bonjour,
 
notre PME est blotti derrière un coupe-feu arkoon depuis qq année. Cé très bien, très top et tou, mais un peu cher.
Je voudrais savoir s'il existe une alternative aussi bonne qu'arkoon, mais en open source, et svp avec GUI, on n'est pas des pro...
 
je connais de nom
SNORT, NAGIOS, SQUID mais je dois mélanger un peu le tou, donc merci pour votre aide!

En production, on a installé des iptables sur des serveurs qui tournaient sur des linux 2.6 en haute dispo (heartbeat). La gui pour les règles était firewallbuilder.

dreamer18 merci pour cet info.
je suis assez novice en linux. Je suppose que c'est très "hardened" et que cette config puisse remplacer une solution commerciale comme arkoon ou autre? il faut que ce soit très personnalisable par utilisateur, y compris des horaires. Cé le cas?
peux-tu donner un peu plus d'info sur les serveurs eux-mêmes?

un type de l'équipe unix a monté le truc; deux serveurs Dell Poweredge 2950, des cartes réseaux gigabit dessus, et une slackware 11.
 
par contre pour la personalisation, heu comment dire...

tu peux essayer pfsense

http://www.ipcop.org/
 
J'en ai souvent entendu du bien dans le milieu open-source, par contre pas testé personnellement.

 
Tu devrais tester la distribution ipcop, ça paraît adapté à tes besoins.  

C'est une bonne distrib. Facilement administrable, permettant avec l'ajout d'extensions de faire tous ce que la majorité d'une entreprise a besoin en terme de Firewall/filtrage.

Les limitations que j'ai rencontrés en utilisant cette distrib :
1) pas moyen via interface GUI de declarer plusieurs interfaces logiques (ca d la pate Wan ou LAn ne peut avoir plusieurs IP).
2) pas moyen de faire du PNAT.
3) s'installe sur disque dur mais ne reconnait pas des Ctrl SCSI Raid. (il faut prier pour ne pas avoir une casse disque).
 

ipcop est quand meme tres orienté grand public. y'as des difference au niveau fonctionnalités et perfs avec un arkoon.

 
surtout au niveau du prix d'ailleurs

Essentiellement au niveau du prix......  
 
PS: Il ne faut pas oublier que beaucoup de firewall dit "Hardware"  ne sont en fait que des appliance Linux ou debian.
 

C'est le cas des Arkoon d'ailleurs, mais la différence se fait sur les modules propriétaires qu'on retrouve au milieu.

exact... ce n'est pas parce que ca tourne sur un noyau linux que c'est identique a la distrib que tu peut downloader sur le net.

ce n'est pas ce que j'ai dis.    
 
Perso je pense que pour une petite structure (genre PME) qui a des besoins non spécifique de connectivité internet, il n'y a pas besoin d'investir dans des appliances qui coutent bien souvent très cheres et qui sont largement dispropotionnées pour un usage "classique".
 
 

s'ils ont choisi un arkoon c'est qu'il y as quand meme des besoins specifiques. le terme PME n'implique pas des besoins 'au rabais' ...  
une simple PME de 4 personnes travaillant dans le web vas avoir des besoins precis en terme de securité s'ils choisissent d'heberger leurs applis en interne.

 
 
debian c'est pas une distrib linux ?

Utiliser une distrib dédiée sécurité (sous linux ou openbsd par exemple ) ne veut pas dire "sécurité au rabais". Des milliers d'entreprise dans le monde (dont la mienne, hébergeant 20 sites web + divers front-office) les utilisent et à ma connaissance elles n'ont pas plus de problèmes qu'en utilisant une appliance ou un boitier dédié (genre Pix).  Les grosses differences que je vois c'est avant tout:
1) une facilité de paramétrage/ mise en oeuvre (merci les interfaces web) des boitiers dédiés contrairement aux distrib qui nécessitent souvent de mettre "les mains dans le moteur" (heu.....  cette regle, je la positionne dans la table Mangle, Forward, à moins que ce ne soit l'INPUT ou l'OUTPUT.......).
2) le support qui est associé au produit.
3) et aussi une certaine fiabilité car un boitier dédié (qui a donc le minimum de mécanique et d'electronique) a moins de chance de tomber en rade qu'un PC transformé en firewall.

 
 
c'est une erreur de ma part, je voulais dire BSD.

Dis nous en un peu plus sur ta pme et ce qu'elle desire faire derriere le net. Ipcop c'est très bien et stable. Si un disque pete ben comme on peut faire des sauvegardes on réinstalle ça en 20min.

oui et pendant 20 minutes plus personnes n'a accès au net et surtout plus aucun client ne peut se connecter.    
 
 

 
tout a fait d'accords avec toi, mais justement les arguments que tu liste en 1, 2 et 3 font qu'il est plus avantageux pour une PME d'investir dans un boitier dedié que dans une distrib configurée justement a cause des competences necessaires a la mise en place et la maintenance courante de ce type de solution. Je parle de solution au rabais pour une IPCOP utilisée en lieu et place d'un arkoon ou equivalent.
 
Bien evidement toujours dans le cas d'un acces avec des contraintes specifiques, pas pour un simple acces web.

Ben tout dépend donc de son utilisation et de sa compétence.

 
oui et non.
 
y a :
 
- Debian GNU/Linux
- Debian GNU/Hurd
- Debian GNU/Kfreebsd
 
 

http://leaf.sourceforge.net/

Rootshell:  Donner un lien sans aucune explication, sans donner les avantages/inconvenients de cette distrib par rapport à d'autres ou par rapport à une appliance, cela n'a aucun interet.
 
Toujours est-il que bien que je préfère de loin les solutions plus "roots" (sauce debian, ou openBSD),  Snort, je te conseille de rester avec ton Arkoon.  En effet tu ne me semble pas avoir les connaissances nécessaires à la bonne mise en oeuvre d'un firewall "home-made".  
 
Vouloir faire économiser de l'argent à son entreprise est louable mais cela ne doit pas remettre en cause la sécurité de l'entrepresise de par une mise en oeuvre approximative d'un firewall.
 

hello
Je suis en pleine réflexion pour la mise en place d'un firewall/filtre d'url dans une PME avec des besoins simples en matière de filtrage et de config (au pire j'aurai un vpn à monter)
pour l'instant je me tourne vers un ipcop configuré avec 2 plugins (Blockout traffic/urlfilter)
 
a priori ça répond à mes besoins en terme de sécu mais je me pose la question de savoir si un boitier dédié ferait mieux l'affaire.
Si vous utilisez une appliance (arkoon, zyxel, etc), qu'est-ce qui vous à décidé à le préivilégier plutôt qu'une solution opensource/mainsdanslecambouis ?
 

globalement d'un point de vue resultat: c'est la meme chose (a condition d'avoir les competences requises pour le faire sois meme, cela vas de soi)
Maintenant c'est pas du tout la meme chose d'un point de vue mise en place et maintenance. La plupart du temps l'utilisation d'un appliance implique un support en cas de probleme, une garantie, etc...

J'ai dejà testé ipcop qui est une bonne distribution et rend de fier service, mais qu'en est t'il si on veut monter un firewall plus elaboré avec par exemple 4 interfaces: INT EXT DMZ1 DMZ2

fiaif, shorewall

 
fiaif je ne connais pas mais shorewall ça reste super archaique non ??
 
qui créé encore ses règles avec des fichiers textes ???

shorewall est très utilisé.
 
tu peux utiliser fwbuilder si tu préferes.
 
pourquoi un fichier texte serait archaique ????

Lorsque j'étais en formation (BTS Réseaux Informatiques), j'ai fait une étude de 2 mois sur un projet libre.  
J'ai fait cette étude sur les fonctionnalité et l'intérêt de la mise en place de solution Firewall IPCop dans une entreprise.  
 
Ce qui en est ressorti:
¤Très souple, avec les modules additionels qui permettent d'aller assez loin.
¤Soutient communautaire très actif et d'un précieux secours.
¤Facilité de mise en place et d'administration.
¤Permet d'utiliser une machine peut performante.
¤A mon avis, très intéressante pour les PME, mais si on a un budget, peut etre est il inéressant d'aller voir ailleurs.
 
En fait, ce qui m'a séduit, c'est qu'avec, sur une vieille bécane, j'ai fait tourner: Du filtrage, du VPN inter-sites, du VPN Roadwarrior, et de nombreuses règles d'accès et mappage. Ca bouge pas, c'est stale, c'est super bien.
 
Par contre, au niveau filtrage, SquidGuard marche bien, mais aucune liste (pas même celle de l'université de Toulouse) n'est très efficace. C'est bon pour brider des gosses de collèges, pas mieux.
Mais là, on s'éloigne du sujet puisque c'est bien d'un module additionel qu'on parle, et pas d'IPCop en lui même.  
 
Pur ce qui est de la non reconaissance des disques SCSI, je crois que c'est corigé dans la dernière version (1.4.16) ou alors c'est en passe de l'être. L'équipe de Dèv est très réactive, et il suffit peut être de leur demander encore une fois pour que ce soit étudié!    
 
A ceux qui disent que ca nécessite des compétences spéciales, avez vous déjà eu à installer/administrer des solutions VPN-1 de CheckPoint?    
 
Bref, ca reste aisé à prendre en main, et s'avère être, de loin, la solution la moins onéreuse. Après, il faut voir en terme de besoins, bien évidemment.  
 
Dernier conseil, par contre, le module BOT (Block Out Traffic) est très dur à utiliser en conditions réelles lorsque le traffic est dense. Sinon, il faut une bonne conaissance des protocoles réseaux, et du traffic qui circule sur son réseau. Sinon on est vite perdus!!
 
(pour info, BOT bloque tous types de traffics, et après on doit mettre en place, graphiquement, des ACL pour laisser passer ou non le traffic. Je me rappel d'une panne a cause d'une règle interdisant le HTTPS aux utilisateurs, et qui induisait une impossibilité de mise en place des tunnels VPN (sur SSL) compris... ??? lol)

Pfsense gère la redondance via des IP virtuelles ... (je sais pas si c'est le demon heartbeat qui est utilisé).
Relativement souple a utiliser et avec une interface de configuration des regles NAt et des regles de parefeu ressemblant a 100% à des parefeu très pros.
 
Sont interface Web (surtout les regles) m'a séduit dans le choix de distribution entre ipcop et p^fsense, puisque à l'epoque je ne connaissais que ces deux là.
 
Maintenant, je ne regrettes pâs mon choix de pfsense, il remplis tout ce que je veux lui faire faire.
Plusieurs interfaces dont une dédiée à la redondance entre 2 machines.
VPN OpenVPN en sitetosite, snort, proxy, lightsquid et du PPTP roadwarrior de facon redondante et fiable.
 
Après quelques modifications de 3/4 fichiers PHP/INC pour personnaliser les menus et les remettre dans un ordre plus logique et comprehensibles pour mes collegues (et pour moi) et voila ... un systeme redondant (surtout logiciellement) qui a plusieurs reprises a fait ses preuves et qui avec plusieurs MAJ sans s'enmerder a reinstaller de a a Z ne nous a posé qu'une fois un probleme ...
 
 
Après avoir déployé dans plusieurs lieux cette distribution, je la recommande fortement (tant que je n'en connais pas d'autre)

je m'étais intéressé aux FW libres, et pfsense avait effectivement l'air très complet : haute dispo statefull avec CARP, VPN, QoS, support du 802.1q et tout un tas d'autre choses...
 
Seul défaut (comme tout produit opensource sans grosse structure derrière), le support et la maintenance de ce truc là. Dommage. Le produit a l'air très interessant

pour pfsense, il existe depuis quelques mois un support commercial !
 

mouaif, quand ils vendront des appliances avec RMA en H+4 (ou au moins J+1) on en reparle
 
C'est pourquoi je pense que sur des installs critiques, cisco, checkpoint, juniper et tous les autres qui ont un circuit de maintenance rodé ne seront jamais menacés par des produits opensource comme pfsense, aussi bons et complets que puissent être ces derniers À moins que comme pour Snort, une boite se monte (sourcefire en l'occurence) et assure une véritable distribution/support professionnel avec niveaux de services et tout et tout
 
Pour sourcefire, c'est un moteur snort qui est "enrobé" dans une solution propriétaire, ils vendent des appliances (style boite noire), ça tourne sous linux, c'est du snort mais tu le vois jamais, y a juste l'interface sourcefire qui permet de faire abstraction du soft qui tourne en dessous. Le dev de snort se fait toujours en opensource, et c'est la communauté qui en profite au même titre que le produit commercial.
 
Et surtout ils font le support 24/7.

 
 
Entierement d'accord !
Tout dépend des besoins, des moyens et des "risques" encourus.

c'est dommage parce que comparé à cisco, l'interface graphinque de pfsense est super sympa

BOnjour
 
ca coute combien une solution arkoon ??  
 
merci

ça dépend, une A200 coute moins qu'un A800, un A800 coute moins qu'un cluster de A800 etc... sans compter les licences...