15
Zywall USGs Updaten
Hallo Zusammen
Ich bin gerade am Firewalls evaluieren.
Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) und diese sind zurzeit mit Zywall USGs 20,50 & 100 verschieden ausgestattet.
Da wir überlegen unsere Infrastruktur neu zu gestalten, frage ich mich, ob ich auch die Zywalls austauschen soll? Von den UTM Features sind keine Aktiviert, aufgrund der höheren Kosten und das die benutzte Generation keine verschlüsselten Verbindungen filtern kann. Die meisten Seiten die angesteuert werden, sind HTTPS verschlüsselt, also recht wirkungslos. Somit sind sie also nur noch reine Firewalls die noch zur IPSEC Site2Site Verbindung benutzt werden.
Es sind keine Webserver, Mailserver, o.ä. vorhanden, das irgendwie in einer DMZ steht oder gefiltert werden müsste. Es kommt zwar jetzt bald dazu, dass man sich per VPN von außen Einwählen sollte, was ich nach möglichkeit mit OpenVPN oder Direct Access von Microsoft lösen wollte. Das steht grad auf der infrastruktur update Liste, also kommen überall Windowsserver hin (im Moment QNAP NASe)
Favorit als alternative habe ich IPFire bisher getestet. Die restlichen wie in der Doku hier auf Administrator.de sind mir persönlich nicht sympathisch. Aber es geht hier weniger um welche, sondern OB man die tauschen sollte.
Was sagt ihr dazu?
Danke!
Ich bin gerade am Firewalls evaluieren.
Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) und diese sind zurzeit mit Zywall USGs 20,50 & 100 verschieden ausgestattet.
Da wir überlegen unsere Infrastruktur neu zu gestalten, frage ich mich, ob ich auch die Zywalls austauschen soll? Von den UTM Features sind keine Aktiviert, aufgrund der höheren Kosten und das die benutzte Generation keine verschlüsselten Verbindungen filtern kann. Die meisten Seiten die angesteuert werden, sind HTTPS verschlüsselt, also recht wirkungslos. Somit sind sie also nur noch reine Firewalls die noch zur IPSEC Site2Site Verbindung benutzt werden.
Es sind keine Webserver, Mailserver, o.ä. vorhanden, das irgendwie in einer DMZ steht oder gefiltert werden müsste. Es kommt zwar jetzt bald dazu, dass man sich per VPN von außen Einwählen sollte, was ich nach möglichkeit mit OpenVPN oder Direct Access von Microsoft lösen wollte. Das steht grad auf der infrastruktur update Liste, also kommen überall Windowsserver hin (im Moment QNAP NASe)
Favorit als alternative habe ich IPFire bisher getestet. Die restlichen wie in der Doku hier auf Administrator.de sind mir persönlich nicht sympathisch. Aber es geht hier weniger um welche, sondern OB man die tauschen sollte.
Was sagt ihr dazu?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 271043
Url: https://administrator.de/contentid/271043
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
wozu solltest du die Geräte tauschen wenn diese keine Probleme bereiten und du keine bestimmten Features brauchst?
Ansonsten schau dir lieber PfSense an, gefällt mir besser als IPFire.
VG
Val
wozu solltest du die Geräte tauschen wenn diese keine Probleme bereiten und du keine bestimmten Features brauchst?
Ansonsten schau dir lieber PfSense an, gefällt mir besser als IPFire.
VG
Val
Gedanke war die Sicherheit zu erhöhen in dem man den HTTPS filtert. Auch ein Problem das ich habe, ist das ich z.B. nicht Facebook blocken kann ohne extra ein Abo abzuschließen. Werde ich aber bei den eigenen Geräten mit G-Data vorläufig Lösen, da man dies so festlegen kann.
PfSense hat mir eben leider weniger gefallen, wurde gleich warm mit IPFire.
PfSense hat mir eben leider weniger gefallen, wurde gleich warm mit IPFire.
z.B. nicht Facebook blocken kann ohne extra ein Abo abzuschließen
Was für ein Abo musst du abschließen? Heißt das so bei Zywall?Bei pfsense müsstest du nur ein package installieren mit 2 Mausklicks, dann geht das.
Hi,
wenn du eh neue Server hinstellst, nimm einen ESXi, pack da dein Windows drauf und parallel dazu ein kleines Linux mit Squid und Squidguard. Läuft bei uns prima. Da hast du dann deinen Packetfilter.
Gruß
wenn du eh neue Server hinstellst, nimm einen ESXi, pack da dein Windows drauf und parallel dazu ein kleines Linux mit Squid und Squidguard. Läuft bei uns prima. Da hast du dann deinen Packetfilter.
Gruß
@michi1983
Da musst du eine VCard bestellen mit einer 1-2 Jährigen Lizenz um sowas zu blocken. Muss auch immer erneuert werden. Die lassen sich die Dienste auch gute bezahlen.
@killtec
Die Idee (allerdings nicht mit Squid) ist mir auch gerade zwei Minuten bevor du geschrieben hast gekommen
Ich könnte auch eine Firewall auf dem ESXi installieren hinter der Zywall und darauf den OpenVPN Server laufen lassen inkl. Squid.
Also eure Meinung ist weiter verwenden?
Da musst du eine VCard bestellen mit einer 1-2 Jährigen Lizenz um sowas zu blocken. Muss auch immer erneuert werden. Die lassen sich die Dienste auch gute bezahlen.
@killtec
Die Idee (allerdings nicht mit Squid) ist mir auch gerade zwei Minuten bevor du geschrieben hast gekommen
Ich könnte auch eine Firewall auf dem ESXi installieren hinter der Zywall und darauf den OpenVPN Server laufen lassen inkl. Squid.
Also eure Meinung ist weiter verwenden?
Ich würds weiter verwenden und den Squid mit Squidguard nehmen. Ich lade jede Nacht die neuen Blacklisten (Ich verwende die von Shalla) herunter und aktualisiere dann die DB. Das ganze habe ich auf 3 Servern bei uns laufen. Das ganze habe ich auch schon auf einem Pi b+ gemacht. Im Unternehmen würde ich jedoch auf ein "großes" Linux setzen (Performance ist durch die andere Hardware besser).
Bei mir läuft das übrigens auf einem SuSE (openSuSE) Linux.
Gruß
Bei mir läuft das übrigens auf einem SuSE (openSuSE) Linux.
Gruß
Favorit als alternative habe ich IPFire bisher getestet.
Das ist nicht dein Ernst, oder ? Allein die HW Installation ist schon recht krank, vom Customizing mal ganz zu schweigen. Vielleicht solltest du nochmal richtig testen:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aber mal im Ernst: Wozu soll das alles gut sein ?
Ist doch Unsinn wenn deine UTMs ihr Werk sauber verrichten und du keinerlei Mehrwert mit einem Austausch hast. Dann behalte diese HW und verpulver dein Budget lieber woanders wo es angebrachter ist.
Doch ist mein Ernst ;)
HW Installation fand ich ziemlich Easy, ich bin auf der anderen Seite bei der Oberfläche und VPN Einrichtung bei PfSense überfordert. Aber wir sind ja alle anderst
Es ist eben auch die Frage, ob es genügend ist, das nur die Firewall funktion im Moment am werkeln ist und ob man da nicht Verbessern sollte.
HW Installation fand ich ziemlich Easy, ich bin auf der anderen Seite bei der Oberfläche und VPN Einrichtung bei PfSense überfordert. Aber wir sind ja alle anderst
Es ist eben auch die Frage, ob es genügend ist, das nur die Firewall funktion im Moment am werkeln ist und ob man da nicht Verbessern sollte.
eite bei der Oberfläche und VPN Einrichtung bei PfSense überfordert. Aber wir sind ja alle anderst
Ooops aber bei der IPFire war das alles logisch. Das wäre ja völlig widersinnig...aber OK das ist in der Tat anders oder du vergleichst IPsec VPN Einrichtung mit PPTP VPNs. Leider spezifizierst du das ja nicht aber Zyxel kann vermutlich auch nur IPsec.Es ist eben auch die Frage, ob es genügend ist, das nur die Firewall funktion im Moment am werkeln ist und ob man da nicht Verbessern sollte.
Dann hast du aber die Fragestellung und Intention dieses Threads vollkommen falsch aufgezogen, sorry.Du rechtfertigst dich ja oben ausführlich warum all das eben kein Thema ist und bei 8 Leuten wohl auch wenig Sinn macht.
Für mich schon, das muss man ja auch nicht in Frage stellen. Für dich ist es unlogisch in IPFire, was für mich nicht Nachvollziehbar ist, deswegen muss man ja darüber auch nicht Diskutieren. Zum glück gibts verschiedene Systeme die unseren Ansprüchen gerecht wird
Ok, IPSEC war gemeint. PPTP kann ich genau so gut keine Verschlüsselung verwenden.
Ich persönlich lese nicht raus, das ich gemeint hätte man soll es nicht in Frage stellen. Darum geht es doch genau, es sind keine besonderen Ansprüche vorhanden, aber um Sicherheitswillen, soll/kann man es Verbessern? Bzw. ist dies überhaupt nötig. Einzige was ich gesagt habe, ist das es mir nicht darum geht, ob IPFire oder PfSense etc.
Die Meinung tendiert überall zu Nein, also werde ich es entsprechend so lassen, außer es kommt jetzt jemand mit einem schlaggebendem Argument.
Ok, IPSEC war gemeint. PPTP kann ich genau so gut keine Verschlüsselung verwenden.
Ich persönlich lese nicht raus, das ich gemeint hätte man soll es nicht in Frage stellen. Darum geht es doch genau, es sind keine besonderen Ansprüche vorhanden, aber um Sicherheitswillen, soll/kann man es Verbessern? Bzw. ist dies überhaupt nötig. Einzige was ich gesagt habe, ist das es mir nicht darum geht, ob IPFire oder PfSense etc.
Die Meinung tendiert überall zu Nein, also werde ich es entsprechend so lassen, außer es kommt jetzt jemand mit einem schlaggebendem Argument.
never change a running system
Solange du oder deine Mitarbeiter keine anderen Bedürfnisse an das System stellen, belasse es einfach so.
Gruß
Solange du oder deine Mitarbeiter keine anderen Bedürfnisse an das System stellen, belasse es einfach so.
Gruß
Hi,
wenn du deine Infrastruktur neu gestalten willst, warum bindest du dann nicht gleich alle Geschäftsstellen an eine Zentrale an? Dann könntest du die Zywalls (oder andere Geräte, falls du die ersetzen willst: SonicWALL, Sophos UTM/RED, ...) ausschließlich für die VPN-Verbindung zur Zentrale nutzen. In der Zentrale lizenzierst du dann die gewünschten UTM-Funktionen wie Webfilter o.ä. - alternativ stellst du einen Server in der Zentrale bereit z.B. für Webfilterung Squid/Squidguard wenns kostenlos sein soll.
mfg
wenn du deine Infrastruktur neu gestalten willst, warum bindest du dann nicht gleich alle Geschäftsstellen an eine Zentrale an? Dann könntest du die Zywalls (oder andere Geräte, falls du die ersetzen willst: SonicWALL, Sophos UTM/RED, ...) ausschließlich für die VPN-Verbindung zur Zentrale nutzen. In der Zentrale lizenzierst du dann die gewünschten UTM-Funktionen wie Webfilter o.ä. - alternativ stellst du einen Server in der Zentrale bereit z.B. für Webfilterung Squid/Squidguard wenns kostenlos sein soll.
mfg
Grundsätzlich sind schon alle per VPN mit der Zentrale Verbunden. Aber den Verkehr über uns laufen lassen, würde unser Internet in die Knie zwingen.
Dann musst du wohl bei Squid + Squidguard bleiben. Den als Proxy einfach in den Clients eintragen und an der FW die entsprechenden Ports blockieren, so dass niemand mehr ohne Proxy ins Netz kommt. Der Proxy benötigt logischerweise die offenen Ports
Gruß
Gruß
Tag
Ich habe auch eine USG100 im Einsatz und mich stören an dem Ding zwei Dinge:
1. Der Content Filter kann keine Https-Seiten blocken. Gewisse Webdienste können zwar mit der IDP, rsp der App Patrol geblockt werden, aber das ist auch nicht das Wahre.
2. Es findet keine Verknüpfung mit meinem AD statt. Z.B. Sehe ich im Log, von welchem PC aus eine verbotene Website angesurft wird, aber nicht, welcher Benutzer.
Aus diesen beiden Gründen wechsle ich dieses Jahr noch auf die USG110
Ich habe auch eine USG100 im Einsatz und mich stören an dem Ding zwei Dinge:
1. Der Content Filter kann keine Https-Seiten blocken. Gewisse Webdienste können zwar mit der IDP, rsp der App Patrol geblockt werden, aber das ist auch nicht das Wahre.
2. Es findet keine Verknüpfung mit meinem AD statt. Z.B. Sehe ich im Log, von welchem PC aus eine verbotene Website angesurft wird, aber nicht, welcher Benutzer.
Aus diesen beiden Gründen wechsle ich dieses Jahr noch auf die USG110
