obliterator
Goto Top

UTM Lösung für einen kleinen Pharma Betrieb

Hallo zusammen,
ich bin damit beauftragt wurden für unser Unternehmen ca. 100 Clients eine passende UTM Lösung zu finden. Zurzeit setzen wir eine Collax Security Gateway ein.

Anforderungen:

- Bereitsstellung VDSL 50 Mbit
- Unternehmensweite Firewall
- ca. 10-20 VPN Tunnel
- Email Abruf + Zustellung an den Exchangeserver (120 Emailadressen)
- SPAM Filter
- Virenschutz
- Web Content Filter (SSO) ,mit unterschiedlichen Berechtigungsstufen für Webseiten (Azubi, Abteilungsleister,GL etc.)
- Proxy
- Support der auch erreichbar ist. Gegebenfalls über Supportvertrag oder via Dienstleistungsstunden einkaufen.

Wir haben ca. 50 Terminalserver User und 50 Arbeitssplätze. Als Virenschutz setzen wir Kaspersky Endpoint Security und auf dem Exchangeserver Kaspersky Security for Mail ein.

Bisher anbieten lassen habe ich mir folgendes:

- Collax Security Gateway erweiterung für Web Content Filter
- Sonicwall NSA 3600
- Sonicwall TZ 600
- Securepoint v11 RC300

Leider habe ich hier im Forum bisher nicht so gutes über die Securepoint UTM Lösung lesen können. Preislich gesehen machen die aber einen guten Eindruck. Denn bei denen ist angeblich Web Content Filter, Virenschutz für Mail, Web, File und SPAM Filter + VPN Client alles inklusive.
Sophos wollte ich mir ebenfalls anbieten lassen, aber nachdem ich dort dreimal angerufen habe und die es nicht hinbekommen haben mir einen Fachhändler zuzuweisen, hatte ich die schnauze voll...

Content-ID: 303252

Url: https://administrator.de/forum/utm-loesung-fuer-einen-kleinen-pharma-betrieb-303252.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

108012
108012 29.04.2016 um 11:30:50 Uhr
Goto Top
Hallo,

Und somit habe ich als "leid geplagter" Admin nach Feierabend auch Feierabend.
Sind bei Euch seitens des Unternehmens Vorschriften die dazu beachtet werden sollen
oder sogar Hardware Hersteller die benutzt werden sollen bzw. müssen oder gar gewisse
Kriterien erfüllen müssen wie zum Beispiel eine ICSA 1 oder ISCSA 2 Prüfung ect. pp?

Fertiggeräte:
Sophos UTM
Netgear UTM 150
PaloAlto NG Firewall

Eigenbau:
Untangle UTM auf potenter Hardware
Sophos UTM auf potenter Hardware
ClearOS auf potenter Hardware

Mein Tipp dazu kauf eine UTM Lösung die einen anderen AV Schutz hat als Kaspersky den Ihr ja
schon einsetzt, dann ist da schon mal ein Zweiaugenprinzip vorhanden. und dann eben was man
bezahlen kann und was den erforderlichen Durchsatz liefert.

Gruß
Dobby
obliterator
obliterator 29.04.2016 um 11:45:32 Uhr
Goto Top
Nein wir haben keine Vorschriften. Wir werden von GAA aus Hannover Auditiert aber nur ob wir gewissen Sicherheitsvorkehrungen wie Desaster Recovery, Backup etc. implementiert haben.

Das sagst du so einfach. Ich habe das Gefühl es gibt so viele Lösungen die sich preislich teilweise sowas von heftig unterscheiden.
Gerade ein Angebot für eine FortiGate 300D bekommen die jeglichen Rahmen sprengt :/
DerSchorsch
DerSchorsch 29.04.2016 aktualisiert um 11:47:19 Uhr
Goto Top
Hallo,

eine Nachfrage:

- Email Abruf + Zustellung an den Exchangeserver (120 Emailadressen)

Wie ist damit gemeint?
Werden euch die Mails per SMTP zugestellt oder holt ihr die per POP3 bei irgendeinem Provider ab?
Zum Exchange wäre dann auch noch die Frage ob auf den Zugriff von extern (ActiveSync, OWA, AnyConnect) stattfinden soll.
Und habt ihr irgendwelche Compliance-Vorschriften?

Gruß
obliterator
obliterator 29.04.2016 um 11:48:51 Uhr
Goto Top
Compliance Vorschriften wie oben schon geschrieben.

Die Werden vom Domainhoster ( Ratiokontakt ) via. SMTP dem Exchange zugestellt. OWA wird in über Port 6443 teilweise genutzt,
Einige Abteilungsleiter und GLer nutzen ActiveSync mit ihren IPhones.
DerSchorsch
DerSchorsch 29.04.2016 um 12:17:28 Uhr
Goto Top
Gut, ein SMTP-Filter (Viren, Spam) ist bei UTMs Standard. Schön ist auch ein Mime-Type Filter, mit dem man z.B. Office-Dokumente mit Macros rausfiltern kann. Ebenso muss sie natürlich heutzutage TLS-Verschlüsselung können.
Für den Zugriff auf Exchange von außen wäre auch ein Reverse-Proxy gut. Also nicht einfach eine Portweiterleitung. Zwar geht das auch und aktuelle Exchange-Versionen sind da auch etwas "standhafter", aber das würde noch zusätzliche Sicherheit reinbringen.

Ich persönlich würde da doch zu einer Sophos UTM tendieren. Alternativ zur neuen Sophos XG, wobei ich persönlich mit dem neuen Interface noch nicht so richtig warm bin. Aber wenn man noch nicht "vorbelastet" ist...
Mit Securepoint haben wir eigentlich keine guten Erfahrungen mit den Mail und Webfiltern. Die können das zwar schon, aber die Einstellungsmöglichkeiten sind (waren) doch eher rudimentär im Vergleich zu Sophos.
obliterator
obliterator 29.04.2016 um 12:20:58 Uhr
Goto Top
welche Sophos UTM Lösung wäre das denn so für ungefähr 100 User?
119944
119944 29.04.2016 um 12:26:33 Uhr
Goto Top
Moin,

ich kann dir zu einer Sophos UTM oder einer Barracuda NG-F raten!
Beide Systeme haben mich bei meiner Auswahl wesentlich mehr überzeugt als die Securepoint (sieht aus wie vor 10 Jahren).

Die Barracuda kann man von den Funktionen wirklich als "Next Generation" bezeichnen.

Was hast du denn für einen preislichen Rahmen?

VG
Val
obliterator
obliterator 29.04.2016 um 12:33:37 Uhr
Goto Top
Preislich sind wir in der Findunsphase.

Bei Collax würden wir für 50 Benutzer mit Web Content Filter und Virenschutz jährlich 2290€ inklusive Support zahlen. Collax lässt sich halt jeden Dienst bezahlen.

Ich würde mit 50 Benutzern gerade so hinkommen für die Terminalserver. Hintergrund: Kaspersky bietet für RDS Server keinen Webcontent Filter.
em-pie
em-pie 29.04.2016 aktualisiert um 13:46:00 Uhr
Goto Top
Hi,

wir haben von Sophos die UTM im Einsatz.
Für uns (50 Client-Arbeitsplätze, 1 S2S VPN, sporadische SSL-VPNs, Exchange 2010, ...) die SG230.
Da ihr mehr VPNs habt, wäre eine SG310/ SG330 denkbar.

Die Kiste läuft bei uns im Active/Passive HA und für 3 Jahre haben wir jetzt glaube ich 8k € bezahlt, inkl. 2x Hardware.

Sophos baut derweil auch an einer XG Firewall, haben aber noch nicht alle Features der UTM p.x/ UTM9.4 implementiert. Beide Systeme werden parallel entwickelt, nicht immer werden aber die Features der einen Version in die andere übernommen... -.-

Die Sophos rennt eigentlich optimal...

Vllt. kannst du ja gezielt nach Sophos-Partnern in deiner Region suchen...


Gruß em-pie
DerSchorsch
DerSchorsch 29.04.2016 um 13:38:56 Uhr
Goto Top
Hallo

Bei 100 Usern und viele VPN-Tunnelnn würde ich die SG310 sagen, mit "Fullguard" Subscribtion. Da hast du dann alle nötigen module wie Web- und Mailfilter sowie ReverseProxy (Web Server Protection) für den Exchange.
Looser27
Looser27 29.04.2016 um 20:49:43 Uhr
Goto Top
Ich werfe dann noch Gateprotect ins Rennen. Der Support ist erstklassig und in Hamburg Zuhause. Wir haben unsere Systeme gerade erneuert.
certifiedit.net
certifiedit.net 29.04.2016 um 23:03:42 Uhr
Goto Top
Hi Tommy,

bei Bedarf nach einer Sophos Lösung darfst du gerne anklopfen.

Liebe Grüße,

Christian

certified IT
BernhardMeierrose
Lösung BernhardMeierrose 30.04.2016 aktualisiert um 19:14:15 Uhr
Goto Top
Moin Moin,

ich kenne die Securepoint etwas näher, setze die auch gerne bei Kunden ein.
Das ist ein deutscher Hersteller, die eng mit Wortmann Terra zusammen arbeiten. Die HW-Basis kommt also von Wortmann. Der Support vom Hersteller ist sehr gut, bei Bedarf (z.B. als Locky kursierte) sind die auch sehr flexibel und geben gute Hinweise zur Konfig der Firewall raus.
Viren werden von 2 Scan-Engines verarztet (ClamAV und Cyren), die Zustellung zum internen Mailserver kann entweder per SMTP-Proxy erfolgen oder die Securepoint holt Mails per POP3 vom Provider (eher für kleinere Unternehmen)
Contenfilter, Jugendschutz, etc machen meines Wissens nach alle Hersteller so ziemlich das gleiche. BPJM-Modul ist auf jeden Fall integriert. Der kostenlose SSL-VPN-Client kann z.B. per Web-Interface den Usern zur Verfügung gestellt werden, dann bekommen die fertig konfigurierte Pakete geliefert. ( Für VPN-Zugänge empfehle ich auch gerne die OneTimePasswort-Tokens)

Achja, Leihstellungen sind kein Problem, würd ich mir einfach mal kommen lassen.

Gruß
Bernhard
119944
119944 02.05.2016 aktualisiert um 09:52:58 Uhr
Goto Top
Moin,

warum du jetzt die Antwort für Securepoint als Lösung markiert hast verstehe ich nicht ganz aber gut...

Ebensowenig wieso man hier eine SG310 empfiehlt, bei einer 50Mbit Leitung absolut übertrieben!
Da reicht eine SG125 locker aus, egal wie viel VPN Tunnel dort dran hängen. Die Leitung limitiert immer vor dem Gerät!
Preislich liegt so eine SG125 im Total Protect Bundle für 3 Jahre übrigens bei ca. 2000€.

Nur noch so als Tipp:
Die Geräte von Gateprotect, Sophos und Barracuda liegen von den Funktionen her deutlich über den Securepoint Lösungen.
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.

Beispielhaft mal ein paar Vorteile der Mitbewerber:
  • GeoIP-Filter
  • LACP (nur Barracuda oder Sophos XG)
  • Application Detection

Außerdem war das Lizenzmodell für uns total unattraktiv. Man kauft die Hardware und Lizenziert die Software nach Usern, dadurch war das Komplettpaket um einiges teurer als Sophos oder Barracuda.

VG
Val
obliterator
obliterator 02.05.2016 um 10:04:12 Uhr
Goto Top
Ich war zu faul was zu schreiben da Wochenende war. Deswegen nur den button geklickt face-smile

Ich bin weiterhin für alles offen. Ich habe mir nun einen Teststellung von Securepoint geordert.
Hmm bzgl der Lizenzen finde ich Securepoint total attracktiv.

Wir würden für v11 Rc300 3 Jahreslizenz 4400€ zahlen inklusive 150 User und Virenschutz Mail, Web, File etc...
Die SG 125 werde ich mir ebenfalls mal anschauen und anbieten lassen.
certifiedit.net
certifiedit.net 02.05.2016 um 10:45:51 Uhr
Goto Top
Hi Val,

würde ich gerne unterschreiben, ist aber nicht so. Ich habe hier einen Dual 2Mbit Anschluss (danke Breitbandausbau), eine solche Sophos in die Knie bekommen. Gut, intern laufen auch einige Dienste und ein paar APs. Außerdem kauft man eine Sophos UTM schliesslich nicht auf ein Jahr und in 2 Jahren will man die neuen Features auch noch nutzen.

Viele Grüße,

Christian
em-pie
em-pie 02.05.2016 um 12:01:38 Uhr
Goto Top
Stimme Christian ebenfalls zu.
Als wir damals unsere (zu dem Zeitpunkt noch ASG 220) erhalten haben, war diese völlig performant. Im Laufe der Zeit sorgten die neuen Releases aber dafür, dass die ganze Kiste einfach träge wurde, wenn sie sich Updates gezogen hat. Das ging sogar soweit, dass für 10 Minuten kein Web und SMTP-Traffic möglich war. WObei sich später rausstellte, dass der IO für die HDDs nicht optimal war, es aber ein Softwareseitiges Problem ist, welches nicht nur wir haben/ hatten.

Mit dem Nachfolgemodell, der SG230 läuft die UTM, selber Releasestand, wieder optimal und schnurrt wie ein Kätzchen.

Was die Feutres angeht. Es bleiben nahezu keinerlei Wünsche offen.
Kann mir aber kein Bild über andere Hersteller machen, da ich so selten an anderen Systemen arbeite.
119944
119944 02.05.2016 um 13:07:31 Uhr
Goto Top
Ok danke euch beiden für die Info.

Wir hatten damals eine SG135 zum testen bekommen und konnten diese mit 50 Leuten und einer 50Mbit synchronen Leitung nicht mal ansatzweise auslasten. Die Firewall war dabei jedoch nur für den externen Zugriff zuständig, die interne Kommunikation lief komplett über L3 Switches.

Den Punkt mit den Updates welche die Geräte extrem verlangsamen hör ich zum ersten mal, dann wäre doch eine SG210 oder SG230 sinnvoller und sollten preislich ähnlich wie die Securepoint Geräte liegen.

VG
Val
certifiedit.net
certifiedit.net 02.05.2016 um 13:13:42 Uhr
Goto Top
Valexus, bitte beachte die Diskrepanz zwischen Test und Dauerlauf. Dann hast du noch die ATP an und WebAppFW usw usf und schon hast den Ram und die CDU dicht.

Das kann man nicht so einfach sagen, wie es so schön heisst "it depends".

SecurePoint ist aber eben nicht so umfangreich wie Sophos - meiner Meinung nach. face-wink

@updates: Nun, kein Wunder mit 9.0, 9.3 und jetzt 9.4 wurden einige richtig gute Features erweitert oder ergänzt. Die brauchen Leistung im Dauerlauf.

Bei Bedarf, gerne an mich wenden.

VG,

Christian
BernhardMeierrose
BernhardMeierrose 02.05.2016 um 14:25:02 Uhr
Goto Top
Zitat von @119944:
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.

Naja.. vielleicht schaust Du Dir die Geräte einfach noch ein zweites Mal an bevor Du sowas schreibst. Weil natürlich kann man das nicht nur an- und abschalten. Wär auch etwas sinnfrei, wenn man QoS ohne Konfiguration nur aktivieren könnte.

Ja. LACP wär hübsch, GeoIP hab ich ehrlich gesagt an der Stelle noch nie vermisst. (im übrigen wäre Securepoint an der Stelle relativ flexibel was feature-requests angeht)

Gruß
Bernhard
obliterator
obliterator 17.05.2016 aktualisiert um 10:16:03 Uhr
Goto Top
Leute ich werde noch bekloppt bei dem Projekt.
Ich bin gerade dabei eine Präsentation für die GL vorzubereiten, dieses gestaltet sich aber wirklich schwierig. Alle kommen mit verschieden Lizenzmodellen und Preisen. Support ist ebenfalls immer anders geregelt.
Folgende UTM Lösungen wurden mit angeboten.

Sonicwall TZ 600 <- glaube die schwächste Hardware, Emails werden in eine separaten VM verarbeitet was ich persönlich negativ finde.

Securepoint RC300 <- als Teststellung erhalten und ehrlich gesagt nix negatives gefunden. Firewall und VPN ohne Probleme einzurichten. Deutscher Hersteller

Gateprotect GPA300 <- unlimitierte Useranzahl (empfohlen bis 75 Benutzern), angeblich sehr schöne Oberfläche (Egui), Deutscher Herstleller, Teststellung wird über unseren IT Dienstleister noch mal vorgestellt

Sophos SG 310 <- am teuersten von allen, starke Hardware, sehr etabliert am Markt

Alle UTM Lösungen haben Ihre Vor -und Nachteile. Hat jemand Erfahrung mit den Durchsatz Werten? Inwieweit sollte man den Firewall Durchsatz, VPN Durchsatz, Durchsatz bei Schutz vor Eindringlingen und Antivirus Durchsatz im Auge behalten?!?

Ich sage mal so, wir sind gerade mal 100 User und haben nur eine VDSL 25 Mbit Leitung.
Hat einer von euch noch ein paar Entscheidungshilfen für mich? :D
certifiedit.net
certifiedit.net 17.05.2016 um 10:21:01 Uhr
Goto Top
Hallo Tommy,

wie wäre es, wenn du die fragst, die dir das ganze angeboten haben?

VG
obliterator
obliterator 17.05.2016 aktualisiert um 10:30:58 Uhr
Goto Top
Du bist lustig, was meinst du was ich getan habe. Securepoint und Gateprotect sagen "lass die finger weg von Dell die werden verkauft". Außerdem weiß man nicht wo dann die Daten landen etc... Ist doch immer das selbe. Die machen sich gegenseitig schlecht!
Ich verlasse mich da wirklich lieber auf die Community (bin damit auch immer gut gefahren) wie z.B. mit der Empfehlung von Aqui bzgl. der Brocade Switche) als auf irgendwelche Verkäufer.

Ich versuche einfach heraus zu finden wohin die Mehrheit tendiert. Ich weiß auch selber das die Entscheidung mir keiner abnehmen kann.
certifiedit.net
certifiedit.net 17.05.2016 um 10:48:43 Uhr
Goto Top
Nein, ganz und gar nicht. Lass Sie nüchtern IHRE Produkte entsprechend erklären. Klar, dass dir kein Grieche einen Türken vorschlägt...
kontext
kontext 17.05.2016 aktualisiert um 10:54:14 Uhr
Goto Top
Hallo @obliterator,

ich will ja nicht alte Kamellen aufwärmen. face-smile
Bin gerade "zufällig" über den Thread gestolpert ...
... und wundere mich gerade warum niemand Fortinet erwähnt hat?! face-smile

Würde Fortinet mit Sophos auf eine Ebene stellen, wobei Fortinet preislich um einiges interessanter ist.
Ich weiß ja nicht wie weit du nun bist, aber ein Input kann ja nicht schaden. face-smile

Gruß
@kontext