Firewall prosumer : flexibilité ou facilité?

Joon

Joon

Squadeur.
Salut les gars!

Suite à la news sur le pfsense de @Sebulba plusieurs questions me viennent (et m’obsèdent presque) étant en plein dedans pour l’instant.

Je préviens tout de suite, plein de sujet sur le même gros sujet global m'intéresse d'un point de vu pro, mais aussi perso !
Bref, y’a de quoi discuter.

Dans ma vie pro, j’ai bosser avec plein de solutions de firewalling/routeur, qui m’ont forcément influencé le plus souvent pour les choix de mes clients TPE ou indépendant.

Je vous les cites par ordre de préférence (non objectif) :
  • Stormshield: simple et rapide, mais manque de fonction,
  • = pfsense : complexe et long à mettre en place pour qu’ils soient efficaces, manque de fonctions « NG » de base, mais beau kit d’applications utiles.
  • = ubiquiti: jamais utilisé en tant que pare feu, mais bien switch et wifi et c’est franchement simple et bien foutu.
  • Fortinet: bien, le standard.
  • IPtables/shorewall : je commence à être un vieu moi, j’aime les trucs à l’ancienne :D nah, c’est parce que ça a tjrs sont utilité.
Ceux que j’aime pas:
  • Sophos XG: a cause de leurs politique
  • palo alto : plein de trucs bien, mais pas clair entre les différentes fonctionnalités, qui se croisent et monitoring ne reflètent pas où se situe les blocages.
  • zyxel: pare feu bien inutile.

Je ne compte pas les routeurs mignon tout plein du grand publique, qui forcément ne sont pas très avancé ou à des budgets supérieur à 10k qui demandent de toute façon une personne dédiée pour la configuration.

C’est plus de pare feu pour entreprise entre 5 et 500 personnes.

Et vous? Vous bossez avec quoi?

En prenant en compte la taille de la boîte, Si/quand vous bossez avec des solutions de ce type, vous:
  • Utilisé quel produit?
  • content? Pas content?
  • vous en avez benchmarké plusieurs?

Par exemple:
là j’ai dû me « retaper » la reconfiguration d’un pfsense un peu… que j’appellerais trop permisif et beaucoup d’ubiquiti pour la partie matériel, voici mon retour:
(boîte de 100 personnes)

PFsense:
  • Open source, ok, j'adhère à 100%
  • Bosser régulièrement, ok, si c'est pour des infrastructures simple, je me suis souvent surpris à vouloir retourner en ip tables directement.
  • Outil professionnel, oui, mais pour des indépendants ou des TPE sans trop de complexité justement
  • pas d’analyse des paquets de base
  • systeme de règles par interface un peu moisi.
Je l'utilise (très) souvent, dans le cadre de mon travail, c'est une VM vite prête et hop, t'as un petit réseau tranquille. Mais c'est vite le bordel avec des menus pas forcément cohérent les un envers les autres et plein de petits trucs qui font qu'il me saoul vite et je passe vite "en mode manuel"

Ubiquiti:
Récemment, j'ai (re)découvre la console de Ubiquiti, en version 6, puis 7 et c'est impressionnant les progrès qui ont été fait.
Autant les v3/4 étaient pauvres tout en fonctionnant mal, la 5 a bien stabilisée la console, mais manquait de fonctionnalités.

Pour moi, c’est un peu un Pfsense en mode Apple.
C'est facile à utiliser, se complète de plus en plus depuis des années et est relativement efficace, avec des prix très correcte pour les fonctionnalités proposées et une communauté énorme.
Seul grief: le support client.

Mais en même temps, c’est très regulier d´avoir des supports clients peu utile de nos jours et en plus, quand t'as l'habitude des produits opensource comme moi, t'as appris à te débrouiller.
Surtout qu'Ubiquiti ne se cache pas d'utiliser plein de produit opensource que je configurais à la main avant.
Ubiquiti, c'est le matériel et configurer hyper simplifier de ce que je fais avec de l'IaaC maintenant.

Du coup, qu'est ce que tu/vous en pensez?
votre retour d'expérience sur PFSense et Ubiquiti?


Tiens, Questions plus large d'ailleurs:
  • Vous faites de l'IPS/IDS avec?
    Si oui, avec Suricata?
  • Est-ce possible d'ouvrir les paquets HTTPS/TLS1.2 et 1.3 avec votre IPS sans le redéploiement d’un certificat?
  • Vous faite du Load balancer/failover de connexion?
  • Vous faite de la QoS?

Sujet différent qu’à l’accoutumée et sincèrement avoir le retour et vos avis sur la question !
 
Dernière édition:
Sebulba

Sebulba

Dieu
Staff
Pour ma part pfsense, passke Freebsd , passke stable.
Je fais de l'infra, doc tout ce qui est applicatif je m'en fous un peu.
J'ai déjà fait de la HA avec (c'est intégré), a l'epoque avec des boitiers ARM fanless (du arm ou de l'intel fanless). Liens croisés, deux WAN, deux switches.
Les boitiers qu'ils vendent eux meme sont intéressants d'ailleurs.
La possibilité de backup 4G est aussi bien facile à intégrer.

Jamais fait de qos. (passke professionellement c'est pas mon probleme) mais c'est intégré.
Par contre tu as ntopng pour l'analyse de paquets et des flux.

Je connais des sociétés a 200M/EUR/an qui tournent intégralement en pfsense, que ce soit pour leur intranet ou leur cloud (PaaS vmware).

Savoir que j'ai le même chez moi, et pour pas un balle, je trouve ca sympa.
 
  • J'aime
Les réactions: Joon
blackjack55

blackjack55

Elite
J'ai plutôt une expérience avec Check Point mais ca rentre pas trop dans le scope TPE/PME, pour les sites distants, je travaille avec des Meraki MX donc je vais pouvoir donner un petit avis dessus.
Tl;dr c'est ubiquiti en mieux mais plus cher
Sinon,
les +
  • Gérable depuis une "console" cloud, l'interface est très très user friendly, tu peux déployer ca chez un client les yeux fermés
  • possibilitées SD-WAN
  • Deploiement plug and play, le firewall récupère sa config depuis le Cloud Meraki
  • Toutes les fonctions NGFW
les -
  • La seule manière de voir les logs Firewall est d'envoyer ca sur un syslog server :/
  • Une fois la license finie, tu ne peux plus rien faire avec
  • et le plus chiant à mes yeux, c'est une black box avec un système très fermé donc pour les incidents c'est pas toujours facile, il y'a certes pleins d'outils sur la console pour troubleshoot à distance mais c'est pas folichon
  • souvent des décalages entre ce qui se passe à l'instant T et ce qui est affiché sur l'interface cloud Meraki
 
  • J'aime
Les réactions: Joon
@lex

@lex

Elite
J'ai commencé avec pfSense, puis je suis passé en ARM fanless sous OPNSense, le petit fork hollandais de pfSense.

Je suis très content d'OPNsense, que je trouve plus clair à configurer que pfSense.
 
1er
OP
Joon

Joon

Squadeur.
Sebulba a dit:
Pour ma part pfsense, passke Freebsd , passke stable.
Je fais de l'infra, doc tout ce qui est applicatif je m'en fous un peu.
J'ai déjà fait de la HA avec (c'est intégré), a l'epoque avec des boitiers ARM fanless (du arm ou de l'intel fanless). Liens croisés, deux WAN, deux switches.
Les boitiers qu'ils vendent eux meme sont intéressants d'ailleurs.
La possibilité de backup 4G est aussi bien facile à intégrer.
Cliquez pour agrandir...
Mon métier initial est l'infra aussi, puis l'un m'a demandé de faire une petite presta sur du tel produit "va y, c'est simple, tu verras ! tu vas adorer, c'est un nouveau challenge!" puis maintenant je m'occupe de cette partie là aussi. Et pour l'instant, tant que je ne m'aurai pas sorti ça de la tête, je ferai pas d'infra, je me connais :D
Pourtant un super projet m'attend en terraform pas loin !

Sebulba a dit:
Jamais fait de qos. (passke professionellement c'est pas mon probleme) mais c'est intégré.
Par contre tu as ntopng pour l'analyse de paquets et des flux.

Je connais des sociétés a 200M/EUR/an qui tournent intégralement en pfsense, que ce soit pour leur intranet ou leur cloud (PaaS vmware).

Savoir que j'ai le même chez moi, et pour pas un balle, je trouve ca sympa.
Cliquez pour agrandir...
OK, alors peu être aussi pour les toutes grosses boites. Mais alors je ne pense pas que ça soit de la même façon qu'ils l'utilisent, peu être en full ligne de commande?
Je sais pas, ça me parrait tellement relou comparé à d'autre solution franchement pas chère qui marche bien. (je pense toujours à Ubiquiti, même si j'ai encore une fois pas testé la partie fw)

blackjack55 a dit:
J'ai plutôt une expérience avec Check Point mais ca rentre pas trop dans le scope TPE/PME, pour les sites distants, je travaille avec des Meraki MX donc je vais pouvoir donner un petit avis dessus.
Tl;dr c'est ubiquiti en mieux mais plus cher
Sinon,
les +
  • Gérable depuis une "console" cloud, l'interface est très très user friendly, tu peux déployer ca chez un client les yeux fermés
  • possibilitées SD-WAN
  • Deploiement plug and play, le firewall récupère sa config depuis le Cloud Meraki
  • Toutes les fonctions NGFW
les -
  • La seule manière de voir les logs Firewall est d'envoyer ca sur un syslog server :/
  • Une fois la license finie, tu ne peux plus rien faire avec
  • et le plus chiant à mes yeux, c'est une black box avec un système très fermé donc pour les incidents c'est pas toujours facile, il y'a certes pleins d'outils sur la console pour troubleshoot à distance mais c'est pas folichon
  • souvent des décalages entre ce qui se passe à l'instant T et ce qui est affiché sur l'interface cloud Meraki
Cliquez pour agrandir...
Ha, super, merci pour ton retour !
J'ai déjà eu du Meraki à remplacer et beaucoup me disent la même chose: ça commençait à couter trop chère en maintenance, alors on à dû l'arrêter.
Quand tu commences Meraki, tu restes bloqué meraki.
C'est bien infecte comme politique... Pour moi ça serait rédhibitoire et ne le proposerait jamais pour ça. S'il est là et que je ne dois pas gérer le service, alors OK.

CheckPoint, j'aime bien également, mais là c'est pas les mêmes budget comme tu dis, c'est le milieu de la grosse entreprise.

@lex a dit:
J'ai commencé avec pfSense, puis je suis passé en ARM fanless sous OPNSense, le petit fork hollandais de pfSense.

Je suis très content d'OPNsense, que je trouve plus clair à configurer que pfSense.
Cliquez pour agrandir...
OK, merci pour ton retour !
J'en ai beaucoup entendu parlé, mais je ne l'ai jamais testé.
Tu pense que c'est suffisamment puissant/stable pour faire du pro?

Tiens et ce fameux "MikroTik", vous en avez déjà testé?
 
Thibz

Thibz

Elite
Kezako un firewall prosumer? Utilité?
 
1er
OP
Joon

Joon

Squadeur.
Prosumer = la contraction entre professionnels "pro" et particuliers consommateur "consumer"

c'est des produits qui fonctionne aussi bien pour des particuliers exigeants que des PME, mais pas vraiment pour de plus grosse entreprise
 
@lex

@lex

Elite
Joon a dit:
Tu pense que c'est suffisamment puissant/stable pour faire du pro?
Cliquez pour agrandir...
Oui.

C'est un fork de pfSense d'il y a environ 5 ans.
C'est très stable, avec des mises à jour fréquentes.

Vu les commentaires sur le forum dédié, je pense que c'est aussi utilisé dans des environnements pro.
 
Sebulba

Sebulba

Dieu
Staff
Je confirme avoir travaillé avec OPNsense moi même, je l'avais oublié, c'est ce que j'ai mis pour les clients (ou les clients de mon client dans mon cas) qui sont moins technophiles.

Faut quand même bien prendre en compte ce qu'est OpenBSD ( dont je peux confirmer qu'il est utilisé activement en firewalling dans des institutions soumise à du hacking étatique, dans le domaine des arnes, etc, bref des gens qui plaisantent pas), FreeBSD (moins parano que OpenBSD mais plus accessible) et ce que représente un firewall opensource basé sur de pareilles plateformes (free ou openbsd).
Ca veut dire une plateforme d'une robustesse totale, sans compromis, sans chichis, et bien sûr atrocement chiante à configurer.
 
Acertia

Acertia

Coucou gamin
Plus de 10 ans sous PFSense. J'ai commencé sous IPCop puis un truc payant basé sur de l'open source Alto ou qqch comme ça. J'ai aussi bossé sur du ubiquiti ERX pour les micros sites et du DDWRT.

En résumé, je bosse pour des PME et TPE à la Belge donc des sites de 150 à 2 users. Mon souci avec PFsense c'est pour les micro users genre petit indépendant à domicile. Taper un appliance + 1 antenne à la place d'un boitier ça fait desuite un budget. Si non pour les sites plus importants ça tourne nikel. J'aime installer sur des configs de PC, ainsi en cas de panne d'une pièce je ne dois pas faire appel au support garantie etc, je trouve du stock sans souci et rapidement.

Je gère plusieurs petits business center avec ça, multi wan et multi vlan... une fois qu'on a pris ses habitudes ça roule.
Certains outils pourraient être plus modernes comme l'alerting/monitoring, le suivit de gateway WAN qui devrait être multi factoriel (ping IP+ping DNS+ ping différent points + différents protocols + intégrer volume bande passante + pertes etc...)

Perso les trucs trop cloud pour de l'infra, je ne suis pas à l'aise avec ça, big brother, parano etc surtout chez les autres. Puis je me dit que sur un problème/mal entendu/une malveillance ton compte cloud est bloqué ou tes données utilisées à ton insu... (chacun son avis, pas de polémique mais échange bienvenu)
 
Sebulba

Sebulba

Dieu
Staff
Le sujet est très vaste et doit consterner le lecteur de GamerZ et je m'en excuse.o_O
En gros pour une seule "demande" (firewalling/nat) on a des clients qui ont des problématiques complètements différentes.

Entre typiquement la PME (je prend l'exemple du bureau de compta) dont l'essentiel du soucis est d'avoir une ligne qui tourne tout le temps, et parfois de fliquer si les gesn bossent ou téléchargent du pron

Et a l'extrème opposé du spectre le client qui vend des fusils d'assaut et qui est soumis a du hacking étatique chinois, et j'ai vu de mes yeux un de ces profils m'expliquer qu'il relisait lui même en diagonale le code source de Apache sous OpenBSD (what else) avant de le compiler (what else) sur une autre machine (what else). Ils se fournissent aussi en matos via des sociétés écran, hors de question d'utiliser un serveur qui aurait été livré à leur nom (crainte de ROM/iDRAC/ILO modifiés).

Bref le besoin "firewalling" couvre un spectre de problèmes hyper vaste.
 
Connectez-vous pour réagir !
Haut