Hallo ihr da draussen,
ich möchte ein Netzwerk mit ca. 60 Usern möglichst umfassend absichern. Im Augenblick läuft da nur nen besseres DSL-Modem (Bintec 2300 Router mit NAT, dynamische IP)
Zielsetzung:
- Dienste nach aussen freigeben
- Netzwerklogin von aussen ermöglichen (Win2003 Domäne + bald nen Samba)
- VPN Verbindungen
- Viren/Spamschutz
unser Hardwarelieferant hat uns dafür ne Appliance (iss Proventia M10) angeboten.
http://www.zdnet.de/enterprise/server/0 ... 232,00.htm
Soweit ich das hier lese, lösen viele von euch das aber mit nem Linuxrechner und 2 Netzwerkkarten.
Ich verstehe das bisher aufgeschnappte etwa so:
die komplette Funktionalität der Appliance lässt sich mit entsprechendem KnowHow und Konfigurationsaufwand mit ner Linuxkiste umsetzten, ich bleibe aber in allem flexibler
die Appliance hat (evtl.) den Vorteil der einfacheren Konfiguration!? man wird aber auch hier ohne entsprechende Konfiguration und Hintergrundwissen keine sichere Lösung zustande bringen...
was spricht für/gegen die ein oder andere Lösung?
PS: mir geht's nicht darum, die 1600€ für die Appliance einzusparen, die sind bei 60 Usern nicht das Drama, ich möchte aber eigentlich möglichst auf zus. prop. Systeme verzichten
danke
Markus
Security Appliance - Für und Wider
Re: Security Appliance - Für und Wider
Ich würde sagen, Preise sind immer relativ.MarkusF hat geschrieben:Hallo ihr da draussen,
ich möchte ein Netzwerk mit ca. 60 Usern möglichst umfassend absichern. Im Augenblick läuft da nur nen besseres DSL-Modem (Bintec 2300 Router mit NAT, dynamische IP)
Zielsetzung:
- Dienste nach aussen freigeben
- Netzwerklogin von aussen ermöglichen (Win2003 Domäne + bald nen Samba)
- VPN Verbindungen
- Viren/Spamschutz
unser Hardwarelieferant hat uns dafür ne Appliance (iss Proventia M10) angeboten.
http://www.zdnet.de/enterprise/server/0 ... 232,00.htm
Soweit ich das hier lese, lösen viele von euch das aber mit nem Linuxrechner und 2 Netzwerkkarten.
Ich verstehe das bisher aufgeschnappte etwa so:
die komplette Funktionalität der Appliance lässt sich mit entsprechendem KnowHow und Konfigurationsaufwand mit ner Linuxkiste umsetzten, ich bleibe aber in allem flexibler
die Appliance hat (evtl.) den Vorteil der einfacheren Konfiguration!? man wird aber auch hier ohne entsprechende Konfiguration und Hintergrundwissen keine sichere Lösung zustande bringen...
was spricht für/gegen die ein oder andere Lösung?
PS: mir geht's nicht darum, die 1600€ für die Appliance einzusparen, die sind bei 60 Usern nicht das Drama, ich möchte aber eigentlich möglichst auf zus. prop. Systeme verzichten
danke
Markus
Du kannst von anderen Herstellen so etwas auch zu einem weitaus höherern Preis kaufen.
Ich würde sagen das es immer um das Einsatzgebiet geht.
Du kannst natürlich auch eine Linux-Kiste nehmen die bei richtiger Härtung und Konfiguration auch die Funktionen besitzt. z.B. läuft Checkpoint auf einem gehärtetem Redhat.
Der Vorteil einer Applience liegt ganz klar in Bedienbarkeit - hier in erster Linie das Interface womit diese Konfiguriert wird, und der aufeinander abgestimmten Komponenten.
Allerdings bekommst du auch für Linux schon sehr gute fertige Firewallsysteme. (z.B. das Astaro Security Gateway 120 kostet etwa 1450 € für empfohlene 50 User kann aber auch mehr ).
Re: Security Appliance - Für und Wider
Ja.MarkusF hat geschrieben:Ich verstehe das bisher aufgeschnappte etwa so:
die komplette Funktionalität der Appliance lässt sich mit entsprechendem KnowHow und Konfigurationsaufwand mit ner Linuxkiste umsetzten, ich bleibe aber in allem flexibler
Die Appliance scheint laut Link oben auch nicht ganz einfach beim Aufsetzen zu sein, aber sicher ist sie einfacher als alles selbst aufzusetzen. Dafür hast Du hinterher mit Linux eine Lösung, die Du verstehst und voll administrieren kannst. Teile der Appliance scheinen auch Blackbox Charakter zu haben. ....und die Dinge, die Du brauchst, um die Appliance zu ersetzen stehen ja auch grob im Artikel drin...Der Vorteil der Appliance "scheinen" die dahinter stehenden Security Leute zu sein, die vernünftige Lösungen implementieren.die Appliance hat (evtl.) den Vorteil der einfacheren Konfiguration!? man wird aber auch hier ohne entsprechende Konfiguration und Hintergrundwissen keine sichere Lösung zustande bringen...
Sehe ich auch so.
Ohne das Wissen wirst du keine gute Firewall aufsetzen können.
Eine Security-Appliance besteht zum größten Teil ja nicht nur aus der reinen Firewall sonder ist auch noch mit Proxies für die verschiedenen Protokolle bespikt.
Was auch wichtig ist: Eine Firewall benötigt ewige Betreuung.
Also reicht es nicht diese einmal aufzusetzen und dann zu vergessen.
Der Vorteil einer fertigen Lösung ist einfach, das sich der Hersteller um die Sicherheit des Systems kümmert in Form von Updates etc.. Somit ist der von dir zu erbringende Aufwand geringer, was sich natürlich auch in den Folgekosten widerspiegelt. Es mögen zwar die Anschaffungskosten höher sein, aber dafür sind die Kosten für die Wartung im gegensatz zu den Kosten die bei eigener Wartung entstehen ein wichtiger Faktor (Hier meine ich dein Gehalt)
Gruß Martin
Ohne das Wissen wirst du keine gute Firewall aufsetzen können.
Eine Security-Appliance besteht zum größten Teil ja nicht nur aus der reinen Firewall sonder ist auch noch mit Proxies für die verschiedenen Protokolle bespikt.
Was auch wichtig ist: Eine Firewall benötigt ewige Betreuung.
Also reicht es nicht diese einmal aufzusetzen und dann zu vergessen.
Der Vorteil einer fertigen Lösung ist einfach, das sich der Hersteller um die Sicherheit des Systems kümmert in Form von Updates etc.. Somit ist der von dir zu erbringende Aufwand geringer, was sich natürlich auch in den Folgekosten widerspiegelt. Es mögen zwar die Anschaffungskosten höher sein, aber dafür sind die Kosten für die Wartung im gegensatz zu den Kosten die bei eigener Wartung entstehen ein wichtiger Faktor (Hier meine ich dein Gehalt)
Gruß Martin
Re: Security Appliance - Für und Wider
Hallo MarkusF,
Man muß schon sehr penetrant gegenüber dem Hersteller sein, um Detailinformationen zu erhalten. Vermutlich wird da der Partner nicht völlig ausreichen, weil er selbst nicht über Detailinformationen verfügt/verfügen kann.
Problem bei Appliances/Black-Box Ansätzen ist halt immer, daß nur das gut geht was der Hersteller vorgedacht hat. Gefällt einem das nicht so ganz bzw. ist es 'schlecht implementiert' (oder auch extrem benutzerunfreundlich
hat man selbst üblicherweise schlechte Karten es zu ändern. Hier ist man auf die Einsicht des Herstellers angewiesen, die üblicherweise nur dann gegeben ist, wenn die Mehrheit seiner Kunden den Wunsch nach Änderungen deutlich artikulieren.
Abhängig von dem, was Du konkret machen möchtest, kannst Du Dir auch Appliances von Astaro http://www.astaro.de/, Sofaware/CheckPoint http://www.sofaware.com/, Genua http://www.genua.de/ ansehen. Aber im Prinzip hat jeder große Netzwerkhersteller etwas ähnliches im Angebot.
Die Kunst hier ist eine möglichst gut passende Appliance zu finden. Hierbei solltest Du einerseits auf technische Features andererseits aber auch darauf achten, daß die Appliance mit dem Wissen eures Administratorenteams vernünftig bedienbar/administrierbar/auswertbar ist. Die Vorstellung "einmal implementiert, nie wieder administriert" ist definitiv falsch. Ich würde zugunsten einer 'passenderen' Bedienbarkeit lieber auf Features verzichten. Ich würde auch die Motivation eines Hardwarelieferanten für die Empfehlung auch genau hinterfragen. Letztendlich ist aber auch der Preis in Entscheidungskriterium. Allerdings solltest Du hier einen längerfristigen Preis ermitteln, da Produkt-Updates/-Aktualisierungen etc. wichtig/notwendig sind und natürlich auch Geld kosten. Auch Kosten durch z.B. Bindung der Arbeitskrafts eines Administrators solltest Du wenigstens ansatzweise berücksichtigen.
So, ich habe natürlich keine Aktien der genannten Hersteller und bin auch sonst nicht am Umsatz beteiligt.
Viel Spaß, weitere Fragen gerne willkommen
admappr
...bei ISS lohnt sich das akribische lesen und befolgen der Doku bzw. konsultieren der jeweiligen Knowledge Base.MarkusF hat geschrieben: Zielsetzung:
- Dienste nach aussen freigeben
- Netzwerklogin von aussen ermöglichen (Win2003 Domäne + bald nen Samba)
- VPN Verbindungen
- Viren/Spamschutz
unser Hardwarelieferant hat uns dafür ne Appliance (iss Proventia M10) angeboten.
http://www.zdnet.de/enterprise/server/0 ... 232,00.htm
Soweit ich das hier lese, lösen viele von euch das aber mit nem Linuxrechner und 2 Netzwerkkarten.
Markus
Man muß schon sehr penetrant gegenüber dem Hersteller sein, um Detailinformationen zu erhalten. Vermutlich wird da der Partner nicht völlig ausreichen, weil er selbst nicht über Detailinformationen verfügt/verfügen kann.
Problem bei Appliances/Black-Box Ansätzen ist halt immer, daß nur das gut geht was der Hersteller vorgedacht hat. Gefällt einem das nicht so ganz bzw. ist es 'schlecht implementiert' (oder auch extrem benutzerunfreundlich
hat man selbst üblicherweise schlechte Karten es zu ändern. Hier ist man auf die Einsicht des Herstellers angewiesen, die üblicherweise nur dann gegeben ist, wenn die Mehrheit seiner Kunden den Wunsch nach Änderungen deutlich artikulieren.Abhängig von dem, was Du konkret machen möchtest, kannst Du Dir auch Appliances von Astaro http://www.astaro.de/, Sofaware/CheckPoint http://www.sofaware.com/, Genua http://www.genua.de/ ansehen. Aber im Prinzip hat jeder große Netzwerkhersteller etwas ähnliches im Angebot.
Die Kunst hier ist eine möglichst gut passende Appliance zu finden. Hierbei solltest Du einerseits auf technische Features andererseits aber auch darauf achten, daß die Appliance mit dem Wissen eures Administratorenteams vernünftig bedienbar/administrierbar/auswertbar ist. Die Vorstellung "einmal implementiert, nie wieder administriert" ist definitiv falsch. Ich würde zugunsten einer 'passenderen' Bedienbarkeit lieber auf Features verzichten. Ich würde auch die Motivation eines Hardwarelieferanten für die Empfehlung auch genau hinterfragen. Letztendlich ist aber auch der Preis in Entscheidungskriterium. Allerdings solltest Du hier einen längerfristigen Preis ermitteln, da Produkt-Updates/-Aktualisierungen etc. wichtig/notwendig sind und natürlich auch Geld kosten. Auch Kosten durch z.B. Bindung der Arbeitskrafts eines Administrators solltest Du wenigstens ansatzweise berücksichtigen.
So, ich habe natürlich keine Aktien der genannten Hersteller und bin auch sonst nicht am Umsatz beteiligt.
Viel Spaß, weitere Fragen gerne willkommen
admappr
erstmal danke für die Antworten. Nach einigem googeln und einem Gespräch mit meinem Hardwareliefanten bin ich leider auch nicht sehr viel klüger.
Bei nem offenen System habe ich bei zur Not halt unzählige Foren die weiterhelfen können, bei nem geschlossenen System fühle ich mir schon von Haus aus irgendwie ausgeliefert. Alleine zu IP-Tables gibt's ja schon tausende von Konfigurationsbeispielen zum Routing etc. Es sind auch nicht einfach die Lizenzkosten, die mir bei MS graue Haare wachsen lassen!
Da ich noch bis Anfang 08 Zeit habe, werde ich mal ne Testinstallation aufsetzen, und das evtl. von ner Sicherheitsfirma durchchecken lassen. Zumindest lernen kann man da was dabei ,-)
danke und Grüße
Markus
Das scheint mir der wunde Punkt zu sein. Der Händler kennt offensichtlich die Standardsachen, da denke ich aber, dass ich die auch selber ganz gut hinkriege. Er hat auch schon einige von den Teilen installiert, aber bei spezielleren Themen muss er sich auch noch 'schlau machen'. Ich zweifle nicht an seinem guten Willen, aber ebenfalls an seinen Möglichkeiten....bei ISS lohnt sich das akribische lesen und befolgen der Doku bzw. konsultieren der jeweiligen Knowledge Base.
Man muß schon sehr penetrant gegenüber dem Hersteller sein, um Detailinformationen zu erhalten. Vermutlich wird da der Partner nicht völlig ausreichen, weil er selbst nicht über Detailinformationen verfügt/verfügen kann.
Bei nem offenen System habe ich bei zur Not halt unzählige Foren die weiterhelfen können, bei nem geschlossenen System fühle ich mir schon von Haus aus irgendwie ausgeliefert. Alleine zu IP-Tables gibt's ja schon tausende von Konfigurationsbeispielen zum Routing etc. Es sind auch nicht einfach die Lizenzkosten, die mir bei MS graue Haare wachsen lassen!
Da ich noch bis Anfang 08 Zeit habe, werde ich mal ne Testinstallation aufsetzen, und das evtl. von ner Sicherheitsfirma durchchecken lassen. Zumindest lernen kann man da was dabei ,-)
danke und Grüße
Markus
...hm.MarkusF hat geschrieben:erstmal danke für die Antworten. Nach einigem googeln und einem Gespräch mit meinem Hardwareliefanten bin ich leider auch nicht sehr viel klüger.
Bei nem offenen System habe ich bei zur Not halt unzählige Foren die weiterhelfen können, bei nem geschlossenen System fühle ich mir schon von Haus aus irgendwie ausgeliefert. Alleine zu IP-Tables gibt's ja schon tausende von Konfigurationsbeispielen zum Routing etc. Es sind auch nicht einfach die Lizenzkosten, die mir bei MS graue Haare wachsen lassen!
Da ich noch bis Anfang 08 Zeit habe, werde ich mal ne Testinstallation aufsetzen, und das evtl. von ner Sicherheitsfirma durchchecken lassen. Zumindest lernen kann man da was dabei ,-)
Es spricht vieles dafür sich da selbst einzuarbeiten!
Bitte beachte bei "selbstgebastelten" Lösungen aber auch, daß Du -- und sinnvollerweise einige weitere Kollegen -- das möglicherweise längerfristig auch administrieren und warten (=aktualisieren, anpassen etc.) müsst.
Die Rechnung Gesamtkosten = Hardwarekosten + Softwarekosten ist definitiv zu kurz gegriffen.
Auch der Zeitaufwand zum kapieren kryptischer Konfigurationen die man selbst vor 17Monaten gemacht hat, ist bei der Fehlerbehebung nicht zu unterschätzen!
Wenn Du die verschiedenen Aufgaben auf verschiedenen Kisten erledigst, mußt Du halt auch den Mehraufwand an Komponenten mit berücksichtigen...
sorry, could not resist
admappr