Journal Qualité de la Mandrake MultiNetwork Firewall

Posté par  (site web personnel) .
Étiquettes : aucune
0
16
mar.
2004
salut à toi mon journal,

ma boite va s'équiper en ADSL dans quelques temps, rien de bien méchant, juste une petite ligne que l'on connectera 12h par jour, ça suffira amplement.

Le problème est quand même de sécuriser le réseau. Le deuxième problème est que mon budget sera minuscule voire "récupératif"...

Vous avez vue le titre vous voyez où je veux en venir...

On me propose 3 choix

Windows Server 2003 avec ISA server, il parait que ça marche très bien et que ce n'est pas plus troué que linux, à condition qu'on ai lu la doc qui est parait-il très bien faire. C'est un ancien unixien qui m'a dit ça. Cher et bon...

Des rack symantec chargé de réaliser un service de proxy et pare feu mais avec une protection physique. Cher.

La Mandrake MultiNetwork Firewall gratuite, mais pas le support, à comparer avec une debian, une red-hat, que sais-je

Les fanatiques de sécurité, à vous !


Merci !

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  . Évalué à 2.

    Il y a aussi IPCOP qui peut être interressante, a voir donc http://www.ipcop.org/(...)

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  (site web personnel) . Évalué à 8.

    1- Isa Server Avec 2003
    C'est un très bon produit en effet, acroire qu'il a été developé par une autre société mais bon, c'est quand même très cher en terme de licences comme truc : a moins que tu n'ais une AD avec des centaines de users et que tu veux donner des acces au net via des groupes d'utilisateurs de ton AD, je ne vois pas trop l'interet vu ton budget. Administration : MMC

    2- La MDK MNF ou une IPCop/Smoothwall peuvent être de bons choix si tu es plus familier avec Linux : ce sont des distributions spécialisées qui ne vont installer que le minimum : pas besoin d'un serveur X ou de 10.000 applis style bloatware avec chacune un trou de securité potentiel... : Administration : Interface Web

    3- OpenBSD : Si tu es a l'aise avec openBSD, ben prend le. Enfin si tu ne va pas faire de l'ipv6. L'install est minimale, le code de base est audité donc tu devrais être a l'aise. Vérifie quand même la compatibilité matérielle qui est un peu plus réduite qu'avec linux mais ça devrait être bon. : Administration : SSH, interface web avec modules additionels mais bon, on pete la sécu

    4 - Une solution boite noire
    Type netscreen, netasq, nokia ou sonicwall : uniquement si tu as les moyens : avantage : maintenance réduite, produit solide (firmware a flasher, telechargement de mises a jour, souvent c'est du redhat avec du checkpoint) désavantage : cout de licences et par fonctionalités additionnelles. Administration via interface WEB

    5 - Bordermanager de Novell sous Linux
    Très bon produit, très peu connu, et qui va être porté sous linux dans les prochains mois (chut c'est un secret) mais bon, voir #1 pour le cout du produit et pas encore dispo.

    6 - PIX Cisco : trop cher

    7 - Solution a base de Checkpoint :
    Leur politique de licences ou tu es abonné est bien trop cher. Il est preferable de prendre un support chez MDK pour la MNF

    A ta place : pour une machine qui ne ferait que gateway, je mettrais une mdk ou ipcop. Si je devais rajouter qq services dessus, je prendrais une slack ^^.

    • [^] # Re: Qualité de la Mandrake MultiNetwork Firewall

      Posté par  (site web personnel) . Évalué à 1.

      pour une machine qui ne ferait que gateway, je mettrais une mdk ou ipcop. Si je devais rajouter qq services dessus, je prendrais une slack ^^.

      J'utilise une debian comme passerelle sur laquelle j'ai installé yaffl:
      http://savannah.nongnu.org/projects/yaffl/(...)

      This iptables script manage the rules insertion in the running kernel and launches ipfreeze.pl. This perl script listens on the netlink device for packets that are passed by the firewall (QUEUE target). If a packet is sent, ipfreeze get the source IP and insert a new rule in the firewall that will destroy every packets coming from that IP. This rule is automatically removed after a user-definable period (usually 10 or 20min).

      With this system, Yaffl proposes you features as :
      - Protection from floods (like syn or ping floods)
      - basic anti-nmap ports detection
      - whitelist and permanent blacklist
      - forbidden ports (why should someone connect to the telnet port of a firewall mmmh ?)
      - Masquerading and dNAT to share your internet access.

      Voili

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    Une Debian avec IPtables, très simple à configurer avec la Doc de Alexis de Lattre :

    http://people.via.ecp.fr/~alexis/formation-linux/firewall.html(...)

    Mes livres CC By-SA : https://ploum.net/livres.html

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    ben moi ce que je ferais c'est juste une passerelle : une machine à 200Mhz (avec usb si modem usb par exemple) devrait largement suffire, une carte 10 Mb vers le réseau local et un DD de 2 Go max devrait aussi bien suffire.....

    J'y metterai une debian woody avec juste ce qu'il faut, en fait pas grand chose.... un petit coup de iptables avec des règles qui disent juste qu'on accepte en entrée que les paquets qui font suite à une demande en sortie, pas de ports ouverts vers l'extérieur, pas de réponse au pings et un petit dns .... après ça te laisse flexible pour ajouter un serveur mail et un petit serveur http (nom de domaine chez amen + redirection pour qq euros).... du QOS, etc.....

    enfin bon c'est largement faisable sous bsd/linux et pour un coût faible, après tu as selon moi plus de fexibilité sans surcoût.....


    M.

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  (site web personnel) . Évalué à 0.

    On va encore me taper dessus mais j'ai l'habtiude:
    si tu veux quelque chose de pas trop compliquer(j'ai pas dit simple)
    et a jour je te dirais plutot de prendre une mandrake normal, car la MNF est pas tres euh......a jour
    je dirais presque de passez en cooker(instable?pas vraiment mais j'avoue que je ne l'ai pas en server)
    la seule source d'instabilite provenant de cooker serait pour moi XFree/KDE et gnome
    donc comme c'est sense etre un server/firewall/routeur ca va pas trop poser de problème
    moi j'ai une mandrake 9.2 comme server/routeur/firewall qui fait server de courier
    y a un spamassassin et un clamav dessus
    un server http etc ca tourne sans probleme
    apres pour configurer un parefeu qui marche pas trop mal tu utilise shorewall

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    la MNF est GPL. Les maj fonctionnent parfaitement bien même sans la licence payante.
    je n'ai pas réussi à faire marcher l'interface graphique de mise à jour, mais urpmi --auto-select fonctionne très bien en ssh.
    avec urpmi kernel-v.x.ymdk quand il y a besoin ( la liste de sécu mdk t'avertit !)
    bref, aucun pb avec une MNF

  • # Re: Qualité de la Mandrake MultiNetwork Firewall

    Posté par  . Évalué à 2.

    Perso j'aurais tendance a utiliser OpenBSD, mais si tu as un peu d'argent prend une MNF + support chez Mandrake (ca leur fera du bien en plus).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.