Hello all
 
Dans ma structure, on envisage de changer notre solution à base de pc nunux routeur/firewall/proxy pas géré par nous par une solution que nous allons gérer et qui nous apportera pus de fonctionnalités et de sécurité (filtrage spam, antivirus mail, proxy amélioré...)
 
Nos besoins :
 
- Firewall
- filtrage antispam et antivirus sur email avant d'arriver sur le serveur de messagerie
- gestion de la quarantaine intuitive.
- filtrage URL
- filtrage antivirus sur traffic HTTP
- proxy pouvant récupérer les users AD et en fonction de groupes autoriser tout l'internet ou des listes blanches...
- possibilité d'une DMZ
- possibilité de publier des serveurs dans le LAN ou la DMZ.
- le VPN est optionnel, nos sites étant déjà reliés par du VPN SDSL Equant.
 
ça fait un petit moment que je réfléchis à la question et j'etais parti en test sur un ipcop à 3 interfaces (LAN, WAN, DMZ) avec des add-ons (advanced proxy , antivirus...) et Interscan Messaging Security Suite de Trend en DMZ comme passerelle SMTP antivirus et antispam.
 
... et puis je me dis que ça manque peut etre d'un peu de sécurité tout ça car l'ipcop ne dispose pas d'IPS mais seulement d'un IDS (snort).
 
Alors je m'intérroge sur les boitiers UTM qui réponde à priori à tous nos besoins. je me suis renseigné et parmi les noms revenant souvent, y'a netasq et arkoon, les deux made in france ce qui peut etre sympa au niveau SAV.
 
questions :
- qu'en est-il des possibilités de proxy web sur ces boitiers et nottament du dialogue avec l'AD ?, ça répond à nos besoins ?
- si je publie une ressource du réseau local sur l'UTM, peut-on s'authentifier dès la connexion à l'UTM ou ce dernier nate juste la requette vers la   ressource ?
y'en a t-il parmi vous qui utilisent ces boitiers en mode transparent ?  
vos avis et retour d'experience sur ce type de solution m'interessent...
 

En debut de réponse je dirais concernant Netasq que la partie antivirus / filtrage URL est un 1er niveau et pour ce genre de fonctions j'ai tendance donc a préferer des boitiers dédiés (type olfeo par ex pour le filtrage URL) qui font je pense un meilleur boulot et soulage le firewall. Le filtrage gratuit intégré au Netasq est pas mal si l'on ne cherche pas une solution évoluée (websense, olfeo ..) et il est possible de s'abonner aux liste d'optenet sinon. Pour l'AV c'st ClamAV (gratuit) ou Kaspersky (payant).  
Pour une DMZ et publier des serveurs ca ne pose pas de probleme.
Pour publier des serveurs du LAN et demander une authentification sur l'UTM tu px utiliser la fonction vpn SSL.

merci pour tes précisions    
et concernant la partie proxy et une eventuelle interaction avec l'AD, ça donne quoi ?
 

 
Je me permet de faire ma petite pub. Je travaille actuellement en tant que développeur chez ARESSI, un 3eme made in france    
 
Pour info, j'ai un ami qui bosse dans une boite qui a un partenariat avec arkoon, ils viennent récemment d'être décu au niveau support. Le temps de réponse est long...
 
Sinon, pour en revenir à ARESSI, on a déjà remporté quelques appels d'offres face à arkoon ou netasq. On a remplacé du netasq chez un client. On est pas encore très connus parce qu'assez jeunes mais on commence à monter. Je te laisse aller faire un tour sur notre site web: http://www.aressi.fr
 
Si tu as des questions, n'hésites pas à me demander, je pourrais te renseigner.    

 
Concernant les proxy, du moment que tu actives antispam, anti virus (et le filtrage url je crois), tu actives automatiquement les proxy en mode transparent (proxy http, smtp, pop).
 
Pour l'integration avec AD je m'ensuis encore jamais servi, pour info ds l'interface de management il y a cette rubrique concernant LDAP et AD :
 

 

ok merci
 
_p1c0_  ...> je vais aller faire un tour sur le site, merci

Bonsoir tous le monde,  
SVP qui connais le SURA ???? c un moitier UTM aussi

bonjour,
J'utilise un U450 avec active directory 2003, ça fonctionne bien, mes user remontent bien sur le netasq.
Je peux même filtrer les utilisateurs en fonction de certaine propriété active driectory de l'user.
Par exemple ne remonterons que les user qui dans bureau ont le texte VPN.
Sinon pour le SSO avec le proxy c'est assez dur a mettre en place car il faut créé des certificat.
J'ai abandonné cette solution car certains logiciel sur les stations ne gèrent pas le SSO.
 
Quand tu intégre le netasq dans l'ad il faut modifier le schema de l'ad (manuellement), car le netasq en a besoin pour y stocker des informations sur les profil vpn ssl.
Tu ne peux pa avoir deux bases utilisateur, une netasq et l'autre AD.

Salut
 
Tu te sers uniquement de l'AD pour la reconnaissance des nomades ou tu réalises tout ton filtrage via l'AD? Je veux dire par là que dans ton filtrage tu fais référence à un user/OU ou bien tu dois continuer à utiliser les @IP.
 
merci

Tu peux utiliser des groupes utilisateur d'active directory pour le filtrage d'internet. Mais pour ça il faut qu'ils soient identifié sur le netasq.
Mais même avec la synchro active diectory il faut qu'ils s'identifient, sauf si tu met le SSO, mais la c'est un peu plus compliqué a mettre en place.
Moi je ne fais pas d'identification, je met un filtrage par les théme optenet et tout fonctionne, je n'ai pas envie d'y passer trop de temps.

Le filtrage par user ne fonctionne que pour la navigation Internet? Tous les autres types de flux (FTP, mail etc) ne sont pas concernés?

Le filtrage par user ne fonctionne que pour la navigation Internet? --> pour Le filtrage URL.  
Pour le filtrage des port (firewall), tu ne peux pas utiliser les comptes active dirctory (c'est normal). Les droits se font sur des adresses ip ou des groupes d'adresse ip.

Ok c'est bien ce que je pensais.
Pour info il existe des solutions qui font ce que j'ai décrit (Palo Alto par exemple). L'ensemble des règles de filtrage peuvent etre elaborée a partir de l'organisation de l'AD pour tous les types de flux. Et de meme tous les flux sont authentifiés de manière transparente. Ce genre de solution me séduit plutot.

Bonne chance si tu veux réaliser ce que tu dis.  

Bah c'est l'avenir du filtrage. Depuis le statefull yavait pas eu grand chose de nouveau. On voit enfin de vraies nouveautés apparaitrent

SVP ilya qqu1 qui peut m'aider jai un travail a préparer sur la virtualisation UTM et la gamme SURA,Svp qui connait un site ou un lien qui peut m'aider et je cherche aussi un demo