Forum Clubic

Firewall Hardware - Netscreen

Bonjour, j’aimerais avoir un petit firewall Hardware pour une agence, pas trop cher et pas enorme.
Il va me permettre de la protéger (c’est le but d’un firewall) mais aussi de m’initier un peu a la configuration de ce type de materiel pour la suite (On tend a se developper), c’est pour ca que je souhaite un firewall “pro” type fortigate ou netscreen (le modéle 5XP par exemple).

Avez vous des “tutos” ou aide a la configuration concernant ce type de materiel qui d’ailleurs est exclusivement en Anglais pour les meilleurs a priori (hormis arkoon, qui est lyonnais de surcroit :bounce: ) donc pas toujours facile d’accés au debut.
Pareil les descriptions sont toutes en Anglais donc j’ai un peu du mal a savoir/comprendre toutes les fonctions disponibles…

Eventuellement si vous avez des liens avec des tests aussi de ce genre de petits firewalls… Meme eventuellement des bouquins, j’en ai trouvé qu’en anglais…

:jap:

Tu pourrais aussi prendre un vieux PC qui cale un etagere, un livecd linux… Cout=0€ et la femme de ménage aura un nid a poussière de moins a faire… :MDR

Oui je connais bien ces solutions, mais relis mon message c’est pas du tout mon attente.
J’ai deja testé des solutions comme ipcop ou autre, mais c’est pas du tout ce que je recherche. Je souhaite mettre en place ce type de firewall pour me former en meme tps sur ce type de materiel qui ressemble fortement au plus gros systeme dans lesquels j’evolue dans l’entreprise ou je travaille. Et dans les gros groupes on utilise pas des vieux pc du fond du placard avec un live cd linux.

Merci quand meme.

Si tu veux du gros administrable, tu dois te rendre chez Cisco, c’est chez eux et pas ailleurs que tu trouveras des solutions pour grosse entreprise…
L’administration evolué chez eux se fait en C, mais cela necessite un minimum en programmation mais le resultat est tres franchement au summum…
Si la programmation te rebute, alors un serveur 2003 sera une solution pour gros systeme… C’est plus facile a administrer, chez Dell ce n’est pas forcement tres onereux et c’est tres evolutif…
Dans un cadre de gros systeme, il ne faut pas choisir des solutions originales sous pretexte des couts, car on le paye en perf et en stabilité… Et on peut se retrouver avec des problèmes insolutionnables (c’est pas moi, c’est l’autre…)
Crois moi sur parole…
Gros systeme = Fibre et plus cable au 20e siecle pense-y… Ou alors nous n’avons pas la meme notion de gros systeme :non:

Je suis d’accord avec toi et je le sais, mais relis mon message et tu verras que c’est completement hors sujet.

fnac -> programmer du cisco en C … depuis quand l’IOS est en GPL :heink:

maxwslyon -> il existe de nombreuses solutions dite Unified Threat Management, qui répondent plutôt bien aux problématiques d’entreprises, Nat évolués, VPN ipsec pptp ssl, zéroday protection, antivirus intégré etc…
Pour ma part je suis sous Netasq, un peu déroutant au premier abord mais d’une manière générale j’en suis satisfait, avec certaines fonctions qui se rapproche des checkpoints. Maintenant pour vraiment comparer il faudrait tous les connaitres de façon objective (Arkoon, Fortinet, Telmat, SonicWall, …) ce qui n’est pas évident.

Un des rares comparatifs que je connaise : http://www.01net.com/article/292254.html?d=origine

Pour les tutos, demande plutôt à ta boite de te payer une formation, généralement entre 2 et 3j chez ton grossiste avec certif au final. :super:

:ouch: Faut pas rever, c’est un sujet plus que tabou dans mon entreprise :neutre:

C’est sur, c’est juste pour avoir quelques avis.

J’ai regardé un peu partout y’a vrmt pas grand chose niveau aide en Francais, bouquin et autre page internet…
Je vais jeter un coup d’oeil a ton lien. Merci

Dommage pour la formation, essai de faire comprendre à ta direction que configurer ce genre d’appareil n’est pas aussi inné qu’un netgear.

Sinon à voir s’ils accepteraient qu’une SSII puisse te faire le support (mais là €€€), parce que les rares docs existantes sont celle des cours de certifs, alors en récupérer c’est une chose mais s’y lancer en solo en est une autre …

En tout cas si tu as besoins de conseils sous netasq n’hésite pas :slight_smile: !

Mon cher fenris830
Désolé mais tu te coucheras moins bete ce soir :smiley: , regearde chez Cisco
http://www.cisco.com/cdc_content_elements/…AL_no-loop.html

Sur lanimation Flash (c’est pour débutant niais avec plein de pognon), tu vois passer un Logo C++…Etrange… :heink:

C++ ne veut pas dire c’est + cher :non:
De plus, j’en ai un à coté de moi qui me sert d’oreillet chauffant, j’ai des futé dans la boite qui font du tunneling et qui ont réussi a passer au travers… Aurais-tu la solution ?

Encore Pardon maxvslyon…
Mais pourquoi veux-tu impérativement ce type de solution?
Quels sont tes impératifs ?
Que veux-tu réellement filtré ?
Et pourquoi une formation sur un simple Firewall?

Si tu cherches a une documentation sur l’utilisation référencé des ports TCP/UDP, tu peux trouver une réponse (en anglais) et un test sur ce site:
https://www.grc.com/x/ne.dll?bh0bkyd2
:??: :??:

pour info il ya justement un comparatif sur le "Décision Informatique" n° 696 du 13 Novembre 2003 entre les appliances :

  • Fortinet FortiGate 400A
  • SonicWall pro 2040
  • Netasq F200
  • Arkoon A210

En fait j’ai un collegue de boulot, qui vient de me passer un Netscreen 5XT, c’est ce type de firewall (on est chez fortinet mais bon a quelquechose pret ca doit etre a peu pret la meme chose) qu’on deploie dans nos petites agences ou petits sites distants 5-10 employés.
Je souhaite me former un peu sur cet aspect de l’informatique ou je suis vrmt a la rue… (Je debute dans le metier).
J’avais l’occaz d’avoir un petit boitier pas cher par ce collegue donc c’est pour ca que je souhaitais avoir quelques avis et infos.

La je viens de plonger mon nez dedans et a vrai dire, jcapte presque rien :pt1cable:

Je pense que je reviendrais vous demandez conseil :oui:

Pour faire simple, si tu veux pas de virus ou autre, tu fermes tous les ports et tu laisse ouvert uniquement ceux qui te serve
Voici une liste des principaux utilisé sous Windows et par windows:
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Utilisateurs actifs
systat 11/tcp users #Utilisateurs actifs
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Citation du jour
qotd 17/udp quote #Citation du jour
chargen 19/tcp ttytst source #G‚n‚rateur de caractŠres
chargen 19/udp ttytst source #G‚n‚rateur de caractŠres
ftp-data 20/tcp #FTP, donn‚es
ftp 21/tcp #FTP. contr“le
telnet 23/tcp
smtp 25/tcp mail #Format SMTP (Simple Mail Transfer Protocol)
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Protocole d’emplacement des ressources
nameserver 42/tcp name #Serveur de nom d’h“te
nameserver 42/udp name #Serveur de nom d’h“te
nicname 43/tcp whois
domain 53/tcp #Serveur de nom de domaine
domain 53/udp #Serveur de nom de domaine
bootps 67/udp dhcps #Serveur de protocole d’amor‡age
bootpc 68/udp dhcpc #Serveur de protocole d’amor‡age
tftp 69/udp #Transfert de fichiers trivial
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #Serveur de nom d’h“te NIC
iso-tsap 102/tcp #ISO-TSAP Classe 0
rtelnet 107/tcp #Service Telnet distant
pop2 109/tcp postoffice #Protocole Bureau de poste - Version 2
pop3 110/tcp #Protocole Bureau de poste - Version 3
sunrpc 111/tcp rpcbind portmap #Appel de proc‚dure distante SUN
sunrpc 111/udp rpcbind portmap #Appel de proc‚dure distante SUN
auth 113/tcp ident tap #Protocole d’identification
uucp-path 117/tcp
nntp 119/tcp usenet #Protocole de transfert de nouvelles par Internet
ntp 123/udp #Protocole d’heure du r‚seau
epmap 135/tcp loc-srv #R‚solution de point de sortie DCE
epmap 135/udp loc-srv #R‚solution de point de sortie DCE
netbios-ns 137/tcp nbname #Service de nom NETBIOS
netbios-ns 137/udp nbname #Service de nom NETBIOS
netbios-dgm 138/udp nbdatagram #Service de datagramme NETBIOS
netbios-ssn 139/tcp nbsession #Service de session NETBIOS
imap 143/tcp imap4 #Protocole d’accŠs de messagerie Internet
pcmail-srv 158/tcp #Serveur PCMail
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #Pi‚ge SNMP
print-srv 170/tcp #PostScript r‚seau
bgp 179/tcp #Protocole de passerelle de frontiŠre
irc 194/tcp #Protocole IRC (Internet Relay Chat)
ipx 213/udp #IPX par IP
ldap 389/tcp #Protocole all‚g‚ d’accŠs aux r‚pertoires
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Echange de cl‚s Internet
exec 512/tcp #Ex‚cution de processus
distance
biff 512/udp comsat
login 513/tcp #Connexion
distance
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Serveur de noms de fichiers ‚tendus
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #Pour diffusions en urgence
uucp 540/tcp uucpd
klogin 543/tcp #Ouverture de session Kerberos
kshell 544/tcp krcmd #Interpr‚teur distant Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP par TLS/SSL
doom 666/tcp #Logiciel ID Doom
doom 666/udp #Logiciel ID Doom
kerberos-adm 749/tcp #Administration Kerberos
kerberos-adm 749/udp #Administration Kerberos
kerberos-iv 750/udp #Kerberos version IV
kpop 1109/tcp #POP Kerberos
phone 1167/udp #Appel de conf‚rence
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Moniteur
ms-sql-m 1434/udp #Microsoft-SQL-Moniteur
wins 1512/tcp #Microsoft Windows Internet Name Service (WINS)
wins 1512/udp #Microsoft Windows Internet Name Service (WINS)
ingreslock 1524/tcp ingres
l2tp 1701/udp #Protocole de tunneling couche 2
pptp 1723/tcp #Protocole de tunneling de point
point
radius 1812/udp #Protocole d’authentification RADIUS
radacct 1813/udp #Protocole de gestion de comptes RADIUS
nfsd 2049/udp nfs #Serveur NFS
knetd 2053/tcp #D‚multiplexeur Kerberos
man 9535/tcp #Serveur MAN distant

Les firewall sont manageable en general pas des pages WEB simple et compréhensbile, et tu autorise ou non le transit au travers des ports.
On peut imaginer n’ouvrir que le port 80 (http), les messageries peuvent etre acceder par Webmail sur un serveur Xchange par exemple, donc pas de telechargement ou autre… C’est tres restrictif mais les gens sont sencé bosser :smiley:

Il exsite aussi plein de site sur le net ou tu peux trouver l’utilisation des ports, si on devait schématiser, l’adresse est l’ip, les ports sont des portes (65535), comme on ne peut toutes les surveiller, il faut mieux les fermer à clef…

Ouais c’est sympa, j’ai effectivement ete sur l’interface web du firewall, le principe du firewall je connais, mais c’est les tas d’options a disposition que je saisi pas. Jvais essayé de me mettre un peu dessus ce week end et je poserais mes questions au fur et a mesure.
En gros jvais essayer de mettre en place comme suit:

Internet — Freebox (Mode routeur OFF) — Firewall Netscreen — Switch — PCs.

N’hesite pas à poster tes copies d’ecrans si des fonctions te paressent tordues…

Oui oui c’est bien ce que je comptais faire, et apres si j’ai un peu de temps j’essaierais de proposer un petit tuto pour les prochains car on trouve pas grand chose sur le net pour pas dire rien (en Francais je m’entend).

Il est vrai que tu trouves beaucoup de site sur les firewall logiciel et rien sur les materiel… Pour moi la raison est la suivante, les particuliers se contentent des solutions intégrées dans les petits routeurs et les entreprises utilisent souvent des seveurs qui accessoirement servent de firewall (ce qui en terme de sécurité n’est pas le meilleur choix)…

Oui je pense aussi, moi j’avais le Linksys WRT54G avec le firmware DDWRT, c’est deja une bonne usine a gaz, je pense que c’est deja bien suffisant pour un reseau domestique.

Voici mes premieres questions:

J’aimerais savoir comment je peux mettre a jour le moteur Deep Inspection ? Et si ce n’est pas possible sans compte entreprise special, est ce qu’il est tout de meme activé mais pas mis a jour ? Car la je vois “0”. Sinon comment peut on avoir un compte, faut il souscrire a un contrat de maintenance ?

http://pix.nofrag.com/35/a1/61d39cb79beabb7e0cc658d77082.jpg

Pareil pour Netscreen Secuirty Manager, faut il une licence particuliere, est ce avec ce contrat de maintenance … ?? (Je crois que c’est le remplacant de Global manager d’apres mes recherches.). A quoi sert il exactement ? Un logiciel qui permet de surveiller les logs ? Je pensais que c’etait aussi integré au boitier netscreen :neutre:

http://pix.nofrag.com/16/5a/453c355a28afb77ebe6f7af9e1ab.jpg

Question ensuite a propos de la configuration des ports du firewall, j’hesite entre deux config:

Celle-ci:
http://pix.nofrag.com/04/54/3a9d8548f958486f511293a2e48a.jpg

Et celle-la:
http://pix.nofrag.com/0a/8a/63e7fbb2dd4cec0b4ade0dcc0f5d.jpg

Pour les mises a jour, c’est ici
http://www.juniper.net/customers/support/p…etscreen5xt.jsp

Mais tu dois avoir enregistré ton produits avant, tu decouvriras après si c’est payant ou gratuit :smiley:

Si je saisi (mais sans doc c’est pas evident)
trust=port controlé et filtré
untrust=port non filtré

J’opterai pour le premiere config car un seul reseau pour ton test, ton modem est braché où ??? sur la DB9 ou en RJ45 ???

Il est a noté que sur le net est repertorié une faille
http://www.vulnerabilite.com/tag/netscreen+5xt

T sois avoir une doc livrée avec un CD !!!

J’ai essayé de l’enregistré la dessus hier soir mais a priori ca ne fonctionne pas pour je ne sais quelle raison :neutre: je leur ai envoyé un mail avec mon serial, on verra bien…

Trsut en effet c’est filtré et untrust non filtré, soit ce qu’on nomme courament la DMZ.
Mon modem je vais le brancher sur un port Trust, en RJ45 (c’est la freebox en mode routeur desactivé).

J’ai pas de doc, mon collegue me la donné avec uniquement le bloc d’alim’ et sans CD c’est pour ca que c’est pas evident, surtt quand on debute :paf:

La faille jl’avais vu lors de mes recherches sur le produit, merci bien.