RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> Radu-Adrian Feurdean a écrit :
> Pour un FAI, techniquement, non.

Je suis d'accord, mais à placer dans le contexte : qui déploient des firewall ? 
pas les FAI (pas pour la partie "transit").
A part ceux qui veulent la fin de la neutralité du net et ralentir Netflix, 
mais là c'est plus du firewall.
Pour bloquer le port 25 en sortie sur l'aDSL, on appelle pas çà firewall non 
plus, çà s'appelle access-list.

Donc je récapépète : dans le contexte, firewall == enterprise.


> Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui 
> est SSL c'est pareil 8 heures par jour,
> t’étonnes pas si a la maison les memes utilisateurs n'arrivent plus a faire 
> la distinction entre un certif normal,
> un EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais 
> c'est le mien.

Tu n'as pas bien lu une de mes contribs récentes : je suis d'accord. A force 
d'avoir des erreurs, on clique sur "ignorer" sans regarder l'erreur et on 
réduit la sécurité.


> Donc si je peux mettre des batons dans les roues a tout le monde qui deploie 
> du "SSL inspection", je vais le faire. 

Je comprends. Mais politiquement, je n'ai pas le choix.


>> Le jour ou tu te feras véroler par quelque chose que tu n'as pas 
>> intercepté parce que tu ne l'as pas scanné, tu changeras d'avis.
> Par contre, le jour ou tu te feras veroler par quelque-chose que tu as déjà
> scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis.

Hélas.


> Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal.

Moi aussi, mais pas à $job[0].

A la maison, j'ai récemment activé (ou au moins, essayé) l'option SSL intercept 
sur le firewall qui marche pour moi à la maison, Untangle. C'est une vraie 
chiotte. J'ai lu la doc, j'ai installé le certificat, etc etc. Les options par 
défaut çà sert à presque rien, les options avancées faut passer sa vie à mettre 
des exceptions. Je vais pas le renouveler, et c'est pas à cause des $50 par an, 
c'est parce que j'ai un taf à temps plein et pas besoin d'un autre. Il y a 2 
utilisateurs, dont moi. L'autre a compris qu'elle aura le mot de passe enable 
quand elle revient à la maison avec son numéro CCIE. A la maison, pas 
d'intercept SSL.

On en revient à la question de base : HTTPS partout, c'est fait. On va pas 
l'enlever. Done deal. Cà fait chier tout le monde et moi en particulier, merci 
de ne pas refaire la connerie avec 3 concurrents pour chaque TLS pour chaque 
protocole.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Radu-Adrian Feurdean]

On Sun, Jul 1, 2018, at 20:45, Michel Py wrote:
> On peut pas avoir de proxy non plus ? Franchement la différence entre un 

Comme FAI, de base non. Il faut que ca soit un service apart.

> proxy et un firewall qui fait de l'inspection SSL est pas vraiment 

Ca depend. Un proxy, de memoire, peut autoriser le SSL en mode aveugle. Ca a 
comme avantage de ne pas casser la chaine de confiance SSL.

> La destination, c'est les yeux de l'utilisateur, pas le PC qui 

Pour un FAI, techniquement, non. C'est soit un "end-user device" (PC, 
telephone, whatever) ou un equipement intermediaire (apartenant au client !!!).

> L'utilisateur n'a pas le droit d'utiliser le réseau de l'entreprise à 
> des fins personnelles. Toutes les données qui transitent sur le réseau 
> de l'entreprise appartiennent à l'entreprise, pas à l'utilisateur. La 

Certainement pas pour un FAI. Meme pour une entreprise, de ce cote le d'eau 
j'ai quelques reserves.

> partie de l'infrastructure de l'entreprise dans laquelle je choisis de 
> scanner (et probablement plus qu'une partie), c'est mon choix; que 
> j'inspecte sur le poste de travail ou sur le firewall, çà ne change 
> absolument rien à la loi.

Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui 
est SSL c'est pareil 8 heures par jour, t’étonnes pas si a la maison les memes 
utilisateurs n'arrivent plus a faire la distinction entre un certif normal, un 
EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais c'est 
le mien. Donc si je peux mettre des batons dans les roues a tout le monde qui 
deploie du "SSL inspection", je vais le faire. 

SSL = "PAS REGARDER DEDANS".
Si toi comme entreprise tu n'est pas d'accord, tu peux bloquer.

> Le jour ou tu te feras véroler par quelque chose que tu n'as pas 
> intercepté parce que tu ne l'as pas scanné, tu changeras d'avis.

Par contre, le jour ou tu te feras veroler par quelque-chose que tu as deja 
scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis.
Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal. Par 
contre je suis d'accord que ce n'est pas applicable a tout le monde.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> Radu-Adrian Feurdean a écrit :
> Tout comme ne pas donner acces a tout l'Internet aux salaries. C'est con, 
> mais ca se fait.

80 % de mes salariés n'ont ni email ni accès à l'Internet et en plus si on les 
pique avec leur téléphone perso à l'intérieur, ç'est bye-bye assuré s'ils ont 
de la chance et Guantanamo si on trouve quelque chose (je suppose, c'est pas 
moi qui décide ou ils vont). Je travaille pas pour l'Internet des bisounours.

Les ingés qui streament le match de foot du bureau, faut qu'ils soient 
intelligents : le match de foot quand il y a rien a faire que ranger son bureau 
ou remplir de la paperasse, c'est pas mon problème. Le match de foot quand il y 
a quelque chose sur le feu, c'est mon problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

On peut pas avoir de proxy non plus ? Franchement la différence entre un proxy 
et un firewall qui fait de l'inspection SSL est pas vraiment grande, surtout 
comme sur un fortigate l'inspection SSL est par défaut en mode "proxy" pas 
"stream".

> Radu-Adrian Feurdean a écrit :
> Avec un antivirus, c'est *APRES* le traffic est arrive a destination.

La destination, c'est les yeux de l'utilisateur, pas le PC qui appartient à 
l'entreprise. Ou ce que l'on fait avec les données, si on les stocke (ce que je 
ne fais pas).
L'utilisateur n'a pas le droit d'utiliser le réseau de l'entreprise à des fins 
personnelles. Toutes les données qui transitent sur le réseau de l'entreprise 
appartiennent à l'entreprise, pas à l'utilisateur. La partie de 
l'infrastructure de l'entreprise dans laquelle je choisis de scanner (et 
probablement plus qu'une partie), c'est mon choix; que j'inspecte sur le poste 
de travail ou sur le firewall, çà ne change absolument rien à la loi.


> Modulo que le contrat (de travail dans ce cas) doit respecter un certain 
> nombre de regles (au moins ici). Et ca c'est valable en entreprise. 

Ici aussi. Par exemple, j'ai pas le droit de lire le courrier des employés ou 
de regarder combien ils gagnent. Mais j'ai le droit de scanner tout ce que je 
veux à condition que je ne stocke pas les données dans lesquelles je ne trouve 
pas de virus.

> Mais ca reste quand-meme la question si c'est le bon chose a faire. Que ca 
> soit en entreprise ou en mode SP. Mon avis c'est que ce n'est pas.

Le jour ou tu te feras véroler par quelque chose que tu n'as pas intercepté 
parce que tu ne l'as pas scanné, tu changeras d'avis.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Radu-Adrian Feurdean]

On Sun, Jul 1, 2018, at 19:14, Michel Py wrote:
> Dans le contexte, qui c'est qui installe un firewall ?

Pas tout le temps, et comme je viens de le dire, meme en entreprise il y a des 
regles. Ne pas avoir un Wifi ouvert aux visiteurs ca se fait. Tout comme ne pas 
donner acces a tout l'Internet aux salaries. C'est con, mais ca se fait.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Radu-Adrian Feurdean]

On Sun, Jul 1, 2018, at 19:14, Michel Py wrote:
> > Radu-Adrian Feurdean
> > La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des 
> > choses
> > qui disent que par default, regarder le traffic c'est totalement interdit.
> 
> C'est complètement débile. Qu'est-ce que çà fait, un antivirus comme 
> Symantec Endpoint ou Malwarebytes ? çà regarde le réseau. C'est qui 
> l'installe, l'administre, et collecte les résultats ? moi, pas 
> l'utisateur. On peut plus avoir d'antivirus Entreprise, non plus ?

Avec un antivirus, c'est *APRES* le traffic est arrive a destination.

> > Comme je le disais, c'est le signal que l'inspection dans le reseau c'est
> > peut-etre (mois je dis "certainement") la mauvaise approche:
> 
> Dans le contexte, qui c'est qui installe un firewall ? l'entreprise. 
> C'est MON réseau, les utilisateurs c'est mes employés, ils ont signé un 
> contrat de travail, et s'ils sont pas d'accord la porte de sortie est 
> toujours ouverte.

Modulo que le contrat (de travail dans ce cas) doit respecter un certain nombre 
de regles (au moins ici). Et ca c'est valable en entreprise. 
Chez un FAI les regles ne sont pas tout a fait les memes. Mais il y a 
quand-meme la possibilite de le faire, s'il y a un service en plus de l'access 
simple. Par contre, de base - interdit. Les FAI qui le font, s'ils ne sont pas 
trop mauvais, ils font payer ce service. 

Mais ca reste quand-meme la question si c'est le bon chose a faire. Que ca soit 
en entreprise ou en mode SP. Mon avis c'est que ce n'est pas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> Radu-Adrian Feurdean
> La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des 
> choses
> qui disent que par default, regarder le traffic c'est totalement interdit.

C'est complètement débile. Qu'est-ce que çà fait, un antivirus comme Symantec 
Endpoint ou Malwarebytes ? çà regarde le réseau. C'est qui l'installe, 
l'administre, et collecte les résultats ? moi, pas l'utisateur. On peut plus 
avoir d'antivirus Entreprise, non plus ?

> Comme je le disais, c'est le signal que l'inspection dans le reseau c'est
> peut-etre (mois je dis "certainement") la mauvaise approche:

Dans le contexte, qui c'est qui installe un firewall ? l'entreprise. C'est MON 
réseau, les utilisateurs c'est mes employés, ils ont signé un contrat de 
travail, et s'ils sont pas d'accord la porte de sortie est toujours ouverte.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Radu-Adrian Feurdean]

On Fri, Jun 29, 2018, at 21:01, Michel Py wrote:
> > Raphaël Jacquot a écrit :
> > c'est possiblement illégal, assimilable a une intrusion dans la vie 
> > personnelle des gens...
> 
> Allo la terre ? Si c'était illégal çà ne serait pas une option chez tous 
> les vendeurs de pare-feu.

La loi n'est pas pareil des deux cote de l'eau. Chez nous il y a encore des 
choses qui disent que par default, regarder le traffic c'est totalement 
interdit. Par contre:
 - modulo un contrat bien fait (surtout maintenant avec la GDPR), le client 
peut souscrire a un service de "nettoyage", qui ouvre la porte a toutes les 
fenetres.
 - meme s'il y a encore des gens qui inistent sur le fait que la loi soit 
respecte en tant que tel, ceux qui ralent haut et fort "securite a tout prix" 
sont parfois assez "violents" dans leur demarches. Il faut en meme temps avoir 
les co*s et les ressources pour les resister.

> C'est parfaitement légal, je ne déchiffre pas les données pour regarder 
> le contenu, mais pour trouver les virus et autres merdiciels.

Ca ne change rien, de base. DE ce cote il faut que les choses soient clairement 
definies pour que tu puisses le faire.

> > Renaud Chaput a écrit :
> > On est trolldredi, c'est ça ? Comment on peut encore dire que mettre du 
> > HTTPS partout est une mauvaise idée ?
> 
> Je dis pas que HTTPS c'est mal, mais le "partout" c'est devenue une 
> chienlit de première classe.

Comme je le disais, c'est le signal que l'inspection dans le reseau c'est 
peut-etre (mois je dis "certainement") la mauvaise approche:

> > Radu-Adrian Feurdean a écrit :
> > Donc le "tout HTTPS" c'est peu-etre la (n-ieme) bonne occasion de re-penser 
> > si ce qu'on fait c'est bien ou non.
> 
> Exactement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

>> Michel Py a écrit :
>> Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS 
>> car les menaces sont chiffrées.

> Raphaël Jacquot a écrit :
> c'est possiblement illégal, assimilable a une intrusion dans la vie 
> personnelle des gens...

Allo la terre ? Si c'était illégal çà ne serait pas une option chez tous les 
vendeurs de pare-feu.
C'est parfaitement légal, je ne déchiffre pas les données pour regarder le 
contenu, mais pour trouver les virus et autres merdiciels.


> Renaud Chaput a écrit :
> On est trolldredi, c'est ça ? Comment on peut encore dire que mettre du HTTPS 
> partout est une mauvaise idée ?

Je dis pas que HTTPS c'est mal, mais le "partout" c'est devenue une chienlit de 
première classe.

> Si tu veux que tes utilisateurs ne soient pas infectés par des pubs vérolées 
> ... installe un adblock
> par défaut sur leur poste ? Ca prend 10 minutes à déployer, et ça bloquera 
> 95% des vecteurs classiques.

Je suis un fan, adblockplus ! C'est bien, mais pas suffisant.


> Radu-Adrian Feurdean a écrit :
> Donc le "tout HTTPS" c'est peu-etre la (n-ieme) bonne occasion de re-penser 
> si ce qu'on fait c'est bien ou non.

Exactement.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Jonathan Leroy]

Le 29 juin 2018 à 10:48, Radu-Adrian Feurdean
 a écrit :
> Ou peut-etre que fait l'interpreter le HTTPS differemment : au lieu de dire 
> que c'est quelque-chose qu'il faut inspecter "en transit", le voire cote 
> reseau en tant que ce qu'il est suppose etre - du traffic de classe "payload 
> is *NOT* your fscking problem, surtout *NE* *PAS* regarder dedans", les 
> transactions bancaires etant un bon exemple - et deplacer la protection vers 
> les end-points.
>
> Parce-que finalement, chaque fois qu'on deploye de la securite "dans le 
> reseau" en commencant a filtrer certaines choses tout en laissant passer 
> d'autres, tout le monde finit par s'alignier sur ce qui n'est pas (et ne peut 
> pas) etre filtre pour encapsuler leurs traffic dedans. Bien-sur, les editeurs 
> de merdiciel sont parmi les premiers a le faire. Donc le "tout HTTPS" c'est 
> peu-etre la (n-ieme) bonne occasion de re-penser si ce qu'on fait c'est bien 
> ou non.

This + 1 000.
Surtout que maintenant les browsers ont les API qui vont bien afin que
les antivirus puissent scanner le contenu des pages sans avoir à faire
du MITM.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Radu-Adrian Feurdean]

On Thu, Jun 28, 2018, at 22:34, Michel Py wrote:
> Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic 
> HTTPS car les menaces sont chiffrées.

Ou peut-etre que fait l'interpreter le HTTPS differemment : au lieu de dire que 
c'est quelque-chose qu'il faut inspecter "en transit", le voire cote reseau en 
tant que ce qu'il est suppose etre - du traffic de classe "payload is *NOT* 
your fscking problem, surtout *NE* *PAS* regarder dedans", les transactions 
bancaires etant un bon exemple - et deplacer la protection vers les end-points.

Parce-que finalement, chaque fois qu'on deploye de la securite "dans le reseau" 
en commencant a filtrer certaines choses tout en laissant passer d'autres, tout 
le monde finit par s'alignier sur ce qui n'est pas (et ne peut pas) etre filtre 
pour encapsuler leurs traffic dedans. Bien-sur, les editeurs de merdiciel sont 
parmi les premiers a le faire. Donc le "tout HTTPS" c'est peu-etre la (n-ieme) 
bonne occasion de re-penser si ce qu'on fait c'est bien ou non.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Michael Hallgren]

Et ne pas toujours possible.
mh


⁣Le 29 juin 2018, à 07:43, "Raphaël Jacquot"  a écrit:



On 28/06/2018 22:34, Michel Py wrote:

Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car 
les menaces sont chiffrées.


c'est possiblement illégal, assimilable a une intrusion dans la vie
personnelle des gens...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Le 29 juin 2018 à 07:43, à 07:43, "Raphaël Jacquot"  a écrit:
>
>
>On 28/06/2018 22:34, Michel Py wrote:
>
>> Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic
>HTTPS car les menaces sont chiffrées.
>
>c'est possiblement illégal, assimilable a une intrusion dans la vie
>personnelle des gens...
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Raphaël Jacquot]

On 28/06/2018 22:34, Michel Py wrote:


Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car 
les menaces sont chiffrées.


c'est possiblement illégal, assimilable a une intrusion dans la vie 
personnelle des gens...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> Xavier Beaudouin a écrit :
> Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu.

Je plussoie, c'était le point que j'essayais de faire avec DNS/TLS. Tant que 
l'ancien système est actif (et il le restera longtemps), c'est un emmerdement 
de plus et un gain questionnable.

Autre exemple : HTTPS.
Utiliser HTTPS pour les transactions bancaires : bonne idée.
Utiliser HTTPS pour les pubs des pages web : mauvaise idée.
Maintenant on est obligés d'inspecter et donc de déchiffrer le trafic HTTPS car 
les menaces sont chiffrées.
C'est pénible, çà marche pas toujours, faut installer un certificat sur les 
postes de travail. En partant d'une bonne idée, on a crée une vulnérabilité car 
il n'est pas toujours possible d'inspecter HTTPS; les malfaisants on bien 
compris le système : maintenant ils distribuent leur merdiciel sur HTTPS.

Chaque fois qu'on introduit un nouveau mécanisme de sécurité, on se complique 
la vie, on perd de la visibilité, et parfois on dégrade la sécurité car la 
nécessité de contourner le mécanisme en question pousse à faire des choses 
pires que le problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Guillaume Barrot]

Franchement, si c'est pour faire du signature based, Clam/Clamwin ou l'AV
embarqué de Windows font suffisament bien (comprendre mal) le job, pas
besoin de passer 2 ans sur le sujet.
Après si on veut vraiment sécuriser le truc, vu les attaques bien merdiques
qu'on voit maintenant, il faut passer sur des solutions bien plus avancés,
avec du sandboxing, etc...

A priori la solution qui a le vent en poupe sur le sujet, c'est Sentinel
One (gagne les marchés bancaires, institutionnels, etc...) qui s'intègre
avec Fortinet justement, ou Palo Alto.
Bon c'est vraiment du truc de grand comptes, faut avouer, mais voilà, c'est
très avancé comme solution.

Le mer. 27 juin 2018 à 14:05, Michael Bazy  a
écrit :

> Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est
> insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité
> dans le traitement, notamment sur les possibilités de faux-positifs,
> d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre,
> etc). La nouvelle génération d'AVs de poste fait de l'analyse
> comportementale pour bloquer les activités processus trop louches (ROP, nop
> sleds, etc...).
>
> Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font
> Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et
> ça devrait venir à terme dans FortiClient.
> Si je ne m'y arrête pas, c'est également ce que font la plupart des
> solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi
> comme ça que fonctionnait un des modules de MalwareBytes il y a quelques
> années).
>
> Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti
> d'un travail conjoint en open source entre des universités françaises et
> américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire.
>
> Michael
> +33628781171
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Michel Py
> Envoyé : mardi 26 juin 2018 23:54
> À : David Ponzone ;
> samuel.gaiani-porq...@infiniteconnection.fr
> Cc : Xavier Beaudouin ; frnog 
> Objet : RE: [FRnOG] [TECH] Solutions firewall NGN
>
> > David Ponzone a écrit :
> > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?
>
> Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le
> pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même
> constructeur, ce qui augmente les chances d'intercepter le virus.
>
> > Il serait donc peut-être intéressant d’établir une liste des solutions
> AV Endpoint sérieuses ?
>
> Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
> McAffee j'évite comme la peste.
> Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).
>
> J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la
> license à vie), mais récemment ils ont complètement pété les plombs. Non
> seulement c'est cher pour la solution Entreprise (plus cher que Symantec)
> et en plus maintenant çà plante; ça fait plusieurs machines récemment (y
> compris une installation fraiche) ou j'ai du l'enlever).
>
> Michel.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michael Bazy]

Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est 
insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans 
le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de 
répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle 
génération d'AVs de poste fait de l'analyse comportementale pour bloquer les 
activités processus trop louches (ROP, nop sleds, etc...).

Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield 
& Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait 
venir à terme dans FortiClient. 
Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions 
AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que 
fonctionnait un des modules de MalwareBytes il y a quelques années). 

Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un 
travail conjoint en open source entre des universités françaises et 
américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire.

Michael
+33628781171

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Michel Py
Envoyé : mardi 26 juin 2018 23:54
À : David Ponzone ; 
samuel.gaiani-porq...@infiniteconnection.fr
Cc : Xavier Beaudouin ; frnog 
Objet : RE: [FRnOG] [TECH] Solutions firewall NGN

> David Ponzone a écrit :
> Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?

Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le 
pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même 
constructeur, ce qui augmente les chances d'intercepter le virus.

> Il serait donc peut-être intéressant d’établir une liste des solutions AV 
> Endpoint sérieuses ?

Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
McAffee j'évite comme la peste.
Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).

J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la 
license à vie), mais récemment ils ont complètement pété les plombs. Non 
seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en 
plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une 
installation fraiche) ou j'ai du l'enlever).

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> David Ponzone a écrit :
> Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?

Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le 
pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même 
constructeur, ce qui augmente les chances d'intercepter le virus.

> Il serait donc peut-être intéressant d’établir une liste des solutions AV 
> Endpoint sérieuses ?

Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
McAffee j'évite comme la peste.
Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).

J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la 
license à vie), mais récemment ils ont complètement pété les plombs. Non 
seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en 
plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une 
installation fraiche) ou j'ai du l'enlever).

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[David Ponzone]

Discussion intéressante, d’autant plus qu’on a tendance à lire/dire que pour 
protéger un PC, il faudrait au moins 4 ou 5 AV Endpoint différents.
Probablement un problème de réputation: les constructeurs de firewall ont une 
réputation, usurpée ou pas, de sérieux, qu’ont moins les éditeurs d’AV Endpoint.
Il serait donc peut-être intéressant d’établir une liste des solutions AV 
Endpoint sérieuses ?
Les solutions AV Endpoint des constructeurs de FW/UTM sont-elles plus sérieuses 
?
Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?


> Le 25 juin 2018 à 09:41, samuel.gaiani-porq...@infiniteconnection.fr a écrit :
> 
> Bonjour à tous,
> 
> Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?) ton 
> pare feu ne va pas te protéger des dernières attaques (Mais en vrai, si la 
> NSA, le KGB ou le Mossad en a après toi, peu de choses vont te protéger à 
> part des bonnes pratiques de gérer ton SI et ton Lan AMHA), mais permets 
> quand même d'évacuer plusieurs problématiques et éviter de tout centraliser 
> sur ton CPE, qui risque soit dit en passant de couter une fortune si ta boîte 
> se refuse à faire confiance à une marque type couteau suisse comme 'Krotik 
> (Non je ne troll pas.) ou EdgeRouter en fonction de tes débits.
> 
> Je trouve personnellement intéressant de diviser certains domaines de 
> responsabilité et de gestion de certains services (Gestion des VPNs Mobiles, 
> gestion de la BP en fonction des besoins etc...), ca évite de devoir mettre 
> les mains trop régulièrement dans ton équipement d'extrémité, de tout lui 
> faire porter, de pouvoir répartir sa gestion plus facilement dans l'équipe 
> etc ... . Mais là, tu n'es pas forcément obligé de dépenser des tonnes pour 
> avoir le bon équipement, il me semble qu'un pfSense fait le travail pour le 
> besoin exprimé en tête de ce thread.
> 
> Après voilà, on est d'accord, aujourd'hui 90% des besoins des entreprises en 
> terme de "Firewalling" sont plus des besoins de gestion du réseau classique, 
> capables d'être assurés par un grnd nombre de routeur, bien plus 
> abordable que les marques de pare feu qui risquent de le faire moins bien 
> d'ailleurs et de créer des limitations (cc la réflexion de Xavier sur les 
> implem' des protocoles réseaux sur les pare feu).
> 
> Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de bien 
> analyser son besoin pour ne pas tomber dans le piège et de payer trop cher? 
> Et de convaincre sa hiérarchie non technique aussi :D
> 
> Do one thing and (maybe) do it well
> 
> Sam
> 
> 
> Le 25.06.2018 09:05, Xavier Beaudouin a écrit :
>> Hello,
>>> Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça.
>>> Déjà, sans firewall, comment tu empêches les gens de se mettre sur le 
>>> réseau et
>>> de sortir sur internet autrement que via ton proxy?
>> Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les
>> pkts qui viennent de ton lan.
>>> Quid des attaques par brute-force/DDos, ou plus généralement des attaques 
>>> qui se
>>> basent sur les paquets? Des vieux serveurs historiques pour la prod sur
>>> lesquels il ne faut surtout rien installer mais quand même protéger ?
>> Sur les DDoS tu crois franchement qu'un firewall vas te protéger des
>> récentes attaques ?
>> Sans compter le coût du biniou pour tenir un vrai DDoS.
>> Quand aux serveurs "historiques" si le port est forwardé a ton vieux
>> serveur alors c'est
>> pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement).
>>> Quand à ton règlement qui empêchent les gens d'avoir des activités non
>>> productives : comment tu contrôles ça justement?
>> Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul.
>>> Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à 
>>> négliger, OK,
>>> mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à
>>> dire que tu t'es un peu emporté un peu vite quand même là, non? :)
>> Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes 
>> sans
>> nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver 
>> une
>> solution de contournement du machin pour arriver a faire leur taf. Je pense
>> qu'un certain nombre de personnes peuvent ici donner plein anecdotes...
>> Sans compter la vision très souvent avec des œillères des
>> constructeurs de firewalls
>> du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont
>> articulées
>> autour des LIMITATION de ces produits plutôt que d'utiliser les choses
>> qui feront
>> un machin redondant.
>> Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu.
>> Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais
>> *peux* y contribuer.
>> La sécurité passe par un ensemble de pratiques du routeur core aux terminaux 
>> en
>> passant par la couche de routage et accessoirement des firewalls.
>> My 0,02€
>> Xavier
>> ---
>> Liste de diffusion 

Re: [FRnOG] [TECH] Solutions firewall NGN

[samuel . gaiani-porquet]

Bonjour à tous,

Clairement, à moins d'avoir des budgets énormes (qui a dit délirant?) 
ton pare feu ne va pas te protéger des dernières attaques (Mais en vrai, 
si la NSA, le KGB ou le Mossad en a après toi, peu de choses vont te 
protéger à part des bonnes pratiques de gérer ton SI et ton Lan AMHA), 
mais permets quand même d'évacuer plusieurs problématiques et éviter de 
tout centraliser sur ton CPE, qui risque soit dit en passant de couter 
une fortune si ta boîte se refuse à faire confiance à une marque type 
couteau suisse comme 'Krotik (Non je ne troll pas.) ou EdgeRouter en 
fonction de tes débits.


Je trouve personnellement intéressant de diviser certains domaines de 
responsabilité et de gestion de certains services (Gestion des VPNs 
Mobiles, gestion de la BP en fonction des besoins etc...), ca évite de 
devoir mettre les mains trop régulièrement dans ton équipement 
d'extrémité, de tout lui faire porter, de pouvoir répartir sa gestion 
plus facilement dans l'équipe etc ... . Mais là, tu n'es pas forcément 
obligé de dépenser des tonnes pour avoir le bon équipement, il me semble 
qu'un pfSense fait le travail pour le besoin exprimé en tête de ce 
thread.


Après voilà, on est d'accord, aujourd'hui 90% des besoins des 
entreprises en terme de "Firewalling" sont plus des besoins de gestion 
du réseau classique, capables d'être assurés par un grnd nombre de 
routeur, bien plus abordable que les marques de pare feu qui risquent de 
le faire moins bien d'ailleurs et de créer des limitations (cc la 
réflexion de Xavier sur les implem' des protocoles réseaux sur les pare 
feu).


Bref beaucoup de marketing ces pare-feux, mais bon c'est aussi au DSI de 
bien analyser son besoin pour ne pas tomber dans le piège et de payer 
trop cher? Et de convaincre sa hiérarchie non technique aussi :D


Do one thing and (maybe) do it well

Sam


Le 25.06.2018 09:05, Xavier Beaudouin a écrit :

Hello,


Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça.

Déjà, sans firewall, comment tu empêches les gens de se mettre sur le 
réseau et

de sortir sur internet autrement que via ton proxy?


Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les
pkts qui viennent de ton lan.

Quid des attaques par brute-force/DDos, ou plus généralement des 
attaques qui se
basent sur les paquets? Des vieux serveurs historiques pour la prod 
sur

lesquels il ne faut surtout rien installer mais quand même protéger ?


Sur les DDoS tu crois franchement qu'un firewall vas te protéger des
récentes attaques ?
Sans compter le coût du biniou pour tenir un vrai DDoS.

Quand aux serveurs "historiques" si le port est forwardé a ton vieux
serveur alors c'est
pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins 
rapidement).



Quand à ton règlement qui empêchent les gens d'avoir des activités non
productives : comment tu contrôles ça justement?


Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul.

Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à 
négliger, OK,
mais de là à dire que les firewalls ne servent à rien... J'aurais 
tendance à

dire que tu t'es un peu emporté un peu vite quand même là, non? :)


Ne servent a rien non, mais sont très (trop ?) souvent un truc à 
emmerdes sans
nom et qui font que les gens qui bossent(tm) passent trop de temps à 
trouver une
solution de contournement du machin pour arriver a faire leur taf. Je 
pense

qu'un certain nombre de personnes peuvent ici donner plein anecdotes...

Sans compter la vision très souvent avec des œillères des
constructeurs de firewalls
du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont
articulées
autour des LIMITATION de ces produits plutôt que d'utiliser les choses
qui feront
un machin redondant.

Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu.

Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, 
mais

*peux* y contribuer.

La sécurité passe par un ensemble de pratiques du routeur core aux 
terminaux en

passant par la couche de routage et accessoirement des firewalls.

My 0,02€
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Xavier Beaudouin]

Hello,

> Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça.
> 
> Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau 
> et
> de sortir sur internet autrement que via ton proxy?

Tu ne fait pas de NAT sur ton routeur ou tu route vers null0 tous les pkts qui 
viennent de ton lan.
 
> Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui 
> se
> basent sur les paquets? Des vieux serveurs historiques pour la prod sur
> lesquels il ne faut surtout rien installer mais quand même protéger ?

Sur les DDoS tu crois franchement qu'un firewall vas te protéger des récentes 
attaques ?
Sans compter le coût du biniou pour tenir un vrai DDoS.

Quand aux serveurs "historiques" si le port est forwardé a ton vieux serveur 
alors c'est 
pareil que de le laisser a poils dehors (ok ça sera 0wn3d moins rapidement).

> Quand à ton règlement qui empêchent les gens d'avoir des activités non
> productives : comment tu contrôles ça justement?

Logs. DPI par exemple, même un EdgeRouter Lite le fait tout seul.
 
> Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, 
> OK,
> mais de là à dire que les firewalls ne servent à rien... J'aurais tendance à
> dire que tu t'es un peu emporté un peu vite quand même là, non? :)

Ne servent a rien non, mais sont très (trop ?) souvent un truc à emmerdes sans 
nom et qui font que les gens qui bossent(tm) passent trop de temps à trouver une
solution de contournement du machin pour arriver a faire leur taf. Je pense
qu'un certain nombre de personnes peuvent ici donner plein anecdotes...

Sans compter la vision très souvent avec des œillères des constructeurs de 
firewalls
du réseau ou des protocoles fait qu'on se retrouve avec infra qui sont 
articulées
autour des LIMITATION de ces produits plutôt que d'utiliser les choses qui 
feront
un machin redondant.

Trop de sécurité nuit à la sécurité, il faut trouver le juste milieu.

Et non un firewall n'est PAS un outil mâgic qui protège tout le réseau, mais 
*peux* y contribuer.

La sécurité passe par un ensemble de pratiques du routeur core aux terminaux en 
passant par la couche de routage et accessoirement des firewalls.

My 0,02€
Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

>>> Guillaume LE PROVOST a écrit :
>>> Quels équipements conseilleriez-vous ?

>> Jérôme Nicolle a écrit :
>> Aucun. La sécurité se gère sur les terminaux, pas dans le réseau.
>> Une redondance entre les AV des terminaux qui en ont besoin et les firewalls 
>> ne sert à rien.

> Michael Bazy a écrit :
> Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça.

C'est vrai, mais çà sentait tellement le troll que personne d'autre n'a répondu 
;-)

Mon avis : l'herbe est toujours plus verte de l'autre coté ;-)
Guillaume, c'est pour ta propre boite ? Ou un client plein de sous ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michael Bazy]

Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. 

Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau et 
de sortir sur internet autrement que via ton proxy?

Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui 
se basent sur les paquets? Des vieux serveurs historiques pour la prod sur 
lesquels il ne faut surtout rien installer mais quand même protéger ? 

(je pourrais continuer mais je pense avoir cité assez d'exemples)

Quand à ton règlement qui empêchent les gens d'avoir des activités non 
productives : comment tu contrôles ça justement? 

Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, 
OK, mais de là à dire que les firewalls ne servent à rien... J'aurais tendance 
à dire que tu t'es un peu emporté un peu vite quand même là, non? :)

A+

Michael
+33628781171

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Jérôme 
Nicolle
Envoyé : jeudi 21 juin 2018 20:18
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Solutions firewall NGN

Guillaume,

Le 23/05/2018 à 16:41, LE PROVOST Guillaume a écrit :
> Quels équipements conseilleriez-vous ?

Aucun. La sécurité se gère sur les terminaux, pas dans le réseau.

Une redondance entre les AV des terminaux qui en ont besoin et les firewalls ne 
sert à rien.

Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais globalement ça 
ne sert à rien : empêcher les utilisateurs de mater facebook ou du porn, ça se 
fait par un règlement, pas par le flicage.

@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Christophe BARRY]

+1 sur les Vdoms

CB





Le 21/06/2018 19:31, « frnog-requ...@frnog.org on behalf of Guillaume
Tournat »  a
écrit :

>
>Bonjour,
>
>Fortinet (les firewalls FortiGate) sont simples à administrer. La WebUI
>est vraiment bien faite.
>
>Pour la CLI, je ne la trouve pas bizarre. Il faut juste veiller, dans
>les changements de version majeure, il peut y avoir des instructions qui
>apparaissent ou qui disparaissent.
>
>Quant aux compétences, il y en aussi. J'ai passé la NSE8 la semaine
>dernière.
>
>(et oui, les vDOMS, c'est top!)
>
>
>gu!llaume
>
>
>Le 21/06/2018 à 18:48, Guillaume Barrot a écrit :
>> " CheckPoint étant plus facile à administrer"
>>
>> Ultra subjectif comme argument.
>>
>> Si tu as sous la main un ingé secu qui a été formé au bon grain de
>> Checkpoint depuis 20 ans, ok.
>> Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant.
>>
>> Encore une fois, si tu es une banque bourrée de thunes, ton choix ne
>>sera
>> pas le même que l'ETI du coin, et encore plus différent que le choix
>>d'un
>> Service Provider.
>> J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3
>>ans,
>> le *seul* constructeur qui a très officiellement refusé de répondre,
>>car il
>> n'avait pas les technos adéquates c'etait Checkpoint.
>> Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne
>>supportant
>> que 1000 VLANs, a répondu. C'est dire.
>>
>> Donc Checkpoint a surement un marché, très très orienté sur la sécurité
>> avancée.
>> On me parle des fois encore de l'interface de Checkpoint, qui serait une
>> référence sur le sujet.
>> Perso je la trouve trop riche, trop confuse, et ingérable pour un gars
>> n'ayant pas un lourd passé sur la techno.
>> A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et
>>plus
>> riche en information concrète, ou celle d'un Fortinet qui est vraiment
>> "neuneu proof", malgré des lacunes sur certaines fonctionnalités pour
>> lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs).
>>
>> Pour de la revente de sécurité en mode "firewall as a service", il n'y a
>> pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix,
>> Palo Alto loin devant pour l'aspect features/usages (l'API est top),
>>malgré
>> un prix ultra élevé.
>> Et les deux sont vraiment très sympas en VM, avec comme bemol un prix
>>élevé
>> sans vraiment d'explication logique (la palme pour Fortinet ou une VM
>>est
>> plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es
>> censé revenir moins cher à Fortinet, vu que tu prends pas le hardware
>>...) .
>> Dans les deux cas, si tu as des bases en admin firewall, la prise en
>>main
>> c'est quelques jours (2-3 max, à moins d'être vraiment particulierement
>> mauvais, ou de mauvaise foi)
>>
>> Le ven. 25 mai 2018 à 06:20, Fabrice  a écrit :
>>
>>> Bonjour,
>>>
>>> Pas forcement d'accord avec toi Guillaume, sur le long terme le
>>>CheckPoint
>>> étant plus facile à administrer tu t'y retrouveras en masse salariale
>>>;).
>>>
>>> Fabrice
>>>
>>> Le 24 mai 2018 à 23:40, Guillaume Barrot  a
>>> écrit :
>>>
 Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta
liste...

 Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume <
 guillaume.leprov...@cotesdarmor.fr> a écrit :

> Bonjour à tous,
>
> Je m'engage dans une démarche de remplacement des firewalls de ma
>boite.
>
> Un premier travail m'amène à la short-list suivante :
>  CHECKPOINT
>  PALOALTO
>  STORMSHIELD
>
> Notre configuration cible devra avoir les capacités suivantes :
>
> -  Cluster de 2 équipements à minima en mode actif / passif
>
> -  Accès internet jusqu'à 500 Mb/s
>
> -  8 interfaces Gigabit cuivre minimum (idéalement 2
>interfaces
> SFP en complément)
>
> -  Modules Antivirus/Antimalware, IPS/IDS, Filtrage
>applicatif,
> Filtrage d'URL (avec authentification utilisateur)
>
> -  Module Sandboxing en option
>
> -  Console d'administration centralisée si indispensable
>pour la
> conservation des traces
>
> -  Possibilité de fonctionner en mode proxy ou non
>
> Avez-vous des retours d'expérience à fournir concernant ces 3
>solutions
 ?
> Quels équipements conseilleriez-vous ?
>
> Merci d'avance pour vos retours avisés.
>
> Cordialement.
>
> Guillaume.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>>
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Raphael Mazelier]

On 21/06/2018 20:18, Jérôme Nicolle wrote:



Aucun. La sécurité se gère sur les terminaux, pas dans le réseau.

Une redondance entre les AV des terminaux qui en ont besoin et les
firewalls ne sert à rien.

Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais
globalement ça ne sert à rien : empêcher les utilisateurs de mater
facebook ou du porn, ça se fait par un règlement, pas par le flicage.



Tout dépend du role que l'on veut attribuer à un firewall d'entreprise.
On y colle souvent un peu toutes les fonctions (vpn, nat-in, analyse 
d'activités utilisateurs, etc...) qui devraient être segmentées dans 
différents équipements.


Cela dépend aussi grandement de la typologie de l'entreprise, et de sa 
maturité technique. Si elle faible, il y a fort à parier que la solution 
AV va être faible. Dans ce cas avoir un firewall filtrant en sortie 
n'est pas forcément déconnant. C'est déceptif car on devrait juste tout 
ouvrir, faire confiance aux gens, et juste installer un flow pour 
tracker les petits plaisantins. Malheuresement on sait tous ce qu'il en est.



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Jérôme Nicolle]

Guillaume,

Le 23/05/2018 à 16:41, LE PROVOST Guillaume a écrit :
> Quels équipements conseilleriez-vous ?

Aucun. La sécurité se gère sur les terminaux, pas dans le réseau.

Une redondance entre les AV des terminaux qui en ont besoin et les
firewalls ne sert à rien.

Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais
globalement ça ne sert à rien : empêcher les utilisateurs de mater
facebook ou du porn, ça se fait par un règlement, pas par le flicage.

@+

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Guillaume Tournat]

Bonjour,

Fortinet (les firewalls FortiGate) sont simples à administrer. La WebUI 
est vraiment bien faite.


Pour la CLI, je ne la trouve pas bizarre. Il faut juste veiller, dans 
les changements de version majeure, il peut y avoir des instructions qui 
apparaissent ou qui disparaissent.


Quant aux compétences, il y en aussi. J'ai passé la NSE8 la semaine 
dernière.


(et oui, les vDOMS, c'est top!)


gu!llaume


Le 21/06/2018 à 18:48, Guillaume Barrot a écrit :

" CheckPoint étant plus facile à administrer"

Ultra subjectif comme argument.

Si tu as sous la main un ingé secu qui a été formé au bon grain de
Checkpoint depuis 20 ans, ok.
Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant.

Encore une fois, si tu es une banque bourrée de thunes, ton choix ne sera
pas le même que l'ETI du coin, et encore plus différent que le choix d'un
Service Provider.
J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3 ans,
le *seul* constructeur qui a très officiellement refusé de répondre, car il
n'avait pas les technos adéquates c'etait Checkpoint.
Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne supportant
que 1000 VLANs, a répondu. C'est dire.

Donc Checkpoint a surement un marché, très très orienté sur la sécurité
avancée.
On me parle des fois encore de l'interface de Checkpoint, qui serait une
référence sur le sujet.
Perso je la trouve trop riche, trop confuse, et ingérable pour un gars
n'ayant pas un lourd passé sur la techno.
A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et plus
riche en information concrète, ou celle d'un Fortinet qui est vraiment
"neuneu proof", malgré des lacunes sur certaines fonctionnalités pour
lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs).

Pour de la revente de sécurité en mode "firewall as a service", il n'y a
pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix,
Palo Alto loin devant pour l'aspect features/usages (l'API est top), malgré
un prix ultra élevé.
Et les deux sont vraiment très sympas en VM, avec comme bemol un prix élevé
sans vraiment d'explication logique (la palme pour Fortinet ou une VM est
plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es
censé revenir moins cher à Fortinet, vu que tu prends pas le hardware ...) .
Dans les deux cas, si tu as des bases en admin firewall, la prise en main
c'est quelques jours (2-3 max, à moins d'être vraiment particulierement
mauvais, ou de mauvaise foi)

Le ven. 25 mai 2018 à 06:20, Fabrice  a écrit :


Bonjour,

Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint
étant plus facile à administrer tu t'y retrouveras en masse salariale ;).

Fabrice

Le 24 mai 2018 à 23:40, Guillaume Barrot  a
écrit :


Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste...

Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume <
guillaume.leprov...@cotesdarmor.fr> a écrit :


Bonjour à tous,

Je m'engage dans une démarche de remplacement des firewalls de ma boite.

Un premier travail m'amène à la short-list suivante :
 CHECKPOINT
 PALOALTO
 STORMSHIELD

Notre configuration cible devra avoir les capacités suivantes :

-  Cluster de 2 équipements à minima en mode actif / passif

-  Accès internet jusqu'à 500 Mb/s

-  8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces
SFP en complément)

-  Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif,
Filtrage d'URL (avec authentification utilisateur)

-  Module Sandboxing en option

-  Console d'administration centralisée si indispensable pour la
conservation des traces

-  Possibilité de fonctionner en mode proxy ou non

Avez-vous des retours d'expérience à fournir concernant ces 3 solutions

?

Quels équipements conseilleriez-vous ?

Merci d'avance pour vos retours avisés.

Cordialement.

Guillaume.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Guillaume Barrot]

" CheckPoint étant plus facile à administrer"

Ultra subjectif comme argument.

Si tu as sous la main un ingé secu qui a été formé au bon grain de
Checkpoint depuis 20 ans, ok.
Perso, des mecs compétents sur Fortinet, j'en trouve au moins autant.

Encore une fois, si tu es une banque bourrée de thunes, ton choix ne sera
pas le même que l'ETI du coin, et encore plus différent que le choix d'un
Service Provider.
J'ai fait un AO pour choisir du Firewall NGN en contexte SP il y a 3 ans,
le *seul* constructeur qui a très officiellement refusé de répondre, car il
n'avait pas les technos adéquates c'etait Checkpoint.
Même Cisco, qui pourtant arrivait en 2016 avec des firewalls ne supportant
que 1000 VLANs, a répondu. C'est dire.

Donc Checkpoint a surement un marché, très très orienté sur la sécurité
avancée.
On me parle des fois encore de l'interface de Checkpoint, qui serait une
référence sur le sujet.
Perso je la trouve trop riche, trop confuse, et ingérable pour un gars
n'ayant pas un lourd passé sur la techno.
A comparer avec l'interface d'un PaloAlto beaucoup plus intuitive, et plus
riche en information concrète, ou celle d'un Fortinet qui est vraiment
"neuneu proof", malgré des lacunes sur certaines fonctionnalités pour
lesquelles il faut repasser en CLI (CLI assez zarbi par ailleurs).

Pour de la revente de sécurité en mode "firewall as a service", il n'y a
pas photo, Fortinet en vDOM est loin devant, surtout pour l'aspect prix,
Palo Alto loin devant pour l'aspect features/usages (l'API est top), malgré
un prix ultra élevé.
Et les deux sont vraiment très sympas en VM, avec comme bemol un prix élevé
sans vraiment d'explication logique (la palme pour Fortinet ou une VM est
plus chere qu'un boitier à perf equivalente, alors que sur la VM tu es
censé revenir moins cher à Fortinet, vu que tu prends pas le hardware ...) .
Dans les deux cas, si tu as des bases en admin firewall, la prise en main
c'est quelques jours (2-3 max, à moins d'être vraiment particulierement
mauvais, ou de mauvaise foi)

Le ven. 25 mai 2018 à 06:20, Fabrice  a écrit :

> Bonjour,
>
> Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint
> étant plus facile à administrer tu t'y retrouveras en masse salariale ;).
>
> Fabrice
>
> Le 24 mai 2018 à 23:40, Guillaume Barrot  a
> écrit :
>
>> Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste...
>>
>> Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume <
>> guillaume.leprov...@cotesdarmor.fr> a écrit :
>>
>> > Bonjour à tous,
>> >
>> > Je m'engage dans une démarche de remplacement des firewalls de ma boite.
>> >
>> > Un premier travail m'amène à la short-list suivante :
>> > CHECKPOINT
>> > PALOALTO
>> > STORMSHIELD
>> >
>> > Notre configuration cible devra avoir les capacités suivantes :
>> >
>> > -  Cluster de 2 équipements à minima en mode actif / passif
>> >
>> > -  Accès internet jusqu'à 500 Mb/s
>> >
>> > -  8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces
>> > SFP en complément)
>> >
>> > -  Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif,
>> > Filtrage d'URL (avec authentification utilisateur)
>> >
>> > -  Module Sandboxing en option
>> >
>> > -  Console d'administration centralisée si indispensable pour la
>> > conservation des traces
>> >
>> > -  Possibilité de fonctionner en mode proxy ou non
>> >
>> > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions
>> ?
>> >
>> > Quels équipements conseilleriez-vous ?
>> >
>> > Merci d'avance pour vos retours avisés.
>> >
>> > Cordialement.
>> >
>> > Guillaume.
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>> >
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Fabrice]

Bonjour,

Pas forcement d'accord avec toi Guillaume, sur le long terme le CheckPoint
étant plus facile à administrer tu t'y retrouveras en masse salariale ;).

Fabrice

Le 24 mai 2018 à 23:40, Guillaume Barrot  a
écrit :

> Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste...
>
> Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume <
> guillaume.leprov...@cotesdarmor.fr> a écrit :
>
> > Bonjour à tous,
> >
> > Je m'engage dans une démarche de remplacement des firewalls de ma boite.
> >
> > Un premier travail m'amène à la short-list suivante :
> > CHECKPOINT
> > PALOALTO
> > STORMSHIELD
> >
> > Notre configuration cible devra avoir les capacités suivantes :
> >
> > -  Cluster de 2 équipements à minima en mode actif / passif
> >
> > -  Accès internet jusqu'à 500 Mb/s
> >
> > -  8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces
> > SFP en complément)
> >
> > -  Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif,
> > Filtrage d'URL (avec authentification utilisateur)
> >
> > -  Module Sandboxing en option
> >
> > -  Console d'administration centralisée si indispensable pour la
> > conservation des traces
> >
> > -  Possibilité de fonctionner en mode proxy ou non
> >
> > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ?
> >
> > Quels équipements conseilleriez-vous ?
> >
> > Merci d'avance pour vos retours avisés.
> >
> > Cordialement.
> >
> > Guillaume.
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Guillaume Barrot]

Si tu souhaites garder tes deux reins, vite donc Checkpoint de ta liste...

Le mer. 23 mai 2018 à 16:41, LE PROVOST Guillaume <
guillaume.leprov...@cotesdarmor.fr> a écrit :

> Bonjour à tous,
>
> Je m'engage dans une démarche de remplacement des firewalls de ma boite.
>
> Un premier travail m'amène à la short-list suivante :
> CHECKPOINT
> PALOALTO
> STORMSHIELD
>
> Notre configuration cible devra avoir les capacités suivantes :
>
> -  Cluster de 2 équipements à minima en mode actif / passif
>
> -  Accès internet jusqu'à 500 Mb/s
>
> -  8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces
> SFP en complément)
>
> -  Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif,
> Filtrage d'URL (avec authentification utilisateur)
>
> -  Module Sandboxing en option
>
> -  Console d'administration centralisée si indispensable pour la
> conservation des traces
>
> -  Possibilité de fonctionner en mode proxy ou non
>
> Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ?
>
> Quels équipements conseilleriez-vous ?
>
> Merci d'avance pour vos retours avisés.
>
> Cordialement.
>
> Guillaume.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Stephane Perez]

Bonjour,

 Tout dépends du besoin (filtrage, sécurisation, etc) et je pense qu'il
faudrait plutôt partir de l'approche de la sécurité à mettre en oeuvre afin
de déterminer la meilleure stratégie.

Cependant quelques points de reflexion par rapport à mon expérience:

Un FW Checkpoint n'est pas indépendant d'une station de management, certes
le management est très bien fait mais cela nécessite donc une VM ou un
serveur dédié pour gérer le FW s'il n'y a pas d'autre équipement dans la
boucle cela amène un surcoût non négligeable tant en terme OPEX que CAPEX.

Si on se positionne d'un point de vue Sécurité et surtout des points de vue
gouvernement Français, le Stormshield est assez répandu car c'est un des
rares sinon le seul qui est validé au plus haut niveau de sécurité par
l'ANSSI, c'est un peu le couteau suisse et plutôt bien ficelé, toutefois on
peut être dérouté par rapport aux méthodes de configuration de l'outil.


En dernier lieu et ce serait ma recommendation, le PaloAlto un PA-850 fera
très bien l'affaire (4*1Gbps Cuivre + 4 SFP + 2*10Gbps SFP+) compte tenu
des besoins même si la fonction proxy peut paraître un point limitatif,
mais il ne nécessite pas de console centralisée, (on pourra l'ajouter
ensuite) et si on pars ensuite dans un mode sécurité unifiée on pourra
utiliser des solutions telles que TRAPS, WildFire afin de garantir
l'ensemble des aspects de sécurité de manière unifiée au niveau du poste de
travail.

Tu peux me contacter en MP pour en parler plus en détail, je te donnerai
mes coordonnées pro ensuite (étant dans la partie).

Cordialement
Stéph

Le 23 mai 2018 à 16:41, LE PROVOST Guillaume <
guillaume.leprov...@cotesdarmor.fr> a écrit :

> Bonjour à tous,
>
> Je m'engage dans une démarche de remplacement des firewalls de ma boite.
>
> Un premier travail m'amène à la short-list suivante :
> CHECKPOINT
> PALOALTO
> STORMSHIELD
>
> Notre configuration cible devra avoir les capacités suivantes :
>
> -  Cluster de 2 équipements à minima en mode actif / passif
>
> -  Accès internet jusqu'à 500 Mb/s
>
> -  8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces
> SFP en complément)
>
> -  Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif,
> Filtrage d'URL (avec authentification utilisateur)
>
> -  Module Sandboxing en option
>
> -  Console d'administration centralisée si indispensable pour la
> conservation des traces
>
> -  Possibilité de fonctionner en mode proxy ou non
>
> Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ?
>
> Quels équipements conseilleriez-vous ?
>
> Merci d'avance pour vos retours avisés.
>
> Cordialement.
>
> Guillaume.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[Pierre Jouet]

Hello,

Je vote comme David. Une raison particulière pour laquelle tu n'as pas
short-listé fortinet ?

Le combo fortigate + fortimanager + fortisandbox semble quand meme plutôt
bien répondre à tes attentes.

Pierre

2018-05-23 17:28 GMT+02:00 David Ponzone :

> Fortinet ?
>
> Sent from Mailspring (https://link.getmailspring.
> com/link/1527089212.local-e5af95b7-c79a-v1.2.1-7e7447b6@
> getmailspring.com/0?redirect=https%3A%2F%2Fgetmailspring.com%2F=
> ZnJub2ctdGVjaEBmcm5vZy5vcmc%3D), the best free email app for work
> On mai 23 2018, at 4:41 pm, LE PROVOST Guillaume  cotesdarmor.fr> wrote:
> >
> > Bonjour à tous,
> > Je m'engage dans une démarche de remplacement des firewalls de ma boite.
> > Un premier travail m'amène à la short-list suivante :
> > CHECKPOINT
> > PALOALTO
> > STORMSHIELD
> >
> > Notre configuration cible devra avoir les capacités suivantes :
> > - Cluster de 2 équipements à minima en mode actif / passif
> > - Accès internet jusqu'à 500 Mb/s
> > - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en
> complément)
> > - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage
> d'URL (avec authentification utilisateur)
> > - Module Sandboxing en option
> > - Console d'administration centralisée si indispensable pour la
> conservation des traces
> > - Possibilité de fonctionner en mode proxy ou non
> > Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ?
> > Quels équipements conseilleriez-vous ?
> > Merci d'avance pour vos retours avisés.
> > Cordialement.
> > Guillaume.
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solutions firewall NGN

[David Ponzone]

Fortinet ?

Sent from Mailspring 
(https://link.getmailspring.com/link/1527089212.local-e5af95b7-c79a-v1.2.1-7e744...@getmailspring.com/0?redirect=https%3A%2F%2Fgetmailspring.com%2F=ZnJub2ctdGVjaEBmcm5vZy5vcmc%3D),
 the best free email app for work
On mai 23 2018, at 4:41 pm, LE PROVOST Guillaume 
 wrote:
>
> Bonjour à tous,
> Je m'engage dans une démarche de remplacement des firewalls de ma boite.
> Un premier travail m'amène à la short-list suivante :
> CHECKPOINT
> PALOALTO
> STORMSHIELD
>
> Notre configuration cible devra avoir les capacités suivantes :
> - Cluster de 2 équipements à minima en mode actif / passif
> - Accès internet jusqu'à 500 Mb/s
> - 8 interfaces Gigabit cuivre minimum (idéalement 2 interfaces SFP en 
> complément)
> - Modules Antivirus/Antimalware, IPS/IDS, Filtrage applicatif, Filtrage d'URL 
> (avec authentification utilisateur)
> - Module Sandboxing en option
> - Console d'administration centralisée si indispensable pour la conservation 
> des traces
> - Possibilité de fonctionner en mode proxy ou non
> Avez-vous des retours d'expérience à fournir concernant ces 3 solutions ?
> Quels équipements conseilleriez-vous ?
> Merci d'avance pour vos retours avisés.
> Cordialement.
> Guillaume.
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/