Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hardwarefirewall mit UTM bzw. NG Funktionalität oder Basisfirewall und besser ausgestatteter Client AV

Frage Sicherheit

Mitglied: Knorkator

Knorkator (Level 1) - Jetzt verbinden

06.06.2014, aktualisiert 16.06.2014, 2052 Aufrufe, 6 Kommentare

Hallo,

ich brauch mal ein paar Ratschläge.

Vorab ein Überblick über unsere Umgebung:
ca. 60 Clients mit Windows7 (alles Email Nutzer)
Windows Fileserver
MS Exchange 2010
ca. 8 IPhone Nutzer, 3 Android Nutzer
3-4 Site-2Site-VPN Tunnel zu Lieferanten / Kunden (geringer Traffic)
Evtl. bald eine weitere Site2Site VPN Verbindung zu einem Zweigwerk (Traffic derzeit noch unklar)
Derzeit Routet die Firewall noch zwischen 4 Subnetzen (Traffic gibt es quasi nur zwischen 2 Subnetzen (bissl RDP und ein bissl SQL).


Bisheriger Umgang mit Mails / Internetzugriff der Nutzer
Mails und HTTPS für Outlook Anywhere / ActiveSync werden ungeprüft an den Exchange 2010 weitergeleitet.
Dort läuft eine Mailsecuritysoftware (Gdata) welche auf Viren und Spam prüft und die Mails dann an Port xyz an den passenden Empfangsconnector weiterleitet.
Im Durchschnitt haben wir so 300-400 Spammails die pro Woche aussortiert werden.
Viren kommen natürlich höchst Unterschiedlich per Mail rein - ca. 5-10 pro Woche.
Die Clientsysteme melden so gut wie nie irgendwelche Viren, ab und zu springt der Outlook Schutz an wenn die Mailsecurity eine Mail durchgelassen hat.
Die Nutzer arbeiten i.d.R. sehr verantwortungsbewusst.
Die Clients haben ebenfalls den Gdata Client installiert (Nur Antivirus Lösung)
Wir haben keine Außendienstmitarbeiter welche mit einem Notebook durch die Welt reisen (PPTP VPN wird fast nur von den Admins genutzt)
Updates werden bei uns Zeitnah per Wsus verteilt.
WWW Zugriffsreglementierungen sind derzeit nicht gegeben!
Die Iphones/Android Systeme haben derzeit keinen gesonderten Schutz bei Diebstahl o.ä.
USB Ports werden derzeit auch nicht geprüft/geblockt.
CD Laufwerke sind nicht verbaut.


Ist ja schon recht lang die Liste.. hoffentlich liest das jemand!


Zum Kernthema:
Unsere Firewall ist uralt und muss ausgetauscht werden.
Die Subscript für den Virenscanner läuft bald ab und ich schaue mich derzeit nach anderen Produkten um (kann ja sein, dass andere Hersteller bessere / günstigere Lösungen im Portfolio haben!)

Wir beschäftigen uns nun schon mehrere Monate mit dem Thema Firewall, hatten auch schon Modelle im Test und tendieren zu einer Dell Sonicwall incl. Comprehensive Gateway Lösung für 36 Monate.
Preisregion ca. 5000,- Netto incl. 36Monate Subscriptions und Support im Hardwareausfall.
Dafür ist in der Lösung alles enthalten, Antispam, AV sowie das neue Superthema Deep-Packet-Inspection mit dem die Firewall Hersteller uns das blaue vom Himmel versprechen.

Bei der Recherche für den Virenscanner ist mir aufgefallen, dass viele Hersteller die Funktionen USB-Kontrolle, www Zugriffskontrolle sowie AV- / Spamschutz in die Produkte integriert haben.
Da wir so gut wie keine Viren an den Clients haben (AV aktuell,

Daher frage ich mich, welcher Ansatz für uns der passende ist.
Wie hoch ist die Bedrohungslage bzw. wie nötig ist der NextGen Schutz mit Deep Paket Inspection etc.
Kostet ja schließlich alles Geld und die GF möchte so wenig wie möglich ausgeben.

Teure Firewall / normale AV Lösung sowie USB Managementsoftware und Mobile Device Schutz?
Günstige Firewall mit Basisfunktionalität wie Multi-WAN, VPN / Portforwarding von 25 und 443 an den Exchange sowie AV Lösung mit Exchange Plugin, WWW Reglementierung und USB Management?

Danke für jeden Beitrag und schönes Wochenende










Mitglied: wiesi200
06.06.2014, aktualisiert um 15:37 Uhr
Hallo,

also meine Aufteilung ist so.
Normale Firewall.
DMZ - Linux Reverse Proxy, Linux Webserver, Linux Spamgateway (Anleitung hab ich hier rein gestellt).
http://www.administrator.de/wissen/e-mail-anti-spam-proxy-mit-centos-23 ...

Virenscanner (Trendmicro Worry Free) mit Exchange Modul, Contentfilter usw. was eben ja eh dabei ist.

Und bei Gelegenheit kommt noch ein normaler Proxy mit Virenfilter auf Linux Basis dazu.
Bitte warten ..
Mitglied: Dobby
06.06.2014 um 16:55 Uhr
Hallo,

also meines Erachtens nach sollte die Frage nicht entweder oder heißen sondern was lässt sich wie am sinnvolsten
miteinander kombinieren.

Einen NG Firewlall mit UTM Eigenschaften wie zum Beispiel die von PaloAlto Networks PA-xx Serie
kann durch aus angeschafft werden und man hat trotz alle dem noch einen guten AV Schutz auf
den Servern und den Klienten wie zum Beispiel von TrendMicro oder ESET.

Bei ständigen und permanenten VPN Verbindungen zu Kunden und Lieferanten, wäre mir
das ausgesprochen peinlich wenn die alle zusammen wegen mir bzw. meinem Umgang mit
diesem Thema alle auf einmal ein ganz dickes Problem bekommen würden.

Also die MS Klienten und Server würde ich alle mit einer Server gestützten AV Lösung ausstatten
und dann falls vorhanden die Linux Server mit ClamAV bestücken.

Und am WAN Bereich würde ich mir mal eine All-in-One Lösung anschauen, eventuell mal von
PaloAlto Networks Erkundigungen einholen, denn die haben alles in einem Paket und die
genießen auch einen hervorragenden Ruf auf diesem Gebiet.
PaloAlto Networks NG-Firewall mit UTM Funktionalität

Normalerweise richtet sich das aber auch immer nach dem Sicherheitsbedürfnis einer
Firma, aber ein kombinierter AV Schutz und eine erhöhte Firewall-Funktionalität
runden das ganze doch erst ab und dann muss man sich später auch keine Vorwürfe
machen lassen, wenn einmal etwas passiert.

Was ist Euch das vertrauen und Euer guter Ruf wert, was passiert wenn Eure Daten
kompromittiert wurden und/oder sogar zerstört wurden?

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
06.06.2014 um 22:00 Uhr
Guten Abend,
Dell Sonicwall incl. Comprehensive Gateway Lösung für 36 Monate.
http://www.administrator.de/forum/layer-7-firewall-palo-alto-oder-sonic ...
http://www.administrator.de/forum/erfahrungen-mit-sonicwall-205264.html ...

(PPTP VPN wird fast nur von den Admins genutzt)
Den Artikel kennst du zu dem Thema?!

Ansonsten schließe ich mich Dobby an. Auf die IP-Sec-Tunnels wirklich nur IPs zu lassen, die auch Zugang benötigen und nicht das ganze Subnet bzw. Netzwerk.
Wir nutzen an forderste Front die Barracuda NG-Serie. Bieten parallel zu Englisch auch deutschen Support an und der ist 1a.


Grüße,
Dani
Bitte warten ..
Mitglied: Knorkator
16.06.2014 um 11:47 Uhr
Hallo und Danke für die Beiträge!

Palo Alto ist zu teuer, das krieg ich nicht durch.

die sehr schlechte Erreichbarkeit des Dell Supports konnte ich während der Testphase auch feststellen.
Teileweise dauerte der Rückruf 3 Tage und war dann nicht zufriedenstellend.
Wir haben eine Schulung in Betracht gezogen um nicht auf den Support zurückgreifen zu müssen - was bei Bugs natürlich nicht helfen würde.

Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.

Ich melde mich..
Bitte warten ..
Mitglied: Dobby
16.06.2014 um 12:07 Uhr
Hallo,

Palo Alto ist zu teuer, das krieg ich nicht durch.
Oki Doki, ist auch wirklich nicht günstig aber die sind eben auch führend
auf dem Markt was NG Funktionalität angeht und das lassen sie sich eben
auch bezahlen.

Wenn eine Firewall bereits vorhanden ist oder nur eine günstige in Betracht kommt,
könnte man auch auf eine STM Variante zurückgreifen, die ist völlig transparent
hinter der Firewall und filtert dort eben alles durch! Netgear STM

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
16.06.2014 um 12:15 Uhr
Moin,
Palo Alto ist zu teuer, das krieg ich nicht durch
Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.
Setz dich auf jeden Fall hin.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Exchange Server
gelöst Exchange 2010 - Anonymes relay für einzelnen Client?? (10)

Frage von eastfrisian zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...