[Resolu, mai bon ke meme...] Configuration NETASQ F200

Pause Café
#1

IOP,
je suis en train de verifier la configuration de mon NETASQ F200 (installer par des tech de FranceTelecom (LOL, des vrai brelle, il etait a 2 pendant 2 jour et se son fai aider par l’exterieur, et il on kazi rien configurer)).
Et y a un truc qui me taraude (taraude = tracasse), il on essayer de m’nbrouiller un peu les gars de FT pour pa mal de choze…, et il affirme qu’etant donné qu’il y a l’ASQ sur les NETASQ, on peu activer dans le filtrage la regle Pass_all et que mon reseau est protégé a 100%. Ca me parait quand meme bizar, je sui pas un pro des firewall du tout mais qui peu me confirmer qu’il ne se trompe pas chez FT…

Voici une doc du NETASQ netasq.com/_pdf/na_tds_ASQ_0605_V6_fr.pdf
et un screenshot du pass_all… img402.imageshack.us/my.php?imag … onfhx5.jpg

Merki

#2

Ce sont soit des ignares, soit des menteurs (déjà, petite haine gratuite, parcequ’ils sont recrutés sur ce critère chez FT), car le seul moyen de protèger à coup sûr un réseau en entrée, c’est de couper le cable. Dans l’absolu, un lien externe n’est jamais fiable à 100% quelle que soit la protection qu’on met.
Ensuite, je ne connais pas ce netasq , ni son interface mais autant le simple terme ‘pass_all’ que l’image d’interface que tu montres ressemble plus à un pare feu configuré pour tout laisser passer que le contraire.
AMA, tu as dû être sur leur dos un peu trop longtemps et ils ont décidé de se foutre de ta gueule.
Peut être qu’ils croient que le fait que Netask annonce que son truc sait reconnaitre un flux légitime d’une attaque tout seul (comme si on pouvait reconnaitre une tentative de connection ssh venue d’un hacker de celle d’un utilisateur légitime rien qu’en regardant ce qui passe) et sans mise à jour (comme si le fait que ça ne repose pas sur une base de signature des attaques signifiait que c’etait forcément mieux) permet de se passer d’une vraie config de pare feu, mais c’est soit qu’ils ont la flemme de le faire, soit qu’ils sont totalement nuls.

Ils doivent repasser pour vraiment installer un filtrage et faire ce boulot de débutant ?

#3

Merki de ta reponse,
Ben en faite je leur ai telepphoner (au tech qui installe les netasq…), il m’on dit que l’installe etait OK, donc il ne vont pas repasser…
Ben sinon je les fait repasser mais il faut encore que je leur paie une prestation (de merde)… ca c’est negatif. J’ai telephoner a un gars qui a une boite (qui installe des netasq) et il vien mardi, on va reconfigurer mon netasq…
Et t’en qu’a faire, est ce que ca peu servir que je fasse un dossier qui prouve leur incompetance, et que j’ai été exposé a un gros risque? au moin pour qu’il reffase toutes leur conf sur les entreprises ou ils on installer des netasq, et meme pour moi (leur faire cracher du pognon… et combien? lol).

Merki

#4

Si ton gars qui connait les netasq te confirme ce que j’ai présumé, peut être. Mais je ne sais pas trop, je suis particulièrement allergique aux procedures donc je n’y connais rien.

#5

Bizarre, ça a l’air d’un système qui se veut repérer un paquet anormal parmi d’autres paquets. Visiblement, ils sont plus axés sur la protection des serveurs WEB et FTP en essayant de repérer les paquets anormaux. C’est envisageable (on regarde les données et un filtre Bayesien peut voire rapidement si une chaine de paquets est anormale) mais c’est un système qui complète un parefeu (en protégeant un serveur Web d’un vers genre Opaserv par exemple). De plus, c’est par définition complètement inefficace sur les communications cryptées donc sur https par exemple. Par contre je serais curieux de voir si ça marche vraiment.

[edit: Si vraiment c’est ça, on peut concevoir que laisser les ports ouverts est envisageable, ça revient à faire confiance à ce dispositif. Dans ce cas, le technicien n’a pas fait de faute professionnelle (mais à mon avis se berce d’illusions)]
[Reedit: apparemment, c’est plus basique: il faut que les paquets soient bien formés, prévention des scans et autres, ça me parait trop basique pour être sur. Par exemple, une injection SQL ou une exploitation d’une faille include de PHP utilise des URL parfaitement conformes qui ne devraient pas être filtrées…]

#6

Merki, ben j’espere quand meme qu’il son movai chez FT, (il me fon chier depui un bon momen et j’ai envi de les emerder…).
Mais bon meme avec leur fammeuse technologie ASQ… c’est vachement dangereux de tout laisser passer dans tous les sens… nan?
Imaginon qu’un gars dans ma boite chop un trojan (un truk du genre), ben ca serai pa trs dificile de me pirater mon LAN… nan?

Merki

PS : Voici une page du manuel NETASQ…

img136.imageshack.us/my.php?imag … qhtmv3.jpg

#7

ouais tu as raison de te poser la question, parcequ’effectivement tu es sans parefeu. Même sans attaque à proprement parler, n’importe qui peu faire des choses qui peuvent paraitre légitimes (regarder les partages sur tes machines, s’y connecter à distance pour les machines qui on cette fonctionalité d’activé pour la maintenance.
Donc maintenant, c’est à toi ou à ton pôte spécialiste de bloquer tout, et à toi seul de juger de ce dont tu as besoin comme exception à ce bloquage systêmatique (http ? ftp ? autres ? provenance et destination ? ).

#8

Le firewall netask, c’est du *BSD sous leur interface de configuration en java. Connecte-toi en console SSH, c’est plus simple pour vérifier la configuration de PF. :slightly_smiling:

#9

Je savai pas que c’etait du java…
Mais j’y connai rien du tt en BSD :’(…
En parlant de ca, les tech FT quand il son venu installer le firewall il me disai que c’etai du linux dessu et moi je leur disai que non, que c’etai du BSD… et il connaissai pas le terme “BSD”…
mouai mouai…

Sinon je supose qu’a chaque foi k’on fai une modif, par exemple au niveau du filtrage… tt est enregistrer dans des fichier de log. Il est ou celui qui concerne les activation des regles de filtrage ??

#10

connectes toi en ssh, tu verras les logs (je ne peux pas t’aider je ne connais pas BSD), mais sinon, AMA, c’est surtout une sauvegarde régulière de la config, plus qu’un suivi de l’évolution, qu’il faut faire

#11

En faite c’est pour prouver leur connerie a FT que je veu voir les log…
Ensuite je vais me faire une sauvegarde par semaine, ainsi qu’une sauvegarde avant chaque manip…

#12

Passer à des équipements de sécurité de la marque Clavister, c’est ce qu’il y a de mieux technologiquement aujourd’hui ! Noyau de moins de 2Mo (“philosophie” Linux mais basé sur AUCUN OS connu)

A+

#13

[quote=“qual-IT”]Passer à des équipements de sécurité de la marque Clavister, c’est ce qu’il y a de mieux technologiquement aujourd’hui ! Noyau de moins de 2Mo (“philosophie” Linux mais basé sur AUCUN OS connu)

A+[/quote]
Le problème n’est pas le boîtier mais plutôt l’ignorance des techniciens de FT supposés l’installer correctement.
Peut-être faudrait-il contacter le support du constructeur ?

#14

Disclaimer : même si je travaille chez NETASQ je n’ai pas vocation à faire de
l’évangélisation sur des forums ou encore de la publicité. Je vais donc limiter
mon post pour donner des informations objectives.

Bonjour à tous,

Les boîtiers NETASQ sont des produits de sécurité qui combinent notamment
les fonctions de Firewall (au sens filtrage de paquet) et prévention d’intrusion (pour les autres fonctions, voyez le site si cela vous tente).
Ces 2 fonctions sont réalisées par le moteur ASQ qui comprend notamment un module
noyau (pour des raisons de performances).

Le principe de la prévention d’intrusion est d’analyser le trafic autorisé (web,ftp, dns, etc.). Pour faire cela le moteur ASQ combine plusieurs analyses :
netasq.com/fr/solutions/technologie-asq.php

Comme dit dans ce forum une analyse de conformité du protocole http ne va pas détecter des failles PHP ou SQL Injection. Cependant la “normalisation” des données avant d’effectuer d’autres analyses permet d’éviter les techniques d’évasions qui accompagnent ces attaques.

J’arrête là sur cet aspect et je reviens sur les informations importantes du poste :

  • la politique de filtrage “pass all” n’est absolument pas une politique de filtrage sécurisée puisqu’elle équivaut à ouvrir toutes les portes sur son réseau. La prévention d’intrusion permet d’analyser les flux autorisés. Elle est évidemment une couche de sécurité supplémentaire qui s’ajoute aux règles de bon sens (segmentation et règles de filtrage).
  • pour rassurer tout le monde, la politique par défaut bloque tout sauf quelques flux nécessaires à la première configuration et ce uniquement sur l’interface interne
  • Nous n’utilisons pas pf :wink: rien de philosophique, mais pour faire la prévention d’intrusion dans l’ASQ il est nécessaire de réaliser également le filtrage stateful dans le même module.
  • pour voir les éventuels problèmes ou les traces des applications sont fournies : un moniteur temps-réel (Monitor), et un outil d’analyse des traces (reporter) qui sont probablement plus intuitif qu’un cat|grep des fichiers en brut. Depuis le manager : menu application
  • La capture d’écran est en version 6.3, la version 7.0 doit être disponible depuis votre espace client, de même qu’une base de connaissances :wink:

Voilà une explication qui j’espère apporte juste ce qu’il faut de détails.

Jeremy
NETASQ
p.s : juste un avis personnel pour conclure : je travaille depuis des années avec les services de France Telecom (technicien, support) et dans leurs équipes il y a de vraies pointures, alors même si la configuration “pass all” ne me plait pas du tout, j’imagine que ce cas est l’exception plutôt que la norme. J’ai un bon indice pour cela, si ce n’était pas le cas, notre support hurlerait :wink:

#15

Merci des précisions. Finalement ça conforte un peu ce qui a été dit: la configuration mise en place est curieuse, la technologie est plutôt une technologie de complément d’un parefeu classique en surveillant la conformité du traffic à un traffic dit «normal», la configuration mise en place par les techniciens de FT est anormale, il semble que ça soit un cas particulier.

Par contre, deux points m’intéressent, est ce que NETASQ développe une analyse du traffic qui s’adapterait à un serveur donné et donc s’éduquerait (sur le mode de règles Bayésiennes)? et Comment se passe l’analyse du traffic https (ASQ laisse passer ou bien ASQ se met au milieu ce qui me parait dur à réaliser)?

#16

Merci Jeremy.
AMA, ta vision de FT est déformée par la clientèle des produits auxquels tu bosses. Vos clients directs ou indirects ne sont pas l’artisan moyen. FT met surement ses meilleures compètences sur les moyennes et les grosses boites et salement moins sur le particulier ou les microbusiness que j’ai pu avoir à équiper, parceque je n’y ai pas rencontré beaucoup de gars compètents.

#17

La prévention d’intrusion est effectivement un “complément” puisqu’elle analyse le trafic autorisé par le pare-feu (filtrage de paquet stateful). Dans notre cas, L’ASQ regroupe les 2 fonctions (filtrage de paquet stateful et prévention d’intrusion), mais fait plus que de la simple conformité (notamment des analyses statistiques, plusieurs bases de signatures liées à des contextes protocolaires, …) Il y a de l’information sur le site, je risque de dévier vers de la pub si je continue. L’analyse de conformité (RFC)uniquement serait insuffisante.

[quote=“fran.b”]
Par contre, deux points m’intéressent, est ce que NETASQ développe une analyse du traffic qui s’adapterait à un serveur donné et donc s’éduquerait (sur le mode de règles Bayésiennes)? et Comment se passe l’analyse du traffic https (ASQ laisse passer ou bien ASQ se met au milieu ce qui me parait dur à réaliser)?[/quote]

On peut adapter des paramètres de l’analyse à un serveur (taille autorisée d’URL, protection SQL Injection, …) mais il n’y a pas d’adaptation automatique. Sans rentrer dans les détails, la plupart de ces protections qui “s’adaptent” se contournent de manière triviale. Par contre des profils d’analyse différents sont appliqués pour le trafic “sortant” (depuis un réseau protégé vers un réseau non protégé) et pour le trafic “entrant” (depuis un réseau non protégé vers un réseau protégé). Plusieurs raisons à cela, notamment éviter des fausses alertes (site publique qui prend des libertés avec les normes) et adapter l’information de sécurité remontée (un XSS sur une connexion vers Internet est différent d’un XSS sur un serveur interne).

Pour l’https, nous ne proposons pas pour le moment d’analyse “man in the middle” (consommation importante de ressources pour des produits périmétriques, obligations en terme de protection de la vie privée, etc.).

Il y a une analyse du flux SSL qui permet notamment les choses suivantes :

  • détection d’un trafic “en clair” après une négociation de flux chiffré (typiquement des proxys SSL qui par souci de performance basculent vers du trafic en clair)
  • refus des chiffrements trop faible (configurable)
  • détection et blocage de proxies SSL
  • détection et blocage de Skype Over SSL

Jeremy

#18

Merki pour toutes cse precision, j’ai configurer mon Firewall correctement avec un gars qui install des Netasq…
On va voir ce qu’il en disent chez FT…
Mais c’est bizard y a mon commercial Ft qui me arcelle depuis tres peu de temps…
J’ai telephone a netasq lundi… et je leur ai exposer on probleme… il on voulu prendre le nom de ma societe, mon nom, etc… Peut etre que l’info est remonter jusqu’a chez FT LoL…
Affaire a suivre!

PS : on est une boite d’environ 200 personne

#19

Au faite dans le reglage il faut regler le service FTP… y a les ports 20 et 21. J’ai pris connaissance de leurs utilisation mais faut il activer les deux… j’ai l’impression que ca marche juste avec le 21…

Merki

#20

J’ECRIT EN GRAS!!!

JE TENAIT A MéEXCUSER AUPRES DE FT, J’AI ETE MECHANT "EN DISANT QUE C’EST DES BRELLES…ETC). J’AI DIS CA SOUS LA COLERE (BEN OUI JE SUIS GARANT DE LA SECURITE ET DE L’INTEGRITE DES DONNES DANS MON LAN, SI PBM C’EST MOI KI RAMASSE).
LA CONFIGURATION EST MAINTENANT OK (BY MOIME + SSII), ILS M’ONT MEME PROPOSER DE REVENIR FAIRE LA CONFIGURATION, PERSONNE N’EST BlANC OU NOIR DANS CETTE AFFAIRE (ERREUR DES DEUX COTE).

EXCUSER MOI ENCORE DE MON EMPORTEMENT

PS : LE PASS_ALL EST PAS UN BON MOYEN DE SECURITE… LoL