Re: [FRnOG] [TECH] Firewall chez OVH

2020-07-23 Par sujet Nicolas GORALSKI 

On 2020-06-11 23:38, Bruno LEAL DE SOUSA wrote:

Hello tout le monde !

Je suis face à une petite problématique que beaucoup ont du avoir 
déjà...
J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP 
publique et

sont interconnectés sur un vlan grâce à leur solution vRack.

Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne 
veux

pas que me serveurs soient accessibles directement sur internet.. je
voudrais les isoler derrière un Firewall typiquement afin de protéger 
le

tout et d'ouvrir juste les ports nécessaires !

En regardant les solutions possibles.. ou plutôt qui me viennent en 
tête

j'avais par exemple le déploiement d'un firewall PfSense... mais pas
possible sur un serveur dédié chez Ovh !
La seule possibilité serait de prendre un serveur ESX ou une Infra 
vmware
chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que 
ça

va représenter...

Avez-vous des idées ?

Merci beaucoup!

Bruno LEAL DE SOUSA
06.01.23.45.96

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Bonsoir

Désolé pour ma réponse tardive.
De mon coté j'ai déployé opnsense via l'ipmi comme d'autres l'ont 
suggérés.
J'ai aussi mis un vlan entre 2 pfsense pour la partie carp avec un block 
ip shared

entre les 2 fw.
Un script api dans la partie CARP bascule master pour que le block soit 
transféré
d'un serveur a l'autre et j'ai une pseudo HA a 1' de coupure le temps de 
la bascule.
par contre coté choix machine j'ai du prendre celle avec du Gb vers le 
vrack


Mes machines qui font du services sont quand à elles une fois installé 
coupé du wan.

la patte lan est dans le vrack et les FW gerent les acces.

Bonne soirée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-15 Par sujet Daniel Caillibaud 
Le 11/06/20 à 23:38, Bruno LEAL DE SOUSA  a écrit :
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !

J'avoue ne pas très bien saisir l'intérêt du firewall dans ce cas.

S'il s'agit de n'ouvrir que quelques ports sur l'ip publique, pourquoi ouvrir 
les autres ?

Il "suffit" d'ouvrir sur l'ip publique du dédié les services qu'on veut publics 
et de n'ouvrir
tous les autres que sur l'ip privée.

J'ai raté quoi ?

C'est parce que serait compliqué d'indiquer aux clients légitimes (donc à 
priori dans le vrack)
d'utiliser l'ip privée du service que l'on souhaite laisser le service sur l'ip 
publique mais
restreint à certains clients ?

Pour mes besoins j'ai 
- des resolvers sur le vrack, qui résolvent les dns publics + une zone statique 
privée en
  *.lan.domaine.tld (avec unbound c'est très simple à faire, un fichier 
statique avec un
  script pour le modifier puis le mettre à jour partout)
- un search sur lan.domaine.tld puis domaine.tld dans tous mes resolv.conf
- des clients qui appellent les services sur $host sans préciser le fqdn, si
  $host.lan.domaine.tld existe ça ira sur son ip privée et sinon sur son ip 
publique (en
  pratique tous mes hosts ont une ip privée déclarée, mais ça permettrait de 
déclarer un
  serviceTruc.domaine.tld dans mes dns publics sans déclarer de 
serviceTruc.lan.domaine.tld et
  l'appel de serviceTruc irait sur une ip publique, je l'utilise pas car j'ai 
toujours fqdn ou
  privé)

Mais ça répond pas forcément à ton besoin, c'est juste une solution sans 
firewall parce qu'il
n'y a rien d'exposé publiquement.

-- 
Daniel

C'est facile d'arrêter de fumer, j'arrête 20 fois par jour!
Oscar Wilde


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-15 Par sujet Joel Le Corre via frnog 
Hello,

@Bruno : je n'ai jamais testé et je ne sais pas ce que cela vaut, mais il y a 
un Firewall activable sur pas mal de ressources chez OVH (serveurs dédiés, VPS, 
instances Public Cloud, etc).

La doc est pas là : https://docs.ovh.com/gb/en/dedicated/firewall-network/

Cela répondra peut-être à ton besoin ...
--
Joël

June 14, 2020 10:16 AM, "Stéphane Rivière"  wrote:

>> Il est quand même effrayant que personne ne conseil à ce gentleman de
>> passer par un hebergeur alternatif qui lui, lui proposera le service pour
>> peut être une poignée d'euro de plus.
> 
> Tout dépend des objectifs.
> 
> Si l'idée est d'oublier le travail de soutier, il faut absolument aller
> vers de l'AWzure, et même du CDNflare pour le web et autres bidules
> prêts à l'emploi. Ca coûte une blinde, ça marche pas si bien que ça et
> le CDN pour le web (à part pour les sites de 'cours de reproduction' ou
> de torrent), c'est pas non plus une si bonne idée que ça.
> 
> Si l'idée est de conserver un minimum d'autonomie et d'investir plus sur
> la compétence que dans le plat tout préparé¹, OVH est un superbe terrain
> de jeu : très bon réseau, super bécanes haut de gamme (les advance sont
> tops par exemple) et, quoi qu'on dise, le support existe et on arrive
> toujours à ce que l'on veux.
> 
> J'ai des trucs variés chez eux (de l'xdsl, du trunk voip (sans leur
> ipbx), du serv, du ndd, du mail pour les clients) et ça "juste le fait"
> avec un excellent rapport qual/prix.
> 
> Précision : client de la Hache depuis longtemps, j'apprécie Octave et
> son œuvre. J'aurais pas pu dev mon biz avec cette facilité sans OVH :)
> Après c'est pas parfait, faut connaître les produits et les utiliser en
> fonction. Comme partout.
> 
> ¹ Car plus c'est simple en apparence, moins c'est simple en réalité. Et,
> un jour, la "simplicité" se vengera.
> 
> --
> Be Seeing You
> Number Six
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-14 Par sujet Stéphane Rivière 


> Il est quand même effrayant que personne ne conseil à ce gentleman de
> passer par un hebergeur alternatif qui lui, lui proposera le service pour
> peut être une poignée d'euro de plus.

Tout dépend des objectifs.

Si l'idée est d'oublier le travail de soutier, il faut absolument aller
vers de l'AWzure, et même du CDNflare pour le web et autres bidules
prêts à l'emploi. Ca coûte une blinde, ça marche pas si bien que ça et
le CDN pour le web (à part pour les sites de 'cours de reproduction' ou
de torrent), c'est pas non plus une si bonne idée que ça.

Si l'idée est de conserver un minimum d'autonomie et d'investir plus sur
la compétence que dans le plat tout préparé¹, OVH est un superbe terrain
de jeu : très bon réseau, super bécanes haut de gamme (les advance sont
tops par exemple) et, quoi qu'on dise, le support existe et on arrive
toujours à ce que l'on veux.

J'ai des trucs variés chez eux (de l'xdsl, du trunk voip (sans leur
ipbx), du serv, du ndd, du mail pour les clients) et ça "juste le fait"
avec un excellent rapport qual/prix.

Précision : client de la Hache depuis longtemps, j'apprécie Octave et
son œuvre. J'aurais pas pu dev mon biz avec cette facilité sans OVH :)
Après c'est pas parfait, faut connaître les produits et les utiliser en
fonction. Comme partout.

¹ Car plus c'est simple en apparence, moins c'est simple en réalité. Et,
un jour, la "simplicité" se vengera.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-14 Par sujet Stéphane Rivière 
> Avez-vous des idées ?

Xen/Debian brut, iptable pur + bridges vers les VM ou ufw comme David
(j'ai testé et apprécié, c'est très cool mais bon... un fichier texte
c'est bien aussi :).

Tout est dans le penguin, pourquoi rajouter une surcouche dans une VM
séparée ?

Tout le routage (via des fakes bridges)) est dans l'hyperviseur, qui a
son propre FW. Puis chaque VM a son FW. ce qui peut inclure des
sous-réseaux 'intras' entre VM (généralement deux dans nos setups : 1
généraliste et l'autre dédié aux blocs de VM web : proxy,serveur/filer,
db).

Perfs de fou (sur des vieilles machines cossues à l'époque mais
anciennes). Simplicité. Minimalisme. Fiabilité. Maintenabilité.

Un exemple sur un setup ancien (avec l'astuce pour ne pas perdre 3 IP
dans le bloc - ça marcherait aussi avec KVM ou n'importe quelle autre
virtu :

https://stef.genesix.org/pub/serveur_Debian_8_-_Genesix_v2_-_Installation.pdf

Un peu d'effort au départ. Magnifique tranquillité ensuite.

Xen/Debian gaze aussi sur des setups ridicules atom 4 Go ram (1 hyper et
deux VM). La prochaine étape de l'année, c'est le passage à ganeti/drdb
au dessus de xen/debian/mdadm/lvm, histoire de clouder l'infra, dans la
continuité des technos utilisées depuis des années.

-- 
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-13 Par sujet Alexandre Legrix 
Bonjour.

Il est quand même effrayant que personne ne conseil à ce gentleman de
passer par un hebergeur alternatif qui lui, lui proposera le service pour
peut être une poignée d'euro de plus.

Cdt
Alex

On Fri, 12 Jun 2020, 16:51 Jean-Francois Maeyhieux,  wrote:

> Hello !
>
> il est possible de déployer un firewall pfsense/opnsense sur un
> dédié OVH. Nous en avons avec le WAN d'un côté et le LAN dans un vrack
> justement.
>
> Pour l'installation:
>
> - soit tu installes un freebsd depuis lequel tu installes ton pfsense
> (necessite de savoir installer a la main, ce qui peut etre complexe)
>
> - soit plus simple tu utilises l'interface IPMI qui va te permettre de
> charger un ISO localement sur un lecteur CD virtuel distant qui sera vu
> au boot de ton serveur (c'est ce que l'on fait chez nous).
>
> Cordialement,
>Jean-Francois Maeyhieux
>
> Le jeudi 11 juin 2020 à 23:38 +0200, Bruno LEAL DE SOUSA a écrit :
> > Hello tout le monde !
> >
> > Je suis face à une petite problématique que beaucoup ont du avoir
> > déjà...
> > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP
> > publique et
> > sont interconnectés sur un vlan grâce à leur solution vRack.
> >
> > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je
> > ne veux
> > pas que me serveurs soient accessibles directement sur internet.. je
> > voudrais les isoler derrière un Firewall typiquement afin de protéger
> > le
> > tout et d'ouvrir juste les ports nécessaires !
> >
> > En regardant les solutions possibles.. ou plutôt qui me viennent en
> > tête
> > j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> > possible sur un serveur dédié chez Ovh !
> > La seule possibilité serait de prendre un serveur ESX ou une Infra
> > vmware
> > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso
> > que ça
> > va représenter...
> >
> > Avez-vous des idées ?
> >
> > Merci beaucoup!
> >
> > Bruno LEAL DE SOUSA
> > 06.01.23.45.96
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-12 Par sujet Jean-Francois Maeyhieux 
Hello !

il est possible de déployer un firewall pfsense/opnsense sur un
dédié OVH. Nous en avons avec le WAN d'un côté et le LAN dans un vrack
justement.

Pour l'installation:

- soit tu installes un freebsd depuis lequel tu installes ton pfsense 
(necessite de savoir installer a la main, ce qui peut etre complexe)

- soit plus simple tu utilises l'interface IPMI qui va te permettre de
charger un ISO localement sur un lecteur CD virtuel distant qui sera vu
au boot de ton serveur (c'est ce que l'on fait chez nous).

Cordialement,
   Jean-Francois Maeyhieux

Le jeudi 11 juin 2020 à 23:38 +0200, Bruno LEAL DE SOUSA a écrit :
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir
> déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP
> publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je
> ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger
> le
> tout et d'ouvrir juste les ports nécessaires !
> 
> En regardant les solutions possibles.. ou plutôt qui me viennent en
> tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra
> vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso
> que ça
> va représenter...
> 
> Avez-vous des idées ?
> 
> Merci beaucoup!
> 
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-12 Par sujet Fabien VINCENT FrNOG via frnog 




Le 12-06-2020 00:38, Charley SEDEAU a écrit :

Hello,

Pour moi ce pare-feu là ne s’active que pendant une mitigation DDoS, a
moins de posséder l’option pro qui permet de mettre les IP en 
mitigation

permanente..

J’ai mal compris le truc ?



Oui et non ;) Si tu as pas de règles c'est quand l'antiDDoS qui 
déclenche. Si tu as des règles (20 par IP de mémoire), tu passes tjs par 
l'antiddos (mitigation permanente)


Donc oui avec ca il est possible de faire un firewall chez OVH, par 
contre, je ne sais pas si ca marche avec le routage publique de vRack, à 
tester !


Mais le mieux ca reste quand même de maitriser un firewall (pfSense ou 
iptables roots style) pour ne pas être limité par les 20 règles …



- Charley

Le ven. 12 juin 2020 à 00:31,  a écrit :


Bonjour,

quid du vRack firewall pour ce besoin ?
  https://docs.ovh.com/fr/dedicated/firewall-network/


- Mail original -
De: "Olivier Lange" 
À: "Bruno LEAL DE SOUSA" 
Cc: "frnog-tech" 
Envoyé: Jeudi 11 Juin 2020 23:42:39
Objet: Re: [FRnOG] [TECH] Firewall chez OVH

Salut,

Tu prends une VM public cloud, et dessus tu installes pfsense ou 
routeros,

et tu la mets dans le cracks.

Où sinon tu mets des règles de dent sur tes interfaces public.

Olivier

Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA <
bruno.ld.so...@gmail.com>
a écrit :

> Hello tout le monde !
>
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique
et
> sont interconnectés sur un vlan grâce à leur solution vRack.
>
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne
veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
>
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
>
> Avez-vous des idées ?
>
> Merci beaucoup!
>
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-12 Par sujet Toussaint OTTAVI 




Le 12/06/2020 à 01:54, David Ponzone a écrit :

Debian brut avec ufw.


Je n'ai jamais testé UFW, mais j'aime beaucoup Shorewall. C'est le même 
principe : une surcouche "simplificatrice" et "ergonomique" pour 
iptables. Shorewall fonctionne avec des fichiers de configuration 
clairs. Il y a des templates avec des exemples de syntaxe pour chaque 
fichier. Il gère les zones, les objets, ainsi que les groupes d'objets 
imbriqués. Il permet de faire des choses simples simplement. Mais il 
permet aussi d'aller assez loin pour des configurations pointues.


Ceci étant, concernant la question initiale, n'importe quel firewall 
logiciel de ton choix fera l'affaire. De préférence, un que tu connais 
déjà, et que tu as déjà testé en local.


Sur ce firewall virtuel, le minimum syndical  :
- Une interface WAN publique
- Une ou plusieurs interfaces internes, sur des VLANS dans ton vRack; et 
ensuite, tu mets tes serveurs sur le VLAN interne de ton choix.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet Sébastien Lesimple 
Le 12/06/2020 à 01:54, David Ponzone a écrit :
>> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA  a 
>> écrit :
>>
>> Hello tout le monde !
>>
>> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
>> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
>> sont interconnectés sur un vlan grâce à leur solution vRack.
>>
>> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
>> pas que me serveurs soient accessibles directement sur internet.. je
>> voudrais les isoler derrière un Firewall typiquement afin de protéger le
>> tout et d'ouvrir juste les ports nécessaires !
>>
>> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
>> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
>> possible sur un serveur dédié chez Ovh !
>> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
>> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
>> va représenter…
>>
> Debian brut avec ufw.
> Ou Proxmox, avec ce que tu veux dans une VM.
Ben voila, les meilleures solutions sont les plus simples.
Je rajouterais de l'IPTables/Fail2BAN/Ngnx/Rkhunter et un bastion en
amont pour l'admin de l'ensemble sur une VM que tu demarre que quand
t'as besoin d'admin un serveur et tu devrais etre pas trop mal.
Seb.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet David Ponzone 


> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA  a 
> écrit :
> 
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
> 
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter…
> 

Debian brut avec ufw.
Ou Proxmox, avec ce que tu veux dans une VM.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet merwan . listes 
Hello 
Les serveurs dédié de OVH ne sont pas géré dans un Vshpere ? Car d’ici tu as la 
gestion d’un FW OVH. 
Ou sinon, très sous côté, tu peux corser les règles de tes FW sur les serveurs 
directement. Si c’est du Windows tu déploie juste une policy local ou alors si 
tu as un domain encore mieux. Pour du Linux, un peu de iptable ? 

Bonne soirée, 
Merwan 

> On Jun 11, 2020, at 5:39 PM, Bruno LEAL DE SOUSA  
> wrote:
> 
> Hello tout le monde !
> 
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
> 
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
> 
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
> 
> Avez-vous des idées ?
> 
> Merci beaucoup!
> 
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet Charley SEDEAU 
Hello,

Pour moi ce pare-feu là ne s’active que pendant une mitigation DDoS, a
moins de posséder l’option pro qui permet de mettre les IP en mitigation
permanente..

J’ai mal compris le truc ?

- Charley

Le ven. 12 juin 2020 à 00:31,  a écrit :

> Bonjour,
>
> quid du vRack firewall pour ce besoin ?
>   https://docs.ovh.com/fr/dedicated/firewall-network/
>
>
> - Mail original -
> De: "Olivier Lange" 
> À: "Bruno LEAL DE SOUSA" 
> Cc: "frnog-tech" 
> Envoyé: Jeudi 11 Juin 2020 23:42:39
> Objet: Re: [FRnOG] [TECH] Firewall chez OVH
>
> Salut,
>
> Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
> et tu la mets dans le cracks.
>
> Où sinon tu mets des règles de dent sur tes interfaces public.
>
> Olivier
>
> Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA <
> bruno.ld.so...@gmail.com>
> a écrit :
>
> > Hello tout le monde !
> >
> > Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique
> et
> > sont interconnectés sur un vlan grâce à leur solution vRack.
> >
> > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne
> veux
> > pas que me serveurs soient accessibles directement sur internet.. je
> > voudrais les isoler derrière un Firewall typiquement afin de protéger le
> > tout et d'ouvrir juste les ports nécessaires !
> >
> > En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> > j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> > possible sur un serveur dédié chez Ovh !
> > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> > va représenter...
> >
> > Avez-vous des idées ?
> >
> > Merci beaucoup!
> >
> > Bruno LEAL DE SOUSA
> > 06.01.23.45.96
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-- 
- Charley

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet vjardin 
Bonjour,

quid du vRack firewall pour ce besoin ?
  https://docs.ovh.com/fr/dedicated/firewall-network/


- Mail original -
De: "Olivier Lange" 
À: "Bruno LEAL DE SOUSA" 
Cc: "frnog-tech" 
Envoyé: Jeudi 11 Juin 2020 23:42:39
Objet: Re: [FRnOG] [TECH] Firewall chez OVH

Salut,

Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
et tu la mets dans le cracks.

Où sinon tu mets des règles de dent sur tes interfaces public.

Olivier

Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA 
a écrit :

> Hello tout le monde !
>
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
>
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
>
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
>
> Avez-vous des idées ?
>
> Merci beaucoup!
>
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall chez OVH

2020-06-11 Par sujet Olivier Lange 
Salut,

Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros,
et tu la mets dans le cracks.

Où sinon tu mets des règles de dent sur tes interfaces public.

Olivier

Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA 
a écrit :

> Hello tout le monde !
>
> Je suis face à une petite problématique que beaucoup ont du avoir déjà...
> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et
> sont interconnectés sur un vlan grâce à leur solution vRack.
>
> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux
> pas que me serveurs soient accessibles directement sur internet.. je
> voudrais les isoler derrière un Firewall typiquement afin de protéger le
> tout et d'ouvrir juste les ports nécessaires !
>
> En regardant les solutions possibles.. ou plutôt qui me viennent en tête
> j'avais par exemple le déploiement d'un firewall PfSense... mais pas
> possible sur un serveur dédié chez Ovh !
> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware
> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça
> va représenter...
>
> Avez-vous des idées ?
>
> Merci beaucoup!
>
> Bruno LEAL DE SOUSA
> 06.01.23.45.96
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Nicolas DEFFAYET 
On Thu, 2019-08-15 at 20:33 +0200, Radu-Adrian Feurdean wrote:

>  Demandez a vos stagiaires de tester du v6-Only. 

D'ailleurs c'est en déployant de l'IPv6 only que l'on s’aperçoit que
souvent le support IPv6 n'est pas aussi fonctionnel que celui IPv4...

Quelques exemples:
- Téléphone SNOM 821: pas de default gateway IPv6, donc si le serveur
HTTP & SIP n'est pas dans le même LAN, impossible d'utiliser le
téléphone
- Téléphone Cisco: pas de support IPv6 dans le firmware livré d'usine,
donc il faut mettre à la main le firmware à jour en IPv4 si on souhaite
déployer le téléphone dans un environnement IPv6 only
- Imprimante multi-fonction EPSON: on peut tout faire en IPv6 sauf
utiliser le scanner (j'ai jamais compris pourquoi EPSON n'avait pas
implémenté l'IPv6 dans la partie scanner)

Les constructeurs sont demandeur des remontés de bugs ou des ratés dans
leur implémentation IPv6.

J'avais remonté à l'époque à Supermicro que l'adresse IPv6 statique
configurée manuellement pour l'IPMI n'était pas conservée lors d'un
reset du module IPMI. Ils l'ont fixé et ce même pour des cartes mères
qui n'était plus commercialisées.

-- 
Nicolas DEFFAYET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Julien OHAYON 
En fait le problème, c’est que vous ne regardez que le problème côté opérateur.
Moi faire du v6 et le livrer au client c’est pas plus Un soucis que ça !

Par contre aujourd’hui ce sont les intégrateurs (non opérateurs) qui sont perdu 
et encore plus si il y a deux opérateurs chez le meme client.

J’aimerais bien avoir un partenaire qui me demande du v6 pour ses clients, 
aujourd’hui ils en ont peur.

Julien OHAYON
Directeur Technique
APPLIWAVE

Tel : 09.71.18.71.11

> Le 15 août 2019 à 20:36, Radu-Adrian Feurdean 
>  a écrit :
> 
>> On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote:
>> Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va 
>> bien rigoler :D
> 
> Tu peux filer les adresses en DHCP, mais la route par default reste en RA.
> Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par 
> tout, y compris les imprimantes, voire meme les serveurs.
> Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent 
> mieux en IPv6 qu'en IPv4 ? 
> 
> Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon use-case" 
> n'ont pas pris le temps pour voir comment ca fonctionne. Je veux bien qu'il y 
> a peut-etre un deficit de documentation "rapide", mais il faut arreter de 
> dire que ca ne marche pas. Essayez ! Essayez sur vos client mauvais-payeurs 
> (comme ca ca pose pas de probleme si ca pas marche le temps d'apprendre). 
> Demandez a vos stagiaires de tester du v6-Only. Faites quelque-chose, mais 
> faites-le, arretez de juste dire que ca ne marche pas apres 5 min de lecture 
> d'une doc qui date de mathusalem.
> 
> C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre l'IPv6 
> avec tous ses details. On va te repondre a des questions precises et ciblees, 
> mais pour tout t'apprendre, on va peut-etre te demander des $$$. 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Richard Klein 
Dans ce cas à quand à wiki FrNog :-)
IPv6 est un bon sujet de départ.


Richard

Le jeu. 15 août 2019 à 19:35, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote:
> > Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va
> > bien rigoler :D
>
> Tu peux filer les adresses en DHCP, mais la route par default reste en RA.
> Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par
> tout, y compris les imprimantes, voire meme les serveurs.
> Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent
> mieux en IPv6 qu'en IPv4 ?
>
> Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon
> use-case" n'ont pas pris le temps pour voir comment ca fonctionne. Je veux
> bien qu'il y a peut-etre un deficit de documentation "rapide", mais il faut
> arreter de dire que ca ne marche pas. Essayez ! Essayez sur vos client
> mauvais-payeurs (comme ca ca pose pas de probleme si ca pas marche le temps
> d'apprendre). Demandez a vos stagiaires de tester du v6-Only. Faites
> quelque-chose, mais faites-le, arretez de juste dire que ca ne marche pas
> apres 5 min de lecture d'une doc qui date de mathusalem.
>
> C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre
> l'IPv6 avec tous ses details. On va te repondre a des questions precises et
> ciblees, mais pour tout t'apprendre, on va peut-etre te demander des $$$.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Radu-Adrian Feurdean 
On Wed, Aug 14, 2019, at 21:10, Julien OHAYON wrote:
> Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va 
> bien rigoler :D

Tu peux filer les adresses en DHCP, mais la route par default reste en RA.
Oui, la conf statique reste possible, mais pa conseille. DHCP ou SLAAC par 
tout, y compris les imprimantes, voire meme les serveurs.
Ah, on parle d'imprimantes ? Genre les HP (les moins cheres) qui marchent mieux 
en IPv6 qu'en IPv4 ? 

Ca me confirme que tout le monde qui crie "IPv6 pas marche pour mon use-case" 
n'ont pas pris le temps pour voir comment ca fonctionne. Je veux bien qu'il y a 
peut-etre un deficit de documentation "rapide", mais il faut arreter de dire 
que ca ne marche pas. Essayez ! Essayez sur vos client mauvais-payeurs (comme 
ca ca pose pas de probleme si ca pas marche le temps d'apprendre). Demandez a 
vos stagiaires de tester du v6-Only. Faites quelque-chose, mais faites-le, 
arretez de juste dire que ca ne marche pas apres 5 min de lecture d'une doc qui 
date de mathusalem.

C'est clair que ce n'est pas sur FRnOG qui tu vas arriver a apprendre l'IPv6 
avec tous ses details. On va te repondre a des questions precises et ciblees, 
mais pour tout t'apprendre, on va peut-etre te demander des $$$. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Nicolas DEFFAYET 
On Thu, 2019-08-15 at 08:57 +0200, Denis Fondras wrote:

Hello,

> OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel
> network is
> required.".

Le support IPv6 only dans OpenVPN est prévu pour la version 2.5.

Plus de détail concernant la feature request: https://community.openvpn
.net/openvpn/ticket/208


-- 
Nicolas DEFFAYET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Nico Cartron 


> On 15 Aug 2019, at 08:57, Denis Fondras  wrote:
> 
>> On Thu, Aug 15, 2019 at 12:59:57AM +0200, Wallace wrote:
>> Tu penses à un usage en particulier?
>> 
> 
> La HA ne fonctionne pas correctement en IPv6, les RA sont envoyés depuis
> l'équipement en standby.
> 
> OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel network 
> is
> required.".
> 
> Et la crême de la crême, j'ai arrêté de vouloir faire du v6 avec pfSense après
> ça : quand tu essaies d'ajouter une IPv6, par exemple 2001:db8::/64, "The
> network address cannot be used for this VIP".

Du coup c’est vraiment lié à la GUI. 
Quelqu’un a essayé avec OPNSense?

— 
Nico

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-15 Par sujet Denis Fondras 
On Thu, Aug 15, 2019 at 12:59:57AM +0200, Wallace wrote:
> Tu penses à un usage en particulier?
> 

La HA ne fonctionne pas correctement en IPv6, les RA sont envoyés depuis
l'équipement en standby.

OpenVPN n'est pas configurable en IPv6-only : "The field IPv4 Tunnel network is
required.".

Et la crême de la crême, j'ai arrêté de vouloir faire du v6 avec pfSense après
ça : quand tu essaies d'ajouter une IPv6, par exemple 2001:db8::/64, "The
network address cannot be used for this VIP".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Wallace 
L'imprimante c'est tellement le cas ultime dans les boites, même les
dernières installées chez des clients ne gèrent pas v6 only voir pour
certaines ne gèrent pas du tout le dual stack.

Clairement pour ce dual wan, le natv6 ne me dérange pas, c'est crade
mais de toute façon les postes utilisateurs sont pas censés avoir du
flux entrant qui est déjà filtré.

Le 14/08/2019 à 21:09, Julien OHAYON a écrit :
> Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va bien 
> rigoler :D
>
> Julien OHAYON
> Directeur Technique
> APPLIWAVE
>
> Tel : 09.71.18.71.11
>
>> Le 14 août 2019 à 21:07, Alarig Le Lay  a écrit :
>>
>> Je l’ai fait chez moi quand je commençais le réseau et que j’avais un
>> tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien.
>>
>>> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote:
>>> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui 
>>> a deux préfix et le DNS derrière.
>>>
>>>
>>> Julien OHAYON
>>> Directeur Technique
>>> APPLIWAVE
>>>
>>> Tel : 09.71.18.71.11
>>>
 Le 14 août 2019 à 20:49, Hugues Voiturier  a 
 écrit :

 Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)

> On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
>
> Et donc ton app source choisi un préfix au hasard ?
>
> Julien OHAYON
> Directeur Technique
> APPLIWAVE
>
> Tel : 09.71.18.71.11
>
>>> Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
>>>
>>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
>>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
>>> Tweeter !
>>>
>>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas 
>>> annoncer ton subnet) !
>>>
>>> Ça va être tellement drôle cette belle régression par rapport à v4 (je 
>>> parle pas du nat on sait tous que c’est de la merde mais ça permet de 
>>> palier à certaines choses)
>>>
>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et 
>> quand
>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
>> réduis la
>> lifetime à 0.
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Wallace 

Le 14/08/2019 à 20:26, Denis Fondras a écrit :
> Je dois vraiment être une guenille alors. Chez moi pfSense est loin, mais 
> alors
> très très loin, d'être au point côté IPv6. Et quand tu contactes les devs pour
> faire un rapport de bug, "Ah? IPv6 ? Y'a des bugs, EWONTFIX".

Tu penses à un usage en particulier?

Après faut dire qu'on fait IPv6 en prioritaire sur tous nos équipements
/ serveurs / services depuis 2010, le v4 est optionnel donc même au
début on faisait en sorte de reverse tcp / udp les applications qui
n'étaient pas encore capable de bind en v6.

Sur PFsense à ma connaissance on a pas de bricole comme cela depuis
quelques versions. Et effectivement tous n'est pas en dual stack genre
le lien vers les switchs pour le 802.1X ça doit être le dernier point
non migré sur les configs en place.





signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Alarig Le Lay 
Tout était sur le même VLAN à l’époque, donc oui.
Et même aujourd’hui avec des VLANs, c’est toujours le cas pour ce qui
est à la maison.

Sur mon infra en DC c’est de l’adressage statique parce que j’avais pas
besoin de faire des RAs du tout, donc je n’allais pas non plus m’amuser
à en faire pour le fun. Chez moi le radvd était déjà là.

On mer. 14 août 19:09:29 2019, Julien OHAYON wrote:
> Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on
> va bien rigoler :D
> 
> Julien OHAYON
> Directeur Technique
> APPLIWAVE
> 
> Tel : 09.71.18.71.11
> 
> > Le 14 août 2019 à 21:07, Alarig Le Lay  a écrit :
> > 
> > Je l’ai fait chez moi quand je commençais le réseau et que j’avais un
> > tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien.
> > 
> >> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote:
> >> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui 
> >> a deux préfix et le DNS derrière.
> >> 
> >> 
> >> Julien OHAYON
> >> Directeur Technique
> >> APPLIWAVE
> >> 
> >> Tel : 09.71.18.71.11
> >> 
> >>> Le 14 août 2019 à 20:49, Hugues Voiturier  a 
> >>> écrit :
> >>> 
> >>> Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)
> >>> 
>  On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
>  
>  Et donc ton app source choisi un préfix au hasard ?
>  
>  Julien OHAYON
>  Directeur Technique
>  APPLIWAVE
>  
>  Tel : 09.71.18.71.11
>  
> >> Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
> >> 
> >> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
> >> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
> >> Tweeter !
> >> 
> >> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas 
> >> annoncer ton subnet) !
> >> 
> >> Ça va être tellement drôle cette belle régression par rapport à v4 (je 
> >> parle pas du nat on sait tous que c’est de la merde mais ça permet de 
> >> palier à certaines choses)
> >> 
> > 
> > Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et 
> > quand
> > ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
> > réduis la
> > lifetime à 0.
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>  
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> >>> 
> >> 
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Julien OHAYON 
Tes imprimantes sont en RA ? Tes serveurs aussi ? Allez faites ça on va bien 
rigoler :D

Julien OHAYON
Directeur Technique
APPLIWAVE

Tel : 09.71.18.71.11

> Le 14 août 2019 à 21:07, Alarig Le Lay  a écrit :
> 
> Je l’ai fait chez moi quand je commençais le réseau et que j’avais un
> tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien.
> 
>> On mer. 14 août 18:51:56 2019, Julien OHAYON wrote:
>> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a 
>> deux préfix et le DNS derrière.
>> 
>> 
>> Julien OHAYON
>> Directeur Technique
>> APPLIWAVE
>> 
>> Tel : 09.71.18.71.11
>> 
>>> Le 14 août 2019 à 20:49, Hugues Voiturier  a 
>>> écrit :
>>> 
>>> Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)
>>> 
 On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
 
 Et donc ton app source choisi un préfix au hasard ?
 
 Julien OHAYON
 Directeur Technique
 APPLIWAVE
 
 Tel : 09.71.18.71.11
 
>> Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
>> 
>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
>> Tweeter !
>> 
>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas 
>> annoncer ton subnet) !
>> 
>> Ça va être tellement drôle cette belle régression par rapport à v4 (je 
>> parle pas du nat on sait tous que c’est de la merde mais ça permet de 
>> palier à certaines choses)
>> 
> 
> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et 
> quand
> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
> réduis la
> lifetime à 0.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Alarig Le Lay 
Je l’ai fait chez moi quand je commençais le réseau et que j’avais un
tunnel HE et un tunnel jaguar pour avoir de la v6, ça marchait bien.

On mer. 14 août 18:51:56 2019, Julien OHAYON wrote:
> Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a 
> deux préfix et le DNS derrière.
> 
> 
> Julien OHAYON
> Directeur Technique
> APPLIWAVE
> 
> Tel : 09.71.18.71.11
> 
> > Le 14 août 2019 à 20:49, Hugues Voiturier  a 
> > écrit :
> > 
> > Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)
> > 
> >> On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
> >> 
> >> Et donc ton app source choisi un préfix au hasard ?
> >> 
> >> Julien OHAYON
> >> Directeur Technique
> >> APPLIWAVE
> >> 
> >> Tel : 09.71.18.71.11
> >> 
>  Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
>  
>  On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
>  Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
>  Tweeter !
>  
>  Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas 
>  annoncer ton subnet) !
>  
>  Ça va être tellement drôle cette belle régression par rapport à v4 (je 
>  parle pas du nat on sait tous que c’est de la merde mais ça permet de 
>  palier à certaines choses)
>  
> >>> 
> >>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et 
> >>> quand
> >>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
> >>> réduis la
> >>> lifetime à 0.
> >>> 
> >>> 
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >> 
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> > 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Hugues Voiturier 
Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)

> On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
> 
> Et donc ton app source choisi un préfix au hasard ?
> 
> Julien OHAYON
> Directeur Technique
> APPLIWAVE
> 
> Tel : 09.71.18.71.11
> 
>> Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
>> 
>>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
>>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
>>> Tweeter !
>>> 
>>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer 
>>> ton subnet) !
>>> 
>>> Ça va être tellement drôle cette belle régression par rapport à v4 (je 
>>> parle pas du nat on sait tous que c’est de la merde mais ça permet de 
>>> palier à certaines choses)
>>> 
>> 
>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand
>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
>> réduis la
>> lifetime à 0.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Julien OHAYON 
Clairement j’imagine même pas le nombres d’emmerdes avec un PC/Serveur qui a 
deux préfix et le DNS derrière.


Julien OHAYON
Directeur Technique
APPLIWAVE

Tel : 09.71.18.71.11

> Le 14 août 2019 à 20:49, Hugues Voiturier  a écrit 
> :
> 
> Non, elle choisit celui qui a la plus grosse préférence par le RA ;-)
> 
>> On 14 Aug 2019, at 20:48, Julien OHAYON  wrote:
>> 
>> Et donc ton app source choisi un préfix au hasard ?
>> 
>> Julien OHAYON
>> Directeur Technique
>> APPLIWAVE
>> 
>> Tel : 09.71.18.71.11
>> 
 Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
 
 On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
 Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur 
 Tweeter !
 
 Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas 
 annoncer ton subnet) !
 
 Ça va être tellement drôle cette belle régression par rapport à v4 (je 
 parle pas du nat on sait tous que c’est de la merde mais ça permet de 
 palier à certaines choses)
 
>>> 
>>> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et 
>>> quand
>>> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu 
>>> réduis la
>>> lifetime à 0.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Julien OHAYON 
Et donc ton app source choisi un préfix au hasard ?

Julien OHAYON
Directeur Technique
APPLIWAVE

Tel : 09.71.18.71.11

> Le 14 août 2019 à 20:41, Denis Fondras  a écrit :
> 
>> On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
>> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter 
>> !
>> 
>> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer 
>> ton subnet) !
>> 
>> Ça va être tellement drôle cette belle régression par rapport à v4 (je parle 
>> pas du nat on sait tous que c’est de la merde mais ça permet de palier à 
>> certaines choses)
>> 
> 
> Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand
> ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu réduis 
> la
> lifetime à 0.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Denis Fondras 
On Wed, Aug 14, 2019 at 06:08:41PM +, Julien OHAYON wrote:
> Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter !
> 
> Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer 
> ton subnet) !
> 
> Ça va être tellement drôle cette belle régression par rapport à v4 (je parle 
> pas du nat on sait tous que c’est de la merde mais ça permet de palier à 
> certaines choses)
> 

Pour le coup, le bon point d'IPv6, c'est que tu RA tes deux préfixes et quand
ça coupe sur une patte, tu déprefes le préfixe du fournisseur HS et tu réduis la
lifetime à 0.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Denis Fondras 
On Wed, Aug 14, 2019 at 07:51:15PM +0200, Wallace wrote:
> En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec
> et OpenVPN) très bien avec PFSense.
> 
> On sait même faire du natv6 : malheureusement utile quand il y a un dual
> wan de deux opérateurs différents et quand une personne a du v6 chez lui
> et a donc besoin de v6 dans le vpn sinon une partie du trafic ne passe
> par par le vpn. Si le fw est en dual wan ipv6 il faut qu'on utilise un
> troisième subnet interne que l'on nat en sortie en fonction de la
> gateway prioritaire. Si vous avez d'autres solutions je suis preneur.
> 
> Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns,
> dhcp, syslog, ... tout cela en v6 sans soucis.
> 

Je dois vraiment être une guenille alors. Chez moi pfSense est loin, mais alors
très très loin, d'être au point côté IPv6. Et quand tu contactes les devs pour
faire un rapport de bug, "Ah? IPv6 ? Y'a des bugs, EWONTFIX".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Julien OHAYON 
Ah tiens ça fait partie d’une grosse conversation que j’ai lancé sur Tweeter !

Bon chance en IPv6 quand multi opérateur (et qu’ils ne veulent pas annoncer ton 
subnet) !

Ça va être tellement drôle cette belle régression par rapport à v4 (je parle 
pas du nat on sait tous que c’est de la merde mais ça permet de palier à 
certaines choses)

https://twitter.com/julienohayon/status/1159423579047518208?s=21

NPT serait un début de solution, mais est-ce assez implémenté ? Clairement non.

Julien OHAYON
Directeur Technique
APPLIWAVE

Tel : 09.71.18.71.11

Le 14 août 2019 à 19:53, Wallace 
mailto:wall...@morkitu.org>> a écrit :


En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec et 
OpenVPN) très bien avec PFSense.

On sait même faire du natv6 : malheureusement utile quand il y a un dual wan de 
deux opérateurs différents et quand une personne a du v6 chez lui et a donc 
besoin de v6 dans le vpn sinon une partie du trafic ne passe par par le vpn. Si 
le fw est en dual wan ipv6 il faut qu'on utilise un troisième subnet interne 
que l'on nat en sortie en fonction de la gateway prioritaire. Si vous avez 
d'autres solutions je suis preneur.

Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns, dhcp, 
syslog, ... tout cela en v6 sans soucis.

Le 03/08/2019 à 23:06, Denis Fondras a écrit :

Bonjour,

Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes
fonctionnalités en IPv6 qu'en IPv4.  Ca m'a l'air d'être une espèce rare...

Denis


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Wallace 
En se contentant du niveau 3 on fait du v4/v6 en firewall et VPN (IPSec
et OpenVPN) très bien avec PFSense.

On sait même faire du natv6 : malheureusement utile quand il y a un dual
wan de deux opérateurs différents et quand une personne a du v6 chez lui
et a donc besoin de v6 dans le vpn sinon une partie du trafic ne passe
par par le vpn. Si le fw est en dual wan ipv6 il faut qu'on utilise un
troisième subnet interne que l'on nat en sortie en fonction de la
gateway prioritaire. Si vous avez d'autres solutions je suis preneur.

Sinon tout le reste fonctionne bien, l'inspection du trafic, le dns,
dhcp, syslog, ... tout cela en v6 sans soucis.

Le 03/08/2019 à 23:06, Denis Fondras a écrit :
> Bonjour,
>
> Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes
> fonctionnalités en IPv6 qu'en IPv4.  Ca m'a l'air d'être une espèce rare...
>
> Denis
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: OpenPGP digital signature

Re: Re : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-14 Par sujet Stephane Perez 
Bonjour


> Bonjour,
>
> Je suis à la recherche de références de firewalls ""NG"" proposant les
> mêmes
> fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare...
>
>
Fortinet, PaloAlto Networks, SophosNG (ex Astaro) était déjà bien fichu il
y a plusieurs années.

Mes 2 cents.
-- 
Stephane

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-05 Par sujet Radu-Adrian Feurdean 
On Sun, Aug 4, 2019, at 12:43, Guillaume Tournat wrote:
> FortiGate (de Fortinet), full dual stack 
> 
> Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification 

Modulo leur SSL-VPN qui est aux dernieres nouvelles strictement mono-stack : 
soit v4 soit v6.
Je ne suis pas sur non plus que les fonctionalites sont 100% identiques entre 
les deux address-families, mais la partie v6 est assez complete.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Xavier Beaudouin 
Hello,

> IPv6 support :
> 
> the following are the main features that are unavailable for IPv6 traffic:
> * IPv6 address translation(NATv6)

C'est très bien. Arrêtez avec le NAT et IPv6... 
Le NAT ne protège pas un réseau, il rajoute juste une putain de couche 
de complexification relou, surtout en cas de merging de boites.

Le NAT est une des raison pourquoi on se faire  avec de l'IPv4
alors qu'on aurais dû mettre ce truc à la casse bien avant

Ne continions pas dans cette lancée avec le v6 et prennons de bonnes bases... 
(surtout
que avec un /48 au mini on peux quand même faire de belles choses).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Denis Fondras 
On Sun, Aug 04, 2019 at 10:56:01AM +0200, Alarig Le Lay wrote:
> pf ? :p
>

pfNG :D

On Sun, Aug 04, 2019 at 10:59:58AM +0200, Stephane Branchoux wrote:
> À ma connaissance , Le firewall Stormshield ne propose pas encore les memes 
> fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc 
> filtrage d’url.
> 

Tout à fait, Stormshield est disqualifié (de même que Clavister)

https://documentation.stormshield.eu/SNS/v3/en/Content/PDF/ReleaseNotesSNS/sns-en-release_notes-v3.9.0.pdf
"
IPv6 support :

the following are the main features that are unavailable for IPv6 traffic:
* IPv6 address translation(NATv6)
* Application inspections (Antivirus,Antispam,HTTP cache,URL filtering,SMTP 
filtering,FTP filtering and SSL filtering)
* Use of the explicit proxy
* DNS cache
* SSL VPN portal tunnels
* SSL VPN tunnels
* Radius or Kerberos authentication
* Vulnerability management
* Modem interfaces (especially PPPoE modems).
"

On Sun, Aug 04, 2019 at 12:41:21PM +0200, Guillaume Tournat wrote:
> FortiGate (de Fortinet), full dual stack 
> Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification 
>

Merci, je vais regarder ça.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Guillaume Tournat 
FortiGate (de Fortinet), full dual stack 

Ils sont enfin depuis cette année accepté par l’ANSSI pour leur qualification 


> Le 4 août 2019 à 10:59, Stephane Branchoux  
> a écrit :
> 
> Bonjour ,
> 
> À ma connaissance , Le firewall Stormshield ne propose pas encore les memes 
> fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc 
> filtrage d’url.
> Ils le promettent pour très bientôt avec les nouvelles moutures en version 4
> 
> Bonne journée 
> 
>> Le 4 août 2019 à 10:45, "anton...@casimu.net"  a écrit :
>> 
>> Salut, 
>> 
>> Stormshield ? 
>> Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... 
>> 
>> Antonino.
>> 
>> 
>>  Message original 
>> Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
>> De : Denis Fondras 
>> À : frnog-t...@frnog.org
>> Cc : 
>> 
>> Bonjour,
>> 
>> Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes
>> fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare...
>> 
>> Denis
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Stephane Branchoux 
Bonjour ,

À ma connaissance , Le firewall Stormshield ne propose pas encore les memes 
fonctionnalités v4/V6 , en particulier pour la partie proxy web et donc 
filtrage d’url.
Ils le promettent pour très bientôt avec les nouvelles moutures en version 4

Bonne journée 

> Le 4 août 2019 à 10:45, "anton...@casimu.net"  a écrit :
> 
> Salut, 
> 
> Stormshield ? 
> Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... 
> 
> Antonino.
> 
> 
>  Message original 
> Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé
> De : Denis Fondras 
> À : frnog-t...@frnog.org
> Cc : 
> 
> Bonjour,
> 
> Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes
> fonctionnalités en IPv6 qu'en IPv4. Ca m'a l'air d'être une espèce rare...
> 
> Denis
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet Alarig Le Lay 
Salut,

On sam.  3 août 23:06:31 2019, Denis Fondras wrote:
> Bonjour,
> 
> Je suis à la recherche de références de firewalls ""NG"" proposant les mêmes
> fonctionnalités en IPv6 qu'en IPv4.  Ca m'a l'air d'être une espèce rare...

pf ? :p

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : [FRnOG][TECH] Firewall isofonctionnel IPv6 et IPvDépassé

2019-08-04 Par sujet anton...@casimu.net 
Salut, Stormshield ? Firewalls français qui a toutes les certifs ANSSI EAL4+ etc... Antonino. Message original Objet : [FRnOG] [TECH] Firewall isofonctionnel IPv6 et IPvDépasséDe : Denis Fondras À : frnog-tech@frnog.orgCc : Bonjour,Je suis à la recherche de références de firewalls ""NG"" proposant les mêmesfonctionnalités en IPv6 qu'en IPv4.  Ca m'a l'air d'être une espèce rare...Denis---Liste de diffusion du FRnOGhttp://www.frnog.org/

RE: [FRnOG] [TECH] Firewall with Group Policy

2019-05-14 Par sujet Michael Bazy 
Hello,

Je confirme qu'on peut faire du load-balancing en fonction de l'appartenance à 
un groupe AD (ex : VIPs & admins sur le lien fibre, le reste du monde sur 
d'autre/s lien/s).

Effectivement il peut y avoir une petite problématique lorsque les machines 
changent d'IP, mais en fonction de l'archi, on arrive en général toujours à 
trouver une solution.

Ne pas hésiter à me contacter en mp si besoin de plus d'infos.

Cordialement,

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Thierry 
Chich
Envoyé : vendredi 10 mai 2019 09:48
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Firewall with Group Policy

Bonjour

Le 07/05/2019 à 11:47, Mikael R. - Engine-Serv a écrit :
> Bonjour,
>
> Je cherche une solution software certifiée "Données Sensibles" pour 
> réaliser des redirections de sessions HTTP en fonction de 
> l'appartenance à un groupe Active Directory vers deux ip différentes.
>
> Avez vous une piste ?
> Un firewall logiciel peut-il requêter un AD pour avoir cette info de 
> groupe et appliquer une règle en fonction ?


J'ai testé sur Fortinet, on peut attraper le groupe AD  soit en allant chercher 
directement dans l'annuaire, soit en installant un client sur l'AD qui pousse 
les données. Ca fonctionne, mais il y a des limitations quand on est en 
situation de mobilité.

Pour ce qui est de la redirection en tant que telle, je n'ai jamais fait ça sur 
un firewall.  A mon avis, il y a ce qu'il faut sur les fortigate (il y a des 
fonctions de load-balancing). Cela dit, je ne mettrais pas ma main à couper que 
les deux fonctionnalités qu'il faut utiliser se marient bien, par contre.


Cdt

--
<http://www.ac-clermont.fr>


Thierry CHICH




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall with Group Policy

2019-05-10 Par sujet Thierry Chich 

Bonjour

Le 07/05/2019 à 11:47, Mikael R. - Engine-Serv a écrit :

Bonjour,

Je cherche une solution software certifiée "Données Sensibles" pour
réaliser des redirections de sessions HTTP en fonction de l'appartenance à
un groupe Active Directory vers deux ip différentes.

Avez vous une piste ?
Un firewall logiciel peut-il requêter un AD pour avoir cette info de groupe
et appliquer une règle en fonction ?



J'ai testé sur Fortinet, on peut attraper le groupe AD  soit en allant 
chercher directement dans l'annuaire, soit en installant un client sur 
l'AD qui pousse les données. Ca fonctionne, mais il y a des limitations 
quand on est en situation de mobilité.


Pour ce qui est de la redirection en tant que telle, je n'ai jamais fait 
ça sur un firewall.  A mon avis, il y a ce qu'il faut sur les fortigate 
(il y a des fonctions de load-balancing). Cela dit, je ne mettrais pas 
ma main à couper que les deux fonctionnalités qu'il faut utiliser se 
marient bien, par contre.



Cdt

--



Thierry CHICH




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall IPv6 chez Free (et les autres)

2019-05-01 Par sujet Kirth Gersen 
Le 'bon sens' et le consensus a l'IETF est qu'il faut mettre
l'utilisateur dans la meme "situation" qu'il était avec IPv4 donc
avoir une espèce de filtrage stateful.

Mais il n'y a pas encore de consensus et best practice officiel sur sa
mise en oeuvre car un filtrage stateful peut avoir des conséquences
sur des futurs protocoles ou évolutions des protocoles actuels. Le
problème est que le code actuel des "stateful filter" en IPv6 copie la
version IPv4 : ca marche qu'avec UDP et TCP. Idéalement il faudrait un
truc qui 'stateful filter' plus largement (ou qui ne filtre qu'udp et
tcp et laisse passer le reste?). L'autre souci est l'ouverture a la
demande d'autres choses qu'UDP ou TCP.

cf aussi les 50 commendations  de la RFC 6902 (
https://tools.ietf.org/html/rfc6092#section-4 ). Je ne pas si la
Freebox les implémente.
La RFC 4864 ( https://tools.ietf.org/html/rfc4864#section-2 ) donne un
bonne base de réflexion aussi meme si elle date un peu sur certains
aspects.

Orange applique un stateful filter 'fort' (udp+tcp only et on ne peut
ouvrir une IPv6 "a tout" par exemple), Free laisse tout passer. Bref a
ce jour aucun des deux n'offre peut-être la bonne solution.

Apres, en pratique, pour le moment,  les usages c'est 99% du TCP ou de
l'UDP vu l'omnipresence du NAT IPv4.

Il faut voir aussi l'impact sur les performances de filtrer surtout
quand on promet du 10 gigabits ..(enfin du 8 Gbits:) ). Le stateful
filter du NAT IPv4 est souvent pris en charge par des accélérateurs
matériels fournit pas les composants hardware. Pas sur qu'ils soient
tous capables de faire cela en IPv6 vu que le NAT en IPv6 n'est pas
une demande. C'est peut-etre simplement pour cela que Free n'a pas de
stateful en IPv6...histoire de ne pas être derniers au speedtest en
IPv6 ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Eric Masson 
Xavier Beaudouin  writes:

'Lut,

> Probablement vu qu'on peux y greffer plein de choses.

De mes souvenirs de discussion avec vanhu, ASQ était un développement
complètement spécifique.

> Ceci dit il est possible qu'à l'époque qu'ASQ qui a commencé ils se
> sont basés sur IPFW sachant que les premier avaient l'air de tourner
> sur du FreeBSD 4.x modifié...

Vi c'était bien le cas, vanhu a d'ailleurs contribué du code aux projets
FreeBSD & ipsec-tools au delà de cette période.

Éric Masson


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Xavier Beaudouin 
Hello,

>> Sinon question sérieuse pourquoi justement sur ce genre de matos c'est
>> pas Open qui tourne ? PF vient d'Open et y est très à l'aise non ?
> 
>>>Probablement parce qu'ASQ n'a rien à voir avec PF.
> 
> Ha d'accord , pour la culture G ça filtre par quoi alors ?
> 
> IPFW ? :)

Probablement vu qu'on peux y greffer plein de choses.

Ceci dit il est possible qu'à l'époque qu'ASQ qui a commencé ils se sont basés 
sur IPFW sachant que les premier avaient l'air de tourner sur du FreeBSD 4.x 
modifié...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet fbsdouille 


- Mail original -
De: "Eric Masson" <e...@free.fr>
À: "Frnog-tech" <frnog-t...@frnog.org>
Envoyé: Mardi 29 Août 2017 17:19:45
Objet: Re: [FRnOG] [TECH] firewall

fbsdoui...@free.fr writes:

'Lut,

> Sinon question sérieuse pourquoi justement sur ce genre de matos c'est
> pas Open qui tourne ? PF vient d'Open et y est très à l'aise non ?

>>Probablement parce qu'ASQ n'a rien à voir avec PF.

Ha d'accord , pour la culture G ça filtre par quoi alors ?

IPFW ? :) 



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Eric Masson 
fbsdoui...@free.fr writes:

'Lut,

> Sinon question sérieuse pourquoi justement sur ce genre de matos c'est
> pas Open qui tourne ? PF vient d'Open et y est très à l'aise non ?

Probablement parce qu'ASQ n'a rien à voir avec PF.

Éric Masson



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet kite...@kitetoa.com 


SIMANCAS Hugo a écrit :
> Re,
> 
> Effectivement, le hardware est non français, certes, mais il est qualifié par 
> l'ANSSI.
> 
> Comme l'a dit Charles, c'est une FreeBSD épurée avec du dev propriétaire sur 
> l'IPS.
> 
> La solution complète de filtrage et d'IPS est certifiée par l'ANSSI EAL2+ 
> avec une validation toutes les deux versions.
> 
> Dans le contexte actuel sur le matos à backdoor, on peut se rassurer pour 
> celui-ci. (Armée, Défense, Santé ...)
> 
> PS : Un accès root est dispo sur le boitier pour faire des modifications de 
> fichiers.
> 
> Hugo
> 

Bonjour,

Le fait que l'ANSSI certifie un FW n'écarte pas complètement le danger.
J'ai personnellement vu un éditeur français certifié donner accès à son
code source à une entreprise américaine dont les liens avec la NSA ne
sont pas si fins, dans le cadre d'un deal. Cet éditeur équipe des
ministère et des banques françaises. Le deal était secret. On se demande
bien pourquoi. L'ANSSI n'a pas d'avis particulier sur ce type de deal.

A.C.

> -Message d'origine-
> De : Guillaume Tournat [mailto:guilla...@ironie.org] 
> Envoyé : lundi 28 août 2017 20:43
> À : SIMANCAS Hugo <hugo.siman...@humansconnexion.com>
> Cc : David Ponzone <david.ponz...@gmail.com>; Raphael Maunier 
> <raph...@maunier.net>; Ludovic Scotti <tonton...@gmail.com>; Paul Rolland 
> (ポール・ロラン) <rol+fr...@witbe.net>; Michel Py 
> <mic...@arneill-py.sacramento.ca.us>; Frnog-tech <frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] firewall
> 
> Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est pas 
> de la science fiction), quant au software, bonne question. Il doit s'appuyer 
> sur plein de dépendances externes, et développer en interne ou en sous 
> traitance ?
> 
> Donc cocorico, c'est un peu prématuré. 
> Maintenant un éditeur non US, c'est à souligner car assez rare en effet. 
> 
> 
> 
>> Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> a 
>> écrit :
>>
>> Personne ne parle des StormShield (ex Netasq Arkoon), ils sont 
>> Français et validé Anssi !!! Pour une fois qu'on a un bon produit cocorico 
>> ^^ J'en pose depuis plusieurs années et leur gamme est assez large. Leur 
>> gros avantage ce sont les perfs avec tous les modules utm d'activés.
>>
>> Hugo
>>
>>
>> -Message d'origine-
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
>> part de David Ponzone Envoyé : dimanche 27 août 2017 15:36 À : Raphael 
>> Maunier <raph...@maunier.net> Cc : Ludovic Scotti 
>> <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>; 
>> Michel Py <mic...@arneill-py.sacramento.ca.us>; Frnog-tech 
>> <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] firewall
>>
>> Et Zyxel ?
>> Ok je sors :)
>>
>> David Ponzone
>>
>>
>>
>>> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
>>>
>>> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
>>> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
>>> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode 
>>> de gestion des règles avec les poids automatique c'était deja la galère à 
>>> gérer. Et le support en France était très limité à l'époque J'y ai pas 
>>> touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
>>>
>>> Envoyé de mon iPhone
>>>
>>>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>>>>
>>>> Personne ne parle/place/utilise des UTM Watchguard ?
>>>> Outre les traditionnels boîtiers hardware, il y a aussi une offre 
>>>> virtuelle.
>>>>
>>>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>>>> écrit :
>>>>> Hello,
>>>>>
>>>>> On Fri, 25 Aug 2017 23:12:37 +
>>>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>>>>
>>>>>>> Raphael Maunier a écrit :
>>>>>>> Exemple sur mon forti :
>>>>>>   - https://ibb.co/ksLaXQ 
>>>>>>   - https://ibb.co/guu2CQ 
>>>>>>   - https://ibb.co/ny6tK5 
>>>>>>   - https://ibb.co/bZsB6k 
>>>>>>   - https://ibb.co/c5VLz5 
>>>>>>   - https://ibb.co/f4kne5
>>>>>>
>>>>>> C'est bloqué avant le firewall, chez moi ;-)
>>>>> Tu as un firewall qui protege ton firewall ???
>>>>>
>>>>> Paul
>>>>>
>>>>>
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet fbsdouille 

Hello,

> On 29 Aug 2017, at 15:14, SIMANCAS Hugo  
> wrote:
> 
> Re,
> 
> Effectivement, le hardware est non français, certes, mais il est qualifié par 
> l'ANSSI.
> 
> Comme l'a dit Charles, c'est une FreeBSD épurée avec du dev propriétaire sur 
> l’IPS.

>>“Une FreeBSD ‘épurée’” ? FreeBSD est déjà bien light de base ! :)

Une FreeBSD épurée c'est une OpenBSD sous sh :) 

Sinon question sérieuse pourquoi justement sur ce genre de matos c'est pas Open 
qui tourne ?
PF vient d'Open et y est très à l'aise non ? 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Nico CARTRON 
Hello,

> On 29 Aug 2017, at 15:14, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> 
> wrote:
> 
> Re,
> 
> Effectivement, le hardware est non français, certes, mais il est qualifié par 
> l'ANSSI.
> 
> Comme l'a dit Charles, c'est une FreeBSD épurée avec du dev propriétaire sur 
> l’IPS.

“Une FreeBSD ‘épurée’” ? FreeBSD est déjà bien light de base ! :)

-- 
Nico

> 
> La solution complète de filtrage et d'IPS est certifiée par l'ANSSI EAL2+ 
> avec une validation toutes les deux versions.
> 
> Dans le contexte actuel sur le matos à backdoor, on peut se rassurer pour 
> celui-ci. (Armée, Défense, Santé ...)
> 
> PS : Un accès root est dispo sur le boitier pour faire des modifications de 
> fichiers.
> 
> Hugo
> 
> -Message d'origine-
> De : Guillaume Tournat [mailto:guilla...@ironie.org] 
> Envoyé : lundi 28 août 2017 20:43
> À : SIMANCAS Hugo <hugo.siman...@humansconnexion.com>
> Cc : David Ponzone <david.ponz...@gmail.com>; Raphael Maunier 
> <raph...@maunier.net>; Ludovic Scotti <tonton...@gmail.com>; Paul Rolland 
> (ポール・ロラン) <rol+fr...@witbe.net>; Michel Py 
> <mic...@arneill-py.sacramento.ca.us>; Frnog-tech <frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] firewall
> 
> Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est pas 
> de la science fiction), quant au software, bonne question. Il doit s'appuyer 
> sur plein de dépendances externes, et développer en interne ou en sous 
> traitance ?
> 
> Donc cocorico, c'est un peu prématuré. 
> Maintenant un éditeur non US, c'est à souligner car assez rare en effet. 
> 
> 
> 
>> Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> a 
>> écrit :
>> 
>> Personne ne parle des StormShield (ex Netasq Arkoon), ils sont 
>> Français et validé Anssi !!! Pour une fois qu'on a un bon produit cocorico 
>> ^^ J'en pose depuis plusieurs années et leur gamme est assez large. Leur 
>> gros avantage ce sont les perfs avec tous les modules utm d'activés.
>> 
>> Hugo
>> 
>> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
>> part de David Ponzone Envoyé : dimanche 27 août 2017 15:36 À : Raphael 
>> Maunier <raph...@maunier.net> Cc : Ludovic Scotti 
>> <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>; 
>> Michel Py <mic...@arneill-py.sacramento.ca.us>; Frnog-tech 
>> <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] firewall
>> 
>> Et Zyxel ?
>> Ok je sors :)
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
>>> 
>>> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
>>> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
>>> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode 
>>> de gestion des règles avec les poids automatique c'était deja la galère à 
>>> gérer. Et le support en France était très limité à l'époque J'y ai pas 
>>> touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
>>> 
>>> Envoyé de mon iPhone
>>> 
>>>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>>>> 
>>>> Personne ne parle/place/utilise des UTM Watchguard ?
>>>> Outre les traditionnels boîtiers hardware, il y a aussi une offre 
>>>> virtuelle.
>>>> 
>>>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>>>> écrit :
>>>>> Hello,
>>>>> 
>>>>> On Fri, 25 Aug 2017 23:12:37 +
>>>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>>>> 
>>>>>>> Raphael Maunier a écrit :
>>>>>>> Exemple sur mon forti :
>>>>>>  - https://ibb.co/ksLaXQ 
>>>>>>  - https://ibb.co/guu2CQ 
>>>>>>  - https://ibb.co/ny6tK5 
>>>>>>  - https://ibb.co/bZsB6k 
>>>>>>  - https://ibb.co/c5VLz5 
>>>>>>  - https://ibb.co/f4kne5
>>>>>> 
>>>>>> C'est bloqué avant le firewall, chez moi ;-)
>>>>> 
>>>>> Tu as un firewall qui protege ton firewall ???
>>>>> 
>>>>> Paul
>>>>> 
>>>>> 
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-29 Par sujet SIMANCAS Hugo 
Re,

Effectivement, le hardware est non français, certes, mais il est qualifié par 
l'ANSSI.

Comme l'a dit Charles, c'est une FreeBSD épurée avec du dev propriétaire sur 
l'IPS.

La solution complète de filtrage et d'IPS est certifiée par l'ANSSI EAL2+ avec 
une validation toutes les deux versions.

Dans le contexte actuel sur le matos à backdoor, on peut se rassurer pour 
celui-ci. (Armée, Défense, Santé ...)

PS : Un accès root est dispo sur le boitier pour faire des modifications de 
fichiers.

Hugo

-Message d'origine-
De : Guillaume Tournat [mailto:guilla...@ironie.org] 
Envoyé : lundi 28 août 2017 20:43
À : SIMANCAS Hugo <hugo.siman...@humansconnexion.com>
Cc : David Ponzone <david.ponz...@gmail.com>; Raphael Maunier 
<raph...@maunier.net>; Ludovic Scotti <tonton...@gmail.com>; Paul Rolland 
(ポール・ロラン) <rol+fr...@witbe.net>; Michel Py 
<mic...@arneill-py.sacramento.ca.us>; Frnog-tech <frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] firewall

Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est pas de 
la science fiction), quant au software, bonne question. Il doit s'appuyer sur 
plein de dépendances externes, et développer en interne ou en sous traitance ?

Donc cocorico, c'est un peu prématuré. 
Maintenant un éditeur non US, c'est à souligner car assez rare en effet. 



> Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> a 
> écrit :
> 
> Personne ne parle des StormShield (ex Netasq Arkoon), ils sont 
> Français et validé Anssi !!! Pour une fois qu'on a un bon produit cocorico ^^ 
> J'en pose depuis plusieurs années et leur gamme est assez large. Leur gros 
> avantage ce sont les perfs avec tous les modules utm d'activés.
> 
> Hugo
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
> part de David Ponzone Envoyé : dimanche 27 août 2017 15:36 À : Raphael 
> Maunier <raph...@maunier.net> Cc : Ludovic Scotti 
> <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>; 
> Michel Py <mic...@arneill-py.sacramento.ca.us>; Frnog-tech 
> <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] firewall
> 
> Et Zyxel ?
> Ok je sors :)
> 
> David Ponzone
> 
> 
> 
>> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
>> 
>> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
>> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
>> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
>> gestion des règles avec les poids automatique c'était deja la galère à 
>> gérer. Et le support en France était très limité à l'époque J'y ai pas 
>> touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
>> 
>> Envoyé de mon iPhone
>> 
>>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>>> 
>>> Personne ne parle/place/utilise des UTM Watchguard ?
>>> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
>>> 
>>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>>> écrit :
>>>> Hello,
>>>> 
>>>> On Fri, 25 Aug 2017 23:12:37 +
>>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>>> 
>>>>>> Raphael Maunier a écrit :
>>>>>> Exemple sur mon forti :
>>>>>   - https://ibb.co/ksLaXQ 
>>>>>   - https://ibb.co/guu2CQ 
>>>>>   - https://ibb.co/ny6tK5 
>>>>>   - https://ibb.co/bZsB6k 
>>>>>   - https://ibb.co/c5VLz5 
>>>>>   - https://ibb.co/f4kne5
>>>>> 
>>>>> C'est bloqué avant le firewall, chez moi ;-)
>>>> 
>>>> Tu as un firewall qui protege ton firewall ???
>>>> 
>>>> Paul
>>>> 
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Franck LABBE 
Pour ma part, trop de bug et/ou petits défauts...
Entre l'OSPF (module Birdc) qui fait monter le CPU à 100% de façon
aléatoire ou les interfaces qui font shut/no shut après l'ajout d'un Vlan...
On a tenté, on s'est cassé les dents, même avec le support...
Dommage, sur le papier cela n'avait pas l'air trop mal..


Franck Labbé

Le 29 août 2017 à 09:26, Julien Schafer <j.scha...@actilogie.com> a écrit :

> La certification EAL2+ est quand même "sérieuse". C'est pas qlq chose qui
> s'obtient facilement et rapidement...
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
> de Guillaume Tournat
> Envoyé : lundi 28 août 2017 20:43
> À : SIMANCAS Hugo <hugo.siman...@humansconnexion.com>
> Cc : David Ponzone <david.ponz...@gmail.com>; Raphael Maunier <
> raph...@maunier.net>; Ludovic Scotti <tonton...@gmail.com>; Paul Rolland
> (ポール・ロラン) <rol+fr...@witbe.net>; Michel Py <michel@arneill-py.sacramento.
> ca.us>; Frnog-tech <frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] firewall
>
> Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est
> pas de la science fiction), quant au software, bonne question. Il doit
> s'appuyer sur plein de dépendances externes, et développer en interne ou en
> sous traitance ?
>
> Donc cocorico, c'est un peu prématuré.
> Maintenant un éditeur non US, c'est à souligner car assez rare en effet.
>
>
>
> > Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.simancas@
> humansconnexion.com> a écrit :
> >
> > Personne ne parle des StormShield (ex Netasq Arkoon), ils sont
> > Français et validé Anssi !!! Pour une fois qu'on a un bon produit
> cocorico ^^ J'en pose depuis plusieurs années et leur gamme est assez
> large. Leur gros avantage ce sont les perfs avec tous les modules utm
> d'activés.
> >
> > Hugo
> >
> >
> > -Message d'origine-
> > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
> > part de David Ponzone Envoyé : dimanche 27 août 2017 15:36 À : Raphael
> > Maunier <raph...@maunier.net> Cc : Ludovic Scotti
> > <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>;
> > Michel Py <mic...@arneill-py.sacramento.ca.us>; Frnog-tech
> > <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] firewall
> >
> > Et Zyxel ?
> > Ok je sors :)
> >
> > David Ponzone
> >
> >
> >
> >> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit
> :
> >>
> >> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez
> >> ViaNetworks on en avait 500 en management ( on avait une offre mssp )
> >> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur
> méthode de gestion des règles avec les poids automatique c'était deja la
> galère à gérer. Et le support en France était très limité à l'époque J'y ai
> pas touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
> >>
> >> Envoyé de mon iPhone
> >>
> >>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit
> :
> >>>
> >>> Personne ne parle/place/utilise des UTM Watchguard ?
> >>> Outre les traditionnels boîtiers hardware, il y a aussi une offre
> virtuelle.
> >>>
> >>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>
> a écrit :
> >>>> Hello,
> >>>>
> >>>> On Fri, 25 Aug 2017 23:12:37 +
> >>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
> >>>>
> >>>>>> Raphael Maunier a écrit :
> >>>>>> Exemple sur mon forti :
> >>>>>   - https://ibb.co/ksLaXQ
> >>>>>   - https://ibb.co/guu2CQ
> >>>>>   - https://ibb.co/ny6tK5
> >>>>>   - https://ibb.co/bZsB6k
> >>>>>   - https://ibb.co/c5VLz5
> >>>>>   - https://ibb.co/f4kne5
> >>>>>
> >>>>> C'est bloqué avant le firewall, chez moi ;-)
> >>>>
> >>>> Tu as un firewall qui protege ton firewall ???
> >>>>
> >>>> Paul
> >>>>
> >>>>
> >>>> ---
> >>>> Liste de diffusion du FRnOG
> >>>> http://www.frnog.org/
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-29 Par sujet Julien Schafer 
La certification EAL2+ est quand même "sérieuse". C'est pas qlq chose qui 
s'obtient facilement et rapidement...

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Guillaume Tournat
Envoyé : lundi 28 août 2017 20:43
À : SIMANCAS Hugo <hugo.siman...@humansconnexion.com>
Cc : David Ponzone <david.ponz...@gmail.com>; Raphael Maunier 
<raph...@maunier.net>; Ludovic Scotti <tonton...@gmail.com>; Paul Rolland 
(ポール・ロラン) <rol+fr...@witbe.net>; Michel Py 
<mic...@arneill-py.sacramento.ca.us>; Frnog-tech <frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] firewall

Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est pas de 
la science fiction), quant au software, bonne question. Il doit s'appuyer sur 
plein de dépendances externes, et développer en interne ou en sous traitance ?

Donc cocorico, c'est un peu prématuré. 
Maintenant un éditeur non US, c'est à souligner car assez rare en effet. 



> Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> a 
> écrit :
> 
> Personne ne parle des StormShield (ex Netasq Arkoon), ils sont 
> Français et validé Anssi !!! Pour une fois qu'on a un bon produit cocorico ^^ 
> J'en pose depuis plusieurs années et leur gamme est assez large. Leur gros 
> avantage ce sont les perfs avec tous les modules utm d'activés.
> 
> Hugo
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
> part de David Ponzone Envoyé : dimanche 27 août 2017 15:36 À : Raphael 
> Maunier <raph...@maunier.net> Cc : Ludovic Scotti 
> <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net>; 
> Michel Py <mic...@arneill-py.sacramento.ca.us>; Frnog-tech 
> <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] firewall
> 
> Et Zyxel ?
> Ok je sors :)
> 
> David Ponzone
> 
> 
> 
>> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
>> 
>> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
>> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
>> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
>> gestion des règles avec les poids automatique c'était deja la galère à 
>> gérer. Et le support en France était très limité à l'époque J'y ai pas 
>> touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
>> 
>> Envoyé de mon iPhone
>> 
>>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>>> 
>>> Personne ne parle/place/utilise des UTM Watchguard ?
>>> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
>>> 
>>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>>> écrit :
>>>> Hello,
>>>> 
>>>> On Fri, 25 Aug 2017 23:12:37 +
>>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>>> 
>>>>>> Raphael Maunier a écrit :
>>>>>> Exemple sur mon forti :
>>>>>   - https://ibb.co/ksLaXQ 
>>>>>   - https://ibb.co/guu2CQ 
>>>>>   - https://ibb.co/ny6tK5 
>>>>>   - https://ibb.co/bZsB6k 
>>>>>   - https://ibb.co/c5VLz5 
>>>>>   - https://ibb.co/f4kne5
>>>>> 
>>>>> C'est bloqué avant le firewall, chez moi ;-)
>>>> 
>>>> Tu as un firewall qui protege ton firewall ???
>>>> 
>>>> Paul
>>>> 
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-28 Par sujet Guillaume Tournat 
Le hardware n'a rien de français (et les backdoors a ce niveau, ce n'est pas de 
la science fiction), quant au software, bonne question. Il doit s'appuyer sur 
plein de dépendances externes, et développer en interne ou en sous traitance ?

Donc cocorico, c'est un peu prématuré. 
Maintenant un éditeur non US, c'est à souligner car assez rare en effet. 



> Le 28 août 2017 à 15:24, SIMANCAS Hugo <hugo.siman...@humansconnexion.com> a 
> écrit :
> 
> Personne ne parle des StormShield (ex Netasq Arkoon), ils sont Français et 
> validé Anssi !!! Pour une fois qu'on a un bon produit cocorico ^^
> J'en pose depuis plusieurs années et leur gamme est assez large. Leur gros 
> avantage ce sont les perfs avec tous les modules utm d'activés.
> 
> Hugo
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
> David Ponzone
> Envoyé : dimanche 27 août 2017 15:36
> À : Raphael Maunier <raph...@maunier.net>
> Cc : Ludovic Scotti <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) 
> <rol+fr...@witbe.net>; Michel Py <mic...@arneill-py.sacramento.ca.us>; 
> Frnog-tech <frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] firewall
> 
> Et Zyxel ?
> Ok je sors :)
> 
> David Ponzone
> 
> 
> 
>> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
>> 
>> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
>> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
>> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
>> gestion des règles avec les poids automatique c'était deja la galère à 
>> gérer. Et le support en France était très limité à l'époque J'y ai pas 
>> touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
>> 
>> Envoyé de mon iPhone
>> 
>>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>>> 
>>> Personne ne parle/place/utilise des UTM Watchguard ?
>>> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
>>> 
>>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>>> écrit :
>>>> Hello,
>>>> 
>>>> On Fri, 25 Aug 2017 23:12:37 +
>>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>>> 
>>>>>> Raphael Maunier a écrit :
>>>>>> Exemple sur mon forti :
>>>>>   - https://ibb.co/ksLaXQ 
>>>>>   - https://ibb.co/guu2CQ 
>>>>>   - https://ibb.co/ny6tK5 
>>>>>   - https://ibb.co/bZsB6k 
>>>>>   - https://ibb.co/c5VLz5 
>>>>>   - https://ibb.co/f4kne5
>>>>> 
>>>>> C'est bloqué avant le firewall, chez moi ;-)
>>>> 
>>>> Tu as un firewall qui protege ton firewall ???
>>>> 
>>>> Paul
>>>> 
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-28 Par sujet SIMANCAS Hugo 
Personne ne parle des StormShield (ex Netasq Arkoon), ils sont Français et 
validé Anssi !!! Pour une fois qu'on a un bon produit cocorico ^^
J'en pose depuis plusieurs années et leur gamme est assez large. Leur gros 
avantage ce sont les perfs avec tous les modules utm d'activés.

Hugo


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : dimanche 27 août 2017 15:36
À : Raphael Maunier <raph...@maunier.net>
Cc : Ludovic Scotti <tonton...@gmail.com>; Paul Rolland (ポール・ロラン) 
<rol+fr...@witbe.net>; Michel Py <mic...@arneill-py.sacramento.ca.us>; 
Frnog-tech <frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] firewall

Et Zyxel ?
Ok je sors :)

David Ponzone



> Le 27 août 2017 à 17:31, Raphael Maunier <raph...@maunier.net> a écrit :
> 
> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
> ViaNetworks on en avait 500 en management ( on avait une offre mssp ) 
> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
> gestion des règles avec les poids automatique c'était deja la galère à gérer. 
> Et le support en France était très limité à l'époque J'y ai pas touché depuis 
> 2005 et pas vraiment envie d'y aller de nouveau !
> 
> Envoyé de mon iPhone
> 
>> Le 26 août 2017 à 15:11, Ludovic Scotti <tonton...@gmail.com> a écrit :
>> 
>> Personne ne parle/place/utilise des UTM Watchguard ?
>> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
>> 
>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a 
>>> écrit :
>>> Hello,
>>> 
>>> On Fri, 25 Aug 2017 23:12:37 +
>>> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
>>> 
>>>>> Raphael Maunier a écrit :
>>>>> Exemple sur mon forti :
>>>>- https://ibb.co/ksLaXQ 
>>>>- https://ibb.co/guu2CQ 
>>>>- https://ibb.co/ny6tK5 
>>>>- https://ibb.co/bZsB6k 
>>>>- https://ibb.co/c5VLz5 
>>>>- https://ibb.co/f4kne5
>>>> 
>>>> C'est bloqué avant le firewall, chez moi ;-)
>>> 
>>> Tu as un firewall qui protege ton firewall ???
>>> 
>>> Paul
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-27 Par sujet David Ponzone 
Et Zyxel ?
Ok je sors :)

David Ponzone



> Le 27 août 2017 à 17:31, Raphael Maunier  a écrit :
> 
> J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
> ViaNetworks on en avait 500 en management ( on avait une offre mssp )
> Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
> gestion des règles avec les poids automatique c'était deja la galère à gérer. 
> Et le support en France était très limité à l'époque 
> J'y ai pas touché depuis 2005 et pas vraiment envie d'y aller de nouveau !
> 
> Envoyé de mon iPhone
> 
>> Le 26 août 2017 à 15:11, Ludovic Scotti  a écrit :
>> 
>> Personne ne parle/place/utilise des UTM Watchguard ?
>> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
>> 
>>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン)  a 
>>> écrit :
>>> Hello,
>>> 
>>> On Fri, 25 Aug 2017 23:12:37 +
>>> Michel Py  wrote:
>>> 
> Raphael Maunier a écrit :
> Exemple sur mon forti :
- https://ibb.co/ksLaXQ 
- https://ibb.co/guu2CQ 
- https://ibb.co/ny6tK5 
- https://ibb.co/bZsB6k 
- https://ibb.co/c5VLz5 
- https://ibb.co/f4kne5
 
 C'est bloqué avant le firewall, chez moi ;-)
>>> 
>>> Tu as un firewall qui protege ton firewall ???
>>> 
>>> Paul
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-27 Par sujet Raphael Maunier 
J'ai eu une tonne de watchguard sous la main pendant 3 ans quand chez 
ViaNetworks on en avait 500 en management ( on avait une offre mssp )
Franchement, je n'y ai pas garde un souvenir impérissable ^^ leur méthode de 
gestion des règles avec les poids automatique c'était deja la galère à gérer. 
Et le support en France était très limité à l'époque 
J'y ai pas touché depuis 2005 et pas vraiment envie d'y aller de nouveau !

Envoyé de mon iPhone

> Le 26 août 2017 à 15:11, Ludovic Scotti  a écrit :
> 
> Personne ne parle/place/utilise des UTM Watchguard ?
> Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.
> 
>> Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン)  a 
>> écrit :
>> Hello,
>> 
>> On Fri, 25 Aug 2017 23:12:37 +
>> Michel Py  wrote:
>> 
>> > > Raphael Maunier a écrit :
>> > > Exemple sur mon forti :
>> >   - https://ibb.co/ksLaXQ 
>> >   - https://ibb.co/guu2CQ 
>> >   - https://ibb.co/ny6tK5 
>> >   - https://ibb.co/bZsB6k 
>> >   - https://ibb.co/c5VLz5 
>> >   - https://ibb.co/f4kne5
>> >
>> > C'est bloqué avant le firewall, chez moi ;-)
>> 
>> Tu as un firewall qui protege ton firewall ???
>> 
>> Paul
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-27 Par sujet yk+frnog 
On Sat, 26 Aug 2017 19:35:24 +
Michel Py  wrote:

> +-+-+
> | Chiottes énablés TCP/IP pour tirer la chasse avec |
> | une app Android, et générer un évenement syslog   |
> | à chaque fois, çà frime à mort avec les geeks.|
> +---+


Tu peux partager le modèle et les sources ? Je viens d'avoir une idée
contre ceux qui prennent une demi-heure sur le trône…


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-26 Par sujet Michel Py 
>>> Raphael Maunier a écrit :
>>> Exemple sur mon forti :  
>>> - https://ibb.co/ksLaXQ 
>> Michel Py a écrit :
>> C'est bloqué avant le firewall, chez moi ;-)
> Paul Rolland a écrit :
> Tu as un firewall qui protege ton firewall ???

En fait, oui.

[Dans ce cas précis, c'est Malwarebytes sur le PC qui a bloqué le lien de 
Raphael donc une autre couche de sécurité, mais..]

Ceci étant dit, dans mon modèle à la maison, le firewall n'est pas le premier 
dans la ligne de défense. Le firewall (Untangle récemment) est en mode bridge 
avec une IP privée et est protégé par le NAT du Cisco et plein de filtres BGP 
qui tuent les IP blacklistées directement à l'entrée. Donc les trucs genre 
bogons, C botnet et autres nuisances connues n'arrivent pas jusqu'au 
firewall. Le firewall, ils est au milieu de la chaine; dehors il y a BGP et 
dedans il y a host-based protection (Malwarebytes) et cloud (OpenDNS).

Faut que je m'en occupe, d'ailleurs. Depuis que j'ai changé pour untangle mon 
ExaBGP est dans les choux. Si j'ai fait çà, c'est pas vraiment pour protéger le 
firewall mais pour réduire le volume des logs. J'ai pas besoin (envie) de 
savoir que quelqu'un a hijacké un bogon ou que quelqu'un d'autre a un C de 
botnet ou qu'un abruti a un serveur pas patché depuis 3 ans sur la même IP; je 
sais que çà existe, c'est pas une raison pour perdre mon temps avec. La 
première défense du réseau, c'est le réseau.


+-/ Ze claoud \--+   +--/ Ze rézo local 
\---+
||   |  
|
|  +-+   +---+   +---++---+  |   |  
+---++---+  |
|  | FAI +---+ Modem |   | x || y |  |   |   Cafetière 
-+   +- Serveur   +---+ Switch Garage +  |
|  +-+   +---+---+   +-+-++-+-+  |   |  
| S ||   +---+  |
|| ||   ___ 
| W +- PCs   +---+  |
|++   +oo--/ Cisco \+   
| I ||+-- DVR   |
| |   |  Tu100Tu200 |   +-/Untangle\-+  
| T ++| |
| |   | NAT + Log   |   ||  
| C | +---+--+  |
|  +--+   +---+ G0/1Reflexive ACL  G0/0 +---+-Wan
Lan-+--+ H +-+ Wifi +--- Smart TV  |
|  |  Team Cymru  |   | |   |  +--br0-+  |  
|   | +-+-+--+  |
|  | FullBogon #1 +---+   |  eBGP   eBGP   eBGP   iBGP  |   |  | |  
|   +- Ooma | | |
|  +--+   |   +o--o--o--o---+   |   ExaBGP   |  
|   |   | +-- PC films  |
| ||  |  |   |   |  |   |  | |  
|   +- Pi   | Netflix   |
|  +--+   ++  |  |   |   |  |   +- | +  
|   |   |   |
|  |  Team Cymru  |   |  |   |   |  +--+
|   |   |   |
|  | FullBogon #2 +---+  |   |   |  
+-+-+   ((( o )))   (((geek)))  |
|  +--+  |   |   |  
  | |
||   |   |  
+-+-+   |
|  +--+  |   |   |  | Chiottes énablés 
TCP/IP pour tirer la chasse avec |   |
|  |   Bad IPs+--+   |   |  | une app Android, 
et générer un évenement syslog   |   |
|  |   BGP feed   |  |   |  | à chaque fois, çà 
frime à mort avec les geeks.|   |
|  +--+  |   |  
+---+   |
||   |  
|
++   
+--+

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-26 Par sujet Ludovic Scotti 
Personne ne parle/place/utilise des UTM Watchguard ?
Outre les traditionnels boîtiers hardware, il y a aussi une offre virtuelle.

Le 26 août 2017 à 09:57, Paul Rolland (ポール・ロラン)  a
écrit :

> Hello,
>
> On Fri, 25 Aug 2017 23:12:37 +
> Michel Py  wrote:
>
> > > Raphael Maunier a écrit :
> > > Exemple sur mon forti :
> >   - https://ibb.co/ksLaXQ
> >   - https://ibb.co/guu2CQ
> >   - https://ibb.co/ny6tK5
> >   - https://ibb.co/bZsB6k
> >   - https://ibb.co/c5VLz5
> >   - https://ibb.co/f4kne5
> >
> > C'est bloqué avant le firewall, chez moi ;-)
>
> Tu as un firewall qui protege ton firewall ???
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-26 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Fri, 25 Aug 2017 23:12:37 +
Michel Py  wrote:

> > Raphael Maunier a écrit :
> > Exemple sur mon forti :  
>   - https://ibb.co/ksLaXQ 
>   - https://ibb.co/guu2CQ 
>   - https://ibb.co/ny6tK5 
>   - https://ibb.co/bZsB6k 
>   - https://ibb.co/c5VLz5 
>   - https://ibb.co/f4kne5
> 
> C'est bloqué avant le firewall, chez moi ;-)

Tu as un firewall qui protege ton firewall ???

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-25 Par sujet Michel Py 
> Raphael Maunier a écrit :
> Exemple sur mon forti :
- https://ibb.co/ksLaXQ 
- https://ibb.co/guu2CQ 
- https://ibb.co/ny6tK5 
- https://ibb.co/bZsB6k 
- https://ibb.co/c5VLz5 
- https://ibb.co/f4kne5

C'est bloqué avant le firewall, chez moi ;-)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-24 Par sujet Gaëtan Ferez 
Je suis bien d’accord là dessus ! La WebUI est génial et plutôt bien complète. 
Elle répond tout à fait avec 80% des besoins.
Je suis le premier à créer la règle en mode webui.

Mais ça manque d’un mode expert quand même. Quand il faut toucher les conn 
timeout, la synchro HA ou autre spec, le webui ne sert plus.

Côté IPS/AV, rien à redire quand on voit le boulot qui est fait et le tps que 
ça leur prend (je suis en contact avec quelqu’un chez forti)

Gaëtan

> Le 24 août 2017 à 08:52, Raphael Maunier  a écrit :
> 
> Mais totalement pas d’accord.
> Je disais la meme chose avant 2010, Depuis l’avènement des fw next-gen et 
> tout ce que l’on voit passer, et surtout sur le nombre d’infra que tu dois 
> proteger, ce n’est plus possible de toute faire en CLI.
> Le cli t’apportera du debug bas niveau sur du routage et du tcpdump par ex 
> sur une if and cie.
> Lorsque tu dois comparer 15 souches de malwares, ransomwares avec en // une 
> attaque sournoise  d’un botnet ( souvent lié ), c’est mais beaucoup plus 
> lisible et facile à générer ton rapport ou regarder en live sur sur la gui
> Par ex, juste en faisant un google image tu as des examples ( pour moi 
> Palo-Alto a la meilleure GUI pour ça  )
>   - 
> http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg 
> 
>   - 
> http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg 
> 
> 
> Exemple sur mon forti :
>   - https://ibb.co/ksLaXQ  
>   - https://ibb.co/guu2CQ  
>   - https://ibb.co/ny6tK5  
>   - https://ibb.co/bZsB6k  
>   - https://ibb.co/c5VLz5  
>   - https://ibb.co/f4kne5 
> 
> Ensuite tout ce qui est application control, tu fais ça en CLI en debug avec 
> 2500 users derriere ? pas impossible, mais le temps de detecter la (nouvelle) 
> menace, le mal sera fait. Si tu veux regarder ce qui est en cours d’envoie 
> vers la sandbox des constructeurs ?
> 
> EN gros, tu vas passer ta vie à taper des commandes dans le cli ou avoir 40 
> shells ouverts et d’amuser à filter ou a thuner a mort ton shell pour faire 
> des “highlight” sur des informations importante. Et si tu en as une qui 
> passe, bam pareil, il faudra refaire un filtre pour retrouver la bonne info 
> etc etc
> 
> Un firewall ce n’est plus simplement un bête blocage de port in/out c’est 
> beaucoup plus, ça fait des années que c’est comme ça. Rester en 
> administration CLI, c’est ne plus être a jour sur les nouvelles menaces :)
> 
> Sur les licences a payer ? bah oui le modele a migré il y a qq années, Les 
> mecs ils ne font plus que construire des boiboites, c’est beaucoup de 
> chercheurs et beaucoup de mec qui bossent sur les attaques ( j’en ai parlé à 
> 2 ou 3, et franchement ils te font mal à la tete ), et surtout ils bossent 
> sur une partie corrélation qui devient de plus en plus importante.
> 
> Raphael
> 
>> On 24 Aug 2017, at 06:22, Michel Py > > wrote:
>> 
>>> Raphael Maunier a écrit :
>>> Un FW next-gen ne doit plus s'administrer en cli
>> 
>> Economiquement je suis d'accord (ce qui te donne raison) mais 
>> intellectuellement non.
>> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
>> m'envoie un message puissant qui est :
>> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
>> clickodrome, quelque part dans un pays qui coute pas cher.
>> 
>> Bon, je suis pas complètement innocent non plus, mais çà commence à me 
>> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et 
>> tous les autres) et que je perds des heures à expliquer à un abruti qui n'a 
>> jamais vu un firewall et qui me lit pendant des heures ce que Google m'avait 
>> dit 2 jours avant que j'appelle l'abruti en question.
>> 
>> Finalement, l'administration en CLI, c'est bien pratique pour trier les 
>> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en 
>> plastique à 100€ ou celui en métal à 1,000,000€.
>> 
>> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une 
>> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites 
>> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que 
>> j'aime le produit.
>> 
>> Michel.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/ 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-24 Par sujet Arthur Pellissier 
Ouaip Forti fonctionne vraiment pas mal, aujourd’hui pour faire du niveau 7 
pour nos clients on les mets sur un vHost de notre cluster hébergé… Après quand 
ils ont des besoins un peu plus spécifiques on redirige vers Palo Alto qui 
envoie vraiment du lourd pour le coup, mais aussi pour le coût… Donc à voir 
selon ce que tu souhaites faire avec ton firewall. 

cdt, 
Arthur

> Le 24 août 2017 à 13:41, Toussaint OTTAVI  a écrit :
> 
> 
> Le 23/08/2017 à 15:17, B Manu a écrit :
>> je deploie chez mes clients du soniwall
> 
> +1 pour SonicWALL. Super ergonomique. Je n'ai jamais eu besoin d'ouvrir une 
> doc. La société est un peu dans le creux de la vague depuis son rachat puis 
> sa revente par DELL. Il n'y a pratiquement pas eu de développements nouveaux 
> en 2 ans (à part un renouvellement de la gamme juste pour changer le logo en 
> face avant). Maintenant que SonicWALL a repris son indépendance, çà a l'air 
> de repartir sur de bons rails...
> 
> En revanche, çà n'existe pas en virtuel. Coté DC, je suis en "housing", donc 
> j'ai mis des boitiers physiques.
> 
> Récemment, j'ai découvert Fortinet par un confrère qui maîtrise ces 
> appareils. C'est un peu le même positionnement (routeur multifonction pour 
> site client, même OS avec différentes puissances). Par contre, à ce que j'ai 
> pu en voir, et avant d'avoir pu mettre les mains dedans, çà m'a l'air mieux 
> foutu que SonicWALL sur certains points, notamment :
> - existe en firewall virtuel (le firewall tourne dans une VM)
> - virtualisation interne (décomposition en petits firewalls virtuels, chacun 
> avec ses propres interfaces) (c'est génial, ce truc !!!)
> Je n'ai pas regardé les différences de prix. J'attends d'en avoir un sous la 
> main, et d'avoir un peu de temps à lui consacrer ;-)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-24 Par sujet Toussaint OTTAVI 


Le 23/08/2017 à 15:17, B Manu a écrit :

je deploie chez mes clients du soniwall


+1 pour SonicWALL. Super ergonomique. Je n'ai jamais eu besoin d'ouvrir 
une doc. La société est un peu dans le creux de la vague depuis son 
rachat puis sa revente par DELL. Il n'y a pratiquement pas eu de 
développements nouveaux en 2 ans (à part un renouvellement de la gamme 
juste pour changer le logo en face avant). Maintenant que SonicWALL a 
repris son indépendance, çà a l'air de repartir sur de bons rails...


En revanche, çà n'existe pas en virtuel. Coté DC, je suis en "housing", 
donc j'ai mis des boitiers physiques.


Récemment, j'ai découvert Fortinet par un confrère qui maîtrise ces 
appareils. C'est un peu le même positionnement (routeur multifonction 
pour site client, même OS avec différentes puissances). Par contre, à ce 
que j'ai pu en voir, et avant d'avoir pu mettre les mains dedans, çà m'a 
l'air mieux foutu que SonicWALL sur certains points, notamment :

- existe en firewall virtuel (le firewall tourne dans une VM)
- virtualisation interne (décomposition en petits firewalls virtuels, 
chacun avec ses propres interfaces) (c'est génial, ce truc !!!)
Je n'ai pas regardé les différences de prix. J'attends d'en avoir un 
sous la main, et d'avoir un peu de temps à lui consacrer ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-24 Par sujet Raphael Maunier 

Forcepoint ( ex stonesoft ), la gui de management avec la facilité 
d’administration, trouver des menaces était pour moi a l’epoque l’exemple à 
suivre.
Ils avaient facile 2 ou 3 ans d’avances sur les autres. On commence à peine à 
voir des fonctions qu’ils avaient en 2013 chez eux chez Juniper ou Fortinet. 
Apres, les multiples rachats ont eu raison de leur croissance, dommage c’est un 
super produit.
Je n’ai pas regardé depuis qu’ils s’appellent Forcepoint



> On 24 Aug 2017, at 08:15, Badbug  wrote:
> 
> Plutôt lecteur de la liste, mais pour une fois j'ai 2 cents sur le sujet.
> 
> Pour avoir jouer open source et solution éditeur, dans des infrastructures en 
> double Fw (avec et sans budget) :
> - Infra avec personnel compétent, iptable/nftable tuné à la misc, BSD avec PF 
> est une combi qui tient la route (webui pfsense incomplète, client) chibane 
> needed,
> 
> - grosse infrastructure, forcepoint (ex stonesoft, SMC pour le management au 
> dessus de la concurrence) et Palo tient très bien la route. Les maj palo sont 
> à valider dans des contextes SDN avant de claquer en prod (forcepoint les 
> yeux fermés en prod sur X boitiers).
> 
> Budget or people, that's the question.
> 
> Le 24 août 2017 6:22 AM, "Michel Py"  > a écrit :
> > Raphael Maunier a écrit :
> > Un FW next-gen ne doit plus s'administrer en cli
> 
> Economiquement je suis d'accord (ce qui te donne raison) mais 
> intellectuellement non.
> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
> m'envoie un message puissant qui est :
> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
> clickodrome, quelque part dans un pays qui coute pas cher.
> 
> Bon, je suis pas complètement innocent non plus, mais çà commence à me 
> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et tous 
> les autres) et que je perds des heures à expliquer à un abruti qui n'a jamais 
> vu un firewall et qui me lit pendant des heures ce que Google m'avait dit 2 
> jours avant que j'appelle l'abruti en question.
> 
> Finalement, l'administration en CLI, c'est bien pratique pour trier les 
> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en 
> plastique à 100€ ou celui en métal à 1,000,000€.
> 
> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une 
> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites 
> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que 
> j'aime le produit.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-24 Par sujet Raphael Maunier 
Mais totalement pas d’accord.
Je disais la meme chose avant 2010, Depuis l’avènement des fw next-gen et tout 
ce que l’on voit passer, et surtout sur le nombre d’infra que tu dois proteger, 
ce n’est plus possible de toute faire en CLI.
Le cli t’apportera du debug bas niveau sur du routage et du tcpdump par ex sur 
une if and cie.
Lorsque tu dois comparer 15 souches de malwares, ransomwares avec en // une 
attaque sournoise  d’un botnet ( souvent lié ), c’est mais beaucoup plus 
lisible et facile à générer ton rapport ou regarder en live sur sur la gui
Par ex, juste en faisant un google image tu as des examples ( pour moi 
Palo-Alto a la meilleure GUI pour ça  )
- 
http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg 

- 
http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg 


Exemple sur mon forti :
- https://ibb.co/ksLaXQ 
- https://ibb.co/guu2CQ 
- https://ibb.co/ny6tK5 
- https://ibb.co/bZsB6k 
- https://ibb.co/c5VLz5 
- https://ibb.co/f4kne5

Ensuite tout ce qui est application control, tu fais ça en CLI en debug avec 
2500 users derriere ? pas impossible, mais le temps de detecter la (nouvelle) 
menace, le mal sera fait. Si tu veux regarder ce qui est en cours d’envoie vers 
la sandbox des constructeurs ?

EN gros, tu vas passer ta vie à taper des commandes dans le cli ou avoir 40 
shells ouverts et d’amuser à filter ou a thuner a mort ton shell pour faire des 
“highlight” sur des informations importante. Et si tu en as une qui passe, bam 
pareil, il faudra refaire un filtre pour retrouver la bonne info etc etc

Un firewall ce n’est plus simplement un bête blocage de port in/out c’est 
beaucoup plus, ça fait des années que c’est comme ça. Rester en administration 
CLI, c’est ne plus être a jour sur les nouvelles menaces :)

Sur les licences a payer ? bah oui le modele a migré il y a qq années, Les mecs 
ils ne font plus que construire des boiboites, c’est beaucoup de chercheurs et 
beaucoup de mec qui bossent sur les attaques ( j’en ai parlé à 2 ou 3, et 
franchement ils te font mal à la tete ), et surtout ils bossent sur une partie 
corrélation qui devient de plus en plus importante.

Raphael

> On 24 Aug 2017, at 06:22, Michel Py  
> wrote:
> 
>> Raphael Maunier a écrit :
>> Un FW next-gen ne doit plus s'administrer en cli
> 
> Economiquement je suis d'accord (ce qui te donne raison) mais 
> intellectuellement non.
> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
> m'envoie un message puissant qui est :
> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
> clickodrome, quelque part dans un pays qui coute pas cher.
> 
> Bon, je suis pas complètement innocent non plus, mais çà commence à me 
> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et tous 
> les autres) et que je perds des heures à expliquer à un abruti qui n'a jamais 
> vu un firewall et qui me lit pendant des heures ce que Google m'avait dit 2 
> jours avant que j'appelle l'abruti en question.
> 
> Finalement, l'administration en CLI, c'est bien pratique pour trier les 
> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en 
> plastique à 100€ ou celui en métal à 1,000,000€.
> 
> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une 
> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites 
> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que 
> j'aime le produit.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Michel Py 
> Raphael Maunier a écrit :
> Un FW next-gen ne doit plus s'administrer en cli

Economiquement je suis d'accord (ce qui te donne raison) mais 
intellectuellement non.
Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà 
m'envoie un message puissant qui est :
Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un 
clickodrome, quelque part dans un pays qui coute pas cher.

Bon, je suis pas complètement innocent non plus, mais çà commence à me brouter 
quand j'appelle le support "Premium Enterprise" de Fortigate (et tous les 
autres) et que je perds des heures à expliquer à un abruti qui n'a jamais vu un 
firewall et qui me lit pendant des heures ce que Google m'avait dit 2 jours 
avant que j'appelle l'abruti en question.

Finalement, l'administration en CLI, c'est bien pratique pour trier les abrutis 
du tech-support, qui sont les mêmes que tu aies acheté le bousin en plastique à 
100€ ou celui en métal à 1,000,000€.

J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une vraie 
chiotte à changer de version, faut rebooter parce qu'il y a des fuites de 
mémoire. J'ai renouvelé ma license par faute de temps, pas parce que j'aime le 
produit.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Raphael Maunier 
Un FW next-gen ne doit plus s'administrer en cli ^^ c'était avant ça, je vois 
mal du debug de patern d'attaque sur du malware and Cie via Le cli.
La webui la mieux aboutie reste pour ce genre de chose Palo-Alto lorsque l'on 
se connecte directement sur le FW

Fortinet pousse tout sur le fortimanager ( management centralisé ) ou tu peux 
vraiment commencer à avoir des fonctionnalités intéressantes sur tout ce qui 
est analytic / correlation and Cie.
Le hic, Les licences. L'intérêt de Fortinet mis à par l'asic c'est les vdom, 
mais Avec Le fortimanager, dont Le model de licence est au nombre de firewall( 
dans la price-list ) , et bien en fait il  considère chaque vdom comme un 
firewall. Donc cette licence , devient a un moment un vrai frein au management 
centralisé et a tout ce qui est corrélation .

Chez Palo-Alto, c'est panorama , Le modèle de licence est identique ( de 
mémoire )
Chez Juniper, c'est pareil Avec security director.

Le cli Le plus abouti reste Juniper sur srx mais pour faire les règles et 
comprendre la logique des fois Ben ... t'as juste envie de prendre le dev de la 
webui et lui faire manger son clavier ( tout en en lui faisant des lowkick )

Le meilleur rapport prix/perf reste Fortinet si tu n'utilise pas toutes les 
fonctions UTM. Des que tu rajoutes les fonctions de filtrages appli Arif, tu 
fais un bon /10 sur les perfs ( validé Avec un injecteur de traffic L4-L7 )

Palo Alto, c'est super si tu as décidé de vendre un rein et de faire une 
hypothèque sur ta maison :)

Apres, il y'a Cisco ... non en fait non y a pas Cisco ^^

J'ai les 3 en prod ( et même du sophos qui traîne pour du lab ) pour des usages 
bien spécifiques mais des que tu demandes de faire le job de l'autre fireWall 
ben , tu fais tomber en marche et des fois pas naturellement ^^

J'ai même migré mon bureau @home sur un F60E Avec le full utm, apres 15 jours 
j'ai commencé à virer des règles et des fonctions UTM alors que sur du sophos 
ça juste marchait mais avec des perfs ridicules.
Des fois les forti, il faut rebooter pour que ça refonctionne ( quand tu as 
l'utm car sans c'est relativement stable )
 

Envoyé de mon iPhone

> Le 23 août 2017 à 23:35, Gaëtan Ferez  a écrit :
> 
> Bonjour,
> 
> On a cluster N2 de FG100D avec 2 VDOM (nécessité lié à du routage asymétrique 
> historique). Ca bronche pas d’un poil.
> 
> On a la formule AV/IPS qui reste assez efficace sur les différents tests que 
> l’on a essayé.
> 
> Le WebUI est bien pratique mais la puissance du fw reste dans la CLI qui 
> permet d’être très très pointilleux.
> Côté log, ca reste exploitable mais c’est vite compliqué si l’on veut faire 
> de l’analyse poussé.
> 
> Gaëtan
> 
> 
>> Le 23 août 2017 à 19:32, tcccorp  a écrit :
>> 
>> Bonjour ,
>> 
>> 
>> J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
>> C'est très complet
>> 
>> Néanmoins j'ai quelques petites remarques :
>> 
>> - pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
>> - dans cette version , pas de disque non plus ,  donc c'est très limité
>> pour les logs,  il faut passer par un syslog ou un forti anlyser.
>> - les modifications sont prises en direct dès validation contrairement à
>> pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
>> un moment choisi
>> - la licence est incluse ,  en général,  la première année,  mais après ca
>> coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
>> comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
>> est troué vous avez intérêt à avoir une maintenance
>> - si vous voulez changer de version,  regardez bien les différentes étapes
>> à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
>> )
>> - en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
>> du mettre un  AP annexe pour corriger ça
>> 
>> J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
>> se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
>> cli .
>> 
>> Au niveau consommation, je pense qu un 60d consomme moins qu un pc .
>> 
>> 
>> Je parle bien de petite structure..après  si on monte en gamme ,  avec un
>> fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
>> c'est une autre histoire
>> 
>> 
>> 
>> Le 23 août 2017 17:58, "David Ponzone"  a écrit :
>> 
>>> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
>>> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
>>> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
>>> lire la doc.
>>> C'est assez bluffant de simplicité.
>>> Ca se corse juste un peu sur la partie logging/reporting qui manque de
>>> clarté je trouve.
>>> 
>>> David Ponzone
>>> 
>>> 
>>> 
 Le 23 août 2017 à 21:25, B Manu  a écrit :
 
 oui j'ai vu fortinet,
 est ce que quelqu'un a deja utilise la

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Gaëtan Ferez 
Bonjour,

On a cluster N2 de FG100D avec 2 VDOM (nécessité lié à du routage asymétrique 
historique). Ca bronche pas d’un poil.

On a la formule AV/IPS qui reste assez efficace sur les différents tests que 
l’on a essayé.

Le WebUI est bien pratique mais la puissance du fw reste dans la CLI qui permet 
d’être très très pointilleux.
Côté log, ca reste exploitable mais c’est vite compliqué si l’on veut faire de 
l’analyse poussé.

Gaëtan


> Le 23 août 2017 à 19:32, tcccorp  a écrit :
> 
> Bonjour ,
> 
> 
> J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
> C'est très complet
> 
> Néanmoins j'ai quelques petites remarques :
> 
> - pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
> - dans cette version , pas de disque non plus ,  donc c'est très limité
> pour les logs,  il faut passer par un syslog ou un forti anlyser.
> - les modifications sont prises en direct dès validation contrairement à
> pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
> un moment choisi
> - la licence est incluse ,  en général,  la première année,  mais après ca
> coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
> comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
> est troué vous avez intérêt à avoir une maintenance
> - si vous voulez changer de version,  regardez bien les différentes étapes
> à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
> )
> - en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
> du mettre un  AP annexe pour corriger ça
> 
> J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
> se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
> cli .
> 
> Au niveau consommation, je pense qu un 60d consomme moins qu un pc .
> 
> 
> Je parle bien de petite structure..après  si on monte en gamme ,  avec un
> fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
> c'est une autre histoire
> 
> 
> 
> Le 23 août 2017 17:58, "David Ponzone"  a écrit :
> 
>> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
>> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
>> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
>> lire la doc.
>> C'est assez bluffant de simplicité.
>> Ca se corse juste un peu sur la partie logging/reporting qui manque de
>> clarté je trouve.
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 23 août 2017 à 21:25, B Manu  a écrit :
>>> 
>>> oui j'ai vu fortinet,
>>> est ce que quelqu'un a deja utilise la solution virtual domain sur
>> fortinet
>>> je sais que palo alto network a le meme change de fonction
>>> avoir plusieurs firewall sous un seul bati
>>> 
 Le 23 août 2017 à 15:17, B Manu  a écrit :
 
 Bonjour,
 
 je deploie chez mes clients du soniwall
 pour le budget je recherche une bonne solution (sans emmerde) enfin
 j'espere
 j'ai de la place pour le hardware il me faudrait multi tenant
 virtualisation pas de soucis j'ai la structure
 
> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
> 
> Bonjour,
> 
> ça dépend de beaucoup de chose :
> 
> - as-tu des expériences avec les firewalls si oui quels systeme ?
> 
> - Quel est ton budget ?
> 
> - As-tu de la place physiquement ?
> 
> - As-tu de la capacité de virtualisation?
> 
> 
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est
>> un
> des meilleurs firewall soft en virtu qui est aussi capable que les
>> payants
> mais en opensource.
> 
> Dans le cas de solution physique comme j'ai pour les sites distants
> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que
>> bas
> dans la gamme ya des bugs ... :/
> 
> 
> n'hésites pas à revenir vers la liste 
> 
> 
> 
> --
> *TUTARD Nathan *
> 
> 
> 
> 
> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur
>> DIFFE
> et BAFA*
> nathan33...@live.fr, 07.60.08.58.60
> 
> 
> --
> *De :* frnog-requ...@frnog.org  de la part
>> de B
> Manu 
> *Envoyé :* mercredi 23 août 2017 14:53
> *À :* Frnog-tech
> *Objet :* [FRnOG] [TECH] firewall
> 
> Bonjour,
> 
> je suis entrain de rechercher une solution de firewall(hardware ou
> virtuel)
> pour proposer
> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> la solution serai  heberge dans DC
> 
> quel solution pouvez-vous me conseille ou deconseiller
> ou votre retour d'experience
> 
> Merci d'avance.
> 
> Cordialement,
>

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet tcccorp 
Bonjour ,


J'ai un 60d wifi à la maison et c'est franchement bien pour mon besoin .
C'est très complet

Néanmoins j'ai quelques petites remarques :

- pas d asic ou puces d'accélération, le cpu monte vite surtout  en webui.
 - dans cette version , pas de disque non plus ,  donc c'est très limité
pour les logs,  il faut passer par un syslog ou un forti anlyser.
- les modifications sont prises en direct dès validation contrairement à
pfsense ou l'on peut modifier autant de chose que l'on veut et appliquer à
un moment choisi
- la licence est incluse ,  en général,  la première année,  mais après ca
coûte assez  cher  ( je trouve ) . Bien sur ça couvre beaucoup de choses
comme la partie ids,  av, ... ainsi que l'upgrade soft.  Du coup si l os
est troué vous avez intérêt à avoir une maintenance
- si vous voulez changer de version,  regardez bien les différentes étapes
à respecter sous peine de perdre votre boîtier  ( c'est pas propre à forti
)
- en ce qui me concerne,  je trouve que le wifi n'est pas très bon . J'ai
du mettre un  AP annexe pour corriger ça

J'aime bien aussi pfsense  (ou le fork opnsense).  Avec un petit pc  ,  ça
se monte assez vite et tout est dispo en Webui si vous êtes allergiques au
cli .

Au niveau consommation, je pense qu un 60d consomme moins qu un pc .


Je parle bien de petite structure..après  si on monte en gamme ,  avec un
fortimanager ,  un fortianalyser,  un 1500d ,  avec des interfaces 10g ,
 c'est une autre histoire



Le 23 août 2017 17:58, "David Ponzone"  a écrit :

> Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu
> ajouter un VDOM pour un client avec un VPN MPLS, avec du NAT sur
> l'interface virtuelle entre le VDOM du client et le VDOM root, sans même
> lire la doc.
> C'est assez bluffant de simplicité.
> Ca se corse juste un peu sur la partie logging/reporting qui manque de
> clarté je trouve.
>
> David Ponzone
>
>
>
> > Le 23 août 2017 à 21:25, B Manu  a écrit :
> >
> > oui j'ai vu fortinet,
> > est ce que quelqu'un a deja utilise la solution virtual domain sur
> fortinet
> > je sais que palo alto network a le meme change de fonction
> > avoir plusieurs firewall sous un seul bati
> >
> >> Le 23 août 2017 à 15:17, B Manu  a écrit :
> >>
> >> Bonjour,
> >>
> >> je deploie chez mes clients du soniwall
> >> pour le budget je recherche une bonne solution (sans emmerde) enfin
> >> j'espere
> >> j'ai de la place pour le hardware il me faudrait multi tenant
> >> virtualisation pas de soucis j'ai la structure
> >>
> >>> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
> >>>
> >>> Bonjour,
> >>>
> >>> ça dépend de beaucoup de chose :
> >>>
> >>> - as-tu des expériences avec les firewalls si oui quels systeme ?
> >>>
> >>> - Quel est ton budget ?
> >>>
> >>> - As-tu de la place physiquement ?
> >>>
> >>> - As-tu de la capacité de virtualisation?
> >>>
> >>>
> >>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est
> un
> >>> des meilleurs firewall soft en virtu qui est aussi capable que les
> payants
> >>> mais en opensource.
> >>>
> >>> Dans le cas de solution physique comme j'ai pour les sites distants
> >>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que
> bas
> >>> dans la gamme ya des bugs ... :/
> >>>
> >>>
> >>> n'hésites pas à revenir vers la liste 
> >>>
> >>>
> >>>
> >>> --
> >>> *TUTARD Nathan *
> >>>
> >>>
> >>>
> >>>
> >>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
> >>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur
> DIFFE
> >>> et BAFA*
> >>> nathan33...@live.fr, 07.60.08.58.60
> >>>
> >>>
> >>> --
> >>> *De :* frnog-requ...@frnog.org  de la part
> de B
> >>> Manu 
> >>> *Envoyé :* mercredi 23 août 2017 14:53
> >>> *À :* Frnog-tech
> >>> *Objet :* [FRnOG] [TECH] firewall
> >>>
> >>> Bonjour,
> >>>
> >>> je suis entrain de rechercher une solution de firewall(hardware ou
> >>> virtuel)
> >>> pour proposer
> >>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> >>> la solution serai  heberge dans DC
> >>>
> >>> quel solution pouvez-vous me conseille ou deconseiller
> >>> ou votre retour d'experience
> >>>
> >>> Merci d'avance.
> >>>
> >>> Cordialement,
> >>>
> >>> manu
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet David Ponzone 
Ça fonctionne à merveille, et à vrai dire, la première fois, j'ai pu ajouter un 
VDOM pour un client avec un VPN MPLS, avec du NAT sur l'interface virtuelle 
entre le VDOM du client et le VDOM root, sans même lire la doc.
C'est assez bluffant de simplicité.
Ca se corse juste un peu sur la partie logging/reporting qui manque de clarté 
je trouve.

David Ponzone



> Le 23 août 2017 à 21:25, B Manu  a écrit :
> 
> oui j'ai vu fortinet,
> est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
> je sais que palo alto network a le meme change de fonction
> avoir plusieurs firewall sous un seul bati
> 
>> Le 23 août 2017 à 15:17, B Manu  a écrit :
>> 
>> Bonjour,
>> 
>> je deploie chez mes clients du soniwall
>> pour le budget je recherche une bonne solution (sans emmerde) enfin
>> j'espere
>> j'ai de la place pour le hardware il me faudrait multi tenant
>> virtualisation pas de soucis j'ai la structure
>> 
>>> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
>>> 
>>> Bonjour,
>>> 
>>> ça dépend de beaucoup de chose :
>>> 
>>> - as-tu des expériences avec les firewalls si oui quels systeme ?
>>> 
>>> - Quel est ton budget ?
>>> 
>>> - As-tu de la place physiquement ?
>>> 
>>> - As-tu de la capacité de virtualisation?
>>> 
>>> 
>>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
>>> des meilleurs firewall soft en virtu qui est aussi capable que les payants
>>> mais en opensource.
>>> 
>>> Dans le cas de solution physique comme j'ai pour les sites distants
>>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que bas
>>> dans la gamme ya des bugs ... :/
>>> 
>>> 
>>> n'hésites pas à revenir vers la liste 
>>> 
>>> 
>>> 
>>> --
>>> *TUTARD Nathan *
>>> 
>>> 
>>> 
>>> 
>>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
>>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE
>>> et BAFA*
>>> nathan33...@live.fr, 07.60.08.58.60
>>> 
>>> 
>>> --
>>> *De :* frnog-requ...@frnog.org  de la part de B
>>> Manu 
>>> *Envoyé :* mercredi 23 août 2017 14:53
>>> *À :* Frnog-tech
>>> *Objet :* [FRnOG] [TECH] firewall
>>> 
>>> Bonjour,
>>> 
>>> je suis entrain de rechercher une solution de firewall(hardware ou
>>> virtuel)
>>> pour proposer
>>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>>> la solution serai  heberge dans DC
>>> 
>>> quel solution pouvez-vous me conseille ou deconseiller
>>> ou votre retour d'experience
>>> 
>>> Merci d'avance.
>>> 
>>> Cordialement,
>>> 
>>> manu
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet David Ponzone 
L'inconvénient de la solution virtu chez Forti est le prix: absolument pas 
intéressant vu la limite en vCPU et vRAM imposée.
Je ne sais pas qui est la cible mais d'après ce que j'ai compris, pas les SP.

David Ponzone



> Le 23 août 2017 à 21:45, Guillaume Tournat  a écrit :
> 
>> Le 23/08/2017 à 15:25, B Manu a écrit :
>> oui j'ai vu fortinet,
>> est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
>> je sais que palo alto network a le meme change de fonction
>> avoir plusieurs firewall sous un seul bati
> 
> ca fonctionne aussi pour les appliances virtuelles, mais c'est moins 
> performant (notamment pour l'UTM)
> car sous forme de VM, il n'y a pas de SPU (les ASIC, coprocesseurs 
> d'accélération réseau NP et content CP).
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Aladin FABIOUX 
Salut, 
J'utilisais aussi beaucoup Pfsense qui est vraiment très intéressant et 
puissant (et opensource:-)) 
Sinon maintenant j'utilise Clavister, des Suedois qui proposent des solutions 
aussi bien virtuelles que hard. Vraiment pas mal comme outils. Pour le support 
uniquement en Anglais.
Ce n'est pas très cher (une V3 pour 1000€ pour 3 ans ...)

Al.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain Faivre
Envoyé : mercredi 23 août 2017 16:11
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] firewall

pfSense marche très bien aussi en hardware, soit sur du petit matos :
http://store.viatitude.com/fr/pfsense-firewall-appliance/27-sg-1000-netgate-pfsense-security-gateway-appliance.html
ou du gros :
http://store.viatitude.com/fr/pfsense-firewall-appliance/25-xg-2758-1u-pfsense-security-gateway-appliance.html

(NB. Je n'ai pas d'expérience de ce vendeur, simple résultat d'une recherche. 
Dans un boulot précédent, j'en administrais sur une appliance qui ne se vend 
plus aujourd'hui)

Au passage, question naïve sur Fortinet, n'ayant jamais utilisé : tout le monde 
en parle, mais quel est l'avantage ? Ca tient aux modules proposés pour faire 
plein de choses (IDS, WAF, etc.) ? Est-ce utile si on a déjà des outils qui 
font ça ?


Sylvain Faivre
Administrateur systèmes et réseaux
CIRM - UMS 822 - CNRS/SMF
Tél. 04.91.83.30.23
On 08/23/2017 03:06 PM, Nathan TUTARD wrote:
> Bonjour,
> 
> ça dépend de beaucoup de chose :
> 
> - as-tu des expériences avec les firewalls si oui quels systeme ?
> 
> - Quel est ton budget ?
> 
> - As-tu de la place physiquement ?
> 
> - As-tu de la capacité de virtualisation?
> 
> 
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
> meilleurs firewall soft en virtu qui est aussi capable que les payants mais 
> en opensource.
> 
> Dans le cas de solution physique comme j'ai pour les sites distants 
> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que 
> bas dans la gamme ya des bugs ... :/
> 
> 
> n'hésites pas à revenir vers la liste 
> 
> 
> 
> 
> --
> TUTARD Nathan
> 
> Master 2 Réseau et télécommunication à l'université Pierre et Marie 
> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur 
> DIFFE et BAFA nathan33...@live.fr<mailto:nathan33...@live.fr>, 
> 07.60.08.58.60
> 
> 
> 
> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de B 
> Manu <bmanu...@gmail.com> Envoyé : mercredi 23 août 2017 14:53 À : 
> Frnog-tech Objet : [FRnOG] [TECH] firewall
> 
> Bonjour,
> 
> je suis entrain de rechercher une solution de firewall(hardware ou 
> virtuel) pour proposer a mes clients sur un lien SDSL ou fibre ou sur 
> un VPN MPLS la solution serai  heberge dans DC
> 
> quel solution pouvez-vous me conseille ou deconseiller ou votre retour 
> d'experience
> 
> Merci d'avance.
> 
> Cordialement,
> 
> manu
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Sylvain Faivre 

pfSense marche très bien aussi en hardware, soit sur du petit matos :
http://store.viatitude.com/fr/pfsense-firewall-appliance/27-sg-1000-netgate-pfsense-security-gateway-appliance.html
ou du gros :
http://store.viatitude.com/fr/pfsense-firewall-appliance/25-xg-2758-1u-pfsense-security-gateway-appliance.html

(NB. Je n'ai pas d'expérience de ce vendeur, simple résultat d'une 
recherche. Dans un boulot précédent, j'en administrais sur une appliance 
qui ne se vend plus aujourd'hui)


Au passage, question naïve sur Fortinet, n'ayant jamais utilisé : tout 
le monde en parle, mais quel est l'avantage ? Ca tient aux modules 
proposés pour faire plein de choses (IDS, WAF, etc.) ? Est-ce utile si 
on a déjà des outils qui font ça ?



Sylvain Faivre
Administrateur systèmes et réseaux
CIRM - UMS 822 - CNRS/SMF
Tél. 04.91.83.30.23
On 08/23/2017 03:06 PM, Nathan TUTARD wrote:

Bonjour,

ça dépend de beaucoup de chose :

- as-tu des expériences avec les firewalls si oui quels systeme ?

- Quel est ton budget ?

- As-tu de la place physiquement ?

- As-tu de la capacité de virtualisation?


Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
meilleurs firewall soft en virtu qui est aussi capable que les payants mais en 
opensource.

Dans le cas de solution physique comme j'ai pour les sites distants j'aime bien 
juniper ou fortinet mais forti a un inconvénient c'est que bas dans la gamme ya 
des bugs ... :/


n'hésites pas à revenir vers la liste 




--
TUTARD Nathan

Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
Administrateur Réseau à Prescom
Trésorier de l'AB2G
Animateur DIFFE et BAFA
nathan33...@live.fr, 07.60.08.58.60



De : frnog-requ...@frnog.org  de la part de B Manu 

Envoyé : mercredi 23 août 2017 14:53
À : Frnog-tech
Objet : [FRnOG] [TECH] firewall

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Guillaume Tournat 

Le 23/08/2017 à 15:25, B Manu a écrit :

oui j'ai vu fortinet,
est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
je sais que palo alto network a le meme change de fonction
avoir plusieurs firewall sous un seul bati


ca fonctionne aussi pour les appliances virtuelles, mais c'est moins 
performant (notamment pour l'UTM)
car sous forme de VM, il n'y a pas de SPU (les ASIC, coprocesseurs 
d'accélération réseau NP et content CP).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet B Manu 
oui j'ai vu fortinet,
est ce que quelqu'un a deja utilise la solution virtual domain sur fortinet
je sais que palo alto network a le meme change de fonction
avoir plusieurs firewall sous un seul bati

Le 23 août 2017 à 15:17, B Manu  a écrit :

> Bonjour,
>
> je deploie chez mes clients du soniwall
> pour le budget je recherche une bonne solution (sans emmerde) enfin
> j'espere
> j'ai de la place pour le hardware il me faudrait multi tenant
> virtualisation pas de soucis j'ai la structure
>
> Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :
>
>> Bonjour,
>>
>> ça dépend de beaucoup de chose :
>>
>> - as-tu des expériences avec les firewalls si oui quels systeme ?
>>
>> - Quel est ton budget ?
>>
>> - As-tu de la place physiquement ?
>>
>> - As-tu de la capacité de virtualisation?
>>
>>
>> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
>> des meilleurs firewall soft en virtu qui est aussi capable que les payants
>> mais en opensource.
>>
>> Dans le cas de solution physique comme j'ai pour les sites distants
>> j'aime bien juniper ou fortinet mais forti a un inconvénient c'est que bas
>> dans la gamme ya des bugs ... :/
>>
>>
>> n'hésites pas à revenir vers la liste 
>>
>>
>>
>> --
>> *TUTARD Nathan *
>>
>>
>>
>>
>> *Master 2 Réseau et télécommunication à l'université Pierre et Marie
>> Curie Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE
>> et BAFA*
>> nathan33...@live.fr, 07.60.08.58.60
>>
>>
>> --
>> *De :* frnog-requ...@frnog.org  de la part de B
>> Manu 
>> *Envoyé :* mercredi 23 août 2017 14:53
>> *À :* Frnog-tech
>> *Objet :* [FRnOG] [TECH] firewall
>>
>> Bonjour,
>>
>> je suis entrain de rechercher une solution de firewall(hardware ou
>> virtuel)
>> pour proposer
>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>> la solution serai  heberge dans DC
>>
>> quel solution pouvez-vous me conseille ou deconseiller
>> ou votre retour d'experience
>>
>> Merci d'avance.
>>
>> Cordialement,
>>
>> manu
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Guillaume Tournat 

Le 23/08/2017 à 15:17, B Manu a écrit :

Bonjour,

je deploie chez mes clients du soniwall
pour le budget je recherche une bonne solution (sans emmerde) enfin j'espere
j'ai de la place pour le hardware il me faudrait multi tenant
virtualisation pas de soucis j'ai la structure



les firewalls Fortinet sont multi tenants (fonctionnalité virtual 
domains, ou vdoms) :

- jusqu'à 5 sur les petits < FGT60    (sans licence)
- jusqu'à 10 sur les moyens < FGT1000D    (sans licence)
- jusqu'à 250 sur les modèles < FGT2000E    (avec licence au-delà de 10)
- jusqu'à 500 sur les plus gros modèles    (avec licence au-delà de 10)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Emmanuel BLANC 
Bonjour,

Nous sommes revendeur certifié FORTINET, je suis de ton avis Salim. Par
contre attention, les produits disponibles sur firewallshop sont des
produits qui ne proviennent pas du marché français. Donc pas possible de
mettre des licences et de les renouveler.

A ta dispo Manu si tu veux un devis.

Manu




Le 23 août 2017 à 15:09, Salim Gasmi sa...@sdv.fr> a écrit :

> Bonjour,
>
> Perso, je suis un inconditionnel de Fortinet.
> Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
> C'est simple de prise en main et ca fait a peu près tout ce que tu peux
> vouloir d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
> A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et
> je suis content du petit comme des gros depuis plus de 10 ans.
>
> La matrice des appliances: https://www.fortinet.com/conte
> nt/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
> Une idée de prix : http://www.firewallshop.fr/
>
> Salim
>
>
>
> Le 23/08/2017 à 14:53, B Manu a écrit :
>
>> Bonjour,
>>
>> je suis entrain de rechercher une solution de firewall(hardware ou
>> virtuel)
>> pour proposer
>> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
>> la solution serai  heberge dans DC
>>
>> quel solution pouvez-vous me conseille ou deconseiller
>> ou votre retour d'experience
>>
>> Merci d'avance.
>>
>> Cordialement,
>>
>> manu
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> --
> Salim GASMI
> Directeur Technique
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> --
>
> *SdV Plurimedia *
> 15, rue de la Nuée Bleue
> 67000 Strasbourg
> T. 03 88 75 80 50
> F. 03 88 23 56 32
>
> sa...@sdv.fr   NocSdV 
>LinkedIn 
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Guillaume Tournat 

Bonjour,

Même avis sur Fortinet, très bons produits. Même OS sur toute la gamme, 
donc le scale up est très simple.

Il faudrait préciser le besoin pour qualifier le modèle nécessaire.


Le 23/08/2017 à 15:09, Salim Gasmi a écrit :

Bonjour,

Perso, je suis un inconditionnel de Fortinet.
Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
C'est simple de prise en main et ca fait a peu près tout ce que tu 
peux vouloir d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros 
et je suis content du petit comme des gros depuis plus de 10 ans.


La matrice des appliances: 
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

Une idée de prix : http://www.firewallshop.fr/

Salim


Le 23/08/2017 à 14:53, B Manu a écrit :

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou 
virtuel) pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS la 
solution serait heberge dans DC


quel solution pouvez-vous me conseille ou deconseiller ou votre 
retour d'experience


Merci d'avance.

Cordialement,

manu





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet B Manu 
Bonjour,

je deploie chez mes clients du soniwall
pour le budget je recherche une bonne solution (sans emmerde) enfin j'espere
j'ai de la place pour le hardware il me faudrait multi tenant
virtualisation pas de soucis j'ai la structure

Le 23 août 2017 à 15:06, Nathan TUTARD  a écrit :

> Bonjour,
>
> ça dépend de beaucoup de chose :
>
> - as-tu des expériences avec les firewalls si oui quels systeme ?
>
> - Quel est ton budget ?
>
> - As-tu de la place physiquement ?
>
> - As-tu de la capacité de virtualisation?
>
>
> Dans le cas de solution virtu je te suggère pfsense qui selon moi est un
> des meilleurs firewall soft en virtu qui est aussi capable que les payants
> mais en opensource.
>
> Dans le cas de solution physique comme j'ai pour les sites distants j'aime
> bien juniper ou fortinet mais forti a un inconvénient c'est que bas dans la
> gamme ya des bugs ... :/
>
>
> n'hésites pas à revenir vers la liste 
>
>
>
> --
> *TUTARD Nathan *
>
>
>
>
> *Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
> Administrateur Réseau à Prescom Trésorier de l'AB2G Animateur DIFFE et BAFA*
> nathan33...@live.fr, 07.60.08.58.60
>
>
> --
> *De :* frnog-requ...@frnog.org  de la part de B
> Manu 
> *Envoyé :* mercredi 23 août 2017 14:53
> *À :* Frnog-tech
> *Objet :* [FRnOG] [TECH] firewall
>
> Bonjour,
>
> je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
> pour proposer
> a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
> la solution serai  heberge dans DC
>
> quel solution pouvez-vous me conseille ou deconseiller
> ou votre retour d'experience
>
> Merci d'avance.
>
> Cordialement,
>
> manu
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Salim Gasmi 

Bonjour,

Perso, je suis un inconditionnel de Fortinet.
Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
C'est simple de prise en main et ca fait a peu près tout ce que tu peux vouloir 
d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et je 
suis content du petit comme des gros depuis plus de 10 ans.

La matrice des appliances: 
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
Une idée de prix : http://www.firewallshop.fr/

Salim


Le 23/08/2017 à 14:53, B Manu a écrit :

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr NocSdV    
LinkedIn 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

2017-08-23 Par sujet Nathan TUTARD 
Bonjour,

ça dépend de beaucoup de chose :

- as-tu des expériences avec les firewalls si oui quels systeme ?

- Quel est ton budget ?

- As-tu de la place physiquement ?

- As-tu de la capacité de virtualisation?


Dans le cas de solution virtu je te suggère pfsense qui selon moi est un des 
meilleurs firewall soft en virtu qui est aussi capable que les payants mais en 
opensource.

Dans le cas de solution physique comme j'ai pour les sites distants j'aime bien 
juniper ou fortinet mais forti a un inconvénient c'est que bas dans la gamme ya 
des bugs ... :/


n'hésites pas à revenir vers la liste 




--
TUTARD Nathan

Master 2 Réseau et télécommunication à l'université Pierre et Marie Curie
Administrateur Réseau à Prescom
Trésorier de l'AB2G
Animateur DIFFE et BAFA
nathan33...@live.fr, 07.60.08.58.60



De : frnog-requ...@frnog.org  de la part de B Manu 

Envoyé : mercredi 23 août 2017 14:53
À : Frnog-tech
Objet : [FRnOG] [TECH] firewall

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-16 Par sujet sbu123fr 
Hello,

Et bien pour avoir pratiqué pendant 2 mois assidument.

L’interface est un tableur ni plus ni moins, pas ergonomique lente,  upgrade 
laborieuse (comme check point). Tu créé des règles qui après arrêt relance de 
la webui ont changé de place, c’est flippant. Ou des commentaires qui se 
déplace.

On dirait FWbuilder au tout début.

Un seule truc bien le mode de simulation de trafic (en cli)  car en webui il 
fonctionne quand il a le temps….

Plantage sporadique du FW lorsqu’on active les log dans un certain mode, 
bascule incompréhensible en mode HA.

Oui je parle bien de Cisco c’est incompréhensible venant d’eux.

Une règle peut représenter 80 ACL effective…

Et pour connaitre pas mal de personnes « enchainé »  Cisco qui l’ont intégré en 
prod. Ils ont tous été forcé de migrer vers d’autres techno. Et je parle de 
très très grand groupes. Hormis un, mais qui ne connait rien d’autre 
malheureusement pour les exploitants….

(Et Je ne suis pas un anti Cisco)

SBU

 

 

 

 

De : Joe Yabuki [mailto:joeyabuki...@gmail.com] 
Envoyé : vendredi 13 novembre 2015 20:02
À : Sylvain sbu
Cc : Rodolphe VIENCO; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

 

Sylvain, tu peux approfondir la phrase " A part Cisco ASA qui est à mon sans 
une hérésie quelque soit la prod." ? D'un point de vu expérience je veux dire, 
j'entends souvent les gens critiquer ASA sans forcement argumenter...

Joe.

 

2015-11-13 18:41 GMT+01:00 Sylvain sbu <sbu12...@gmail.com>:

Bonjour,
Je travaille aujourd'hui sur du PaloAlto, Stonesoft, Cisco ASA, check
point, Juniper SRX (Pas Fortinet).
En faite tout dépend de ce que tu a comme environnement, volumétrie (nombre
de FW a gérer) débit type de trafic, expérience des ressources humaine.
Chaque techno répond à un besoin très bien, et moins pour un autre. A part
Cisco ASA qui est à mon sans une hérésie quelque soit la prod.
Entre PaloAlto et Check point ce que je vois comme différence flagrante
c'est l'exploitabilité niveau 2 (Upgrade, restor from crash, installation)
bien plus simple avec Palo Alto.
Et les vus sur les stats, plus toufu sous PaloAlto, par contre le debug est
bien mieux sous Checkpoint. Chekpoint et plus véloce aussi à trafic
équivalent et "boite équivalentes"
La management lorsqu'on a un gros volume de FW à gérer est kif kif. Et a
mon avis les 2 seules exploitablent dans la vrai vie.
Je ne m’occupe plus des licence mais c'était un beau merdier chez Check
point a une époque, limite il fallait une certif gestion des licence et ça
changeait tout le temps de mode... C'est peut être toujours le cas.
SBU




Le 13 novembre 2015 16:44, Rodolphe VIENCO <rodolphe.vie...@gmail.com> a
écrit :


> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checpoint vs
> Palo Alto <
> https://www.mail-archive.com/search?l=frnog@frnog.org 
> <https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
>  
> =subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
> ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, pas
> mal de question se soulèvent.
>
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou
> vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j’en suis là :
>
> Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè
> m’a demandé de faire des recherches pour trouver les points positifs et
> négatifs généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me
> suis pas bloqué sur ces deux marques là uniquement afin d’en apprendre le
> plus possible sur tous.
>
> Et du coup, je references les avantages de toutes les grandes marques
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et
> Fortinet.
>
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> aujourd’hui.
>
>
> 2. Ce que je peux dire d’après ce que j’ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders
> du firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur
> les MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est
> avant tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>
> 3. L’instant Questions :
>
> - La sécurité est elle la meilleur

RE: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-15 Par sujet Mohamed BEGHDADI 
Bonjour,

Nous avons une assez bonne expérience en déploiement sur PALO ALTO (série 
PA-200 et PA-500) et sur la gamme FORTINET (60,90, 100, 300D & 3000)

PALO ALO
Ce produit nécessite une assez bonne compréhension des notions de routage 
statique, des régles de Polices et des régles de NAT... C'est un produit à 
mettre dans les mains de personnes qui ont une bonne maîtriser des FIREWALL.
C'est un produit qui est très rigoriste dans la manière de mettre en place une 
architecture..(Exemple si vous avez du trafic asymétrique, si vous avez des 
serveurs FTP avec des ports dynamiques, le PALO ALTO risque de bloqué le trafic 
et il faut trouver des règles de contournement.)
Mais grâce au PALO ALTO, on a compris comment les opérateurs (enfin un 
opérateur) implémenter de manière artisanale son réseau dît MPLS...
Côté interface de supervision et monitoring, je trouve le produit très 
performant et cela nous a permis à plusieurs reprises de détecter des failles 
de sécurité..(
Très fine granularité sur la gestion des objets et donc du filtrage...

FORTINET
Produit plutôt simple à déployer avec une interface plutôt simple à configurer 
(exemple les VPN..

Ces 2 produits ont aussi des Clients qui permettent des connections sécurisées 
depuis l'extérieur..


J'ai une préférence pour le PALO ALTO car il a un Data Plane et un Contrôle 
plane séparée, ce qui permets d'utiliser le monitoring, supervision sans 
consommer les ressources lié au Data Plane

Le Hic, encore une fois, c'est les prix.. et les licences ou renouvellement de 
maintenance que je trouver élevé mais ça peut les valoir pour les sociétés qui 
souhaitent mettre en place une sécurité des flux et gérer avec finesse les flux 

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Rodolphe VIENCO
Envoyé : vendredi 13 novembre 2015 20:13
À : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

Bonsoir,

J'ai bien pris en compte tous vos mails, et je vous remercie tous de vos 
réponses.

On m'a redemandé de préciser mes besoins, outre mes questions personnelles et 
qui me feront avancer à posteriori du sujet qui m'occupe actuellement, tout de 
suite je dois mettre en avant Checkpoint face à Palo-Alto.

C'est ma société m’a demandé de faire des recherches pour trouver les points 
positifs de checkpoint et négatifs de Palo Alto.

Mais comme de mon point de vue personnel, je considère pratiquement comme 
acquise la simplicité et l'efficience de Palo Alto.

En revanche, je considère que malgré leur support rapide et efficace, leurs 
perfs sont moindre face à Checkpoint.
De plus, dans ma société on est habitué au Checkpoint, du coup, la complexité a 
l'installation passe un peu.
Et pour finir, quand on met en place du checkpoint on a des interlocuteurs en 
face.
Outre ces détails, j'en conclu pour le moment que :

Le future ressemble à :
- Palo Alto va devenir numéro 1
- Checkpoint devenu numéro 2 améliorera son support ou perdront.

Bonne soirée.
Cordialement,
--
Rodolphe VIENCO


>
>
>
>
> Le 13 novembre 2015 16:44, Rodolphe VIENCO <rodolphe.vie...@gmail.com 
> <mailto:rodolphe.vie...@gmail.com>> a écrit :
>
> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help !
> Checkpoint vs Palo Alto
> 
> <https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
> ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du
> coup, pas mal de question se soulèvent.
>
> Après une matinée de recherche (J’ai bouffer de la doc a m’en
> faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés,
> achetés ou vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j’en suis là :
>
> Afin de mettre en avant Checkpoint face à Palo-Alto, ma
> sociètè m’a demandé de faire des recherches pour trouver les
> points positifs et négatifs généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et
> ne me suis pas bloqué sur ces deux marques là uniquement afin d’en
> apprendre le plus possible sur tous.
>
> Et du coup, je references les avantages de toutes les grandes
> marques reconnues et les inconvénients. Surtout sur Checkpoint,
> Palo Alto et Fortinet.
>
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> aujourd’hui.
>
>
> 2. Ce que je peux dire d’après ce que j’ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme

RE: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-15 Par sujet Mohamed BEGHDADI 
Le produit SONCIWALL est plutôt simple et moins cher que FORTINET, PALO ALTO, 
CHECKPOINT mais c'est un produit permissive sur les règles de sécurité..

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David RIBEIRO
Envoyé : vendredi 13 novembre 2015 23:13
À : Rodolphe VIENCO <rodolphe.vie...@gmail.com>
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

Désolé si je rajoute un acteur mais certains d'entre vous ont un avis/retour 
d'expérience sur les SonicWall de DELL ?
Je les ai rencontré récemment, à les écouter et sur le papier ça se défend.
Après je n'ai pas d'avis, nous avons un ASA en mode hébergé et je n'ai rien à 
en dire de mal à ce jour pour > 100 users en multi-site et une BP de 20mbits 
symétrique.

David


Le 13 novembre 2015 20:12, Rodolphe VIENCO <rodolphe.vie...@gmail.com> a écrit :

> Bonsoir,
>
> J'ai bien pris en compte tous vos mails, et je vous remercie tous de 
> vos réponses.
>
> On m'a redemandé de préciser mes besoins, outre mes questions 
> personnelles et qui me feront avancer à posteriori du sujet qui 
> m'occupe actuellement, tout de suite je dois mettre en avant 
> Checkpoint face à Palo-Alto.
>
> C'est ma société m’a demandé de faire des recherches pour trouver les 
> points positifs de checkpoint et négatifs de Palo Alto.
>
> Mais comme de mon point de vue personnel, je considère pratiquement 
> comme acquise la simplicité et l'efficience de Palo Alto.
>
> En revanche, je considère que malgré leur support rapide et efficace, 
> leurs perfs sont moindre face à Checkpoint.
> De plus, dans ma société on est habitué au Checkpoint, du coup, la 
> complexité a l'installation passe un peu.
> Et pour finir, quand on met en place du checkpoint on a des 
> interlocuteurs en face.
> Outre ces détails, j'en conclu pour le moment que :
>
> Le future ressemble à :
> - Palo Alto va devenir numéro 1
> - Checkpoint devenu numéro 2 améliorera son support ou perdront.
>
> Bonne soirée.
> Cordialement,
> --
> Rodolphe VIENCO
>
>
>
>
>>
>>
>>
>> Le 13 novembre 2015 16:44, Rodolphe VIENCO <rodolphe.vie...@gmail.com 
>> <mailto:rodolphe.vie...@gmail.com>> a écrit :
>>
>> Bonjour à vous tous,
>>
>> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help !
>> Checkpoint vs Palo Alto
>> <
>> https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5
>> C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%
>> 22=newest
>> >
>> ),
>> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du
>> coup, pas mal de question se soulèvent.
>>
>> Après une matinée de recherche (J’ai bouffer de la doc a m’en
>> faire vomir),
>> Je me tourne vers vous pour avoir des retours moins ciblés,
>> achetés ou vendus.
>>
>> En faite, je recherche plutôt vos remarques personnelles, de façon
>> constructive, tirées de vos propres expériences si possible.
>> Je pense que vous êtes tous mieux placées que moi.
>>
>> 1. Pourquoi j’en suis là :
>>
>> Afin de mettre en avant Checkpoint face à Palo-Alto, ma
>> sociètè m’a demandé de faire des recherches pour trouver les
>> points positifs et négatifs généraux des 2 marques.
>> J’ai orienté mes recherches vers les firewall "Next Generation” et
>> ne me suis pas bloqué sur ces deux marques là uniquement afin d’en
>> apprendre le plus possible sur tous.
>>
>> Et du coup, je references les avantages de toutes les grandes
>> marques reconnues et les inconvénients. Surtout sur Checkpoint,
>> Palo Alto et Fortinet.
>>
>> En terme d’expérience :
>> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
>> aujourd’hui.
>>
>>
>> 2. Ce que je peux dire d’après ce que j’ai lu :
>>
>> * Palo Alto et Checkpoint sont considérés par la masse comme les
>> leaders du firewall
>> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins
>> bon sur les MAJ majeurs cependant.
>> * Fortinet n’est pas mis en avant
>> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et
>> c’est avant tout ce qui lui est demandé non?
>> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>>
>> 3. L’instant Questions :
>>
>> - La sécurité est elle la meilleur avec Checkpoint?
>> - Palo Alto est il plu simple a configuré / maintenir et mettre à
>> jours?
>>

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Cedric Lamouche 
 Bonjour, mon expérience personnel en quelques mots :

Checkpoint: nous avons abandonné le produit car les mises à jour étaient très 
laborieuse.
PaloAlto: La dernière fois que j'ai regardé ( y a un an et demi) la gamme de fw 
disponible était vieillissante avec des perfs brutes en dessous de la 
concurrence pour des tarifs identiques.
Fortinet: Administration facile, perf au rendez vous,administration directement 
sur les boitiers, par contre addon très très cher (vdom supplémentaire, 
fortimanager etc ), gestion des logs perfectible.
McAffee intel( ex stonesoft): Bien placé au niveau prix, mode de fonctionnement 
ressemblant à Checkpoint, dépendant d'une console pour l'administration des fw, 
gestion vpn interessante, recherche de logs bien adaptée.

Pour finir par rapport à nos choix je trouve les produits fortinet plus adapté 
pour la gestion des flux utilisateurs / applicatif et les fw Stonesoft pour le 
controle d'accés wan et ips.


Cordialement
message d'origine-
De: "Rodolphe VIENCO" rodolphe.vie...@gmail.com
A: frnog-t...@frnog.org
Date: Fri, 13 Nov 2015 16:44:26 +0100
-


> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint vs 
> Palo Alto
>  %5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Al
> to%22=newest>
> ),
> Dans ce sujet, Palo Alto l?emporte sur Checkpoint à vos yeux, du coup, pas 
> mal de
> question se soulèvent.
>
> Après une matinée de recherche (J?ai bouffer de la doc a m?en faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j?en suis là :
>
>   Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè m?a 
> demandé de
> faire des recherches pour trouver les points positifs et négatifs généraux 
> des 2
> marques.
> J?ai orienté mes recherches vers les firewall "Next Generation? et ne me suis 
> pas
> bloqué sur ces deux marques là uniquement afin d?en apprendre le plus possible
> sur tous.
>
> Et du coup, je references les avantages de toutes les grandes marques 
> reconnues
> et les inconvénients. Surtout sur Checkpoint, Palo Alto et Fortinet.
>
> En terme d?expérience :
> J?ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu?a
> aujourd?hui.
>
>
> 2. Ce que je peux dire d?après ce que j?ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders du
> firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur les 
> MAJ
> majeurs cependant.
> * Fortinet n?est pas mis en avant
> * Checkpoint à des defaults, mais reste N?1 sur la sécurité, et c?est avant 
> tout ce
> qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>
> 3. L?instant Questions :
>
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si ce ne
> sont pas les meilleurs?
> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
>
> - Vos remarques, par rapport a tout ce que j?aurais pu oublier, ou mal faire.
> - Et enfin votre avis personnelle sur la question, outre les grandes marques 
> et ce
> sur quoi vous travaillez, ce que votre expérience conseille
>
>
> ? Bibliographie :
>
> - http://business.telenet.be  :
> Les leaders du marché :
> ? Check Point Software et Palo Alto Networks :
> La célèbre société de consultance technologique Gartner considère Check Point
> Software et Palo Alto Networks comme les leaders absolus pour les pare-feu de
> nouvelle génération. Telenet est partenaire Platinum des deux sociétés. Une
> différence importante réside dans le fait que chez Palo Alto Networks,
> l?inspection des applications est toujours active. Elles se distinguent aussi
> par d?autres caractéristiques moins essentielles. Bruno Gysels, Security
> Consultant chez Telenet : ?Chez Palo Alto Networks, vous achetez un package
> complet incluant d?ores et déjà les rapports, par exemple. Chez Check Point,
> vous obtenez différentes fonctionnalités via des licences spécifiques.? Pour
> le Senior Security Consultant Andries De Lombaerde (Telenet), Check Point et
> Palo Alto Networks sont plus ou moins équivalents, Check Point convient
> particulièrement pour la gestion de nombreux pare-feu et services à grande
> échelle. Palo Alto Networks, quant à lui, est plus performant pour la gestion 
> des
> utilisateurs.?
>
> -
> http://www.journaldunet.com/solutions/securite/faille-dans-les-firew
> alls-0411.shtml

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Guillaume Tournat 
Bonjour

Le marché français est aujourd'hui, en termes de revenu : 1.Cisco 2.Fortinet 
3.Checkpoint

Au niveau mondial la tendance est la même Fortinet va doubler CheckPoint. 

Je ne connais pas Palo Alto. Par contre CheckPoint je trouve ça très complexe 
et très cher. 

Fortinet est très innovant et bien placé financièrement. Je connais aussi 
Juniper (ancienne gamme ScreenOS has been, et nouvelle gamme JunOS). 

A+


> Le 13 nov. 2015 à 16:44, Rodolphe VIENCO  a écrit :
> 
> Bonjour à vous tous,
> 
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint vs 
> Palo Alto 
> 
>  ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, pas 
> mal de question se soulèvent.
> 
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire vomir), 
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou vendus.
> 
> En faite, je recherche plutôt vos remarques personnelles, de façon 
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
> 
> 1. Pourquoi j’en suis là :
> 
>Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè m’a 
> demandé de faire des recherches pour trouver les points positifs et négatifs 
> généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me suis 
> pas bloqué sur ces deux marques là uniquement afin d’en apprendre le plus 
> possible sur tous.
> 
> Et du coup, je references les avantages de toutes les grandes marques 
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et Fortinet.
> 
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a aujourd’hui.
> 
> 
> 2. Ce que je peux dire d’après ce que j’ai lu :
> 
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders du 
> firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur les 
> MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est avant 
> tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
> 
> 3. L’instant Questions : 
> 
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si ce 
> ne sont pas les meilleurs?
> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
> 
> - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou mal faire.
> - Et enfin votre avis personnelle sur la question, outre les grandes marques 
> et ce sur quoi vous travaillez, ce que votre expérience conseille
> 
> 
> — Bibliographie :
> 
> - http://business.telenet.be  : 
> Les leaders du marché :
> “ Check Point Software et Palo Alto Networks :
> La célèbre société de consultance technologique Gartner considère Check Point 
> Software et Palo Alto Networks comme les leaders absolus pour les pare-feu de 
> nouvelle génération. Telenet est partenaire Platinum des deux sociétés. Une 
> différence importante réside dans le fait que chez Palo Alto Networks, 
> l’inspection des applications est toujours active. Elles se distinguent aussi 
> par d’autres caractéristiques moins essentielles. Bruno Gysels, Security 
> Consultant chez Telenet : “Chez Palo Alto Networks, vous achetez un package 
> complet incluant d’ores et déjà les rapports, par exemple. Chez Check Point, 
> vous obtenez différentes fonctionnalités via des licences spécifiques.” Pour 
> le Senior Security Consultant Andries De Lombaerde (Telenet), Check Point et 
> Palo Alto Networks sont plus ou moins équivalents, Check Point convient 
> particulièrement pour la gestion de nombreux pare-feu et services à grande 
> échelle. Palo Alto Networks, quant à lui, est plus performant pour la gestion 
> des utilisateurs.”
> 
> - 
> http://www.journaldunet.com/solutions/securite/faille-dans-les-firewalls-0411.shtml
>  
> 
> 
> - 
> https://www.reddit.com/r/sysadmin/comments/2ggx0c/palo_alto_vs_checkpoint_go/ 
> 
> 
> - 
> https://www.fortinet.com/sites/default/files/whitepapers/Next-Generation-Firewall-Comparative-Analysis-SVM.pdf
>  
> 
> 
> - 
> http://www.fortinet.com/sites/default/files/whitepapers/NSS_Labs_and_FortiGate800C_WP.pdf
>  
>

RE: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Julien Schafer 
Je sais pas pour vous mais le Gartner je m'en suis toujours méfié comme de la 
peste.

De ce que j'en ai vu il y a qlqs années, ca ressemblait à un bon moyen pour les 
DSI de réseauter entre eux et de se faire payer des voyages sympas tout compris 
par la boite, sous prétexte d'assister aux séminaires.

Bref si certains ont des avis différents je suis preneur.

Ps : désolé de polluer le post, mais en même temps le premier mail fait 
justement référence au Gartner.

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Guillaume Tournat
Envoyé : vendredi 13 novembre 2015 17:32
À : Rodolphe VIENCO <rodolphe.vie...@gmail.com>
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

Bonjour

Le marché français est aujourd'hui, en termes de revenu : 1.Cisco 2.Fortinet 
3.Checkpoint

Au niveau mondial la tendance est la même Fortinet va doubler CheckPoint. 

Je ne connais pas Palo Alto. Par contre CheckPoint je trouve ça très complexe 
et très cher. 

Fortinet est très innovant et bien placé financièrement. Je connais aussi 
Juniper (ancienne gamme ScreenOS has been, et nouvelle gamme JunOS). 

A+


> Le 13 nov. 2015 à 16:44, Rodolphe VIENCO <rodolphe.vie...@gmail.com> a écrit :
> 
> Bonjour à vous tous,
> 
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint 
> vs Palo Alto 
> <https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
>  ), Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, 
> pas mal de question se soulèvent.
> 
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire 
> vomir), Je me tourne vers vous pour avoir des retours moins ciblés, achetés 
> ou vendus.
> 
> En faite, je recherche plutôt vos remarques personnelles, de façon 
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
> 
> 1. Pourquoi j’en suis là :
> 
>Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè m’a 
> demandé de faire des recherches pour trouver les points positifs et négatifs 
> généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me suis 
> pas bloqué sur ces deux marques là uniquement afin d’en apprendre le plus 
> possible sur tous.
> 
> Et du coup, je references les avantages de toutes les grandes marques 
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et Fortinet.
> 
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a aujourd’hui.
> 
> 
> 2. Ce que je peux dire d’après ce que j’ai lu :
> 
> * Palo Alto et Checkpoint sont considérés par la masse comme les 
> leaders du firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur les 
> MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est avant 
> tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
> 
> 3. L’instant Questions : 
> 
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si ce 
> ne sont pas les meilleurs?
> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
> 
> - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou mal faire.
> - Et enfin votre avis personnelle sur la question, outre les grandes 
> marques et ce sur quoi vous travaillez, ce que votre expérience 
> conseille
> 
> 
> — Bibliographie :
> 
> - http://business.telenet.be <http://business.telenet.be/> : 
> Les leaders du marché :
> “ Check Point Software et Palo Alto Networks :
> La célèbre société de consultance technologique Gartner considère Check Point 
> Software et Palo Alto Networks comme les leaders absolus pour les pare-feu de 
> nouvelle génération. Telenet est partenaire Platinum des deux sociétés. Une 
> différence importante réside dans le fait que chez Palo Alto Networks, 
> l’inspection des applications est toujours active. Elles se distinguent aussi 
> par d’autres caractéristiques moins essentielles. Bruno Gysels, Security 
> Consultant chez Telenet : “Chez Palo Alto Networks, vous achetez un package 
> complet incluant d’ores et déjà les rapports, par exemple. Chez Check Point, 
> vous obtenez différentes fonctionnalités via des licences spécifiques.” Pour 
> le Senior Security Consultant Andries De Lomba

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Joe Yabuki 
Hello,

Mettre en avant Checkpoint vs Palo Alto, ce sera difficile...

Checkpoint a une jolie interface graphique et fait bien la centralisation,
néanmoins dès qu'on rentre dans des choses complexes avec plus de réseau
(Multicast, BGP...) l'histoire devient différente, sérieusement leur OS est
plein de Bugs et le pire c'est que ce sont plus des Bugs au niveau Linux
Red Hat.

Il faut voir ça comme un Linux Core déguisé en Firewall avec une belle
interface graphique TRÈS cher.

La tendance aujourd'hui chez beaucoup de GROS clients est de passer du
Checkpoint a du Fortinet/Palo Alto, qui est plus léger, plus stable (moins
de bugs)

Je rajouterais même que rien que pour le choix de son nom il est mauvais,
vu ce qu'inflige le pays qui le développe a des innocents..^^

Je connais pas trop Cisco/Juniper pour en parler.

Bon choix !

Joe.




2015-11-13 16:44 GMT+01:00 Rodolphe VIENCO :

> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint vs
> Palo Alto <
> https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
> ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, pas
> mal de question se soulèvent.
>
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou
> vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j’en suis là :
>
> Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè
> m’a demandé de faire des recherches pour trouver les points positifs et
> négatifs généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me
> suis pas bloqué sur ces deux marques là uniquement afin d’en apprendre le
> plus possible sur tous.
>
> Et du coup, je references les avantages de toutes les grandes marques
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et
> Fortinet.
>
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> aujourd’hui.
>
>
> 2. Ce que je peux dire d’après ce que j’ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders
> du firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur
> les MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est
> avant tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>
> 3. L’instant Questions :
>
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si
> ce ne sont pas les meilleurs?
> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
>
> - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou mal
> faire.
> - Et enfin votre avis personnelle sur la question, outre les grandes
> marques et ce sur quoi vous travaillez, ce que votre expérience conseille
>
>
> — Bibliographie :
>
> - http://business.telenet.be  :
> Les leaders du marché :
> “ Check Point Software et Palo Alto Networks :
> La célèbre société de consultance technologique Gartner considère Check
> Point Software et Palo Alto Networks comme les leaders absolus pour les
> pare-feu de nouvelle génération. Telenet est partenaire Platinum des deux
> sociétés. Une différence importante réside dans le fait que chez Palo Alto
> Networks, l’inspection des applications est toujours active. Elles se
> distinguent aussi par d’autres caractéristiques moins essentielles. Bruno
> Gysels, Security Consultant chez Telenet : “Chez Palo Alto Networks, vous
> achetez un package complet incluant d’ores et déjà les rapports, par
> exemple. Chez Check Point, vous obtenez différentes fonctionnalités via des
> licences spécifiques.” Pour le Senior Security Consultant Andries De
> Lombaerde (Telenet), Check Point et Palo Alto Networks sont plus ou moins
> équivalents, Check Point convient particulièrement pour la gestion de
> nombreux pare-feu et services à grande échelle. Palo Alto Networks, quant à
> lui, est plus performant pour la gestion des utilisateurs.”
>
> -
> http://www.journaldunet.com/solutions/securite/faille-dans-les-firewalls-0411.shtml
> <
> http://www.journaldunet.com/solutions/securite/faille-dans-les-firewalls-0411.shtml
> >
>
> -
> https://www.reddit.com/r/sysadmin/comments/2ggx0c/palo_alto_vs_checkpoint_go/
> <
> https://www.reddit.com/r/sysadmin/comments/2ggx0c/palo_alto_vs_checkpoint_go/
> >
>
> -
>

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Rodolphe VIENCO 

Bonsoir,

J'ai bien pris en compte tous vos mails, et je vous remercie tous de vos 
réponses.


On m'a redemandé de préciser mes besoins, outre mes questions 
personnelles et qui me feront avancer
à posteriori du sujet qui m'occupe actuellement, tout de suite je dois 
mettre en avant Checkpoint face à Palo-Alto.


C'est ma société m’a demandé de faire des recherches pour trouver les 
points positifs de checkpoint

et négatifs de Palo Alto.

Mais comme de mon point de vue personnel, je considère pratiquement 
comme acquise la simplicité et l'efficience de Palo Alto.


En revanche, je considère que malgré leur support rapide et efficace, 
leurs perfs sont moindre face à Checkpoint.
De plus, dans ma société on est habitué au Checkpoint, du coup, la 
complexité a l'installation passe un peu.
Et pour finir, quand on met en place du checkpoint on a des 
interlocuteurs en face.

Outre ces détails, j'en conclu pour le moment que :

Le future ressemble à :
- Palo Alto va devenir numéro 1
- Checkpoint devenu numéro 2 améliorera son support ou perdront.

Bonne soirée.
Cordialement,
--
Rodolphe VIENCO







Le 13 novembre 2015 16:44, Rodolphe VIENCO > a écrit :


Bonjour à vous tous,

Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help !
Checkpoint vs Palo Alto


),
Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du
coup, pas mal de question se soulèvent.

Après une matinée de recherche (J’ai bouffer de la doc a m’en
faire vomir),
Je me tourne vers vous pour avoir des retours moins ciblés,
achetés ou vendus.

En faite, je recherche plutôt vos remarques personnelles, de façon
constructive, tirées de vos propres expériences si possible.
Je pense que vous êtes tous mieux placées que moi.

1. Pourquoi j’en suis là :

Afin de mettre en avant Checkpoint face à Palo-Alto, ma
sociètè m’a demandé de faire des recherches pour trouver les
points positifs et négatifs généraux des 2 marques.
J’ai orienté mes recherches vers les firewall "Next Generation” et
ne me suis pas bloqué sur ces deux marques là uniquement afin d’en
apprendre le plus possible sur tous.

Et du coup, je references les avantages de toutes les grandes
marques reconnues et les inconvénients. Surtout sur Checkpoint,
Palo Alto et Fortinet.

En terme d’expérience :
J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
aujourd’hui.


2. Ce que je peux dire d’après ce que j’ai lu :

* Palo Alto et Checkpoint sont considérés par la masse comme les
leaders du firewall
* Checkpoint se montre meilleur en sécurité que Palo Alto, moins
bon sur les MAJ majeurs cependant.
* Fortinet n’est pas mis en avant
* Checkpoint à des defaults, mais reste N’1 sur la sécurité, et
c’est avant tout ce qui lui est demandé non?
(cf. La bibliographie ci-dessous : - Liste non exhaustive -.)

3. L’instant Questions :

- La sécurité est elle la meilleur avec Checkpoint?
- Palo Alto est il plu simple a configuré / maintenir et mettre à
jours?
- Les prix pour chaque appliances de même catégorie sont ils
correspondant?
- Pourquoi 100% des "Fortune 100" sont elles sécurisée par
Checkpoint si ce ne sont pas les meilleurs?
- Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?

- Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou
mal faire.
- Et enfin votre avis personnelle sur la question, outre les
grandes marques et ce sur quoi vous travaillez, ce que votre
expérience conseille


— Bibliographie :

- http://business.telenet.be  :
Les leaders du marché :
“ Check Point Software et Palo Alto Networks :
La célèbre société de consultance technologique Gartner considère
Check Point Software et Palo Alto Networks comme les leaders
absolus pour les pare-feu de nouvelle génération. Telenet est
partenaire Platinum des deux sociétés. Une différence importante
réside dans le fait que chez Palo Alto Networks, l’inspection des
applications est toujours active. Elles se distinguent aussi par
d’autres caractéristiques moins essentielles. Bruno Gysels,
Security Consultant chez Telenet : “Chez Palo Alto Networks, vous
achetez un package complet incluant d’ores et déjà les rapports,
par exemple. Chez Check Point, vous obtenez différentes
fonctionnalités via des licences spécifiques.” Pour le Senior
Security Consultant Andries De Lombaerde (Telenet), Check Point et
Palo Alto Networks sont plus ou moins équivalents, Check Point
convient particulièrement pour la gestion de nombreux pare-feu et
services à grande échelle. Palo Alto Networks, quant à

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Sylvain sbu 
Bonjour,
Je travaille aujourd'hui sur du PaloAlto, Stonesoft, Cisco ASA, check
point, Juniper SRX (Pas Fortinet).
En faite tout dépend de ce que tu a comme environnement, volumétrie (nombre
de FW a gérer) débit type de trafic, expérience des ressources humaine.
Chaque techno répond à un besoin très bien, et moins pour un autre. A part
Cisco ASA qui est à mon sans une hérésie quelque soit la prod.
Entre PaloAlto et Check point ce que je vois comme différence flagrante
c'est l'exploitabilité niveau 2 (Upgrade, restor from crash, installation)
bien plus simple avec Palo Alto.
Et les vus sur les stats, plus toufu sous PaloAlto, par contre le debug est
bien mieux sous Checkpoint. Chekpoint et plus véloce aussi à trafic
équivalent et "boite équivalentes"
La management lorsqu'on a un gros volume de FW à gérer est kif kif. Et a
mon avis les 2 seules exploitablent dans la vrai vie.
Je ne m’occupe plus des licence mais c'était un beau merdier chez Check
point a une époque, limite il fallait une certif gestion des licence et ça
changeait tout le temps de mode... C'est peut être toujours le cas.
SBU




Le 13 novembre 2015 16:44, Rodolphe VIENCO  a
écrit :

> Bonjour à vous tous,
>
> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint vs
> Palo Alto <
> https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest>
> ),
> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup, pas
> mal de question se soulèvent.
>
> Après une matinée de recherche (J’ai bouffer de la doc a m’en faire vomir),
> Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou
> vendus.
>
> En faite, je recherche plutôt vos remarques personnelles, de façon
> constructive, tirées de vos propres expériences si possible.
> Je pense que vous êtes tous mieux placées que moi.
>
> 1. Pourquoi j’en suis là :
>
> Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè
> m’a demandé de faire des recherches pour trouver les points positifs et
> négatifs généraux des 2 marques.
> J’ai orienté mes recherches vers les firewall "Next Generation” et ne me
> suis pas bloqué sur ces deux marques là uniquement afin d’en apprendre le
> plus possible sur tous.
>
> Et du coup, je references les avantages de toutes les grandes marques
> reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et
> Fortinet.
>
> En terme d’expérience :
> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> aujourd’hui.
>
>
> 2. Ce que je peux dire d’après ce que j’ai lu :
>
> * Palo Alto et Checkpoint sont considérés par la masse comme les leaders
> du firewall
> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur
> les MAJ majeurs cependant.
> * Fortinet n’est pas mis en avant
> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est
> avant tout ce qui lui est demandé non?
> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>
> 3. L’instant Questions :
>
> - La sécurité est elle la meilleur avec Checkpoint?
> - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> - Les prix pour chaque appliances de même catégorie sont ils correspondant?
> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si
> ce ne sont pas les meilleurs?
> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
>
> - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou mal
> faire.
> - Et enfin votre avis personnelle sur la question, outre les grandes
> marques et ce sur quoi vous travaillez, ce que votre expérience conseille
>
>
> — Bibliographie :
>
> - http://business.telenet.be  :
> Les leaders du marché :
> “ Check Point Software et Palo Alto Networks :
> La célèbre société de consultance technologique Gartner considère Check
> Point Software et Palo Alto Networks comme les leaders absolus pour les
> pare-feu de nouvelle génération. Telenet est partenaire Platinum des deux
> sociétés. Une différence importante réside dans le fait que chez Palo Alto
> Networks, l’inspection des applications est toujours active. Elles se
> distinguent aussi par d’autres caractéristiques moins essentielles. Bruno
> Gysels, Security Consultant chez Telenet : “Chez Palo Alto Networks, vous
> achetez un package complet incluant d’ores et déjà les rapports, par
> exemple. Chez Check Point, vous obtenez différentes fonctionnalités via des
> licences spécifiques.” Pour le Senior Security Consultant Andries De
> Lombaerde (Telenet), Check Point et Palo Alto Networks sont plus ou moins
> équivalents, Check Point convient particulièrement pour la gestion de
> nombreux pare-feu et services à grande échelle. Palo Alto Networks, quant à
> lui, est plus performant pour la gestion des utilisateurs.”
>
> -
> http://www.journaldunet.com/solutions/securite/faille-dans-les-firewalls-0411.shtml
> <
>

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Guillaume Tournat 

Le 13/11/2015 18:23, Cedric Lamouche a écrit :

  Bonjour, mon expérience personnel en quelques mots :

Checkpoint: nous avons abandonné le produit car les mises à jour étaient très 
laborieuse.
PaloAlto: La dernière fois que j'ai regardé ( y a un an et demi) la gamme de fw 
disponible était vieillissante avec des perfs brutes en dessous de la 
concurrence pour des tarifs identiques.
Fortinet: Administration facile, perf au rendez vous,administration directement 
sur les boitiers, par contre addon très très cher (vdom supplémentaire, 
fortimanager etc ), gestion des logs perfectible.
pour les logs, en effet, ils ne sont pas encore au niveau de checkpoint 
sur le tracker

pour les VDOM, y'a bien qu'à la PHM qu'il faille plus de 10 vdoms...


McAffee intel( ex stonesoft): Bien placé au niveau prix, mode de fonctionnement 
ressemblant à Checkpoint, dépendant d'une console pour l'administration des fw, 
gestion vpn interessante, recherche de logs bien adaptée.

Pour finir par rapport à nos choix je trouve les produits fortinet plus adapté 
pour la gestion des flux utilisateurs / applicatif et les fw Stonesoft pour le 
controle d'accés wan et ips.

ca tombe bien, c'est l'architecture retenue :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet Joe Yabuki 
Sylvain, tu peux approfondir la phrase " A part Cisco ASA qui est à mon
sans une hérésie quelque soit la prod." ? D'un point de vu expérience je
veux dire, j'entends souvent les gens critiquer ASA sans forcement
argumenter...

Joe.

2015-11-13 18:41 GMT+01:00 Sylvain sbu :

> Bonjour,
> Je travaille aujourd'hui sur du PaloAlto, Stonesoft, Cisco ASA, check
> point, Juniper SRX (Pas Fortinet).
> En faite tout dépend de ce que tu a comme environnement, volumétrie (nombre
> de FW a gérer) débit type de trafic, expérience des ressources humaine.
> Chaque techno répond à un besoin très bien, et moins pour un autre. A part
> Cisco ASA qui est à mon sans une hérésie quelque soit la prod.
> Entre PaloAlto et Check point ce que je vois comme différence flagrante
> c'est l'exploitabilité niveau 2 (Upgrade, restor from crash, installation)
> bien plus simple avec Palo Alto.
> Et les vus sur les stats, plus toufu sous PaloAlto, par contre le debug est
> bien mieux sous Checkpoint. Chekpoint et plus véloce aussi à trafic
> équivalent et "boite équivalentes"
> La management lorsqu'on a un gros volume de FW à gérer est kif kif. Et a
> mon avis les 2 seules exploitablent dans la vrai vie.
> Je ne m’occupe plus des licence mais c'était un beau merdier chez Check
> point a une époque, limite il fallait une certif gestion des licence et ça
> changeait tout le temps de mode... C'est peut être toujours le cas.
> SBU
>
>
>
>
> Le 13 novembre 2015 16:44, Rodolphe VIENCO  a
> écrit :
>
> > Bonjour à vous tous,
> >
> > Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help ! Checkpoint vs
> > Palo Alto <
> >
> https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest
> >
> > ),
> > Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du coup,
> pas
> > mal de question se soulèvent.
> >
> > Après une matinée de recherche (J’ai bouffer de la doc a m’en faire
> vomir),
> > Je me tourne vers vous pour avoir des retours moins ciblés, achetés ou
> > vendus.
> >
> > En faite, je recherche plutôt vos remarques personnelles, de façon
> > constructive, tirées de vos propres expériences si possible.
> > Je pense que vous êtes tous mieux placées que moi.
> >
> > 1. Pourquoi j’en suis là :
> >
> > Afin de mettre en avant Checkpoint face à Palo-Alto, ma sociètè
> > m’a demandé de faire des recherches pour trouver les points positifs et
> > négatifs généraux des 2 marques.
> > J’ai orienté mes recherches vers les firewall "Next Generation” et ne me
> > suis pas bloqué sur ces deux marques là uniquement afin d’en apprendre le
> > plus possible sur tous.
> >
> > Et du coup, je references les avantages de toutes les grandes marques
> > reconnues et les inconvénients. Surtout sur Checkpoint, Palo Alto et
> > Fortinet.
> >
> > En terme d’expérience :
> > J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
> > aujourd’hui.
> >
> >
> > 2. Ce que je peux dire d’après ce que j’ai lu :
> >
> > * Palo Alto et Checkpoint sont considérés par la masse comme les leaders
> > du firewall
> > * Checkpoint se montre meilleur en sécurité que Palo Alto, moins bon sur
> > les MAJ majeurs cependant.
> > * Fortinet n’est pas mis en avant
> > * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et c’est
> > avant tout ce qui lui est demandé non?
> > (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
> >
> > 3. L’instant Questions :
> >
> > - La sécurité est elle la meilleur avec Checkpoint?
> > - Palo Alto est il plu simple a configuré / maintenir et mettre à jours?
> > - Les prix pour chaque appliances de même catégorie sont ils
> correspondant?
> > - Pourquoi 100% des "Fortune 100" sont elles sécurisée par Checkpoint si
> > ce ne sont pas les meilleurs?
> > - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
> >
> > - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou mal
> > faire.
> > - Et enfin votre avis personnelle sur la question, outre les grandes
> > marques et ce sur quoi vous travaillez, ce que votre expérience conseille
> >
> >
> > — Bibliographie :
> >
> > - http://business.telenet.be  :
> > Les leaders du marché :
> > “ Check Point Software et Palo Alto Networks :
> > La célèbre société de consultance technologique Gartner considère Check
> > Point Software et Palo Alto Networks comme les leaders absolus pour les
> > pare-feu de nouvelle génération. Telenet est partenaire Platinum des deux
> > sociétés. Une différence importante réside dans le fait que chez Palo
> Alto
> > Networks, l’inspection des applications est toujours active. Elles se
> > distinguent aussi par d’autres caractéristiques moins essentielles. Bruno
> > Gysels, Security Consultant chez Telenet : “Chez Palo Alto Networks, vous
> > achetez un package complet incluant d’ores et déjà les rapports, par
> > exemple. Chez Check Point, vous obtenez

Re: [FRnOG] [TECH] FIREWALL : Checkpoint / Palo Alto / Fortinet

2015-11-13 Par sujet David RIBEIRO 
Désolé si je rajoute un acteur mais certains d'entre vous ont un
avis/retour d'expérience sur les SonicWall de DELL ?
Je les ai rencontré récemment, à les écouter et sur le papier ça se défend.
Après je n'ai pas d'avis, nous avons un ASA en mode hébergé et je n'ai rien
à en dire de mal à ce jour pour > 100 users en multi-site et une BP de
20mbits symétrique.

David


Le 13 novembre 2015 20:12, Rodolphe VIENCO  a
écrit :

> Bonsoir,
>
> J'ai bien pris en compte tous vos mails, et je vous remercie tous de vos
> réponses.
>
> On m'a redemandé de préciser mes besoins, outre mes questions personnelles
> et qui me feront avancer
> à posteriori du sujet qui m'occupe actuellement, tout de suite je dois
> mettre en avant Checkpoint face à Palo-Alto.
>
> C'est ma société m’a demandé de faire des recherches pour trouver les
> points positifs de checkpoint
> et négatifs de Palo Alto.
>
> Mais comme de mon point de vue personnel, je considère pratiquement comme
> acquise la simplicité et l'efficience de Palo Alto.
>
> En revanche, je considère que malgré leur support rapide et efficace,
> leurs perfs sont moindre face à Checkpoint.
> De plus, dans ma société on est habitué au Checkpoint, du coup, la
> complexité a l'installation passe un peu.
> Et pour finir, quand on met en place du checkpoint on a des interlocuteurs
> en face.
> Outre ces détails, j'en conclu pour le moment que :
>
> Le future ressemble à :
> - Palo Alto va devenir numéro 1
> - Checkpoint devenu numéro 2 améliorera son support ou perdront.
>
> Bonne soirée.
> Cordialement,
> --
> Rodolphe VIENCO
>
>
>
>
>>
>>
>>
>> Le 13 novembre 2015 16:44, Rodolphe VIENCO > > a écrit :
>>
>> Bonjour à vous tous,
>>
>> Je déterre un sujet vu en Juin 2015 ( [FRnOG] [TECH] Help !
>> Checkpoint vs Palo Alto
>> <
>> https://www.mail-archive.com/search?l=frnog@frnog.org=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Help+%5C%21+Checkpoint+vs+Palo+Alto%22=newest
>> >
>> ),
>> Dans ce sujet, Palo Alto l’emporte sur Checkpoint à vos yeux, du
>> coup, pas mal de question se soulèvent.
>>
>> Après une matinée de recherche (J’ai bouffer de la doc a m’en
>> faire vomir),
>> Je me tourne vers vous pour avoir des retours moins ciblés,
>> achetés ou vendus.
>>
>> En faite, je recherche plutôt vos remarques personnelles, de façon
>> constructive, tirées de vos propres expériences si possible.
>> Je pense que vous êtes tous mieux placées que moi.
>>
>> 1. Pourquoi j’en suis là :
>>
>> Afin de mettre en avant Checkpoint face à Palo-Alto, ma
>> sociètè m’a demandé de faire des recherches pour trouver les
>> points positifs et négatifs généraux des 2 marques.
>> J’ai orienté mes recherches vers les firewall "Next Generation” et
>> ne me suis pas bloqué sur ces deux marques là uniquement afin d’en
>> apprendre le plus possible sur tous.
>>
>> Et du coup, je references les avantages de toutes les grandes
>> marques reconnues et les inconvénients. Surtout sur Checkpoint,
>> Palo Alto et Fortinet.
>>
>> En terme d’expérience :
>> J’ai travaillé sur du Checkpoint, du Fortinet, du PFSence jusqu’a
>> aujourd’hui.
>>
>>
>> 2. Ce que je peux dire d’après ce que j’ai lu :
>>
>> * Palo Alto et Checkpoint sont considérés par la masse comme les
>> leaders du firewall
>> * Checkpoint se montre meilleur en sécurité que Palo Alto, moins
>> bon sur les MAJ majeurs cependant.
>> * Fortinet n’est pas mis en avant
>> * Checkpoint à des defaults, mais reste N’1 sur la sécurité, et
>> c’est avant tout ce qui lui est demandé non?
>> (cf. La bibliographie ci-dessous : - Liste non exhaustive -.)
>>
>> 3. L’instant Questions :
>>
>> - La sécurité est elle la meilleur avec Checkpoint?
>> - Palo Alto est il plu simple a configuré / maintenir et mettre à
>> jours?
>> - Les prix pour chaque appliances de même catégorie sont ils
>> correspondant?
>> - Pourquoi 100% des "Fortune 100" sont elles sécurisée par
>> Checkpoint si ce ne sont pas les meilleurs?
>> - Quelles sont les defaults Majeurs de Checkpoint et de Palo Alto?
>>
>> - Vos remarques, par rapport a tout ce que j’aurais pu oublier, ou
>> mal faire.
>> - Et enfin votre avis personnelle sur la question, outre les
>> grandes marques et ce sur quoi vous travaillez, ce que votre
>> expérience conseille
>>
>>
>> — Bibliographie :
>>
>> - http://business.telenet.be  :
>> Les leaders du marché :
>> “ Check Point Software et Palo Alto Networks :
>> La célèbre société de consultance technologique Gartner considère
>> Check Point Software et Palo Alto Networks comme les leaders
>> absolus pour les pare-feu de nouvelle génération. Telenet est
>> partenaire Platinum des deux sociétés. Une différence importante
>>

Re: [FRnOG] [TECH] Firewall Multi Tenant

2014-09-25 Par sujet David Ponzone 
Je suis « content »  de voir qu’on est arrivés aux mêmes conclusions.
Pendant un temps, je me suis dit que j’avais raté un truc.

Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça 
t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher 
qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec.

Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient 
pas parce que c’est un firewall pur seulement: Mikrotik

http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding


Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
a écrit :

 On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote:
 D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR
 sont capables de gérer beaucoup plus de 100Mbps.
 Mais bon, c’est pas très grave.
 
 Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas.
 
 -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour 
 le moment
 
 Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait
 aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base,
 premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences
 coutent presque 3 fois plus que le boitier. Financierement c'est du
 viol.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall Multi Tenant

2014-09-25 Par sujet Yoann THOMAS 

Bonjour,

Coté OpenSource, tu peut toujours faire ce genre de chose avec un 
OpenBSD et des RDOMAIN avec du PF pour le filtrage, ou un linux avec des 
TABLES + iptable, capacité jusqu'à 254 RDOMAIN ou TABLES en terme de 
trafic les 100Mbps aucun souci.

Par contre va falloir mettre un peu les mains dans le cambouis.

Ev version proprio tu à du Juniper SRX ou voir même du Firefly (une VM 
pour N tenant) qui répond facilement au besoin, par contre au niveau 
tarif c'est pas les moins cher.


@++

Le 25/09/2014 08:03, David Ponzone a écrit :

Je suis « content »  de voir qu’on est arrivés aux mêmes conclusions.
Pendant un temps, je me suis dit que j’avais raté un truc.

Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça 
t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher 
qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec.

Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient 
pas parce que c’est un firewall pur seulement: Mikrotik

http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding


Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
a écrit :


On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote:

D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR
sont capables de gérer beaucoup plus de 100Mbps.
Mais bon, c’est pas très grave.

Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas.


-Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le 
moment

Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait
aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base,
premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences
coutent presque 3 fois plus que le boitier. Financierement c'est du
viol.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--

Yoann THOMAS

Directeur Associé
Direction Technique

IP Phone : +33 1 76 71 05 00
Mobile : +33 6 50 87 04 69
Fax2Mail : +33 1 76 71 05 07
Support Technique : +33 1 76 71 05 00



OpenIP http://www.openip.fr

www.openip.fr http://www.openip.fr
extranet.openip.fr http://extranet.openip.fr


Les informations contenues dans ce message sont confidentielles et 
peuvent constituer des informations privilégiées. Si vous n'êtes pas le 
destinataire de ce message, il vous est interdit de le copier, de le 
faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous 
avez reçu ce message par erreur, merci de le supprimer de votre système, 
ainsi que toutes ses copies, et d'en avertir immédiatement l'expéditeur 
par message de retour. Il est impossible de garantir que les 
communications par messagerie électronique arrivent en temps utile, sont 
sécurisées ou dénuées de toute erreur ou virus. En conséquence, 
l'expéditeur n'accepte aucune responsabilité du fait des erreurs ou 
omissions qui pourraient en résulter.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Firewall Multi Tenant

2014-09-25 Par sujet Sebastien Lesimple 

Le 25/09/2014 08:03, David Ponzone a écrit :

Je suis « content »  de voir qu’on est arrivés aux mêmes conclusions.
Pendant un temps, je me suis dit que j’avais raté un truc.

Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça 
t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher 
qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec.

Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient 
pas parce que c’est un firewall pur seulement: Mikrotik

David, j'en suis pas convaincu.
MikrotikOS me servait de couteau suisse dans ma vie passée.
MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout 
ca...
Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce 
qu'on lui demande.

Y'a des expert Mikrotik sur la liste, on peux avoir vos avis?
Seb.


http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding


Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
a écrit :


On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote:

D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR
sont capables de gérer beaucoup plus de 100Mbps.
Mais bon, c’est pas très grave.

Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas.


-Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le 
moment

Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait
aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base,
premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences
coutent presque 3 fois plus que le boitier. Financierement c'est du
viol.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

  1   2   >