mbeluk
Goto Top

UTM Empfehlung

zur Zeit werkelt ein Draytek Router mit einem Entensys Proxy hier in der Firma,
da hier aber so gut wie kein Virenschutz funktioniert, soll das ganze demnächst durch
eine UTM Hardware Lösung ersetzt werden soll. Ich habe selbst schon zig Anleitung
der Verschiedenen Hersteller durchgesehen, aber so richtig schlau bin ich leider nicht
daraus geworden. Angedacht von meiner Seite war eine Sophos UTM, aber vielleicht
hat jemand einen besseren Tipp für mich.


Gegebenheiten:

10Mbit Business Glasfaser

Gruppen/Userverwaltung mit Internetfilter
Autorisierung evtl. per AD, über MAC Adresse ist aber auch kein Problem

zur Zeit ca. 35 User mit Internetzugang
im Durchschnitt sind 5-7 Online

Virenscanner der Funktioniert

Gruß
Manfred Schießl

Content-Key: 297322

Url: https://administrator.de/contentid/297322

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: Coreknabe
Coreknabe 25.02.2016 um 10:49:44 Uhr
Goto Top
Moin Manfred,

ne Sophos UTM hatten wir auch mal in der engeren Auswahl, sind dann aber bei Barracuda gelandet und sehr zufrieden. Von Sophos habe ich allerdings eigentlich nur Gutes gehört, wir haben als Virenscanner Sophos Endpoint Security im Einsatz. Von einigen Hakeligkeiten in der Verwaltungskonsole mal abgesehen, macht das Ding einen guten Job. Und in der UTM lässt sich das integrieren, so weit ich weiß...

Gruß
Mitglied: michi1983
michi1983 25.02.2016 aktualisiert um 10:55:29 Uhr
Goto Top
Hallo,

ich denke wie Kollege @Coreknabe das wenn du wirklich eine Zuverlässige (in Bezug auf Deep Packet Inspection) Lösung möchtest, dann solltest du zu den üblichen Verdächtigen wie
    • Checkpoint
    • Barracuda
    • Juniper
    • Sophos
    • Cisco
    • Fortinet
    • SonicWall
etc. greifen.
Je nach Subscription Plan wird da was für dich dabei sein.

Gruß
Mitglied: Dilbert-MD
Dilbert-MD 25.02.2016 um 12:09:31 Uhr
Goto Top
hallo,

wir bekommen demnächst eine Sophos UTM.
Von Sophos gibt es verschiedene Gerätegrößen und auch unterschiedliche Lizensierungen für die darauf laufende Software/Firmware, zum Beispiel Nur Firewall, Basic Guard, FullGuard oder man bucht sich einzelne Module zusammen aus der Auswahl von Web-, Network-, Wireless-Protection usw....
Das kann man ganz gut an die eigenen Bedürfnisse anpassen und ggf. nach Ablauf des Jahres up- oder downgraden. Zur Preisfindung (ganz grob) kann man mal in die Preisliste bei Händlern schauen, z.B. bei Infinigate usw.
Je nach Modul hat man dann auch 2 verschiedene AV-Engines laufen.

Gruß
Holger
Mitglied: Rudbert
Rudbert 25.02.2016 aktualisiert um 13:39:31 Uhr
Goto Top
Hi,


kann dir auch die Sophos empfehlen!

Läuft hier seit 3 Jahren mit allen Modulen (120 Clients) problemlos und einfach administrierbar. 2x UTM220 im Cluster.

Haben diese vor Kurzem durch 2x SG230 ersetzt aus Performancegründen.

Hier vielleicht noch ein interessantes PDF, damit du bei der Größe des Geräts die richtige Wahl triffst :

http://utm-shop.de/media/pdf/sophos-sg-series-sizing-guide_neu.pdf

Alternativ einen Partner mit einbeziehen.


mfg
Mitglied: mbeluk
mbeluk 25.02.2016 um 13:55:33 Uhr
Goto Top
Danke zuerst mal an alle

für die schnellen Antworten, ich habe jetzt mal Sophos und Fortinet ins Auge gefasst.
Was mich aber noch interessiert wie macht ihr eure Authentifizierung, bis jetzt hatten
wir von Entensys einen kleinen Client der die Verbindung beim Anmelden automatisch
gemacht hatte, mit dem Passwort vom AD, unseren Usern mit dem Zugriff in Internet die
Benutzdaten eingeben lassen können wir vergessen, wenn sich User nicht einmal nach
14 Tagen Urlaub mehr einloggen können.
Darum hatte ich eben gedacht mit der MAC Adresse, einmal die Computergruppen mit
Seitenberechtigungen erstellt und die MAC Adresse dazu eingetragen.

Gruß
Mitglied: michi1983
michi1983 25.02.2016 um 14:01:45 Uhr
Goto Top
Zitat von @mbeluk:

Danke zuerst mal an alle

für die schnellen Antworten, ich habe jetzt mal Sophos und Fortinet ins Auge gefasst.
Was mich aber noch interessiert wie macht ihr eure Authentifizierung
Anbindung über LDAP am AD oder Radius Server.

Gruß
Mitglied: Rudbert
Rudbert 25.02.2016 um 14:08:40 Uhr
Goto Top
Hi,


die Sophos bietet für AD Single-Sign-On an. Die Nutzer werden automatisch über Browser/AD/Kerberos/Samba identifiziert. Den AD-Gruppen kannst du entsprechende Profile im Webfilter zuordnen.


mfg
Mitglied: 119944
119944 26.02.2016 um 07:27:55 Uhr
Goto Top
Moin,

bei uns standen folgende Kandidaten zur Auswahl welche meiner Meinung nach alle besser sind als Sophos:
  • Securepoint
  • Gateprotect
  • Barracuda

VG
Val
Mitglied: Coreknabe
Coreknabe 26.02.2016 um 10:03:33 Uhr
Goto Top
Moin,

bei uns standen folgende Kandidaten zur Auswahl welche meiner Meinung nach alle besser sind als Sophos:
Securepoint

Der war gut... Ich hoffe, der Fragende hat die Ironie-Tags nicht übersehen.

Gruß
Mitglied: 119944
119944 26.02.2016 um 10:58:25 Uhr
Goto Top
Was hast du gegen Securepoint? Konnte in der Teststellung keine ernsthaften Probleme feststellen.
Die Verwaltung war sehr gewöhnungsbedürftig, deshalb ist es jetzt auch eine Barracuda geworden.

VG
Val
Mitglied: Coreknabe
Coreknabe 26.02.2016 aktualisiert um 11:38:12 Uhr
Goto Top
- Der Spamfilter ist Schrott, allerdings keine Eigenentwicklung, sondern von Ciren zugekauft. Null konfigurierbar, null Transparenz.
- Das zieht sich wie ein roter Faden durch, so gut wie keine Eigenentwicklung, sondern angepasste Standardprodukte.
- Jedes FW-Update ist ein Abenteuer. Wir hatten es mal, dass sämtliche Interfaces nach dem Update lustig durcheinandergewürfelt waren. Es passte natürlich nichts mehr. Eine Folge der Tatsache, dass es zugekaufte "Passtschon-Hardware" von Worthmann ist, die nicht auf die Software abgestimmt ist. Bereits behobene Fehler tauchen wieder auf. Qualitätssicherung, anyone?
- Die Dokumentation ist längst nicht vollständig. Zwar gibt es mittlerweile ein Wiki, aber die Informationssuche gestaltet sich nach bestem Open Source-Prinzip: Die Info steht irgendwo, viel Spaß beim Suchen.
- Auch für nachweislich fehlerhafte Updates, deren Folgen der Securepoint-Dienstleister behebt, muss gezahlt werden. Der Dienstleister kann ja nichts dafür...
- Angekündigte Features und Fehlerbehebungen lassen ewig auf sich warten. Schau mal im Forum, da gibt es einen etwas älteren Thread, dass man sich nicht mehr am Webinterface anmelden kann. Nur ein Reboot der Firewall hilft. Problem wird nach langer Zeit mal halbherzig behoben, um zwei Versionen später wieder aufzutauchen. Nachfragen, wann denn eine neue Version zur Verfügung steht, wird mit "When it's done" beantwortet. Thema LTE: Wird seit mehreren Jahren getestet, es passiert aber nix. Gut, das ist jetzt keine superwichtige Funktion, aber ein sehr gutes Beispiel.
- Ein frickeliges SOC zur Verwaltung mehrerer Firewalls. Klappt so leidlich.
- Wie Du schon angemerkt hast, ist die Verwaltung allgemein sehr gewöhnungsbedürftig (Frickellösung halt).
- Einfach mal im Forum wühlen. Auch die Arroganz diverser Supporter hat NextGen-Qualitäten.
Und und und...

Securepoint hatte einmal (vor Einführung des Webinterfaces) eine grundsolide Firewall. Dann ist man auf die grandiose Idee gekommen, jetzt mal bei den Großen mitspielen zu wollen. Webinterface drauf, zack, haben wir eine "NextGen"-Firewall. Herausgekommen ist eine Möchtegern-Lösung, die längst nicht an die anderen heranreicht. Auch wenn der Preis entsprechend höher ist, vergleiche einmal die Möglichkeiten einer Barracuda mit der Securepoint. Die eine nennt sich zurecht "NextGen", auch wenn das allgemein ein schönes Buzzword ist. Zumindest hat Securepoint das im Marketing hinbekommen.

Gruß
Mitglied: 119944
119944 26.02.2016 um 11:53:07 Uhr
Goto Top
Ok danke für die Aufklärung! Der Punkt "Null konfigurierbar" ist mir auch sehr unangenehm aufgefallen...
Wenn man so viel Geld für eine Lösung ausgibt, dann sind solche Probleme definitiv ein No-Go.

Für uns war es definitiv die richtige Entscheidung auf Barracuda zu setzen!

VG
Val