# [Securité] Appliance Firewall PME

## zeuss1414

Bonjour,

Je doit mêttre en place une architecture réseau assez simple dans une ptit PME.

Je fait ça de façon "bénévolle" pour un ami et je n'ai pas trop de temps à investir pour la gestion quotidienne.

Par contre, je peux investir du temps pour la mise en place si cela permet de simplifier l'administration quotidienne.

Le parc sera composé dans un premier temps d'un serveur, 2 postes de travail et un portable.

Pour l'instant seul le portable à accès à internet sur réseau séparer. Or pour des raison technique, tous les postes vont devoir avoir accès à internet.

J'aimerais bien trouver une appliance tout intégrer (Style checkpoint) qui ferrait office principalement de Firewall, DHCP, Proxy pour le filtrage d'accès à internet. Ce serait un plus s'il pouvait faire filtrage antivirus/spyware.

Comme le nombre d'utilisateur n'est pas enorme, je pense qu'il la charge de l'appliance devrait être relativement faible.

Le réseau sera composé de : 

 un freebox

- un WRT54G

- un routeur / FW / passerelle Antivirus (si possible)

- le serveur Win 2003 R2 / AD

- le switch Giga 16 ports

A noter que le réseau Wifi sera isolé et n'aura pas accès au serveur par exemple.

De plus dans la mesure du possible, je recherche une solution "compact", je n'aimerais pas avoir une deuxième grosse machine pour faire Firewall mais plutot quelque chose de compact format FW hardware ( ex:  hauteur 1U)

Que me conseillez vous ?

Merci d'avance.

----------

## noodle46

Bonjour,

Etant habitué à travailler avec je ne vais pas avoir un avis très objectif mais bon ...   :Wink: 

Je dirais Juniper SSG 5 SH (wireless dispo mais vu qu'il y a un WRT ...), le modèle SH permet d'avoir plus de mémoire et donc d'activer les fonctionnalités d'antivirus (licence nécessaire).

Administration très simple via une page Web, système de zones de sécurité et de polices pour les flux autorisés ou interdits, détection d'attaques paramétrable, serveur DHCP ...

Pour les performances : il supporte jusqu'à 8000 sessions simultanées, 200 polices paramétrables, nombre d'utilisateurs illmité ...

Si tu as d'autres questions, n'hésite pas. Pareil si tu souhaites que je t'envoie la datasheet.

----------

## boozo

'alute

A un autre niveau que du matos "professionnel" classique, et attendu que c'est une TPE, je pense que IPCop est un bon choix ; fait tout ce que tu veux (plus du QoS, IDS, BlocOutTraffic etc...) et doit être capable de tourner sur un grille-pain

Après... les goûts et les couleurs...  :Wink: 

----------

## zeuss1414

Je connais déjà un peu ipcop et c'est vrais que ca pourrait être une bonne solution. 

Il faut juste que je regarde si l'administration est simple ou non. Par exemple, je pense que pour avoir les fonctionnalite de filtrage antivirus, proxy ... on doit être obligé de passer par des "Add on" donc il faut voir si l'administration via l'interface Web est trs possible.

Comme je le disait dans mon premier post, l'idée est de mettre la solution en place et de la laisser tourner en intervenant dessus le plus rarement possible. 

Une fois configurées la solution doit etre autonome.

----------

## boozo

 *zeuss1414 wrote:*   

> Je connais déjà un peu ipcop et c'est vrais que ca pourrait être une bonne solution. 
> 
> Il faut juste que je regarde si l'administration est simple ou non. Par exemple, je pense que pour avoir les fonctionnalite de filtrage antivirus, proxy ... on doit être obligé de passer par des "Add on" donc il faut voir si l'administration via l'interface Web est trs possible.
> 
> Comme je le disait dans mon premier post, l'idée est de mettre la solution en place et de la laisser tourner en intervenant dessus le plus rarement possible. 
> ...

 

Administration par interface web très simple ou par SSH ou par VPN pour tout mais c'est évident que le proxy et en addon en effet c'est du squid (squidguard et tu as BOT pour du filtrage WAN->LAN en plus si tu veux) pour l'AV je n'en utilise pas mais c'est du même ordre je pense. C'est quand même des addons solides hein ? Très, très utilisés donc pas vraiment de soucis avec   :Smile: 

----------

## zeuss1414

Oui je suis assez convaincu par ipcop je pense que ca peut être une bonne solution.

Maintenant il faut que je trouve une machine pour l'installer dessus. 

L'idéal serait d'avoir une machine vraiment compact mais là aussi c'est pas facile a trouver.

PS : Quand je dis compact, je pense bien sur à qqch de plus petit qu'un shuttle.

----------

## boozo

j'ai 3 gateway en mini ITX sur des clients légés fanless du genre ceux que tu trouves sur thinkitx (sont un peu chers à mon goût   :Rolling Eyes:  ) mais y'en a d'autres bien sûr - chez mini-itx notamment 

Sinon en dessous... y'a du ALIX-1.2e3 qui semble équivalent les wrap geode qui sont en fin de vie mais tu est plus limité en ram 256 de mémoire ou du commell

 :Wink: 

*joke* kwen ! faut que tu viens ! Expliquer l'heure, la pendule, ...   :Razz: 

----------

## kwenspc

 *boozo wrote:*   

> 
> 
> *joke* kwen ! faut que tu viens ! Expliquer l'heure, la pendule, ...  

 

 :Question: 

----------

## boozo

 *kwenspc wrote:*   

>  *boozo wrote:*   
> 
> *joke* kwen ! faut que tu viens ! Expliquer l'heure, la pendule, ...   
> 
> 

 

bah tu bosses plus sur l'embarqué ? Je parlais d'une aide au niveau du choix du matos toussa moi j'ai mis que ce que je connaissais (le VIA Epia C3,7 ; le geode,...) mais pour le reste y'a peut-être d'autres choses à prendre en compte que le prix pour choisir   :Sad: 

----------

## zeuss1414

J'ai peu etre trouver un truc. 

Si on regarde ici on peut faire des truc vraiment sympa et en plus c'est pas très chère.

----------

## kwenspc

aaah ok, je pigeais pas "l'heure, le pendule ..."  c'est pour ça ^^ (eh eh oui je suis mou du bulbe)

Nan bah en fait y a pas vraiment à redire à tes conseils en fait, car acheter une carte plus "dédiée" pour ce genre de taf (genre carte embarqué pour spécialisée pour le routage) c'est presque sûr que ça coute plus cher (ce genre de carte s'achète au kilo pour avoir un prix intéressant  :Laughing: ), pour une utilisation moins aisée (faut aussi avoir le mit de dev avec etc). Donc vu le besoin mieux vaut rester sur de l'archi PC en mini/nano-ITX oui.

----------

## zeuss1414

Dans l'idéal j'aurais quand même voulu ne pas dépasser 200 / 250 euros.

Donc l'idee que j'ai donnée juste avant est bonne mais bon 3 ports ethernet suffirait donc on doit pouvoir faire moins chère.

----------

## kwenspc

Sur ebay il est possible de trouver ce genre de matos pas trop cher sinon.

----------

## zeuss1414

t'es sur ? je suis en train de regarder et franchement c'est tendu   :Question: 

----------

## kwenspc

 *zeuss1414 wrote:*   

> t'es sur ? je suis en train de regarder et franchement c'est tendu  

 

Ouais j'ai rien dit, actuellement c'est mort y a rien d'intéressant. 

Le plus gros soucis avec ta config c'est qu'elle nécessite 3 ports réseaux. T'es sûr que 2 ça serait pas suffisant?

----------

## zeuss1414

Ben .. disons que si il y a des truc intéressant avec que 2 port réseau pourquoi pas ...

----------

## boozo

newnews :

j'ai besoin assez rapidement d'un truc identique au niveau specs pour un pote

je viens de faire un tour chez soekris (ici par exemple...) je pense que je vais lui en prendre un genre le net4801-60 ou l'un des net5501-60 et 70

Sont sympatoche leurs produits, qu'en penses-tu ? regardes les autres mais je crois que ça ferait ton affaire également non ?  :Wink: 

----------

## zeuss1414

Whaou, oui c'est vrai que ca c'est pas mal et le prix me semble raisonnable. 

Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go.

Maintenant il faudrait ce que ca donne au niveau compatibilité du matériel. Personnelement je pense mettre un ptit IPCOP dessus.

----------

## kwenspc

 *zeuss1414 wrote:*   

> 
> 
> Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go.

 

Pour une install routeur/firewall une 1Go est très nettement suffisant je pense non?

----------

## geekounet

 *kwenspc wrote:*   

>  *zeuss1414 wrote:*   
> 
> Attention tout de même, il faut ajouter une CF pour le stockage donc environ 50 euros pour une 4Go. 
> 
> Pour une install routeur/firewall une 1Go est très nettement suffisant je pense non?

 

Une petite OpenBSD en routeur/firewall peut même tenir sur 4MiB il me semble  :Smile: 

----------

## zeuss1414

Ben oui je suis assez d'accord pour dire qu'1Go suffit mais je rappelle que dans mon cas j'aimerais bien qu'il fasse : 

- Routeur / Firewall

- DHCP

- Proxy HTTP Filtrant

- Passerelle de filtration Antivirus.

Attention ne paniquez pas, il n'y aura je pense rarement plus de 5 clients, donc la version a 500Mhz doit pouvoir suffire.

----------

## F!nTcH

Veuillez noter aussi que la protection antivirus sur la passerelle NE DISPENSE AUCUNEMENT d'une protection antivirale résidente sur chaque poste client !

J'ai eu un ou deux retours sur des mises en place de solutions équivalentes, et "l'administrateur", voyant "antivirus" sur la passerelle, a jugé bon de faire des économies sur l'antivirus côté client   :Arrow:  c'est une erreur !!!

Effectivement, on peut pré-filtrer sur la passerelle, mais franchement, avec les solutions antivirales actuelles, c'est gaspiller du CPU que de mettre ça sur la passerelle à mon avis ... (sachant qu'on a maintenant des packs "Internet security" (parfois en édition réseau) qui contiennent le bouclier résident, parfois un antispam, souvent un bouclier Mail, et jusqu'au pare-feu côté client, la protection est très raisonnable depuis quelques années)

<outoftopic>Petit avis perso, Avast!, en ce moment il faut absolument éviter ... Ils ont laissé un trou je sais pas trop où mais j'ai dû faire quelques dépannages en catastrophe pour cause d'infection virale...</outoftopic>

----------

## zeuss1414

Je suis tout à fait d'accord avec toi concernant le filtrage sur les machine. 

Ayant aussi quelque mauvais éco sur Avast en ca moment, je pense qu'un filtrage suplémentaire sur la passerelle est un plus. 

Personnelement, je pense mêttre avast sur les postes car s'il y a déjà une solution de filtrage ca devrait suffire. 

Je rapelle que l'accès internet sur les poste sera mis en place parce qu'il est "nécéssaire" pour certaine tâche et non pour un point de vu pratique. Si on pouvait ne pas le mettre on le ferrait. 

Du coup le FW et le proxy seront super restrictif, je ne suis même pas sur que le mail pour passer ... donc Avast dans ce cas c'est juste pour montrer qu'on est bien parano  :Wink: 

----------

## kwenspc

Ouais fin dans 99% des cas le virus c'est ce qu'il y a entre la chaise et le clavier. Donc filtrage ou pas...

----------

## zeuss1414

Pour ce genre de virus, j'ai des chaussures taille 45 qui marchent bien

----------

## kwenspc

 *zeuss1414 wrote:*   

> Pour ce genre de virus, j'ai des chaussures taille 45 qui marchent bien

 

 :Very Happy:   faut breveter là!!

----------

## zeuss1414

J'y pense ....

Pour en revenir au sujet, j'hésite quand même a investir dans ce genre de petit boitier. 

Mon coté geek aime bien, mais d'un autre coté je trouve que le raport prix/perf est pas génial ...

Pour le même prix, je peux avoir une machine dual core avec 512 Mo de ram et 2 disque en raid 1 chez DELL.

----------

## Delvin

des duron 400 ca se trouve pas sur ebay ?

je m'etais monté ce genre de pc avec une ipcop et ça tournait nickel

avec ça tant qu'il y a du pci y'a des cartes réseaux  :Smile: 

----------

## kwenspc

 *zeuss1414 wrote:*   

> 
> 
> Pour en revenir au sujet, j'hésite quand même a investir dans ce genre de petit boitier. 
> 
> Mon coté geek aime bien, mais d'un autre coté je trouve que le raport prix/perf est pas génial ...
> ...

 

Si la conso électrique n'est pas une priorité c'est sûr que là tu peux t'en passer.  :Neutral: 

----------

## boozo

 *zeuss1414 wrote:*   

> J'y pense ....
> 
> Pour en revenir au sujet, j'hésite quand même a investir dans ce genre de petit boitier. 
> 
> Mon coté geek aime bien, mais d'un autre coté je trouve que le raport prix/perf est pas génial ...
> ...

 

Ah ouais mais non ! si tu changes les specs en cours de route... moi j'ai cherché avec ces contraintes pour un usage gateway-dédié de cet ordre en plus du côté soft   :Sad: 

 *zeuss1414 wrote:*   

> (snip)De plus dans la mesure du possible, je recherche une solution "compact", je n'aimerais pas avoir une deuxième grosse machine pour faire Firewall mais plutot quelque chose de compact format FW hardware ( ex: hauteur 1U) 
> 
> (snip)Dans l'idéal j'aurais quand même voulu ne pas dépasser 200 / 250 euros. 

 

----------

## zeuss1414

Je change pas les contrainte, j'essaie de trouver la meilleur solution  :Wink: 

----------

## boozo

Ah bravo !  :Twisted Evil: 

btw: @Gandalf

merci pour tes remarques de modération   :Wink:  (suis une tanche... je n'avais même pas fait le lien avec toi sur f.g.o) je ne poste presque jamais sur ce forum simplement à cause de son ambiance générale qui ne me convient pas - de ce type par exemple

[~joke] 't'être qu'il draine essentiellement des windowsiens ou des admin-res mal embouchés qui se prennent au sérieux  ? :p [/~joke]

Ce que je trouve fort déplorable pour notre communauté linux car je trouve le projet : d'une très grande qualité, très fonctionnel et ludique dans l'approche utilisateur ; que je l'utilise depuis quelques années déjà et le conseille chaque fois que je peux.

A bientôt de te lire ici ou là   :Wink: 

----------

## zeuss1414

Ben oui, je ne supporte pas que les gars fasse une reponde du style RTF ou alors utilise la fonction recherche. 

Je comprend bien que ca devient chiant quand des gars poses 10 fois la même question dans la même journée mais la je pose une question pour avoir des avis ou des conseil et non pour résoudre un problème technique. 

Du coup j'ai pas pu m'empècher d'ironiser un peu pour rigoler. 

Les fous de RTF fond beaucoup de tors à la communauté linux je trouve ...

----------

## boozo

bon revenons a nos moutons : je ne vois pas trop l'intérêt de faire du raid1 soft pour ta gateway dans l'utilisation que tu en as ... et encore même en cas de service "critique" (entendre continuté de service) c'est contestable en regard d'autres solutions plus radicales

Par ailleurs et pour préciser si vesoin le post qui t'a été fait, la distrib est taillé a minima pour la sécurité et sans rien de superflu donc aucun compilateurs dessus ni quoi que ce soit d'embarqué dans le kernel du genre modules pour le raid par exemple... ceci-dit si tu es joueur et que tu y tient vraiment rien ne t'empêche de recompiler la distro à partir des sources en modifiant la conf du noyau c'est pas sorcier... mais tu vas te faire ch*** pour rien  - et si tu veux tenter un hold-up c'est un 2.4.34 je te laisse trouver tout ce qui ira avec ^^ -

Après moi c'que j'en dis, c'est pour toi hein ?   :Wink: 

----------

## zeuss1414

Concernant le RAID c'est tout simplement parce que DELL faisait une offre avec le deuxième DD gratuit. Du coup si déja j'ai 2x160Go autant faire du RAID 1. 

Par contre concernant ta deuxième remarque j'ai bien compris quel était ton idée ...

----------

## boozo

je sais bien que c'est juste pour le 2ème que tu l'a pris mais bon 160 Go !!! avant que tu l'ais rempli de log on sucrera les fraises et ton bouzin aura rendu l'âme bien longtemps avant nous   :Laughing:   (perso je les montent habituellement sur CF de 512Mo et j'exporte les logs sur une machine du lan par sécurité donc les 160 Go... j'en vois pas vraiment l'utilité. Enfin soit.

BTW, commence à me gonfler sévère les deux pépères là...   :Evil or Very Mad: 

De toutes façon c'est du raid soft que tu as toi et non du hard donc reste juste a savoir si ce sera supporté au niveau du kernel point barre

Au fait, fait voir specs et un lspci de ta bestiole stp

----------

## loopx

intéressant IPCop, je connaissais pas ...

Utilise t'il iptables pour créer un firewall ???

----------

## kwenspc

 *loopx wrote:*   

> intéressant IPCop, je connaissais pas ...
> 
> Utilise t'il iptables pour créer un firewall ???

 

Oui. D'ailleurs à part iptables (ou n'importe quel frontend à netfilter donc) y a rien d'autre sous nux.

----------

## zeuss1414

 *Quote:*   

> je sais bien que c'est juste pour le 2ème que tu l'a pris mais bon 160 Go !!! avant que tu l'ais rempli de log on sucrera les fraises et ton bouzin aura rendu l'âme bien longtemps avant nous  (perso je les montent habituellement sur CF de 512Mo et j'exporte les logs sur une machine du lan par sécurité donc les 160 Go... j'en vois pas vraiment l'utilité. Enfin soit.
> 
> BTW, commence à me gonfler sévère les deux pépères là... 
> 
> De toutes façon c'est du raid soft que tu as toi et non du hard donc reste juste a savoir si ce sera supporté au niveau du kernel point barre
> ...

 

Ben déja 160Go c'est le mini sur un serveur DELL, j'ai rien demander moi ....   :Laughing: 

Après pour ce qui est du lspci ça va être dure, je n'ai toujours pas recu la machine, mais dès que je l'ai je t'en ferrai un ...[/quote]

----------

## zeuss1414

Bon ben je viens de recevoir les serveur. 

J'ai voulu commencer à installer ipcop et là, ce c** ne detecte pas les disque. 

Après avoir un peu cherhcer, c'est de la faute au noyau 2.4.X qui n'a pas les bon drivers.

Du coup, j'ai une machine surpuissante pour faire FW et plus de système pour mettre dessus.

Pour le LSPCI j'ai pas eu le temps de la faire hier, mais je pourrai le faire ce week end.

Si vous avez des idée n'hésitez pas ...

----------

## boozo

Oué mais çà c'était courru d'avance  :Laughing:  tu as pris un dragster pour rouler sur un chemin vicinal de montagne  :Laughing: 

Comme dit, pour l'option que tu as pris, tu dois nécessairement en passer par la recompilation.

Tu récupères la version de devel sur la forge et tu t'attaques au noyal (y'a un howto sur le site du projet pour customiser ipcop - je crois qu'il t'a été donné non ?)

Mais en premier, tente une version non raid voir si ça tourne et ensuite tu t'essayeras pour avoir ce que tu veux  :Wink: 

----------

## zeuss1414

Ben oui, je pense que c'est ce que je vais faire. 

Pour l'instant, j'ai juste graver un cd, booter dessus, et regarder ce que ca donnais.

Sinon je vais essayer de voir s'il n'y a pas d'autres distribs qui prendraient en charge le raid directement.

Je trouve que la machine est un peu surdimensionné aussi mais en même temps, si elle fait Routeur/Firewall/Proxy/Filtrage Antivirus il faut bien quelque chose de puissant, et comme c'est le serveur le moins de chère de chez Dell c'etait assez limité.

----------

## boozo

Sinon, je crois que je t'en avais parlé mais tu peux voir pfsense - si les features et addons te conviennent et ton matos supporté (y'a un truc le raid ici du reste)

----------

## El_Goretto

Vu sur le blog pfsense (merci boozo pour le nom et le lien, me rappelait plus comment il s'appelait, "le truc comme IPcop mais à base de BSD"  :Smile: ): un comparo des solutions linux/BSD "à la IPcop".

Bon, ben çà fait plein de bon miam à regarder pour chez le pater, çà  :Smile: 

----------

## zeuss1414

Bon au final je crois que j'ai trouver un distrib qui pourrait être un bon compromis.

Elle semble faire tout ce que je recherche voir un peu plus, et surtout de façon simple, surtout pour l'administration.

C'est Untangle , allez faire un tour sur le site, c'est plutôt sympa.

Je l'ai installé sur mon serveur, aucun problème avec le RAID contrairement à beaucoup d'autres distribs. Pour l'instant, j'ai juste la carte ethernet intégrée qui n'est pas reconu, alors que l'autre (PCI-X) ne pose pas de probème.

Je vais essayer de monter une maquette ce soir pour faire quelques tests.

----------

## zeuss1414

Alors voila un ptit retour rapide sur mes première expérience avec Untangle.

C'est distribution est vraiment simple à mettre en place, et tout aussi simple à configurer. 

Elle offre pas mal de service comme le filtrage antivirus, le filtrage Web ... Tous ces services sont installés en quelques minutes et fonctionne sans problème.

Le seul défaut que je pourrais trouver à cette distribution c'est qu'elle est vraiment trop simple et du coup il manque un mode "expert". Par exemple pour le filtrage Web, on peux définir des types de sites qui sont interdits (par exemple : jeux en ligne, sexe ...). Malheureusement, le site de la françaises des jeux n'est pas filtré. Je pense que le Black List sont des Black List US. 

Il faut que je regarde un peu plus en profondeur pour voir si je ne peux pas modifier directement les démon qui offrent les services. 

Malgrés cela, Untangle semble un bon compromis car elle permet une gestion facile et rapide sans se prendre trop la tête.

Après il faut quand même garder à l'espris qu'une PME de 20 Salarié n'a pas les même attente qu'une multinationnale.

----------

