Discussion intéressante, d’autant plus qu’on a tendance à lire/dire que pour protéger un PC, il faudrait au moins 4 ou 5 AV Endpoint différents. Probablement un problème de réputation: les constructeurs de firewall ont une réputation, usurpée ou pas, de sérieux, qu’ont moins les éditeurs d’AV Endpoint. Il serait donc peut-être intéressant d’établir une liste des solutions AV Endpoint sérieuses ? Les solutions AV Endpoint des constructeurs de FW/UTM sont-elles plus sérieuses ? Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?
> Le 25 juin 2018 à 09:41, [email protected] a écrit : > > Bonjour à tous, > > Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?) ton > pare feu ne va pas te protéger des dernières attaques (Mais en vrai, si la > NSA, le KGB ou le Mossad en a après toi, peu de choses vont te protéger à > part des bonnes pratiques de gérer ton SI et ton Lan AMHA), mais permets > quand même d'évacuer plusieurs problématiques et éviter de tout centraliser > sur ton CPE, qui risque soit dit en passant de couter une fortune si ta boîte > se refuse à faire confiance à une marque type couteau suisse comme 'Krotik > (Non je ne troll pas.) ou EdgeRouter en fonction de tes débits. > > Je trouve personnellement intéressant de diviser certains domaines de > responsabilité et de gestion de certains services (Gestion des VPNs Mobiles, > gestion de la BP en fonction des besoins etc...), ca évite de devoir mettre > les mains trop régulièrement dans ton équipement d'extrémité, de tout lui > faire porter, de pouvoir répartir sa gestion plus facilement dans l'équipe > etc ... . Mais là, tu n'es pas forcément obligé de dépenser des tonnes pour > avoir le bon équipement, il me semble qu'un pfSense fait le travail pour le > besoin exprimé en tête de ce thread. > > Après voilà, on est d'accord, aujourd'hui 90% des besoins des entreprises en > terme de "Firewalling" sont plus des besoins de gestion du réseau classique, > capables d'être assurés par un graaaand nombre de routeur, bien plus > abordable que les marques de pare feu qui risquent de le faire moins bien > d'ailleurs et de créer des limitations (cc la réflexion de Xavier sur les > implem' des protocoles réseaux sur les pare feu). > > Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de bien > analyser son besoin pour ne pas tomber dans le piège et de payer trop cher? > Et de convaincre sa hiérarchie non technique aussi :D > > Do one thing and (maybe) do it well > > Sam > > > Le 25.06.2018 09:05, Xavier Beaudouin a écrit : >> Hello, >>> Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. >>> Déjà, sans firewall, comment tu empêches les gens de se mettre sur le >>> réseau et >>> de sortir sur internet autrement que via ton proxy? >> Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les >> pkts qui viennent de ton lan. >>> Quid des attaques par brute-force/DDos, ou plus généralement des attaques >>> qui se >>> basent sur les paquets? Des vieux serveurs historiques pour la prod sur >>> lesquels il ne faut surtout rien installer mais quand même protéger ? >> Sur les DDoS tu crois franchement qu'un firewall vas te protéger des >> récentes attaques ? >> Sans compter le coût du biniou pour tenir un vrai DDoS. >> Quand aux serveurs "historiques" si le port est forwardé a ton vieux >> serveur alors c'est >> pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement). >>> Quand à ton règlement qui empêchent les gens d'avoir des activités non >>> productives : comment tu contrôles ça justement? >> Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul. >>> Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à >>> négliger, OK, >>> mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à >>> dire que tu t'es un peu emporté un peu vite quand même là, non? :) >> Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes >> sans >> nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver >> une >> solution de contournement du machin pour arriver a faire leur taf. Je pense >> qu'un certain nombre de personnes peuvent ici donner plein anecdotes... >> Sans compter la vision très souvent avec des œillères des >> constructeurs de firewalls >> du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont >> articulées >> autour des LIMITATION de ces produits plutôt que d'utiliser les choses >> qui feront >> un machin redondant. >> Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu. >> Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais >> *peux* y contribuer. >> La sécurité passe par un ensemble de pratiques du routeur core aux terminaux >> en >> passant par la couche de routage et accessoirement des firewalls. >> My 0,02€ >> Xavier >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
