Bonjour,
Auriez-vous des retours d'expérience sur des firewalls, on doit changer les notres et on aimerai des informations sur des firewall du marché, notamment :
* NAT * régles * facilité d'utilisation de l'interface web * HA (haute dispo) * VPNs * IDS / IPS * support * performances (pour 150 postes, c'est pas trop gros :D) * facilité des mises à jour * autres qu'on aurait pas pensé...
merci d'avance pour vos retours d'expériences la dessus ;)
Cordialement,
David Durieux
Salut David,
De mon côté je recommande les stormshield, c'est français et ça marche bien. Pour 150 postes, je recommande le SN510, du coup en HA, deux boitiers. https://www.stormshield.com/wp-content/uploads/2016/09/SNS-FR-SN510-Datashee...
* NAT OK * régles OK * facilité d'utilisation de l'interface web ultra simple * HA (haute dispo) mise en place 15 minutes * VPNs SSL & IPSec * IDS / IPS : depuis la couche 3 à la couche 7 * support éditeur ou partenaire * performances (pour 150 postes, c'est pas trop gros :D) * facilité des mises à jour IPS maj automatique, pour le reste c'est l'upload d'un fichier * autres qu'on aurait pas pensé...
Hugo
Cordialement, Regards, --- Hugo SIMANCAS Directeur Technique & Informatique Associé Fixe : 05 34 26 50 57 Mob : 06 95 44 29 64 hugo.simancas@humansconnexion.com 1 Chemin Virebent – 31200 Toulouse
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de David Durieux Envoyé : mercredi 7 mars 2018 09:14 À : frsag@frsag.org Objet : [FRsAG] Choix de firewalls
Bonjour,
Auriez-vous des retours d'expérience sur des firewalls, on doit changer les notres et on aimerai des informations sur des firewall du marché, notamment :
* NAT * régles * facilité d'utilisation de l'interface web * HA (haute dispo) * VPNs * IDS / IPS * support * performances (pour 150 postes, c'est pas trop gros :D) * facilité des mises à jour * autres qu'on aurait pas pensé...
merci d'avance pour vos retours d'expériences la dessus ;)
Cordialement,
David Durieux
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Sauf que ça se permet de virer la payload SDP d'un paquet MGCP sans trop qu'on sache pourquoi :) C'est très très pointilleux apparemment du côté de la vérification de conformité des paquets qui transitent. Donc c'est peut-être pas le plus simple à prendre en main.
Le 9 mars 2018 à 15:09, SIMANCAS Hugo a écrit :
Salut David,
De mon côté je recommande les stormshield, c'est français et ça marche bien. Pour 150 postes, je recommande le SN510, du coup en HA, deux boitiers. https://www.stormshield.com/wp-content/uploads/2016/09/SNS-FR-SN510-Datashee...
- NAT OK
- régles OK
- facilité d'utilisation de l'interface web ultra simple
- HA (haute dispo) mise en place 15 minutes
- VPNs SSL & IPSec
- IDS / IPS : depuis la couche 3 à la couche 7
- support éditeur ou partenaire
- performances (pour 150 postes, c'est pas trop gros :D)
- facilité des mises à jour IPS maj automatique, pour le reste c'est l'upload d'un fichier
- autres qu'on aurait pas pensé...
Hugo
Cordialement, Regards, --- Hugo SIMANCAS Directeur Technique & Informatique Associé Fixe : 05 34 26 50 57 Mob : 06 95 44 29 64 hugo.simancas@humansconnexion.com 1 Chemin Virebent – 31200 Toulouse
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de David Durieux Envoyé : mercredi 7 mars 2018 09:14 À : frsag@frsag.org Objet : [FRsAG] Choix de firewalls
Bonjour,
Auriez-vous des retours d'expérience sur des firewalls, on doit changer les notres et on aimerai des informations sur des firewall du marché, notamment :
- NAT
- régles
- facilité d'utilisation de l'interface web
- HA (haute dispo)
- VPNs
- IDS / IPS
- support
- performances (pour 150 postes, c'est pas trop gros :D)
- facilité des mises à jour
- autres qu'on aurait pas pensé...
merci d'avance pour vos retours d'expériences la dessus ;)
Cordialement,
David Durieux
Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour la liste !
8 ans qu'on carbure ici sur du netasq puis du stormshield. Aujourd'hui on a deux SN2000 en HA avec des milliers de connexions à la seconde, du proxy transparent, de l'IPS et un filtrage de tout ce qui rentre mais aussi de ce qui sort le tout avec des logs bien détaillés.
Alors oui c'est pointilleux car très complet. Mais l'interface graphique est simple à prendre en main et la ligne de commande en ssh te permet de faire ce que tu veux une fois que tu maîtrises la bestiole.
On a vite fait d'aller expliquer à l'IPS que oui de nos jour une url peut être (très) longue ou comporter des caractères qui ne sont pas dans les RFC et si on prend un peu le temps de configurer l'ensemble on se retrouve avec un outil souple, puissant qui te casse pas les pieds tous les matins.
Les mises à jours sont fréquentes (faciles à passer) et en cas de pépin ou même de question le support réagit plutôt vite et bien (et en français ce qui ne gâche rien).
Pour une fois qu'on a un produit européen (consortium Airbus industrie) qui n'est pas plein de backdoor et qui fonctionne bien, pourquoi se priver ? ;-)
Manu.
________________________________ De : FRsAG frsag-bounces@frsag.org de la part de David Ponzone david.ponzone@gmail.com Envoyé : vendredi 9 mars 2018 15:15 À : SIMANCAS Hugo Cc : frsag@frsag.org Objet : Re: [FRsAG] Choix de firewalls
Sauf que ça se permet de virer la payload SDP d'un paquet MGCP sans trop qu'on sache pourquoi :) C'est très très pointilleux apparemment du côté de la vérification de conformité des paquets qui transitent. Donc c'est peut-être pas le plus simple à prendre en main.
Le 9 mars 2018 à 15:09, SIMANCAS Hugo a écrit :
Salut David,
De mon côté je recommande les stormshield, c'est français et ça marche bien. Pour 150 postes, je recommande le SN510, du coup en HA, deux boitiers. https://www.stormshield.com/wp-content/uploads/2016/09/SNS-FR-SN510-Datashee...
CONTINUITÉ BUSINESS POUR DES ARCHITECTURES COMPLEXES ...https://www.stormshield.com/wp-content/uploads/2016/09/SNS-FR-SN510-Datasheet-201611.pdf www.stormshield.com moyennes organisations networ security i endpoint security i data security continuitÉ business pour des architectures complexes
- NAT OK
- régles OK
- facilité d'utilisation de l'interface web ultra simple
- HA (haute dispo) mise en place 15 minutes
- VPNs SSL & IPSec
- IDS / IPS : depuis la couche 3 à la couche 7
- support éditeur ou partenaire
- performances (pour 150 postes, c'est pas trop gros :D)
- facilité des mises à jour IPS maj automatique, pour le reste c'est l'upload d'un fichier
- autres qu'on aurait pas pensé...
Hugo
Cordialement, Regards, --- Hugo SIMANCAS Directeur Technique & Informatique Associé Fixe : 05 34 26 50 57 Mob : 06 95 44 29 64 hugo.simancas@humansconnexion.com 1 Chemin Virebent – 31200 Toulouse
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de David Durieux Envoyé : mercredi 7 mars 2018 09:14 À : frsag@frsag.org Objet : [FRsAG] Choix de firewalls
Bonjour,
Auriez-vous des retours d'expérience sur des firewalls, on doit changer les notres et on aimerai des informations sur des firewall du marché, notamment :
- NAT
- régles
- facilité d'utilisation de l'interface web
- HA (haute dispo)
- VPNs
- IDS / IPS
- support
- performances (pour 150 postes, c'est pas trop gros :D)
- facilité des mises à jour
- autres qu'on aurait pas pensé...
merci d'avance pour vos retours d'expériences la dessus ;)
Cordialement,
David Durieux
Liste de diffusion du FRsAG http://www.frsag.org/
FRsAGhttp://www.frsag.org/ www.frsag.org Le FRench SysAdmins Group (FRsAG) est un groupe d'échange d'informations, de techniques, de conseils entre administrateurs systèmes et architectes techniques ...
Liste de diffusion du FRsAG http://www.frsag.org/
FRsAGhttp://www.frsag.org/ www.frsag.org Le FRench SysAdmins Group (FRsAG) est un groupe d'échange d'informations, de techniques, de conseils entre administrateurs systèmes et architectes techniques ...
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ FRsAGhttp://www.frsag.org/ www.frsag.org Le FRench SysAdmins Group (FRsAG) est un groupe d'échange d'informations, de techniques, de conseils entre administrateurs systèmes et architectes techniques ...
On 03/09/2018 03:09 PM, SIMANCAS Hugo wrote:
De mon côté je recommande les stormshield, ça marche bien.
Bonne blague Pour en avoir malheureusement supporté pendant trop longtemps : stormshield, shitstorm
Il est vrai que le monde du "firewall" est un monde de merde où l'incompétence est omniprésente, puisque l'unique but desdits produits est de rassurer les décideurs à l'aide d'une facture "pour la securité"
Oui, c'est du sérieux, nous avons dépensé tant "dans la securité"
M'enfin
On 09/03/2018 15:18, frsag@jack.fr.eu.org wrote:>> De mon côté je recommande les stormshield, ça marche bien.
Bonne blague Pour en avoir malheureusement supporté pendant trop longtemps : stormshield, shitstorm
Il est vrai que le monde du "firewall" est un monde de merde où l'incompétence est omniprésente, puisque l'unique but desdits produits est de rassurer les décideurs à l'aide d'une facture "pour la securité"
Très constructif et argumenté...
Fabien
C'est un retour d'expérience, il n'y a donc pas d'argumentation possible mais seulement une énumération de fait, tels que perçu par le sujet
Si mes expériences dans le domaine te choque, j'en suis désolé,
On 03/09/2018 08:52 PM, Fabien Germain wrote:
On 09/03/2018 15:18, frsag@jack.fr.eu.org wrote:>> De mon côté je recommande les stormshield, ça marche bien.
Bonne blague Pour en avoir malheureusement supporté pendant trop longtemps : stormshield, shitstorm
Il est vrai que le monde du "firewall" est un monde de merde où l'incompétence est omniprésente, puisque l'unique but desdits produits est de rassurer les décideurs à l'aide d'une facture "pour la securité"
Très constructif et argumenté...
Fabien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Je le dirais pas de cette façon mais on a fait du Netasq depuis quasiment leur début (1999-2000) et au fil du temps malgré des mecs au dev et tech super bien ça c'est fortement et profondément dégradé. Et ils n'écoutaient plus que les besoins pour Orange car eux font du volume... Des exemples non exhaustif : J'ai ressorti plusieurs fois a l'event qu'il faisait (NSA) chez mickey un besoin sur le filtrage web par session et non par IP. Il pouvait techniquement faire (aveu de la part du responsable dev) mais qui n'ont pas fait pendant ouf longtemps trop pas dans la todolist du Market (ou de l'Agrume). C'est très con car on faisait de plus en plus de serveur Citrix (STE). Console central de M....
On n'a pas eu de soutien pour un client CAC40 alors que l'on avait déjà énormément de boitier chez ce dernier, c'est passé du coup chez Forti... Une des raisons assez bête : les rapports inexistant (dans les 2000 boitiers perdu quand même ) Bref vraiment pas (plus) à l'écoute et trop d'installateur qui pose avec tout ouvert mais qui eux vendent plus donc sont considéré.... Sur quand tu propose une analyse des flux et d'ouvrir que selon les besoins tes honoraires sont la ! Et l'autre pose pour pas cher. Je rejoints l'argument j'ai une facture pour la sécurité chef ...
Après sur le plan technique l'ASQ a posé de plus en plus de souci. Sur la VoIP c'est bullshit², paquet mal réécrit, modifié .... Pb hardware, pb de cout de licence en HA. Et quand tu es en panne on te remplace par le modèle au-dessus "sympa" car l'autre on fait plus. Par contre ton abonnement passe sur la grille du nouveau boitier et le HA pareil. La ton client te tire dessus a boulet rouge pour ton super cadeau
Je pourrais plus dire vraiment ce qu'il en ait depuis quelques temps, mais je constate juste que nos partenaires qui étaient sur Stormshield ont également majoritairement changé de produit.
Xavier
-----Message d'origine----- De : frsag@jack.fr.eu.org [mailto:frsag@jack.fr.eu.org] Envoyé : vendredi 9 mars 2018 21:01 À : frsag@frsag.org Objet : Re: [FRsAG] Choix de firewalls
C'est un retour d'expérience, il n'y a donc pas d'argumentation possible mais seulement une énumération de fait, tels que perçu par le sujet
Si mes expériences dans le domaine te choque, j'en suis désolé,
On 03/09/2018 08:52 PM, Fabien Germain wrote:
On 09/03/2018 15:18, frsag@jack.fr.eu.org wrote:>> De mon côté je recommande les stormshield, ça marche bien.
Bonne blague Pour en avoir malheureusement supporté pendant trop longtemps : stormshield, shitstorm
Il est vrai que le monde du "firewall" est un monde de merde où l'incompétence est omniprésente, puisque l'unique but desdits produits est de rassurer les décideurs à l'aide d'une facture "pour la securité"
Très constructif et argumenté...
Fabien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Hello la liste,
Je le dirais pas de cette façon mais on a fait du Netasq depuis quasiment leur début (1999-2000) et au fil du temps malgré des mecs au dev et tech super bien ça c'est fortement et profondément dégradé.
Je ne sais pas pourquoi mais après avoir lu, certes plus ou moins en diagonale et pas complétement, ce thread mais je vois que vous ne parlez que solutions sur "étagère" fermées et souvent avec une vision du "réseau" assez limitée.
Par exemple j'ai bossé avec de fortinet et bon ca marchais "mais"...
Actuellement j'ai un couple d'ASA 5555 et des Sophos, je passe plus de temps a trouver des workaround pour faire du vrai réseau, plutôt que de réellement bosser et faire de la protection.
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
Bref, je suis probablement déformé par le fait que je fais du reseau ET du système et pas de la "sécurité"....
Xavier
On 10 mars 2018 à 16:20 +0100, Xavier Beaudouin kiwi@oav.net, wrote:
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
Bref, je suis probablement déformé par le fait que je fais du reseau ET du système et pas de la "sécurité"….
+1 avec ipfire que j’ai préféré à pfsense, embarquant nativement openvpn + proxy filtrant (squid, squidguard, squidclamav). On peut soit prendre la machine de son choix ou la boite derrière le soft propose aussi ses "appliances".
Nicolas
Le 10/03/2018 à 16:38, Nicolas Steinmetz a écrit :
On 10 mars 2018 à 16:20 +0100, Xavier Beaudouin kiwi@oav.net, wrote:
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
+1 pas bon réseau, mais avec produits fermés, passe effectivement plus de temps à contourner, comprendre, tester, etc...
+1 avec ipfire que j’ai préféré à pfsense, embarquant nativement openvpn
- proxy filtrant (squid, squidguard, squidclamav). On peut soit prendre
la machine de son choix ou la boite derrière le soft propose aussi ses "appliances".
ou l'excellent zeroshell lui fondé sur Linux (utilisé pendant des années -entre autres- en double WAN, open VPN, incorpore un squidclamav - prévoir une CPU pas trop faible alors).
ou (dans certains cas), rien d'autre que la couche réseau du pingouin bien configurée, un bon script iptables et les goodies qui vont bien (openvpn, squid, etc...). Un petit peu d'investissement perso au départ, et ensuite liberté totale de faire les trucs les plus étranges sans trop de souci.
Sinon, pour revenir à du fermé (vraiment) pas cher : mikrotik, on les trouve à des prix ridicules chez certains fournisseurs centre europe. Pas testé (en reste au libre), mais on m'en a dit beaucoup de bien.
Le 10/03/2018 à 16:53, Stéphane Rivière a écrit :
Sinon, pour revenir à du fermé (vraiment) pas cher : mikrotik, on les trouve à des prix ridicules chez certains fournisseurs centre europe. Pas testé (en reste au libre), mais on m'en a dit beaucoup de bien.
+1 Super produit, par contre il ne fait pas du tout IPS/IDS/Anti-virus/Anti-spam, ce n'est pas la cible du produit.
Matthieu
Bonjour,
Le 11/03/2018 à 01:20, Matthieu Racine a écrit :
Le 10/03/2018 à 16:53, Stéphane Rivière a écrit :
Sinon, pour revenir à du fermé (vraiment) pas cher : mikrotik, on les trouve à des prix ridicules chez certains fournisseurs centre europe. Pas testé (en reste au libre), mais on m'en a dit beaucoup de bien.
+1 Super produit, par contre il ne fait pas du tout IPS/IDS/Anti-virus/Anti-spam, ce n'est pas la cible du produit.
Je suis également adepte des produits de cette marque, notamment la série des RB2011iL qui convient très bien en tant firewall d'agence.
Pas essayé les produits plus haut de gamme, car (tout du moins quand j'étais susceptible d'en avoir besoin) il n'y avait pas de possibilité de redonder les équipements.
Hello,
Le 10/03/2018 à 16:18, Xavier Beaudouin a écrit :
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
Sans compter que pfSense tient largement la charge sur des équipements standards d'entrée de gamme. Le système actif/passif est hyper solide pour avoir une solution redondante.
En revanche, la gestion en DC peut devenir un peu "lourdingue" au fur et à mesure que le nombre de zones augmente. Je ne sais pas pour les autres solutions opensource mais c'est pour moi le seul point faible qui m'a encouragé à me tourner vers du proprio.
Hello
Voilà ce que l'on va pousser chez les clients, avec les raisons :
# mode intégrateur
Le client sait pas trop ce qu'il veut faire, mais veut acheter sur catalogue (= fournisseur ayant pignon sur rue, support, etc) => Fortinet Ca fait à peu près tout, c'est plutot stable, il y a toujours des petits bugs, mais rien de bien bloquant,il faut juste savoir qu'on va upgrader assez souvent, et downgrader de temps en temps aussi. Niveau prix, c'est aggressif. Gestion centralisée pas mal.
Le client veut acheter sur catalogue mais a des vrais existences de sécurité (= il sait de quoi il parle, il a un vrai SOC, ou il a des flux pas marrants genre Citrix) => Palo Alto C'est ultra complet, ça sait venir chercher des poux à Checkpoint dans le milieu bancaire, mais c'est très limité en perf vs Fortinet à cause d'une approche FPGA. Ca coute une couille, mais ça les vaut. Gestion centralisée au top (+ API complète et stable, ça fait plaisir)
En entrée de Datacenter on a aussi F5, qui a maintenant un module de Firewalling complet. En fonction de la stratégie du client, ça peut faire sens (prix élevé, gestion centralisée pas trop mal) Plutot par opportunité : si y a déjà du F5 et qu'il est pas au taquet, autant conseiller au client de racheter juste la licence qui va bien.
# mode service provider
Le client achete un service de firewalling, mais franchement, il se fout de savoir ce qu'on va y coller ? Par contre il veut bien un petit bout d'interface graphique. La perf reste inférieure à 10G. PFSense, OPNSense, IPfire en VM (pour pas avoir à s'emmerder avec les drivers des cartes Intels, Mellanox, ou Broadcom).
# autres
SonicWall : depuis que Dell a revendu, on a plus de visu sur la pérennité de la boite. Stormshield : je partage la vision de Xavier, ça a été bien, puis c'est devenu une filiale officieuse d'Orange. A conserver uniquement quand le client est un OIV relou, genre Mindef.
My 2 cents,
Le 11 mars 2018 à 08:38, Olivier Le Cam olc@glou.fr a écrit :
Hello,
Le 10/03/2018 à 16:18, Xavier Beaudouin a écrit :
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
Sans compter que pfSense tient largement la charge sur des équipements standards d'entrée de gamme. Le système actif/passif est hyper solide pour avoir une solution redondante.
En revanche, la gestion en DC peut devenir un peu "lourdingue" au fur et à mesure que le nombre de zones augmente. Je ne sais pas pour les autres solutions opensource mais c'est pour moi le seul point faible qui m'a encouragé à me tourner vers du proprio.
-- Olivier
Liste de diffusion du FRsAG http://www.frsag.org/
@job[$] on place du Watchguard.
Les boîtiers (ou appliances virtuelles) sont dimensionnées pour +/- n utilisateurs et sont perf avec toutes les briques de sécu activées. HA possible (actif/actif ou actif/passif) avec deux boîtiers, VPN (Site à site et client), IDS et IPS également. Ca peut NATer dans à peu près tous les sens Filtrage web par catégorie/applications, spamblocker, antivirus, module antiransomware (TDR). Multiwan (RR, failover, RFC2992, etc.).
Côté administration, il y a l'historique client lourd mais également une bonne interface web. Les mises à jour sont ultra simplistes via le client lourd et web, et gère le HA ou non.
Gestion centralisée des logs de plusieurs boîtiers dans l'appliance virtuelle Dimension.
(Les boîtiers font offices de contrôleurs Wifi avec les bornes du même constructeur)
Très peu de bug, le support est super réactif et prend la main sur les boîtiers pour le diag.
Le 11 mars 2018 à 15:19, Guillaume Barrot guillaume.barrot@gmail.com a écrit :
Hello
Voilà ce que l'on va pousser chez les clients, avec les raisons :
# mode intégrateur
Le client sait pas trop ce qu'il veut faire, mais veut acheter sur catalogue (= fournisseur ayant pignon sur rue, support, etc) => Fortinet Ca fait à peu près tout, c'est plutot stable, il y a toujours des petits bugs, mais rien de bien bloquant,il faut juste savoir qu'on va upgrader assez souvent, et downgrader de temps en temps aussi. Niveau prix, c'est aggressif. Gestion centralisée pas mal.
Le client veut acheter sur catalogue mais a des vrais existences de sécurité (= il sait de quoi il parle, il a un vrai SOC, ou il a des flux pas marrants genre Citrix) => Palo Alto C'est ultra complet, ça sait venir chercher des poux à Checkpoint dans le milieu bancaire, mais c'est très limité en perf vs Fortinet à cause d'une approche FPGA. Ca coute une couille, mais ça les vaut. Gestion centralisée au top (+ API complète et stable, ça fait plaisir)
En entrée de Datacenter on a aussi F5, qui a maintenant un module de Firewalling complet. En fonction de la stratégie du client, ça peut faire sens (prix élevé, gestion centralisée pas trop mal) Plutot par opportunité : si y a déjà du F5 et qu'il est pas au taquet, autant conseiller au client de racheter juste la licence qui va bien.
# mode service provider
Le client achete un service de firewalling, mais franchement, il se fout de savoir ce qu'on va y coller ? Par contre il veut bien un petit bout d'interface graphique. La perf reste inférieure à 10G. PFSense, OPNSense, IPfire en VM (pour pas avoir à s'emmerder avec les drivers des cartes Intels, Mellanox, ou Broadcom).
# autres
SonicWall : depuis que Dell a revendu, on a plus de visu sur la pérennité de la boite. Stormshield : je partage la vision de Xavier, ça a été bien, puis c'est devenu une filiale officieuse d'Orange. A conserver uniquement quand le client est un OIV relou, genre Mindef.
My 2 cents,
Le 11 mars 2018 à 08:38, Olivier Le Cam olc@glou.fr a écrit :
Hello,
Le 10/03/2018 à 16:18, Xavier Beaudouin a écrit :
Alors qu'avec des solutions de firewalls opensource (pfsense, opnsense, ....) ces emmerdes ne seront même pas une réalité et le temps de mettre en place un truc intelligent serait beaucoup plus court...
Sans compter que pfSense tient largement la charge sur des équipements standards d'entrée de gamme. Le système actif/passif est hyper solide pour avoir une solution redondante.
En revanche, la gestion en DC peut devenir un peu "lourdingue" au fur et à mesure que le nombre de zones augmente. Je ne sais pas pour les autres solutions opensource mais c'est pour moi le seul point faible qui m'a encouragé à me tourner vers du proprio.
-- Olivier
Liste de diffusion du FRsAG http://www.frsag.org/
-- Cordialement,
Guillaume BARROT
Liste de diffusion du FRsAG http://www.frsag.org/
Le 12 mars 2018 à 10:24, Ludovic Scotti tontonlud@gmail.com a écrit :
[...] le support est super réactif et prend la main sur les boîtiers pour le diag.
Ah, une sorte de backdoor officielle ? :-)
Faut l'activer la backdoor hein :)
Le 16 mars 2018 à 09:34, Emmanuel Jacquet manu@formidable-inc.net a écrit :
Le 12 mars 2018 à 10:24, Ludovic Scotti tontonlud@gmail.com a écrit :
[...] le support est super réactif et prend la main sur les boîtiers pour le diag.
Ah, une sorte de backdoor officielle ? :-)
-- Emmanuel Jacquet manu@formidable-inc.net
Liste de diffusion du FRsAG http://www.frsag.org/
On Sat, Mar 10, 2018, at 16:18, Xavier Beaudouin wrote:
Actuellement j'ai un couple d'ASA 5555 et des Sophos, je passe plus de temps a trouver des workaround pour faire du vrai réseau, plutôt que de réellement bosser et faire de la protection.
Meme si ca a l'air heretique, moi je demande systematiquement a un constructeur ou ils en sont cote firewall *stateless* et gestion du routage asymetrique. Chaque boit par laquelle je suis passe les 10 derniers annees j'ai trouve au moins un usage pour ces fonctionalites. Cote constructeurs on m'explique systematiquement que "se tre move"/"se pa bien", mais occasionellement il y en a qui me disent comment faire (je retiens que Forti; ils sont assez rares a les faire, mais pas uniques).
Bonjour,
D'expérience je dirais SonicWALL ou FortiGate. Les deux produits sont franchement pas mal, on gère plus de 1300 boîtiers à $job.
Mais comme beaucoup de produits faut pas s'attendre à pouvoir activer toutes les fonctionnalités UTM/IPS/IDS magiques en même temps !
De mon point de vue (strictement personnel) , SonicWALL est bien pour des firewalls pour de la sortie Internet, filtrage web avancé, VPN IpSec, VPN SSL, etc. mais pas en usage DC poussé. FortiGate plus pratique pour de l'usage DC, loadbalancer, BGP, etc.
Petit constat simple, SonicWALL est conçu par la GUI et la CLI commence à être utilisable pour de vrai. FortiGate est conçu par la CLI avec une GUI qui fait de plus en plus de choses mais obligations de passer par la CLI pour de la configuration avancée.
Côté clustering/HA et firmware c'est kif-kif,assez simple à mettre à jour. Possibilité de faire des backup complets (Firmwares + Configuration) repushables en mode rescue sur SonicWALL. Pas regardé côté FortiGate.
La construction du firewalling/NAT et du source routing est plus humaine côté Sonicwall aussi.
Tout dépend de l'usage en gros.
My 2cts
Boris
Le 7 mars 2018 09:14, "David Durieux" david@durieux.family a écrit :
Bonjour,
Auriez-vous des retours d'expérience sur des firewalls, on doit changer les notres et on aimerai des informations sur des firewall du marché, notamment :
* NAT * régles * facilité d'utilisation de l'interface web * HA (haute dispo) * VPNs * IDS / IPS * support * performances (pour 150 postes, c'est pas trop gros :D) * facilité des mises à jour * autres qu'on aurait pas pensé...
merci d'avance pour vos retours d'expériences la dessus ;)
Cordialement,
David Durieux
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
Boris PASCAULT -
Brenas Emmanuel -
David Durieux -
David Ponzone -
Emmanuel Jacquet -
Fabien Germain -
frsag@jack.fr.eu.org -
Guillaume Barrot -
Ludovic Scotti -
Matthieu Racine -
Nicolas Steinmetz -
Olivier Le Cam -
Radu-Adrian Feurdean -
SIMANCAS Hugo -
Stéphane Rivière -
Xavier Beaudouin -
Xavier ROCA