Bonjour,
je dois changer de firewall et mettre un reseau wifi dans ma boite (une centaine de postes, 20 acces wifi +portail invité)
 
j'ai recu les propal suivantes
 
stormshield sn700 et aerohive pour le wifi
ou
stormshield sn500 plus bornes alcatel plus ucopia
ou
fortigate 90D et wifi fortinet
ou
fortigate 100D et wifi aruba
 
avez vous des avis sur les avantages inconvéniants des ses couples la ?
 
Merci pour vos eventuelles remarques ou commentaires !
 
T

Bonjour,
 
Le SN700 (pas le SN500) supporte le traitement parallèle des flux sur plusieurs cœurs CPU. Aruba c'est ce qui se fait mieux en termes de Wi-Fi. Je ne connais pas les modèles précis Fortinet. Toutes les solutions semblent sur-dimensionnées pour 100 utilisateurs. Ucopia ça a l'air pas mal. C'est qui l’intégrateur qui a formulé les propositions?
 
Quelles sont les fonctionnalités les plus importantes pour vous?

Salut,
 
Je ne connais pas Fortinet, mais pour ce qui est du Stormshield (ancien Netasq), ça marche bien. Pense à faire chiffrer un version HA, avec un FW actif et le second passif, ça peut être utile, surtout si tu as une centaine d'users...
 
Par contre, le SN700 me parait un peu sur dimensionné, surtout si tu souhaites faire une gestion "simple". Si tu veux faire de la QoS, analyse de flux, etc, des opé lourdes, le SN700 se justifiera dans ce cas.

Merci pour vos avis !
 
c'est franchement pas simple de choisir ...
 
c'est dans le cadre d'un marché publique donc je ne peux pas donner de noms ici    
 
pour les fonctionnalités:
 
que le FW suive sans s'effondrer en IPS
avoir une 10aine de client vpn (ssl ou ipsec) pour des acces bureautique
avoir du filtrage applicatif
un AV de flux
un portail captif pour permettre a mes fournisseurs d'avoir des acces aux machines du LAN
ne pas etre trop chiant a exploiter
avoir des stats qui petent (j'aime les stats et les tableaux de bord)
 
pour le WIFI
que se soit simple a administrer
que la secu soit forte (plein d'habitations a proximité, donc plein de pirates potentiels)
3 ssid un prod, un byod, un invité
que les invités soient bien identifié: personne a l'accueil qui distribue un code pour le portail captif, ouverture d'un acces pour un temps donné ...
des stats...
 
voila en gros... du assez classique en fait...

Si tu mets de l'Aruba et que pour le portail captif c'est l'accueil qui gêre les accès pas besoin de mettre un outil de portail captif complémentaire type netinary ou Ucopia.
regarde les IAP chez Aruba qui n'ont pas besoin de contrôleur.  
Sinon petite remarque sur StormShield, le décryptage SSL est une bouze et surtout prendre le pack Premium si tu dois utiliser la partie filtrage et AV.
Pour aerohive j'ai entendu des mauvais retour en terme de délai de support.
Dernier point ne prend pas de l'Aruba OEMsé type Alcatel ou dell car depuis le rachat par HP faut évité.
Fortigate pas de remarque je ne connais pas le produit.

merci pour ta réponse,
 
le presta qui me propose de l'aruba ne propose rien d'autre.
 
alors que celui qui me propose de l'ucopia s'appuie sur des bornes alcatel
 
pour le stormshield j'ai le pack premium d'intégré avec le SN500 mais pas avec le SN700...
 
pour aerohive j'arrive pas a trop trouver d'infos....
 

les IAP Aruba intègre un portail captif de base. Pas très beau mais pour ce que tu veux faire çà suffit.
LEs bornes Alcatel c'est en faite de l'Aruba OEMisé Alcatel. Si les bornes ont un I devant c'est que des bornes avec contrôleurs embarqués. Surtout évite Alcatel.
Pour stormshield faut prendre avec le Premium sinon c'est ridicule si tu veux faire de l'av et du filtrage url.
Pour Aoerohive c'est pas un mauvais produit. c'est du contrôleur embarqué et manageable via une offre SaS. par contre en terme de sav c'est pas Aruba. dell commence à en vendre poru info pour remplacer Aruba.

Il faudrait prendre le SN700, les traitements matériels/parallèles sont importants pour justement garantir une stabilité avec plusieurs fonctionnalités. Je pense que Fortinet est en Avance sur Stormshield sur le traitement applicatif.
 
Pour résumer mon poste précédent. Stormshield SN700+Aruba+Ucopia Ou du Fortinet si la partie applicative est très importante.

Je plussoie l'ensemble Stormshield + Aruba + Ucopia pour en avoir vu tourner plusieurs fois sur différentes topologies c'est une bonne solution

Bonjour,
Je déterre ce topic au cas où quelqu'un pourrait m'aider à challenger l'offre StormShield que j'aie reçue.
Quels seraient les équivalents chez Fortinet selon vous des modèles StormShield SN2100 et SN910 ? Est-ce que les tarifs de 9000€ et 5300€ respectivements vous paraissent corrects ?
Merci pour votre aide.

Hello !  
 
Chez Forti un 1100e ou 1800F  qui arrive a tenir les 10gb avec toutes les cases cochées  
As tu vraiment besoin de grosse bete comme ça ?
 
J'ai une paire de 1800f au taf , il faut du monde et du traffic pour les faires travailler ...    
 
https://www.fortinet.com/fr/product [...] e?cat=ngfw
 
VD

Hello,
Merci pour ton retour !  
Je pense que c'est overkill, c'est l'intégrateur qui me propose un StormShield SN2100 pour le siège (400 personnes) et un SN910 pour un branch office (150 personnes). Pour de la haute dispo, on veut prendre un cluster de 2 pour chaque site. Donc ça va faire cher quoi, 18k€ siège + 11k€ branch ...  
Je ne connais pas bien les StormShield, c'est pourquoi je demandais c'était équivalent à quelles références chez Fortinet.

Le shitstorm on le vire nous ( sn 2000 .. )  
 
Vous avez quoi en volumetrie ? Lien Wan ? routage sur le coeur ou sur les FW ?  
IPS, nombre de regles ...  etc ?  
 
les 200f sont pas mal  pour le siege :
https://www.fortinet.com/content/da [...] series.pdf
 avec une paire de 100f pour le site distant  
 
Sinon du 400f et 200f  
Avec un forti Analizer et un manager pour tout ça et roulez    
 
 
 

Pour le siège : 2000 @IP à protéger, 300 connexions en VPN SSL, connexion WAN 2x200Mbps de deux ISP différents, interfaces 10Gbps
Pour le site distant : 500 @IP à protéger, 100 connexions VPN SSL, connexion WAN 2x100Mbps, interfaces 1Gbps
IDS/IPS sur tous les FW.
Pour le routage, pas encore décidé si FW ou Core Switches L3. Tu recommandes quoi d'ailleurs sur ce point ?
Aussi, quels sont tes retours d'expériences sur le StormShield SN2000 ? Ca m'intéresse

plop  
 
Pour moi les 200f et les 100 en disant font l'affaire avec du rab pour l evolution
A verifier avec le nombre de sessions tcp et surtout leur renouvèlement , et le nombre de regles appliquées
 
Pour le routage, perso je mets ça sur le / les coeurs , chaque chose a sa fonction
Sauf cas exceptionnel, les 200f peuvent manger le routage interne ( +25gb ) si pas trop de regle / ips etc en Est-Ouest  
 
il y a des vms de test chez forti pour te faire une idée de l'interface, gestion etc  
 
Pour le ShitStorm ... en MP, mais la réponse est dans le nom
 
Have Fun

Stormshield recommandé par l'Anssi.

Et aussi une question de souveraineté.
C’est un produit français, et de qualité.

Mouais, le hardware est plein de puces US et chinoises, le soft basé sur de l'opensource venant de partout, une surcouche française bien buggée et oldschool, ouais c'est bien la souveraineté
Et niveau qualité, non désolé c'est un peu de la merde, que ce soit en perf, en features, en ergonomie
Malheureusement, qd tu fais du DR, tu as pas 10 000 choix

STORMSHIELD
"une surcouche française bien buggée " Je@nb : IHM est vraiment bien 4.x top
rapide, ergonomique
le policy by routing est super bien fait
ips bof, mais on sait que ça ne sert plus beaucoup
proxy bof
log vraiment bien
trés stable
gestion avec SMC super
plein de cli
hotline fr et trés competante
 
 
FORTI
bien :
proxy
service internet  
 
pas bien:
 
IHM pas super l'interface.
les log sont lentes et inexploitables
cli vraiment pas super
hotline
 
pour ma part
j'ai plus d’expérience sur stormshield que forti
sinon, c''est un deterrage de 2015 ?

Bonjour, tu peux m’expliquer pourquoi l’IPS est de moins en moins utilisé ? C’est remplacé par quelle technologie ? Ou quel équipement.
Merci.

vue que les flux sont pratiquement de plus en plus crypté.

Merci pour vos réponses, toujours intéressant d'avoir des retours d'xp.
Pour ma part, pas jamais utilisé de StormShield mais je m'y intéresse justement pour leurs arguments avancés (français, certifié par l'ANSSI...).
 
Fortinet j'ai utilisé et j'aime bien, je voulais voir autre chose. Palo Alto c'est bien mais cher, pas le budget pour les boîtes de taille PME/ETI.

J’ai utilisé du sonicwall, du Fortinet et du stormchield, utilisé seulement c’est à dire de l’administration de base et non l’intégration que j’avais confié à un intégrateur spécialisé au catalogue des marché public.  
C’est relativement clair et propre, les performances sont là et les fonctionnalités aussi (firewall ips).

Tu verras bcp de monde tres facilement et rapidement casser du sucre sur Stormshield, en particulier sur ce forum.

tjrs est-il que, si tu es formé, ce sont des produits qui fonctionnent tres bien et son solides et stables.
quand tu as saisi le concept des objets que tu peux integrer partout une fois créé, c'est super pratique et efficace.
ça fait 10ans que je suis formé et que j'en maintiens/installe, et je n'ai que tres rarement des problemes avec.

qui plus est, le support (accessible si tu es certifié), quand j'ai des problemes a remonter, ou meme simplement une question est reactif et efficace, meme en cas de remplacement du materiel.

J'ai fait du portail captif, du VPN (SSL (qui marche avec OpenVPN d'ailleurs), IPSec), du filtrage URL/SSL, en plus des fonctions classique de firewalling/NAT dessus, et c'etait safisfaisant.

Je ne dis pas que je n'ai pas rencontrés de bug loin de là (j'ai eu une Autorité de certification interne a un stormshield HS  parce que le mdp que j'avais mis contenait un caractere qui etait interpreté, j'ai signalé mon pb au support ils ont analysé, ils m'ont indiqué comment corriger, et ont fait remonté le pb a la plateforme de Dev pour inserer la correction dans la MAJ qui suivait), mais c'est comme pour tout appareils/toutes marques ça j'ai envie de dire, l'important c'est d'avoir le support/suivi qui va avec.

ce que je peux reprocher en revanche, c'est que jusqu' a 2020, tu trouvais peu de doc dispo sur le net et peu d'aide egalement, ça commence a se trouver un peu plus, mais c'est pas comparable a d'autres marques.
Si je dis pas de betises y a pas de server DNS interne, pas de reverse proxy et pas de lets'encrypt non plus.
Enfin, les tarifs, sont elevés, aussi bien pour les boitiers que pour les maintenances/support (comme le premium pack).

Je dois pouvoir retrouver des tarifs public si ça vous interesse.

quant a fortinet, on a justement commencé a travailler avec eux, pour avoir des propositions tarfaires plus correctes a niveau de fonctionnalités equivalentes.
Mais, jusqu'a présent, on a pas eu d'occasion ou c'etait vraiment significatif, donc le client a renew sa souscription au support pr 1 ou 3ans de plus.
On a quelques clients dont les boitiers arrivent en EOL en fin d'années, peut-etre qu'alors on placera du forti.

Question interface, forti OS est pas mieux pas pire que Stormshield, c'est rangé differement, mais tu finis par retrouver a peu pres la meme chose.
Je vois quand meme des choses un peu moins claire sur Forti OS, mais 1) je ne suis pas formé sur ce produit, et 2) ce sont sur des appareils deja en place dont on a repris la gestion, donc c'est pas impossible que ça soit mal fait ce qui ne rend pas les choses claire.

Point appréciable par contre, tu trouves bcp plus facilement de l'aide en ligne en googlant avec Fortinet.

Palo alto, jamais croisé, mais a priori c'est cher de ce que j'ai pu lire et c'est americain.
Je sais pas pour vous mais depuis 2ans, des qu'on sort l'argument produit français/europeen, ça interesse plus les clients qu'avant.

Le routage interne, perso si possible je le préfere en dehors du FW, genre le Coeur de réseau si tu as les equipements pour le faire, mais ça reste une question de point de vue.
Y en a qui le prefere sur le FW parce que si t'as un pb de de CDR, tu perds tout ton routage et probablement ton acces internet avec et donc t'es bien plus vite emmerdé pour depanner.
Par contre si c'est sur le FW, faut un truc plus costaud qui tienne les debits envoyés, et les appareils sont pas forcément construit pour cet objectf...

avec un peu de recul, pour moi l'important c'est le support qu'il soit reactif et qualitatif.
maintenant, on pourra jamais enlever de l'equation les tarifs et les fonctions proposées.

Jamais utilisé Stormshield ; en revanche Forti un peu et... bah je suis pas fan  
 
- Je trouve que c'est assez compliqué de faire des tâches simples
- Certaines choses qui pourtant devraient être liées automatiquement ne le sont pas, obligeant plusieurs manip pour faire une seule chose
- la ch*ée de produits liés ne sont pas tous ni suivi ni bien finis : EMS par exemple c'est vraiment catastrophique
- les clients VPN (Forticlient) sont : 1) souvent victimes de failles de sécu 2) souvent instables 3) souvent buggés tout simplement (impossible d'updater, faut désinstaller, reboot, réinstaller) ; il y a eu une release ou juste dans les "known bugs" il y avait : pas possible d'établir une connexion IPSEC. What?!
 
- le support est pas ouf ; ça te fait faire 1000 manip, pour souvent au final te dire que le problème c'est toi, ou que ton hardware est trop léger et qu'il faut changer. J'avais un souci de CPU qui montait quasi à 100% quand je faisais un upload au taquet de ma BP (300mbps c'est pas le bout du monde sur un 100D), bah j'ai jamais eu de réponse concrète.
 
A contratio, et je pense que je vais me faire tomber dessus, mais j'ai utilisé des années SonicWall (avant rachat Dell et après) et franchement, j'étais super content ; plutôt fiable, simple à manager et performances décentes.  
 
Après bon je pense qu'en fait, quasi toutes les marques "pro" d'UTM font le job, il faut juste avoir une affinité!

Salut,
J’utilise des Stormshield depuis plus de 10 ans avec les versions Netasq avant la fusion avec Arkoon.
J’ai passé les certification Admin/expert Stormshield.
Je n’avais pas rencontré de problème particulier depuis avec ces boitiers qui faisaient le job mais depuis quelque temps je peste l’ergonomie, la limitation de certaines fonctions et cette sensation de voir la R&D qui peine rattraper le retard sur la concurrence.
Quelques points qui nous gênants concernant ces boitiers :
Problématique Hardware :
- Sur une gamme comme le SN510, SN710 ou SN910, ils ne fournissent toujours pas de double alimentation (se retrouver à mettre des basculeurs de source pour ce type de produit je trouve ça quand même dommage)
- Impossible d’avoir un Cluster HA de 3 nœuds (se retrouver à recharger une configuration régulièrement sur un boitier sur le site de PRA ce n’est pas vraiment pratique)
- Sur les gammes de petits boitiers, des performances trop dégradées en IPSEC SN310 (AES256/SHA2 - 600Mbps), SN210 (AES256/SHA2 - 350Mbps), SN210 (AES256/SHA2 - 200Mbps) - apparemment à cause du chipset ARM au lieu d’Intel pour ces boitiers (dire d’un ingénieur avant-vente). Dommage quand on a maintenant des liens FTTH à 1Gbps. Le plus petit boitier chez Fortinet le 40F Fait mieux que le SN310
- Sur les modèles SN510/SN710/SN910 le nombre d’interfaces physiques un peu juste par rapport aux produit équivalent chez la concurrence.
 
Problématique Administration et fonctionnalités
- Pas de multisessions en écriture, obliger d’attendre qu’un collègue lâche les droits en écriture pour rajouter une simple règle de filtrage ou créer un objet
- Pas de possibilité d’avoir des fenêtres ouvertes sur des vues différentes il faut carrément ouvrir une session en lecture dans un autre navigateur…
- Rafraichir la page du navigateur nous ramène à la mire d’authentification…
- L’impossibilité de rechercher dans les règles de filtrages toutes les règles qui ont un objet dans un plan d’adressage spécifié. Par exemple afficher les règles ayant des objets commençants par 10.0.16. (Exemple en vidéo : https://youtu.be/e9LD8bjsgDM que j’ai posté au support Stormshield qui m’ont juste dit que c’était une Feature demandée mais pas prévue dans la roadmap) Je vous laisse imaginer quand vous avez plus de 300 règles de filtrage avec des 100aines d’objets
- L’impossibilité d’avoir en même temps du DHCP Server et du DHCP relais géré au global et non à l’interface.  
- L’impression que l’on ne voit pas tous les logs et sur le monitoring temps réel même en créant une règle spécifique et se retrouver à faire un tcpdump en cli sur le boitier.
- Impossible de scripter l’installation du client VPN Stormshield sur toutes les machines, il faut être présent avec l’utilisateur lors de l’installation sur son profils (nos utilisateurs ne sont pas admin de leur poste)
- Pas de possibilité de lancer le VPN client en tant que service avant l’ouverture de sessin. Quand un utilisateur n’est pas sur le réseau entreprise, la machine ne reçoit pas les GPO Machine
- Pas de client VPN Stormshield pour Smartphone. Utilisation d’OpenVPN(On sort un peu du cadre de l’ANSSI là)
 
Je viens de recevoir des Fortigate 201F pour les mettre en frontal et garder les Stormshield en backend coté LAN/DATACENTER et la plupart des problématiques cités au-dessus n’existent pas sur cet environnement. C’est vrai que l’interface Fortigate est plus perturbant a premier abord car il y a énormément d’options mais une fois familiarisé ces multiples options sont souvent intéressantes si on a forcément la licence produit qui va bien. Rien que la possibilité de lancer le CLI en html c’est déjà un plus pour éventuellement scripter des choses. Et de plus il a toute la partie Training toujours gratuite pour se former sur les boitiers et beaucoup plus de documentation ainsi qu’une communauté plus active. Pour ce qui est de la qualification ANSSI ok c’est bien de l’avoir mais personnellement en cas de faille Zero Day j’ai plus confiance en la réactivité de Fortinet que de Stormshield pour avoir la correction, cette qualification c’est surtout plus pour se protéger de l’espionnage industriel que d’autre chose et aussi pour le coté marketing en France.
Je suis pour des produits français si bien sûr ils ont la capacité de faire parfaitement le job mais là je trouve qu’ils sont un peu en retard sur pas mal de sujet.
Pour information nous venons de mettre en place un Bastion de Sécurité WALLIX qui est français et Certifié ANSSI et nous en sommes complètement satisfait et la R&D est super réactive sur les améliorations.

Les SN710 et SN 910 sont en fin de vie, les remplaçants (SN 720 et SN 920) offrent la double alim  

Je rejoinds tt de même mystvearn sur le SOC d'une bonne part de la gamme des stormshield.
Ils sont sous dimensionné par rapport aux besoins actuels et aux concurrents plus ou moins direct.
 
Je ne sais pas encore ce qui sera intégré dans les nouveaux modèles mais ça serait bien qu'on aie quelque chose de plus costaud.

 
Bonne nouvelle déjà. Enfin notre commercial n'a pas pensé à nous tenir au courant de l'arriver de ces nouvelles gammes et je ne savais pas qu'ils avaient enfin rajouté la double alim .
 
on a commandé un 910 pour notre PRA il y a 2 mois... va falloir que j'aille titiller notre commercial.
 
Mais en tout cas pour le reste y a encore du taff d'amélioration... D'ailleurs dans la partie ergonomie j'ai oublier le versionning imbuvable des règles de filtrage qui s'incrémente à la suite et qui pose problème lors de copié/collé de règles car ils restent et donc amènent de l'information erronée et en plus c'est un champ commentaire que l'on aime bien alimenter avec des descriptions et on est polué par le versionning.

Je parlais d'embêter mon commercial Stormshield et bien je suis tombé sur lui lors d'une soirée aux assises de Monaco et en plus il était avec son CEO . donc J'ai pu leur tomber dessus ^^.
On devrait cadrer un rendez-vous avec eux et un de leur Product Manager afin de parler des sujets problématiques autour de leur boitier en fonctionnement et en comparaison avec ce que propose la concurrence.  
Airbus a apparemment réinjecter pas mal d'argent pour faire évoluer les produits et du coup ils ont envie de changer les choses.
 
Si des fois vous rencontrez d'autres problème que ceux que j'ai évoqué sur l'administration de ces produits n'hésitez pas m'en faire part sur ce post que je puisse remonté le max d'information pour l'éventuelle amélioration produit.
 

Bonjour !  
Etant équipé d'un cluster de SN510 j'ai parcouru le sujet.  
 
Je suis d'accord avec les éléments évoqués par mystvearn06
 
Pour le client VPN SSL j'ajouterais le point suivant:  
l'utilisation du client n'est possible que depuis la session sous laquelle il a été installé. Si un poste informatique est partagé entre 2 utilisateurs, un seul peut utiliser le client. Pour contourner cela nous avons dû sur les postes concernés faire l'installation sur une session générique. Les collaborateurs utilisent cette session pour se connecter à l'ordinateur et lancent ensuite le client VPN au lieu de leur session personnelle.

J'ai reçu le mail de présentation du SN920.
Il n'est pas fait mention de double alim, ni du SOC utilisé.

Un truc abusé par contre, on peut aussi voir la présentation du SN720.
Et on y découvre qu'en fait, ce sont les même boitiers!
"Grâce à une option logicielle vous pouvez le convertir en SN920..."

Donc grosso modo c'est un SN920 bridé logiciellement, j'avoue que ça n'envoie pas du rêve vu comme ça...

 
Ah oui effectivement j'avais pas vu ça le coup du boitier commun.
 
En gros on achète une Ferrari qui monte à 350km/h et le monsieur te dit gentillement que pour pouvoir bénéficier de la puissance complète il faut payer sinon tu restes à 150km/h.  
Autant je comprends le fait de payer plus pour débloquer des fonctionnalité mais j'ai un peu du mal avec le bridage.

Je ne suis pas vraiment choqué, je n'ai pas comparé les 2 versions mais ça peut être une bonne chose, si on a besoin d'évolution, qu'on "grossit" de pouvoir garder le même boîtier sans avoir à réinvestir une somme conséquente.  
J'imagine que de passer à la licence supérieur est bien moins coûteux que de changer le boîtier.  

Oui mais les hardware vieillissent vite sur 5 ans je doute que juste changer la licence soit plus intéressante que revoir la mise en place d'un nouveau boitier avec un hardware d'actualité à prix équivalent.
J'attends de voir comment ça va se passer.

  bien sur que si pour l'alim
 
Source (pdf direct depuis le site de Stormshield) : https://www.stormshield.com/wp-cont [...] heet-1.pdf
 
c'est écrit à la fois en page 1 et en page 2 (difficile à rater quand même   )
 
En page 2