Choisir un bon firewall ??

[esteban001]

Tout d'abord bonjour tout le monde et meilleurs voeux !! <BR> <BR>Voila mon problème : je dois m'occuper d'une solution internet pour une société (simulation) et pour cela je recherche un routeur internet et un firewall : le niveau de sécurité demandé est élevé. J'ai fait quelques recherches sur le net mais je n'ai pas trouver grand chose en terme de documentations techniques et caractéristiques <IMG SRC="images/smiles/icon_cry.gif"> (je m'y suis peut être mal pris aussi). <BR>Je voulais donc vous demander si pouviez m'aider et si vous aviez des documentations à ce sujet. <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR>Merci bcp !

[Yourgui]

Hello à toi <BR> <BR> <BR>Voilà un jolie texte sur la sécurité Linux, il est pas recent, recent, mais toujours d'actualité. <BR>Et donne une bonne idée de certaine faille à protéger. <BR> <BR><!-- BBCode auto-link start --><a href="http://www.minithins.net/papers/seculinux.html" target="_blank">http://www.minithins.net/papers/seculinux.html</a><!-- BBCode auto-link end --> <BR> <BR>Perso j'utilise Mandrake MNF, mais point de vue Doc 0. <BR> <BR>a+ <IMG SRC="images/smiles/icon_wink.gif">

[risinsmok]

Salut et meilleurs voeux à toi, <BR> <BR> Tout d'abord sais-tu ce que tu veux comme solution : <BR> <BR>- logicielle : tu as un serveur dispo et tu veux installer seulement du soft (type checkpoint...) tu as une plateforme windoze ou unix ? <BR> <BR>- full-hardware/appliance : type velociraptor de symantec (ou le SGS, qui fait tout à la fois...), une boîboîte fermée scellée et complète (inconvénient : pas de changement de soft possible, tu ne pourra pas mettre la dernière MNF ou autre, il fautdra t'en tenir aux mises à jour du propriètaire (checkpoint ou symantec généralement). <BR>A savoir que checkpoint ne fourni pas de boîtes toutes faites mais seulement les logiciels, il est un appliance avec Nokia, comme ça t'a le tout...et le prix aussi !!! (compter + de 15.0000€ !! <IMG SRC="images/smiles/icon_frown.gif"> ) <BR> <BR> <BR> Je te conseillerais de prendre contact avec des boîtes spécialisées, ils te feront des propositions, ça ne coûte rien et ça aide à voir plus clairement ce qui se fait à l'heure actuelle et à quels prix...essaye<a href="http://www.computacenter.com">Computacenter</a> (plutôt Symantec) <BR>ou <a href="http://www.cyber-networks.fr">Cyber-Networks</a> (plutôt checkpoint). <BR> <BR> Je suis moi-même en train de mettre en place ce type d'équipement pour une entreprise mais la demande n'est pas trop exigeante et le budget plutôt ric-rac donc j'ai opté pour une solution logicielle et je test MNF de Mandrake, ça m'a l'air plutôt bien....si la machine peu suivre niveau perfs... <BR> <BR> Voilà pour mes conseils, à toi de voir, j'espère t'avoir été utile ! <BR> <BR>@ +

[risinsmok]

Oups ! <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR> je voulais dire + de 15.000€, quand même pas 150.000....

[Yourgui]

Je confirme MNF est pas mal du tout si t'as la machine. <BR> <BR>juste quelques petit ajout: <BR> <BR>style: <BR> <BR>logsentry parser de Log <BR>tripwire vérification de l'integritée d'un système. <BR>pour les plus mordu, un petit Saint-Jude peut-être. ( attention je l'ai pas essayer sur MNF, à vos risque et peril, c'est quand même le noyeau là ) <BR> <BR>sinon point de vue config, c'est facile, facile, facile, ... <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[plop]

Ouaip, le mieux a mon sens c'est plutot: <BR> <BR>Cisco pour le router d'acces (avec des ACLs de base pour faire un premier filtrage) <BR> <BR>Une boiboite Linux avec une RedHat mini (150Mo c'est possible), un noyau monilithique sans le support des modules (evite les chevaux de troie au niverau kernel) et qui comprend: <BR> <BR>-iptables avec les modules stables (pas tout mettre le patch o matic) <BR>-LIDS ou GRSEC pour liniter au max les droits de root sur le systemes <BR>-Samhain ou tripwire pour la surveillance des filesystems <BR>-un partitionnement intelligent (histoire de pas avoir /var/log/messages qui bouffe tte la place dans /) <BR>-eventuellement freeswan avec les patches secu qui vont bien (x509, NAT...) pour le VPN <BR>-un IDS type Snort ou prelude avec recup auto des signatures (depuis plusieurs sources et en verifiant les checksums md5) et MaJ auto <BR>-des permissions a travers les Filesystems bien blindees <BR>-eventuellement des services complementaires type proxy ou transparent proxy, dns, smtp... qui s'executent dans des environnements chroot avec des droits restreints (avec LIDS ou GRSEC) et des utilisateurs sans droits... <BR>-un syslog type syslog-ng pour filtrer toutes les merdes et remonter que les infos pertinentes <BR>-des outils type tc (QoS) et le module limit de netfilter pour limiter les attaques DoS ou DDoS <BR>-des regles iptables intelligentes qui evitent les failles de iptables (style ${FW} -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP) <BR> <BR>Euh, je crois que c'est a peu pres tout <IMG SRC="images/smiles/icon_wink.gif">

[Corwin64]

Dans les Firwalls version boite noire, efficace, facile à gérer et entrée de gamme pas chere il y l'editeur français Netasq (a voir). <IMG SRC="images/smiles/icon_confused.gif">