Choix d'un firewall pour du VPN redondant + divers

Choix d'un firewall pour du VPN redondant + divers - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 07-05-2008 à 11:25:58    

Bonjour à tous
 
J'ai actuellement une problématique à résoudre pour l'évolution de notre réseau, et je cherche à voir plus clair dans les solutions qui sont proposées actuellement sur le marché des Firewall.
 
Pour plus de clarté je vais d'abord vous présenter l'état actuel de notre système.
 
- Nous avons un site central / directeur
Il est actuellement équipé de 2 routeurs cisco 1801, chaque routeur étant sur un lien dsl distinct (Chaque lien dispose d'un IP Publique distincte).
 
Ils sont actuellement configurés avec HSRP pour la tolérance de panne.
Ce site central est le point de connexion en VPN IPSEC point à point pour l'ensemble des sites distants.
 
Ces routeurs servent aussi de serveur VPN L2TP pour les itinérants (peu nombreux, moins de 10 personnes).
 
 
 
- Une douzaine de sites distants (le nombre est susceptible d'évoluer dans les années à venir en fonction des projets, mais nous n'avons pas de visibilité à ce sujet)  
Il sont actuellement équipés de 2 routeurs cisco 877, chaque routeur étant sur un lien dsl distinct (Chaque lien dispose d'un IP Publique distincte).
 
Ils sont actuellement configuré avec HSRP pour la tolérance de panne.
 
 
- Le VPN
Actuellement les tunnels relient les sites distants au site central.
Pour chaque tunnel on précise pour l'extrémité distante l'adresse ip publique du deuxième routeur pour toujours disposer d'une deuxième connexion en cas de perte du lien.
Mais cette configuration pose problème!
 
Par exemple pour un tunnel entre :
site1      ------------- site2
routeur1-1               routeur2-1
routeur1-2               routeur2-2
 
Par défaut le tunnel est établi entre routeur 1-1 et routeur 2-1
On suppose que la connexion tombe sur le site 2 (sur le routeur2-1)
Le tunnel IPSEC tombe
Avec HSRP le routeur 2-2 devient actif
Le tunnel IPSEC va s'établir entre routeur 1-1 et routeur 2-2
 
Mais le problème commence quand la connexion revient sur le routeur 2-1
Car il redevient actif
Mais comme la connexion n'est pas tombé sur routeur 2-2, le tunnel IPSEC ne tombe pas.
Il va donc rester actif mais non fonctionnel car il passe en partie par un routeur qui est inactif pour HSRP.
 
 
 
Notre objectif :
C'est essentiellement pour ce problème que nous souhaitons faire évoluer notre infrastructure, mais il serait en même temps souhaitable de consolider le reste:
 
Mise en place d'un VPN hub and spoke ou en nuage ou équivalent, car nous avons de plus en plus des besoins de communication entre les sites.
 
Mise en place de VPN avec des certificats.
Meilleure gestion des connexions itinérantes.
Meilleure gestion du failover et éventuellement de la balance de charge.
 
Et en profiter pour mettre en place un firewall plus fin (on a essentiellement 3 profils d'utilisations réseau à définir) avec du filtrage d'url.
 
 
Je suis donc avant tout en train d'étudier la mise en place d'un firewall qui réponde à ces besoins.
J'ai commencé à prendre contact avec des prestataires, mais j'ai souvent l'impression qu'ils me conseillent un produit parce que c'est celui avec lequel ils ont l'habitude de travailler plusôt que celui qui correspond vraiment au besoin.
 
J'ai commence à me documenter sur les plateformes suivantes :
Cisco ASA 55xx
Arkoon Fast 360 Axx
Astaro
...
 
Avez vous des conseils à me donner sur les technologies et matériels pour mettre cela en place ?
 
Merci d'avance pour votre aide !

Reply

Marsh Posté le 07-05-2008 à 11:25:58   

Reply

Marsh Posté le 07-05-2008 à 14:28:15    

Regarde du côté de Stonesoft : la référence en matière de load balancing et disponibilité.

Reply

Marsh Posté le 07-05-2008 à 15:56:44    

Merci pour l'info, je jette un coup d'oeil chez eux.

Reply

Marsh Posté le 07-05-2008 à 16:22:25    

j'aime bien le clustering fortigate en matiere de haute dispo , que ce soit en actif/actif ou actif/passif, c'est tres simple et fiable. par ailleurs leur VPN par interfaces permettent tout a fait de gerer des routes avec des distances et des priorités.  cela dit vu que tu rajoutes ton firewall derriere tes routeurs  tu t'afranchis de ton premier probleme de toute façon.les fortigate gere le VPN hub meme si je dois dire que passé un certains nombres de site ca devient un peu lourd a gerer (enfin ca reste valable comme remarque pour tous les fw)
 
Sinon forigate sait a peu pret tout faire en VPN (et en authent , LDAP , AD ,radius ....Etc) que ce soit en IPSEC ou vpnssl.  
il gere  les profils de filtrage  meme si je pense qu'il y a encore des progres a faire en terme de granularité.
 
sinon, que ce soit tes prestataires ou les users de ce forum on va toujours te recommander ce avec quoi on a la plus grande experience.
 
de maniere generale les boitiers FW assument de plus en plus de fonction, le tout est de bien choisir lesquelles activer. (fortinet gerant aussi bien le routage dynamique , le firltrage web ,  IPS/IDS , l'antispam , l'antivirus ....Etc ...Etc)
 
 
 

Reply

Marsh Posté le 07-05-2008 à 16:48:43    

lessive a écrit :

j'aime bien le clustering fortigate en matiere de haute dispo , que ce soit en actif/actif ou actif/passif, c'est tres simple et fiable. par ailleurs leur VPN par interfaces permettent tout a fait de gerer des routes avec des distances et des priorités.  cela dit vu que tu rajoutes ton firewall derriere tes routeurs  tu t'afranchis de ton premier probleme de toute façon.les fortigate gere le VPN hub meme si je dois dire que passé un certains nombres de site ca devient un peu lourd a gerer (enfin ca reste valable comme remarque pour tous les fw)
 
Sinon forigate sait a peu pret tout faire en VPN (et en authent , LDAP , AD ,radius ....Etc) que ce soit en IPSEC ou vpnssl.  
il gere  les profils de filtrage  meme si je pense qu'il y a encore des progres a faire en terme de granularité.
 
sinon, que ce soit tes prestataires ou les users de ce forum on va toujours te recommander ce avec quoi on a la plus grande experience.
 
de maniere generale les boitiers FW assument de plus en plus de fonction, le tout est de bien choisir lesquelles activer. (fortinet gerant aussi bien le routage dynamique , le firltrage web ,  IPS/IDS , l'antispam , l'antivirus ....Etc ...Etc)


c'est bien beau de parler d'actif/actif ou actif/passif avec fortinet, mais la seule différence entre les 2 est perceptible.. quand tu fais de l'analyse antivirus. Autrement, le comportement est exactement identique (tu peux te mettre en A/A ou A/P, si tu ne fais pas d'analyse antivirus, c'est la même chose.. si tu en fais, une partie de l'analyse sera transférée aux autres membres du cluster)
 
 
Et sinon, niveau produit, je te conseillerais Checkpoint (mais comme il a été dit, c'est parce que je connais bien)

Reply

Marsh Posté le 07-05-2008 à 16:56:43    

J'ai tenté de mettre exactement la même infra en place. Je vais être franc, j'ai laissé tombé.
Aujourd'hui j'ai mes deux routeurs et mes deux liens distincts. L'un est éteint et l'autre allumé. Qd y'a une panne, j'éteins le premier allume le deuxieme (je fais ça au tél avec qqun sur site, en 1 min c réglé).
 
Car j'avais le même pb, la redondance cisco ne revenait pas dans l'état initial une fois le lien principal réparé.
 

Reply

Marsh Posté le 07-05-2008 à 17:06:23    

Merci pour vos participations.
J'ai jeté un bon coup d'oeil chez Stonesoft et les autres.
Uniquement en consultant les docs j'ai l'impression que c'est leur produit qui répond le mieux à ma problématique de VPN Haute Dispo, mais je vais creuser ça.
 
Sinon j'ai vaguement entendu parler de Mystream et de leur Mybox, vous avez des échos la dessus ?

Reply

Marsh Posté le 07-05-2008 à 17:12:00    

lecharcutierdelinux a écrit :

J'ai tenté de mettre exactement la même infra en place. Je vais être franc, j'ai laissé tombé.
Aujourd'hui j'ai mes deux routeurs et mes deux liens distincts. L'un est éteint et l'autre allumé. Qd y'a une panne, j'éteins le premier allume le deuxieme (je fais ça au tél avec qqun sur site, en 1 min c réglé).
 
Car j'avais le même pb, la redondance cisco ne revenait pas dans l'état initial une fois le lien principal réparé.
 


 
Pour l'instant ce n'est pas très génant.
Mais nous sommes dans une phase qu'on pourrait qualifier de consolidation pour l'ensemble des ressources informatiques, nous ne pouvons plus nous permettre de mettre en place des solutions approximatives étant donné la vitesse à laquelle se développe notre structure.
Par ailleurs nous avons des automates qui tournent la nuit en connexion d'un site vers l'autre, une coupure n'est pas dramatique, mais deviendra de plus en plus contraignante.

Reply

Marsh Posté le 07-05-2008 à 22:42:50    

lukeg a écrit :


c'est bien beau de parler d'actif/actif ou actif/passif avec fortinet, mais la seule différence entre les 2 est perceptible.. quand tu fais de l'analyse antivirus. Autrement, le comportement est exactement identique (tu peux te mettre en A/A ou A/P, si tu ne fais pas d'analyse antivirus, c'est la même chose.. si tu en fais, une partie de l'analyse sera transférée aux autres membres du cluster)
 
 
Et sinon, niveau produit, je te conseillerais Checkpoint (mais comme il a été dit, c'est parce que je connais bien)


 
je n'ai pas specialement porté de jugement de valeur sur l'interet  de A/A ;) ; j'ai juste dit que dans les 2 cas la haute dispo etait tres simple et efficace, je ne vois donc pas matiere à s'emporter contre cette fonctionnalité qui somme toute est assez interessante pour des FW frontaux. La HA a un cout (*2 en l'occurence) si elle peut apporter un petit plus en capacité de traitement , c'est toujours ca de pris.
 
sinon franchement pour le probleme de VPN qui remonte pas , avec du hsrp et un firewall ou cluster de firewall derriere il n'y vraiment aucun soucis quelle que soit la solution que tu retiendras.


Message édité par lessive le 07-05-2008 à 22:45:06
Reply

Marsh Posté le 14-05-2008 à 18:24:16    

Le VPN SSL type Firepass F5 ou Checkpoint (quoique) sont des bons moyens de sécurité des accès nomades.
 
Les UTM type Fortinet, etc... sont de trés bon produits mais qui pour moi ne sont pas fait pour avoir un niveau de sécurité élevé, trés bien pour les PMI-PME, beaucoup de Grande Entreprise d'ailleur ne les utilisent plus que comme firewall et mettent en oeuvre de vrai solution Gateway AV ou IPS en place...  
 
Ce qui est certains, si le choix est vraiment orienté vers un UTM, évitez NetASQ sauf si vous voulez souffrir sur le support, Fortinet est pour moi le meilleur choix, sachant que SecureComputing n'est pas mal non plus, le FW est très bien.
 
La gestion de charge, Leader mondial, F5 Networks  avec les BIG IP... et vous pouvez aussi faire de la gestion de liens avec le Link Controller !
 
une autre bonne solutions, Proxy BlueCoat avec Filtrage URL, apporte l'avantage du proxy pour améliorer les perf et la dispo de l'information (voir faire du WAFS avec la version Mach5) et gérer dans le même boitier le filtrage URL
 
bonne continuation
 
a+

Reply

Marsh Posté le 14-05-2008 à 18:24:16   

Reply

Marsh Posté le 23-04-2009 à 12:24:19    

bonjour ,
d aprés c que j ai lu je trouve vous avez  comme meme trouvé la moitié de la solution pour mon probleme
 
voila j ai deux routeur dans l central chaq routeur a sa propre liaison une  dedie pour l vpn et l autre pour  l messagerie  (actif/actif)
j ai configure l vpn sur ls deux ROUteur  
cote  site distant j ai un seul routeur
j veux que c dernier routeur etablie deux connexions vpn actif/passif avec l central  dans l cas ou l connexion principale  (liaison dedie pour vpn) tombe en panne l routeur bascule a l deuxieme connexion d une façon automatique  
 
merci d avance

Reply

Marsh Posté le 29-05-2009 à 00:51:28    

En tout cas, sauf si tu as des serveurs type "gouvernementaux", oublie les Arkoon : le produit est sympa sur le papier mais la fiabilité laisse vraiement à désirer surtout depuis la version 5 et même pour la nouvelle gamme NPA.  
 
Vu ton architecture, prends des produits robustes et éprouvés (Cisco, Juniper, Fortinet, ...) : une fois configuré, tu n´auras plus à mettre les mains dans le cambouie tous les semaines.
 
A+
 
Chris.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed