wiesi200
Goto Top

Firewall Firmeneimsatz

Hallo,

aktuell bin ich am prüfen ob wir in der Firma die Firewall tauschen sollen.
Momentan setzen wir eine Cisco ASA ein, aber ich habe auch schon ein wenig mit pfsense zu tun.

Jetzt, da in aller Munde hab ich mir mal ne Sophos angesehen und bin eigentlich vom Interface enttäuscht. Und der Unterbau ist meiner Meinung nach gleich zu setzen mit pfsense.
Jetzt frag ich mich gibt es vernünftige Gründe die bei einer Sophos als Vorteil gegenüber pfsense zählen würden, im reinen Firewall Betrieb?
Mal abgesehen davon das wir hier meiner Firma leichter Personen finden würde die sich damit auskennt, wenn ich mal ausfallen würde.

Und ein Tipp was sonst noch interessant währe, würde mich auch freuen.
Anforderungen sind bei uns recht bescheiden. Firewall mit ipsec VPN. 50Mbit Anbindung und 100 Leute.
Spamfilter und sowas muss nicht sein auch kein Failover und so Spaß.

Schon mal Danke

Content-Key: 349847

Url: https://administrator.de/contentid/349847

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: Looser27
Lösung Looser27 22.09.2017 aktualisiert um 17:08:24 Uhr
Goto Top
Gugg mal bei Gateprotect. Die haben auch bei reine Firewall. Schöne GUI und stabil.

Ansonsten ist eine pfsense auch nicht verkehrt. Die ist halt nicht so intuitiv zu bedienen.

Gruß Looser
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 22.09.2017 um 17:12:54 Uhr
Goto Top
Hi wiesi200,

warum bist du denn von der Sophos enttäuscht? Wo trifft diese deine Erwartungen nicht?

Nebenbei, bei 100 Leuten würde ich das Failover auf jedenfall mit nehmen, wenn auch nur Active-Passive.

VG
Mitglied: Dani
Lösung Dani 22.09.2017 um 18:27:58 Uhr
Goto Top
Moin,
Und ein Tipp was sonst noch interessant währe, würde mich auch freuen.
ein Blick würde ich auf Barracuda NG Firewalls werfen. Nutzen wir inzwischen an allen Lokationen (von klein bis groß) und haben die Entscheidung (über 3 Jahre) noch keine Sekunde bereut. Der (deutschsprachige) Support sitzt in Österreich und ist wirklich rund um die Uhr ein Kundenservice, wie man es sich vorstellt - freundlich, Aufmerksam, unterstützt bei Umsetzungen im gewissen Rahmen, etc...

aktuell bin ich am prüfen ob wir in der Firma die Firewall tauschen sollen.
Geht es eigentlich nur um eine Firewall oder evtl. sollen später weitere Geräte getauscht werden?

Jetzt, da in aller Munde hab ich mir mal ne Sophos angesehen und bin eigentlich vom Interface enttäuscht.
Nicht nur die GUI finde ich Mist, der Support bekleckert sich auch nicht immer mit Ruhm...


Gruß,
Dani
Mitglied: 108012
Lösung 108012 22.09.2017 um 20:24:23 Uhr
Goto Top
Hallo,

aktuell bin ich am prüfen ob wir in der Firma die Firewall tauschen sollen.
Momentan setzen wir eine Cisco ASA ein, aber ich habe auch schon ein wenig mit pfsense zu tun.
Ok, aber bei einer richtigen größeren Hardware ist man auch mit ~1.000 dabei.

Jetzt, da in aller Munde hab ich mir mal ne Sophos angesehen und bin eigentlich vom Interface enttäuscht.
Sophos UTM oder Untangle UTM auf eigener Hardware wäre doch auch etwas, oder?

Und der Unterbau ist meiner Meinung nach gleich zu setzen mit pfsense.
Wenn der reicht ok!

Jetzt frag ich mich gibt es vernünftige Gründe die bei einer Sophos als Vorteil gegenüber pfsense zählen
würden, im reinen Firewall Betrieb?
Keiner.

Mal abgesehen davon das wir hier meiner Firma leichter Personen finden würde die sich damit auskennt,
wenn ich mal ausfallen würde.
Warum dann nicht Sophos?

Und ein Tipp was sonst noch interessant währe, würde mich auch freuen.
Nimm Hardware die Jahre hindurch zu benutzen ist, man damit auch mehr Pakete installieren kann, man mehr
an Durchsatz nach Proxy, IDS und Addblocker hat! Es lohnt sich auf jeden Fall.

Anforderungen sind bei uns recht bescheiden. Firewall mit ipsec VPN. 50Mbit Anbindung und 100 Leute.
Hat alles AES-NI zur Beschleunigung von IPSec.
- APU2C
- Supermicro Intel C2758
- Supermicro SYS300E-8D
- Supermicro SYS200E-8D
- Intel Xeon E3-12xxv4/5

Spamfilter und so was muss nicht sein auch kein Failover und so Spaß.
Failover ist mit an Board, Antispam und Contentfilter sind mit an Board und wenn man den AV Scanner nicht benutzt dann
kann man auch fast schon eine kleine UTM damit beitreiben die sehr schnell und man kann auch sehr wirksam die AddOns,
Spam, Viren und andere "schlechte" Webseiten blocken.

Gruß
Dobby
Mitglied: Der-Phil
Lösung Der-Phil 22.09.2017 um 21:29:50 Uhr
Goto Top
Hallo!

Ich finde die Sophos auch unübersichtlich.

Was ich Dir empfehlen würde, wäre mal Fortinet/Fortigate anzuschauen. Für 50 MBit/s reicht vielleicht sogar eine kleine 50e aus, je nach IPSEC- und DPI-Anteil.

Grüße
Phil
Mitglied: aqui
Lösung aqui 22.09.2017, aktualisiert am 23.09.2017 um 10:55:51 Uhr
Goto Top
Wenn einer jetzt noch Watchguard in den Ring schmeißt wäre der Reigen komplett.
Zeigt mal wieder die Sinnfreiheit solcher Threads da wie immer alles relativ ist...und Bedienungskonzepte für den einen toll und den anderen gruselig sind. face-sad
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 22.09.2017 um 23:05:30 Uhr
Goto Top
und, wie immer - alle Jahre wieder...face-wink
Mitglied: the-buccaneer
Lösung the-buccaneer 23.09.2017 um 00:30:15 Uhr
Goto Top
Also ich habe vor Jahren mal die verschiedenen Lösungen für kleinere Umgebungen verglichen und bin dann bei der PfSense gelandet.
Nicht zuletzt die Möglichkeit, bei der Hardwareauswahl frei zu sein ist positiv.
Leistungsmässig bietet sie einen Umfang, der meine Anforderungen bei weitem übersteigt und im Zweifel von der Hardware begrenzt wird.
Als reine Firewall ist sie doch leicht administrierbar?
Die Packages waren das Bonbon, das leider in Version 2.3 extrem beschnitten wurde, wegen der üblichen OpenSource Maintenance Probleme.

Und fast alle Komplikationen, die auftauchten, waren "Package-related"

Was mir weniger gefällt, ist die Lifecycle-Policy. Relativ kurze Intervalle der Versionen und IMMER (Packages?) Probleme mit den Upgrades.
Aber mit der reinen Firewall (dem Grundsystem) sollte das auch über die Versionen hinweg problemlos laufen.

Wenn du nicht in der Sophos irgendein Merkmal findest, das ein k.o. Kriterium ist, spricht doch nichts gegen den OpenSource Marktführer?

Deutschsprachigen Support hast du hier im Forum und wenns ans Eingemachte geht, muss man halt mal das Supportpaket kaufen, was bei einem Betrieb mit >100 Mitarbeitern finanzierbar sein sollte.

Unterbau:
Sophos basiert auf Linux und bietet eine eingeschränkte Edition frei an.
PfSense basiert auf FreeBSD und ist in allen Funktionen frei. (und sogar kostenlos!)

Die Möglichkeit "Closed-Source-Code" mit "Open-Source-Code" zu kombinieren und damit die ursprüngliche Idee der "freien" Software zu unterwandern ist wohl seit einigen Jahren lizenztechnisch gedeckt, hat aber für mein Empfinden noch immer ein "Geschmäckle"...
Da ist mir das Old-schoolige PfSense sympathischer, auch wenn die Jungs manchmal ihre User vergessen...

Prinzipielle Erwägungen, aber heutzutage fast schon die Gretchenfrage. face-wink

Opensense könntest du dir noch anschauen, um noch etwas ins Spiel zu bringen. face-wink

Und hier: https://community.spiceworks.com/security/compare-sophos-vs-pfsense wird der Vergleich diskutiert.

Aber das hast du bestimmt schon gelesen?

Buc

Der vor einiger Zeit mal einen Kunden verlor, der zu einem größeren Systemhaus wechselte. Die haben dann Sophos installiert. Ich konnte bei Sophos nix finden, was dievorhandene PfSense nicht auch schon gekonnt hat, Ausser vielleicht Marketingsprech....
Mitglied: maretz
Lösung maretz 23.09.2017 um 08:10:22 Uhr
Goto Top
Moin,

ASA ist natürlich schon recht teuer... Ich würde hier aber gucken was eben mittel- bis langfristig ist.
Hast du Leute mit Kenntnissen in pfSense UND Hardware mit nem Support-Vertrag - why not? Wenn nicht würde ich zu einem kommerziellen Produkt greifen oder bei der ASA bleiben.

Hintergrund ist da eher das jede Firewall im Endeffekt eh nur so sicher ist wie die Person die das einrichten macht... Es bringt dir nix die beste Firewall zu haben aber dann auf "ANY/ANY" für alle Netzwerke zu schalten. Und spätestens wenn du mal nicht da bist und die Kollegen fummeln dann rum ist sowas schnell passiert.

pfSense hat natürlich den Vorteil das du keine Sorgen wie bei Cisco hast - Subscription ist ausgelaufen und selbst die grössten Lücken werden nicht gefixt. Wenn also die Kenntnisse da sind - ich würde es nehmen face-smile
Mitglied: 131941
Lösung 131941 23.09.2017 um 09:31:36 Uhr
Goto Top
Von der Bedienung kann ich auch auf jeden Fall die Geräte von ZyXEL empfehlen.

Die USGs haben auch immer jede Menge an Board und das GUI finde ich sehr übersichtlich.

ZyXEL wird in solchen Threads immer gefühlt nie genannt, verstehe gar nicht wieso.

Es sollte ja auch bei vielen Herstellern online GUIs zu findem sein, wo man sich einen ersten Überblick verschaffen kann.

VG
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 23.09.2017 um 09:43:48 Uhr
Goto Top
Moin Buc,

wenn du von reiner Firewall sprichst, was deutest du als das?

Ich würde zum Beispiel fast darauf tippen, dass man eine Sophos nie nur als reine Firewall betreibt und immer früher oder später auch die anderen Packages nutzen möchte. Ansonsten gebe ich dir Recht, das macht keinen Sinn. > Ob das so beim Kunden ankommt ist eine ganz andere Frage < vermutlich wirst du auch nicht mit dem größeren Systemhaus direkt gesprochen haben...wobei, was dabei heraus kommt ist auch oft genug Stille Post - aus eigener Erfahrung.

Zurück zu den Paketen und der Sophos an sich:
Natürlich sind das im großen auch modifizierte OS Pakete, aber eben dieses modifizieren und der Support dahinter kostet. Dies wird dann über den Preis für die Wartung wieder reingeholt. Ein Gschmäckle hat das nur, wenn man es so sieht, dass man hier OS bezahlen muss. Auf der anderen Seite kauft man sich dann ein Androidphone, Apple Systeme usw und da ist das vollkommen OK?

Nein, du bezahlst bei Sophos den Support und die Hardware - grundsätzlich bist du mit der Hardware zwar auch frei - ich selbst habe die Sophos UTM auch schon auf alten PCs zum Test betrieben - aber durch die vorbereitete Hardware ist es nunmal einfacher es zu supporten. Das funktioniert.

Ich für meinen Teil sehe es als wesentlichen Vorteil, dass ich eben nicht bei jedem Package-Update händisch etwas anpassen muss und grundsätzlich davon ausgehen muss, dass etwas nicht funktioniert. Diese Problemstellung hab ich zu genüge, wenn ich andere, BI kritische Linuxsysteme auf den neuesten Produktzyklus hebe.
Daher ist es auch eine Nutzenfrage für den Kunden und: eine /Zeitfrage/ für mich. Denn du musst schlussendlich auch die freie Firewall erstmal auf die Paketstärke bringen + Wartung bist du dann auch schon nicht mehr bei 0€. Es verschiebt sich ggf. nur, wohin das Geld geht. Auf der anderen Seite sind die Kosten für eine Sophos Appliance bei 100 Nutzern,wie du es anführst, selbst in einem HA Verbund geringer, als wenn über die Laufzeit von 1,2,3 Jahren - insbesondere bei drei Jahren, was im Regelfall mal min 20% jährlich spart - wohl günstiger dran, als wenn du in diesen 36 Monaten auch nur drei relevante Packages manuell updaten musst, die eine Einschränkung von 2-3 Stunden Livebetrieb nach sich ziehen.

Ich hoffe, dass das hilft.

VG
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 23.09.2017 um 09:45:03 Uhr
Goto Top
Zyxel ist leider sowas wie Lancom, zwar vielleicht nicht das schlechteste, spielt aber in einer anderen Klasse.
Mitglied: 131941
Lösung 131941 23.09.2017 um 09:53:58 Uhr
Goto Top
Was meinst du mit anderer Klasse?

VG
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 23.09.2017 um 10:04:22 Uhr
Goto Top
Zyxel ist eine Firewall bzw mMn ein Firewall-Router, eben wie Zyxel, Lancom usw. Dies insbesondere, da UTM zum einen immernoch gerne als "Firewall" bezeichnet werden und Router mittlerweile auch einige "Firewall"eigenschaften haben - siehe die AVM Geräte mit Gastnetz und Webfilter...(geht sogar teilweise darüber hinaus).

Sprich die beiden sind doch eher Einsteigerklasse.
Mitglied: aqui
Lösung aqui 23.09.2017 um 10:56:51 Uhr
Goto Top
Von der Bedienung kann ich auch auf jeden Fall die Geräte von ZyXEL empfehlen.
Wir nehmen noch weitere Vorschläge an !!! Checkpoint hatten wir noch nicht, oder ?
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 23.09.2017 um 11:21:15 Uhr
Goto Top
Zitat von @aqui:

Von der Bedienung kann ich auch auf jeden Fall die Geräte von ZyXEL empfehlen.
Wir nehmen noch weitere Vorschläge an !!! Checkpoint hatten wir noch nicht, oder ?

Dann steige ich mal mit den Checkpoints ein . face-smile

Die "lohnen" sich sber wirklich nur ab einer bestimmten Betriebsgröße und man sollte da wirklich jemand erfahrenen haben egal ob angestellt oder als Dienstleister.

ljs
Mitglied: wiesi200
wiesi200 23.09.2017 um 12:02:25 Uhr
Goto Top
Hallo,
erst mal vielen Dank für die vielen Antworten auch wenn, was mir bewusst war, bei so Fragen jeder seine eigene Meinung hat und die immer wieder gestellt werden. Aber für mich war das jetzt schon Produktiv auch wenn das nicht jeder so sieht.

Grundsätzlich muss ich sagen das es mir hier nicht um die Kosten geht.
Das Thema ist nur überall hört, zumindest gefühlt, was von Sophos und wie toll das Ganze ist. Ich kann es nur nicht nachvollziehen. Die GUI ist unübersichtlich und das System technisch nicht’s besonderes, kostet aber trotzdem nicht gerade wenig. Klar die Integration von Virenscanner, WLan usw. ist ne nette Sache für kleine Firmen um möglichst wenig Administrationsaufwand zu haben. Nur alleine wenn ich bei WLan auf Unifi setzte hab ich ein, meiner Meinung nach besseres und günstigeres System. Mal abgesehen davon das ich es nicht so gut finde, wenn ich alle Sicherheitsrelevanten System über einen Punkt gesteuert werden. Wobei ich das eh nicht vor hätte, somit die Module finde ich da nicht mal gut.
Also unterm Strich zahle ich meiner Meinung mehr, im Vergleich zu PFSense, ohne wirklich mehr zu bekommen.

PFSense finde ich ein gutes und günstiges System nur habe ich hier Angst das falls ich, aus welchen Gründen auch immer nicht mehr in der Firma wäre kein Betreuer mehr gefunden werden kann der sich das antut. Ich will keine Abhängigkeit zu mir schaffen. Hab aber auch ein bisschen Angst ob es wirklich Firmentauglich ist.

Als Alternativen habe ich jetzt aufgenommen:
Barracuda -> hatte ich schon länger im Auge. Hab da auch mal vor längerer Zeit angefragt, nur nie ne Antwort bekommen. Das hat mich doch abgeschreckt. Ich werde da aber noch mal nachfragen.
Fortigate -> habe ich zwar schon gehört mehr nicht. Muss ich mir mal genauer ansehen
Watchguard -> noch nicht auf dem Schirm.
ZyXEL -> wird ich auch mal kurz ansehen. Aber sieht wohl eher so aus als könnt ich mir das Sparen.
Checkpoint -> wird ich auch mal kurz Prüfen, aber anscheinend auch eher nicht’s nur aus anderen Gründen.
Cisco -> wär dann die Lösung, wenn ich nichts besseres Finde.
Somit schon mal Danke, fall’s aber noch einer Infos hat. Bitte gerne.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.09.2017 um 12:25:17 Uhr
Goto Top
Hallo wiesi,

vergiss nicht, jede GUI ist etwas anders aufgebaut. Selbst eine FritzBox ist mittlerweile nicht mehr so intuitiv bedienbar, wie es früher mal war (Bspw wer vermutet die Neustartfunktion unter dem Reiter System -> Sicherung -> Neustart).

Ich denke, bei jedem Umstieg von einem auf das andere System muss man sich etwas umgewöhnen, je mehr Funktion, desto mehr. Faktor Autovergleich mit Lenkrad und Co face-wink
Mitglied: sk
sk 23.09.2017 aktualisiert um 15:06:09 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
Zyxel ist leider sowas wie Lancom
... eine Firewall bzw mMn ein Firewall-Router, eben wie ... Lancom usw.
Dies insbesondere, da UTM zum einen immernoch gerne als "Firewall" bezeichnet werden und Router mittlerweile auch einige "Firewall"eigenschaften haben - siehe die AVM Geräte mit Gastnetz und Webfilter...(geht sogar teilweise darüber hinaus).

Ich finde es immer verwunderlich und amüsant, wie einige hier immer wieder mit dem Brustton der Überzeugung ihre eigene Unkenntnis öffentlich zur Schau stellen und dennoch anderen Ratschläge geben wollen.

Ich interpretiere Deine Aussagen so, dass Du glaubst, bei ZyXEL gäbe es bestenfalls SOHO-NAT-Router, die zusätzlich noch ein bisschen SPI-Firewall und etwas Webfiltering können. Herzlichen Glückwunsch: Das ist dann der Wissensstand von vor ca. 13 Jahren. face-wink
Gerade bei den Themen UTM und DPI bzw. Application Control/"Next Gen" war ZyXEL relativ früh im Markt und ist auch heute noch durchaus ordentlich aufgestellt. Bereits mit Erscheinen von ZyNOS 4.0 im Jahre 2004 oder 2005 konnte man eine ASIC-Erweiterungskarte erwerben, womit man die bereits im Markt befindlichen ZyWALL-Firewall-Router der 2. Generation um hardwarebeschleunigte UTM-Funktionen wie IDP, AV und AntiSpam aufrüsten konnte. Parallel dazu startetet die Entwicklung einer Linux-basierten Betriebssystem-Plattform namens ZLD, weil man das Entwicklungstempo der Mitbewerber mit der eigenen proprietären Plattform erkennbar nicht hätte mitgehen können. Bereits in der ersten produktiv wirklich einsetzbaren Version von ZLD (2.0) im Jahre 2007 war das Thema protokollunabhängige Anwendungserkennung erstmalig enthalten, auch wenn die Liste der erkannten und regulierbaren Applikationen - Versions-Redundanzen herausgerechnet - an einer Hand abzählbar war.
Seither wurde natürlich auch bei ZyXEL viel weiterentwickelt. Mittlerweile werden hunderte Applikationen erkannt und können granular beregelt werden. PaloAlto mag man diesbezüglich nicht nicht das Wasser reichen können, aber anderen Mitbewerbern steht man nicht viel nach. Bei den potenteren Modellen kann mittlerweile auch SSL-Verschlüsselung am Gateway aufgebrochen und inspiziert werden.
Wo bitte bieten Lancom oder gar AVM Vergleichbares? Beide Hersteller haben diesbezüglich rein gar nichts anzubieten!

Wir setzen in erster Linie Fortinet und DELL SonicWall ein. ZyXEL nur noch ganz vereinzelt - früher war es mehr. Hintergrund dessen ist, dass ZyXEL (für unsere gestiegenen Anforderungen) zu lange gebraucht hat, um bestimmte Features zu implementieren, die Forti und Sonic schon früher hatten (namentlich SSL-Inspection und unterbrechungsfreies HA). Bei den aktuellen Modellen und der aktuellen Firmware sehe ich ZyXEL aber hinsichtlich der von uns gewünschten Funktionen durchaus wieder auf Augenhöhe mit Fortinet und Sonicwall. Auch was andere Mitbewerber angeht. Je nach Hersteller gibt es Stärken und Schwächen sowie bewusst gesetzte Präferenzen. Die Unterschiede liegen aber schon sehr im Detail. Auch ZyXEL hat durchaus erkennbare technische Stärken - beispielsweise beim Thema Multi-WAN.
Bei der Weiterentwicklung wird ZyXEL den prominenteren Playern aber immer deutlich hinterher sein, denn Entwicklung kostet nunmehr in erster Linie Geld für qualifiziertes Personal. Und gerade das kann ZyXEL meines Erachtens nicht im gleichen Maße haben, wie solche Mitbewerber, die den Kunden für Support, Firmwareaktualisierungen und Garantieleistungen extra zur Kasse bitten. Diesbezüglich gibt es bei ZyXEL nämlich vieles für "lau" bzw. Gerätepreis-inklusiv, was woanders erheblich extra kostet. Umgekehrt ist aber gerade das im Small-Business-Bereich eines _der_ Argumente pro ZyXEL.

Gruß
sk
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.09.2017 um 19:30:42 Uhr
Goto Top
Ich fasse den langen Text gerne mal zusammen: Du widersprichst dir. Es bringt auch dem SMB (wobei ich 100 MA nun nicht mehr unbedingt dazu zählen würde) wenn mittlerweile essentielle Threats nicht erkannt werden und dadurch eklatanter Schaden bis zum Konkurs auf die Firma zukommen können, weil man nicht für die Wartung zahlen möchte...

Aber ich sehe selbst, dass Ihr nicht primär auf Zyxel setzt, das spricht Bände.
Mitglied: sk
sk 24.09.2017 aktualisiert um 00:32:41 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
Ich fasse den langen Text gerne mal zusammen: Du widersprichst dir. Es bringt auch dem SMB (wobei ich 100 MA nun nicht mehr unbedingt dazu zählen würde) wenn mittlerweile essentielle Threats nicht erkannt werden und dadurch eklatanter Schaden bis zum Konkurs auf die Firma zukommen können, weil man nicht für die Wartung zahlen möchte...

Eine leider sehr enttäuschende Antwort. Scheinbar mangelt es an Lesekompetenz bzw. Textverständnis oder ich habe mich wirklich mißverständlich ausgedrückt.
An welcher Stelle genau habe ich mir selbst wiedersprochen und inwiefern habe ich zum Ausdruck gebracht, dass ich es für hinnehmbar halte, zugunsten "gesparter" Wartungskosten zusätzliche Sicherheitsrisiken einzugehen?

Umgekehrt wird ein Schuh draus: Da es nunmal meiner Berufs- und Lebenserfahrung entspricht, dass in einigen Kleinunternehmen (ich schrieb bewusst von "Small-Business" - nicht wie Du von SMB, was auch mittlere Unternehmen erfasst) oftmals leider wenig Bereitschaft herrscht, sich zusätzliche laufende Kosten ans Bein zu binden, werden hier nicht selten Firewalls und VPN-Gateways mit veralteten und mit Sicherheitslücken behaftenen Firmwareversionen betrieben. Da ist es doch wesentlich sinnvoller und der Sicherheit dienlicher, in diesen Fällen statt dessen einen Hersteller zu wählen, der neue Firmwareversionen und Sicherheitsupdates während des gesamten Produktlebenszyklusses ohne zusätzliche Kosten bereitstellt. Bei ZyXEL ist dies der Fall und deshalb kann ZyXEL gerade in diesem Umfeld durchaus eine sinnvolle Alternative sein. Nichts anderes hatte ich abschließend beiläufig erwähnt.

Solltest Du aus meinem Text hingegen herausgelesen haben wollen, dass auch die Pattern für die UTM-Dienste bei ZyXEL kostenlos sind und dafür im Gegenzug tendenziell weniger schnell aktualisiert werden, dann muss ich Dich enttäuschen. Selbstverständlich kosten diese auch bei ZyXEL optional zusätzliches Geld. Und da zumindest bei AV, AS und CF letztlich renomierte Hersteller wie Kaspersky, Trend Micro und Cyren/Commtouch dahinter stecken, ist auch davon auszugehen, dass deren Aktualisierungsintervalle, Erkennungsraten und Leistungsumfänge sich weitgehend auf marktüblichen Niveau befinden. Lediglich die IDP-, ADP- und Applikationserkennungssignaturen sollen von einem ZyXEL-eigenen Research-Team stammen. Abgesehen davon, dass ich bzweifle, dass es diesbezüglich nicht doch irgendwelche Kooperationen mit anderen Herstellern gibt, mag man an dieser Stelle sicherlich unterstellen können, dass diese Pattern möglicherweise etwas weniger umfangreich sind, als solche bei Spezialisten wie PA oder finanzkräftigeren Herstellern wie Cisco. Dieser Grundannahme würde ich mich durchaus nicht verschließen wollen. Wie zutreffend und praxisrelevant dies ist, müste jedoch erst über einen längeren Zeitraum in aktuellen und wirklich herstellerunabhängigen Untersuchungen nachgewiesen werden. Sollten diese nicht vorliegen (mir sind keine aktuellen und wirklich seriösen bekannt), handelt es sich lediglich um reine Spekulation. Gesetzt den Fall, sie wären merklich schlechter, stellte sich immer noch die Frage, ob deren Verwendung für ein kleines Unternehmen nicht dennoch ratsamer wäre, als hierauf gänzlich zu verzichten, wenn die Angebote der Markt- und/oder Technologieführer aus Kostengründen nicht in Frage kämen.

Ich wunderte mich halt nur darüber, dass Du LANCOM und ZyXEL im Firewallumfeld technologisch auf eine Stufe gestellt hast und habe daher in Teilen erläutert, welchen Funktionsumfang die NextGen-Geräte von ZyXEL bieten und angemerkt, dass LANCOM diesbezüglich eben nichts Vergeichbares im Portfolio hat. Den Gegenbeweis bist Du seither leider schuldig geblieben.
Deshalb halte ich weiterhin an meiner These fest: Deine Gleichsetzung entspringt eher Vorurteilen und Unkenntnis als einer echten Expertise.

Im Übrigen weise ich darauf hin, dass ich mich ganz bewusst nicht zur eigentlichen Frage des TO geäußert - insbesondere keine Produktempfehlung abgegeben - habe. Einerseits weil ich mit keinem Hersteller irgendwie verbunden bin und deren Produkte bewerben oder gar verkaufen muss und andererseits weil die definierten Anforderungen so vage und minimal sind, dass mir eine Diskussion hierüber müßig und fachlich wenig stimulierend erscheint. Es gibt in diesem Forum anlässlich solcher Fragen schon genügend Threads mit reinen Hersteller-Aufzähl-Antworten. Wenn man dann doch mal versucht, herstellerunabhängig etwas mehr fachliche Tiefe hinein zu bringen, kommt selten etwas dabei herum. Da kann man seine Zeit anders besser investieren.

Gruß
sk
Mitglied: falscher-sperrstatus
falscher-sperrstatus 24.09.2017 um 02:09:52 Uhr
Goto Top
Da muss ich dir widersprechen, die gleichsetzung entspringt deiner Aussagen. Richtig, ich setze SB und SMB gleich, abgesehen davon, dass 100 Mitarbeiter für mich kein SB mehr ist. Ebenso könnte man argumentieren "da reicht auch eine Fritzbox". Wie du schon anführst, für Maintenance musst du hier wie dort bezahlen und im Endeffekt hast du dafür weniger. Das mag passen, wenn man es verkauft, denn schlussendlich sind weniger Lücken besser als mehr Lücken (Hinweis, da du es gerne genau nimmst: Mit Lücken meine ich keine Bugs und Fehler im System, sondern nicht-Funktionen im Portfolio - schliesslich sollen UTMs unified threads managen)aber eben wesentlich schlechter als ein möglichst allumfassender Schutz.

Grundsätzlich möchte ich dazu anfügen, da es die Sophos nicht nur im Modell S500 gibt, sollte diese für jeden Bereich stemmbar sein, ansonst läuft der Firmenzweck wohl eher unter Liebhaberei, oder es wird geknausert.
Anmerkung: Dabei will ich nicht sagen, dass eine Sophos immer die beste Lösung ist. Der Ausschluss ist allerdings eher bei riesigen Firmen oder mit solchen mit genug IT-Manpowerals bei den eher kleineren (SB - wie definierst du das eigentlich?) zu sehen.

Aber in einem kann ich dir vollumfänglich Recht geben, die Diskussion, auch auf der Fragebasis, ist müßig.
Schon alleine, weil der Vergleich pfSense vs Sophos in etwa einem Auto vs Laster oder Satellit vs Spacestation darstellt - ganz unabhängig von der nicht Einschränkung, wofür es genau gebraucht werden soll und wie die restlichen Systeme aussehen bzw was an "Schutzdiensten" autark gelöst wird/werden soll.

Das, und auch da kann ich dir Recht geben, ist allerdings ein grundsätzliches Problem des Boards, bzw aller Boards. Fundierte Antworten bekommt man eben immer noch am besten über eine professionelle Beauftragung - eben auch in der Form einer - hoffentlich - auf die Firma und seine Ansprüche angepassten Lösung.
Mitglied: tikayevent
tikayevent 24.09.2017 um 15:26:30 Uhr
Goto Top
Bei Sophos stellt sich erstmal die Frage, ob du eine UTM9 oder eine XG gesehen hast. Die UTM9, also ehemals Astaro finde ich auch sehr unübersichtlich. Ist halt gewachsen, wie es gerade gepasst hat, die XG dagegen finde ich sehr übersichtlich und wird vermutlich auch bald bei mir zum Einsatz kommen.

Zur Zeit setze ich Fortigate ein, damit habe ich vor fünf Jahren angefangen und werde demnächst damit aufhören. Bei Fortigate zahlt man immer alle UTM-Dienste mit, auch wenn diese nicht benötigt werden. Dementsprechend sind auch die Kosten. Warum muss ich die WAF mitzahlen, wenn ich nur einen Webfilter für die User haben will. Ich habe mich jeweils vor dem Kauf von Systemhäusern beraten lassen, am Ende kam aber immer nur Mist raus. Trotz genauer Angaben zu dem, was ich brauche, passte es am Ende nicht. Die erste war eine 60D, bei der ich auf einmal zu viele Adressobjekte hatte und jetzt hab ich zwei 91E, bei denen immer nach einer Woche der RAM vollläuft. Und von einem Systemhaus, was als Kernkompetenz Carriertechnik anbietet, erwarte ich, das sowas nicht passiert. Bei der 60D musste ich dann während der Lebensdauer schon so achtmal die SD-Karte tauschen. Mittlerweile hab ich es aufgegeben und lass die ohne SD laufen.

Aber scheinbar sucht wiesi keine UTM-Lösung sondern wirklich nur einen Paketfilter mit VPN, von Webfilter oder so habe ich nichts gelesen. Wenn es um S2S-VPNs geht, ist man eigentlich relativ frei in der Auswahl, ich würde es mit LANCOM machen, andere mit bintec, andere mit einer ASA, wie der andere mit Mikrotik. Wenn es um Roadwarrior geht, dann kann ich nur eine ganz klare Empfehlung machen und das ist die ASA. Ich hab es mit mehreren versucht, Juniper, Fortigate, freie Clients, NCP/LANCOM und einzig der Cisco AnyConnect funktioniert problemlos. Am schlimmsten war der FortiClient, der streikt sehr gerne bei erfolgten Windows Updates, fehlenden Windows Updates, wenn IPv6 im Spiel ist, wenn NAT im Spiel ist und all solche Sachen. Ging sogar soweit, dass 16 Mitarbeitern, die es direkt vor der Abreise zu einer Messe getestet haben, den Messebesuch direkt wieder abbrechen konnten.
Mitglied: 108012
108012 25.09.2017 aktualisiert um 15:45:54 Uhr
Goto Top
Hallo nochmal,

eine Sophos UTM oder Untangle UTM Softwarelösung oder Endian auf einem kleinen APU2C4 sollten die "nur"
Firewall auch stemmen können! Oder ein älterer Server mit ClearOS kann das auch alles was hier abverlangt wird
und ist auch günstiger in der Bezahlung.

Gruß
Dobby