thosch77
Goto Top

KMU Firewall übernehmen oder ablösen?

Hallo liebes Forum...

ich übernehme demnächst den IT-Support für eine kleine Firma, 4 MA, 3x VPN per Notebook.

Dort ist seit Ewigkeiten vom vorigen Betreuer eine Firewall "Terra UTM" installiert und wird noch betrieben.

Ich würde diese gerne ablösen und selbst eine Neue installieren.

Wichtig wäre halt sicheres VPN sowie Sicherheit des Netzes, Netztrennung (ein Mitarbeiter arbeitet für eine andere Firma/gleicher Inhaber) sowie Abschottung vom BankingPC vom Kanzleinetz.

Würde ein kleiner Sophos dafür ausreichend sein? Oder könnt Ihr ein Produkt mit gutem Support empfehlen? Ich möchte kein selbst gebautes System, lieber was, was ootb funktioniert und lediglich systematisch konfiguriert werden muss. Der Hard-/Softwaresupport reicht schon an Aufwand... :D

Danke schon mal, ich freue mich auf Eure Erfahrungsberichte und Belehrungen ;)

Content-ID: 667942

Url: https://administrator.de/forum/kmu-firewall-uebernehmen-oder-abloesen-667942.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

OlliSe
OlliSe 06.09.2024 um 14:17:07 Uhr
Goto Top
Hi,
die kleine Terra von Wortmann bzw. SecurePoint ist ja gar nicht sooo schlecht face-wink

Denke, die ist nicht mehr im Support bzw. Service?

Sonst einfach die, oder einen Nachfolger nehmen.

Oder eine Saas.
Grüße
RoadRage3
RoadRage3 06.09.2024 um 14:17:58 Uhr
Goto Top
Ich arbeite jetzt seit anderthalb Jahren mit LANCOM und kann deren Geräte nur empfehlen. Kann auch Punkten mit dem BSI Zertifikat welches sonst nur noch die Zyxel Digitalisierungsboxen (aka Telekom) hat
Hubert.N
Hubert.N 06.09.2024 aktualisiert um 14:39:47 Uhr
Goto Top
Moin

Zitat von @RoadRage3:
Ich arbeite jetzt seit anderthalb Jahren mit LANCOM und kann deren Geräte nur empfehlen.
Da sage ich immer "jain" dazu. Gerade wenn man viele VPN-Verbindungen benötigt, laufen einem bei Lancom leider schnell die Kosten aus dem Ruder.

Du solltest in jedem Fall ein Gerät nehmen, wo Du dich mit der Konfiguration auskennst. Nichts ist schlimmr, als wenn Du alle möglichen Geräte supporten willst, das dann aber immer nur so halbwegs hinbekommst. Dann konzentriere Dich auf deine "Hausmarke(n)" und mache den Job damit vernünftig. Wenn Du dich mit Sophos auskennst, dann nimm Sophos.

Gruß
maretz
maretz 06.09.2024 um 15:03:41 Uhr
Goto Top
Zitat von @thosch77:

Hallo liebes Forum...

ich übernehme demnächst den IT-Support für eine kleine Kanzlei, 4 MA, 3x VPN per Notebook.

Dort ist seit Ewigkeiten vom vorigen Betreuer eine Firewall "Terra UTM" installiert und wird noch betrieben.

Ich würde diese gerne ablösen und selbst eine Neue installieren.

Wichtig wäre halt sicheres VPN sowie Sicherheit des Netzes, Netztrennung (ein Mitarbeiter arbeitet für eine andere Firma/gleicher Inhaber) sowie Abschottung vom BankingPC vom Kanzleinetz.

Würde ein kleiner Sophos dafür ausreichend sein? Oder könnt Ihr ein Produkt mit gutem Support empfehlen? Ich möchte kein selbst gebautes System, lieber was, was ootb funktioniert und lediglich systematisch konfiguriert werden muss. Der Hard-/Softwaresupport reicht schon an Aufwand... :D

Danke schon mal, ich freue mich auf Eure Erfahungsberichte und Belehrungen ;)

Ehrlich gesagt - warum willst du die ablösen? Sind die damit unzufrieden? Funktioniert damit irgendwas nicht? Dazu kommt - DU hast doch den Vertrag mit denen gemacht, solltest DU dann nicht auch bereits ne Hardware haben die du kennst und die du denen auch guten gewissens verkaufen kannst? Was bringt es dir wenn ich sage das ich mit PaloAlto gut klar komme und der support bei MIR ggf. auch gut ist -> du aber vorm Kunden stehst und leider derjenige der bei dir am Support ist die letzte Möhre is? Dann musst DU doch auch das Produkt gut genug kennen um es zum laufen zu bringen (grad so ne kleine Umgebung - da würde ich als Kunde erwarten das du es sogar ohne Support hinbekommst).

Von daher halte ich es schon für bestenfalls fragwürdig erst nen Kunden zu übernehmen und dann in nem Forum nach Erfahrungen zu fragen. Und DAS ist bestenfalls, realistisch hilft es dir gar nix weil eben jede/r auch seine/ihre Vorlieben und Anforderungen hat. Dem einen reicht das was ne Fritzbox kann völlig aus, der andere brauch mind. ne Cisco ASA oder höheres... Beim VPN dasselbe - wenn es nur um 2-3 Mitarbeiter geht ist die CPU eher irrelevant - MEISTENS. Wenns aber dann um irgendwelche speziellen Dinge geht mag das ganze schon wieder anders aussehen. Dafür hast du ja beim Kunden ne Aufnahme gemacht um genau das zu bewerten.
thosch77
thosch77 06.09.2024 um 15:31:52 Uhr
Goto Top
Der Kunde will es loswerden. Was soll ich da sagen? Erstmal bleibt sie auch, aber nur noch zum Übergang
Vision2015
Vision2015 06.09.2024 um 16:46:52 Uhr
Goto Top
Moin...
also wenn die FW alles macht, was sie soll- warum Ablösen?
kommst du denn damit zurecht?
wenn es unbedingt was neues sein soll, machste halt ne pfSense hin... bekommst du auch fertig zu kaufen!

Frank
Avoton
Avoton 06.09.2024 um 16:47:43 Uhr
Goto Top
Moin,

Ich kann die Securepoints auch empfehlen. Aber wenn du dich mit Sophos gut auskennst nimm die.

Gruß,
Avoton
Lochkartenstanzer
Lochkartenstanzer 06.09.2024 aktualisiert um 17:38:32 Uhr
Goto Top
Zitat von @thosch77:

Dort ist seit Ewigkeiten vom vorigen Betreuer eine Firewall "Terra UTM" installiert und wird noch betrieben.

Ich würde diese gerne ablösen und selbst eine Neue installieren.


Warum?

  • Um mehr Umsatz zu generieren?

  • oder kennst Du Dich damit nicht aus?

  • oder fehlen wichtige Funktionen?

  • oder will der Kunde was neues?

  • usw

Sofern kein schwerwiegenden Gründe vorliegen. Würde ich das funktionierende System lassen, außer Du brauchst Umsatz. face-smile

lks

PS: die Terra-Securepoint ist durchaus ein vernünftiges Gerät. Das wäre so, als ob Du den "alten" Benz ablösen willst, weil Dir BMW besser gefällt, um es Mal mit einem unpassenden Autovergleich zu verdeutlichenface-smile
Lochkartenstanzer
Lochkartenstanzer 06.09.2024 um 17:40:43 Uhr
Goto Top
Zitat von @RoadRage3:

Kann auch Punkten mit dem BSI Zertifikat

Du weißt aber schon, das das BSI Zertifikat nur Compliance ist und mit echter Sicherheit wenig zu tun hat. face-smile

lks
chgorges
chgorges 06.09.2024 um 23:07:19 Uhr
Goto Top
Zitat von @thosch77:
Würde ein kleiner Sophos dafür ausreichend sein? Oder könnt Ihr ein Produkt mit gutem Support empfehlen? Ich möchte kein selbst gebautes System, lieber was, was ootb funktioniert und lediglich systematisch konfiguriert werden muss.

Schlechter Ansatz, mit dem du es besser lassen solltest. Firewalls sollten ootB immer von 0 auf durchkonfiguriert werden, damit man weiß, was in den Kisten vorgeht.
MysticFoxDE
MysticFoxDE 07.09.2024 um 08:15:17 Uhr
Goto Top
Moin @thosch77,

Würde ein kleiner Sophos dafür ausreichend sein?

ja, auf jeden Fall.
Aber nimm bitte nicht die kleinsten, denn die sind schon etwas "zäh".

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer 09.09.2024 aktualisiert um 22:23:45 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @RoadRage3:

Kann auch Punkten mit dem BSI Zertifikat

Du weißt aber schon, das das BSI Zertifikat nur Compliance ist und mit echter Sicherheit wenig zu tun hat. face-smile


zur Untermauerung:

Siehe fefes Kommentar vom Mon Sep 9 2024


Laut https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sich ... vertrauen die nämlich drauf, daß der hersteller nicht lügt. face-smile

lks
thosch77
thosch77 30.09.2024 um 11:43:31 Uhr
Goto Top
Hallo liebe Alle,

eine kurze Rückmeldung...

Die Firewall wird rückgebaut und das Netzwerk ohne übergeben.

Das ist mir am liebsten, dann kann man neu aufbauen ;)

Wir haben uns für OpnSense entschieden, das sieht prima aus.

Nach passender Hardware frage ich in einem anderen Thread, das passt hier dann nicht...

Dankaschön an alle für die Ratschläge!
MysticFoxDE
MysticFoxDE 30.09.2024 um 13:09:56 Uhr
Goto Top
Moin @thosch77,

Die Firewall wird rückgebaut und das Netzwerk ohne übergeben.

das ist jetzt hoffentlich ein schlechter Scherz. 😔

Das ist mir am liebsten, dann kann man neu aufbauen ;)

Ja klar und was passiert dazwischen?

Wir haben uns für OpnSense entschieden, das sieht prima aus.

Ähm, eine OpnSense kannst du aber nicht wirklich mit einer Sophos XGS vergleichen,
alleine schon die SSL/TLS Inspection, ist bei der Sophos um Welten mächtiger als die von der OpnSense. 🙃
Und glaub mir, die Backdoors der Bösewichte kommunizieren ganz sicher nicht per "Plain-Text" mit deren CCS(Command-and-Control-Server)/Herrchen. 😔

Nach passender Hardware frage ich in einem anderen Thread, das passt hier dann nicht...

https://shop.opnsense.com/product-categorie/hardware-appliances/
😉

Gruss Alex
maretz
maretz 30.09.2024 um 15:33:20 Uhr
Goto Top
Und warum kann man das nicht vergleichen? Ich möchte mal behaupten das es GRADE bei einer Firewall auf 3 Dinge ankommt:
a) Wie gut kenne ich mich mit Grundlagen aus (was und wie die überhaupt filtern)
b) Was sind meine Anforderungen
c) Wie gut kenne ich ein Produkt

Und grad der letzte Part ist imo mittlerweile ziemlich wichtig - oder du stellst das Produkt XYZ halt hin, klickst irgendwo wild auf "Einschalten" (weil hört sich sicher an und du hast es in der Lizenz ja drin) und HOFFST das es das tut was du glaubst. Das führt dann idR. dazu das man ne tolle Firewall hat die am Ende aber auch nicht mehr ist als nen Lufterwärmer.

Dazu kommt das - meiner Meinung nach - eine solche Umgebung eben auch so aufgebaut werden muss das man notfalls telefonisch helfen kann. Das hier hört sich nämlich für mich nicht nach "Systemhaus mit 50 Mitarbeitern" an sondern eher nach "Einzelkämpfer". Und DA ist es umso wichtiger das man das eingesetzte Produkt gut kenn - im dümmsten Fall erreicht nämlich den Kollegen hier der Anruf vom Kunden irgendwo Abends beim Essen das eben irgendwas nicht geht was aber dringend erledigt werden muss. Willst DU da jemanden dann als Dienstleister haben der dir sagt "ich glaube da muss irgendwo irgendwas sein was SSL im Namen hat... kann aber auch TLS sein... oder Inspektion... oder so ähnlich"? Da muss es - nochmal, meiner Meinung nach - gehen "du klickst auf das Menü X, dann siehst du rechts die Einträge a,b,c... an 4ter oder 5ter Stelle muss der Eintrag X sein, da machst du dann das", und das eben ausm Kopf nach 5 Bier im Schädel. Und das wird wohl kaum für 20 Produkte möglich sein....