Bonjour, j’aimerais avoir un petit firewall Hardware pour une agence, pas trop cher et pas enorme.
Il va me permettre de la protéger (c’est le but d’un firewall) mais aussi de m’initier un peu a la configuration de ce type de materiel pour la suite (On tend a se developper), c’est pour ca que je souhaite un firewall “pro” type fortigate ou netscreen (le modéle 5XP par exemple).
Avez vous des “tutos” ou aide a la configuration concernant ce type de materiel qui d’ailleurs est exclusivement en Anglais pour les meilleurs a priori (hormis arkoon, qui est lyonnais de surcroit :bounce: ) donc pas toujours facile d’accés au debut.
Pareil les descriptions sont toutes en Anglais donc j’ai un peu du mal a savoir/comprendre toutes les fonctions disponibles…
Eventuellement si vous avez des liens avec des tests aussi de ce genre de petits firewalls… Meme eventuellement des bouquins, j’en ai trouvé qu’en anglais…
Tu pourrais aussi prendre un vieux PC qui cale un etagere, un livecd linux… Cout=0 et la femme de ménage aura un nid a poussière de moins a faire… :MDR
Oui je connais bien ces solutions, mais relis mon message c’est pas du tout mon attente.
J’ai deja testé des solutions comme ipcop ou autre, mais c’est pas du tout ce que je recherche. Je souhaite mettre en place ce type de firewall pour me former en meme tps sur ce type de materiel qui ressemble fortement au plus gros systeme dans lesquels j’evolue dans l’entreprise ou je travaille. Et dans les gros groupes on utilise pas des vieux pc du fond du placard avec un live cd linux.
Si tu veux du gros administrable, tu dois te rendre chez Cisco, c’est chez eux et pas ailleurs que tu trouveras des solutions pour grosse entreprise…
L’administration evolué chez eux se fait en C, mais cela necessite un minimum en programmation mais le resultat est tres franchement au summum…
Si la programmation te rebute, alors un serveur 2003 sera une solution pour gros systeme… C’est plus facile a administrer, chez Dell ce n’est pas forcement tres onereux et c’est tres evolutif…
Dans un cadre de gros systeme, il ne faut pas choisir des solutions originales sous pretexte des couts, car on le paye en perf et en stabilité… Et on peut se retrouver avec des problèmes insolutionnables (c’est pas moi, c’est l’autre…)
Crois moi sur parole…
Gros systeme = Fibre et plus cable au 20e siecle pense-y… Ou alors nous n’avons pas la meme notion de gros systeme :non:
:ouch: Faut pas rever, c’est un sujet plus que tabou dans mon entreprise :neutre:
C’est sur, c’est juste pour avoir quelques avis.
J’ai regardé un peu partout y’a vrmt pas grand chose niveau aide en Francais, bouquin et autre page internet…
Je vais jeter un coup d’oeil a ton lien. Merci
Sur lanimation Flash (c’est pour débutant niais avec plein de pognon), tu vois passer un Logo C++…Etrange… :heink:
C++ ne veut pas dire c’est + cher :non:
De plus, j’en ai un à coté de moi qui me sert d’oreillet chauffant, j’ai des futé dans la boite qui font du tunneling et qui ont réussi a passer au travers… Aurais-tu la solution ?
Encore Pardon maxvslyon…
Mais pourquoi veux-tu impérativement ce type de solution?
Quels sont tes impératifs ?
Que veux-tu réellement filtré ?
Et pourquoi une formation sur un simple Firewall?
Si tu cherches a une documentation sur l’utilisation référencé des ports TCP/UDP, tu peux trouver une réponse (en anglais) et un test sur ce site: https://www.grc.com/x/ne.dll?bh0bkyd2
:??: :??:
En fait j’ai un collegue de boulot, qui vient de me passer un Netscreen 5XT, c’est ce type de firewall (on est chez fortinet mais bon a quelquechose pret ca doit etre a peu pret la meme chose) qu’on deploie dans nos petites agences ou petits sites distants 5-10 employés.
Je souhaite me former un peu sur cet aspect de l’informatique ou je suis vrmt a la rue… (Je debute dans le metier).
J’avais l’occaz d’avoir un petit boitier pas cher par ce collegue donc c’est pour ca que je souhaitais avoir quelques avis et infos.
La je viens de plonger mon nez dedans et a vrai dire, jcapte presque rien :pt1cable:
Je pense que je reviendrais vous demandez conseil :oui:
Pour faire simple, si tu veux pas de virus ou autre, tu fermes tous les ports et tu laisse ouvert uniquement ceux qui te serve
Voici une liste des principaux utilisé sous Windows et par windows:
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Utilisateurs actifs
systat 11/tcp users #Utilisateurs actifs
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Citation du jour
qotd 17/udp quote #Citation du jour
chargen 19/tcp ttytst source #Gnrateur de caractres
chargen 19/udp ttytst source #Gnrateur de caractres
ftp-data 20/tcp #FTP, donnes
ftp 21/tcp #FTP. contrle
telnet 23/tcp
smtp 25/tcp mail #Format SMTP (Simple Mail Transfer Protocol)
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Protocole d’emplacement des ressources
nameserver 42/tcp name #Serveur de nom d’hte
nameserver 42/udp name #Serveur de nom d’hte
nicname 43/tcp whois
domain 53/tcp #Serveur de nom de domaine
domain 53/udp #Serveur de nom de domaine
bootps 67/udp dhcps #Serveur de protocole d’amorage
bootpc 68/udp dhcpc #Serveur de protocole d’amorage
tftp 69/udp #Transfert de fichiers trivial
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #Serveur de nom d’hte NIC
iso-tsap 102/tcp #ISO-TSAP Classe 0
rtelnet 107/tcp #Service Telnet distant
pop2 109/tcp postoffice #Protocole Bureau de poste - Version 2
pop3 110/tcp #Protocole Bureau de poste - Version 3
sunrpc 111/tcp rpcbind portmap #Appel de procdure distante SUN
sunrpc 111/udp rpcbind portmap #Appel de procdure distante SUN
auth 113/tcp ident tap #Protocole d’identification
uucp-path 117/tcp
nntp 119/tcp usenet #Protocole de transfert de nouvelles par Internet
ntp 123/udp #Protocole d’heure du rseau
epmap 135/tcp loc-srv #Rsolution de point de sortie DCE
epmap 135/udp loc-srv #Rsolution de point de sortie DCE
netbios-ns 137/tcp nbname #Service de nom NETBIOS
netbios-ns 137/udp nbname #Service de nom NETBIOS
netbios-dgm 138/udp nbdatagram #Service de datagramme NETBIOS
netbios-ssn 139/tcp nbsession #Service de session NETBIOS
imap 143/tcp imap4 #Protocole d’accs de messagerie Internet
pcmail-srv 158/tcp #Serveur PCMail
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #Pige SNMP
print-srv 170/tcp #PostScript rseau
bgp 179/tcp #Protocole de passerelle de frontire
irc 194/tcp #Protocole IRC (Internet Relay Chat)
ipx 213/udp #IPX par IP
ldap 389/tcp #Protocole allg d’accs aux rpertoires
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Echange de cls Internet
exec 512/tcp #Excution de processus
distance
biff 512/udp comsat
login 513/tcp #Connexion
distance
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Serveur de noms de fichiers tendus
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #Pour diffusions en urgence
uucp 540/tcp uucpd
klogin 543/tcp #Ouverture de session Kerberos
kshell 544/tcp krcmd #Interprteur distant Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP par TLS/SSL
doom 666/tcp #Logiciel ID Doom
doom 666/udp #Logiciel ID Doom
kerberos-adm 749/tcp #Administration Kerberos
kerberos-adm 749/udp #Administration Kerberos
kerberos-iv 750/udp #Kerberos version IV
kpop 1109/tcp #POP Kerberos
phone 1167/udp #Appel de confrence
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Moniteur
ms-sql-m 1434/udp #Microsoft-SQL-Moniteur
wins 1512/tcp #Microsoft Windows Internet Name Service (WINS)
wins 1512/udp #Microsoft Windows Internet Name Service (WINS)
ingreslock 1524/tcp ingres
l2tp 1701/udp #Protocole de tunneling couche 2
pptp 1723/tcp #Protocole de tunneling de point
point
radius 1812/udp #Protocole d’authentification RADIUS
radacct 1813/udp #Protocole de gestion de comptes RADIUS
nfsd 2049/udp nfs #Serveur NFS
knetd 2053/tcp #Dmultiplexeur Kerberos
man 9535/tcp #Serveur MAN distant
Les firewall sont manageable en general pas des pages WEB simple et compréhensbile, et tu autorise ou non le transit au travers des ports.
On peut imaginer n’ouvrir que le port 80 (http), les messageries peuvent etre acceder par Webmail sur un serveur Xchange par exemple, donc pas de telechargement ou autre… C’est tres restrictif mais les gens sont sencé bosser
Il exsite aussi plein de site sur le net ou tu peux trouver l’utilisation des ports, si on devait schématiser, l’adresse est l’ip, les ports sont des portes (65535), comme on ne peut toutes les surveiller, il faut mieux les fermer à clef…
Ouais c’est sympa, j’ai effectivement ete sur l’interface web du firewall, le principe du firewall je connais, mais c’est les tas d’options a disposition que je saisi pas. Jvais essayé de me mettre un peu dessus ce week end et je poserais mes questions au fur et a mesure.
En gros jvais essayer de mettre en place comme suit:
Oui oui c’est bien ce que je comptais faire, et apres si j’ai un peu de temps j’essaierais de proposer un petit tuto pour les prochains car on trouve pas grand chose sur le net pour pas dire rien (en Francais je m’entend).
Il est vrai que tu trouves beaucoup de site sur les firewall logiciel et rien sur les materiel… Pour moi la raison est la suivante, les particuliers se contentent des solutions intégrées dans les petits routeurs et les entreprises utilisent souvent des seveurs qui accessoirement servent de firewall (ce qui en terme de sécurité n’est pas le meilleur choix)…
Oui je pense aussi, moi j’avais le Linksys WRT54G avec le firmware DDWRT, c’est deja une bonne usine a gaz, je pense que c’est deja bien suffisant pour un reseau domestique.
J’aimerais savoir comment je peux mettre a jour le moteur Deep Inspection ? Et si ce n’est pas possible sans compte entreprise special, est ce qu’il est tout de meme activé mais pas mis a jour ? Car la je vois “0”. Sinon comment peut on avoir un compte, faut il souscrire a un contrat de maintenance ?
Pareil pour Netscreen Secuirty Manager, faut il une licence particuliere, est ce avec ce contrat de maintenance … ?? (Je crois que c’est le remplacant de Global manager d’apres mes recherches.). A quoi sert il exactement ? Un logiciel qui permet de surveiller les logs ? Je pensais que c’etait aussi integré au boitier netscreen :neutre:
J’ai essayé de l’enregistré la dessus hier soir mais a priori ca ne fonctionne pas pour je ne sais quelle raison :neutre: je leur ai envoyé un mail avec mon serial, on verra bien…
Trsut en effet c’est filtré et untrust non filtré, soit ce qu’on nomme courament la DMZ.
Mon modem je vais le brancher sur un port Trust, en RJ45 (c’est la freebox en mode routeur desactivé).
J’ai pas de doc, mon collegue me la donné avec uniquement le bloc d’alim’ et sans CD c’est pour ca que c’est pas evident, surtt quand on debute :paf:
La faille jl’avais vu lors de mes recherches sur le produit, merci bien.
Ouais c’est ce qui me semblait, par contre a priori il les delivre toujours mais avec un compte qui parait difficile a obtenir en tant que particulier :neutre: Je leur ai ecrit avec mon numero de serie car a priori les fichiers existent toujours.
Impossible de les trouver ailleurs en dirait :pfff:
Si je suis la logique de ce que je decrypte sur leur site, le mode Home-Work permet d’etablir 2 jeux de regle, une coté home et l’autre coté work…
Par contre, je n’arrive pas à determiner si les mises à jour sont payantes mais je n’aprécie (c’est personnel) pas les société qui font payer pour corriger leurs erreurs, je trouve cela deplorable.
Je n’arrive pas non plus à determiner à quel niveau de trame ce firewall filtre et comment lui paramétrer les signatures… On ne trouve pas beaucoup de doc, dans ta requete pour l’enregistrement du produit, demande leur une notice en pdf, ils doivent bien avoir ca sous le coude… Ca devrait enormement simplifier l’aide qu’on pourra t’apporter…
J’ai pas eu trop le temps de me mettre dessus ce week, a priori le deep inside c’est un abo annuel payant et de base on a rien, dommage.
Le firmware 5.2.0 je l’ai recuperé.
J’attend d’avoir un peu plus de temps pour aller plus loin et j’attend aussi leur reponse.
, regearde chez Cisco