Je suis bien d’accord là dessus ! La WebUI est génial et plutôt bien complète. Elle répond tout à fait avec 80% des besoins. Je suis le premier à créer la règle en mode webui.
Mais ça manque d’un mode expert quand même. Quand il faut toucher les conn timeout, la synchro HA ou autre spec, le webui ne sert plus. Côté IPS/AV, rien à redire quand on voit le boulot qui est fait et le tps que ça leur prend (je suis en contact avec quelqu’un chez forti) Gaëtan > Le 24 août 2017 à 08:52, Raphael Maunier <raph...@maunier.net> a écrit : > > Mais totalement pas d’accord. > Je disais la meme chose avant 2010, Depuis l’avènement des fw next-gen et > tout ce que l’on voit passer, et surtout sur le nombre d’infra que tu dois > proteger, ce n’est plus possible de toute faire en CLI. > Le cli t’apportera du debug bas niveau sur du routage et du tcpdump par ex > sur une if and cie. > Lorsque tu dois comparer 15 souches de malwares, ransomwares avec en // une > attaque sournoise d’un botnet ( souvent lié ), c’est mais beaucoup plus > lisible et facile à générer ton rapport ou regarder en live sur sur la gui > Par ex, juste en faisant un google image tu as des examples ( pour moi > Palo-Alto a la meilleure GUI pour ça ) > - > http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg > <http://www.wit.co.th/wp-content/uploads/2016/04/ips-screenshot-1170x.jpg> > - > http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg > <http://www.bitrate.co.za/wp-content/uploads/2014/06/High-res-ACC-screen.jpg> > > Exemple sur mon forti : > - https://ibb.co/ksLaXQ <https://ibb.co/ksLaXQ> > - https://ibb.co/guu2CQ <https://ibb.co/guu2CQ> > - https://ibb.co/ny6tK5 <https://ibb.co/ny6tK5> > - https://ibb.co/bZsB6k <https://ibb.co/bZsB6k> > - https://ibb.co/c5VLz5 <https://ibb.co/c5VLz5> > - https://ibb.co/f4kne5 <https://ibb.co/f4kne5> > > Ensuite tout ce qui est application control, tu fais ça en CLI en debug avec > 2500 users derriere ? pas impossible, mais le temps de detecter la (nouvelle) > menace, le mal sera fait. Si tu veux regarder ce qui est en cours d’envoie > vers la sandbox des constructeurs ? > > EN gros, tu vas passer ta vie à taper des commandes dans le cli ou avoir 40 > shells ouverts et d’amuser à filter ou a thuner a mort ton shell pour faire > des “highlight” sur des informations importante. Et si tu en as une qui > passe, bam pareil, il faudra refaire un filtre pour retrouver la bonne info > etc etc > > Un firewall ce n’est plus simplement un bête blocage de port in/out c’est > beaucoup plus, ça fait des années que c’est comme ça. Rester en > administration CLI, c’est ne plus être a jour sur les nouvelles menaces :) > > Sur les licences a payer ? bah oui le modele a migré il y a qq années, Les > mecs ils ne font plus que construire des boiboites, c’est beaucoup de > chercheurs et beaucoup de mec qui bossent sur les attaques ( j’en ai parlé à > 2 ou 3, et franchement ils te font mal à la tete ), et surtout ils bossent > sur une partie corrélation qui devient de plus en plus importante. > > Raphael > >> On 24 Aug 2017, at 06:22, Michel Py <mic...@arneill-py.sacramento.ca.us >> <mailto:mic...@arneill-py.sacramento.ca.us>> wrote: >> >>> Raphael Maunier a écrit : >>> Un FW next-gen ne doit plus s'administrer en cli >> >> Economiquement je suis d'accord (ce qui te donne raison) mais >> intellectuellement non. >> Si t'as besoin d'un branleur pas capable de faire quelque chose en CLI, çà >> m'envoie un message puissant qui est : >> Ta sécurité est dans les mains de droides qui ont 4 choix à faire sur un >> clickodrome, quelque part dans un pays qui coute pas cher. >> >> Bon, je suis pas complètement innocent non plus, mais çà commence à me >> brouter quand j'appelle le support "Premium Enterprise" de Fortigate (et >> tous les autres) et que je perds des heures à expliquer à un abruti qui n'a >> jamais vu un firewall et qui me lit pendant des heures ce que Google m'avait >> dit 2 jours avant que j'appelle l'abruti en question. >> >> Finalement, l'administration en CLI, c'est bien pratique pour trier les >> abrutis du tech-support, qui sont les mêmes que tu aies acheté le bousin en >> plastique à 100€ ou celui en métal à 1,000,000€. >> >> J'ai Fortigate au taf, c'est ni pire ni meilleur que la concurrence. Une >> vraie chiotte à changer de version, faut rebooter parce qu'il y a des fuites >> de mémoire. J'ai renouvelé ma license par faute de temps, pas parce que >> j'aime le produit. >> >> Michel. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ <http://www.frnog.org/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
