Besoin d'aide pour l'achat d'un firewall materiel

[ben350ci]

Bonjour,
je viens de m'inscrire sur ce site qui m'a l'air pas mal du tout. (voila pour les caresses dans le sens du poil) ;o)
Ma question est que je dois sécuriser le réseau de mon entreprise que j'ai récupéré il y a un an et qui est un vrai gruyère.
J’ai donc besoin (je pense) d’un firewall matériel pour ce qui suit :

- Autoriser l’accès aux serveurs seulement aux machines connues du parc informatique (en plus de ce que propose l’AD) (verrouillage @ MAC ou certificats ou autre?).

- Protéger le réseau interne des attaques diverses du net.

- Réguler le traffic internet en fonction du type de service.

- Contrôle du contenu des sites web visités (contrôle parental).

Ajouté à cela il ne faut pas avoir à payer un abonnement mensuel ou annuel pour un quelconque service. Le réseau comprend 30 à 40 postes.

Une seule connexion vpn ssl suffira pour que je puisse moi-même me connecter à distance et une quinzaine de connexion vpn ipsec pour l'équipe de direction qui veut se connecter à distance.

Que pouvez vous me conseiller?

Merci de votre aide.

[ben350ci]

Je corrige un détail, apparemment il n'est pas possible de prendre une appliance UTM sans abonnement annuel. Est ce vrai pour tout les modèles?
Merci.

[jdh]

Sur le forum, on trouve plutôt des gens qui s'intéressent à l'administration d'un firewall (de type distribution linux ou bsd) installable sur un PC "standard" (voire "embarqué" = petit boitier).

Un boitier UTM c'est d'abord du marketing !
Le but d'un boitier c'est de
- vendre le boitier,
- vendre 1 journée d'install avec transfert de compétence,
- vendre les clients VPN,
- vendre la maintenance du boitier (mise à jour de version),
- vendre l'antivirus et le renouvellement annuel.
Et cela ne dispense pas d'avoir une compétence pour le configurer soi-même !

En outre, un filtrage antivirus placé sur un firewall n'est pas forcément une bonne idée.


Bref, il faut y réfléchir à 2 fois avant d'acheter ce genre de chose.

En fait le vrai problème, c'est d'avoir soi-même les compétences en config de ce genre d'objets et en config de distributions Linux, et que son patron ait confiance en votre expertise. (Le 2ième point est rare !)

J'ai connu des chefs informatique se disant : mon technicien micro sait installer Windows 95, il n'aura donc pas de difficulté à installer un serveur Windows NT voire un firewall fonctionnant sur Windows : on peut clicker donc c'est facile !


NB : moi aussi, j'ai acheté des boitiers de ce type et ce n'est pas si mal. Mais on peut faire la même chose avec un distribution Linux ou Bsd type Ipcop ou pfSense. Et c'est pourtant absolument la même chose !

[Franck78]

Hello,

Mais qu'as-tu fait pendant un an? Discuté le bout de gras avec chaque utilisateur, nettoyé les machines pour repasser dessus deux semaines après....?

Si ca peut te consoler (et ici, eventuellement cerner la machine adéquate), tu as actuellement une ligne ADSL avec box du FAI et donc d'une certaine façon, tu es protégé un peu quand même.
Tu pourrais avoir aussi une SDSL ou autre fibre liée à un routeur (du FAI) réglé au minimum, c'est à dire rien.

Tout ça pour dire que ce n'est pas avec tes précisions matérielles que l'on peut determiner quoi que ce soit


ipsec pour des itinérants? pas bon!

bye

[ben350ci]

Sur le forum, on trouve plutôt des gens qui s'intéressent à l'administration d'un firewall (de type distribution linux ou bsd) installable sur un PC "standard" (voire "embarqué" = petit boitier).

Oui j'ai cru comprendre, et je commence à m'y interesser, d'ailleurs s'il y a des tutos par ci par la je suis preneur! J'ai commencé, j'ai graver l'image d'IPCOP et j'ai déjà une machine de côté qui conviendra très bien.

Un boitier UTM c'est d'abord du marketing !
Le but d'un boitier c'est de
- vendre le boitier,
- vendre 1 journée d'install avec transfert de compétence,
- vendre les clients VPN,
- vendre la maintenance du boitier (mise à jour de version),
- vendre l'antivirus et le renouvellement annuel.

Oui le côté markéting je l'avais très bien cerné, c'est pour cela que j'aurai préféré prendre une solution sans abonnement mais je crois que c'est peine perdue. Ce qui m'attire vers cette solution c'est la facilité apparente (j'avais fait une formation Cisco il y a quelques années, avec un petit rafraichissement de mémoire ça devrait aller).

Et cela ne dispense pas d'avoir une compétence pour le configurer soi-même !

J'en suis conscient.

En outre, un filtrage antivirus placé sur un firewall n'est pas forcément une bonne idée.

La solution antivirus est déjà installée sur les postes et les serveurs, Norton Endpoint client/serveur. Mais une première barrière materielle aurait été un plus non négligeable surtout contre les attaques d'intrusion.

Bref, il faut y réfléchir à 2 fois avant d'acheter ce genre de chose.

Je suis la pour ça ;o)

En fait le vrai problème, c'est d'avoir soi-même les compétences en config de ce genre d'objets et en config de distributions Linux, et que son patron ait confiance en votre expertise. (Le 2ième point est rare !)

J'ai la soif d'apprendre! J'ai une formation de base Admin Réseau (bac+2) donc je suis capable d'assimiler ces technologies que je n'ai pas encore suffisamment acquis. Que mon patron ai confiance, je pense que oui, je suis directeur technique (et admin réseau), j'ai plein pouvoir sur les décisions de cet ordre ;o)

J'ai connu des chefs informatique se disant : mon technicien micro sait installer Windows 95, il n'aura donc pas de difficulté à installer un serveur Windows NT voire un firewall fonctionnant sur Windows : on peut clicker donc c'est facile !

Ça c'est un peu général à tout dirigeant d'entreprise qui paye ses salariés pour ce dont ils sont sensés savoir faire, sinon, au suivant!

NB : moi aussi, j'ai acheté des boitiers de ce type et ce n'est pas si mal. Mais on peut faire la même chose avec un distribution Linux ou Bsd type Ipcop ou pfSense. Et c'est pourtant absolument la même chose !

Ok je suis prêt à sauter le pas mais si c'est une question de budget je n'ai pas de limite réelle en ce qui concerne la sécurité.

[ben350ci]

Hello,

Mais qu'as-tu fait pendant un an? Discuté le bout de gras avec chaque utilisateur, nettoyé les machines pour repasser dessus deux semaines après....?

Je me suis occupé de tout le reste, car il y avait un boulot monstre, je ne suis pas qu'admin réseau donc il y aussi la maintenance générale des sites à coordonner, les contrats avec les fournisseurs de service, la gestion des employés, etc... donc ça prend du temps. ;o) Et maintenant j'en ai un peu.

Si ca peut te consoler (et ici, eventuellement cerner la machine adéquate), tu as actuellement une ligne ADSL avec box du FAI et donc d'une certaine façon, tu es protégé un peu quand même.

J'en était déjà conscient, ce n'est pas le nirvana mais ça permettait de retarder quelque peu l'échéance.
Ce sont deux routeur dlink DSL-2640B (de la daube je sais...) mais qui sectionnent materiellement le réseau administratif du réseau ouvert. Un filtrage MAC est en place sur le réseau administratif et je contrôle régulièrement les machines connectées au réseau. Le switch dlink DES-3526 me permet déjà pas mal de régulation du traffic donc il y a tout de même un minimum vital.

Tu pourrais avoir aussi une SDSL ou autre fibre liée à un routeur (du FAI) réglé au minimum, c'est à dire rien.

Tout ça pour dire que ce n'est pas avec tes précisions matérielles que l'on peut determiner quoi que ce soit

Avec tout ce que j'ai rajouté c'est mieux? ;o)

ipsec pour des itinérants? pas bon!

bye

Pour les itinérants tu penses qu'il faut au minimum des connexions SSL? Dans ce cas pourquoi continue-t-on à mettre IPsec sur les machines?

[jdh]

Franck78 est quelque fois juste un peu excessif : c'est histoire de secouer le marronnier !


Il est clair qu'une box filtre le flux entrant : de l'extérieur, on rentre dans le réseau interne qu'à l'aide de cheval de troie mais on n'initie pas "ex-nihilo" un entrée dans le réseau. C'est une petite protection petite. (Mais c'est comme Raymond D. : "j'ai vu de belles choses" après France-Espagne 0-2 !)

Mettre un firewall, c'est avoir la volonté de faire un filtrage SERIEUX. Entrant c'est déjà un peu le cas, il va falloir le faire sortant.

Une ssii vend un boitier UTM à ceux qui le veulent et à ceux qui ne sont pas compétent. Mais un Ipcop ou un pfSense fait des choses SIMILAIRES (hors le filtrage AV/AS qu'il vaut mieux faire ailleurs).

Alors pourquoi ne pas commencer par essayer ? Et cela ne coute rien si on récupère un vieux micro !

Filtrer les virus est-il vraiment nécessaire si déjà les micros sont équipés d'une solution correcte et cohérente ?

Traiter les spam ? C'est aussi l'affaire de chacun ! Est ce que tout le monde comprend qu'il FAUT faire régulièrement le nettoyage de "Courrier indésirable" ?


Moi, jeune informaticien, et donc passionné, je testerai la confiance de mon patron en suggérant cette démarche (et en prenant du temps perso pour expérimenter chez moi).


NB : je ne suis plus jeune (d'âge), je suis, disons, un peu expérimenté, mais j'ai un patron qui ne me fait pas confiance en intercalant un N+1 !

[ben350ci]

Au fait, j'étais parti pour prendre un Firewall CISCO SA 540 à 469€HT + un abonnement à 93,87€HT pour 5 services.
Qu'est ce que vous pensez de ce type de matériel tout de même?

[ben350ci]

Il est clair qu'une box filtre le flux entrant : de l'extérieur, on rentre dans le réseau interne qu'à l'aide de cheval de troie mais on n'initie pas "ex-nihilo" un entrée dans le réseau. C'est une petite protection petite. (Mais c'est comme Raymond D. : "j'ai vu de belles choses" après France-Espagne 0-2 !)

Tu touches le point qui me tarabuste, les chevaux de troies! Comme mes utilisateurs ont une connaissance du niveau du poisson rouge en informatique et qu'il me font une confiance aveugle j'ai un peu peur qu'ils me fassent rentrer des "poneys turques". ;o)

P.S. Il n'y a pas de mal avec Francky, je l'ai très bien pris, je préfère la franchise. ;o)

[jdh]

Ce que j'ai écrit d'un firewall UTM (et le marketing) s'applique toujours ! On en a pour ... son argent !

Ce type de boitier doit être équipé au mieux d'un celeron et de 256M (peut-être 512M). Par rapport à un Ipcop ou pfSense, il dispose surtout d'un OS très très optimisé. Il n'y a pas de différence fondamentale avec un Zyxel ou Sonicwall ... Je remplace ce type de boitier par une UC standard avec un Sempron, et 2G de mémoire : coût 200 € (allez, champagne, 250€ !)

Pour une mission dans une entreprise, j'ai du, au pied levé, modifier la config d'un Cisco Pix (sans aucun autre support que le mot de passe). Cela ne m'a pas posé de problème. Mais si mon patron voulait absolument un Cisco, je lui dirais qu'il faut acheter aussi la prestation d'installation parce cela ne s'improvise pas : seul, il me faudrait peut être 2 ou 3 jours, alors qu'avec un consultant, je n'aurais besoin que d'1 journée.

Donc le coût n'est pas celui de la boite mais celui de la boite + prestations d'install/transfert + abonnement maintenance + ... +++ Parce que je doute que l'on achète la boite seulement !



Un jour, je me suis intéressé à la facture d'un boitier (assez similaire) "checkpoint soho" : achat ~1000€ (US 480$ !) + prestation de création de l'ipsec avec le checkpoint central : ~3500€. Quand le boitier Soho a dégagé, j'ai installé 2 fois 2 PC neufs à 200 € + la distrib pfSense. Et en plus, je ne paie rien pour les N clients OpenVPN ! Coût nul puisque je suis en CDI (et que mon salaire est assez faible !).


NB : Il est instructif de lire la plaquette http://www.cisco.com/en/US/prod/collate ... ag_v2a.pdf et la comparaison avec des produits concurrents : aucun argument factuel !

[ben350ci]

OK, donc je vais approfondir le firewall/Proxy sur PC. Dans ce cas qu'est ce qui me correspond le mieux? IPCOP ou pfsense?

[jdh]

En dépit de l'amitié pour Franck78 (qui participe au développement d'ipcop), je dirais pfSense.

J'apprécie
- de ne pas bricoler en ligne de commande ni de modifier moi-même le script firewall (avec pf !),
- l'intégration de base de l'équivalent de BOT,
- la facilité de créer un cluster (en minutes),
- le nombre de zones non limité,
- la simplicité d'écriture des règles, une fois que l'on utilise les alias,
- la présence de tout ce qu'il y a d'utile (vpn ipsec + openvpn, cluster, règles, dns, dhcp, log, stats).

NB : ne pas essayer 2.0 : non stable total

NB: les onglets dans Rules correspondent à l'interface d'arrivée du paquet !

[ben350ci]

Toutes les commandes de pfsense se font à la souris?
Comment se passe le filtrage de contenu?

[jdh]

Selon le nombre de pc dans le réseau local, il est à conseiller de séparer la fonction proxy du firewall (quitte à utiliser un vieux pc pour le firewall).

Il faut se prendre en main en regardant le site de pfSense, parcourir le forum, "sentir" les choses, tester sur un vieux pc en stock, ...

pfSense possède une (assez) intuitive interface web (sous php).

Parmi ses avantages, il y a la configuration aisément sauvegardable/restaurable sous la forme d'un unique fichier au format xml, la gestion simple de packages (dont je conseille de ne pas abuser), ...

Attention, quelque soit le système, cela prend du temps de bien comprendre comment cela fonctionne, quelles sont les "best practices", ...


Dans le cas d'un proxy séparé (le mieux et le plus efficace), ce qui est simple c'est une simple Debian avec les outils habituels ...

[Franck78]

quelque soit la somme que tu comptes investir dans un 'boitier' tout prêt, rien ne t'empèche d'installer demain un ipcop ou un pfsense en attendant. C'est gratuit et dispo immédiatement.

Ce ne peut être que mieux que ce que tu écris:

routeur dlink DSL-2640B (de la daube je sais...) mais qui sectionnent materiellement le réseau administratif du réseau ouvert. Un filtrage MAC est en place sur le réseau administratif

un routeur ça route. Rien à $%#&! des adresses mac le routeur. Pas son job. Protecttion zéro.

Tu auras sans doute plus de mal avec pfsense à piloter le modem? qu'avec un IPCop.