Bonjour David, bonjour à tous, Étant un gros utilisateur des solutions Imperva, je vais -une fois n'est pas coutume- lever le bouclier pour eux car je suis en désaccord avec ton avis
Tout d'abord, Imperva (by Thales, oui depuis peu) n'est pas Cloudflare et n'a pas de pratique de "trial" passant à 15$/mois avec des armées de Sales/Preneurs d'otage chargés de faire passer de force les c...client de cette licence à une licence entreprise à x * 25k$/an (suivant ce que la cible peut cracher dans leurs estimations). Imperva ne vend pas en direct donc il est possible que tu ai rencontré un distributeur ayant des pratiques de facturation au mois avec une première année peu chère, ce qui se fait mais où lire le contrat te permet d'éviter ce genre d'écueil auquel tu es bien rompu. Et le prix est bien autour de 1/2 k€ pour un site web avec 20 Mbps de bande passante. C'est un prix en effet un peu élevé pour une solution cloud WAF, néanmoins Imperva a le bon goût de manager toute la sécurité du trafic en autonomie. On est donc sur un prix élevé pour "régler définitivement" la problématique de sécurité web, et pas une offre à tiroir ou une offre "la première dose est gratuite". Pour la problématique des OWA exposés, je trouve que les WAF ne répondent qu'assez peu à la problématique de défense car les exploits (basé sur CVE) ciblant ces techno ressemblent assez peu à des SQLI/XSS/LFI/RFI/... Idéalement, il faut restreindre Outlook anywhere aux devices autorisés depuis la conf Microsoft Outlook et s'il y a un webmail exposé, c'est surtout la mir d'auth qu'il faut défendre avec des règles rate limit, geofencing, etc... Que tu trouvera bien dans BunkerWeb (si tu cherche de l'open source) ou autre. Bien à toi, Darcosion Le lundi 3 novembre 2025 à 09:05, David Ponzone <[email protected]> a écrit : > > > Oh ben c’est assez facile, le SMA100 fait un call-home toutes les nuits pour > contrôler la licence. > > Ceci dit, l’affaire a avancé depuis, je pense que quelqu’un s’est rendu > compte que c’était très limite d’arrêter un produit à distance, et encore > plus quand il s’agit d'une licence annuelle. > Ils ont donc prolongé jusqu’à Mai (sans support). > > J’ai donc un peu plus de temps pour virer ce truc. > > Quelqu’un peut confirmer avoir réussi à mettre un > Exchange/OWA/OutlookAnywhere/Active-Sync derrière un OPNSense avec licence ? > J’ai pas trouvé de moyen d’évaluer le produit payant. > > Sophos-VM: j’ai éliminé, ce truc est une horreur à l’install. > > FortiWeb-VM: j’attends une version d’eval. > > BunkerWeb: manque un peu de documentation pour le cas Exchange > > Imperva: si j’ai bien compris, ils attirent le chaland en parlant d’un > service de base à 60€/mois, et une fois que tu as un compte trial, ça devient > 1000€/mois. J’ai peut-être pas compris, mais ça donne pas envie de comprendre > cette opacité tarifaire. > > Kemp: ça a l’air bien, mais un peu cher par rapport à la cible donc ça sera > en dernier recours > > David > > > > Le 3 nov. 2025 à 06:11, [email protected] a écrit : > > > > Bonjour à tous, > > > > Le pourquoi du comment c'est que la faille permet l'installation d'un > > rootkit dans le BIOS virtuel qui rend indétectable l'attaque. Le hard reset > > d'y change rien car la saloperie reste dans le BIOS. > > Quand à l'arret à distance, je n'y crois pas, je ne vois pas comment un > > fabriquant aurait la possibilité de le faire (ou alors c'est encore pire en > > terme de faille) > > > > ----- Mail original ----- > > De: "Séb via frnog" [email protected] > > À: "David Ponzone" [email protected] > > Cc: "frnog-biz" [email protected] > > Envoyé: Lundi 22 Septembre 2025 10:06:51 > > Objet: Re: [FRnOG] [BIZ] Sonicwall tue le SMA100, une boite de fous.... > > > > Le 2025-09-15T13:49:51.000+02:00, David Ponzone > > [email protected] a écrit : > > > > > WAF, WAF! > > > > > > VPN-SSL: pas besoin > > > > > > :) > > > > > > David > > > > Bonjour, > > > > Pour ma part en frontal sur un Exchange (et accessoirement un Media > > Asset Management), j'avais installé un NAXSI, avant que NBS > > n'abandonne la dév du produit. > > Il est repris par un ancien de NBS il me semble, mais il serait tout > > seul à gérer le dépôt, donc peut-être compliqué de partir la > > dessus. > > > > Cordialement, > > > > -- > > Séb > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
signature.asc
Description: OpenPGP digital signature
