[Securité] Appliance Firewall PME

[zeuss1414]

Bonjour,

Je doit mêttre en place une architecture réseau assez simple dans une ptit PME.
Je fait ça de façon "bénévolle" pour un ami et je n'ai pas trop de temps à investir pour la gestion quotidienne.

Par contre, je peux investir du temps pour la mise en place si cela permet de simplifier l'administration quotidienne.

Le parc sera composé dans un premier temps d'un serveur, 2 postes de travail et un portable.

Pour l'instant seul le portable à accès à internet sur réseau séparer. Or pour des raison technique, tous les postes vont devoir avoir accès à internet.

J'aimerais bien trouver une appliance tout intégrer (Style checkpoint) qui ferrait office principalement de Firewall, DHCP, Proxy pour le filtrage d'accès à internet. Ce serait un plus s'il pouvait faire filtrage antivirus/spyware.

Comme le nombre d'utilisateur n'est pas enorme, je pense qu'il la charge de l'appliance devrait être relativement faible.


Le réseau sera composé de :
un freebox
- un WRT54G
- un routeur / FW / passerelle Antivirus (si possible)
- le serveur Win 2003 R2 / AD
- le switch Giga 16 ports


A noter que le réseau Wifi sera isolé et n'aura pas accès au serveur par exemple.

De plus dans la mesure du possible, je recherche une solution "compact", je n'aimerais pas avoir une deuxième grosse machine pour faire Firewall mais plutot quelque chose de compact format FW hardware ( ex: hauteur 1U)


Que me conseillez vous ?

Merci d'avance.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[noodle46]

Bonjour,

Etant habitué à travailler avec je ne vais pas avoir un avis très objectif mais bon ...

Je dirais Juniper SSG 5 SH (wireless dispo mais vu qu'il y a un WRT ...), le modèle SH permet d'avoir plus de mémoire et donc d'activer les fonctionnalités d'antivirus (licence nécessaire).
Administration très simple via une page Web, système de zones de sécurité et de polices pour les flux autorisés ou interdits, détection d'attaques paramétrable, serveur DHCP ...
Pour les performances : il supporte jusqu'à 8000 sessions simultanées, 200 polices paramétrables, nombre d'utilisateurs illmité ...

Si tu as d'autres questions, n'hésite pas. Pareil si tu souhaites que je t'envoie la datasheet.

[boozo]

'alute

A un autre niveau que du matos "professionnel" classique, et attendu que c'est une TPE, je pense que IPCop est un bon choix ; fait tout ce que tu veux (plus du QoS, IDS, BlocOutTraffic etc...) et doit être capable de tourner sur un grille-pain

Après... les goûts et les couleurs...
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

[zeuss1414]

Je connais déjà un peu ipcop et c'est vrais que ca pourrait être une bonne solution.

Il faut juste que je regarde si l'administration est simple ou non. Par exemple, je pense que pour avoir les fonctionnalite de filtrage antivirus, proxy ... on doit être obligé de passer par des "Add on" donc il faut voir si l'administration via l'interface Web est trs possible.

Comme je le disait dans mon premier post, l'idée est de mettre la solution en place et de la laisser tourner en intervenant dessus le plus rarement possible.
Une fois configurées la solution doit etre autonome.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[boozo]

[zeuss1414]

Oui je suis assez convaincu par ipcop je pense que ca peut être une bonne solution.

Maintenant il faut que je trouve une machine pour l'installer dessus.
L'idéal serait d'avoir une machine vraiment compact mais là aussi c'est pas facile a trouver.

PS : Quand je dis compact, je pense bien sur à qqch de plus petit qu'un shuttle.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[boozo]

j'ai 3 gateway en mini ITX sur des clients légés fanless du genre ceux que tu trouves sur thinkitx (sont un peu chers à mon goût ) mais y'en a d'autres bien sûr - chez mini-itx notamment
Sinon en dessous... y'a du ALIX-1.2e3 qui semble équivalent les wrap geode qui sont en fin de vie mais tu est plus limité en ram 256 de mémoire ou du commell

*joke* kwen ! faut que tu viens ! Expliquer l'heure, la pendule, ...
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

[kwenspc]

[boozo]

[zeuss1414]

J'ai peu etre trouver un truc.

Si on regarde ici on peut faire des truc vraiment sympa et en plus c'est pas très chère.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[kwenspc]

aaah ok, je pigeais pas "l'heure, le pendule ..." c'est pour ça ^^ (eh eh oui je suis mou du bulbe)

Nan bah en fait y a pas vraiment à redire à tes conseils en fait, car acheter une carte plus "dédiée" pour ce genre de taf (genre carte embarqué pour spécialisée pour le routage) c'est presque sûr que ça coute plus cher (ce genre de carte s'achète au kilo pour avoir un prix intéressant ), pour une utilisation moins aisée (faut aussi avoir le mit de dev avec etc). Donc vu le besoin mieux vaut rester sur de l'archi PC en mini/nano-ITX oui.
_________________
membre officieux du SAV Ati GEntoo

[zeuss1414]

Dans l'idéal j'aurais quand même voulu ne pas dépasser 200 / 250 euros.

Donc l'idee que j'ai donnée juste avant est bonne mais bon 3 ports ethernet suffirait donc on doit pouvoir faire moins chère.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[kwenspc]

Sur ebay il est possible de trouver ce genre de matos pas trop cher sinon.
_________________
membre officieux du SAV Ati GEntoo

[zeuss1414]

t'es sur ? je suis en train de regarder et franchement c'est tendu
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[kwenspc]

[zeuss1414]

Ben .. disons que si il y a des truc intéressant avec que 2 port réseau pourquoi pas ...
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[boozo]

newnews :

j'ai besoin assez rapidement d'un truc identique au niveau specs pour un pote
je viens de faire un tour chez soekris (ici par exemple...) je pense que je vais lui en prendre un genre le net4801-60 ou l'un des net5501-60 et 70

Sont sympatoche leurs produits, qu'en penses-tu ? regardes les autres mais je crois que ça ferait ton affaire également non ?
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

[zeuss1414]

Whaou, oui c'est vrai que ca c'est pas mal et le prix me semble raisonnable.

Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go.

Maintenant il faudrait ce que ca donne au niveau compatibilité du matériel. Personnelement je pense mettre un ptit IPCOP dessus.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[kwenspc]

[geekounet]

[zeuss1414]

Ben oui je suis assez d'accord pour dire qu'1Go suffit mais je rappelle que dans mon cas j'aimerais bien qu'il fasse :
- Routeur / Firewall
- DHCP
- Proxy HTTP Filtrant
- Passerelle de filtration Antivirus.

Attention ne paniquez pas, il n'y aura je pense rarement plus de 5 clients, donc la version a 500Mhz doit pouvoir suffire.
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[F!nTcH]

Veuillez noter aussi que la protection antivirus sur la passerelle NE DISPENSE AUCUNEMENT d'une protection antivirale résidente sur chaque poste client !

J'ai eu un ou deux retours sur des mises en place de solutions équivalentes, et "l'administrateur", voyant "antivirus" sur la passerelle, a jugé bon de faire des économies sur l'antivirus côté client c'est une erreur !!!

Effectivement, on peut pré-filtrer sur la passerelle, mais franchement, avec les solutions antivirales actuelles, c'est gaspiller du CPU que de mettre ça sur la passerelle à mon avis ... (sachant qu'on a maintenant des packs "Internet security" (parfois en édition réseau) qui contiennent le bouclier résident, parfois un antispam, souvent un bouclier Mail, et jusqu'au pare-feu côté client, la protection est très raisonnable depuis quelques années)

<outoftopic>Petit avis perso, Avast!, en ce moment il faut absolument éviter ... Ils ont laissé un trou je sais pas trop où mais j'ai dû faire quelques dépannages en catastrophe pour cause d'infection virale...</outoftopic>
_________________
Y'a ceux qui murmurent aux oreilles des chevaux ...
Et puis y'a ceux qui murmurent aux cores de leurs PC ... (oui je sors ... aïe ! tapez pas !!)

[zeuss1414]

Je suis tout à fait d'accord avec toi concernant le filtrage sur les machine.

Ayant aussi quelque mauvais éco sur Avast en ca moment, je pense qu'un filtrage suplémentaire sur la passerelle est un plus.

Personnelement, je pense mêttre avast sur les postes car s'il y a déjà une solution de filtrage ca devrait suffire.
Je rapelle que l'accès internet sur les poste sera mis en place parce qu'il est "nécéssaire" pour certaine tâche et non pour un point de vu pratique. Si on pouvait ne pas le mettre on le ferrait.

Du coup le FW et le proxy seront super restrictif, je ne suis même pas sur que le mail pour passer ... donc Avast dans ce cas c'est juste pour montrer qu'on est bien parano
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86

[kwenspc]

Ouais fin dans 99% des cas le virus c'est ce qu'il y a entre la chaise et le clavier. Donc filtrage ou pas...
_________________
membre officieux du SAV Ati GEntoo

[zeuss1414]

Pour ce genre de virus, j'ai des chaussures taille 45 qui marchent bien
_________________
Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86