Bonjour.
 
Actuellement dans ma société, j'ai un 2 firewall de type Arkoon en HA.
Ceux-ci arrivent en fin de période de maintenance, et je me pose la question de savoir quels nouveaux firewall acheter.
 
Mes besoins :
- 150 utilisateurs.
- Filtrage d'URL (avec log intégré pour le monitoring de l'accès web).
- Portail Captif avec un accès simplifié (hors administration - pour la personne de l'accueil qui va générer des tickets pour les guests).
- Filtrage applicatif (pour savoir en temps réel qui consomme toute la bande passante, par exemple).
- Antivirus de flux.
- Authentification LDAP.
 
Je pense que les 3 produits cités dans le titre du sujet, correspondent à peu près (fonction portail captif à peu près bien intégré dans les solutions) aux besoins exprimés.  
Voyez vous d'autres matériels qui pourraient entrer dans la réflexion en restant dans une gamme professionnelle ?
Vous me conseilleriez quoi ?
 
D'avance merci pour votre retour d'expérience.

Hello,
 
Les arkoon ne font pas l'affaire ?
 
Cdt,
 

Les firewall Arkoon n'évolueront plus !
Netasq et Arkoon ont fusionnés pour former Stormshield : http://www.netasq.com/landing/netasq-fr.html
 
C'est à dire que d'ici quelques temps, il n'y aura plus de support Arkoon.
De plus, l'ensemble actuel (2 Arkoon en HA) semble bien pauvre vis à vis des possibilités des nouveaux firewall du marché. Surtout que ceux-ci répondent à des besoins qui aujourd'hui s'expriment dans mon entreprise. Donc quitte à faire un update de notre sécurité, autant le faire sur de nouvelles technos.

Salut,
 
J'utilisais Netasq U450 (Stormshield maintenant) pour mon accès au Net des utilisateurs (une centaine). J'ai migré vers du Fortigate il y a 6 mois, sans regrets !
J'ai un FG 200D en cluster Actif/Passif.
 
Bien que le Netasq fasse son boulot, je préfère le Fortigate pour plusieurs raisons:
- Meilleure gestion de l'IDS/IPS. On bloque le https sans déchiffrer, seulement en analysant les certificats SSL, et seul FG permet cela
- Compteur des paquets qui passent dans les règles. A l'époque ce n'était pas géré par le Netasq
- Export des logs: plus facile à traiter avec ELK
- Pour le tuning, je trouve qu'il y a beaucoup plus de ressources / documentation sur le net (le cookbook est très bien)
- Meilleure gestion des tunnels VPN IPSec, y a plus d'infos sur le monitoring
- Liste du filtrage web (catégories) plus fine. Cela dit, je n'avais pas l'option Optenet chez Netasq
 
Dans les points négatifs comparé au Netasq, j'ai :
- le prix
- pas d'infos sur une règle de FW qui ne sera pas utilisée
- shell vraiment spécifique alors qu'on est sur du BSD avec Netasq
 
Niveau interface administration, les 2 sont bien, les règles de filtrage se font à peu près de la même façon.
 
J'avais eu une démo de Palo Alto, j'ai pas trop accroché sur l'interface de gestion.

Salut,
 
L'avenir des Stormshield est assez incertain, et le fait qu'EADS soit en backup derrière ne peut pas trop compter comme garantie malheureusement.
 
Tous les éditeurs ont des forces et des faiblesses mais au vu du nombre de features que tu veux utiliser, je ne peux que te conseiller du Palo Alto qui tient bien mieux la charge avec toutes les features activées.  
Il faut en effet que faire très attention aux performances quand on active l'inspection poussée; je compte pas le nombre de fois où j'ai vu les perf s'effondrer parce qu'on activer la reconnaissance des apps, AV, IPS, web, etc...  
 
Palo Alto a de nombreux avantages face à ses concurrents Fortinet et Checkpoint et je parle en connaissance de cause car je travaille sur les 3, enfin plus que 2 maintenant. Mais le mieux c'est de tester par toi même je pense, car il est inutile de faire une bataille de kekete.
 

 
J'ai souvent entendu l'inverse mais bon, les goûts et les couleurs.  
L'interface Palo Alto a surtout l'avantage de présenter les fonctions d'administration et de monitoring (log et report) au même endroit et sans licence alors qu'il faut un fortiAnalyzer pour faire du reporting sur FG.

Ouh ... merci beaucoup pour vos retours.
Votre expérience est très précieuse pour moi, et le choix du prochain Firewall n'en sera que facilité.
 
Le truc, c'est que pour l'instant, PaloAlto demande une enveloppe bien plus importante que Fortinet. J'ai l'impression que c'est de l'ordre de x4.
Après c'est pas les mêmes produits en terme de profondeur d'analyse de ce qui passe à travers le boitier, même si de façon générale, dans les fonctionnalités ce soit kifkif (PaloAlto le précurseur se fait rattraper par les autres qui pompent les fonctionnalités pour les intégrer à leurs appliances).
 
Un ingénieur Stormshield avec qui j'ai discuté récemment m'a dit (pour défendre sa marque de firewall) que dans une moyenne structure (150 personnes environ orientés bureautique), les signatures numériques détectées par la brique "contrôl applicatif" vont se limiter à une dizaine de signatures, 20 max. Et donc du coup que la vaste bibliothèque de signatures référencées chez PaloAlto n'était pas forcément des plus utiles.
A bien y réfléchir, c'est pas faux je trouve.
 
Maintenant, si j'arrive à faire maigrir l'enveloppe PaloAlto pour que celle-ci se rapproche de Fortinet, je réfléchis même pas, mais je pense que c'est peine perdu.
 
Si vous voyiez d'autres produits qui pourraient remplacer mes Arkoons, n'hésitez surtout pas à en parler ici même.
 
Encore merci pour vos retours. J'attends la suite avec impatience.

Tout à fait, le coût n'est pas le même car ce n'est pas les mêmes composants dedans. Mais attention, le Forti devra être surdimensionné (ce qui augment déjà le coût) pour aller loin dans l'analyse du contenu (baisse de perf énorme oblige) et ne sera pas pérenne dans le temps, je ne sais pas quel est votre cycle de remplacement des firewalls mais un forti à une durée de vie plus limitée du aux composants internes et implique donc un renouvellement du boitier plus rapide. Donc en terme d'investissement initial, Fortinet sera forcément le moins cher sur le marché (et ceux toutes marques confondues quasiment), néanmoins à long terme, le TCO explose.

Pour info, tu as déjà fait une demande de pricing chez forti, palo et stormshield? je peux peut-être t'aider pour les prix sur certaines techno (contacte moi en mp le cas échéant).

Vrai et faux, à voir selon vos usages et là encore une fois, seul un test grandeur nature peut vous montrer l'utilité de tel ou tel produit dans VOTRE entreprise. Ce qui est important ici, c'est la reconnaissance des applications connues (sur le marché), des applications custom (métier), et des applications inconnues (vrai danger).
Il faut aussi penser à la partie déchiffrement (alors attention, pas tous les flux car il y a toute une problématique de confidentialité) mais la gestion des flux SSL (grosso modo 30 à 60% des flux) est importante car le SSL est un vrai angle mort en terme de cybersécurité.

Bon j'arrête mon travail de VRP tout ca pour dire qu'il n y a pas que le prix et les chiffre à prendre en compte mais également la manière.

remi_
+ netasq (stormshild)
 
point très positif.
L’entreprise est française et le support est trés efficasse.
Le filtrage sur netasq est assez bien foutu.  

Et bien, c'est mon prestataire actuel qui m'a donné un ordre d'idée en terme de budget pour Palo et Forti. Le soucis c'est que j'ai vraiment une très grosse différence de prix entre les deux.
Donc Pricing précis, non. Nous comptons changer les bécanes l'année prochaine, donc on commence tout juste l'étude. Seulement j'ai peur que Palo soit systématiquement écarté à cause de l'enveloppe nécessaire.  
 

Je vais faire venir quelqu'un de chez Palo pour qu'il puisse se rendre compte de nos besoins, et m'orienter vers le produit de sa gamme qui conviendrait le mieux, afin de faire un pricing précis.
Je ferai de même avec Forti.
 

La personne qui signe le chèque dans l'entreprise se fout bien du nombre de signatures applicatives que le firewall connait. C'est toujours difficile de faire accepter des technos à des personnes qui y comprennent rien.

Bonjour,
 
Avez-vous fait un choix? Je suis dans un cas similaire.
 
Par avance, merci

Salut, tu peux nous en dire plus sur la structure à protéger? les besoins?
 
a+

Palo est au dessus sur la partie filtrage, apt, etc...... par contre pour limiter le casse en terme de prix tu peux te rabattre sur de la VM Palo dans un environnement VMware.
Faites un PoC pour tester le produit. y'a que comme çà ...

Un point à prendre compte qui me parait important c'est le support technique.  
 
Stormshield  (ex Netasq) le support est en France.

Palo Alto est surtout au-dessus de tout le monde niveau prix
Fortinet est excellent, ils utilisent des ASIC pour booster leurs performances, qui sont monstrueuses face à la concurrence. Ils intègrent énormément de fonctionnalités. Attention quand même, quand on fait tout, on le fait moins bien qu'un "pure player", par exemple le portail captif ne va pas péter très loin, comme le reste

PS: une VM en parefeu frontal... moi ça me fait peur

HEllo,  
 
au final tu prix quoi?
De  mon coté on se tate a garder fortinet ou passer stormshield? perennité de stormshield?
Palo c'est  vraiment plus cher pffffff

Bonjour,
 
je rejoins pas mal de choses qui ont été dites plus haut. J'ajoute que je travaille pour ma part essentiellement avec du Stormshield (300 utilisateurs / 16 sites) et nous sommes très satisfait des fonctionnalités du produit. Par contre je travaille moins avec les autres mais j'en ai de tres bon échos. Il est vrai que la partie support chez Stormshield est plutôt efficace (bien que que assez fermée car restreinte en théorie aux seuls experts ) .
 
Concrètement il est vrai qu'une visite du site par un prestataire est souhaitable pour définir les besoins, car à mon sens les produits cités sont à peu prés équivalents.

je suis passé il y a peu d'un netasq u450 vers un stomshield SN910 (version 2.3.3) avec de la haute disponibilité (HA).
Les plus avec le stormshields
+On peut voir le taux d'utilisation des régles
+La puissance machine du SN910 est vraiment élévé. On passe de 40% d'utilisation avec un U450 a 4%... Quand je change de stormshield, je n'ai plus de coupure de flux citrix.
+Le nouvel objet  routeur. On peut facilement gerer plusieurs routage, avec partage de charge et secours. La gestion des différents flux ne posent plus de probléme.
Par exemple, avant quand on avait plusieurs liaison WAN. Si on voulait dédier un flux a une tache, exemple VPN SSL, on devait gerer finement les liens, pour ne pas ce retrouver avec un flux qui entrée par une liaison et resortait par une autre.
+L'instal des maj est simplifié  avec du HA on peut le faire plus facilement.

Bien d'accord avec toi sur ces points !  
 
Par contre pour ce qui est de la fragilité supposée de l'entreprise, je ne m'en fais pas trop, je pense qu'il ont les reins solides (surtout avec des gros clients comme mon employeur ^^ ) .

J'utilise également du Stormshield (CSNE).
Le support direct en France est efficace même si j'en ai rarement besoin.

 
Concernant la pérennité, le fait que Stormshield est le nouveau nom de Netasq (+ Arkoon) qui existe depuis 1998 et que c'est une filiale d'Airbus Defence me semble un meilleur argument.    

J'ai entendu justement des rumeurs comme quoi ils ne développerait pas de nouvelles versions, et que Airbus chercherait à s'en débarrasser, dixit un prestataire dans le milieu.
Les produits ont simplement été rebadgés depuis la fusion pour faire croire à une nouveautés (même si ce n'est pas le hardware qui compte sur ces plateformes non?)
Quelle est la santé de Stormshield à l'internationale? OK en france avec le "patriotisme" mais ailleurs?

Bizarre mais ce n'est pas ce que je remarque sur les mise a jours. Il y en a toujours autant et de façon réguliére. Ils sont toujours aussi reactif sur la detection des intrusions (IPS).

c'est normal qu'ils ont juste repackager une interface deja existante. Les clients sont deja formé sur l'ancienne ce n'est pas pour tout changer.
 

Si c'est un prestataire dans le milieu, il faut surtout savoir s'il en vend (et combien) ou pas pour se faire une idée sur la qualité de cette information.
 
Mais un presta (surtout s'il est au commerce) est prêt à raconter vraiment n'importe quoi pour prendre une affaire.
 
Ceci dit, l'information est p-e valable ... à suivre ...

C'est pourquoi je relatais cette info, pour valider ou pas, il ne travaille pas avec cette marque.  
Uniquement du Palo, et ils ont meme arretés Forti.
Stormshield ca leur donne des boutons, il m'a meme donner de contacts de distributeur d'autres marques (checkpoint par ex) pour m'eviter de passer che Stormshield.

je suis CSNA mais ça m'intéresse votre discussion !

voir du cote de watchguard qui propose des produits sympa et assez simple d'utilisation une fois que l'on a compris la philosophie

 
Au final vers quoi tu t'orientes ? Et pour quelles raisons ?
Ça intéressera surement tous ceux qui posent régulièrement ce genre de question.

ça fait un peu partial de rejeter une techno plutot qu'une autre ^^ fais plusieurs devis avec plusieurs prestas pour comparer !

 
En tant que CSNA, ça peut être intéressant que tu donnes ton avis sur le produit je pense !

C'est clair, meme en étant CSNE on a pas la science infuse, et chacun utilise le produit dans un contexte différent donc ...

Bonjour,
 
Je suis un peu dans le même cas. A la recherche d'une solution, mais je suis moins exigeant dans les besoins, et la structure est plus petite, environ 50 personnes.
Vous avez un conseil de matos pour ce volume d'utilisateurs ?

Bonjour,
 
tu comptes faire un cluster ? tu as besoin d'une redondance de liens ?  
 
si oui alors plutôt un sn200 ou sn300 , si non un sn150 pourrait suffire selon l'infra derriere .
 
Ca c'est pour du Stosmhield, si quelqu'un pouvait nous donner l''équivalence chez les autres ?

 
Non, rien de tout cela. Simplement que ce routeur firewall va utiliser un accès WAN pour deux réseaux LAN distincts.

ça dépend au moins autant des débits en jeu que du nombre de personnes, il faudrait plus d'infos.

 
Alors, l'accès WAN passera par un Oneaccess 150 pour une fibre 100M (offre SFR CMAX ABSOLU).
Comme mentionné plus haut, environ 50 personnes (20 personnes sur un LAN, 30 sur l'autre).

pour ce genre de débit chez palo alto c'est plutôt PA500. Ou sinon une VM où là tu n'es pas vraiment limité en débit.

Je me tate toujours, renouvellement Forti ou passage stormshield...(PME 15 postes, acces depuis ext hyper ponctuel)
 
-Forti, FG80 gen C dont le suivi  firmware va s'arreter (deja constaté, pas la derniere evolution par rapport à la verison D), maintenance annuelle à 1000€, et mon boitier à 5 ans (en fait 2 car changé deja 2 fois, fiabilité relative) - QUID de la securité vis à vis du Patriot Act???
-Stormshield sn200 en face, français, reconnu ANSI, maintenance annuelle 400€ seulement..., donc le surcout de migration est amorti en 3 ans....

Et j'ajoute : support au top français également, produit aussi fiable je pense que les fortigate , donc ...

Bonjour,
 
En comparaison, vous pensez quoi de la solution WATCHGUARD ? (on vient de me faire une proposition en ce sens).
 

 
up