Bonjour,
 
Nous allons mettre en place une nouvelle infrastructure dans notre entreprise : une DMZ.
Actuellement nous utilisons toutes les ressources d'une entreprise dans laquelle on travaillait, mais on veux devenir indépendant.  
Nous allons avoir un abonnement Internet avec 5 IP Publiques et notre infrastructure devra comporter une DMZ avec un serveur web, ftp, messagerie, firewall, proxy...
Il y a une bonne dizaine d'utilisateurs et nous devons monter des VPN (PPTP / IPSEC).
 
Est-ce que le type de solution tout-en-un est une bonne idée ?
Connaissez vous d'autres type de solution tout-en-un a part celle-ci : http://www.telmatweb.com/tw10_fr.php
 
Je sais très bien que tous ces services peuvent se trouver en logiciel libre, mais la configuration n'est pas aussi facile et il n'y a pas de support. Cependant je suis ouvert à tout type de remarque afin de mettre en place la meilleure architecture possible.
 
D'avance merci,

Le tout-en-un n'est pas une bonne idée de mon point de vue. Faire tourner les services et le filtrage sur la même machine, c'est l'assurance de n'avoir ni l'un ni l'autre en cas d'attaque.

Merci de ta réponse.
Tu t'orienterais vers quoi comme solution alors ?  
Et j'oubliais aussi de mentionner, quel type de routeur j'ai besoin ?

Tu peux t'orienter vers un appliance (Netscreen, Netasq, Arkoon, Cisco...) pour la partie firewall & vpn
 
après pour les services type serveur web/mail/ftp/proxy/... ben un ou plusieurs serveurs sous windows ou linux

ou
en firewall: Ipcop / Pfsense
web/mail etc... soit des distributions linux ou tout intégré SME server

Merci pour toutes ces réponses!
Je pense que je vais séparer mes services comme ceci :
- Firewall / Proxy
- Messagerie / Antispam / Antivirus
- VPN
-Web / FTP...
 
Mais je ne sais pas trop vers quel matériel me tourner concernant :
- Firewall / PRoxy
- Messagerie / antispam / antivirus
- VPN
 
Pour ces services je préfererais me tourner vers une solution 'propriétaire' pour avoir du support en cas de problème et pour une facilité de configuration.

Comme Twins_, je choisirai une appliance pour la partie filtrage & vpn (ou, si tu changes d'avis sur les solutions libres, PF) et quelques serveurs derrière.

Je préfererais séparer mon appliance VPN avec celle du Firewall / Proxy.
Pouvez vous me donner des exemples d'appliance ? (marque / modèle) pour mon architecture ?
Je préfererais séparer le VPN, car c'est qqch qui est très gourmand et qui est tout aussi primordial que le Firewall / proxy

cisco vpn concentrator.
 
Ton réseau comportera combien de postes?

Si tu veux, nous sommes rattaché à un hopital, mais nous allons devenir indépendant.  
Nous avons une quinzaine de postes, que des informaticiens recevant énormément de mails et travaillant avec beaucoup de sites distants = VPN.
 
Tu parles du CISCO ASA ou PIX ? Ou un autre ?  
 
Merci

Ah ben en fait je ne savais pas que le concentrator n'était plus vendu...
donc oui effectivement sur le site de cisco on tombe sur les modèles ASA. Peut être que les autres constructeurs ont une plateforme plus dédié concentrateur VPN.  

Ok! Merci!
Mais le problème c'est que le ASA, ne fait pas proxy il me semble...quel appliance pourrais-je utilisé ? Pour avoir une appliance qui fait Proxy / Firewall ou Proxy / Firewall / VPN

arkoon netasq ...

-Ok, merci! j'étais déjà aller sur leur site...mais c'est moi qui craque ou cisco ne propose pas de solution Firewall / Proxy / VPN ?  
- Sinon en serveur de messagerie, antivirus, antispam tu as des références ?  
 
Si je fais trop boulet...Désolé...je maitrise pas trop ce domaine, donc j'ai un peu besoin d'être guidé

as tu regardes les solutions de Netasq ? Il me semble qu'ils ont des appliances FW/VPN/Proxy
 
Netscreen, Cisco & Checkpoint ont plutôt des solutions FW/VPN à ma connaissance
 
Perso je préfère avoir le proxy sur un serveur plutôt que sur l'appliance FW

Merci _twins,  
Donc toi tu opterais pour une archi : FW/VPN avec Cisco, puis un proxy (sous Squid ? et en solution propriétaire ? ) et en serveur de messagerie / antivirus / antispam , tu prendrais quoi ?
 
OUi j'avais vu Netasq le F500 et le F800 me parait pas mal...mais un Cisco me plairait plus...pour pouvoir faire de belle formation  

franchement moi je prendrai une appliance pour le firewall/vpn/ids
puis après je monterais des serveurs pour le mail/av/as (Qmail - Postfix ou Exchange) puis proxy (Squid) puis plateforme web/ftp (Apache...)
 
Tu nous as pas dit pour tes OS? Si windows tu as besoin de AD?

Perso j'aime pas Cisco mais la c'est une question de gout et j'ai eu des retours pas tiptop sur les ASA (contrairement au feu PIX )
 
Sinon prendre un appliance dans la gamme des F500 ou F800 pour une 15aines de postes c'est un peu... comment dire... prendre un éléphant pour enculer une mouche sauf si peut être tu as beaucoup de trafic
 
Moi perso sur des besoins comme ça je m'orienterai vers :
- un appliance FW/IDS/VPN (par exemple une Netscreen-25 *sifflote*)  
- un serveur proxy (par exemple squid/squidguard...)
- un serveur mail (par exemple sendmail, postfix... et les addons pour la sécu)
- un serveur web (par exemple apache...)
- un serveur ftp (par exemple unj proftpd, wu-ftpd ...)
 
Après suivant les serveurs physiques que tu as tu peux très bien mutaliser un serveur physique pour plusieurs services
 
NB : j'ai mis du linux mais tu peux très bien faire la même chose sour windows (AD, Exchange, IIS et compagnie)

MErci vraiment merci!
Avant de vous répondre, je vais analyser tout cela!
SInon pour répondre a la question des OS...nous n'avons pas d'AD! Nous utilisons majoritairement Mac!
Par contre pour les serveurs, je vais m'orienter vers du Linux ou du WIndows.
 
Je vous tiens informé, mais vraiment merci pour tout!

En fait, peut être que je vise un peu fort...mais je m'explique :
Nous avons des sites distants (pour l'instant 5) qui utilise notre progiciel. Notre progiciel est installé sur un serveur applicatif....par conséquent cela augmente le nombre de connexions...ainsi que le nombre de VPN Permanent. Est-ce que un Arkoon A210 est abusif ?  
 
Ensuite, si je m'oriente vers ce type d'appliance, ils ont un proxy intégré non ? Un Squid / SquidGuard, n'est donc pas obligatoire ...ou je me gourre ?  
 
En fait, pour tous ces services (hors appliance) je pense me tourner vers une architecture virtuelle de type VMware ESX. Nous utilisons déjà cela est c'est très convainquant.
 
Concernant les autres services je suis tout a fait d'accord avec vous :
Web : Apache
FTP : vsftpd (très sécurisé et rapide).
Mail : postfix (car qmail est de moins en moins utilisé...)

Hello
 
Au sujet de l'Arkoon A210... sur le papier il a l'air plutôt sexy àprès j'ai jamais tester du matos d'Arkoon défini aussi tes besoins en terme de bande passante pour tes VPN
 
Sinon au niveau du proxy... hum je sais pas trop il fait du NAT ça c'est sur avec des fonctionnalités de filtrage web donc si ça repond à tes besoins why not
 
Pour ce qui est de faire tourner tes services sur des machines virtuelles VMware ça doit fonctionner normalement... après faut toujours vérifier par rapport à tes besoins si c'est correctement dimensionné

Les critiques sur Arkoon sont assez bonne.
Pour la bande passante, faut que je me renseigne encore.
Mais tu penses encore que c'est surdimensionné le A210 ? sachant qu'on s'agrandit tout le temps ?  
Et qu'est ce que j'aurais d eplus en passant par Squid plutot que de prendre le filtrage du Arkoon ?

Non c'est pas forcement surdimensionné après on connait pas en détail tes besoins réels
 
Sinon sur la question entre le Squid ou le NAT/PAT avec le filtrage de l'Arkoon aucune idée la meilleur facon de le savoir c'est de demander un pret à un intégrateur et de tester

En fait, la différence entre un proxy de type Squid et l'Arkoon, c'est peut être la journalisation des requêtes, non ?
Et le filtrage d'URL prends plutot le rôle de SquidGuard ?
 
En tout cas, je tenais vraiment à remercier tous les protagonistes de ce post.

Juste une question, quand on achète une appliance comme Arkoon, concernant les mises à jour logiciel ou même des bases antivirus / antispyware, c'est payant ?par abonnement ?  
 
Merci,