Bonjour,
Je suis revendeur des solutions Sophos, mais malheureusement, je dois admettre
que leur FireWall (ex Astaro) ne sont pas au TOP
Je ne peux qu'être en accord avec vos remarques
Pour moi, ces produits sont sympa grâce à un GUI facile et des rapport sexy
(mais produit qui reste très orienté à mon avis pour les TPE et les réseaux
simples)
On reste bridé sur les UTM Sophos dans les possibilités offertes par le GUI, et
la partie log pour faire du trouble shooting est inexploitable
Pour ma part, concernant les firewall, je commercialise depuis 18 ans les
produits Clavister : https://www.clavister.com
C'est un produit très technique qui demande une prise en main, mais si j'ose la
comparaison, Clavister est une boite de Lego avec laquelle on peux construire
ce que l'on souhaite, alors que la plupart des firewall sont des Playmobil ou
l'on ne peux bouger que la tête et les bras 😉
De plus, chez Clavister on a un vrai support (certes en anglais), des logs et
des dump pcap pour nous aider à solutionner les problèmes
Le code Clavister est écrit à 100% par eux (pas d'OS en dessous) ce qui nous
donne des perf et un niveau de sécurité très élevée (code complet de l'OS 20Mo)
100% du code maitrisé, c'est aussi zéro points d'entrées pour les NSA et autres
:
https://www.clavister.com/globalassets/documents/resources/miscs/clavister-info-trust-your-security-solution-en.pdf
Dernière remarque qui me semble importante au regard de votre post, tous les
client Clavister sont en failover au moins au niveau du siège et cela
fonctionne parfaitement.
Je peux vous mettre en relation avec le grossiste France ou vous aider sur ces
produits si vous le souhaitez
Salutations
Michel KOENIG
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Jean-François ESPERET
Envoyé : vendredi 12 janvier 2018 17:53
À : David Touitou ; Julien Noisette
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] UTM sophos TO XG
Bonjour,
Même ressenti.
Je suis "CyberOam" depuis 2009 et là c'est moins bien pour plus cher.
Avec retour arrière sur certaines mise à jour.
Toujours désagréable...
Et attention au passage de la version CR à la version SOPHOS qui peut être
délicate, tout ne marchera peut être pas.
En plus nouvelle politique commercial, comme si on repartait à zéro.
Je me demande si je ne vais pas aller voir ailleurs, mais vers qui ?
Cordialement
Jean-François
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
David Touitou Envoyé : vendredi 12 janvier 2018 16:57 À : Julien Noisette
Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] UTM
sophos TO XG
'jour.
> J’utilise sophos UTM depuis plusieurs années pour de nombreuses
> plateformes et j’en suis plutôt content, mais je m’interroge sur la
> robustesse de la nouvelle gamme sophos XG et SFV virtual model.
> J’aimerai avoir des retours sur expérience sur ces produits, donc si
> vous en avez, je suis preneur . merci
Je ne vais pas être gentil mais je vais rester factuel.
Je n'ai pas d'avis sur la 15 (sauf que les VLAN dans des LAG, elle ne savait
pas faire).
Au passage à la 16, ils ont changés plein de chose.
Un exemple : toute la conf (and more) est maintenant dans une base PGSQL.
Ce qui n'est pas vraiment prévu pour se prendre des reboots sauvages (en
agences remote, malgré les onduleurs ça arrive).
Un autre exemple (qui va avec) la manière de gérer le failover entre deux XG
(physique).
Faire quelques failovers à la suite et... split-brain (un des deux qui se
retrouve "seul" donc master et le second qui ne voit plus l'autre donc master).
En creusant un peu, la base PGSQL est corrompu... Le support propose alors un
factory reinstall avec clef USB (pas d'autre moyen de la réparer) voire un
changement de device ("c'est le SSD qui est abimé, il vaut mieux le changer" -
il semblerait que sur la dernière série de hardware, ce problème de SSD
n'existe plus).
Résultat : on a arrêté d'envisager de faire du fail-over automatique, les
agences remote ont une procédure pour pour remplacer le XG "en prod" par celui
"en spare" et on réinjecte la dernière conf.
La 17 (sortie il y a peu) est tout sauf sèche en ce qui concerne les VPN et
IPsec en particulier.
Il aura fallu attendre deux versions de patch pour que le failover de tunnels
fonctionne "à peu près" (après avoir recréé les connexions).
Mais on ne peut toujours pas régler le MTU du tunnel (alors qu'on peut en UTM
depuis des années).
Mais l'IDS, même s'il n'est utilisé par aucune règle, consomme plus de la
moitié du CPU sur des XG105.
Il faut le désactiver totalement (et manuellement).
La version actuellement "recommended" par Sophos est la 16.05.6 Il faut quand
même savoir qu'il y a deux versions de la 16 qui sont sorties depuis et quatre
de la 17...
C'est symptomatique d'un QA très problématique, il y a énormément de problèmes
de regression.
Le SFM (Sophos Firewall Manager) n'est
