Boitier UTM et proxy

Boitier UTM et proxy - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 09-04-2007 à 18:53:13    

Hello all
 
Dans ma structure, on envisage de changer notre solution à base de pc nunux routeur/firewall/proxy pas géré par nous par une solution que nous allons gérer et qui nous apportera pus de fonctionnalités et de sécurité (filtrage spam, antivirus mail, proxy amélioré...)
 
Nos besoins :
 
- Firewall
- filtrage antispam et antivirus sur email avant d'arriver sur le serveur de messagerie
- gestion de la quarantaine intuitive.
- filtrage URL
- filtrage antivirus sur traffic HTTP
- proxy pouvant récupérer les users AD et en fonction de groupes autoriser tout l'internet ou des listes blanches...
- possibilité d'une DMZ
- possibilité de publier des serveurs dans le LAN ou la DMZ.
- le VPN est optionnel, nos sites étant déjà reliés par du VPN SDSL Equant.
 
ça fait un petit moment que je réfléchis à la question et j'etais parti en test sur un ipcop à 3 interfaces (LAN, WAN, DMZ) avec des add-ons (advanced proxy , antivirus...) et Interscan Messaging Security Suite de Trend en DMZ comme passerelle SMTP antivirus et antispam.
 
... et puis je me dis que ça manque peut etre d'un peu de sécurité tout ça car l'ipcop ne dispose pas d'IPS mais seulement d'un IDS (snort).
 
Alors je m'intérroge sur les boitiers UTM qui réponde à priori à tous nos besoins. je me suis renseigné et parmi les noms revenant souvent, y'a netasq et arkoon, les deux made in france ce qui peut etre sympa au niveau SAV.
 
questions :
- qu'en est-il des possibilités de proxy web sur ces boitiers et nottament du dialogue avec l'AD ?, ça répond à nos besoins ?
- si je publie une ressource du réseau local sur l'UTM, peut-on s'authentifier dès la connexion à l'UTM ou ce dernier nate juste la requette vers la   ressource ?
y'en a t-il parmi vous qui utilisent ces boitiers en mode transparent ?  
vos avis et retour d'experience sur ce type de solution m'interessent...
 :)


Message édité par i'm philou le 15-04-2007 à 09:46:32
Reply

Marsh Posté le 09-04-2007 à 18:53:13   

Reply

Marsh Posté le 11-04-2007 à 10:32:29    

:bounce:

Reply

Marsh Posté le 11-04-2007 à 16:01:18    

En debut de réponse je dirais concernant Netasq que la partie antivirus / filtrage URL est un 1er niveau et pour ce genre de fonctions j'ai tendance donc a préferer des boitiers dédiés (type olfeo par ex pour le filtrage URL) qui font je pense un meilleur boulot et soulage le firewall. Le filtrage gratuit intégré au Netasq est pas mal si l'on ne cherche pas une solution évoluée (websense, olfeo ..) et il est possible de s'abonner aux liste d'optenet sinon. Pour l'AV c'st ClamAV (gratuit) ou Kaspersky (payant).  
Pour une DMZ et publier des serveurs ca ne pose pas de probleme.
Pour publier des serveurs du LAN et demander une authentification sur l'UTM tu px utiliser la fonction vpn SSL.

Reply

Marsh Posté le 14-04-2007 à 20:02:15    

merci pour tes précisions  :)  
et concernant la partie proxy et une eventuelle interaction avec l'AD, ça donne quoi ?
 

Reply

Marsh Posté le 14-04-2007 à 22:11:36    

i'm philou a écrit :

Alors je m'intérroge sur les boitiers UTM qui réponde à priori à tous nos besoins. je me suis renseigné et parmi les noms revenant souvent, y'a netasq et arkoon, les deux made in france ce qui peut etre sympa au niveau SAV.


 
Je me permet de faire ma petite pub. Je travaille actuellement en tant que développeur chez ARESSI, un 3eme made in france  :)  
 
Pour info, j'ai un ami qui bosse dans une boite qui a un partenariat avec arkoon, ils viennent récemment d'être décu au niveau support. Le temps de réponse est long...
 
Sinon, pour en revenir à ARESSI, on a déjà remporté quelques appels d'offres face à arkoon ou netasq. On a remplacé du netasq chez un client. On est pas encore très connus parce qu'assez jeunes mais on commence à monter. Je te laisse aller faire un tour sur notre site web: http://www.aressi.fr
 
Si tu as des questions, n'hésites pas à me demander, je pourrais te renseigner.  :)  

Reply

Marsh Posté le 16-04-2007 à 10:19:08    

i'm philou a écrit :

merci pour tes précisions  :)  
et concernant la partie proxy et une eventuelle interaction avec l'AD, ça donne quoi ?


 
Concernant les proxy, du moment que tu actives antispam, anti virus (et le filtrage url je crois), tu actives automatiquement les proxy en mode transparent (proxy http, smtp, pop).
 
Pour l'integration avec AD je m'ensuis encore jamais servi, pour info ds l'interface de management il y a cette rubrique concernant LDAP et AD :
 
http://img243.imageshack.us/img243/1484/ldapcz4.jpg
 

Reply

Marsh Posté le 24-04-2007 à 19:27:16    

ok merci
 
_p1c0_  ...> je vais aller faire un tour sur le site, merci

Reply

Marsh Posté le 23-02-2010 à 01:48:32    

Bonsoir tous le monde,  
SVP qui connais le SURA ???? c un moitier UTM aussi

Reply

Marsh Posté le 23-02-2010 à 09:37:18    

bonjour,
J'utilise un U450 avec active directory 2003, ça fonctionne bien, mes user remontent bien sur le netasq.
Je peux même filtrer les utilisateurs en fonction de certaine propriété active driectory de l'user.
Par exemple ne remonterons que les user qui dans bureau ont le texte VPN.
Sinon pour le SSO avec le proxy c'est assez dur a mettre en place car il faut créé des certificat.
J'ai abandonné cette solution car certains logiciel sur les stations ne gèrent pas le SSO.
 
Quand tu intégre le netasq dans l'ad il faut modifier le schema de l'ad (manuellement), car le netasq en a besoin pour y stocker des informations sur les profil vpn ssl.
Tu ne peux pa avoir deux bases utilisateur, une netasq et l'autre AD.


Message édité par skoizer le 23-02-2010 à 09:40:30

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 23-02-2010 à 10:11:38    

Salut
 
Tu te sers uniquement de l'AD pour la reconnaissance des nomades ou tu réalises tout ton filtrage via l'AD? Je veux dire par là que dans ton filtrage tu fais référence à un user/OU ou bien tu dois continuer à utiliser les @IP.
 
merci


---------------
Jujudu44
Reply

Marsh Posté le 23-02-2010 à 10:11:38   

Reply

Marsh Posté le 23-02-2010 à 10:50:10    

Tu peux utiliser des groupes utilisateur d'active directory pour le filtrage d'internet. Mais pour ça il faut qu'ils soient identifié sur le netasq.
Mais même avec la synchro active diectory il faut qu'ils s'identifient, sauf si tu met le SSO, mais la c'est un peu plus compliqué a mettre en place.
Moi je ne fais pas d'identification, je met un filtrage par les théme optenet et tout fonctionne, je n'ai pas envie d'y passer trop de temps.


Message édité par skoizer le 23-02-2010 à 10:51:20

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 23-02-2010 à 10:51:23    

Le filtrage par user ne fonctionne que pour la navigation Internet? Tous les autres types de flux (FTP, mail etc) ne sont pas concernés?


---------------
Jujudu44
Reply

Marsh Posté le 23-02-2010 à 11:32:10    

Le filtrage par user ne fonctionne que pour la navigation Internet? --> pour Le filtrage URL.  
Pour le filtrage des port (firewall), tu ne peux pas utiliser les comptes active dirctory (c'est normal). Les droits se font sur des adresses ip ou des groupes d'adresse ip.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 23-02-2010 à 11:44:15    

Ok c'est bien ce que je pensais.
Pour info il existe des solutions qui font ce que j'ai décrit (Palo Alto par exemple). L'ensemble des règles de filtrage peuvent etre elaborée a partir de l'organisation de l'AD pour tous les types de flux. Et de meme tous les flux sont authentifiés de manière transparente. Ce genre de solution me séduit plutot.


---------------
Jujudu44
Reply

Marsh Posté le 23-02-2010 à 13:45:07    

Bonne chance si tu veux réaliser ce que tu dis.  


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 23-02-2010 à 13:47:22    

Bah c'est l'avenir du filtrage. Depuis le statefull yavait pas eu grand chose de nouveau. On voit enfin de vraies nouveautés apparaitrent :)


---------------
Jujudu44
Reply

Marsh Posté le 24-02-2010 à 01:55:21    

SVP ilya qqu1 qui peut m'aider jai un travail a préparer sur la virtualisation UTM et la gamme SURA,Svp qui connait un site ou un lien qui peut m'aider et je cherche aussi un demo ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed