Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794
hi zämme,
um unsere alte ISA Proxy Server Infrastruktur mit einer zeitgemässen Produkt abzulösen,möchte/muss ich verschiedene Lösungen anschauen und vergleichen können.Dazu benötige ich die gängigen Produkte,eins davon habe ich entdeckt das vielversprechend ist:
Sophos UTM
Als Proxylösung kann ich dir McAfee Webgateway empfehlen. Hatten früher Bluecoat ProxySG und AV und der McAfee gefällt mir einiges besser und kostet etwa einen Drittel von Bluecoat und hast alles in einer Maschine.
Kannst natürlich auch loadbalancen mit mehreren Geräten.
MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security
was hältst du von Sophos UTM? Wir benötigen nicht nur eine Proxylösung,sondern eine Advanced threat protection die auch IDS/IPS,web content filtering, Form hardening, URL hardening and Cookie protection,etc. beinhaltet.
Gemäss Gartner wird ja auch eine All-in-one Lösung empfohlen,da man u.a. auch die Kosten reduzieren kann.
Was ist denn grundsätzlich best-practice? Dass man die FW separat auf einer Appliance laufen lässt,den Proxy auf einer anderen und IDS/IPS nochmals auf einer anderen-oder dass man den Proxy und das IDS/IPS doch allesamt auf einem Device laufen?
Kenne Sophos UTM nicht.
Ob man nun eine All-in-one Strategie fährt oder sich für Best of Breed entscheidet ist eine Glaubensfrage...gleich wie Hardware-Appliance oder VM-Appliannce und letztenendes natürlich auch eine Frage der IT-Strategie. Es gibt kein best-practice sondern man muss es halt für sich entscheiden.
Ich persönlich bevorzuge den Best of Breed Ansatz. Kommt sicher bissle teurer aber ist garantiert effizienter wenn man die Produkte sorgfälltig aussucht. Habe damals vor ca. 2 Jahren bei der Evaluation unserer neuen Proxyumgebung mal wirklich hands-on verschiedene Proxylösungen getestet und die Unterschiede waren frappant. Auf den Datenblättern sieht alles tiptop aus. Jeder kann das gleiche wie der Konkurrent...aber wenn man es dann wirklich testet..da trennt sich dann die Spreu vom Weizen. Wir haben auch eine grosse Checkpoint Umgebung im Einsatz...die könnte man auch als Proxy verwenden...hat aber in meinen Tests kläglich versagt. Und darum fahre ich Best-of-Breed.
Vorallem im Bereich Virenerkennung gab es grosse Unterschiede. Kannst ganz einfach Tests mit dem Eicar machen.
Hier mal eine Liste worauf ich persönlich bei nem guten Proxy achten würde:
Policy Mapping nach User/Gruppen und URL Category, App, Tageszeiten..
Bandbreiten Limitierung nach Applikation/URL Category
Policy Unterscheidung für Uploads und Downloads
Zentrales Management (auch bei Clusterlösung, nicht das du auf jedem Device Policy nachtragen musst (so gesehen bei Bluecoat)
Loadbalancing, Aktiv, Aktiv möglich
Https Inspection
Automatische Whitelistungs und Root Certificate Updates, Certificate Verification
Lokale URL DB + wenn nicht vorhanden Online (ist performanter als nur Online DB)
URL und File Reputation Service
Umfangreiche Filetypeunterstützung (hier war Checkpoint sehr schlecht)
Encrypted, corrupted File Type handling
Scanning von Viren in grossen ISO Files, embedded Objects (hier gibts grosse Unterschiede!!)
Zero Day Prevention
Verständliche Blockpages mehrsprachig (Bluecoat war hier sehr schlecht..einfach 404 Error gezeigt)
Eine oder mehrere integrierte Scan Engines
Reporting
Flexible Deployment Optionen, HW Appliance, VM Ware
Vergiss das Thema IPS (IDS gibts ja eigentlich gar nicht mehr) in Verbindung mit dem Proxy.... das ist ein separates Projekt welches zeimlich heavy ist. IDS/IPS ist eigentlich eher ein Konzept und kein einzelnes Produkt. Auch dort versprechen die Hersteller alles....aber in der Praxis sind dann die meisten der tausenden Attacktypes die es gibt gar nicht aktiv resp. nicht im Blockmode, weil es einfach zuviele false positives geben würde und so legitimer Netzverkehr lahmgelegt würde.
MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security
hi Celestron,danke für die guten Ansätze. Wir haben ja ISA/TMG Forefront als Proxy im Einsatz,jedoch ist das out-of-date. Wir benutzen ISA auch als Web-Chaining Lösung,da in gewissen Ländern gewisse URLs geblockt sind. Wir haben auch ein problem,dass z.B. irgendwo wieder einmal der Provider taucht; dass die user dann anstatt google.de dann google.pl haben.Wie heissr dieses Phänomen und wie kann man das lösen?
hi Celestron,danke für die guten Ansätze. Wir haben ja ISA/TMG Forefront als Proxy im Einsatz,jedoch ist das out-of-date. Wir benutzen ISA auch als Web-Chaining Lösung,da in gewissen Ländern gewisse URLs geblockt sind. Wir haben auch ein problem,dass z.B. irgendwo wieder einmal der Provider taucht; dass die user dann anstatt google.de dann google.pl haben.Wie heissr dieses Phänomen und wie kann man das lösen?
Vielleicht lohnt sich auch ein Blick zu SonicWALL (obwohl die nun Teil von Dell sind). Da gibts vom kleinen SOHO Böxli bis zur Big Fig Providersolution quasi jede Ausbaustufe (Wenn dann hol dir die xx60er Modelle (neueste Generation).
Zum Providertauchen/ISAProxy Geblubber: Kann sein dass mir da das spezifische Fachwissen fehlt, doch fehlt mir ausserdem jede Spur einer Ahnung eines Grundverständnisses der Umgebung.
Certified SonicWALL Security Administrator
---
Don't send funny greeting cards on birthdays or at Christmas. Save them for funerals when their cheery effect is needed.
Fatal Error: danke für den Tipp,schaue ich mir gerne an. Mit den ISA Servern ist es so dass wir das als Web-Chaining Lösung brauchen,da in gewissen Ländern gewisse URLs geblockt sind. Dank dem Web-Chaining kann ein User in Peking o. Ankara trotzdem auf seiten wie twitter,etc. zugreifen ohe dass es geblockt wird. Was wir aber auch erleben ist,dass z.B. statt google.fr eben google.it angezeigt wird. Riecht für mich nach DNS/Round Robin, auf jeden Fall darf das in der neuen Umgebung nicht passieren
Fatal Error: danke für den Tipp,schaue ich mir gerne an. Mit den ISA Servern ist es so dass wir das als Web-Chaining Lösung brauchen,da in gewissen Ländern gewisse URLs geblockt sind. Dank dem Web-Chaining kann ein User in Peking o. Ankara trotzdem auf seiten wie twitter,etc. zugreifen ohe dass es geblockt wird. Was wir aber auch erleben ist,dass z.B. statt google.fr eben google.it angezeigt wird. Riecht für mich nach DNS/Round Robin, auf jeden Fall darf das in der neuen Umgebung nicht passieren
Jup, beim ISA muss ich passen, sorry. Würde da wohl kurzerhand den ganzen Traffic irgendwo anders durchleiten ausser den wenigen landeseigenen IPs die erreicht werden müssen. Oder vielleicht gibts was schlaues auf Linux Basis welches auf einem Raspberry Pi betrieben werden kann (deutlich erschwinglicher als ein ganzer Server). Dort könntest du die Configs zB über Puppet synchen damit du nicht dutzende Configs unter Kontrolle halten musst.
Certified SonicWALL Security Administrator
---
Don't send funny greeting cards on birthdays or at Christmas. Save them for funerals when their cheery effect is needed.
Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.
Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.
Kommentar