Ich stelle mal die Frage hier im Blog ein, die von einem Leser an mich herangetragen wurde. Es geht um die Frage einer Alternative für die Sophos UTM SG Firewall. Das Produkt ist ja abgekündigt und der Leser sucht einen Ersatz für dieses Produkt.
Anzeige
Der Blog-Leser hat mich gestern per E-Mail kontaktiert und sein Problem folgendermaßen beschrieben: In der Firma seines Arbeitgebers (ein IT-Dienstleister) gibt es die Politik, dass immer nur ein Produkt im Portfolio zu einem Thema gehalten wird. Also nur eine VoIP-Lösung, nur eine Backup-Software usw. So dass alle Administratoren des Dienstleisters identisch geschult werden, und diese dann bei jedem Kunden sofort tätig sein können. Bei diesem IT-Dienstleister wird seit vielen Jahren nun Astrao/Sophos UTM SG eingesetzt. Nun sucht der Blog-Leser seit einem Jahr nach einen Äquivalent, weil Sophos die SG abgekündigt hat. Die Liste der UTMs, die sich der Leser samt Kollegen in Live-Demos angesehen hat, ist schon beachtlich lang geworden:
- Securepoint
- Endian
- Netasq (Frankreich)/Heute Stormshield
- Check Point
- PaloAlto
- F5
- SonicWall
- OPNSense
- pfsense
- Fortinet/Fortigate
- Cisco (Umbrella)
- Juniper
Der Leser schreibt, dass man mit keiner Alternative zufrieden sei. Entweder fehle ein vernünftiger Reverse Proxy (was die Sophos UTM SG "Web Applikation Firewall" (WAF) genannt hat), oder es fehlt eine vernünftige "Application Control", um beliebe Protokolle zu blockieren (torrent usw.), oder es fehlt eine Anti-Spam-Lösung (die auch Mails in Quarantäne aufnimmt, und die Benutzer werden per Mail benachrichtigt, und können per Link in der Mail einer Mail freigeben, ohne sich auf der UTM einloggen zu müssen), die man auch bei einem Kunden mit mehreren Exchange aus diversen AD-Forest setzen kann. Das Ganze ließe sich fortsetzen.
Laut Leser hatte bisher nur Fortinet alles im Sortiment, das aber zu einem horrenden Preis. Drei getrennte Lösungen (Firewall, Reverse Proxy und Mail-Sicherheit) müsste man hier aber bei Fortinet einkaufen. Die Frage stellt sich, ob jemand einen Tipp für einen Ersatz der Sophos UTM SG hat? Was macht ihr als Administratoren in den Unternehmen?
Anzeige
Sophos XGS
Das Nachfolgeprodukt bei Sophos wäre die XGS-Serie, ich denke, die sollte die erforderliche Ausstattung haben. Konfiguration im Vergleich zur SG Serie ist Geschmackssache, ich persönlich finde sie etwas besser, außer die Firewall.
Alternativ wäre die OPNSense mit einem zentral vorgeschaltetem Spamfilter eine Möglichkeit
Wäre auch für die Sophos XGS
Wir sind ebenfalls von SG auf XGS gewechselt.
Allerdings sind wir bereits auf viele Bugs und unzulänglichkeiten gestoßen.
Vom Support rede ich besser nicht, unterirdisch schlecht.
Vor ablauf der Lizenz werden wir uns noch weitere produkte anschauen.
Sophos XGS passt. Wir sind von SG auf XGS gewechselt (haben XGS 125 bis zu den Enterprise Modellen). Hatten auch vorbehalte. Es hat sich aber gelohnt. Allerdings ist die Preispolitik momentan mehr als fragwürdig. Falls da der Schuh drückt kann ich es nachvollziehen.
In der Liste fehlt noch https://vyos.io/ damit lassen sich sehr schlanke Firewall Lösungen bauen.
Mit OpenConnect ist ein kompatibler Cisco VPN Server mit dabei, der sich Performance mäßig nicht verstecken muss. Wer will kann auch Wireguard oder klassich OpenVPN machen. Radius geht auch für die VPN/MFA gedoehns.
Wer eine stabile LTS Version will muss die LTS Version selber bauen oder einen Support Vertrag abschließen. Sonst ist das Rolling Release.
Reverse Proxy ist auch möglich wird mit HA Proxy gemacht.
https://docs.vyos.io/en/latest/configuration/loadbalancing/reverse-proxy.html
Das Projekt ist gut aktiv. Hier wäre es für den Anfrager sicherlich möglich seine Anforderungen zu definieren und als Feature Request ein zu bringen.
Stormshield fand ich auch gut, damit hatte ich eine Cisco abgelöst.
Lancom?
https://www.lancom-systems.com/products/security/firewall-features
oder
https://www.clavister.com/products/ngfw/
Wieso hier immer noch Produkte von den 5Eyes verwendet werden, sollte doch nach Snowden gar nicht mehr in die Auswahl kommen.
Und wieso hat https://vyos.io/ beim versuchen den Support anzurufen eine +1 vorne stehen ? Macht dann mit deine 5eyes keinen Sinn.
Die XGS ist doch keine Lösung, das ist der Grund warum Sophos die Kunden wegrennen.
Ja genau – und alle verstehen das – nur Sophos nicht.
Genau so ist es. Wir sind (leider) auch von der SG auf die XGS gewechselt. Ganz schlimmes Ding. Man sucht sich dumm und deppert, Funktionen, die es vorher gab, sind einfach nicht mehr enthalten und müssen zugekauft werden etc etc
Nur mal ein Beispiel: Die SG konnte Email Encryption von Haus aus on the fly. Ausgehende Mails erhielten durch die Box den öffentlichen Schlüssel mit angehängt. Die Mails vom Chef z.B. gingen mit dem Schlüssel an Banken, diese wiederum verschlüsselten ihre Mails an uns damit. Nun ist die SG gegen die XGS getauscht und die XGS hat diese Funktion einfach nicht mehr. Jetzt kommen bei uns verschlüsselte Mails von Banken an, die wir nicht mehr entschlüsseln können. {daumenhoch}
Und das ist nur ein Beispiel…
@Michael: hattet ihr mit Sophos Kontakt aufgenommen? Was haben die zu der Problematik zu sagen gehabt?
Bin zwar in einem anderen Firewall Ökosystem unterwegs, aber würde mich echt interessieren, wie Sophos hier reagiert.
Sophos hat die Lizenzierung von SFOS (XGS Betriebssystem) umgestellt. Von Fullguard (alles in allem) in ein xStream Protection + WAF + Email (Extra). Das bedeutet, Email Protection wird nicht inkludiert. Dort kann man mittels Promo entweder Central Email lizenzieren statt auf der Firewall – Das unterstützt dieses Feature oben genannt + weitere, die die UTM nie unterstützt hat.
Geht uns genau so.
Wir suchen aktuell eine Alternative für die XGS und sind bei Fortigate, SecurePoint und CheckPoint hängen geblieben.
Die Tests der einzelnen Anbieter wird noch eine weile auf sicher warten lassen.
Bei der XGS stört vor allem, dass einfache Grundfunktionen nicht vorhanden sind, oder umständlich über nicht Dokumentierte Shell Befehle laufen muss.
Logs zum Beispiel, kann man eigentliche alle vergessen die im Webinterface sind. Lieber per SSH rauf und selber in die Dateien schauen.
Oder Asymetrische Routen. Wir haben einige Kunden wo fremd Router für externe Anbieter im Netz stehen. Über das Webinterface kann aber in der Sophos XGS keine Asymetrichen Routen mehr einrichten. Dies geht nur über die Shell, und da auch nur wenn man den Verkehr für das Zielnetz an der Firewall vorbei leitet.
Du kannst auf SFOS Routen mittels SD-WAN konfigurieren. Diese sind auch Asymmetrisch möglich, falls erforderlich.
SD-WAN, falls in der Route Precedence über Static, macht genau das, was der Administrator möchte und Routet den Verkehr dort hin, wo man möchte. Egal was unter Statischen Routen gemacht wurde.
man muss heutzutage alles einzelnen Lizenzieren, egal welcher Hersteller. Das bedeutet auch Next Gen fFrewall :D. Wir sind auf Barracuda gewechselt. Als zweite setzten demnächst auf Pfsense oder Opnsense. Obwohl Opnsense von Funktionalität ab nimmt. Die XGS ist immer schlimmer von Handling geworden, seit der Design Änderung von SG auf XG.
Das ist keine Design Änderung, das sind zwei komplett eigenständige Produkte aus unterschiedlicher Abstammung:
SG = Astaro (=ehemals Deutsche Wertarbeit)
XG = Cyberoam (= Indien)
Sophos hat die SG zugunsten der XG abgeschossen und fast sämtlichen Support nach Indien verlagert und seitdem klappt mit dem Support genau nichts mehr.
Was nach den ganzen Eigentümerwechseln von Sophos halt wohl so passieren musste – Aktueller Eigentümer ist ein Private equity Unternehmen und damit zählen nur noch Dollars und nicht das beste Produkt aus Deutschen Landen anbieten zu können.
Bezüglich Firewall kann ich hier nicht mitreden, aber beim Sophos InterceptX Antivirus funktioniert der Support sehr gut. Allerdings halten uns gelegentlich die False-Positives gehörig auf Trab, vor 2 Monaten gabs z.B. Ransomware-Alarm auf den WSUS-Servern in der Patchday-Nacht, dann hat ein 3rd-Party-Software-Plugin für MECM auch Ransomware-Alarm ausgelöst, als es in einer Nacht diverse Softwareupdates für die Verteilung heruntergeladen hat. Mal sehen, wie es aussieht, wenn nachher die neuesten Patches gezogen werden…
Ich denke die sucher nach einer wunderbox – macht maximal das netzwerk unsicher, die zeiten sind vorbei mit einer box heut was abzusichern. Es gibt für AntiSpam / ReverseProxy tolle OpenSource Projekte (Proxmox, Ngnix), IPS z.b Suricata…Forti würd ich als eher günstige Firewall behaupten, wenn die schon zu teuer ist…muss man einbusen mit opensense machen.
Die Frage ist vor allem, warum müssen alle Server und Clients überhaupt einen direkten Internet-Zugang nach draußen bekommen, wo man erst mühsam einzelne Applikationen sperren muss? Wir machen einfach für alles komplett dicht, Ausnahmen nur wenn es nicht anders geht, und dann eben ganz gezielt der eine Server auf die eine Zieladresse, und der Rest muss über den Proxy raus, der dann Deep-Packet-Inspection macht und Downloads erstmal durch den Sandkasten analysiert.
SX-Gate von XNETSOLUTIONS Cyber Security Systems GmbH (D-71083 Herrenberg)
https://www.xnetsolutions.de/product/sx-gate-utm-firewall/
Ist bei uns schon lange im Einsatz (10 Jahre+) und tut ihren Dienst.
Gruß Singlethreaded
Lancom ist auch einen Blick wert.
Gerade mit dem Grafischen Userinterface
Langewiesche ehrlich? Du weist doch was bei Lancom los ist, seit dort R&S dort das Kommando übernommen hat. Dafür bist due lange genug dort im Forum unterwegs und kennst den Mist gerade der letzten 1-2 Jahre doch sehr gut.
Wir, hatten, das WLAN von Lancom und ich bin unendlich froh, dass wir das gegen Aruba getauscht haben.
Eine Firewall von denen würde ich auf jeden Fall nicht kaufen.
Fortinet mag gut sein, aber deren Live-Logging ist der reinste Horror, bzw. die haben das nicht wirklich, es sein denn man kauft einen FortyAnalyzer dazu, dann hat man ein "versetztes" Echtzeitlogging wo man auch drin suchen kann. Watchguard war damals gut, weis nicht wie die aktuell sind.
Nachteil ist aber mittlerweile bei jedem Hersteller: die Lizenzmodelle.
Das größte und umfangreichste Featureset wird pfSense oder OpnSense liefern, lass dich aber nicht täuschen, wenn man den Support mitkauft, ist das nicht viel günstiger wie eine Appliance, der Vorteil ist lediglich, dass man für weniger Geld mehr Bandbreite bekommt.
bei OPNsense sind teilweise Advanced Security Featues in kostenpflichtige Erweiterungen ausgelagert. Bei pfSense weiß ich es nicht.
Das meinte ich ja mit Lizenzen, das gilt auch für die erweiterten IDS / IPS Features, kostenlos ist das auch nicht.
Aber ich würde die beiden Lösungen schon zu den sichersten Appliance zählen, wobei die auch nicht vor CVE Einträgen sicher sind :-)
Da scheinbar ein Kundenstamm mit Sophos SG vorhanden ist würde ich die XG auch mindestens in Erwägung ziehen. Die Geräte lassen sich in vielen Fällen weiterverwenden. Firewall / UTM Lösungen ist jetzt nicht gerade meine Kernkompetenz, daher kann ich jetzt keinen aussagekräftigen Vergleich zu anderen Herstellern bieten. Da Sophos aber für Heimbenutzer sehr attraktive Lizenzen anbietet habe ich diese nun schon eine ganze Weile im Einsatz. Angefangen mit der virtuellen UTM. Vor ein paar Monaten konnte ich dann günstig ein Paar SG Appliances im Netz schießen und diese dann auf XG Upgraden. Neue Oberfläche ist sicherlich gewöhnungsbedürftig genauso wie die ich nenne es mal Next Gen Denkweise.
Wenn Kunden mit SG Geräten vorhanden sind würde ich dem Upgrade auf XG mit vorhandenen Geräten auf jeden Fall eine Chance geben.
Die XG Reihe ist bereits abgekündigt. Bitte genau bleiben bei der Typenbenennung.
Die XG ist die SG mit einem anderen Aufkleber und blauem statt gelbem Display.
Man hat gemerkt daß die gesetzte Meßlatte (DPI, SSL aufbrechen) performancemäßig scheitert, wenn man alles durch die CPU führt und einen entsprechenden Coprozessor (Xstream engine) daneben gesetzt.
Die neue Modellreihe heißt XGS.
So.. Sophos hat jetzt die APX Antennen durch die AP6 ersetzt…
Und die APX Antennen sind alle ausverkauft..
Und die AP Antennen können nicht mit den XGS verwaltet werden.
Die SG und XG können nur noch bis 2025 benutzt werden. Somit müssen viele noch funktionierende AP Wifi-Antennen ersetzt werden. Der Kunde wird nicht sehr begeistert sein.
Resultat: die neuen Antennen können nicht von den SG, XG oder XGS verwaltet werden, sondern müssen über das Sophos Central verwaltet werden…
In anderen Worten wird mal wieder sicherheitstechnisch (oder sicherheitskritisch) alles wieder in die Cloud verfrachtet.
Man muss die Verwaltung der Antennen alle in die Sophos Central Cloud verfrachten. Was an sich nicht Zweck der Übung einer UTM ist.
Es wird kompliziert, die SG und XG nach XGS zu migrieren und dann noch die Antennen nicht mehr davon verwalten zu lassen.
Da der Leser bisher Sophos eingesetzt hat, wäre die Sophos XGS die konsequente Fortsetzung, zumal er dann auch ggfs. den Servicepartner beibehalten und den Service besser einschätzen kann.
Bezogen auf Preis-/Leistung wäre mein persönlicher Favorit OPNsense ergänzt um die entsprechenden Plugins und Zenarmor. Allerdings ist diese Lösung im Vergleich zu Sophos XGS nicht so integriert bzw. aus einem Guß und wird dennoch einige Abstriche erfordern, was der Leser aber auszuschließen scheint.
Altenative:
In einem Projekt wurde von mir bei einem KMU unter Audit und Medizin-Norm-Vorgaben "Watchguard" eingesetzt: Wahlweise Kombi aus Firewall, Reporting und Security:
hxxps://www.watchguard.com/
Vorteil: Ein Portfolio und diverse Optionen.
Ähnlich Sophos, skalierbar, GUI nicht immer übersichtlich, noch bezahlbar, Support nicht getestet/genutzt, benötigt (virtuelle) Managementinstanz.
Zu klären wär zB noch:
Toleranz von US-Herstellern, Compliance, Ausleitung, VPN-Clients (kann auch kostenfreie (open)vpn-clients, selbst mit openvpn-gui, bei Bedarf "lizensierte" teurere per IPSEC )
Die VM-Instanz wurde bereits 1x in 2.5 Jahren wg Problemen neu aufgesetzt, kann Einzellfall sein – jedoch Verlust von Compliance-Nachweisen. Hardware (großzügig auslegen) bisher ohne Probleme.
Wer Sophos XG/XGS schreibt, sollte mal genauer die Datenblätter vergleichen.
Es gibt nämlich durchaus Funktionen (wie gerade die eMail-Security), die von den Geräten gar nicht mehr bedient werden, Kunden werden hier auf die hauseigene Cloud-Lösung (Sophos Central) verwiesen.
Mail Security kann die XGS dennoch. Wird wahrscheinlich nicht mehr groß vorangetrieben aufgrund der Cloudlösung.
Und sobald du S/MIME zentral machen willst bist du aufgeschmissen. Die alte SG konnte das, da hast du die Empfänger und die zugehörigen Zertifikate eingetragen und die SG hat die entschlüsselt und dann an z.Bsp. den Exchange weitergereicht. Genauso beim senden. Exchange sendet normal an SG, die packt den S/MIME Kram drauf und sendet das nach extern.
Kann die XGS nicht. Und das ist noch lange nicht alles, was die im Vergleich mit der SG/UTM nicht mehr kann.
Wie angesprochen unterstützt S/MIME die Central Email Lösung.
Durch das Trennen der Lizenzen, kann man auch wählen, was der Kunde lizenzieren möchte. xStream Protection + Email + WAF stehen zur Verfügung – Somit kann Email auf der Firewall oder in Central oder Dritt Hersteller lizenziert werden, ohne Doppelte Lizenzierung (wie beispielsweise bei der UTM).
Bei der Anforderung an Email ist der Blick nach Central auf jeden Fall der Richtige Weg oder eben ein Dritthersteller für erweitere Anforderung an Email bezüglich Decryption.
Ich kenne jetzt die genauen Anforderungen nicht.
Deshalb ist es schwer eine klare Empfehlung auszusprechen.
Maximal flexibel wäre Cisco.
Wer aber vorher eine Sophos im Einsatz hatte, und keine Erfahrung mit Cisco, der muss erstmal mit großem Umschulungsaufwand rechnen. Welchen Hersteller nimmt er denn bei den Switches und WiFi?
Als Alternative zur Sophos käme OpnSense in Frage.
Wenn man mit einem eingeschränkterem am durchaus brauchbaren Feature-Set zurecht kommt, kann ich auch IPFire empfehlen. Wird von einem Deutschen Unternehmen gepflegt und weiterentwickelt und bietet sehr guten Support.
Reverse Proxy würde ich ohnehin separat betreiben (HAProxy?).
Da sollte man aber mit den DEVs vorher reden.
Oder geht es vielleicht gar nicht um einen Reverse Proxy?
Email-Lösung sollte auch unabhängig davon sein.
JM2C
Cisco? Ernsthaft?!?
https://www.borncity.com/blog/?s=Cisco+
und
https://blog.fefe.de/?q=cisco
und
https://www.heise.de/thema/Cisco
Ohne Cisco ist man wohl sicherer.
Ich schlage mich mit Cisco Firepower herum und kann dieses Produkt nicht empfehlen. Die Softwarequalität ist bei Cisco im Sinkflug und das Eröffnen von TAC-Cases ist zur normalen Prozedur geworden.
Fortinet-Fortigate/Fortimail sind die Lösungen, die in meinem Umfeld am Häufigsten im Einsatz sind. Ich höre davon selten einmal etwas negatives.
Reverseproxy/Loadbalancer von Radware Alteon NG.
Cisco hat eigentlich nur noch den Vorteil des umfangreichen Ökosystems. Sonst rennt die Firewall den Market Leadern hinterher. Außerdem ist Cisco hier für den KMU Bereich so gar nicht aufgestellt – orientieren sich eher am Enterprise Segment. Die Lizenzhölle kommt dann bei Cisco auch ganz besonders noch hinzu.
Wie die Vorredner auch, würde ich zur Sophos XGS gehen. Zwar unterscheidet sich die Denke beim Regelwerk zwischen UTM und XGS was, was eine Migration entsprechend zu einer Fleißarbeit macht. Ansonsten sind in dem SFOS-Betriebssystem nun einige haarsträubende Bugs raus, sodass man die Kisten an sich ruhig einsetzen kann.
Nur bei der Mail Protection hapert es wohl was.
Hallo Leute,
ich war Silver Partner von Sophos und mit der alten Geschäftsführung von Astaro in engem Kontakt.
Meine Zweijahresreise zu Opnsense habe ich auf sysops dot tv in einem sechs Stunden Video gekürzt dokumentiert.
Ein Schulungsangebot findet ihr kostenpflichtig auf cloudistboese dot de
Liebe Grüsse
chriz von sysops dot tv und dem #bashclub
Ich war damals mal in deren 'Bude' in Durlach :-) Die Gier der Chefs war wohl zu groß, dann Astaro zu verhökern. Hätte ein weltweit bedeutendes Produkt werden können. War vielleicht auch politisch nicht gewollt. Security dürfen ja nur 'The Five Eyes' wirklich verkaufen, damit man da zur Not noch rein kommt.
Stand heute kann die UTM nicht mal IKEv2 bei ipsec vpn. Privat suche ich auch einen Ersatz für die UTM. Ggf doch mal das Ding aus Indien probieren – für Zuhause wird es ggf noch ausreichen. Kostenlose Lizenz dafür gäbe es ja noch. Läßt sich auch virtualisieren.
Ich bin kein Vertriebler von Sophos, Forti oder Lancom etc. (wie man aus einigen Kommentaren oben schließen könnte), aber die OPNsense/pfSense wäre ne Alternative für die UTM.
Und warum muß man das Antivirus-Produkt des gleichen Herstellers auf einer FIREWALL laufen lassen? Hab ich noch nie verstanden!
Das hat aber in der Tat tatsächlich seinen Reiz, denn wenn der Sophos Central InterceptX auch in die Firewall schauen kann, kann das EDR/XDR mitunter weitere Angriffsvektoren erkennen. Wir haben zwar den Sophos-AV, aber keine Sophos-Firewall, daher kann ich zum Zusammenspiel nur das wiedergeben, was das Marketing erzählt.
Intercept X läuft nicht auf der Firewall. Intercept X wird in Sophos Central als Management Plattform betrieben. Und die Firewall besitzt einen Weg zu Central. Darüber werden dann Zertifikate ausgetauscht, damit Endpoint und Firewall sich gegenseitig vertrauen (der Heartbeat).
Über den Heartbeat kann SFOS und Intercept X Daten austauschen, wie Health Status, Application Control und Authentifizierung.
Evtl. auch mal die Produkte aus Augsburg anschauen. https://www.linogate.de/de/products/defendo.html
Ich kenne Sophos (Astaro) seit der V8 (haben damals als Dienstleister den UTM Manager auch für unsere Kunden eingesetzt ) und habe die Sophos SG bis Juni 2023 bei uns im Unternehmen eingesetzt. Es erfolgte ab Juli ein Wechsel auf die XGS und muss jetzt nach ein paar Monaten sagen,- vermissen tue ich die SG nicht mehr und komme mit der XGS super klar.
Es ist denke ich mit der aktuellen Firmwareversion V19 (V20, seit ein paar Tagen) ein echt brauchbares Produkt geworden die XGS. Gut, dass ich mit der SG so lange gewartet habe, weil die alte XG oder die Firmwareversionen <19 sind nicht der Burner. & ja, weil ich die SG halt echt geliebt hatte in den letzten Jahren. Aber Sie ist jetzt in den verdienten Ruhestand gegangen.
Preismäßig war der Wechsel von der SG auf die XGS im Aktiv/Passiv Bundle attraktiv, trotzdem gab es zu Beginn einiges zu beachten:
– Einfach blind von der SG auf die XGS zu wechseln wäre in einer Katastrophe geendet. Hier hilft es enorm, wenn man das Firewall-Projekt zu mindestens bei der ersten XGS-Firewall mit einem größeren Sophos Distributor gemeinsam macht (Ja, Dienstleistung kostet aber es lohnt sich). Hier gibts echt hilfreiche Tipps und Handlungsempfehlungen, die man nicht zu Beginn nicht selbst herausfindet. Da es ein Sicherheitsprodukt ist, muss dies halt direkt am Start sitzen.
– Alte AP Accesspoints müssen gegen neue APX APs ausgetauscht werden (wenn noch nicht vorhanden) oder man setzt auf einen ganz anderen AP Hersteller und verwaltet diese unabhängig von der XGS, so wie wir es jetzt auch seit Mitte des Jahres machen. Für die Anwender ist es ja egal, welcher AP-Hersteller "ihr" W-Lan bereitstellt, aber wir haben eine bessere Verwaltung des AP-Ökosystems (da selber Hersteller wie unsere Server/Switche) und die Anforderungen haben sich einfach erhöht.
– Der XGS-Websurfproxy/Application Control ist gut und fein einsetzbar. Hier kannst du zum Beispiel pro Firewallregel den Webfilter/AC aktivieren und bist halt flexibler. TLS 1.3 wird unterstützt, TLS-Inspection ist genauso einsetzbar wie bei der SG vorher auch. Das es schneller geht als mit der SG muss ich ja nicht erwähnen.
– Der Live-Log ist übersichtlicher und kann mehr Details bereitstellen, zum Troubleshooting hat es bisher immer gereicht. Nachteil ist es momentan, du kannst dir keine Logs von vor 3 Monaten anschauen, wie es noch mit der SG geht. Aber man lebt ja eh /die Probleme im hier und jetzt ;)
– Ja, einige Features haben wir von der Sophos auf andere Cloudanbieter ausgelagert, wie schon eben genannt + halt noch mehr – (Cloud-Mailproxy vor Exchange Online, & weil deshalb nicht mehr der lokale Exchange am WAN hängt (das ist mir inzwischen zu gefährlich), musste ich den Webserverschutz auch nicht mehr extra lizensieren.) Aber das Auslagern einzelner Proxydienste auf andere Anbieter hat einfach Sinn gemacht in der aktuellen Zeit.
Im Prinzip nutze ich auf der XGS hauptsächlich nur noch das Firewall, (IPS, ATP) und das Websurfschutz Modul mit TLS-Inspection. By the way: Seit der Firmwareversion 20 könnt Ihr beim VPN Modul auch SSO mit MS Azure (O365) nutzen, falls ihr das einsetzt. Schöne Erleichterung für euch und die Anwender. Sophos Central wäre der Nachfolger vom UTM Manager.
Dies wäre so meine Empfehlung, Ja, auf die XGS – aber mit Plan.
Für "einfache" und kleine Kunden wäre aber auch der Anbieter UI (ubiquiti) eine Empfehlung erwähnenswert. Für eben diese kleinen Betriebe sind die APs, Switche, Firewalls und Router von UI passend und können auch zentral in einem Ökosystem verwaltet werden. Preismäßig auch sehr attraktiv.
Gruß Jonas
Ein paar Ergänzung zu diesem Post:
Alte Access Points (Legacy AP – Ap15,55,100) gehen nun End of Life im Dezember 2023. Daher wäre der Wechsel hier sowieso anstehend, wenn es ein EOL gibt. (Das Einsetzen von EOL Hardware ist Riskant).
Live Log auf der Firewall ist begrenzt – Das ist korrekt – Jedoch kann auch Central Reporting erworben werden. Per Default bietet Sophos kostenfrei 30 Tage Logging in Central an. Das kann auf ein 1 Jahr Erhöht werden, dann sind die Daten, wie auch Logviewer, in Central Verfügbar und können durchforstet werden.
Im Unternehmen laufen bis jetzt einige SG310 und SG320 im HA Cluster. Hier zu Hause habe ich eine SG130 umgebaut auf die W-Variante und betreibe die erfolgreich mit einer Home Lizenz.
Im Unternehmen werden wir wohl von den Sophos SG zur FortiGate wechseln.
Was ich hier privat mache, weiß ich noch nicht sicher. Aber eine XGS wird's nicht, da fehlt mir einfach unter anderem die Möglichkeit, Let's Encrypt Zertifikate automatisiert abzurufen und verlängern zu lassen.
Hi, was ist den die W-Variante?
Vermutlich hat er ein kompatibles WLAN-Modul in den vorhandenen Slot gesteckt 🙂
Als Alternative im Home Bereich kann auch LetsEncrypt automatisiert werden. Ich benutze seit 4 Jahren Wildcard LetsEncrypt mittels API.
Siehe: https://community.sophos.com/sophos-factory/f/recommended-reads/140852/howto-lets-encrypt-renewal-process-with-factory
Sophos bietet mittels Factory auch ein Werkzeug an, um das zu automatisieren.
Wir haben von Sophos SG auf Fortigate gewechselt. Auf eine XGS wollten wir aufgrund des schlechten Support (eigene Erfahrung) und der Bugs (Hörensagen) nicht wechseln.
Antispam haben wir ausgelagert (M365/Seppmail/Barracuda), den Reverseproxy wird mit Exchange Online oder Azure App Proxy ersetzt, wobei die Fortigate schon noch einige WAF-Features hat, nur eine vorgelagerte authentifizierung mit durchschleusung der Logindaten ans Backend gibts nicht.
Preislich kommen die Fortigates trotz doppelter Lizenz (HA muss doppelt lizensiert werden) immernoch an die SG heran, vor allem seit den letzten Preiserhöhungen der SG Serie.
Wir sind bisher sehr zufrieden und haben schon einige neue Features zu schätzen gelernt.
Also meines Wissens nach geben sich Sophos und Fortinet nicht viel in den Preisen – zumindest bei Hardware + UTM. Nur die APs sind bei Fortinet mittlerweile exorbitant teuer geworden (und waren noch nie wirklich ihr Geld wert).
Was den Reverse Proxy angeht stellt sich die Frage, welche Funktion der tatsächlich abdecken soll? Wenn es nur darum geht mehrere Dienste über die gleiche öffentliche IP anzubieten, wäre ein Nginx Proxy Manager schnell und einfach in Betrieb genommen.
Ich würde beim Thema Email Security auch auf eine Cloud Lösung setzen. Die ist leicht zu integrieren (oder wechseln), Emails werden bei Ausfall/nicht erreichen des Mailservers vorgehalten und die Angriffsfläche des eigenen Servers kann beliebig minimiert werden.
Den Ansatz "ein Produkt pro Thema" finde ich gut, den derzeitigen Stand "ein Produkt für (fast) alles" eher kritisch – was die Situation des Lesers ja gerade offenlegt.
Im WWW-Bereich sagt man ja immer Domain und Webhost trennen.
Ich denke in allen IT-Bereichen sollte man Lösungen sinnvoll trennen – gerade bei Sicherheitslösungen bevorzuge ich Vielfalt: Gateway-, Mail- und Endpoint-Security von unterschiedlichen Herstellern.
bisher war es ein Garant zur Erkennung eines schlechten Dienstleisters, dass er den Kunden für alles eine Sophos Box dahingestellt hatte.
was jetzt zynisch klingt ist eigentlich jahrelange Erfahrung.
was für Leute haben denn noch nie einen nginx als reverse proxy installiert?
welche echten Probleme lösen die mir denn sonst so.
Ich finde das Thema sehr spannend, da wir auch gerade durch diesen Prozess durch sind. Wir kamen von UTM/SG an mehreren Standorten und sind auf Grund des Preises zu OPNsense und pfSense in den Business-Editionen mit Support gewechselt. Das ganze läuft redundant auf leistungsstarker Hardware, die ebenfalls über Carepacks abgesichert ist.
Es stimmt, unsere "Lösung" ist kein 1:1 Ersatz. Auf Grund der preislichen Differenz war die Entscheidung dann aber recht klar. Durch die freie Verfügbarkeit von pf/OPN konnten wir vor der Umstellung alles in Ruhe testen.
Viele Funktionen hatten wir bei uns bereits redundant ausgelegt, sodass die (OPN-/pf-) Firewalls sich auf das konzentrieren können, was sie sehr gut machen.
Wir nutzen sie überwiegend als Reverse-Proxy, als "klassische" Firewall sowie für die Standortvernetzung und die VPN Einwahl mit 2FA. Die "Wifi Protection" und den Viren- und Spamschutz haben wir durch ein andere Produkte ersetzt.
Ich denke, wer den 1:1 Ersatz will, muss auch bereit sein, tiefer in die Tasche zu greifen. Jeder Hersteller hat da seine eigene Management-Philosophie und man muss einfach schauen, was am besten passt.
Gruß, cwo
Hallo Christian,
habt Ihr auf der SG auch die WAF genutzt und dies dann ebenfalls mit OPN-/pf- abgelöst?
Wir nutzen hauptsächlich die WAF Funktionalität auf der SG und da suche ich immer noch nach einer vernünftigen Alternative.
Wie wäre es mit:
https://www.linogate.de/de/products/defendo.html
https://www.linogate.de/de/products/praxis-waechter/index.html
Ich bin großer Fan der Palo Alto Lösungen. Nicht günstig, aber gerade die 400-Serie ist bezahlbar.
Logging und Erkennung sind meiner Meinung sehr, sehr gut. Zudem ist die Oberfläche sehr übersichtlich gestaltet und man benötigt die CLI nur sehr selten.
Ist halt ein amerikanisches Unternehmen, aber das sind ja nunmal die meisten Lösungen.
Als E-Mail-Sicherheitslösung würde ich auch zu einer Cloud-Lösung greifen, wie z.B. Hornet Security.
Gruß Indy
Wir steigen bei unseren Kunden gerade von SG auf XGS um. Das zusammenarbeiten mit dem Antivirus von Sophos als auch die Fernkonfiguration der Firewall über die Cloud ist wirklich gut. Allerdings verzichten wir inzwischen auf die Option Mailserver Schutz und setzen dort das Proxmox Mailgateway ein.
Außerdem testen wir den Kemp Loadmaster als Ersatz für den WAF. Loadmaster wird zumindest als Citrix Gateway Ersatz kommen.
Die opnSense steckt eigentlich alle genannten Lösungen in die Tasche. Allerdings bedarf es da der kostenpflichtigen Business-Variante plus einem externen Addon, was sich aber nahtlos integriert.
Wenn er schreibt, man habe sich das "angesehen", dann hat er meiner Meinung nach nicht richtig geschaut.
Wir haben hier bald 250 Sophos UTMs mit opnSense WAF, Appliaction-Control und Mailfilter abgelöst. Einzig das Thema WiFi bleibt offen. Da haben wir uns dann für Unifi entschieden weil das WiFi von Sophos eh schon immer "grottig" war, ein echter Gewinn…. Wir zeigen das auch gerne, da wir IT-Dienstleister für IT-Dienstleister sind.
Man kann uns finden…. ich verzichte aber auf Link. Das hier soll keine Werbung sein….
Gruß
Ich stand vor der selben Problematik (bin IT-Dienstleister – Suche nach SG UTM Ablösung/Alternative). Aktuell habe ich flächendeckend die OPNSense mit dem kostenpflichten Plugin Zenarmor (Nextgen Firewall) im Einsatz.
Zusätzlich als Reverse Proxy ist das NGINX Plugin aktiv (läuft besser als bei Sophos / und viel mehr Möglichkeiten).
Die Mailsecurity habe ich vorgeschaltet und entsprechend an Dritte ausgelagert (Hornetsecurity).
XGS war und ist für mich keine wirkliche Alternative.
Wir sind ebenfalls von der SG UTM auf die XGS gewechselt. Ich bereue es.
Gründe:
– Reverse Proxy: Authentifizierung unterstützt kein MFA mehr
– Mail Security: SPX Encryption funktioniert nicht wie gewünscht
– Mail Security: keine Quarantäne für Mails mit gefilterten Anhängen
– Routing: keine Policy Routen mehr, komplizierte SD-WAN Routen notwendig und ja nicht vergessen den Haken zur Erstellung der "Reflexive Rule" zu setzen
– NAT und IPSec VPN kompliziert, NAT kann auch in der IPSec Verbindung aktiviert werden, normale NAT Regeln teils ohne Funktion
– GUI: keine Such-Funktion in den Firewall Regeln. Darstellung unübersichtlich, kleine Schrift, nichts farblich hinterlegt, Darstellung eher noch für 4:3 als 16:9 Monitore optimiert –> einfach unübersichtlich
– Log Viewer zäh, Fehlersuche teils schwer
Grundsätzlich würde es mir schon gefallen, wieder eine gute UTM Lösung zu bekommen, aber der Trend geht schon zur Trennung der Dienste…wir haben als Reverse Proxy jetzt nen Citrix ADC (häufige Sicherheitslücken / Updates, sehr kompliziert in der Konfiguration) und schauen uns gerade nach ner Mail Security Lösung um.
Wenn eine reine Firewall gesucht ist, kann ich ganz klar Palo Alto Networks empfehlen. Watchguard und Defendo kenne ich von früher, sind häufiger mal abgestützt / hängen geblieben, kann heute natürlich aber besser sein.
Als weiterer UTM Anbieter fällt mir noch Securepoint ein…ebenfalls Made in Germany. Habe aber keine Erfahrungen mit dem Produkt.
https://www.securepoint.de/fuer-unternehmen/firewall-vpn/firewall-funktionen
Ein paar Feedbacks zu dieser Thematik:
Central Email könnte diese Features anbieten (und vieles mehr), und muss aufgrund der Lizenzierung nicht doppelt Lizenziert werden (In SFOS ist Email Security Extra lizenziert).
MFA für die WAF steht zur Zeit auf der Roadmap für eine Implementation.
SD-WAN Regeln können, wenn notwendig, auch ohne eine Reflexive Route arbeiten. Dafür gibt es einen Switch: https://doc.sophos.com/nsg/sophos-firewall/20.0/help/en-us/webhelp/onlinehelp/AdministratorHelp/Routing/SDWANRoutes/RoutingSDWANRoutesBehavior/index.html#reply-packets Wenn Reply Packets aktiv ist, berücksichtig die Firewall das Reply Packet für die Route.
NAT in IPsec hat zwei Themen: SFOS bietet Route Based VPN an (XFRM) und dort funktioniert NAT einwandfrei. Nur in Policy Based Tunnel (Local + Remote Network) muss darauf geachtet werden, dass die SA auch übereinstimmt. Siehe:
Der Webadmin wurde in V20.0 auf WQHD erweiterert.
Kann auch nur XGS Empfehlen, deutlich weniger Wartungsaufwand und jeder Techniker kommt schneller in der Verwaltung zurecht.
Support ist auch top, keine Probleme. Als MSP auch super zu verwalten mit Zentralem Patchen von mehreren Geräten nach Zeitplan, alles top.
Zur UTM ein deutlicher fortschritt in die richtige Richtung.
Die Vorbehalte kann ich verstehen, aber wenn man mal damit gearbeitet hat und gegebenenfalls auch mal ne Schulung gemacht hat kommt man schnell zurecht und alles läuft stabil.
Moin,
ich kann einer UTM, welche viele viele Dienst vereinheitlich nichts abgewinnen. Denn meistens sind die verschiedenen Funktionen nicht so mächtig, wie dedizierte Produkte von einem Hersteller, welcher sich darauf spezialisiert hat. Am deutlichsten wird das meiner Erfahrung nach bei E-Mail Relay/Proxy und Web Application Firewall und damit auch die Chance nahe zu jede Anforderung umsetzen zu können, ohne das Produkt verbiegen zu müssen. Das merkt man auch ganz gut bei Presales und Support.
Bei Sonicwall habe ich vor Jahre erlebt, dass eine Bibliothek im SMTP nicht gefixt werden konnte, weil diese Version mit der IPS Funktion nicht kompatibel war. Das kann bei einem eingeständigen Produkt auch passieren, aber da gibt es keine direkten Abhängigkeiten.
Bezüglich der Liste fällt mir noch Barracuda und Watchguard ein.
Zum Thema OPNsense verweise ich auf die sysops GmbH in Aschaffenburg.
https://aow.de/books/sysops-gmbh
Evtl. kennt jemand hier den GF Christian Zengel, welcher auch auf YT die Kanäle zfsrocks und sysopstv betreibt. Da sind auch viele Infos zu Sophos zu finden, wie man diese durch OPNsense ersetzten kann.
Das Thema steht bei mir ebenfalls an. Die Kunden die derzeit mit SG ausgestattet sind, werden auf Securepoint oder OPNSense umgestellt, je nach Anforderungen.
Schade, die Sophos SG war ein tolles Produkt, welches ich nie ersetzt hätte. Leider ist das Nachfolgeprodukt von Sophos nicht zu gebrauchen.
mlg
Bernhard
Hallo,
meine Gedanken dazu:
1)
UCS Bremen
mal schauen was die alles in ihrem Server drin stecken haben und der Geschäftsleitung als ein Produkt verkaufen.
2)
Mail über Microsoft Cloud. Never . Fällt bei uns schon aufgrund der DSVGO raus und abgesehen davon hat MS immer wieder Probleme.
3)
Cisco hat so viele Probleme. Die Firma will man nicht im Netz haben.
Heise.de/security und CVEs sprechen da eine eindeutige Sprache.
Gruß
Wo wir gerade beim Thema Sophos UTM sind:
https://community.sophos.com/utm-firewall/b/blog/posts/utm-up2date-9-7-mr18-9-718-released
Wenn man ganz spezifische Anforderungen hat, dann bleibt einem wohl nichts anderes übrig als selber bauen. Entweder ausgehend von BSD oder Linux.
Die genannten Produkte entstehen zu weiten Teilen aus Open Source Pro{je|du}kten. Die Hersteller der Komplettlösungen erweitern das in der Regel nur um ihre eigene Middleware und ein GUI, was den Benutzern die Bedienung erleichtert. Und oftmals steckt sogar in diesem Überbau die eine oder andere gravierende Sicherheitslücke.
Man kann sich seine eigene und maßgeschneiderte Lösung also durchaus selber herstellen, wenn man das nur will.
IPCop :-)
Wechselt bitte nicht zur OPNSense! Je weniger Dienstleister das machen, um so größer ist der Topf für uns! Also nehmt ruhig wieder einen Hersteller der seine Lösungen hinter dem "Closed Source"-Mantel versteckt und man nie sehen kann, was da wirklich im Hintergrund passiert….. Die Vergangenheit zeigt sehr deutlich, das alle Dreck am Stecken haben…. Egal wie sehr sie beteuern das es auf Open Source basiert…..
"…und man nie sehen kann, was da wirklich im Hintergrund passiert.."
Zumindest das trifft auf die UTM/SG nicht zu.
Klar habe ich eine fette Middleware als closed source mit kryptischen Datenbanken usw.
Aber "hinten 'raus" habe ich dann wieder Open-Source-Komponenten und deren Konfiguration im Klartext.
Wenn ich mich auf's Dateisystem hangle sehe ich z.B. das fürs VPN verwendete OpenVPN samt aller Zertifikate und Konfigurationsdateien im Klartext und kann in besonderen Fällen (im Moment ist die UTM nicht zum neuen OpenVPN 3.4 kompatibel, eine Zeile in der Konfiguration ist falsch) sogar ins Template eingreifen. Genauso beim Bind, Apache oder StrongSwan.
Ein wirklich gut gewachsener Thread mit fundierten Antworten!
Ich denke, wir können wie folgt zusammenfassen:
Ein Gerät (zb. die SG) was alle Dienste vereint (UTM), sollte man sich lösen und sich auf verschiedene Anbieter pro Thema konzentrieren (Cloud-Mailproxy, VPN, APs..) sodass ein mögliches Nachfolgerprodukt der SG mehr oder weniger nur noch Firewalling/Routing machen soll.
Da wird die XGS keine Schwierigkeiten machen, aber auch OPNsense mit Plugins scheint eine/die Alternative dazu zu sein.
Je nach Strategie könnte man noch Synchronized Security berücksichtigen (FW, Switche,APs Endpoint-AV sprechen untereinander), ob dies ein Thema ist.
Gruß Jonas
Wir hatten eine gut 2 stellige Anzahl von Sophos UTM im Einsatz und sind mangels Begeisterung für die XG(S) Serie auf Fortigate gewechselt. Nur ein sehr kleiner Teil unserer Kunden benötigte den Mail Proxy.
Preislich war das mit Projektrabatt (den es schon bei der kleinsten Box gibt wenn man ein HA System kauft und > 3 Jahre kauft) kein wesentlicher Unterschied zu den letzten Sophos Angeboten.
Ich finde die GUI sehr übersichtlich.
Klar war es ein wenig Arbeit alles zu migrieren und sich einzuarbeiten , aber wir haben die Gelegenheit genutzt die Kundennetzwerke noch viel mehr zu segmentieren.
Die Fortimail hat wesentlich mehr Features als die UTM hatte . (u.a. Entfernen von aktivem Content in Office Dateien).
Auch das zentrale Monitoring über Forti Analyzer auf eigenem Server läuft wirklich gut.
Wie wir gelernt haben sollte man nur etwas vorsichtig mit Firmware Installationen von brandneuen Major Releases sein und erstmal die ersten 4-5 Updates abwarten.
(Aktueller Mature Zweig ist die 7.0.x, 7.2.x ist kurz davor mature zu werden).
Die VPN Client Software hat auch noch Potential zu Verbesserungen :-)
Was mich an Forti stört – wenn man beim BSI die CERT Seite jeden Tag betrachtet ist es schon eine Besonderheit wenn Forti mal nicht mit dabei ist.
Also mal im Ernst: Bei Fortinet hagelt es zwar nicht jeden Tag, aber doch verdammt oft Sicherheitsmeldungen – das steigert jetzt nicht gerade das Vertrauen.
Das heißt aber nicht, dass Fortinet mehr Sicherheitslücken als seine Mitbewerber hat, sondern aktiv gegen die Lücken was tut ;)
Zur Vollständigkeit noch Barracuda für die Las mal lieber weg Seite der Auflistung.
Die haben vor wenigen Wochen ihren Kunden geraten ihre Mailappliances sofort zu deaktivieren.
Gruß
Wir sind mit Fortinet zufrieden – die Clients und Server im Netzwerk benutzen den FortiClient als EDR und AV – in Kombination mit der Fortigate Firewall kann man sehr viele Informationen mittels FortiAnalyzer zentral monitoren und reporten. Preislich ist man da auch im grünen Bereich, wenn man sich die identen CISCO Produkte ansieht.
Wir setzten auch die Switches und AccessPoints von Fortigate ein. Somit haben wir eine zentrale Konfiugrationsstelle was die Konfiugration und Fehleranalyse wesentlich vereinfacht.
Unsere Liste sah vorletztes Jahr im Prinzip genauso aus.
Für Deine Liste kann ich noch Forcepoint hinzufügen: Wirklich ein hervorragendes Produkt, welches auch in den SMB-/KMU-Bereich Einzug nehmen "wollte/ sollte". Haben die aber leider immer noch nicht hinbekommen: Partnerunterstützung und Preisgestaltung funktionieren ausschließlich für den Enterprise-Bereich. Supportchannel für DACH ist ein Trauerspiel, ausgebildete Techniker in Europa rar. Das haben wir nach intensiven Verhandlungen deshalb abgebrochen – wir sind zu klein.
Die meisten Erfahrungen zu Produkten wie Watchguard, Lancom, Palo Alto etc. können wir ebenfalls so stehen lassen -die haben wir auch gemacht. Ausnahme: Sophos XGS und Fortinet…
Sophos XGS:
Wir haben diverse SG- und XG/ XGS-Cluster im Einsatz und können die XGS eindeutig NICHT empfehlen! Jede einzelne Firmwarevariante wird (subjektiv „gefühlt") vollständig am Kunden getestet. Fast alles, was LucarToni ergänzt hat, ist durch jahrelange Schmerzen der Kunden und Partner und diverse Eskalationen bei Sophos erkämpft worden. Kein mir bekannter Sophos-Partner ist noch bereit, Tickets zu eröffnen oder sich mit dem Support (so nennt er sich zumindest selber – allerdings nicht in einem für Mitteleuropäer verständlichem Englisch) auseinander zu setzen, wenn es irgendwie vermeidbar ist.
Die XGS hat sooooo viele Jahre gebraucht, um die Kinderkrankheiten auszubügeln und einigermaßen die Features nachzureichen, die durch die eigene SG (und auch den Markt) vorgegeben waren. Jetzt ist sie in einem Stadium, in dem sie "state of the art" sein könnte und theoretisch brauchbar wäre (von SD-WAN-Funktionen bis SSL/TLS 1.3-inspection alles an Bord). Aber die Bedienung/ Oberfläche (ja – in v20 kommt endlich etwas Besserung – ich wiederhole: "Version zwanzig"!) ist schwach und langsam. Die Übersicht – insbesondere bei großen Regelwerken – ist grausam, der Rückbau von Konfigurationen dauert länger, als der Aufbau -> unglaublich.
Die Fehler, die mit jeder neuen Version reingepatcht werden und der kippelige Betrieb (nach diversen Nachbesserungen ist die HA-Funktion immer noch – oder auch immer wieder – gefährlich -> bei einem Update ist man lieber im Hause) zeigen die unverändert schlechte Qualitätssicherung von Sophos.
Gemeldete Fehler werden nach diversen Eskalationen als "feature" deklariert und "ggf." in kommenden Versionen "verändert" -> die Rückmeldungen nehmen teils absurde Ausmaße an (wenn man solche Statements nach monatelangen Ticketlaufzeiten und diversen Nachfragen wirklich als "Rückmeldung" betiteln will).
Die verfehlte Modellpflege wird auf dem Rücken der Kunden ausgetragen. So ist der Nachfolger der SG, die „XG" bereits von der „XGS" abgelöst – und dann aber noch VOR der SG als "EndOfLife" definiert worden. Hätte der Kunde sich anstelle der XG noch eine „veraltete" SG gekauft, hätte er 15! Monate länger etwas von der Hardware haben können – auch dann, wenn er sich das XG-Betriebssystem auf der neuen SG installiert hätte. Klingt unglaubwürdig, weil absurd? -> Ja. Genau! Erkläre das mal Deinen Kunden…
Fortinet – Fortigate:
Wir und andere befreundete Sophos-Partner haben uns Fortinet zugewendet. Die ersten Systeme laufen und wir sind sehr zufrieden. Der Umstieg fiel uns nicht sonderlich schwer, da wir die eine oder andere Version bereits früher schonmal in den Händen hatten. Die Bedienung ist auf Anhieb plausibel und intuitiv (so wie es bei der SG ist). Man hat immer wieder "aha-Effekte" wie: "Echt jetzt – direkt hier draufkicken?", "Hinzufügen ohne reinzugehen?", "Funktionen vollständig ausblenden, die man nicht benutzt?", "Objektreferenzen direkt hier anklickbar?", „Wechsel von der GUI in die CLI über ein GUI-Widget? – Super!". In der nächsten Version sogar mit Kontextmenüs mit rechter Maustaste…
Die Ausbildung ist erheblich komplexer – qualitativ aber auch ein ganz anderes Level (ich bin selber XGS Engineer + Architect und war davon maßlos enttäuscht).
Der Support ist gut, die Dokumentation ist ein Traum (Sophos versucht es leidlich nachzumachen und scheitert kläglich, wenn man die docs.-Portale vergleicht).
Die oben im Post beschriebenen Versionsempfehlungen (welche Version sollte ab wann auf welcher Box eingesetzt werden) ist vollständig transparent einsehbar und "offiziell". Bei jeder Veranstaltung werden die Techniker darauf geschult, wie die Versionierung funktioniert und vorzunehmen ist. Versionsunterstützungen durch den Support sind eindeutig definiert und man hört nicht mehr als erstes (wie bei Sophos): "bitte aktualisieren sie zuerst auf das neue Major-Release" (was so manches Mal an „grob fahrlässig" grenzt).
Beim BSI gemeldete Sicherheitsprobleme? -> Dann schaut Euch mal GANZ GENAU an, was in der SG und XG/XGS alles im Einsatz ist und in den letzten Jahren eines Sicherheitspatches bedurfte. Patches zu verschweigen und leise in die Updates reinzumauscheln ist für ein Unternehmen, dessen Fondmitgliedschaft durch die Thomas Bravo LLC verwaltet wird, vielleicht politisch und monetär schlau – für die Kunden aber meines Erachtens "problematisch" (subjektive und persönliche Meinung).
Ihr habt den einen oder anderen Sophos Presales oder UTM/ XG-Profi lange nicht gesehen? -> Dann schaut mal bei Fortinet vorbei. Da trefft Ihr eine Menge alter Nasen wieder…
Alles Gold bei Forti?
Nein. Wir sind sehr kritisch und finden auf allen Ebenen auch bei Fortinet Dinge, die uns nicht gefallen (nicht zuletzt die neuen Hürden für „höhere" Partnerlevel). Aber technisch ist die Fortigate ein echter Gewinn! Wer sich an die Vorgaben und Best Practises hält, hat nichts Negatives auszustehen.
Wer die Hardware und die Versionen/ Funktionen ausreizen will und richtig Bock auf Technik und Wissen hat, kommt aber ebenfalls auf seine Kosten. Forti „kann" auch richtig Enterprise. Das Ökosystem ist riesig, die Möglichkeiten divers.
Preis: Ich glaube, als (neuer) Partner darf ich das hier nicht prozentual hinschreiben. Aber man meldet für jedes Thema sofort ein Projekt an (DealReg) und bekommt Preise, die nah an denen von Sophos dran sind. Schaut man sich Mehrwerte der kostenpflichtigen Versionen (von bereits kostenlos bereitgestellten Features) an, lohnt es sich auch, ein wenig mehr auszugeben (z.B. die erweiterte Version des Forti Analyzers).
Nehmt Euch Zeit, die Konzepte zu verstehen und Ihr werdet erheblich mehr Spaß und weniger Schmerzen als mit der XGS haben.
Noch ein Wort zu LucarToni: Ich habe im Sophos Forum verfolgt, wie LucarToni sich über die Jahre vom „sinnfreien Sophos Verfechter ohne inhaltliche Substanz" zum wirklich respektablen Techniker mit hervorragendem Wissen gemausert hat. Sophos und auch die Community kann sich glücklich schätzen, dass sie so einen guten Kollegen haben. ABER: Er ist leider nur ein Tropfen auf den heißen Stein. Sophos besteht leider nicht mehr aus LucarTonis (so, wie zu ASG-Zeiten und die wenigen Jahre danach). Der Schritt weg von Sophos und hin zu Fortinet kostete uns zwei Jahre Geld und Nerven. Dutzende Gespräche mit Sophos, in denen uns die tollsten Versprechungen gemacht wurden, dass „jetzt" alles besser wird. Wurde es NICHT.
Wie gesagt: Subjektive und persönliche Meinung ;-)
Viel Erfolg Euch bei der Auswahl!
Ich kann mich dem Ersteller und den meisten nur anschliessen – man sollte Sophos auf den Mond schiessen – SG EOL erklären und die XG/XGS kann ja nicht mal ein simples LE lösen ohne über Drittsysteme gehen zu müssen. Ich hab ein paar Kunden mit Synos AD Domain (weil die halt nicht mehr brauchen und auch das sehr gut läuft) und entsprechend viel über die Sophos gemacht wurde was zum Beispiel Split DNS anbelangt. Da ich zu jedem meiner Kunden auch ein VPN habe und auch das DNS forwarding rege nutze sowie die DNS Definitiosmöglichkeiten auf der SG (eine IP viele DNS Namen) sehr schätze war es für mich ein absoluter Graus was die XGS hier für einen schlechten Dienst macht.
Klar, man kann ich sich auch immer anders helfen (virtuelle IP, damit bei einem Serverwechsel halt nicht immer alle DNS Namen einzeln angepasst werden müssen, LE Zertifikat, wenn vorhanden mittels einer VM auf die XGS spielen, etc.) aber die SG konnte das alles ohne Probleme – wieso kriegen das die Firewallhersteller nicht in den Schädel?
Das SG UTM Produkt aus dem Hause Astaro (ich war seit Version 2 mit dabei, zuerst nur privat, dann auch in der Firma und dann auch 8 Jahre als Dienstleister für meine Kunden) ist nach wie vor das beste Produkt im Bereich "eierlegende Wollmilchsau". Ich bin wie der Ersteller über viele Firewalls gegangen um die SG zu ersetzen und für mich zu Hause (was zeitgleich auch mein Firmensitz ist) war die opnSense die beste Alternative bis auf ein paar Kleinigkeiten, mit denen ich aber leben kann ( Nach wie vor das Problem bei Matrix VOIP, dass die Leute mich anrufen müsse, weil sonst die Verbindung nicht zu Stande kommt).
Für die Kunden hingegen kann ich opnSense nicht empfehlen mangels an guter Hardware bzw. Support für die Hardware und dem Umstand, dass auch die zentrale Verwaltung (vor allem VPN Konfiguration) nicht wirklich vorhanden ist. Auch das Thema CARP ist da sehr hinderlich, weil ja, CARP ist der letzte Dreck meiner Meinung nach ( die meisten meiner Kunden haben nur eine fixe IP Adresse). Ja ich weiss, kann man mittels Scripts etc. lösen aber das ist dann auch eine ständige Baustelle.
Und betreffend der anderen Hersteller – Sie alle haben mindestens ein Killerkriterium, welches mich davon abgehalten hat diese zu wählen. Denn wenn ich zum Beispiel zwar einen Reverse Proxy habe aber dann keine Zertifikate lösen kann dann fehlt mir das Verständnis und die Firewall ist gleich gestorben. Oder dass der Reverse Proxy nur auf Port 443 eingestellt werden kann (Da ich Stieger Kunden habe, brauche ich auch Port 8812/8813). Oder kein Conditional DNS forwarding implementiert ist oder ein simpler Mailgateway fehlt.
Lange Rede kurzer Sinn – die SG UTM war das perfekte Produkt für SOHO bzw. KMU's, wie wir es in der Schweiz sagen. Und die ganze Lobhudelei auf die XGS kann ich keiner Weise nachvollziehen – das Produkt ist der letzte Müll, angefangen von den Network Definitions, über das Fehlen der LE Implementation und dafür, dass es so neu, fancy und modern ist immer noch nicht in der Lage ist einen Full HD Schirm auszufüllen. Und die ganze Lizenzpolitik (zahlen müssen nach dem 3. Update) ist auch so eine Sache für sich.
Und an die ganzen CloudService-Jünger da draussen – Security und Cloud beissen sich nun mal gewaltig – Security ist "So viel wie nötig, so wenig wie möglich" – und wer seinen kompletten Email oder Webtraffic an fremde übergbit hat dieses Prinzip nicht so ganz verstanden.
Hey ich habe lange Sophos UTM und XG auch als MSP betrieben, bin jetzt aber auf 3 Produkte gewechselt. Nachdem die XG und XGS Geräte immer kürzere Lifecycles haben und die Preise angehoben haben. (PS ich konnte gut mit der XGS und finde die Im Grunde gut.)
1. Für Kunden mit sehr schmalen Budged OpenSense als Firwall und Wenn der Admin Ahnung hat Wazuh als XDR (was auch nit der Opensense harmoniert) bzw. Bitdefender Gravity Zone (mit Full Disk Encryption) oder Sentinel One
2. Ubiquiti als Netzwerk / Firewall und App Firewall / mini Proxy und Entweder Bitdefender Gravity Zone (mit Full Disk Encryption) oder Sentinel One
Für die wo besondere Auflagen haben LanCom als Netzwerkinfrastruktur und Sentinel One (Local hosted)
Sophos Central for Endpoint und Device Encryption ist zwar nicht günstig macht aber die Verwaltung der Clients sicher und der Bitlocker auch ohne AD und Intune gut zu managen (also sogar besser wie ich finde)
Der Sophos Support ist allerdings seit dem Wechsel nach Inden super schlecht.
Kennt JEMAND eine Alternative?
Wir haben einige XGS Modelle und auch noch SG Modelle im Einsatz. Für uns sind die XGS Systeme zu kompliziert im handling, und werden damit nicht wirklich warm. Auch die Fehlersuche oder aber das Bauen von FW-Regeln ist wesentlich umständlicher. Wo man bei der SG einfach jedes Objekt irgendwo reinschieben konnte, muß man bei der XGS Host-Objekte, Netzwerk-Objekte, oder Interface-Objekte händisch anlegen. Und seit dem ich weiß, dass bspw. bei einer SG230 Consumer SSDs von ADATA verbaut wurden, die auch noch dafür bekannt sind, dass sie reihenweise abrauchen, ist für uns der Ofen bei Sophos so gut wie aus. Wir werden uns jetzt mal Lancom und Fortinet näher ansehen. Sollte für unsere Zwecke dicke ausreichen.
Guter Thread und wie man merkt, ist man nicht allein mit diesem Thema.
Danke für die Anregungen und Erfahrungen.
SG war/ist noch gut, XG ist ein Rotz (nie soviel geärgert) und XGS werde ich deshalb nicht mehr ausprobieren.
SG läuft privat und bei allen Kunden noch bis zum Supportende. Meine Lizenz läuft noch bis April 25.
Alternativen sind für mich aktuell nur Opnsense/Zenarmor und Fortinet/Fortigate.
Bei Mail werde ich wahrscheinlich das Proxmox Mailgateway testen.
So.. Sophos hat jetzt die APX Antennen durch die AP6 ersetzt…
Und die APX Antennen sind alle ausverkauft..
Und die AP Antennen können nicht mit den XGS verwaltet werden.
Die SG und XG können nur noch bis 2025 benutzt werden. Somit müssen viele noch funktionierende AP Wifi-Antennen ersetzt werden. Der Kunde wird nicht sehr begeistert sein.
Resultat: die neuen Antennen können nicht von den SG, XG oder XGS verwaltet werden, sondern müssen über das Sophos Central verwaltet werden…
In anderen Worten wird mal wieder sicherheitstechnisch (oder sicherheitskritisch) alles wieder in die Cloud verfrachtet.
Man muss die Verwaltung der Antennen alle in die Sophos Central Cloud verfrachten. Was an sich nicht Zweck der Übung einer UTM ist.
Es wird kompliziert, die SG und XG nach XGS zu migrieren und dann noch die Antennen nicht mehr davon verwalten zu lassen.
Hi,
ich hatte früher auch viel mit Astaro bzw. später mit Sophos UTM/SG und privat XG zu tun. Schön waren die Astaro Zeiten aber die sind leider vorbei.
Bei meinem Arbeitgeber sind wir umgestiegen auf Clavister NW. Dies war von der Bedienung und Logik erstmal ein riesen Schock. Mittlerweile bedauere ich nur das Sie keine Home-Lizenz haben.
Clavister Firewalls haben nicht alle Funktionen wie Sophos oder z.B. Forti, sie sagen aber auch definitiv, dass sie das auch nicht so wollen. Es fehlt z.B. MTA. Das Hauptaugenmerk liegt bei denen tatsächlich auf Firewalling, Routing und VPN.
Es gibt ein Zentrales Management was man On-Prem betreiben kann und nichts extra kostet. CVE sind sie bisher auch nicht groß zu finden und es kommt aus Schweden und nicht den USA.
Haben die Firewalls in verschiedenen Größen am laufen auch HA und bisher keine Probleme gehabt. Selbst wenn wir mal den Support brauchten war dieser immer sehr kompetent.
Ab einer gewissen Lizenzgröße gibt es den Log-Analyzer frei Haus On-Prem oder Cloud.