ds6.eu
Goto Top

Aktuelle Probleme mit der XG(s) Serie von Sophos

Guten Abend,

da es wohl eine durchaus starke Problematik mit der bereit seit Jahren eigentlich aktuellen XG(s) Serie von Sophos gibt, möchte ich hiermit einen Themenbereich aufmachen, in dem darüber diskutiert wird.

Was ist Pro (+) und was ist Contra (-), gerne auch in Hinsicht auf Support, Featuresets etc.

Danke.

Ich bin leider ebenfalls von der XG(s) nicht angetan, viele "Grundmethoden" der Abschottung sind einfach ins Nirvana übergeführt worden oder "tbd".

Vielleicht bewegen wir mit dem Beitrag auch etwas ins positive.

Viele Grüße!

Content-ID: 669275

Url: https://administrator.de/forum/aktuelle-probleme-mit-der-xgs-serie-von-sophos-669275.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

em-pie
em-pie 05.11.2024 aktualisiert um 20:57:56 Uhr
Goto Top
Moin,

Der nächste Sophos-Auskotz Thread.
Fürchte, es bleibt hier nicht sachlich/ faktenbasiert face-confused

viele "Grundmethoden" der Abschottung sind einfach ins Nirvana übergeführt worden oder "tbd".
Welche Grundmethoden vermisst du denn?
Wir haben mit dem Umzug SG -> XGS nichts verloren. Nur ein Feature bewusst nicht mitlizensiert: die Webserver-Protection. Das macht bei uns der Netscaler.
Und das WLAN der Gäste übernimmt nun bei uns auch die Cisco-Infrastruktur, nutzt aber das CaptivePortal der XGS…
LucarToni
LucarToni 05.11.2024 um 21:45:48 Uhr
Goto Top
Wie auch in anderen Post: Ich bin Mitarbeiter von Sophos seit längerem und auch in der Sophos Community aktiv. Ich nutze kurz ein paar Text Passagen, die ich in einem anderen Thread verwendet habe:


Das Kommentar von OP kam aus diesem Thread: Firewall ersetzen
Da ich den Thread nicht unnötig aufblasen wollte, habe ich einen zweiten Thread erfragt.

Jedoch finde ich ein "aktuelle Probleme" sehr unspezifisch.
Worum geht es denn? Was sind die aktuellen Probleme?

Feature Wünsche von Sophos werden generell mit einer gewissen Prioritätenliste abgearbeitet - Siehe zum Beispiel lets Encrypt in V21.0.

Das Thema ist häufig, wie in jedem Produkt: Egal wenn man fragt, man erhält eine andere Prioritätenliste.
Oft wird der Vergleich mit der Sophos UTM aufgemacht und gesagt "Dort war das Möglich, es wurde gestrichen". Jedoch ist es nicht so, als hätte Sophos ein Feature "gestrichen", sondern nicht implementiert. SFOS (das Betriebssystem von der XGS Firewall) ist ein neues Betriebssystem, das gebaut wurde und jedes Feature, das man implementiert, muss entwickelt werden.

Beispiele aus dem anderen Thread:

NTP Server - SFOS bietet keinen NTP Server, jedoch einen Workaround, um den NTP Server nativ nachzubauen. Für die meisten Kunden ausreichend und erfordert kein Umbau der Umgebung. https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/1184 ...
Bei dem NTP Server muss man sich bewusst sein, ein Server bietet eine Funktionalität nach außen an (Port123) - Das öffnet ein weiteres Tor in das Produkt, was man auch gerne als Hersteller vermeiden möchte, wenn nicht absolut notwendig. Da der Workaround sehr gut in der Praxis funktioniert, sehe ich persönlich nicht den großen Bedarf nach einem NTP Server.

Ein HA Sync Problem ist mir generell nicht bekannt, wie bei UTM, kann es bei einem HA Cluster ggf. zu Cluster Problemen führen, aber häufig sind davon einzelne Kunden nicht betroffen. Als Partner jedoch, der zum Beispiel 300 Firewalls betreut, kann es mehr dazu kommen, dass man einen Kunden sieht, der ein Problem hat. Gerne hätte ich dazu mehr Informationen gehabt.

SMTP Auth - Wir haben kein SMTP Auth nach dem RFC implementiert. Man könnte jedoch über IP ein Relaying einbauen. SMTP Auth, wie auf der UTM, ermöglicht es, jede Email als Source bzw. Destination zu erreichen. Daher wurde das damals nicht eingebaut und bis dato nicht berücksichtig. Ich verstehe den Use Case (Drucker etc.) jedoch. Kann hier nur empfehlen, lieber die Geräte an den Mail Server zu schicken, als ein Mail Relay über eine Firewall dazwischen zu schalten.

Bezüglich Central Management - Das ist eine bekannte Limitation und da soll es noch Änderungen dieses Jahr bzw. Anfang nächstes Jahr geben - Jedoch ist das eher ein Partner Thema als ein Kunden Thema. Partner haben, wie oben, häufiger den Bedarf, mehrere Firewalls gleichzeitig zu administrieren. Kunden nutzen häufig für Ihre Firewalls den :4444 Webadmin.

Spam Filter über Sophos Central Email kann ich so nicht nachvollziehen. Meine Umgebungen sind über Sophos Central geschützt bzw. auch Sophos intern nutzt Central Email. Ich bekomme sehe wenige Spam Emails. Gerne mehr Details dazu.

Ein 1:1 NAT ist eine valide Limitation, die wir auch im Backlog haben. Diese Limitation ist jedoch etwas, was ich persönlich nur 1-2 mal im Jahr sehe, dass jemand so große Netze ins 1:1 NAT aufnimmt. Use Cases sind häufig Data Centers. Wo genau wird ein 1:1 NAT mit so großen Netzen benötigt?

Die 1 MB Limitation von Active Sync wird höchst wahrscheinlich in einem Release Update Anfang nächstes Jahr gelöst und konfigurierbar sein. Diese Limitation kommt sogar von ModSecurity selbst.


Ich kann gerne zu mehr Dingen Feedback und Einschätzungen geben. Wenn es zu sehr Abschweift, kann ich wohl auch nur bedingt helfen.
Dragon0001
Dragon0001 05.11.2024 um 22:11:56 Uhr
Goto Top
Zitat von @LucarToni:

NTP Server - SFOS bietet keinen NTP Server, jedoch einen Workaround, um den NTP Server nativ nachzubauen. Für die meisten Kunden ausreichend und erfordert kein Umbau der Umgebung. https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/1184 ...
Bei dem NTP Server muss man sich bewusst sein, ein Server bietet eine Funktionalität nach außen an (Port123) - Das öffnet ein weiteres Tor in das Produkt, was man auch gerne als Hersteller vermeiden möchte, wenn nicht absolut notwendig. Da der Workaround sehr gut in der Praxis funktioniert, sehe ich persönlich nicht den großen Bedarf nach einem NTP Server.

Von den genannten Punkten ist das der Einzige, der uns auch bei der Umstellung von der UTM aufgefallen ist. Es ist zwar kein Must-have, aber war ein praktisches Feature, weil die Firewall in allen VLANs hängt und unabhängig von anderen Firewall-Regeln als NTP genutzt werden konnte. Mit dem Workaround lässt sich das zwar auch bei der XGS ohne Umbau umsetzen, aber schöner wäre eine Lösung von Sophos.

Ansonsten war die Umstellung von UTM zur XGS für mich vor allem eine Umgewöhnung. Manche Sachen funktionieren unterschiedlich oder sind anders aufgebaut. Das Anlegen von Firewall-Regeln dauert beispielsweise länger; auch weil es schlicht mehr Möglichkeiten gibt.
jsysde
jsysde 05.11.2024 um 22:45:41 Uhr
Goto Top
Moin.

Warum nur war mir klar, dass die geschilderten, real existierenden Probleme einem "Sophos-Mitarbeiter" unbekannt sind bzw. er sie nicht nachvollziehen kann. Oder "wegargumentieren" will. Ich _will! _ keine Würgarounds, ich will ein funktionierendes Produkt. Punkt. Keine Pointe.

Mir isses auch wurscht, ob der "Sophos-Mitarbeiter", die real existierenden Probleme "nur 1-2 Mal im Jahr" sieht - sie existieren, sind teils seit Jahren an Sophos gemeldet und außer vagen Versprechungen ("haben wir im Backlog") hat sich null komma nix an der besch*** Situation geändert!

Cheers,
jsysde
em-pie
em-pie 05.11.2024 aktualisiert um 22:51:23 Uhr
Goto Top
@LucarToni
Finde es gut, dass du hier, im Rahmen deiner Möglichkeiten, Transparenz rein bringst - vermutlich ein Stück auch außerhalb deiner regulären Arbeitszeit.

Bei deinen o.g. Punkten hatten wir auch „nur“ die NTP-Thematik als einen Punkt. War durch unseren Partner aber bei der Migration direkt mit erledigt und kein Hexenwerk. Im LAN macht bei uns NTP der/ die DCs. Nur für DMZ ist es die XGS

Rest war für uns kein Thema. Bin auch bei dir: eine Firewall sollte nicht für jeden das MailRelay sein. Max. Für den internen MailServer. hat man den nicht, dafür aber 17474728 Drucker -> Linux mit Mailserver aufsetzen und den die internen Mails entgegennehmen lassen.


@rest/ All
Ein radikaler Wechsel bietet aber auch einen nicht unwesentlichen Vorteil: man muss sich mit seinem System noch mal auseinandersetzen und kann alle Policiys neu bewerten. (Schluderige) Altlasten können so gezielt „ausgebaut“ werden.
Und ja, man muss sich halt gelegentlich umgewöhnen. Ein Audi/ Mercedes, BMW, VW, … hat heute auch ein anderes UI denn die Fahrzeuge von vor 30 Jahren…


Edit: und je mehr Sche!ße Dienste auf einem System laufen, desto leistungsstärker (teurer) muss die Hardware sein/ wartungsintensiber wird ein solches System.
LucarToni
LucarToni 05.11.2024 um 23:07:13 Uhr
Goto Top
Zitat von @jsysde:

Moin.

Warum nur war mir klar, dass die geschilderten, real existierenden Probleme einem "Sophos-Mitarbeiter" unbekannt sind bzw. er sie nicht nachvollziehen kann. Oder "wegargumentieren" will. Ich _will! _ keine Würgarounds, ich will ein funktionierendes Produkt. Punkt. Keine Pointe.

Mir isses auch wurscht, ob der "Sophos-Mitarbeiter", die real existierenden Probleme "nur 1-2 Mal im Jahr" sieht - sie existieren, sind teils seit Jahren an Sophos gemeldet und außer vagen Versprechungen ("haben wir im Backlog") hat sich null komma nix an der besch*** Situation geändert!

Cheers,
jsysde

Gehen wir doch mal näher auf diese Situation ein.
Sophos hat, wie jedes Unternehmen, gewisse Ressourcen, die genutzt werden können, um ein Feature oder eine Änderung im Produkt zu implementieren.
Wenn wir nun hören, dass etwas fehlt, nehmen wir das intern auf. Daraufhin wird dann geschaut, wie häufig tritt es auf, welche Kunden melden sich und auch: gibt es einen Workaround dafür, damit ein Kunde seine Umgebung umsetzen kann, wie er das möchte.

Du kannst nicht alles auf einmal machen: So viele Q&A Prozesse hast du nicht, um das alles zu testen, in seinen Abhängigkeiten etc.

Daher überlegt das Produkt Management, wie viele Kunden sie mit welchen Feature adressieren können.
Auch das Feedback aus Community und anderen Quellen wird betrachtet, was wichtig ist.

Ein Backlog von einem Produkt wie einer Firewall ist endlos lang: Man kann dort alles mögliche finden, kleine aber auch große Features. Die Frage ist, welche Punkte sind "jetzt" wichtig. Was soll als nächstes kommen.

Ich führe häufig diese Diskussionen, und von Partnern höre ich in jedem Gespräch immer andere Punkte, die diesem Partner gerade wichtig sind.

Ich versuche hier nichts "wegzuräumen". Die Punkte sind plausible und valide Use Cases. Nur ist die Frage, wenn wir X00.000 Firewalls im Umlauf haben, macht es Sinn, ein Feature zu bauen, das .01% der Kunde einsetzt? Diese Gedanken muss man sich stellen.

Gehen wir nun davon aus, du kannst entscheiden, welche Features in die SFOSv21.5 Version kommen sollen - Was sollte das sein? Würde mich nur mal interessieren, ich kann das gerne auch weitergeben. Was wären deine Top 5 Features, die Sophos implementieren sollte?
150631
150631 06.11.2024 um 04:45:40 Uhr
Goto Top
Und wenn Sophos nicht das richtige Produkt ist?
Wurde es vielleicht nach preislichen Bewertungen gekauft?
NTP Server auf der Firewall ist dir wichtig? Solche Sorgen hätte ich auch gerne.
elix2k
elix2k 06.11.2024 um 07:39:31 Uhr
Goto Top
Die Menschen haben sich daran gewöhnt, dass Sophos eine eierlegende Wollmilchsau ist.
Wir sind von der SG auf FortiGate umgestiegen und im Prinzip muss man die hälfte der Sophos-Features als separates Produkt dazu kaufen. Auch wenn was fehlt, vom Feature-Set ist Sophos einmalig.
DerMaddin
DerMaddin 06.11.2024 um 08:04:30 Uhr
Goto Top
Moin,

eine Bitte an die Kritiker und auch Hater bitte bleibt sachlich

Es wurden bisher keine nachvollziehbaren technischen Gründe genannt, dass XGS oder Sophos im Allgemeinen nicht gut genug sei. Es wurde viel über "schlechten Support" geschrieben, der aber scheinbar noch zu Zeiten als die UTM das Hauptprodukt war, erfolgte. Vieles ist sehr emotional aufgeladen und subjektiv dargestellt.

Ich kann bisher in Summe nur überwiegend positiv von Sophos im Allgemeinen, nicht nur über Firewall (UTM und XGS) berichten. Ja die Sophos Produkte bzw. die Lizenzen sind in den letzten 3-4 Jahren massiv im Preis nach oben gegangen. Dies ist aber bei anderen Herstellern der gleiche Fall und teils sogar mehr. Trotzdem ist es noch im unteren/mittleren Preissegment.

Die Preiserhöhungen sind aber nicht nur im Bereich von IT-Security zu sehen. Ob das Teamviewer ist oder ITSM Tools oder Cloud-Dienste. Alles ist wesentlich teurer geworden. Hört auch zu jammern, akzeptiert die Fakten und wechselt zu einem anderen Produkt, wenn euch oder eurem IT-Entscheider das zu teuer ist. Hört aber auf ein Produkt oder Hersteller schlecht zu machen nur weil ihr es nicht mögt.
nachgefragt
nachgefragt 06.11.2024 aktualisiert um 09:37:06 Uhr
Goto Top
Zitat von @ds6.eu:
Was ist Pro (+) und was ist Contra (-), gerne auch in Hinsicht auf Support, Featuresets etc.

Hi ds6.eu,

vorab, bitte hinterfrage auch von wem die Meinung kommt, d.h. ist es ein Sophos-Partner, -vertreter, -mitarbeiter, entsprechend bewerte ich die Aussage. Jemand der mit oder durch Sophos Geld verdient, hat sicherlich eine andere Einstellung wie der, der durch den extremen Preisanstieg Konsequenzen hat.

Es handelt sich hierbei um meine Erfahrungen mit Sophos, die ich in meinem Umfeld mache/gemacht hatte.

Als jahrelanger Sophos/Astaro Kunde kann ich von Sophos mittlerweile nur noch abraten!

LIZENPOLITIK
Die Lizenzkosten wurden bei Kollegen und mir (UTM Firewall) verdoppelt, z.B. bei der SG Serie (eol Juni 2026), ab ca. 2020 beachtliche 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert, bei den mir bekannten Fällen (36 Monate Lizenz). Vor allem KMUs hatten es in der Corona Zeit sowieso schon schwer und wurden von Sophos mit einer Verdoppelung der Lizenzkosten zur Kasse gebeten.

Mein Eindruck
Sophos wächst, Secureworks wurde gerade aufgekauft und auch Bestandskunden ohne Neuerungen sollen den Sophos Kosmos finanzieren, Zweck und Individualität gehen in so mancher Konzernstruktur einfach manchmal unter.
Feedback Sophos: "Wenn Sie nun doch schon fast die Lizenzkosten einer XGS zahlen, wie wäre es, eine zu kaufen?"

Gefühlt versickern die Kosten für so manche Abo's und Supportkosten in einer Systematik oder Konzernstruktur, wie unsere Rentenversicherung, irgendwo im Nirvana, aber kommen nie mehr beim Zahlenden an.

KOSTENPLANUNG
Wie oben genannt muss man bei der Kostenplanung die Lizenzkosten wohl nun im Auge behalten. Ich rechne i.d.R. auf 60 Monate.

SUPPORTCHARAKTER
Der Sophos Herstellersupport ist der absolute Horror!

0815-Fehler sollte man besser mit der Community klären, dieses Forum ist für Sophos natürlich nicht so kostenintensiv wie ein Supportmitarbeiter, welche i.d.R. nicht in Deutschland sitzen. Der 1. Level Herstellersupport verweist auch auf die Community.

Die Summe an Lizenzkosten + Enhanced Plus Support + zertifizierten 150€/h Dienstleister + Zeit kann sich ggf. nicht jedes Unternehmen leisten.

siehe auch Kommentare von @jsysde
Firewall ersetzen

Sophos = schlechter Support muss nicht billig sein!

HARDWARE
Ich finde auch die, wenn man mal die genauen Spezifikationen findet, die Sophos Hardware doch recht teuer für das Gebotene. https://firewalls24.de/blog/sophos-xgs-firewall-vergleich-durchsatz-cpu- ...

Schnittstellenerweiterungen sind ebenfalls überteuert, sollte diese mal in der Lebenszeit der Firewall ausgehen und/oder aufgerüstet werden müssen.

WLAN Access Points
Ich finde ebenso, wie hier beschrieben, das EOL Datum für Sophos Access Point unangebracht.

Das bedeutet, dass man Ende Dezember 2027 etwas überspitzt gesagt nur noch Hardwareschrott in den Händen hält, welcher im schlimmsten Fall gerade mal 3 Jahre und 8 Monate alt ist
Quelle: https://www.avanet.com/blog/sophos-apx-access-points-end-of-life-und-end ...

PRO
Aber auf meiner alte Sophos Hardware lässt sich auch OPNsense installieren, auch wenn ich sowas nicht kommerziell nutzen würde.

ZUKUNFT
Ich glaube, das neue Sophos Konstrukt bietet sehr viel Dienstleistungspotential für Sophos-Partner bzw. Systemhäuser, bedingt durch mehr Features, Cloudanbindung,... Ob man die Features aber wirklich benötigt oder möchte, sollte regelmäßig reflektiert werden.

ALTERNATIVEN
Ich finde Ansätze wie von Thomas Krenn sehr interessant: https://www.youtube.com/watch?v=1fq20MkeguU
Zumal man, wie im Falle der OPNsense, einfach lizenzkostenfrei (auf alter Hardware) testen kann, und entsprechend mit Plugins oder Zenarmor, erweitern kann, natürlich mit kostenpflichten Business- oder Enterprise Support.
https://www.zenarmor.com/plans
150631
150631 06.11.2024 um 09:32:45 Uhr
Goto Top
Zitat von @DerMaddin:

Ich kann bisher in Summe nur überwiegend positiv von Sophos im Allgemeinen, nicht nur über Firewall (UTM und XGS) berichten.

Und du hast auch schon genug andere Technik ernsthaft betrieben?

Ich kenne diverse Anbieter und der Wechsel von Palo Alto zu Checkpoint war der Preissteigerung geschuldet. Das händische migrieren schon mit eingepreist, war das seinerzeit günstiger.

Jetzt haben wir ein paar Firepower und Genugate, weil wir Vorschriften zu erfüllen haben. Die Firepower laufen als interne Gatewas und die Genugates haben Kontakt zum Internet.

Gucke ich jetzt nach über 10 Jahren wieder bei Watchguard rein, dann hat sich da nicht überall was verändert. Ob das gut oder schlecht ist, muss im Einzelfall bewertet werden.

Wollmilchspielzeugsäue sehe ich kritisch, egal wie gute der Code ist,

Sophos, was ich bisher sah, wirkte auch ich wie ein Spielzeugladen.
Exemplarisch kann man den NTP-Server sehen.
LucarToni
LucarToni 06.11.2024 um 10:32:24 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @ds6.eu:
Was ist Pro (+) und was ist Contra (-), gerne auch in Hinsicht auf Support, Featuresets etc.

Hi ds6.eu,

vorab, bitte hinterfrage auch von wem die Meinung kommt, d.h. ist es ein Sophos-Partner, -vertreter, -mitarbeiter, entsprechend bewerte ich die Aussage. Jemand der mit oder durch Sophos Geld verdient, hat sicherlich eine andere Einstellung wie der, der durch den extremen Preisanstieg Konsequenzen hat.

Es handelt sich hierbei um meine Erfahrungen mit Sophos, die ich in meinem Umfeld mache/gemacht hatte.

Als jahrelanger Sophos/Astaro Kunde kann ich von Sophos mittlerweile nur noch abraten!

LIZENPOLITIK
Die Lizenzkosten wurden bei Kollegen und mir (UTM Firewall) verdoppelt, z.B. bei der SG Serie (eol Juni 2026), ab ca. 2020 beachtliche 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert, bei den mir bekannten Fällen (36 Monate Lizenz). Vor allem KMUs hatten es in der Corona Zeit sowieso schon schwer und wurden von Sophos mit einer Verdoppelung der Lizenzkosten zur Kasse gebeten.

Mein Eindruck
Sophos wächst, Secureworks wurde gerade aufgekauft und auch Bestandskunden ohne Neuerungen sollen den Sophos Kosmos finanzieren, Zweck und Individualität gehen in so mancher Konzernstruktur einfach manchmal unter.
Feedback Sophos: "Wenn Sie nun doch schon fast die Lizenzkosten einer XGS zahlen, wie wäre es, eine zu kaufen?"

Gefühlt versickern die Kosten für so manche Abo's und Supportkosten in einer Systematik oder Konzernstruktur, wie unsere Rentenversicherung, irgendwo im Nirvana, aber kommen nie mehr beim Zahlenden an.

KOSTENPLANUNG
Wie oben genannt muss man bei der Kostenplanung die Lizenzkosten wohl nun im Auge behalten. Ich rechne i.d.R. auf 60 Monate.

SUPPORTCHARAKTER
Der Sophos Herstellersupport ist der absolute Horror!

0815-Fehler sollte man besser mit der Community klären, dieses Forum ist für Sophos natürlich nicht so kostenintensiv wie ein Supportmitarbeiter, welche i.d.R. nicht in Deutschland sitzen. Der 1. Level Herstellersupport verweist auch auf die Community.

Die Summe an Lizenzkosten + Enhanced Plus Support + zertifizierten 150€/h Dienstleister + Zeit kann sich ggf. nicht jedes Unternehmen leisten.

siehe auch Kommentare von @jsysde
Firewall ersetzen

Sophos = schlechter Support muss nicht billig sein!

HARDWARE
Ich finde auch die, wenn man mal die genauen Spezifikationen findet, die Sophos Hardware doch recht teuer für das Gebotene. https://firewalls24.de/blog/sophos-xgs-firewall-vergleich-durchsatz-cpu- ...

Schnittstellenerweiterungen sind ebenfalls überteuert, sollte diese mal in der Lebenszeit der Firewall ausgehen und/oder aufgerüstet werden müssen.

WLAN Access Points
Ich finde ebenso, wie hier beschrieben, das EOL Datum für Sophos Access Point unangebracht.

Das bedeutet, dass man Ende Dezember 2027 etwas überspitzt gesagt nur noch Hardwareschrott in den Händen hält, welcher im schlimmsten Fall gerade mal 3 Jahre und 8 Monate alt ist
Quelle: https://www.avanet.com/blog/sophos-apx-access-points-end-of-life-und-end ...

PRO
Aber auf meiner alte Sophos Hardware lässt sich auch OPNsense installieren, auch wenn ich sowas nicht kommerziell nutzen würde.

ZUKUNFT
Ich glaube, das neue Sophos Konstrukt bietet sehr viel Dienstleistungspotential für Sophos-Partner bzw. Systemhäuser, bedingt durch mehr Features, Cloudanbindung,... Ob man die Features aber wirklich benötigt oder möchte, sollte regelmäßig reflektiert werden.

ALTERNATIVEN
Ich finde Ansätze wie von Thomas Krenn sehr interessant: https://www.youtube.com/watch?v=1fq20MkeguU
Zumal man, wie im Falle der OPNsense, einfach lizenzkostenfrei (auf alter Hardware) testen kann, und entsprechend mit Plugins oder Zenarmor, erweitern kann, natürlich mit kostenpflichten Business- oder Enterprise Support.
https://www.zenarmor.com/plans

Ich würde darauf auch gerne antworten.

Kosten sind etwas, die man individuell betrachten muss. Wir sprechen hier von einer Migration von UTM auf SFOS (XGS) - Das bedeutet, dabei bekommt ein Kunde in der Regel auch entsprechende Mehrwerte, da die XGS Lizenz (Subscription) auch deutlich mehr "kann" als die UTM Fullguard.
Ich spreche von: Central Management (For free - Backup Management, SSO Channel). 30 Tage Reporting über alle Firewalls über Sophos Central. DNS Protection für Guest Networks und andere Use Cases, 3 ZTNA Lizenzen vor Free, Sandstorm ist in der Lizenz (War FG+), Central Orchenstration (VPN Orchestration von mehreren Standorte).
Diese Features sind alle in dem xStream Bundle, das defakto das neue Fullguard ist. Manche davon auch in der Base License.

Generell sehe ich hier viel System Kritik, die nicht auf Sophos abzielt?

Support Problematiken:
Ich würde gerne darauf näher eingehen, wenn ich Beispiele erhalten würde. Leider bekomme ich diese nicht, und daher können wir auch unseren Service nicht verbessern.
In der Community sind jedoch auch, neben meiner Person, viele Entwickler unterwegs, die direkt helfen, auch Bug IDs aus der Community eröffnen etc.
Siehe: https://community.sophos.com/sophos-xg-firewall/f/discussions/147760/sop ...
Ich kann mir nicht vorstellen, wie es besser und unkomplizierter laufen sollte, ich melde ein Problem, und ein Entwickler des Herstellers schaut sich das an?

Hardware:
Ich hatte bereits gesagt, wir können die genutzte Hardware nicht mit einer OPNSense vergleichen. Das OS ist wichtig: Wir haben hier ein Apple vs Microsoft Verhältnis: In der XGS Hardware ist ein NPU verbaut, das heißt, die Hardware nutzt auch diesen NPU, wie ein Computer die GPU verwendet für Graphic. Daher erreichen wir Durchsatzwerte, die man vergleichen kann. Man sollte nicht die Hardware miteinander vergleichen.
Der Vorteil hier: Wir können, wie andere Hersteller am Markt, die Branchen Standards nehmen und damit messen. Somit können wir Zahlen veröffentlichen wie 1 Gbit/s decryption ist möglich.
https://assets.sophos.com/X24WTUEQ/at/7wf85vbnnqf939bbhtxgfk/sophos-fire ...
Diese Zahlen sind, wie bei allen Herstellern vergleichbar.
Nun ein X86 System zu nehmen, das mit der X86 Komponente zu vergleichen, halte ich nicht für Sinnvoll.

Am Rande: Für 10 Gbit/s wurde auch nun die XGS138 eingeführt, die auch 10 Gbit/s onboard mitbringt.

Die EOL Politik von Sophos wird hier beschrieben: https://www.sophos.com/en-us/content/product-lifecycle


Grundsätzlich sei gesagt: Sophos Produkte können ohne Partner / Dienstleistung betrieben werden. Wir haben viele Kunden, die genau das so machen, da sie nur über einen Reseller ihr Produkt erwerben und sonst sich nicht mehr mit dem Reseller beschäftigen. Es gibt keine Partner Bindung bzw. ein Zwang, mit dem Partner Dienstleistung zu machen.
Was der Partner mit dem Sophos Kunden vereinbart, bzgl Dienstleistung, ist auch nicht bekannt zu Sophos. Jedes Angebot von Partner zu Kunden ist individuell vom Partner betrachtet.

Alternativen zu Sophos:
Interessant ist, das Sophos häufig immer als Firewall Hersteller gesehen wird. Das ist ein deutsches Thema : Da Sophos - Ehemals Astaro in Deutschland groß war. Jedoch ist Sophos ja ein Endpoint / Security Hersteller. Daher ist die Frage häufig, warum nur ein OPNSense die Alternative ist?
Sophos bietet mit der MDR Lösung eine Security Lösung als Managed Service Charakter.
Interessant dabei: Die MDR Lösung ist auch Hersteller offen für Firewall: https://www.sophos.com/de-de/marketplace?field_marketplace_solution_cate ...
jsysde
jsysde 06.11.2024 um 11:10:11 Uhr
Goto Top
Moin.

@LucarToni:
Deine Antworten hier sind, Entschuldigung, lächerlich.

[...]Ich kann mir nicht vorstellen, wie es besser und unkomplizierter laufen sollte, ich melde ein Problem, und ein Entwickler des Herstellers schaut sich das an?[...]
Wenn es denn so wäre!
Wir sind Sophos-Partner, melden unablässig Probleme und bekommen genau solche Aussagen wie von dir zurück statt Lösungen - haben wir auf dem Backlog, haben wir noch nie von gehört usw.

Allein das HA-Sync-Problem wurde von uns mehrfach gemeldet, erstmal im November 2022, mit dem Erfolg, dass es zwei weitere Updates benötigt hat, um das Problem -hoffentlich endgültig- in den Griff zu bekommen. Muss ich erwähnen, dass bei jeder Meldung die Aussage "Haben wir noch nie gehört" getätigt wurde? Da stellt man sich schon die Frage, wie der Support bei Sophos so organisiert und ob überhaupt...

Die Tatsache, dass bei einem "Enterprise-Produkt" ein solches Core-Feature nicht funktioniert, zusammen mit deiner Aussage "Hab ich noch nix von gehört", zeigen sehr deutlich, wie miserabel Sophos geworden ist. Cberroam wurde von 10 Jahren übernommen und die Software ist noch immer im BETA-Status, wird aber fleißig produktiv genutzt. Kann ich echt nicht mehr ernst nehmen, Anspruch und Wirklichkeit klaffen da sehr weit auseinander.

Die ständigen Verweise auf die Community, nett gemeint, aber für ein teuer bezahltes Produkt erwarte ich auch bezahlten, schnellen Support und eine hohe Priorisierung, wenn es insbesondere um solche Core-Features geht.

Ich ziehe mich damit raus aus dieser "Diskussion", wir drehen uns hier im Kreis, das führt zu nichts. Du beantwortest alle Kritik mit denselben Phrasen, die auch unsere Ansprechpartner als Partner, deren Vorgesetzte usw. uns gegeben haben.

Cheers,
jsysde
nachgefragt
nachgefragt 06.11.2024 um 11:10:19 Uhr
Goto Top
Ich würde darauf auch gerne antworten.
Wir sprechen hier von einer Migration von UTM auf SFOS (XGS)
Wir nicht, ich hatte angenommen es eindeutig erwähnt zu haben.
UTM Kunden: 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert
Ich kann mir nicht vorstellen, wie es besser und unkomplizierter laufen sollte
Das glaube ich dir sogar.
Wer mal mit dem Herstellersupport zu tun hatte kennt sicherlich die Instanzen, welche es zu überwinden gilt.
face-sad Unqualifizierte Antworten, darunter zum Teil völlig zusammhangslose Aufgabenstellungen, welche man durchführen muss, sonst wird der Fall nicht weiter behandelt.
face-sad Ständige Wiederholungen, als ob sich ständig der zuständige Mitarbeiter ändert.
face-sad Alles in allem macht die Zusammenarbeit mit dem Support mürbe, das Ausmaß an unqualifizierten Antworten ist nicht in Worte zu fassen.
Das OS ist wichtig
Da bin ich bei dir, deswegen verstehe ich so manche Argumentation nicht. Die Abhängigkeit zur Hardware ist da, diese ist teils veraltet und dafür zu teuer, ebenso Schnittstellenerweiterungen. Aber ja, ich kann den Vergleich nicht zu 100% machen auf Grund der NPU.
Am Rande: Für 10 Gbit/s wurde auch nun die XGS138 eingeführt, die auch 10 Gbit/s onboard mitbringt.
Das ist doch super, und wem die Performance reicht darf gern die 10.000€ hinblättern.
screenshot 2024-11-06 105155
screenshot 2024-11-06 103722
Diese Zahlen sind, wie bei allen Herstellern vergleichbar.
Hersteller flunkern gern face-wink
Mich interessiert deshalb, wie es in meiner Umgebung läuft, in der Praxis.
Daher ist die Frage häufig, warum nur ein OPNSense die Alternative ist?
Vielleicht weil du "wie im Falle" überlesen hattest, ich hätte auch beispielweise schreiben können.
OPNsense hat für mich aber den Vorteil, dass ich es auf kleiner Hardware testen und vorbereiten kann und bei Bedarf einfach auf größere Hardware packen kann (backup/restore).
nachgefragt
nachgefragt 06.11.2024 um 11:13:27 Uhr
Goto Top
Zitat von @jsysde:
Wir sind Sophos-Partner, melden unablässig Probleme und bekommen genau solche Aussagen wie von dir zurück statt Lösungen
Das kann ich zu 100% unterschreiben!
Ebenso verpuffen meine Beschwerden bei meinem Sophos Ansprechpartner, ohne jegliche Reaktion.
LucarToni
LucarToni 06.11.2024 um 11:17:56 Uhr
Goto Top
Zitat von @jsysde:

Moin.

@LucarToni:
Deine Antworten hier sind, Entschuldigung, lächerlich.

[...]Ich kann mir nicht vorstellen, wie es besser und unkomplizierter laufen sollte, ich melde ein Problem, und ein Entwickler des Herstellers schaut sich das an?[...]
Wenn es denn so wäre!
Wir sind Sophos-Partner, melden unablässig Probleme und bekommen genau solche Aussagen wie von dir zurück statt Lösungen - haben wir auf dem Backlog, haben wir noch nie von gehört usw.

Allein das HA-Sync-Problem wurde von uns mehrfach gemeldet, erstmal im November 2022, mit dem Erfolg, dass es zwei weitere Updates benötigt hat, um das Problem -hoffentlich endgültig- in den Griff zu bekommen. Muss ich erwähnen, dass bei jeder Meldung die Aussage "Haben wir noch nie gehört" getätigt wurde? Da stellt man sich schon die Frage, wie der Support bei Sophos so organisiert und ob überhaupt...

Die Tatsache, dass bei einem "Enterprise-Produkt" ein solches Core-Feature nicht funktioniert, zusammen mit deiner Aussage "Hab ich noch nix von gehört", zeigen sehr deutlich, wie miserabel Sophos geworden ist. Cberroam wurde von 10 Jahren übernommen und die Software ist noch immer im BETA-Status, wird aber fleißig produktiv genutzt. Kann ich echt nicht mehr ernst nehmen, Anspruch und Wirklichkeit klaffen da sehr weit auseinander.

Die ständigen Verweise auf die Community, nett gemeint, aber für ein teuer bezahltes Produkt erwarte ich auch bezahlten, schnellen Support und eine hohe Priorisierung, wenn es insbesondere um solche Core-Features geht.

Ich ziehe mich damit raus aus dieser "Diskussion", wir drehen uns hier im Kreis, das führt zu nichts. Du beantwortest alle Kritik mit denselben Phrasen, die auch unsere Ansprechpartner als Partner, deren Vorgesetzte usw. uns gegeben haben.

Cheers,
jsysde

Könntest du mir denn ein paar Beispiele zu der HA Sync Thematik geben? Case IDs sind auch gerne gesehen. Ich schaue mir das gerne im Detail an, dann sind wir auch gemeinsam auf dem selben Stand.
Wir können auch gerne über PNs das diskutieren und ich kann Kontakt zu entsprechenden Instanzen herstellen, die sich das bestimmt auch gerne anhören möchten.

Gibt es denn auch Community Posts zu diese HA Sync Thematik?

Ich würde gerne sachlich diese Thematik aufrollen.
LucarToni
LucarToni 06.11.2024 um 11:20:21 Uhr
Goto Top
Zitat von @nachgefragt:

Ich würde darauf auch gerne antworten.
Wir sprechen hier von einer Migration von UTM auf SFOS (XGS)
Wir nicht, ich hatte angenommen es eindeutig erwähnt zu haben.
UTM Kunden: 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert
Ich kann mir nicht vorstellen, wie es besser und unkomplizierter laufen sollte
Das glaube ich dir sogar.
Wer mal mit dem Herstellersupport zu tun hatte kennt sicherlich die Instanzen, welche es zu überwinden gilt.
face-sad Unqualifizierte Antworten, darunter zum Teil völlig zusammhangslose Aufgabenstellungen, welche man durchführen muss, sonst wird der Fall nicht weiter behandelt.
face-sad Ständige Wiederholungen, als ob sich ständig der zuständige Mitarbeiter ändert.
face-sad Alles in allem macht die Zusammenarbeit mit dem Support mürbe, das Ausmaß an unqualifizierten Antworten ist nicht in Worte zu fassen.
Das OS ist wichtig
Da bin ich bei dir, deswegen verstehe ich so manche Argumentation nicht. Die Abhängigkeit zur Hardware ist da, diese ist teils veraltet und dafür zu teuer, ebenso Schnittstellenerweiterungen. Aber ja, ich kann den Vergleich nicht zu 100% machen auf Grund der NPU.
Am Rande: Für 10 Gbit/s wurde auch nun die XGS138 eingeführt, die auch 10 Gbit/s onboard mitbringt.
Das ist doch super, und wem die Performance reicht darf gern die 10.000€ hinblättern.
screenshot 2024-11-06 105155
screenshot 2024-11-06 103722
Diese Zahlen sind, wie bei allen Herstellern vergleichbar.
Hersteller flunkern gern face-wink
Mich interessiert deshalb, wie es in meiner Umgebung läuft, in der Praxis.
Daher ist die Frage häufig, warum nur ein OPNSense die Alternative ist?
Vielleicht weil du "wie im Falle" überlesen hattest, ich hätte auch beispielweise schreiben können.
OPNsense hat für mich aber den Vorteil, dass ich es auf kleiner Hardware testen und vorbereiten kann und bei Bedarf einfach auf größere Hardware packen kann (backup/restore).

Du könntest auch über einen Sogenannten Trial and Buy Verfahren Sophos Hardware testen und bei Bedarf eine größere Hardware anfordern und dort ein Restore machen.

Defakto kannst du auch Software nutzen. Sophos bietet auch eine virtuelle / Software Lizenz an. Ohne die Hardware.
nachgefragt
nachgefragt 06.11.2024 aktualisiert um 11:26:20 Uhr
Goto Top
Zitat von @LucarToni:
Du könntest auch über einen Sogenannten Trial and Buy Verfahren Sophos Hardware testen und bei Bedarf eine größere Hardware anfordern und dort ein Restore machen.
Ich kann mir den Verwaltungsaufwand auch sparen, auch um nicht in den nächsten Sophos Fettnapf zu treten.

Ich habe immer cold standby bzw. Reserve da, dort kann ich OPNsense testen so lange ich will und bei Bedarf per Backup/Restore auf größere Hardware umziehen.
LucarToni
LucarToni 06.11.2024 um 11:26:24 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @jsysde:
Wir sind Sophos-Partner, melden unablässig Probleme und bekommen genau solche Aussagen wie von dir zurück statt Lösungen
Das kann ich zu 100% unterschreiben!
Ebenso verpuffen meine Beschwerden bei meinem Sophos Ansprechpartner, ohne jegliche Reaktion.

Da ich anonymisiert nicht helfen kann, würde mir ein Name doch weiterhelfen. Bitte via PN hier oder in der Sophos Community.

Wie gesagt: ich möchte gerne helfen, aber aktuell sehe ich keine konkreten Beispiele, was genau das Thema ist.

"Aktuelle Probleme" sind für mich Thematiken, die akut auftreten.
Es werden natürlich immer wieder Thematiken im HA und allgemein im OS adressiert: https://docs.sophos.com/releasenotes/output/en-us/nsg/sf_210_rn.html

Jedoch sehe ich aktuell kein "Das HA ist generell defekt, funktioniert nicht, alle HA Cluster sind Out of Sync" etc.
Das würde eher bedeuteten, auch eine Sophos Community würde überrannt mit Problem Beschreibungen und Kunden, die Probleme melden.

Es kann gewisse Situationen geben, in dem ein Problem auftritt, das ist normal - Habe ich die letzten 13 Jahre bei Sophos genau so gesehen - Jedoch sehe ich aktuell kein Grund, zu sagen, "Alle HAs sind defekt, das System ist defekt etc".

Wenn dem so ist, würde ich gerne ein paar Case ID haben, damit wir gewisse Situationen auch nachverfolgen können.
LucarToni
LucarToni 06.11.2024 um 11:27:47 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Du könntest auch über einen Sogenannten Trial and Buy Verfahren Sophos Hardware testen und bei Bedarf eine größere Hardware anfordern und dort ein Restore machen.
Ich kann mir den Verwaltungsaufwand auch sparen, auch um nicht in den nächsten Sophos Fettnapf zu treten.

Ich habe immer cold standby bzw. Reserve da, dort kann ich OPNsense testen so lange ich will und bei Bedarf per Backup/Restore auf größere Hardware umziehen.

Verstehe. Also bist du mit OPNsense nun 5 Jahre gebunden?
Verstehe nun nicht, wieso du dann investiert bist, in dieser Diskussion, die über aktuelle Probleme spricht, wenn du diese Produkte nicht mehr einsetzt und auch keine Intention hast, diese zu verwenden?
nachgefragt
nachgefragt 06.11.2024 aktualisiert um 11:33:13 Uhr
Goto Top
Zitat von @LucarToni:
Verstehe.
Das konnte ich bisher nicht lesen.
Verstehe nun nicht
Das denk ich auch.
Da ich Sophos Nutzer bin, wie mehrfach erwähnt, habe ich ebenso die Probleme. Und diese Forum bietet auch eine Plattform für einen Meinungs- und Erfahrungsaustausch, was ich sehr wertvoll finde.
DerMaddin
DerMaddin 06.11.2024 um 11:36:24 Uhr
Goto Top
Zitat von @150631:

Und du hast auch schon genug andere Technik ernsthaft betrieben?

??? Ja, Videorekorder, Waschmaschine, Bohrmaschine... genug Technik für dich? Keine Ahnung was du meinst, bitte um Erklärung.

Jetzt haben wir ein paar Firepower und Genugate, weil wir Vorschriften zu erfüllen haben. Die Firepower laufen als interne Gatewas und die Genugates haben Kontakt zum Internet.

Genugate ist mir unbekannt, ist aber auch unbedeutend, da wir keine Behörde oder KRITIS Unternehmen sind, die irgendwas nach Standard XYZ erfüllen müssen. Firepower, ja keine Ahnung was ich davon halten soll. Technisch mag das ja vielleicht jemanden passen, wenn das Budget auch groß genug ist.

Nur eine Firepower, hier als Beispiel die 1120 (weniger geht nicht bei uns) inkl. 3 Jahreslizenz (L-FPR1120T-TMC-3Y) kostet ab €4800 netto. Dann müssten wir aber auch noch wesentlich teurere Access Points und einen WLC dazu kaufen oder eben jeden einzelnen AP direkt via UI verwalten.
LucarToni
LucarToni 06.11.2024 um 11:38:54 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Verstehe.
Das konnte ich bisher nicht lesen.
Verstehe nun nicht
Das denk ich auch.
Da ich Sophos Nutzer bin, wie mehrfach erwähnt, habe ich ebenso die Probleme. Und diese Forum bietet auch eine Plattform für einen Meinungs- und Erfahrungsaustausch, was ich sehr wertvoll finde.

Super! Dann können wir ja über deine Themen sprechen. Möchtest du mir die aktuellen Themen ggf. mitteilen?
Was für ein Produkt setzt du denn ein? Sophos UTM? Welche Größe denn?

Abhänging von dieser Entscheidung, könntest du die nächste Schritte einleiten.

Ich kann gerne auch dabei helfen, eine Migration auf die Beine zu stellen: Zum Beispiel können wir Objekte auch übernehmen: https://github.com/sophos/Sophos-Migration-Utility-CLI
nachgefragt
nachgefragt 06.11.2024 um 11:46:06 Uhr
Goto Top
Zitat von @LucarToni:
Möchtest du mir die aktuellen Themen ggf. mitteilen?
Dazu habe ich einen regionalen Sophos Ansprechpartner, dort verweilen meine Themen reaktionslos. Bei Sophos stimmt meiner Erfahrung, neben Preis/Leistung, so einiges nicht mehr, dankend lehne ich dein Angebot ab.
LucarToni
LucarToni 06.11.2024 um 11:48:15 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Möchtest du mir die aktuellen Themen ggf. mitteilen?
Dazu habe ich einen regionalen Sophos Ansprechpartner, dort verweilen meine Themen reaktionslos. Bei Sophos stimmt meiner Erfahrung, neben Preis/Leistung, so einiges nicht mehr, dankend lehne ich dein Angebot ab.

Ich kann mir vorstellen, dass ggf. du eine falschen Ansprechpartner kontaktierst? Wie könnte ich dir den helfen?
jsysde
jsysde 06.11.2024 aktualisiert um 11:50:24 Uhr
Goto Top
Moin.
Zitat von @LucarToni:
Da ich anonymisiert nicht helfen kann, würde mir ein Name doch weiterhelfen. Bitte via PN hier oder in der Sophos Community.
Kannste knicken, ich verzichte dankend - ich habe weder die Zeit noch die Nerven, dem nächsten Sophos-Mitarbeiter all das aufzulisten, was nicht geht/schief läuft. Das haben wir bereits mit mehreren Ansprechpartner auf unterschiedlichen "Management-Ebenen" durch, wie du meinem vorangegangenen Post entnehmen kannst. Ergebnislos.

Cheers,
jsysde
DerMaddin
DerMaddin 06.11.2024 um 11:49:17 Uhr
Goto Top
Zitat von @nachgefragt:

Am Rande: Für 10 Gbit/s wurde auch nun die XGS138 eingeführt, die auch 10 Gbit/s onboard mitbringt.
Das ist doch super, und wem die Performance reicht darf gern die 10.000€ hinblättern.

Na dann zeige mir eine günstigere Firewall mit SFP+ Ports in der Größenordnung inkl 5 Jahre Lizenz.

Nehmen wir mal Cisco Firepower 1150: ~€30.000
Oder FortiGate 120G mit UTP Lizenz: ~€13.000
Oder Check Point Quantum Spark 1800 inkl. Lizenz: ~€18000
LucarToni
LucarToni 06.11.2024 um 11:51:16 Uhr
Goto Top
Zitat von @jsysde:

Moin.
Zitat von @LucarToni:
Da ich anonymisiert nicht helfen kann, würde mir ein Name doch weiterhelfen. Bitte via PN hier oder in der Sophos Community.
Kannste knicken, ich verzichte dankend.

Cheers,
jsysde

Dann bringt doch so eine Diskussion nicht viel, wenn jeder meine Hilfe ablehnt? Ich verstehe nicht so richtig, warum wir diese Diskussion dann führen, wenn ich keine Punkte oder Fakten bekomme?

Es tut mir wirklich leid. Vielleicht muss ich mich wieder auf diesem Forum exkludieren. Ich habe das Gefühl, meine Perspektive bringt hier keinen Mehrwert.
nachgefragt
nachgefragt 06.11.2024 aktualisiert um 12:10:06 Uhr
Goto Top
Zitat von @LucarToni:
Dann bringt doch so eine Diskussion nicht viel, wenn jeder meine Hilfe ablehnt?
Ich denke es wird Gründe geben, warum Sophos Administratoren sich bei Problemen an die
1. Sophos Community (sehr wertvoll, wie schon immer im OpenSource Bereich üblich)
2. den 150€/h Dienstleister
3. den regionalen Sophos Ansprechpartner
4. den 1. / 2. / 3. Level Herstellsupport wenden (müssen).

Wenn du helfen möchtest, hier wird reichlich gesucht: https://community.sophos.com/sophos-xg-firewall/f/discussions

meine Perspektive bringt hier keinen Mehrwert
Da du mit Sophos dein Geld verdienst muss ich gestehen, deine Aussagen als subjektiv einzustufen. Da ich lange "betriebsblind" die Flagge für Sophos hochgehalten hatte, kann ich das nachvollziehen.

Aber durch die Kostenexplosion bei Sophos, den miserablen Support,... wurde ich ermutigt, anderer Hersteller zu prüfen und mir die Augen aufgegangen.
Und das, als langjähriger Sophos/Astaro Kunde.
150631
150631 06.11.2024 um 12:14:15 Uhr
Goto Top
10g was on Board? SFP+ oder ein Wert aus der Tabelle, der in der Realität nicht zu erreichen ist?
LucarToni
LucarToni 06.11.2024 um 13:38:10 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Dann bringt doch so eine Diskussion nicht viel, wenn jeder meine Hilfe ablehnt?
Ich denke es wird Gründe geben, warum Sophos Administratoren sich bei Problemen an die
1. Sophos Community (sehr wertvoll, wie schon immer im OpenSource Bereich üblich)
2. den 150€/h Dienstleister
3. den regionalen Sophos Ansprechpartner
4. den 1. / 2. / 3. Level Herstellsupport wenden (müssen).

Wenn du helfen möchtest, hier wird reichlich gesucht: https://community.sophos.com/sophos-xg-firewall/f/discussions

meine Perspektive bringt hier keinen Mehrwert
Da du mit Sophos dein Geld verdienst muss ich gestehen, deine Aussagen als subjektiv einzustufen. Da ich lange "betriebsblind" die Flagge für Sophos hochgehalten hatte, kann ich das nachvollziehen.

Aber durch die Kostenexplosion bei Sophos, den miserablen Support,... wurde ich ermutigt, anderer Hersteller zu prüfen und mir die Augen aufgegangen.
Und das, als langjähriger Sophos/Astaro Kunde.

Ich bin seit 10 Jahren Top Contributor in der Sophos Community - Daher nehme ich mir auch etwas heraus, dass ich einen groben Überblick habe, was für Probleme dort berichtet werden.
Bzw. habe ich auch mit Abstand die meisten Contributor Points in der gesamten Sophos/Astaro Community.
https://community.sophos.com/w/member-recognition

Ich möchte erneut highlighten: Die Preise die hier verwendet werden sind keine Sophos Preise.
Ob ein Dienstleister (Sophos Partner) Dienstleistung berechnet, liegt zwischen Sophos Partner und Kunden. Ein Kunde ist nicht gezwungen, diese Dienstleistung in Anspruch nehmen.

Ich bin auch nicht sicher, wer der "Sophos Regionale Ansprechpartner" sein soll? Wir hatten vor 5 Jahren ein Regional Split - Bei dem das Land Deutschland in 4 Regionen aufgeteilt wurde: Das wurde jedoch vor 5 Jahren umgestellt.

Wenn wir hier ein Kommunikationsproblem haben, kann ich ggf. auch helfen, das aufzulösen?
nachgefragt
nachgefragt 06.11.2024 aktualisiert um 13:44:22 Uhr
Goto Top
Zitat von @DerMaddin:
Na dann zeige mir eine günstigere Firewall mit SFP+ Ports in der Größenordnung inkl 5 Jahre Lizenz.
https://www.thomas-krenn.com/

Stell dir einfach ein beliebigen Server/Workstation zusammen nach deinen Ansprüchen an die Hardware und Schnittstellen und nutze OPNsense. Oder wenn es reicht, nimmt die halbfertigen: https://www.thomas-krenn.com/de/produkte/industrie-systeme/firewall.html
Die restlichen 7.000€ kannst du in aktive Dienstleistung oder Zenarmor SSE stecken, sofern notwendig.

Ich finde leider keine exakten Angaben was Sophos verbaut, daher kann man es nicht vergleichen, abgesehen von der NPU.
LucarToni
LucarToni 06.11.2024 um 13:40:29 Uhr
Goto Top
Zitat von @150631:

10g was on Board? SFP+ oder ein Wert aus der Tabelle, der in der Realität nicht zu erreichen ist?

Die XGS138 bietet SFP+ Anschlüsse mit 10 Gbit/s Glas.
Die Performance Werte sind hier zu finden: https://assets.sophos.com/X24WTUEQ/at/7wf85vbnnqf939bbhtxgfk/sophos-fire ...
Diese Werte sind, wie auf Seite 11 beschrieben, mittels Industriestandards gemessen.
Dafür nutzen wir die Breakpoint Technologie.
General: Maximum throughput measured under ideal test conditions using industry-standard Keysight-Ixia
BreakingPoint test tools. Actual performance may vary depending on network conditions and activated services
nachgefragt
nachgefragt 06.11.2024 um 13:45:05 Uhr
Goto Top
@LucarToni
Wo finde ich eine Aufliste welche Komponenten (Detailbeschreibung) genau in einer Sophos verbaut sind?
LucarToni
LucarToni 06.11.2024 um 13:56:04 Uhr
Goto Top
Zitat von @nachgefragt:

@LucarToni
Wo finde ich eine Aufliste welche Komponenten (Detailbeschreibung) genau in einer Sophos verbaut sind?

Sophos Partner haben Zugriff auf diese Information im Sophos Partner Portal.
Wir führen diese Information nicht, da sie auch für die Praxis nicht relevant ist.
Für Kunden und einen guten Vergleich sind Durchsatzwerte besser und einfacher zu verstehen, als genutzte Hardware.
Wir vergleichen, wie alle Hersteller am Markt, die Werte mit dem Branchen Standard. Diese Werte sind durch offiziell zertifizierte Tool Kits gemessen, alle Hersteller nutzen diese Tools.
Daher spielt es (in meinen Augen) keine Rolle, was für Hardware (CPU/RAM) genutzt wird? Warum wäre das für einen Sophos Kunden interessant?
Ich kann gerne das intern weitergeben, dass es einen Bedarf gibt, diese Informationen öffentlich zu stellen, nur sehe ich ihn gerade nicht wirklich. Keiner der Kunden, mit denen ich die letzten Jahre gearbeitet hat, fragt offen nach der CPU/RAM, die wir nutzen?
DerMaddin
DerMaddin 06.11.2024 um 14:16:20 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @DerMaddin:
Na dann zeige mir eine günstigere Firewall mit SFP+ Ports in der Größenordnung inkl 5 Jahre Lizenz.
https://www.thomas-krenn.com/

Stell dir einfach ein beliebigen Server/Workstation zusammen nach deinen Ansprüchen an die Hardware und Schnittstellen und nutze OPNsense. Oder wenn es reicht, nimmt die halbfertigen: https://www.thomas-krenn.com/de/produkte/industrie-systeme/firewall.html
Die restlichen 7.000€ kannst du in aktive Dienstleistung oder Zenarmor SSE stecken, sofern notwendig.

Ich finde leider keine exakten Angaben was Sophos verbaut, daher kann man es nicht vergleichen, abgesehen von der NPU.

Wozu der Overkill an Hardware? Dazu Stromverbrauch 10x so hoch. Soll ich etwa sechs 08/15 Server zusammen basteln und alles einzeln konfigurieren? Selbst die "halbfertigen" sind nicht zu gebrauchen, wenn ich alles andere in der Infrastruktur (APs, RED, Endpoint Client) auch gegen etwas anderes tauschen muss, dass wieder ein Teil von einem anderen Abo ist.

Zenarmor ist ziemlich teuer und Cloud. Vor allem aber eine Lizenz/Abo pro Standort, na klar, was kostet die Welt.

Verstehe mich nicht falsch, *sense hat seinen Platz, aber ist keine Alternative für jeden Kunden. Vor allem nicht, wenn da mehr als nur Firewall im Einsatz ist. Ich möchte nicht jede Firewall, RED, Access Point einzeln verwalten. Dazu noch die Enpoint Clients. Ja das hat seinen Preis, der aber weniger ist als Zenarmor face-wink

Hab mal auf die Schnelle gerechnet, im Business Plan wäre das für 6 Standorte pro Jahr €6000. Da fehlt aber dann noch HA für den Standort mit dem RZ. Auf drei Jahre gesehen sind das 500% mehr als wir aktuell bezahlen.
150631
150631 06.11.2024 um 15:17:11 Uhr
Goto Top
Zitat von @LucarToni:

Zitat von @150631:

10g was on Board? SFP+ oder ein Wert aus der Tabelle, der in der Realität nicht zu erreichen ist?

Die XGS138 bietet SFP+ Anschlüsse mit 10 Gbit/s Glas.
Die Performance Werte sind hier zu finden: https://assets.sophos.com/X24WTUEQ/at/7wf85vbnnqf939bbhtxgfk/sophos-fire ...
Diese Werte sind, wie auf Seite 11 beschrieben, mittels Industriestandards gemessen.
Dafür nutzen wir die Breakpoint Technologie.
General: Maximum throughput measured under ideal test conditions using industry-standard Keysight-Ixia
BreakingPoint test tools. Actual performance may vary depending on network conditions and activated services

Ich bin zu lange dabei um zu wissen, was solche blumigen Worte bedeuten. Außerdem hat man im echten Leben keine Laborumgebung.

SFP+ macht Sinn, wegen Vereinfachung aber selbst "Firewall-Durchsatz" ist sehr variabel.
nachgefragt
nachgefragt 06.11.2024 um 15:35:14 Uhr
Goto Top
@LucarToni
Leider hat deine Antwort mit nicht weitergeholfen, aber auch schade das bei Sophos dazu keine Transparenz besteht. Da muss man wohl doch ein teardown auch YouTube suchen.

@DerMaddin
Wir möchten natürlich nicht vergessen, dass jede Umgebung andere Anforderungen hat. Zu deiner Aussage fehlt also das detaillierte Konzept und Gegenüberstellung, also mehr als bei Sophos unter "Sizing" bekannt. Aber schon das du den Irrglauben auflöst, nur weil es OpenSource ist, wäre keine Business oder Enterprise Option dahinter. Man muss natürlich prüfen, wo kommt man mit den kostenlosen Features weiter und ab wann braucht es mehr.
LucarToni
LucarToni 06.11.2024 um 15:56:15 Uhr
Goto Top
Zitat von @nachgefragt:

@LucarToni
Leider hat deine Antwort mit nicht weitergeholfen, aber auch schade das bei Sophos dazu keine Transparenz besteht. Da muss man wohl doch ein teardown auch YouTube suchen.

@DerMaddin
Wir möchten natürlich nicht vergessen, dass jede Umgebung andere Anforderungen hat. Zu deiner Aussage fehlt also das detaillierte Konzept und Gegenüberstellung, also mehr als bei Sophos unter "Sizing" bekannt. Aber schon das du den Irrglauben auflöst, nur weil es OpenSource ist, wäre keine Business oder Enterprise Option dahinter. Man muss natürlich prüfen, wo kommt man mit den kostenlosen Features weiter und ab wann braucht es mehr.

Ich frage gerne noch einmal: Warum ist das interessant und relevant?
nachgefragt
nachgefragt 06.11.2024 um 16:03:08 Uhr
Goto Top
Zitat von @LucarToni:
Warum ist das interessant und relevant?
Ich bin einfach interessiert, ich bevorzuge Transparenz,... warum ist das nicht interessant bzw. warum wird das nicht auf der Homepage genannt.
LucarToni
LucarToni 06.11.2024 um 16:07:17 Uhr
Goto Top
Wir haben das nie dokumentiert. Auch in UTM Zeiten, wurde das nicht dokumentiert. Weil es in der Regel nicht relevant ist/war.
MysticFoxDE
MysticFoxDE 06.11.2024 um 18:44:52 Uhr
Goto Top
Moin @LucarToni,

Dann bringt doch so eine Diskussion nicht viel, wenn jeder meine Hilfe ablehnt? Ich verstehe nicht so richtig, warum wir diese Diskussion dann führen, wenn ich keine Punkte oder Fakten bekomme?

weil er eben keine wirklichen Probleme hat sondern nur rummeckern möchte.
Ich habe ihm auch schon meine Hilfe angeboten und zwar kostenlos und habe daraufhin dieselben blöden Sprüche zu hören/lesen bekommen.

Sprich, steck deine Energie lieber in die Fälle rein, die auch wirklich Hilfe haben möchten.

Es tut mir wirklich leid. Vielleicht muss ich mich wieder auf diesem Forum exkludieren. Ich habe das Gefühl, meine Perspektive bringt hier keinen Mehrwert.

Bitte nicht, denn die paar Sophos-Hater, repräsentieren sicherlich nicht das ganze Forum hier!

Gruss Alex
nachgefragt
nachgefragt 07.11.2024 um 08:06:07 Uhr
Goto Top
Zitat von @MysticFoxDE:
weil er eben keine wirklichen Probleme hat sondern nur rummeckern möchte.
Es ist offensichtlich, dass es Sophos Partnern wie dir, welche damit (viel) Geld verdienen (sicherlich mehr als noch bei der UTM Serie), nicht schmeckt, wenn der Endkunde hier mal ein Fazit zieht, sondern es als "blöde Sprüche" und "rummeckern" abtut.

Ich habe ihm auch schon meine Hilfe angeboten
Oha, da ich doch angeblich keine Probleme habe, wie du gerade gesagt hattest.
Falls du aber nur im Ansatz die genannten Probleme erkennst, solltest du verstehen, dass du sicherlich keine Einfluss darauf haben wirst. Aktuelle Probleme mit der XG(s) Serie von Sophos
nachgefragt
nachgefragt 07.11.2024 aktualisiert um 08:11:09 Uhr
Goto Top
Zitat von @LucarToni:
Grundsätzlich sei gesagt: Sophos Produkte können ohne Partner / Dienstleistung betrieben werden.
Warum schreibt mir dann der Herstellersupport, immer, ich solle mich an meinen Sophospartner wenden, vor allem dann, wenn der Herstellersupport nicht weiterkommt? Ich würde also sagen nein, wer eine Sophos XGS nutzt sollte min. 1-2 Dienstleister in der Hinterhand haben.

Bei mir waren min. 3 Sophospartner auf der Firewall, und jeder hatte nochmal was gefunden. Daher mein Fazit, eine zweite oder gar dritte Meinung einzuholen ist sinnvoll.
LucarToni
LucarToni 07.11.2024 um 08:47:06 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Grundsätzlich sei gesagt: Sophos Produkte können ohne Partner / Dienstleistung betrieben werden.
Warum schreibt mir dann der Herstellersupport, immer, ich solle mich an meinen Sophospartner wenden, vor allem dann, wenn der Herstellersupport nicht weiterkommt? Ich würde also sagen nein, wer eine Sophos XGS nutzt sollte min. 1-2 Dienstleister in der Hinterhand haben.

Bei mir waren min. 3 Sophospartner auf der Firewall, und jeder hatte nochmal was gefunden. Daher mein Fazit, eine zweite oder gar dritte Meinung einzuholen ist sinnvoll.

Der Sophos Support ist eine Break&Fix Support. Einfach gesprochen: Wenn du ein Problem nach einem Firmware Update oder das Produkt aufhört zu funktionieren, wird der Support hier aushelfen.
Was der Sophos Support nicht liefern (kann) ist Installation und Konfiguration Support.
Das ist hier Dokumentiert: https://docs.sophos.com/support/help/en-us/services-guide/scope/index.ht ...

Der Sophos Support wird dich auf den Partner verweisen, wenn du Konfigurationen tätigen möchtest.
Und hier ist wichtig: Diese Dienstleistung musst du nicht annehmen.
Du kannst das eigenständig konfigurieren, du kannst die Community kontaktieren, du kannst den Partner kontaktieren, du kannst Sophos SIS kontaktieren (Implementation Support).
Für die Vollständigkeit: Oder du hast einen Service Vertrag mit einem Partner, der so etwas abdeckt (MSP Konzept).

Historisch gesehen - Ich weiß aus eigener Erfahrung, dass ich vor 10 Jahren noch auf Kunden Exchange Umgebungen Dinge gemacht habe, um die WAF für Kunden zu konfigurieren. Das ist kein Sophos Support Dienstleistung - Halte ich auch nicht für richtig - Das sollte ein Microsoft Spezialist übernehmen - Zum Beispiel ein Partner / Dienstleister.

Ich würde gerne deine Cases reviewen, wenn ich Case IDs erhalten würde.
nachgefragt
nachgefragt 07.11.2024 aktualisiert um 08:59:29 Uhr
Goto Top
Zitat von @LucarToni:
Der Sophos Support wird dich auf den Partner verweisen, wenn du Konfigurationen tätigen möchtest.
Und hier ist wichtig: Diese Dienstleistung musst du nicht annehmen.
Du kannst das eigenständig konfigurieren, du kannst die Community kontaktieren, du kannst den Partner kontaktieren, du kannst Sophos SIS kontaktieren (Implementation Support).
Ich glaube das war bei der UTM möglich,
bei der XGS sehe ich durch das Konstrukt in Summe mehr Aufwand bzw. Dienstleistungsbedarf.

Und die geschrieben, nachdem min. 3 sophoszertifzierte Systemhäuser auf meiner Firewall waren, jeder hatte eine sinnvolle Ergänzung, würde ich es so beibehalten und sehe auch auch bei der XGS als notwendig an, meine Einschätzung.
LucarToni
LucarToni 07.11.2024 um 09:06:45 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Der Sophos Support wird dich auf den Partner verweisen, wenn du Konfigurationen tätigen möchtest.
Und hier ist wichtig: Diese Dienstleistung musst du nicht annehmen.
Du kannst das eigenständig konfigurieren, du kannst die Community kontaktieren, du kannst den Partner kontaktieren, du kannst Sophos SIS kontaktieren (Implementation Support).
Ich glaube das war bei der UTM möglich,
bei der XGS sehe ich durch das Konstrukt in Summe mehr Aufwand bzw. Dienstleistungsbedarf.

Und die geschrieben, nachdem min. 3 sophoszertifzierte Systemhäuser auf meiner Firewall waren, jeder hatte eine sinnvolle Ergänzung, würde ich es so beibehalten und sehe auch auch bei der XGS als notwendig an, meine Einschätzung.

Bei der UTM war das nicht möglich, ohne UTM Premium Support. Ansonsten hatten Kunden keine direkten Kontaktmöglichkeit mit Sophos, sondern es ging immer über den Sophos Partner.

Hattest du Sophos UTM Premium Support?
nachgefragt
nachgefragt 07.11.2024 um 09:11:32 Uhr
Goto Top
Zitat von @LucarToni:
Hattest du Sophos UTM Premium Support?
Ich bin überzeugt unter "Premium" verstehen wir GANZ was anderes.
LucarToni
LucarToni 07.11.2024 aktualisiert um 09:19:23 Uhr
Goto Top
Ich bin überzeugt unter "Premium" verstehen wir GANZ was anderes.

Ich habe das Gefühl, du liest nicht wirklich, was ich schreibe?
UTM Premium Support ist ein Begriff aus 2008.
Diese Lizenzierung gab es sehr lange - und die Regel war und ist immer die gleiche: Sophos UTM Kunden können sich nur bei Sophos melden, wenn Sie UTM Premium Support haben.
Seit 2008 bis heute, konnten Sich Kunden nicht direkt bei Sophos melden, wenn sie keinen Premium Support haben.

Daher die Frage: Hattest oder Hast du UTM Premium Support?
Das ist eine Subscription der UTM Lizenz.
nachgefragt
nachgefragt 07.11.2024 aktualisiert um 10:08:06 Uhr
Goto Top
Zitat von @LucarToni:
Ich habe das Gefühl, du liest nicht wirklich, was ich schreibe?
Das kann ich nur zurückgeben, auch andere hatten dir schon geschrieben, das diese deine "Phrasen" nicht zielführend sind. Und auch Fragen zu ignorieren, so bin ich es von Sophos gewohnt.

Auch hier im Thema, hatte ich dir eine direkte Frage nach den Komponenten gestellt, deine Antwort dazu war eher um dein heißen zu Brei reden, um eine direkte Antwort rumzukommen, Gesagtes ohne Gefragtes eben. Genauso fängt es im 1. Level Support bei Sophos an (Indien) und multipliziert sich ins Unendliche, kostet Zeit ohne Ende, führt aber nicht zum Ziel.

Abschließend
Ich habe meine direkten Sophos Ansprechpartner, da brauche ich niemanden der sich am 13.08.24 anmeldet und meint, Namen oder Case IDs zu pishen. Selbst wenn du behauptest du bist der Weihnachtsmann, würde ich dir meinen Wunschzettel nicht senden.

Seriös ist @MysticFoxDE, der hier mit seinem Firmen-/namen einsteht, wenn wir auch in den Fall nicht die gleiche Meinung vertreten. Das darf auch mal vorkommen, beiderseits nimmt es denke ich, keiner persönlich.
LucarToni
LucarToni 07.11.2024 um 10:12:57 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Ich habe das Gefühl, du liest nicht wirklich, was ich schreibe?
Das kann ich nur zurückgeben, auch andere hatten dir schon geschrieben, das diese deine "Phrasen" nicht zielführend sind. Und auch Fragen zu ignorieren, so bin ich es von Sophos gewohnt.

Auch hier im Thema, hatte ich dir eine direkte Frage nach den Komponenten gestellt, deine Antwort dazu war eher um dein heißen zu Brei reden, um eine direkte Antwort rumzukommen, Gesagtes ohne Gefragtes eben. Genauso fängt es im 1. Level Support bei Sophos an (Indien) und multipliziert sich ins Unendliche, kostet Zeit ohne Ende, führt aber nicht zum Ziel.

Abschließend
Ich habe meine direkten Sophos Ansprechpartner, da brauche ich niemanden der sich am 13.08.24 anmeldet und meint, Namen oder Case IDs zu pishen. Selbst wenn du behauptest du bist der Weihnachtsmann, würde ich dir meinen Wunschzettel nicht senden.

Danke für das ehrliche Feedback. Ich schließe somit das hier ab.
Nach mehreren Versuchen kann ich dich nicht erreichen, du möchtest nicht mit mir kooperieren, das ist dein gutes Recht.

Nur leider kann ich mit Aussagen wie in diesem Thread nur wenig etwas anfangen.

Ich denke, jeder kann sich ein Bild darüber machen, wo hier die Kommunikationsbarriere lag und warum wir uns im Kreis drehen.

Deine "einzige Frage" nach den Komponenten hatte ich beantwortet mit: Wir publizieren diese Information nicht für Kunden, jedoch für Sophos Partner - Es ist jedoch in der Regel für einen Kunden nicht relevant, welche Hardware verwendet wird, da Sophos, wie jeder Hersteller, mittels Datendurchsätzen arbeitet.
Diese Antwort möchtest du nicht akzeptieren - das ist deine Angelegenheit. Warum du diese Information haben möchtest, wurde nur mit "Neugier" beantwortet. So wirklich den Use Case finde ich hier nicht.

Am Rande: Ich könnte auch sagen, du bist kein Sophos Kunde. Etwas verwundert bin ich, dass du meinen User Name nicht kennst - Das deutet darauf hin, dass du nicht viel die Sophos Community verwendest.

Ich habe meine Aufgabe in meinen Augen hier erfüllt, ein paar Dinge in ein anderes Licht gerückt.

Wenn Dinge offen sind, wie angesprochen, ich bin erreichbar hier, in der Sophos Community oder Reddit.
Ich nehme gerne Dinge auf und evaluiere diese.

https://community.sophos.com/members/lucar-toni
150631
150631 07.11.2024 aktualisiert um 10:15:06 Uhr
Goto Top
Seriös finde ich Dienstleister die vielleicht drei oder fünf Produkte der Klasse kennen.
In welcher Klasse ist Sophos?
LucarToni
LucarToni 07.11.2024 um 10:16:25 Uhr
Goto Top
Zitat von @150631:

Seriös finde ich Dienstleister die vielleicht drei oder fünf Produkte der Klasse kennen.
In welcher Klasse ist Sophos?

Wovon genau sprichst du?

Klasse wie Markt Segment, in dem Sophos Firewall sich bewegt?
150631
150631 07.11.2024 um 10:22:19 Uhr
Goto Top
Das darf sich der Kunde, gemessen an seinem Bedarf aussuchen. Das kann aber wichtig sein, weil manche Kunden Vorgaben haben, teilweise mit Gesetzesrang.
Dann wird es bei einigen OEMs eng.
LucarToni
LucarToni 07.11.2024 um 10:24:37 Uhr
Goto Top
Zitat von @150631:

Das darf sich der Kunde, gemessen an seinem Bedarf aussuchen. Das kann aber wichtig sein, weil manche Kunden Vorgaben haben, teilweise mit Gesetzesrang.
Dann wird es bei einigen OEMs eng.

Kannst du mir etwas mehr Kontext zu diesen Klassen geben? Was genau sprichst du an? Ich kann dir nicht ganz folgen.
150631
150631 07.11.2024 um 10:56:49 Uhr
Goto Top
Leistung? Zertifikate und Zulassungen?
Schon mal eine Sophos in einem kritischen Bereich gesehen, oder einer Bank?
LucarToni
LucarToni 07.11.2024 um 11:41:11 Uhr
Goto Top
Achso.
Natürlich haben wir Kunden mit Sophos Firewalls im KRITIS Bereich oder im Banken Umfeld.
Du findest alle unsere Zertifikate und Zulassungen hier: https://docs.sophos.com/nsg/regulatorycompliance/en-us/index.html
150631
150631 07.11.2024 um 11:44:56 Uhr
Goto Top
Netter Versuch. Ich bin zufällig vom Fach.
LucarToni
LucarToni 07.11.2024 um 11:50:37 Uhr
Goto Top
Zitat von @150631:

Netter Versuch. Ich bin zufällig vom Fach.

Was genau fehlt dir denn?
Ich bin sehr interessiert, was KRITIS Kunden potentiell hier blockieren könnte?
Sprichst du vom Trust Center? https://www.sophos.com/en-us/trust
150631
150631 07.11.2024 um 12:00:22 Uhr
Goto Top
NfD aufwärts?
Das war aber auch nicht der Punkt.
Der Punkt ist, welche Ausreden ich habe oder auch Argumente.
nachgefragt
nachgefragt 07.11.2024 um 12:00:32 Uhr
Goto Top
Es würde mich nicht überraschen, wenn es ein Sophosmitarbeiter aus Indien wäre, mit "KI" übersetzt klappt das auch problemlos.

Hier dessen Verlauf, ohne Anmeldung: https://community.sophos.com/p/search#q=LuCar%20Toni&sort=%40date%20 ...

Oben hat er sein Profil verlinkt, geht aber nur mit Anmeldung, so sieht er welcher Account draufschaut (nochmal ein pishing Versuch).
LucarToni
LucarToni 07.11.2024 um 12:08:27 Uhr
Goto Top
Zitat von @150631:

NfD aufwärts?
Das war aber auch nicht der Punkt.
Der Punkt ist, welche Ausreden ich habe oder auch Argumente.

VS-NFD sind unsere Produkte nicht zertifiziert.
Das haben wir nie verfolgt - Ist aber auch, meines Wissens nach, nicht notwendig für KRITIS.

Gerne kann auch unser Public / Behörden Team hier in Gesprächen auch weiterhelfen.
Wir mappen unsere Produkte auch auf KRITIS: https://www.sophos.com/de-de/whitepaper/it-sicherheitsgesetz


Zitat von @nachgefragt:

Es würde mich nicht überraschen, wenn es ein Sophosmitarbeiter aus Indien wäre, mit "KI" übersetzt klappt das auch problemlos.

Hier dessen Verlauf, ohne Anmeldung: https://community.sophos.com/p/search#q=LuCar%20Toni&sort=%40date%20 ...

Oben hat er sein Profil verlinkt, geht aber nur mit Anmeldung, so sieht er welcher Account draufschaut (nochmal ein pishing Versuch).

Ich weiß nicht, ob ich diese Posts noch ernst nehmen soll - Es tut mir leid. Aber das ist etwas seltsam?
Es fühlt sich sehr unseriös an - Wenn ich dich irgendwie persönlich angegriffen haben sollte, tut es mir wirklich leid. Aber mir zu unterstellen, ich wäre ein Bot oder ein Kollege aus Indien, finde ich nun sehr fragwürdig.

Und nein - ich sehe nicht, welche User auf ein Profile in Sophos Community klicken.
Aber ich gebe auf. Ich werde nicht mehr auf die Antworten von nachgefragt reagieren.
Persönlich denke ich, dass dieser User auch kein Anwender von Sophos ist, sondern ein Home User.
MysticFoxDE
MysticFoxDE 07.11.2024 um 12:14:39 Uhr
Goto Top
Moin @nachgefragt,

Es ist offensichtlich, dass es Sophos Partnern wie dir, welche damit (viel) Geld verdienen (sicherlich mehr als noch bei der UTM Serie), nicht schmeckt, wenn der Endkunde hier mal ein Fazit zieht, sondern es als "blöde Sprüche" und "rummeckern" abtut.

ja, stimmt, ich bin ja der Einzige hier, der mit seinem Können auch Geld verdienen muss, sorry.
Aber, komischerweise meckert keiner unserer Kunden hier rum und die meisten davon wissen ganz genau, dass ich mich auch hier oft herumtreibe.

Oha, da ich doch angeblich keine Probleme habe, wie du gerade gesagt hattest.
Falls du aber nur im Ansatz die genannten Probleme erkennst, solltest du verstehen, dass du sicherlich keine Einfluss darauf haben wirst. Aktuelle Probleme mit der XG(s) Serie von Sophos

Sorry, aber ich sehe hier keine Probleme die wirklich von Sophos stammen. Ich sehe hier eher jemanden,
der ums verrecken nicht akzeptieren möchte, dass dieser Planet sich nicht wirklich immer zu 100% nach nur seinen Wünschen drehen kann. 😔

Gruss Alex
em-pie
em-pie 07.11.2024 um 12:14:51 Uhr
Goto Top
Zitat von @150631:

Netter Versuch. Ich bin zufällig vom Fach.

Ich vermute mal, dass ihr dann Firewalls etc. von Genua einsetzt, denn die sind eines der wenigen, die auch in Bundesbehörden zugelassen sind. da wird auch keine pfSense/ OPNSense anwendung finden.


Was ich - und das meine ich wirklich neutral - gerade hier mal wieder sehe und schade finde, dass sich ein/ zwei User auf den Boden werfen und brüllen "buaäääääh. Der Mann der drüben, der bei einem NGFW Firewall-Hersteller tätig ist, ist doof zu uns. der will tatsächlich was handfestes haben. Das will ich aber nicht. Und zufrieden bin ich aber auch nicht mit der Hilfestellung des Herstellers..." Hat was von "Wasch mich aber mach mich nicht nass".
Und auf der anderen Seite ein User, der scheinbar beim Hersteller tätig ist (und das nehme ich ihm einfach mal ab) und hier versucht, Butter bei de Fische zu bekommen, um die Probleme mal benannt zu bekommen kriegt hier permanent einen drüber.

Leute, das ist doch nicht sachlich und konstruktiv.

Wenn man einen Hersteller nicht mag. Gut. Dann teilt man das kurz mit alles sind zufrieden - mehr oder minder.

@nachgefragt: Welche CPUs laufen eigentlich in den Steuergeräten deines Fahrzeugs. Ich nehme an, hier hast du vom Hersteller auch alle relevanten Infos. Immerhin geht es hier sogar u. U. um Menschenleben. da will man sowas ja auch wissen.
Mich persönlich interessiert das wenig. ich will ein System haben, was stabil läuft - egal ob Auto, Storage, Switch oder eben eine Firewall. Und das tut unsere XGS3100. Und wenn nicht, wende ich mich an unser Systemhaus, welches auch Sophos Partner ist. Gut, die nehmen die Stunde 160€. Wenn sich herausstellt, dass das kein Konfig-Fehler sondern ein Bug ist, geht es an Sophos weiter. Fertig. Kam in den 12 Jahren jetzt einmal vor und hat so gut geklappt.

Das wäre aber auch sicherlich mit einem Hersteller wie Palto Alto, Genua oder auch Fortinet ähnlich gut gelaufen, nur dass die für Ihre Produkte noch mal etwas mehr Geld haben wollen.
MysticFoxDE
MysticFoxDE 07.11.2024 um 12:17:34 Uhr
Goto Top
Moin @nachgefragt,

bei der XGS sehe ich durch das Konstrukt in Summe mehr Aufwand bzw. Dienstleistungsbedarf.

die XGS hat im Vergleich zu der SG auch deutlich mehr Schutzmassnahmen/Features und daher kommt auch der Mehraufwand bei der Konfiguration.

Gruss Alex
MysticFoxDE
MysticFoxDE 07.11.2024 um 12:24:31 Uhr
Goto Top
Moin @nachgefragt,

Das darf auch mal vorkommen, beiderseits nimmt es denke ich, keiner persönlich.

👍👍👍 so ist das auch.

Sprich, wenn du mal im Raum Stuttgart bist, dann würde ich mich über ein kleine Plausch-Runde sehr freuen und nach dem einen oder anderen 🍺 (geht natürlich auf meinen Deckel), bekomme ich deine Probleme vielleicht doch noch genauer herausgekitzelt. 😁

Gruss Alex
150631
150631 07.11.2024 aktualisiert um 13:50:32 Uhr
Goto Top
Zitat von @LucarToni:

Zitat von @150631:

NfD aufwärts?
Das war aber auch nicht der Punkt.
Der Punkt ist, welche Ausreden ich habe oder auch Argumente.

VS-NFD sind unsere Produkte nicht zertifiziert.
Das haben wir nie verfolgt - Ist aber auch, meines Wissens nach, nicht notwendig für KRITIS.

Gerne kann auch unser Public / Behörden Team hier in Gesprächen auch weiterhelfen.
Wir mappen unsere Produkte auch auf KRITIS: https://www.sophos.com/de-de/whitepaper/it-sicherheitsgesetz



Behörden üben Aufsicht über Unternehmen aus, die laut Gesetz z. B. Kritis sind. Oder die BW versorgen usw...
Das kann man mindestens philosophisch aus diskutieren. Bis was passiert, dann wird ggf nachgeguckt.
VS-NfD ist nur ein Beispiel und das untere Ende im Bund. Ja nach dem was der Dienstherr dir aufs Auge drückt, braucht man eine SÜG1/2/3, da wird zwar nicht nach der Firewall gefragt, aber das DV-Konzept muss stimmig sein. Es gibt aber noch andere Regeln, die nicht unbedingt weniger Aufwand bedeuten.
Da fällt Sophos leider oder zum Glück raus, je nach dem wie man das sieht. Spannend finde ich, dass Sophos es nciht mal versuchen würde, die Zertifizierung zu bekommen. Und dabei geht es eher weniger um Geschäftsgeheimnisse, de man den Behörden verraten müsste, sondern um Prozesse die nicht gelebt werden.

Ich denke, wie bei allen Sachen in der IT, ist es eine Frage der Bedürfnisse und der Budgets und des Know-Hows.
Firewall ist zu einem Buzzword verkommen und dazu kommt noch ganz viel Glauben.
Manche Menschen glauben eine Opnsense mit Zenarmor kann mit einer Sophos vergleichen werden, weil ein paar Funktionen sich ähneln oder gleiche Begrifflichkeiten verwendet werden.
Daher: Marketing bei Seite und gewissenhaft ein Lastenheft schreiben. dann Angebote einholen und gucken was angeboten wird. (Einen NTP-Server auf der Firewall, kommt mir wie ein Treppenwitz vor) (Auch verstehe ich nur begrenzt den Sinn, für diese Anforderung)

@em-pi. Ja, auch Genua. Aber er auch Cisco. Vorher PA. Usw... wir haben nur noch Notebook. Die werden mit "Trusted Disk" geschützt damit die VPN Software vertrauenswürdig bleibt usw... usw... Selbst auf Layer 1 setzen wir seit Sommer mit Verschlüsselung an, mit Dacoso Hardware. Kennst du den Pförtner gut, lässt er dich aber ins Objekt ;)
nachgefragt
nachgefragt 07.11.2024 aktualisiert um 12:56:39 Uhr
Goto Top
Zitat von @LucarToni:
Aber mir zu unterstellen, ich wäre ein Bot oder ein Kollege aus Indien, finde ich nun sehr fragwürdig.
"Es würde mich nicht überraschen" ist keine Unterstellung, vielleicht kennst du den Unterschied nicht.

In der KI liegt (m)eine Hoffnung, dass die Antworten der Community vom Bot "Im höheren Maße Genau" sind, und nicht "Im höheren Maße Kreativ", wobei diese dann noch immer am Thema sind und mir der Bot nicht erklären will, dass ich etwas ganz Besonderes bin, weil sonst noch keiner die Frage gestellt hat oder diese Information (für mich) keine Relevanz hätte und warum.

Aber irgendwas hat dich dazu bewogen, auf diese i.d.R. herstellerneutrale Plattform zu kommen, anstatt in der Sophos Community zu bleiben, eigentlich die 1. Anlaufstelle bei technischen Problemen mit der Sophos.
LucarToni
LucarToni 07.11.2024 um 13:08:19 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Aber mir zu unterstellen, ich wäre ein Bot oder ein Kollege aus Indien, finde ich nun sehr fragwürdig.
"Es würde mich nicht überraschen" ist keine Unterstellung, vielleicht kennst du den Unterschied nicht.

In der KI liegt (m)eine Hoffnung, dass die Antworten der Community vom Bot "Im höheren Maße Genau" sind, und nicht "Im höheren Maße Kreativ", wobei diese dann noch immer am Thema sind und mir der Bot nicht erklären will, dass ich etwas ganz Besonderes bin, weil sonst noch keiner die Frage gestellt hat oder diese Information (für mich) keine Relevanz hätte und warum.

Aber irgendwas hat dich dazu bewogen, auf diese i.d.R. herstellerneutrale Plattform zu kommen, anstatt in der Sophos Community zu bleiben, eigentlich die 1. Anlaufstelle bei technischen Problemen mit der Sophos.

Ich möchte Leuten helfen. Das war mein Beweg Grund. Wenn dabei auch Informationen für Sophos interessant sind, gebe ich diese auch gerne weiter.

An dieser Stelle, es tut mir leid, wenn meine Meinungen nicht deiner Erwartungshaltung entsprechen.
Ich glaube auch nicht, dass irgendwo hier steht, dass ein Hersteller hier nicht vertreten sein darf? Wenn doch, kann ich mich gerne zurückziehen. Ich möchte hier keine Diskussionen stören.

Bis dato sind es jedoch kaum Diskussionen (besonders hier) sondern nur Behauptungen und jedes mal wird man vertröstet.
nachgefragt
nachgefragt 07.11.2024 um 13:45:08 Uhr
Goto Top
Zitat von @LucarToni:
Ich möchte Leuten helfen.
Finally, wir haben etwas gemeinsam. Durch den Austausch im Forum habe ich 5stellige Einsparungen gemacht, wenn ich Sophos verlassen, wird es 6stellig. Dein Beitrag dazu war hilfreich, der ein interessantes Argument liefert. Firewall ersetzen
An dieser Stelle, es tut mir leid, wenn meine Meinungen nicht deiner Erwartungshaltung entsprechen.
Die Meinung von jemanden von Sophos, der damit sein Geld verdient, gewichte ich nicht sonderlich hoch, das gab ich schon zu.
Ich glaube auch nicht, dass irgendwo hier steht, dass ein Hersteller hier nicht vertreten sein darf?
Solange du keine Werbung machst: Diskussionsrichtlinien - die Regeln zu unseren Inhalten
nur Behauptungen und jedes mal wird man vertröstet.
Das klingt exakt wie die Zusammenarbeit mit den Sophos Herstellersupport.
LucarToni
LucarToni 07.11.2024 um 13:51:15 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @LucarToni:
Ich möchte Leuten helfen.
Finally, wir haben etwas gemeinsam. Durch den Austausch im Forum habe ich 5stellige Einsparungen gemacht, wenn ich Sophos verlassen, wird es 6stellig. Dein Beitrag dazu war hilfreich, der ein interessantes Argument liefert. Firewall ersetzen
An dieser Stelle, es tut mir leid, wenn meine Meinungen nicht deiner Erwartungshaltung entsprechen.
Die Meinung von jemanden von Sophos, der damit sein Geld verdient, gewichte ich nicht sonderlich hoch, das gab ich schon zu.
Ich glaube auch nicht, dass irgendwo hier steht, dass ein Hersteller hier nicht vertreten sein darf?
Solange du keine Werbung machst: Diskussionsrichtlinien - die Regeln zu unseren Inhalten
nur Behauptungen und jedes mal wird man vertröstet.
Das klingt exakt wie die Zusammenarbeit mit den Sophos Herstellersupport.

Ich entnehme dem Post, dass du kein Interesse an einem Hersteller Kommentar bzw. von jemanden, der seit über einem Jahrzehnt auch mit der Lösung arbeitet.

Danke für das abschließende Kommentar. Ich werde auf deine Posts nicht mehr reagieren, um diese Diskussion nicht mehr weiter aufzublähen.
Wenn weitere Kommentare zu aktuellen Problemen existieren, gerne hier posten, ich kann darauf reagieren.
150631
150631 07.11.2024 um 13:53:05 Uhr
Goto Top
@LucarToni: Kennst du das Sprichwort: Der Hund bewacht den Wurstvorrat? auf Computerbase gibt es Hersteller-Support-Foren, vielleicht ist da was für dich/Sophos?
LucarToni
LucarToni 07.11.2024 um 13:57:29 Uhr
Goto Top
Zitat von @150631:

@LucarToni: Kennst du das Sprichwort: Der Hund bewacht den Wurstvorrat? auf Computerbase gibt es Hersteller-Support-Foren, vielleicht ist da was für dich/Sophos?

Ich bin ja kein Support Engineer. Auch bin ich keine Person, die Support in der Form anbieten kann, dass wir SLAs darüber abbilden.
Das ist nämlich ein Unterschied - Ich kann hier meine Meinung mit Kontext Sophos vertreten und ein paar Dinge auch mit Hintergrund Informationen erklären.

Wenn man ein offizielles Hersteller Support Team anbietet, dann muss man das auch mit einem Team anbieten (Wir tun das auch in der Sophos Community). Jedoch das auszuweiten auf ein anderen Forum, ist glaube ich etwas zu viel.

Ganz ehrlich, ich tue das hier nebenbei - Wenn es nicht gewünscht wird, dann kann ich das auch einfach wieder lassen - Es war einfach nur ein Thema, dass ich gesehen hatte (beim Googlen), da waren Fragen offen zur XG to XGS Migration bzw. EOL und ich dachte mir, ich beantworte ein paar von den Punkten.

Das User wie @nachgefragt so komisch reagieren, ist für mich fragwürdig und nicht nachvollziehbar. Aber ich brauche meine Zeit nicht hier (in seine Kommentare) investieren.
nachgefragt
nachgefragt 07.11.2024 um 14:51:21 Uhr
Goto Top
Zitat von @MysticFoxDE:
nicht akzeptieren möchte
Ich gestehe (!)
Kunden, Partner, Kollegen und ich haben Schwierigkeiten damit, wenn, wie oben genannt,
  • Hersteller wie Sophos die Supportkosten verdoppeln und keine Mehrleistung bietet,
  • für den Preis nicht einmal kompetente Hilfe anbietet, sondern zum 150€ Dienstleister schiebt
  • usw. wie oben bereits beschrieben,
ich bitte um Verzeihung, das das ist ein Problem für einige, vor allem, wenn das Budget an andere Stelle besser aufgehoben ist.

Das Engagement von @LucarToni in allen Ehren, aber hilfreich ist das nur für jene, die den Weg zur Sohos Community oder zum regionalen Ansprechpartner nicht finden. Die Sophos Community ist gut, Betroffene helfen Betroffenen. Und eine Lanze für die Sophos Community möchte ich auch brechen, denn es werden nicht alle OPNsense Beiträge gelöscht.
https://community.sophos.com/p/search#q=opnsense&sort=relevancy
screenshot 2024-11-07 145006
LucarToni
LucarToni 07.11.2024 um 15:17:55 Uhr
Goto Top
Ich bin mir nicht sicher, was ein Regionaler Ansprechpartner sein soll, den gibt es seit 5 Jahren nicht mehr.

OPNSense ist ein gutes Produkt, das bestreitet niemand. Ich bin nicht hier, um irgendjemand davon abzuhalten, OPNSense einzusetzen.
Ich weiß gar nicht, wieso die ganze Zeit der Vergleich dazu aufgemacht wird?

Das gute am Ende ist: Jeder kann das einsetzen, was er/sie benötigt. Wenn OPNSense das Produkt der Wahl ist, das für mich in Ordnung.

Ich engagiere mich einfach nur dafür, wenn jemand Fragen hat oder Dinge aufstellt, diese in einen Kontext zu Rücken.

Abschließend sei gesagt: Wenn @nachgesagt nun OPNSense einsetzt und glücklich ist, ist das für alle hier in Ordnung. Er kann auch gerne seine Erfahrungen mit beiden Herstellern teilen.
Ich persönlich kann diese Punkte nicht verstehen oder nachgehen, bzw. auch ggf. weiterhelfen. Aber das haben wir nun genug ausdiskutiert.

Dieser Thread hat sich wohl zu etwas anderem entwickelt, als ich dachte. Ich hatte erwartet, wir führen hier eine Diskussion über Themen, aber am Ende haben wir einfach nur mit Behauptungen um uns geworfen und niemand ist einen Schritt weitergekommen - Schade!
MysticFoxDE
MysticFoxDE 08.11.2024 um 01:30:57 Uhr
Goto Top
Moin @150631,

Behörden üben Aufsicht über Unternehmen aus, die laut Gesetz z. B. Kritis sind. Oder die BW versorgen usw...
Das kann man mindestens philosophisch aus diskutieren. Bis was passiert, dann wird ggf nachgeguckt.
VS-NfD ist nur ein Beispiel und das untere Ende im Bund.

eine korrekt eingerichtete XGS erfüllt die Anforderungen an den erhöhten Schutzbedarf und ist somit auch VS-NfD tauglich. 😉

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zulassung/VS-Anforde ...

Ja nach dem was der Dienstherr dir aufs Auge drückt, braucht man eine SÜG1/2/3, da wird zwar nicht nach der Firewall gefragt, aber das DV-Konzept muss stimmig sein. Es gibt aber noch andere Regeln, die nicht unbedingt weniger Aufwand bedeuten.

Was hat den bitte die SÜG1/2/3 hier verloren?
Das ist eine reine personenbezogene Sicherheitsüberprüfung.

Da fällt Sophos leider oder zum Glück raus, je nach dem wie man das sieht.

Wie kommst du den auf diese Idee?
Also ja, bei der SÜG1/2/3 schon da es keine Person ist, bei VS-NfD sicherlich nicht.

Spannend finde ich, dass Sophos es nciht mal versuchen würde, die Zertifizierung zu bekommen. Und dabei geht es eher weniger um Geschäftsgeheimnisse, de man den Behörden verraten müsste, sondern um Prozesse die nicht gelebt werden.

Und welche Zertifizierungen fehlen dir den genau?

Ich denke, wie bei allen Sachen in der IT, ist es eine Frage der Bedürfnisse und der Budgets und des Know-Hows.

Vor allem des Letzteren.

Firewall ist zu einem Buzzword verkommen und dazu kommt noch ganz viel Glauben.

Ja unter dem Begriff Firewall wird leider oft zu viel "zusammengefasst", daher unterscheide ich auch strikt zwischen FW NGFW und einem SGW/ALG.

Gruss Alex
MysticFoxDE
MysticFoxDE 08.11.2024 aktualisiert um 01:58:27 Uhr
Goto Top
Moin @nachgefragt,

Ich gestehe (!)
Kunden, Partner, Kollegen und ich haben Schwierigkeiten damit, wenn, wie oben genannt,

dann nenne mir doch bitte einen einzigen Hersteller, wo ein Kunde oder Partner jemals kein Problem gehabt hat, danke.

* Hersteller wie Sophos die Supportkosten verdoppeln und keine Mehrleistung bietet,

Diesen Punkt haben wir schon mehrfach durch und du hast bis zum heutigen Tag keinen Beleg für diese Aussage geliefert und ich selbst kann diese, gemäss unseren eigenen Einkäufen der letzten Jahre auch nicht wirklich nachvollziehen, zumindest nicht in dem von dir angesprochenem Umfang.

Und was das Thema Features angeht. Du musst lediglich die seit Jahren abgekündigte SG Serie endlich los lasen und zur XGS wechseln, dann hast du wieder mehr als genug neue Features.

* für den Preis nicht einmal kompetente Hilfe anbietet, sondern zum 150€ Dienstleister schiebt

Wenn dich der Sophos Support Richtung eines Dienstleister verweist, dann hängt das in dem meisten Fällen damit zusammen, dass dein Problem kein BUG ist, sondern ein Konfigurationsproblem, sprich, in dem Fall ist die XGS falsch konfiguriert und für solche Dinge ist der Support primär auch nicht wirklich verantwortlich.

Und was den Support für die SG angeht, ich kann es nicht oft genug wiederholen, das Ding ist seit Jahren tot und wird daher auch nur noch rudimentär supportet.

ich bitte um Verzeihung, das das ist ein Problem für einige, vor allem, wenn das Budget an andere Stelle besser aufgehoben ist.

Das glaube ich dir sehr gerne!

Aber, dafür dass auch kleine Firmen ihre Internetanschlüsse/IT fast auf demselben Niveau schütze müssen wie auch die grosse Unternehmen, weil sie zu einem Grossteil schlichtweg denselben Angriffen ausgesetzt sind, ist ganz sicher nicht Sophos schuld. Wenn, dann meiner Ansicht nach schon eher die unsere bisherigen Bundesregierungen, weil diese auch von IT, in Summe schlichtweg keinen Plan hat. 😔

Gruss Alex
150631
150631 08.11.2024 um 02:04:36 Uhr
Goto Top
Ohne bestimmte persönliche Befähigung/Eignung, z. B. eine SÜG wirst du nicht mal einen Karton liefern, geschweige denn etwas anschließen oder gar konfigurieren.

Bevor man nicht auf diese Liste kommt, ist man in Deutschland nur am Markt. https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/List ...
MysticFoxDE
MysticFoxDE 08.11.2024 aktualisiert um 02:48:20 Uhr
Goto Top
Moin @150631,

Ohne bestimmte persönliche Befähigung/Eignung, z. B. eine SÜG wirst du nicht mal einen Karton liefern, geschweige denn etwas anschließen oder gar konfigurieren.

Dir ist aber schon aufgefallen, das wir hier über ein SGW, sprich eine Sache sprechen und nicht über eine Person. 🙃

Verner wüsste ich nicht, dass ich dir jemals meine SÜG Einstufung verraten hätte, die hier übrigens auch absolut keine Rolle spielt.

Bevor man nicht auf diese Liste kommt, ist man in Deutschland nur am Markt. https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/List ...

Diese Liste ist für > 99% aller deutschen Unternehmen vollkommen irrelevant und auch für den Grössteil der deutschen Behörden!

Sprich, was möchtest du mit diesem Affenzirkus den nun genau bezwecken?

Gruss Alex
150631
150631 08.11.2024 um 03:30:21 Uhr
Goto Top
Ohne Befähigung nimmst Du nicht an Ausschreibungen Teil, man bekommt nicht mal die Lieferadresse genannt. Man gibt keine Angebote ab, liefert keine Hardware, betritt keine Liegenschaften und installiert dort nichts. Häufig ist es die SÜG2 die dazu verlangt wird. Das wüsstest Du aber, wenn Du Ahnung hättest. Die SÜG3 wird benötigt, wenn man nicht nur Angebote schreibt und Karton liefern, sondern wirklich Zugriff auf etwas hätte, was schützenswert ist. Entweder nach definierten gesetzlichen Zwecken oder nach Verordnung bzw Anordnung. Aber auch das wüsstest Du, wenn Du Ahnung hast.

Alle deutschen Behörden, die am NdB und/oder IVÖV angeschlossen sein möchten, müssen Mindestanforderungen erfüllen. Das geht nun Mal mit Sophos nicht. Somit würde das auch eine Gemeinde betreffen und der Lieferant, der der Gemeinde die Karton öffnet.
Das wüsstest Du aber, wenn Du Ahnung hättest.

Nun verstanden?

Sophos ist ein Mainstream IT Produkt. Auch noch so "korrekt eingerichtet" und ohne Bilder davon zu Posten, fehlt es an formellen Vorraussetzungen.
Das ist keine Schande oder gar ein Problem, weil es für 99% der Lösungen gilt, aber nicht in absehbarer Zeit, gerade jetzt nach dem neue Gesetze kommen, den Versuch zu starten, das ist merkwürdig und unterstreicht das es einige Segmente nicht abdeckt.
MysticFoxDE
MysticFoxDE 08.11.2024 aktualisiert um 07:42:33 Uhr
Goto Top
Moin @150631,

Oder dem VS eine Meldung machen?

ja, bitte, die lachen sich jetzt schon wahrscheinlich den Ast ab, aber sicherlich nicht meinetwegen.

Übrigens, "echte" 1Mio IOPS kosten immer noch ca. 1$ pro IOPS ;)

Sorry, aber spätestens jetzt hast du bewiesen, dass du von praktischer IT nicht wirklich eine Ahnung hast. 🙃
Denn 1Mio IOPS (4K), bring heutzutage so gut wie jede gute Enterprise-SSD.
Ich habe übrigens gerade zwei OPTANE SSD's auf dem Tisch liegen, die machen das sogar noch im Halbschlaf. 😉

Alle deutschen Behörden, die am NdB und/oder IVÖV angeschlossen sein möchten, müssen Mindestanforderungen erfüllen. Das geht nun Mal mit Sophos nicht. Somit würde das auch eine Gemeinde betreffen und der Lieferant, der der Gemeinde die Karton öffnet.
Das wüsstest Du aber, wenn Du Ahnung hättest.

Ja ich sehe dass du Blödsinn redest/schreibst, da wir durchaus Gemeinden/Kommunen betreuen. 🙃

Sophos ist ein Mainstream IT Produkt. Auch noch so "korrekt eingerichtet" und ohne Bilder davon zu Posten, fehlt es an formellen Vorraussetzungen.
Das ist keine Schande oder gar ein Problem, weil es für 99% der Lösungen gilt, aber nicht in absehbarer Zeit, gerade jetzt nach dem neue Gesetze kommen, den Versuch zu starten, das ist merkwürdig und unterstreicht das es einige Segmente nicht abdeckt.

bsi - rückantwort

Hierbei ging es übrigens sowohl um Sophos als auch wie unschwer zu erkennen ist auch um eine Kommune. 😉

Gruss Alex
nachgefragt
nachgefragt 08.11.2024 um 07:23:18 Uhr
Goto Top
Zitat von @MysticFoxDE:
dann nenne mir doch bitte einen einzigen Hersteller, wo ein Kunde oder Partner jemals kein Problem gehabt hat, danke.
Das ist ein Sophos Klassiker, oder?
Immer mit dem Finger auf andere zeigen, dass hatte ich aber in meinen Sophos Schulungen nicht gelernt. Das gehört eigentlich zum klassischen Charakter vom Herstellersupport.

Diesen Punkt haben wir schon mehrfach durch und du hast bis zum heutigen Tag keinen Beleg für diese Aussage geliefert
Ist es für dich aber verständlich, dass ich diese Daten nicht rausgeben darf?
Könntest du dir vorstellen, WIE gern ich diese Information (Screenshot Rechnungen) veröffentlichen würde? Du musst es mir einfach glauben, oder einfach nicht.

Alex, hab ein schönes Wochenende!
MysticFoxDE
MysticFoxDE 08.11.2024 um 07:42:15 Uhr
Goto Top
Moin @nachgefragt,

Das ist ein Sophos Klassiker, oder?

das ist das nur wahre Leben, also ja, Klassiker schon, aber nicht nur der von Sophos. 🙃

Immer mit dem Finger auf andere zeigen, dass hatte ich aber in meinen Sophos Schulungen nicht gelernt. Das gehört eigentlich zum klassischen Charakter vom Herstellersupport.

Die Schullungen haben aber durchaus schon ihren Sinn, auch wenn ich diese im Rahmen der Rezertifizierung nicht wirklich immer leiden kann. 🙃

Ist es für dich aber verständlich, dass ich diese Daten nicht rausgeben darf?
Könntest du dir vorstellen, WIE gern ich diese Information (Screenshot Rechnungen) veröffentlichen würde? Du musst es mir einfach glauben, oder einfach nicht.

Also, die Preise von Sophos sind ja nicht wirklich geheim und auch die Nachlässe, die die jeweiligen Partnerstufen mit sich bringen. Daher sehe ich hier nicht wirklich das Problem und ich habe dir unsere EK's, ja auch schon mal genannt.

Und was die Support-Probleme angeht. Mir hätte es ja auch schon gereicht, wenn du wenigstens eins davon grob beschrieben hättest und zwar nicht welches Problem du mit dem Support selbst hattest, sondern um welches Problem es grundsätzlich bei dem jeweiligen Call ging.

Alex, hab ein schönes Wochenende!

Du auch!
Und das mit dem 🍺 war absolut ernst gemeint.

Gruss Alex
LucarToni
LucarToni 08.11.2024 um 09:44:36 Uhr
Goto Top
Ja ich sehe dass du Blödsinn redest/schreibst, da wir durchaus Gemeinden/Kommunen betreuen. 🙃

Zitat von @150631:

Ohne Befähigung nimmst Du nicht an Ausschreibungen Teil, man bekommt nicht mal die Lieferadresse genannt. Man gibt keine Angebote ab, liefert keine Hardware, betritt keine Liegenschaften und installiert dort nichts. Häufig ist es die SÜG2 die dazu verlangt wird. Das wüsstest Du aber, wenn Du Ahnung hättest. Die SÜG3 wird benötigt, wenn man nicht nur Angebote schreibt und Karton liefern, sondern wirklich Zugriff auf etwas hätte, was schützenswert ist. Entweder nach definierten gesetzlichen Zwecken oder nach Verordnung bzw Anordnung. Aber auch das wüsstest Du, wenn Du Ahnung hast.

Alle deutschen Behörden, die am NdB und/oder IVÖV angeschlossen sein möchten, müssen Mindestanforderungen erfüllen. Das geht nun Mal mit Sophos nicht. Somit würde das auch eine Gemeinde betreffen und der Lieferant, der der Gemeinde die Karton öffnet.
Das wüsstest Du aber, wenn Du Ahnung hättest.

Nun verstanden?

Sophos ist ein Mainstream IT Produkt. Auch noch so "korrekt eingerichtet" und ohne Bilder davon zu Posten, fehlt es an formellen Vorraussetzungen.
Das ist keine Schande oder gar ein Problem, weil es für 99% der Lösungen gilt, aber nicht in absehbarer Zeit, gerade jetzt nach dem neue Gesetze kommen, den Versuch zu starten, das ist merkwürdig und unterstreicht das es einige Segmente nicht abdeckt.

Interessanter Blickwinkel.
Es gibt Kunden, die mit öffentlichen Dienst und mit dem Deutschen Staat verbunden sein müssen.
Jetzt kommt aber die Interessante Komponente: KRITIS & NIS2 und weitere Beschreibungen setzen nicht voraus, dass man VS-NfD Komponente einsetzen müssen.

Was wir auch sehen ist, ein zwei geteiltes Netzwerk, dass Office Netzwerk von Behörden Netzwerk trennt. Dabei können nämlich Kunden auch zwei Firewalls betreiben und unterschiedliche Use Cases betreiben.

Ich stimme zu, es gibt Kunden, die müssen diese Hardware einsetzen und daran führt kein Weg vorbei. Besonders bei VS-NfD Anforderungen. Aus meiner Erfahrung heraus, betrifft das jedoch nur einen sehr kleinen Kunden Anteil - Mir sind keine "Gemeinden" bekannt, die VS-NfD auflagen haben.

Sophos selbst hat ein paar Erfolgsgeschichten, die auch öffentliche Kunden sind: https://www.sophos.com/de-de/company/case-studies

Dabei jedoch auch wichtig: Wir bieten ja nicht nur Firewalls an. Manche Kunden, die selbst hohe Anforderungen haben, können unsere Endpoint Lösung auch einsetzen.

Wir haben ein dediziertes Team für den öffentlichen Dienst, die auch gerne dabei helfen, wenn es Fragen zu Ausschreibungen oder ähnlichen gibt: https://www.sophos.com/de-de/solutions/industries/government Auch mit Sales Engineering Unterstützung.
nachgefragt
nachgefragt 08.11.2024 um 12:41:00 Uhr
Goto Top
Stell ich mir vor,
ich würde auch noch die Sophos Endpoint Protection einsetzen,
gepaart mit den explodierenden Lizenzkosten,
dem katastrophalen Herstellersupport und der daraus resultierenden Notwendigkeit externer Dienstleister,
auch durch mehr und mehr Features,...
dann hätte ich schon ein paar mal Systemstillstand gehabt.

Als Sophos Partner blicke ich in eine rosige Zukunft.
Das zunehmende passive Einkommen durch Abo-, Lizenz- und Wartungsverkäufe ist ebenso gesichert, wie der zunehmende Bedarf an externer Dienstleistung, welche sich im Feature-Jungle auskennen mögen.

Ein schönes Wochenende.
LucarToni
LucarToni 08.11.2024 um 12:47:23 Uhr
Goto Top
Zitat von @nachgefragt:

Stell ich mir vor,
ich würde auch noch die Sophos Endpoint Protection einsetzen,
gepaart mit den explodierenden Lizenzkosten,
dem katastrophalen Herstellersupport und der daraus resultierenden Notwendigkeit externer Dienstleister,
auch durch mehr und mehr Features,...
dann hätte ich schon ein paar mal Systemstillstand gehabt.

Als Sophos Partner blicke ich in eine rosige Zukunft.
Das zunehmende passive Einkommen durch Abo-, Lizenz- und Wartungsverkäufe ist ebenso gesichert, wie der zunehmende Bedarf an externer Dienstleistung, welche sich im Feature-Jungle auskennen mögen.

Ein schönes Wochenende.

Also gehen wir nun von Sophos Firewall auf Sophos Endpoint, ersetzen die Variable %Productname% und erzählen genau das gleiche?
Ich klinke mich nun aus, dass hat hier in diesem Forum keinen Sinn.

War ja nur ein Versuch von mir, mir mehr Feedback einzuholen. Wurde komplett untergraben und am Ende, nahezu 100 Posts später, stehe ich genau dort, wo ich angefangen habe.
nachgefragt
nachgefragt 08.11.2024 aktualisiert um 13:01:25 Uhr
Goto Top
Zitat von @LucarToni:
Wurde komplett untergraben und am Ende, nahezu 100 Posts später, stehe ich genau dort, wo ich angefangen habe.
Exakt so fühlt sich die Zusammenarbeit mit dem Sophos Herstellersupport an.
Und ich empfinde dabei wirklich keine Schadenfreude, sondern echtes Beileid für alle, welche mit dem Sophos Support zu tun haben (müssen). So eine geld- und zeitintensive Angelegenheit sucht wirklich seinesgleichen, sodass ich fast schon euphorisch den Dienstleister für 150€/h bevorzuge.

Ich zweifle nicht an, dass du in deiner "Welt", der Sophos Community, eine Hilfestellung bist. Aber auch Respekt, dass du dich dem "Endkunden" auf diese eher herstellerneutralen Plattform gestellt hast.

Dir ein schönes Wochenende!
MysticFoxDE
MysticFoxDE 08.11.2024 um 13:31:07 Uhr
Goto Top
Moin @LucarToni,

Ich klinke mich nun aus, dass hat hier in diesem Forum keinen Sinn.

Ich hoffe das gilt nur für diesen Post hier und nicht allgemein, denn das wäre echt schade. 😔

War ja nur ein Versuch von mir, mir mehr Feedback einzuholen. Wurde komplett untergraben und am Ende, nahezu 100 Posts später, stehe ich genau dort, wo ich angefangen habe.

Sieh es mal von der Seite. Dieses Forum hat über 150.000 Mitglieder und es sind hier gerade mal 3, die aktiv über Sophos herummeckern. 😉

Ich habe mal einen Microsoft Mitarbeiter dazu gebracht sich bei Spiceworks anzumelden und sich dort zu einem gewissen Problem beim Server 2019 zu äussern, glaub mir, der wurde ganz ganz anders gehäutet. 🤪

Wünsche dir ein schönes und entspanntes Wochenende.

Gruss Alex
LucarToni
LucarToni 08.11.2024 um 13:48:14 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @LucarToni,

Ich klinke mich nun aus, dass hat hier in diesem Forum keinen Sinn.

Ich hoffe das gilt nur für diesen Post hier und nicht allgemein, denn das wäre echt schade. 😔

War ja nur ein Versuch von mir, mir mehr Feedback einzuholen. Wurde komplett untergraben und am Ende, nahezu 100 Posts später, stehe ich genau dort, wo ich angefangen habe.

Sieh es mal von der Seite. Dieses Forum hat über 150.000 Mitglieder und es sind hier gerade mal 3, die aktiv über Sophos herummeckern. 😉

Ich habe mal einen Microsoft Mitarbeiter dazu gebracht sich bei Spiceworks anzumelden und sich dort zu einem gewissen Problem beim Server 2019 zu äussern, glaub mir, der wurde ganz ganz anders gehäutet. 🤪

Wünsche dir ein schönes und entspanntes Wochenende.

Gruss Alex

Dafür ist mir jedoch meine Zeit etwas zu schade - Ich erwarte unter jedem Sophos Post die gleichen Punkte, immer wieder wiederholt von Nachgefragt.

Daher lasse ich doch die Diskussion hier Rund um Sophos doch lieber einfach brach liegen. Diese Community hat ohne mich auch überlebt: Man erreicht mich ja weiter in den gängigen Communities wie Reddit, Sophos Community etc.

Ich brauche nicht nebenbei noch jedes mal 150 Euro die Stunde und Hersteller Support zu hören - Ohne wirklich irgendwas zu haben, womit ich arbeite.

Da Nachgefragt sowieso glücklich ist mit seiner OPNSense.
Ich bezweifel bis jetzt immer noch, dass er eine Sophos Firewall besitzt, sondern nur eine UTM, die wahrscheinlich seit Jahren verlängert wird.
Diese wird dann voraussichtlich gegen die OPNSense in 2026 getauscht und damit ist die Geschichte auch erledigt.
aqui
aqui 10.11.2024 um 11:49:12 Uhr
Goto Top
MysticFoxDE
MysticFoxDE 11.11.2024 um 07:07:41 Uhr
Goto Top
Moin @aqui,


das ist an sich ein sehr interessanter Artikel über den wir meiner Ansicht nach auf jeden Fall etwas mehr diskutieren sollten.
Aber ... in diesem Thread ist das Thema glaube ich zum einen eher fehlplatziert und zum anderen ist hier der Offen eh schon aus. 😔

Sprich, kannst du dazu vielleicht einen eigenständigen Beitrag schreiben, danke.

Gruss Alex
Auggiman
Auggiman 11.11.2024 um 08:43:53 Uhr
Goto Top
So, bin bereit und das Popcorn ist noch heiß...

Spannendes Thema - nun ersetzen wir den Namen Sophos durch Fortinet, Cisco, etc. - und wir dürften eine ähnliche Diskussion haben.

Pro und Contras - toll.... muss ich oft meinen Kunden erklären und was ist zum Schluss das Contra - die Kohle: zu teuer, zu viel, zu überteuert, muss billiger, aber Premium Support muss schon sein. Ja, es gibt auch Tage, da verfluche ich Sophos und deren Support, aber so bleibt es spannend und ich versuche dann, eben das beste daraus machen.

Ich bin zufrieden, meine Kunden auch und bestellen weiterhin bei mir.... ach ja, ich bin Sophos Partner, kenne aber auch viele andere Systeme, weil es mein Job so mit sich bringt. Man kann bei allem meckern, bringt aber keinen weiter....

Gruß,
Stefan
kuwakz01
kuwakz01 11.11.2024 um 10:34:51 Uhr
Goto Top
Das ist tatsächlich mein allergrößter Schmerz mit Sophos: keine vernünftige Roadmap und vollkommen unnachvollziehbare EOLs.

Letztlich ist es so: Sophos verkauft Dir ein Produkt und kurz danach ist es EOL. Das finde ich bei IT-Infrastruktur-Dingen komplett inakzeptabel. Es ist doch nicht so, dass wir von einem kleinen Haushalt sprechen, bei dem halt mal ein AccessPoint gewechselt wird. Da hängt ja immer ein ganzer Rattenschwanz dran. An Aufwand. Und an Kosten.

Und ich finde genau hier erweist sich Sophos als extrem unzuverlässig.
em-pie
em-pie 11.11.2024 um 10:44:59 Uhr
Goto Top
Moin,

Letztlich ist es so: Sophos verkauft Dir ein Produkt und kurz danach ist es EOL.
das ist kein Problem von Sophos, sondern von deinem Partner/ Systemhaus und würde dir bei falscher Beratung auch mit Fortinet, Cisco, Junip,er, PaloAlto, ... passieren
Die XGS ist schon seit ich glaube 3 oder 4 Jahren am Markt und auch schon da war bekannt, dass die SG nicht mehr weiter entwickelt wird sondern eher ausstirbt.
Wenn du EOL-Hardware erworben hast, hat dein Partner gepennt,

keine vernünftige Roadmap und vollkommen unnachvollziehbare EOLs.
Diese Seite kennst du aber sicherlich, oder?
https://support.sophos.com/support/s/article/KBA-000003353?language=en_U ...
MysticFoxDE
MysticFoxDE 11.11.2024 um 11:05:08 Uhr
Goto Top
Moin @em-pie,

Die XGS ist schon seit ich glaube 3 oder 4 Jahren am Markt und auch schon da war bekannt, dass die SG nicht mehr weiter entwickelt wird sondern eher ausstirbt.

die XGS ist ja nur ein Upgrade der XG und diese gibt es bei Sophos schon seit 2015, sprich, nun seit fast 10 Jahren.
Somit hatte jeder Partner/Kunde, eigentlich mehr als genug Zeit sich mit der neuen Architektur anzufreunden. 🙃

Wenn du EOL-Hardware erworben hast, hat dein Partner gepennt,

👍👍👍

Gruss Alex
canlot
canlot 13.11.2024 aktualisiert um 13:42:38 Uhr
Goto Top
Ich muss sagen dass ich mit Sophos XGS auch enttäuscht bin, wahrscheinlich weil ich mit Palo Alto arbeite und deren viele Features kenne. Und der Preisunterschied ist auch nicht so groß, so dass wir nächstes Mal zu Palo Alto greifen würden.

Besonders ist deren VPN Feature ein Witz, pseudo zertifikatsbasierte Authentifizierung über vorab verteilte oder mit installierte Zertifikate, keine CA Integration, kein CRL Check usw.
Auch keine Anwendungserkennung wie bei Palo Alto, aber das ist ja auch ein Alleinstellungsmerkmal von PA, soweit ich weiß.

Naja ich könnte die Liste noch weiter fortführen, aber ich muss sagen trotz der fehlenden Features läuft die Kiste bisher anstandslos und ich hatte noch keine Probleme mit und man muss ehrlicherweise sagen das PA in letzter Zeit auch sehr stark nachgelassen hat, Bugs über Bugs, mitunter auch welche die unser HA Cluster zum Absturz gebracht haben und das mehrfach und viele Tickets über Bechtle über CANCOM zu PA sind ausgetauscht worden und das Problem wurde dadurch "behoben" dass wir ein anderes Modell gekauft haben wo es nicht mehr aufgetreten ist.

Was ich damit sagen will, dass jeder Hersteller seine Probleme hat und sein Zorn an @lukartoni auszulassen ist unfair, weil er am wenigsten dafür kann. Er bemüht sich jedem zu helfen und so wie ich verstanden habe trägt unsere Vorschläge weiter zu Sophos.

Also cool bleiben face-wink
LucarToni
LucarToni 14.11.2024 um 19:09:14 Uhr
Goto Top
Zitat von @canlot:

Ich muss sagen dass ich mit Sophos XGS auch enttäuscht bin, wahrscheinlich weil ich mit Palo Alto arbeite und deren viele Features kenne. Und der Preisunterschied ist auch nicht so groß, so dass wir nächstes Mal zu Palo Alto greifen würden.

Besonders ist deren VPN Feature ein Witz, pseudo zertifikatsbasierte Authentifizierung über vorab verteilte oder mit installierte Zertifikate, keine CA Integration, kein CRL Check usw.
Auch keine Anwendungserkennung wie bei Palo Alto, aber das ist ja auch ein Alleinstellungsmerkmal von PA, soweit ich weiß.

Naja ich könnte die Liste noch weiter fortführen, aber ich muss sagen trotz der fehlenden Features läuft die Kiste bisher anstandslos und ich hatte noch keine Probleme mit und man muss ehrlicherweise sagen das PA in letzter Zeit auch sehr stark nachgelassen hat, Bugs über Bugs, mitunter auch welche die unser HA Cluster zum Absturz gebracht haben und das mehrfach und viele Tickets über Bechtle über CANCOM zu PA sind ausgetauscht worden und das Problem wurde dadurch "behoben" dass wir ein anderes Modell gekauft haben wo es nicht mehr aufgetreten ist.

Was ich damit sagen will, dass jeder Hersteller seine Probleme hat und sein Zorn an @lukartoni auszulassen ist unfair, weil er am wenigsten dafür kann. Er bemüht sich jedem zu helfen und so wie ich verstanden habe trägt unsere Vorschläge weiter zu Sophos.

Also cool bleiben face-wink

Nur um hier ein paar Fragen zu stellen, VPN in SFOS ist ähnlich aufgestellt, als die Technologie in der UTM. (SSLVPN basierte OPENVPN Client).
Jedoch hat Sophos mit dem ZTNA Client eine neue Technologie entwickelt, die eben VPN "neu denkt". Client über Central verwaltet, Policy Management über Central, kein Bedarf für Authentifizierung über das Device - Da das Central übernimmt. Es beantwortet alle deine Kritik Punkte an dem SFOS VPN Client.
Du bekommst mit SFOS auch 3 ZTNA Clients kostenfrei in Central - Vielleicht lohnt es sich, da mal reinzuschauen?
nachgefragt
nachgefragt 15.11.2024 um 10:35:57 Uhr
Goto Top
Bei uns enden die Fragen mit diesem Zeichen "?", da war keines im dem Post von canlot.
So langsam wird es doch Werbung.

@LucarToni
Was ist eigentlich keine Berufsbezeichnung bei Sophos?

Mich interessiert es, da du vermutlich (das ist eine Vermutung, kein Unterstellung, keine Behauptung) in der Community arbeitest, wohl Anfragen an die richtige Stelle zu verweisen (ähnlich wie ein KI Assistent und/oder per KI übersetzt, merkt man keinen Unterschied mehr). Ich kann mir nicht vorstellen, dass eine solche Stelle in Deutschland aufgebaut wird, wenn ja der komplette Support aus Indien kommt, da wo die Lohnkosten viel niedriger sind.

https://community.sophos.com/p/search#q=LuCar%20Toni&sort=%40date%20 ...
LucarToni
LucarToni 15.11.2024 aktualisiert um 11:51:38 Uhr
Goto Top
Zitat von @nachgefragt:

Bei uns enden die Fragen mit diesem Zeichen "?", da war keines im dem Post von canlot.
So langsam wird es doch Werbung.

@LucarToni
Was ist eigentlich keine Berufsbezeichnung bei Sophos?

Mich interessiert es, da du vermutlich (das ist eine Vermutung, kein Unterstellung, keine Behauptung) in der Community arbeitest, wohl Anfragen an die richtige Stelle zu verweisen (ähnlich wie ein KI Assistent und/oder per KI übersetzt, merkt man keinen Unterschied mehr). Ich kann mir nicht vorstellen, dass eine solche Stelle in Deutschland aufgebaut wird, wenn ja der komplette Support aus Indien kommt, da wo die Lohnkosten viel niedriger sind.

https://community.sophos.com/p/search#q=LuCar%20Toni&sort=%40date%20 ...

Du kannst gerne nach Wiesbaden ins Büro kommen, da arbeite ich als Sales Engineer face-smile
Und es ist nicht wirklich schwierig, herauszubekommen, wer meine Person ist, wenn man die Sales Engineers betrachtet, die in Deutschland arbeiten.

Was passiert eigentlich, wenn ich Benutzer hier im Forum blockiere? Weil ich bis dato keinen Produktiven Kommentar von dir @nachgefragt gelesen habe.

BTW: Ich dachte, diese Community hier mag den Austausch von Erfahrungen? Eine Erfahrung kann auch eine Meinung zu etwas sein, dass keine Frage ist. Aber ich verstehe, dass du das nicht verstehen möchtest.
kuwakz01
kuwakz01 19.11.2024 um 12:10:23 Uhr
Goto Top
Hi em-pie, ja die Seite kenne ich – die grundsätzlich gäbe ich Dir recht. Aber ich sprach z.B. von den Als (und die kamen damals gerade neu raus). Die Roadmap ist per se nicht durchdacht. Ich habe von Sophos Features versprochen bekommen die nie gekommen sind (weil man mitten in der Entwicklung einen Strategieschwenk vorgenommen hat: alles in Central).

Grundsätzlich nervt mich hier das Bashing! Weshalb wird LucarToni attackiert? Er versucht zu erklären/vermitteln. Weshalb so dämlich Kommentare mit der EOL-Hardware? Nein, Sophos hat eine schlechte und kurzfristig anberaumte Roadmap. Dem ist so. Nachvollziehbar ist se auch kaum. Aber deshalb kann man hier doch dennoch auf einen vernünftigen, sachlichen Austausch setzen!??

Ich hatte tatsächlich einfach nur Interesse. Sophos ist nicht der Weisheit letzter Schluss. Noch mal: für uns hatte das Gesamtpaket einen überzeugenden Umfang. Nach und nach stellt sich halt die ein oder andere Schwäche raus. Dem gehe ich nun nach. So ist es für uns extrem nervig, dass wir immer wieder Probleme mit Policies haben. Man glaubt schon an eine Fehlkonfiguration aber ein Neustart der XG richtet es immer wieder. D.h. das Gerät/SFOS verhaspelt sich in den eigenen Regeln und findet sich nicht mehr ordentlich zurecht. Sowas ist eigentlich vollkommen inakzeptabel, da sicherheitskritisch: man weiß ja nie welchen Fehler das System als nächstes macht. Dennoch haben wir auch vieles was für Sophos spricht.

Soll heißen: ich suche hier einen Austausch. Doch der Umgang hier ist mitunter wirklich bedenklich.
Für mich steht fest mit Unternehmen wie Cisco oder Apple kann ich recht langfristig planen. Bei Sophos ist das nicht wirklich der Fall. Aber gerade bei Infrastruktur will ich eben nicht mal schnell ein Gerät tauschen sondern baue die mit langfristiger Perspektive auf.
canlot
canlot 19.11.2024 um 12:20:42 Uhr
Goto Top
Jep dummes Bashing hilft niemandem, wir sind hier nicht im der Politik.

Hi @LucarToni ja ZTNA kenne ich, nach meinem Frust über VPN hatte rausgefunden dass Sophos ZTNA für solche Fälle hat und es gefällt mir nicht, noch ein extra Produkt mit zusätzlichen Lizenzen die man komplett unabhängig von der Firewall konfiguriert, nein Danke. Da kann ich ich auch irgendeinen anderen Hersteller nehmen. Trotzdem danke dass du es erwähnt hast.

Ich denke einfach dass Sophos sich da übernommen hat und will den Markt melken indem sich nicht auf ihre Kernkompetenzen sondern auf alles mögliche stürzen und es umsetzen wollen um mehr Gewinne machen zu können. Kennen wir ja alle zu genüge von anderen Herstellern.
nachgefragt
nachgefragt 19.11.2024 um 13:59:45 Uhr
Goto Top
Hier greift ("basht") niemand LucarToni (lt. eigenen Angaben Sophos Sales Engineer in Wiesbaden) als Person an. An der Stelle Aktuelle Probleme mit der XG(s) Serie von Sophos hatte ich meine Erfahrung mit dem Hersteller Sophos geteilt.

LucarToni selbst ist in deren Sophos Community sehr aktiv. https://community.sophos.com/p/search#q=LuCar%20Toni&sort=%40date%20 ...
LucarToni
LucarToni 19.11.2024 um 16:02:50 Uhr
Goto Top
Zitat von @kuwakz01:


Ich hatte tatsächlich einfach nur Interesse. Sophos ist nicht der Weisheit letzter Schluss. Noch mal: für uns hatte das Gesamtpaket einen überzeugenden Umfang. Nach und nach stellt sich halt die ein oder andere Schwäche raus. Dem gehe ich nun nach. So ist es für uns extrem nervig, dass wir immer wieder Probleme mit Policies haben. Man glaubt schon an eine Fehlkonfiguration aber ein Neustart der XG richtet es immer wieder. D.h. das Gerät/SFOS verhaspelt sich in den eigenen Regeln und findet sich nicht mehr ordentlich zurecht. Sowas ist eigentlich vollkommen inakzeptabel, da sicherheitskritisch: man weiß ja nie welchen Fehler das System als nächstes macht. Dennoch haben wir auch vieles was für Sophos spricht.


Bezüglich der Policies.
Hättest du hier Beispiele, wann eine Policy nicht gegriffen hat und ein Reboot hat geholfen?

Ich sehe manchmal diese Anfrage und es stellte sich raus, die Session war bereits aktiv mit einer anderen Firewall Regel. SFOS wird nicht den Traffic "neu routen", sondern die Firewall Regel greifen nur für neue Connection.
nachgefragt
nachgefragt 19.11.2024 um 16:17:13 Uhr
Goto Top
Zitat von @kuwakz01:
Man glaubt schon an eine Fehlkonfiguration aber ein Neustart der XG richtet es immer wieder. D.h. das Gerät/SFOS verhaspelt sich in den eigenen Regeln und findet sich nicht mehr ordentlich zurecht.
Was sagt der Herstellersupport dazu?
MysticFoxDE
MysticFoxDE 19.11.2024 um 19:05:10 Uhr
Goto Top
Moin @LucarToni,

Was passiert eigentlich, wenn ich Benutzer hier im Forum blockiere? Weil ich bis dato keinen Produktiven Kommentar von dir @nachgefragt gelesen habe.


dann kann er deine Posts, sowohl positiv als auch negativ nicht mehr bewerten und auch in deinen eigenen Beiträgen, keine Kommentare mehr posten.

Bei einem Beitrag wie hier, wo du nicht der TO bist, ist der Nutzen der Sperre bis auf das wegfallen der Bewertungsmöglichkeit jedoch sehr überschaubar.

BTW: Ich dachte, diese Community hier mag den Austausch von Erfahrungen?

Das ist hier meistens auch so. 😉

Gruss Alex
MysticFoxDE
MysticFoxDE 19.11.2024 um 19:12:17 Uhr
Goto Top
Moin @kuwakz01,

So ist es für uns extrem nervig, dass wir immer wieder Probleme mit Policies haben. Man glaubt schon an eine Fehlkonfiguration aber ein Neustart der XG richtet es immer wieder. D.h. das Gerät/SFOS verhaspelt sich in den eigenen Regeln und findet sich nicht mehr ordentlich zurecht. Sowas ist eigentlich vollkommen inakzeptabel, da sicherheitskritisch: man weiß ja nie welchen Fehler das System als nächstes macht. Dennoch haben wir auch vieles was für Sophos spricht.

wir betreuen diverse XGS mit mehreren hundert Regeln und die laufen alle wochenlang, sprich von Update zu Update, normalerweise ohne grössere Probleme.

Nutzt ihr rein zufällig Linked-NAT direkt in den FW Regeln?

Gruss Alex
kuwakz01
kuwakz01 20.11.2024 um 21:41:53 Uhr
Goto Top
Hi @MysticFoxDE

das sind ja tendenziell auch keine "größeren Probleme" kommt auch nicht dauernd vor. Gefühlt vielleicht zwei bis viermal im Jahr. Das dumme ist, normalerweise sucht man recht lange bis man auf die Idee kommt einen Neustart der Firewall zu machen. Das haben wir jetzt umgedreht: echte Fehlersuche erst nach einem Neustart. Die erübrigt sich dann eben auch, da es eigentlich keine Fehlkonfiguration gibt.

Nein, direkt in den Regeln ist kein Linked-NAT aktiv von uns einkonfiguriert. Aber ich glaube es gibt noch "Migratet-Rules" in denen das einkonfiguriert ist. Bin jetzt nicht zum nachsehen gekommen und kann es deshalb gerade nicht ausschließen. Weshalb?
MysticFoxDE
MysticFoxDE 20.11.2024 aktualisiert um 22:40:45 Uhr
Goto Top
Moin @kuwakz01,

Nein, direkt in den Regeln ist kein Linked-NAT aktiv von uns einkonfiguriert. Aber ich glaube es gibt noch "Migratet-Rules" in denen das einkonfiguriert ist. Bin jetzt nicht zum nachsehen gekommen und kann es deshalb gerade nicht ausschließen. Weshalb?

ohh, das bedeutet ja, dass ihr seit, müsste dann ~ V17 sein, nur Upgrades eingespielt habt ... 😬 ... um es kurz zu machen, das ist nix gut.

Wir hatten auch bei dem Upgrade welches die "Migratet-Rules" verursacht hat, am Anfang massiv Probleme mit so gut wie jeder XG. 😔

Dann haben wir weder zu unserer Freude noch zu der der entsprechenden Kunden, die komplette Konfiguration neu gemacht und seit dem hatten wir keine grösseren Probleme.

Und das mit der fehlenden Freude hat sich im Nachgang auch wieder gelegt, denn so hatten wir bei vielen Systemen auch mal die Gelegenheit die entsprechenden Regelwerke, welche zum Teil auch schon älter waren, etwas zu optimieren, sprich auszumisten. 🤪

Gruss Alex
kuwakz01
kuwakz01 22.11.2024 um 02:04:50 Uhr
Goto Top
Alex, ganz ehrlich: wenn ein Systemupgrade Konfigurationen zerschiesst, dann ist das noch sehr viel größerer Mist als wenn irgendwo ein kleiner Bug drinnen wäre. Dann ist das Teil ja quasi unbrauchbar! Denn an welcher Stelle soll ich denn künftig den Abstrich machen: keine Updates oder hoffen das es klappt?
MysticFoxDE
MysticFoxDE 22.11.2024 aktualisiert um 07:31:40 Uhr
Goto Top
Moin @kuwakz01,

Alex, ganz ehrlich: wenn ein Systemupgrade Konfigurationen zerschiesst,

ja dieser Punkt hat mir auch nicht ganz gefallen, vor allem da wir bei einigen Kunden erst Monate vorher deren SG's zu XG's migriert, sprich, die Systeme eh schon neu konfiguriert haben. Aber ...

dann ist das noch sehr viel größerer Mist als wenn irgendwo ein kleiner Bug drinnen wäre.

... das war bisher eine einmalige Sache und die habe ich Sophos schon längst verziehen und unsere Kunden auch.

Mit einem kritischen BUG oder gar einer Sicherheitslücke, ist das aber bei weitem nicht zu vergleichen.
Insbesondere wenn man das Letztere betrachtet, sprich die Sicherheitslücken, gehört Sophos zu den Herstellern,
von denen man so gut wie keine CVE Listungen sieht.

Dann ist das Teil ja quasi unbrauchbar!

Dann ist aber vieles in der heutigen Welt nicht mehr brauchbar.
Ich habe erst das letzte WE einen Hyper-V Node vollständig neu aufsetzen müssen, weil irgend ein MS Update diesen, respektive, fast das ganze Cluster zerschossen hat. 😔😭

Denn an welcher Stelle soll ich denn künftig den Abstrich machen: keine Updates oder hoffen das es klappt?

Ja, die Frage kann man durchaus stehen lassen, aber nicht wirklich im Zusammenhang mit Sophos, sondern eher mit Microsoft & Co.

Ich habe mittlerweile bei so gut wie jedem neuen BIOS-Update, vor allem aber MS Updates, so richtig Bammel, ob die Systemleistung danach auch immer noch so ist wie die davor gewesen ist. Denn was das angeht, habe ich in den letzte Jahren nicht nur ein Pferd vor der Apotheke kotzen sehen, sondern ganze Horden davon.

Selbes Spielchen z.B. bei ERP Upgrades, bei denen z.B. zwar die Daten von den alten in die neuen DB's migriert werden, aber nicht die zum Teil über Jahrzehnte verfeinerte Indexierung. 😭

Oder z.B. solche Stories.
Windows Server 2025 - NIC-Performance - Per Default sehr "durchwachsen"

Ich könnte dir mit solchen Geschichten mittlerweile wahrscheinlich Tage am Stück das Ohr abkauen, damit würde ich jedoch nur dir und mir die Laune nur noch mehr vermiesen.

Also ja, es läuft in unserer Branche mittlerweile sehr vieles nicht mehr wirklich rund und ich weis ehrlich gesagt momentan auch nicht wirklich, wie man diese Tendenz kurzfristig umkehren könnte. 😔

Gruss Alex
LucarToni
LucarToni 22.11.2024 um 09:57:56 Uhr
Goto Top
Ich habe mittlerweile bei so gut wie jedem neuen BIOS-Update, vor allem aber MS Updates, so richtig Bammel, ob die Systemleistung danach auch immer noch so ist wie die davor gewesen ist. Denn was das angeht, habe ich in den letzte Jahren nicht nur ein Pferd vor der Apotheke kotzen sehen, sondern ganze Horden davon.

Migration Issues sind immer schwierig mitzunehmen, wenn diese Thematik seit sehr langer Zeit existieren und nie gemeldet wird bzw. wirklich analysiert wird.
Probleme, die nach einem Neustart wieder weg sind, werden oft nicht weiterverfolgt - Weil man hat andere Dinge zu tun.
Worst Case - Für alle Parteien - Sind Probleme, die nicht reproduzierbar sind. Weil stellenweise ohne Debugging Mode von gewissen Sub Systeme findet man das Problem nicht - Und wenn man es nicht reproduzieren kann, kann man auch keine Debugging Logging einfach mal so aktiv halten.
Was ich empfehlen kann:
Wenn eine Firewall Regel nicht mehr greift: Diese einfach mal jetzt Clonen und genau so abspeichern.
Was Clonen bewirkt: Die Regel wird neu (mit aktuellen Standards) ins Backend geschrieben und könnte damit sich selbst reparieren.