IPCOP face à Arkoon & NETASQ

par **SIMS** » 25 Sep 2003 19:54

Que vaut IPCOP face à des Firewalls "IPS" comme Arkoon et Netasq???? J'explique IPS pour ceux qui ne connaissent pas : c'est un Filtrage applicatif niveau 7 qui vérifie la conformité d'une trame par rapport aux RFC. En gros une sorte d'IDS comme snort mais intégré au noyau et capable de bloqué toutes attaque même au niveau applicatif. Esqu’un IPCOP avec SNORT + "GUARDIAN ou SNORTSAM" peut rivaliser avec Arkoon et Netasq????????

par **SIMS** » 27 Sep 2003 19:11

Alors pas de reponse !!!!

par **grosbedos** » 27 Sep 2003 21:06

je n'ai pas les connaissances pour te repondre la dessus..je ne connais pas trop cet "ips", mais bon je ferais juste remarquer que les firewalls dont tu parles coutes 20000 euro mini... un petit projet open source qui reprend ca : <a href="http://lak-ips.sourceforge.net/" target="_blank">http://lak-ips.sourceforge.net/</a>

par **micj** » 27 Sep 2003 22:27

Je pense qu'on ne joue pas dans ce cas-là dans la même cours... IPCop n'est pas un outil permettant ce genre de chose. N'oublions pas qu'au départ, IPCop est une solution censé réutiliser du matériel déclassé pour protéger un réseau local. Il s'agit d'un produit GPL d'une grande qualité mais se basant uniquement sur le bon-vouloir des gens, à savoir il faut contribuer par son travail au dvl du produit.

par **SIMS** » 28 Sep 2003 12:20

Merci Grosbedo et Micj de vous êtres penchés sur mon problème. Je sais que les Firewalls IPS sont très chers car j’en vends dans mon travail, mais on sait tous que ce n’est pas le prix qui fait la qualité !!! (Microsoft) !!!! Alors Ipcop est basé sur un noyau 2.4 > donc avec Iptables qui est stateful. Ipcop intègre aussi Snort qui est reconnu pour être aussi performant que des IDS payants, voir plus. La dessus je rajoute Guardian qui met à jour les règles Iptables dynamiquement par rapport au alertes Snort. Conclusion je ne vois pas en quoi Ipcop 1.3 + Snort + Guardian serait plus faible que des IPS ou des firewalls comme Checkpoint ????

par **Fesch** » 28 Sep 2003 12:28

Une comparaison entre IPCop et Checkpoint m'intéressait aussi! Est-ce qu'il y a quelqu'un qui en sait plus?

par **touffator** » 28 Sep 2003 12:53

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Que vaut IPCOP face à des Firewalls "IPS" comme Arkoon et Netasq???? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> je peut te faire la comparaison entre arkoon et ipcop car jutilise les deux. une des pricipale différence entre ipcop et arkkon et le filtrage applicatif qui n'existe pas encore dans ipcop c a d si par ex t'as un iis derriere ton FW tu peut te faire hacker (defacer par exemple <IMG SRC="images/smiles/icon_wink.gif"> ) grace a des requetes mal formé et ca ipcop le detecteras pas <IMG SRC="images/smiles/icon_frown.gif"> par contre arkoon lui verifieras la requete avant de la transmettre au serveur et si la requette ne correspond pas aux norme RFC il la rejette... en plus dans arkoon tu as integré un antivirus smtp http ftp et une gestion des flux (entrant et sortant qos ...) beaucoup plus fine que dans ipcop plus quelques option suplementaire arkkon dispose aussi d'une interface de config et de monitoring plus poussée que dans ipcop sous forme d'une application windows :-/ en fait tout v dependre de ca que tu va avoir a protéger si par exemple tu as un serveur web et ftp chez toi arkoon seras plus approprier pour toi... alors que si c'est juste protéger un lan ipcop peut suffire <IMG SRC="images/smiles/icon_smile.gif"> c'est claire que arkoon et ipcop ne s'adresse pas au meme public car arkoon livre ses boitier avec sa solution et c'est des PIII 733 mini (on est loin du P100 necessaire a ipcop <IMG SRC="images/smiles/icon_smile.gif"> ) et les pris sont a peut pres de 20000€ pour proteger une centaine d'ip plus un abonement pour l'antivirus ... ++ touf

par hb » 28 Sep 2003 13:24

je rejoins également l'opinion deMicj et Grosbedos, on ne joue pas dans la meme cours. Utilisateur de CheckPoint au boulot, la supervision et la configuration des FWs du groupe est gérer par la Holding depuis un point centrale? Ce que ne permet pas IPCOP. Donc la réponse n'est peut etre pa toujours que technique, ... de plus quand j'ai proposé IPCOP à ma boite on m'a clairement repondu, tu fais joujou avec ça si tu veux à la maison, mais je veux pas de ça ici. je ne dis pas (personnelement ) qu'IPCOP ne peux pas etre Professionnel. mais pour ceux qui ont l'habitude de payer pour avoir quelque chose de bien, ils ne comprennent pas que qualque chose de gratuit peux faire aussi bien voir mieux. Conclusion vendons IPCOP <IMG SRC="images/smiles/icon_lol.gif">

par **SIMS** » 28 Sep 2003 13:26

Touffator, je connais très bien les Arkoon car je les configure souvent dans mon travail. Je connais toutes les options que l’Arkoon a en plus d’un Ipcop. Mais moi je parle uniquement de « sécurité Firewall » donc pas d’antivirus. Je suis d’accord avec toi quand tu dis que Ipcop ne fait pas de filtre applicatif si tu laisses Ipcop de base!!!!!!!!!! Mais si tu rajoute Guardian pour mettre à jour les règles Iptables dynamiquement en fonction des alertes Snort tu obtiens un filtre applicatif !!!!!!!! car Snort analyse le contenu d’une trame et pas seulement l’entête comme Iptables. Donc Ipcop noyau 2.4 + Snort + Maj dynamique de Iptables en fonction des alertes Snort = IPS = Arkoon

par **micj** » 28 Sep 2003 13:50

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-28 13:24, hb a écrit: Conclusion vendons IPCOP <IMG SRC="images/smiles/icon_lol.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Cela ne se peut pas! Du fait de la licence GPL, tu ne peux pas vendre IPCop, par contre il est tout à fait possible de vendre le service, le hardware, la maintenance, autour d'une solution telle qu'IPCop.

par **grosbedos** » 28 Sep 2003 14:04

lol le lien que j'ai mis à l'air sympa, je vais tester ca sur une debian (bientot)! attention sims!!!! guardian, c'est bien ,c'est bo, mais pas tres mature ni beaucoup parametrable!! si un attaquant se rend compte que tu utilises ca, c'est fini pour toi lol!

par **bisol** » 28 Sep 2003 14:07

Heu je veux pas relancer 1 troll vieux comme le mone mais la GPL autorise les produits sous cette liscence à être vendu non ? Faut jsute donenr les sources avec !

par **t2net** » 28 Sep 2003 14:37

Ma réflexion : Pour ma part nous utilisons un firewall Netasq F100 pour l'accès principal à Internet et des passerelles IPCOP pour segmenter le réseau c'est vrai que le NETASQ c'est un cout important à l'achat, en plus il ya des mise à jours régulière qui necessite un contrat de maintenance. Sans ces mises à jour le firewall n'a plus d'interêt. Par contre pour avoir vu l'intérieur de ce firewall, c'est un simple pc type Celeron ou PIII avec un système Linux installé dessus (Je ne suis pas certain qu'il soit soit bien différent d'IPCOP sinon peut-être au niveau des applications). ce que j'aprécie le plus c'est les outils d'administration, d'alerte et de suivi des trace. Mais à mon avis IPCOP serait amplement suffisant. Nous avons actuellement interrompu notre contrat de maintenance, car, étant un établissement scolaire nous allons être doté d'un autre système firewall (PC + Linux) aboutissement du projet EOLE (Ensemble Ouvert Libre et Evolutif) <a href="http://eole.ac-dijon.fr/" target="_blank">http://eole.ac-dijon.fr/</a> (ça peut intéresser certains d'entre vous) a suivre ...

par hb » 28 Sep 2003 18:56

vous battez pas pour savoir si il faut vendre ou non IPCOP, c'etait juste un JOKE. c'etait pour mener jusqu'au bout le raisonnement par l'absurde si c'est gratuit c'est pas Pro si je le vend (tres cher) c'est le meilleur <IMG SRC="images/smiles/icon_up.gif">

par **SIMS** » 28 Sep 2003 20:30

GrosBedos, Je ne vois absolument pas pourquoi si un attaquant se rend compte que j’utilise Guardian ou autre chose, c'est fini pour moi ????

IPCOP face à Arkoon & NETASQ

Qui est en ligne ?