dabinaw
03.06.2025
view773
view11
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Securepoint UTM

FrageFirewall
Hallo zusammen,

wir sind auf der Suche nach einer neuen Firewall Lösung, die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet.

Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?
Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673168

Url: https://administrator.de/forum/firewall-utm-sicherheit-loesungen-673168.html

Ausgedruckt am: 05.06.2025 um 09:06 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
Avoton
Avoton 03.06.2025 um 18:17:37 Uhr
Goto Top
Moin,

Hat jemand Erfahrung mit einer Securepoint UTM, die das wohl alles kann?

Wir setzen Securepoint ebenfalls ein (inhouse wie bei Kunden) und sind sehr zufrieden damit.

Hier hat aber jeder seinen eigenen Lieblingshersteller.

Hast du genauere Fragen zur Securepoint?

Gruß,
Avoton
nachgefragt
nachgefragt 03.06.2025, aktualisiert am 04.06.2025 um 07:09:03 Uhr
Goto Top
OPNsense (Business Edition), absolute Empfehlung!
Wir waren viele Jahre bei Sophos, zu viele Jahre, als jahrelanger Sophos Kunde kann ich nur abraten, zusammengefasst: Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)

OPNsense
  • Kannst du kostenlos testen, auch im Heimnetz bestehen lassen, da es eine Community Edition bietet: https://docs.opnsense.org/releases.html
  • Ist von der Hardware unabhängig, d.h. du kannst anfangs einen (alten) PC, Server,... nutzen, je nach Anspruch individuell Schnittstellen(karten) hinzufügen.

OPNsense: Die Open Source Firewall auf einen Blick
kostenlose Beratung: https://www.thomas-krenn.com/de/leistungen/beratung.html
Thomas Krenn ist auch von Sophos nach OPNsense: https://www.youtube.com/watch?v=y9A00tM4H58


Der Leistungsumfang lässt sich modular erweitern, z.B. ZenArmor ("next gen" Firewall):
https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html

Den Gateway kann man aber auch auslagern, Baracuda, Proofpoint,... bieten hier einige Optionen,.

WAC z.B. hänge ich an der Endpoint Protection auf, denn externe Nutzer (außerhalb der Firewall) wären sonst ohne diese Option unterwegs.
Dani
Dani 03.06.2025 um 22:28:20 Uhr
Goto Top
Moin,
wir sind auf der Suche nach einer neuen Firewall Lösung
ihr sucht keine Firewall, ihr sucht eine Eierlegende Wollmilchsau ala UTM.

die neben der Netzwerk-Sicherheit auch Themen wie Web-Schutz (Proxy), E-Mail-Security und Webserver-Sicherheit (Reverse-Proxy, WAF) anbietet
Wie hoch sind denn bei WWW Proxy, E-Mail Security und WAF eure Ansprüche? In der Regel haben dedizierte Produkte größtenteils höheren Funktionsumfang. Was darin liegt, dass der Fokus des Herstellers auf dem Produkt liegt und in der Regel Ahnung hat. Bei UTMs ist oftmals auf Basis Funktionen beschränkt und/oder halb gar implementiert.

Es geht um ca. 200 Mitarbeitende, die zum Teil per VPN arbeiten.
Von welchen Durchsätzen spreche wir denn für die Firewall, für den Proxy, für E-Mail, für WAF, für VPN, etc? 10Mbit/s, 400Mbit/, 2Gbit/s?


Gruß,
Dani
Dabinaw
Dabinaw 04.06.2025 um 07:26:58 Uhr
Goto Top
Hast du genauere Fragen zur Securepoint?

Gibt es bei den Features wie Firewall, Proxy, Reverse Proxy (veröffentlichen E-Mail Server) Einschränkungen die euch beim Einsatz aufgefallen?
Ist das Reporting (z.B. Statistiken) und Monitoring (z.B. Live-View) brauchbar?
Habt ihr auch die Mail-Security im Einsatz? Wenn ja als Cloud Lösung oder als Appliance? Ist die Lösung in Verbindung mit einem Exchange Sever brauchbar?
Ist der Support in Ordnung?

hr sucht keine Firewall, ihr sucht eine Eierlegende Wollmilchsau ala UTM.
Ja, eigentlich schon, wenn nichts gravierendes dagegenspricht. Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden. Wenn es eine in Deutschland hergestellte, ich gehe davon aus, sichere und gut zu administrierende UTM gibt, die meine benötigten Features abbilden kann, dann ist es eine Option, die ich evaluieren möchte.

Wie hoch sind denn bei WWW Proxy, E-Mail Security und WAF eure Ansprüche?
Wir haben momentan eine Sophos UTM und setzen die Features wie Network Protection, Email Protection, Web Protection, Webserver Protection ein, und die gleichen/ähnlichen Funktionen sollten es bei einer neune Lösung auch geben.
nachgefragt
nachgefragt 04.06.2025 aktualisiert um 09:19:39 Uhr
Goto Top
Zitat von @Dabinaw:
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Für OPNsense findest du Dienstleister in Deutschland bei denen du einen Wartungsvertrag abschließen kannst, wenn du diese Sicherheit brauchst. Natürlich auch für die Inbetriebnahme, ein vor Ort Dienstleister ist nicht zwingend notwendig, je nach Eigenleistung.

Es klingt wie der Klassiker, d.h. ein VLAN konzeptioniertes Netzwerk scheint es nicht zu sein, wenn bei 200 Arbeitsplätzen die UTM noch performant genug ist.

Wir haben momentan eine Sophos UTM
Hatte ich auch, die steht noch bis 06/2026 im Support. Jedoch, wenn's um den Funktionsumfang geht ist das beste was man machen kann, OPNsense auf die UTM zu installieren (ja, das geht).

Email Protection
Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.

Webserver Protection
Das sollte eine (gute) Endpoint Protection inkludiert haben. Sonst auch:
https://docs.opnsense.org/vendor/deciso/opnwaf.html
https://www.zenarmor.com/docs/network-security-tutorials/how-to-configur ...

Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Avoton
Avoton 04.06.2025 um 11:28:57 Uhr
Goto Top
Gibt es bei den Features wie Firewall, Proxy, Reverse Proxy (veröffentlichen E-Mail Server) Einschränkungen die euch beim Einsatz aufgefallen?

Nein, ich wüsste jetzt keine. Wir haben aber keine On Prem Exchanges dahinter, sondern (wenn) einen Tobit David.

Ist das Reporting (z.B. Statistiken) und Monitoring (z.B. Live-View) brauchbar?

Die Live View finde ich bei der OpnSense tatsächlich besser, ist aber nur ne Gewöhnungssache. Im Securepoint Log findet man auch alles.

Habt ihr auch die Mail-Security im Einsatz? Wenn ja als Cloud Lösung oder als Appliance? Ist die Lösung in Verbindung mit einem Exchange Sever brauchbar?

Wir haben sowohl den Mailschutz an Bord der Appliance als auch die separate Mail Security im Einsatz, beides funktioniert m.M. nach sehr gut. Zu On Prem Exchanges Servern kann ich dir wie gesagt keine Erfahrungswerte geben, wüsste aber auch nicht, warum es sich da anders verhalten sollte.

Ist der Support in Ordnung?

Der ist nicht nur in Ordnung, der ist richtig gut. Bedenke aber, dass den Support nur Securepoint Partner bekommen, keine Endkunden.

Gruß,
Avoton
dertowa
dertowa 04.06.2025 um 13:15:46 Uhr
Goto Top
Securepoint UTM RC300 läuft hier.
Funktioniert zuverlässig, hat ein paar Eigenheiten die man kennenlernt und die Konfiguration ist mal einfacher als eine OPNsense und mal deutlich unlogischer.

Du brauchst für die Securepoint eine Lizenz, sonst wird das Ding zum Briefbeschwerer, den Support für Endkunden hat Securepoint vor Jahren eingestellt, seitdem läuft alles über Partner oder das Securepoint Communityforum.
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.
Eine RC300 bspw. muss ich für 150 (glaube ich) lizenzieren, auch wenn ich letztlich nur 50 Leute dahinter habe.

Wir nutzen den Spamfilter in Verbindung mit Exchange Online, auch da muss man einige Dinge beachten, läuft aber grundsätzlich.

Grüße
ToWa
Dabinaw
Dabinaw 04.06.2025 aktualisiert um 14:58:20 Uhr
Goto Top
Knackpunkt ist bei den Lizenzen, dass du Benutzer/Endgeräte als "Lastlizenzierung" gemäß der UTM kaufen darfst.

D.h., du hast z.B. 50 User mit 50 Endgeräten und benötigst deshalb eine Lizenz von 100 "Devices"?

Ein paar Fragen habe ich dann noch, wenn ich schon mal erfahrene Securepoint User habe face-wink

Gibt es bei dem SPAM-Filter einen regelmäßigen Spamreport an die User?
Eine VPN-Einwahl über die Securepoint geht über IPsec und SSL?
Wie oft kommen Firmwareupdates/Sicherheitspatche heraus und lassen diese sich gut installieren?
Der Hot-Standby-Cluster ist ok?
Eine AD-Anbindung (Gruppen, Benutzerkonten, Computerkonten Replikation) ist möglich, um Rechte/Rollen zu vergeben?

Wenn ich auf der Securepointseite auf Partnersuche gehe, finde ich ja nicht wirklich große (oder mir nur unbekannte) Player.

Danke schon mal für die vielen Hinweise .
Avoton
Avoton 04.06.2025 um 19:07:53 Uhr
Goto Top
D.h., du hast z.B. 50 User mit 50 Endgeräten und benötigst deshalb eine Lizenz von 100 "Devices"?

Nein, hat @dertowa etwas missverständlich ausgedrückt, Securepoint macht es aber auch nicht besser 😅
Die Appliances haben eine maximale empfohlene Userzahl. Du lizenzierst die Appliance, wie viele User da dran hängen, ist dem Ding egal.

Gibt es bei dem SPAM-Filter einen regelmäßigen Spamreport an die User?

Kannst du konfigurieren, ja.

Eine VPN-Einwahl über die Securepoint geht über IPsec und SSL?

Ja, und Wireguard.

Wie oft kommen Firmwareupdates/Sicherheitspatche heraus und lassen diese sich gut installieren?

Die kommen, wenn Bedarf ist. Installation ist sehr einfach und bisher ist noch nie was schief gegangen.

Der Hot-Standby-Cluster ist ok?

Hab ich Freitag erst noch aufgebaut. Funktioniert sehr gut.

Eine AD-Anbindung (Gruppen, Benutzerkonten, Computerkonten Replikation) ist möglich, um Rechte/Rollen zu vergeben?

Ich meine ja, hab ich aber bisher noch nicht verwendet.

Gruß,
Avoton
Dani
Dani 04.06.2025 um 19:27:07 Uhr
Goto Top
Moin,
Da wir keinen abstellen können, der sich nur um Netzwerksicherheit kümmert, müssen wir versuchen gute Kompromisse zu finden.
Klar, so eine WAF oder IDS/IPS administrieren sich in der Regel von alleine. Ist ja nicht so, dass sich die Gefahrenlage jeden Tag/Woche ändert. Logs ausgewertet und Regeln angepasst werden müssen. Entsprechend auf für CVEs für Anwendungen, welche veröffentlicht worden sind, Workarounds implementiert werden sollten bis der Hersteller einen Patch bereitstellt.

Wenn es eine in Deutschland hergestellte, ich gehe davon aus, sichere und gut zu administrierende UTM gibt, die meine benötigten Features abbilden kann, dann ist es eine Option, die ich evaluieren möchte.
Sag Bescheid, wenn du fündig geworden bist. Schau dir die CVEs der letzten 12 Monate für die einschlägige Firewall Hersteller an. Da wird dir relativ schnell warm ums Herz... Gerade die welche meinen alles über eine WebUI zu realisieren.

Meiner Erfahrung nach ist es besser (fast schon notwendig), diese Dinge auf mehrere Säulen zu stellen.
Schon alle auf Hinblick der steigenden Gefahrenlage und einem 2 stufigen Sicherheitsarchitektur. Es ist so viel in den letzten Jahren passiert. Aber es gibt wohl immer noch Verantwortliche, die es nicht verstehen oder meinen, dass es sie nicht erwischt.

Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen. Komm mir bitte nicht mit dem lieben Geld. Ein Malware Befall wird euch deutlich mehr Kosten + möglicher Schadenszahlungen + Imageverlust.

Baracuda, Proofpoint,... auch wenn der Exchange mal kippt, sollten alle Anwender Zugriff auf der Mails per Web haben.
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist? OWA ist damit auch offline.


Gruß,
Dani
nachgefragt
nachgefragt 04.06.2025 aktualisiert um 20:02:11 Uhr
Goto Top
Zitat von @Dani:
Warum nicht die Chance jetzt nicht ergreifen und eine zeitgemäße, moderne Sicherheitsarchitektur planen und umsetzen? Warum immer den alten Rotz 1:1 wieder mit ziehen.
Was möchtest du uns erzählen?
Wie sollen die Kollegen auf Mails zugreifen, wenn kein Exchange Server verfügbar ist?
Die E-Mails ist in dem Fall noch im Postfach/Inbox, wenn diese nicht zum Mailserver überstellt wurden.
https://help.proofpoint.com/Proofpoint_Essentials/Email_Security/Adminis ...
OWA ist damit auch offline.
OWA rockt: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/202 ...
Ich hab's längst aus.
FrageFirewall
Mehr von DabinawDabinawOffice 2024 LTSC Update über GPODabinaw - 4 KommentareDabinawBatch FehlermeldungDabinaw - 2 KommentareDabinawVirtuelle Maschine über Web-Konsole erreichbar machenDabinaw - 9 KommentareDabinawIIS interne Webseite httpsDabinaw - 5 Kommentare
Heiß diskutiert
MysticFoxDEEUVD - Europäische Vulnerability-Datenbank - Der Witz des TagesMysticFoxDE - 45 Kommentarenapo69Akzeptierte Spionagenapo69 - 38 KommentarekreuzbergerAbschied von hunderttausenden Macskreuzberger - 34 KommentareAnkhMorporkOS-InstallationAnkhMorpork - 32 KommentarePenny.CilinNeue LTO10 Tapes im Juni verfügbarPenny.Cilin - 26 KommentareYan2021Woher bekommt Ihr Eure Email-Zertifikate?Yan2021 - 25 Kommentareraba34Extrem hoher Trafficraba34 - 23 KommentaredfritscNeuer Windows Server 2025 nicht erreichbar per RDSdfritsc - 21 KommentareFenris14Papierkorb beschädigt NetzlaufwerkFenris14 - 20 KommentareDerWoWussteSchwache Nutzer können userbezogene GPOs umgehenDerWoWusste - 19 KommentareCodehunterCmd.exe an Windows-11-Taskleiste anheftenCodehunter - 19 KommentarekreuzbergerUnifi Controller (USG) Software für Mackreuzberger - 19 KommentareMysticFoxDEWindows Server 2025 - Installations-ISOs seit April um 1GB kleinerMysticFoxDE - 16 Kommentare