Vous n'êtes pas connecté. (Attention, le login du forum est différent du login membre Vulnerabilite.com. Il s'agit d'un compte différent.) Pour participer au forum, vous devez donc créer un nouveau compte ou vous enregistrer si vous en possédez déjà un.
Bonjour, Je suis en phase de recherche d'un appliance regroupant les fonctions Firewall, AV, AntiSpam, Filtrage URL. J'ai retenue pour l'instant les Fortigate et le Arkoon. Quelqu'un a-t-il une expérience (bonne ou mauvaise) de ses 2 produits, voir d'autres (Juniper, Cisco, ...). Merci d'avance.
Regardes également ce que fait Netasq (www.netasq.fr). Récupère les specs des différents appliances que tu as sélectionné, fais un tableau comparatif des fonctionnalités, coûts, ROI etc. et tu pourras prendre une décision en ayant toutes les billes en main.
N'hésites pas non plus à demander à tester les différents matériels. Je suis certain que M. Caubel se fera un plaisir de te fournir un boitier ISS pendant quelques semaines.
Personnellement, je ne connais pas assez ces équipements pour t'orienter. Désolé.
Par experience et si tu souhaites connaitre les avantages et les inconvenients de chaque produit, je te conseille de contacter chacun des editeurs et de leur demander pourquoi ils sont meilleur que le concurrent.
Apres une premiere passe tu leur demandes de commenter ce que le concurrent a dit a leur propos.
C'est sans doute le meilleur moyen de mettre en avant les benefices et les faiblesses de chacun.
Fortinet a quelques difficultés avec Harald Welte, l'auteur d'iptables/Netfilter cf http://gnumonks.org/~laforge/weblog/2005/04/14 . Comment faire confiance a une société qui triche sur de la GPL ?
Arkoon était basé sur beaucoup de logiciels libres (proxies applicatifs), qu'ils ont packagés à leur sauce. Ils sembleraient avoir fortement revu leur code pour "optimisation" dans leurs dernières versions . Je n'ai pas plus d'information.
NetASQ possède un moteur interne très intéressant pour la normalisation des transactions (grand nombre de protocoles traités), puis le suivi et le filtrage de ces mêmes transactions. On pourra toujours objecter que faire des actions de haut niveau dans le noyau est quelque chose de dangereux. Ils peuvent rediriger les requêtes antivirus, antispam et filtrage de pages sur une machine annexe.
Pour bien répondre à la question, je suggèrerais de préciser la "cible" du produit. Une concentration d'autant de services de sécurité est généralement une mauvaise chose, mais qui peut se justifier dans le cas d'un petit établissement et/ou sans personnel compétent.
Le problème est surtout le degré de protection exigé , si s est un serviece de comptabilité un firewall mandiva surfira (avec un antispam et snort ) si cest du R&D Arkoon est plus sérieux a mon avis
Salut Pit En réponse je dirai que parmi Fortinet, Arkoon, NetAsq il n'y a pas de bon ni de moins pire. La difficulté réside plus dans ce que tu entends pas je veux du FireWall (Les trois sont corrects), de l'AV (HTTP, FTP, POP, SMTP et là tu vas trouver déjà des différences), de l'antispam (tu trouveras aussi des différences parmi ces 3, entre faire de l'antispam avec des RBLs uniquement et avoir des mécanismes un peu plus sophistiqués), du filtrage d'URLs (là aussi il existe des différences sur les 3 marques, entre intégrer des listes "préfabriquées" et intégrer des morceaux de soft OEMisées). Mais au delà de tout celà, avoir toutes ces belles fonctions n'est pas gratuit "pécunièrement" parlant mais aussi sur l'aspect performance de ta machine tout-en-un. Je pense que bien savoir quel est ton besoin est la première question à te poser. Ensuite, tu peux jouer sur une corde sensible car en effet Fortinet a quelques difficultés avec le monde OpenSource qu'il utilise sans en respecter l'éthique, Arkoon et NetAsq sont français (et certifiés tous les deux par la DCSSI). Enfin, si tu comptes mettre en place les mécanismes de détection prévention d'intrusion, tu vas avoir des différences de produit (entre du Snort recarrossé et de la techno propriétaire) mais aussi et surtout sur les performances de ta boite à tout faire, qui peuvent chuter de plus de 50% ........ Voilà simplement mon avis, à utiliser comme bon te semblera A+
Un excellent banc d'essai sur 01 Réseaux n° 154 octobre 2005. Il compare un certain nombre de boîtiers de sécurité multi-fonctions : Netasq, Cisco, Fortinet, ISS et Watchguard.
Encore une fois, la définition claire de votre besoin est primordiale notamment sur la prioritisation des fonctions demandées.
j'ai travailler pendant 4 ans avec des produits checkpoint puis la 1 an avec des produits netasq et je connais un peu les produit arkoon.
Je ne commenterai pas checkpoint mais en matière de sécurité et de réel performance les firewall netasq sont devant arkoon pour des prix qui me semble très proche l'un de l'autre. Je parle de réel performance car arkoon vante les mérites de leur performances mais il est bon de noté que c'est sen l'activation signature contextuel... no coment.
Sket, Ce que tu dis sur les performances est à mon sens vrai aussi bien pour Arkoon que Netasq ou Fortinet. Dans la mesure où les architectures d'analyse et de blocage des flux applicatifs s'appuient sur du microprocesseur et des composants génériques, les performances décroissent rapidement avec la montée en charge (à partir de qq centaines de Mbps). On peut optimiser les perfs avec des algos de type Boyer-Moore (ou en n'activant pas toutes les signatures et méthodes d'analyse...) mais il est difficile de dépasser le cap des 500 Mbps (en flux continu, full configuration et sans perte de paquets). Si la charge est un critère de choix important, il vaut mieux s'orienter sur des solutions a base d'ASICs ou à architecture hautement parallèle. Dans un cas comme dans l'autre, je ne connais aucune solution commerciale de type 'all in one' (par ailleurs, je ne pense pas qu'il existe aujourd'hui des architectures à base d'ASICs ou FPGAs permettant de faire du controle antiviral ou du filtrage d'URLs. Les ASICs sont en général utilisés pour faire une préinspection des paquets pour gagner un peu en perf mais l'analyse est ensuite faite de manière purement logicielle).
(sympa ces forums en plus des news, j'espère que cette première contribution sera utile)
Tev, je partage pour l'essentiel ton avis.
J'ai eu l'occasion de jouer avec les 3 produits pour aider un client dans sa décision. La présence d'un ASIC n'est pas synonyme de performances. Comme tu le signales, l'analyse IPS est faite de manière logicielle, et des boîtiers architecturés autour d'un ASIC peuvent mal se comporter car le processeur hors asic est souvent sous dimensionné (contraintes de cout). Les performances du fortinet chutent de manière très impressionnante dès l'activation des signatures. Je ne retrouve plus le lien, mais sur le net, il me semble qu'un article montre la différence de perfs.
Pit, voilà ce que j'ai retenu de mes essais :
Arkoon et Netasq ont d'autres analyes que les signatures, contrairement à Fortinet. Ils regardent au niveau des protocoles.
Concernant les optimisations pour les signatures, Netasq annonce des performances qui incluent les signatures, et en testant le tout effectivement ca correspond. L'Arkoon annonce des performances Firewall uniquement. A mon avis le choix processeur/mémoire chez Netasq intègre le coût des signatures et pas chez Arkoon.
Netasq utiliserait un algo qui fait que les performances ne dépendent pas de la taille de la base de signatures. Il faudrait te renseigner auprès d'eux.
Un truc que j'avais trouvé sympa sur le netasq, c'était l'autodétection de protocole : tu peux dire que si tu détecte du ssh sur un autre port que ceux que tu as autorisé, tu bloques la connexion. Même chose pour du edonkey. C'est bien pratique pour ne pas se poser de questions.
Dans tous les cas, la meilleure solution est de tester par toi même ou de collecter de la doc et des captures d'écrans. Il ne faut pas oublier l'interface, et là selon moi, c'est le jour et la nuit entre l'arkoon et le netasq, l'interface netasq est beaucoup plus conviviale, l'édition des politiques de filtrage est un vrai petit bijou (notamment lorsque tu es mal réveillé, l'interface te prévient directement de règles inutiles ou redondantes).
pour l'antivirus, je n'ai pas pu tester, mais d'après les docs tu as 2 écoles :
Fortinet : antivirus interne : protège contre une liste de virus actifs uniquement (wild list) (perso j'aurai pas confiance). Ils ont perdu un procès récemment aux états-unis à ce sujet pour violation de brevet
Arkoon : propose l'antivirus Sophos
Netasq : propose l'antivirus Kaspersky
Pour t'aider, 01 a publié un comparatif le mois dernier, cela peut t'aider :
Voilà, j'espère être complet. Pour conclure, méfies toi des avis sur le net (y compris du mien) et essaie de te forger ton opinion sur des faits. Ce que je dis doit être vérifiable facilement, le test des journalistes est censé être impartial. Poses des questions directes à tous les vendeurs qui t'intéressent et analysent leurs réponses.
Bon j'suis du côté sombre de la force, je bosse chez Fortinet depuis 2 ans...
En gros, j'vais pas vous fluter, mais je me poserais deux questions : Si vous faites un choix de techno du type UTM (le cumul du Firewall, Ips, AV etc...), afin de ne pas prendre de risque prennez le leader dans cette section.. Cad nous depuis 3 ans (donc avant et après les pbs Gpl et autres). La seconde chose est simple : Veuillez vérifier les résultats financiers des boites...ils sont souvent révélateurs de la durée de vie et de la qualité du dev pour le R&D....
Bref, si vous voulez + d'infos, je vous invites à me contacter (le mail)..
On ne cherche pas un langage Marketing sur ce forum, mais un langage technique et des conseils afin de répondre aux attentes des personnes qui souhaitent acquérir une solution UTM et faire le bon choix en fonction de :
- leur budget - leur infrastructure - leurs besoins - leurs ressources (humaines, techniques ...) - leurs évolutions - leurs contraintes - l'existant etc.
On est pas là pour dire qui a le meilleur UTM, qui a des problèmes de trésorerie ou qui a levé 50 Millions de dollars. La santé d'un fournisseur (a court, moyen et long terme) est de toute facon un critère que les clients prennent en compte.
Si tu souhaites dérouler ton argumentaire de sale, évites de le faire ici. Mais si tu souhaites réellement apporter du concret par rapport aux technos fortinet, alors fais en profiter tout le monde. C'est le but du forum.
Force est de constater que la discussion traîne et on ne sait toujours pas si une réponse a été trouvée à la question du choix d'un UTM. Retrouvons-nous au salon de la Sécurité au CNIT les 23 et 24 novembre prochain. Pour ma part, ISS sera présent et nous avons des interlocuteurs qui sauront parler technique pure en fonction du besoin précis.
Si tu as du temps (c'est ce qui coute le plus cher par les temps qui courent), teste ce petit montage: Tu chaines un Arkoon, puis un Fortinet et un NetAsq et tu balances des attaques ..... ensuite tu fais le comptage des points sur qui a vu quoi. Après un petit bench de performances avec et sans IDS (il est vrai que le test est important) avec et sans VPN tu devrais finir par avoir une opinion produit ....... mais çà ne voudra pas dire que tu as résolu tes problèmes (qui j'espère sont résolus depuis ton premier message de fin Septembre) car il faut savoir si tout celà couvre tes besoins et tes contraintes. Maintenant dire du mal ou du bien de tel ou tel produit çà peut aider. Pour finir, je reviendrai sur un message simple: Et pourquoi pas un bon vieux FW en OpenSource ??? çà marche aussi pas mal !!
Pour info et pour la petite remarque de Pascal la technololgie ASQ de netasq est la depuis 1998.
"Si tu as du temps (c'est ce qui coute le plus cher par les temps qui courent), teste ce petit montage: Tu chaines un Arkoon, puis un Fortinet et un NetAsq et tu balances des attaques ..... ensuite tu fais le comptage des points sur qui a vu quoi."
C'est la meilleur des solutions si tu as des résultats ça serait trés interressant mais je met ma mains à coupé que le netasq reste en therme de sécurité.
Sket, Je vois où tu veux en venir mais tu n'auras pas les résultats, sinon je me ferai botter le Q par le père Cédric (à qui je passe mon bonjour) car il me semble que c'est contraire à l'éthique du forum..... mais il est évident que l'ordre des FW dans ce test est important. Si tu veux mon avis perso sur l'ASQ, je trouve que c'est très bien voir même trop bien pour ne pas dire que çà finit par être un peu chiant car çà arrête un peu trop de choses et même ce qu'on ne veut pas. D'ailleurs, et je suis sur que tu l'as déjà fait, tu peux télécharger gratuitement l'agent PC ASQ sur le site de ce constructeur, çà te donnera une idée ..... Mais je dis et je répète, il n'y a de bon matériel que quand on sait ce qu'on veut faire (et surtout ne pas faire). Après rouge, bleu, noir ..... ce n'est qu'une affaire de couleur ...... et de prix !!!!
fortinet et arkoon s'apuis sur les signatures développé part snort. Depuis le rachat de snort on ne sais comment sera le futur des ces firewalls. Si quelqu'un à des infos ?
D'après ce que je sais fortinet nie complêtement s'appuyer sur la base snort. Pour Arkoon, les signatures sont visibles et effectivement, s'il y a une référence snort, la signature est identique.
Exact NetAsq développe ses propres signatures et son propre moteur de détection / Prévention d'Intrusions Arkoon est franchement Snort Fortinet nie sans doute (peut être est ce du à ses récents déboires avec l'OpenSource ???), mais les similitudes sont assez flagrantes ..... Maintenant ils font peut être leur propre soupe, histoire de ne plus être embarqué dans des procés ..... Mais là je ne connais pas assez précisemment le produit pour en dire plus. En bref, les 3 produits ne sont pas mauvais, mais tout dépend de ce qu'on veut en faire !!!!!
FORTINET a été créé par Ken Xie, Ancien Fondateur et PDG de NetScreen : accompagné de son frère Michael, Joe Wells (président du Warlab TrendMicro et PDG de la Widlist) et des Ingénieurs du MIT à l’origine de SNORT (Détection d’intrusion).
