Re: [FRnOG] [TECH] Suggestions de hardware pour firewall OPNsense ?

[Richard Klein]

Bonsoir,

Si tu veux bricoler  a la maison un vieux astaro 110/120 + une clef USB .
Testé sur un hardware v2.

Richard

Le jeu. 14 mai 2020 à 17:23, Toussaint OTTAVI  a
écrit :

> Bonjour à tous,
>
> Quelqu'un a t-il des suggestions de hardware pour installer la
> distribution de firewall libre OPNsense ? J'ai besoin de 2 ou 4 ports
> Gigabit. Je cherche un boitier simple, stable, pas trop encombrant, et
> dans le budget d'un Mikrotik / Ubiquiti équivalent. De préférence
> achetable en France, car j'en ai besoin rapidement.
>
> Merci d'avance.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur 4 G

[Clément Gineste]

Le M1 est effectivement cat 16 mais seules 2 antennes sortent sur les TS-9,
les deux autres restant à l'intérieur.
Bon après clairement c'est un routeur mobile, il a une batterie. Ca peut
être un avantage comme le contraire (avoir 143 routeurs dont 32 batteries
mortes ^^).
Tu as une notification quand la batterie est pleine, te demandant de
débrancher le secteur :D

C'est bien pour un type en voyage tout le temps avec une SIM qui te balance
de la data avec la boîte qui raque bien, il y'a d'ailleurs une option de
délestage pour utiliser le wifi d'un hotel par exemple au lieu de la 4G :D
Il n'est pas non plus possible de choisir les fréquences agrégés pour le
LTE-CA, c'est un peu la roulette, bref ça fait un peu gadget comme matos.
De toute façon, de base les TS-9 c'est un no-go, beaucoup trop fragile.

Pour finir il est à x2 le prix du routeur 4G de référence auprès du
gränpüblïk à savoir le Huawei 715-23c. LTE-CA MiMo 3x3 avec un tas de
fréquences dont la B28, t'as des firmware custom qui traînent, tu peux
aussi faire la même chose.
Et ça ressemble plus à un routeur quand même.
Le bémol : c'est du plastoque. Ca fait pas très industriel, et si on le met
dans une boîte il faudra vérifier qu'il surchauffe pas..

Mais bon 140€ chez satshop.fi (livrée DNA, ISP .FI :D) et 280€ pour le M1,
j'ai les deux à la maison.

a+

Le lun. 11 mai 2020 à 16:42, Kevin CHAILLY | Service Technique <
kchai...@adeo-informatique.com> a écrit :

> Teltonika, c'est du très bon matos, et indus ( alim 9-30v, toumétal,
> toussa toussa )
>
> Nous avons essayé un autre modem que pour avoir du CAT16 avec le Netgear
> MR1100 qui fait 2 choses :
>
> - Port ethernet bridgeable pour récupérer ton IP lubrique sur ton routeur
> - CAT16 avec des vitesses a en décoiffer oncle fétide.
>
> Pour l'instant nous n'en avons qu'un en test. C'est en plastique, ça a
> moins de fonctionnalités, et surtout, ça coûte cher ( et le connecteur
> d'antenne extérieur est exotique, c'est du TS9 )
>
> Par contre, ça grodébite.
>
> Kévin
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : lundi 11 mai 2020 16:16
> À : Xavier ROCA 
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Routeur 4 G
>
> Teltonika, je pourrais écrire un roman dessus.
> Ca remplit à peu près toutes les cases, sauf le portail captif.
> Côté solidité, ça passe sur la gamme RUTX09.
> Sur l’ancienne (RUT240/950), on a eu une casse de port antenne, donc je
> mettrais une réserve.
> Le firmware des RUTX a pas encore rattrapé celui des anciens modèles.
>
> Le plus Telco pour moi, c’est le contrôle complet par SMS. Tu peux
> littéralement tout reprogrammer par SMS.
>
> Sinon y a Sierra Wireless qui est incontournable sur ce marché, mais plus
> cher et j’en ai qu’un en test, donc je sais pas si ça fait tout ce que tu
> veux.
>
> Et récemment, on m’a proposé de tester Multitech, mais pas eu le temps.
>
>
> > Le 11 mai 2020 à 15:13,   a écrit
> :
> >
> > Bonjour,
> >
> >
> >
> > Plusieurs fois évoqué ici mais comme cela bouge dans ce domaine, je
> > repose la question avec un contexte un peu particulier.
> >
> > On cherche sans parler de budget car on cherche un modèle « universel » :
> >
> > * Qu’ils conviennent à toutes les fréquences de tous les opérateurs
> > (France pour le moment)
> > * Que l’on puisse lui changer d’antenne pour les déportés si
> > nécessaire
> > * Deux ports RJ de préférence ou plus
> > * Puisse faire aussi routeur LAN/WAN a travers un réseau local mais
> > devant s’authentifier sur un proxy pour l’accès Internet
> > * Watchdog et reboot auto
> > * Fiable / solide
> > * Solide Fanless milieu industriel
> >
> > Donc pour vous ce serait quoi la bête parfaite ?
> >
> > Teltonika, Huawei , Microtik …
> >
> >
> >
> > Si c’était un choix perso je précise que je serais parti sur un UTM
> > avec 4G au Q ou Mini PC routeur avec clé 4G.
> >
> > Mais là ce n’est pas mon besoin ;) donc vraiment un routeur 4G, sans
> > bricolage, un truc sur étagère quoi…
> >
> >
> >
> > Merci
> >
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Bruno LEAL DE SOUSA]

Hello !
Déjà il te faut deux DMZ. Une interne et une externe grosso modo avec deux
Firewall.
Ainsi tu met un reverse proxy http/s sur la première de manière à ce que ce
soit lui qui encaisse les requetes. Tu as des solutions payante très bien
comme F5 mais aussi en open-source avec un simple serveur apache (moins
sexy et moins pratique).
Ensuite en fonction de ton archi et de tes équipements réseaux tu peux
aussi faire de la micro segmentation avec du private vlan.

En tout cas si tu veux faire du pfsense en VM sache que tu peux y aller moi
je l'ai déjà fait en prod dans le milieu industriel et ça fonctionne très
bien ! Mais en deuxième Firewall.. après le front que dans ton cas est le
Fortigate.

Beaucoup de possibilités en toit cas !

Bruno LEAL DE SOUSA
06.01.23.45.96

Le lun. 11 mai 2020 à 17:46, Xavier Lemaire  a
écrit :

> Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
> opensource.
>
> Le lun. 11 mai 2020 à 16:19, David Ponzone  a
> écrit :
>
> > Ben demande un devis d’un Forti en VM :)
> > Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> > d’être de ce produit chez eux, à ce prix en tout cas).
> >
> > > Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> > >
> > > Bonjour à tous,
> > >
> > > nous recherchons une méthode, solution pour isoler les
> > > vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> > > plusieurs type de vm devant écouter du https, ftp, et d'autres
> protocoles
> > > plus ou moins fiable avec des languages/os plus ou moins à jours.
> > > Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> > par
> > > un fortigate physique ... mais il faut avouer que remonter les vlan à
> > > chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> > fatiguant.
> > > Du coups, on réfléchi à monter un firewall en VM, par exemple un
> pfsense,
> > > opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> > > l’extérieur.
> > >
> > > avez vous des retours sur ce type d'archi ? ou est ce complètement ***
> ?
> > :-)
> > >
> > > ä l'écoute de toutes proposition,
> > > jerome et merci d'avance
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Suggestions de hardware pour firewall OPNsense ?

[David Ponzone]

https://www.varia-store.com/en/ 


> Le 14 mai 2020 à 17:23, Toussaint OTTAVI  a écrit :
> 
> Bonjour à tous,
> 
> Quelqu'un a t-il des suggestions de hardware pour installer la distribution 
> de firewall libre OPNsense ? J'ai besoin de 2 ou 4 ports Gigabit. Je cherche 
> un boitier simple, stable, pas trop encombrant, et dans le budget d'un 
> Mikrotik / Ubiquiti équivalent. De préférence achetable en France, car j'en 
> ai besoin rapidement.
> 
> Merci d'avance.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

[Thierry Chich]

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Benoît SERRA
> Envoyé : jeudi 14 mai 2020 12:52
> À : Olivier Tirat BYON 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] vmware, firewall dmz
> 
> À mon avis, les failles récentes contredisent cela : une compromission de
> l'hôte permet potentiellement d'exposer toutes les Vm.
> 

Une compromission de l'hôte, l'ESX ? Ben y a pas besoin de failles récente. 
C'est évident que si on a pris la main sur l'hôte, on a la main sur l'ensemble. 
Ce qui est plus discuté, c'est la possibilité de passer de VM à hote. Certaines 
choses indiquent que c'est possible, mais ça reste très compliqué. Cela dit, on 
est pas à l'abri d'une accélération hardware mal gaulée qui puisse un jour être 
exploitée pour remonter sur l'hôte.


> Meme si ces failles sont remédiées, on reste exposé à la découverte de
> nouvelles failles équivalentes...
> 
> C'est pour ça que le firewall est peut être le seul service que je ne
> virtualiserai jamais en production.

Tout en fait. En tout cas, le frontal.

Cordialement

> 
> 14 mai 2020 12:39:11 Olivier Tirat BYON :
> 
> >   A priori ce défaut est facilement contournable  avec un saine gestion 
> > de
> >
> > l'isolation des réseaux.
> >
> >
> >  Le problème qui se pose ici est celui de la migration des
> >
> > infrastructures réseaux dans des environnements virtualisés.
> >
> >
> >  Je connais qu'une solution technologique qui fonctionne et qui préserve
> >
> > l'existant mais je ne lui ferai pas de pub sur la liste.
> >
> >
> >  Si ca vous interesse contactez moi directement.
> >
> >
> >
> >  Olivier
> >
> >
> >
> >
> >
> >  Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> >
> >
> >
> >
> > >Le défaut majeur d'un firewall virtuel c'est la compromission de 
> > > l'hôte
> qui l'héberge.
> > >
> > >
> > >
> > >   ---
> > >
> > > Liste de diffusion du FRnOG
> > >
> > > http://www.frnog.org/
> > >
> > >
> > >
> >
> >
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Jean-Yves LENHOF]

Le 14/05/2020 à 16:34, David Ponzone a écrit :

C’est pour ça que les VDOM/VRF/etc.. ont été inventés.

A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal.
Ca te revient à environ 20€/mois/VDOM.
Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si 
t’as pas tout de suite 250 clients à mettre dessus.
Et si tu veux commencer sur un chassis plus petit, ils sont tous limités à 10 
VDOM, donc rapidement tu te tapes 75k€ pour le 1100E. Et pour ce prix là, c’est 
10 VDOM.
150k€ de plus pour 240 VDOM de plus.
Donc faut trouver un modèle technico-financier qui limite le CAPEX mais aussi 
les migrations de client d’un chassis à un autre.


Sur de l'archi vmware dans un cloud à Papa oui...  (C'est le sujet que 
j'ai fait un peu plus dérapé, désolé)


Dans le Cloud Public, tu ne peux pas ajouter ton propre cisco physique 
et le découper en tranche virtuelle !!! Tu as directement affaire à du SDN.


Tu peux éventuellement mettre un FW virtuel, mais pas de physique 
découpé en virtuel... Et encore j'ai l'impression que cela n'est pas 
spécialement le modèle poussé, c'est plutôt dans une phase intermédiaire 
lorsque tu n'as pas repensé complétement ton archi en mode cloud.


Et si qqu'un me parle de sécurité, je viendrais volontiers voir que les 
firmware (surtout réseau ou FW) sont toujours au top dans toute votre 
infrastructure... Lorsque l'on est sur du FW complétement virtuel, le 
retour arrière me semble un tantinet plus facile, non ?


JYL


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Suggestions de hardware pour firewall OPNsense ?

[Kevin CHAILLY | Service Technique]

Bonjour,

PCEngines distribue du très bon matériel : 

https://pcengines.ch/apu2.htm 

En tant que professionnel tu peux commander chez eux : 
https://www.pcengines.ch/newshop.php?c=2 

Ajouter la TVA a l'importation. 

 Tu auras du mal a trouver en pognonvalence, OPNsense et pfSense sont plus 
gourmands 

Cordialement,

Kévin 

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Toussaint 
OTTAVI
Envoyé : jeudi 14 mai 2020 17:23
À : frnog@frnog.org
Objet : [FRnOG] [TECH] Suggestions de hardware pour firewall OPNsense ?

Bonjour à tous,

Quelqu'un a t-il des suggestions de hardware pour installer la distribution de 
firewall libre OPNsense ? J'ai besoin de 2 ou 4 ports Gigabit. Je cherche un 
boitier simple, stable, pas trop encombrant, et dans le budget d'un Mikrotik / 
Ubiquiti équivalent. De préférence achetable en France, car j'en ai besoin 
rapidement.

Merci d'avance.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

[Thierry Chich]

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Jean-Yves LENHOF
> Envoyé : jeudi 14 mai 2020 16:17
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] vmware, firewall dmz
> 
> Hello,
> 
> Intéressant tout cela et dans le cloud public, on fait comment pour le
> physique ?
> 
> Je pense que ce type de raisonnement devient de moins en moins vrai...
> 

Je ne pense pas, non

> Et admettons que tu soit un hébergeur, tu achètes un firewall pour chacun
> de tes clients ? Je pense qu'à un moment tu passes sur un modèle plus
> virtuel que physique, non ?
> 


Pas besoin. Tu mets ton propre firewall, et après, tu donnes accès à des 
firewalls éventuellement virtualisés à tes clients. 

> Cordialement,
> 
> 
> Le 14/05/2020 à 14:22, Adrien Rivas a écrit :
> > L'ANSSI a publié deux guides traitant du sujet de cette liste :
> >
> > L'exposition de ressources sur internet :
> > https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux
> > -zone-exposee-internet_anssi_pa_044_v1.pdf
> > La problématique des ressources réseau virtualisées :
> >
> https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-
> > 1.pdf
> > (les risques sont traités P8)
> >
> > Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
> > vlan's, le tout passant par  un fortigate physique ... mais il faut
> > avouer que remonter les vlan à chaque fois, fortigate..., switch, 
> > vswitch
> ...
> > c'est plutôt fatiguant" *perso nous déployons de plus en plus des
> > Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
> > affecter visuellement les vlans directement sur le port de
> > destination, c'est assez bien fait et pratique à utiliser je trouve.
> > Autre avantage, quand tu sauvegardes la config du Fortigate, tu
> > sauvegardes par mégarde la config des switchs avec
> >
> > Le jeu. 14 mai 2020 à 14:01, Michael Hallgren  a écrit :
> >
> >> Moi également, je suis du même avis prudent (là où possible) pour la
> >> protection périmétrique.
> >>
> >> mh
> >>
> >> 14 mai 2020 12:52 "Benoît SERRA"  a écrit:
> >>
> >>> À mon avis, les failles récentes contredisent cela : une
> >>> compromission
> >> de l'hôte permet
> >>> potentiellement d'exposer toutes les Vm.
> >>>
> >>> Meme si ces failles sont remédiées, on reste exposé à la découverte
> >>> de
> >> nouvelles failles
> >>> équivalentes...
> >>>
> >>> C'est pour ça que le firewall est peut être le seul service que je
> >>> ne
> >> virtualiserai jamais en
> >>> production.
> >>>
> >>> 14 mai 2020 12:39:11 Olivier Tirat BYON
> >>>  >>> :
> >>>
>  A priori ce défaut est facilement contournable  avec un saine
>  gestion de
> 
>  l'isolation des réseaux.
> 
>  Le problème qui se pose ici est celui de la migration des
> 
>  infrastructures réseaux dans des environnements virtualisés.
> 
>  Je connais qu'une solution technologique qui fonctionne et qui
>  préserve
> 
>  l'existant mais je ne lui ferai pas de pub sur la liste.
> 
>  Si ca vous interesse contactez moi directement.
> 
>  Olivier
> 
>  Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> 
>  Le défaut majeur d'un firewall virtuel c'est la compromission de
>  l'hôte
> >> qui l'héberge.
>  ---
> 
>  Liste de diffusion du FRnOG
> 
>  http://www.frnog.org
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Suggestions de hardware pour firewall OPNsense ?

[Toussaint OTTAVI]

Bonjour à tous,

Quelqu'un a t-il des suggestions de hardware pour installer la 
distribution de firewall libre OPNsense ? J'ai besoin de 2 ou 4 ports 
Gigabit. Je cherche un boitier simple, stable, pas trop encombrant, et 
dans le budget d'un Mikrotik / Ubiquiti équivalent. De préférence 
achetable en France, car j'en ai besoin rapidement.


Merci d'avance.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Laurent-Charles FABRE]

Plop !

dire que si on compromet le host on compromet le FW c'est équivalent à 
dire : si on compromet l'OS du RTR/Switch, on compromet le Circuit (vswitch)
Et le FW est lui même à 90% un dérivé UX (nux, bsd,rtos etc..) qui est 
donc hackable dans l'absolue.


C'est vrai mais statistiquement admis.

Et dans les fait on s'évertue à ne pas laisser de pont ou bypass entre 
le L2/L3/L7 de tout ça.

Ce qui n'est pas visible, n'est pas attaquable.

C'est pour cela que en tant qu’hébergeur on propose :
- la solution jugée ultime mais inabordable pour beaucoup
- la solution à minima (discount) pour ne pas se faire éjecter des AO
- la solution que l'on pense être le bon compromis métier sans 
surqualité qui grève le cout.


Le tout accompagné du mémoire technique :
- qui explique tout ça
- qui n'est que rarement lu (le client fonce en bas à droite)
- que l'on ressort quand le client râle qu'on lui a vendu de la M...

Là (râle) généralement, le client est plus sensible au nécessaire cout 
de la sécurité qui inclue aussi du temps homme jamais facile à vende au 
début.


My 2 cents

Le 14/05/2020 à 16:21, Benoît SERRA a écrit :

Disons que mettre le firewall sur le même hôte que les cm que tu protèges est 
une aberration, mais si tu mets ton firewall sur un autre hôte, ou que tu 
utilises les fonctions de virtualisation propres à chaque constructeur, c'est 
moins pire comme solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[David Ponzone]

C’est pour ça que les VDOM/VRF/etc.. ont été inventés.

A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal.
Ca te revient à environ 20€/mois/VDOM.
Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si 
t’as pas tout de suite 250 clients à mettre dessus.
Et si tu veux commencer sur un chassis plus petit, ils sont tous limités à 10 
VDOM, donc rapidement tu te tapes 75k€ pour le 1100E. Et pour ce prix là, c’est 
10 VDOM.
150k€ de plus pour 240 VDOM de plus.
Donc faut trouver un modèle technico-financier qui limite le CAPEX mais aussi 
les migrations de client d’un chassis à un autre.

> Le 14 mai 2020 à 16:17, Jean-Yves LENHOF  a écrit :
> 
> Hello,
> 
> Intéressant tout cela et dans le cloud public, on fait comment pour le 
> physique ?
> 
> Je pense que ce type de raisonnement devient de moins en moins vrai...
> 
> Et admettons que tu soit un hébergeur, tu achètes un firewall pour chacun de 
> tes clients ? Je pense qu'à un moment tu passes sur un modèle plus virtuel 
> que physique, non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Benoît SERRA]

Disons que mettre le firewall sur le même hôte que les cm que tu protèges est 
une aberration, mais si tu mets ton firewall sur un autre hôte, ou que tu 
utilises les fonctions de virtualisation propres à chaque constructeur, c'est 
moins pire comme solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Jean-Yves LENHOF]

Hello,

Intéressant tout cela et dans le cloud public, on fait comment pour le 
physique ?


Je pense que ce type de raisonnement devient de moins en moins vrai...

Et admettons que tu soit un hébergeur, tu achètes un firewall pour 
chacun de tes clients ? Je pense qu'à un moment tu passes sur un modèle 
plus virtuel que physique, non ?


Cordialement,


Le 14/05/2020 à 14:22, Adrien Rivas a écrit :

L'ANSSI a publié deux guides traitant du sujet de cette liste :

L'exposition de ressources sur internet :
https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf
La problématique des ressources réseau virtualisées :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-1.pdf
(les risques sont traités P8)

Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
vlan's, le tout passant par  un fortigate physique ... mais il faut avouer
que remonter les vlan à chaque fois, fortigate..., switch, vswitch ...
c'est plutôt fatiguant" *perso nous déployons de plus en plus des
Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
affecter visuellement les vlans directement sur le port de destination,
c'est assez bien fait et pratique à utiliser je trouve. Autre avantage,
quand tu sauvegardes la config du Fortigate, tu sauvegardes par mégarde la
config des switchs avec

Le jeu. 14 mai 2020 à 14:01, Michael Hallgren  a écrit :


Moi également, je suis du même avis prudent (là où possible) pour la
protection périmétrique.

mh

14 mai 2020 12:52 "Benoît SERRA"  a écrit:


À mon avis, les failles récentes contredisent cela : une compromission

de l'hôte permet

potentiellement d'exposer toutes les Vm.

Meme si ces failles sont remédiées, on reste exposé à la découverte de

nouvelles failles

équivalentes...

C'est pour ça que le firewall est peut être le seul service que je ne

virtualiserai jamais en

production.

14 mai 2020 12:39:11 Olivier Tirat BYON 
A priori ce défaut est facilement contournable  avec un saine gestion de

l'isolation des réseaux.

Le problème qui se pose ici est celui de la migration des

infrastructures réseaux dans des environnements virtualisés.

Je connais qu'une solution technologique qui fonctionne et qui préserve

l'existant mais je ne lui ferai pas de pub sur la liste.

Si ca vous interesse contactez moi directement.

Olivier

Le 14/05/2020 à 12:18, Benoît SERRA a écrit :

Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte

qui l'héberge.

---

Liste de diffusion du FRnOG

http://www.frnog.org

---
Liste de diffusion du FRnOG
http://www.frnog.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[David Ponzone]

Merci, done!

> Le 14 mai 2020 à 15:45, Jonathan Leroy - Inikup via frnog  a 
> écrit :
> 
> Le ven. 1 mai 2020 à 13:54, Clement Cavadore  a écrit :
>> Bref, je vous enjoins donc, si vous êtes LIR, de vous enregistrer pour
>> le General Meeting, et de voter, afin d'éviter les fous furieux, ou les
>> putschistes.
> 
> Petit rappel : vous avez jusqu'à demain matin 9h00 heure de Paris pour voter.
> Je me permet de le rappeler ayant moi-même failli passer à côté.
> 
> -- 
> Jonathan Leroy
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Prochaine assemblée générale du RIPE - Vote pour le renouvellement de trois siège au board

[Jonathan Leroy - Inikup via frnog]

Le ven. 1 mai 2020 à 13:54, Clement Cavadore  a écrit :
> Bref, je vous enjoins donc, si vous êtes LIR, de vous enregistrer pour
> le General Meeting, et de voter, afin d'éviter les fous furieux, ou les
> putschistes.

Petit rappel : vous avez jusqu'à demain matin 9h00 heure de Paris pour voter.
Je me permet de le rappeler ayant moi-même failli passer à côté.

-- 
Jonathan Leroy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Adrien Rivas]

L'ANSSI a publié deux guides traitant du sujet de cette liste :

L'exposition de ressources sur internet :
https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf
La problématique des ressources réseau virtualisées :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-1.pdf
(les risques sont traités P8)

Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
vlan's, le tout passant par  un fortigate physique ... mais il faut avouer
que remonter les vlan à chaque fois, fortigate..., switch, vswitch ...
c'est plutôt fatiguant" *perso nous déployons de plus en plus des
Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
affecter visuellement les vlans directement sur le port de destination,
c'est assez bien fait et pratique à utiliser je trouve. Autre avantage,
quand tu sauvegardes la config du Fortigate, tu sauvegardes par mégarde la
config des switchs avec

Le jeu. 14 mai 2020 à 14:01, Michael Hallgren  a écrit :

> Moi également, je suis du même avis prudent (là où possible) pour la
> protection périmétrique.
>
> mh
>
> 14 mai 2020 12:52 "Benoît SERRA"  a écrit:
>
> > À mon avis, les failles récentes contredisent cela : une compromission
> de l'hôte permet
> > potentiellement d'exposer toutes les Vm.
> >
> > Meme si ces failles sont remédiées, on reste exposé à la découverte de
> nouvelles failles
> > équivalentes...
> >
> > C'est pour ça que le firewall est peut être le seul service que je ne
> virtualiserai jamais en
> > production.
> >
> > 14 mai 2020 12:39:11 Olivier Tirat BYON  >:
> >
> >> A priori ce défaut est facilement contournable  avec un saine gestion de
> >>
> >> l'isolation des réseaux.
> >>
> >> Le problème qui se pose ici est celui de la migration des
> >>
> >> infrastructures réseaux dans des environnements virtualisés.
> >>
> >> Je connais qu'une solution technologique qui fonctionne et qui préserve
> >>
> >> l'existant mais je ne lui ferai pas de pub sur la liste.
> >>
> >> Si ca vous interesse contactez moi directement.
> >>
> >> Olivier
> >>
> >> Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> >>
> >> Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte
> qui l'héberge.
> >>
> >> ---
> >>
> >> Liste de diffusion du FRnOG
> >>
> >> http://www.frnog.org
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Michael Hallgren]

Moi également, je suis du même avis prudent (là où possible) pour la 
protection périmétrique.

mh  

14 mai 2020 12:52 "Benoît SERRA"  a écrit:

> À mon avis, les failles récentes contredisent cela : une compromission de 
> l'hôte permet
> potentiellement d'exposer toutes les Vm.
> 
> Meme si ces failles sont remédiées, on reste exposé à la découverte de 
> nouvelles failles
> équivalentes...
> 
> C'est pour ça que le firewall est peut être le seul service que je ne 
> virtualiserai jamais en
> production.
> 
> 14 mai 2020 12:39:11 Olivier Tirat BYON :
> 
>> A priori ce défaut est facilement contournable  avec un saine gestion de
>> 
>> l'isolation des réseaux.
>> 
>> Le problème qui se pose ici est celui de la migration des
>> 
>> infrastructures réseaux dans des environnements virtualisés.
>> 
>> Je connais qu'une solution technologique qui fonctionne et qui préserve
>> 
>> l'existant mais je ne lui ferai pas de pub sur la liste.
>> 
>> Si ca vous interesse contactez moi directement.
>> 
>> Olivier
>> 
>> Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
>> 
>> Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte qui 
>> l'héberge.
>> 
>> ---
>> 
>> Liste de diffusion du FRnOG
>> 
>> http://www.frnog.org
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Benoît SERRA]

À mon avis, les failles récentes contredisent cela : une compromission de 
l'hôte permet potentiellement d'exposer toutes les Vm.

Meme si ces failles sont remédiées, on reste exposé à la découverte de 
nouvelles failles équivalentes...

C'est pour ça que le firewall est peut être le seul service que je ne 
virtualiserai jamais en production.

14 mai 2020 12:39:11 Olivier Tirat BYON :

>   A priori ce défaut est facilement contournable  avec un saine gestion 
> de 
>  
> l'isolation des réseaux. 
>  
>  
>  Le problème qui se pose ici est celui de la migration des 
>  
> infrastructures réseaux dans des environnements virtualisés. 
>  
>  
>  Je connais qu'une solution technologique qui fonctionne et qui préserve 
>  
> l'existant mais je ne lui ferai pas de pub sur la liste. 
>  
>  
>  Si ca vous interesse contactez moi directement. 
>  
>  
>   
>  Olivier 
>  
>  
>   
>   
>   
>  Le 14/05/2020 à 12:18, Benoît SERRA a écrit : 
>  
>  
>  
> 
> >Le défaut majeur d'un firewall virtuel c'est la compromission de 
> > l'hôte qui l'héberge. 
> >   
> >  
> >
> >   --- 
> >   
> > Liste de diffusion du FRnOG 
> >   
> > http://www.frnog.org/ 
> >   
> >  
> >  
>  
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Benoît SERRA]

Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte qui 
l'héberge.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

[Daniel via frnog]

Bonjour

Le 14/05/2020 à 11:04, Thierry Chich a écrit :

Bonjour

Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en 
virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment.
Peux tu développer les problèmes de sécurité que cela engendre ? Nous 
faisons cela et rien ne nous a jusqu'à présent interpeller en matière 
sécurité.


Si c'est gênant, il vaut encore mieux garder un bon firewall physique en 
frontal chargé des nat, du filtrage depuis internet et des accès de management 
(c'est mieux de le séparer, cela dit), et se contenter d'un interco avec 
derrière un firewall virtuel pour s'occuper de l'est-ouest. Ou de le faire 
faire par des fonction NSX (mais qui ont un coût).





-Message d'origine-
De : frnog-requ...@frnog.org  De la part de
Jerome Lien
Envoyé : lundi 11 mai 2020 15:21
À : frnog-tech 
Objet : [FRnOG] [TECH] vmware, firewall dmz

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les vm's accessible
depuis l'extérieurs. Etant une industrie nous avons plusieurs type de vm
devant écouter du https, ftp, et d'autres protocoles plus ou moins fiable avec
des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à chaque
fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

[Thierry Chich]

Bonjour

Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en 
virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment.

Si c'est gênant, il vaut encore mieux garder un bon firewall physique en 
frontal chargé des nat, du filtrage depuis internet et des accès de management 
(c'est mieux de le séparer, cela dit), et se contenter d'un interco avec 
derrière un firewall virtuel pour s'occuper de l'est-ouest. Ou de le faire 
faire par des fonction NSX (mais qui ont un coût).




> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Jerome Lien
> Envoyé : lundi 11 mai 2020 15:21
> À : frnog-tech 
> Objet : [FRnOG] [TECH] vmware, firewall dmz
> 
> Bonjour à tous,
> 
> nous recherchons une méthode, solution pour isoler les vm's accessible
> depuis l'extérieurs. Etant une industrie nous avons plusieurs type de vm
> devant écouter du https, ftp, et d'autres protocoles plus ou moins fiable avec
> des languages/os plus ou moins à jours.
> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
> un fortigate physique ... mais il faut avouer que remonter les vlan à chaque
> fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
> Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> l’extérieur.
> 
> avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)
> 
> ä l'écoute de toutes proposition,
> jerome et merci d'avance
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Routeur 4 G

[x.roca]

Bonjour et merci à tous pur ces nombreux retours.

On a donc fait le choix de la majorité pour ce besoin qui ne pouvait trop 
attendre.
RUT950
Par contre on a découvert d'autres produits qui pourraient être sympa à tester 
et pour d'autres besoins.
Je tacherais de faire un retour ici 


Xavier





-Message d'origine-
De : Frédéric de Villepreux  
Envoyé : mardi 12 mai 2020 14:31
À : David Ponzone 
Cc : Anthony Deshayes ; Kevin CHAILLY | Service 
Technique ; Xavier ROCA ; 
frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Routeur 4 G

Pour abonder dans votre sens, j’ai l’ancien modèle (celui sans capacité de 
captation de la 4G sur B27, je me contente de la B3) :
Le corps est en aluminium et c’est vrai que les connecteurs antenne (des 
adaptateurs m’ont été nécessaires) sont un peu difficile d’accès et de 
manipulation, surtout avec un cable d’extension pour antenne externe, assez 
rigide et difficile à manipuler dans une zone aussi exiguë que celle alloué à 
ces connecteurs par Teltonika.
La nouvelle gamme semble plus pratique mais aussi plus « cheap », 
comparativement au look "industriel/robuste" de mon modèle.

F.
.
> Le 12 mai 2020 à 12:19, David Ponzone  a écrit :
> 
> Je vous trouve sympa avec le 950.
> Ca marche bien, mais le 950 est loin d’être un chassis industriel.
> C’est du plastique, faut l’ouvrir pour insérer les cartes SIM dans des 
> emplacements directement sur la carte, ce qui peut convenir à certains 
> usages, pas à d’autres.
> 
> Et un client qui n’est à priori pas abruti a réussi à défoncer un connecteur 
> antenne.
> 
>> Le 12 mai 2020 à 12:13, Frédéric de Villepreux  a écrit :
>> 
>> Je plussoie, le Teltonika RUT950 (la nouvelle gamme est enfin compatible 
>> avec la bande B27 très utilisée pour la 4G).
>> C’est du très bon matériel, faible et robuste, et à un prix correct au vu du 
>> service rendu.
>> 
>> Frédéric
>> 
> 




---
Liste de diffusion du FRnOG
http://www.frnog.org/