Choix de FireWalls (cluster) et de passerelle VPN pour une entreprise

Choix de FireWalls (cluster) et de passerelle VPN pour une entreprise - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 31-01-2004 à 14:43:03    

:hello:  
 
Je bosse depuis peu dans une société spécialisée dans la conception et du déploiement de progiciel de logistique pour le compte de grands groupes.
 
Nous allons changer nos firewalls et passerelles VPN... qui sont qualifiés d'un peu "obsoletes".
Puis comme nous fusionnons avec une autre société autant partir sur de bonnes bases.  :)
Nous avons actuellement 4 agences, qui vont etre interconnecté via la technologie MPLS.
 
Nos besoins pour le firewall :
-Avoir une passerelle par défaut solide.
-Assurer la sécurité des échanges de manière forte entre les différents réseaux connectés : clients, DMZ public, Internet, LAN, WiFi...
-Les trucs de bases d'un firewall : filtrage statefull inspection, administration SNMP, gestion des logs...
-De la haute disponibilitée : transparence en cas de crash d'une passerelle, répartition de charge (load balancing) entre les grappes du cluster....
-Un bon support de charge (car y a des applis sortantes style PCAnywhere qui vont bouffer de la bande passante, réplication avec un serveur de messagerie...), donc pas un truc qui est à genoux rapidement.  :ane:  
-NAT, PAT, port forwarding...
-Routage statique, dynamique (OSPF...).
-Possibilité d'authentification : RADIUS ou TACACS + authentification par certificat X509 (via PKI).
-QoS (visioconférence, téléphonie sur IP).
-Bonnes interactions avec le MPLS.
-Une administration puissante, relativement conviviale, fine et gérable (définir plusieurs administrateurs avec des droits différents par exemple).
 
Nos besoins pour la passerelle VPN IPSEC :
-Forte sécurité.
-Filtrage statefull inspection.
-Authentification forte : RADIUS/TACACS + certif X509.
-Chiffrement 3DES ou AES.
-Connexion LAN to LAN ou HOST to LAN.
-Interopérabilité pour rester compatible avec nos agences et clients (donc pas un truc olé olé  :D )
 
 
Certains membres de la direction (enfin surtout mon boss) à selectionné 3 produits :
*Pour le cluster de firewall (2 FW) :
-Nokia FireWall-1 NG.
-NetASQ F2000 je croies.
 
*Pour la passerelle VPN :
-Nortel connectivy.
 
Ils sont bien chaud pour mettre du NetASQ au niveau du cluster de firewall... mais perso, je trouve que niveau haute disponibilité c'est de la magouille. Puis niveau sécurité sa donne quoi concretement.
J'ai l'impression que c'est un peu du bas de gamme...  :sweat:  
 
Moi j'aurais bien mis du Cisco PIX mais sa semble un peu cher apparemment.
Sinon Netscreen parrait sympatoche.  :)
 
Quels sont vos avis sur tout ses types d'équipement par rapport à nos besoins ?
Y en a t'il d'autres équipements dont je n'ai pas parlé et qui sont pour vous mieux, par rapport à nos besoins ?
 
Perso, j'aimerais du Cisco (hardware) au niveau des Firewalls voir du Nokia Checkpoint ou du Netscreen. Car cela semble puissant et fait leur preuve (et certifié : criteres communs, ITSEC...)
 
Qui connait Netscreen, d'ailleurs ?  :D  
 
En gros j'attends de vous des conseils et surtout des idées fortes pour mettre convaincre la direction... parce que NetASQ j'en ai une confiance limitée... il regarde l'aspect pognon mais après c'est moi qui vait galérer !  :o  
 
 
Pour le VPN je vais essayé de faire forcing pour avoir du Cisco VPN 3000  :)


Message édité par madsurfer le 31-01-2004 à 14:57:04
Reply

Marsh Posté le 31-01-2004 à 14:43:03   

Reply

Marsh Posté le 31-01-2004 à 15:11:46    

Ma boite utilise les solutions de chez Arkoon, une boite francaise kinenveu : http://www.arkoon.fr/
 
Je suis pas un méga-spécialiste sécu, mais ce sont de tres bon produits (c'etait les 1er a avoir une techno de filtrage applicatif), relativement bien positionné niveau tarifs, et qui me semblent couvrir tous les besoins que tu cites.


Message édité par El Pollo Diablo le 31-01-2004 à 15:12:40
Reply

Marsh Posté le 02-02-2004 à 15:28:18    

:jap: El pollo diablo, je vais jeter un coup d'oeil chez Arkoon !
 
 
Sinon les autres vous avez pas de retour d'expériences, idées sur le sujet ?  :sweat:

Reply

Marsh Posté le 02-02-2004 à 15:37:33    

Chez moi, c'est une solution Cegetel/IBM


---------------
Il est urgent de ne rien faire oÔ
Reply

Marsh Posté le 02-02-2004 à 15:49:55    

Arkoon, pas trop mal y parait, j'ai eu de bon écho et pas mal de partenaires avec qui on bosse en ont.
Netasq, c'est pas mal comme produit, je l'ai vu tourner à plusieurs endroits et c'est assez convivial.
Le pix, cà marche bien, j'en utilise tous les jours, mais je ne comprend pas que tu veuilles ce produit, l'administration est à Ch***
Sinon, en bête monstrueuse, tu as les Altéons de Nortel.
Ca marche très bien en failover notament.
Nokia + FW1, ben c bien mais ca merde des fois avec le failover, impossibilité de faire du statefull failover dans certain cas alors méfiance.
Netscreen, connais pas.
Voilà, si ca peut t'aider.

Reply

Marsh Posté le 02-02-2004 à 17:24:43    

Merci ! Que de bons conseils !  :D
 
 
Je sais plus où j'ai entendu de virtualisation au niveau des firewalls (checkpoint, je crois). Quelqu'un peut m'en dire plus à ce sujet ?
 
Sinon ds le cas d'un cluster, le systeme de filtrage est il vu comme une seule entité (c'est pour la transparence).


Message édité par madsurfer le 02-02-2004 à 17:29:19
Reply

Marsh Posté le 03-02-2004 à 15:42:12    

Up !!

Reply

Marsh Posté le 03-02-2004 à 16:01:46    

j'ai utilise des boitiers arkoon pr le VPN, ca marche pas mal, sinon comme fw, on a du nokia, et ras.

Reply

Marsh Posté le 03-02-2004 à 16:13:40    

Pour information il semblerait que Netscreen ai signé récemment de gros contrats pour des matériels haut de gamme avec un opérateur et une grande banque francaise.
 
J'utilise régulièrement un boitier Netasq comme serveur VPN sans le moindre problème depuis plus d'un an.

Reply

Marsh Posté le 03-02-2004 à 16:36:44    

NetAsq, Arkoon ou un bon vieux Cisco Pix fera tres bien l'affaire.

Reply

Marsh Posté le 03-02-2004 à 16:36:44   

Reply

Marsh Posté le 27-02-2004 à 10:02:33    

A l'heure actuelle, il est de plus en plus probable que nous allons nous tourner vers un appliance (enfin un cluster  :D) basé sur un moteur Checkpoint.
 
Par contre quel est la différence entre les différents appliances existant sur le marché intégrant un moteur Checkpoint ?
Plus simplement... qu'est ce qui différencie un FireWall Alteon Nortel, d'un Nokia ?
 
 
thelooser --> Tu peux m'en dire plus au niveau failover stateful ?
 
 
 :jap:


Message édité par madsurfer le 27-02-2004 à 10:05:26
Reply

Marsh Posté le 27-02-2004 à 10:18:27    

On utilise Checkpoint FW-1 NG R54 avec une machine Celestix (on devait prendre un Sun mais c etait un peu cher). On l a depuis qq jours donc j ai pas encore tout testé, mais ca a l air bp mieux que le FW-1 v4.0 (sous NT4) que nous avions avant. Sur les FW-1 (depuis la v4 je crois) il y a des fonctions VPN (on ne les utilise pas, je preferais des machines Linux avec IPSEC que des serveurs NT4, mais maintenant que le fw tourne sous linux je vais peut etre tester ces fonctions).
Bref a ta place je n oublierais pas les machines SUN

Reply

Marsh Posté le 27-02-2004 à 10:19:01    

Netscreen c'est très bien. Kler que niveau Common Criteria tu as une bonne garantie (EAL 4 je crois). Au niveau de la gamme et de la répartition de charge et de la QOS y a de quoi faire.
 
Pourle projet de sécurité de notre boîte, j'ai travaillé avec une superbe entreprise ! Top niveaux conseils, qui pousse pas à la vente, bref l'accompagnement était très bon. LE résultat de l'analyse s'oriantait vers du NetScreen ou du BorderWare (EAL 5). Le deuxième produit est peu connu en france mais à de très bonne référence. Quant à NetScreen, ben leur "renommé" n'est plus à faire !
 
Checkpoint sont passé en proxy applicatif en 2003  je crois. Bref c'est un autre niveau que le Stateful Inspection.
 

Reply

Marsh Posté le 27-02-2004 à 14:48:15    

Madsurfer a écrit :


 
thelooser --> Tu peux m'en dire plus au niveau failover stateful ?


 
Je ne connais pas le nom exacte dans les autres technos, au niveau du Pix, c'est state + failover
Ca te permet lors d'une coupure sur l'un des Firewall de reprendre les sessions tcp actives sur l'autre pix.
En gros, le mec qu'à des sessions (telnet par exemple) de chaque coté du Fw ne perd pas sa session.
La table des sessions est transféré entre les 2 FW lors du Failover.
 

Reply

Marsh Posté le 27-02-2004 à 16:00:54    

renaud-twingo a écrit :

On utilise Checkpoint FW-1 NG R54 avec une machine Celestix (on devait prendre un Sun mais c etait un peu cher). On l a depuis qq jours donc j ai pas encore tout testé, mais ca a l air bp mieux que le FW-1 v4.0 (sous NT4) que nous avions avant. Sur les FW-1 (depuis la v4 je crois) il y a des fonctions VPN (on ne les utilise pas, je preferais des machines Linux avec IPSEC que des serveurs NT4, mais maintenant que le fw tourne sous linux je vais peut etre tester ces fonctions).
Bref a ta place je n oublierais pas les machines SUN


 
Oui Sun c'est cher... puis faut maintenir et sécurisé l'OS et ici on a pas trop le temps. Donc un appliance est le bienvenue, car normalement l'OS qui tourne dessus est normalement "sécurisé".
Oui entre la version NG et l'ancienne y a pas mal de modif ! :D

Reply

Marsh Posté le 27-02-2004 à 16:07:57    

nickola a écrit :

Netscreen c'est très bien. Kler que niveau Common Criteria tu as une bonne garantie (EAL 4 je crois). Au niveau de la gamme et de la répartition de charge et de la QOS y a de quoi faire.
 
Pourle projet de sécurité de notre boîte, j'ai travaillé avec une superbe entreprise ! Top niveaux conseils, qui pousse pas à la vente, bref l'accompagnement était très bon. LE résultat de l'analyse s'oriantait vers du NetScreen ou du BorderWare (EAL 5). Le deuxième produit est peu connu en france mais à de très bonne référence. Quant à NetScreen, ben leur "renommé" n'est plus à faire !
 
Checkpoint sont passé en proxy applicatif en 2003  je crois. Bref c'est un autre niveau que le Stateful Inspection.
 
 


 
 
Checkpoint aussi c'est de l'EAL 4  :D (http://cnscenter.future.co.kr/resource/crypto/evaluation/cc/Check_Point_ST.pdf)
 
Peut on faire de la QoS dynamique (allouer la bande passante dynamiquement -> un peu comme les packet cheaper) sur Netscreen ? Et checkpoint ? Pour ce dernier j'ai vu qu'il y avait un module.

Reply

Marsh Posté le 27-02-2004 à 16:15:59    

thelooser a écrit :


 
Je ne connais pas le nom exacte dans les autres technos, au niveau du Pix, c'est state + failover
Ca te permet lors d'une coupure sur l'un des Firewall de reprendre les sessions tcp actives sur l'autre pix.
En gros, le mec qu'à des sessions (telnet par exemple) de chaque coté du Fw ne perd pas sa session.
La table des sessions est transféré entre les 2 FW lors du Failover.
 
 


 
OK ! C'est clair !  :)

Reply

Marsh Posté le 27-02-2004 à 17:15:52    

nickola a écrit :

Netscreen c'est très bien. Kler que niveau Common Criteria tu as une bonne garantie (EAL 4 je crois). Au niveau de la gamme et de la répartition de charge et de la QOS y a de quoi faire.
 
Pourle projet de sécurité de notre boîte, j'ai travaillé avec une superbe entreprise ! Top niveaux conseils, qui pousse pas à la vente, bref l'accompagnement était très bon. LE résultat de l'analyse s'oriantait vers du NetScreen ou du BorderWare (EAL 5). Le deuxième produit est peu connu en france mais à de très bonne référence. Quant à NetScreen, ben leur "renommé" n'est plus à faire !
 
Checkpoint sont passé en proxy applicatif en 2003  je crois. Bref c'est un autre niveau que le Stateful Inspection.
 
 


 
 
Checkpoint aussi c'est de l'EAL 4  :D (http://cnscenter.future.co.kr/resource/crypto/evaluation/cc/Check_Point_ST.pdf)
 
Peut on faire de la QoS dynamique (allouer la bande passante dynamiquement -> un peu comme les packet cheaper) sur Netscreen ? Et checkpoint ? Pour ce dernier j'ai vu qu'il y avait un module.
 
Est ce vraiment bien ?

Reply

Marsh Posté le 27-02-2004 à 17:20:30    

Les appliances NetScreen sont taillées pour les gros flux généralement. Si tu regardes les spécifications de la séries 200
http://www.netscreen.com/products/ [...] series.jsp
il y a la haute disponibilité pour la tolérances de pannes et répartition de charges, et la gestion de QOS (traffic management). Le descriptif est assez complet (pour la QOS ils sont un peu radin en détails). Il faut pas se limiter au nombre d'interfaces offertes par l'applicance, car la possibilité de créés des VLN augmentes le nombres possible de DMZ.
 Je connais beaucoup moins Checkpoint, donc je ne saurais pas te dire.


Message édité par nickola le 27-02-2004 à 17:24:30
Reply

Marsh Posté le 27-02-2004 à 17:38:50    

Nickola -> c'est vrai qu'ils ont l'air pas mal les NetScreen.
 
Tu peux m'en dire plus sur les VLN !? C'est quoi exactement ?
J'ai l'impression que cela ressemble aux VLANs (sur les commutateurs)... y a un système de taggage des paquets ?
 
Comme je l'ai dit plus haut j'ai lu je ne sais où que sur certains firewalls (notamment Checkpoint), il était possible de faire de la "virtualisation"... est ce la meme chose que les VLN ?


Message édité par madsurfer le 27-02-2004 à 17:39:03
Reply

Marsh Posté le 26-05-2004 à 15:08:45    

Salut,  
 
Nous sommes en cours de réflexion pour installé un firexall type A50.  
http://www.arkoon.net/FR/index.php  
L'installation est un lycée avec deus réseaux (admin 15 postes et élèves 30postes) distincts qui seraient raccordés sur l'appareil.  
Z'en pensez koi?? trop puissant?? pas adéquat??
Toutes info pratique est la bienvenue )  
Merci d'av  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed