Alterntiven zur Endian?

1. offizieller Beitrag

    Nicht dass ich hier falsch verstanden werde, ich liebe die Endian Firewall!
    Die einfache Bedienung, die Übersichtlichkeit und die Funktionsvielfalt gibt es
    in einem Paket bei kaum einer anderen Firewall.

    Allerdings habe ich in letzter Zeit immer häufiger Projekte, bei der die Endian an ihre
    Grenzen stößt, da sie entweder die Funktion nicht bietet, oder weil Netzwerk-Treiber nicht
    aktuell genug sind um die Hardware zu unterstützen. (Ich benutze Ausschließlich die Community Edition)

    In den letzten Tagen habe ich nun Smoothwall, PFsense, IPFire, Sophos/Astaro ausprobiert,
    aber keine konnte mich wirklich begeistern.
    Gerade wenn es darum geht Firewall Richtlinien anzulegen, oder einer Netzwerkschnittstelle
    Zonen zuzuordnen, wird es mir bei den anderen "zu kompliziert".
    Vielleicht ist es dort ja eigentlich nicht kompliziert, aber es ist einfach nicht so übersichtlich
    und selbterklärend wie bei der Endian, oder man wird mit hunderten optionen erschlagen, die
    ich gar nicht benötige.

    Vom Benutzerinterface finde ich Zyxel USG und Sonic-Wall Firewalls noch recht intuitiv, allerdings kommen
    für meine Zwecke UTM Systeme bei denen man Abonnements bezahlen muss nicht in Frage, sondern
    eigentlich nur OpenSource Firewall Distributionen.

    Daher meine Frage: Mit was arbeiten Endianer denn eigentlich so, wenn sie doch mal "Fremd gehen" müssen ?

    • Offizieller Beitrag

    Hallo,
    nein das wird hier ganz und gar nicht falsch verstanden.
    Hier darf jeder seine Meinung äussern.

    Hatte Jahrelang eine EFW, brachte aber immer mehr nicht die erwartete Performance.
    Ich selbst habe alle Kundem die eine EFW hatten, umgestelllt zu einer Sophos.
    Sie sind damit alle höchst zufrieden, gute dieses Subscription ist das ist da nicht so dolle, vorallem wenn bei Ablauf, die Dieste gestoppt werden.

    Am Anfang wenn man die efw gewohnt ist, ist man mit der Sophos vieleicht etwas überfordert, aber nach und nach wirds einfacher.
    Jetzt navigiere ich im schlaf hier durch.

    Sehr praktisch finde ich die Sophos RED Lösung.Ist auch im Einsatz in einer Praxis.
    Endian ist meines erachtens, was Entwicklung an geht, etwas hinten dran,so wie das mit der Supportet Hardware ist.

    Wenns frage zur Sophos hast, immer her damit.

    Gruss

    Bei Sophos stört mich in erster Linie die Lizenz-Politik.
    Ich statte aktuell mehrere Schulen mit Firewall-Lösungen aus und die Kassen der Kommunen sind meist völlig leer.
    In Schulen ist auch kein derart hoher Sicherheitsbedarf wie in Unternehmen nötig, allerdings hängen gerade in Oberschulen trotzdem gern mal 80-100 Computer und mehr hinter der Firewall und wenn dann Content- und Virenfilter laufen, muss das System schon ordentlich dimensioniert sein.
    Solche Systeme kosten dann gern mal mehrere tausend Euro zuzüglich regelmäßige Updates für Content- und Virenfilter-Signaturen.
    Das sind Kosten die man den Geldgebern einfach nicht vermitteln kann, vor allem wenn dort zuvor eine 80 Euro Fritzbox auch "ausgereicht" hat.
    Deswegen bin ich in der Vergangenheit immer gut mit der Endian Community Edition gefahren. Das ganze auf einem kleinen kostengünstigen Rackserver mit 4-6 Netzwerk-Ports installiert und alle waren zufrieden.
    Aktuell habe ich jedoch zwei Projekte, bei denen das ganze nicht mehr funktioniert.
    Zum einen habe ich nun ein Netzwerk, das eigentlich 5 getrennte Zonen benötigen würde, was mit der Endian nur über große Umwege funktioniert und an einem anderen Standort hatte ich den gleichen Server wie immer bestellt, jedoch nutzt die neue Revision eine anderen Onboard-Netzwerkcontroller, den die Endian nicht unterstützt.

    Die Sophos UTM wäre für den einen Standort mit den 5 Zonen eine gute Alternative, die kostenfreie Version mit der Beschränkung auf 50 Clients würde hier sogar ausreichen, allerdings ist diese ja laut Lizenz-Vereinbarung nur für den Privatgebrauch zulässig.
    Von den bisher getesteten Firewall-Distributionen gefiel mir die Sophos nach der Endian eigentlich auch am besten.
    Vom Funktionsumfang her fand ich auch PFsense recht gut, aber man wird hier ja von den Einstelloptionen die geboten werden regelrecht erschlagen und die unübersichtliche Benutzeroberfläche verschlimmert das ganze noch.
    Ich bin gestern auch noch auf OPNsense gestoßen, das Projekt ist offenbar ein Fork von PFsense und hat eine wesentlich übersichtlichere Oberfläche, allerdings sind hier Funktionen wie IDS und Content-Filter noch nicht implementiert und werden wohl noch bis Juli auf sich warten lassen.

    Ich bin schon echt am überlegen ob ich eine Zyxel Zywall USG bestelle, denn die sind bis 50 Benutzer noch relativ günstig zu haben und machen eigentlich alles was sie sollen. Allerdings ist man auch hier wieder auf Abos angewiesen, was ich eigentlich vermeiden will, denn die kostenlosen Filter von ClamAV und Dansguardian, die Endian in der Community Edition integriert, reichen eigentlich vollkommen.

    • Offizieller Beitrag

    Ja das stimmt schon, das ist da echt schade das hierbei die Dienste nicht mehr gehen.
    Wobei man aber auch sagen kann eine UTM ohne Updates ist eine unsichere UTM.

    Kann man jetzt sehen wie man will.
    Was mich bei der Endian auch gestört hat das du nur die 3 Netzte hast, klar kann man mehrere erstellen aber es bleibt immer nur GRÜN,BLAU,ORANGE
    Bei Sophos weiß ich das und bei den anderen vermute ich es mal, kannst du die Interfaces benennen wie du es möchtest.

    Oh ja, die Argumentation kenne ich, da lief Jahrelang eine FritzBox warum muss da jetzt was anderes hin.
    Das Remote Zugriffe damit besser sind, das Surfen richtig schön reglementiert werden kann, ebenso wie ein Schutz der Schüler, so wie das all das "böse" aus dem Internet verhindert wird zählt erstmal nicht.
    Immer zu Lasten der Sicherheit, ist aber mal was passiert, gibts dann ein "ach hätte man doch" :)

    Endina war halt so, klappt was nicht wirklich, scriptet man sich was, oder kann mal fix das System anpassen.
    Wobei ich wie gesagt, alle Kunden von Endian weg habe zur Sophos,
    alle sind begeistert wie schnell und einfach alles läuft, Remote Zugriffe, egal ob per VPN, oder Reverse Proxy für Exchange usw.
    oder die allgemeine Performance beim Download an einer 50Mbit Leitung. Schaffte die EFW nicht.

    Ach ja, angesehen habe ich mir mal Watchguard, bin aber mit dem UI irgend wie nicht warm geworden, vielleicht habe ich hier auch zu komplex gedacht. Aber auch nur Gewöhnung Sache.

    Eine Schule habe ich in nächster Zeit auch wieder,
    mal sehen ob das hier eine Sophos wird, tendieren würde ich dazu.

    Moin,
    wir haben als mittelständiges Unternehmen Anfang 2014 unsere Sophos UTM (Hardware Appliance) gegen eine Securepoint UTM (VMWare Cluster im HotStandby) getauscht.
    Hauptgrund waren die Lizenzkosten die uns eine entsprechende Sophos UTM als HotStandy-Lösung unter VMWare gekostet hätte. Das Lizenzmodell von Sophos ist beim Einsatz der UTM Software auf eigener Hardware echt heftig (Lizenzierung nach IP-Adressen)!

    Bei der Securepoint ist es egal, ob die UTM Software auf eigener HW oder Standardservern oder als VM läuft. Es wird rein nach der Anzahl der User lizenziert. Ob dahinter nun 50, 100 oder 200 Geräte im LAN hängen ist bei SP egal.
    Klar, die Sophos UTM ist schon echt toll. Gerade was die Konfigurationsmöglichkeiten und UI angeht. Aber nach etwas Anlaufschwierigkeiten und Umgewöhnung haben wir Alle unsere Anforderungen auch mit der SP umgesetzt bekommen. Und das mit einem deutlichen Kostenvorteil gegenüber der Sophos UTM.

    Gruß
    Dirk

    • Offizieller Beitrag

    ich denke ja..

    Zitat


    Proxys:

    HTTP, HTTPS, FTP over HTTP, POP3, SMTP, SIP/RTP, VNC
    Transparenter Mode (HTTP, POP3)
    Authentisierung: Active Directory, lokale User-Datenbank
    Integrierter URL-/Content-/Web-Filter (siehe Content-/Web-Filter)
    Integrierter Antivirus-System (siehe AV) Integrierter Spam-Filter (siehe AS) Gruppen-/zeitkontrollierte Regeln

    http://www.securepoint.de/produkte/utm-f…d.html#features Bei den Proxys

    Zitat von "Sabine"

    Die Securepoint UTM kostet als Software keine 400.- Euro . . sehe ich das richtig ?

    LDAP Authentifizierung kann die aber nicht . .. oder ?

    Gruß Sabine

    Moin,
    also die reine UTM Software kostet pro Installation ca. 350€. Bei einem HotStandby braucht man die SW dann 2 mal ;)

    Allerdings braucht es auch noch die Subscription (Updates, usw.):
    HotStandby Lizenz (ca. 250€/pro Jahr)
    5 User Lizenz Pack = ca. 250€ pro Jahr (Mindestanzahl der User)
    pro weiteres 5 User-Pack kostet die Subscription ca. 70€ pro Jahr

    Bei 50 Usern kommt man damit auf ca. 1200€ Kosten pro Jahr (+ 700€ Einmalig für die UTM Software). Rabatt gibt es natürlich auch, wenn man gleich eine Subscription für 3 oder 5 Jahre abschließt :D

    Natürlich gibt es auch HW Appliances von Securepoint. Für uns war jedoch die Beschaffung von 2 Dell 1HE Rackservern incl. 5 Jahre Vor-Ort-Support günstiger als eine vergleichbare HW Appliance von Securepoint. Bessere Leistung und besserer Support bei weniger Kosten :)

    Genaue Preise kann ich keine nennen, da ich kein Fachhändler bin. Die angegebenen ca. Preise sind sie Preise, die wir im konkreten Projekt bezahlt haben.
    Im Endeffekt hätte uns eine einzelne Sophos UTM 320 HW incl. 1 Jahr Subscription genau soviel gekostet wie die komplette Lösung mit dem SP UTM Cluster und der Hardware von Dell!
    Allerdings sind noch 3 Tage DL für die Übertragung der Konfiguration von Sophos auf die SP angefallen. Und das hat wahrlich genug Probleme gemacht! Dabei haben wir einen Dienstleister verschlissen... :twisted:
    Ein anderer Securepoint Partner und der Support direkt von SP haben aber Alles wie gewünscht ans laufen bekommen.

    Natürlich unterstützt die SP UTM auch Anbindung an einen LDAP-Server. Sind gerade dabei das Feature zu aktivieren um damit den Zugriff auf das jeweilige Proxyprofil über die das Windows-Login zu steuern.

    Gruß
    Dirk

    Danke für den Tipp mit Securepoint, die Systeme werde ich mir bei Gelegenheit mal genauer ansehen.

    Aktuell habe ich meine beiden "Problemkinder" mit der Endian Community Version doch noch zum laufen bringen können.
    Die Treiber-Probleme habe ich mit einem 3.x Kernel aus der Brasilianischen Endian Gemeinschaft umgehen können
    und um mehr als 3 Zonen zu nutzen, hat für meinen Fall folgender "Workaround" ausgereicht:

    http://help.endian.com/entries/253918…ne-in-sub-zones

    Ich habe die Zone Grün einfach auf zwei Netzwerkschnittstellen unterteilt und über Interzone-Firewallrichtlinien die Netzwerkverbindung
    zwischen den zwei Schnittstellen untersagt. Den Teil "Bind an IP Address or Subnet to the Interface" dieser Anleitung brauchte ich in meinem Fall nicht.
    Es ist sicher nicht die "schönste Lösung" aber es macht erstmal was es soll.

    Schade finde ich nur, dass ich auch einen Monat nach meiner E-Mail-Anfrage immer noch keine Antwort vom Endian Support bekommen haben.
    Das war vor zwei Jahren noch ganz anders, dort hatte man mir beispielsweise sogar einen fehlenden Treiber zur Verfügung gestellt. Allerdings scheinen heutzutage offenbar nur noch die zahlenden Kunden eine Antwort auf E-Mails zu erhalten.