Pour commencer, il faut créer le CSR (Certificate Signing Request). Vous pouvez le faire sur l’Astaro/Sophos directement si vous le voulez. Loguez-vous en loginuser, c’est suffisant. Et vous pouvez le faire sur votre Mac aussi évidemment, de toute façon il faudra SCP le fichier entre l’Astaro et le Mac ou l’inverse. La commande pour générer le CSR est :

openssl req –config ./openssl.config –new –newkey rsa:2048 –out server.key

Ensuite, il vous demande les informations habituelles (Organization, City, etc.). Attention le Common name doit être le domaine pour lequel vous demandez le certificat.

Ensuite vous devrez aller sur le site d’une autorité de certificat (GoDaddy étant de loin les plus sexy si vos critères sont purement esthétiques), là vous soumettrez votre CSR (attention comme toujours aux espaces non voulus dans les certificats). L’autorité de certificat, vous donnera ensuite un certificat et un ou deux certificats intermédiaires, c’est de mise maintenant afin d’accroitre la sécurité. Enfin, vous ferez de ces différents fichiers un fichier pkcs#12, le format est primordial pour l’Astaro.

openssl pkcs12 -export -out /Users/me/certificate/certificate.pfx -inkey /Users/me/certificate/server.key -in /Users/me/certificate/monnom.de.domaine.crt -certfile /Users/me/certificate/bundle.crt

Dans cet exemple, vous noterez que les certificats intermédiaires sont à la fin de la commande. Le CSR et le certificat correspondant au nom de domaine en premier.

Normalement, OpenSSL vous demande le mot de passe que vous avez choisi pour le certificat. Il ne vous reste plus qu’à copier le CSR sur l’Astaro si vous l’avez créé sur votre Mac, par exemple en suivant la commande précédente :

scp -r -p /Users/me/certificate/server.key loginuser@192.168.x.x:/home/login

On vous demande le mot de passe, et hop, le fichier CSR (en l’occurrence ici un .key) est copié sur l’Astaro.

Il ne vous reste plus qu’à vous loguer sur l’interface WebAdmin et dans /Remote Access/Certificate Management/Certificate Authority vous allez importer le certificat signé. Un redémarrage de l’UTM est préférable.

Ensuite vous pourrez sélectionner votre certificat pour le Mail Security ou pour le Web Application Security ou pour d’autres services encore.

Voici une présentation de NausicaMedia.

Web Application Security

L’option Web Application Security est un proxy reverse qui fonctionne en amont de l’IDS. Il permet de faire du round robin en interne sur de multiples webservers. Le sitemap.xml sera importable bientôt… Il donne aussi la possibilité à un utilisateur de passer outre un site bloqué (logs : websecurity/blockedusage).

L’option Email Security adopte le user sender blacklist (en complément du user sender whitelist).

Le VPN se dote d’un Wan Link failover et OpenVPN est localisé.

La version 8 est certifiée IPv6 ce qui permettra de passer son MTU de 1280 paquets à 4 Go… A noter qu’il y a une version de Google en IPv6.

Enfin le RBL (Real Blacklist List) est aussi assuré par CommTouch maintenant (en plus de l’anti-spam ; le meilleur anti-spam, c’est moi qui le dis… Et mes clients).

RED

Astaro propose aussi un boitier RED, petit boitier qui prend sa configuration depuis un ASG. Relié à l’ASG principal par un VPN propriétaire d’Astaro, il rajoute littéralement une interface réseau à distance à une appliance Astaro. L’accès au port 3400 est nécessaire afin qu’il accède à un serveur qui va le provisionner (en configuration, bien sûr). Très simple à utiliser, disponible à 300 euros, ce produit est certainement voué à un grand succès.

Astaro Wireless Security

Deux bornes WiFi, l’AP 10 et l’AP30 faites par Astaro avec le savoir-faire réseau d’Astaro…

et Astaro Mail Archiving qui est un système crypté d’archivage de courriers électroniques… L’Astaro Command Center aussi qui permet maintenant un vrai monitoring des parcs d’Astaro distant.

Tous les prix des différentes configuration sur la boutique dès que je rentre de Suède.

• Passer en Root
• Taper : echo 1 > /proc/net/nf_condition/ips

Cela permettra de passer outre le système IPS à son plus bas niveau et cela fonctionne que IPS soit activé ou non. Une nouvelle mise à jour interviendra plus tard dans la journée qui ôtera ce réglage et installera la nouvelle pattern.

Ils viennent de complètement reprendre leur ligne tarifaire pour être plus homogène. Certains produits voient ainsi leur prix baisser de 50%. Ils ont aussi revus entièrement leur système de licence. Et ils annoncent trois nouveaux produits pour l’année 2010.

Je détaille :

Astaro offre une licence « Home use edition ». C’est une licence gratuite qui permet à n’importe qui d’installer l’offre reconnue Astaro chez vous (il vous faudra un PC car la solution Astaro est fondée sur une version de Suse Linux). Mais Astaro va plus loin et propose aussi une « Essential edition for business ». Toute la fondation d’Astaro gratuite pour vous. Tout pour le réseau (Internet router, Bridging, DNS server et proxy, DynDNS, DHCP server et relais, NTP, QOS), la sécurité réseau (Stateful Packet Inspection firewall, NAT (DNAT, SNAT, masquerading)), Accès à distance (PPTP et L2TP incluant le support pour l’iPhone), Logging et reporting complet, et Management (support SNMP). A noter que l' »essential edition » for business est aussi disponible pour VMWare. Grâce à cette offre, Astaro veut offrir sa solution à tous ceux qui ne la connaissent pas encore. Je peux dire que c’est une excellente nouvelle puisque je n’ai encore jamais rencontré un sysadmin qui ne soit convaincu par Astaro quand on n’avait la possibilité de la lui montrer. Les licences « professionnelles » ont elles aussi été revues. Ainsi comme la licence de « base » est maintenant gratuite, vous pouvez souscrire à trois licences dites professionnelles : Network Security qui donne accès à tous les VPN (SSL, IPSec), à la VOIP security, aux fonctions de routeur avancé, au portail utilisateur… Le Mail Security avec toutes les fonctions d’antivirus, d’antispam, de protection contre le phishing… et le Web Security, spyware protection, antivirus, url filtering, IM/P2P contrôle…

Les appliances sont proposées à de nouveaux prix. Les 220 passent notamment à 1275 euros. 50% de réduction ! Tous les prix bientôt disponibles sur le store.

Quant aux nouveaux produits, je vous en parle la semaine prochaine…