firewall ISA server 2004

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

firewall ISA server 2004

Messagepar mul » 11 Fév 2005 12:51

Bonjour à tous,

est ce que quelqu'un a déjà mis en place ISA 2004 ?

votre avis ?
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Messagepar mul » 11 Fév 2005 13:29

personne ?
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Messagepar mul » 11 Fév 2005 15:03

ben voilà ISA 2004 c'est à l'image du nombre de réponse, ISA 2004 c'est de la daube :D
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Messagepar remi » 11 Fév 2005 18:02

Déjà pas de QoS, sauf en ajoutant un plug-in(payant) non microsoft,...

Je te conseille de contacter lucyfire par MP qui avait assisté à un séminaire sur la "bête"
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

isa 2004

Messagepar isus » 16 Fév 2005 17:12

Isa serveur est un tres bon firewall

le 2004 g le cd la license et pas eu le temp de le mettre en place mais cela reste un bon firewall

meme si j'utilise ipcop, je suis sur que le tendem Intranet isa ipcop internet est le meilleur compromis pour la securite car isa serveur peu utiliser la base AD a merveille pour son utilisation un grand mondre de tres gros compte l'utilise car la version pro gère le clusterring (ide linux du clustering) et permet donc la realisation de grappe de serveur .

floris JOURT MCSE (et en plus sur isa g du avoir 98% de reussite)
@ Professionnel Services
http://www.pro-ser.fr
Floris JOURT
@ Professionnel Services
http://www.pro-ser.fr

Ce que tu fait aujourd'hui n'est plus a faire
isus
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Juin 2004 11:13
Localisation: Brest

Messagepar mul » 16 Fév 2005 17:24

ISA 20004 est beaucoup mieux que ISA 2000. Il se rapporche de plus en plus de la philosophie d'un bon firewall car ISA 2000, c'était de la crotte :D
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Messagepar isus » 16 Fév 2005 17:27

tu post pour poster?

ben voilà ISA 2004 c'est à l'image du nombre de réponse, ISA 2004 c'est de la daube

et maintenant tu trouve que c bien?

comprend plus!
Floris JOURT
@ Professionnel Services
http://www.pro-ser.fr

Ce que tu fait aujourd'hui n'est plus a faire
isus
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Juin 2004 11:13
Localisation: Brest

Messagepar mul » 16 Fév 2005 17:42

ha non ISA 2004, c'est toujours de la crotte mais une plus petite crotte :D
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

ok dsl alors pour le dernier post

Messagepar isus » 17 Fév 2005 12:59

mais tu sais il n'est pas si mal que cela c juste que la mentalitée pour l'apréhender n'est pas evident, et pas forcement plus simple que sous *nux.
Floris JOURT
@ Professionnel Services
http://www.pro-ser.fr

Ce que tu fait aujourd'hui n'est plus a faire
isus
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Juin 2004 11:13
Localisation: Brest

ISA SERVER 2004

Messagepar admincdc » 24 Fév 2005 15:50

Si tu n'as pas besoin d'authentification kerberos et autres pour des cleints nomades....
Evites cette solutyion tres onereuse et peut fiable...
Le meilleur des parefeu c'est un bon vieux CISCO PIX 501 ou 515 selon la taille de ton reso...
et si tu veux une passerelle ou un proxy une solution IPCOP, mandrake mnf peut te convenir...
Sinon si tu as les moyens une passerelle Trend Micro ca fonctionne tres bien!

CDC
admincdc
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 20 Juil 2004 17:46

Messagepar Squastana » 28 Fév 2005 12:20

Bonjour

Je suis assez surpris des réactions de ce forum (je fais quelques réponses aux personnes à la fin de ce post en espérant qu'il ne sera pas censuré :roll: )

IXUS me semblant un site sérieux sur le sujet, j'aimerais remettre un peu les pendules à l'heure concernant ISA Server 2004 dans ce premier post.


Fonctionnellement ISA 2004 a perdu les fonctions suivantes (qui étaient dans ISA 2000) :
- Gestion de la bande passande (via le module de QoS)
- le splitting des flux video (via un filtre applicatif couplé à un serveur
de flux Windows Media)
- L'active Caching
- La passerelle H323

et c'est à peut prêt tout.

Maintenant les nouveautés de ISA Server 2004 (liste non exhaustive) :
- support multi-réseau
- statefull routing sur tous les protocoles
- protection de la machine ISA sur toutes les interfaces (avec filtrage
applicatif)
- tableau de bord
- Test de connectivité
- surveillance en temps réel
- publication des rapports générés
- moteur de requêtage dans le logs
- intégration du VPN dans l'interface
- règles unifiés pare-feu/VPN
- règles FW ordonnées
- une interface entièrement refaite et beaucoup plus simplet et logique
(pour répondre aux demandes des clients habitué à gérer des firewall d'autre
marque..)
- support de IPSec en mode tunnel pour l'interopérabilité avec des
passerelles VPN Tierces
- mode lockdown du serveur (grâce à un nouveau moteur de FW qui tourne en
mode Kernel)
- Un filtre HTTP qui permet de tout analyser sur HTTP
- des communications chiffrées en le client FW ISA et son serveur
- l'authentification Radius
- l'authentification Web Forms avec Exchange
- le filtrage applicatif paramétrable de manière spécifique par règle de
pare-feu
- la surveillance des services ISA intégrée à la gestion NLB sur la version
Entreprise
- les serveurs de configuration dans la version Entreprise
- La possibilité d'avoir ISA 2004 préinstallé sur des appliances
- amélioration significative des performances grâce à la nouvelle
architecture (moteur FW en mode Kernel et service FW en mode user)
-.....


Je pense qu'il n'y a pas photo entre les 2 versions et l'évolution du produit est tellement significative que parler d'ISA 2004 sans l'avoir essayer et en se basant sur l'expérience acquise avec ISA 2000 est une erreur
je ne connais aucun de mes clients ou partenaires qui voudraient revenir sur ISA 2000 après avoir "gouté" à ISA Server 2004 :) )

Si des fonctions ont été retirées, les raisons sont les suivantes :
- fonctions utilisées par moins de 1% des clients
- fonctions qui par leur complexité entrainaient des problèmes de dépannage


ISA 2004 a été conçu pour répondre à la majorité des remarques des clients qui se plaignaient de certaines limitations sur ISA 2000 :
- pas de support multi-réseaux limitant le nombre de scénarios/topologies
possibles
- pas la possibilité de choisir entre Route ou NAT
- pas de surveillance en temps réel
- Logs difficile à lire
- Interface peu intuitive (surtout pour des personnes habituées à d'autres
produit FW)
- pas d'authentification Radius
....


Réponse à MUL

Il faut un peu ouvrir les yeux et essayer d'avoir un discours objectif.
Microsoft = produit de m.. c'est un peu dépassé et puéril comme approche :wink:

Même si ma préférence va vers des produits comme ISA 2004, cela ne m'empêche pas de regarder ailleurs ce qu'il se passe et je m'abstient de juger avant de tester (par exemple j'ai utilisé récemment un Astaro Linux (interconnexion VPN site à Site avec un ISA 2004) et j'ai été agréablement surpris)



Réponse à AdminCDC

"Si tu n'as pas besoin d'authentification kerberos et autres pour des cleints nomades....
Evites cette solutyion tres onereuse et peut fiable..."
==> Onéreuse ? peux tu me donner le prix d'un ISA Server 2004 et celle d'un Checkpoint NG ou d'un Cisco ?
Un ISA Server 2004 Standard cela coute environ 1500 euros par processeur (à cela il faut rajouter la license Windows)
et après il n'y a rien à rajouter (Cisco, checkpoint et autres produits font payer au nombre de connexion)
==> Peu fiable ? Peut tu donner des arguments justifiés et pas une opinion sans fondements ? Je ne connais aucun de mes clients qui se soit plein de la fiabilité du produit..


"Le meilleur des parefeu c'est un bon vieux CISCO PIX 501 ou 515 selon la taille de ton reso..."
==> C'est vrai que les pare-feu PIX sont de bons produits mais de là à dire que ce sont les meilleurs...
==> En parlant de fiabilité, les PIX ne sont pas sans défaut (comme tout produit d'ailleurs) : http://secunia.com/product/59/

Merci d'avoir lu mon post, en espérant n'avoir pas été ni barbant ni offensant


PS : si vous avez des questions sur ISA 2004, je suis prêt à y répondre (sur ce board ou en direct : squasta@microsoft.com)
----------------------
Stanislas Quastana
Avatar de l’utilisateur
Squastana
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 28 Fév 2005 11:47

Pricelist -- for Squastana

Messagepar admincdc » 28 Fév 2005 20:07

Salut,

Accroches-toi bien une licence ISA Server 2004 c'est environ 1000-1500€
Tout cela sans compter les licences CAL pour les clients (~30€/client...enfin ca depend du nombre evidement!).
Alors que un PIX-501: 400-500€, pour une petite PME ce la suffit jusqu'à 25users.
si tu prend le budget du ISA 1500€ ta mm les moyens de te payer une conf de ton FW par une SSII (environ 700€ la journee), mm si la configuration n'est pas tres complexe, il faut s'habituer au langage CISCO, toutes les docs sosnt dispo gratuitement sur le site de CIsco, on peut mm souscrire à un contrat support mais pour ce type de configuration à mon humble avis il n'y en pas besoin.

Il est vrai tout de mm que le 515 est cher (2000€) mais c'est parcequ'il a un brin DMZ et qu'il est fait pour des flux bcp plus importants!

L'avantage de cette solution c'est qu'elle est extrêmement fiable!

J'ajouterais que le défaut d'ISA server aussi puissant soit -t-il c'est qu'il a trop de fonctionnalité, dc plus de chances d'avoir des failles. Qui plus est tt les hackers s'attaque au produits Microsoft en priorité!

Tout cela c'est biensur simplement mon opinion, après seul l'experience des deux solutions peut te donner un avis fiable.

CDC
admincdc
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 20 Juil 2004 17:46

Messagepar mul » 28 Fév 2005 20:18

Il faut un peu ouvrir les yeux et essayer d'avoir un discours objectif.
Microsoft = produit de m.. c'est un peu dépassé et puéril comme approche


je sais , j'exagère un peu beaucoup :D
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Re: Pricelist -- for Squastana

Messagepar Squastana » 28 Fév 2005 21:48

Hello

"Accroches-toi bien une licence ISA Server 2004 c'est environ 1000-1500€
Tout cela sans compter les licences CAL pour les clients (~30€/client...enfin ca depend du nombre evidement!)."

==> Faux : comme écris précédemment dans mon post, la licence d'ISA Server 2004 se calcule au processeur (1500 € par processeur physique pour la version standard) et pas au nombre de connexion cliente. Tu peux donc avoir une grosse PME avec 5000 users, tu ne paiera pas plus cher. C'est pas cool tout ça :D


"Alors que un PIX-501: 400-500€, pour une petite PME ce la suffit jusqu'à 25users."
==> Pour les PME, il existe Windows 2003 Small Business Server qui contient dans sa version Premium ISA 2000. Le service pack 1 de SBS 2003 fera une mise à jour gratuite vers ISA 2004.

Le prix de SBS : environ 1200€ (http://www.touslesprix.com/comparer/fiche31867.asp) avec 5 CALs (ces CALs sont pour Exchange 2003 qui est inclut dans SBS tout comme SQL Server, Sharepoint...). C'est vrai que c'est un peu plus cher qu'un PIX 501.


"si tu prend le budget du ISA 1500€ ta meme les moyens de te payer une conf de ton FW par une SSII (environ 700€ la journee)"
==> Effectivement, maintenant la configuration de base c'est bien mais il faut aussi que le personnel qui va administrer le PIX soit formé. En 1 journée, c'est peut être un peu juste

" mm si la configuration n'est pas tres complexe, il faut s'habituer au langage CISCO, toutes les docs sosnt dispo gratuitement sur le site de CIsco, on peut mm souscrire à un contrat support mais pour ce type de configuration à mon humble avis il n'y en pas besoin."
==> Sur ISA, il faut s'habituer à l'interface et apprendre également à s'en servir.
3 sites sont incontournables :
http://www.isaserver.org/ qui contient des tutoriels pas à pas
http://isatools.org qui contient plein de scripts (si si on peut scripter avec ISA 8) )
http://www.microsoft.com/isaserver/techinfo/default.asp ==> les documents Techniques de Microsoft


"Il est vrai tout de mm que le 515 est cher (2000€) mais c'est parcequ'il a un brin DMZ et qu'il est fait pour des flux bcp plus importants!"

ISA Server 2004 (toujours à 1500€ prix public par processeur) n'a aucune limitation en terme de nombre d'interface réseaux. Il est donc possible d'avoir autant de DMZ que l'on veut; la seule limitation c'est le nombre d'interfaces réseau du serveur :shock:


"L'avantage de cette solution c'est qu'elle est extrêmement fiable!"
Oui, complétement d'accord pour peu qu'elle soit correctement administrée, mise à jour et surveillée (comme un ISA Server 2004, un Checkpoint NG...)


"J'ajouterais que le défaut d'ISA server aussi puissant soit -t-il c'est qu'il a trop de fonctionnalité, dc plus de chances d'avoir des failles. Qui plus est tt les hackers s'attaque au produits Microsoft en priorité!"

Trop de fonctionnalités, pas assez de fonctionnalités... il faut choisir :wink:
Je n'ai jamais rencontré de clients se plaignant d'un surplus de fonctionnalités mais bon chacun sa vision du firewall idéal.
Quand aux "hackers", pour l'instant ils font chous blanc sur le produit (pour ceux qui veulent s'amuser, vous pouvez tenter https://mail.microsoft.com c'est un OWA 2003 protégé par ISA 2004)
ISA 2004 est sorti en mai dernier et depuis pas d'alerte de sécurité (http://secunia.com/product/3687/) ce qui est plutôt rassurant. Pour compléter, il est intéressant de savoir que le produit dans sa phase de développement a subis des tests de sociétés externes à MS spécialisées dans les attaques de pare-feu (Foundstone notament) et que ce genre de test est poursuivi durant la phase de vie du produit (pour chaque Service Pack ou Feature Pack).

"Tout cela c'est biensur simplement mon opinion, après seul l'experience des deux solutions peut te donner un avis fiable."
Tout à fait, sachant que la combinaison de plusieurs pare-feu est une solution assez courante dans les grosses sociétés et que l'association ISA / PIX est assez fréquente. Le PIX en façade vers Internet pour filtrer le gros du "mauvais" trafic et ISA 2004 pour filtrer au niveau des couches applicatives (HTTP, SMTP...)

Pour terminer dans un esprit de fraternité :P , il est marrant de voir sur le site de Cisco des offres combinées Cisco / ISA(http://www.cisco.com/en/US/products/sw/ ... df72b.html ==> ici c'est avec un ISA 2000)
----------------------
Stanislas Quastana
Avatar de l’utilisateur
Squastana
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 28 Fév 2005 11:47

Messagepar antolien » 28 Fév 2005 22:46

Ce que j'en sais du isa 2004 c'est que :

1- on peut enfin regarder les logs, mais c'est pas encore ça.
2- on peut enfin avoir une dmz, et ne pas nater tout et n'importe quoi.

3- c'est vraiment pas stable, 2 jours de prod, planté sans erreur référencée (genre "une erreur est survenue , on sais pas d'où ça vient"). Il a fallu le réinstaller, pour le lendemain passer à autre chose.

4- toujours une grosse configuration nécessaire, sans compter le prix des licences.

Conclusion perso, très intuitif, mais très peu fiable et très cher.

En utilisation proxy seulement c'est toujours très bien, bien qu'on puisse faire la même chose sous unix (auth ntlm, types mime, etc ) voir mieux de peu que l'on se creuse la tête...

Tout ce qui concerne la sécurité, c'est pas vers ms que je me tournerais.

D'ailleurs, cisco fait de très bons produits, mais je ne choisirais pas leurs produits non plus pour les firewalls ni les proxys.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron