Jump to content

[ Firewall ] sécurité du réseau


Recommended Posts

bonjour tout le monde,

voilà, j'aimerais sécuriser un réseau d'un parc de beaucoup de machines (je dirai un peu plus de 500 machines)

actuellement, nous avons un cisco PIX Firewall series 515E et normalement il supporte 2000 connexions simultanées

visiblement, ça ne tient pas la charge et ça reboot assez fréquemment :chinois:

sachant que tout notre réseau a pour passerelle par défaut vers internet ce firewall, c'est un peu embetant :craint:

alors je me suis dit : ;)

- soit je coupe beaucoup de flux, mais ça risque de ne pas plaire à tout le monde :transpi:

- soit je fais une étude pour acheter un firewall un peu plus puissant et qui ne reboot pas tout seul ;)

concernant cette 2ème option, je me tourne vers plusieurs constructeurs dont :

1) cisco

2) juniper

3) aruba

4) peut être en connaissez vous d'autres de meilleurs et je suis preneur :francais:

alors mes critères, ça serait :

- possibilité de filtrage d'adresses MAC et d'adresses IP (notamment access-list)

- plus que 2000 connexions simultanées (disons 3000 pour être sur)

- plusieurs ports physiques ethernet (4 par exemple)

- un rapport qualité/prix attractif :francais::francais::ouioui:

pour ce qui est du prix, nous n'avons pas encore fixé de budget et nous faisons une étude actuellement

j'ai déjà commencé à chercher du côté de cisco et de juniper mais pour l'instant, je n'ai pas de prix :fou:

si vous avez des contacts commerciaux, je suis preneur :francais:

merci beaucoup de votre aide :mad2:

sunfun

Link to comment
Share on other sites

je sais que les routeur pro de cisco font du filtrage mac ET ip.

mais je me rappelle plus des nom de produit :s ...

en tout cas, je te conseillerais de rester sur du cisco.

dans mon ancien travail, on routait plus de 6000 machines :francais: et environ 1.000.000 traffic d'ip different :francais: ² avec du materiel cisco uniquement.

c'est le plus fiable.

bon autant je sais que c'est pas le meme materiel dont tu as besoin.

je ne saurais pas t'aider d'avantage. :francais:

Link to comment
Share on other sites

je sais que les routeur pro de cisco font du filtrage mac ET ip.

en tout cas, je te conseillerais de rester sur du cisco.

dans mon ancien travail, on routait plus de 6000 machines :smack: et environ 1.000.000 traffic d'ip different :smack: ² avec du materiel cisco uniquement.

bonjour chattanooga,

merci de ta réponse :yes::yes:

les seules configurations qui répondent pour l'instant à mes attentes seraient de changer de pix ou de rajouter une carte qui ferait office de firewall sur des équipements cisco 6500 :yes:

je pense qu'il y a beaucoup trop de flux qui passent par notre pix actuel, c'est pour cela qu'il doit tomber assez souvent

comment pourrais-je voir le trafic réseau utilisé sur ce pix ? :zarb:

merci de votre aide :yes:

sunfun :transpi:

Link to comment
Share on other sites

les 6500 font deja firewall, que je sache :)

qu'est ce que t'appelle pix ? :zarb:

par contre, votre 6500 a quoi comme module ? et combien ? vous utilisez des GIBC/X... pour la sortie ?

pour voir le traffic du module en question, par contre là je ne saurais te dire... mais je sais qu'il faut installer une machine linux, avec mrtg.

par contre, ensuite, la configuration, je ne pourrais te dire d'avantage. :smack: ..

Link to comment
Share on other sites

les 6500 font deja firewall, que je sache :)

bonsoir,

il me semble que les 6500 ne font pas firewall par défaut

il faut une carte pour le faire normalement :yes:

par défaut, il est livré vierge, et il faut acheter des cartes avec 48 ports switch, ou ce que l'on veut :zarb:

qu'est ce que t'appelle pix ? :yes:

un pix est une gamme de firewall chez cisco :yes:

c'est comme si je disais catalyst pour les switch cisco, c'est juste une gamme :smack:

par contre, votre 6500 a quoi comme module ? et combien ? vous utilisez des GIBC/X... pour la sortie ?

pour voir le traffic du module en question, par contre là je ne saurais te dire... mais je sais qu'il faut installer une machine linux, avec mrtg.

par contre, ensuite, la configuration, je ne pourrais te dire d'avantage. :yes: ..

pour le 6500, normalement, nous avons des gibc pour la sortie, c'est relié en fibre optique jusqu'à notre backbone

pour le trafic, ok pour mrtg, je prends note

s'il faut juste installer une machine, et relever le trafic par snmp, je peux l'installer :smack:

merci de tes conseils :transpi:

sunfun

Link to comment
Share on other sites

:byebye:

ah oui, exact. de base il ne fait pas firewall :)

mais je pense qu'il existe des carte "routeur" et non "switch". (oui, routeur comprend deja switch.. mais le switch ne gére pas les ip de different classe :yes: :) )

par contre, je ne me rappelle plus du tout du nom. je pourrais te demander la ref ;)

sinon, tu as pensé a augmenter le nombre de carte de votre 6500 ? pour diminuer le traffic d'une seul carte.. peut etre que ça pourrait le soulager :)

quoi que, peut etre le gbic qui sature :zarb: ... (mais ça parait bizarre.. vu que c'est du FO.)(ou alor ça peut etre probable, si tu pense que vous depassez les 10Gb, et si c'est du monochrome.. ça pourrait etre probable.)

ou alor passez au gbix en 8 couleur :francais:

apres ça.. c'est moi qui sature :francais:

Link to comment
Share on other sites

ah oui, exact. de base il ne fait pas firewall :)

mais je pense qu'il existe des carte "routeur" et non "switch". (oui, routeur comprend deja switch.. mais le switch ne gére pas les ip de different classe :francais: :) )

par contre, je ne me rappelle plus du tout du nom. je pourrais te demander la ref ;)

en fait, sur notre 6500, il me semble qu'il y a 2 cartes :

- une carte qui fait que du switching sur 48 ports fast Ethernet

- une carte routeur, sur laquelle il y a 8 ports Gbic pour relier les autres équipements sur celui là en fibre optique

pas de probleme pour la référence, je peux te donner ça, faut que je la retrouve :yes:

sinon, tu as pensé a augmenter le nombre de carte de votre 6500 ? pour diminuer le traffic d'une seul carte.. peut etre que ça pourrait le soulager :)

quoi que, peut etre le gbic qui sature :francais: ... (mais ça parait bizarre.. vu que c'est du FO.)(ou alor ça peut etre probable, si tu pense que vous depassez les 10Gb, et si c'est du monochrome.. ça pourrait etre probable.)

pour réduire le trafic, pour l'instant, ça va, nous avons suffisamment de ports libres :byebye:

merci d'avoir suggéré cette solution :zarb:

merci de ton aide en tout cas ;)

sunfun

Link to comment
Share on other sites

Salut,

Ton problème de PIX m'étonne, ici j'ai environ 700 machinesqui sortent par 1 PIX515 et aucun soucis (le pauvre tourne à 1% de CPU en comptant les 35 VPNs actifs :-D.

J'implémente également descisco ASA, semblables au PIX mais bien plus fonctionnels et évolutifs et moinscher (que demande le peuple :fumer:

Pour contourner ton prob de connections l'idéal et de monter un proxy sur ton LAN ca sera déjà 90% plus léger coté connex :roll:

Contact moi par mail pour toute question ;)

A bientot

The Magikal CHOUM *<;o)

Link to comment
Share on other sites

Ton problème de PIX m'étonne, ici j'ai environ 700 machinesqui sortent par 1 PIX515 et aucun soucis (le pauvre tourne à 1% de CPU en comptant les 35 VPNs actifs ;).

bonjour,

à vrai dire, ce probleme de PIX aussi m'étonne :byebye:

je pense sincèrement que le PIX fonctionne très bien, c'est que beaucoup de flux sont certainement redirigés dessus, et c'est pour cela qu'il y a autant de soucis :D

je ne sais pas qui a implémenté la configuration et combien de personnes ont accès à ce PIX :transpi:

le but de ce topic est justement que je puisse recueillir différents témoignages et expériences et voir ce que je peux apporter à mon service pour améliorer non seulement la sécurité mais aussi alléger le trafic réseau :yes:

J'implémente également descisco ASA, semblables au PIX mais bien plus fonctionnels et évolutifs et moinscher (que demande le peuple ;)

intéressant les cisco ASA, qu'est-ce donc ? :p

qu'est-ce qui les diffère des PIX ? peux tu m'en dire plus ? :eeek2:

Pour contourner ton prob de connections l'idéal et de monter un proxy sur ton LAN ca sera déjà 90% plus léger coté connex ;)

ok pour l'idée du proxy, mais je le mets à quel niveau ?

entre le pix et mon réseau ? peux tu me faire un bref schéma explicatif s'il te plait ? merci :yes:

Contact moi par mail pour toute question ;)

avec plaisir, je prendrai contact avec toi par mail :yes:

merci pour tout :zarb:

sunfun :zarb:

Link to comment
Share on other sites

RE,

Coté flux il faut voir, le plus simple connecte toi sur le PDM si tu à une vieille version, ou mieux met a jour en IOS 7.2.1 et monte un ADSM tu verra ca vas te changer la vie :chinois:

En fait le ASA n'offre que quelques options de plus qu'un 515 en IOS7, comme le webVPN, le VPNSSL, proxy mail, etc ... tt les infos chez cisco :ouioui:

Par contre ca change salement des IOS 4,5 et 6, plus rien a voir, et une bonne partie des commandes changes.

Tu à un 515E, donc je suppose que tu en à 2 montés en failover, je me trompe? Pour migrer en douceur et en prod (niark). Eteind ton PIX Failover (après avoir sauvé les configs en mem et en ftp on sait jamais), monte l'IOS 7.2.1 sur ton PIX maitre, pi write mem et reload et hop en 2 min tu sera sur la nouvelle version. Tu aura pas trop de soucis, c'est pas comme la 7.0.1 qui était méchament buggé.

Puis monte l'ADSM dessus (faudra ptetre virer le PDM au rpéalable si T short mémoire flash)

Ah oui oublie pas si tu à un vieux 515 qu'il faudra probablment un upgrade mémoire RAM (ou tu prend de la cisco, ou tu t'en fou et tu prend de la SDRAM PC100 (barettes pas trop hautes sinon tu le fermera plus) pour arriver à un total de 128 Mo (wow, ou plus).

Découvre un peu l'ADSM ca ressemble fortement à une interface type checkpoint donc asser accessible et surtout moins buggée que le PDM.

Vas-y tu y gagnera :ouioui:

Plus de fonctions, plus de sécuritée, plus de visu (débugs par filtres, etc), IDS/IPS, ...

Enfion je vais pas faire un romans, tu laisse touener une semaine pour voir si rien n'a souffert de la migration et tu fait pareil pour le failover. En cas de soucis tu coupe celui la et t'allume ton failover et la prod repart :)

LAN ====PROXY====FW====WEB

Voila a+

CHOUM

Link to comment
Share on other sites

Coté flux il faut voir, le plus simple connecte toi sur le PDM si tu à une vieille version, ou mieux met a jour en IOS 7.2.1 et monte un ADSM tu verra ca vas te changer la vie :pleure:

bonjour choum,

merci pour ces précisions :ouioui:

En fait le ASA n'offre que quelques options de plus qu'un 515 en IOS7, comme le webVPN, le VPNSSL, proxy mail, etc ... tt les infos chez cisco :humour:

Par contre ca change salement des IOS 4,5 et 6, plus rien a voir, et une bonne partie des commandes changes.

Tu à un 515E, donc je suppose que tu en à 2 montés en failover, je me trompe? Pour migrer en douceur et en prod (niark). Eteind ton PIX Failover (après avoir sauvé les configs en mem et en ftp on sait jamais), monte l'IOS 7.2.1 sur ton PIX maitre, pi write mem et reload et hop en 2 min tu sera sur la nouvelle version. Tu aura pas trop de soucis, c'est pas comme la 7.0.1 qui était méchament buggé.

Puis monte l'ADSM dessus (faudra ptetre virer le PDM au rpéalable si T short mémoire flash)

pour ces options telles que webVPN, le VPNSSL, proxy mail, ça peut nous servir plus tard

je garde ça dans un coin de ma tete ;)

pour ce qui est de notre mise en réseau des PIX, il ne me semble pas avoir vu un système de redondance ou de failover comme tu dis ;)

à vrai dire, notre service n'est pas du tout le service de production

nous avons juste interconnecté le PIX à notre réseau pour faire du filtrage de flux et ne pas se faire pirater

le but de notre PIX est juste d'être l'interconnexion entre notre réseau local et Internet :ouioui::chinois:

je vais quand meme me renseigner un peu plus pour savoir s'il existe un système de failover ou de redondance pour ces firewalls ;)

je vais aussi me renseigner sur le PDM et l'ADSM comme tu me le suggères :byebye:

Ah oui oublie pas si tu à un vieux 515 qu'il faudra probablment un upgrade mémoire RAM (ou tu prend de la cisco, ou tu t'en fou et tu prend de la SDRAM PC100 (barettes pas trop hautes sinon tu le fermera plus) pour arriver à un total de 128 Mo (wow, ou plus).

Découvre un peu l'ADSM ca ressemble fortement à une interface type checkpoint donc asser accessible et surtout moins buggée que le PDM.

Plus de fonctions, plus de sécuritée, plus de visu (débugs par filtres, etc), IDS/IPS, ...

ok pour la ram, je ferai attention :byebye:

LAN ====PROXY====FW====WEB

merci pour cette précision concernant la mise en place du proxy

quel genre de proxy me conseille tu ? j'entends par là quelle application proxy pourrait convenir à mon probleme ?

un genre de squid proxy sous linux pour alléger le flux ?

et du coup, je redirige le flux sur ce serveur proxy dans un premier temps c'est ça?

puis dans un second temps je le renvoie vers le firewall ?

quelle configuration dois-je appliquer sur le proxy ? quelles sont les règles que je dois mettre en place?

si tu as une documentation intéressante, ça me convient :chinois:

je poursuis mes recherches sur internet, et je serai ravi d'avoir des réponses aussi précises sur le proxy que celles que tu m'as déjà fournies sur le PIX :chinois:

encore merci :pleure:

sunfun :ouioui:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...