Bonjour,
Je voudrais savoir si l’un d’entre vous dans le cadre pro a eu l’occasion de bosser sur pfsense et untangle (arista) et ce qu’il en a pensé.
J’ai un tropisme pour pfsense car il est très facilement installable par contre j’ai des doutes sur untangle.
Perso j’ai eu l’occasion de surtout bosser sur des serveurs pfsense (en opensource - sinon forti en prop).
Merci
J’utilise Pfsense et Opnsense régulièrement (le deuxième est en train de remplacer de vieux linux avec lvs, keepalived et iptables).
Pour Arista c’est cher et je n’y ai touché que très peu et seulement en CLI, par contre c’est du bon matériel.
J’ai mis arista car le site untangle renvoie vers ce site.
P/r aux produits Netgate c’est sûr c’est très cher
J’utilise OPNsense comme box depuis 2019 (la livebox est au fond d’un tiroir).
Avec PfSense j’ai mis en place une infrastructure pfsense multi lien internet et multi provider avec équilibrage de charge et bascule automatique.
Ca marche plutôt bien, opnsense est un fork de pfsense.
Le seul bemol que je leur ai trouvé ce sont les logs. Leur traitement via l’interface n’est pas géniale.
personnellement je suis en phase de tests pour remplacer mon opnsense par une debian.
Arista c’est effectivement cher à mon gout. Mais au départ ça a été développé principalement pour des infras low latency pour le milieu financier.
Bonjour,
Pour ma part, côté perso, j’utilise OPNsense que je trouve bien mieux construit que Pfsense (je botte en touche sur Untangle car je n’accorche pas au discours commercial associé). Si OPNsense a commencé comme un fork de Pfsense, il en est aujourd’hui très éloigné (base FreeBSD différente, gestion des màj mieux gérer et plus régulière sur OPNsense, etc).
Pour du professionnel, il me semble important de se questionner sur le niveau de sécurité nécessaire. En France, ni Pfsene, ni OPNsense ne sont des solutions qualifiés, ce qui doit interroger le décideur en entreprise selon le niveau de protection recherché.
Bonne journée 
Lorsque tu parle de qualifié qu’entends-tu par là, car en générale pour rentré sur la liste de l’ANSI faut avoir fais des pieds et des mains pour le reste ne générale c’est payant pour être sur des listes de pseudo garanties de sécurité.
Cisco, Forti et consorts ne sont pas plus sécure de base, j’ai roulé ma bosse sur des tas de produits allant du firewall en solutions physiques/virtuelles jusqu’à des solutions datant du trias et franchement le maintient en conditions opérationnel à jour et régler correctement c’est déjà une bonne chose.
J’imagine mal la communauté BSD (free ou open) laisser des trous béant de sécurité sans patchs, quant au applications tierces installées Opensense les maintients régulièrement à jour.
Ce qui est rassurant justement c’est que l’ensemble est audité par pas mal de monde de façon croisé …
Je suis entièrement d’accord avec toi la france etant le nombril du monde il faut tout à fait prendre en compte ce qui est fait là. Je rajouterais également que, comme on le sait, les systèmes BSD sont mal entretenus.
D’ailleurs il suffit de lire les articles de recherche - sur google scholar - consacrés à la cybersec pour le vérifier.
Pardon ? 
Pensez à Sheldon Cooper 
Bah la prochaine fois penses à mettre un smiley ou à être encore plus claire
Lol…pourtant…je m’attendais à me faire engueuler mais ca: non.
Rires
Il me semble que votre propos est sensiblement irrespectueux. Je vous invite à vous renseigner sur ma personne (ce n’est pas bien compliqué) puis sur la notion de qualification d’un système.
Quant à la notion de « systèmes BSD mal entrentenus », il vous faut être plus préci : parlez-vous de de FreeBSD ? d’OpenBSD ? autres ? Parcque ce n’est pas la même chose…
Là, on est sur des système dédiés aux parefeux, donc des cibles très particulières, notamment en entreprise.
C’est pourquoi je précise que tout dépend de ce que l’on souhaite protéger. Le niveau d’audit appliqué à un produit sera donc plus ou moins important en fonction du besoin.
Dans mon cas, à la maison OPNsense me suffit largement. Dans une entreprise traitant des données sensibles (etc), j’y réfléchirais à deux fois
En effet, l’open source, c’est top sur tous pleins d’aspects (on ne serait pas ici à en discuter si ce n’était pas le cas), mais cela a aussi ses effets pervers (il faut en être conscients) lorsqu’il y a des personnes mal intentionnées, ou qu’on se traine des paquets antiques…
Ma réponse était purement sarcastique: BSD est un des systèmes les plus stables au monde, pas pour rien qu’il équipe des firewalls et nombre de systemes embedded…pas pour rien non plus que macos est une émanation de bsd.
Que la france pense que ce n’est pas fiable sur des firewalls…bah…osef
ps: pour finir il suffit comme je le disais plus haut d’aller checker les articles scientifiques sur le sujet
edit: et je vous rappellerais poliment que Cisco IOS (vous savez les ASA et consorts…) utilise une base posix
Autrechose la plupart des cyberattaques en france ne sont pas dues aux systèmes en tant que tels mais plutot dues à deux facteurs principaux:
1 - l’incompétence des dsi
2 - l’interface chaise clavier
La question est de savoir comment on détermine ce qui est, ou n’est pas, fiable au regard du contexte.
Je pense qu’il serait plus constructif de se questionner sur la méthodologie qui a conduit à ces recommandations. Passer outre, c’est passer à côté du sujet.
C’est une vision simplifiée qui conduit à des erreurs importantes. Comme pour toute demarche de sécurité, il est essentiel de se questionner sur la notion de niveau de sécurité à atteindre (cible qu’on représente, ce qu’il y a à protéger, etc).
Donc tout dépendra de l’objectif, et des moyens disponible, comme je le dis depuis le début.
Pour en revenir au débat Untangle/Pfsense, je choisis OPNsense. Mais aucun des 3 pour des systèmes critiques.
Ok, je veux bien prendre en compte votre opinion cependant je voudrais que vous me donniez des sources afin que je revois la mienne mais cette fois basée sur des faits autres que des posts içi.
Voiçi des faits (et je corrobore ce qui est dit dans l’article en me basant sur ce que j’ai connu dans une boite en fevrier laquelle etait « behind seven firewalls »)
Parce que tu penses sincèrement que du Fortinet, Sophos, Cisco sont plus fiables pour des réseaux critiques plutôt qu’une solution basé sur du Opnsense … autrement que sur le fait que ces sociétés peuvent certifié devant des organismes plus facilement.
Si on devait n’utiliser que les solutions qualifiées par l’ANSSI, on en serait encore à la machine à écrire.
C’est du commercial avant tout ces certifications, et du politique d’ailleurs aussi (pour avoir eu à faire un dossier de certification à l’ANSSI, c’est extrêmement compliqué, c’est très cher, 40000€ pour le projet sur lequel je travaillais).
Et c’est même bien plus efficace que les certifications ANSSI qui ne sont valable pour un produit que sur une version donnée.
Pour des systèmes critiques, un parefeu est insuffisant. Il est nécessaire de mettre en place un certain nombre d’actions (au niveau architectures, équipement et procédures et ce sont souvent les procédures qui posent problème).
Pour 75%, voire plus, des ransomwares, les attaques ont utilisé de l’ingénierie sociale. Et quand il s’agissait d’une faille utilisée, celle-ci était généralement connue, ou prévisible mais non traité pour des critères de facilité ou de budget. Peu d’entreprises disposent de systèmes de détection d’intrusions. Quand c’est le cas il est très mal géré ou maitrisé.
Et en France, les entreprises sont de vrai mauvais élèves.
Quand vous pensez à cet hopital dans le sud qui a été ciblé à plusieurs reprises (avec succès) … ca laisse songeur
edit: Y’a une expression en anglais qui dit « Trick me once « shame on you », trick me twice « shame on me » » c’est exactement ce que je pense de la DSI de ce type de boite.