View previous topic :: View next topic |
Author |
Message |
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 10:25 am Post subject: [Securité] Appliance Firewall PME |
|
|
Bonjour,
Je doit mêttre en place une architecture réseau assez simple dans une ptit PME.
Je fait ça de façon "bénévolle" pour un ami et je n'ai pas trop de temps à investir pour la gestion quotidienne.
Par contre, je peux investir du temps pour la mise en place si cela permet de simplifier l'administration quotidienne.
Le parc sera composé dans un premier temps d'un serveur, 2 postes de travail et un portable.
Pour l'instant seul le portable à accès à internet sur réseau séparer. Or pour des raison technique, tous les postes vont devoir avoir accès à internet.
J'aimerais bien trouver une appliance tout intégrer (Style checkpoint) qui ferrait office principalement de Firewall, DHCP, Proxy pour le filtrage d'accès à internet. Ce serait un plus s'il pouvait faire filtrage antivirus/spyware.
Comme le nombre d'utilisateur n'est pas enorme, je pense qu'il la charge de l'appliance devrait être relativement faible.
Le réseau sera composé de :
un freebox
- un WRT54G
- un routeur / FW / passerelle Antivirus (si possible)
- le serveur Win 2003 R2 / AD
- le switch Giga 16 ports
A noter que le réseau Wifi sera isolé et n'aura pas accès au serveur par exemple.
De plus dans la mesure du possible, je recherche une solution "compact", je n'aimerais pas avoir une deuxième grosse machine pour faire Firewall mais plutot quelque chose de compact format FW hardware ( ex: hauteur 1U)
Que me conseillez vous ?
Merci d'avance. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
noodle46 n00b
Joined: 13 Jul 2007 Posts: 2
|
Posted: Fri Nov 09, 2007 10:59 am Post subject: |
|
|
Bonjour,
Etant habitué à travailler avec je ne vais pas avoir un avis très objectif mais bon ...
Je dirais Juniper SSG 5 SH (wireless dispo mais vu qu'il y a un WRT ...), le modèle SH permet d'avoir plus de mémoire et donc d'activer les fonctionnalités d'antivirus (licence nécessaire).
Administration très simple via une page Web, système de zones de sécurité et de polices pour les flux autorisés ou interdits, détection d'attaques paramétrable, serveur DHCP ...
Pour les performances : il supporte jusqu'à 8000 sessions simultanées, 200 polices paramétrables, nombre d'utilisateurs illmité ...
Si tu as d'autres questions, n'hésite pas. Pareil si tu souhaites que je t'envoie la datasheet. |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 11:11 am Post subject: |
|
|
Je connais déjà un peu ipcop et c'est vrais que ca pourrait être une bonne solution.
Il faut juste que je regarde si l'administration est simple ou non. Par exemple, je pense que pour avoir les fonctionnalite de filtrage antivirus, proxy ... on doit être obligé de passer par des "Add on" donc il faut voir si l'administration via l'interface Web est trs possible.
Comme je le disait dans mon premier post, l'idée est de mettre la solution en place et de la laisser tourner en intervenant dessus le plus rarement possible.
Une fois configurées la solution doit etre autonome. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
Posted: Fri Nov 09, 2007 11:30 am Post subject: |
|
|
zeuss1414 wrote: | Je connais déjà un peu ipcop et c'est vrais que ca pourrait être une bonne solution.
Il faut juste que je regarde si l'administration est simple ou non. Par exemple, je pense que pour avoir les fonctionnalite de filtrage antivirus, proxy ... on doit être obligé de passer par des "Add on" donc il faut voir si l'administration via l'interface Web est trs possible.
Comme je le disait dans mon premier post, l'idée est de mettre la solution en place et de la laisser tourner en intervenant dessus le plus rarement possible.
Une fois configurées la solution doit etre autonome. |
Administration par interface web très simple ou par SSH ou par VPN pour tout mais c'est évident que le proxy et en addon en effet c'est du squid (squidguard et tu as BOT pour du filtrage WAN->LAN en plus si tu veux) pour l'AV je n'en utilise pas mais c'est du même ordre je pense. C'est quand même des addons solides hein ? Très, très utilisés donc pas vraiment de soucis avec _________________ " Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! " |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 11:34 am Post subject: |
|
|
Oui je suis assez convaincu par ipcop je pense que ca peut être une bonne solution.
Maintenant il faut que je trouve une machine pour l'installer dessus.
L'idéal serait d'avoir une machine vraiment compact mais là aussi c'est pas facile a trouver.
PS : Quand je dis compact, je pense bien sur à qqch de plus petit qu'un shuttle. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Fri Nov 09, 2007 12:10 pm Post subject: |
|
|
boozo wrote: |
*joke* kwen ! faut que tu viens ! Expliquer l'heure, la pendule, ... |
_________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 12:51 pm Post subject: |
|
|
J'ai peu etre trouver un truc.
Si on regarde ici on peut faire des truc vraiment sympa et en plus c'est pas très chère. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Fri Nov 09, 2007 12:54 pm Post subject: |
|
|
aaah ok, je pigeais pas "l'heure, le pendule ..." c'est pour ça ^^ (eh eh oui je suis mou du bulbe)
Nan bah en fait y a pas vraiment à redire à tes conseils en fait, car acheter une carte plus "dédiée" pour ce genre de taf (genre carte embarqué pour spécialisée pour le routage) c'est presque sûr que ça coute plus cher (ce genre de carte s'achète au kilo pour avoir un prix intéressant ), pour une utilisation moins aisée (faut aussi avoir le mit de dev avec etc). Donc vu le besoin mieux vaut rester sur de l'archi PC en mini/nano-ITX oui. _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 12:58 pm Post subject: |
|
|
Dans l'idéal j'aurais quand même voulu ne pas dépasser 200 / 250 euros.
Donc l'idee que j'ai donnée juste avant est bonne mais bon 3 ports ethernet suffirait donc on doit pouvoir faire moins chère. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Fri Nov 09, 2007 1:00 pm Post subject: |
|
|
Sur ebay il est possible de trouver ce genre de matos pas trop cher sinon. _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Fri Nov 09, 2007 1:25 pm Post subject: |
|
|
t'es sur ? je suis en train de regarder et franchement c'est tendu _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Fri Nov 09, 2007 5:12 pm Post subject: |
|
|
zeuss1414 wrote: | t'es sur ? je suis en train de regarder et franchement c'est tendu |
Ouais j'ai rien dit, actuellement c'est mort y a rien d'intéressant.
Le plus gros soucis avec ta config c'est qu'elle nécessite 3 ports réseaux. T'es sûr que 2 ça serait pas suffisant? _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Sat Nov 10, 2007 8:41 pm Post subject: |
|
|
Ben .. disons que si il y a des truc intéressant avec que 2 port réseau pourquoi pas ... _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Tue Nov 13, 2007 8:14 am Post subject: |
|
|
Whaou, oui c'est vrai que ca c'est pas mal et le prix me semble raisonnable.
Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go.
Maintenant il faudrait ce que ca donne au niveau compatibilité du matériel. Personnelement je pense mettre un ptit IPCOP dessus. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Tue Nov 13, 2007 8:24 am Post subject: |
|
|
zeuss1414 wrote: |
Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go. |
Pour une install routeur/firewall une 1Go est très nettement suffisant je pense non? _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Tue Nov 13, 2007 8:32 am Post subject: |
|
|
kwenspc wrote: | zeuss1414 wrote: |
Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go. |
Pour une install routeur/firewall une 1Go est très nettement suffisant je pense non? |
Une petite OpenBSD en routeur/firewall peut même tenir sur 4MiB il me semble |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Tue Nov 13, 2007 8:41 am Post subject: |
|
|
Ben oui je suis assez d'accord pour dire qu'1Go suffit mais je rappelle que dans mon cas j'aimerais bien qu'il fasse :
- Routeur / Firewall
- DHCP
- Proxy HTTP Filtrant
- Passerelle de filtration Antivirus.
Attention ne paniquez pas, il n'y aura je pense rarement plus de 5 clients, donc la version a 500Mhz doit pouvoir suffire. _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
F!nTcH Tux's lil' helper
Joined: 15 Jul 2007 Posts: 149
|
Posted: Tue Nov 13, 2007 12:58 pm Post subject: |
|
|
Veuillez noter aussi que la protection antivirus sur la passerelle NE DISPENSE AUCUNEMENT d'une protection antivirale résidente sur chaque poste client !
J'ai eu un ou deux retours sur des mises en place de solutions équivalentes, et "l'administrateur", voyant "antivirus" sur la passerelle, a jugé bon de faire des économies sur l'antivirus côté client c'est une erreur !!!
Effectivement, on peut pré-filtrer sur la passerelle, mais franchement, avec les solutions antivirales actuelles, c'est gaspiller du CPU que de mettre ça sur la passerelle à mon avis ... (sachant qu'on a maintenant des packs "Internet security" (parfois en édition réseau) qui contiennent le bouclier résident, parfois un antispam, souvent un bouclier Mail, et jusqu'au pare-feu côté client, la protection est très raisonnable depuis quelques années)
<outoftopic>Petit avis perso, Avast!, en ce moment il faut absolument éviter ... Ils ont laissé un trou je sais pas trop où mais j'ai dû faire quelques dépannages en catastrophe pour cause d'infection virale...</outoftopic> _________________ Y'a ceux qui murmurent aux oreilles des chevaux ...
Et puis y'a ceux qui murmurent aux cores de leurs PC ... (oui je sors ... aïe ! tapez pas !!) |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Tue Nov 13, 2007 1:56 pm Post subject: |
|
|
Je suis tout à fait d'accord avec toi concernant le filtrage sur les machine.
Ayant aussi quelque mauvais éco sur Avast en ca moment, je pense qu'un filtrage suplémentaire sur la passerelle est un plus.
Personnelement, je pense mêttre avast sur les postes car s'il y a déjà une solution de filtrage ca devrait suffire.
Je rapelle que l'accès internet sur les poste sera mis en place parce qu'il est "nécéssaire" pour certaine tâche et non pour un point de vu pratique. Si on pouvait ne pas le mettre on le ferrait.
Du coup le FW et le proxy seront super restrictif, je ne suis même pas sur que le mail pour passer ... donc Avast dans ce cas c'est juste pour montrer qu'on est bien parano _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Tue Nov 13, 2007 2:20 pm Post subject: |
|
|
Ouais fin dans 99% des cas le virus c'est ce qu'il y a entre la chaise et le clavier. Donc filtrage ou pas... _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
zeuss1414 Guru
Joined: 23 Mar 2004 Posts: 490
|
Posted: Tue Nov 13, 2007 2:27 pm Post subject: |
|
|
Pour ce genre de virus, j'ai des chaussures taille 45 qui marchent bien _________________ Portable : Macbok Pro 2,2Ghz Santa Rosa, 2G DDR2, 160G DD+160Go USB2 GeForce 8600GT 15" LED
Serveur : Athlon 2400+ 2Ghz 768MoDDR 120 Go geFoce 4MX Gentoo
Fixe : C2D E6300, 2G DDR2 pc 6400, 320Go+500Go USB2, geForce 7600GS, Antec P150 XP/Gentoo x86 |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|