Bonjour à toutes et tous !!!  
 
Petit billet d'humeur :
 
J'ai changé de boite il y a peu, et je me retrouve avec un joli petit RHEL 4 pour gérer la sécu Internet.
Rien de bien exotique jusque là. Une plateforme OpenSource sur laquelle est utilisé la triplette Iptable, Squid et OpenVPN.
Mais (parce qu'il y a toujours un "mais" ), l'Iptable en question fait la bagatelle de 30 pages A4 (édition Notepad++ !)...
Autant dire imbuvable... enfin, pour moi. Et il va sans dire que la documentation ou autre procédure est absente.
 
Bref ! soit je casse tout ! soit je me débrouille pour changer cette chose.
Mais la question que je me pose est : "l'intégrateur va il arriver à récupérer l'intégralité des règles pour le futur équipement ?"
 
Du coup, j'ai mis un petit sondage, pour voir ce que vous utilisez, et votre satisfaction. Perso, j'ai utilisé du NetAsq dans ma boite précédente, et ça me convenait très bien.
 
Désolé, mais j'avais besoin de vider mon sac...  

+1 pour NetASQ, surtout avec la V9.

Juniper  

 
Oui pas de soucis, c'est chiant mais la conversion de politique fait parti du métier d'intégrateur.
Pour ce qui est de la techno, formalise un peu tes besoins car une marque peut très bien exceller dans un domaine mais être une daube bien pourrie dans un autre...
 
Par ex: pour openvpn, je ne connais pas de fw appliance qui embarque ca...

 
Aucun souci sur un netscreen-25...

Je ne cherche pas la solution miracle, c'est juste que cette install est un peu un boulet.
Pour ce qui est de la solution VPN, peu m'importe, j'ai pas de préférences.
Je voyais plutôt ce topic pour échanger.

 
ok, pour info, le netscreen fait du vpn site à site en ssl ?

NetAsq + pfSense.
 
Pour le VPN, on utilise le NetAsq pour les liaisons intersites, par contre on utilise un serveur séparé pour les postes nomades.
 
Pour le NetAsq, il fonctionne plutot bien, même si j'ai des gros soucis avec le filtrage SSL & Skype (ça ne veut pas fonctionner ensemble)

+1 pour Netasq v9, déployé chez l'ensemble de nos clients, pas de soucis à signaler  

Donc en gros, tes prédécesseurs n'ont fait que de l'ajout à chaque fois, sans laisser la moindre doc ?
Et tu veux raser tout pour acheter du matériel neuf sur lequel il faudra tout reconfigurer ?
Mouais, pas sûr que tu es bien compris ton architecture réseau là et plutôt que de tout raser, fait déjà un bon ménage dedans. De la doc sur iptables, tu en trouves pleins sur Google.

Perso en tant qu'intégrateur, je te dirais déjà de faire le ménage dans ton iptable avant de venir me voir.

De plus tu as oublié d'inclure les solutions incluses dans les appliances mais disponibles à part comme pfSense (oui pour openVPN), car le choix "autre UTM" est plutôt large. Logiciel ou matériel ?

Encore une fois, je ne cherche pas la solution miracle à mon problème. Mais juste avoir un retour d’expérience.
 
Si je souhaite passer sur un UTM du commerce, c'est que étant seul pour gérer 10 serveurs muti OS et près de 200 PC, je n'ai pas le temps à consacrer à Iptable, ou administrer ce type de solution.
 
D'autant plus, que vu l'infra alambiquée, j'ai tout intérêt à simplifier la chose. Pour moi, pour un prestataire, ou pour mon successeur...

La base dans tous les cas reste... une documentation.
 
Donc bon si tu ne veux pas consacrer de temps à la documentation aussi, ça change quoi par rapport à l'actuel ?

Tu veux économiser des tunes: regarde en gamme soho (linksys, netgear, zyxel, barracuda)
T'as un budget plus gros: Fortinet, Juniper, Palo Alto, Checkpoint
 
Ca sera plus ou moins chiant à migrer/intégrer/exploiter. Tout est fonction de tes tunes

Barracuda NG Firewall
 
Edit : Aniki8 : barracuda c'est pas que du Soho... que du contraire. La gamme NG permet de couvrir tant le petit client que les grosses boîtes.  
 

Cisco ASA pour moi.

Avant de toucher a la sécu., je toucherai d'abord a "comment gérer mon parc de manière efficiente ?"  
A vue de nez on dirait du :
-Parc ultra hétérogène
-Serveurs administrés a la va comme j'te pousse
-Zéro doc nulle part
-Très certainement redondance inutile dans le bousin
 
Et tout ça, ça passe par inventorier l'infra complète, la documenter, faire des audits et ensuite tu pourra commencer a te poser la question de la sécu. . En attendant, si ça marche, touche a rien tant que c'est pas documenté, inventorié, bref, que tout le boulot en amont a pas été fait.
 
Pour répondre a ta question : OpenBSD + FW

Et oui, l'évidence même d'un réseau mais bon, notre ami n'a apparemment pas suivi ce conseil de base, ou il a débarqué dans un réseau qui est passé par Bagdad

il y a pas longtemps on était sur un PC gentoo qui faisait le routage, le FW. on a changé de locaux, les vlans sont apparus, multiwan. Le linux savait encore tout gérer mais ça devenait un bordel monstre.
et on est passé sur un Fortigate. et c'est quand même plus clean.

Je suis étonné que NetASQ  soit listé et pas Arkoon... Pour remplacer un squid, c'est très pratique.
 

Juniper, les gammes SSG sont bien.
la gamme SRX a pas mal merdé au début. Je ne sais pas ce qu'il en est maintenant.

Avant de faire le ménage dans un truc imbitable, c'est pas mal de prendre une solution plus simple à administrer et de demander à l'intégrateur de faire la migration

Serieux t'as oublié PaloAlto et Watchguard... Pour Sonicwall encore je comprend...
Mais PaloAlto c'est quand même le leader !!!

Alerte budget

D'accord, t'es le genre de client qui préfère refiler les merdes aux intégrateurs... tu risques fort d'avoir une lourde facture par la suite avec ce genre d'attitude

Ca coutera moins cher dans l'absolu de le faire faire un a intégrateur qui doit avoir l'habitude de ce genre de manip...
 
Et puis l'intégrateur, il est content, il a vendu sa babiole

En même temps si on veux un vrai filtrage applicatifs faut mettre le prix...
Et pis l'achat est pas donné mais le tarif du renew est tout a fait correct par rapport à certains autres constructeurs.

t'a du cyberoam en pas chère

ouais c équivalent à du sonicwall....82 catégories web...

 
Oui et non, si l'IT ou le résal sait pas faire ce genre d'actions qui pour moi sont a la base de l'admin sys/réseau, il justifie pas son salaire, autant tout claquer en intégration et externalisation. Ou alors le type a pas envie de se faire chier et va laisser le bouzin dans l'état qu'il est. C'est aussi ce qui plombe le métier d'avoir des mecs qui prennent plus aucunes décision et qui laissent tout faire au final on devient gardiens de chèvre. Ca s'appelle le nivellement par le bas appliqué a l'IT/res. Ceci dit, c'est bien, vous me donnez du boulot.  

D'un point de vue économique, c'est vite vu entre :
1- interne monte en compétence sur iptables, puis ménage
2- achat d'un nouveau fw
3- interne monte en compétence sur la nouvelle solution
 
et  
1- achat d'un nouveau fw, intégrateur migre les règles telles quelles
2- interne monte en compétence sur la nouvelle solution, puis ménage
 
 
PS: au fait, qu'a fait le premier posteur? (fabe31)

D'un point de vue humain c'est discutable, je préfère qu'un interne monte en compétence pour réutiliser ensuite plutôt qu'un intégrateur, la plus valu sur le long est meilleur (selon moi) même si les RH actuels réfléchissent plus comme ça.  
Après si les TI sont pas prio dans l'entreprise, on peu pas non plus faire une prise de décision a la montée en compétence, voir prendre en compte les dead line. Et encore que, c'est encore un nivellement par le bas d'après moi.

Si la techno est abandonnée, il n'y a pas grand intéret à faire monter en compétence les internes.
 
Après, je suis d'accord avec toi que le recours à la sous traitance est un peu trop généralisé et puet mener dans certains cas a un manque de compétences ou même de connaissance de l'infra en interne.

Checkpoint le support est à chier. Point. Donc soit t'as des ressources très compétentes en interne / chez l'intégrateur, soit en cas de pépin c'est la misère
 
Si je devais miser sur un constructeur, ça serait Palo Alto, ou à la limite Juniper (c'est un peu incestueux de toute manière ces deux là).
 
Sinon, Open BSD et PF, pourquoi IPtables ?

Checkpoint si t'as une énorme archi (ce qui n'est pas le cas), tu peux pas passer à côté.
Palo c'est top mais cher, et l'interface des petits firewalls ont la méchante tendance à être très lents.
En appliance je reste sur de la gamme soho (car si c'est juste histoire d'avoir des règles de filtrage et un VPN, pas besoin de sortir l'artillerie lourde) ou Juniper/Fortinet (remarque, ils sont de la même famille).

Sinon, le best: un truc perso à base d'iptables/pfsense.

Difficile de répondre facilement à ta question. Ca dépend des fonctions que tu souhaites activer, du nombre de pattes nécessaires, des débits, de tes priorités, et évidemment du budget.
Je bosse pour un intégrateur, donc je ne vais pas te conseiller même si je pense être parfaitement objectif sur le marché. Pour tes règles, si tu n'as pas l'habitude/le temps/les connaissances, tout bon intégrateur sera capable de réaliser un audit et une optimisation de la configuration. Evidemment, c'est du temps de prestation, mais on le fera généralement bien plus vite que toi.
Méfiance juste sur Juniper, car la gamme SRX n'a rien à voir avec la gamme SSG, et pour le coup, c'est aujourd'hui une gamme qui a tout à prouver.

Hello tout le monde,
Je suis actuellement en train de regarder pour changer mon équipement Firewall (auj tout passe par Debian; Shorewall). Bref pas terrible. J'ai vu plusieurs solutions : Cisco -> classique mais reste sur du filtrage par port; SonicWall -> pas convaincue du tout et les prestats n'ont pas aide !; Fortinet -> les UTM ont la réput de perdre en perf dès que l'on ajoute des fonctionnalités (pas d'expérience là dessus alors je ne sais pas); Checkpoint -> très lourd à gérer au niveau des licences et des MAJ (?). Je suis donc en train de me recentrer sur du Palo Alto. J'ai un boitier qui doit venir cette semine sur mon réseau en bridge pour une première vue sur ce qui peut en ressortir. Voilà pas simple de s'y retrouver dans cette jungle. Palo Alto avec la fonctione filtrage par URL pourrait aussi me permettre de me libérer des squids que je trouve lent avec l'authentif AD.  
En tout cas excellente conversation !  
a+

Pour les pbs de perfs tu peux aussi les retrouver si tu as sous dimensionné ton choix dans la gamme.
Sinon après Palo Alto qui est la référence en filtrage applicatifs, il y a watchgard qui est pas mal.

Je ne suis pas experte en la matière mais le ressenti que j'ai après qqs conversations, c'est que Cisco reste très classique et axé sur le filtrage par port. Ca reste un excellent pare-feu contre l'extérieur sans nul doute mais sur les flux internes, le filtrage applicatif me semble tout de même mieux adapté.
Wonee du as de l'expérience sur Palo Alto (ou autres d'ailleurs ...) ?

90% des constructeurs se basent sur du filtrage par port, et ca couvre 90% des besoins. J'ai des gros clients qui achètent du Palo, mais restent sur le filtrage part port, l'applicatif étant pour "plus tard"...
Là où un firewall se démarquera, c'est sur les fonctions annexes de sécurité, sur lesquelles les UTM font leur chou gras.
 
Concernant Cisco, il a une place majeure dans le réseau, mais pas la sécurité malheureusement où leur gamme de firewall est clairement à la traîne.

Oui pour Palo Alto pas mal de clients.. très bon produit et un véritable filtrage applicatifs. En même temps ce sont les précurseurs depuis bien longtemps pour ce genre de chose. Les autres ne font que copier et sont encore loin derrière. Leur seul bémol le prix d'entrée. Pour les renew çà va c'est correct. Pour gêrer plusieurs Palo Alto je te conseille Panorama en VM. De plus pour le reporting çà sera beaucoup plus rapide pour l'analyse. Si tu as du matos sans fil Aruba tu peux même remonter le reporting des communuications sans fil.
Sinon un bon compromis c'est Watchgard. Le support est excellent et le prix est plus bas.
Pour vraiment différencier un bon FW aujourd'hui c'est de regarder la taille de la base du filtrage applicatifs (Palo Alto est vraiment au dessus).
Sinon je te déconseille les fonctions VPN SSL des FW. (yen a pas de toute façon chez Palo). Autant utiliser plutôt une passerelle SSL dédié (ex Juniper MAG 2600 pas cher et très bon produit).
Voilà pour plus de precisions MP.
Dsl si je suis rester très général..