Mais totalement pas d’accord.
Je disais la meme chose avant 2010, Depuis l’avènement des fw next-gen et tout
ce que l’on voit passer, et surtout sur le nombre d’infra que tu dois proteger,
ce n’est plus possible de toute faire en CLI.
Le cli t’apportera du debug bas niveau sur du routage et du tcpdump par ex sur
une if and cie.
Lorsque tu dois comparer 15 souches de malwares, ransomwares avec en // une
attaque sournoise d’un botnet ( souvent lié ), c’est mais beaucoup plus
lisible et facile à générer ton rapport ou regarder en live sur sur la gui
Par ex, juste en faisant un google image tu as des examples ( pour moi
Palo-Alto a la meilleure GUI pour ça )
-
http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg
<http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg>
-
http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg
<http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg>
Exemple sur mon forti :
- https://ibb.co/ksLaXQ
- https://ibb.co/guu2CQ
- https://ibb.co/ny6tK5
- https://ibb.co/bZsB6k
- https://ibb.co/c5VLz5
- https://ibb.co/f4kne5
Ensuite tout ce qui est application control, tu fais ça en CLI en debug avec
2500 users derriere ? pas impossible, mais le temps de detecter la (nouvelle)
menace, le mal sera fait. Si tu veux regarder ce qui est en cours d’envoie vers
la sandbox des constructeurs ?
EN gros, tu vas passer ta vie à taper des commandes dans le cli ou avoir 40
shells ouverts et d’amuser à filter ou a thuner a mort ton shell pour faire des
“highlight” sur des informations importante. Et si tu en as une qui passe, bam
pareil, il faudra refaire un filtre pour retrouver la bonne info etc etc
Un firewall ce n’est plus simplement un bête blocage de port in/out c’est
beaucoup plus, ça fait des années que c’est comme ça. Rester en administration
CLI, c’est ne plus être a jour sur les nouvelles menaces :)
Sur les licences a payer ? bah oui le modele a migré il y a qq années, Les mecs
ils ne font plus que construire des boiboites, c’est beaucoup de chercheurs et
beaucoup de mec qui bossent sur les attaques ( j’en ai parlé à 2 ou 3, et
franchement ils te font mal à la tete ), et surtout ils bossent sur une partie
corrélation qui devient de plus en plus importante.
Raphael
> On 24 Aug 2017, at 06:22, Michel Py <[email protected]>
> wrote:
>
>> Raphael Maunier a écrit :
>> Un FW next-gen ne doit plus s'administrer en cli
>
> Economiquement je suis d'accord (ce qui te donne raison) mais
> intellectuellement non.
> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà
> m'envoie un message puissant qui est :
> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un
> clickodrome, quelque part dans un pays qui coute pas cher.
>
> Bon, je suis pas complètement innocent non plus, mais çà commence à me
> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et tous
> les autres) et que je perds des heures à expliquer à un abruti qui n'a jamais
> vu un firewall et qui me lit pendant des heures ce que Google m'avait dit 2
> jours avant que j'appelle l'abruti en question.
>
> Finalement, l'administration en CLI, c'est bien pratique pour trier les
> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en
> plastique à 100€ ou celui en métal à 1,000,000€.
>
> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une
> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites
> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que
> j'aime le produit.
>
> Michel.
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
