subject:"RE\: \[FRnOG\] \[TECH\] vmware, firewall dmz"

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Bruno LEAL DE SOUSA

Hello !
Déjà il te faut deux DMZ. Une interne et une externe grosso modo avec deux
Firewall.
Ainsi tu met un reverse proxy http/s sur la première de manière à ce que ce
soit lui qui encaisse les requetes. Tu as des solutions payante très bien
comme F5 mais aussi en open-source avec un simple serveur apache (moins
sexy et moins pratique).
Ensuite en fonction de ton archi et de tes équipements réseaux tu peux
aussi faire de la micro segmentation avec du private vlan.

En tout cas si tu veux faire du pfsense en VM sache que tu peux y aller moi
je l'ai déjà fait en prod dans le milieu industriel et ça fonctionne très
bien ! Mais en deuxième Firewall.. après le front que dans ton cas est le
Fortigate.

Beaucoup de possibilités en toit cas !

Bruno LEAL DE SOUSA
06.01.23.45.96

Le lun. 11 mai 2020 à 17:46, Xavier Lemaire  a
écrit :

> Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
> opensource.
>
> Le lun. 11 mai 2020 à 16:19, David Ponzone  a
> écrit :
>
> > Ben demande un devis d’un Forti en VM :)
> > Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> > d’être de ce produit chez eux, à ce prix en tout cas).
> >
> > > Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> > >
> > > Bonjour à tous,
> > >
> > > nous recherchons une méthode, solution pour isoler les
> > > vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> > > plusieurs type de vm devant écouter du https, ftp, et d'autres
> protocoles
> > > plus ou moins fiable avec des languages/os plus ou moins à jours.
> > > Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> > par
> > > un fortigate physique ... mais il faut avouer que remonter les vlan à
> > > chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> > fatiguant.
> > > Du coups, on réfléchi à monter un firewall en VM, par exemple un
> pfsense,
> > > opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> > > l’extérieur.
> > >
> > > avez vous des retours sur ce type d'archi ? ou est ce complètement ***
> ?
> > :-)
> > >
> > > ä l'écoute de toutes proposition,
> > > jerome et merci d'avance
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich

> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Benoît SERRA
> Envoyé : jeudi 14 mai 2020 12:52
> À : Olivier Tirat BYON 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] vmware, firewall dmz
> 
> À mon avis, les failles récentes contredisent cela : une compromission de
> l'hôte permet potentiellement d'exposer toutes les Vm.
> 

Une compromission de l'hôte, l'ESX ? Ben y a pas besoin de failles récente. 
C'est évident que si on a pris la main sur l'hôte, on a la main sur l'ensemble. 
Ce qui est plus discuté, c'est la possibilité de passer de VM à hote. Certaines 
choses indiquent que c'est possible, mais ça reste très compliqué. Cela dit, on 
est pas à l'abri d'une accélération hardware mal gaulée qui puisse un jour être 
exploitée pour remonter sur l'hôte.


> Meme si ces failles sont remédiées, on reste exposé à la découverte de
> nouvelles failles équivalentes...
> 
> C'est pour ça que le firewall est peut être le seul service que je ne
> virtualiserai jamais en production.

Tout en fait. En tout cas, le frontal.

Cordialement

> 
> 14 mai 2020 12:39:11 Olivier Tirat BYON :
> 
> >   A priori ce défaut est facilement contournable  avec un saine gestion 
> > de
> >
> > l'isolation des réseaux.
> >
> >
> >  Le problème qui se pose ici est celui de la migration des
> >
> > infrastructures réseaux dans des environnements virtualisés.
> >
> >
> >  Je connais qu'une solution technologique qui fonctionne et qui préserve
> >
> > l'existant mais je ne lui ferai pas de pub sur la liste.
> >
> >
> >  Si ca vous interesse contactez moi directement.
> >
> >
> >
> >  Olivier
> >
> >
> >
> >
> >
> >  Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> >
> >
> >
> >
> > >Le défaut majeur d'un firewall virtuel c'est la compromission de 
> > > l'hôte
> qui l'héberge.
> > >
> > >
> > >
> > >   ---
> > >
> > > Liste de diffusion du FRnOG
> > >
> > > http://www.frnog.org/
> > >
> > >
> > >
> >
> >
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Jean-Yves LENHOF




Le 14/05/2020 à 16:34, David Ponzone a écrit :

C’est pour ça que les VDOM/VRF/etc.. ont été inventés.

A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal.
Ca te revient à environ 20€/mois/VDOM.
Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si 
t’as pas tout de suite 250 clients à mettre dessus.
Et si tu veux commencer sur un chassis plus petit, ils sont tous limités à 10 
VDOM, donc rapidement tu te tapes 75k€ pour le 1100E. Et pour ce prix là, c’est 
10 VDOM.
150k€ de plus pour 240 VDOM de plus.
Donc faut trouver un modèle technico-financier qui limite le CAPEX mais aussi 
les migrations de client d’un chassis à un autre.


Sur de l'archi vmware dans un cloud à Papa oui...  (C'est le sujet que 
j'ai fait un peu plus dérapé, désolé)


Dans le Cloud Public, tu ne peux pas ajouter ton propre cisco physique 
et le découper en tranche virtuelle !!! Tu as directement affaire à du SDN.


Tu peux éventuellement mettre un FW virtuel, mais pas de physique 
découpé en virtuel... Et encore j'ai l'impression que cela n'est pas 
spécialement le modèle poussé, c'est plutôt dans une phase intermédiaire 
lorsque tu n'as pas repensé complétement ton archi en mode cloud.


Et si qqu'un me parle de sécurité, je viendrais volontiers voir que les 
firmware (surtout réseau ou FW) sont toujours au top dans toute votre 
infrastructure... Lorsque l'on est sur du FW complétement virtuel, le 
retour arrière me semble un tantinet plus facile, non ?


JYL


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich




> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Jean-Yves LENHOF
> Envoyé : jeudi 14 mai 2020 16:17
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] vmware, firewall dmz
> 
> Hello,
> 
> Intéressant tout cela et dans le cloud public, on fait comment pour le
> physique ?
> 
> Je pense que ce type de raisonnement devient de moins en moins vrai...
> 

Je ne pense pas, non

> Et admettons que tu soit un hébergeur, tu achètes un firewall pour chacun
> de tes clients ? Je pense qu'à un moment tu passes sur un modèle plus
> virtuel que physique, non ?
> 


Pas besoin. Tu mets ton propre firewall, et après, tu donnes accès à des 
firewalls éventuellement virtualisés à tes clients. 

> Cordialement,
> 
> 
> Le 14/05/2020 à 14:22, Adrien Rivas a écrit :
> > L'ANSSI a publié deux guides traitant du sujet de cette liste :
> >
> > L'exposition de ressources sur internet :
> > https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux
> > -zone-exposee-internet_anssi_pa_044_v1.pdf
> > La problématique des ressources réseau virtualisées :
> >
> https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-
> > 1.pdf
> > (les risques sont traités P8)
> >
> > Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
> > vlan's, le tout passant par  un fortigate physique ... mais il faut
> > avouer que remonter les vlan à chaque fois, fortigate..., switch, 
> > vswitch
> ...
> > c'est plutôt fatiguant" *perso nous déployons de plus en plus des
> > Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
> > affecter visuellement les vlans directement sur le port de
> > destination, c'est assez bien fait et pratique à utiliser je trouve.
> > Autre avantage, quand tu sauvegardes la config du Fortigate, tu
> > sauvegardes par mégarde la config des switchs avec
> >
> > Le jeu. 14 mai 2020 à 14:01, Michael Hallgren  a écrit :
> >
> >> Moi également, je suis du même avis prudent (là où possible) pour la
> >> protection périmétrique.
> >>
> >> mh
> >>
> >> 14 mai 2020 12:52 "Benoît SERRA"  a écrit:
> >>
> >>> À mon avis, les failles récentes contredisent cela : une
> >>> compromission
> >> de l'hôte permet
> >>> potentiellement d'exposer toutes les Vm.
> >>>
> >>> Meme si ces failles sont remédiées, on reste exposé à la découverte
> >>> de
> >> nouvelles failles
> >>> équivalentes...
> >>>
> >>> C'est pour ça que le firewall est peut être le seul service que je
> >>> ne
> >> virtualiserai jamais en
> >>> production.
> >>>
> >>> 14 mai 2020 12:39:11 Olivier Tirat BYON
> >>>  >>> :
> >>>
> >>>> A priori ce défaut est facilement contournable  avec un saine
> >>>> gestion de
> >>>>
> >>>> l'isolation des réseaux.
> >>>>
> >>>> Le problème qui se pose ici est celui de la migration des
> >>>>
> >>>> infrastructures réseaux dans des environnements virtualisés.
> >>>>
> >>>> Je connais qu'une solution technologique qui fonctionne et qui
> >>>> préserve
> >>>>
> >>>> l'existant mais je ne lui ferai pas de pub sur la liste.
> >>>>
> >>>> Si ca vous interesse contactez moi directement.
> >>>>
> >>>> Olivier
> >>>>
> >>>> Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> >>>>
> >>>> Le défaut majeur d'un firewall virtuel c'est la compromission de
> >>>> l'hôte
> >> qui l'héberge.
> >>>> ---
> >>>>
> >>>> Liste de diffusion du FRnOG
> >>>>
> >>>> http://www.frnog.org
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Laurent-Charles FABRE


Plop !

dire que si on compromet le host on compromet le FW c'est équivalent à 
dire : si on compromet l'OS du RTR/Switch, on compromet le Circuit (vswitch)
Et le FW est lui même à 90% un dérivé UX (nux, bsd,rtos etc..) qui est 
donc hackable dans l'absolue.


C'est vrai mais statistiquement admis.

Et dans les fait on s'évertue à ne pas laisser de pont ou bypass entre 
le L2/L3/L7 de tout ça.

Ce qui n'est pas visible, n'est pas attaquable.

C'est pour cela que en tant qu’hébergeur on propose :
- la solution jugée ultime mais inabordable pour beaucoup
- la solution à minima (discount) pour ne pas se faire éjecter des AO
- la solution que l'on pense être le bon compromis métier sans 
surqualité qui grève le cout.


Le tout accompagné du mémoire technique :
- qui explique tout ça
- qui n'est que rarement lu (le client fonce en bas à droite)
- que l'on ressort quand le client râle qu'on lui a vendu de la M...

Là (râle) généralement, le client est plus sensible au nécessaire cout 
de la sécurité qui inclue aussi du temps homme jamais facile à vende au 
début.


My 2 cents

Le 14/05/2020 à 16:21, Benoît SERRA a écrit :

Disons que mettre le firewall sur le même hôte que les cm que tu protèges est 
une aberration, mais si tu mets ton firewall sur un autre hôte, ou que tu 
utilises les fonctions de virtualisation propres à chaque constructeur, c'est 
moins pire comme solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet David Ponzone

C’est pour ça que les VDOM/VRF/etc.. ont été inventés.

A partir du FG1100E, tu peux monter à 250 VDOM, c’est pas mal.
Ca te revient à environ 20€/mois/VDOM.
Le problème c’est le prix de ces chassis, qui rend l’opération douloureuse si 
t’as pas tout de suite 250 clients à mettre dessus.
Et si tu veux commencer sur un chassis plus petit, ils sont tous limités à 10 
VDOM, donc rapidement tu te tapes 75k€ pour le 1100E. Et pour ce prix là, c’est 
10 VDOM.
150k€ de plus pour 240 VDOM de plus.
Donc faut trouver un modèle technico-financier qui limite le CAPEX mais aussi 
les migrations de client d’un chassis à un autre.

> Le 14 mai 2020 à 16:17, Jean-Yves LENHOF  a écrit :
> 
> Hello,
> 
> Intéressant tout cela et dans le cloud public, on fait comment pour le 
> physique ?
> 
> Je pense que ce type de raisonnement devient de moins en moins vrai...
> 
> Et admettons que tu soit un hébergeur, tu achètes un firewall pour chacun de 
> tes clients ? Je pense qu'à un moment tu passes sur un modèle plus virtuel 
> que physique, non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA

Disons que mettre le firewall sur le même hôte que les cm que tu protèges est 
une aberration, mais si tu mets ton firewall sur un autre hôte, ou que tu 
utilises les fonctions de virtualisation propres à chaque constructeur, c'est 
moins pire comme solution.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Jean-Yves LENHOF

Hello,

Intéressant tout cela et dans le cloud public, on fait comment pour le
physique ?

Je pense que ce type de raisonnement devient de moins en moins vrai...

Et admettons que tu soit un hébergeur, tu achètes un firewall pour
chacun de tes clients ? Je pense qu'à un moment tu passes sur un modèle
plus virtuel que physique, non ?

Cordialement,

Le 14/05/2020 à 14:22, Adrien Rivas a écrit :

L'ANSSI a publié deux guides traitant du sujet de cette liste :

L'exposition de ressources sur internet :
https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf
La problématique des ressources réseau virtualisées :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-1.pdf
(les risques sont traités P8)

Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
vlan's, le tout passant par un fortigate physique ... mais il faut avouer
que remonter les vlan à chaque fois, fortigate..., switch, vswitch ...
c'est plutôt fatiguant" *perso nous déployons de plus en plus des
Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
affecter visuellement les vlans directement sur le port de destination,
c'est assez bien fait et pratique à utiliser je trouve. Autre avantage,
quand tu sauvegardes la config du Fortigate, tu sauvegardes par mégarde la
config des switchs avec

Le jeu. 14 mai 2020 à 14:01, Michael Hallgren a écrit :

Moi également, je suis du même avis prudent (là où possible) pour la
protection périmétrique.

14 mai 2020 12:52 "Benoît SERRA" a écrit:

À mon avis, les failles récentes contredisent cela : une compromission

de l'hôte permet

potentiellement d'exposer toutes les Vm.

Meme si ces failles sont remédiées, on reste exposé à la découverte de

nouvelles failles

équivalentes...

C'est pour ça que le firewall est peut être le seul service que je ne

virtualiserai jamais en

production.

14 mai 2020 12:39:11 Olivier Tirat BYON
A priori ce défaut est facilement contournable avec un saine gestion de

l'isolation des réseaux.

Le problème qui se pose ici est celui de la migration des

infrastructures réseaux dans des environnements virtualisés.

Je connais qu'une solution technologique qui fonctionne et qui préserve

l'existant mais je ne lui ferai pas de pub sur la liste.

Si ca vous interesse contactez moi directement.

Olivier

Le 14/05/2020 à 12:18, Benoît SERRA a écrit :

Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte

qui l'héberge.

---

Liste de diffusion du FRnOG

http://www.frnog.org

---
Liste de diffusion du FRnOG
http://www.frnog.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Adrien Rivas

L'ANSSI a publié deux guides traitant du sujet de cette liste :

L'exposition de ressources sur internet :
https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf
La problématique des ressources réseau virtualisées :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Virtualisation_NoteTech_v1-1.pdf
(les risques sont traités P8)

Concernant ce point *"Actuellement nous avons plusieurs dmz, avec des
vlan's, le tout passant par  un fortigate physique ... mais il faut avouer
que remonter les vlan à chaque fois, fortigate..., switch, vswitch ...
c'est plutôt fatiguant" *perso nous déployons de plus en plus des
Fortiswitch, managés par le Fortigate ils ont l'avantage de pouvoir
affecter visuellement les vlans directement sur le port de destination,
c'est assez bien fait et pratique à utiliser je trouve. Autre avantage,
quand tu sauvegardes la config du Fortigate, tu sauvegardes par mégarde la
config des switchs avec

Le jeu. 14 mai 2020 à 14:01, Michael Hallgren  a écrit :

> Moi également, je suis du même avis prudent (là où possible) pour la
> protection périmétrique.
>
> mh
>
> 14 mai 2020 12:52 "Benoît SERRA"  a écrit:
>
> > À mon avis, les failles récentes contredisent cela : une compromission
> de l'hôte permet
> > potentiellement d'exposer toutes les Vm.
> >
> > Meme si ces failles sont remédiées, on reste exposé à la découverte de
> nouvelles failles
> > équivalentes...
> >
> > C'est pour ça que le firewall est peut être le seul service que je ne
> virtualiserai jamais en
> > production.
> >
> > 14 mai 2020 12:39:11 Olivier Tirat BYON  >:
> >
> >> A priori ce défaut est facilement contournable  avec un saine gestion de
> >>
> >> l'isolation des réseaux.
> >>
> >> Le problème qui se pose ici est celui de la migration des
> >>
> >> infrastructures réseaux dans des environnements virtualisés.
> >>
> >> Je connais qu'une solution technologique qui fonctionne et qui préserve
> >>
> >> l'existant mais je ne lui ferai pas de pub sur la liste.
> >>
> >> Si ca vous interesse contactez moi directement.
> >>
> >> Olivier
> >>
> >> Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
> >>
> >> Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte
> qui l'héberge.
> >>
> >> ---
> >>
> >> Liste de diffusion du FRnOG
> >>
> >> http://www.frnog.org
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Michael Hallgren

Moi également, je suis du même avis prudent (là où possible) pour la 
protection périmétrique.

mh  

14 mai 2020 12:52 "Benoît SERRA"  a écrit:

> À mon avis, les failles récentes contredisent cela : une compromission de 
> l'hôte permet
> potentiellement d'exposer toutes les Vm.
> 
> Meme si ces failles sont remédiées, on reste exposé à la découverte de 
> nouvelles failles
> équivalentes...
> 
> C'est pour ça que le firewall est peut être le seul service que je ne 
> virtualiserai jamais en
> production.
> 
> 14 mai 2020 12:39:11 Olivier Tirat BYON :
> 
>> A priori ce défaut est facilement contournable  avec un saine gestion de
>> 
>> l'isolation des réseaux.
>> 
>> Le problème qui se pose ici est celui de la migration des
>> 
>> infrastructures réseaux dans des environnements virtualisés.
>> 
>> Je connais qu'une solution technologique qui fonctionne et qui préserve
>> 
>> l'existant mais je ne lui ferai pas de pub sur la liste.
>> 
>> Si ca vous interesse contactez moi directement.
>> 
>> Olivier
>> 
>> Le 14/05/2020 à 12:18, Benoît SERRA a écrit :
>> 
>> Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte qui 
>> l'héberge.
>> 
>> ---
>> 
>> Liste de diffusion du FRnOG
>> 
>> http://www.frnog.org
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA

À mon avis, les failles récentes contredisent cela : une compromission de 
l'hôte permet potentiellement d'exposer toutes les Vm.

Meme si ces failles sont remédiées, on reste exposé à la découverte de 
nouvelles failles équivalentes...

C'est pour ça que le firewall est peut être le seul service que je ne 
virtualiserai jamais en production.

14 mai 2020 12:39:11 Olivier Tirat BYON :

>   A priori ce défaut est facilement contournable  avec un saine gestion 
> de 
>  
> l'isolation des réseaux. 
>  
>  
>  Le problème qui se pose ici est celui de la migration des 
>  
> infrastructures réseaux dans des environnements virtualisés. 
>  
>  
>  Je connais qu'une solution technologique qui fonctionne et qui préserve 
>  
> l'existant mais je ne lui ferai pas de pub sur la liste. 
>  
>  
>  Si ca vous interesse contactez moi directement. 
>  
>  
>   
>  Olivier 
>  
>  
>   
>   
>   
>  Le 14/05/2020 à 12:18, Benoît SERRA a écrit : 
>  
>  
>  
> 
> >Le défaut majeur d'un firewall virtuel c'est la compromission de 
> > l'hôte qui l'héberge. 
> >   
> >  
> >
> >   --- 
> >   
> > Liste de diffusion du FRnOG 
> >   
> > http://www.frnog.org/ 
> >   
> >  
> >  
>  
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Benoît SERRA

Le défaut majeur d'un firewall virtuel c'est la compromission de l'hôte qui 
l'héberge.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Daniel via frnog


Bonjour

Le 14/05/2020 à 11:04, Thierry Chich a écrit :

Bonjour

Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en 
virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment.
Peux tu développer les problèmes de sécurité que cela engendre ? Nous 
faisons cela et rien ne nous a jusqu'à présent interpeller en matière 
sécurité.


Si c'est gênant, il vaut encore mieux garder un bon firewall physique en 
frontal chargé des nat, du filtrage depuis internet et des accès de management 
(c'est mieux de le séparer, cela dit), et se contenter d'un interco avec 
derrière un firewall virtuel pour s'occuper de l'est-ouest. Ou de le faire 
faire par des fonction NSX (mais qui ont un coût).





-Message d'origine-
De : frnog-requ...@frnog.org  De la part de
Jerome Lien
Envoyé : lundi 11 mai 2020 15:21
À : frnog-tech 
Objet : [FRnOG] [TECH] vmware, firewall dmz

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les vm's accessible
depuis l'extérieurs. Etant une industrie nous avons plusieurs type de vm
devant écouter du https, ftp, et d'autres protocoles plus ou moins fiable avec
des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à chaque
fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] vmware, firewall dmz

2020-05-14 Par sujet Thierry Chich

Bonjour

Ce n'est vraiment pas une bonne pratique d'avoir le firewall frontal en 
virtualisé. Pour 257 raisons, sécurité, découplage des fonctions, etc. Vraiment.

Si c'est gênant, il vaut encore mieux garder un bon firewall physique en 
frontal chargé des nat, du filtrage depuis internet et des accès de management 
(c'est mieux de le séparer, cela dit), et se contenter d'un interco avec 
derrière un firewall virtuel pour s'occuper de l'est-ouest. Ou de le faire 
faire par des fonction NSX (mais qui ont un coût).




> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Jerome Lien
> Envoyé : lundi 11 mai 2020 15:21
> À : frnog-tech 
> Objet : [FRnOG] [TECH] vmware, firewall dmz
> 
> Bonjour à tous,
> 
> nous recherchons une méthode, solution pour isoler les vm's accessible
> depuis l'extérieurs. Etant une industrie nous avons plusieurs type de vm
> devant écouter du https, ftp, et d'autres protocoles plus ou moins fiable avec
> des languages/os plus ou moins à jours.
> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
> un fortigate physique ... mais il faut avouer que remonter les vlan à chaque
> fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
> Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> l’extérieur.
> 
> avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)
> 
> ä l'écoute de toutes proposition,
> jerome et merci d'avance
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Laurent-Charles FABRE


Juste pour du Nat, le 1er Nux venue + IPFilter et hop !

Sous VMWware le Mikrotik marche nickel aussi
Avec the Dude même

ZeroShell aussi si on veut du Nux et pas du BSD et qu'on est allergique 
au Shell


Le 11/05/2020 à 20:03, David Ponzone a écrit :

T’as un vrai besoin de sécurisation, ou juste de mettre une couche de NAT en 
frontal des serveurs ?
Sinon, une VM avec un VyOS fera le job pour du NAT, et c’est assez simple à 
automatiser (CLI juniper-like).


Le 11 mai 2020 à 18:37, Jerome Lien  a écrit :

justement vue les prix fortigate ... pour cette partie de micro dmz, je
pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
sur de la production.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet David Ponzone

T’as un vrai besoin de sécurisation, ou juste de mettre une couche de NAT en 
frontal des serveurs ?
Sinon, une VM avec un VyOS fera le job pour du NAT, et c’est assez simple à 
automatiser (CLI juniper-like).

> Le 11 mai 2020 à 18:37, Jerome Lien  a écrit :
> 
> justement vue les prix fortigate ... pour cette partie de micro dmz, je
> pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
> sur de la production.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Jerome Lien

justement vue les prix fortigate ... pour cette partie de micro dmz, je
pensais partir sur un pfsense. mais je n'ai encore jamais tenté de coups
sur de la production.


Garanti
sans virus. www.avast.com

<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le lun. 11 mai 2020 à 18:01, Richard Klein  a écrit :

> Bonjour,
>
> Netgate = Pfsense
> Opnsense =  ex-pfsense
>
> UTM sous pfsense => voir la liste des features :
> https://www.netgate.com/solutions/pfsense/features.html
>
> Richard
>
>
> Le lun. 11 mai 2020 à 17:48, Guillaume Tournat via frnog 
> a écrit :
>
>> pfsense est un très bon firewall L4 opensource
>>
>> mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.
>>
>>
>> Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :
>> > Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
>> > opensource.
>> >
>> > Le lun. 11 mai 2020 à 16:19, David Ponzone  a
>> > écrit :
>> >
>> >> Ben demande un devis d’un Forti en VM :)
>> >> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
>> >> d’être de ce produit chez eux, à ce prix en tout cas).
>> >>
>> >>> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
>> >>>
>> >>> Bonjour à tous,
>> >>>
>> >>> nous recherchons une méthode, solution pour isoler les
>> >>> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
>> >>> plusieurs type de vm devant écouter du https, ftp, et d'autres
>> protocoles
>> >>> plus ou moins fiable avec des languages/os plus ou moins à jours.
>> >>> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout
>> passant
>> >> par
>> >>> un fortigate physique ... mais il faut avouer que remonter les vlan à
>> >>> chaque fois, fortigate..., switch, vswitch ... c'est plutôt
>> >> fatiguant.
>> >>> Du coups, on réfléchi à monter un firewall en VM, par exemple un
>> pfsense,
>> >>> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre
>> vers
>> >>> l’extérieur.
>> >>>
>> >>> avez vous des retours sur ce type d'archi ? ou est ce complètement
>> *** ?
>> >> :-)
>> >>> ä l'écoute de toutes proposition,
>> >>> jerome et merci d'avance
>> >>>
>> >>> ---
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>
>> >> ---
>> >> Liste de diffusion du FRnOG
>> >> http://www.frnog.org/
>> >>
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Richard Klein

Bonjour,

Netgate = Pfsense
Opnsense =  ex-pfsense

UTM sous pfsense => voir la liste des features :
https://www.netgate.com/solutions/pfsense/features.html

Richard


Le lun. 11 mai 2020 à 17:48, Guillaume Tournat via frnog 
a écrit :

> pfsense est un très bon firewall L4 opensource
>
> mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.
>
>
> Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :
> > Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
> > opensource.
> >
> > Le lun. 11 mai 2020 à 16:19, David Ponzone  a
> > écrit :
> >
> >> Ben demande un devis d’un Forti en VM :)
> >> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> >> d’être de ce produit chez eux, à ce prix en tout cas).
> >>
> >>> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> >>>
> >>> Bonjour à tous,
> >>>
> >>> nous recherchons une méthode, solution pour isoler les
> >>> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> >>> plusieurs type de vm devant écouter du https, ftp, et d'autres
> protocoles
> >>> plus ou moins fiable avec des languages/os plus ou moins à jours.
> >>> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> >> par
> >>> un fortigate physique ... mais il faut avouer que remonter les vlan à
> >>> chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> >> fatiguant.
> >>> Du coups, on réfléchi à monter un firewall en VM, par exemple un
> pfsense,
> >>> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> >>> l’extérieur.
> >>>
> >>> avez vous des retours sur ce type d'archi ? ou est ce complètement ***
> ?
> >> :-)
> >>> ä l'écoute de toutes proposition,
> >>> jerome et merci d'avance
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Guillaume Tournat via frnog


pfsense est un très bon firewall L4 opensource

mais cela ne fait pas d'UTM ; et cela ne remplace pas un WAF applicatif.


Le 11/05/2020 à 17:45, Xavier Lemaire a écrit :

Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
opensource.

Le lun. 11 mai 2020 à 16:19, David Ponzone  a
écrit :


Ben demande un devis d’un Forti en VM :)
Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
d’être de ce produit chez eux, à ce prix en tout cas).


Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les
vm's accessible depuis l'extérieurs. Etant une industrie nous avons
plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
plus ou moins fiable avec des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant

par

un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt

fatiguant.

Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ?

:-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Xavier Lemaire

Sinon il y a pfsense. Ca existe toujours et c'est même gratuit et
opensource.

Le lun. 11 mai 2020 à 16:19, David Ponzone  a
écrit :

> Ben demande un devis d’un Forti en VM :)
> Je pense que tu vas pousser un cri (j’ai pas encore compris la raison
> d’être de ce produit chez eux, à ce prix en tout cas).
>
> > Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> >
> > Bonjour à tous,
> >
> > nous recherchons une méthode, solution pour isoler les
> > vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> > plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
> > plus ou moins fiable avec des languages/os plus ou moins à jours.
> > Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant
> par
> > un fortigate physique ... mais il faut avouer que remonter les vlan à
> > chaque fois, fortigate..., switch, vswitch ... c'est plutôt
> fatiguant.
> > Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> > opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> > l’extérieur.
> >
> > avez vous des retours sur ce type d'archi ? ou est ce complètement *** ?
> :-)
> >
> > ä l'écoute de toutes proposition,
> > jerome et merci d'avance
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet David Ponzone

Ben demande un devis d’un Forti en VM :)
Je pense que tu vas pousser un cri (j’ai pas encore compris la raison d’être de 
ce produit chez eux, à ce prix en tout cas).

> Le 11 mai 2020 à 15:20, Jerome Lien  a écrit :
> 
> Bonjour à tous,
> 
> nous recherchons une méthode, solution pour isoler les
> vm's accessible depuis l'extérieurs. Etant une industrie nous avons
> plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
> plus ou moins fiable avec des languages/os plus ou moins à jours.
> Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
> un fortigate physique ... mais il faut avouer que remonter les vlan à
> chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
> Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
> opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
> l’extérieur.
> 
> avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)
> 
> ä l'écoute de toutes proposition,
> jerome et merci d'avance
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Jérôme BERTHIER via frnog


Bonjour,

Le 11/05/2020 à 15:20, Jerome Lien a écrit :

Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.



Oui mais ça traite les bonnes fonctions sur un équipement qui le fait bien.



Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.


Si ça reste de la segmentation par vlan / préfixe, je ne comprend pas en 
quoi s'appuyer sur un firewall en VM va améliorer la situation.


ça a l'air même pire puisque ça crée du steering entre hyperviseurs. Il 
faut gérer le HA donc deux VMs... Bref, ça déplace le problème.


A la rigueur dans l'univers VMWare, NSX aurait un intérêt dans ce cas en 
faisant de la microsegmentation.


Un seul vlan / préfixe + NSX qui gère la segmentation par VM au niveau 
de l'hyperviseur, ça ressemble à ce qui est recherché.


Par contre, en dehors , de cas récurrents (pour faire de la masse), 
c'est plutôt très chiant à gérer pour des flux très hétérogènes (du 
moins de que j'en ai vu lors d'un POC qui date de 3 ans maintenant...).


Bonne fin de journée

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

2020-05-11 Par sujet Guillaume Tournat via frnog


Bonjour,

La ségrégation du trafic, en particulier celui venant d'internet, est 
importante pour des questions de sécurité.


L'idéal étant d'avoir une rupture protocolaire en dmz, via un équipement 
intermédiaire.


Pour les flux http/https, un reverse proxy WAF sert à cela, en 
complément du firewall FortiGate.


Chez Fortinet, le produit FortiWeb (dispo en VM) sert à analyser et 
bloquer les attaques applicatives pour les flux http/https et ftp/ftps.


N'hésitez pas à me contacter en privé, je connais bien ces solutions.


gu!llaume


Le 11/05/2020 à 15:20, Jerome Lien a écrit :

Bonjour à tous,

nous recherchons une méthode, solution pour isoler les
vm's accessible depuis l'extérieurs. Etant une industrie nous avons
plusieurs type de vm devant écouter du https, ftp, et d'autres protocoles
plus ou moins fiable avec des languages/os plus ou moins à jours.
Actuellement nous avons plusieurs dmz, avec des vlan's, le tout passant par
un fortigate physique ... mais il faut avouer que remonter les vlan à
chaque fois, fortigate..., switch, vswitch ... c'est plutôt fatiguant.
Du coups, on réfléchi à monter un firewall en VM, par exemple un pfsense,
opnsense  pour gérer ces mini dmz et n'avoir qu'un lien propre vers
l’extérieur.

avez vous des retours sur ce type d'archi ? ou est ce complètement *** ? :-)

ä l'écoute de toutes proposition,
jerome et merci d'avance

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] vmware, firewall dmz

RE: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

RE: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

RE: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

Re: [FRnOG] [TECH] vmware, firewall dmz

23 matches

Site Navigation

Mail list logo

Footer information