21
Warum brauchen wir eine UTM
Hallo, da ich neuerdings für ein kleineres Unternehmen tätig bin, muss ich mich nun auch mit dem Thema Netzwerksicherheit auseinandersetzen.
Da unser aktueller Cisco Router die 40 Mitarbeiter und ca. 80 Devices nicht mehr schafft, bin ich auf der Suche nach etwas neuem. Zuerst habe ich nach einem neuen Router gesucht, dann ist mir eingefallen, dass es ja auch noch die Möglichkeit einer UTM gibt. Nun stelle ich mir die Frage: Brauchen wir das?
Wir betreiben lediglich ein kleines Netzwerk aus einem Router einem Switch und 3 Wifi AP,s. Keine Server oder sonstiges, da bei uns alles in der Cloud steht.
Clients sind eine Mischung aus Macbooks, Windows 10 Notebooks und die üblichen iPhones und iPads.
Was meint Ihr dazu?
Liebe Grüße
Da unser aktueller Cisco Router die 40 Mitarbeiter und ca. 80 Devices nicht mehr schafft, bin ich auf der Suche nach etwas neuem. Zuerst habe ich nach einem neuen Router gesucht, dann ist mir eingefallen, dass es ja auch noch die Möglichkeit einer UTM gibt. Nun stelle ich mir die Frage: Brauchen wir das?
Wir betreiben lediglich ein kleines Netzwerk aus einem Router einem Switch und 3 Wifi AP,s. Keine Server oder sonstiges, da bei uns alles in der Cloud steht.
Clients sind eine Mischung aus Macbooks, Windows 10 Notebooks und die üblichen iPhones und iPads.
Was meint Ihr dazu?
Liebe Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391331
Url: https://administrator.de/contentid/391331
Printed on: April 23, 2024 at 10:04 o'clock
21 Comments
Latest comment
Kann man so nicht pauschal beantworten.
Kommt immer drauf an ob man die Features die eine UTM bietet gebrauchen kann.
Ein großer Punkt einer UTM der bei euch schon mal wenn überhaupt nur eingeschränkt funktioniert ist E-Mail Protection wenn ihr hierfür keine eigenen Server habt.
Da bräuchte man dann eher eine Cloud Email Protection Lösung.
Soll z.B. das Netzwerk vor den User geschützt werden ist eine UTM für einen Web Proxy ganz nett.
Oder für Wifi Zugang mit Captive Portal (z.B. Gästenetz).
Wenn das alles nicht gebraucht wird sondern wirklich nur als Firewall dann ist eine UTM too much.
Die Mitarbeiterzahl ist hier zweitrangig.
Wir haben nur 25 im Unternehmen, dafür aber alles On Premise und nutzen für Firewall, Web Proxy, Mail Protection, AP Verwaltung, VPN, Wifi Captive Portal eine Sophos UTM.
Kommt immer drauf an ob man die Features die eine UTM bietet gebrauchen kann.
Ein großer Punkt einer UTM der bei euch schon mal wenn überhaupt nur eingeschränkt funktioniert ist E-Mail Protection wenn ihr hierfür keine eigenen Server habt.
Da bräuchte man dann eher eine Cloud Email Protection Lösung.
Soll z.B. das Netzwerk vor den User geschützt werden ist eine UTM für einen Web Proxy ganz nett.
Oder für Wifi Zugang mit Captive Portal (z.B. Gästenetz).
Wenn das alles nicht gebraucht wird sondern wirklich nur als Firewall dann ist eine UTM too much.
Die Mitarbeiterzahl ist hier zweitrangig.
Wir haben nur 25 im Unternehmen, dafür aber alles On Premise und nutzen für Firewall, Web Proxy, Mail Protection, AP Verwaltung, VPN, Wifi Captive Portal eine Sophos UTM.
Nun, du könntest ebensogut die Frage stellen: Brauche ich ein Auto, wenn ich ab und zu nur zum Bäcker fahre und wenn ja, welches?
- Wenn der Bäcker um die Ecke ist, brauchst du nur Deine Füße oder ein Fahrrad.
- Wenn er im nächsten Dorf ist, reichen Fahrrad oder ein Smart.
- Für die nächtweitere Stadt brauchst Du vielleicht ein besseres Auto.
- Wenn er in Zürich ist und Du in Hamburg wohnst, wäre eventuell ein Learjet angebrachter., oder zumidnest ein Porsche oder Maserati.
Um es wieder in der IT auszudrücken: konmmt drauf an, was ihr damit machen wollt.Brauchen tut es keiner. Ein ordentlicher Router mit Accesslisten könnte genausogut seine Aufgabe tut. Wenn ihr aber weitere Funktionen außer "uneingeschränktes Internet" haben wollt, solltet Ihr das erstmal festschreiben und dann entscheiden, ob ihr eine braucht.
Für solche Zwecke gibt es Systemhäuser, die einen beraten.
lks
Moin ..
Definiere doch zuerst die Anforderungen die euer Cisco-Router nicht mehr schafft, welche Probleme stellst du fest und wie soll eine UTM dir dabei besser helfen?
UTM hätte eine deutlich höhere Hardwareanforderungen als ein Router ... etc. pp.
Was macht der Router außer Internet? VPN?
Mitarbeiter im Home-Office?
Ohne Angaben wird dir keiner helfen können, dann gilt, wenn du nicht weißt ob du etwas brauchst, brauchst du es nicht!
VG
Zitat von @shabsn:
Da unser aktueller Cisco Router die 40 Mitarbeiter und ca. 80 Devices nicht mehr schafft, bin ich auf der Suche nach etwas neuem. Zuerst habe ich nach einem neuen Router gesucht, dann ist mir eingefallen, dass es ja auch noch die Möglichkeit einer UTM gibt. Nun stelle ich mir die Frage: Brauchen wir das?
Da unser aktueller Cisco Router die 40 Mitarbeiter und ca. 80 Devices nicht mehr schafft, bin ich auf der Suche nach etwas neuem. Zuerst habe ich nach einem neuen Router gesucht, dann ist mir eingefallen, dass es ja auch noch die Möglichkeit einer UTM gibt. Nun stelle ich mir die Frage: Brauchen wir das?
Definiere doch zuerst die Anforderungen die euer Cisco-Router nicht mehr schafft, welche Probleme stellst du fest und wie soll eine UTM dir dabei besser helfen?
UTM hätte eine deutlich höhere Hardwareanforderungen als ein Router ... etc. pp.
Was macht der Router außer Internet? VPN?
Mitarbeiter im Home-Office?
Ohne Angaben wird dir keiner helfen können, dann gilt, wenn du nicht weißt ob du etwas brauchst, brauchst du es nicht!
VG
Der Router (DHCP, VLAN) schafft denke ich die 200/200Mbit nicht mehr. Laut Webinterface läuft die CPU wenn das Büro voll ist auf 90%. Regelmäßig habe ich Paketverluste oder hohe Latenzen. Darum gehe ich davon aus wir brauchen etwas neues. Ihr habt mir die Frage aber schon beantwortet. Da wir keinerlei Server vor Ort haben und auch kein VPN verwenden ist eine UTM so gesehen oversized.
Danke für die Hilfe!
Danke für die Hilfe!
Hallo,
dann schau Dir doch mal eine APU 2C4 mit pfsense an.
Reicht für 500 MBit locker (ich glaube bis zu 900 MBit) und kann schon fast so viel wie eine UTM.
Stefan
dann schau Dir doch mal eine APU 2C4 mit pfsense an.
Reicht für 500 MBit locker (ich glaube bis zu 900 MBit) und kann schon fast so viel wie eine UTM.
Stefan
Hallo, werde ich auf jeden Fall mal machen. Wobei ich ja mit den Unifi SG's liebäugele. Da wir schon Unifi APs verwenden, wäre das ja sicher eine kostengünstige und sinnvolle Lösung.
Hallo!
Eine gute UTM macht Dir das Leben viel einfacher. Ich würde hier eine Fortigate in Betracht ziehen, weil die nicht nur UTM ist, sondern auch ein brauchbarer Router.
Früher oder später brauchst Du Funktionen davon, wie z.B. AV, Decryption, eventuell IPS.
Phil
Eine gute UTM macht Dir das Leben viel einfacher. Ich würde hier eine Fortigate in Betracht ziehen, weil die nicht nur UTM ist, sondern auch ein brauchbarer Router.
Früher oder später brauchst Du Funktionen davon, wie z.B. AV, Decryption, eventuell IPS.
Phil
Hallo Daniel,
grundsätzlich muss man hier anders Fragen: Was für Dienste laufen in der Cloud und soll das so bleiben? Wie sind die Verträge (in hinsicht auf MA, DS, Datensicherheit) und welche Problemstellen gibt es? Bspw wenn 40 MA und 80 User, wo laufen die Daten zusammen und wie werden die Clients gemanaged -> Hier besteht ggf. früher oder später die Notwendigkeit das zu zentralisieren.
Wenn natürlich der Wildwuchs sowieso Programm ist, dann macht eine UTM keinen Sinn, will man Ihn in den Griff bekommen und konsolidieren, ist diese ein guter erster Schritt.
Allerdings ist auf die Frage eine definierte Antwort geben wenig sinnvoll ohne eure Umgebung zu kennen. Lasst eure Infrastruktur prüfen und dann weisst du, wo der Schuh drückt.
Viele Grüße,
certifiedIT.net
grundsätzlich muss man hier anders Fragen: Was für Dienste laufen in der Cloud und soll das so bleiben? Wie sind die Verträge (in hinsicht auf MA, DS, Datensicherheit) und welche Problemstellen gibt es? Bspw wenn 40 MA und 80 User, wo laufen die Daten zusammen und wie werden die Clients gemanaged -> Hier besteht ggf. früher oder später die Notwendigkeit das zu zentralisieren.
Wenn natürlich der Wildwuchs sowieso Programm ist, dann macht eine UTM keinen Sinn, will man Ihn in den Griff bekommen und konsolidieren, ist diese ein guter erster Schritt.
Allerdings ist auf die Frage eine definierte Antwort geben wenig sinnvoll ohne eure Umgebung zu kennen. Lasst eure Infrastruktur prüfen und dann weisst du, wo der Schuh drückt.
Viele Grüße,
certifiedIT.net
Bei uns wird es immer nur Cloud geben. Wir werden weder Fileshares noch Exchange oder VM`s jemals selbst hosten. Wir arbeiten mit AWS, Dropbox, Office 365 etc. quasi fully cloud :D
Zitat von @shabsn:
Bei uns wird es immer nur Cloud geben. Wir werden weder Fileshares noch Exchange oder VM`s jemals selbst hosten. Wir arbeiten mit AWS, Dropbox, Office 365 etc. quasi fully cloud :D
Bei uns wird es immer nur Cloud geben. Wir werden weder Fileshares noch Exchange oder VM`s jemals selbst hosten. Wir arbeiten mit AWS, Dropbox, Office 365 etc. quasi fully cloud :D
Und das ganze DSGVO Konform ????
Hallo @daniel-santos
das kommt drauf an....
- z.B. auf Euren Anschluss: braucht Ihr einen Router, reicht ein Modem/Medienwandler oder braucht ihr einen Modemrouter mit Telefoniefunktion
- z.B. auf die Anforderungen wie z.B.: was soll blockiert werden, wohin soll blockiert werden, ist VPN für HomeOffice-User gewünscht, soll eine Dateifilterung durchgeführt werden, soll eine AV-Prüfung durchgeführt werden... usw.
Ich kenne eine UTM-Nutzung hinter einem einfachen Providerrouter, der für eine kleines Unternehmen die Telefoniefunktionen ausreichend abbildet (5x Schnurlostelefone, Fax, Gast-W-LAN, Rufnummernblockierung). Die UTM dahinter ist eine Sophos SG mit BasicGuard Lizenz.
Diese reicht aus, um die AV-Prüfung durchzuführen, das Herunterladen bestimmter Dateitypen zu blockieren (*.exe, *.com, *.pif usw. + Positivfilter für Updates), das Aufrufen von Websites aus bestimmten Ländern / Ländergruppen zu verhindern, das Aufrufen von Torrent- u.ä- Seiten zu behindern und natürlich die Funktion der Firewall wahrzunehmen usw..
Da es keinen Mailserver gibt und E-Mail über ein Webfrontend abläuft, werden alle Anhänge vor dem Download von der UTM als Web-Content behandelt und geprüft, so dass die Basic Guard auch ausreicht um Mails zu prüfen. Die lokal installierte AV-Software eines anderen Hersteller prüft ein zweites Mal.
Wenn die Anforderungen an die UTM klar definiert sind, kann geprüft werden, welche Lizenz erforderlich ist. Die Versionen können z.B. hier oder auf den Herstellerseiten verglichen werden. Basic Guard kostet so ca. 160 bis 170 EUR/Jahr und würde zu einem schmalen Budget passen.
Wenn Ihr Dropbox und Office 365 verwendet, scheint es keine erhöhten Anforderungen zu geben.
Dann würde ich mir die Datenblätter der Geräte / Lizenzen anschauen und prüfen: "brauchen wir das / nutzen wir das - werden wir das in naher Zukunft nutzen" und dann entscheiden, ob es ein Router mit erweiterten Funktionen wird, eine UTM oder eine Hardware-Firewall oder die pfsense / opensense auf einem APU-Board.
Wichtig ist auch, dass derjenige, der es administrieren soll, damit klarkommt. Alternativ bindet man ein Systemhaus mit ein, das einen fähigen Kollegen schickt zum Abstimmen der Anforderungen, zum Installieren und zur "Wartung" und falls gewünscht, das Ganze mit Servicelevel, so dass bei Defekt/Ausfall nach x Stunden eine Nutzung des Gateway (ggf. mit Einschränkungen) wieder möglich ist.
Gruß
das kommt drauf an....
- z.B. auf Euren Anschluss: braucht Ihr einen Router, reicht ein Modem/Medienwandler oder braucht ihr einen Modemrouter mit Telefoniefunktion
- z.B. auf die Anforderungen wie z.B.: was soll blockiert werden, wohin soll blockiert werden, ist VPN für HomeOffice-User gewünscht, soll eine Dateifilterung durchgeführt werden, soll eine AV-Prüfung durchgeführt werden... usw.
Ich kenne eine UTM-Nutzung hinter einem einfachen Providerrouter, der für eine kleines Unternehmen die Telefoniefunktionen ausreichend abbildet (5x Schnurlostelefone, Fax, Gast-W-LAN, Rufnummernblockierung). Die UTM dahinter ist eine Sophos SG mit BasicGuard Lizenz.
Diese reicht aus, um die AV-Prüfung durchzuführen, das Herunterladen bestimmter Dateitypen zu blockieren (*.exe, *.com, *.pif usw. + Positivfilter für Updates), das Aufrufen von Websites aus bestimmten Ländern / Ländergruppen zu verhindern, das Aufrufen von Torrent- u.ä- Seiten zu behindern und natürlich die Funktion der Firewall wahrzunehmen usw..
Da es keinen Mailserver gibt und E-Mail über ein Webfrontend abläuft, werden alle Anhänge vor dem Download von der UTM als Web-Content behandelt und geprüft, so dass die Basic Guard auch ausreicht um Mails zu prüfen. Die lokal installierte AV-Software eines anderen Hersteller prüft ein zweites Mal.
Wenn die Anforderungen an die UTM klar definiert sind, kann geprüft werden, welche Lizenz erforderlich ist. Die Versionen können z.B. hier oder auf den Herstellerseiten verglichen werden. Basic Guard kostet so ca. 160 bis 170 EUR/Jahr und würde zu einem schmalen Budget passen.
Wenn Ihr Dropbox und Office 365 verwendet, scheint es keine erhöhten Anforderungen zu geben.
Dann würde ich mir die Datenblätter der Geräte / Lizenzen anschauen und prüfen: "brauchen wir das / nutzen wir das - werden wir das in naher Zukunft nutzen" und dann entscheiden, ob es ein Router mit erweiterten Funktionen wird, eine UTM oder eine Hardware-Firewall oder die pfsense / opensense auf einem APU-Board.
Wichtig ist auch, dass derjenige, der es administrieren soll, damit klarkommt. Alternativ bindet man ein Systemhaus mit ein, das einen fähigen Kollegen schickt zum Abstimmen der Anforderungen, zum Installieren und zur "Wartung" und falls gewünscht, das Ganze mit Servicelevel, so dass bei Defekt/Ausfall nach x Stunden eine Nutzung des Gateway (ggf. mit Einschränkungen) wieder möglich ist.
Gruß
Kollege Kaiand1 war zwar schneller, aber in welchem Gewerk seid Ihr denn Unterwegs (wenn man fragen darf)? Cloud ist zwar schnell hochgezogen (oder auch nicht...) aber was dann wirklich dahinter steht (Strategie und Co) ist was ganz anderes..
VG
VG
Clod hin oder her – das läuft alles übers Internet und darüber kommen auch Gefahren, die in eure Cloud transportiert werden können.
Darüber hinaus darf man die EU-DSGVO nicht außer Acht lassen: Komponenten zum Datenschutz und Datensicherheit müssen dem Stand der Technik entsprechen.
Um ehrlich zu sein, wegen weniger Kröten würde ich nichts riskieren – eine UTM-Firewall ist heute im geschäftlichen Umfeld einfach ein Muss. Bei der Wahl des Herstellers muss beachtet werden, dass er aus Europa kommt, um sicher zu sein, dass seine Geräte keine Backdoors haben und somit die EU-DSGVO nicht verletzen.
Schaue dir Securepoint aus Lüneburg an. Preisgünstig, skalierbar, datenschutzkonform und mit einem exzellenten Support.
Darüber hinaus darf man die EU-DSGVO nicht außer Acht lassen: Komponenten zum Datenschutz und Datensicherheit müssen dem Stand der Technik entsprechen.
Um ehrlich zu sein, wegen weniger Kröten würde ich nichts riskieren – eine UTM-Firewall ist heute im geschäftlichen Umfeld einfach ein Muss. Bei der Wahl des Herstellers muss beachtet werden, dass er aus Europa kommt, um sicher zu sein, dass seine Geräte keine Backdoors haben und somit die EU-DSGVO nicht verletzen.
Schaue dir Securepoint aus Lüneburg an. Preisgünstig, skalierbar, datenschutzkonform und mit einem exzellenten Support.
Vielen Dank für die rege Beteiligung und die vielen Kommentare. Ich denke ich werde das Thema nochmal mit meinem Chef besprechen. Gerade weil wir perspektivisch stark wachsen werden. Bin auch erst seit kurzer Zeit hier im Einsatz. Da gibt es noch viel zu tun.
Generell ist die Auswahl an UTM´s ja riesig. Habe vorher kurze Zeit mal mit Sophos gearbeitet, davor war das ganze nicht so mein Thema. Komme eher aus dem AD, Fileserver und MDM Bereich. Werde mich da aber schnell einarbeiten.
@certifiedit.net
Die Branche lasse ich mal weg aber bereits eine AG....
Beste Grüße
Generell ist die Auswahl an UTM´s ja riesig. Habe vorher kurze Zeit mal mit Sophos gearbeitet, davor war das ganze nicht so mein Thema. Komme eher aus dem AD, Fileserver und MDM Bereich. Werde mich da aber schnell einarbeiten.
@certifiedit.net
Die Branche lasse ich mal weg aber bereits eine AG....
Beste Grüße
@shabsn,
die Branche ist aber ggf. von starker Relevanz. Ich sag mal salopp: es kommt immer drauf an, welche Daten Ihr lagert.
Außerdem, man beachte die IT-Strategie
Ebenfalls, beste Grüße
die Branche ist aber ggf. von starker Relevanz. Ich sag mal salopp: es kommt immer drauf an, welche Daten Ihr lagert.
Außerdem, man beachte die IT-Strategie
Ebenfalls, beste Grüße
Da unser aktueller Cisco Router die 40 Mitarbeiter und ca. 80 Devices nicht mehr schafft,
Eigentlich ziemlicher Unsinn !WAS für ein "Cisco" ist es denn ?? Einer der SoHo Modelle oder ein richtiger Cisco.
Hier werkeln diverse 886er mit ZFW Firewall und der doppelt bzw. dreifachen Anzahl an Usern völlig fehlerlos mit Wirespeed !!
Guckst du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Einen Cisco 892FSP
Gruß
Gruß
Dann ist die o.a. Aussage umso blödsinniger, denn das ist ein Gig Router der 200 und mehr User bedienen kann. Begrenzender Faktor ist hier einzig nur die zur Verfügung stehende Internet Bandbreite !
Da mangelt es wohl eher am Netzwerk (oder Cisco) Know How....?!
Na ja, mit dem obigen Tutorial hast du ja nun was zum Abtippen damit es auch mit dem Router klappt.
Da mangelt es wohl eher am Netzwerk (oder Cisco) Know How....?!
Na ja, mit dem obigen Tutorial hast du ja nun was zum Abtippen damit es auch mit dem Router klappt.
@aqui
Erst mal vielen Dank für deine netten Worte. Habe den Router initial nicht selbst konfiguriert. Ich bin leider nicht der einzige mit dem Problem:
https://community.cisco.com/t5/switching/no-100mbit-s-with-cisco-892-rou ...
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Erst mal vielen Dank für deine netten Worte. Habe den Router initial nicht selbst konfiguriert. Ich bin leider nicht der einzige mit dem Problem:
https://community.cisco.com/t5/switching/no-100mbit-s-with-cisco-892-rou ...
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Zitat von @shabsn:
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Man merkt es:
Unterschied zwischen symmetrisch und synchron
lks
Zitat von @Lochkartenstanzer:
Man merkt es:
Unterschied zwischen symmetrisch und synchron
lks
Zitat von @shabsn:
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Das gleiche Problem habe ich auch. Meinen Recherchen nach schafft der Router eben keine 200Mbit synchron bei 50 oder mehr aktiven Clients.
Mag sein dass ich komplett daneben liege...bin eben auf dem Gebiet kein Fachmann.
Man merkt es:
Unterschied zwischen symmetrisch und synchron
lks
Erinnert mich gerade an meinen Lehrer aus dem Fach Netzwerktechnik XD
