Welche Firewall für 25-Mann Praxis

Zu pfSense kannst du alles hier nachlesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Würde ebenso ideal auf die Anforderung passen.

Hi Sven,
da die Securepoint ins AD gehangen werden sollte um entsprechende Arbeit verrichten zu können, gelten alle Benutzer im AD als User! Zum Beispiel für Http(S) proxy.

VG
Criemo

Hallo zusammen,

Ok damit kann man schon etwas zaubern was dann auch richtig abgeht, ob nun auf pfSense Basis
oder aber eine fix und fertig UTM von einem der hiesigen Anbieter.

Können das auch andere Produkte sein oder ist man hier auf diese beiden beschränkt?

Also als UTM mit Snort, Squid & SquidGuard, HAVP (ClamAV) und VPN lässt sich auf recht vielen
Hardwareplattformen installieren, es kommt eben immer nur auf den Durchsatz an, den man erwartet
oder gar benötigt.

Zum Einen ist es recht schwer so etwas aus dem "Bauch" heraus zu beantworten, denn was heißt denn hier
wir sind eine Praxis? Eine Massagepraxis, ein Therapiezentrum oder gar eine richtige Arztpraxis wie eine Zahnarztpraxis wo man auch wiederum bestimmten Bestimmungen unterliegt?

Zum anderen wird man bei den herkömmlichen UTM Lösungen von den allgemein bekannten Herstellern
auch immer wieder Lizenzen lösen müssen, entweder alle Jahre oder alle drei Jahre, je nach Lizenzmodell.
Und eben diese Folgekosten sollte man auch immer im Blick haben, da ist man sicherlich mittels pfSense
günstiger beraten da diese Folgekosten dort eben wegfallen, aber man sollte aber auch sehen das man bei
den Herstellern mit Lizenzen auch noch andere Supportleistungen bekommt und die AV und IDS Signaturen
stündlich upgedatet werden, was bei Snort pro Sensor mit bis zu 300 € auch schon gut zu "Buche" schlägt.
Und ein "Next Business Day" Austauschservice ist bei pfSense auch nicht gegeben.

- Steigt die Anzahl der Benutzer noch?
- Steigt die Geschwindigkeit der Internetverbindung noch?
- Wer administriert Dir die pfSense oder UTM Lösung denn? Oder machst Du das alles selber?
- Soll es denn eine Desktop Variante sein oder gar eine 1U Rackmount Variante des Hardware?

Fix und fertig Hardwarelösung:
Sophos XG Serie
Sophos (UTM) XG 115 Hardware
Sophos XG 115 UTM Lizenz
Es gibt eine Basis Protection, eine Network Protection und eine Total Protection die auch WLAN Klienten
mit einschließt, von Sophos wird auch kompatible Hardware angeboten, was ja auch von Euch gewünscht wird.

Eigenbau & pfSense Hardware:
PC Engines:
PC Engines APU2B4 (ab Q1/2016)

pfSense Projekt:
- pfSense eigene Hardware, die auch das Projekt unterstützt
- Diese kann auch hier in Deutschland über Reseller bestellt werden Varia-Store Shop pfSense Hardware (sofort erhältlich)

Axiomtek:
Axiomtek NA361 ~600 € (je nach Board)
Axiomtek NA361R ~900 € (je nach Board)
Es kann unter mehreren Board selber entschieden werden und die NA361R kann mittels Module
aufgerüstet werden.

Alternativen:
4 Port Desktop Appliance ~350 € - 450 €
10 Port Desktop Appliance ~450 € - 550 €

WLAN APs von Ubiquitti kann man dann ja immer noch dazu kaufen!


Gruß
Dobby

Hi Sven,
die Sophos UTM ist schon was feines.
Recht übersichtlich und wenn man weiß was man tut gut konfigurierbar.
Das Intrusion Prevention, das Advanced Threat Protection und der Spamfilter von der Sophos sind einsame spitze.
Weiter vorteile sind die RED Appliances (VPN Boxen) und die Wlan APs die man komplett zentral verwalten kann.

leider ein bisschen teurer aber eine sehr gute Appliance.

Nachteil seit dem Astaro zu Sophos gehört ist der Support echt schlecht geworden, es kann schon mal 45 min. dauern bis einer ans Telefon geht.

VG
Criemo

Ich würde eine USG210 von Zyxel empfehlen. Alternativ eine 60D von Fortinet.
In beiden Fällen ist die Lizenzierung der UTM-Features unabhängig von der Useranzahl.

Gruß
sk

reicht dir das bei mir als Begründung?

Wie bereits erwähnt, bieten beide verglichen mit den bereits diskutierten Anbietern Securepoint und Sophos das wesentlich transparentere Lizenz- und Preismodell. Insbesondere bei Zyxel stimmt das Preis/Leistungsverhältnis.
Beide von mir vorgeschlagenen Boxen erfüllen die bisher von Dir genannten Anforderungen. Funktional bieten alle Hersteller in dieser Preisklasse ungefähr die gleichen Features. Die Unterschiede liegen im Detail. Da aber nichts davon auf Deiner Anforderungsliste steht, spare ich mir das Tippen auf dem Handy. Kannst aber gerne Detailfragen stellen.
Erfahrungen siehe meine letzten Postings.

Hi,

ich weiss nicht, was bei Sophos nicht transparent ist. Je nachdem, was du brauchst kannst du Features addieren oder eben nicht. Meist lohnt sich allerdings eine Full Guard.

Kannst mich zu Sophos auch gerne direkt kontaktieren.

VG,

Christian

Für einen Betrieb mit 25 Benutzern ist man da schnell bei 800 € jährlich
für die Lizenzen, das ist schon ein starkes Stück nur ist diese Appliance
auch übersichtlich und lässt sich einfacher administrieren.

Wir hatten eine in der Zentral und eine in einer Niederlassung zum Austesten, aber haben uns dann
für einen anderen Anbieter entschieden, der seit dem auch exklusiv eingesetzt wird, in der Zentrale
und in allen Niederlassungen.

Kann man auch machen nur wie gesagt die Snort rules kosten jährlich dort alleine schon fast
die Hälfte von den Lizenzgebühren von denen der Sophos, muss man eben überlegen.

Vergiss nicht ob und welche Vorschriften Du (Ihr) als Praxis einzuhalten habt.
Muss oder müssen die Firewalls oder Router ICSAS geprüft sein und wenn ja welche Stufe (1,2 oder gar 3 )

Dann kauf Euch eine SG-8860 mit einer 120 GB mSATA und einer miniPCIe WLAN Karte
aus dem Varia-Store und gut ist es. SG-8860 & WiFi & mSATA

Als WLAN APs kann man dann ja immer noch von
UBNT nachkaufen.

Dafür gibt es den ShrewSoftVPN Klienten (kostenlos) oder OpenVPN.

Selbst wenn dem so sein sollte kauft man schnell einen kleinen Server für
300 € und installiert dann eben CentOS & SoftEtherVPN Server darauf und
das kommt dann eben in die DMZ, fertig ist der Lack. Sollte aber eigentlich
nicht nötig sein.

Gruß
Dobby

Die sind;
- zum einen 30 Tage alt oder älter
- nur für private Zwecke zugelassen

Weil so wie ich das kenne oder weiß, sind diese Regelsätze nur für den rein privaten
Gebrauch zugelassen und dann auch schon wieder 30 Tage alt und das ist nicht das
was ich unter Sicherheit im Hinblick auf ein Firmennetzwerk sehe und/oder haben
möchte, dann schon lieber von Sophos und für Geld bzw. Lizenzgebühren alle Stunde
ein Update von AV, Spam und IDS Signaturen. Aber da weis ich auch was ich davon
habe.

Weiter oben hast Du gesagt das man OpenSource Projekte fördern sollte und nun
möchtest Du die rein für den privaten Gebrauch nutzbaren Regelsätze im betrieblichen
Umfeld nutzen?

Gruß
Dobby

Wäre mir als UTM zu schwach und/oder zu wenig Durchsatz und Geschwindigkeit!
Macht aber auch wieder jeder wie er will und braucht.

pfSense Store C2758, Axiomtek NA342 oder gleich Axiomtek NA361R wären gut
für eine 19" Rack Variante, stark und performant genug, aufrüstbar, ECC RAM, Multi
Core CPU, AES-NI, Intel QuickAssist und vor allem mSATA oder SSD Einbau ist gegeben.

Das APU Board ist eher für pfSense & Snort & pfBlockerNG bei einer 50 MBit/s Leitung
auf ca. ~ 50% CPU Auslastung zu sehen, wenn dann noch Squid und/oder AV Scan und
VPN dazu kommen, wird es schon wieder eng, oder man lebt eben mit dem tröpfelnden Internet.

Eine UTM auf einer SD Karte installieren? Das lass bitte gleich ganz sein!

Genau so ist es, denn eine SD Karte ist nicht für viele und permanente
Schreibzyklen gedacht und in der Regel installiert man dort auch eher
ein NanoBSD drauf was dann auch wieder "Read only" ist.

Bei Snort und Squid ist eine mSATA oder aber SSD schon fast Pflicht
heute zu Tage, es beschleunigt und erleichtert vieles.

Wenn schon APU dann lieber warten bis in 3 Monaten der Nachfolger APU2
draußen ist, ansonsten sind die weiter oben genannten Modelle alle super
für eine UTM Lösung geeignet und auch gut erweiterbar. Sie basieren alle
auf dem Intel Atom "Rangeley" SoC und sind um einiges performanter als
die APU.

Gruß
Dobby

Hi,

von Supermicro gibt es matx Boards mit 4x lan und Atom drauf.
Speicher und SSD dazu und Ipfire installieren.
Ipfire läuft glatt. Addons laufen besser als auf einer Pfsense.
Mit dieser Konfig kann man dann alles realisieren was du dir so wünscht.
Wan, Lan, DMZ und Wlan, IDS, Proxy
Läuft glatt mit 13 Servern und ca. 50 Clients.
Damit bleibst du locker unter 1000,- Euro.
Updates laufen auch gut.
Bisher noch kein Stress damit gehabt.
Mit Pfsense schon.
Nachdem Upgrade auf die 2.2 und einführung von strong swan hab ich mich
da ausgeklinkt. Roadwarrior/Ipsec ..achherrje, nicht zum laufen bekommen.
Auf Ipfire gewechselt und alles wurde schön.

Gruß
Skarfield