Re: [FRnOG] [TECH] Outil audit de couverture wifi
Sur Mac: http://www.netspotapp.com/ version light gratuite, et version(s) limité sur l'App Store. Avec les réserves déjà évoquées concernant le niveau de sensibilité du matériel. Fabrice Le 29/04/2015 16:24, Louis a écrit : Bonjour Frnog, je cherche un bon outil pour faire un audit de couverture wifi. Je souhaite pouvoir reporter la couverture sur des plans au format autocad ou pdf. Il me faut un support de toutes les normes 802.11 Avez-vous des idées de logiciels et cartes compatibles? cordialement, Louis --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La sécurité SSL devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN grand public des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Merci pour ces réponses. Le Fortiweb semble la réponse la plus adaptée à mon besoin. Quelqu'un à une idée du tarif d'un FortiWeb-100D et un contact commercial en privé pour établir un devis ? Merci. Le 30 avril 2015 13:57, ADENIS | David MARCIANO dmarci...@adenis.fr a écrit : Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou ce type de boitier. Nous avons essayé avec une plateforme qui utilise du Magento, et on a du faire un retour arrière. Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un petit échange. Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Tournat Envoyé : jeudi 30 avril 2015 12:21 À : Richard Paré Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Retour d'expérience et limitations FortiWifi
Bonjour à tous, Je suis à la recherche de retours d'expérience sur d'éventuels problèmes que vous auriez pu rencontrer sur la partie connectivité Wifi rattachée à un Fortinet. Notre datacentre et nos bureaux sont connectés derrière des Fortigate sans soucis particulier. Notre solution Wifi aux bureaux est basée sur du Cisco sans problème particulier. Récemment, nous avons déployé des équipements (FortiWifi 60D et FAP 221C) dans nos bureaux à l'étranger et nous rencontrons de gros problèmes de débit. La moitié fonctionnent sans problème et l'autre moitié rencontre de gros problèmes de débit. Après avoir mis ça sur le dos des connexions Internet, nous nous rendons compte qu'il semblerait que ça ne soit pas aussi simple. Sur ceux qui ne fonctionnent pas, nous avons de gros soucis de débit et d'expérience utilisateur globalement mauvaise. En 802.11g/n comme en 802.11ac, on a les mêmes débits mauvais. Mauvais = 9M down / 0.4M up. Avec une borne Apple Time Machine (oui je sais...) posée au même endroit, on sature la ligne sans soucis. Vous allez me dire qu'il faut contacter le support Fortinet et vous aurez raison. Néanmoins, c'est déjà fait et on se fait promener car c'est effectivement difficile de prouver que c'est de leur faute et pas de la faute des 15.000 autres facteurs possibles. Une jolie partie de blame game. En câblé pas de problème particulier. Toute fonctionnalité UTM désactivée. Parmi ceux qui ont bossé avec les solutions FortiWifi, quels sont vos retours d'expérience ? Avez-vous rencontré de tels soucis ? Merci d'avance pour votre aide, Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Il semblerait que certaines solutions ne fonctionnent pas avec Fortinet ou ce type de boitier. Nous avons essayé avec une plateforme qui utilise du Magento, et on a du faire un retour arrière. Si quelqu'un a une expérience Fortinet/ Magento, je suis preneur d'un petit échange. Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Tournat Envoyé : jeudi 30 avril 2015 12:21 À : Richard Paré Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS FortiWeb de Fortinet Existe en appliance physique ou en VM Correspond au besoin. Le 30 avr. 2015 à 12:09, Richard Paré richard.pare...@gmail.com a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Retour d'expérience et limitations FortiWifi
Bonjour, On a eu des soucis de ce style avec une autre marque UTM. Des portables qui étaient sur le wifi et câblé en même temps. Cela ne se produit pas de pas de partout. Truc bêtes qui ne devrait pas se produire pourtant mais on l'a mise en évidence. Après quelques galères bien sûr. On ne sait jamais Bon weekend Xavier -Message d'origine- De : Antoine Benkemoun [mailto:antoine.benkem...@gmail.com] Envoyé : jeudi 30 avril 2015 14:58 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Retour d'expérience et limitations FortiWifi Bonjour à tous, Je suis à la recherche de retours d'expérience sur d'éventuels problèmes que vous auriez pu rencontrer sur la partie connectivité Wifi rattachée à un Fortinet. Notre datacentre et nos bureaux sont connectés derrière des Fortigate sans soucis particulier. Notre solution Wifi aux bureaux est basée sur du Cisco sans problème particulier. Récemment, nous avons déployé des équipements (FortiWifi 60D et FAP 221C) dans nos bureaux à l'étranger et nous rencontrons de gros problèmes de débit. La moitié fonctionnent sans problème et l'autre moitié rencontre de gros problèmes de débit. Après avoir mis ça sur le dos des connexions Internet, nous nous rendons compte qu'il semblerait que ça ne soit pas aussi simple. Sur ceux qui ne fonctionnent pas, nous avons de gros soucis de débit et d'expérience utilisateur globalement mauvaise. En 802.11g/n comme en 802.11ac, on a les mêmes débits mauvais. Mauvais = 9M down / 0.4M up. Avec une borne Apple Time Machine (oui je sais...) posée au même endroit, on sature la ligne sans soucis. Vous allez me dire qu'il faut contacter le support Fortinet et vous aurez raison. Néanmoins, c'est déjà fait et on se fait promener car c'est effectivement difficile de prouver que c'est de leur faute et pas de la faute des 15.000 autres facteurs possibles. Une jolie partie de blame game. En câblé pas de problème particulier. Toute fonctionnalité UTM désactivée. Parmi ceux qui ont bossé avec les solutions FortiWifi, quels sont vos retours d'expérience ? Avez-vous rencontré de tels soucis ? Merci d'avance pour votre aide, Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:50, Josselin Lecocq a écrit : Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix, mais il ne faut juste pas l'oublier). La sécurité SSL devient alors trompeuse pour tes utilisateurs qui pensent leur canal de communication sûr, alors qu'en fait, il ne l'est pas tant que ça puisqu'un tiers inconnu intercepte les données de façon opaque sur le chemin... Certes. Mais une appliance (physique ou virtuelle) peut avoir des backdoors... Reste la solution de l'open source. Pas infaillible non plus (cf HeartBleed etc.) mais avec quand même beaucoup plus de visibilité. Sans parler du fait que ce genre de pratique contribue à faire de Cloudflare et des CDN grand public des points de concentration de trafic importants sur Internet, ce qui n'est pas très bon en terme d'architecture (même si c'est plus ou moins réparti). ça c'est ce qui m’embête le plus... En même temps avec le anycast massif, ça fait beaucoup de traffic passant par cette AS mais ça reste local à chaque POP. Je suppose que c'est pas pire que la concentration passant par les gros transitaires ou les GIX ? Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) Certes, mais c'est une garantie d'indépendance et de sécurité (à condition que l'éditeur de l'appliance ne soit pas américain, chinois, ou même français bientôt). Avec une solution externe, qu'elle soit une appliance ou une offre SaaS, de fait on dit adieu l'indépendance, non ? Par ailleurs, un constructeur/éditeur n'ayant pas d’intérêt aux USA ou en chine, ça limite les choix et ça n'est probablement qu'une situation temporaire (en tout cas je leur souhaite ! ;) ). Et tout faire moi même serai irréaliste en temps et en expertise nécessaire, sachant que ça serai juste pour mon petit besoin (parmi tout mes autres besoins)... 8-/ Alors quitte à m'appuyer sur une solution externe dont le code n'est pas public, ben je maintiens mon choix... Ceci dit je bosse aujourd'hui pour une PME, pas pour une banque, un opérateur ou une boite du CAC40 (j'ai pas les même moyens ! ~8-P ) Merci pour cet échange intéressant. Cordialement, Fabrice Josselin Lecocq Quantic Telecom Le 30/04/2015 12:35, Fabrice Vincent a écrit : On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. Faire la même chose qu'eux à la mimine ou avec une box ça va couter beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...) juste mon avis. ;) Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour d'expérience et limitations FortiWifi
Le 30/04/2015 14:57, Antoine Benkemoun a écrit : Bonjour à tous, Je suis à la recherche de retours d'expérience sur d'éventuels problèmes que vous auriez pu rencontrer sur la partie connectivité Wifi rattachée à un Fortinet. Notre datacentre et nos bureaux sont connectés derrière des Fortigate sans soucis particulier. Notre solution Wifi aux bureaux est basée sur du Cisco sans problème particulier. Récemment, nous avons déployé des équipements (FortiWifi 60D et FAP 221C) dans nos bureaux à l'étranger et nous rencontrons de gros problèmes de débit. La moitié fonctionnent sans problème et l'autre moitié rencontre de gros problèmes de débit. Après avoir mis ça sur le dos des connexions Internet, nous nous rendons compte qu'il semblerait que ça ne soit pas aussi simple. Sur ceux qui ne fonctionnent pas, nous avons de gros soucis de débit et d'expérience utilisateur globalement mauvaise. En 802.11g/n comme en 802.11ac, on a les mêmes débits mauvais. Mauvais = 9M down / 0.4M up. Avec une borne Apple Time Machine (oui je sais...) posée au même endroit, on sature la ligne sans soucis. Vous allez me dire qu'il faut contacter le support Fortinet et vous aurez raison. Néanmoins, c'est déjà fait et on se fait promener car c'est effectivement difficile de prouver que c'est de leur faute et pas de la faute des 15.000 autres facteurs possibles. Une jolie partie de blame game. En câblé pas de problème particulier. Toute fonctionnalité UTM désactivée. Parmi ceux qui ont bossé avec les solutions FortiWifi, quels sont vos retours d'expérience ? Avez-vous rencontré de tels soucis ? nous avons eu aussi ce genre de soucis avec des clients. il me semble que ca dépend du firmware déployé sur les FAP221C et sur le FortiGate qui les pilote. êtes-vous en 5.2 sur l'ensemble ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web Le 30/04/2015 12:36, Fabrice Vincent a écrit On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du besoin exprimé (à savoir http entre le proxy et la plateforme) expose les flux en clair entre Cloudflare et la plateforme cible, non? Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Les solutions de F5 (Big IP) ou Citrix (Netscaler) sont très répandues. Cela fait d'ailleurs bien + que simple Reverse-Proxy+Offloading SSL+inspection. On peut faire plein de choses avec et s'adapter à tous les environnements, même complexes. Ça existe en boitier ou en VM. De mémoire; F5 reste très cher, et Citrix est plus compétitif avec le Netscaler qui est quand même un très bon produit. Par contre, je pense que ça sera sur une tranche tarifaire au dessus de Fortinet. Le 30 avril 2015 12:09, Richard Paré richard.pare...@gmail.com a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour d'expérience et limitations FortiWifi
Oui tout en 5.2.2 minimum et la plupart en 5.2.3 (la dernière à ma connaissance). 2015-04-30 15:05 GMT+02:00 Guillaume Tournat guilla...@ironie.org: Le 30/04/2015 14:57, Antoine Benkemoun a écrit : Bonjour à tous, Je suis à la recherche de retours d'expérience sur d'éventuels problèmes que vous auriez pu rencontrer sur la partie connectivité Wifi rattachée à un Fortinet. Notre datacentre et nos bureaux sont connectés derrière des Fortigate sans soucis particulier. Notre solution Wifi aux bureaux est basée sur du Cisco sans problème particulier. Récemment, nous avons déployé des équipements (FortiWifi 60D et FAP 221C) dans nos bureaux à l'étranger et nous rencontrons de gros problèmes de débit. La moitié fonctionnent sans problème et l'autre moitié rencontre de gros problèmes de débit. Après avoir mis ça sur le dos des connexions Internet, nous nous rendons compte qu'il semblerait que ça ne soit pas aussi simple. Sur ceux qui ne fonctionnent pas, nous avons de gros soucis de débit et d'expérience utilisateur globalement mauvaise. En 802.11g/n comme en 802.11ac, on a les mêmes débits mauvais. Mauvais = 9M down / 0.4M up. Avec une borne Apple Time Machine (oui je sais...) posée au même endroit, on sature la ligne sans soucis. Vous allez me dire qu'il faut contacter le support Fortinet et vous aurez raison. Néanmoins, c'est déjà fait et on se fait promener car c'est effectivement difficile de prouver que c'est de leur faute et pas de la faute des 15.000 autres facteurs possibles. Une jolie partie de blame game. En câblé pas de problème particulier. Toute fonctionnalité UTM désactivée. Parmi ceux qui ont bossé avec les solutions FortiWifi, quels sont vos retours d'expérience ? Avez-vous rencontré de tels soucis ? nous avons eu aussi ce genre de soucis avec des clients. il me semble que ca dépend du firmware déployé sur les FAP221C et sur le FortiGate qui les pilote. êtes-vous en 5.2 sur l'ensemble ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil audit de couverture wifi
Ici, nous utilisons inSSIDer : http://www.metageek.com/store/catalog/ Le 30 avril 2015 04:47, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : Sur Mac: http://www.netspotapp.com/ version light gratuite, et version(s) limité sur l'App Store. Avec les réserves déjà évoquées concernant le niveau de sensibilité du matériel. Fabrice Le 29/04/2015 16:24, Louis a écrit : Bonjour Frnog, je cherche un bon outil pour faire un audit de couverture wifi. Je souhaite pouvoir reporter la couverture sur des plans au format autocad ou pdf. Il me faut un support de toutes les normes 802.11 Avez-vous des idées de logiciels et cartes compatibles? cordialement, Louis --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour d'expérience et limitations FortiWifi
Le 30/04/2015 15:07, Antoine Benkemoun a écrit : Oui tout en 5.2.2 minimum et la plupart en 5.2.3 (la dernière à ma connaissance). il me semble de mémoire que les 221C gère mal encore le 802.11ac, et que le workaround pour l'instant est de rester en 5.0.11 sur FortiGate, et en 5.0.* sur les FAP (firmwares spéciaux accessibles par le support fortinet ou revendeur). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour Richard, Il existe comme produit qui peut éventuellement faire l'affaire Kemp que ce soit en physique qu'en VM. Le produit inclus depuis peu une option WAF + possibilité d'utiliser des règles snort. Alex Le 30/04/15 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) - https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Tout a fait Le 30 avr. 2015 à 15:28, Nicolas Gaudin nicolas.gau...@polyconseil.fr a écrit : Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web Le 30/04/2015 12:36, Fabrice Vincent a écrit On utilise Cloudflare(.com) Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN, WAF, et plein d'autres sécurisations et optimisations. J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du besoin exprimé (à savoir http entre le proxy et la plateforme) expose les flux en clair entre Cloudflare et la plateforme cible, non? Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] interco FON courte distance
Pour avoir des liens 1Gbps qui ne dépendent pas d'un seul équipement actif ? David Ponzone Le 1 mai 2015 à 06:51, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Alexandre PIGNÉ a écrit : L'idée est d'identifier les éléments de réseau qui permettraient de mettre en place une interco 10GBps (idéalement) multiplexé (a priori WDM) ces deux bâtiments. Pourquoi multiplexer au lieu de mettre directement des optiques 10Gbps ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] interco FON courte distance
Alexandre PIGNÉ a écrit : L'idée est d'identifier les éléments de réseau qui permettraient de mettre en place une interco 10GBps (idéalement) multiplexé (a priori WDM) ces deux bâtiments. Michel Py a écrit : Pourquoi multiplexer au lieu de mettre directement des optiques 10Gbps ? David Ponzone a écrit : Pour avoir des liens 1Gbps qui ne dépendent pas d'un seul équipement actif ? En théorie, je suis d'accord avec toi mais en pratique, non. J'essaie d'être moins moi que moi un vendredi, mais pour installer des optiques 1 Gbps au jour d'aujourd'hui, faut avoir fumé la moquette. Une paire de fibre, çà passe 1 Tbps en DWDM. Les optiques 1Gbps, c'est l'aujourd'hui des barrettes de PC133 d'hier : je commence à en remplir des cartons. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a écrit : Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) - https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché Équation difficile a résoudre avec le peu de variables données ici. -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] interco FON courte distance
Alexandre PIGNÉ a écrit : L'idée est d'identifier les éléments de réseau qui permettraient de mettre en place une interco 10GBps (idéalement) multiplexé (a priori WDM) ces deux bâtiments. Pourquoi multiplexer au lieu de mettre directement des optiques 10Gbps ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] [TECH] interco FON courte distance
Bonjour, à priori 500 m à vol d'oiseau cela devrait rester dans les moins de 1 km en fibre d'une extrémité à l'autre (points de livraison et lovage inclus). En général les DSP utilisent le km indivisible comme unité. Il faut vérifier le catalogue tarifaire publié par la DSP. si WDM prévu, ce qui est acheté ce n'est pas du débit, mais une continuité optique. Ensuite on met aux extrémités les équipements actifs qui vont bien avec le budget disponible. En tenant compte des distances et des budgets optiques, mais à 1 km (de fibre de qualité opérateur), il faudra peut être même atténuer le signal). 1 fibre ou une paire FON : cela dépend du nombre de lambdas différentes et de la technologie CWDM ou DWDM. Si CWDM en passif : 8 lambdas = 4 flux RX-TX. Il y a aussi des boitiers pas cher qui font du RX-TX sur 2 lambdas sur 1 brin. l'intérêt du CWDM passif c'est lorsqu'on a des noeuds intermédiaires dans des locaux où l'énergie n'est pas garantie par exemple (c'est notre cas) ou alors accès difficile par exemple pas de 24/24 pb de clés, gardiennage etc. On peut aussi faire des boucles passives en introduisant des OADM (Optical add and drop). POur les fournisseurs compétents là dessus par exemple infractive - http://www.infractive.fr/multiplexeur-wdm.html c'est le notre mais cela ne doit pas manquer ; - ne vous fiez pas à leur site web, ce n'est pas leur point fort, mais ce n'est pas ce qu'on leur demande ! - voir aussi le volet OADM y compris en intra bâtiment, en pensant monomode (G652D adaptée au wdm) si il y a de la fibre à poser en neuf, plutôt que l'ancien réflexe multimode à l'intérieur. Les gammes de tarif de tout cela sont très variables selon les contraintes et les débits, mais c'est globalement peu couteux pour les configurations que laisse entendre la demande. C'est plutôt développement durable compatible coté énergie, si on met de coté le volet approvisionnement en terres rares. Attention aux prestataires du monde informatique/LAN/IP : beaucoup croient que ces techno WDM sont d'un coût réservé aux opérateurs et ce n'est pas dans leur mode de pensée. Nous avons tiré en avant nos prestataires Pour les formules : location FON ou PFON, la question est d'amortir les FAS qui incluent la pénétration dans les immeubles (autorisations des propriétaires, etc). possibilité de prendre des IRU (fiscalement considérés comme des investissement/CAPEX au plan fiscal) sur 10-15 ans minimum. Les coûts de maintenance fibre sont faibles (qq centaines d'euro/an pour une PFON, selon les catalogues tarifaires. Daniel MALGUY. De : frnog-requ...@frnog.org [frnog-requ...@frnog.org] de la part de Alexandre PIGNÉ [alex+fr...@lootr.net] Date d'envoi : jeudi 30 avril 2015 17:09 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] interco FON courte distance Bonjour frnog, Tout d'abord, la réflexion peut paraitre naïve, elle est posée par un novice en la matière. Je suis à la recherche de retex ou d'idées à prendre sur le sujet. Je suis en train d'étudier les possibilités d'interconnexion entre deux bâtiments proches (~500m direct) disposant d'une arrivée fibre noire au bord de la rue. Sur le papier, les deux lignes se rejoignent théoriquement sur un même concentrateur. Le réseau ayant été posé par une DSP, nous n'avons pas toutes les informations. Aussi, je ne suis pas certain des choix techniques opérés (s'ils ne sont pas standards). L'idée est d'identifier les éléments de réseau qui permettraient de mettre en place une interco 10GBps (idéalement) multiplexé (a priori WDM) ces deux bâtiments. Pour y faire transiter plusieurs liens 1GBps. En termes d'équipements, est-ce qu'un switch couplé à un multiplexeur de chaque côté peut suffire ? Est-ce que le réseau fibre permet tout simplement cela ? La DSP loue son réseau à la fibre/paire, la paire est-elle nécessaire ? Je jauge mal le besoin. Merci par avance pour vos lumières (*hum*) Cordialement, AP --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] interco FON courte distance
Bonjour frnog, Tout d'abord, la réflexion peut paraitre naïve, elle est posée par un novice en la matière. Je suis à la recherche de retex ou d'idées à prendre sur le sujet. Je suis en train d'étudier les possibilités d'interconnexion entre deux bâtiments proches (~500m direct) disposant d'une arrivée fibre noire au bord de la rue. Sur le papier, les deux lignes se rejoignent théoriquement sur un même concentrateur. Le réseau ayant été posé par une DSP, nous n'avons pas toutes les informations. Aussi, je ne suis pas certain des choix techniques opérés (s'ils ne sont pas standards). L'idée est d'identifier les éléments de réseau qui permettraient de mettre en place une interco 10GBps (idéalement) multiplexé (a priori WDM) ces deux bâtiments. Pour y faire transiter plusieurs liens 1GBps. En termes d'équipements, est-ce qu'un switch couplé à un multiplexeur de chaque côté peut suffire ? Est-ce que le réseau fibre permet tout simplement cela ? La DSP loue son réseau à la fibre/paire, la paire est-elle nécessaire ? Je jauge mal le besoin. Merci par avance pour vos lumières (*hum*) Cordialement, AP --- Liste de diffusion du FRnOG http://www.frnog.org/
