare feu qui risquent de le faire moins bien d'ailleurs et de créer des limitations (cc la réflexion de Xavier sur les implem' des protocoles réseaux sur les pare feu). Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de bien analyser son besoin pour ne pas tomber dans le piège et de payer trop cher? Et de convaincre sa hiérarchie non technique aussi :D Do one thing and (maybe) do it well Sam Le 25.06.2018 09:05, Xavier Beaudouin a écrit : Hello, Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau et de sortir sur internet autrement que via ton proxy? Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les pkts qui viennent de ton lan. Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui se basent sur les paquets? Des vieux serveurs historiques pour la prod sur lesquels il ne faut surtout rien installer mais quand même protéger ? Sur les DDoS tu crois franchement qu'un firewall vas te protéger des récentes attaques ? Sans compter le coût du biniou pour tenir un vrai DDoS. Quand aux serveurs "historiques" si le port est forwardé a ton vieux serveur alors c'est pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement). Quand à ton règlement qui empêchent les gens d'avoir des activités non productives : comment tu contrôles ça justement? Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul. Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, OK, mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à dire que tu t'es un peu emporté un peu vite quand même là, non? :) Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes sans nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver une solution de contournement du machin pour arriver a faire leur taf. Je pense qu'un certain nombre de personnes peuvent ici donner plein anecdotes... Sans compter la vision très souvent avec des œillères des constructeurs de firewalls du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont articulées autour des LIMITATION de ces produits plutôt que d'utiliser les choses qui feront un machin redondant. Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais *peux* y contribuer. La sécurité passe par un ensemble de pratiques du routeur core aux terminaux en passant par la couche de routage et accessoirement des firewalls. My 0,02€ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Hello, > Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. > > Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau > et > de sortir sur internet autrement que via ton proxy? Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les pkts qui viennent de ton lan. > Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui > se > basent sur les paquets? Des vieux serveurs historiques pour la prod sur > lesquels il ne faut surtout rien installer mais quand même protéger ? Sur les DDoS tu crois franchement qu'un firewall vas te protéger des récentes attaques ? Sans compter le coût du biniou pour tenir un vrai DDoS. Quand aux serveurs "historiques" si le port est forwardé a ton vieux serveur alors c'est pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement). > Quand à ton règlement qui empêchent les gens d'avoir des activités non > productives : comment tu contrôles ça justement? Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul. > Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, > OK, > mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à > dire que tu t'es un peu emporté un peu vite quand même là, non? :) Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes sans nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver une solution de contournement du machin pour arriver a faire leur taf. Je pense qu'un certain nombre de personnes peuvent ici donner plein anecdotes... Sans compter la vision très souvent avec des œillères des constructeurs de firewalls du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont articulées autour des LIMITATION de ces produits plutôt que d'utiliser les choses qui feront un machin redondant. Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais *peux* y contribuer. La sécurité passe par un ensemble de pratiques du routeur core aux terminaux en passant par la couche de routage et accessoirement des firewalls. My 0,02€ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
>>> Guillaume LE PROVOST a écrit : >>> Quels équipements conseilleriez-vous ? >> Jérôme Nicolle a écrit : >> Aucun. La sécurité se gère sur les terminaux, pas dans le réseau. >> Une redondance entre les AV des terminaux qui en ont besoin et les firewalls >> ne sert à rien. > Michael Bazy a écrit : > Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. C'est vrai, mais çà sentait tellement le troll que personne d'autre n'a répondu ;-) Mon avis : l'herbe est toujours plus verte de l'autre coté ;-) Guillaume, c'est pour ta propre boite ? Ou un client plein de sous ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau et de sortir sur internet autrement que via ton proxy? Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui se basent sur les paquets? Des vieux serveurs historiques pour la prod sur lesquels il ne faut surtout rien installer mais quand même protéger ? (je pourrais continuer mais je pense avoir cité assez d'exemples) Quand à ton règlement qui empêchent les gens d'avoir des activités non productives : comment tu contrôles ça justement? Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, OK, mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à dire que tu t'es un peu emporté un peu vite quand même là, non? :) A+ Michael +33628781171 -Message d'origine- De : frnog-requ...@frnog.org De la part de Jérôme Nicolle Envoyé : jeudi 21 juin 2018 20:18 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Solutions firewall NGN Guillaume, Le 23/05/2018 à 16:41, LE PROVOST Guillaume a écrit : > Quels équipements conseilleriez-vous ? Aucun. La sécurité se gère sur les terminaux, pas dans le réseau. Une redondance entre les AV des terminaux qui en ont besoin et les firewalls ne sert à rien. Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais globalement ça ne sert à rien : empêcher les utilisateurs de mater facebook ou du porn, ça se fait par un règlement, pas par le flicage. @+ -- Jérôme Nicolle +33 6 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
+1 sur les Vdoms CB Le 21/06/2018 19:31, « frnog-requ...@frnog.org on behalf of Guillaume Tournat » a écrit : > >Bonjour, > >Fortinet (les firewalls FortiGate) sont simples à administrer. La WebUI >est vraiment bien faite. > >Pour la CLI, je ne la trouve pas bizarre. Il faut juste veiller, dans >les changements de version majeure, il peut y avoir des instructions qui >apparaissent ou qui disparaissent. > >Quant aux compétences, il y en aussi. J'ai passé la NSE8 la semaine >dernière. > >(et oui, les vDOMS, c'est top!) > > >gu!llaume > > >Le 21/06/2018 à 18:48, Guillaume Barrot a écrit : >> " CheckPoint étant plus facile à administrer" >> >> Ultra subjectif comme argument. >> >> Si tu as sous la main un ingé secu qui a été formé au bon grain de >> Checkpoint depuis 20 ans, ok. >> Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant. >> >> Encore une fois, si tu es une banque bourrée de thunes, ton choix ne >>sera >> pas le même que l'ETI du coin, et encore plus différent que le choix >>d'un >> Service Provider. >> J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3 >>ans, >> le *seul* constructeur qui a très officiellement refusé de répondre, >>car il >> n'avait pas les technos adéquates c'etait Checkpoint. >> Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne >>supportant >> que 1000 VLANs, a répondu. C'est dire. >> >> Donc Checkpoint a surement un marché, très très orienté sur la sécurité >> avancée. >> On me parle des fois encore de l'interface de Checkpoint, qui serait une >> référence sur le sujet. >> Perso je la trouve trop riche, trop confuse, et ingérable pour un gars >> n'ayant pas un lourd passé sur la techno. >> A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et >>plus >> riche en information concrète, ou celle d'un Fortinet qui est vraiment >> "neuneu proof", malgré des lacunes sur certaines fonctionnalités pour >> lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs). >> >> Pour de la revente de sécurité en mode "firewall as a service", il n'y a >> pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix, >> Palo Alto loin devant pour l'aspect features/usages (l'API est top), >>malgré >> un prix ultra élevé. >> Et les deux sont vraiment très sympas en VM, avec comme bemol un prix >>élevé >> sans vraiment d'explication logique (la palme pour Fortinet ou une VM >>est >> plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es >> censé revenir moins cher à Fortinet, vu que tu prends pas le hardware >>...) . >> Dans les deux cas, si tu as des bases en admin firewall, la prise en >>main >> c'est quelques jours (2-3 max, à moins d'être vraiment particulierement >> mauvais, ou de mauvaise foi) >> >> Le ven. 25 mai 2018 à 06:20, Fabrice a écrit : >> >>> Bonjour, >>> >>> Pas forcement d'accord avec toi Guillaume, sur le long terme le >>>CheckPoint >>> étant plus facile à administrer tu t'y retrouveras en masse salariale >>>;). >>> >>> Fabrice >>> >>> Le 24 mai 2018 à 23:40, Guillaume Barrot a >>> écrit : >>> Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste... Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume < guillaume.leprov...@cotesdarmor.fr> a écrit : > Bonjour à tous, > > Je m'engage dans une démarche de remplacement des firewalls de ma >boite. > > Un premier travail m'amène à la short-list suivante : > CHECKPOINT > PALOALTO > STORMSHIELD > > Notre configuration cible devra avoir les capacités suivantes : > > - Cluster de 2 équipements à minima en mode actif / passif > > - Accès internet jusqu'à 500 Mb/s > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 >interfaces > SFP en complément) > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage >applicatif, > Filtrage d'URL (avec authentification utilisateur) > > - Module Sandboxing en option > > - Console d'administration centralisée si indispensable >pour la > conservation des traces > > - Possibilité de fonctionner en mode proxy ou non > > Avez-vous des retours d'expérience à fournir concernant ces 3 >solutions ? > Quels équipements conseilleriez-vous ? > > Merci d'avance pour vos retours avisés. > > Cordialement. > > Guillaume. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
On 21/06/2018 20:18, Jérôme Nicolle wrote: Aucun. La sécurité se gère sur les terminaux, pas dans le réseau. Une redondance entre les AV des terminaux qui en ont besoin et les firewalls ne sert à rien. Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais globalement ça ne sert à rien : empêcher les utilisateurs de mater facebook ou du porn, ça se fait par un règlement, pas par le flicage. Tout dépend du role que l'on veut attribuer à un firewall d'entreprise. On y colle souvent un peu toutes les fonctions (vpn, nat-in, analyse d'activités utilisateurs, etc...) qui devraient être segmentées dans différents équipements. Cela dépend aussi grandement de la typologie de l'entreprise, et de sa maturité technique. Si elle faible, il y a fort à parier que la solution AV va être faible. Dans ce cas avoir un firewall filtrant en sortie n'est pas forcément déconnant. C'est déceptif car on devrait juste tout ouvrir, faire confiance aux gens, et juste installer un flow pour tracker les petits plaisantins. Malheuresement on sait tous ce qu'il en est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Guillaume, Le 23/05/2018 à 16:41, LE PROVOST Guillaume a écrit : > Quels équipements conseilleriez-vous ? Aucun. La sécurité se gère sur les terminaux, pas dans le réseau. Une redondance entre les AV des terminaux qui en ont besoin et les firewalls ne sert à rien. Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais globalement ça ne sert à rien : empêcher les utilisateurs de mater facebook ou du porn, ça se fait par un règlement, pas par le flicage. @+ -- Jérôme Nicolle +33 6 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Bonjour, Fortinet (les firewalls FortiGate) sont simples à administrer. La WebUI est vraiment bien faite. Pour la CLI, je ne la trouve pas bizarre. Il faut juste veiller, dans les changements de version majeure, il peut y avoir des instructions qui apparaissent ou qui disparaissent. Quant aux compétences, il y en aussi. J'ai passé la NSE8 la semaine dernière. (et oui, les vDOMS, c'est top!) gu!llaume Le 21/06/2018 à 18:48, Guillaume Barrot a écrit : " CheckPoint étant plus facile à administrer" Ultra subjectif comme argument. Si tu as sous la main un ingé secu qui a été formé au bon grain de Checkpoint depuis 20 ans, ok. Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant. Encore une fois, si tu es une banque bourrée de thunes, ton choix ne sera pas le même que l'ETI du coin, et encore plus différent que le choix d'un Service Provider. J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3 ans, le *seul* constructeur qui a très officiellement refusé de répondre, car il n'avait pas les technos adéquates c'etait Checkpoint. Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne supportant que 1000 VLANs, a répondu. C'est dire. Donc Checkpoint a surement un marché, très très orienté sur la sécurité avancée. On me parle des fois encore de l'interface de Checkpoint, qui serait une référence sur le sujet. Perso je la trouve trop riche, trop confuse, et ingérable pour un gars n'ayant pas un lourd passé sur la techno. A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et plus riche en information concrète, ou celle d'un Fortinet qui est vraiment "neuneu proof", malgré des lacunes sur certaines fonctionnalités pour lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs). Pour de la revente de sécurité en mode "firewall as a service", il n'y a pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix, Palo Alto loin devant pour l'aspect features/usages (l'API est top), malgré un prix ultra élevé. Et les deux sont vraiment très sympas en VM, avec comme bemol un prix élevé sans vraiment d'explication logique (la palme pour Fortinet ou une VM est plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es censé revenir moins cher à Fortinet, vu que tu prends pas le hardware ...) . Dans les deux cas, si tu as des bases en admin firewall, la prise en main c'est quelques jours (2-3 max, à moins d'être vraiment particulierement mauvais, ou de mauvaise foi) Le ven. 25 mai 2018 à 06:20, Fabrice a écrit : Bonjour, Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint étant plus facile à administrer tu t'y retrouveras en masse salariale ;). Fabrice Le 24 mai 2018 à 23:40, Guillaume Barrot a écrit : Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste... Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume < guillaume.leprov...@cotesdarmor.fr> a écrit : Bonjour à tous, Je m'engage dans une démarche de remplacement des firewalls de ma boite. Un premier travail m'amène à la short-list suivante : CHECKPOINT PALOALTO STORMSHIELD Notre configuration cible devra avoir les capacités suivantes : - Cluster de 2 équipements à minima en mode actif / passif - Accès internet jusqu'à 500 Mb/s - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en complément) - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage d'URL (avec authentification utilisateur) - Module Sandboxing en option - Console d'administration centralisée si indispensable pour la conservation des traces - Possibilité de fonctionner en mode proxy ou non Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? Quels équipements conseilleriez-vous ? Merci d'avance pour vos retours avisés. Cordialement. Guillaume. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
" CheckPoint étant plus facile à administrer" Ultra subjectif comme argument. Si tu as sous la main un ingé secu qui a été formé au bon grain de Checkpoint depuis 20 ans, ok. Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant. Encore une fois, si tu es une banque bourrée de thunes, ton choix ne sera pas le même que l'ETI du coin, et encore plus différent que le choix d'un Service Provider. J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3 ans, le *seul* constructeur qui a très officiellement refusé de répondre, car il n'avait pas les technos adéquates c'etait Checkpoint. Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne supportant que 1000 VLANs, a répondu. C'est dire. Donc Checkpoint a surement un marché, très très orienté sur la sécurité avancée. On me parle des fois encore de l'interface de Checkpoint, qui serait une référence sur le sujet. Perso je la trouve trop riche, trop confuse, et ingérable pour un gars n'ayant pas un lourd passé sur la techno. A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et plus riche en information concrète, ou celle d'un Fortinet qui est vraiment "neuneu proof", malgré des lacunes sur certaines fonctionnalités pour lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs). Pour de la revente de sécurité en mode "firewall as a service", il n'y a pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix, Palo Alto loin devant pour l'aspect features/usages (l'API est top), malgré un prix ultra élevé. Et les deux sont vraiment très sympas en VM, avec comme bemol un prix élevé sans vraiment d'explication logique (la palme pour Fortinet ou une VM est plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es censé revenir moins cher à Fortinet, vu que tu prends pas le hardware ...) . Dans les deux cas, si tu as des bases en admin firewall, la prise en main c'est quelques jours (2-3 max, à moins d'être vraiment particulierement mauvais, ou de mauvaise foi) Le ven. 25 mai 2018 à 06:20, Fabrice a écrit : > Bonjour, > > Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint > étant plus facile à administrer tu t'y retrouveras en masse salariale ;). > > Fabrice > > Le 24 mai 2018 à 23:40, Guillaume Barrot a > écrit : > >> Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste... >> >> Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume < >> guillaume.leprov...@cotesdarmor.fr> a écrit : >> >> > Bonjour à tous, >> > >> > Je m'engage dans une démarche de remplacement des firewalls de ma boite. >> > >> > Un premier travail m'amène à la short-list suivante : >> > CHECKPOINT >> > PALOALTO >> > STORMSHIELD >> > >> > Notre configuration cible devra avoir les capacités suivantes : >> > >> > - Cluster de 2 équipements à minima en mode actif / passif >> > >> > - Accès internet jusqu'à 500 Mb/s >> > >> > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces >> > SFP en complément) >> > >> > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, >> > Filtrage d'URL (avec authentification utilisateur) >> > >> > - Module Sandboxing en option >> > >> > - Console d'administration centralisée si indispensable pour la >> > conservation des traces >> > >> > - Possibilité de fonctionner en mode proxy ou non >> > >> > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions >> ? >> > >> > Quels équipements conseilleriez-vous ? >> > >> > Merci d'avance pour vos retours avisés. >> > >> > Cordialement. >> > >> > Guillaume. >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> > >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Bonjour Guillaume, Les CloudGen Firewall de Barracuda Networks sont très bien et performant. Si tu as besoins de plus de détails n’hésites pas, Cdt, Stéphane Gilliers By smartphone _ From: LE PROVOST Guillaume Sent: mercredi, mai 23, 2018 4:42 PM Subject: [FRnOG] [TECH] Solutions firewall NGN To: , Bonjour à tous, Je m'engage dans une démarche de remplacement des firewalls de ma boite. Un premier travail m'amène à la short-list suivante : CHECKPOINT PALOALTO STORMSHIELD Notre configuration cible devra avoir les capacités suivantes : - Cluster de 2 équipements à minima en mode actif / passif - Accès internet jusqu'à 500 Mb/s - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en complément) - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage d'URL (avec authentification utilisateur) - Module Sandboxing en option - Console d'administration centralisée si indispensable pour la conservation des traces - Possibilité de fonctionner en mode proxy ou non Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? Quels équipements conseilleriez-vous ? Merci d'avance pour vos retours avisés. Cordialement. Guillaume. --- Liste de diffusion du FRnOG https://linkprotect.cudasvc.com/url?a=http%3a%2f%2fwww.frnog.org%2f&c=E,1,LXoqCOnJCIIAGrqzlQryG6s3XGBRRJZ6DF4g634S-RvtA13OFWOC6xi8-z5uZjJH5_it_FlVFijzfWNz3ChrjbgHtR55TJt7VWyVK7odCAI,&typo=1 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Bonjour, Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint étant plus facile à administrer tu t'y retrouveras en masse salariale ;). Fabrice Le 24 mai 2018 à 23:40, Guillaume Barrot a écrit : > Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste... > > Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume < > guillaume.leprov...@cotesdarmor.fr> a écrit : > > > Bonjour à tous, > > > > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > > > > Un premier travail m'amène à la short-list suivante : > > CHECKPOINT > > PALOALTO > > STORMSHIELD > > > > Notre configuration cible devra avoir les capacités suivantes : > > > > - Cluster de 2 équipements à minima en mode actif / passif > > > > - Accès internet jusqu'à 500 Mb/s > > > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces > > SFP en complément) > > > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, > > Filtrage d'URL (avec authentification utilisateur) > > > > - Module Sandboxing en option > > > > - Console d'administration centralisée si indispensable pour la > > conservation des traces > > > > - Possibilité de fonctionner en mode proxy ou non > > > > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > > > > Quels équipements conseilleriez-vous ? > > > > Merci d'avance pour vos retours avisés. > > > > Cordialement. > > > > Guillaume. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste... Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume < guillaume.leprov...@cotesdarmor.fr> a écrit : > Bonjour à tous, > > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > > Un premier travail m'amène à la short-list suivante : > CHECKPOINT > PALOALTO > STORMSHIELD > > Notre configuration cible devra avoir les capacités suivantes : > > - Cluster de 2 équipements à minima en mode actif / passif > > - Accès internet jusqu'à 500 Mb/s > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces > SFP en complément) > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, > Filtrage d'URL (avec authentification utilisateur) > > - Module Sandboxing en option > > - Console d'administration centralisée si indispensable pour la > conservation des traces > > - Possibilité de fonctionner en mode proxy ou non > > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > > Quels équipements conseilleriez-vous ? > > Merci d'avance pour vos retours avisés. > > Cordialement. > > Guillaume. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Bonjour, Tout dépends du besoin (filtrage, sécurisation, etc) et je pense qu'il faudrait plutôt partir de l'approche de la sécurité à mettre en oeuvre afin de déterminer la meilleure stratégie. Cependant quelques points de reflexion par rapport à mon expérience: Un FW Checkpoint n'est pas indépendant d'une station de management, certes le management est très bien fait mais cela nécessite donc une VM ou un serveur dédié pour gérer le FW s'il n'y a pas d'autre équipement dans la boucle cela amène un surcoût non négligeable tant en terme OPEX que CAPEX. Si on se positionne d'un point de vue Sécurité et surtout des points de vue gouvernement Français, le Stormshield est assez répandu car c'est un des rares sinon le seul qui est validé au plus haut niveau de sécurité par l'ANSSI, c'est un peu le couteau suisse et plutôt bien ficelé, toutefois on peut être dérouté par rapport aux méthodes de configuration de l'outil. En dernier lieu et ce serait ma recommendation, le PaloAlto un PA-850 fera très bien l'affaire (4*1Gbps Cuivre + 4 SFP + 2*10Gbps SFP+) compte tenu des besoins même si la fonction proxy peut paraître un point limitatif, mais il ne nécessite pas de console centralisée, (on pourra l'ajouter ensuite) et si on pars ensuite dans un mode sécurité unifiée on pourra utiliser des solutions telles que TRAPS, WildFire afin de garantir l'ensemble des aspects de sécurité de manière unifiée au niveau du poste de travail. Tu peux me contacter en MP pour en parler plus en détail, je te donnerai mes coordonnées pro ensuite (étant dans la partie). Cordialement Stéph Le 23 mai 2018 à 16:41, LE PROVOST Guillaume < guillaume.leprov...@cotesdarmor.fr> a écrit : > Bonjour à tous, > > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > > Un premier travail m'amène à la short-list suivante : > CHECKPOINT > PALOALTO > STORMSHIELD > > Notre configuration cible devra avoir les capacités suivantes : > > - Cluster de 2 équipements à minima en mode actif / passif > > - Accès internet jusqu'à 500 Mb/s > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces > SFP en complément) > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, > Filtrage d'URL (avec authentification utilisateur) > > - Module Sandboxing en option > > - Console d'administration centralisée si indispensable pour la > conservation des traces > > - Possibilité de fonctionner en mode proxy ou non > > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > > Quels équipements conseilleriez-vous ? > > Merci d'avance pour vos retours avisés. > > Cordialement. > > Guillaume. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Hello, Je vote comme David. Une raison particulière pour laquelle tu n'as pas short-listé fortinet ? Le combo fortigate + fortimanager + fortisandbox semble quand meme plutôt bien répondre à tes attentes. Pierre 2018-05-23 17:28 GMT+02:00 David Ponzone : > Fortinet ? > > Sent from Mailspring (https://link.getmailspring. > com/link/1527089212.local-e5af95b7-c79a-v1.2.1-7e7447b6@ > getmailspring.com/0?redirect=https%3A%2F%2Fgetmailspring.com%2F&recipient= > ZnJub2ctdGVjaEBmcm5vZy5vcmc%3D), the best free email app for work > On mai 23 2018, at 4:41 pm, LE PROVOST Guillaume cotesdarmor.fr> wrote: > > > > Bonjour à tous, > > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > > Un premier travail m'amène à la short-list suivante : > > CHECKPOINT > > PALOALTO > > STORMSHIELD > > > > Notre configuration cible devra avoir les capacités suivantes : > > - Cluster de 2 équipements à minima en mode actif / passif > > - Accès internet jusqu'à 500 Mb/s > > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en > complément) > > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage > d'URL (avec authentification utilisateur) > > - Module Sandboxing en option > > - Console d'administration centralisée si indispensable pour la > conservation des traces > > - Possibilité de fonctionner en mode proxy ou non > > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > > Quels équipements conseilleriez-vous ? > > Merci d'avance pour vos retours avisés. > > Cordialement. > > Guillaume. > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Fortinet ? Sent from Mailspring (https://link.getmailspring.com/link/1527089212.local-e5af95b7-c79a-v1.2.1-7e744...@getmailspring.com/0?redirect=https%3A%2F%2Fgetmailspring.com%2F&recipient=ZnJub2ctdGVjaEBmcm5vZy5vcmc%3D), the best free email app for work On mai 23 2018, at 4:41 pm, LE PROVOST Guillaume wrote: > > Bonjour à tous, > Je m'engage dans une démarche de remplacement des firewalls de ma boite. > Un premier travail m'amène à la short-list suivante : > CHECKPOINT > PALOALTO > STORMSHIELD > > Notre configuration cible devra avoir les capacités suivantes : > - Cluster de 2 équipements à minima en mode actif / passif > - Accès internet jusqu'à 500 Mb/s > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en > complément) > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage d'URL > (avec authentification utilisateur) > - Module Sandboxing en option > - Console d'administration centralisée si indispensable pour la conservation > des traces > - Possibilité de fonctionner en mode proxy ou non > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ? > Quels équipements conseilleriez-vous ? > Merci d'avance pour vos retours avisés. > Cordialement. > Guillaume. > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
