Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Bruno LEAL DE SOUSA
Hello ! Déjà il te faut deux DMZ. Une interne et une externe grosso modo avec deux Firewall. Ainsi tu met un reverse proxy http/s sur la première de manière à ce que ce soit lui qui encaisse les requetes. Tu as des solutions payante très bien comme F5 mais aussi en open-source avec un simple

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich
> -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Benoît SERRA > Envoyé : jeudi 14 mai 2020 12:52 > À : Olivier Tirat BYON > Cc : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] vmware, firewall dmz > > À mon avis, les failles récen

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Jean-Yves LENHOF
Le 14/05/2020 à 16:34, David Ponzone a écrit : C’est pour ça que les VDOM/VRF/etc.. ont été inventés. A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal. Ca te revient à environ 20€/mois/VDOM. Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si t’as pas

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich
> -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Jean-Yves LENHOF > Envoyé : jeudi 14 mai 2020 16:17 > À : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] vmware, firewall dmz > > Hello, > > Intéressant tout cela et dans le cloud p

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Laurent-Charles FABRE
Plop ! dire que si on compromet le host on compromet le FW c'est équivalent à dire : si on compromet l'OS du RTR/Switch, on compromet le Circuit (vswitch) Et le FW est lui même à 90% un dérivé UX (nux, bsd,rtos etc..) qui est donc hackable dans l'absolue. C'est vrai mais statistiquement

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet David Ponzone
C’est pour ça que les VDOM/VRF/etc.. ont été inventés. A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal. Ca te revient à environ 20€/mois/VDOM. Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si t’as pas tout de suite 250 clients à mettre dessus. Et si tu

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA
Disons que mettre le firewall sur le même hôte que les cm que tu protèges est une aberration, mais si tu mets ton firewall sur un autre hôte, ou que tu utilises les fonctions de virtualisation propres à chaque constructeur, c'est moins pire comme solution. --- Liste de

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Jean-Yves LENHOF
Hello, Intéressant tout cela et dans le cloud public, on fait comment pour le physique ? Je pense que ce type de raisonnement devient de moins en moins vrai... Et admettons que tu soit un hébergeur, tu achètes un firewall pour chacun de tes clients ? Je pense qu'à un moment tu passes sur un

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Adrien Rivas
L'ANSSI a publié deux guides traitant du sujet de cette liste : L'exposition de ressources sur internet : https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf La problématique des ressources réseau virtualisées :

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Michael Hallgren
Moi également, je suis du même avis prudent (là où possible) pour la protection périmétrique. mh 14 mai 2020 12:52 "Benoît SERRA" a écrit: > À mon avis, les failles récentes contredisent cela : une compromission de > l'hôte permet > potentiellement d'exposer toutes les Vm. > > Meme si ces

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA
À mon avis, les failles récentes contredisent cela : une compromission de l'hôte permet potentiellement d'exposer toutes les Vm. Meme si ces failles sont remédiées, on reste exposé à la découverte de nouvelles failles équivalentes... C'est pour ça que le firewall est peut être le seul service

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA
Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte qui l'héberge. --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Daniel via frnog
Bonjour Le 14/05/2020 à 11:04, Thierry Chich a écrit : Bonjour Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment. Peux tu développer les problèmes de sécurité que cela engendre ? Nous

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich
Bonjour Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment. Si c'est gênant, il vaut encore mieux garder un bon firewall physique en frontal chargé des nat, du filtrage depuis internet et des

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Laurent-Charles FABRE
Juste pour du Nat, le 1er Nux venue + IPFilter et hop ! Sous VMWware le Mikrotik marche nickel aussi Avec the Dude même ZeroShell aussi si on veut du Nux et pas du BSD et qu'on est allergique au Shell Le 11/05/2020 à 20:03, David Ponzone a écrit : T’as un vrai besoin de sécurisation, ou

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet David Ponzone
T’as un vrai besoin de sécurisation, ou juste de mettre une couche de NAT en frontal des serveurs ? Sinon, une VM avec un VyOS fera le job pour du NAT, et c’est assez simple à automatiser (CLI juniper-like). > Le 11 mai 2020 à 18:37, Jerome Lien a écrit : > > justement vue les prix fortigate

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Jerome Lien
justement vue les prix fortigate ... pour cette partie de micro dmz, je pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups sur de la production. Garanti sans virus.

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Richard Klein
Bonjour, Netgate = Pfsense Opnsense = ex-pfsense UTM sous pfsense => voir la liste des features : https://www.netgate.com/solutions/pfsense/features.html Richard Le lun. 11 mai 2020 à 17:48, Guillaume Tournat via frnog a écrit : > pfsense est un très bon firewall L4 opensource > > mais

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Guillaume Tournat via frnog
pfsense est un très bon firewall L4 opensource mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif. Le 11/05/2020 à 17:45, Xavier Lemaire a écrit : Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et opensource. Le lun. 11 mai 2020 à 16:19, David Ponzone a

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Xavier Lemaire
Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et opensource. Le lun. 11 mai 2020 à 16:19, David Ponzone a écrit : > Ben demande un devis d’un Forti en VM :) > Je pense que tu vas pousser un cri (j’ai pas encore compris la raison > d’être de ce produit chez eux, à ce prix en

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet David Ponzone
Ben demande un devis d’un Forti en VM :) Je pense que tu vas pousser un cri (j’ai pas encore compris la raison d’être de ce produit chez eux, à ce prix en tout cas). > Le 11 mai 2020 à 15:20, Jerome Lien a écrit : > > Bonjour à tous, > > nous recherchons une méthode, solution pour isoler les

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Jérôme BERTHIER via frnog
Bonjour, Le 11/05/2020 à 15:20, Jerome Lien a écrit : Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par un fortigate physique ... mais il faut avouer que remonter les vlan à chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant. Oui mais ça

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Guillaume Tournat via frnog
Bonjour, La ségrégation du trafic, en particulier celui venant d'internet, est importante pour des questions de sécurité. L'idéal étant d'avoir une rupture protocolaire en dmz, via un équipement intermédiaire. Pour les flux http/https, un reverse proxy WAF sert à cela, en complément du