routeur + firewal open source (exit arkoon)?

[iixus]

bonjour, je suis nouveau dans l'affaire alors merci pour votre patience!

Notre entreprise voudrait changer sa coupefeu arkoon pour quelque de plus sympa, du open source
(coté budget ça semble plus intéressant).

le problème est qu'on ny connait pas grand'chose en linux.
j'ai vu plein de distributions linux sur ce forum (smoothwall, ipcop et les autres), ailleurs j'ai vu également firewallbilder, iptables et d'autres noms encore.

pour la production quelle serait la solution la plus facilement paramétrable (avec blacklist url, recherche mot etc etc) qui pourrait remplacer arkoon comme firewall?

ps: important aussi: quel est le plus sûr niveau sécurité?


ps2: faut-il ajouter des locigiels type NID comme nessus, snort etc?

merci!

[Franck78]

[jdh]

(Le choix du pseudo ne me parait pas top du tout).


En lisant la question, je me suis dit "quelle question !!!" Puis j'ai pensé à mon entreprise où il y a 2 CheckPoint (dont 1 appliance) choisis il y a 5 ans uniquement sur la "confiance" (ou la réputation) en la société intervenante, sans qu'à aucun moment, il y ait eu une réflexion sur "est ce que c'est le produit qui nous convient ?" ni sur le prix ! (Dans le cas présent, c'est totalement disproportionné !)

Alors ARKOON ? Mais c'est un très bon produit : très cher (trop ?) mais très bon. (Comme CheckPoint !)

Je ne crois pas que cela puisse être remplacé, "comme ça", par un IPCOP.

Virez un Arkoon c'est une vraie gageure !


La façon dont tu poses les questions, montre que tu ne comprends pas exactement ce qu'est la sécurité. Il s'agit de choisir un niveau de réponses à des soucis réseaux. Il convient de connaître les risques et de choisir un niveau de parade.

Une fois déterminé le niveau, il faut mettre en oeuvre les produits nécessaires. Ni plus ni moins.

Un grand risque c'est de se croire protégé parce qu'on a acheté un bon produit assez cher. Un risque plus grand est de décrêter Linux et une distribution au choix sans savoir comment elle fonctionne.

Un spécialiste d'IPCOP sera peut-être surement meilleur qu'un ignorant avec un Arkoon. mais dans tous les cas, il y a du boulot pour déterminer les risques avant d'imaginer choisir une distribution.

[iixus]

merci pour la réponse.
la raison principale de notre questionnement est que la boite qui nous a installé l'arkoon nous a mis devant un fait accompli, à savoir que les constructeurs ARKOON ne veulent plus garantir la maintenance sur le routeur/firewall après 3 ans (la boite qui nous l'avait vendu nous l'a dit à la fin du contrat)......
c'est pour ça qu'on cherché coté open source. Bien sur, personne ne conteste qu'arkoon coté produit est excellent coté sécurité et assez conviviale pour mettre en oeuvre (au moins coté GUI). Maintenant, dans toute la panoplie d'offres open, il doit bien y avoir quelque chose qui s'approche de la qualité d'arkoon?

coté niveau sécurité, peu-être pourrais-tu donner quelques clés qui indiquent les différents niveaux?
je vois que dans un post récent tu parle de "pfsense", une raison particulière pour avoir choisi celle-là?

ça nous intéresserait aussi d'avoir une société SS2L pour la mise en place (c'est vrai, on n'est pas assez compétent) et la maintenance. Nous c'est plutôt coté CF ou Lyon qu'on cherche.

merci pour votre aide

[jdh]

Non je ne crois pas qu'il y ait en opensource quelque chose de "mieux" qu'Arkoon.

Arkoon dispose d'ingénieurs expérimentés qui font un meilleur produit parce qu'il travaille ensemble sur leurs spécifications.

"mieux" : j'ai mis entre guillements parce, de mon point de vue, ce n'est pas le produit qui fait la sécurité mais plutôt celui qui configure, ajuste son firewall. En clair, un imbécile peut faire une très mauvaise config avec un Arkoon alors qu'un expert ne sera pas pris en défaut avec son propre script iptables. L'intérêt d'un produit commercial est qu'on en fait difficilement une passoire à moins d'être vraiment stupide (et qu'on peut trouver du support ... plus ou moins compétent mais ça c'est une autre histoire).

Concernant la "non-maintenance" au bout 3 ans, ça c'est du commercial efficace ! Déjà que je trouvais Arkoon cher (très cher ?), alors là c'est top. Pas même une proposition de reprise ? J'enverrais le revendeur avec ...

J'ai un CheckPoint qui va sur ces 6 ans, j'ai arrêté la maintenance l'année passée (c'était le prix de 2 appliances de base). Il continue de fonctionner. Mais je vais le remplacer ... parce que j'ai besoin de nouvelles fonctionnalités (un vpn économique et qui fonctionne dans toutes les config). Si je voulais je continuerais ...

Avant de jeter une appliance qui tourne (bien), je réfléchirais aux besoins (fonctions/risques/besoins). Et je commencerais plutôt à ajouter d'autres fonctions sur d'autres machines.

[iixus]

jdh,

merci pour ta réponse et ton aide.

pour nous aider, peux-tu stp nous dire quels seraient les différents niveaux/exigences de sécurité qui selon toi délimitent les différentes tranches de sécurité. Comme ca, je peux vérifier sur place et jaurai une meilleure idee.

bien sur la boite nous a proposé une reprise, mais c'était pour un nouvel arkoon, donc sa fait un peu cercle "vicieux"...

sinon, des raisons particulières pour opter pour PFSENSE?

j'ai cherché sur l'annuaire des SS2L pour une société, mais il y en a trop... quelques noms "connus" et fiables?

merci encore.

[webseb]

Bonjour,

Je pense que JDH à raison, surtout si vous n'avez pas forcément les compétences en interne, il vaut mieux rester sur une solution de type appliance, travaillée et améliorée par des ingénieurs, plutôt que de se lancer dans l'utilisation d'une distribution, qui n'apportera pas du tout le même niveau de qualité, de fonctionnalité et de support.