UDM Pro + FritzBox + TK-Anlage / UDM als Firewall verwenden

Zitat von bic

Die Zugriffs- und sonstigen Rechte der einzelnen Nutzer/Hosts kann man im AD schön regeln und dass ein Mitarbeiter irgendwelche Software installieren kann, fällt von vornherein aus. Kann man dann noch die eingehenden Emails (pop3/imap) z.B. mit einer Sophos auf Malware und Viren scannen und nutzt deren eingebauten sonstigen next generation Schutzmaßnahmen, ist man schon ganz weit vorn mit dabei

Das ist schon mal recht zielführend.
Aber wenn schon Sophos, dann konsequent auch dort DHCP und DNS. So können wesentlich mehr von den Schutzfunktionen greifen und werden zentral verwaltet. Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc funktionieren bei einer Sophos deutlich besser als Unifi oder gar MS. Bei Sophos entdeckt man sofort, welche PCs der Kollegen auf einmal durchdrehen.

Was grundsätzlich auch noch dazu gehört im betrieblichen Umfeld ist eine revisionssichere E-Mail-Speicherung.
Diese Lösung habe ich schon installiert, ziemlich narrensicher, transparent und bei wenigen Nutzer kostengünstig.

REDDOXX: E-Mail-Management & IT-Sicherheit

Die REDDOXX Produktfamilie im Überblick Gesetzeskonformes E-Mail-Management und IT-Sicherheit REDDOXX ist mit weit über 4.000 Installationen in Deutschland…

www.reddoxx.com

Zitat von phino

Aber wenn schon Sophos, dann konsequent auch dort DHCP und DNS. So können wesentlich mehr von den Schutzfunktionen greifen und werden zentral verwaltet. Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc funktionieren bei einer Sophos deutlich besser als Unifi oder gar MS. Bei Sophos entdeckt man sofort, welche PCs der Kollegen auf einmal durchdrehen.

Aber nicht bei einem AD, da gehören DHCP und DNS auf den DomänenController. DNS ist sogar zwingend, sonst funktioniert die Sache nicht (lässt sich glaube ich gar nicht ohne einrichten) und DHCP ist ratsam, da dadurch die Clients (auch neue) automatisch in den DNS rutschen. Hat man noch nen W-Server mehr, kann man dem die DHCP-Rolle aufhalsen, soll sogar sicherer sein, sagt MS - aber egal. "Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc" übernimmt die Sophos aber auch ohne dass diese DHCP spielt.

Zitat von phino

Was grundsätzlich auch noch dazu gehört im betrieblichen Umfeld ist eine revisionssichere E-Mail-Speicherung.
Diese Lösung habe ich schon installiert,

Ich auch - macht Tobit David gleich mit

Zitat von bic

Ich auch - macht Tobit David gleich mit

Dieses ist fein, geht ab an den Möglichkeiten von lapetos vollkommen vorbei. Er hat weder Zeit noch Geld dafür. Immer schön das Projektziel und Möglichkeiten im Auge behalten bei Vorschlägen.

Zitat von bic

Aber nicht bei einem AD, da gehören DHCP und DNS auf den DomänenController. DNS ist sogar zwingend, sonst funktioniert die Sache nicht (lässt sich glaube ich gar nicht ohne einrichten) und DHCP ist ratsam, da dadurch die Clients (auch neue) automatisch in den DNS rutschen. Hat man noch nen W-Server mehr, kann man dem die DHCP-Rolle aufhalsen, soll sogar sicherer sein, sagt MS - aber egal. "Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc" übernimmt die Sophos aber auch ohne dass diese DHCP spielt.

Mit DHCP im AD habe ich keine Probleme. Aber Microsoft > DNS > Internet geht gar nicht. Ist das Erste, was wir abschalten.
Es liegt einfach daran, dass Microsoft von Anfang an unter DNS etwas anderes in ihrer Welt verstanden hat als das Internet.
Ja Sophos kann auch ohne DHCP schützen, aber nicht alles, insbesondere das Ausliefern von Schutzsoftware für die Clients (besonders die hinter der RED) ist problematisch.

Zitat von lapetos

ok aktuell verfügbar wäre eine XGS 135

sorry Frage wurde ja bereits beantwortet, mit Sophos XG 125 und OPNsense

Was spricht gegen die UDM pro?

Der Datendurchsatz?

Die eingeschränkten Möglichkeiten (keine eMail-Überwachung)

weitere Frage:

kennt ihr diese Lösung:

APU-Board mit pfSense bespielen (freeware)

https://www.apu-board.de/produkte/apu4d4.html

Wenn ja jemand Erfahrung damit?

Ideal wäre eine OpenSource-Lösung die eingermaßen einfach zu bedienen ist, also ohne wochenlanges studieren...

Gruß Chris

Alles anzeigen

Ich würde erst einmal zu einer XG 125 mit der XG Home-Version greifen und dies ausprobieren. Die in #18 verlinke Sophos ist ein gute Ausgangspunkt.
Du bekommst halt bei Sophos alles aus einer Hand bis hin zur automatischen Aktualisierung der (Mobil)-Clients mit anti Viren-Software. Auch die sichere Einbindung der externen mit einer RED erfolgt simpel und dort dann auch gleich mit demselben WLAN wie in der Firma.
OPNsenes ist sehr leistungsfähig, aber halt Open Source. Dies bedeute viel mehr Einarbeitung und wesentlich mehr Pflegeaufwand.
Damit holst du dir unnötig Arbeit/Zeit ins Projekt.

Zitat von phino

Aber Microsoft > DNS > Internet geht gar nicht. Ist das Erste, was wir abschalten.

Aha - und wie funktioniet dann das AD?

Zitat von phino

dass Microsoft von Anfang an unter DNS etwas anderes in ihrer Welt verstanden hat als das Internet.

Das kann ich zwar nicht nachvollziehen. aber wenn einem die Stammhinweise nicht gefallen (immerhin sind dies die 13 DNS-Root-Server), kann man ja auch so etwas machen:

Zitat von phino

Ja Sophos kann auch ohne DHCP schützen, aber nicht alles, insbesondere das Ausliefern von Schutzsoftware für die Clients (besonders die hinter der RED) ist problematisch.

Ok - habe ich aber noch nichts von gehört.

Zitat von lapetos

und wenn ich auf einem 2. Server die Sophos Firewall Home Edition installiere?

Wir haben noch einen proliant mit Windwos Server 2008 in Betrieb.

Da müsste ich dann wohl eine VM aufsetzten falls das damit geht ?

Das kann man natürlich machen, aber das ist auch nur wieder Bastelei, wer will denn wissen, welche Löcher man damit aufmacht? Gerade im Enterprisebereich gehört eine FW direkt an die Netzwerkante und zwar als dedizierte Kiste (egal ob Appliance, PC o.ä.). Habt Ihr nicht einmal die 250,-- für eine gebrauchte Appliance?

Zitat von lapetos

und wenn ich das richtiog verstehe:

kaufe ich eine 125er dann muss ich auch dort zunächst Sophos Firewall Home Edition installieren, also quasi das bestehende Betriebssystem überschreiben

Jein Das Teil ist auch nur ein Computer und hat sein OS auf einer SSD. Zur Installation der Home ist die Platte neu zu formatieren (falls das nicht schon jemand gemacht hat) und dann das OS z.B. von einem bootfähigen USB-Stick zu installieren.

Zitat von lapetos

kann mir jemand helfen wie ich das mit den VPN-Geschichten auf der FB mache?

Wie ist es denn jetzt? IPsec-VPN unter Zuhilfenahme eines MyFritz! Kontos? Zwischen der Sophos und einer Fritte geht dies dann genau so, jedoch ohne MyFritz!. Stattdessen trägt man dann die festen IPs (so man welche hat) oder eben den DynDNS Account ein, sieh auch hier: klick!

Zitat von lapetos

kann mir jemand helfen wie ich das mit den VPN-Geschichten auf der FB mache?

LAN2LAN soll bestehen bleiben nach Möglichkeit

Auch an dieser Stelle würde ich die Sophos nehmen. Es gibt 3 Lösungen. Einmal eine Client-Software-Lösung, SSL-VPN und zum anderen Hardwarelösungen. Die Software(sophos connect) ist für mobiles Arbeiten eines Lappy gut geeignet.
Wenn man einen festen Standort hat, sind die REDs oder eine 2. XG zu empfehlen. Die RED schließt man an irgendein Internetzugang an. Die muss man einmal im Netz der Sophos konfigurieren und dann kannst du es jedem in die Hand drücken. Je nach Model hat man dann LAN-Ports und/oder WLAN. Es gibt auch die Möglichkeit ein LTE-Modul einzubauen, um vollkommen autark zu sein, gilt auch für die XG 125.
Eine 2. XG 125 ist etwas aufwendiger als Gegenstelle, ist eher etwas, wenn der 2. Standort eine eigenständige Filiale mit mehreren Nutzern ist.

Zitat von lapetos

Aber kann ich einfach die Fritten-VPNs lassen ?

Brauche die Verbindung zu außenliegenden IP-Telefonen.

Könnte doch auf der Fire3wall explizit die IPs der Telefone und TK-Anlage freigeben?

Jo watt denn nu? Meinst Du die Sophos an die Netzwerkkante als FW und dahinter im LAN jeweils die Fritten und die machen VPN durch die Sophos hindurch? Na dann viel Spaß

Wovor hast du denn Angst, dass Du die Sophos(s) ins Netz stellst und dann nichts gebacken bekommst, geschweige denn VPN? Aber warum, Du schmeißt doch die Fritten nicht gleich in den Müll, sondern stellst die lediglich beiseite. Klappt es mit den Sophos nicht auf Anhieb, dann kommen die Fritten eben wieder rein bis zum nächsten Versuch. Aber eigentlich sollte das alles an einem Wochende zumindest erst einmal mit den Grundfunktionen erledigt sein. Vorab schlau machen musst du Dich aber schon selbst, das nimmt dir keiner ab. Genügend Informationen gibt das WWW aber dazu her, bzw. wird man damit nachgerade zugeschi....

Wofür benötigst du die Verbindung zu externen IP-Telefonen? Das Konstrukt ist mir nicht klar. Läuft die Fritz!Box als VoIP-Server und daran sollen sich die entfernten Telefone anmelden?

Grundsätzlich macht die Sophos mit ihrer Gegenstelle (RED / 2. Sophos) eine VPN-Verbindung. Alle Geräte (PC, Drucker, IP-Telefone etc.) sind dann vollkommen transparent in beiden Netzen ansprechbar. Die Fritz!Box würde dann im LAN stehen und nur noch für Telefonie zuständig sein.