Mailsicherheits- und Proxy-Appliance gesucht

Mitglied: flyingKangaroo

flyingKangaroo (Level 1) - Jetzt verbinden

27.09.2012 um 13:24 Uhr, 5194 Aufrufe, 3 Kommentare

Hallo,

kann mir jemand einen Tipp geben, ob irgendein Magazin mal unterschiedliche Appliances für Mailsecurity verglichen/aufgelistet hat?

Ich bin konkret auf der Suche nach einer Mailsecurity-Appliance für kein kleineres Unternehmen (~20 User). Optimal wäre es, wenn die Appliance auch gleich einen HTTP-Proxy mit integriertem Virenfilter (für HTTP) mitbringen würde - ob es sowas kombiniert überhaupt gibt, habe ich noch nicht herausfinden können - viele Appliances scheinen soetwas zumindest als "transparenten Proxy" zu bieten. Das Gerät soll dann in der DMZ stehen (damit die eingehenden eMail-Verbindungen in der DMZ terminiert werden).

Einen "Unified Security Gateway" der auch gleichzeitig die Firewall zum internen Netz enthält, möchte ich eigentlich nicht (jedenfalls nicht als Firewall zum Intranet einsetzen)... mir gefällt gar nicht, daß eingehende SMTP-Verbindungen AUF der Firewall enden... das bedeutet ja, daß bei einer Sicherheitslücke im SMTP-Daemon oder im Mailscanner der Angreifer quasi schon Vollzugriff auf's interne Netz hat.

Gerne nehme ich auch konkrete Tipps entgegen.

Danke.

Gruß
Dieter
Mitglied: maretz
27.09.2012 um 18:25 Uhr
Astaro security gateway... Find ich ganz gut
Bitte warten ..
Mitglied: filippg
27.09.2012 um 22:05 Uhr
Hallo,

bei 20 Nutzern würde ich dir zu einem Hosted Service raten. Die großen Player in diesem Bereich sind Postini (Google), Messagelabs, Microsoft Forefront Online.
Wenn du eine wirklich gute Appliance haben willst kann IronPort wärmstens empfehlen.
Das "mir gefällt gar nicht, daß eingehende SMTP-Verbindungen AUF der Firewall enden" halte ich (ebenfalls ein wenig in Anbetracht der Nutzerzahl) für übertrieben. Sicher ist ein Angriff auf einen SMTP-Stack theoretisch möglich. Praktisch würde ich hoffen, dass der Hersteller das halbwegs im Griff hat. Und: von Extern ist ja dann trotzdem nur Port 25 erreichbar, d.h. Öffnen einer einfachen Remote Shell o.ä. geht nicht, sondern man müsste die auch noch über Port 25 tunneln. Nicht unmöglich, aber eher theoretisch, meiner Meinung nach.

Gruß

Filipp
Bitte warten ..
Mitglied: Dobby
28.09.2012 um 18:55 Uhr
Zitat von @flyingKangaroo:
Hallo,
Hallo

kann mir jemand einen Tipp geben, ob irgendein Magazin mal unterschiedliche Appliances für Mailsecurity
verglichen/aufgelistet hat?
SmallNetBuilder mach so etwas!

Die Zeitschriften IT-Administrator und iX kannst Du ja einmal kontaktieren und Dir eine Ausgabe nennen lassen in der so etwas getestet wurde und diese dann nach bestellen.

Bei der Zeitschrift IT-Administrator kann man auch die Suchfunktion nutzen um an Tests nebst der Ergebnisse zu kommen die publiziert worden sind und erschienen sind!!

Einfallen würden mir pauschal:

Firewall + Antivirus (Web + EMail) + Einbruchserkennung = UTM
Netgear UTM25
SonicWALL NSA 240
WatchGuard XTM330
Draytek VigorPro 5510
Check Point UTM-1 136
Fortinet FortiGate 50B
Sophos UTM320 - (früher Astaro)


Transparenter Antivirus Proxy kommerziell = STM
Netgear STM150 (ist die kleinste Variante)
Meines Erachtens zu groß und teuer für Euch (Lizenzgebühren) steht direkt hinter der Firewall und leitet einmal in die DMZ und einmal ins LAN.

Transparenter Antivirus Proxy + Einbruchserkennung = do-it-your-self
Auf Basis (Hardware) eines ausgedienten Servers - Potenter Server (starke cpu oder cpu´s mit viel RAM)
1.
Ubuntu Linux
Snort
Squid
DansGuardian
HAVP + ein oder zwei Virenscanner

2.
ZeroShell

3.
ClaerOS


Keine Lizenzkosten und kann immer erweitert werden (CPU/RAM/HDD/NIC/RAID Kontroller)
aber meist kein Support und/oder nicht so gute Erkennung!

Ich persönlich würde Dir zu einer kommerziellen Lösung aus dem Hause Sophos oder Netgear raten, aber
das ist ach immer eine Art Philosophie, die jeder mit sich abmachen muss, nicht zuletzt der Lizenzgebühren und des Bedienkomforts wegen!

Das Gerät soll dann in der DMZ stehen (damit die eingehenden eMail-Verbindungen in der DMZ terminiert
werden).
Bei einem STM Gerät nicht! Ist aber Möglich, denn das Gerät wird wie erwartet hinter die Firewall und vor den DMZ und LAN Switch gehangen und kann den Mail Verkehr in die DMZ und den HTTP Verkehr in das LAN Filtern.

... mir gefällt gar nicht, daß eingehende SMTP-Verbindungen AUF der Firewall enden... das bedeutet ja,
daß bei einer Sicherheitslücke im SMTP-Daemon oder im Mailscanner der Angreifer quasi schon Vollzugriff > auf's interne Netz hat.
Kann auch mit dem STM oder einer Linux Lösung erreicht und vermieden werde, aber dann lieber ClearOS
als Ubuntu & Co. denn diese Lösung gibt es auch als Enterprise Ausgabe und Du kannst Sie wie Du es benötigst durch die Erweiterung der Hardware auch immer den unternehmerischen Bedürfnissen anpassen.

Last but not least:

Bitte immer unbedingt vorher nachsehen und vergleichen was an WAN - LAN Durchsatz noch übrig bleibt bei den UTM´s, nach dem Firewall + Antivirus + Antispam + Kontentfiltering!!!!!!!

Nicht nur die Preise für die Geräte sondern auch die für die Lizenzen im Auge behalten.

Gruß und schönes WE
Dobby
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 22 StundenAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server12 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...