Zum Inhalt wechseln


Foto

Securepoint UTM zu empfehlen?


  • Bitte melde dich an um zu Antworten
25 Antworten in diesem Thema

#1 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 20. Februar 2014 - 07:34

Moin,
wir sind derzeit auf der Suche nach einer Alternative zu unserer alten Astaro/Sophos UTM.
Auf Grund unserer Erfahrungen (Performanceengpässe) möchten wir zukünftig keine Hardware UTM mehr einsetzten, sondern einen eigenen VM-Host auf dem dann
die UTM als Software läuft.
Leider ist das Lizenzmodell der Sophos Software UTM rein auf IP-Adressen festgelegt und daher äußerst Ungünstig für uns. Wir müssten zur 250'er Lizenz greifen und das Übersteigt einfach unsere Budgetgrenzen.


Bei der Recherche nach einer Alternative sind wir u.a. auf Securepoint (SP) aufmerksam geworden. Vor allem weil es SP lizenztechnisch egal ist, ob man eine HW UTM einsetzt oder die Lösung in einer eigenen VM laufen lässt.
SP wird immer nach der Anzahl der tatsächlichen User lizensiert.


Präsentation der SP UTM vor Ort hatten wir schon. Die Oberfläche sieht im Vergleich zur Sophos UTM (8'er Version) sehr aufgeräumt aus. Von unseren Anforderungen her reicht die SP auch vollkommen aus. SP bietet sogar mehr Features als wir bisher von Sophos lizensiert hatten (z.B. Spamschutz, Mail-AV) zum günstigeren Preis.

 

Leider findet man bei der Suche nach Securepoint nicht viel im Web. Und wenn sind Einträge meist Älter, so dass die Aussagekraft nicht so recht gegeben ist.
Tenor ist aber oft, SP für Firmen < 10 User OK, größere Firmen sollten lieber eine andere UTM einsetzten (z.B. Sophos, Watchguard, usw.).


Wir haben hier 50 User, davon ca. 20 mit VPN und mehreren Devices (iPhone, iPad, Laptop)., ca. 20 Rechner für Produktionsaufgaben und ca. 20 Server.

 

Kann jemand die SP UTM empfehlen oder gibt es gar gute Gründe die gegen den Einsatz der SP UTM sprechen (Sicherheitslücken, schlechter Support, usw.)?
 

Gruß
Dirk



#2 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 02. März 2014 - 13:30

Uff... also ich würde vorschlagen Du testest mal die V9.2. Die ist neben der nicht gerade gut laufenden 9.1 wieder weniger performance hungrig und selbst alte Hardware wird flinker.

 

Dann würde ich mir von SP eine Teststellung geben lassen und die mal installieren... wenn Du nach 14 Tagen noch der Meinung bist dass die SP UTM aufgeräumter und unkomplizierter ist, dann reicht sie für euch. Ich würde sie in kleinen Büros einsetzen.

 

Persönlich würde ich übrigens keine UTM-VM auf einer Farm laufen lassen.
Was den Support angeht sehe ich es auch etwas kritischer.

Bei Sophos hat man so lange Support (auch was die WLan-Hardware angeht) bis die Subscription ausläuft.


Welchen Schutz habt ihr denn lizenziert? Wäre ein FullGuard Bundle nichts für euch?

Welche Hardware setzt ihr ein (schon die neue?)
 



#3 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 06. März 2014 - 17:09

Moin,

die Entscheidung ist mittlerweile gefallen. Wir werden im Laufe der nächsten Woche auf die SP umstellen.

Die SP-UTM Software wird auf 2 dedizierten ESXi-Hosts im Hot-Standby laufen. Auf den Hosts läuft ausschließlich die UTM-Software als VM.

Per PN hat mich ein User aus dem Forum kontaktiert der die SP schon seit Jahren kennt und auch bei größeren Installationen keine Probleme hat.

 

Preislich ist SP echt ein Schnäppchen im Vergleich zu Sophos. Vor Allem, dass SP ausschließlich nach Anzahl der User lizensiert ist sehr fair. Und das unabhängig davon, ob man eine SP UTM-Hardware einsetzt oder eine eigene HW. Das IP-Modell bei Sophos beim Einsatz eigener HW ist ja total krank :rolleyes: .Wenn viele User mehrere Devices einsetzten (Laptop mit LAN/WLAN, iPhone, iPad, VPN) verbrauchst Du mal eben 4-5 IP's für einen User! Und dann sind die Sprünge auch recht heftig. (100/250 IP's).

Bei SP können wir jeweils in 5 User-Schritten aufstocken.

Wir haben bei SP zunächst eine Subscription für 1 Jahr abgeschlossen. Wenn wir mit SP unzufrieden sind können wir uns problemlos nach einer neuen Lösung umsehen :cool:.

 

Gruß

Dirk



#4 Stephan Betken

Stephan Betken

    Expert Member

  • 4.661 Beiträge

 

Geschrieben 12. März 2014 - 14:22

Moin,

bei der Sophos UTM soll ab Version 10.0 auch eine User-Lizensierung kommen. Außerdem kommen zur Jahresmitte neue Hardwaremodelle auf den Markt, damit es bei den Appliances auch wieder entspannter aussieht.


Frag nicht, wenn Dir die Antwort nicht passt. ;)

Beste Grüße
Stephan Betken



In Memory of LukasB

#5 Maze2k3

Maze2k3

    Newbie

  • 66 Beiträge

 

Geschrieben 13. März 2014 - 11:51

Hallo,

 

überleg dir das mit dem eigenen VM-Host nochmal - mein Vorschlag wäre - > entweder 2 VM-Hosts um Ausfallsicherheit zu haben oder die Firewall in eine bestehende Umgebung zu integrieren - und wenn das nicht notwendig ist, dann doch lieber richtig die Hardware dimensionieren. (egal welchen Hersteller du wählst). 

 

VG


Status: MCP : MCSA 2003 : MCSE 2003 : MCITP EA : MCSE Server Infrastructur : UCSE : Sophos Architect : CISSP


#6 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 14. März 2014 - 14:02

Hallo,

 

überleg dir das mit dem eigenen VM-Host nochmal - mein Vorschlag wäre - > entweder 2 VM-Hosts um Ausfallsicherheit zu haben oder die Firewall in eine bestehende Umgebung zu integrieren - und wenn das nicht notwendig ist, dann doch lieber richtig die Hardware dimensionieren. (egal welchen Hersteller du wählst). 

 

VG

Moin,

wer lesen kann... :cool:

Die SP läuft auf 2 dedizierten VM-Hosts. Sprich auf beiden Hosts (1HE Dell R320) läuft nur die SP-UTM-Software und sonst nichts!


 

Moin,

bei der Sophos UTM soll ab Version 10.0 auch eine User-Lizensierung kommen. Außerdem kommen zur Jahresmitte neue Hardwaremodelle auf den Markt, damit es bei den Appliances auch wieder entspannter aussieht.

 

 

 

Schön,

offenbar merkt Sophos langsam, dass Sie mit Ihrem Lizenzmodell die Kunden vergraulen.

Wir haben uns jetzt erst mal für die SP-UTM entschieden. Allerdings sind wir durch die Installation auf einem VM-Ware-Host extrem flexibel was einen möglichen Systemwechsel angeht...

 

Ich werde Euch auf jedem Fall unsere Erfahrungen mit der SP-UTM mitteilen.

 

Gruß

Dirk


Bearbeitet von monstermania, 14. März 2014 - 14:02.


#7 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 22. April 2014 - 10:14

Moin,
wollte mal einen Erfahrungsbericht zur Umstellung von Astaro/Sophos V8.1 auf die Securepoint UTM V11 (SP) abgeben.

 

Wir haben uns zum Einsatz eines SP UTM Clusters (Hot-Standby) entschieden. Die SP UTM läuft als Software-Appliance auf jeweils einem dedizierten VMWare-Host. Im Endeffekt war diese Lösung günstiger für uns als der Einsatz von 2 SP Hardware Appliances (besserer HW Service und deutlich mehr Performance als mit SP Hardware).


Zunächst mal war die Wahl des Fachhändlers ein totaler Reinfall.

Zum Glück (für uns) hatten wir uns direkt an SP gewandt und unsere Anforderungen mitgeteilt. Daraufhin hat uns SP einen FH empfohlen. Dieser war dann hier gemeinsam mit einem Mitarbeiter von SP vor Ort und hat mit uns die Anforderungen aufgenommen und durchgesprochen.

Der Tenor war: Von unseren Anforderungen her Alles kein Problem! :rolleyes:


Die MA des Fachhändlers waren nach Auftragserteilung per TeamViewer und Vor-Ort im Betrieb und haben die Konfiguration der vorhandenen Astaro/Sophos UTM dokumentiert und die vorhandenen VPN-Zertifikate exportiert. Die Einrichtung der SP UTM wurde durch den Fachhändler außer Haus durchgeführt.
An einem Freitag sollte dann die Konfiguration bei uns Vor-Ort eingespielt werden. Lt. Aussage der MA des FH sollte die Umstellung auf die SP UTM vor Ort innerhalb von ca. 4 Stunden erledigt sein.
Fazit nach 3,5 Tagen vor Ort: Selbst mit ständigem Kontakt zum Support der Fa. SP hat es der FH nicht hinbekommen uns eine funktionsfähige UTM einzurichten, die unsere Anforderungen abdeckte. In dieser Zeit ständige Ausfälle der Internetanbindung/VPN Zugänge.

 

Wir haben uns daraufhin direkt an die Fa. SP gewandt und dort unserem Ärger Luft gemacht. So hat dann nach einigem Hin und Her schlussendlich ein Mitarbeiter der Fa. SP unsere SP UTM per Remotezugriff so eingerichtet, dass zumindest unsere Anforderungen weitgehend erfüllt waren. Den Rest haben wir dann selbst unter freundlicher Hilfe des SP-Userforums eingerichtet.


Grundsätzlich funktioniert die SP UTM (auch Hot-Standby).

Allerdings sind uns mittlerweile einige Ecken und Kanten aufgefallen, die uns doch nachdenklich stimmen:

  • SP wirbt für die UTM mit dem Einsatz von 2 Virenscannern. Tatsächlich lässt sich im Webproxy nur ein Virenscanner aktivieren
  • Wie kann SP uns einen solch inkompetenten Fachhändler empfehlen
  • Es wurde z.B. beim letzten SW-Update der SP UTM etwas am Webfilter geändert. Filterkriterien, die in der Vorversion noch funktionierten, haben dann auf einmal nicht mehr funktioniert. Ist mittlerweile wohl auch anderen Usern passiert (lt. SP Userforum). So etwas spricht nicht gerade für ein funktionierendes Qualitätsmanagement seitens des Herstellers.
  • Das Intrusion Detection System der SP ist eigentlich ein Witz.
  • Die Doku zu SP UTM ist sehr schlecht gepflegt und in vielen Punkten nicht aktuell.

Von einem deutschen Hersteller hätten wir doch etwas mehr erwartet.

 

Fazit:
Die Lizenzkosten sind bei der SP UTM sehr fair und günstig. Die Umstellung hat uns einiges an Manpower und Nerven gekostet. Vieles Davon ist sicherlich dem inkompetenten Fachhändler zuzuschreiben :suspect: . Allerdings würde ich aus heutiger Sicht nochmals darüber nachdenken eine Astaro/Sophos gegen eine SP UTM auszutauschen.  

Wir haben zum Glück zunächst nur eine 1 jährige Lizenz-Subscription bei SP abgeschlossen. Mal sehen, wie wir die Leistung der SP UTM in 6 Monaten bewerten.



#8 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 05. Mai 2014 - 14:14

Weißt Du, man muss auch mal ein Risiko eingehen und allen Unkenrufen zum Trotz sein Ding durchziehen. Sonst wäre das Leben zu langweilig und die Foren hätten keinen Input :D


Na hoffen wir mal das Beste! Wie ist die Performance so? Und warum hat der Webproxy nur einen Scanner obwohl mit zwei(?) geworben wird?
 



#9 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 08. Mai 2014 - 13:09

Moin,

ja wenn ich für Privat ein gewisses Risiko eingehe mag das ja in Ordnung sein. Aber im Unternehmenseinsatz muss ich mich auf die Produkte/Dienstleister verlassen können. Wenn ich nur daran denke, dass wir einen Tag keine Ware ausliefern könnten weil das Internet streikt... :rolleyes:

 

Im Proxy der SP-UTM kannst Du nur einen der 2 vorhandenen AV-Scanner auswählen und konfigurieren. Nur der ausgewählte AV-Scanner ist dann auch aktiv! Nur wenn man bei der SP das Mail-Gateway nutzt sind auch beide AV-Scanner aktiv.

Die Performance ist derzeit sehr gut. Absolut keine Beschwerden von den Usern mehr. Die CPU-Last dümpelt so vor sich hin. Allerdings sind die VM-Hosts auch mehr als ausreichend dimensioniert. :D

 

Derzeit suchen wir einen neuen DL für unsere SP Konfiguration. Ich werde auf jedem Fall berichten wie es mit der SP hier weitergeht.

 

Gruß

Dirk



#10 funcarver

funcarver

    Junior Member

  • 78 Beiträge

 

Geschrieben 24. Juni 2014 - 17:05

Servus,

 

gibts hier inzwischen was neues zu der SP? Mich würde interessieren wie zufrieden du/Ihr mit der SP jetzt nach ein wenig Zeit seit.

 

Ich selbst kenne beide, SP und Sophos, habe beide Geräte schon mehrfach bei Kunden konfiguriert.....


Bearbeitet von funcarver, 24. Juni 2014 - 17:05.

Grüße

Norbert

#11 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 04. Juli 2014 - 08:43

Das war eigentlich Häme meinerseits...  :rolleyes:
Jetzt verstehe ich dich aber noch weniger...

Ich stelle mir jetzt vor von unserem Provider zu E-Plus zu wechseln weil wir dann tausende Euro sparen...

Ist der zweite AV Scanner dann auch im Proxy aktiv? Oder meinen die "bis zu zwei AV Scanner" , also Proxy AV + E-Mail AV? :confused:
 

 

 

Moin,

ja wenn ich für Privat ein gewisses Risiko eingehe mag das ja in Ordnung sein. Aber im Unternehmenseinsatz muss ich mich auf die Produkte/Dienstleister verlassen können. Wenn ich nur daran denke, dass wir einen Tag keine Ware ausliefern könnten weil das Internet streikt... :rolleyes:

 

Im Proxy der SP-UTM kannst Du nur einen der 2 vorhandenen AV-Scanner auswählen und konfigurieren. Nur der ausgewählte AV-Scanner ist dann auch aktiv! Nur wenn man bei der SP das Mail-Gateway nutzt sind auch beide AV-Scanner aktiv.

Die Performance ist derzeit sehr gut. Absolut keine Beschwerden von den Usern mehr. Die CPU-Last dümpelt so vor sich hin. Allerdings sind die VM-Hosts auch mehr als ausreichend dimensioniert. :D

 

Derzeit suchen wir einen neuen DL für unsere SP Konfiguration. Ich werde auf jedem Fall berichten wie es mit der SP hier weitergeht.

 

Gruß

Dirk



#12 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 08. Oktober 2014 - 07:32

Moin,

wollte jetzt nach 6 Monaten mal so einen Zwischenbericht abgeben wie sich die Securepoint UTM (SP) im täglichen Betrieb so macht.

 

Also zunächst mal das positive. Grundsätzlich läuft die SP!

Der mitgelieferte SP VPN-Client läuft absolut problemlos und stabil unter Windows Vista/7/8.1.

Leider waren/sind durch den 1. Dienstleister immer noch 'Altlasten' in der Konfiguration vorhanden, sie sich teilweise sehr negativ ausgewirkt haben. Insbesondere im Bereich VPN hatte der 1. DL einige Böcke in der Einrichtung geschossen, die leider immer mal wieder zu VPN-Verbindungsproblemen führten.

Seit einigen Wochen haben wir jetzt einen neuen DL für die SP und mittlerweile läuft es soweit rund. Leider ist es aber auch bei diesem DL so, dass viele Optionen in der SP auch diesem DL nicht sofort klar sind. Ich finde es einfach befremdlich, wenn mir ein ausgewiesener 'Experte' auf konkrete Fragen einfach keine konkrete Antwort geben kann und immer erst mal der Spruch kommt: 'Muss ich mal austesten'. 

Das scheint aber eher ein generelles Problem im Bereich SP zu sein. Die überwiegende Zahl der Fachhändler macht halt die SP so 'nebenbei' mit. Dementsprechend ist leider auch das Fachwissen.

 

Nun zum Negativen:

  • Leider läuft die SP in einer VM (VMWare) offenbar nicht 100%ig stabil. Wir hatten jetzt bereits 2 mal den Fall, dass unsere Hot-Standby SP (passiv) abgeschmiert war. Mit diesem Problem stehen wir offenbar nicht allein da, da es entsprechende Foreneinträge im SP Supportforum gibt. Zum Glück ist das bisher nur bei der passiven UTM passiert und nicht bei der Aktiven!
    http://support.secur...php?f=33&t=2749
  • Bei Updates ist das Handling im Hot-Standby Cluster auch Alles andere als optimal. Da nur die jeweils aktiv laufende SP die Updates automatisch herunterlädt muss für ein Update zunächst die im Hot-Standby laufende SP manuell upgedatet werden. Anschließend dann die aktiv laufende. Eigentlich sollte es ja so sein, dass bei einem Update die aktive UTM die passive UTM automatisch mit aktualisiert (so stelle ich mir das zumindest vor und erwarte das auch von einer professionellen Lösung!).
  • Wir hatten den Fall, dass nach einem Update die Filterregeln des Webfilters geändert wurden. So konnten auf einmal Webseiten aufgerufen werden, die vor dem Update nicht aufgerufen werden konnten. Davon stand natürlich in der Versionshistorie zur neuen Version nichts drin! Merkt man dann nach einigen Tagen eher per Zufall.
  • Die beim Aufruf gesperrter Webseiten angezeigte 'Sperrseite' lässt sich nicht anpassen.
  • Einmal hat die UTM die PPoE-Verbindung zu unserem Provider getrennt. Da half dann nur ein Reboot der SP. Das ärgerliche daran ist, dass sich in einem solchen Fall nicht automatisch die Hot-Standby UTM aktiviert. Zum Glück ist das während der normalen Bürozeiten passiert und nicht während des Wochenendes!
  • Einmal konnte sich 1 VPN-User zwar einwählen, bekam aber kein Routing ins interne Netz. Auch hier half schlussendlich nur ein Neustart der SP. Problem dann eben, dass auch dann alle anderen VPN-User rausgeflogen sind.
  • Das Reporting der SP ist m.E. auch sehr ungenügend. So gibt es z.Zt. keine Möglichkeit eine Übersicht über das Nutzungsverhalten (Nutzungsdauer/Transferraten) der VPN-User zu erhalten.

 

Hmm,

jetzt ist die Negativ-Liste doch ganz schön lang geworden :D.

Das sollte jetzt aber niemanden abschrecken. Es handelt sich halt um einen Erfahrungsbericht der auf unseren persönlichen Erfahrungen mit einem SP Cluster unter VMWare beruht. Beim Einsatz einer SP mit SP eigener HW ohne Clusterlösung fallen ja schon einige der Negativpunkte weg. 

Nach derzeitigem Stand werden wir die SP UTM auch über den März 2015 hinaus einsetzten.

 

Gruß

Dirk


Bearbeitet von monstermania, 08. Oktober 2014 - 07:34.


#13 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 08. Oktober 2014 - 12:33

Zum PPoE: sicher dass dies überhaupt geht? Warum auch immer er die Internetverbindung verliert, scheint ja der passive Node zu laufen.
Deswegen würde ich behaupten (!) ist das Verhalten noch normal. Eventuell könnte man dies über Multipatch Rules erledigen...?

Ansonsten finde ich es aufgrund deiner Beschreibung erstaunlich welche Kompromisse man eingehen kann.
 



#14 funcarver

funcarver

    Junior Member

  • 78 Beiträge

 

Geschrieben 08. Oktober 2014 - 13:25

Es ist wie immer eine Frage des Geldes. Die Securepoint ist schon um einiges günstiger als eine Sophos, dafür kann die Sophos bedeutend mehr. Auch das Monitoring ist hier besser, sobald ein ereignis eintritt wird man per Mail benachrichtigt, wenn man das will.


Grüße

Norbert

#15 Userle

Userle

    Board Veteran

  • 729 Beiträge

 

Geschrieben 09. Oktober 2014 - 05:47

  • Eine kluge Erkenntnis: es ist unklug, zu viel zu bezahlen, aber es ist schlechter, zu wenig zu bezahlen. Wenn Sie zu viel bezahlen, verlieren Sie etwas Geld, das ist alles. Wenn Sie dagegen zu wenig bezahlen, verlieren Sie manchmal alles. Weil der gekaufte Gegenstand oder die gekaufte Leistung die zugedachte Aufgabe (auf Dauer) nicht erfüllen kann. Das Gesetz der Wirtschaft verbietet es, für wenig Geld viel Wert zu erhalten! Nehmen Sie das niedrigste Angebot an, müssen Sie für das Risiko, das Sie dabei eingehen, etwas hinzurechnen. Und wenn Sie das tun, dann haben Sie auch genug Geld, um etwas Besseres zu bezahlen.
    von John Ruskin(1819-1900)

Passt irgendwie immer wieder :D


  • funcarver gefällt das

„Wir die guten Willens sind, geführt von Ahnungslosen, versuchen für die Undankbaren das Unmögliche zu vollbringen.
Wir haben soviel mit sowenig solange versucht, daß wir jetzt qualifiziert sind, fast alles mit nichts zu bewerkstelligen !“