IOP,
je suis en train de verifier la configuration de mon NETASQ F200 (installer par des tech de FranceTelecom (LOL, des vrai brelle, il etait a 2 pendant 2 jour et se son fai aider par l'exterieur, et il on kazi rien configurer)).
Et y a un truc qui me taraude (taraude = tracasse), il on essayer de m'nbrouiller un peu les gars de FT pour pa mal de choze..., et il affirme qu'etant donné qu'il y a l'ASQ sur les NETASQ, on peu activer dans le filtrage la regle Pass_all et que mon reseau est protégé a 100%. Ca me parait quand meme bizar, je sui pas un pro des firewall du tout mais qui peu me confirmer qu'il ne se trompe pas chez FT...
 
Voici une doc du NETASQ http://www.netasq.com/_pdf/na_tds_ASQ_0605_V6_fr.pdf
et un screenshot du pass_all... http://img402.imageshack.us/my.php?imag ... onfhx5.jpg
 
 
Merki

Effectivement vaut mieux ne pas activer en permanence la regle de filtrage '10' : pass all. Comme son nom l'indique tout passe.
Quels sont tes besoins ? Qu'ont ils configuré en terme de translations egalement ?

Et c'est grave (pour moi oui...) meme avec l'ASQ?
 
Merki

donne plus de détails sur l archi et tes besoins,mais oui de toute facon c'est grave a mon sens, deja ca signifie qu'ils ne connaisse pas le produit ni meme des notions de base de securité.

Ben pour faire simple mon archi est pour l'instan juste un LAN :
 
Internet  --   Routeur FT  --  Firewall NETASQ  --  LAN
 
Mes besoin sont:
Savoir si cet configuration est "secure"
Savoir si il on mal faite leur boulo et donc me faire rembourser la prestation (pour me payer un vrai tech qui va regler le netasq) (voir leur faire crasher plus de pognon)...
 
Merki

Sur la patte WAN du Netasq tu as une IP publique ? Ou bien il est en mode transparent derriere le routeur FT ?
C'est quoi comme type d'accés ? C'est sur ta demande le F200 ou sur les conseils de FT ? T'as donné un lien vers une doc de la version 6, il y a maintenant la V7 sorti depuis septembre. En quel version te l'ont il installé ?

Sur la patte WAN IP public Static avec DNS enregistrer
Acces ADSL Oleane BIO 8 Mega
Ben le F200 a été choisi par mon predecesseur (je vien de reprendre le poste), on a environ 80 poste de travail
c'est une version 6
 
Merki

Donc le F200 est la depuis un petit moment j'imagine.
Ton F200 fais donc du NAT, tas un proxy en interne ? Tu utilises le filtrage  URL du F200 ou bien les gens sorte en direct pour le surf ?
 
Ta regle de NAT doit ressembler a un truc du genre :
 
ON | MAP | (option FTP si besoin sinon aucun) | network in | any | any | firewall_out.
 
Et ta regle de filtrage :
 
source :  network in
dest : any
port dest : groupe de service avec http / https
action : passer
 
Attention je fais de mémoire donc ....
 
J'imagine que tu dois avoir un serveur avec des redirecteurs DNS, il faut egalement rajouter une regle pour qu'il puisse contacter les DNS et puis des regle pour messagerie suivant comment elle fonctionne chez toi.

En tous cas pass all signifie que quelle que soit l'adresse source (any) ou l'adresse destination (any) et quelle que soit le port source et dest (any) ca passe !  
L'ASQ lui en gros vérifie que les trames sont bien au format spécifiés ds les RFC , etc ...

Le netasq est la depuis juillet 2007, (effectivement j'ai pas verifier la config, mais bon j'ai payer pour une prestatoin donc je pensai qu'elle etait bonne).
En faite pour le moment j'ai 2 sorti possible sur le net, celle avec le netask et une autre que tout le monde utilise (oleane VPN qui relie des autre site, mais pour l'instan il ne fau pas en tenir compte), donc les gen n'utilise pas encore la sorti avec le netasq, mais avan que ttt le monde l'utilise j'ai voulu le verifier... il n'y a pas de filtrage d'url, le gens sorte directe pour surfer.
Il y a une regle de NAT car plus tard il va y avoir un serveur web sur la DMZ, mais pour l'instan il y a rien sur la DMZ.
 
Be nen regle de filtrage y a :
protocol  : all
source :  any
dest : any
port dest : any
action : passer  
 
 
Merki

Donc c'est des brelles chez FT??

On peut considérer que ta regle de filtrage est particulierement "laxiste" !
 
Ta regle de NAT doit ressembler a celle que j'ai donner pour qu'on puisse sortir sur le net (Naté avec la publique de la patte WAN du F200), pour un serveur en DMZ tu auras une autre regle de translation qui sera soit un "redirect" ou un "bi-map" pour garder les terminologies Netasq.
 
Des lors que tu auras une regle de NAT qui autorise a rentrer sur ton réseau (LAN ou DMZ) le fait d'etre en PASS ALL indique que tout traffic sera autorisé meme en entrée ...
 
Bref il est tps que tu retouches a ton filtrage !

Je dirais pas que d'une maniere générale chez FT c'est des brelles, je dirais plutot que les personnes que l'ont a envoyé chez toi n'ont pas fais la configuration ds les regles de l'art.

J'ai contacter un gars qui installe des netasq (il a l'aire baleze), et il vien mardi pour verifier la config, apres je vai essayer de prouver que FT son des branlo... si ca se trouve je me sui deja fai pirater... ca sent le rembourssement de prestation, voir plus lol?

Tu devrais demander un transfert de compétence ou un truc ds le genre histoire de pouvoir intervenir sur ton équipement. D'autant plus qu'il est parfois nécessaire de savoir changer qqs paramètres de l'ASQ car il arrive que celui bloque du traffic. Il serait pas mal que tu sois aussi capable de mettre a jour ton F200, de prendre la main en console au moins pour des commandes de base (tcpdump par exemple qui te permet de debugguer rapidement). Si tu comptes rester sur ce poste assez longtps tu px meme envisager de passer la certification niveau "admin" qui te donnera toutes les bases.

Le gars qui va venir mardi, vien pour une journé de Verification/configuration/formation pour le Netasq

T'as un compte chez Netasq (pour la doc, les MAJ) ?

si l'install est recettée, tu vas te torcher avec ton remboursement

oui j'ai un compte, quelle sont tous les avantages de ce compte?

L'acces à la doc, aux MAJ du firmware, au contact du support via le site web (il faut etre certifié expert pour pouvoir appeler en direct), la base de connaissance, ce genre de trucs.

l'utilisation des regles "By pass" dans l'ASQ doit normalement etre utilisé dans 2 cas de figures à savoir :
 
1) à des fins de test/debugging.
2) lorsque l'on utilise des ports standart pour des utilisations non  "RFC" genre sur le port 80 faire passer un flux SSH ou p2p.
 
D'une maniere generale avec ce genre de firewall (très/trop pointilleux) il faut que pour chaque regle de filtrage et pour chaque regle dans l'ASQ declarer les "log".  ainsi tu pourras avec l'utilitaire de reporting connaitre ce qui coince et corriger cela. L'ASQ version 6 ou 7 est terrible mais il est par moment un peu trop paranoiaque. Donc le meilleur moyen d'analyser ce qui ne va pas est de logger aux maximun les flux et ensuite et corriger cela (by-pass et/ou changement de port).
 
Bref les netasq sont d'excellents produits (et au niveau filtrage j'ai rarement vu plus beton) mais ils nécessitent un paramétrage assez pointu et malheureusement peu de personnes sont capable de les paramétrer correctement.
 
Pour la petite histoire, j'ai eu un petit soucis dernierement avec Orange/Oléane au sujet de la configuration d'un F500. Et pour moi maintenant je préfère directement appeler le support Netasq que d'appeler Orange.  

OKI merki,
et a ton avis c'est dangereux de le laisser comme ca??

Ds ton cas a toi c'est pas une utilisation d'une regle de "by pass" ds l'ASQ mais de la regle de filtrage "pass all". Et "oui", il n'est pas normal qu'il soit configuré comme cela.
 
Pour en revenir a l'ASQ effectivement il est puissant et en plus trés paramétrable mais cela nécessite une bonne connaissance du produit. Comme le dit Vrobaina le fait que l'ASQ soit parfois tres pointilleux peut entrainer certains paquets à être bloqués alors qu'il n'y a pas de danger.

Ben l'ASQ il on tt laisser par defaut... merki des reponses

Le pass all ne filtre rien mais si tu n'a pas de regle de nat prédéfini, le risque est nettement limité surtout si tu es le seul a sortir par là. Apres quand tes utilisateurs migreront sur cette sortie, pense à restreindre un minimum en leur autorisant que ce dont ils ont besoin.
Sinon c'est vrai que l'ASQ est puissant mais trop pointilleux sur certains points, notamment sur les urls ne correspondant pas a certaines RFC (non paramétrable à l'epoque ou je travaillais sur un F200, j'espere que ca a du changer).

Effectivement le risque est limité sans des regles de NAT, mais par exemple le fait qu'il soit en "pass all" autorise par exemple l'admin du F200 depuis "any". Faut-il encore arriver a "fingerprinter" l'OS (eventuellement avec le port d'admin c'est p-e facile), casser le mdp et avoir le manager mais bon ... p-e que le mec qu'il remplace est parti en etant légèrement aigris.
 
De toute façon ce lien étant censé être utilisé a terme, le "pass all" n'est absolument pas normal.

OKI, et a koi il sert le NAT pour mon LAN??? c'est obligatoire? si on met aucune regle comment ca se comporte(je parle pas du serveur_web de la DMZ)?
 
Voici la conf du NAT
 
http://img153.imageshack.us/my.php [...] natnn9.jpg

Ta 1ere regle de NAT (le map) indique que lorsque tu sors sur internet l'@ ip source est translaté par la publique du firewall (le network_in donc translaté avec la firewall_out). Met cette regle sur OFF, reactive le slot et tu verras que ton acces au net fontionne plus.
 
La 2eme regle (le bi-map) indique que le serveur (spécifié au niveau de "original" ) sort avec la publique indiqué ds "translaté".
 
Si tu n'as pas de serveur qui doit etre accessible depuis Internet il est préférable de la mettre sur Off pour l'instant et de l'activer en tps voulu.
 
J'imagine que Oleane a du te donner un sous réseau public en /29.  
 
L'ip de lobjet serv_web de ton screen doit etre ds un sous-réseau different de ton network_in, sous-réseau qui sera celui de ta future DMZ.

Ds le cas du bi-map, meme si c'est a priori pas le cas pour le moment car,si j'ai bien compris, il n'a pas encore le serveur web ds la DMZ, mais cela signifie que celui ci est entièrement accessible depuis le net (tous les ports) avec l'adresse IP publique (serv_web) car la regle "pass all" est activée.
 
Tout simplement scandaleux un tel paramétrage !

Merki des toutes vos reponses, comme masque de ss reseau j'ai 255.255.255.248, ma DMZ est bien dan un reseau diferent (ouf, il on bien parametrer ca ), et oui (scandaleu, enfin je pense)pour le pass_all...
 
J'ai pu joindre aujourd'hui un tech de chez netasq et il m'a confirmer que le pass_all etait a banir... sauf pour les test
 
Demain j'ai mon gars qui vien parametrer le firewall, on va metre ca au claire...
 
CA VA CHIER AVEC FT!!!

J'ECRIT EN GRAS!!!
 
JE TENAIT A MéEXCUSER AUPRES DE FT, J'AI ETE MECHANT "EN DISANT QUE C'EST DES BRELLES...ETC). J'AI DIS CA SOUS LA COLERE (BEN OUI JE SUIS GARANT DE LA SECURITE ET DE L'INTEGRITE DES DONNES DANS MON LAN, SI PBM C'EST MOI KI RAMASSE).
LA CONFIGURATION EST MAINTENANT OK (BY MOIME + SSII), ILS M'ONT MEME PROPOSER DE REVENIR FAIRE LA CONFIGURATION, PERSONNE N'EST BlANC OU NOIR DANS CETTE AFFAIRE (ERREUR DES DEUX COTE).
 
EXCUSER MOI ENCORE DE MON EMPORTEMENT
 
 
PS : LE PASS_ALL EST PAS UN BON MOYEN DE SECURITE... LoL