Suchergebnisse

Um es ganz krass zu formulieren: Geräte von Ubiquiti sind als FW in dem Umfeld ungeeignet. Der Vorschlag mit der Sophos würde ich befürworten, wenn es eingerichtet ist, ist sie im Betrieb auch mit geringen Kenntnissen zu betreiben. Ich würde es so einschätzen, dass du zum Start mit einer kleine Sophos XG 125 Rev. 2 (Home-Editon, gebraucht zum Üben) schon mal sehr gut aufgestellt wärst. Als Erweiterung dann noch ein SD-RED (Remote Edge Devices) für den 2. Standort. Wird zentral administriert, es …

(Zitat von bic) Da gebe ich dir recht. Aber man sollte schon ein schlüssiges Konzept vorliegen haben und etwas geübt sein mit VLAN und Netzwerkmasken. Und sich in FW-Regeln hineindenken, muss man sich auch erst aneignen (da tickt ja jede FW-Hersteller etwas anders). Auch ein AD ist nicht so simpel, trotz Assistenten.

(Zitat von lapetos) Ich habe so etwas befürchtet. Ich vermute, dass eine 1-2-3 Backup-Strategie mit externem Backup auch nicht dazu gehört. Mache das Geld locker für eine Sophos-Home und probiere dich daran erst einmal zu Hause. Hoffentlich hast du Heranwachsende, da kannst du dann deinen Spaß haben.

(Zitat von lapetos) Zu A schau mal in deine PM, wäre vielleicht eine Lösung. Cloud wäre aus mein Sicht eher etwas für Backup-Strategie. Bei Punkt C machst du dir nur Magenschmerzen, und sei es das wichtige Mail etc. gelöscht wurden.

Ich weiß nicht welche Art euer Unternehmen ist, aber die Wahrscheinlichkeit ist exterm hoch, dass ihr mit personenbezogenen Daten (Kundendaten) arbeitet. Dies wäre dann für den Chef und der Firma auch noch so ein Fallstrick, z.B. wenn Daten abwandern, mit dem Weggang von Mitarbeiter. Inhouse-Angriffe sind häufiger bei Kleinbetriebe als externe. Auch so etwas könnte man zumindest eingrenzen/verifizieren mit einer AD. Aber auf dem Ohr sind Betriebe in der Größe meist taub, das fängt mit Arztpraxen…

(Zitat von lapetos) Das kennen bestimmt einige hier. Hier mal eine Anleitung, um dein Projekt zu Papier zu bringen und dem Chef vorzulegen. Damit hast du dann festgehalten, was man mindestens tun sollte. Abgesehen von einem Datenschutzkonzept http://www.markus-baersch.de/projektmanagement-vorlagen.html

Wir können dir hier nur Tipps geben und dir etwas bei Hard- und Software Auswahl helfen. Mache ein Konzept, gehe zum Chef und sehe, was du herausholen kannst und wie der Rückhalt ist, letztendlich ist er für die Firma verantwortlich. Dann kannst du dir überlegen, ob es für dich dann okay ist.

(Zitat von bic) Das ist schon mal recht zielführend. Aber wenn schon Sophos, dann konsequent auch dort DHCP und DNS. So können wesentlich mehr von den Schutzfunktionen greifen und werden zentral verwaltet. Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc funktionieren bei einer Sophos deutlich besser als Unifi oder gar MS. Bei Sophos entdeckt man sofort, welche PCs der Kollegen auf einmal durchdrehen.

Was grundsätzlich auch noch dazu gehört im betrieblichen Umfeld ist eine revisionssichere E-Mail-Speicherung. Diese Lösung habe ich schon installiert, ziemlich narrensicher, transparent und bei wenigen Nutzer kostengünstig. https://www.reddoxx.com/

(Zitat von bic) Dieses ist fein, geht ab an den Möglichkeiten von lapetos vollkommen vorbei. Er hat weder Zeit noch Geld dafür. Immer schön das Projektziel und Möglichkeiten im Auge behalten bei Vorschlägen.

(Zitat von bic) Mit DHCP im AD habe ich keine Probleme. Aber Microsoft > DNS > Internet geht gar nicht. Ist das Erste, was wir abschalten. Es liegt einfach daran, dass Microsoft von Anfang an unter DNS etwas anderes in ihrer Welt verstanden hat als das Internet. Ja Sophos kann auch ohne DHCP schützen, aber nicht alles, insbesondere das Ausliefern von Schutzsoftware für die Clients (besonders die hinter der RED) ist problematisch.

(Zitat von lapetos) Ich würde erst einmal zu einer XG 125 mit der XG Home-Version greifen und dies ausprobieren. Die in #18 verlinke Sophos ist ein gute Ausgangspunkt. Du bekommst halt bei Sophos alles aus einer Hand bis hin zur automatischen Aktualisierung der (Mobil)-Clients mit anti Viren-Software. Auch die sichere Einbindung der externen mit einer RED erfolgt simpel und dort dann auch gleich mit demselben WLAN wie in der Firma. OPNsenes ist sehr leistungsfähig, aber halt Open Source. Dies be…

(Zitat von lapetos) Auch an dieser Stelle würde ich die Sophos nehmen. Es gibt 3 Lösungen. Einmal eine Client-Software-Lösung, SSL-VPN und zum anderen Hardwarelösungen. Die Software(sophos connect) ist für mobiles Arbeiten eines Lappy gut geeignet. Wenn man einen festen Standort hat, sind die REDs oder eine 2. XG zu empfehlen. Die RED schließt man an irgendein Internetzugang an. Die muss man einmal im Netz der Sophos konfigurieren und dann kannst du es jedem in die Hand drücken. Je nach Model ha…

Wofür benötigst du die Verbindung zu externen IP-Telefonen? Das Konstrukt ist mir nicht klar. Läuft die Fritz!Box als VoIP-Server und daran sollen sich die entfernten Telefone anmelden? Grundsätzlich macht die Sophos mit ihrer Gegenstelle (RED / 2. Sophos) eine VPN-Verbindung. Alle Geräte (PC, Drucker, IP-Telefone etc.) sind dann vollkommen transparent in beiden Netzen ansprechbar. Die Fritz!Box würde dann im LAN stehen und nur noch für Telefonie zuständig sein.

(Zitat von lapetos) Welcher Art ist den euere Internet-Leitungen? Habt ihr feste IP? Warum FB als Router? Damit holst du dir doch doppeltes NAT rein? Wenn du die FB nicht als DSL-Modem loswerden kannst, solltest du die Sophos in die DMZ bringen. Ich weiß aber nicht, ob man dann noch die IP-Telefone/SIP durchbekommt.

(Zitat von sliderffm) Das mit der Hardware spielt gar keine Rolle. Er hat ein sehr, sehr geringes Geldpaket, also ist die 125/135 vollkommen okay, das sind geringwertige Wirtschaftsgüter, die werden innerhalb des ersten Jahres abgeschrieben. Sollte irgendwann die nicht mehr reichen (mehr Mitarbeiter/Bandbreite etc.) kann er aufrüsten. Aber solange er "nur" 2x DSL und 20 Mitarbeiter reicht es Dicke.

(Zitat von lapetos) Mit Intel bist du immer auf der sicheren Seite bei allen OS. Ich würde dann gleich ein Dual- oder gar Qudro-Karte nehmen. LAN Ports kann man an einer FW nie genug haben. Wenn du auch 10 GB verbauen willst, ist die Fa. Mellanox noch ein sehr guter Anbieter bei günstigen Preisen. Die Fa. ist den meisten nicht so bekannt, sie sind her im Serverbereich unterwegs.

Insgesamt kann man meiner Meinung nach guten Netzwerkkarten gebraucht kaufen von den namhaften Herstellern. Broadcom zählt auch dazu. Um Realtek würde ich einen Bogen machen, sie sind dafür bekannt viel CPU-Powewr zu beanspruchen.

(Zitat von lapetos) Warum willst du 4-mal an die FB. Pro WAN-Port kommt doch nur von DSL mit 250 MBit. Ihr habt 2x mal WAN an 2 FB? Also jeweils einmal an deine FW als IN und dann 2-3 Out (TK-Anlage/PC-Netz/Server-Netz). (Zitat von lapetos) Das gibt es immer wieder mit Fach-Software. So etwas sollte man in eine VM und eigenes Netz sperren. Damit kann man es schnell zurücksetzen und es kann nicht alles im Netz kaputt machen. Auch sind dann die Probleme eines Hardwareausfalls minimiert.

(Zitat von lapetos) Das mit NAT deaktivieren funktioniert nicht. Du sagtest ja das ihr 2-mal DSL habt. Also FB > OPNsense jeweils mit einem unterschiedlichen Netzwerk-Segment (192.168.178.0 und 192.168.179.0) an die "WAN"-Ports der FW. Die jeweiligen festen IPs des FW-WAN-Port in den jeweiligen FB als DMZ deklarieren. Damit musst du nur noch auf der FW die Regeln erstellen und nicht noch zusätzlich Port-Freigaben auf der FB (zukunftssicher bei wechsel der Internetzugänge zu Glasfaser etc.) Nur s…