Voila :
 
Je dois préparer la sécurisation de notre accès web (FW, DMZ, Proxy etc) et je me pose la question suivante :
Pour un parc de 150 machine environs, vaut-il meiux acquérir un FW matériel (un boitier koi !) ou acheter un logiciel ?
J'aimerai autant que possibles des réponses argumentées () et si vous en avez des exemples de softs/matériels de bonne qualitée
 
 
Merci

ça dépend du niveau de sécurité que tu envisages. Sachant qu'en règle générale un firewall sur un serveur dédié comme checkpoint est plus maniable et plus efficace qu'un boitier dans lequel tu as souvent des règles prédéfinies et donc tu ne peux malheureusement pas toujours te défaire.
Tu as quand même des boitiers (je crois que c'est cobalt qui faisait ça) très performant avec les logs et les règles entièrement en manuel. C'est identique à un serveur dédié

le cout joue aussi beaucoup

La sécurisation sera plus efficace si tu prends un Firewall "matériel" (un boitier quoi) plutôt que d'appliquer un FW logiciel sur une passerelle...
Encore faut-il que le FW soit bien configuré...
 
Cisco PIX, ou Checkpoint, c'est du bon matos.
Dans ma boîte on utilise un Checkpoint FP3, qui est très efficace.

 
 
donc pour une bonne sécuritée, il vaut mieux installer un petit (P2-P3, on est pas riche non plus ) PC dédié aux FW/Proxy, ok!
Sinon tu connaitrais des softs qui feraient ca bien, assez simplement et pas trop cher (comment ca :"exigent" ? )
 
merci

Par cout, tu evalue a cb une "bonne" solution '( avec un bon niveau de protection ) ?

 
un firewall n'est pas un proxy!
tu dédies le firewall à un boulot de firewall, le proxy c'est une autre machine!

 
ca je sais
 
on peut pas mettre les 2 sur la meme machine ou ca risque juste d'être moins performant si la machine suit pas

 
pour commencer :  
quelle est ton architecture, tes OS, le nombre de serveurs, de routeurs etc...
 
quel est le niveau de sécurité requis? celui attendu? le niveau de l'administrateur sécu?

 
Si tu veux du pas cher, et juste pour faire du NAT et Firewalling, tu as la solution gratuite: OpenBSD
Le firewall livré avec (pf) est super efficace, paramétrable à volonté et l'OS en lui-même est super secure.
Si tu veux en plus du proxying, un squid installé dessus et ça roule.
 
Et tout cela ne t'auras coûté que le prix de la machine (donc 0 si c'est une machine de récup)

 
c'est juste que ça n'est pas 'idéal'!
c'est comme empiler un routeur et un pare-feu sur la même bécanne, c'est possible mais tu minimises ta sécurité.

 
Archi bah un gros réseau de 150 machines, un mix de 98/XP.
3 Serveur 2K et 2 AIX (Unix).
Routeur ? bah 1 vers l'extérieur qui gère aussi le VPN vers un site distant.
Sinan c tout géré par des swtichs cisco ( 1 switch maitre avec @IP)

http://www.knoppix-std.org/

 
Entièrement d'accord, l'idéal serait d'avoir une machine par fonction...Mais bon si tu n'es pas trop riche...

 
le VPN est géré uniquement par le routeur?

 
un firewall c'est surtout du processeur et des cartes réseaux

vi, 2 identiques de chaque cotés

http://www.nokia.com/nokia/0,8764,43315,00.html
 
une bonne solution

 
cisco également?

la derniere machine de recup qui me reste : P133
 
mais bon si y faut je pense qu'on arrivera a gratter des fonds

 
soit cisco soit 3Com me souviens plus

 
ça va faire léger hein, faut traiter tout ce qui circule sur le réseau

si je te suis, krapaud, mettre le firewall et le proxy sur la même machine serait trop dangeureux pour le proxy, c'est ça ?
Je suppose donc qu'il faut mettre le firewall devant le proxy, n'est ce pas ? Soit la structure en gros :
Internet - Firewall - Proxy - Parc des 150 PC.

http://www.symantec.com/region/fr/press/n0205.html

Déja tu prends ton P133 et tu installe OpenBSD dessus avec pf et te voilà avec ton firewall...Et tout ça gratuitement...

http://www.nai.com/us/products/mca [...] tegory.htm

g trouvé ca qui a l'air d'expliquer simplement le principe
 
http://www.chabert.com/firewall/
 
maintenant la véracitée, je suis aps encore expert

http://www.securityfocus.com/firewalls

 
tu ne sépares pas les services, qqun qui dégomme ton firewall a également la main sur ton proxy

 
loin de moi l'envie de me montrer un peu réac', mais le flux réseau de 150 machines filtrées par un p133, même si openBSD est le roi de l'optimisation, faut pas abuser.

un petit boitier http://soekrie.skyrock.com/

 
+1

http://www.init-sys.com/i-isr.htm

temp mort krapal
le temps que je regarde

Ouais, en même temps, le pauvre 133...  

Bon, faut voir ton budget aussi :
 
- solution "j'ai pas de sous" :  
pas le choix tu dédies un pc (+ ou -puissant selon ton traffic, ça c à toi de voir...) et tu installes une solution 'gratuite' (genre *BSD avec pf comme disait BingoOo) => apporter autant d'attention à la sécurisation de l'OS qu'à la configuration du fw lui-même => faut un minimum de compétences qd même, et en cas de soucis à toi de trouver une solution...
 
- solution "j'ai un gros paquet de $$ à dépenser" :  
dans ce cas choisit un boitier (genre netscreen ou nokia + checkpoint), la solution sera optimisée dc + de perfs et tu pourras te tourner vers l'éditeur et/ou l'intégrateur en cas de problème

à propos de l'aspect 'compétence', l'installation de la solution "j'ai pas de sous" ne risque t elle pas de devenir bien chère en coût humain (ben ouais, faut bien payer le mec qui fait le boulot, non ?)

bin si t'as en interne un mec responsable de la sécu, c son boulot de faire ça, non ?
-edit : oui yaura forcément du taff à l'install et pendant les 1ers mois de production mais ensuite tu touches pas à tes règles tout les 3 4 matins non plus...-
 
sinon évidemment ya plus qu'à raquer... pour embaucher un mec compétent ou acheter un boitier qu'on viendra t'installer
 
La solution "j'ai pas trop de sous et pas trop de compétences alors on va taper entre les 2 extrèmes" est la + risquée à mon avis... c'est le coup à se retrouver avec un fw logiciel bas de gamme mal configuré et installé sur un windows non ou mal sécurisé...

 
+1
En plus l'installation, la configuration et la sécurisation du BSD est vraiment pas super compliquée pour peu qu'on se penche un peu sur la doc...
Franchement, le fait d'embaucher un mec uniquement dédié à ça ne s'avère pas nécessaire, le mec en charge de l'admin système (ou même toi si tu en as envie) peut très facilement s'occuper de tout ça!
La doc sur le site d'openbsd ( http://www.openbsd.org ) est super complète et super bien foutue, et elle vaut vraiment le coup qu'on s'attarde dessus.
 
Et puis comme le dit lutain, à moins d'une grosse évolution dans l'archi, les règles, une fois configurées, on ne joue pas avec tous les jours!
L'OS en lui-même est ultra stable, des fois t'as quelques petites mises à jour, mais c'est pas du Windows donc pas besoin de redémarrer...Pour info ça fait presqu'un an que le mien tourne sans jamais avoir été arrêté (une fois pour une coupure électrique mais je la compte pas, l'OS est pas prévu pour résister à ce genre d'évenement!!! )

oui BingOoO on l'a lue la signature de tomate77...