Konfiguration und Auswahl Sophos FW
Hallo,
möchte nochmal die Diskussion über eine mögliche Sophos XG für unser KMU (100MBit Internetzugang, max. 2 VPN User, seit einem Jahrzehnt zufrieden mit Fritzboxen - die aber nicht mehr verwendet werden können) aufgreifen:
Angenommen ich nehme die Sophos XG.
Dazu ein paar Fragen:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Und ebenso einfach einzurichten?
b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?
c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...
Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Andere wieder boten >= einen Tagessatz Einführung an und nach beharrlichem Nachhaken hätten die nur ein paar Templates ausgebracht. Irgendwie komisch dieser Markt rund um Firewalls.
Danke Euch
möchte nochmal die Diskussion über eine mögliche Sophos XG für unser KMU (100MBit Internetzugang, max. 2 VPN User, seit einem Jahrzehnt zufrieden mit Fritzboxen - die aber nicht mehr verwendet werden können) aufgreifen:
Angenommen ich nehme die Sophos XG.
Dazu ein paar Fragen:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Und ebenso einfach einzurichten?
b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?
c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...
Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Andere wieder boten >= einen Tagessatz Einführung an und nach beharrlichem Nachhaken hätten die nur ein paar Templates ausgebracht. Irgendwie komisch dieser Markt rund um Firewalls.
Danke Euch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 385402
Url: https://administrator.de/contentid/385402
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
53 Kommentare
Neuester Kommentar
Hallo,
Nutze z.B. diese Private UTM um zu sehen was eine Firewall eigentlich ist. Muss nur von die Konfiguriert werden. Einen alten Rechner auftreiben mit Core2Duo, 8 GB RAM, 2 NICs (Intel) reicht oder dort das in einer VM (Server 2012r2 Hyper-V oder ein ESXi) laufen lassen um zu testen. Module in der Privaten Edition sind fast alle enthalten und nur auf 50 IPs begrenzt. Wenn möglci nur IPv4 oder IPv6 nutzen, da jede IP zählt.
Und warum dein
Firewall ist mehr als eine Fritte oder SpeedPort oder SpeedLink. Aber eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.
Gruß,
Peter
Zitat von @mabies:
a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Geschätzt ca. 325 mal einer FritzBox überlegen. Damit ist beim Anschliessen erstmal alles dicht - keiner kkann nichts. Da musst du erstmal auch das Surfen erlauben.a. Wäre die in ihrer Grundeinstellung/Fähigkeiten einer Fritzbox nicht ebenbürtig?
Und ebenso einfach einzurichten?
Nein, deutlich komplexer. Ist halt eine richtige Firewall.b. Alles was man an Paketen obendrauf satteln kann, wie seht ihr den Einrichtungsaufwand für z.B. Network & Web Protection?
Kommt auf den an der die einrichtet und was ihr braucht. Wenn jeder von diesen Punkten und seinen unterpunkten genutzt wird, braucht es schon ein gewisses Wissen. Auspacken- anklemmen - einschalten und Surfen ist nicht.c. welches Modell? Selbst die XG85 hat laut Datenblatt mehr Power als ich für mein 100MBit Internet je brauche...
Auch ich würde eher noch zu einer SG raten, und Bedenke wenn die Arbeiten brauchen die auch Rechenleistung. Es gibt nicht umsonst verschiedene Hardware Modelle.Würde das gern mit einem Partner durchziehen. Habe aber leider noch keinen gefunden dem die Eurozeichen beim Thema Firewall nicht in den Augen stehen und mit Lösungen um die Ecke kommt, die vom Ansatz und Kosten her einem Konzern gut stehen würde.
Nun, kommt darauf an was ihr haben wollt, und wie klein eüer Geldbeutel ist.Nutze z.B. diese Private UTM um zu sehen was eine Firewall eigentlich ist. Muss nur von die Konfiguriert werden. Einen alten Rechner auftreiben mit Core2Duo, 8 GB RAM, 2 NICs (Intel) reicht oder dort das in einer VM (Server 2012r2 Hyper-V oder ein ESXi) laufen lassen um zu testen. Module in der Privaten Edition sind fast alle enthalten und nur auf 50 IPs begrenzt. Wenn möglci nur IPv4 oder IPv6 nutzen, da jede IP zählt.
Und warum dein
die aber nicht mehr verwendet werden können
Warum können die nicht mehr gebraucht werden?Firewall ist mehr als eine Fritte oder SpeedPort oder SpeedLink. Aber eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.
Gruß,
Peter
Zitat von @mabies:
Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.
Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.
Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Stimmt so nicht, bis die XGs die SGs ersetzen geht noch einige Zeit und viele Kinderkrankheiten den Jordan runter (die XGs sind aber besser subventioniert - ggf. deswegen...)
Sip Trunks würde ich direkt an die TK Anlage anlegen...da ist das Modem dann total egal.
Eine Standardinstallation ist beim Auto gut. An einem auf die Firma angepasste IT-Struktur muss in der IT-Sicherheit adaptiert werden. Ansonsten ist es den Namen nicht Wert.
Grüß dich,
aus welcher Ecke kommst du denn (zwecks "Dienstleister)?
Ansonsten kommt es auch auf die Art und Weise an, wie Ihr es handhabt in eurem Unternehmen:
Getreu dem Motto -> ALLES OFFEN und dann Stück für Stück zumachen oder umgekehrt -> alles ZU und Stück für Stück öffnen.
Bei der XG (du weißt, dass es in Richtung Cloud geht?) finde ich die Einrichtung etwas "nerviger" als bei der UTM.
aus welcher Ecke kommst du denn (zwecks "Dienstleister)?
Ansonsten kommt es auch auf die Art und Weise an, wie Ihr es handhabt in eurem Unternehmen:
Getreu dem Motto -> ALLES OFFEN und dann Stück für Stück zumachen oder umgekehrt -> alles ZU und Stück für Stück öffnen.
Bei der XG (du weißt, dass es in Richtung Cloud geht?) finde ich die Einrichtung etwas "nerviger" als bei der UTM.
Moin...
wenn deine Telefon Anlage sich selber einwählt, also IP kann- kannst du auch deine Fritte behalten..
wenn dein Anlage das nicht kann, wirst du wohl den Router als ISDN Media Gateway nutzen müssen- den Bintec/ Telekom müll würde ich nicht nehmen, sondern einen LANCOM Router! den kennt auch der Telekom support, und der eine oder andere bei administrator.de... und der Lancom ist sehr sicher im betrieb!
das würde meiner meinung nach reichen!
natürlich kannst du eine Sophos mit dran dengeln... aber wozu, du hattest bis jetzt eine fritte!
Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Träum weiter....
Frank
Zitat von @mabies:
Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
das steht aber noch in den sternen....Die SGs werden bei Sophos einschlafen da alter Ast - so die Aussage eines Sophos-Vertreibers.
Fritzboxen: ich bekomme SIP-Trunks, da braucht es leider Telekom Modems (Bintec) und deren Firewall allein tuts wohl nicht. AVM kann kein SIP-Trunk.
Also Wenn du SIP-Trunk der Telekom nutzt, würde ich auf jedenfall einen Lancom nutzen ab R883/4VA* aufwärtz... ich bekomme SIP-Trunks
ist eine blöde aussage.... ich denke du bekommst einen SIP-Trunk, wie wird den das ganze angeschlossen?wenn deine Telefon Anlage sich selber einwählt, also IP kann- kannst du auch deine Fritte behalten..
wenn dein Anlage das nicht kann, wirst du wohl den Router als ISDN Media Gateway nutzen müssen- den Bintec/ Telekom müll würde ich nicht nehmen, sondern einen LANCOM Router! den kennt auch der Telekom support, und der eine oder andere bei administrator.de... und der Lancom ist sehr sicher im betrieb!
das würde meiner meinung nach reichen!
natürlich kannst du eine Sophos mit dran dengeln... aber wozu, du hattest bis jetzt eine fritte!
Open FW's: finde ich super den Ansatz, kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.
Frank
Hallo,
Ist nicht ganz richtig. Schau dich mal bei AVM um und spezifiziere deine Fritte.
Binde deine Telefonie doch direkt mit deiner Telefonanlage ans Internet. Musst ja kein VOIP der Fritte nutzen... Oder eine Digitalisierungsbox Smart (Bintec und dort als MediGateway auf den interne SO) brauchst du noch nicht einmal die Telefonanlage umändern, umprogrammieren oder sonstwas. Sekbst die Rufnummen bleiben wie bisher. Die Fritte kann kein Mediagateway.
Gruß,
Peter
Ist nicht ganz richtig. Schau dich mal bei AVM um und spezifiziere deine Fritte.
kann und will aber nicht in die tagelange Erforschung von diesen Systemen einsteigen.
Das ist nicht nur bei Open FWs so sofern du diese verstehen willts was wie wio warum Konfiguriert ist und welche Auswirkungen das auf euren Internet Zugang hat. Wenn du dich dort hinein knieen willst, wirst du einen Dienstleister kaufen müssen, und bis du diesem erklärt hast was ihr haben wollt hat der schon einige Tagessätze intus und ihr seit trotzdem Verantwortlich (auch für sein Handeln).Lebe (noch) in der Vorstellung, eine Standard-Installation von einem gestandenen Hersteller kann doch so schwer nicht sein.Du lebst mit einer falschen Vorstellung, oder ist eure Firma auch einfach so austauschbar?
Binde deine Telefonie doch direkt mit deiner Telefonanlage ans Internet. Musst ja kein VOIP der Fritte nutzen... Oder eine Digitalisierungsbox Smart (Bintec und dort als MediGateway auf den interne SO) brauchst du noch nicht einmal die Telefonanlage umändern, umprogrammieren oder sonstwas. Sekbst die Rufnummen bleiben wie bisher. Die Fritte kann kein Mediagateway.
Gruß,
Peter
N' Abend,
was braucht Ihr denn
Habt Ihr schon mal geprüft, was in der BasicGuard - Lizenz alles enthalten ist und ob Euch das ggf. schon ausreicht?
Oder anders herum: welche Funktion braucht Ihr, die in der BasicGuard nicht enthalten bzw. nicht lizensiert ist?
Wenn ich mir die Diagramme der Sophos SG bei uns so anschaue, sehe ich, dass die UTM selten mal so richtig ausgelastet wird. Meistens nur beim installieren von Updates auf der UTM oder beim Scannen einer großen Datei beim Download. 100/20 MBit Glasfaseranschluss, Fritzbox vor der UTM, FRitzBox abrebeitet die Telefonie ab, die UTM den Rest, einschließlich VPN.
Gruß
was braucht Ihr denn
an Paketen obendrauf [...] für z.B. Network & Web Protection?
Habt Ihr schon mal geprüft, was in der BasicGuard - Lizenz alles enthalten ist und ob Euch das ggf. schon ausreicht?
Oder anders herum: welche Funktion braucht Ihr, die in der BasicGuard nicht enthalten bzw. nicht lizensiert ist?
Wenn ich mir die Diagramme der Sophos SG bei uns so anschaue, sehe ich, dass die UTM selten mal so richtig ausgelastet wird. Meistens nur beim installieren von Updates auf der UTM oder beim Scannen einer großen Datei beim Download. 100/20 MBit Glasfaseranschluss, Fritzbox vor der UTM, FRitzBox abrebeitet die Telefonie ab, die UTM den Rest, einschließlich VPN.
Gruß
Moin ....
wenn Ihr bedenken wegen zuviel power habt könnt Ihr die Sophos-Versionen auch auf nem APU2 /3 oder 4 Board installieren .. wäre die günstigste Variante ....
Läuft aus Erfahrung relativ gut .. etwas langsames Webinterface aber der Durchsatz ist trotzdem vernünftig.
Nachteil ... die schönen einfachen und umfangreichen Zusatzfunktionen (Telefonie, etc.) gibt es latürnich nicht.
Vorteil ... halt eine echte Firewall die mit viel Regelwerk bestückt werden kann..
Aus meiner Sicht für ein kleineres Unternehmen völlig ausreichend.
VG
Edit: Lizenz wird benötigt.
wenn Ihr bedenken wegen zuviel power habt könnt Ihr die Sophos-Versionen auch auf nem APU2 /3 oder 4 Board installieren .. wäre die günstigste Variante ....
Läuft aus Erfahrung relativ gut .. etwas langsames Webinterface aber der Durchsatz ist trotzdem vernünftig.
Nachteil ... die schönen einfachen und umfangreichen Zusatzfunktionen (Telefonie, etc.) gibt es latürnich nicht.
Vorteil ... halt eine echte Firewall die mit viel Regelwerk bestückt werden kann..
Aus meiner Sicht für ein kleineres Unternehmen völlig ausreichend.
VG
Edit: Lizenz wird benötigt.
Was haben denn die Ethernetschnittstellen mit den SIP-Trunks zu tun? Ich hab auch an zig (Kunden) Telefonanlagen z.T 3,4,5 SIP-Trunks an einer ETH Schnittstelle.
Es gibt keine SG85, zweitens, nimm die 105er und du kannst nach dem Zuschalten der Unterfunktionen bald nicht nur diese Lizenzen einzeln nachkaufen, sondern direkt eine stärkere SG holen.
Bedenke:
Wenn du eine optimal eingerichtete SG haben willst, schreib mir gerne eine PN. Das geht auch von Ulm aus, wenn mans entsprechend vorbereitet.
VG
certifiedit.net
Es gibt keine SG85, zweitens, nimm die 105er und du kannst nach dem Zuschalten der Unterfunktionen bald nicht nur diese Lizenzen einzeln nachkaufen, sondern direkt eine stärkere SG holen.
Bedenke:
[...] eine Fritte ist teils sicherer als eine falsch Konfigurierte Firewall.
Wenn du eine optimal eingerichtete SG haben willst, schreib mir gerne eine PN. Das geht auch von Ulm aus, wenn mans entsprechend vorbereitet.
VG
certifiedit.net
Zitat von @ashnod:
Moin ...
Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.
VG
Moin ...
Danke für den Hinweis hatte ich etwas durcheinander gewürfelt, dachte das war mit den nicht ganz so relevanten Einschränkungen auch für Unternehmen.
VG
Nein, gilt nur für tatsächliche Home Nutzer. Außer man geht auf die virtuellen Appliances, aber dann setzt man quasi auf nen wackligen Ast, der durch sich selbst gehalten werden soll. Das funktioniert aber nur bei den Grimms/Disney.
Zitat von @mabies:
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.
Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.
Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Als ich damals die erste UTM für unser Unternehmen gekauft haben, waren wir gerade mal 8 Leute an 2 Standorten.
Damals haben wir deutlich über 3.000,- € ausgegeben. Konfiguration habe ich selber gemacht, aber Software-Update und Service-Vertrag kosten halt Geld. Das ist bei jedem Anbieter so.
Wenn es gut und günstig sein soll, lege ich Dir nach wie vor o.g. OPNSense oder pfSense ans Herz. Sollte für etwa 500 € mit einigermaßen potenter Hardware zu realisieren sein.
Ausserdem wirst Du Dich mit dem Thema beschäftigen müssen, wenn Du mehr als ne Fritzbox einsetzen willst. Auch ein Dienstleister kann nur konfigurieren was DU vorher definierst. Und wenn Du nicht ständig zahlen willst, mach es selber.
Gruß
Looser
Also es gibt eigentlich nur drei Möglichkeiten:
a) in den sichersten Apfel zu beissen und auf die Sophos inkl Einrichtung zu gehen, laufende Kosten sind im Regelfall zwischen 80 und 100€ für die Updates, die Ihr Geld wert sind. Abgesehen natürlich von der Netzkontrolle, die sowieso gemacht werden muss.
b) Auf eine offene Lösung setzen und komplett eigene Einrichtung zu gehen. Bis du dich da eingearbeitet hast, bist du aber vermutlich bei den Kosten für die SG + Einrichtung + längerfristige Wartung - und am Ende (wie man im Forum oft genug sieht) hast du immer noch keine Sicherheit, dass alles richtig eingerichtet ist und verrennst dich ggf. wie bei dem Netzumzug, der letztens hier besprochen wurde.
c) du bleibst bei der Fritzbox und investierst regelmäßig in die gute Hoffnung.
Wenn ich mir das richtig vor Augen führe, prüfst du bereits seit 4-5 Monaten Alternativen, hast du mal nachgerechnet, was dich das gekostet hat?
Die Stundensätze von uns Profis resultieren schlussendlich nicht nur daraus, dass es so stark nachgefragt ist, sondern auch dadurch, dass wir einige Stunde Wissen aneignen, Schulungen besuchen, Ausbildungen... in diesem Bereich absolviert haben.
Viele Grüße,
Christian
a) in den sichersten Apfel zu beissen und auf die Sophos inkl Einrichtung zu gehen, laufende Kosten sind im Regelfall zwischen 80 und 100€ für die Updates, die Ihr Geld wert sind. Abgesehen natürlich von der Netzkontrolle, die sowieso gemacht werden muss.
b) Auf eine offene Lösung setzen und komplett eigene Einrichtung zu gehen. Bis du dich da eingearbeitet hast, bist du aber vermutlich bei den Kosten für die SG + Einrichtung + längerfristige Wartung - und am Ende (wie man im Forum oft genug sieht) hast du immer noch keine Sicherheit, dass alles richtig eingerichtet ist und verrennst dich ggf. wie bei dem Netzumzug, der letztens hier besprochen wurde.
c) du bleibst bei der Fritzbox und investierst regelmäßig in die gute Hoffnung.
Wenn ich mir das richtig vor Augen führe, prüfst du bereits seit 4-5 Monaten Alternativen, hast du mal nachgerechnet, was dich das gekostet hat?
Die Stundensätze von uns Profis resultieren schlussendlich nicht nur daraus, dass es so stark nachgefragt ist, sondern auch dadurch, dass wir einige Stunde Wissen aneignen, Schulungen besuchen, Ausbildungen... in diesem Bereich absolviert haben.
Viele Grüße,
Christian
Moin ...
Würde ich eher mit wieviel Sicherheit brauche ich und was ist mir diese Sicherheit wert übersetzen
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist
Will ich den ein- und ausgehenden Verkehr genauer analysieren, steuern und überwachen dann enden natürlich die Möglichkeiten der Fritzbox abrupt
VG
Zitat von @Looser27:
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.
Das Problem ist einfach, dass "billig-will-ich" nicht mit einer UTM vereinbar ist.
Es kostet immer viel Geld....auf die eine oder andere Art.
Würde ich eher mit wieviel Sicherheit brauche ich und was ist mir diese Sicherheit wert übersetzen
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall. Inbesondere dann, wenn letztere auch noch mies konfiguriert ist
Will ich den ein- und ausgehenden Verkehr genauer analysieren, steuern und überwachen dann enden natürlich die Möglichkeiten der Fritzbox abrupt
VG
Bei solchen Diagrammen ist auch immer wichtig: Wie viele Benutzer, was für Dienste nutzt ihr und vor allem, welche SG. Ansonsten ist der Inhaltswert gleich Null. Aus meiner Erfahrung kommt üblicherweise neben Network (VPN), Webserver (Ex,div anderes), Email (Exchange), direkt auch noch WLAN hinzu, dazu IDS/IPS und schon hast du direkt mal 2-3 GB Ram locker gefüllt - bei einer Handvoll Nutzer. Dazu kommen die Funktionen, die in den nächsten 2-3 Jahren (das Ding kauft man ja nicht nur für heute und morgen) hinzukommen oder aufgebohrt werden.außer, man will natürlich während der Laufzeit upgraden...
Zitat von @certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Ich meinte eher willkürliche Angriffe von außen .... also solche die im TV so schön dargestellt werden mit ... ich habe die IP und nun kann ich da alles machen ... wenn diese auf der SG geroutet werden ist es bereits zu spät
Hier greift einfaches Regelwerk und das macht die FB genauso gut oder schlecht wie jedes andere Gerät einschl. vorhandener Sicherheitslücken.
Die Vorteile der SG greifen erst dann, wenn im zulässigem Datenverkehr bösartiges versteckt ist - das ist dann aber nichts mehr was mit einer Fritzbox vergleichbar wäre!
In diesem Sinne passt der Satz schon ....
Nein, denn wenn du die SG entsprechend konfigurierst erkennt Sie Brute-Force Attacken und macht dann einfach dicht (die Fritzbox macht und sagt hier zu nichts... - Keine Warnung o.ä). Außerdem macht das IDS/IPS der Sophos auch dicht, wenn von Innen nach aussen auf maliziöse Adressen zugegriffen wird. Oder blockiert entsprechend gefährendende Länder nach Bereich - auch das kann die Fritzbox nicht...
Abgesehen davon, warum ist es zu spät, wenn es auf die SG geroutet wird? Versteh ich nicht, führ das bitte aus...?
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Abgesehen davon, warum ist es zu spät, wenn es auf die SG geroutet wird? Versteh ich nicht, führ das bitte aus...?
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Hallo,
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?
Gruß,
Peter
Und wenn die Sophos direkt per Modem mit dem Internet Kommuniziert braucht nichts geroutet zu werden. Ist dann auch alles zu spät?
Gruß,
Peter
Zitat von @certifiedit.net:
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Also sind wir weit weg von deiner Aussage. Bist du denn mit den Sophos vertraut?
Hallo???
Dir ist aber schon bekannt wann, was greift? Das die einzelnen Mechanismen, wie die auch immer Marketingtechnisch verkauft werden, schrittweise Folgen oder ineinander übergehen??
Du willst hoffentlich nicht ernsthaft nen Vergleich zwischen einer Fritzbox und einer SG anstrengen?
Und du willst mir jetzt nicht erklären, dass einfaches Firewall-Regelwerk auf der SG technisch anders funktioniert!
Man stellt das anders ein oder hat im Fall der Fritzbox nur wenig Möglichkeiten daran was zu versauen ..
In diesem Sinne kannst du nur einfaches Regelwerk vergleichen und nicht umsonst habe ich von außen mehr als Fett genug geschrieben!
Also mal bitte auf dem Teppich bleiben!
Erklär uns bitte, wie du es gemeint hast, offensichtlich ist auch Kollege @Pjordorf darüber gestolpert.
Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG )
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)
Mehr noch: Kommt der Angreifer durch und siedelt sich im Netz (USB) ein und gibt Daten raus, dann kommt er bei der Fritzbox auf den kompletten Portrange ungefiltert durch. Bei der SG nur auf die Freigegebenen und mit IDS werden auch diese gefiltert.
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG )
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)
Mehr noch: Kommt der Angreifer durch und siedelt sich im Netz (USB) ein und gibt Daten raus, dann kommt er bei der Fritzbox auf den kompletten Portrange ungefiltert durch. Bei der SG nur auf die Freigegebenen und mit IDS werden auch diese gefiltert.
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
Zitat von @certifiedit.net:
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
Also, bitte um Detaillierte Erklärung der Aussage, bevor wir hier ins falsche Fahrwasser geraten
Mal ehrlich .... muss ich das wirklich ausführen ich rede die ganze Zeit von einfachem Firewall-Regelwerk - einfacher Standard.
Gerne genau mit den Beispielen die du genannt hast.
Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?
Ihr könnt mich gerne korrigieren, aber das ist und bleibt die erste Prüfung .... mehr (und nichtmal umfänglich) bietet eine Fritzbox. Welches mehr sollte vergleichbar sein?
Fehlt hier nicht ein "nicht" hinter "bietet"?
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Zitat von @mabies:
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.
Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Und genau das sehe ich im Augenblick (mit Fritte-selig) nicht ein:
ich zahle nicht ~2000€ für die Intial SG1x5 incl. SW-Paket plus Tagessätze an Einrichtung plus x k€ laufende Kosten für die Renewals.
Wir sind ein KMU mit ~15 Usern, da muß ich die Kirche im Dorf lassen und ggf. mit Restrisiko leben.
Und wenn das mit Sophos nicht darstellbar ist, muß ich eben weitersuchen
Eine SG 105 mit 1 Jahr BasicGuard schätze ich mal auf 600 bis 700 EUR + ca. 1 Tagessatz für Einrichtung, Lizenz-Einrichtung, Anpassungen...
Das BasicGuard Renewal (Ein-Jahres-Lizenz) kommt 160 bis 170 EUR + ggf. 2 Stunden Einrichtung, Einstellungen prüfen, Anpassungen, mal 'drüberschauen..., wenn man es machen lässt.
Falls es möglich ist, eine legale neue Lizenz für ein gebrauchtes Gerät einzusetzen, könnte man noch etwas sparen und eine gebrauchte SG xxx kaufen. Händler oder kleinanzeigen.ebay.de.
Dann verschiebt sich das Restrisiko auf eine andere Plattform.
Gruß
Zitat von @certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Ein letzter Beitrag von mir zu dem Thema ....
Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.
Das macht die Fritzbox aber nicht per se unsicher!
Ente
Zitat von @ashnod:
Ein letzter Beitrag von mir zu dem Thema ....
Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.
Das macht die Fritzbox aber nicht per se unsicher!
Ente
Zitat von @certifiedit.net:
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Genau deswegen kommt diese Diskussion Zustande, weil Ein Routing doch mal 0,0 Mit den Sicherheitsfeatures der SG zu tun hat...
Ein letzter Beitrag von mir zu dem Thema ....
Wer hier ernsthaft Fritzbox und SG im Detail vergleicht ... ist eindeutig auf dem falschen Trip.
Das macht die Fritzbox aber nicht per se unsicher!
Ente
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.
Ich kratz mich am Kopf, mehr muss man dazu nicht sagen. Ist aber nicht das erste mal.
OT:
wenn schon zitieren, dann aber richtig bitte ....
Macht schon einen Unterschied ..... wenn du die Einschränkungen nicht erkannt hast ... sorry ... aber ich lass das jetzt ...
Markiere hier gerne den großen Zampano, wer's halt braucht ...
wenn schon zitieren, dann aber richtig bitte ....
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.
Macht schon einen Unterschied ..... wenn du die Einschränkungen nicht erkannt hast ... sorry ... aber ich lass das jetzt ...
Markiere hier gerne den großen Zampano, wer's halt braucht ...
Oki, dann erkläre das einem Unwissenden doch einfach mal ...
ehrlich?
Klar ist: Wenn ein Port 1111 dicht ist, dann ist's egal, ob es nun eine SG oder eine Fritzbox ist. (Aber wenn alles dicht ist, dann brauchst du weder Fritzbox noch SG ) Sondern dann hast du kein (eingehendes) Internet.
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)
Klar ist auch, wenn ein Port 1111 weitergeleitet wird, ohne diesen weiter zu prüfen, dass eine SG gleich reagiert, wie eine Fritzbox.
Aber: Wenn der Angriff bspw aus Russland kommt und die SG blockt den Bereich, dann ist es schon nicht mehr gleich.
Ebenfalls greift bei entsprechend mehrmaligem Anklopfen und Einrichtung hier bereits der Erste Hinweis an den Admin. (!= Fritzbox)
Was das alles mit routen zu tun hat, ist mir allerdings immer noch schleierhaft.
Die Verbindung zum Routing hast du selbst hergestellt:
Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
Zitat von @ashnod:
Die Verbindung zum Routing hast du selbst hergestellt:
Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
Die Verbindung zum Routing hast du selbst hergestellt:
Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Warum sollte also Verkehr der bereits durch Firewall-Regeln geblockt wird noch geroutet werden?
In dem Fall ist mir "routen" nicht das stumpfe durchleiten von Netz A nach Netz B gemeint, sondern das unter Augenschein nehmen durch die jeweiligen Subsysteme durchleiten gemeint. Alles andere wäre ja stumpf. Worüber reden wir hier denn sonst?
Nicht wir, eigentlich eher du redest die gesamt Zeit darüber:
und im wesentlichen über die kleine Winzigkeit die sowohl der Fritze als auch die SG gemeinsam haben stumpfes
Firewall-Regelwerk, welches beim Fritzen nichtmal ausgeprägt vorhanden ist.
Mehr gemeinsame Vergleiche gibt es sowohl auf der einen als auch auf der anderen Seite nicht!
Sprich eingehende Anfragen auf durch Firewall-Regelwerk geblockte Bereiche werden von dem Fritzen genauso zuverlässig abgewehrt wie von einer Highend-Firewall.
Dann reden wir nnoch über:
Wenn du also ohnehin etwas durch Firewall-Regelwerk geblockt hast, wäre es schlecht wenn es trotzdem durch die SG geroutet wird.
(Auswertungen lassen wir an der Stelle, wegen mangelnder Gemeinsamkeiten, außen vor)
Wenn du selbst Wortklauberei betreibst, dann sollte dir klar sein, dass geroutet durchaus als Routing verstanden wird.
Soderle evtl. konnte ich die Verwirrung damit lösen.
Per se ist ne Fritzbox von außen nicht zwangsläufig unsicherer als eine High-End Firewall.
und im wesentlichen über die kleine Winzigkeit die sowohl der Fritze als auch die SG gemeinsam haben stumpfes
Firewall-Regelwerk, welches beim Fritzen nichtmal ausgeprägt vorhanden ist.
Mehr gemeinsame Vergleiche gibt es sowohl auf der einen als auch auf der anderen Seite nicht!
Sprich eingehende Anfragen auf durch Firewall-Regelwerk geblockte Bereiche werden von dem Fritzen genauso zuverlässig abgewehrt wie von einer Highend-Firewall.
Dann reden wir nnoch über:
Zitat von certifiedit.net:
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Erster Satz, nein, nicht wenn der Verkehr ordentlich durch die SG geroutet (und geprüft) wird.
Wenn du also ohnehin etwas durch Firewall-Regelwerk geblockt hast, wäre es schlecht wenn es trotzdem durch die SG geroutet wird.
(Auswertungen lassen wir an der Stelle, wegen mangelnder Gemeinsamkeiten, außen vor)
Wenn du selbst Wortklauberei betreibst, dann sollte dir klar sein, dass geroutet durchaus als Routing verstanden wird.
Soderle evtl. konnte ich die Verwirrung damit lösen.
OK und in Summe: Auch von außen ist ein korrekt konfigurierte Sophos SG sicherer als die Fritzbox - im Gegensatz zu deiner Aussage.
Im weiteren, vielleicht bist du noch nicht so tief ins Detail gegangen, du hast es oben aber angeschnitten, die Checks gegen den Webtraffic (bspw woher, wohin, wann, ggf. welcher Inhalt) laufen zwar für den Menschen zeitgleich statt (weil so fix), aber eben nicht parallel. Daher wird das Paket durch die SG-Subsystems geroutet. (Wie immer macht die Semantik die Würze.)
Die Aussage
ist daher auch Bullshit, denn die Pakete müssen(!) ja durch die SG gehen, damit die SG diese überhaupt prüfen kann. Durchrouten heisst nicht, dass die Pakete in diesem Fall nicht unbedingt auch in die Zielnetze dürfen. Das kannst du damit vergleichen, dass die Polizei bei der Fahndung auch aufgefallene Subjekte auf andere Strecken leitet (=routet) als andere, auf denen Sie danach angehalten und geprüft werden können.
Wie gesagt, ich glaube du betrachtest das zu oberflächlich oder hast dich nicht ordentlich eingedacht.
Im weiteren, vielleicht bist du noch nicht so tief ins Detail gegangen, du hast es oben aber angeschnitten, die Checks gegen den Webtraffic (bspw woher, wohin, wann, ggf. welcher Inhalt) laufen zwar für den Menschen zeitgleich statt (weil so fix), aber eben nicht parallel. Daher wird das Paket durch die SG-Subsystems geroutet. (Wie immer macht die Semantik die Würze.)
Die Aussage
wenn diese auf der SG geroutet werden ist es bereits zu spät
ist daher auch Bullshit, denn die Pakete müssen(!) ja durch die SG gehen, damit die SG diese überhaupt prüfen kann. Durchrouten heisst nicht, dass die Pakete in diesem Fall nicht unbedingt auch in die Zielnetze dürfen. Das kannst du damit vergleichen, dass die Polizei bei der Fahndung auch aufgefallene Subjekte auf andere Strecken leitet (=routet) als andere, auf denen Sie danach angehalten und geprüft werden können.
Wie gesagt, ich glaube du betrachtest das zu oberflächlich oder hast dich nicht ordentlich eingedacht.
Ich würde mal sagen, dich, weil du wenig Ahnung hast (oder nicht hinters Blech schauen willst). Übrigens, kleiner Tipp: Eine SG ist wesentlich mehr(!) als eine Firewall, deswegen passt der minimalistische Ansatz ja eben nicht.. - auch, wenn Sophos natürlich bestrebt ist die Angriffsoberfläche so minimal wie möglich zu halten, aber das Ding ist im Prinzip ein Schlachtschiff, dass man heute durch alle Möglichen Angriffsmethodiken de facto auch benötigt.
Abgesehen davon will er das "teure Zeuch" ja, er will nur nicht die dafür aufgerufenen Summe bezahlen - oder die Einrichter sind Ihm nicht professionell genug - aber das Problem hast du laut deinem ersten Beitrag schließlich auch eher weniger...Also konnte man sich aufgrund der Aussage die ganze Diskussion sparen.
Hoffen wir's.
Schönen Abend,
Christian
Abgesehen davon will er das "teure Zeuch" ja, er will nur nicht die dafür aufgerufenen Summe bezahlen - oder die Einrichter sind Ihm nicht professionell genug - aber das Problem hast du laut deinem ersten Beitrag schließlich auch eher weniger...Also konnte man sich aufgrund der Aussage die ganze Diskussion sparen.
Ich habe fertig ...
Hoffen wir's.
Schönen Abend,
Christian
@ashnod
Ja, wenn Du eine reine Firewall betrachtest mögen Deine Thesen durchaus Ihre Berechtigung haben. Nur sind heute die Anforderungen in den Unternehmen ganz Andere. So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
So kann man z.B. bei NextGen-FW problemlos Tools wie TeamViewer, Messenger-Dienste, usw. aussperren die sich gern per Port 80 oder 443 tunneln. Dazu reicht es dann einen Haken zu setzen und schon sind ggf. unerwünschte Dienste ausgebremst. Auch sind i.d.R. Proxy, Spam und AV-Schutz in die Firewall integriert.
Von daher verbietet es sich eigentlich eine FritzBox mit einer aktuellen Firewall vergleichen zu wollen. Für den Heimgebrauch, wo ich ja i.d.R. selbst an meinem Rechner sitze mag ein Router (FritzBox) ja noch ausreichend sein, aber eben nicht für ein Unternehmen in dem zig Rechner am laufen sind.
Ja, wenn Du eine reine Firewall betrachtest mögen Deine Thesen durchaus Ihre Berechtigung haben. Nur sind heute die Anforderungen in den Unternehmen ganz Andere. So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
So kann man z.B. bei NextGen-FW problemlos Tools wie TeamViewer, Messenger-Dienste, usw. aussperren die sich gern per Port 80 oder 443 tunneln. Dazu reicht es dann einen Haken zu setzen und schon sind ggf. unerwünschte Dienste ausgebremst. Auch sind i.d.R. Proxy, Spam und AV-Schutz in die Firewall integriert.
Von daher verbietet es sich eigentlich eine FritzBox mit einer aktuellen Firewall vergleichen zu wollen. Für den Heimgebrauch, wo ich ja i.d.R. selbst an meinem Rechner sitze mag ein Router (FritzBox) ja noch ausreichend sein, aber eben nicht für ein Unternehmen in dem zig Rechner am laufen sind.
Moin ....
eigentlich bin ich dem Thema schon mehr als müde ..... aber um das noch klar zu stellen ...
nichts anderes habe ich behauptet!!
Ich habe an keiner Stelle gesagt das eine FB eine moderne Firewall ersetzen kann ... wenn ich allerdings einen Vergleich anstelle kann ich nur Vergleichen was vorhanden ist .. Das ist nicht viel und wie bereits oft geschrieben lande ich im Falle der FB bei rudimentär vorhandenem Firewall-Regelwerk ... schlicht bei Basics.
Ich behaupte an keiner Stelle das die FB das besser macht! Lediglich eingehende Anfragen auf blockierte Ports werden nicht zugelassen --- das ist ein winziges Teilchen -- , eigentlich völlig selbstverständlich. Das sollte aber keine Firewall anders machen ... ergo auch nicht die HighEnd-Variante.
Probleme macht mir eher, dass sich viele von dem schicken Marketing blenden lassen und glauben die kaufen sich ne Sophos und alles wird gut. Ohne schnöde und langweilige Basics werde ich auch die schicke Variante nicht sicherer machen können als ne olle Fritte ... Ich möchte nicht wissen wieviele der "Profi-Firewalls" mit Scheunentorregelwerk arbeiten und ungepflegt vor sich hingammelt.
In diesem Sinne hoffe ich nun auf ein Ende zu dem OT-Teil ... steckt die Zeit besser in Beiträge die dem TO helfen. Offensichtlich kennt Ihr euch bestens aus, somit sollte es ein leichtes sein dem TO zu helfen.
Ich glaube das war irgendwie Sinn in diesem Forum und nicht nur die Kunden-Akquise.
Keine Angst ich mache euch da keine Konkurrenz ... könnt Ihr eure Energie also ruhig in sinnvolleres stecken.
Zitat von @monstermania:
So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
So sind heutzutage i.d.R. keine reinen Port-Firewalls mehr im Einsatz, sondern 'Next Generation'-Systeme. Da wird eben nicht nur stumpf geprüft, ob eine Regel für den Dienst XX bzw. Port XX existiert, sondern auch ob die darüber übertragenen Datenpakete sauber bzw. regelkonform sind.
eigentlich bin ich dem Thema schon mehr als müde ..... aber um das noch klar zu stellen ...
nichts anderes habe ich behauptet!!
Ich habe an keiner Stelle gesagt das eine FB eine moderne Firewall ersetzen kann ... wenn ich allerdings einen Vergleich anstelle kann ich nur Vergleichen was vorhanden ist .. Das ist nicht viel und wie bereits oft geschrieben lande ich im Falle der FB bei rudimentär vorhandenem Firewall-Regelwerk ... schlicht bei Basics.
Ich behaupte an keiner Stelle das die FB das besser macht! Lediglich eingehende Anfragen auf blockierte Ports werden nicht zugelassen --- das ist ein winziges Teilchen -- , eigentlich völlig selbstverständlich. Das sollte aber keine Firewall anders machen ... ergo auch nicht die HighEnd-Variante.
Probleme macht mir eher, dass sich viele von dem schicken Marketing blenden lassen und glauben die kaufen sich ne Sophos und alles wird gut. Ohne schnöde und langweilige Basics werde ich auch die schicke Variante nicht sicherer machen können als ne olle Fritte ... Ich möchte nicht wissen wieviele der "Profi-Firewalls" mit Scheunentorregelwerk arbeiten und ungepflegt vor sich hingammelt.
In diesem Sinne hoffe ich nun auf ein Ende zu dem OT-Teil ... steckt die Zeit besser in Beiträge die dem TO helfen. Offensichtlich kennt Ihr euch bestens aus, somit sollte es ein leichtes sein dem TO zu helfen.
Ich glaube das war irgendwie Sinn in diesem Forum und nicht nur die Kunden-Akquise.
Keine Angst ich mache euch da keine Konkurrenz ... könnt Ihr eure Energie also ruhig in sinnvolleres stecken.
Dann hättest du schon auf die Erläuterung - Port 1111 dicht, kein Zugriff (hier identisch) keinen Senf mehr ablassen müssen. Ganz einfach.
Wenn du die obigen Beiträge anschaust, denke ich, dass ich dem TO genug geholfen habe, mehr kann man da nicht zu sagen:
a) Entweder er bleibt bei der Fritzbox und hofft es bleibt alles gut, hier ist der Kostenfaktor vorallem das Risiko, und überwacht es selbst - hier muss er sich aber Wohl Kompetenz wegen SIP usw zu kaufen
b) er holt sich eine OpenSource und macht alles selbst, hierfür muss er aber wohl mehr seiner Zeit investieren, als eine professionelle Einrichtung der Sophos inkl. dessen Kauf kosten würde und kann sich auch dann der Erfahrung nach nicht sicher sein, dass alles richtig läuft. Ggf, muss er aufgrund fehlener Methodiken im Internet dann dazu noch jemanden holen, der das ggf. neu ausrollt. Kostenfaktor ebenfalls nicht gerade klein.
c) Er kauft sich eine Sophos und richtet diese Selbst ein, mit dem gleichen Risiko wie oben oder er kauft sich jemanden, der nur paar Pattern einrichtet oder er schaut sich nach jemandem um, der sich in das Netz und dessen Notwendigkeiten (aus Nutzungs, aber auch Sicherheitssicht) reindenkt und das entsprechend umsetzt. Ist dann wohl das auf den ersten Blick Kostentechnisch aufwändigste, aber sogesehen auch das Nervensparendste.
Das kann man anders sehen, aber in Bezug darauf, dass das hier bereits der 4. oder 5. Thread des TO zu dem Thema ist, muss man das natürlich auch in Hinsicht auf des GF investierte Zeit sehen.
Wünsche nen schönen Tag
Wenn du die obigen Beiträge anschaust, denke ich, dass ich dem TO genug geholfen habe, mehr kann man da nicht zu sagen:
a) Entweder er bleibt bei der Fritzbox und hofft es bleibt alles gut, hier ist der Kostenfaktor vorallem das Risiko, und überwacht es selbst - hier muss er sich aber Wohl Kompetenz wegen SIP usw zu kaufen
b) er holt sich eine OpenSource und macht alles selbst, hierfür muss er aber wohl mehr seiner Zeit investieren, als eine professionelle Einrichtung der Sophos inkl. dessen Kauf kosten würde und kann sich auch dann der Erfahrung nach nicht sicher sein, dass alles richtig läuft. Ggf, muss er aufgrund fehlener Methodiken im Internet dann dazu noch jemanden holen, der das ggf. neu ausrollt. Kostenfaktor ebenfalls nicht gerade klein.
c) Er kauft sich eine Sophos und richtet diese Selbst ein, mit dem gleichen Risiko wie oben oder er kauft sich jemanden, der nur paar Pattern einrichtet oder er schaut sich nach jemandem um, der sich in das Netz und dessen Notwendigkeiten (aus Nutzungs, aber auch Sicherheitssicht) reindenkt und das entsprechend umsetzt. Ist dann wohl das auf den ersten Blick Kostentechnisch aufwändigste, aber sogesehen auch das Nervensparendste.
Das kann man anders sehen, aber in Bezug darauf, dass das hier bereits der 4. oder 5. Thread des TO zu dem Thema ist, muss man das natürlich auch in Hinsicht auf des GF investierte Zeit sehen.
Wünsche nen schönen Tag
Probiere sie einfach aus.
Es ist eine Firewall Software und keine einfache Fritzbox.
Man sollte wissen was man konfiguriert.
Daher die Consulting Kosten.
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
"Unsere Free Home Use XG Firewall ist eine voll ausgestattete Softwareversion der Sophos XG Firewall und für Privatanwender komplett kostenlos. Sie erhalten umfassenden Schutz für Ihr privates Netzwerk, u. a. Anti-Malware, Web Security, URL-Filterung, Application Control, IPS, Traffic Shaping, VPN; Reporting und Monitoring."
Es ist eine Firewall Software und keine einfache Fritzbox.
Man sollte wissen was man konfiguriert.
Daher die Consulting Kosten.
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
"Unsere Free Home Use XG Firewall ist eine voll ausgestattete Softwareversion der Sophos XG Firewall und für Privatanwender komplett kostenlos. Sie erhalten umfassenden Schutz für Ihr privates Netzwerk, u. a. Anti-Malware, Web Security, URL-Filterung, Application Control, IPS, Traffic Shaping, VPN; Reporting und Monitoring."
Wie kommst du bitte auf 1,5k-2k €/Jahr für Lizenzen?
Nebenbei, aus der Erfahrung heraus kommt es nicht auf die Menge der Hanseln an, sondern, wie Sie das Netz nutzen. Auf der anderen Seite, das Angebot steht mit einer 105 einzusteigen und Ihr müsst nach 1 Jahr Upgraden (=>115), dann wieder (=>125 usw)- dann hast du aber locker gerne die 1,5-2k für jedes Upgrade jedes Jahr, wenn man das 2-3x mal macht.
Schönes Wochenende
Nebenbei, aus der Erfahrung heraus kommt es nicht auf die Menge der Hanseln an, sondern, wie Sie das Netz nutzen. Auf der anderen Seite, das Angebot steht mit einer 105 einzusteigen und Ihr müsst nach 1 Jahr Upgraden (=>115), dann wieder (=>125 usw)- dann hast du aber locker gerne die 1,5-2k für jedes Upgrade jedes Jahr, wenn man das 2-3x mal macht.
Schönes Wochenende
Hallo,
Haben wir das wirklich?
Danach solltest du dann entscheiden - VW oder Hyundai
https://utm-shop.de/ Da kann jeder kaufen der will.
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... Da kannst du erste Schritte gehen, ansonsten bleib bei deiner Fritte oder lass alles von einen Dienstleister machen der dir genehm ist.
Gruß,
Peter
Haben wir das wirklich?
Es liegen mir aber auch Angebote über ~5-6k€ vor: 2 x SG135 im Cluster und allen Modulen plus Installation (macht ausserdem ~1,5-2k/Jahr Folgekosten für die Lizenzen).
Und das für unsere ~10 Hanseln...
Brauchst du HA bzw. Cluster? Welche zusatz Module brauchst du bzw. willst du? Schau mal hir rein https://utm-shop.de/Und das für unsere ~10 Hanseln...
Warum also ein 105/115 mit BasicGuard empfehlen? Oder gar eine Zyxel?
Weil eine UTM 105 nunmal die kleinste in der SG Reihe ist, in der XG ist es die 85, und Basicgaurd weil ohne Software dein Blech eher nutzlos strom verbraucht. Ob das Basicguard bei dir reicht? Setzt dir mal die Privatedition auf und schau mal was an Modulen du brauchst. Gibt es von Zyxel auch eine UTM die du Kostenlos (für Privat) vollumfänglich nutzen kannst, oder von Juniper usw?Danach solltest du dann entscheiden - VW oder Hyundai
https://utm-shop.de/ Da kann jeder kaufen der will.
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ... Da kannst du erste Schritte gehen, ansonsten bleib bei deiner Fritte oder lass alles von einen Dienstleister machen der dir genehm ist.
Gruß,
Peter