Bonjour à tou(te)s !
 
J'éprouve quelques difficultés à configurer correctement un firewall arkoon (modèle A200 prêté par le constructeur).
J'ai beau le configurer pour qu'il autorise tel ou tel trafic, mais ce dernier bloc ce qu'il veut quand il veut !!! C'est à n'y rien comprendre ?!?
 
Mon travail est de réaliser une étude comparative entre Netasq et Arkoon dans le but de remplacer un firewall très prochainement, et pour l'instant, même si les caractéristiques des firewalls d'Arkoon paraissent plus allaichante, je trouve que le Netasq est beaucoup plus simple à mettre en oeuvre !
 
Mais mon travail n'est pas encore terminé, en ce moment je dois tester le filtrage de pièces jointes aux mails, et quelle galère mes enfants...
 
J'ai configuré le relais SMTP afin qu'il bloque les fichiers zip il y a 3 semaines, miracle, ça a marché du premier coup, les PJ de type zip étaient bloquées ! J'ai donc voulu autoriser à nouveau les zip et bloquer un autre type de fichier pour m'assurer que j'avais bien compris la manoeuvre, et bien mes zip sont toujours bloqués et je n'arrive pas à bloquer les autres types de fichiers !
J'ai même supprimé la règle applicative concernant le blocage des zip, après un reboot du firewall, les PJ.zip sont toujours bloquées !
 
Je commence à perdre patience avec ce firewall... : o \
 
 
Si une âme charitable souhaite se dévouer pour m'aider dans ma mission, je suis preneur !

tu avias regardé la gamme sonicwall ?
moi çà marche nikel

En fait je suis étudiant en Télécom & Réseaux, et mon sujet de stage était de comparer 2 firewalls aux caractéristiques à peu près équivalentes pour mon maître de stage.
 
Ce dernier a choisi de me faire travailler sur Netasq et Arkoon.
 
Il me faut donc une aide sur l'Arkoon parce que je n'arrive vraiment pas à saisir leur philosophie de configuration.

Je croit que un des 2 a le SonicOS dessus.

 
C'est bien gentil de me donner cette information, mais ça m'avance pas à grand chose : o (
 
SonicOS c'est quoi ? Un OS spécial pour firewall ? L'arkoon tourne sur une base de Linux il me semble, et le Netasq sur du BSD, à confirmer j'en suis pas très sûr, la doc constructeur informe très mal à ce sujet. Les 2 préfèrent parler de leur système d'analyse en temps réel ultra performant, bla bla bla...

Il n'y a personne qui s'y connait en Arkoon ???
 
J'ose à peine le croire...

Tu es sur que tu applique bien la configuration sur laquelle tu es en train de bosser??

Ce qui est important c'est la vitesse d'analyse avec l'ensemble des fonctionnalités activées.  
Mais je voudrais bien voir la vitesse de firewalling, avec bcp de tunnels VPN, bcp de règles de filtrage, de l'antivirus, antispam etc....
Le fait que ce soit une base linux (comme watchguard) ou freebsd informe seulement que la base est saine. De plus, les interfaces de management sont propriétaires.

Le modèle qui intéresse mon supérieur propose des caractéristiques alléchantes (les tient-ils ? C'est autre chose...)
 
Modèle A2000 :
débit firewall = 425 Mbps
débit VPN = 200 Mbps
nb de connexions simultannées : 980 000
nb de tunnels simultannés : 10 000
certifié EAL2+
...
 
Je rappelle qu'Arkoon nous a prêté le modèle A200 pour que je puisse effectuer des tests...
 
Au fait, j'ai réussi à bloquer Skype au détriment de tout autre trafic ! C'est dingue ce logiciel, il passe partout !!!
 
Par contre je n'ai toujours pas résolu mon problème de relais SMTP, merci de recentrer le sujet ; o )
 
MODIF : sur Arkoon il n'est apparemment pas possibles de créer plusieurs politiques différentes et de choisir celle qu'on veut quand on veut. En gros, ce que je configure doit être effectif quand j'envoie l'installation...

Tu peut le faire mais plus globalement avec un fichier de conf complet. Pas par politique de filtrage de VPN, etc... comme sur netasq

Hello, je connais bien les arkoon, j'en administre.
 
En effet j'avais les mêmes problèmes que toi, au début lorsque tu ne maitrises pas tous les parametres j'avais vraiment l'impression qu'il n'y avait rien de logique et que ca marchait quand ca voulait :-/ mais maintenant je n'ai plus le moindre soucis
 
quel sont tes soucis ewactement?

 
Oui, j'avais oublié le fichier .conf en effet.
 
Pour l'instant ma préférence se fait sans aucun doute sur le netasq...

 
Et bien j'en ai parlé plus haut, mais pour faire un résumé :
 
J'ai mis en place certaines règles, je les ai installe et elles n'ont pas été validées immédiatement (par exemple, je demandais d'autoriser le trafic http, mais celui-ci ne passait pas...). J'ai redémarré le firewall et l'ordinateur d'administration plusieurs fois sans succès !
Le lendemain matin quand je suis revenu, tout marchait comme ça aurait dû marcher la veille au moment de la configuration...
 
A l'heure actuelle, mon pb concerne le filtrage des pièces jointes.
Je pense que je ne maîtrise pas du tout le relais, j'ai la vague impression que mes soucis proviennent de là !
 
Enfin un dernier truc, d'après le commercial Arkoon, il est possible de bloquer Skype, as-tu tenté cette expérience et comment y es-tu parvenu ?

Alors:
 
concernant le relais SMTP:
 
il faut que tu crés une regle applicative qui rejete les pieces jointes par extension. dans le cadre à droite de "par extension" tu tapes ZIP.
 
Ensuite il faut bien que tu penses à installer la config en cliquant sur le petit ordi bleu en haut à droite du manager.
 
Concernant skype, sur un LAN en général tu vas activer le relais HTTP. Donc les clients passeront par le proxy pour surfer. Donc tu n'as pas besoin de creer une regle de flux autorisant HTTP/HTTPS/DNS pour aller vers internet. Donc skype ne passera pas.  
Moi j'ai plutot du créer une regle pour autoriser explicitement skype

 
 
C'est exactement la manip que j'effectue pour installation la configuration.
 
zip en maj ou en min ?
 
je teste ça tout de suite, mais pour ta règle skype, comment tu peux l'autoriser puisqu'il n'y a aucun port de connexion dédié ?
 
EDIT : je viens d'enlever les règles de flux http et https tout en laissant le relais http activé, et je ne pouvais plus surfer

Je viens de créer la règle applicative dans le relais SMTP (et c'est exactement la manip que je faisais avant) et comme toujours, je peux envoyer et recevoir des PJ en zip...

Au pire envoi moi ton fichier de conf pour que je vois.
zip en minuscule.
 
Vois tu les mails passer par le relais SMTP? tu es sur qu'ils ne sont pas envoyé en direct?
 
Combien de regle applicative as tu?
 
 
Pour le relais HTTP il faut autoriser un réseau à se connecter au proxy (ton LAN). définir les ports que le proxy supporte: 80, 443
le port d'ecoute: 8080 par exemple
 
ensuite sur ton client il faut spécifier le proxy dans la config de ton navigateur.

Le relais HTTP écoute bien le réseau que je protège, il est accessible sur le port 80 et mes naviguateurs sont configurés pour passer par lui.
 
En ce qui concerne les logs, en effet je n'ai jamais vu mes mails passer par le relais SMTP, comment faire pour l'utiliser (et par conséquent mettre en oeuvre ces règles à la noix !) ?
 
Enfin un dernier truc, y a qq semaines j'avais réussi à filtrer les PJ jpg, ensuite j'ai voulu les autoriser à nouveau mais ça me les bloquait toujours. J'ai décidé de supprimer la règle applicative anti jpg mais les PJ jpg sont toujours bloquées, c'est une histoire de fou !!!
 
Voici comment je crée une règle applicative dans le relais SMTP :
http://***.***.***.***/img/arkoon/regleantizip.jpg

Ok c'est bon pour la regle.
 
Pour faire passer tes mails par le relais SMTP il faut configurer ton client mail avec l'adresse de l'arkoon comme serveur SMTP. (pareil que pour http, plus besoin de faire une regle explicite qui autorise tes clients à faire du SMTP vers l'exterieur)
 
Pareil pour http, que vois tu dans les log du relais HTTP?

 
Je vois des logs dans le relais HTTP, mais vu qu'en supprimant les règles de flux http, je n'avais plus accès à internet, je suppose que c'est mal configuré quelque part !
 
 
Ok pour le serveur mail, mais comment l'arkoon saura l'adresse IP du serveur mail à contacter ? Et quid des identifiants mails ?

 
Il faut configurer les DNS sur l'arkoon, c'est lui qui va faire les résolutions: et pour internet et pour les mails.
 
pour le relais smtp il faut configurer les regles anti-relaying pour autoriser ton domaine *@taboite.com à envoyer des mails, et autoriser n'importe qui d'exterieur à envoyer des mail à *@taboite.com.
 
Edit: As tu récuperer les guides d'admin qui sont assez bien fait?

 
La partie dns est configurée avec 2 serveurs DNS.
 
Pour le smtp, il n'y a rien à mettre dans le champ source ?
 
Voilà une partie de ma config à l'heure actuelle : http://***.***.***.***/img/arkoon/reglesmtp.jpg

J'ai un ou deux guides, mais en ce qui concerne la configuration des relais ils sont vraiment très rapides !!!
 
Notamment il n'est dit nul part de configurer le client mail afin qu'il effectue les requêtes sur l'arkoon (ça parait logique ok...mais ils expliquent comment configurer un naviguateur qui communique grâce au proxy alors....)

Deux serveurs DNS en interne ou ceux d'un FAI?
 
Sinon c'est bon comme regle sortante pour les mails. Ce serveur est un serveur mail? il faut le configurer pour qu'il redirige tous les mails sortant vers l'arkoon.

 
Je travaille dans une grande université toulousaine, ce sont des serveurs DNS externes.
 
Le serveur placé dans la zone "source" est bien un serveur smtp puisque c celui que j'utilise dans mon client mail. Mais comment l'arkoon peut-il faire l'authentification à la place du client mail lors de la connexion au compte ?

 
Et ces DNS sont protegé par l'arkoon ou pas? il ne sont pas sur ton LAN?
 
Pour le SMTP en fait biensur il n'y a pas d'authentification, il s'agit juste de l'envoie du mail vers un autre serveur SMTP. il faut configurer ton serveur mail pour qu'il envoi les mails à l'arkoon, qui va les relayer vers le serveur SMTP du destinataire (qu'il va résoudre grace au DNS)

Voici ce que m'affiche outlook express après lui avoir dit d'effectuer les requêtes smtp sur l'interface interne de l'arkoon :
 
http://***.***.***.***/img/arkoon/erreuroutlook.jpg

 
 
Il faut autoriser ton adresse IP interne sur le relais.
 

 
Non les dns ne sont pas protégés par l'arkoon, ils sont dans un tout autre réseau.
En fait je réalise une petite maquette et je suis directement sur le réseau non sécurisé.
J'ai à ma disposition 3 ordis pour effectuer tous les tests, les liens que je t'envoie vers les screens sont hostés sur un serveur HTTP que j'ai crée sur un ordi, la nat est effectuée par le netasq à l'heure actuelle ; o )

 
Dans le relais http/ftp ?
Si c'est le cas, j'autorise depuis le début le réseau entier 192.168.50.0

Merci de ton aide et de ta patience, j'ai résolu mon problème (peut être pas totalement, je verrai le reste demain).
 
En fait dans les règles anti-relaying du relais smtp, il fallait mettre comme source le réseau interne et non pas le serveur smtp
 
@ bientôt et merci encore !

Ca dépend, si tu veux autoriser que le serveur tu mets que le serveur, et si tu veux autoriser tout le réseau tu mets le réseau...

Je suis en train de faire toute une batterie de tests !
 
Maintenant les mails s'affichent dans les logs du relais SMTP, j'arrive à bloquer les mails contenant des PJ uniquement si j'ai crée une règle qui rejette une extension !
Si je choisis un type MIME (mpeg par exemple), un mail qui contient une PJ de type mpeg (ou mpg) passe sans pb...
 
Et enfin dernier point noir, j'ai crée une autre règle pour limiter la taille des mails, mais le relais laisse passer sans aucun pb des mails qui font plus d'un Mo que le maximum autorisé.
 
En gros je reviens sur mon problème d'origine en ce qui concerne ce firewall. Je lui donne des règles qu'il n'applique pas dans l'immédiat. Demain peut être ? Ah non, c'est le week-end : o p Bon bah lundi il ira bcp mieux alors !
 
Merci de ta précieuse aide pims.
 
==>  http://***.***.***.***/img/arkoon/limitetailleexe.jpg

Je ne me sert pas de taille limite de cette facon. celle que tu as créée a l'air correct pourtant.
 
En quelle version es tu?  
 
Sinon tu peux limiter la taille maxi d'un mail dans les option du relais directement.

Oulah oui, j'avais carrément oublié que l'option de limitation de taille se trouvait aussi dans l'option du relais !
Une fois configuré directement dans le relais, la règle fonctionne : o )
Par contre c'est un mystère en ce qui concerne la limitation de taille dans les règles applicatives...c'est ça qui m'agace un peu chez arkoon, on retrouve les mêmes options à différents endroits mais y en n'a qu'une seule qui fonctionne !
 
Sinon j'utilise Arkoon Manager 3.0
 
Tu peux me parler de la règle que tu as créée pour autoriser Skype ?

Ce n'est pas la même limite, dans le relais tu limite la taille de TOUS les messages entrant et sortant.
 
Dans une regle applicative tu pourrais limite uniquement les ZIP à 5Mo par exemple etc... mais bon je viens d'essayer et ca ne fonctionne pas.
 
Concernant Skype ce n'est pas bien compliqué, il est capable de fonctionner uniquement avec le port TCP443 d'ouvert (HTTPS) donc j'ai créé une règle de flux avec:  
-comme source la (ou les) machine(s) auxquelles tu souhaites laisser l'accès.  
-en destination: tout.  
-protocole: https
 
Et tu configures le NAT également.

 
Bizarre ces histoires de règles qui bloquent pas quand même... ils permettent de créer des règles innaplicables chez Arkoon ? Ou alors il y a une subtilité qu'on n'a pas saisie...
 
 
Pour skype tu fais une erreur, il peut se connecter sur n'importe quel port ! Si tu as l'occasion, désactive cette règle qui permet "soit disant" à skype de se connecter. Ensuite lance Skype...et OH MAGIE !!! Il arrive à se connecter !!!
 
De mon côté j'ai essayer de me connecter en bloquant tous les ports...Skype a mis environ 2-3 minutes à se connecter mais il  est arrivé !
Pendant la connexion je faisais des netstat sous dos, et c'est hallucinant le nombre de tentatives de connexion que Skype effectue !!! En parallèle je visionnais les alertes dans le monitor, et là aussi on voit toutes les tentatives qui sont rejetées par la règle par défaut du firewall (qui bloque tout tu le sais aussi bien que moi)
 
Au passage, j'ai pu observer que les tentatives de connexion sur port 80 et 443 ont été rejetées.
Une fois Skype connecté, j'ai relancé un netstat et là...surprise, je vois plusieurs connexions effectives sur le port 80.
 
C'est à n'y rien comprendre !!! L'arkoon comme le netasq se laissent berner comme des bleus on dirait !
 
J'ai quand même vérifié que le logiciel était bien connecté en effectuant une recherche de contact, qui s'est bien sûr déroulée sans aucun problème...

Je pense qu'il y a qq subtilités qu'on a pas vu...  
 
Je sais bien qu'il essaye tout est n'importe quoi ce satané skype mais si tu n'autorises rien je doute qu'il puisse se connecter !
 
tu avais du laisser qqch d'ouvert. Lorsque que ma station qui utilise skype se connecte je la vois bien passer par ma regle skype pourtant.

Bloque le protocole HTTPS, tu verras qu'il passe par ailleurs (sûrement sur le port HTTP).
Je vais pas te demander de bloquer le HTTP, ton téléphone risque de sonner subitement : o p Mais moi en bloquant ces 2 protocoles, Skype passe quand même sur le netasq et sur l'arkoon...
 
Pire encore, sur les 2 firewalls j'ai crée une règle qui bloque tout le trafic (excepté la connexion de mon ordinateur sur les firewalls, j'suis pas fou : o p ) et Skype se démerde quand même pour passer par le port 80.
 
J'ai fait quelques recherches sur internet, des administrateurs (américains) se sont déjà posés la question, mais je n'ai trouvé aucune réponse satisfaisante...et si jamais j'arrive à bloquer Skype (uniquement sur l'arkoon en fermant le relais HTTP) et bien je me retrouve sans aucun service ce qui est plutôt gênant tu l'avoueras : o (

Non non non, je n'ai pas de regle de flux autorisant le HTTP de toute facon !  je vois bien les tonnes de tentative de connexion sur n'importe quel ports. mais seules celles sur HTTPS passe par ma regle.  
 
(je vais refaire un test tout de suite car tu m'inquietes quand même là)