Le 30/04/2015 12:50, Josselin Lecocq a écrit :
Le 30/04/2015 12:35, Fabrice Vincent a écrit :
On utilise Cloudflare(.com)
Et au passage tu abandonnes toutes tes données à la NSA (c'est un choix,
mais il ne faut juste pas l'oublier).
La "sécurité SSL" devient alors trompeuse pour tes utilisateurs qui
pensent leur canal de communication sûr, alors qu'en fait, il ne l'est
pas tant que ça puisqu'un tiers inconnu intercepte les données de façon
opaque sur le chemin...
Certes.
Mais une appliance (physique ou virtuelle) peut avoir des backdoors...
Reste la solution de l'open source. Pas infaillible non plus (cf
HeartBleed etc.) mais avec quand même beaucoup plus de visibilité.
Sans parler du fait que ce genre de pratique contribue à faire de
Cloudflare et des CDN "grand public" des points de concentration de
trafic importants sur Internet, ce qui n'est pas très bon en terme
d'architecture (même si c'est plus ou moins réparti).
ça c'est ce qui m’embête le plus...
En même temps avec le anycast massif, ça fait beaucoup de traffic
passant par cette AS mais ça reste local à chaque POP. Je suppose que
c'est pas pire que la concentration passant par les gros transitaires ou
les GIX ?
Faire la même chose qu'eux à la mimine ou avec une box ça va couter
beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très
bien...)
Certes, mais c'est une garantie d'indépendance et de sécurité (à
condition que l'éditeur de l'appliance ne soit pas américain, chinois,
ou même français bientôt).
Avec une solution externe, qu'elle soit une appliance ou une offre SaaS,
de fait on dit adieu l'indépendance, non ?
Par ailleurs, un constructeur/éditeur n'ayant pas d’intérêt aux USA ou
en chine, ça limite les choix et ça n'est probablement qu'une situation
temporaire (en tout cas je leur souhaite ! ;) ).
Et tout faire moi même serai irréaliste en temps et en expertise
nécessaire, sachant que ça serai juste pour mon petit besoin (parmi tout
mes autres besoins)... 8-/
Alors quitte à m'appuyer sur une solution externe dont le code n'est pas
public, ben je maintiens mon choix...
Ceci dit je bosse aujourd'hui pour une PME, pas pour une banque, un
opérateur ou une boite du CAC40 (j'ai pas les même moyens ! ~8-P )
Merci pour cet échange intéressant.
Cordialement,
Fabrice
Josselin Lecocq
Quantic Telecom
Le 30/04/2015 12:35, Fabrice Vincent a écrit :
On utilise Cloudflare(.com)
Leur service fait en même temps reverse proxy (avec SSL si on veut),
CDN, WAF, et plein d'autres sécurisations et optimisations.
Faire la même chose qu'eux à la mimine ou avec une box ça va couter
beaucoup plus cher (surtout comparé à leur plan gratuit, déjà très bien...)
juste mon avis. ;)
Fabrice
Le 30/04/2015 12:09, Richard Paré a écrit :
Bonjour,
Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
- Le site Web fonctionne en HTTP
- L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
des
communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
- Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)
J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.
Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).
Merci.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
