Securepoint UTM
Hallo zusammen,
wir sind auf der Suche nach einer neuen Firewall Lösung, die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet.
Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?
Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
wir sind auf der Suche nach einer neuen Firewall Lösung, die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet.
Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?
Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673168
Url: https://administrator.de/forum/firewall-utm-sicherheit-loesungen-673168.html
Ausgedruckt am: 05.06.2025 um 09:06 Uhr
11 Kommentare
Neuester Kommentar
OPNsense (Business Edition), absolute Empfehlung!
Wir waren viele Jahre bei Sophos, zu viele Jahre, als jahrelanger Sophos Kunde kann ich nur abraten, zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
OPNsense
OPNsense: Die Open Source Firewall auf einen Blick
kostenlose Beratung: https://www.thomas-krenn.com/de/leistungen/beratung.html
Thomas Krenn ist auch von Sophos nach OPNsense: https://www.youtube.com/watch?v=y9A00tM4H58
Der Leistungsumfang lässt sich modular erweitern, z.B. ZenArmor ("next gen" Firewall):
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html
Den Gateway kann man aber auch auslagern, Baracuda, Proofpoint,... bieten hier einige Optionen,.
WAC z.B. hänge ich an der Endpoint Protection auf, denn externe Nutzer (außerhalb der Firewall) wären sonst ohne diese Option unterwegs.
Wir waren viele Jahre bei Sophos, zu viele Jahre, als jahrelanger Sophos Kunde kann ich nur abraten, zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
OPNsense
- Kannst du kostenlos testen, auch im Heimnetz bestehen lassen, da es eine Community Edition bietet: https://docs.opnsense.org/releases.html
- Ist von der Hardware unabhängig, d.h. du kannst anfangs einen (alten) PC, Server,... nutzen, je nach Anspruch individuell Schnittstellen(karten) hinzufügen.
OPNsense: Die Open Source Firewall auf einen Blick
kostenlose Beratung: https://www.thomas-krenn.com/de/leistungen/beratung.html
Thomas Krenn ist auch von Sophos nach OPNsense: https://www.youtube.com/watch?v=y9A00tM4H58
- OpenVPN läuft einwandfrei, egal ob Windows oder Linux.
- WAF: https://docs.opnsense.org/vendor/deciso/opnwaf.html
- Gateway: https://docs.opnsense.org/manual/how-tos/mailgateway.html
- ...
Der Leistungsumfang lässt sich modular erweitern, z.B. ZenArmor ("next gen" Firewall):
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html
Den Gateway kann man aber auch auslagern, Baracuda, Proofpoint,... bieten hier einige Optionen,.
WAC z.B. hänge ich an der Endpoint Protection auf, denn externe Nutzer (außerhalb der Firewall) wären sonst ohne diese Option unterwegs.
Moin,
Gruß,
Dani
wir sind auf der Suche nach einer neuen Firewall Lösung
ihr sucht keine Firewall, ihr sucht eine Eierlegende Wollmilchsau ala UTM.die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet
Wie hoch sind denn bei WWW Proxy, E-Mail Security und WAF eure Ansprüche? In der Regel haben dedizierte Produkte größtenteils höheren Funktionsumfang. Was darin liegt, dass der Fokus des Herstellers auf dem Produkt liegt und in der Regel Ahnung hat. Bei UTMs ist oftmals auf Basis Funktionen beschränkt und/oder halb gar implementiert.Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Von welchen Durchsätzen spreche wir denn für die Firewall, für den Proxy, für E-Mail, für WAF, für VPN, etc? 10Mbit/s, 400Mbit/, 2Gbit/s?Gruß,
Dani
Zitat von @Dabinaw:
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Für OPNsense findest du Dienstleister in Deutschland bei denen du einen Wartungsvertrag abschließen kannst, wenn du diese Sicherheit brauchst. Natürlich auch für die Inbetriebnahme, ein vor Ort Dienstleister ist nicht zwingend notwendig, je nach Eigenleistung.Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Es klingt wie der Klassiker, d.h. ein VLAN konzeptioniertes Netzwerk scheint es nicht zu sein, wenn bei 200 Arbeitsplätzen die UTM noch performant genug ist.
Wir haben momentan eine Sophos UTM
Hatte ich auch, die steht noch bis 06/2026 im Support. Jedoch, wenn's um den Funktionsumfang geht ist das beste was man machen kann, OPNsense auf die UTM zu installieren (ja, das geht).Email Protection
Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.Webserver Protection
Das sollte eine (gute) Endpoint Protection inkludiert haben. Sonst auch:https://docs.opnsense.org/vendor/deciso/opnwaf.html
https://www.zenarmor.com/docs/network-security-tutorials/how-to-configur ...
Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Gibt es bei den Features wie Firewall, Proxy, Reverse Proxy (veröffentlichen E-Mail Server) Einschränkungen die euch beim Einsatz aufgefallen?
Nein, ich wüsste jetzt keine. Wir haben aber keine On Prem Exchanges dahinter, sondern (wenn) einen Tobit David.
Ist das Reporting (z.B. Statistiken) und Monitoring (z.B. Live-View) brauchbar?
Die Live View finde ich bei der OpnSense tatsächlich besser, ist aber nur ne Gewöhnungssache. Im Securepoint Log findet man auch alles.
Habt ihr auch die Mail-Security im Einsatz? Wenn ja als Cloud Lösung oder als Appliance? Ist die Lösung in Verbindung mit einem Exchange Sever brauchbar?
Wir haben sowohl den Mailschutz an Bord der Appliance als auch die separate Mail Security im Einsatz, beides funktioniert m.M. nach sehr gut. Zu On Prem Exchanges Servern kann ich dir wie gesagt keine Erfahrungswerte geben, wüsste aber auch nicht, warum es sich da anders verhalten sollte.
Ist der Support in Ordnung?
Der ist nicht nur in Ordnung, der ist richtig gut. Bedenke aber, dass den Support nur Securepoint Partner bekommen, keine Endkunden.
Gruß,
Avoton
Securepoint UTM RC300 läuft hier.
Funktioniert zuverlässig, hat ein paar Eigenheiten die man kennenlernt und die Konfiguration ist mal einfacher als eine OPNsense und mal deutlich unlogischer.
Du brauchst für die Securepoint eine Lizenz, sonst wird das Ding zum Briefbeschwerer, den Support für Endkunden hat Securepoint vor Jahren eingestellt, seitdem läuft alles über Partner oder das Securepoint Communityforum.
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.
Eine RC300 bspw. muss ich für 150 (glaube ich) lizenzieren, auch wenn ich letztlich nur 50 Leute dahinter habe.
Wir nutzen den Spamfilter in Verbindung mit Exchange Online, auch da muss man einige Dinge beachten, läuft aber grundsätzlich.
Grüße
ToWa
Funktioniert zuverlässig, hat ein paar Eigenheiten die man kennenlernt und die Konfiguration ist mal einfacher als eine OPNsense und mal deutlich unlogischer.
Du brauchst für die Securepoint eine Lizenz, sonst wird das Ding zum Briefbeschwerer, den Support für Endkunden hat Securepoint vor Jahren eingestellt, seitdem läuft alles über Partner oder das Securepoint Communityforum.
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.
Eine RC300 bspw. muss ich für 150 (glaube ich) lizenzieren, auch wenn ich letztlich nur 50 Leute dahinter habe.
Wir nutzen den Spamfilter in Verbindung mit Exchange Online, auch da muss man einige Dinge beachten, läuft aber grundsätzlich.
Grüße
ToWa
D.h., du hast z.B. 50 User mit 50 Endgeräten und benötigst deshalb eine Lizenz von 100 "Devices"?
Nein, hat @dertowa etwas missverständlich ausgedrückt, Securepoint macht es aber auch nicht besser 😅
Die Appliances haben eine maximale empfohlene Userzahl. Du lizenzierst die Appliance, wie viele User da dran hängen, ist dem Ding egal.
Gibt es bei dem SPAM-Filter einen regelmäßigen Spamreport an die User?
Kannst du konfigurieren, ja.
Eine VPN-Einwahl über die Securepoint geht über IPsec und SSL?
Ja, und Wireguard.
Wie oft kommen Firmwareupdates/Sicherheitspatche heraus und lassen diese sich gut installieren?
Die kommen, wenn Bedarf ist. Installation ist sehr einfach und bisher ist noch nie was schief gegangen.
Der Hot-Standby-Cluster ist ok?
Hab ich Freitag erst noch aufgebaut. Funktioniert sehr gut.
Eine AD-Anbindung (Gruppen, Benutzerkonten, Computerkonten Replikation) ist möglich, um Rechte/Rollen zu vergeben?
Ich meine ja, hab ich aber bisher noch nicht verwendet.
Gruß,
Avoton
Moin,
Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen. Komm mir bitte nicht mit dem lieben Geld. Ein Malware Befall wird euch deutlich mehr Kosten + möglicher Schadenszahlungen + Imageverlust.
Gruß,
Dani
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Klar, so eine WAF oder IDS/IPS administrieren sich in der Regel von alleine. Ist ja nicht so, dass sich die Gefahrenlage jeden Tag/Woche ändert. Logs ausgewertet und Regeln angepasst werden müssen. Entsprechend auf für CVEs für Anwendungen, welche veröffentlicht worden sind, Workarounds implementiert werden sollten bis der Hersteller einen Patch bereitstellt.Wenn es eine in Deutschland hergestellte, ich gehe davon aus, sichere und gut zu administrierende UTM gibt, die meine benötigten Features abbilden kann, dann ist es eine Option, die ich evaluieren möchte.
Sag Bescheid, wenn du fündig geworden bist. Schau dir die CVEs der letzten 12 Monate für die einschlägige Firewall Hersteller an. Da wird dir relativ schnell warm ums Herz... Gerade die welche meinen alles über eine WebUI zu realisieren.Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Schon alle auf Hinblick der steigenden Gefahrenlage und einem 2 stufigen Sicherheitsarchitektur. Es ist so viel in den letzten Jahren passiert. Aber es gibt wohl immer noch Verantwortliche, die es nicht verstehen oder meinen, dass es sie nicht erwischt.Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen. Komm mir bitte nicht mit dem lieben Geld. Ein Malware Befall wird euch deutlich mehr Kosten + möglicher Schadenszahlungen + Imageverlust.
Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist? OWA ist damit auch offline.Gruß,
Dani
Zitat von @Dani:
Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen.
Was möchtest du uns erzählen?Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen.
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist?
Die E-Mails ist in dem Fall noch im Postfach/Inbox, wenn diese nicht zum Mailserver überstellt wurden.https://help.proofpoint.com/Proofpoint_Essentials/Email_Security/Adminis ...
OWA ist damit auch offline.
OWA rockt: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/202 ...Ich hab's längst aus.