mabies
Goto Top

Konfiguration und Auswahl Sophos FW

Hallo,
möchte nochmal die Diskussion über eine mögliche Sophos XG für unser KMU (100MBit Internetzugang, max. 2 VPN User, seit einem Jahrzehnt zufrieden mit Fritzboxen - die aber nicht mehr verwendet werden können) aufgreifen:
Angenommen ich nehme die Sophos XG.
Dazu ein paar Fragen:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Und ebenso einfach einzurichten?

b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?

c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...

Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Andere wieder boten >= einen Tagessatz Einführung an und nach beharrlichem Nachhaken hätten die nur ein paar Templates ausgebracht. Irgendwie komisch dieser Markt rund um Firewalls.

Danke Euch

Content-ID: 385402

Url: https://administrator.de/contentid/385402

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

St-Andreas
St-Andreas 04.09.2018 um 17:40:01 Uhr
Goto Top
Ich würde ne SG nehmen.
Warum dürfen die Fritzboxen nicht mehr genutzt werden?
Looser27
Looser27 04.09.2018 um 17:48:52 Uhr
Goto Top
Moin,

warum gehst Du dann nicht auf OPNsense oder pfsense? Da bekommst Du im Netz Hilfe und Anleitungen ohne Ende.
Und das dürfte Dich günstiger kommen als Sophos und Co.

Gruß Looser
mabies
mabies 04.09.2018 um 17:55:44 Uhr
Goto Top
Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
shadynet
shadynet 04.09.2018 um 18:04:19 Uhr
Goto Top
Wenn deine TK nicht zu alt ist kann sie evtl auch SIP trunk... Dann könntest du nehmen was du wolltest, selbst Fritzboxen, wenn auch nicht so gern gesehen. Ansonsten bietet die Telekom auch lancom als Terminierung für den trunk an, so ists ja nicht
Pjordorf
Pjordorf 04.09.2018 um 18:04:21 Uhr
Goto Top
Hallo,

Zitat von @mabies:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Geschätzt ca. 325 mal einer FritzBox überlegen. Damit ist beim Anschliessen erstmal alles dicht - keiner kkann nichts. Da musst du erstmal auch das Surfen erlauben.

Und ebenso einfach einzurichten?
Nein, deutlich komplexer. Ist halt eine richtige Firewall.

b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?
Kommt auf den an der die einrichtet und was ihr braucht. Wenn jeder von diesen Punkten und seinen unterpunkten genutzt wird, braucht es schon ein gewisses Wissen. Auspacken- anklemmen - einschalten und Surfen ist nicht.

c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...
Auch ich würde eher noch zu einer SG raten, und Bedenke wenn die Arbeiten brauchen die auch Rechenleistung. Es gibt nicht umsonst verschiedene Hardware Modelle.

Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Nun, kommt darauf an was ihr haben wollt, und wie klein eüer Geldbeutel ist.

Nutze z.B. diese Private UTM um zu sehen was eine Firewall eigentlich ist. Muss nur von die Konfiguriert werden. Einen alten Rechner auftreiben mit Core2Duo, 8 GB RAM, 2 NICs (Intel) reicht oder dort das in einer VM (Server 2012r2 Hyper-V oder ein ESXi) laufen lassen um zu testen. Module in der Privaten Edition sind fast alle enthalten und nur auf 50 IPs begrenzt. Wenn möglci nur IPv4 oder IPv6 nutzen, da jede IP zählt.

Und warum dein
die aber nicht mehr verwendet werden können
Warum können die nicht mehr gebraucht werden?

Firewall ist mehr als eine Fritte oder SpeedPort oder SpeedLink. Aber eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.

Gruß,
Peter
certifiedit.net
certifiedit.net 04.09.2018 um 18:06:14 Uhr
Goto Top
Zitat von @mabies:

Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.

Stimmt so nicht, bis die XGs die SGs ersetzen geht noch einige Zeit und viele Kinderkrankheiten den Jordan runter (die XGs sind aber besser subventioniert - ggf. deswegen...)

Sip Trunks würde ich direkt an die TK Anlage anlegen...da ist das Modem dann total egal.

Eine Standardinstallation ist beim Auto gut. An einem auf die Firma angepasste IT-Struktur muss in der IT-Sicherheit adaptiert werden. Ansonsten ist es den Namen nicht Wert.
Stefan007
Stefan007 04.09.2018 um 19:40:56 Uhr
Goto Top
Grüß dich,

aus welcher Ecke kommst du denn (zwecks "Dienstleister)?

Ansonsten kommt es auch auf die Art und Weise an, wie Ihr es handhabt in eurem Unternehmen:

Getreu dem Motto -> ALLES OFFEN und dann Stück für Stück zumachen oder umgekehrt -> alles ZU und Stück für Stück öffnen.

Bei der XG (du weißt, dass es in Richtung Cloud geht?) finde ich die Einrichtung etwas "nerviger" als bei der UTM.
Vision2015
Vision2015 04.09.2018 aktualisiert um 20:12:54 Uhr
Goto Top
Moin...
Zitat von @mabies:

Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
das steht aber noch in den sternen....
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.
Also Wenn du SIP-Trunk der Telekom nutzt, würde ich auf jedenfall einen Lancom nutzen ab R883/4VA* aufwärtz...
ich bekomme SIP-Trunks
ist eine blöde aussage.... ich denke du bekommst einen SIP-Trunk, wie wird den das ganze angeschlossen?
wenn deine Telefon Anlage sich selber einwählt, also IP kann- kannst du auch deine Fritte behalten..
wenn dein Anlage das nicht kann, wirst du wohl den Router als ISDN Media Gateway nutzen müssen- den Bintec/ Telekom müll würde ich nicht nehmen, sondern einen LANCOM Router! den kennt auch der Telekom support, und der eine oder andere bei administrator.de... und der Lancom ist sehr sicher im betrieb!
das würde meiner meinung nach reichen!
natürlich kannst du eine Sophos mit dran dengeln... aber wozu, du hattest bis jetzt eine fritte!

Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Träum weiter.... face-smile

Frank
Pjordorf
Pjordorf 04.09.2018 aktualisiert um 20:10:57 Uhr
Goto Top
Hallo,

Zitat von @mabies:
AVM kann kein SIP-Trunk.
Ist nicht ganz richtig. Schau dich mal bei AVM um und spezifiziere deine Fritte.

kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Das ist nicht nur bei Open FWs so sofern du diese verstehen willts was wie wio warum Konfiguriert ist und welche Auswirkungen das auf euren Internet Zugang hat. Wenn du dich dort hinein knieen willst, wirst du einen Dienstleister kaufen müssen, und bis du diesem erklärt hast was ihr haben wollt hat der schon einige Tagessätze intus und ihr seit trotzdem Verantwortlich (auch für sein Handeln).

Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.Du lebst mit einer falschen Vorstellung, oder ist eure Firma auch einfach so austauschbar? face-smile

Binde deine Telefonie doch direkt mit deiner Telefonanlage ans Internet. Musst ja kein VOIP der Fritte nutzen... Oder eine Digitalisierungsbox Smart (Bintec und dort als MediGateway auf den interne SO) brauchst du noch nicht einmal die Telefonanlage umändern, umprogrammieren oder sonstwas. Sekbst die Rufnummen bleiben wie bisher. Die Fritte kann kein Mediagateway.

Gruß,
Peter
Dilbert-MD
Dilbert-MD 04.09.2018 um 22:36:54 Uhr
Goto Top
N' Abend,

was braucht Ihr denn

an Paketen obendrauf [...] für z.B. Network & Web Protection?

Habt Ihr schon mal geprüft, was in der BasicGuard - Lizenz alles enthalten ist und ob Euch das ggf. schon ausreicht?
Oder anders herum: welche Funktion braucht Ihr, die in der BasicGuard nicht enthalten bzw. nicht lizensiert ist?

Wenn ich mir die Diagramme der Sophos SG bei uns so anschaue, sehe ich, dass die UTM selten mal so richtig ausgelastet wird. Meistens nur beim installieren von Updates auf der UTM oder beim Scannen einer großen Datei beim Download. 100/20 MBit Glasfaseranschluss, Fritzbox vor der UTM, FRitzBox abrebeitet die Telefonie ab, die UTM den Rest, einschließlich VPN.

Gruß
ashnod
ashnod 05.09.2018 aktualisiert um 09:02:07 Uhr
Goto Top
Moin ....

wenn Ihr bedenken wegen zuviel power habt könnt Ihr die Sophos-Versionen auch auf nem APU2 /3 oder 4 Board installieren .. wäre die günstigste Variante ....

Läuft aus Erfahrung relativ gut .. etwas langsames Webinterface aber der Durchsatz ist trotzdem vernünftig.

Nachteil ... die schönen einfachen und umfangreichen Zusatzfunktionen (Telefonie, etc.) gibt es latürnich nicht.
Vorteil ... halt eine echte Firewall die mit viel Regelwerk bestückt werden kann..

Aus meiner Sicht für ein kleineres Unternehmen völlig ausreichend.

VG

Edit: Lizenz wird benötigt.
certifiedit.net
certifiedit.net 05.09.2018 um 08:50:31 Uhr
Goto Top
Rätst du hier ernsthaft zum Lizenzbetrug (Home Use in der Firma) oder welche freien Lizenzen meinst du?
mabies
mabies 05.09.2018 um 09:01:00 Uhr
Goto Top
Zunächst mal vielen Dank für Euer reichliches Feedback!
Heute haben wir -lokalisiert in Essen- 2 Anlagenanschlüsse (2 Rufnummern, je eine von TK und eine von Vodafone). Beide gehen via ISDN auf die recht neue Unify-TK. Und ja, brauche künftig noch beide Rufnummern.
Dann habe ich einen weiteren TK-Anschluß von dem ich nur das VDSL nutze und direkt in die Fritz 7490 speise.
Soweit glücklich und zufrieden seit Jahren, wenn auch mit etwas mulmigen Gefühl ob der spärlichen Fritz-Firewalleigenschaften.

Nun kommt die telekom und sagt 'ISDN schalten wir ab. Sieh zu' Und nimm Sip-Trunks
Also schieb ich jetzt beide Anlagenanschlüsse auf die Telekom bei Mitnahme der Nummern: einer mit 100MBit VDSL und unserer festen IP sowie 4 Sprachkanälen, der andere mit 50MBit VDSL als Backupleitung sowie 2 Sprachkanälen. Und kündige den jetzigen VDSL.

Wäre ja mit einem SIP noch recht einfach: Modem von Telekom, Unify per IP an das Modem und die Telefonie ist gegessen. Leider geht das nicht da die Unify nicht 2 Ethernets für verschiedene Rufnummernkreise bedienen kann. Also muß ich von den Telekom-Modems via ISDN auf die Unify - ein echter Schei.., aber ist halt so.
Damit ist die Fritte raus, da die keine 2 ISDN Anschlüsse hat UND sowieso SIP nur im Laborstadium kann.

Daher möchte ich gern die einfachen Telekom-Modems nehmen (halt Bintec), von da per ISDN auf die Unify sowie von der 100MBit auf eine Firewall - wo wir wieder bei meiner Ausgangsfrage sind.
Fritte kann IMHO nicht Firewall spielen zwischen LAN-Ports, also brauche ich was anderes (wenn mir der Bintec nicht reicht. Höre aber darüber wenig gutes).
Verstehe nun von euch auch, das die SG von Sophos die reifere Wahl ist - wobei die 85er von ihren Leistungsdaten her allemal ausreichen sollte.
Wenn ich nun so ein Ding mit zur Fritz analogen Eigenschaften aufsetzen wollte - nachrüsten mit dem ganzen Schnickschnack kann ich immer noch- : ist das wirklich so ein aufwändiges Ding bzw. wer weiß wer (möglichst hier in der Gegend) Hilfestellung leisten kann?
Gruß
GG
ashnod
ashnod 05.09.2018 um 09:03:30 Uhr
Goto Top
Moin ...


Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.

VG
certifiedit.net
certifiedit.net 05.09.2018 um 09:09:30 Uhr
Goto Top
Was haben denn die Ethernetschnittstellen mit den SIP-Trunks zu tun? Ich hab auch an zig (Kunden) Telefonanlagen z.T 3,4,5 SIP-Trunks an einer ETH Schnittstelle.

Es gibt keine SG85, zweitens, nimm die 105er und du kannst nach dem Zuschalten der Unterfunktionen bald nicht nur diese Lizenzen einzeln nachkaufen, sondern direkt eine stärkere SG holen.

Bedenke:
[...] eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.

Wenn du eine optimal eingerichtete SG haben willst, schreib mir gerne eine PN. Das geht auch von Ulm aus, wenn mans entsprechend vorbereitet.

VG
certifiedit.net
certifiedit.net
certifiedit.net 05.09.2018 um 09:11:12 Uhr
Goto Top
Zitat von @ashnod:

Moin ...


Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.

VG

Nein, gilt nur für tatsächliche Home Nutzer. Außer man geht auf die virtuellen Appliances, aber dann setzt man quasi auf nen wackligen Ast, der durch sich selbst gehalten werden soll. Das funktioniert aber nur bei den Grimms/Disney.
mabies
mabies 05.09.2018 um 10:13:55 Uhr
Goto Top
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Looser27
Looser27 05.09.2018 um 10:35:55 Uhr
Goto Top
Zitat von @mabies:

Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen

Als ich damals die erste UTM für unser Unternehmen gekauft haben, waren wir gerade mal 8 Leute an 2 Standorten.
Damals haben wir deutlich über 3.000,- € ausgegeben. Konfiguration habe ich selber gemacht, aber Software-Update und Service-Vertrag kosten halt Geld. Das ist bei jedem Anbieter so.

Wenn es gut und günstig sein soll, lege ich Dir nach wie vor o.g. OPNSense oder pfSense ans Herz. Sollte für etwa 500 € mit einigermaßen potenter Hardware zu realisieren sein.
Ausserdem wirst Du Dich mit dem Thema beschäftigen müssen, wenn Du mehr als ne Fritzbox einsetzen willst. Auch ein Dienstleister kann nur konfigurieren was DU vorher definierst. Und wenn Du nicht ständig zahlen willst, mach es selber.

Gruß

Looser
certifiedit.net
certifiedit.net 05.09.2018 um 11:01:10 Uhr
Goto Top
Also es gibt eigentlich nur drei Möglichkeiten:

a) in den sichersten Apfel zu beissen und auf die Sophos inkl Einrichtung zu gehen, laufende Kosten sind im Regelfall zwischen 80 und 100€ für die Updates, die Ihr Geld wert sind. Abgesehen natürlich von der Netzkontrolle, die sowieso gemacht werden muss.

b) Auf eine offene Lösung setzen und komplett eigene Einrichtung zu gehen. Bis du dich da eingearbeitet hast, bist du aber vermutlich bei den Kosten für die SG + Einrichtung + längerfristige Wartung - und am Ende (wie man im Forum oft genug sieht) hast du immer noch keine Sicherheit, dass alles richtig eingerichtet ist und verrennst dich ggf. wie bei dem Netzumzug, der letztens hier besprochen wurde.

c) du bleibst bei der Fritzbox und investierst regelmäßig in die gute Hoffnung.

Wenn ich mir das richtig vor Augen führe, prüfst du bereits seit 4-5 Monaten Alternativen, hast du mal nachgerechnet, was dich das gekostet hat?

Die Stundensätze von uns Profis resultieren schlussendlich nicht nur daraus, dass es so stark nachgefragt ist, sondern auch dadurch, dass wir einige Stunde Wissen aneignen, Schulungen besuchen, Ausbildungen... in diesem Bereich absolviert haben.

Viele Grüße,

Christian
Looser27
Looser27 05.09.2018 um 11:03:28 Uhr
Goto Top
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.
ashnod
ashnod 05.09.2018 um 11:23:24 Uhr
Goto Top
Moin ...

Zitat von @Looser27:
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.

Würde ich eher mit wieviel Sicherheit brauche ich und was ist mir diese Sicherheit wert übersetzen face-wink

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist face-wink

Will ich den ein- und ausgehenden Verkehr genauer analysieren, steuern und überwachen dann enden natürlich die Möglichkeiten der Fritzbox abrupt

VG
certifiedit.net
certifiedit.net 05.09.2018 um 11:31:57 Uhr
Goto Top
Bei solchen Diagrammen ist auch immer wichtig: Wie viele Benutzer, was für Dienste nutzt ihr und vor allem, welche SG. Ansonsten ist der Inhaltswert gleich Null. Aus meiner Erfahrung kommt üblicherweise neben Network (VPN), Webserver (Ex,div anderes), Email (Exchange), direkt auch noch WLAN hinzu, dazu IDS/IPS und schon hast du direkt mal 2-3 GB Ram locker gefüllt - bei einer Handvoll Nutzer. Dazu kommen die Funktionen, die in den nächsten 2-3 Jahren (das Ding kauft man ja nicht nur für heute und morgen) hinzukommen oder aufgebohrt werden.außer, man will natürlich während der Laufzeit upgraden...
certifiedit.net
certifiedit.net 05.09.2018 um 11:32:52 Uhr
Goto Top
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist

Letzter Satz, volle Zustimmung.

Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
ashnod
ashnod 05.09.2018 um 12:01:53 Uhr
Goto Top
Zitat von @certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Ich meinte eher willkürliche Angriffe von außen .... also solche die im TV so schön dargestellt werden mit ... ich habe die IP und nun kann ich da alles machen ... wenn diese auf der SG geroutet werden ist es bereits zu spät face-wink
Hier greift einfaches Regelwerk und das macht die FB genauso gut oder schlecht wie jedes andere Gerät einschl. vorhandener Sicherheitslücken. face-wink

Die Vorteile der SG greifen erst dann, wenn im zulässigem Datenverkehr bösartiges versteckt ist - das ist dann aber nichts mehr was mit einer Fritzbox vergleichbar wäre!

In diesem Sinne passt der Satz schon ....
certifiedit.net
certifiedit.net 05.09.2018 um 12:09:03 Uhr
Goto Top
Nein, denn wenn du die SG entsprechend konfigurierst erkennt Sie Brute-Force Attacken und macht dann einfach dicht (die Fritzbox macht und sagt hier zu nichts... - Keine Warnung o.ä). Außerdem macht das IDS/IPS der Sophos auch dicht, wenn von Innen nach aussen auf maliziöse Adressen zugegriffen wird. Oder blockiert entsprechend gefährendende Länder nach Bereich - auch das kann die Fritzbox nicht...

Abgesehen davon, warum ist es zu spät, wenn es auf die SG geroutet wird? Versteh ich nicht, führ das bitte aus...?


Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Pjordorf
Pjordorf 05.09.2018 aktualisiert um 12:12:11 Uhr
Goto Top
Hallo,

Zitat von @ashnod:
wenn diese auf der SG geroutet werden ist es bereits zu spät face-wink
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?

Gruß,
Peter
ashnod
ashnod 05.09.2018 um 12:32:18 Uhr
Goto Top
Zitat von @certifiedit.net:
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?

Hallo???

Dir ist aber schon bekannt wann, was greift? Das die einzelnen Mechanismen, wie die auch immer Marketingtechnisch verkauft werden, schrittweise Folgen oder ineinander übergehen??

Du willst hoffentlich nicht ernsthaft nen Vergleich zwischen einer Fritzbox und einer SG anstrengen?

Und du willst mir jetzt nicht erklären, dass einfaches Firewall-Regelwerk auf der SG technisch anders funktioniert!

Man stellt das anders ein oder hat im Fall der Fritzbox nur wenig Möglichkeiten daran was zu versauen ..

In diesem Sinne kannst du nur einfaches Regelwerk vergleichen und nicht umsonst habe ich von außen mehr als Fett genug geschrieben!

Also mal bitte auf dem Teppich bleiben!
ashnod
ashnod 05.09.2018 um 12:37:00 Uhr
Goto Top
Zitat von @Pjordorf:
Zitat von @ashnod:
wenn diese auf der SG geroutet werden ist es bereits zu spät face-wink
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?


Ehrlich jetzt? .... Magst du dich mal selbst hinterfragen?
certifiedit.net
certifiedit.net 05.09.2018 um 12:40:38 Uhr
Goto Top
Erklär uns bitte, wie du es gemeint hast, offensichtlich ist auch Kollege @Pjordorf darüber gestolpert.

Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG face-wink )
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)

Mehr noch: Kommt der Angreifer durch und siedelt sich im Netz (USB) ein und gibt Daten raus, dann kommt er bei der Fritzbox auf den kompletten Portrange ungefiltert durch. Bei der SG nur auf die Freigegebenen und mit IDS werden auch diese gefiltert.

Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
ashnod
ashnod 05.09.2018 aktualisiert um 13:09:47 Uhr
Goto Top
Zitat von @certifiedit.net:
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten

Mal ehrlich .... muss ich das wirklich ausführen ich rede die ganze Zeit von einfachem Firewall-Regelwerk - einfacher Standard.

Gerne genau mit den Beispielen die du genannt hast.

Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?
St-Andreas
St-Andreas 05.09.2018 um 13:17:05 Uhr
Goto Top
Kann eine Fritz!box DNS Groups?

Ist der Unterbau der Firewall bei einer Fritzbox annähernd ähnlich sicher wie bei der Sophos?

Ist die Firewall der Fritzbox vom BSI nach ISO 15408 zertifiziert?
ashnod
ashnod 05.09.2018 um 13:22:16 Uhr
Goto Top
Waren heute irgendwie komische Drogen im Umlauf?

Sorry, jetzt wirds mir eindeutig zu blöd!
certifiedit.net
certifiedit.net 05.09.2018 um 13:24:30 Uhr
Goto Top
Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?


Fehlt hier nicht ein "nicht" hinter "bietet"? face-wink

Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Dilbert-MD
Dilbert-MD 05.09.2018 um 13:49:59 Uhr
Goto Top
Zitat von @mabies:

Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.

Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen

Eine SG 105 mit 1 Jahr BasicGuard schätze ich mal auf 600 bis 700 EUR + ca. 1 Tagessatz für Einrichtung, Lizenz-Einrichtung, Anpassungen...
Das BasicGuard Renewal (Ein-Jahres-Lizenz) kommt 160 bis 170 EUR + ggf. 2 Stunden Einrichtung, Einstellungen prüfen, Anpassungen, mal 'drüberschauen..., wenn man es machen lässt.

Falls es möglich ist, eine legale neue Lizenz für ein gebrauchtes Gerät einzusetzen, könnte man noch etwas sparen und eine gebrauchte SG xxx kaufen. Händler oder kleinanzeigen.ebay.de.

Dann verschiebt sich das Restrisiko auf eine andere Plattform.

Gruß
ashnod
ashnod 05.09.2018 um 13:51:07 Uhr
Goto Top
Zitat von @certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...

Ein letzter Beitrag von mir zu dem Thema ....

Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.

Das macht die Fritzbox aber nicht per se unsicher!

Ente
certifiedit.net
certifiedit.net 05.09.2018 um 14:17:23 Uhr
Goto Top
Zitat von @ashnod:

Zitat von @certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...

Ein letzter Beitrag von mir zu dem Thema ....

Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.

Das macht die Fritzbox aber nicht per se unsicher!

Ente

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

Ich kratz mich am Kopf, mehr muss man dazu nicht sagen. Ist aber nicht das erste mal.
ashnod
ashnod 05.09.2018 um 14:39:08 Uhr
Goto Top
OT:

wenn schon zitieren, dann aber richtig bitte ....

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

Macht schon einen Unterschied ..... wenn du die Einschränkungen nicht erkannt hast ... sorry ... aber ich lass das jetzt ...

Markiere hier gerne den großen Zampano, wer's halt braucht ...
certifiedit.net
certifiedit.net 05.09.2018 um 14:57:38 Uhr
Goto Top
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports. Außerdem, nur weil etwas nicht fett ist, ist's nicht unrichtig zitiert.

Dann hampel noch weiter rum, bringt aber keinem was...
ashnod
ashnod 05.09.2018 um 15:03:06 Uhr
Goto Top
Zitat von @certifiedit.net:
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports.

Oki, dann erkläre das einem Unwissenden doch einfach mal ...
certifiedit.net
certifiedit.net 05.09.2018 um 15:12:28 Uhr
Goto Top
Zitat von @ashnod:

Zitat von @certifiedit.net:
Siehe oben, da gibts Himmelweite Unterschiede - auch bei offenen Ports.

Oki, dann erkläre das einem Unwissenden doch einfach mal ...

ehrlich?

Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG face-wink ) Sondern dann hast du kein (eingehendes) Internet.
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)

Was das alles mit routen zu tun hat, ist mir allerdings immer noch schleierhaft.
ashnod
ashnod 05.09.2018 um 15:30:48 Uhr
Goto Top
Die Verbindung zum Routing hast du selbst hergestellt:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
certifiedit.net
certifiedit.net 05.09.2018 um 15:34:46 Uhr
Goto Top
Zitat von @ashnod:

Die Verbindung zum Routing hast du selbst hergestellt:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?

In dem Fall ist mir "routen" nicht das stumpfe durchleiten von Netz A nach Netz B gemeint, sondern das unter Augenschein nehmen durch die jeweiligen Subsysteme durchleiten gemeint. Alles andere wäre ja stumpf. Worüber reden wir hier denn sonst?
ashnod
ashnod 05.09.2018 um 17:04:50 Uhr
Goto Top
Nicht wir, eigentlich eher du redest die gesamt Zeit darüber:

Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.

und im wesentlichen über die kleine Winzigkeit die sowohl der Fritze als auch die SG gemeinsam haben stumpfes

Firewall-Regelwerk, welches beim Fritzen nichtmal ausgeprägt vorhanden ist.

Mehr gemeinsame Vergleiche gibt es sowohl auf der einen als auch auf der anderen Seite nicht!

Sprich eingehende Anfragen auf durch Firewall-Regelwerk geblockte Bereiche werden von dem Fritzen genauso zuverlässig abgewehrt wie von einer Highend-Firewall.

Dann reden wir nnoch über:

Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.

Wenn du also ohnehin etwas durch Firewall-Regelwerk geblockt hast, wäre es schlecht wenn es trotzdem durch die SG geroutet wird.

(Auswertungen lassen wir an der Stelle, wegen mangelnder Gemeinsamkeiten, außen vor)

Wenn du selbst Wortklauberei betreibst, dann sollte dir klar sein, dass geroutet durchaus als Routing verstanden wird.

Soderle evtl. konnte ich die Verwirrung damit lösen.
certifiedit.net
certifiedit.net 05.09.2018 um 18:42:40 Uhr
Goto Top
OK und in Summe: Auch von außen ist ein korrekt konfigurierte Sophos SG sicherer als die Fritzbox - im Gegensatz zu deiner Aussage.

Im weiteren, vielleicht bist du noch nicht so tief ins Detail gegangen, du hast es oben aber angeschnitten, die Checks gegen den Webtraffic (bspw woher, wohin, wann, ggf. welcher Inhalt) laufen zwar für den Menschen zeitgleich statt (weil so fix), aber eben nicht parallel. Daher wird das Paket durch die SG-Subsystems geroutet. (Wie immer macht die Semantik die Würze.)

Die Aussage

wenn diese auf der SG geroutet werden ist es bereits zu spät

ist daher auch Bullshit, denn die Pakete müssen(!) ja durch die SG gehen, damit die SG diese überhaupt prüfen kann. Durchrouten heisst nicht, dass die Pakete in diesem Fall nicht unbedingt auch in die Zielnetze dürfen. Das kannst du damit vergleichen, dass die Polizei bei der Fahndung auch aufgefallene Subjekte auf andere Strecken leitet (=routet) als andere, auf denen Sie danach angehalten und geprüft werden können.

Wie gesagt, ich glaube du betrachtest das zu oberflächlich oder hast dich nicht ordentlich eingedacht.
ashnod
ashnod 05.09.2018 um 18:56:19 Uhr
Goto Top
Kannst dir das gerne schön reden.

Du hast Recht und ich meine Ruhe.

Mir ist klar genug geworden wen ich damit nicht betrauen würde ....

Wer den minimalistichen Ansatz einer FW nicht verstehen möchte braucht wohl immer teures Zeuch zum schönreden face-smile

Ich habe fertig ...
certifiedit.net
certifiedit.net 05.09.2018 aktualisiert um 19:44:00 Uhr
Goto Top
Ich würde mal sagen, dich, weil du wenig Ahnung hast (oder nicht hinters Blech schauen willst). Übrigens, kleiner Tipp: Eine SG ist wesentlich mehr(!) als eine Firewall, deswegen passt der minimalistische Ansatz ja eben nicht.. - auch, wenn Sophos natürlich bestrebt ist die Angriffsoberfläche so minimal wie möglich zu halten, aber das Ding ist im Prinzip ein Schlachtschiff, dass man heute durch alle Möglichen Angriffsmethodiken de facto auch benötigt.

Abgesehen davon will er das "teure Zeuch" ja, er will nur nicht die dafür aufgerufenen Summe bezahlen - oder die Einrichter sind Ihm nicht professionell genug - aber das Problem hast du laut deinem ersten Beitrag schließlich auch eher weniger...Also konnte man sich aufgrund der Aussage die ganze Diskussion sparen.

Ich habe fertig ...

Hoffen wir's.

Schönen Abend,

Christian
monstermania
monstermania 06.09.2018 um 09:25:26 Uhr
Goto Top
@ashnod
Ja, wenn Du eine reine Firewall betrachtest mögen Deine Thesen durchaus Ihre Berechtigung haben. Nur sind heute die Anforderungen in den Unternehmen ganz Andere. So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
So kann man z.B. bei NextGen-FW problemlos Tools wie TeamViewer, Messenger-Dienste, usw. aussperren die sich gern per Port 80 oder 443 tunneln. Dazu reicht es dann einen Haken zu setzen und schon sind ggf. unerwünschte Dienste ausgebremst. Auch sind i.d.R. Proxy, Spam und AV-Schutz in die Firewall integriert.
Von daher verbietet es sich eigentlich eine FritzBox mit einer aktuellen Firewall vergleichen zu wollen. Für den Heimgebrauch, wo ich ja i.d.R. selbst an meinem Rechner sitze mag ein Router (FritzBox) ja noch ausreichend sein, aber eben nicht für ein Unternehmen in dem zig Rechner am laufen sind.
ashnod
ashnod 06.09.2018 um 10:05:24 Uhr
Goto Top
Moin ....

Zitat von @monstermania:
So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.

eigentlich bin ich dem Thema schon mehr als müde ..... aber um das noch klar zu stellen ...

nichts anderes habe ich behauptet!!

Ich habe an keiner Stelle gesagt das eine FB eine moderne Firewall ersetzen kann ... wenn ich allerdings einen Vergleich anstelle kann ich nur Vergleichen was vorhanden ist .. Das ist nicht viel und wie bereits oft geschrieben lande ich im Falle der FB bei rudimentär vorhandenem Firewall-Regelwerk ... schlicht bei Basics.

Ich behaupte an keiner Stelle das die FB das besser macht! Lediglich eingehende Anfragen auf blockierte Ports werden nicht zugelassen --- das ist ein winziges Teilchen -- , eigentlich völlig selbstverständlich. Das sollte aber keine Firewall anders machen ... ergo auch nicht die HighEnd-Variante.

Probleme macht mir eher, dass sich viele von dem schicken Marketing blenden lassen und glauben die kaufen sich ne Sophos und alles wird gut. Ohne schnöde und langweilige Basics werde ich auch die schicke Variante nicht sicherer machen können als ne olle Fritte ... Ich möchte nicht wissen wieviele der "Profi-Firewalls" mit Scheunentorregelwerk arbeiten und ungepflegt vor sich hingammelt.

In diesem Sinne hoffe ich nun auf ein Ende zu dem OT-Teil ... steckt die Zeit besser in Beiträge die dem TO helfen. Offensichtlich kennt Ihr euch bestens aus, somit sollte es ein leichtes sein dem TO zu helfen.
Ich glaube das war irgendwie Sinn in diesem Forum und nicht nur die Kunden-Akquise.

Keine Angst ich mache euch da keine Konkurrenz ... könnt Ihr eure Energie also ruhig in sinnvolleres stecken.
certifiedit.net
certifiedit.net 06.09.2018 um 10:27:08 Uhr
Goto Top
Dann hättest du schon auf die Erläuterung - Port 1111 dicht, kein Zugriff (hier identisch) keinen Senf mehr ablassen müssen. Ganz einfach.

Wenn du die obigen Beiträge anschaust, denke ich, dass ich dem TO genug geholfen habe, mehr kann man da nicht zu sagen:

a) Entweder er bleibt bei der Fritzbox und hofft es bleibt alles gut, hier ist der Kostenfaktor vorallem das Risiko, und überwacht es selbst - hier muss er sich aber Wohl Kompetenz wegen SIP usw zu kaufen

b) er holt sich eine OpenSource und macht alles selbst, hierfür muss er aber wohl mehr seiner Zeit investieren, als eine professionelle Einrichtung der Sophos inkl. dessen Kauf kosten würde und kann sich auch dann der Erfahrung nach nicht sicher sein, dass alles richtig läuft. Ggf, muss er aufgrund fehlener Methodiken im Internet dann dazu noch jemanden holen, der das ggf. neu ausrollt. Kostenfaktor ebenfalls nicht gerade klein.

c) Er kauft sich eine Sophos und richtet diese Selbst ein, mit dem gleichen Risiko wie oben oder er kauft sich jemanden, der nur paar Pattern einrichtet oder er schaut sich nach jemandem um, der sich in das Netz und dessen Notwendigkeiten (aus Nutzungs, aber auch Sicherheitssicht) reindenkt und das entsprechend umsetzt. Ist dann wohl das auf den ersten Blick Kostentechnisch aufwändigste, aber sogesehen auch das Nervensparendste.

Das kann man anders sehen, aber in Bezug darauf, dass das hier bereits der 4. oder 5. Thread des TO zu dem Thema ist, muss man das natürlich auch in Hinsicht auf des GF investierte Zeit sehen.

Wünsche nen schönen Tag
Unheilige
Unheilige 06.09.2018 aktualisiert um 11:37:55 Uhr
Goto Top
Probiere sie einfach aus.
Es ist eine Firewall Software und keine einfache Fritzbox.
Man sollte wissen was man konfiguriert.
Daher die Consulting Kosten.

https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...

"Unsere Free Home Use XG Firewall ist eine voll ausgestattete Softwareversion der Sophos XG Firewall und für Privatanwender komplett kostenlos. Sie erhalten umfassenden Schutz für Ihr privates Netzwerk, u. a. Anti-Malware, Web Security, URL-Filterung, Application Control, IPS, Traffic Shaping, VPN; Reporting und Monitoring."
mabies
mabies 07.09.2018 um 13:41:16 Uhr
Goto Top
@Dilbert: Das ist wahr und kommt meiner Erwartungshaltung entgegen (war ja schon bei Zyxel fast fest - bis Ihr mich abgebracht habt face-wink )
Ca. 1k für die Sophos 105/115 und nochmal 4-6 Stunden für die Installation der nötigen Templates ließe ich mir ja gefallen.

Es liegen mir aber auch Angebote über ~5-6k€ vor: 2 x SG135 im Cluster und allen Modulen plus Installation (macht ausserdem ~1,5-2k/Jahr Folgekosten für die Lizenzen).
Und das für unsere ~10 Hanseln...

Das ist für mich - ich sag mal- 'unattraktiv' und ich suche solange weiter bis ich da jemanden finde der nicht
Firewall= Sicherheitsbedenken beim Unternehmen = "Ich seh mal was geht" gleichsetzt.
Sorry wenn das polemisch kommt, bin aber selber früher lange im IT-Geschäft unterwegs gewesen und weiß wie der Markt tickt. Im Zweifel wird verfahren nach 'you are never fired for bying IBM' - das kommt noch aus dem Holozän der IT face-smile Warum also ein 105/115 mit BasicGuard empfehlen? Oder gar eine Zyxel?
Und ja, ggf. frage ich noch ein 5. Mal wenn ich in 3 Monaten noch nicht fündig geworden bin. Es obliegt jedem selbst, zu antworten wenn man was konstruktives beitragen & helfen möchte.

Ein Dank jedenfalls an all diejenigen die mich weitergebracht haben.
certifiedit.net
certifiedit.net 07.09.2018 aktualisiert um 13:48:18 Uhr
Goto Top
Wie kommst du bitte auf 1,5k-2k €/Jahr für Lizenzen?

Nebenbei, aus der Erfahrung heraus kommt es nicht auf die Menge der Hanseln an, sondern, wie Sie das Netz nutzen. Auf der anderen Seite, das Angebot steht mit einer 105 einzusteigen und Ihr müsst nach 1 Jahr Upgraden (=>115), dann wieder (=>125 usw)- dann hast du aber locker gerne die 1,5-2k für jedes Upgrade jedes Jahr, wenn man das 2-3x mal macht.

Schönes Wochenende
Pjordorf
Lösung Pjordorf 07.09.2018 um 14:14:26 Uhr
Goto Top
Hallo,

Zitat von @mabies:
bis Ihr mich abgebracht habt face-wink )
Haben wir das wirklich?face-smile

Es liegen mir aber auch Angebote über ~5-6k€ vor: 2 x SG135 im Cluster und allen Modulen plus Installation (macht ausserdem ~1,5-2k/Jahr Folgekosten für die Lizenzen).
Und das für unsere ~10 Hanseln...
Brauchst du HA bzw. Cluster? Welche zusatz Module brauchst du bzw. willst du? Schau mal hir rein https://utm-shop.de/

Warum also ein 105/115 mit BasicGuard empfehlen? Oder gar eine Zyxel?
Weil eine UTM 105 nunmal die kleinste in der SG Reihe ist, in der XG ist es die 85, und Basicgaurd weil ohne Software dein Blech eher nutzlos strom verbraucht. Ob das Basicguard bei dir reicht? Setzt dir mal die Privatedition auf und schau mal was an Modulen du brauchst. Gibt es von Zyxel auch eine UTM die du Kostenlos (für Privat) vollumfänglich nutzen kannst, oder von Juniper usw?
Danach solltest du dann entscheiden - VW oder Hyundai

https://utm-shop.de/ Da kann jeder kaufen der will.
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... Da kannst du erste Schritte gehen, ansonsten bleib bei deiner Fritte oder lass alles von einen Dienstleister machen der dir genehm ist.

Gruß,
Peter