subject:"Re\: \[FRnOG\] \[TECH\] UTM pour SMB \?"

RE: [FRnOG] [TECH] UTM pour SMB ?

2018-05-14 Par sujet Michel Py

>> Michel Py a écrit :
>> Il y a plusieurs trucs qu'il faut faire à la main en ligne de commande parce 
>> que c'est pas dispo dans le GUI.

> David Ponzone a écrit :
> Par conte, le GUI est remarquablement intuitif, même quand on joue avec les 
> vdom et les vdom-link.

C'est vrai, avec les avantages et les inconvénients qui vont avec.


> Guillaume Tournat a écrit :
> Le problème de fuite mémoire ne venait pas des 200B mais de la version 
> firmware qui était buguee.

Cà m'étonnerait, vu que Fortinet a remplacé nos 200B contre des 200D pour 
gratos.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-14 Par sujet agentcobra

Salut David,
il est possible d'installer le forticlient sans cette partie antivirus
Bonne journée
Agentcobra




Le lun. 14 mai 2018 à 08:38, David Ponzone  a
écrit :

> Autre point que je viens de subir à l’instant:
> mon FortiClient standalone a tendance à bloquer des choses qui ne sont
> pourtant pas interdites par la conf.
> Par exemple, avec des règles de filtrage de base (porno et vente d’armes
> interdit, ainsi que Proxy), impossible de monter un tunnel L2TP/IPsec.
> Et le seul moyen que j’ai trouvé pour le moment c’est d’arrêter
> FortiClient.
> Ca ne vient pas des règles Web Security en tout cas, ça semble être codé
> en dur….
>
>
> On 13 mai 2018 19:20 +0200, David Ponzone ,
> wrote:
> >
> > +1
> > Et j’ai pas l’impression qu’ils veuillent améliorer ce point.
> > Par conte, le GUI est remarquablement intuitif, même quand on joue avec
> les vdom et les vdom-link.
> >
> > Cote FortiClient, j’ai connu quelques cas de kernel panic sur MacosX
> 10.10, mais ça semble avoir été corrigé.
> > I
> > David Ponzone
> >
> >
> >
> > Le 13 mai 2018 à 19:00, Michel Py 
> a écrit :
> >
> > > > Mathieu Poussin a écrit :
> > > > Je pense donc allez du coté de Fortinet a ce niveau la, comme niveau
> prix c'est assez bien aussi.
> > >
> > > Si t'as jamais fait de Fortinet faut passer du temps à le comprendre.
> J'ai hérité d'une usine à gaz, le truc que j'ai trouvé un peu broutant avec
> FortiOS c'est la conf qui fait 1 kilomètre de long et faut faire du grep
> dans un pipe en ligne de commande pour trouver quelque chose. C'est un peu
> comme faire du JunOS quand on vient de Cisco, c'est vachement verbeux, en
> pire. Il y a plusieurs trucs qu'il faut faire à la main en ligne de
> commande parce que c'est pas dispo dans le GUI.
> > >
> > > Michel.
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-14 Par sujet David Ponzone

Autre point que je viens de subir à l’instant:
mon FortiClient standalone a tendance à bloquer des choses qui ne sont pourtant 
pas interdites par la conf.
Par exemple, avec des règles de filtrage de base (porno et vente d’armes 
interdit, ainsi que Proxy), impossible de monter un tunnel L2TP/IPsec.
Et le seul moyen que j’ai trouvé pour le moment c’est d’arrêter FortiClient.
Ca ne vient pas des règles Web Security en tout cas, ça semble être codé en 
dur….


On 13 mai 2018 19:20 +0200, David Ponzone , wrote:
>
> +1
> Et j’ai pas l’impression qu’ils veuillent améliorer ce point.
> Par conte, le GUI est remarquablement intuitif, même quand on joue avec les 
> vdom et les vdom-link.
>
> Cote FortiClient, j’ai connu quelques cas de kernel panic sur MacosX 10.10, 
> mais ça semble avoir été corrigé.
> I
> David Ponzone
>
>
>
> Le 13 mai 2018 à 19:00, Michel Py  a 
> écrit :
>
> > > Mathieu Poussin a écrit :
> > > Je pense donc allez du coté de Fortinet a ce niveau la, comme niveau prix 
> > > c'est assez bien aussi.
> >
> > Si t'as jamais fait de Fortinet faut passer du temps à le comprendre. J'ai 
> > hérité d'une usine à gaz, le truc que j'ai trouvé un peu broutant avec 
> > FortiOS c'est la conf qui fait 1 kilomètre de long et faut faire du grep 
> > dans un pipe en ligne de commande pour trouver quelque chose. C'est un peu 
> > comme faire du JunOS quand on vient de Cisco, c'est vachement verbeux, en 
> > pire. Il y a plusieurs trucs qu'il faut faire à la main en ligne de 
> > commande parce que c'est pas dispo dans le GUI.
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-13 Par sujet David Ponzone


+1
Et j’ai pas l’impression qu’ils veuillent améliorer ce point.
Par conte, le GUI est remarquablement intuitif, même quand on joue avec les 
vdom et les vdom-link.

Cote FortiClient, j’ai connu quelques cas de kernel panic sur MacosX 10.10, 
mais ça semble avoir été corrigé.
I
David Ponzone



Le 13 mai 2018 à 19:00, Michel Py  a écrit :

>> Mathieu Poussin a écrit :
>> Je pense donc allez du coté de Fortinet a ce niveau la, comme niveau prix 
>> c'est assez bien aussi.
> 
> Si t'as jamais fait de Fortinet faut passer du temps à le comprendre. J'ai 
> hérité d'une usine à gaz, le truc que j'ai trouvé un peu broutant avec 
> FortiOS c'est la conf qui fait 1 kilomètre de long et faut faire du grep dans 
> un pipe en ligne de commande pour trouver quelque chose. C'est un peu comme 
> faire du JunOS quand on vient de Cisco, c'est vachement verbeux, en pire. Il 
> y a plusieurs trucs qu'il faut faire à la main en ligne de commande parce que 
> c'est pas dispo dans le GUI.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] UTM pour SMB ?

2018-05-13 Par sujet Michel Py

> Mathieu Poussin a écrit :
> Je pense donc allez du coté de Fortinet a ce niveau la, comme niveau prix 
> c'est assez bien aussi.

Si t'as jamais fait de Fortinet faut passer du temps à le comprendre. J'ai 
hérité d'une usine à gaz, le truc que j'ai trouvé un peu broutant avec FortiOS 
c'est la conf qui fait 1 kilomètre de long et faut faire du grep dans un pipe 
en ligne de commande pour trouver quelque chose. C'est un peu comme faire du 
JunOS quand on vient de Cisco, c'est vachement verbeux, en pire. Il y a 
plusieurs trucs qu'il faut faire à la main en ligne de commande parce que c'est 
pas dispo dans le GUI.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-13 Par sujet Mathieu Poussin

Merci pour toutes les réponse.

En faite mon besoin VPN/BGP est assez simple, c'est juste pour monter un lien 
entre GCloud et notre HQ. (Fortinet a l'air de bien s'en sortir d'après leur 
docs)
En gros ça se résumerait à ça : 
https://cloud.google.com/files/CloudVPNGuide-UsingCloudVPNwithFortinetFortiGate300C.pdf
Sur 2 nodes en passant par 2 ISP pour avoir de la H.A

Je suis d'accord que tout cela est possible en open source, mais je serait plus 
ou moins le seul a m'occuper de cette stack et je n'ai pas énormément de temps 
pour maintenant X composants indépendants et pouvoir troubleshoot facilement 
tout ça, comme c'est assez critique c'est pour ça que je preferais quelque 
chose d'unifié, avec un support payant.

Je pense donc allez du coté de Fortinet a ce niveau la, comme niveau prix c'est 
assez bien aussi.

Merci :)

  On Sat, 12 May 2018 20:39:05 +0200 Clément Guivy  wrote 

 > On 12/05/2018 15:18, Denis Fondras wrote: 
 > >> Pfsense ou sa version hardware netgate : il ne manque que la endpoint 
 > >> protection.plusieurs dizaines en production y compris  avec du dual stack 
 > >> BGP. 
 > >> 
 > >  
 > > PFsense sait faire de la HA active/active ? 
 >  
 > Il me semble qu'il ne fait pas non plus de VPN IPSec route-based. 
 >  
 > > Sinon bon courage pour avoir un support v6 == v4 :) 
 > > (A priori chez Forti ce n'est pas le cas) 
 >  
 > chez palo alto j'ai l'impression que c'est le cas (en tout cas je n'ai  
 > pas encore trouvé de limitation à ce niveau, depuis la sortie de la 7.0  
 > l'année dernière qui apportait MP-BGP avec le support d'IPv6 pour BGP),  
 > par contre il y a une licence supplémentaire à payer pour faire du VPN  
 > road warrior (licence qui n'apporte pas que cela mais quand même, je  
 > trouve ça exagéré) 
 >  
 >  
 > --- 
 > Liste de diffusion du FRnOG 
 > http://www.frnog.org/ 
 > 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Guillaume Tournat

Le problème de fuite mémoire ne venait pas des 200B mais de la version firmware 
qui était buguee. 


Le 12 mai 2018 à 22:40, Michel Py  a écrit :

>> Bertrand FRUCHET a écrit :
>> Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans 
>> le meme panier.  Tout ce que vous cherchez existe en
>> open-source avec les briques de monitoring et de centralisation, faut juste 
>> transformer les couts de licence en cout d integration.
> 
> Ou même un mix de logiciel libre et de commercial.
> 
> Ce que je regarde, c'est quoi qui doit être mis à jour ou pas.
> 
> MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, 
> mais la technologie change rapidement donc nouvelles versions fréquentes.
> Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout 
> le temps, je préfère la stabilité et ne pas risquer que cette partie plante 
> parce que l'IDS demande une MAJ.
> 
> Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand 
> tout dépend de la même boite tout se plante en même temps, c'est pas sympa. 
> Résolu avec les 200D, mais il a fallu remplacer le matos. Forticlient : va 
> donc le faire marcher avec Windows 10, etc etc.
> 
> 1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce 
> que plus de routage c'est plus d'accès distant. L'apprentissage par le 
> kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du 
> Cisco, çà économise l'essence et les pneus.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Bertrand FRUCHET


Envoyé depuis mon smartphone Samsung Galaxy.
 Message d'origine De : Clément Guivy <clem...@guivy.fr> Date : 
12/05/2018  20:39  (GMT+01:00) À : Denis Fondras <xx...@ledeuns.net>, 
frnog@frnog.org Objet : Re: [FRnOG] [TECH] UTM pour SMB ? 
On 12/05/2018 15:18, Denis Fondras wrote:
>> Pfsense ou sa version hardware netgate : il ne manque que la endpoint
>> protection.plusieurs dizaines en production y compris  avec du dual stack
>> BGP.
>>
> 
> PFsense sait faire de la HA active/active ?

Il me semble qu'il ne fait pas non plus de VPN IPSec route-based.

> Sinon bon courage pour avoir un support v6 == v4 :)
> (A priori chez Forti ce n'est pas le cas)

chez palo alto j'ai l'impression que c'est le cas (en tout cas je n'ai 
pas encore trouvé de limitation à ce niveau, depuis la sortie de la 7.0 
l'année dernière qui apportait MP-BGP avec le support d'IPv6 pour BGP), 
par contre il y a une licence supplémentaire à payer pour faire du VPN 
road warrior (licence qui n'apporte pas que cela mais quand même, je 
trouve ça exagéré)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Bertrand FRUCHET

oups. mes excuses a michel pour avoir "écorché" l orthographe de ton nom.

Envoyé depuis mon smartphone Samsung Galaxy.

 Message d'origine 
De : Michel Py <mic...@arneill-py.sacramento.ca.us> 
Date : 12/05/2018  22:40  (GMT+01:00) À : frnog@frnog.org 
Objet : RE: [FRnOG] [TECH] UTM pour SMB ? 
> Bertrand FRUCHET a écrit :
> Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans 
> le meme panier.  Tout ce que vous cherchez existe en
> open-source avec les briques de monitoring et de centralisation, faut juste 
> transformer les couts de licence en cout d integration.

Ou même un mix de logiciel libre et de commercial.

Ce que je regarde, c'est quoi qui doit être mis à jour ou pas.

MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, mais 
la technologie change rapidement donc nouvelles versions fréquentes.
Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout le 
temps, je préfère la stabilité et ne pas risquer que cette partie plante parce 
que l'IDS demande une MAJ.

Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand tout 
dépend de la même boite tout se plante en même temps, c'est pas sympa. Résolu 
avec les 200D, mais il a fallu remplacer le matos. Forticlient : va donc le 
faire marcher avec Windows 10, etc etc.

1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce 
que plus de routage c'est plus d'accès distant. L'apprentissage par le 
kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du 
Cisco, çà économise l'essence et les pneus.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Michel Py

> Bertrand FRUCHET a écrit :
> Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans 
> le meme panier.  Tout ce que vous cherchez existe en
> open-source avec les briques de monitoring et de centralisation, faut juste 
> transformer les couts de licence en cout d integration.

Ou même un mix de logiciel libre et de commercial.

Ce que je regarde, c'est quoi qui doit être mis à jour ou pas.

MAJ fréquentes : AV, IPS/IDS. Non seulement les signatures tout le temps, mais 
la technologie change rapidement donc nouvelles versions fréquentes.
Le routage et les choses comme BGP, çà n'a pas besoin d'être mis à jour tout le 
temps, je préfère la stabilité et ne pas risquer que cette partie plante parce 
que l'IDS demande une MAJ.

Fortigate : sur les 200B on avait des problèmes de fuite de mémoire, quand tout 
dépend de la même boite tout se plante en même temps, c'est pas sympa. Résolu 
avec les 200D, mais il a fallu remplacer le matos. Forticlient : va donc le 
faire marcher avec Windows 10, etc etc.

1 problème à la fois, et le truc qui peut pas planter c'est le routage, parce 
que plus de routage c'est plus d'accès distant. L'apprentissage par le 
kilométrage j'essaie d'éviter; la console du Fortigate sur le port Aux du 
Cisco, çà économise l'essence et les pneus.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Clément Guivy


On 12/05/2018 15:18, Denis Fondras wrote:

Pfsense ou sa version hardware netgate : il ne manque que la endpoint
protection.plusieurs dizaines en production y compris  avec du dual stack
BGP.



PFsense sait faire de la HA active/active ?


Il me semble qu'il ne fait pas non plus de VPN IPSec route-based.


Sinon bon courage pour avoir un support v6 == v4 :)
(A priori chez Forti ce n'est pas le cas)


chez palo alto j'ai l'impression que c'est le cas (en tout cas je n'ai 
pas encore trouvé de limitation à ce niveau, depuis la sortie de la 7.0 
l'année dernière qui apportait MP-BGP avec le support d'IPv6 pour BGP), 
par contre il y a une licence supplémentaire à payer pour faire du VPN 
road warrior (licence qui n'apporte pas que cela mais quand même, je 
trouve ça exagéré)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Bertrand FRUCHET

pfsense ne fait pas de actif / actif et je vois pas l interet a moins d avoir 
plus de 10 Go de transit a proteger, et encore ca reste a demontrer.
je confirme qu il est full double stack y compris pour le bgp.
Evidemment comme c est open-source et basé sur freeBSD c invendable aux N+x !
Pour le reste je suis comme Michel Pi : ne jamais mettre tous ses oeufs dans le 
meme panier.  Tout ce que vous cherchez existe en open-source avec les briques 
de monitoring et de centralisation, faut juste transformer les couts de licence 
en cout d integration.

Envoyé depuis mon smartphone Samsung Galaxy.

 Message d'origine 
De : Denis Fondras <xx...@ledeuns.net> Date : 
12/05/2018  15:18  (GMT+01:00) À : frnog@frnog.org Objet 
: Re: [FRnOG] [TECH] UTM pour SMB ? 
> Pfsense ou sa version hardware netgate : il ne manque que la endpoint
> protection.plusieurs dizaines en production y compris  avec du dual stack
> BGP.
> 

PFsense sait faire de la HA active/active ?

Sinon bon courage pour avoir un support v6 == v4 :)
(A priori chez Forti ce n'est pas le cas)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Guillaume Tournat

FortiCloud permet de stocker les logs 1 an en saas chez Fortinet, avec
reporting intégré.

FortiClient sort en version 6.0 sous peu (beta en cours). Support Linux
équivalent à Win/Mac.

Si tu ne veux pas faire de NAC (Telemetry) ou management centralisé des
endpoints, le Forticlient est gratuit en standalone.

Tu peux l'installer sur autant de endpoints que tu veux.

Le 12/05/2018 à 18:07, Mathieu Codomier a écrit :

Bonjour,

Oui un cluster avec un petit forti analyzer si tu souhaite avoir de bon
reporting local ou bien forticloud vu que tu as déjà du cloud avec
l'ubiquiti. Tu aura tout les rapports web/mails de tes rêves ☺️

Le choix de ton modèle se fera par rapport au débit voulu en firewall,
filtrage utm, ipsec... Ces chiffres se trouvent facilement sur la product
matrix
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

En général ce n'est pas le nombre de users/sessions simultanées le
problème.

Pour les endpoints tu as la liste des anti-virus compatibles avec le
forticlient, cette fonction la est supportée sur Mac et pc uniquement à ma
connaissance le support Linux est très limité (vpn ssl uniquement !), c'est
bien dommage. Tout est indiqué dans ce pdf.
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiClient.pdf
Par défaut un boîtier donne le droit à 10 licences forticlient standard.

Tu peux alors configurer de la compliance enforcement et bloquer
automatiquement niveau Firewall un pc ne respectant pas les règles
définies.

Cdt

--
Mathieu Codomier

On Sat, May 12, 2018, 12:49 Mathieu Poussin wrote:

Concou misters et misses

Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation
Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce
domaine.

C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins
100 comme ca monte très rapidement :)

En terme de features, on aimerait :
- Traffic global, au mimium 1Gbps (en traffic mix, surtout web, ssh, etc.)
- Traffic VPN au minimum 300 Mbps (Même chose)
- CLI SSH + GUI
- BGP
- IPv6 (et support == à IPv4 car on est totalement dual stack)
- Route based IPSEC (+BGP over IPSEC)
- Policy / Source based routing et/ou VRF's
- Roadwarrior VPN (Optionel mais ça serait un plus)
- Pouvoir le connecter avec de l'endpoint protection serait top
(Compatible Windows, OSX et idealement Linux)
- IDS/IPS
- Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous
même)
- Pas de config proprietaire sur les switchs et le wifi ( On a de
l'Ubiquiti aussi et on ne souhaite pas changer cette partie )
- Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et
notifications en cas d'evenement (infection, traffic suspect, etc.)
- Haute dispo (active active si possible)
- Pas hors de prix.

Dans les marques que je connais, il me semble que Fortinet serait pas trop
mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto.

Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu
touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros
Checkpoint).

Merci :)

A+

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Michel Py

> Mathieu Poussin a écrit :
> En terme de features, on aimerait :

Tu demandes beaucoup. Tu vas te retrouver complètement enchainé au vendeur que 
tu choisis et avoir un cauchemar à chaque changement de version.
Il n'y a aucun produit qui fait tout ce que tu veux et qui le fait bien. La 
boite magique qui fait tout et le café aussi, c'est une utopie.

BGP par exemple, je fais çà sur une plateforme que je connais bien (router 
Cisco), pareil pour le routage et le VPN routeur à routeur. Pour le VPN 
portable j'ai une autre solution, pour le WiFi j'ai Ubiquiti aussi, etc. AMHA 
tu veux mettre beaucoup d'oeufs dans le même panier. Pour vaincre, il faut 
diviser. Mettre l'inspection SSL dans la même boite que le chiffrement IPSEC 
faut être maso, surtout si tu veux du gigabit.

A éviter : Sophos (il y a eu un fil il y a pas trop longtemps ici, tout le 
monde a plussoié que c'était pas glop, mon expérience aussi).
Mes 0,02 € à propos de Fortinet : les changements de versions sont pas faciles, 
et avec toutes les fonctionnalités que tu veux çà va être une usine à gaz.
Je suis content avec Untangle, mais j'ai pas essayé tout ce que tu veux. Pour 
IPS/IDS, virus, inspection SSL, spam çà marche.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Mathieu Codomier

Bonjour,

Oui un cluster avec un petit forti analyzer si tu souhaite avoir de bon
reporting local ou bien forticloud vu que tu as déjà du cloud avec
l'ubiquiti. Tu aura tout les rapports web/mails de tes rêves ☺️

Le choix de ton modèle se fera par rapport au débit voulu en firewall,
filtrage utm, ipsec... Ces chiffres se trouvent facilement sur la product
matrix
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

En général ce n'est pas le nombre de users/sessions simultanées le
problème.

Pour les endpoints tu as la liste des anti-virus compatibles avec le
forticlient, cette fonction la est supportée sur Mac et pc uniquement à ma
connaissance le support Linux est très limité (vpn ssl uniquement !), c'est
bien dommage. Tout est indiqué dans ce pdf.
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiClient.pdf
Par défaut un boîtier donne le droit à 10 licences forticlient standard.

Tu peux alors configurer de la compliance enforcement et bloquer
automatiquement niveau Firewall un pc ne respectant pas les règles
définies.

Cdt

--
Mathieu Codomier

On Sat, May 12, 2018, 12:49 Mathieu Poussin  wrote:

> Concou misters et misses
>
> Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation
> Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce
> domaine.
>
> C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins
> 100 comme ca monte très rapidement :)
>
> En terme de features, on aimerait :
> - Traffic global, au mimium  1Gbps (en traffic mix, surtout web, ssh, etc.)
> - Traffic VPN au minimum 300 Mbps (Même chose)
> - CLI SSH + GUI
> - BGP
> - IPv6 (et support == à IPv4 car on est totalement dual stack)
> - Route based IPSEC (+BGP over IPSEC)
> - Policy / Source based routing et/ou VRF's
> - Roadwarrior VPN (Optionel mais ça serait un plus)
> - Pouvoir le connecter avec de l'endpoint protection serait top
> (Compatible Windows, OSX et idealement Linux)
> - IDS/IPS
> - Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous
> même)
> - Pas de config proprietaire sur les switchs et le wifi ( On a de
> l'Ubiquiti aussi et on ne souhaite pas changer cette partie )
> - Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et
> notifications en cas d'evenement (infection, traffic suspect, etc.)
> - Haute dispo (active active si possible)
> - Pas hors de prix.
>
> Dans les marques que je connais, il me semble que Fortinet serait pas trop
> mal. Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto.
>
> Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu
> touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros
> Checkpoint).
>
> Merci :)
>
> A+
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Christophe BARRY

Je plussois derechef
FGT en cluster, pas d¹ennui

PaloAlto très bien aussi, mais gamme de prix plus élevée

CB




Le 12/05/2018 16:28, « frnog-requ...@frnog.org on behalf of Guillaume
Tournat »  a
écrit :

>En effet, Fortinet coche toutes les cases. Pour le nombre de personnes,
>tu as le FortiGate 81E ou 101E.
>
>Si tu externalises les logs (sur FortiAnalyzer par exemple), tu peux
>prendre les versions sans disque, un peu moins cher (80E et 100E).
>
>N¹hésite pas si besoin. Je connais très bien les produits.
>
>A+
>
>
>
>> Le 12 mai 2018 à 15:27, Jean-Frederic Karcher 
>>a écrit :
>> 
>> Bonjour,
>> 
>> Fortinet me semble bien plus approprié à tes exigences car il couvre
>>l¹intégralité des besoins (voire davantage même) pour un prix bien
>>inférieur lorsque l¹on compare les specs de débit par exemple.
>> A dispo si besoin de davantage d¹info ou de contacts appropriés chez
>>Fortinet
>> 
>> Cdt, JFK
>> 
>> Jean-Frederic KARCHER
>> 
>> 
 Le 12 mai 2018 à 14:37, Clément Guivy  a écrit :
 
 On 12/05/2018 12:47, Mathieu Poussin wrote:
 Concou misters et misses
 Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation
Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans
ce domaine.
>>> 
>>> Salut, palo alto me semble faire tout ce que tu demandes (modulo la
>>>partie endpoint, je ne connais pas ce sujet donc je ne peux pas te
>>>dire), si tu es prêt à faire une concession sur le débit VPN IPSec tu
>>>peux partir sur du PA-820 ou 850 qui restent abordables
>>> , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais
>>>sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas
>>>"pas hors de prix", c'est assez vague :)
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Guillaume Tournat

En effet, Fortinet coche toutes les cases. Pour le nombre de personnes, tu as 
le FortiGate 81E ou 101E. 

Si tu externalises les logs (sur FortiAnalyzer par exemple), tu peux prendre 
les versions sans disque, un peu moins cher (80E et 100E).

N’hésite pas si besoin. Je connais très bien les produits. 

A+



> Le 12 mai 2018 à 15:27, Jean-Frederic Karcher  a 
> écrit :
> 
> Bonjour,
> 
> Fortinet me semble bien plus approprié à tes exigences car il couvre 
> l’intégralité des besoins (voire davantage même) pour un prix bien inférieur 
> lorsque l’on compare les specs de débit par exemple.
> A dispo si besoin de davantage d’info ou de contacts appropriés chez Fortinet
> 
> Cdt, JFK
> 
> Jean-Frederic KARCHER
> 
> 
>>> Le 12 mai 2018 à 14:37, Clément Guivy  a écrit :
>>> 
>>> On 12/05/2018 12:47, Mathieu Poussin wrote:
>>> Concou misters et misses
>>> Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation 
>>> Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce 
>>> domaine.
>> 
>> Salut, palo alto me semble faire tout ce que tu demandes (modulo la partie 
>> endpoint, je ne connais pas ce sujet donc je ne peux pas te dire), si tu es 
>> prêt à faire une concession sur le débit VPN IPSec tu peux partir sur du 
>> PA-820 ou 850 qui restent abordables
>> , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais 
>> sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas "pas 
>> hors de prix", c'est assez vague :)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Jean-Frederic Karcher

Bonjour,

Fortinet me semble bien plus approprié à tes exigences car il couvre 
l’intégralité des besoins (voire davantage même) pour un prix bien inférieur 
lorsque l’on compare les specs de débit par exemple.
A dispo si besoin de davantage d’info ou de contacts appropriés chez Fortinet

Cdt, JFK

Jean-Frederic KARCHER

> Le 12 mai 2018 à 14:37, Clément Guivy  a écrit :
>
>> On 12/05/2018 12:47, Mathieu Poussin wrote:
>> Concou misters et misses
>> Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation 
>> Firewall ) pour remplacer notre EdgeRouter qui montre ses limites dans ce 
>> domaine.
>
> Salut, palo alto me semble faire tout ce que tu demandes (modulo la partie 
> endpoint, je ne connais pas ce sujet donc je ne peux pas te dire), si tu es 
> prêt à faire une concession sur le débit VPN IPSec tu peux partir sur du 
> PA-820 ou 850 qui restent abordables
> , ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais sensiblement 
> plus cher. Après je ne sais pas ce que tu veux dire pas "pas hors de prix", 
> c'est assez vague :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

***  Please note that this message and any attachments may contain confidential 
and proprietary material and information and are intended only for the use of 
the intended recipient(s). If you are not the intended recipient, you are 
hereby notified that any review, use, disclosure, dissemination, distribution 
or copying of this message and any attachments is strictly prohibited. If you 
have received this email in error, please immediately notify the sender and 
destroy this e-mail and any attachments and all copies, whether electronic or 
printed. Please also note that any views, opinions, conclusions or commitments 
expressed in this message are those of the individual sender and do not 
necessarily reflect the views of Fortinet, Inc., its affiliates, and emails are 
not binding on Fortinet and only a writing manually signed by Fortinet's 
General Counsel can be a binding commitment of Fortinet to Fortinet's customers 
or partners. Thank you. ***

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Denis Fondras

> Pfsense ou sa version hardware netgate : il ne manque que la endpoint
> protection.plusieurs dizaines en production y compris  avec du dual stack
> BGP.
> 

PFsense sait faire de la HA active/active ?

Sinon bon courage pour avoir un support v6 == v4 :)
(A priori chez Forti ce n'est pas le cas)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Clément Guivy


On 12/05/2018 12:47, Mathieu Poussin wrote:

Concou misters et misses

Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall 
) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine.


Salut, palo alto me semble faire tout ce que tu demandes (modulo la 
partie endpoint, je ne connais pas ce sujet donc je ne peux pas te 
dire), si tu es prêt à faire une concession sur le débit VPN IPSec tu 
peux partir sur du PA-820 ou 850 qui restent abordables
, ou s'il te faut absolument du >1Gbps IPSec il y a le 3220 mais 
sensiblement plus cher. Après je ne sais pas ce que tu veux dire pas 
"pas hors de prix", c'est assez vague :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UTM pour SMB ?

2018-05-12 Par sujet Bertrand FRUCHET

Pfsense ou sa version hardware netgate : il ne manque que la endpoint 
protection.plusieurs dizaines en production y compris  avec du dual stack BGP.

Envoyé depuis mon smartphone Samsung Galaxy.

 Message d'origine 
De : Mathieu Poussin  Date : 
12/05/2018  12:48  (GMT+01:00) À : frnog-tech  
Objet : [FRnOG] [TECH] UTM pour SMB ? 
Concou misters et misses 

Je suis a la recherche d'un UTM ( ou comme ils disent Next Generation Firewall 
) pour remplacer notre EdgeRouter qui montre ses limites dans ce domaine.

C'est pour des bureaux de 50 personnes mais ça devrait supporter au moins 100 
comme ca monte très rapidement :)

En terme de features, on aimerait :
- Traffic global, au mimium  1Gbps (en traffic mix, surtout web, ssh, etc.)
- Traffic VPN au minimum 300 Mbps (Même chose)
- CLI SSH + GUI
- BGP
- IPv6 (et support == à IPv4 car on est totalement dual stack)
- Route based IPSEC (+BGP over IPSEC)
- Policy / Source based routing et/ou VRF's
- Roadwarrior VPN (Optionel mais ça serait un plus)
- Pouvoir le connecter avec de l'endpoint protection serait top (Compatible 
Windows, OSX et idealement Linux)
- IDS/IPS
- Eventuellement Proxy MITM (avec injection de CA que l'on ferait nous même)
- Pas de config proprietaire sur les switchs et le wifi ( On a de l'Ubiquiti 
aussi et on ne souhaite pas changer cette partie )
- Des fonctionnalités de reporting (graphs de traffic, traffic bloqués) et 
notifications en cas d'evenement (infection, traffic suspect, etc.)
- Haute dispo (active active si possible)
- Pas hors de prix.

Dans les marques que je connais, il me semble que Fortinet serait pas trop mal. 
Aussi j'ai vu quelques bon avis sur Sophos et Palo Alto.

Mais je pense que êtes mieux placés que moi sur ce domaine, j'ai très peu 
touché aux FW hadware depuis quelques annees (Genre ASA pre-X ou gros 
Checkpoint).

Merci :)

A+

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

RE: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

RE: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

RE: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [Newsletter] Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

Re: [FRnOG] [TECH] UTM pour SMB ?

21 matches

Site Navigation

Mail list logo

Footer information