Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Fabien LEBRET]

Bonjour,

Je le fais avec les produits Watchguard, en utilisant l'application
control, après question tarif, tout dépend du nombre de machine derrière.
Il y'a possibilité de brider la bande passante sur X Kbits pour les updates.

Il y'a aussi un système de VM appelé Dimension qui permet de gérer les
journaux avec des tableaux de bord, etc...

Bonne journée,
Fabien

Le 17 octobre 2016 à 14:17, David Ponzone  a écrit
:

> Le sujet est sorti récemment, mais la discussion était de savoir comment
> limiter la casse côté Win10, ce qui n’est pas simple et/ou pas
> industrialisable pour une petite PME.
> En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me
> demande aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui
> arrivent à réellement shaper les mises-à-jour MS en général et Win10 en
> particulier.
> Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie
> des datasheet/white-paper et la réalité.
> Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne
> semble prévu, sauf dans Untangle mais je n’ai pas pu le tester.
> Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires
> d’utilisateurs qui découvraient que ça ne marchait pas.
> Fortinet semble à l’aise, et c’est peut-être parce que d’après un article
> sur leur KB, ils font le shaping en outbound vers MS (
> http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).
>
> Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je
> suis preneur.
>
> David
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[David Ponzone]

Ah ouais j’ai bien pensé au scheduler pour tout couper la journée, mais pas mal 
de clients en TPE/PME éteignent les PC à 18h, donc les MaJ auraient pas souvent 
lieu…
Ecologie, effet de serre, tout ça…

> Le 17 oct. 2016 à 16:26, Nicolas KARP  a écrit :
> 
> Salut David,
> 
> Fortinet semble à l’aise, et c’est peut-être parce que d’après un article sur 
> leur KB, ils font le shaping en outbound vers MS 
> (http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1 
> ).
> 
> 
> On le fait des des Forti en 5.4 et ça marche pas mal. Le shaping est bcp 
> mieux gérer. On bride la journée tous les update et on libère la nuit. En 5.2 
> (ta kb) c'est un peu plus chiant mais c'est possible également.
> 
> Sur les mikrotik on a aussi bloqué toutes les maj crosoft pendant la journée 
> : 
> 
> /ip firewall layer7-protocol add name="Windows Update" 
> regexp="^.*(windowsupdate.microsoft|update.microsoft|windowsupdate|download.windowsupdate|download.microsoft|ntservicepack.microsoft).*"
> /ip firewall filter add comment="Windows Update" chain=forward 
> layer7-protocol="Windows Update" action=drop place-before=0 disabled=no
> /system script add name="Activer Windows Update" source="/ip firewall filter 
> disable numbers=0"
> /system script add name="Desactiver Windows Update" source="/ip firewall 
> filter enable numbers=0"
> /system scheduler add name="Desactiver Windows Update 8h" 
> start-time="08:00:00" interval="1d 00:00:00" on-event="Desactiver Windows 
> Update"
> /system scheduler add name="Activer Windows Update 12h" start-time="12:00:00" 
> interval="1d 00:00:00" on-event="Activer Windows Update"
> /system scheduler add name="Desactiver Windows Update 13h" 
> start-time="13:00:00" interval="1d 00:00:00" on-event="Desactiver Windows 
> Update"
> /system scheduler add name="Activer Windows Update 19h" start-time="19:00:00" 
> interval="1d 00:00:00" on-event="Activer Windows Update"
> 
> ​Cdlt,​
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Guillaume Tournat]

Le 17/10/2016 à 16:49, David Ponzone a écrit :

Hmm c’est quoi le rapport entre le disque local et le shaping ?
Une particularité FortiOS ?



j'ai répondu un peu vite. je viens de vérifier sur un forti, c'est pour 
une autre fonctionnalité (wan optimization)

qu'il faut un disque dans le fortigate. pour le traffic shaping, pas besoin.

au temps pour moi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[David Ponzone]

Hmm c’est quoi le rapport entre le disque local et le shaping ?
Une particularité FortiOS ?

> Le 17 oct. 2016 à 16:19, Guillaume Tournat  a écrit :
> 
> Le 17/10/2016 à 14:17, David Ponzone a écrit :
>> Le sujet est sorti récemment, mais la discussion était de savoir comment 
>> limiter la casse côté Win10, ce qui n’est pas simple et/ou pas 
>> industrialisable pour une petite PME.
>> En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me 
>> demande aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui 
>> arrivent à réellement shaper les mises-à-jour MS en général et Win10 en 
>> particulier.
>> Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie 
>> des datasheet/white-paper et la réalité.
>> Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble 
>> prévu, sauf dans Untangle mais je n’ai pas pu le tester.
>> Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires 
>> d’utilisateurs qui découvraient que ça ne marchait pas.
>> Fortinet semble à l’aise, et c’est peut-être parce que d’après un article 
>> sur leur KB, ils font le shaping en outbound vers MS 
>> (http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1 
>> ).
>> 
>> Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je suis 
>> preneur.
>> 
> 
> En effet, avec FortiOS 5.4, ils savent faire du shaping avec leur base 
> IPS/controle applicatif :
> 
> 
> 
> 
> Sur les modèles d'entrée de gamme, il faut prendre des modèles avec au moins 
> un disque dur intégré.
> Par exemple, il y a les 51/52E qui le font. Le 50E n'ayant pas de disque, ne 
> peut pas le faire.
> 
> Guillaume
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Nicolas KARP]

Salut David,

Fortinet semble à l’aise, et c’est peut-être parce que d’après un article
> sur leur KB, ils font le shaping en outbound vers MS (
> http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).
>


On le fait des des Forti en 5.4 et ça marche pas mal. Le shaping est bcp
mieux gérer. On bride la journée tous les update et on libère la nuit. En
5.2 (ta kb) c'est un peu plus chiant mais c'est possible également.

Sur les mikrotik on a aussi bloqué toutes les maj crosoft pendant la
journée :

/ip firewall layer7-protocol add name="Windows Update"
regexp="^.*(windowsupdate.microsoft|update.microsoft|windowsupdate|download.windowsupdate|download.microsoft|ntservicepack.microsoft).*"
/ip firewall filter add comment="Windows Update" chain=forward
layer7-protocol="Windows Update" action=drop place-before=0 disabled=no
/system script add name="Activer Windows Update" source="/ip firewall
filter disable numbers=0"
/system script add name="Desactiver Windows Update" source="/ip firewall
filter enable numbers=0"
/system scheduler add name="Desactiver Windows Update 8h"
start-time="08:00:00" interval="1d 00:00:00" on-event="Desactiver Windows
Update"
/system scheduler add name="Activer Windows Update 12h"
start-time="12:00:00" interval="1d 00:00:00" on-event="Activer Windows
Update"
/system scheduler add name="Desactiver Windows Update 13h"
start-time="13:00:00" interval="1d 00:00:00" on-event="Desactiver Windows
Update"
/system scheduler add name="Activer Windows Update 19h"
start-time="19:00:00" interval="1d 00:00:00" on-event="Activer Windows
Update"

​Cdlt,​

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Guillaume Tournat]

Le 17/10/2016 à 14:17, David Ponzone a écrit :

Le sujet est sorti récemment, mais la discussion était de savoir comment 
limiter la casse côté Win10, ce qui n’est pas simple et/ou pas industrialisable 
pour une petite PME.
En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me demande 
aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui arrivent à 
réellement shaper les mises-à-jour MS en général et Win10 en particulier.
Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie des 
datasheet/white-paper et la réalité.
Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble 
prévu, sauf dans Untangle mais je n’ai pas pu le tester.
Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires 
d’utilisateurs qui découvraient que ça ne marchait pas.
Fortinet semble à l’aise, et c’est peut-être parce que d’après un article sur leur 
KB, ils font le shaping en outbound vers MS 
(http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).

Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je suis 
preneur.



En effet, avec FortiOS 5.4, ils savent faire du shaping avec leur base 
IPS/controle applicatif :





Sur les modèles d'entrée de gamme, il faut prendre des modèles avec au 
moins un disque dur intégré.
Par exemple, il y a les 51/52E qui le font. Le 50E n'ayant pas de 
disque, ne peut pas le faire.


Guillaume



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Xavier Beaudouin]

Hello David, 

> Oui j’ai bien pensé à cette possibilité, il semblerait qu’en autorisant les
> objets jusqu’à 100Mo, on arrive à cacher une mise à jour win10 correctement.
> Mais:
> -ça oblige à avoir un vrai HD/SSD dans le mini-PC (qui est forcément sur site 
> et
> pas une VM dans le cloud) au lieu d’une flash de juste 4/8GB
> -le jour où MS passe en SSL, finito et bonjour PFSense-in-the-middle et les
> ennuis qui vont avec

Tout à fait, ceci :
http://wiki.squid-cache.org/SquidFaq/WindowsUpdate
est assez explicite comment régler ce pb, même via SSL. Et surtout comment lui 
foutre une baffe pour avoir la paix.

D'une manière générale, ajouter un SSD n'est pas une mauvaise idée et un proxy 
pour justement régler les problèmes dûs a une utilisation non légale de 
l'internet

Ou... Mettre de la ram et mettre /var/squid en ram (c'est sale mais ça 
marche).

Bref de toute façon cet OS est une plaie

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[David Ponzone]

Damien,

merci je pensais bien que Checkpoint savait faire, mais je les ai rayés de ma 
carte pour le segment entrée de gamme.

> Le 17 oct. 2016 à 15:46, Damien Gousseau <dgouss...@checkpoint.com> a écrit :
> 
> Bonjour,
> 
> Concernant Check Point le shaping du windows update doit se faire via 
> "Application Control" la fonction de sécurité de filtrage applicatif de Check 
> Point.
> 
> Cordialement.
> Damien Gousseau.
> 
> -Original Message-
> From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
> David Ponzone
> Sent: lundi 17 octobre 2016 14:18
> To: Frnog-tech
> Subject: [FRnOG] [TECH] UTM et Shaping MS.Update
> 
> Le sujet est sorti récemment, mais la discussion était de savoir comment 
> limiter la casse côté Win10, ce qui n’est pas simple et/ou pas 
> industrialisable pour une petite PME.
> En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me 
> demande aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui 
> arrivent à réellement shaper les mises-à-jour MS en général et Win10 en 
> particulier.
> Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie 
> des datasheet/white-paper et la réalité.
> Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble 
> prévu, sauf dans Untangle mais je n’ai pas pu le tester.
> Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires 
> d’utilisateurs qui découvraient que ça ne marchait pas.
> Fortinet semble à l’aise, et c’est peut-être parce que d’après un article sur 
> leur KB, ils font le shaping en outbound vers MS 
> (http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).
> 
> Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je suis 
> preneur.
> 
> David
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> Email secured by Check Point


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[David Ponzone]

> Hello David,
> 
>> Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie 
>> des
>> datasheet/white-paper et la réalité.
>> Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble
>> prévu, sauf dans Untangle mais je n’ai pas pu le tester.
> 
> Du coté de pfsense en installant squid et en le mettant en mode transparant 
> et/ou avec un wpad tu as dans l'option Local Cache => Dynamic and Update 
> Content la cae "Cache dynamic Content". Assez pratique dans le domaine. Ansi 
> que Traffic Mgmt => Squid Transfer Extension Settings

Oui j’ai bien pensé à cette possibilité, il semblerait qu’en autorisant les 
objets jusqu’à 100Mo, on arrive à cacher une mise à jour win10 correctement.
Mais:
-ça oblige à avoir un vrai HD/SSD dans le mini-PC (qui est forcément sur site 
et pas une VM dans le cloud) au lieu d’une flash de juste 4/8GB
-le jour où MS passe en SSL, finito et bonjour PFSense-in-the-middle et les 
ennuis qui vont avec

> J'ai pas de Win10 pour tester, mais bon vu ce que j'en vois dans mon 
> entourage, ce truc fait des ravages (pertes de fichiers, blocage de ligne 
> xDSL, ...) chez pas mal de gens…

Euh oui, on peut dire ça :)

> Le mieux ne serait-il pas de ne PAS upgrader en 10 ? :p

Oui c’est cela. Comme MS a découvert récemment que les gens ne veulent plus de 
leurs nouvelles versions, ils forcent la main.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] UTM et Shaping MS.Update

[Damien Gousseau]

Bonjour,

Concernant Check Point le shaping du windows update doit se faire via 
"Application Control" la fonction de sécurité de filtrage applicatif de Check 
Point.

Cordialement.
Damien Gousseau.

-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
David Ponzone
Sent: lundi 17 octobre 2016 14:18
To: Frnog-tech
Subject: [FRnOG] [TECH] UTM et Shaping MS.Update

Le sujet est sorti récemment, mais la discussion était de savoir comment 
limiter la casse côté Win10, ce qui n’est pas simple et/ou pas industrialisable 
pour une petite PME.
En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me 
demande aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui 
arrivent à réellement shaper les mises-à-jour MS en général et Win10 en 
particulier.
Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie des 
datasheet/white-paper et la réalité.
Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble 
prévu, sauf dans Untangle mais je n’ai pas pu le tester.
Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires 
d’utilisateurs qui découvraient que ça ne marchait pas.
Fortinet semble à l’aise, et c’est peut-être parce que d’après un article sur 
leur KB, ils font le shaping en outbound vers MS 
(http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).

Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je suis 
preneur.

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Email secured by Check Point

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM et Shaping MS.Update

[Xavier Beaudouin]

Hello David,

> Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie des
> datasheet/white-paper et la réalité.
> Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble
> prévu, sauf dans Untangle mais je n’ai pas pu le tester.

Du coté de pfsense en installant squid et en le mettant en mode transparant 
et/ou avec un wpad tu as dans l'option Local Cache => Dynamic and Update 
Content la cae "Cache dynamic Content". Assez pratique dans le domaine. Ansi 
que Traffic Mgmt => Squid Transfer Extension Settings

J'ai pas de Win10 pour tester, mais bon vu ce que j'en vois dans mon entourage, 
ce truc fait des ravages (pertes de fichiers, blocage de ligne xDSL, ...) chez 
pas mal de gens...

Le mieux ne serait-il pas de ne PAS upgrader en 10 ? :p

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] UTM et Shaping MS.Update

[David Ponzone]

Le sujet est sorti récemment, mais la discussion était de savoir comment 
limiter la casse côté Win10, ce qui n’est pas simple et/ou pas industrialisable 
pour une petite PME.
En attendant que MS sortie une MaJ rectificative, d’ici 2 ou 3 ans, je me 
demande aujourd’hui quels sont les FW/UTM en entrée de gamme (<2000€) qui 
arrivent à réellement shaper les mises-à-jour MS en général et Win10 en 
particulier.
Il y a dans ce domaine semble-t-il, une grosse différence entre la théorie des 
datasheet/white-paper et la réalité.
Côté OpenSource (PfSense, OPnsense, Untangle), rien de spécifique ne semble 
prévu, sauf dans Untangle mais je n’ai pas pu le tester.
Sophos semble le gérer en théorie, mais j’ai lu pas mal de commentaires 
d’utilisateurs qui découvraient que ça ne marchait pas.
Fortinet semble à l’aise, et c’est peut-être parce que d’après un article sur 
leur KB, ils font le shaping en outbound vers MS 
(http://kb.fortinet.com/kb/viewContent.do?externalId=FD36831=1).

Si quelqu’un a des infos concernant d’autres constructeurs/éditeurs, je suis 
preneur.

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/