Bonjour à tous
 
J'ouvre ce topic car je suis un peu perdu dans ce vaste monde des firewall
 
je vais essayer de vous expliquer un peu la situation
 
Nous sommes une TPE 10 employés
 
Avec une Vingtaine de Postes de travails
2ou 3 pc portable nomade
4 serveurs et une dizaine de vm (dont certaine des webserveurs)
 
Nous avons Actuellement 2 connexion ADSL
2 Modem en bridge relié à un cisco ISA 550 qui fait office de routeur Firewall
Notre NAS synology RS2414 fait office de serveur VPN avec Open VPN pour les postes nomades car le vpn du cisco n'a jamais vraiment marché client trop complexe pour des utilisateurs pas toujours très enclins à comprendre
 
Problème vous l'aurez deviné ce cisco ISA 550 est en end of life depuis bien longtemps
 
On voudrait donc le remplacer et si possible peut être passer sur un UTM qui fasse plus de chose
 
Auriez vous un modèle pas trop complexe à me proposer ?
 
Existe il des appliances qui embarque carrément des modem pour que l'on puisse virer les modem adsl ?  
 
a l'avenir une des connexion ADSL va se transformer en SDSL 8mega
 
On va peut être aussi ajouter un petit router 4G.
 
actuellement pour le wifi c'est géré par un AP séparé (notre cisco n'ayant pas de wifi)
 
Existe il des modèle avec ap intégré et portail captif qu'on puisse brancher sur notre AD windows pour les comptes ?
 
De plus aujourd'hui nous n'avons aucune solution d'antivirus chacun faisant sa sauce sur son poste. Existe il des synergies entre des firewall nouvelle génération et des solutions antivirus pour diminuer les couts ?
Bref je suis un peu noyé dans tous çà ?
 
Merci à ceux qui prendront le temps de m'éclairer

Un Fortigate ça pourrait être pas mal dans ton cas

Merci pour cette réponse
 
je regarderai leur site demain au bureau. Il faut un modèle minimum où même l'entrée de gamme fera le boulot pour nous ?
 
J'ai oublié de préciser un point important notre utilisation internet.
 
Nous sommes une société de développement logiciel.
 
Outre les mises à jours de nos outil de dev et serveur, nous faisons beaucoup de télémaintenances et démo à distance (teamviewer)
 
Pas mal de drop box upload de version patch etc...
 
Et différents logiciel de ticketing qui sont en ligne
 
Beaucoup de lecture de doc et de surf traditionnel.
 
Un peu de réseaux sociaux pour les commerciaux/marketting

Prends un appliance à 600 euro et plaque un OPNsense.
Sinon Sophos UTM (gestion par objet : très sympa) en vm ou hardware au choix .
 
Mais là il ta faut un chef de projet pour tout ce que tu veux faire ...
Car si tu ne connais pas le paramétrage pointu d'un firewall .. moi je dis good luck.

 
 
Je ne me rend pas bien compte de tout ce qu'on peut faire avec ces nouvelles génération de firewall.
 
Car aujourd’hui notre ISA 550 je n'ai aucun problème de configuration sur la partie firewall pure et dure il n'y a rien de bien sorcier.
 
C'est plus la partie Security services anti spam antivirus etc.. que je maitrise moins évidemment puisque nous n'avions aucune licence.
 
Mais effectivement il faudra peut être se poser la question

+1 avec un sophos UTM, assez user friendly, mais il faut de solides bases pour comprendre comment faire ce que l'on veut faire !

Pour ma part j'ai des watchguard qui gerent  
 
la partie VPN mobile (pour les salariés nomades)
VPN fixe (entre bureaux)
les accès wifi (j'ai juste branché un pa wifi sur une des prises de l'UTM)
 
et bien entendu la partie routeur, firewall etc...
 
au niveau de l'interface c'est très assez agréable et facile à gérer.
 
le watchguard dimension donne pas mal d'info sur ce qu'il se passe dans le réseau

Pour le moment j'ai demandé à être contacté par des prestataire sophos et fortinet pour voire un peu.
 
Chez sophos je n'ai pas bien compris la différence entre XG firewall et SG UTM
 
EDIT oups oubliez je m'auto répond
 
https://news.sophos.com/en-us/2015/ [...] ewall-faq/

sg est plutot ancienne génération, XG c'est newgen, mais quand j'ai mis mon sophos il y a 18mois, le xg n'était pas encore mature. je ne sais pas ou ça en est maintenant

oui j'ai vu
 
En tout cas j'ai eu un bon feeling avec Fortinet pour le moment
 
Après le premier contact ils m'ont envoyé plein de lien vers leur base de connaissance que je trouve bien faite.
 
Sophos eux m'ont proposé une appliance a tester.
 
A voire qui sera le premier à me recontacter pour le sizing.
 
Wait and see
 
J'aimerai bien qu'il se dépèche car je dois aussi finalement mettre en place plus rapidement que prévu la connexion 4G de secours pour le bureau.
 
Autant avoir le firewall

+1 je connais très bien Watchguard : ce sont de très bons produits mais il sont aussi très NSA compliant ... c'est dure la sécu.

Fortinet semble bien placé dans la bataille des Firewall  
 
https://www.forcepoint.com/resource [...] -firewalls
Je te conseille fortement d'avoir un SAV plus qu'évoluué, d'aide et de conseil.

 
 
je n'ai pas trouvé d'info sur cette partie NSA compliant !! tu as des liens?

Salut,
 
Nous étions dans la même situation il y a 2 ans : on hésitait entre Sophos et Fortinet et on est finalement parti sur Fortinet, pour des raisons de coût essentiellement.
 
Nous avons pris un FG100D pour notre siège de 80 personnes et un FG60D pour une filiale de 10 personnes.
 
Alors, autant le FG100D tourne plus que correctement, autant le FG60D ne nous donne pas entière satisfaction : on note de grosses lenteurs dès que l'on active l'UTM et le fait qu'il n'ait pas de stockage interne oblige à prendre le stockage en ligne pour avoir les logs (quoi que ce soit aussi vrai pour le FG100D pour lequel les derniers firmwares tendant à brider la gestion des logs en local pour forcer à prendre leur service en ligne).
 
Un autre point positif est la configuration centralisée assez évoluée des bornes wifi (multi SSID, portail captif,...).  
 
@+

Est ce que tu crois une seule seconde s que WatchGuard va indiqué dans ces doc. et sa plaquette commerciale qu'il a placé des backdoors permettant l'application du Patriot Act ?
Il faut réfléchir.
 

pour le FG100D j'aime bien l'intégration switch giga et fw, mais attention niveau cloisonnement hardware : c'est pas top niveau concept.

 
Donc ce ne sont que des "on dit"

si tu veux une firewall français ANSSI compliant et pas NSA compliant  
prend stormshields
trés bien, support en français
tu as des doc sur l'anssi

Non ce n'est pas que des on dit !    
 
Sait tu ce qu'est le Patriot act ?
Toutes les entreprises Américaines, sans exceptions, doivent s'y conformer.
Donc ce n'est pas des on dit .
Chaque boite US et ses filiales doit pouvoir fournir un accès à son matos à la NSA (etc) , et c'est la loi.
 

 
https://www.challenges.fr/tribunes/ [...] ses_111724

Donc Fortinet aussi ...
 
Donc accés NSA egalement à des serveurs de fichiers type cloud hébergé aux us ou avec du matériel US?

 
Je dirais plutôt très bof. En tout cas je ne les recommanderais pas. On a rencontré de multiples crashes sur leurs produits et le support n'est à peu près jamais capable d'en diagnostiquer l'origine. On va les virer pour pfSense.

et arkoon n'existe plus ?
il y avait netasq aussi fut une époque ...
 
"En 2013 Arkoon est fusionnée avec Netasq pour créer Stormshield filiale de Airbus Defence and Space"
 
lol.
 
C'est beau le business.
Eric Filiol : et dire que certains se foutaient de sa tronche en 2013 !!!!
https://www.youtube.com/watch?v=Fn_dcljvPuY

On est passé chez Palo l'an dernier, ils ont revu leur grille tarifaire, et ca devient accessible pour les petites structures.

Wikipédia sur Palo Alto Networks :  

 
Patriot act, NSA, ...  
 
Petite structure ou pas, ça peut avoir son importance notamment si la boîte travaille avec le secteur public.

Un petit retour tous de même
 
Pour le moment j'ai reçut l'offre d'un revendeur sophos et Fortinet
 
On attend aussi Palo Alto.
 
Sophos se serait un XG 125(w)
Fortinet un FortiWifi 51E
 
Pour le moment sophos est un peu moins chère et je trouve l'offre plus claire je comprends ce que j'achète.
 
 
Fortinet c'est un peu plus abstrait j'ai du mal à comprendre ce qu'i est inclus dans la licence leur site n'est pas hyper claire sur le contenu des Bundle je trouve

C'est assez simple chez Fortinet pourtant;
 
-Forticare : c'est le support (maintenance changement équipement bla bla bla)
-Fortiguard : c'est la partie "secu" du firewall avec : maj des bases IPS, AV, webfilter par categories..
 
et de mémoire, dans le bundle, tu as les 2 (forticare et fortiguard) pour 1 ou 3 ans.
 

https://www.ubnt.com/edgemax/edgerouter-pro/

Pfsense tu rigoles ....
C'est comme si tu me disais que tu n'aimais pas ta voiture peugeots et que tu allais changer pour un tricycle.
 
 
Apres des crashs, tu peux en avoir partout.... C'est fait par des humains. et le matériel est faillible.
 
Tu peux très bien en avoir 2 en HA pour limiter et je pense qu'il est necessaire d'en avoir 2
 
Stormshield malheureusement ont moins de sonde IPS que fortinet.
Pour avoir toucher fortinet et stormshield l'administration est plutot simple, visuel et intuitive.
Ils sont trés réactif sur les MAJ.
l'offre commerciale est simple
Pour moi le patriot act est un vrais repoussoir

Tu peux élaborer ton propos sur pfSense ?
 
Pour stormshield, celui de notre principal site plante brutalement quasiment tous les deux ou trois jours et reboot. Je me suis battu précédemment pendant un an avec eux pour qu'un plantage du même tonneau affectant l'intégralité de notre parc soit corrigé. Il aura fallu que je code un outil pour diagnostiquer l'origine du problème parce qu'ils en étaient incapables. Je ne suis pas prêt à revivre ça. Au moins avec pfsense, je pourrais aller faire la correction moi-même dans leur code. Je passe sur le moment où on nous a expliqué qu'ils étaient désolés mais que le matériel vendu pour une fonctionnalité bien précise ne fonctionnait en fait pas, et ne fonctionnerait pas, et qu'il fallait voir avec le revendeur pour un geste commercial (et qui lui te dit avec raison que ce n'est pas son problème). On a certaines appliances, il suffit de s'y connecter avec realtime monitor pour qu'elles se mettent à rejeter toute nouvelle connexion TCP. Un équipement réseau ne doit pas planter ou très rarement. Là c'est un festival de bugs et autres joyeusetés. Et leur support est bien gentil mais généralement pas au niveau.
 
Pour le HA, non. Pour de la tolérance de panne, certainement ; pour de la merde redondante, juste non.
 
Edit: ah tiens, je me connecte à l'interface de l'un d'entre eux pour vérifier la durée du support restante, je vois "nouvelle version". Je clicke sur le lien pour lire la release note. Erreur 404. Tout va bien. Ca ne prête heureusement pas à conséquence mais ils ont quand même un furieux problème de qualité.

Effectivment si il est défectueux, il faut qu'ils te le changent.
Je nai jamais rencontré ce genre de probléme. Tout fabriquant ou editeur de logiciel n'est pas a l'abri d'un problème, le 0 défaut n'existe pas.
 
Les advanced firewall, on les installes principalement pour les connexions Nord-SUD (wan) mais aussi il est maintenant trés fortement conseillié de les mettre en EST-OUEST (inter vlan Voir recommandation ANSSI). Donc mettre en coeur de réseau geré par un outil gratuit ou il n'y a pas forcement un support rapide, cela me semble dangereux.
 
 
Si tu n'es plus là, par exemple en vacances et qu'il y a un probléme ?
Si tu n'as pas la solution, faut il que tu attende la réponse sur un forum pfsens ?
Es tu sur qu'ils font la même chose (Peux il faire de l'ips (detection d'exploitation de faille sur un protocole), decryptage ssl, filtrage web, etc..) ?
Je te conseille de faire un étude d'impact sur une indisponibilité de l’équipement.
Pour ma part C'est dés équipements sensible ou il faut de la sécurité donc :
support en béton + doublement du matériel
 
Bref, si ta société c'est une entreprise qui fait des boites de conserve ou bien qui est dans le domaine santé et qui gère des patients, alors cela ne sera pas les mêmes priorités.
 
PS : je n'ai rien contre le libre, au contraire.

Ah mais si demain je travaillais dans le domaine de la santé, effectivement, il faudrait du support en béton sur un produit fiable: il serait donc doublement interdit d'installer des stormshields.
 
Et quant à pfSense, je te laisse te documenter, et surtout considérer que la plupart des projets opensource d'envergure ont derrière eux des sociétés qui vivent essentiellement du support qu'ils fournissent.

Bonjour,
De nombreuses société utilisent ces produits.
J'ai du mal avec ta généralisation de ton probléme et le dénigrement de cette société.
Comme tout outil, il faut une formation et le plus important dimentionner son équipements en fonction de ses besoins.
 
Ils sont certifié ANSSI et pas NSA.
https://www.ssi.gouv.fr/entreprise/ [...] ns-v2-2-6/
Tu trouveras aussi quelques bonnes pratiques.
https://www.ssi.gouv.fr/guide/recom [...] curity-sns
 
ou n'as tu pas un intérêt financier a dire ceci sur un forum ?
 
je suis hors sujet principal avec mes 2 advanced firewall pour 10 salariés mais je lui déconseille pfsense si il n'a pas de ressource informatique interne.

Tu m'as démasqué: la NSA me rémunère pour dénigrer stormshield, c'est tellement important pour eux...
 
Ou alors, peut-être, c'est simplement que je n'ai jamais rencontrés autant de problèmes, fait autant de RMA et ouvert de tickets avec un fournisseur. Et de loin.
 
Tiens, puisque tu y reviens: la dernière fois qu'on en a commandé, il y a encore quelques mois, mêmes les piles de la CM étaient nazes sur les boîtiers reçus. Tu peux vérifier, ils ont fait un KB à ce sujet parce que ça pète la licence à chaque reboot, que tu ne peux pas les ouvrir toi-même pour changer la pile sans faire sauter la garantie et qu'ils en ont livré des milliers.
 
Même leurs piles sont boguées...

Je vois que Watchguard est cité par ledufakademy comme un "très bon porduit". C'est le pire que j'ai pu utiliser dans ma carrière. Tout y était mauvais : le coût et plus largement la politique commerciale, la performance, les fonctionnalités, la façon de configurer le FW (et l'ergonomie en général). On va admettre qu'ils sont sont considérablement amélioré...
 
Sophos XG clairement mieux sur tous les plans.

J'ai personnellement aucun soucis en full Watchguard depuis quasi 10 ans. L'administration se passe facilement, récemment la partie Dimension a bien remplacé les Logs Server qui en avaient besoin.

La seule déception que j'ai eu concerne la ligne des passerelle SSL qu'ils ont arrêté assez brusquement.
Mais côté firewalls c'est franchement agréable comme boitier.

Après évidemment chacun a sa préférence sur la question des fw.

cela ressemble a la même discutions que j'ai eu avec M. DocMaboul et les firewall avec stormshield.
Donc on peut avoir une expérience catastrophique ou non avec chaque type de firewall.
Son cas personnel n'est jamais une généralité

Pour la petite histoire on a finalement choisi Sophos
 
L'installation c'est passé de manière assez simple et globalement c'est loin d'être très compliqués à comprendre.