Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1503 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Boitier UTM et proxy

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Boitier UTM et proxy

n°17445
i'm philou
Posté le 09-04-2007 à 18:53:13  profilanswer
 

Hello all
 
Dans ma structure, on envisage de changer notre solution à base de pc nunux routeur/firewall/proxy pas géré par nous par une solution que nous allons gérer et qui nous apportera pus de fonctionnalités et de sécurité (filtrage spam, antivirus mail, proxy amélioré...)
 
Nos besoins :
 
- Firewall
- filtrage antispam et antivirus sur email avant d'arriver sur le serveur de messagerie
- gestion de la quarantaine intuitive.
- filtrage URL
- filtrage antivirus sur traffic HTTP
- proxy pouvant récupérer les users AD et en fonction de groupes autoriser tout l'internet ou des listes blanches...
- possibilité d'une DMZ
- possibilité de publier des serveurs dans le LAN ou la DMZ.
- le VPN est optionnel, nos sites étant déjà reliés par du VPN SDSL Equant.
 
ça fait un petit moment que je réfléchis à la question et j'etais parti en test sur un ipcop à 3 interfaces (LAN, WAN, DMZ) avec des add-ons (advanced proxy , antivirus...) et Interscan Messaging Security Suite de Trend en DMZ comme passerelle SMTP antivirus et antispam.
 
... et puis je me dis que ça manque peut etre d'un peu de sécurité tout ça car l'ipcop ne dispose pas d'IPS mais seulement d'un IDS (snort).
 
Alors je m'intérroge sur les boitiers UTM qui réponde à priori à tous nos besoins. je me suis renseigné et parmi les noms revenant souvent, y'a netasq et arkoon, les deux made in france ce qui peut etre sympa au niveau SAV.
 
questions :
- qu'en est-il des possibilités de proxy web sur ces boitiers et nottament du dialogue avec l'AD ?, ça répond à nos besoins ?
- si je publie une ressource du réseau local sur l'UTM, peut-on s'authentifier dès la connexion à l'UTM ou ce dernier nate juste la requette vers la   ressource ?
y'en a t-il parmi vous qui utilisent ces boitiers en mode transparent ?  
vos avis et retour d'experience sur ce type de solution m'interessent...
 :)


Message édité par i'm philou le 15-04-2007 à 09:46:32
mood
Publicité
Posté le 09-04-2007 à 18:53:13  profilanswer
 

n°17446
i'm philou
Posté le 11-04-2007 à 10:32:29  profilanswer
 

:bounce:

n°17447
bluesboy
AOC4EVER
Posté le 11-04-2007 à 16:01:18  profilanswer
 

En debut de réponse je dirais concernant Netasq que la partie antivirus / filtrage URL est un 1er niveau et pour ce genre de fonctions j'ai tendance donc a préferer des boitiers dédiés (type olfeo par ex pour le filtrage URL) qui font je pense un meilleur boulot et soulage le firewall. Le filtrage gratuit intégré au Netasq est pas mal si l'on ne cherche pas une solution évoluée (websense, olfeo ..) et il est possible de s'abonner aux liste d'optenet sinon. Pour l'AV c'st ClamAV (gratuit) ou Kaspersky (payant).  
Pour une DMZ et publier des serveurs ca ne pose pas de probleme.
Pour publier des serveurs du LAN et demander une authentification sur l'UTM tu px utiliser la fonction vpn SSL.

n°17448
i'm philou
Posté le 14-04-2007 à 20:02:15  profilanswer
 

merci pour tes précisions  :)  
et concernant la partie proxy et une eventuelle interaction avec l'AD, ça donne quoi ?
 

n°17449
_p1c0_
Posté le 14-04-2007 à 22:11:36  profilanswer
 

i'm philou a écrit :

Alors je m'intérroge sur les boitiers UTM qui réponde à priori à tous nos besoins. je me suis renseigné et parmi les noms revenant souvent, y'a netasq et arkoon, les deux made in france ce qui peut etre sympa au niveau SAV.


 
Je me permet de faire ma petite pub. Je travaille actuellement en tant que développeur chez ARESSI, un 3eme made in france  :)  
 
Pour info, j'ai un ami qui bosse dans une boite qui a un partenariat avec arkoon, ils viennent récemment d'être décu au niveau support. Le temps de réponse est long...
 
Sinon, pour en revenir à ARESSI, on a déjà remporté quelques appels d'offres face à arkoon ou netasq. On a remplacé du netasq chez un client. On est pas encore très connus parce qu'assez jeunes mais on commence à monter. Je te laisse aller faire un tour sur notre site web: http://www.aressi.fr
 
Si tu as des questions, n'hésites pas à me demander, je pourrais te renseigner.  :)  

n°17450
bluesboy
AOC4EVER
Posté le 16-04-2007 à 10:19:08  profilanswer
 

i'm philou a écrit :

merci pour tes précisions  :)  
et concernant la partie proxy et une eventuelle interaction avec l'AD, ça donne quoi ?


 
Concernant les proxy, du moment que tu actives antispam, anti virus (et le filtrage url je crois), tu actives automatiquement les proxy en mode transparent (proxy http, smtp, pop).
 
Pour l'integration avec AD je m'ensuis encore jamais servi, pour info ds l'interface de management il y a cette rubrique concernant LDAP et AD :
 
http://img243.imageshack.us/img243/1484/ldapcz4.jpg
 

n°17719
i'm philou
Posté le 24-04-2007 à 19:27:16  profilanswer
 

ok merci
 
_p1c0_  ...> je vais aller faire un tour sur le site, merci

n°63825
maymouna
Fais le bien et jettes le
Posté le 23-02-2010 à 01:48:32  profilanswer
 

Bonsoir tous le monde,  
SVP qui connais le SURA ???? c un moitier UTM aussi

n°63830
skoizer
tripoux et tête de veau
Posté le 23-02-2010 à 09:37:18  profilanswer
 

bonjour,
J'utilise un U450 avec active directory 2003, ça fonctionne bien, mes user remontent bien sur le netasq.
Je peux même filtrer les utilisateurs en fonction de certaine propriété active driectory de l'user.
Par exemple ne remonterons que les user qui dans bureau ont le texte VPN.
Sinon pour le SSO avec le proxy c'est assez dur a mettre en place car il faut créé des certificat.
J'ai abandonné cette solution car certains logiciel sur les stations ne gèrent pas le SSO.
 
Quand tu intégre le netasq dans l'ad il faut modifier le schema de l'ad (manuellement), car le netasq en a besoin pour y stocker des informations sur les profil vpn ssl.
Tu ne peux pa avoir deux bases utilisateur, une netasq et l'autre AD.


Message édité par skoizer le 23-02-2010 à 09:40:30

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°63832
jujudu44
Prophète du CAC
Posté le 23-02-2010 à 10:11:38  profilanswer
 

Salut
 
Tu te sers uniquement de l'AD pour la reconnaissance des nomades ou tu réalises tout ton filtrage via l'AD? Je veux dire par là que dans ton filtrage tu fais référence à un user/OU ou bien tu dois continuer à utiliser les @IP.
 
merci


---------------
Jujudu44
mood
Publicité
Posté le 23-02-2010 à 10:11:38  profilanswer
 

n°63834
skoizer
tripoux et tête de veau
Posté le 23-02-2010 à 10:50:10  profilanswer
 

Tu peux utiliser des groupes utilisateur d'active directory pour le filtrage d'internet. Mais pour ça il faut qu'ils soient identifié sur le netasq.
Mais même avec la synchro active diectory il faut qu'ils s'identifient, sauf si tu met le SSO, mais la c'est un peu plus compliqué a mettre en place.
Moi je ne fais pas d'identification, je met un filtrage par les théme optenet et tout fonctionne, je n'ai pas envie d'y passer trop de temps.


Message édité par skoizer le 23-02-2010 à 10:51:20

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°63835
jujudu44
Prophète du CAC
Posté le 23-02-2010 à 10:51:23  profilanswer
 

Le filtrage par user ne fonctionne que pour la navigation Internet? Tous les autres types de flux (FTP, mail etc) ne sont pas concernés?


---------------
Jujudu44
n°63839
skoizer
tripoux et tête de veau
Posté le 23-02-2010 à 11:32:10  profilanswer
 

Le filtrage par user ne fonctionne que pour la navigation Internet? --> pour Le filtrage URL.  
Pour le filtrage des port (firewall), tu ne peux pas utiliser les comptes active dirctory (c'est normal). Les droits se font sur des adresses ip ou des groupes d'adresse ip.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°63841
jujudu44
Prophète du CAC
Posté le 23-02-2010 à 11:44:15  profilanswer
 

Ok c'est bien ce que je pensais.
Pour info il existe des solutions qui font ce que j'ai décrit (Palo Alto par exemple). L'ensemble des règles de filtrage peuvent etre elaborée a partir de l'organisation de l'AD pour tous les types de flux. Et de meme tous les flux sont authentifiés de manière transparente. Ce genre de solution me séduit plutot.


---------------
Jujudu44
n°63848
skoizer
tripoux et tête de veau
Posté le 23-02-2010 à 13:45:07  profilanswer
 

Bonne chance si tu veux réaliser ce que tu dis.  


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°63849
jujudu44
Prophète du CAC
Posté le 23-02-2010 à 13:47:22  profilanswer
 

Bah c'est l'avenir du filtrage. Depuis le statefull yavait pas eu grand chose de nouveau. On voit enfin de vraies nouveautés apparaitrent :)


---------------
Jujudu44
n°63885
maymouna
Fais le bien et jettes le
Posté le 24-02-2010 à 01:55:21  profilanswer
 

SVP ilya qqu1 qui peut m'aider jai un travail a préparer sur la virtualisation UTM et la gamme SURA,Svp qui connait un site ou un lien qui peut m'aider et je cherche aussi un demo ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Boitier UTM et proxy

 

Sujets relatifs
Utilité d'un proxy sur les connexions https (port 443)ntlmaps + putty + squid = passer un proxy/firewall ISA ?
Interdire la désactivation du proxy par GPO 
Plus de sujets relatifs à : Boitier UTM et proxy


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR