egghart
Goto Top

Alternative zum Securepoint UTM-Gateway - wenn möglich Opensource

Hallo zusammen,

ich möchte in einer Praxis die Firewall ersetzten. Zurzeit ist ein Securepoint UTM-Gateway eingesetzt. Die Hardware ist nun etwas in die Jahre gekommen, daher sollte eine neue ran. Ebenfalls hat Securepoint enorme Lizenz- / Update gebühren > 300€ pro Jahr, bei 3 Jahren > 800€. Daher wäre auch eine Opensourcevariante denkbar bzw. sehr erfreulich.
Wichtig ist, dass kein extra PC eingesetzt wird, sondern es soll eine Hardwareappliance sein.
Daher die Frage an Euch, was könnt ihr mir empfehlen?

Umgebung:
- 1 DSL-Anschluss
-
1 Server – Windows 2003
- 7 Clients - Windows XP & Windows 7
- 3 I-Pads
Server, Client und I-Pads sind in einem Netz
Die I-Pads und vier Clients sind nur wegen Softwareupdates im Internet – es wird von denen also kein großer Traffic verursacht.

Aktuelle Nutzung des UTM-Gateways:
- Als Firewall / Ports sperren, etc.
- zusätzlich um ungewünschte Dateiendungen zu blocken – z.B. exe, bat etc. halt alles was in dem „normalen Betrieb“ dort nicht benötigt wird.
- Antivirus – Filtern / Scannen von Mails und Internetcontent

Zukünftig soll genutzt werden
- Es soll ein VPN – mindestens zur Einwahl (z.B. OpenVPN)
- Und ggf. um dauerhaft zwei Netze zu verbinden
- Ggf. eine Uploadbeschränkung der Übertragungsrate – also eine Art „Quality of Service“

Ich habe mir bereits dein Eintrag Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät durchgelesen, fand diesen auch sehr hilfreich.

Welche Alternativen würdet ihr mir empfehlen?
Ist es möglich auf ein Securepoint UTM-Gateway ein FreeBSD oder ähnliches zu installieren?

Zu PfSence spezifisch:
- Ist es mit Pfsence möglich Dateiendungen / Typen zu blocken?
- In PfSence gibt es einen Proxy-Paket -> Hat jemand bereits Erfahrung mit diesem? Kann der Proxycache der Anwendung auf einen USB-Stick oder ähnliches ausgelagert werden, damit die CF-Karte nicht zu viele Schreib- und Lesezyklen bekommt. Ich habe in einem anderen Betrag gelesen, dass dieses Paket die HWappliance vollständig ausbremst.


Danke und viele Grüße

Content-Key: 218645

Url: https://administrator.de/contentid/218645

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.10.2013 um 10:57:35 Uhr
Goto Top
Guten Morgen,

du möchtest ersetzen (und installieren?) kennst dich damit aber 0 aus (da du bisher nicht mal weisst, welche Lösung es denn sein soll?) und möchtest dann noch statt einer Flash Karte einen USB Stick wegen der Auslagerung der Schreibzyklen nutzen? Ich denke der Arzt wird viel Spaß damit haben.

Warum soll es denn Open Source sein? Damit du mehr berechnen kannst, oder weil es sich toll anhört? Bedenke: Dann bist du der einzige Ansprechpartner, nicht die Firma, die das Ding ausliefert, also fallen auch alle Schadenersatzansprüche auf dich zurück. Aber gut, mit den anderen UTMs muss man sich auch auskennen.

Viel Glück dem Arzt
Mitglied: egghart
egghart 07.10.2013 aktualisiert um 11:13:48 Uhr
Goto Top
Super, danke für die qualitativ hochwertige und konstruktive Antwort von Dir!
Ps: Als Firma / Berater oder was auch immer wäre mir Dein Kommentar enorm peinlich - überleg einfach einmal, dass dies potenzielle Kunden lesen könnten und was diese für ein Bild von dem Unternehmen bekommen...

Aber gut.

Zu der Frage mit der CF-Karte: Ja, da CF Karten bei vielen Schreibzyklen eine geringere Lebensdauer haben als USB-Sticks. Darüberhinaus sollte nur der Cache des Proxy ggf. ausgelagert werden damit die PS-Sence weiter als Readonly auf der CF-Karte betrieben werden kann.

OpenSource sollte es sein um die Lizenzgebühren zu umgehen und da viele OpenSourceprodukte auch eine sehr hohe Qualität aufweisen bzw kommerziellen Produkten kaum etwas nachstehen sind solche Lösungsvarianten auch zu Beginn mit zu betrachten.
Mitglied: 108012
108012 07.10.2013 um 17:01:34 Uhr
Goto Top
Hallo,

Super, danke für die qualitativ hochwertige und konstruktive Antwort von Dir!
Nimm es Ihm nicht gleich krumm und fauch Ihn auch nicht gleich so an, viele Sachen lesen sich eben anders
als sie in Wirklichkeit gemeint sind!!! Mit allem was man einsetzt muss man sich auskennen! Egal ob nun OpenSource
oder Enterprise Hardware und Software, aber bei der Enterprise Hardware und Software kann ich hinterher immer sagen
das man die Klage auch bitte an dieses Unternehmen weiterleiten möge und nicht an einen selber.
Und zum anderen sind die Enterpriselösungen mitunter auch zertifiziert worden zum Beispiel ICSA geprüfte Firewalls
das entfällt natürlich bei den meisten OpenSource Lösungen, denn solche Tests sind eben sehr aufwendig und auch
teuer! Und sehr viele Unternehmen und noch mehr Versicherungen schreiben so etwas aber vor, oder aber sie haften
nicht im Fall der Fälle! Das bleibt also Dir überlassen.

Ps: Als Firma / Berater oder was auch immer wäre mir Dein Kommentar enorm peinlich - überleg einfach einmal,
dass dies potenzielle Kunden lesen könnten und was diese für ein Bild von dem Unternehmen bekommen...
Hm, das ist so eine Sache, wenn das hier wirklich Kunden lesen und sich dann freuen wenn jemand Ihnen hilft Kosten
zu sparen ist das die eine Seite, aber wenn dann das Netzwerk voller Viren und Spam ist das ja auch nur die halbe
Wahrheit.

Zu der Frage mit der CF-Karte: Ja, da CF Karten bei vielen Schreibzyklen eine geringere Lebensdauer haben als USB-Sticks.
Also wenn man sich schon für OpenSource entscheidet heißt das noch langer nicht dass man auch die billigste Hardware
dafür nehmen sollte! Denn mit einer Appliance auf Alix Basis wird man dabei nicht glücklich, wenn man dort;
- Squid installiert
- Squidguard installiert
- ClamAV installiert
- DansGuardian installiert
- Snort installiert

dann wird das liebe kleine Kästchen sich nicht mehr von alleine bewegen, weil Ihm einfach schlicht und hinweg die "Puste"
ausgehen wird, also da muss schon etwas stärkeres ran mit mehr RAM und mehr CPU Power.

Darüberhinaus sollte nur der Cache des Proxy ggf. ausgelagert werden damit die PS-Sence weiter als Readonly auf der
CF-Karte betrieben werden kann.
Das kann man sicherlich machen aber ich denke nur den Proxy Cache wirst Du da wohl nicht auslagern, sondern weit aus mehr
und das man anstatt einem UTM Gerät im 19" Gewand nun mit zwei oder gar drei kleinen "Brotdosen" vor der Tür steht ist sicherlich
auch nicht die Lösung und zeugt auch sicherlich nicht von mehr Ahnung und Geschick.

OpenSource sollte es sein um die Lizenzgebühren zu umgehen
Also wenn Du nicht gerade aus der "Unixoiden" Ecke kommst und mit den drei BSD und/oder Linux Systemen vertraut bist
wird da auch eine ganze Weile an zeit bei drauf gehen, erst einmal damit richtig umzugehen und das System auch aus dem FF
zu beherrschen, und Zeit ist ja bekanntlich auch Geld!

und da viele OpenSourceprodukte auch eine sehr hohe Qualität aufweisen bzw kommerziellen Produkten kaum etwas nachstehen sind solche Lösungsvarianten auch zu Beginn mit zu betrachten.
Klar nur wer garantiert oder haftet denn im Fall der Fälle? Du und niemand anderes, denn die OpenSource Software
ist von niemandem geprüft und auch nicht zertifiziert und genau so läuft es eben in der Geschäftswelt.

Mal ein Beispiel:
Du hast als Kunden einen kleinen Versicherungsvertreter mit Heimbüro, also ein ein Mann Unternehmen.
Jetzt installierst Du pfSense und irgend wann kommt heraus dass die Firewall ein Loch hatte und die gesamte
Kundendatenbank von der Alianz Versicherung wurde nebst Kundenkonditionen gestohlen (kopiert) und das über die
pfSense die Du aufgestellt hast, was dann? Willst Du dem Richter dann wirklich sagen, man habe mit OpenSource
aber doch so schön die Lizenzkosten sparen können, und es liegt eine Klage gegen Dich vor über 9 Milliarden € seitens
der Versicherung vor!!!!!! Dann aber gute Nacht!

Das muss auch kein richtig dickes Unternehmen sein eine Architektenbude mit 5 Mann kann auch Fälle bis zu
10 Millionen Euro verursachen und dann? Glaubst Du denn etwa die OpenSource Leute sagen dann das sie selber
schuld sind??? Was glaubst Du denn warum da überall "Benutzen auf eigene Gefahr dran steht" oder im "Disclaimer"
immer darauf hingewiesen wird.

Da kann jeder andere bei seiner UTM sagen die Firewall von Cisco, Juniper, Lancom, Sophos oder Netgear ist ICSA
oder von wem auch immer geprüft und zertifizerit worden klopft da mal an die Tür und dann ist man raus aus der Nummer,
außer bei einem Konfigurationsfehler oder grober Fahrlässigkeit.

Gruß
Dobby
Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.10.2013 um 17:47:28 Uhr
Goto Top
Sorry egghart, mir ist es aber nicht peinlich. Ich und mein Name steht bei meinen Kunden für Qualität. Das kann manchmal kostspieliger sein, aber ich steh dann auch dazu, dass ich die Dinge daheim teste und mich zumindest zu 90-95% (100% kann man i.d.R nicht wissen, erst Recht nicht in der IT) kenne und weiss, wie das Ding tut. Damit garantiere ich dann auch schon, dass das Ding so tut, wie es tun soll - Ausfälle hatte ich damit noch keine wenn ich 100% durchgeplant, durchgetestet und entsprechend aufgebaut habe. Das was du hier machst ist aber "ich will irgendwie fett Kohle kassieren und der größte Posten für den Kunden soll meine Arbeit sein" - komme, was wolle im Endeffekt geht es nur um das jetzt, nicht darum, wie der Kunde abgesichert ist oder wie es in einem halben Jahr ausschaut.

Du hast Recht, pfSense ist eine gute Lösung, wenn man es richtig macht und darin trainiert ist. So ist es aber nichts halbes und nichts ganzes, du hörst in einem halben Jahr ggf. auf und deine Firma gibt es nicht mehr - was ist dann mit dem Kunden? Kommt nochmals jemand ran, der das System nicht kennt und reisst (falls möglich) noch größere Löcher rein. Selbst wenn du nicht aufhörst das Thema Haftung hat Dobby ja bereits angesprochen.

Aber Geiz ist geil ist ja in. Bis mal alles steht und irgendeinem "Idioten" wird dann plötzlich klar, was es bedeuted, wenn eine Firma mal für ein paar Tage (im besten Fall) lahm liegt oder (im schlimmsten Fall) das und alle Internas liegen "auf der Straße".

Unternehmen sind keine Privatpersonen, dort ist das ärgerlich, aber wie Facebook usw schön demonstriert, nicht weiter schlimm. An einer Firma hängen direkt Existenzen und entsprechend gut dotierte Anwälte + Rechtsstreits.

PS: Ich habe schon den einen oder anderen Kunden von solchen Stümperlösungen und entsprechendem Virenbefall befreien müssen, nimm es mir also nicht böse, wenn ich in meinem Job auch ein bisschen mehr Pragmatismus beiwürze, als nur das täglich Brot. Ich will nicht, das meine Krankenakte oder meine Hausschulden oder mein $randomprivat im Internet nachzulesen ist.
Mitglied: Anton28
Anton28 07.10.2013 um 19:44:17 Uhr
Goto Top
Hallo egghardt,

ich hab da mal eine Frage:

Du sprichst von einer Praxis, ich nehme mal an Arzt.

Ich gehe ferner davon aus, dass dabei ein Jahresumsatz von ca. 500.000,00 € oder mehr beträgt und dass einige MA beschäftigt sind.
Jetzt willst Du mir allen ernstes erzählen, dass man hier keine 800,00 € für 3 Jahre für eine gute FW,UTM, Virenschutz investieren kann (22,25 € per Monat) ?

Wo lebst Du eigentlich ? Ist "Geiz ist Geil" bei den besonders vertraulichen Daten wirklich das Gebot der Stunde.
Ich betreue auch eine Praxis, und das ist der Schutz der Daten per Firewall,UTM, und zusätzlich professionellen Virenschutz auf dem Server und den Clients nir zur
Diskussion gestanden. Was sagst Du dem Auftragegeber, wenn die Daten seiner Patienten/Clienten im Netz inkl, aller Diagnosen wie etwa Krebs, ADHS, Borderline oder, oder, oder im Netz landen und der oder die Client/in gekündigt wird.

Aber wir haben mal schnell 800 bis 1800 € in drei Jahren gespart.

Sorry, aber dafür hab ich null Verständnis.

Die Antwort ist nicht das was Du hören wolltest, das ist mir schon klar.
Aber mit den Privatanwender Methoden kommt man hier nicht weit.

Professionelle Datenverarbeitung bedarf eines professionellen Schutzes.

Oder aber alles vom Internet abhängen, alle CD/DVD Laufwerke und USB Ports ausbauen, zukleben oder sonstwie unbenutzbar machen, dann kann man sich
evlt. die paar Kröten sparen.

Gruß

Anton
Mitglied: Testle
Testle 10.10.2013 um 16:02:27 Uhr
Goto Top
Hallo egghart,
interessant könnte eventuell Endian (http://www.endian.com/de/) sein. Die bieten auch Hardware-Appliances. Lizensiert ist das ganze unter GPL.
Falls es dennoch Closed Source sein darf, kann ich Dir nur die Fortigates von Fortinet empfehlen. Da solltest Du aber darauf achten, dass Du nicht eine zu kleine Appliance wählst, da diese sonst kein SSL Inspection machen kann.

Viele Grüße

Peter