sunfun Posté(e) le 8 juillet 2006 Partager Posté(e) le 8 juillet 2006 bonjour tout le monde, voilà, j'aimerais sécuriser un réseau d'un parc de beaucoup de machines (je dirai un peu plus de 500 machines) actuellement, nous avons un cisco PIX Firewall series 515E et normalement il supporte 2000 connexions simultanées visiblement, ça ne tient pas la charge et ça reboot assez fréquemment sachant que tout notre réseau a pour passerelle par défaut vers internet ce firewall, c'est un peu embetant alors je me suis dit : - soit je coupe beaucoup de flux, mais ça risque de ne pas plaire à tout le monde - soit je fais une étude pour acheter un firewall un peu plus puissant et qui ne reboot pas tout seul concernant cette 2ème option, je me tourne vers plusieurs constructeurs dont : 1) cisco 2) juniper 3) aruba 4) peut être en connaissez vous d'autres de meilleurs et je suis preneur alors mes critères, ça serait : - possibilité de filtrage d'adresses MAC et d'adresses IP (notamment access-list) - plus que 2000 connexions simultanées (disons 3000 pour être sur) - plusieurs ports physiques ethernet (4 par exemple) - un rapport qualité/prix attractif pour ce qui est du prix, nous n'avons pas encore fixé de budget et nous faisons une étude actuellement j'ai déjà commencé à chercher du côté de cisco et de juniper mais pour l'instant, je n'ai pas de prix si vous avez des contacts commerciaux, je suis preneur merci beaucoup de votre aide sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
chattanooga Posté(e) le 8 juillet 2006 Partager Posté(e) le 8 juillet 2006 je sais que les routeur pro de cisco font du filtrage mac ET ip. mais je me rappelle plus des nom de produit :s ... en tout cas, je te conseillerais de rester sur du cisco. dans mon ancien travail, on routait plus de 6000 machines et environ 1.000.000 traffic d'ip different ² avec du materiel cisco uniquement. c'est le plus fiable. bon autant je sais que c'est pas le meme materiel dont tu as besoin. je ne saurais pas t'aider d'avantage. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 9 juillet 2006 Auteur Partager Posté(e) le 9 juillet 2006 je sais que les routeur pro de cisco font du filtrage mac ET ip. en tout cas, je te conseillerais de rester sur du cisco. dans mon ancien travail, on routait plus de 6000 machines et environ 1.000.000 traffic d'ip different ² avec du materiel cisco uniquement. bonjour chattanooga, merci de ta réponse les seules configurations qui répondent pour l'instant à mes attentes seraient de changer de pix ou de rajouter une carte qui ferait office de firewall sur des équipements cisco 6500 je pense qu'il y a beaucoup trop de flux qui passent par notre pix actuel, c'est pour cela qu'il doit tomber assez souvent comment pourrais-je voir le trafic réseau utilisé sur ce pix ? merci de votre aide sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
chattanooga Posté(e) le 9 juillet 2006 Partager Posté(e) le 9 juillet 2006 les 6500 font deja firewall, que je sache :) qu'est ce que t'appelle pix ? par contre, votre 6500 a quoi comme module ? et combien ? vous utilisez des GIBC/X... pour la sortie ? pour voir le traffic du module en question, par contre là je ne saurais te dire... mais je sais qu'il faut installer une machine linux, avec mrtg. par contre, ensuite, la configuration, je ne pourrais te dire d'avantage. .. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 9 juillet 2006 Auteur Partager Posté(e) le 9 juillet 2006 les 6500 font deja firewall, que je sache :) bonsoir, il me semble que les 6500 ne font pas firewall par défaut il faut une carte pour le faire normalement par défaut, il est livré vierge, et il faut acheter des cartes avec 48 ports switch, ou ce que l'on veut qu'est ce que t'appelle pix ? un pix est une gamme de firewall chez cisco c'est comme si je disais catalyst pour les switch cisco, c'est juste une gamme par contre, votre 6500 a quoi comme module ? et combien ? vous utilisez des GIBC/X... pour la sortie ? pour voir le traffic du module en question, par contre là je ne saurais te dire... mais je sais qu'il faut installer une machine linux, avec mrtg. par contre, ensuite, la configuration, je ne pourrais te dire d'avantage. .. pour le 6500, normalement, nous avons des gibc pour la sortie, c'est relié en fibre optique jusqu'à notre backbone pour le trafic, ok pour mrtg, je prends note s'il faut juste installer une machine, et relever le trafic par snmp, je peux l'installer merci de tes conseils sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
chattanooga Posté(e) le 9 juillet 2006 Partager Posté(e) le 9 juillet 2006 ah oui, exact. de base il ne fait pas firewall :) mais je pense qu'il existe des carte "routeur" et non "switch". (oui, routeur comprend deja switch.. mais le switch ne gére pas les ip de different classe :) ) par contre, je ne me rappelle plus du tout du nom. je pourrais te demander la ref sinon, tu as pensé a augmenter le nombre de carte de votre 6500 ? pour diminuer le traffic d'une seul carte.. peut etre que ça pourrait le soulager :) quoi que, peut etre le gbic qui sature ... (mais ça parait bizarre.. vu que c'est du FO.)(ou alor ça peut etre probable, si tu pense que vous depassez les 10Gb, et si c'est du monochrome.. ça pourrait etre probable.) ou alor passez au gbix en 8 couleur apres ça.. c'est moi qui sature Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 9 juillet 2006 Auteur Partager Posté(e) le 9 juillet 2006 ah oui, exact. de base il ne fait pas firewall :) mais je pense qu'il existe des carte "routeur" et non "switch". (oui, routeur comprend deja switch.. mais le switch ne gére pas les ip de different classe :) ) par contre, je ne me rappelle plus du tout du nom. je pourrais te demander la ref en fait, sur notre 6500, il me semble qu'il y a 2 cartes : - une carte qui fait que du switching sur 48 ports fast Ethernet - une carte routeur, sur laquelle il y a 8 ports Gbic pour relier les autres équipements sur celui là en fibre optique pas de probleme pour la référence, je peux te donner ça, faut que je la retrouve sinon, tu as pensé a augmenter le nombre de carte de votre 6500 ? pour diminuer le traffic d'une seul carte.. peut etre que ça pourrait le soulager :) quoi que, peut etre le gbic qui sature ... (mais ça parait bizarre.. vu que c'est du FO.)(ou alor ça peut etre probable, si tu pense que vous depassez les 10Gb, et si c'est du monochrome.. ça pourrait etre probable.) pour réduire le trafic, pour l'instant, ça va, nous avons suffisamment de ports libres merci d'avoir suggéré cette solution merci de ton aide en tout cas sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
chattanooga Posté(e) le 9 juillet 2006 Partager Posté(e) le 9 juillet 2006 pas de quoi :) bonne continuation pour les recherche :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
CHOUM Posté(e) le 13 juillet 2006 Partager Posté(e) le 13 juillet 2006 Salut, Ton problème de PIX m'étonne, ici j'ai environ 700 machinesqui sortent par 1 PIX515 et aucun soucis (le pauvre tourne à 1% de CPU en comptant les 35 VPNs actifs . J'implémente également descisco ASA, semblables au PIX mais bien plus fonctionnels et évolutifs et moinscher (que demande le peuple Pour contourner ton prob de connections l'idéal et de monter un proxy sur ton LAN ca sera déjà 90% plus léger coté connex Contact moi par mail pour toute question A bientot The Magikal CHOUM *<;o) Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 13 juillet 2006 Auteur Partager Posté(e) le 13 juillet 2006 Ton problème de PIX m'étonne, ici j'ai environ 700 machinesqui sortent par 1 PIX515 et aucun soucis (le pauvre tourne à 1% de CPU en comptant les 35 VPNs actifs . bonjour, à vrai dire, ce probleme de PIX aussi m'étonne je pense sincèrement que le PIX fonctionne très bien, c'est que beaucoup de flux sont certainement redirigés dessus, et c'est pour cela qu'il y a autant de soucis je ne sais pas qui a implémenté la configuration et combien de personnes ont accès à ce PIX le but de ce topic est justement que je puisse recueillir différents témoignages et expériences et voir ce que je peux apporter à mon service pour améliorer non seulement la sécurité mais aussi alléger le trafic réseau J'implémente également descisco ASA, semblables au PIX mais bien plus fonctionnels et évolutifs et moinscher (que demande le peuple intéressant les cisco ASA, qu'est-ce donc ? qu'est-ce qui les diffère des PIX ? peux tu m'en dire plus ? Pour contourner ton prob de connections l'idéal et de monter un proxy sur ton LAN ca sera déjà 90% plus léger coté connex ok pour l'idée du proxy, mais je le mets à quel niveau ? entre le pix et mon réseau ? peux tu me faire un bref schéma explicatif s'il te plait ? merci Contact moi par mail pour toute question avec plaisir, je prendrai contact avec toi par mail merci pour tout sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
CHOUM Posté(e) le 14 juillet 2006 Partager Posté(e) le 14 juillet 2006 RE, Coté flux il faut voir, le plus simple connecte toi sur le PDM si tu à une vieille version, ou mieux met a jour en IOS 7.2.1 et monte un ADSM tu verra ca vas te changer la vie En fait le ASA n'offre que quelques options de plus qu'un 515 en IOS7, comme le webVPN, le VPNSSL, proxy mail, etc ... tt les infos chez cisco Par contre ca change salement des IOS 4,5 et 6, plus rien a voir, et une bonne partie des commandes changes. Tu à un 515E, donc je suppose que tu en à 2 montés en failover, je me trompe? Pour migrer en douceur et en prod (niark). Eteind ton PIX Failover (après avoir sauvé les configs en mem et en ftp on sait jamais), monte l'IOS 7.2.1 sur ton PIX maitre, pi write mem et reload et hop en 2 min tu sera sur la nouvelle version. Tu aura pas trop de soucis, c'est pas comme la 7.0.1 qui était méchament buggé. Puis monte l'ADSM dessus (faudra ptetre virer le PDM au rpéalable si T short mémoire flash) Ah oui oublie pas si tu à un vieux 515 qu'il faudra probablment un upgrade mémoire RAM (ou tu prend de la cisco, ou tu t'en fou et tu prend de la SDRAM PC100 (barettes pas trop hautes sinon tu le fermera plus) pour arriver à un total de 128 Mo (wow, ou plus). Découvre un peu l'ADSM ca ressemble fortement à une interface type checkpoint donc asser accessible et surtout moins buggée que le PDM. Vas-y tu y gagnera Plus de fonctions, plus de sécuritée, plus de visu (débugs par filtres, etc), IDS/IPS, ... Enfion je vais pas faire un romans, tu laisse touener une semaine pour voir si rien n'a souffert de la migration et tu fait pareil pour le failover. En cas de soucis tu coupe celui la et t'allume ton failover et la prod repart :) LAN ====PROXY====FW====WEB Voila a+ CHOUM Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 16 juillet 2006 Auteur Partager Posté(e) le 16 juillet 2006 Coté flux il faut voir, le plus simple connecte toi sur le PDM si tu à une vieille version, ou mieux met a jour en IOS 7.2.1 et monte un ADSM tu verra ca vas te changer la vie bonjour choum, merci pour ces précisions En fait le ASA n'offre que quelques options de plus qu'un 515 en IOS7, comme le webVPN, le VPNSSL, proxy mail, etc ... tt les infos chez cisco Par contre ca change salement des IOS 4,5 et 6, plus rien a voir, et une bonne partie des commandes changes. Tu à un 515E, donc je suppose que tu en à 2 montés en failover, je me trompe? Pour migrer en douceur et en prod (niark). Eteind ton PIX Failover (après avoir sauvé les configs en mem et en ftp on sait jamais), monte l'IOS 7.2.1 sur ton PIX maitre, pi write mem et reload et hop en 2 min tu sera sur la nouvelle version. Tu aura pas trop de soucis, c'est pas comme la 7.0.1 qui était méchament buggé. Puis monte l'ADSM dessus (faudra ptetre virer le PDM au rpéalable si T short mémoire flash) pour ces options telles que webVPN, le VPNSSL, proxy mail, ça peut nous servir plus tard je garde ça dans un coin de ma tete pour ce qui est de notre mise en réseau des PIX, il ne me semble pas avoir vu un système de redondance ou de failover comme tu dis à vrai dire, notre service n'est pas du tout le service de production nous avons juste interconnecté le PIX à notre réseau pour faire du filtrage de flux et ne pas se faire pirater le but de notre PIX est juste d'être l'interconnexion entre notre réseau local et Internet je vais quand meme me renseigner un peu plus pour savoir s'il existe un système de failover ou de redondance pour ces firewalls je vais aussi me renseigner sur le PDM et l'ADSM comme tu me le suggères Ah oui oublie pas si tu à un vieux 515 qu'il faudra probablment un upgrade mémoire RAM (ou tu prend de la cisco, ou tu t'en fou et tu prend de la SDRAM PC100 (barettes pas trop hautes sinon tu le fermera plus) pour arriver à un total de 128 Mo (wow, ou plus). Découvre un peu l'ADSM ca ressemble fortement à une interface type checkpoint donc asser accessible et surtout moins buggée que le PDM. Plus de fonctions, plus de sécuritée, plus de visu (débugs par filtres, etc), IDS/IPS, ... ok pour la ram, je ferai attention LAN ====PROXY====FW====WEB merci pour cette précision concernant la mise en place du proxy quel genre de proxy me conseille tu ? j'entends par là quelle application proxy pourrait convenir à mon probleme ? un genre de squid proxy sous linux pour alléger le flux ? et du coup, je redirige le flux sur ce serveur proxy dans un premier temps c'est ça? puis dans un second temps je le renvoie vers le firewall ? quelle configuration dois-je appliquer sur le proxy ? quelles sont les règles que je dois mettre en place? si tu as une documentation intéressante, ça me convient je poursuis mes recherches sur internet, et je serai ravi d'avoir des réponses aussi précises sur le proxy que celles que tu m'as déjà fournies sur le PIX encore merci sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.