Bonjour à tous,
 
Je dois, pour mon entreprise, choisir un firewall afin de garantir une très bonne sécurité de notre réseau. Ne connaissant pas très bien ce milieu, j'aimerai votre avis pour choisir le bon matériel.
 
Un choix a déjà été fait, mais peut être changé sans problème. Pour l'instant, ils s'orientent vers un Firewall Zywall 50 ou Zywall 75. Une gamme de prix autour de 800€ donc.
 
De plus, nous réfléchissons sur l'ajout d'un systeme de detection et de prévention d'intrusion. Là encore, le choix est porté sur Zyxell, le Zywall IDP10. Son avantage, c'est la possibilité de mettre à jour les policies automatiquement par le biais du site de Zyxel. Sur le papier c'est super, mais comme je ne connais pas vraiment Zyxel, je ne sais pas si les mises à jours sont faites régulierement et surtout si ils sont réactifs.
 
Je ne connais absoluement pas les SDPI, donc toute suggestion est la bienvenue.
 
Merci pour votre aide et vos précieux conseils

up !

Nokia avec un Checkpoint ! C'est un peu plus cher mais c'est efficace ! Ou Netasq !

un Cisco PIX ?? c'est bien aussi, mais il faut pas avoir peur de taper quelques config en ligne de commande ...
Mais une fois que ca tourne, c'est nickel

Nokia je ne connais pas du tout leur gamme de produit.
 
Chez netasq, j'ai regardé et en effet leur firewalls semblent tres interessants. Quelque chose comme le F25AV, qui rempli la fonction de firewall et de SPI. De plus, il a un anti virus intégré (kaspersky) pour filtrer les mails.  
 
Par contre, est-ce que ces firewalls font aussi office de routeur NAT? Car c'est le cas des Zyxel, et ça nous arrange puisqu'on a pas de routeur

Les cisco PIX sont pas mal aussi, enfin dans ma gamme de prix c'est le 501 obligé. Avez-vous des avis sur ce firewall, ou le netasq ?

J'installe des Netasq (entre autre), je les connais pas trop mal.
Cisco j'installe que des routeurs, les pix j en ai jamais config, ca a la reputation d'etre comme les routeurs, ligne de commande powered.
 
Netasq a un avantage non négligeable, c'est francais et surtout la hotline et en France et hyper accessible.
 
Le F25 est fourni avec l'ezadmin un truc en java qui sux un peu a mon avis mais il y a aussi la suite d'admin qui permet d'admin les fwl, c'est pas mal et assez intuitif. Avec l'ezadmin en tous cas, un F25 se configure en 2 min (pas une config trop poussée mais pour les non specialistes ca donne deja un truc qui tourne).
 
Et oui les Netasq font du nat, du pat et toutes les translations dont tu reves .
 
En bref, Netasq c'est assez facile a mettre en place.
 

Merci beaucoup pour ton avis, il est très interessant.
 
Car pour le cisco pix501, on est sur du cisco ; c'est du sur, du fiable, du performant. Par contre, comme tu l'as remarqué, c'est du mimine powered (bien que pour le 501, orienté pme, il existe une interface web d'amin, mais apparemment elle ne permet pas de configurer finement le pix).
 
Pour le netasq, est-ce que le seul moyen de le config c'est de passer par l'ezadmin ? n'existe-t-il pas une interface web complete, tout comme les zyxel (là dessus ils font assez fort je trouve, l'interface est intuitive et permet de configurement finement son firewall).
 
Enfin derniere question sur les netasq, peuvent-ils faire du bandwith management ? (c'est a dire que sur mes regles de firewall, je peux donner une bande passante maximum sur un type de flux. Typiquement je m'en sers pour limiter le SMTP au tiers de ma bande passante, pour éviter que l'envois d'un mail ne bloque tous mes utilisateurs qui surfent).
 
Merci

la pdm (pix demvice manager ) est relativement complete, et tu peux tout configurer a partir de ca ...
Maintenant, une fois que ca tourne, tu n'en a plus besoin.
A voir si tu reconfigures souvent le fierwall ..
Perso, je connais pas l'autre produit, mais je dirais que la conf devrais pas entrer en ligne de compte pour la comparaison.
Au pire, essaie de voir si ton fournisseur peux te montrer la PDM pour te faire une idée. ..

En effet, pour moi la configuration n'est pas forcement un critère de choix.
 
Un gros reproche que je dois faire au 501: il ne gère pas de DMZ d'après ce que j'ai pu lire sur lui (vous confirmez ?).
 
Un gros plus pour le netasq ; il peut filtrer les mails entrant et sortant avec un antivirus (Kaspersky).  
 
De plus, je serai tenter de dire que netasq étant bien moins connu, il est peut etre moins la cible de recherche de faille... mais ce ne sont que des suppositions

par contre, je connais pas specialement le 501 ..
Le plus fiable: voir avec un partenaire cisco ... mais ca ne me parait pas impossible que pour une dmz il faille ajouter une licence ...

 
Pour les netasq en fait il y a un soft ( un executable donc) l'admin suite pour les configurer, le F25 est un peu a part puisque netasq fourni avec l'ezadmin, il faut l'utiliser pour mettre la licence au fwl mais apres tu peux utiliser l'admin suite. Il y a evidemment la ligne de commande aussi mais a ma connaissance pas d'interface web.
 
Au niveau de la gestion de la bande passante, tu peux en allouer une certaine quantité a un service mais je crois bien que la quantité allouée et en totalité réservée a ce service la. Je confirme pas a 100%.

Je comprends pas très bien l'histoire de l'ezadmin puis de l'admin suite ??

3 outils pour configurer les NetASQ :
 
1- La ligne de commande (console ou SSH)
 
2- L'Ezadmin, une interface en java fourni avec les F25 (je sais pas si elle fonctionne avec les autres)c'est moyen moyen on va dire. C'est plus simple a utiliser que l'admin suite mais je pense moins poussé au niveau des possibilités de config du fwl.
 
3- L'admin suite ( des soft executables), composé de 3 outils : le manager, le reporter et le chéplus koi.
La manager permet de configurer le firewall, tu lance l'executable, tu ouvres le soft qui te demande le nom de compte et le mdp associé et tu as accés a toutes les rubriques, de meme qu'un webmin sauf que c'est une appli avec ses avantages et ses inconvenients.
 
Avantages : bha c'est pas une page web donc rafraichissement, glisser deplacer , etc .....
 
Inconvenients : faut avoir l'adminsuite installer sur son pc.
 
C'est plus clair ?

Merci beaucoup pour tes explications, maintenant c'est très clair
 
Donc premiere utilisation pour enregistrement de la licence avec l'ezadmin pourri, et ensuite utilisation de l'admin suite !

Je suis assez d'accord pour Netasq mais est-ce que Watchguard n'est pas bien placé (autant que Netasq??

Salut, il faut penser aussi à Arkoon, qui font de super firewall (relais smtp/http - antivirus - analyse niveau application - IDPS - routeur nat évidemment - QOS - VPN etc...)  et qui comme netask sont francais et ont une hotline très pointue et disponible

Ok merci de ces precisions, je vais aller voir ça et je vous tiens au courant de mes impressions

 
 
Salut,
Arkoon est beaucoup trop cher (~9000Euros) je pense par rapport à Netasq (~900euros) pour des fonctions quasi-identiques mais bon Arkoon est fait quand même pour les grosses boites.C'est mon avis.
 
A+ et continuer d'alimenter le forum...

 
Oui c'est vrai, mais checkpoint aussi c'est pas donné.
Et puis arkoon font depuis quelque temps des firewall de plus petite taille, moins cher.

Ha oui si c'est 9000€ je vais avoir du mal a justifier une dépense dix fois plus élevée

Je suis confronté au meme problème entre guillement que Petoulachi et je pense que je vais opter soit pour du Netasq F25AV ou Watchguard Firebox X 3 (- de 1000 euros).
Pour information sur le site de Watchguard il y a une video de 40 Mo (en anglais mais pas trop dur) qui montre plusieurs test d'intrusion sur des firewalls Cisco PIx 515E, Netscreen 50,Sonicwall 4060 et Firebox X1000 et franchement les 3 premiers sont vraiment à la rue....
Mais bon je pense que c'est un très bon point de départ!
 
Vous m'en direz des nouvelles!
 
http://www.watchguard.com/products/challenge.asp

Il faut se méfier de ce genre de test.
 
Netscreen a eu le temps de faire ses armes dans le domaine des firewalls.  
Par ailleurs, les tests du constructeurs montrent toujours ce qui va dans le sens de son matériel. Bref c'est généralement très partisant.
 
Arkoon et Netasq sont de bon firewall qui de plus sont français et ont également fait leur preuve.
 
Ce qui importe, c'est de savoir vers quoi vous voulez vous diriger : Proxies Applicatifs, Firewall  Stateful, un mixe des deux...
Quelles est la valeur des informations à protéger ? Combien de personnes compte la société (car certain firewall on un mode de licence par tanche).
 
En effet s'il y a 25 personnes, avec des données peu critiques Checkpoint ou arkoon sont probablement "un peu" surdimensionner (Checkpoint a peut-être un produit orienté PME)
 
Pour la partie IDS il faut prendre son temps, car le produit demande un lourd travail de configuration et de veille. L'affinage des règles prend du temps.

Pour ma part, la société compte moins de 10 personnes. Toutefois, les informations stockées sur nos serveurs sont très sensibles (nous allons faire -entre autre- des factures dématérialisées, ce qui posent de grosses contraintes imposées par le gourvernement).
 
Ce qui me plait dans le NetASQ (je n'ai pas encore eu le tps de regarder du côté de WatchGuard, arkoon et Checkpoint) c'est qu'il permet de faire du statefull, mais aussi IDS. Les regles sont téléchargeables à partir de NetASQ directement (en prenant un abonnement bien sur), ce qui permet de ne pas avoir à trop s'en soucier (du moins je l'espère). En fait je vois surtout l'interet de l'IDS pour bloquer les trojans que mes utilisateurs pourraient ammener sur le réseau (portables par exemple), pas vraiment pour bloquer des flux emule (nous ne sommes pas 200 dans la société, j'ai encore le controle sur les utilisateurs).
 
De plus, il integre une fonctionne d'antivirus pour les mails, basée sur le moteur de Kaspersky. Là encore ça m'interesse pas mal, car je souhaite mettre GFI Mail Security sur le serveur Exchange. Celui ci utilisant les moteurs antivirus Norman et BitDefender, et mes postes clients utilisant NAV, celà me fait une protection contre les virus relativement complete

arkoon, ont comme je l'ai dis plus une gamme PME qui sont pas mal pour une ou quelques dixaines d'utilisateurs.
 
PS: Non non je n'ai pas d'action chez eux mais ca fait + de 2 ans que je bosse sur plusieurs arkoon, et l'évolution a été très forte, le support est bien à l'écoute des demandes client. Et nous avons jamais eu de problème d'attaque ou virus

Le statefull c'est en effet le minimum à avoir. Pour les IDS tu as en effet des fichiers de signatures. J'ai dû confondre avec les IPS .
Pour les portables et itinérants tu peux utiliser le protocole 802.1x couplé avec un client qui vérifie qu'un poste qui se connecte au réseau a sa définition virale à jour, ainsi que les path de windows défini par la politique de sécurité.
 
Pour la partie Anti-virale, deux politiques : L'antivirus unifié (serveur mail, passerelle, serveur de fichiers postes clients) Symantec, Trend et Kapersky propose des produits pour chaque type de station/serveur.
Ou alors, des anti-virus hétérogènes. Si un éditeur met plus de tmeps qu'un autre à corriger la faille tu peux espérer sauver les meubles. Mais bon, généralement la mise à jour de pattern se fait au même moment quasiment chez tous les éditeurs.
Personnellement je préfère avoir des outils unifiés c'est plus simple pour l'administration. Mais c'est personnel.
 
Pour la partie IDS il faut voir. Pour le type de risques dont tu parles, c'est surtout une politique de sécurité bien faite qui te protégera :
firewall sur tous les postes avec programme d'antivirus distribuant la configuration que tu auras défini dans la console de management.

Ok, il va falloir que j'aille faire un tour sur leur site alors
 

Heu tu peux détailler stp ? Parce que là je pige pas vraiment ou tu veux en venir ?

Certes, l'administration sera facilitée. Mais le choix de l'hétérogénéité est interessante car les mises à jour de définition de virus ne se font pas vraiment en meme temps. Un coup, ça sera Kaspersky le plus rapide, un autre coup NAV etc etc. Et le temps lambda entre le plus rapide et le plus lent peut être d'un jour (ce qui est largement suffisant pour une infection lorsqu'un virus se propage rapidement, et donc qu'il est relativement dangereux). J'ai trouvé des docs là dessus ici : http://www.gfsfrance.com/whitepape [...] enough.pdf
 

Hum, là ou je vois un problème (je suis un peu parano mais bon), c'est avec l'utilisateur lambda : imaginons un nouveau virus qui vient de sortir. Son anti virus ne va pas le detecter et va le laisser s'installer sur le poste. Maintenant le firewall detecte que le virus essaie d'aller sur le réseau. Il va balancer une pop up pour avertir l'utilisateur pour savoir ce qu'il doit faire (je parle du firewall d'XP SP2, car nous n'en avons pas acheté). Comme l'utilisateur est par défaut un flemmard, il va accepter sans chercher a comprendre. Et si ce virus utilise une faille du firewall pour se propager    
 
Je sais, c'est un scénario catastrophe, mais bon ...

Pour la video de watchguard, c'est vrai que c'est forcement en faveur de l'auteur mais vraiment il faut la voir car il y a différents tests d'intrusion: scan de ports,http,virus et vraiment les 3 autres produits à l'essai répondent et affiche les ports ouverts donc là ça la fout mal quand même.
 
Bon je sais aussi que le matériel a surement évolué et les prix aussi.
Pour ma part je bosse avec 600 utilisateurs et je voudrais gérer les bandes passantes, empecher le P2P .... et les solutions Netasq font ce genre de trucs avec en + statefull et IDs ...Filtrage de flux etc avec un bon rapport qualité/prix.
 
Arkoon je connais pas bien mais j'en ai entends parler souvent et je pense qu'ils sont très compétitifs...
 
Voilà

touko69 -> Pour watchguard je ne dis pas que c'est pas bien, au contraire, il est clair que s'est un produit complet.
 
Leur test stipule que c'est une configuration par défaut (d'usine). Sachant que le firewall n'est quasiment jamais laissé en l'état, du point de vue de la configuration, le test perd un peu de sa force.
Je pense juste qu'il faut prendre ce type de test avec des pincettes.
 
Après s'il a en plus des fonctions de QOS et de filtrage de traffic c'est sûr que çà en fait un produit pleinement fonctionnel.
 
Disons que çà t'évite l'utilisation de produit comme SurfControl, Websense ou Smartfilter. Enfin je ne sais pas si les possibilités traitées sont aussi vaste que pour ces produits spécifiquement dédiées au filtrages. Je ne connais pas en détail le produit Watchguard.
 
D'un point de vue Rapport/qualité prix, j'imagine que çà doit être pas mal.  
 
Le choix d'une solution de sécurité offre généralement différentes solutions. L'aide d'un intégrateur est souvent bien utile dans ce genre de situation.
 
Le niveau de certification est également intéressant à prendre en compte. Même s'il est vrai, que les petites sociétés ont du mal à faire suivre ce cursus à leur produit en raison des coûts et du temps nécessaire à l'obtention de ces certification (Critères Commun). C'est le cas par exemple pour des boîtes françaises.
Netscreen a sur ses produits la certification EAL4 de même que Checkpoint je crois. Pour les autres il faudrait regarder.

Petoulachi -> Tu parlais de l'utilisation des IDS pour la prévention des Trojans sur les postes nomades.  
Comme alternative aux IDS tu as l'implémentation du protocole 802.1x qui permet l'authentification des machines qui se connecte au réseau et leur isolement si elles ne correspondent pas à la politique de sécurité de l'entreprise (Version des pattern ou correctifs installés), sur un Vlan où  l'accès aux ressources est limité à un serveur de mise à jour antiviral ou de MAJ de correctifs (ServeurSUS).
 
Ce procédé est valable si ton matériel de réseau (switch) accepte ce protocole. C'est également très pratique pour diminuer les risques de piratage dans des réseaux Wifi.  
Toutefois, si aucun de tes matériels ne prends en charge cela, l'IDS est probablement une bonne solution.
 
Si sur ton réseau tu as du NAV, tu as peut-être sur chaque machine un client de Symantec. Or ce client gère aussi la sécurité je crois. L'offre de Symantec (corporate ou protection multilevel) est concurrente à celle de TrendMicro (OfficeScan) qui inclue par défaut un pare-feu sur chaque poste client géré par une console centralisée. Donc je pense que tu dois avoir la même chose chez Symantec.
Après tu peux paramètrer le comportement du firewall pour bloquer ou non un accès (trojan ou pas).
 
Les IDS reposant sur des bases de signatures d'attaques, tu auras le même problème qu'avec un antivirus  concernant la mise à jour de la base de signature.

Tu es sur que les NetASQ permettent de gérer la bande passante ? Par exemple, est-il possible de dire que pour un flux identifié sur un port TCP donné, de n'utiliser que 20% de la bande passante total disponible ?
 

Bonne question, il me faudrait un peu plus de détail savoir si mon matériel peut le faire ou pas... Mon switch permet de faire des VLANs, il s'agit du NetGear FS526T. Ensuite j'imagine qu'il faut aussi des cartes réseaux capables de supporter le protocole non ? Mais clairement cette solution m'intrigue et je vais l'approfondir !
 

Alors en fait, il est prévu d'acheter NAV pour les postes clients mais ce n'est pas encore fait (la boite se monte), donc impossible de répondre à l'heure actuelle
 

C'est vrai, toutefois ils font aussi leur pub en clamant que l'IDS est "intelligent" et capable de détecter un traffic anormal. Maintenant il faut voir ce que cela donne dans la réalité

Pour Nickola je suis d'accord avec toi pour le test qui perd un peu de sa force
 
Pour Petoulachi:
Regarde ce qu'ils disent sur leur site web:
 
http://www.netasq.com/fr/solutions/
 
 
"Les IPS-Firewalls NETASQ satisfont les besoins principaux de sécurité de réseau des petites, moyennes et grandes entreprises, les fournisseurs de services et les utilisateurs nomades en fournissant une technologie performante à travers toute sa gamme d'IPS-Firewalls. Les boîtiers IPS-Firewalls NETASQ ont été spécialement conçus pour sécuriser les réseaux; chacun fournit une approche de sécurité multi-couches qui arrête les attaques réseaux ainsi que les attaques sur le contenu sans toucher au performance et sans avoir recours à l'ajout de matériel.
De plus, chaque IPS-Firewall NETASQ inclut la Prévention d'Intrusion en temps réel, un firewall de type Stateful Inspection, un filtrage de contenu, un antivirus KASPERSKY intégré, une gestion de réseau privé virtuel (VPN), de l'antispam et une fonctionnalité de gestion de bande passante intégrée dans une appliance facile à utiliser et à mettre à jour. "
 
 
Bon après faut vérifier quand même si le modèle adapté à ta structure gère bien la bande passante comme tu le demandais dans ton exemple (flux sur port TCp....)

Par contre pour Petoulachi, comme tu as des postes nomades faut à priori faire une procédure pour scanner entièrement les HDD des portables nomades quant ils se connectent au réseau car beaucoup de virus et autres trojans pénètrent sur un réseau par cette voie-là.

Je sais, les portables sont ma hantise
Je ne sais pas vraiment comment les controler

 
Pas de problème pour les VLAN, c'est les matériels actif de ton réseau qui vont les gérer.
 

 
Pour les portables si tu optes pour une solution VPN tu peux alors autoriser uniquement certain trafic pour tes nomade, ca limite dèjà un peu les risque.
 
Ensuite les données mises à dispo des nomades peuvent etre sur une DMZ également.
 
 
 
Sinon au sujet des AV, nous utilisons NAV corporate sur ton les postes ainsi que les serveurs. un scan complet est effectué à midi sur tous les postes, et chaque nuit sur les serveurs. Sur les portable nomade c'est la même chose chaque midi une analyse complette est lancé. Ensuite j'ai permis au utilisateur de lancer un "liveupdate" contrairement au postes fixes afin de mettre leur def. a jour en cas d'absence du bureau prolongée. Notre relais SMTP est également analysé par Sophos.

Tu peux également regarder du côté de Netscreen, qui fait des firewalls de plutôt bonne qualité, et qui est un acteur reconnu du marché de la sécurité. Un modèle comme un Netscreen 5-GT n'est pas trop cher. Avec une licence 10 utilisateurs, tu le trouves vers 615€ HT chez allasso.fr par exemple.
 
Cisco PIX, j'éviterais, j'ai pas mal travaillé avec et ce n'est pas terrible. L'interface graphique de config (PDM, en java) est assez complète mais d'une lenteur affligeante.
 
Le must c'est Nokia/Checkpoint, mais rien qu'un petit Nokia IP130 coûte dans les 1500€ hors licence Checkpoint. Il y a cependant un petit modèle de Nokia qui inclue la licence Checkpoint, c'est l'IP 40. Avec une licence 8 users ça vaut environ 550€, et avec une licence 16 users, environ 800€ HT, ce qui correspondrait à ton budget. Je ne connais pas la différence entre un IPSO RX (l'OS du nokia IP 40) et un IPSO normal (les autres Nokia IP) ni celle entre le Checkpoint Embedded NG et un Checkpoint NG with AI normal, mais travaillant tous les jours avec une trentaine de Nokia/Checkpoint, je peux te dire que c'est un vrai bonheur à configurer et maintenir.

Merci de vos conseils et précisions
 
C'est dommage qu'en ce moment je doive m'occuper de l'AD, car ce sujet m'interesse bcp plus
 
En tout cas je continue de le suivre avec attention et je vous donnerez mon bilan quand je pourrais le faire

Pour PIms: le problème pour les portables est que lorsque les nomades sont chez eux par exemple et surf sur le net et se ramassent bcp de spywares et autres alors quand ils se connectent sur le réseau ils peuvent l'infecter malgré tes scan de midi et autres:
ce qu'il faut c'est un .bat par exemple qui dit que dès le nomade se connecte sur le réseau en question et bien lancer l'exécutable de NAV par exemple comme ça scan en direct!
 
Sinon en parlant de Symantec, quelqu'un a t-il des infos (bonnes ou mauvaises)sur la GATEWAY SECURITY 360 .
 
Merci par avance

 
Oui, c'est vrai. Dans notre cas on utilise un client VPN sur le nomade qui fait office de Firewall personnel également. ca permet d'arreter une bonne partie des attaques en étant sur le net.  
 
Il est également possible avec ce client VPN (SSH sentinel pour ne pas le citer) d'interdire tout flux EN DEHORS du VPN, ce qui permet alors de faire passer la navigation internet des nomades PAR les protections centrale (Proxy / antivirus etc.). je n'ai pas encore mis en place cela mais c'est faisable.
 
Sinon niveau Symantec, j'ai lu un comparatif: Arkoon / netasq / nokia / symantec dans un 01 Reseau récent, j'essaye de le retrouver.
 
edit: trouvé: http://forum.hardware.fr/forum2.ph [...] 9#t1748293

ça serait bien si tu le retrouves.merci