Forum Clubic

Firewall Hardware - Netscreen (page 2)

Même si certains appareils s’autoproclame zeroday protection, la plupart nécessiterons des abonnements aux maj de signatures et versions majeurs de l’OS. sous forme de pseudo-licence incluant souvent la garantie matériel du produit. Quand le matériel deviens trop vieux et que le constructeur ne propose plus de maj, il donne en contre partie une réduction sur du neuf.
Le système de gestion de licence/abonnement est propre à chaque constructeur.

Je suppose qu’il s’agit d’un Manager disponible en plus de l’interface web. Il doit également faire Reporter au vu des cases à cocher.
Les logs peuvent être enregistrer dans le boîtier à la simple condition qu’ils disposent d’un disque dur, souvent à partir des gammes rackables … dans le cas contraire pour archiver il faudra disposer soit d’un Reporter, soit d’un syslog, souvent les 2 sont disponibles !

Concernant la configuration, là encore ça change vraiment de tout au tout d’une marque à une autre, pour exemple Netasq et Arkoon ne dispose même pas d’interface web!
Il faut garder à l’esprit qu’il ne s’agit pas de simples boîtiers d’ACL pour faire du ports forwarding, n’importe quel routeur le fait très bien, les firewalls applicatifs (je m’appui sur mon expérience Netasq) permettent de mettre en place des coeurs de réseaux en architectures multi NAT/BiNAT/Bridge/Hybride/DMZ, décomposent les trames à la recherche de signatures, vérifies les conformités des protocoles avec les RFCs, analyse en temps réel les détournements de sessions, permet la GTC de connexion par redondance, clustering, VLAN, etc… Et tout ceci reste hyper-configurable selon une philosophie propre à chaque constructeur. Il suffit de monter un VPN entre 2 marques différentes pour s’en rendre compte !!! En résumé un admin Netscreen ne sera pas un admin Netasq par ses seules connaissances/certifs Juniper …

Ouais c’est ce qui me semblait, par contre a priori il les delivre toujours mais avec un compte qui parait difficile a obtenir en tant que particulier :neutre: Je leur ai ecrit avec mon numero de serie car a priori les fichiers existent toujours.
Impossible de les trouver ailleurs en dirait :pfff:

Si je suis la logique de ce que je decrypte sur leur site, le mode Home-Work permet d’etablir 2 jeux de regle, une coté home et l’autre coté work…

Par contre, je n’arrive pas à determiner si les mises à jour sont payantes mais je n’aprécie (c’est personnel) pas les société qui font payer pour corriger leurs erreurs, je trouve cela deplorable.

Je n’arrive pas non plus à determiner à quel niveau de trame ce firewall filtre et comment lui paramétrer les signatures… On ne trouve pas beaucoup de doc, dans ta requete pour l’enregistrement du produit, demande leur une notice en pdf, ils doivent bien avoir ca sous le coude… Ca devrait enormement simplifier l’aide qu’on pourra t’apporter…

J’ai pas eu trop le temps de me mettre dessus ce week, a priori le deep inside c’est un abo annuel payant et de base on a rien, dommage.
Le firmware 5.2.0 je l’ai recuperé.
J’attend d’avoir un peu plus de temps pour aller plus loin et j’attend aussi leur reponse.

merci de ton aide en tout cas.

Bon je vais me lancer dans la mise en place.

Je vais donc repasser ma freebox en mode modem normal (la elle est en mode routeur) et je vais la branchée a mon Netscreen. Ensuite relier mon switch au Netscreen aussi et mes Pcs au switch.
Comme ceci ?

http://pix.nofrag.com/94/a3/aac427d1e1b8f0362f054be2c340.jpg

Je configure ensuite le DHCP sur le Netscreen et ca roule. Je pense que c’est ok, vous voyez une erreur ou un oubli ?
Un petit truc que je comprend pas c’est quand je regarde mes interfaces je vois Vlan1, ca correspond au port “trusted” 2, 3, 4 ?

http://pix.nofrag.com/74/98/4b7ef8ede63be6249922fc37d825.jpg

Ensuite pour mettre en place le NAT, si j’ai bien compris je dois mettre en place des “Policies” ?
Que dois-je choisir en haut comme zone ? “Trust” to “Trust” pour “Nater” par exemple du FTP.

http://pix.nofrag.com/48/de/2fa887b91bb7335a3b0a8c2466d9.jpg

Et ensuite je parametre comme ceci (exemple du FTP avec le port 21) ?
http://pix.nofrag.com/41/09/28732aafaf48bfe3352e4656187c.jpg

J’ai un doute sur ta config du fait que tu utilises des ip dynamiques (DHCP) et des règles sur ip fixe :??:

En fait j’ai lu une doc, donc ma freebox jdois la brancher sur le port “Untrusted” ca m’a ete confirmé par mon collegue ce matin.

Sinon pour le DHCP c’est bon car j’ai mis l’option qui attribue tjrs la meme IP selon la MAC ADRESS. C’est pour mon serveur. :oui:

Pour les policies tu as une idée ? Je suppose que finallement pour les zones c’est “Untrust” To “Trust” pour ce qui entre et “Trust” to “untrust” pour ce qui sort.

Au vu des screens que tu nous montre, moi j’aurai mis la freebox sur le ‘untrusted’ et les PCs sur ‘trusted’. Sur la ligne ‘untrust’ tu clic Edit et rentre les paramètres PPPoE de ta connexion.

Dans la règle policies, pour suivre mon intuition de départ, j’aurai donc mis from ‘untrust’ to ‘trust’ avec l’ip et le port local qui vont bien.

Note :
Le bloque ‘trusted’ semble être déjà un élément switch intégré comme souvent dans les petits modèles de firewall (F25 Netasq). Celà ce matérialise au momment de le manager sous forme d’une interface unique pour l’ensembre des 4 ports, ce qui reviens à avoir un firewall 2 interfaces -> 1p + 1switch = soit les fameux ‘untrust’ et ‘trust’.
Pour en revenir aux autres screens que tu nous as monter, il semble possible pour ce modèle de le monter à 3 interfaces en scindant la partie trust (donc l’interface switch) en 2 interfaces distinct ‘home’ et ‘work’ afin d’étendre les possibilités du firewall (rajouter une dmz, etc…).

EDIT : j’avais pas vu la page 2 ^^ … je pense pareil pour la config

Ouais tous les avis se recoupent a priori. Je continue de regarder et je prepare mes futurs questions.
Pour les paramtres PPPoE on trouve ca sur le site de free je suppose ?

Si tu mets la freebox, sur le port untrust, tu perds cette possibilité pour un PC…
Après quelques lectures dans la langues de Shakespaer, ton FireWall est conçu au depart pour un modem RS232, les PC sur les ports TRUST (Filtré) et UNTRUST (DMZ), la 2eme RS232 est un PC en monitoring du Modem (si un PC y est branché, tu perds le port UNTRUST, sous reserve de ma traduction)…

Je pense que le fait de brancher le modem sur le port RJ45 Ethernet modifie complètement les règles de filtrage…
Si on suit la logique, les filtres s’appliquerait entre la RS232 et les RJ45 et pas entre les RJ45 (sauf si tu as d’autres menus)
Tu peux vérifier le filtrage avec ce site
https://www.grc.com/x/ne.dll?bh0bkyd2

je n’ai rien lu de la doc ni de leur site mais je ne suis pas vraiment du même avis, d’après le screen on peut configurer du PPPoE sous n’importe quelles des interfaces, d’autant les modem adsl en série sont plutôt rare maintenant.

Le filtrage “entre les rj45” c’est justement l’intérêt de ce genre de boite : le filtrage d’une interface à une autre. C’est maléable au point que sous Netasq l’on peut créer autant de dialup que d’interfaces disponibles et faire autant de load balancing / backuping de ligne etc… De même la notion de DMZ qui n’existe pas textuellement, il suffit de créer une règle “pass all” sur l’une des interfaces choisi.

De ce faite on ne peut pas vraiment ce fier au nom des interfaces imprimé au dos du matériel (chez Netasq : OUT et IN1, IN2, IN3…) qui sont vrais en configuration d’usine mais complètement modifié/renommé logiciellement en production : on peut mettre une dialup sur IN4, le lan sur OUT, etc…

Je serai d’accord avec toi mais dans les menus exposés, je ne vois pas (sauf le mode Home-Work) le moyen de paramétre une règle par exemple entre trust1 et trust2…
De plus le port untrust est non filtré entre quoi et quoi, si ce n’est entre le modem (RS232) et lui-même, car ca n’aurait pas de sens entre un port trust et lui-même (cela signifierait que le port trust devient untrust)… Mais je ne suis pas sur de ce que j’avance non plus…
Il n’y aurait que des ports RJ45, ca serait plus facile… Je pense que ce genre de FireWall n’est pas tout jeune…

Plusieurs port RJ45 pour faire plusieurs VLAN non ?
Le port “untrust” c’est la zone du réseau à risque ( Internet ) je suppose non ? D’ailleurs en anglais “trust” c’est la confiance, donc untrust c’est la zone non confiante donc le net…

:neutre:

Ca ne repond pas à mon interrogation qui est "untrust entre quoi et quoi" ???

Schématison un tuyeau (pas percé ca va de soi pour jouer au PMU) a 2 bouts, si tu filtre l’eau d’un coté, elle l’est obligaoirement de l’autre; si tu ne veux pas filtrer, alors les 2 bouts ne sont pas filtrés !!!

Et dans ton cas, tu n’as qu’un port RJ45 non filtré d’où ma remarque…

gamme soho débute sur 2 interface dont 1 est un switch
chez netasq : F25=2interfaces, F50=3, F200=4, F500=6, F800=8, etc…

et il ne faut pas forcément se fier à ce qui est marqué en hard derrière le routeur : chaque interface est personnalisable (dialup, pass all, PAT, etc…)

Pour info regardez ici
http://www.uk.clara.net/security/netscreen_5gt.pdf

document intéressant page 3,
le unstrust c’est bien l’internet, qui peut donc être backuper soit par le serial (mode 1 et 2 : “dial backup via serial interface” …56k/rnis) soit par un port rj45 (mode 3 et 4 : “direct backup via ethernet interface”).
En tout cas je note qu’ils sont plus limitatif que netasq ou je peux mettre n’importe combien et n’importe quelle interface en dialup :stuck_out_tongue: (hors partie switch du f25)

Le reste des “zones” sont ce que moi j’ai appeler plus haut des “interfaces”, afin d’établir différentes politiques de sécurités (dmz, lan, serveurs, PA wifi, …) du moins autant que le nombre d’interfaces le permet, cad 2 en home-work et 1 en trust.

D’une manière générale, Netscreen veux seulement dire par untrust : “interface externe” (le OUT de chez netasq) et le reste : trust, home, work … “interface interne” (les IN1, IN2, IN3 … retrouvé chez netasq).

Ok donc on reste sur:

Untrust => Freebox
Trust => Switch avec les differents PC

:neutre:

ouep :neutre:

J’ai fait le test hier soir, et que dalle a priori…

J’ai mis la freebox sur untrust et le switch sur trust et rien, je pense que je dois mal configurer l’interface Untrust…

Jvous fait un shot ce soir…