eglipeter
Goto Top

Fortigate vs Sophos vs Stormshield

Hallo zusammen,
Ich möchte unsere alte Firewall in der Firma durch eine UTM ersetzen. Dabei habe ich die Auswahl mal auf 3 Hersteller eingegrenzt. Fortinet mit den Fortigates scheint der Marktführer zu sein. Sophos kenne ich bisher hauptsächlich von deren Endpoint Protection. Stormshield ist einer der wenigen europäischen Hersteller. Wie sind Eure Erfahrungen mit dem UTM-Herstellern. Insbesondere zu Stormshield konnte ich nicht wirklich viel an Erfahrungsberichten finden.

Viele Grüße

Peter

Content-ID: 319427

Url: https://administrator.de/contentid/319427

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

aqui
aqui 28.10.2016 um 16:23:54 Uhr
Goto Top
...versus Palo Alto, versus Barracuda solltest du besser noch ergänzen !
Looser27
Looser27 28.10.2016 um 20:30:29 Uhr
Goto Top
...und Gateprotect, wenn es ein deutscher Hersteller sein darf.

Gruß Looser
DaPedda
DaPedda 28.10.2016 um 20:38:04 Uhr
Goto Top
Hoi,

in der Firma setzen wir zwei SG310 von Sophos im HA-Cluster ein. Ich habe Sophos vor 5 Jahren kennen gelernt. Bin eigentlich zufrieden, bis auf die bescheuerte Lizenz-Politik rund um die Hardware / Softwarelizenz. Hat mich heuer schlappe 1200€ gekostet, weil ich von einer schwachen ASG 220 auf die besagte SG310 gewechselt bin ohne das mir gesagt wurde, das auf der "alten ASG220" nie wieder eine Sophos Lizenz aktiviert werden kann.

Barracuda hatte ich als Mailsecurity... die hatte aber ein ganz dickes Problem: Emails von uns, welche "Spamanteile" enthalten konnten (Body), wurden von der Barracuda nicht ausgeliefert..... es ging nicht raus... wenn wir also auf Kundenemails antworten wollten, welche per Whitelistung wegen des SPAM-Anteils rein kamen, dann wurde der Reply nicht versendet.... ein NO GO.

Gruß Peter
119944
119944 28.10.2016 um 21:18:20 Uhr
Goto Top
Moin,

bei den Firewalls ganz klar Barracuda!
Alternativ ist Fortigate auch nicht schlecht.

Mit Sophos waren wir jedoch absolut nicht zufrieden.

VG
Val
DaPedda
DaPedda 28.10.2016 um 21:25:46 Uhr
Goto Top
Hoi Valexus,

was hat Dir an der Sophos nicht gepasst wo die Barracuda besser sein soll? Würde mich interessieren.

VG, Peter
exellent
exellent 28.10.2016 um 21:58:44 Uhr
Goto Top
Hi Peter,

erzähl doch mal bitte was zu deinem
Umfeld und den Anforderungen?

Im Bereich UTM bzw. im SMB Bereich tun sich von der Funktionsvielfalt alle nicht viel. Wenn es um die Erkennungsrate und die Performance geht, hat Fortinet ganz klar die Nase vorn. Wenn es in größere Bereiche geht (ab 1000 User aufwärts) solltest du definitiv zu einer Fortigate greifen.

Vielleicht noch ein Schmankerl von Fortinet: Die bieten deutschen Support an und alle Clouddienste deutscher Kunden werden auch aus Deutschland bedient (Fortiguard, Sandboxing).

Wenn du mehr Infos brauchst, sag Bescheid.

Grüße
exellent
DaPedda
DaPedda 28.10.2016 um 22:11:22 Uhr
Goto Top
Hi exellent,...

habe eigentlich auf den TO antworten wollen was wir haben und was okay ist oder nicht.

Bin mit den beiden SG310 zufrieden, da sie alles bei einer Useranzahl von ~75 sehr gut abdecken... inkl. Web- / Mail- und Networksecurity.
Bei Sophos hab ich Premium-Support, deutschsprachig, welche mir sogar an einen Heiligabend weiter geholfen haben.

"Sandboxing" bietet Sophos mittlerweile auch an, aber über intelligente Filter kann man das bisher gut vernachlässigen.

Grüße Peter

P.S.: Fortinet schaue ich mir erst an, wenn ich eine entsprechendeTeststellung im Umfang meiner bisherigen Lösung habe face-wink
exellent
exellent 28.10.2016 um 22:24:45 Uhr
Goto Top
Kleines Missverständnis - Der TO heißt nämlich ebenfalls Peter und darauf bezog ich mich face-smile

Sophos ist im SMB Bereich ein super Produkt und bietet dort sogar noch mehr Funktionen als eine Fortigate (Mailproxy, RED Technik, Super Gästemanagement). Im Enterprisebereich ist Sophos jedoch kaum bis gar nicht zu finden. Das hat auch gute Gründe. Zum einen können die Durchsätze, die auf dem Papier stehen nicht erreicht werden und zum anderen liegt die Erkennungsrate der Virenengine, IPS und Applikationskontrolle im Vergleich zu Palo Alto und Fortinet weit niedriger.

In kleineren Unternehmen oder Anwendungsbereichen wird man so etwas natürlich kaum merken daher fragte ich eingangs nach dem Einsatzszenario.

Ich arbeite für ein Systemhaus mit Fortinet Platinum und Palo Alto Diamond Status - Wir haben im SMB Bereich schon einige Projekte gegen Sophos verloren da die Geräte einfach gut und günstiger sind als Forti oder Palo. Im Enterprisebereich ist Sophos jedoch so gut wie gar nicht vertreten.

Grüße
exellent
119944
119944 28.10.2016 aktualisiert um 22:47:32 Uhr
Goto Top
was hat Dir an der Sophos nicht gepasst wo die Barracuda besser sein soll? Würde mich interessieren.
Als große Punkte fallen mir da spontan IKEv2 und LACP ein was für uns zwingend notwendig war.
Die XG Modelle waren damals noch zu neu und selbst Sophos hatte davon abgeraten.

Außerdem hat uns der Applikation Filter von Barracuda sehr überzeugt. So eine umfassende Datenbank hab ich vorher noch nicht gesehen.

Die komplette Verwaltung gefällt mir persönlich bei Barracuda auch besser aber das ist ja Geschmackssache.

Dafür sind die Sophos Geräte bei gleichem Durchsatz eine ganze Ecke günstiger.

Edit: Der Support von Barracuda ist übrigens auch wirklich super! Rund um die Uhr erreichbar und wirklich kompetent, sowas hat man leider selten.

VG
Val
Dani
Dani 29.10.2016 um 09:56:16 Uhr
Goto Top
Moin,
Bei Sophos hab ich Premium-Support, deutschsprachig, welche mir sogar an einen Heiligabend weiter geholfen haben.
Bietet Barracuda auch an.

Als große Punkte fallen mir da spontan IKEv2 und LACP ein was für uns zwingend notwendig war.
Spontan fällt mir noch ein: Zentrale Verwaltung (Objekte, Konfigurationen, Dienste, Regelwerke, etc..) aller Firewallsysteme via Control Center, TINA-Tunnel, REST-API, etc...

Am Ende aber oft eine Glaubensfrage. face-wink


Gruß,
Dani
eglipeter
eglipeter 29.10.2016 um 13:19:22 Uhr
Goto Top
Vielen Dank für die ganzen Tipps und Vorschläge bisher. Zunächst einmal zu den Anforderungen:

-15 Windows- & Linux-Clients. Es wäre wichtig, dass das IPS also gute Signaturen auch für Linux-spezifische Angriffe hat (z.B. über den Webbrowser, das Font-Rendering o.ä.). Ein Fokus sollte beim IPS auch auf der Erkennung von "ungewöhnlichem Verhalten" liegen, um wenigstens etwas gegen ZeroDays in der Hand zu haben.
- SSL inspection, wobei mir wichtig ist, dass die Zertifikate des externen Servers gegen eine eigen definierbare Liste an vertrauenswürdingen Zertifizierungsstellen geprüft wird. Darüberhinaus sollte es die Möglichkeit geben, die verwendeten Cipher-Suites zu konfigurieren (deaktivieren von RC4, aber auch von SSL 3.0).
- Application-Control, weil immer mehr Dienste über Ports 80/443 laufen, wäre es absolut notwendig, per Deep Packet Inspection hier "genauer" hinzusehen.
- Performace: Extern sind wir mit 100 MBit up/down angebunden. Das sollte schon die UTM leisten können und nicht zum Flaschenhals werden. Performante VLANs intern sind wichtig.
- Preisvorstellung: ca. 1500€
- "Sahnehäubchen": DNS-Server, der per DNSsec oder DNScrypt die DNS-Auflösung kontrolliert.

Zu den Herstellern:

Fortigate kenne ich selbst schon ein bisschen und habe auch schon eine administriert. Was mich ins zweifeln gebracht hat, sind die Veröffentlichungen, die es letzten bezüglich "Hintertüren" gab (https://www.heise.de/security/meldung/NSA-Hacking-Tools-Kritische-Sicher ..). Daher wollte ich mich auch einmal nach anderen Herstellern umsehen. Stormshield hat den entscheidenden Vorteil eine gültige EAL 4+ Zertifizierung nach Common Criteria zu besitzen (ich weiß, man kann über den Sinn solcher Zertifizierungen streiten, aber so etwas erschwert wenigstens Schlamperei). Daher nochmal die Frage: Wer hat ein paar Informationen zu Stormshield.

Gateprotect klingt ganz interessant. Sind hier die oben genannten Anforderungen abgedeckt? Wie schlägt sich hier das IPS-System im Vergleich mit Fortigate und Sophos? Gleiche Frage auch für Palo Alto.


Vielen Dank soweit!
Über Erfahrungsberichte zu sämtlichen Herstellen würde ich mich freuen.
Looser27
Looser27 29.10.2016 um 20:40:31 Uhr
Goto Top
Bestell Dir eine Test-Appliance von Gateprotect und teste selber.
Wir setzen 2 davon ein und sind sehr zufrieden.
Die test-appliance sollte aber jeder Hersteller stellen können.
Dann schau, womit Du am besten zurecht kommst.
aqui
aqui 30.10.2016 um 00:40:30 Uhr
Goto Top
Bestell dir eine Testappliance (Demo) von jedem der oben genannten Hersteller.
So wird ein Schuh draus....und du kannst dir eine eigene Meinung bilden.
Erfahrungsbereichte aus Foren wo User mit unterschiedlichem technischen Background antworten ist bei Security Fragen schon mit gewisser Vorsicht zu geniessen !
Sagt einem aber auch schon der gesunde Menschenverstand.
Tuxedo-Mask
Tuxedo-Mask 03.11.2016 um 09:29:46 Uhr
Goto Top
Hi eglipeter,

ich kenne alle der von dir genannten Firewalls (nicht nur vom Name). Ich habe u.a. Stormshield und Sophos direkt im Einsatz.
Außer Fortinet sind alle genannten Firewalls Intel Architektur basierend. Und natürlich ist jeder Hersteller aus der eigenen Perspektive immer der Größte, der Beste und der Schönste.

Du hast leider nichts bezüglich Einsatzzweck, Größe, Dienste usw. geschrieben und gegen was/wen du dich absichern möchtest. Jede Firewall hat meiner Meinung nach Spezielle vor und Nachteile.

Die Gateprotect Next-Gen ist noch nicht wirklich Marktreif.

Bei Sophos sollte man die Datenblätter bzgl. Performance so interpretieren wie die Acculaufzeiten bei Handys "Feature-Monster". Es werden viele Dienste für das Geld geboten, jedoch gleicht die "Firewall" schon einer großen Linux-Installation mit Bind, Postgres etc. pp. Ist Geschmacksfrage ob man das auf der Firewall will und braucht. Auf einer Edge-Firewall sicher nicht. Auch gibt es zu beachten, dass die Firmware nicht aus einem Image besteht. Im Fehlerfall ist ein Downgrade eine Neuinstallation und kein 3-Minuten Upload über das Konsolenkabel.

Stormshild macht sehr performantes Firewall'ing bei schmalem Foortprint.

Fortinet scheidet bei mir wegen dem Herkunftsland aus. Sie ist ebenfalls recht performant, die WebGUI (bezieht sich ggf. nicht auf das aktuelle Release) wirkt etwas altbacken.

Bezüglich Hersteller-Support würde ich die Reihenfolge (von Gut nach Schlecht) so sortieren: Stormshield, Sophos, Fortinet, Gateprotect. Vielleicht das Einzige was nach der Installation übrig bleibt...

Grüße
Looser27
Looser27 03.11.2016 um 09:34:45 Uhr
Goto Top
Die Gateprotect Next-Gen ist noch nicht wirklich Marktreif.

Dafür hat man immer noch die Option die Version 9.6 anstelle der Version 16 zu nutzen.

Bezüglich Hersteller-Support würde ich die Reihenfolge (von Gut nach Schlecht) so sortieren: Stormshield, Sophos, Fortinet, Gateprotect. Vielleicht das Einzige was nach der Installation übrig bleibt...

Kann ich nicht bestätigen. Der Support von Gateprotect ist erstklassig, schnell, kompetent und aus Deutschland.

Gruß

Looser
DaPedda
DaPedda 04.11.2016 um 18:37:12 Uhr
Goto Top
Hi Tuxedo-Mask,

ich habe ebenfalls Sophos im Einsatz (SG310 mit HA und FullGuard) und würde mich freuen, wenn Du mir einen Einblick in den wesentlichen Unterschieden beider Lösungen geben könntest, gerne auch per PN.

Grüße, Peter
Tuxedo-Mask
Tuxedo-Mask 06.11.2016 aktualisiert um 14:49:47 Uhr
Goto Top
Hi DaPedda,

zunächst vorab: Beide Hersteller (Sophos ex Astaro, Stormshield ex Netasq) sind lang genug im Geschäft, sodass man hier eine entsprechende Expertise zugrunde legen kann.

Die Sophos-Produkte sind Meiner Meinung nach größere Linux-Installationen "Small-Business-Server" mit Firewall als Nebenprodukt. Das steigert natürlich den Angriffsvektor, welcher zwangsweise (zb. durch infiziertem PC) nicht immer über das externe Interface erfolgen muss. Bei Stormshield ist das Produkt klar erkennbar eine solide Firewall, welche auch Industrieprotokolle beherrscht.

Hierzu kurz ein Exkus:
Vor kurzem hatten wir bei CISCO ein faules Update, was den HA zerschossen hat. Mittels Konsolenkabel, Serieller Verbindung und dem Ändern des Boot-Image-Eintrages (vorherige Version; welches man idR zunächst auf der CompactFlash lässt) war man recht schnell wieder im Business.
Auch wenn bei mir bei Sophos bislang nur 1 Update schief gelaufen ist gleicht das einer Katastrophe. Ein Downgrade ist eine Neuinstallation. Bei Stormshield habe ich hier auch den 30 MB Image-Firmware Ansatz mit Backup-Partition, welche man im Fehlerfall booten kann.

Fazit:
Für den Chef/die Firma ist es natürlich attraktiv Tonnen von Funktionen zu einen halbwegs attraktiven Preis zu erhalten und für den Admin verlockend. Sophos schönt etwas die Performance in den bunten Prospekten und der Could-Endpoint-AV versetzt den PC in das 486er Zeitalter. Die GUI und die Administration ist super bedienbar und einfach gelöst, sodass man hier fast auch den Hausmeister davor setzen kann. Die Schweißperlen kommen den Admin jedoch dann im Fehlerfall, wenn die Produktivität steht und das Telefon im 3 Sekunden-Takt mit der Frage klingelt "wann gibt es wieder Internet". HEUTE NICHT MEHR... face-smile

Grüße
Tuxedo-Mask
Tuxedo-Mask 06.11.2016 aktualisiert um 14:48:57 Uhr
Goto Top
Zitat von @aqui:

Bestell dir eine Testappliance (Demo) von jedem der oben genannten Hersteller.
So wird ein Schuh draus....und du kannst dir eine eigene Meinung bilden.
Erfahrungsbereichte aus Foren wo User mit unterschiedlichem technischen Background antworten ist bei Security Fragen schon mit gewisser Vorsicht zu geniessen !
Sagt einem aber auch schon der gesunde Menschenverstand.


Alle hier genannten (und nicht genannten) Hersteller haben ihre jeweiligen stärken und schwächen.

Die Frage die man sich stellen muss ist gegen wen und was will ich mich absichern.

Wenn die Frage "wen" mit Regierungen beantwortet wird, dann wird es schnell sehr dünn. Erfahrungsgemäß ist die Firewall am Perimeter nicht mehr DAS Objekt der Hacker.

Der Rest ist wie du sagtest der persönliche Geschmack. Ich komme mit dem Benz von A nach B, aber auch mit dem Dacia. Preis/Leistung, Funktionen, Bequemlichkeit und Pannen-Support entscheidet jeder selbst. Hier können Teststellungen helfen, aber auch Ausschlüsse durch Hinweise. Sonst hat man am Ende 30 Firewalls im Büro face-smile