Bonjour à tous,
 
j'étudie l’infrastructure de nos futurs locaux car pour l'instant nous sommes dans un hôtel d'entreprises.
 
Nous serons 50 collaborateurs avec une box internet fibre, un réseau gigabit, un active directory et des besoins d’accès VPN pour des collaborateurs en télétravail.
 
Je cherche un firewall adapté à notre taille et qui ferait un maximum de boulot. C'est à dire DHCP, VPN SSL (pour que les collaborateurs aient juste un navigateur à utiliser), Proxy et bloquer les intrusions.
 
J'ai vu quelques modèles pour un budget de 1000€ HT : FortiGate 90E, Firewall pfSense® XG-7100 et ZyXEL USG210.
 
J'ai peur que le le pfSense soit un peu trop complexe à configurer et sans support français.
 
Auriez-vous un avis sur la question ?
 
Merci d'avance
Cordialement

pour ton cas, je prendrais ça : https://www.wifi-france.com/ubiquiti/edgerouter-pro-8 pour gérer toute la partie firewall/DPI/DHCP
 
pour ton VPN tu peux monter un serveur L2TP IPSec sur ce EdgeRouter. Infos https://help.ubnt.com/hc/en-us/arti [...] VPN-Server mais ce sera pas 'juste avec un navigateur'

Merci je vais regarder ce que ça vaut. Il ne semble pas faire Proxy
 
Dommage pour le VPN, j'aimerais ne pas avoir à gérer la config des postes que je ne vois plus une fois fourni au collaborateur
 
Et j'ai oublié de préciser que le top serait de lier l'Active Directory au VPN pour n'avoir qu'un seul compte

Pour
 
Gestion VPN, les protections intrusion, liaison AD, etc (la liste est longue)...
 
Il faut partir sur des UTM type stormshield, watchguard, sophos, palo alto etc, mais le budget n'est plus du tout le même.

C'est pour ça que j'avais mis dans ma liste le ZyXEL et le Fortinet. Ils sont UTM et le tarif reste raisonnable
 
A priori un FortiGate se lie à un AD : https://paretape.com/vpn-ssl-fortigate-5-4/

+1 voilà le pourquoi de ma proposition.
après ce n’est pas un UTM, qui te permettra aussi de tracer l’activité. Mais pour moi, on ne mélange pas proxy et routeur/FW.

Un UTM ne permet pas de tracer l'activité ?
Pour la partie proxy, tu verrais quoi comme solution/matériel ?

Bien sur qu'il trace tout

on s’est mal compris, le EGDEROUTER n’est pas un UTM.

ça me rassure
 
ZyXEL en série USG se connecte aussi aux AD. Vous pensez quoi de cette marque ?

Le Fortigate fait ce que tu demandes.

Merci.  
 
J'étais parti sur la version FortiGate 90E à 929€ HT sur firewallshop mais le prix est complètement différent ailleurs.  
 
D'après un revendeur certifié FORTINET les produits disponibles sur firewallshop sont des
produits qui ne proviennent pas du marché français. Donc pas possible de
mettre des licences et de les renouveler.
 

pour rappel: https://www.solutions-numeriques.co [...] dant-1-an/
 

untangle (www.untangle.com) fait tout ca, et depuis la version 14.2, tu dois pouvoir le connecter a AD (meme azure AD)
 
L'avantage c'est qu'il peut s'installer sur ta propre machine.
L'inconvénient, c'est qu'il est peu distribué chez nous. Du coup, support en anglais, et avec 6/8h de décalage (ils sont sur la cote ouest des US).
 

Merci mais je cherche une solution packagée dans un boitier dédié  
 
Et pour les ZyXEL ? Personne ne connait ?
 

sonicwall
tz500
https://www.sonicwall.com/fr-fr/pro [...] try-level/
 

Malheureusement il n'accepte que 2 connexions VPN et 1 connexion supplémentaire coûte 60€ (https://www.netwalkerstore.com/global-vpn-client-sonicwall-licence-1-utilisateur-c2x9625823)

un pfsense ? y a suffisament de matos ad hoc pour le poser et ça fait tout ce que tu veux : vpn/dhcp/dns/proxy

J'avais pensé au pfSense® XG-7100 mais il n'y a pas de support français et l'interface de la config n'a pas l'air très conviale

support français et IT .... après oui, si c'est un critère, bonne chance.
Pour l'interface je la trouve impec et relativement simple

Sinon ça à l'air bien puissant pour le prix
 
Par contre, pas de VPN SSL...

Watchguard ?

De mon côté j'utilise la solution Watchguard, superbe solution extrêment stable et simple à mettre en place.
Firewall, VPN SSL et DHCP tout ce qui faut pour toi

Effectivement on m'en a dit du bien mais les prix s'envolent surtout avec les licences (M270 1100€ sur achatpc et 7800€ chez inmac) . Vous utilisez quelle version ?

si tu regarde le magic quadrant 2019, FORTINET est bien placé.
Fortinet ont beaucoup de sondes IPS (Intrusion Prevention System )
Pour administrer toutes les solutions que nous avons cité.  
il faut :
-Avoir un support avec l'editeur (pour bénéficier des maj et nouvelle fonctionnalité) $$$
-Passer du temps pour le paramétrer, exemple faire des régles pour enlever les faux positifs, créé les régles de firewall etc..
- régulièrement le mettre a jours.
-Regarder les log.
Il faut une formation, ou alors un support étendu avec une société agréé tierce. (Axians, spie etc...) qui se chargera de cela.
 
 
 
 

C'est bon à savoir
Le support effectivement c'est $$$, je ne suis pas sur que ça passe auprès de la direction (surtout quand le suport dépasse le cout du matériel)
Après le temps je le possède car c'est ma fonction
Par contre, la formation ça peut être un plus

+1000  

Pour les UTM il ne faut pas aller chercher sur les plateformes de vente en ligne qui te vendent que de la boite en carton à prix d'or.

Contacte un revendeur informatique de ta région qui vend le matériel et prend rdv avec lui.

Un UTM efficace c'est un UTM bien configuré (et non configuré à l'arrache) et sur lequel tu peux prendre la main via une mini formation et avoir du support si besoin est.

Maintenant il faut être conscient que la sécurité informatique à un coût non négligeable (les attaques deviennent aussi de plus en plus élaborées), mais d'un autre coté c'est le coeur et le cerveau de toutes entreprises.

Demain, si ton réseau et les données de l'entreprise sont downs ou corrompus, ou mises à disposition de n'importe qui,etc... quel est le coût de ce désastre?

C'est ce qu'il faut regarder en premier et mettre en concurrence avec le coût de cette fameuse sécurité.

Une boite de 50 personnes qui dit: tu as 1000€ pour nous protéger, c'est déjà une boite qui ne s'est pas posée les bonnes questions, n'a pas vraiment évaluée les risques et considère que la protection de ses données n'est pas une priorité.

ça me rassure un peu, je vais m'orienter vers des revendeurs
 
Du coup, les firewall classiques sont tous obsolètes pour assurer une sécurité optimale (style PfSense) ?
 
A la louche c'est combien le budget à attribuer à une entreprise de 50 personnes point de vue routeur/firewall ?

PFsense n'est pas à la rue, c'est une des references opensource, par contre il faut sacrement mettre les mains dans le cambouis pour le configurer d'une manière optimale et le maintenir à jour.

Pour ceux que je connais, les watchguards, à la mise en place il faut compter entre 2000 et 3000€ (suivant les modèles T35 ou T55) avec les licences à jour pendant 3 ans. A cela il faut ajouter la prestation de configuration et la formation.

A cela il faut ajouter une petite VM sur un serveur avec un disque de 300 à 500Go pour recevoir et stocker les logs, surveiller le systeme etc...

Pas la peine de prendre la version avec wifi qui est plus cher. Si tu veux distribuer du wifi, tu connecte un PA sur une des prises du watchguard et tu peux mettre en place du wifi en portail captif.

C'est bien ce que je craignais pour pfSense
 
Le T55 semble intéressant. Par contre, le jour où on aura une fibre à 1Gb il risque de brider la connexion ?
 
Je ne pensais pas que les logs serait si gros (encore une bonne chose à savoir, merci). Je pensai consulter les logs en direct dessus avec un navigateur web
 
Pour le wifi, je pensai aussi prendre des PA ailleurs (Cisco Aironet 1815). Intéressant le portail captif

Ben à ce moment il sera temps de la changer et donc de prendre un modele plus gros
 
Les logs sont gros car il écrit absolument tout.
 
Après tout se consulte via watchguard dimension qui est une appli via interface web
 
https://www.watchguard.com/docs/dat [...] ion_ds.pdf
 
https://www.youtube.com/watch?v=Poggzbr-Y6w

Je partirai sur les Fortigate perso c'est vraiment top !

 
Un partenaire Platinum WatchGuard vient me faire une présentation mardi, j'en saurai plus sur les tarifs

Tu possèdes quel modèle ? Tu commande ça chez qui ? Tu prends les licences ?

Chez nous, nous avons du 60 DSL, 90D et E, 100D et 101E.
 
Sinon je prends ça chez mon fournisseur habituel (Misco/Inmac) et pour les licences j'ai pris de base car j'ai d'autres produit pour la partie antivirus etc...
 
Mais j'adore l'interface et la simplicité des boitiers, et en plus ça fait controleur wifi (j'ai 32 bornes Fortinet aussi gérer par mon cluster 100D).

Tu es bien équipé !!
 
Les licences de base sont tout de même payante ?
 
Je cherche quelque chose de simple justement. 32 Bornes !! ça commence à causer

Non les licences de bases sont gratuites (de base il fait juste firewall, controleur et VPN).
 
Par contre tu dois rajouter des licences supplémentaires pour avoir plus de x utilisateurs en vpn en simultanés (je me souviens plus du nombre de base).
 
Franchement le 90D est très bien, tu as aussi des broker (firewall shop) qui ont des offres mais avec un support assuré par eux et non par Fortigate (j'ai pris le cluster 100D via eux)

Sur les fortigate, pas besoin de licences pour les VPN SSL ou IPSEC.
Les licences c'est pour les fonctions avancées des forticlient.

Si pour SSL tu en as besoin selon le nombre de users de souvenir. De base tu peux, mais tu es limité en quantité.

Il me semble également que la licence limite le nombre d'utilisateurs en SSL
 
Merci pour ton avis sur "firewall shop" car les prix sont abattables
 
Par contre les perfs en SSL font peur avec le 90D : 35 Mbps