Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Konfiguration und Auswahl Sophos FW

Mitglied: mabies

mabies (Level 1) - Jetzt verbinden

04.09.2018 um 17:32 Uhr, 2767 Aufrufe, 53 Kommentare

Hallo,
möchte nochmal die Diskussion über eine mögliche Sophos XG für unser KMU (100MBit Internetzugang, max. 2 VPN User, seit einem Jahrzehnt zufrieden mit Fritzboxen - die aber nicht mehr verwendet werden können) aufgreifen:
Angenommen ich nehme die Sophos XG.
Dazu ein paar Fragen:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Und ebenso einfach einzurichten?

b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?

c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...

Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Andere wieder boten >= einen Tagessatz Einführung an und nach beharrlichem Nachhaken hätten die nur ein paar Templates ausgebracht. Irgendwie komisch dieser Markt rund um Firewalls.

Danke Euch
53 Antworten
Mitglied: St-Andreas
04.09.2018 um 17:40 Uhr
Ich würde ne SG nehmen.
Warum dürfen die Fritzboxen nicht mehr genutzt werden?
Bitte warten ..
Mitglied: Looser27
04.09.2018 um 17:48 Uhr
Moin,

warum gehst Du dann nicht auf OPNsense oder pfsense? Da bekommst Du im Netz Hilfe und Anleitungen ohne Ende.
Und das dürfte Dich günstiger kommen als Sophos und Co.

Gruß Looser
Bitte warten ..
Mitglied: mabies
04.09.2018 um 17:55 Uhr
Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Bitte warten ..
Mitglied: shadynet
04.09.2018 um 18:04 Uhr
Wenn deine TK nicht zu alt ist kann sie evtl auch SIP trunk... Dann könntest du nehmen was du wolltest, selbst Fritzboxen, wenn auch nicht so gern gesehen. Ansonsten bietet die Telekom auch lancom als Terminierung für den trunk an, so ists ja nicht
Bitte warten ..
Mitglied: Pjordorf
04.09.2018 um 18:04 Uhr
Hallo,

Zitat von mabies:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Geschätzt ca. 325 mal einer FritzBox überlegen. Damit ist beim Anschliessen erstmal alles dicht - keiner kkann nichts. Da musst du erstmal auch das Surfen erlauben.

Und ebenso einfach einzurichten?
Nein, deutlich komplexer. Ist halt eine richtige Firewall.

b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?
Kommt auf den an der die einrichtet und was ihr braucht. Wenn jeder von diesen Punkten und seinen unterpunkten genutzt wird, braucht es schon ein gewisses Wissen. Auspacken- anklemmen - einschalten und Surfen ist nicht.

c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...
Auch ich würde eher noch zu einer SG raten, und Bedenke wenn die Arbeiten brauchen die auch Rechenleistung. Es gibt nicht umsonst verschiedene Hardware Modelle.

Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Nun, kommt darauf an was ihr haben wollt, und wie klein eüer Geldbeutel ist.

Nutze z.B. diese Private UTM um zu sehen was eine Firewall eigentlich ist. Muss nur von die Konfiguriert werden. Einen alten Rechner auftreiben mit Core2Duo, 8 GB RAM, 2 NICs (Intel) reicht oder dort das in einer VM (Server 2012r2 Hyper-V oder ein ESXi) laufen lassen um zu testen. Module in der Privaten Edition sind fast alle enthalten und nur auf 50 IPs begrenzt. Wenn möglci nur IPv4 oder IPv6 nutzen, da jede IP zählt.

Und warum dein
die aber nicht mehr verwendet werden können
Warum können die nicht mehr gebraucht werden?

Firewall ist mehr als eine Fritte oder SpeedPort oder SpeedLink. Aber eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.

Gruß,
Peter
Bitte warten ..
Mitglied: certifiedit.net
04.09.2018 um 18:06 Uhr
Zitat von mabies:

Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.

Stimmt so nicht, bis die XGs die SGs ersetzen geht noch einige Zeit und viele Kinderkrankheiten den Jordan runter (die XGs sind aber besser subventioniert - ggf. deswegen...)

Sip Trunks würde ich direkt an die TK Anlage anlegen...da ist das Modem dann total egal.

Eine Standardinstallation ist beim Auto gut. An einem auf die Firma angepasste IT-Struktur muss in der IT-Sicherheit adaptiert werden. Ansonsten ist es den Namen nicht Wert.
Bitte warten ..
Mitglied: Stefan007
04.09.2018 um 19:40 Uhr
Grüß dich,

aus welcher Ecke kommst du denn (zwecks "Dienstleister)?

Ansonsten kommt es auch auf die Art und Weise an, wie Ihr es handhabt in eurem Unternehmen:

Getreu dem Motto -> ALLES OFFEN und dann Stück für Stück zumachen oder umgekehrt -> alles ZU und Stück für Stück öffnen.

Bei der XG (du weißt, dass es in Richtung Cloud geht?) finde ich die Einrichtung etwas "nerviger" als bei der UTM.
Bitte warten ..
Mitglied: Vision2015
04.09.2018, aktualisiert um 20:12 Uhr
Moin...
Zitat von mabies:

Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
das steht aber noch in den sternen....
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.
Also Wenn du SIP-Trunk der Telekom nutzt, würde ich auf jedenfall einen Lancom nutzen ab R883/4VA* aufwärtz...
ich bekomme SIP-Trunks
ist eine blöde aussage.... ich denke du bekommst einen SIP-Trunk, wie wird den das ganze angeschlossen?
wenn deine Telefon Anlage sich selber einwählt, also IP kann- kannst du auch deine Fritte behalten..
wenn dein Anlage das nicht kann, wirst du wohl den Router als ISDN Media Gateway nutzen müssen- den Bintec/ Telekom müll würde ich nicht nehmen, sondern einen LANCOM Router! den kennt auch der Telekom support, und der eine oder andere bei administrator.de... und der Lancom ist sehr sicher im betrieb!
das würde meiner meinung nach reichen!
natürlich kannst du eine Sophos mit dran dengeln... aber wozu, du hattest bis jetzt eine fritte!

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Träum weiter....

Frank
Bitte warten ..
Mitglied: Pjordorf
04.09.2018, aktualisiert um 20:10 Uhr
Hallo,

Zitat von mabies:
AVM kann kein SIP-Trunk.
Ist nicht ganz richtig. Schau dich mal bei AVM um und spezifiziere deine Fritte.

kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Das ist nicht nur bei Open FWs so sofern du diese verstehen willts was wie wio warum Konfiguriert ist und welche Auswirkungen das auf euren Internet Zugang hat. Wenn du dich dort hinein knieen willst, wirst du einen Dienstleister kaufen müssen, und bis du diesem erklärt hast was ihr haben wollt hat der schon einige Tagessätze intus und ihr seit trotzdem Verantwortlich (auch für sein Handeln).

Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.Du lebst mit einer falschen Vorstellung, oder ist eure Firma auch einfach so austauschbar?

Binde deine Telefonie doch direkt mit deiner Telefonanlage ans Internet. Musst ja kein VOIP der Fritte nutzen... Oder eine Digitalisierungsbox Smart (Bintec und dort als MediGateway auf den interne SO) brauchst du noch nicht einmal die Telefonanlage umändern, umprogrammieren oder sonstwas. Sekbst die Rufnummen bleiben wie bisher. Die Fritte kann kein Mediagateway.

Gruß,
Peter
Bitte warten ..
Mitglied: Dilbert-MD
04.09.2018 um 22:36 Uhr
N' Abend,

was braucht Ihr denn

an Paketen obendrauf [...] für z.B. Network & Web Protection?

Habt Ihr schon mal geprüft, was in der BasicGuard - Lizenz alles enthalten ist und ob Euch das ggf. schon ausreicht?
Oder anders herum: welche Funktion braucht Ihr, die in der BasicGuard nicht enthalten bzw. nicht lizensiert ist?

Wenn ich mir die Diagramme der Sophos SG bei uns so anschaue, sehe ich, dass die UTM selten mal so richtig ausgelastet wird. Meistens nur beim installieren von Updates auf der UTM oder beim Scannen einer großen Datei beim Download. 100/20 MBit Glasfaseranschluss, Fritzbox vor der UTM, FRitzBox abrebeitet die Telefonie ab, die UTM den Rest, einschließlich VPN.

Gruß
Bitte warten ..
Mitglied: ashnod
05.09.2018, aktualisiert um 09:02 Uhr
Moin ....

wenn Ihr bedenken wegen zuviel power habt könnt Ihr die Sophos-Versionen auch auf nem APU2 /3 oder 4 Board installieren .. wäre die günstigste Variante ....

Läuft aus Erfahrung relativ gut .. etwas langsames Webinterface aber der Durchsatz ist trotzdem vernünftig.

Nachteil ... die schönen einfachen und umfangreichen Zusatzfunktionen (Telefonie, etc.) gibt es latürnich nicht.
Vorteil ... halt eine echte Firewall die mit viel Regelwerk bestückt werden kann..

Aus meiner Sicht für ein kleineres Unternehmen völlig ausreichend.

VG

Edit: Lizenz wird benötigt.
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 08:50 Uhr
Rätst du hier ernsthaft zum Lizenzbetrug (Home Use in der Firma) oder welche freien Lizenzen meinst du?
Bitte warten ..
Mitglied: mabies
05.09.2018 um 09:01 Uhr
Zunächst mal vielen Dank für Euer reichliches Feedback!
Heute haben wir -lokalisiert in Essen- 2 Anlagenanschlüsse (2 Rufnummern, je eine von TK und eine von Vodafone). Beide gehen via ISDN auf die recht neue Unify-TK. Und ja, brauche künftig noch beide Rufnummern.
Dann habe ich einen weiteren TK-Anschluß von dem ich nur das VDSL nutze und direkt in die Fritz 7490 speise.
Soweit glücklich und zufrieden seit Jahren, wenn auch mit etwas mulmigen Gefühl ob der spärlichen Fritz-Firewalleigenschaften.

Nun kommt die telekom und sagt 'ISDN schalten wir ab. Sieh zu' Und nimm Sip-Trunks
Also schieb ich jetzt beide Anlagenanschlüsse auf die Telekom bei Mitnahme der Nummern: einer mit 100MBit VDSL und unserer festen IP sowie 4 Sprachkanälen, der andere mit 50MBit VDSL als Backupleitung sowie 2 Sprachkanälen. Und kündige den jetzigen VDSL.

Wäre ja mit einem SIP noch recht einfach: Modem von Telekom, Unify per IP an das Modem und die Telefonie ist gegessen. Leider geht das nicht da die Unify nicht 2 Ethernets für verschiedene Rufnummernkreise bedienen kann. Also muß ich von den Telekom-Modems via ISDN auf die Unify - ein echter Schei.., aber ist halt so.
Damit ist die Fritte raus, da die keine 2 ISDN Anschlüsse hat UND sowieso SIP nur im Laborstadium kann.

Daher möchte ich gern die einfachen Telekom-Modems nehmen (halt Bintec), von da per ISDN auf die Unify sowie von der 100MBit auf eine Firewall - wo wir wieder bei meiner Ausgangsfrage sind.
Fritte kann IMHO nicht Firewall spielen zwischen LAN-Ports, also brauche ich was anderes (wenn mir der Bintec nicht reicht. Höre aber darüber wenig gutes).
Verstehe nun von euch auch, das die SG von Sophos die reifere Wahl ist - wobei die 85er von ihren Leistungsdaten her allemal ausreichen sollte.
Wenn ich nun so ein Ding mit zur Fritz analogen Eigenschaften aufsetzen wollte - nachrüsten mit dem ganzen Schnickschnack kann ich immer noch- : ist das wirklich so ein aufwändiges Ding bzw. wer weiß wer (möglichst hier in der Gegend) Hilfestellung leisten kann?
Gruß
GG
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 09:03 Uhr
Moin ...


Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.

VG
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 09:09 Uhr
Was haben denn die Ethernetschnittstellen mit den SIP-Trunks zu tun? Ich hab auch an zig (Kunden) Telefonanlagen z.T 3,4,5 SIP-Trunks an einer ETH Schnittstelle.

Es gibt keine SG85, zweitens, nimm die 105er und du kannst nach dem Zuschalten der Unterfunktionen bald nicht nur diese Lizenzen einzeln nachkaufen, sondern direkt eine stärkere SG holen.

Bedenke:
[...] eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.

Wenn du eine optimal eingerichtete SG haben willst, schreib mir gerne eine PN. Das geht auch von Ulm aus, wenn mans entsprechend vorbereitet.

VG
certifiedit.net
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 09:11 Uhr
Zitat von ashnod:

Moin ...


Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.

VG

Nein, gilt nur für tatsächliche Home Nutzer. Außer man geht auf die virtuellen Appliances, aber dann setzt man quasi auf nen wackligen Ast, der durch sich selbst gehalten werden soll. Das funktioniert aber nur bei den Grimms/Disney.
Bitte warten ..
Mitglied: mabies
05.09.2018 um 10:13 Uhr
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Bitte warten ..
Mitglied: Looser27
05.09.2018 um 10:35 Uhr
Zitat von mabies:

Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen

Als ich damals die erste UTM für unser Unternehmen gekauft haben, waren wir gerade mal 8 Leute an 2 Standorten.
Damals haben wir deutlich über 3.000,- € ausgegeben. Konfiguration habe ich selber gemacht, aber Software-Update und Service-Vertrag kosten halt Geld. Das ist bei jedem Anbieter so.

Wenn es gut und günstig sein soll, lege ich Dir nach wie vor o.g. OPNSense oder pfSense ans Herz. Sollte für etwa 500 € mit einigermaßen potenter Hardware zu realisieren sein.
Ausserdem wirst Du Dich mit dem Thema beschäftigen müssen, wenn Du mehr als ne Fritzbox einsetzen willst. Auch ein Dienstleister kann nur konfigurieren was DU vorher definierst. Und wenn Du nicht ständig zahlen willst, mach es selber.

Gruß

Looser
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 11:01 Uhr
Also es gibt eigentlich nur drei Möglichkeiten:

a) in den sichersten Apfel zu beissen und auf die Sophos inkl Einrichtung zu gehen, laufende Kosten sind im Regelfall zwischen 80 und 100€ für die Updates, die Ihr Geld wert sind. Abgesehen natürlich von der Netzkontrolle, die sowieso gemacht werden muss.

b) Auf eine offene Lösung setzen und komplett eigene Einrichtung zu gehen. Bis du dich da eingearbeitet hast, bist du aber vermutlich bei den Kosten für die SG + Einrichtung + längerfristige Wartung - und am Ende (wie man im Forum oft genug sieht) hast du immer noch keine Sicherheit, dass alles richtig eingerichtet ist und verrennst dich ggf. wie bei dem Netzumzug, der letztens hier besprochen wurde.

c) du bleibst bei der Fritzbox und investierst regelmäßig in die gute Hoffnung.

Wenn ich mir das richtig vor Augen führe, prüfst du bereits seit 4-5 Monaten Alternativen, hast du mal nachgerechnet, was dich das gekostet hat?

Die Stundensätze von uns Profis resultieren schlussendlich nicht nur daraus, dass es so stark nachgefragt ist, sondern auch dadurch, dass wir einige Stunde Wissen aneignen, Schulungen besuchen, Ausbildungen... in diesem Bereich absolviert haben.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: Looser27
05.09.2018 um 11:03 Uhr
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 11:23 Uhr
Moin ...

Zitat von Looser27:
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.

Würde ich eher mit wieviel Sicherheit brauche ich und was ist mir diese Sicherheit wert übersetzen

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist

Will ich den ein- und ausgehenden Verkehr genauer analysieren, steuern und überwachen dann enden natürlich die Möglichkeiten der Fritzbox abrupt

VG
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 11:31 Uhr
Bei solchen Diagrammen ist auch immer wichtig: Wie viele Benutzer, was für Dienste nutzt ihr und vor allem, welche SG. Ansonsten ist der Inhaltswert gleich Null. Aus meiner Erfahrung kommt üblicherweise neben Network (VPN), Webserver (Ex,div anderes), Email (Exchange), direkt auch noch WLAN hinzu, dazu IDS/IPS und schon hast du direkt mal 2-3 GB Ram locker gefüllt - bei einer Handvoll Nutzer. Dazu kommen die Funktionen, die in den nächsten 2-3 Jahren (das Ding kauft man ja nicht nur für heute und morgen) hinzukommen oder aufgebohrt werden.außer, man will natürlich während der Laufzeit upgraden...
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 11:32 Uhr
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist

Letzter Satz, volle Zustimmung.

Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 12:01 Uhr
Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Ich meinte eher willkürliche Angriffe von außen .... also solche die im TV so schön dargestellt werden mit ... ich habe die IP und nun kann ich da alles machen ... wenn diese auf der SG geroutet werden ist es bereits zu spät
Hier greift einfaches Regelwerk und das macht die FB genauso gut oder schlecht wie jedes andere Gerät einschl. vorhandener Sicherheitslücken.

Die Vorteile der SG greifen erst dann, wenn im zulässigem Datenverkehr bösartiges versteckt ist - das ist dann aber nichts mehr was mit einer Fritzbox vergleichbar wäre!

In diesem Sinne passt der Satz schon ....
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 12:09 Uhr
Nein, denn wenn du die SG entsprechend konfigurierst erkennt Sie Brute-Force Attacken und macht dann einfach dicht (die Fritzbox macht und sagt hier zu nichts... - Keine Warnung o.ä). Außerdem macht das IDS/IPS der Sophos auch dicht, wenn von Innen nach aussen auf maliziöse Adressen zugegriffen wird. Oder blockiert entsprechend gefährendende Länder nach Bereich - auch das kann die Fritzbox nicht...

Abgesehen davon, warum ist es zu spät, wenn es auf die SG geroutet wird? Versteh ich nicht, führ das bitte aus...?


Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Bitte warten ..
Mitglied: Pjordorf
05.09.2018, aktualisiert um 12:12 Uhr
Hallo,

Zitat von ashnod:
wenn diese auf der SG geroutet werden ist es bereits zu spät
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?

Gruß,
Peter
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 12:32 Uhr
Zitat von certifiedit.net:
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?

Hallo???

Dir ist aber schon bekannt wann, was greift? Das die einzelnen Mechanismen, wie die auch immer Marketingtechnisch verkauft werden, schrittweise Folgen oder ineinander übergehen??

Du willst hoffentlich nicht ernsthaft nen Vergleich zwischen einer Fritzbox und einer SG anstrengen?

Und du willst mir jetzt nicht erklären, dass einfaches Firewall-Regelwerk auf der SG technisch anders funktioniert!

Man stellt das anders ein oder hat im Fall der Fritzbox nur wenig Möglichkeiten daran was zu versauen ..

In diesem Sinne kannst du nur einfaches Regelwerk vergleichen und nicht umsonst habe ich von außen mehr als Fett genug geschrieben!

Also mal bitte auf dem Teppich bleiben!
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 12:37 Uhr
Zitat von Pjordorf:
Zitat von ashnod:
wenn diese auf der SG geroutet werden ist es bereits zu spät
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?


Ehrlich jetzt? .... Magst du dich mal selbst hinterfragen?
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 12:40 Uhr
Erklär uns bitte, wie du es gemeint hast, offensichtlich ist auch Kollege @Pjordorf darüber gestolpert.

Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG )
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)

Mehr noch: Kommt der Angreifer durch und siedelt sich im Netz (USB) ein und gibt Daten raus, dann kommt er bei der Fritzbox auf den kompletten Portrange ungefiltert durch. Bei der SG nur auf die Freigegebenen und mit IDS werden auch diese gefiltert.

Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
Bitte warten ..
Mitglied: ashnod
05.09.2018, aktualisiert um 13:09 Uhr
Zitat von certifiedit.net:
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten

Mal ehrlich .... muss ich das wirklich ausführen ich rede die ganze Zeit von einfachem Firewall-Regelwerk - einfacher Standard.

Gerne genau mit den Beispielen die du genannt hast.

Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?
Bitte warten ..
Mitglied: St-Andreas
05.09.2018 um 13:17 Uhr
Kann eine Fritz!box DNS Groups?

Ist der Unterbau der Firewall bei einer Fritzbox annähernd ähnlich sicher wie bei der Sophos?

Ist die Firewall der Fritzbox vom BSI nach ISO 15408 zertifiziert?
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 13:22 Uhr
Waren heute irgendwie komische Drogen im Umlauf?

Sorry, jetzt wirds mir eindeutig zu blöd!
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 13:24 Uhr
Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?


Fehlt hier nicht ein "nicht" hinter "bietet"?

Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Bitte warten ..
Mitglied: Dilbert-MD
05.09.2018 um 13:49 Uhr
Zitat von mabies:

Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen

Eine SG 105 mit 1 Jahr BasicGuard schätze ich mal auf 600 bis 700 EUR + ca. 1 Tagessatz für Einrichtung, Lizenz-Einrichtung, Anpassungen...
Das BasicGuard Renewal (Ein-Jahres-Lizenz) kommt 160 bis 170 EUR + ggf. 2 Stunden Einrichtung, Einstellungen prüfen, Anpassungen, mal 'drüberschauen..., wenn man es machen lässt.

Falls es möglich ist, eine legale neue Lizenz für ein gebrauchtes Gerät einzusetzen, könnte man noch etwas sparen und eine gebrauchte SG xxx kaufen. Händler oder kleinanzeigen.ebay.de.

Dann verschiebt sich das Restrisiko auf eine andere Plattform.

Gruß
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 13:51 Uhr
Zitat von certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...

Ein letzter Beitrag von mir zu dem Thema ....

Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.

Das macht die Fritzbox aber nicht per se unsicher!

Ente
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 14:17 Uhr
Zitat von ashnod:

Zitat von certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...

Ein letzter Beitrag von mir zu dem Thema ....

Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.

Das macht die Fritzbox aber nicht per se unsicher!

Ente

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

Ich kratz mich am Kopf, mehr muss man dazu nicht sagen. Ist aber nicht das erste mal.
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 14:39 Uhr
OT:

wenn schon zitieren, dann aber richtig bitte ....

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

Macht schon einen Unterschied ..... wenn du die Einschränkungen nicht erkannt hast ... sorry ... aber ich lass das jetzt ...

Markiere hier gerne den großen Zampano, wer's halt braucht ...
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 14:57 Uhr
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports. Außerdem, nur weil etwas nicht fett ist, ist's nicht unrichtig zitiert.

Dann hampel noch weiter rum, bringt aber keinem was...
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 15:03 Uhr
Zitat von certifiedit.net:
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports.

Oki, dann erkläre das einem Unwissenden doch einfach mal ...
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 15:12 Uhr
Zitat von ashnod:

Zitat von certifiedit.net:
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports.

Oki, dann erkläre das einem Unwissenden doch einfach mal ...

ehrlich?

Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG ) Sondern dann hast du kein (eingehendes) Internet.
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)

Was das alles mit routen zu tun hat, ist mir allerdings immer noch schleierhaft.
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 15:30 Uhr
Die Verbindung zum Routing hast du selbst hergestellt:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 15:34 Uhr
Zitat von ashnod:

Die Verbindung zum Routing hast du selbst hergestellt:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?

In dem Fall ist mir "routen" nicht das stumpfe durchleiten von Netz A nach Netz B gemeint, sondern das unter Augenschein nehmen durch die jeweiligen Subsysteme durchleiten gemeint. Alles andere wäre ja stumpf. Worüber reden wir hier denn sonst?
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 17:04 Uhr
Nicht wir, eigentlich eher du redest die gesamt Zeit darüber:

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

und im wesentlichen über die kleine Winzigkeit die sowohl der Fritze als auch die SG gemeinsam haben stumpfes

Firewall-Regelwerk, welches beim Fritzen nichtmal ausgeprägt vorhanden ist.

Mehr gemeinsame Vergleiche gibt es sowohl auf der einen als auch auf der anderen Seite nicht!

Sprich eingehende Anfragen auf durch Firewall-Regelwerk geblockte Bereiche werden von dem Fritzen genauso zuverlässig abgewehrt wie von einer Highend-Firewall.

Dann reden wir nnoch über:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Wenn du also ohnehin etwas durch Firewall-Regelwerk geblockt hast, wäre es schlecht wenn es trotzdem durch die SG geroutet wird.

(Auswertungen lassen wir an der Stelle, wegen mangelnder Gemeinsamkeiten, außen vor)

Wenn du selbst Wortklauberei betreibst, dann sollte dir klar sein, dass geroutet durchaus als Routing verstanden wird.

Soderle evtl. konnte ich die Verwirrung damit lösen.
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018 um 18:42 Uhr
OK und in Summe: Auch von außen ist ein korrekt konfigurierte Sophos SG sicherer als die Fritzbox - im Gegensatz zu deiner Aussage.

Im weiteren, vielleicht bist du noch nicht so tief ins Detail gegangen, du hast es oben aber angeschnitten, die Checks gegen den Webtraffic (bspw woher, wohin, wann, ggf. welcher Inhalt) laufen zwar für den Menschen zeitgleich statt (weil so fix), aber eben nicht parallel. Daher wird das Paket durch die SG-Subsystems geroutet. (Wie immer macht die Semantik die Würze.)

Die Aussage

wenn diese auf der SG geroutet werden ist es bereits zu spät

ist daher auch Bullshit, denn die Pakete müssen(!) ja durch die SG gehen, damit die SG diese überhaupt prüfen kann. Durchrouten heisst nicht, dass die Pakete in diesem Fall nicht unbedingt auch in die Zielnetze dürfen. Das kannst du damit vergleichen, dass die Polizei bei der Fahndung auch aufgefallene Subjekte auf andere Strecken leitet (=routet) als andere, auf denen Sie danach angehalten und geprüft werden können.

Wie gesagt, ich glaube du betrachtest das zu oberflächlich oder hast dich nicht ordentlich eingedacht.
Bitte warten ..
Mitglied: ashnod
05.09.2018 um 18:56 Uhr
Kannst dir das gerne schön reden.

Du hast Recht und ich meine Ruhe.

Mir ist klar genug geworden wen ich damit nicht betrauen würde ....

Wer den minimalistichen Ansatz einer FW nicht verstehen möchte braucht wohl immer teures Zeuch zum schönreden

Ich habe fertig ...
Bitte warten ..
Mitglied: certifiedit.net
05.09.2018, aktualisiert um 19:44 Uhr
Ich würde mal sagen, dich, weil du wenig Ahnung hast (oder nicht hinters Blech schauen willst). Übrigens, kleiner Tipp: Eine SG ist wesentlich mehr(!) als eine Firewall, deswegen passt der minimalistische Ansatz ja eben nicht.. - auch, wenn Sophos natürlich bestrebt ist die Angriffsoberfläche so minimal wie möglich zu halten, aber das Ding ist im Prinzip ein Schlachtschiff, dass man heute durch alle Möglichen Angriffsmethodiken de facto auch benötigt.

Abgesehen davon will er das "teure Zeuch" ja, er will nur nicht die dafür aufgerufenen Summe bezahlen - oder die Einrichter sind Ihm nicht professionell genug - aber das Problem hast du laut deinem ersten Beitrag schließlich auch eher weniger...Also konnte man sich aufgrund der Aussage die ganze Diskussion sparen.

Ich habe fertig ...

Hoffen wir's.

Schönen Abend,

Christian
Bitte warten ..
Mitglied: monstermania
06.09.2018 um 09:25 Uhr
@ashnod
Ja, wenn Du eine reine Firewall betrachtest mögen Deine Thesen durchaus Ihre Berechtigung haben. Nur sind heute die Anforderungen in den Unternehmen ganz Andere. So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
So kann man z.B. bei NextGen-FW problemlos Tools wie TeamViewer, Messenger-Dienste, usw. aussperren die sich gern per Port 80 oder 443 tunneln. Dazu reicht es dann einen Haken zu setzen und schon sind ggf. unerwünschte Dienste ausgebremst. Auch sind i.d.R. Proxy, Spam und AV-Schutz in die Firewall integriert.
Von daher verbietet es sich eigentlich eine FritzBox mit einer aktuellen Firewall vergleichen zu wollen. Für den Heimgebrauch, wo ich ja i.d.R. selbst an meinem Rechner sitze mag ein Router (FritzBox) ja noch ausreichend sein, aber eben nicht für ein Unternehmen in dem zig Rechner am laufen sind.
Bitte warten ..
Mitglied: ashnod
06.09.2018 um 10:05 Uhr
Moin ....

Zitat von monstermania:
So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.

eigentlich bin ich dem Thema schon mehr als müde ..... aber um das noch klar zu stellen ...

nichts anderes habe ich behauptet!!

Ich habe an keiner Stelle gesagt das eine FB eine moderne Firewall ersetzen kann ... wenn ich allerdings einen Vergleich anstelle kann ich nur Vergleichen was vorhanden ist .. Das ist nicht viel und wie bereits oft geschrieben lande ich im Falle der FB bei rudimentär vorhandenem Firewall-Regelwerk ... schlicht bei Basics.

Ich behaupte an keiner Stelle das die FB das besser macht! Lediglich eingehende Anfragen auf blockierte Ports werden nicht zugelassen --- das ist ein winziges Teilchen -- , eigentlich völlig selbstverständlich. Das sollte aber keine Firewall anders machen ... ergo auch nicht die HighEnd-Variante.

Probleme macht mir eher, dass sich viele von dem schicken Marketing blenden lassen und glauben die kaufen sich ne Sophos und alles wird gut. Ohne schnöde und langweilige Basics werde ich auch die schicke Variante nicht sicherer machen können als ne olle Fritte ... Ich möchte nicht wissen wieviele der "Profi-Firewalls" mit Scheunentorregelwerk arbeiten und ungepflegt vor sich hingammelt.

In diesem Sinne hoffe ich nun auf ein Ende zu dem OT-Teil ... steckt die Zeit besser in Beiträge die dem TO helfen. Offensichtlich kennt Ihr euch bestens aus, somit sollte es ein leichtes sein dem TO zu helfen.
Ich glaube das war irgendwie Sinn in diesem Forum und nicht nur die Kunden-Akquise.

Keine Angst ich mache euch da keine Konkurrenz ... könnt Ihr eure Energie also ruhig in sinnvolleres stecken.
Bitte warten ..
Mitglied: certifiedit.net
06.09.2018 um 10:27 Uhr
Dann hättest du schon auf die Erläuterung - Port 1111 dicht, kein Zugriff (hier identisch) keinen Senf mehr ablassen müssen. Ganz einfach.

Wenn du die obigen Beiträge anschaust, denke ich, dass ich dem TO genug geholfen habe, mehr kann man da nicht zu sagen:

a) Entweder er bleibt bei der Fritzbox und hofft es bleibt alles gut, hier ist der Kostenfaktor vorallem das Risiko, und überwacht es selbst - hier muss er sich aber Wohl Kompetenz wegen SIP usw zu kaufen

b) er holt sich eine OpenSource und macht alles selbst, hierfür muss er aber wohl mehr seiner Zeit investieren, als eine professionelle Einrichtung der Sophos inkl. dessen Kauf kosten würde und kann sich auch dann der Erfahrung nach nicht sicher sein, dass alles richtig läuft. Ggf, muss er aufgrund fehlener Methodiken im Internet dann dazu noch jemanden holen, der das ggf. neu ausrollt. Kostenfaktor ebenfalls nicht gerade klein.

c) Er kauft sich eine Sophos und richtet diese Selbst ein, mit dem gleichen Risiko wie oben oder er kauft sich jemanden, der nur paar Pattern einrichtet oder er schaut sich nach jemandem um, der sich in das Netz und dessen Notwendigkeiten (aus Nutzungs, aber auch Sicherheitssicht) reindenkt und das entsprechend umsetzt. Ist dann wohl das auf den ersten Blick Kostentechnisch aufwändigste, aber sogesehen auch das Nervensparendste.

Das kann man anders sehen, aber in Bezug darauf, dass das hier bereits der 4. oder 5. Thread des TO zu dem Thema ist, muss man das natürlich auch in Hinsicht auf des GF investierte Zeit sehen.

Wünsche nen schönen Tag
Bitte warten ..
Mitglied: Unheilige
06.09.2018, aktualisiert um 11:37 Uhr
Probiere sie einfach aus.
Es ist eine Firewall Software und keine einfache Fritzbox.
Man sollte wissen was man konfiguriert.
Daher die Consulting Kosten.

https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...

"Unsere Free Home Use XG Firewall ist eine voll ausgestattete Softwareversion der Sophos XG Firewall und für Privatanwender komplett kostenlos. Sie erhalten umfassenden Schutz für Ihr privates Netzwerk, u. a. Anti-Malware, Web Security, URL-Filterung, Application Control, IPS, Traffic Shaping, VPN; Reporting und Monitoring."
Bitte warten ..
Mitglied: mabies
07.09.2018 um 13:41 Uhr
@Dilbert: Das ist wahr und kommt meiner Erwartungshaltung entgegen (war ja schon bei Zyxel fast fest - bis Ihr mich abgebracht habt )
Ca. 1k für die Sophos 105/115 und nochmal 4-6 Stunden für die Installation der nötigen Templates ließe ich mir ja gefallen.

Es liegen mir aber auch Angebote über ~5-6k€ vor: 2 x SG135 im Cluster und allen Modulen plus Installation (macht ausserdem ~1,5-2k/Jahr Folgekosten für die Lizenzen).
Und das für unsere ~10 Hanseln...

Das ist für mich - ich sag mal- 'unattraktiv' und ich suche solange weiter bis ich da jemanden finde der nicht
Firewall= Sicherheitsbedenken beim Unternehmen = "Ich seh mal was geht" gleichsetzt.
Sorry wenn das polemisch kommt, bin aber selber früher lange im IT-Geschäft unterwegs gewesen und weiß wie der Markt tickt. Im Zweifel wird verfahren nach 'you are never fired for bying IBM' - das kommt noch aus dem Holozän der IT Warum also ein 105/115 mit BasicGuard empfehlen? Oder gar eine Zyxel?
Und ja, ggf. frage ich noch ein 5. Mal wenn ich in 3 Monaten noch nicht fündig geworden bin. Es obliegt jedem selbst, zu antworten wenn man was konstruktives beitragen & helfen möchte.

Ein Dank jedenfalls an all diejenigen die mich weitergebracht haben.
Bitte warten ..
Mitglied: certifiedit.net
07.09.2018, aktualisiert um 13:48 Uhr
Wie kommst du bitte auf 1,5k-2k €/Jahr für Lizenzen?

Nebenbei, aus der Erfahrung heraus kommt es nicht auf die Menge der Hanseln an, sondern, wie Sie das Netz nutzen. Auf der anderen Seite, das Angebot steht mit einer 105 einzusteigen und Ihr müsst nach 1 Jahr Upgraden (=>115), dann wieder (=>125 usw)- dann hast du aber locker gerne die 1,5-2k für jedes Upgrade jedes Jahr, wenn man das 2-3x mal macht.

Schönes Wochenende
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 07.09.2018 um 14:14 Uhr
Hallo,

Zitat von mabies:
bis Ihr mich abgebracht habt )
Haben wir das wirklich?

Es liegen mir aber auch Angebote über ~5-6k€ vor: 2 x SG135 im Cluster und allen Modulen plus Installation (macht ausserdem ~1,5-2k/Jahr Folgekosten für die Lizenzen).
Und das für unsere ~10 Hanseln...
Brauchst du HA bzw. Cluster? Welche zusatz Module brauchst du bzw. willst du? Schau mal hir rein https://utm-shop.de/

Warum also ein 105/115 mit BasicGuard empfehlen? Oder gar eine Zyxel?
Weil eine UTM 105 nunmal die kleinste in der SG Reihe ist, in der XG ist es die 85, und Basicgaurd weil ohne Software dein Blech eher nutzlos strom verbraucht. Ob das Basicguard bei dir reicht? Setzt dir mal die Privatedition auf und schau mal was an Modulen du brauchst. Gibt es von Zyxel auch eine UTM die du Kostenlos (für Privat) vollumfänglich nutzen kannst, oder von Juniper usw?
Danach solltest du dann entscheiden - VW oder Hyundai

https://utm-shop.de/ Da kann jeder kaufen der will.
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... Da kannst du erste Schritte gehen, ansonsten bleib bei deiner Fritte oder lass alles von einen Dienstleister machen der dir genehm ist.

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Sophos als FW virtuell auf ESXi
Frage von maddigLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich teste zurzeit in Szenario wie folgt im Bild zu sehen. Soweit funktioniert auch alles. Die Sophos ...

Exchange Server

Exchange 2013 - Konfiguration mit Sophos UTM 9.3

Frage von platinum-rxExchange Server3 Kommentare

Hallo zusammen, wie der Titel schon sagt, möchte ich einen Exchange 2013 hinter einer Sophos UTM 9.3 betreiben. Hat ...

Router & Routing

Konfiguration eines transparenten Proxys, wenn FW und Web - Proxy über unterschiedliche Geräte laufen

Frage von Leo-leRouter & Routing3 Kommentare

Hallo zusammen, folgendes Konstrukt befindet sich bei uns im Unternehmen: Sophos UTM ->> Web Protection Proxy , Mail-Protection Checkpoint ...

Netzwerkmanagement

Auswahl Switch

Frage von JensNomaNetzwerkmanagement8 Kommentare

Ich habe einige Fragen zur Auswahl von Switchen: 1. Kann man an einen PoE Switch auch Geräte anschließen, die ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 4 StundenViren und Trojaner1 Kommentar

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 8 StundenViren und Trojaner13 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless26 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung24 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail21 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server19 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...