Diskussionsfrage - Webinterface UTM - XGS

Die Frage ist immer, welche Aufgaben du erfüllen möchtest und wie du sie machst. 

SFOS bietet verschiedene Systeme, die dir viel Zeit ersparen. Manche Systeme dauern etwas länger. Manche sind die gleichen. 

Solltest du einen Workflow von der UTM 1:1 umsetzen wollen, dann dauert es auf der SFOS länger. Siehe DHCP leases. Auf UTM machst du dafür ein Objekt, pflegst die MAC Adresse dafür und dann kannst das Objekt in Firewall rules verwenden. Auf SFOS sind das 2 o. 3 Workflows, die separate sind (static DHCP, DNS, Host object). 
Jedoch nun die Frage: macht das ein Kunde? Oder setzt ein Kunde eher auf User authentication: Du nimmst AD Authentication und holst dir deine Authentifizierung vom AD. Damit hast du ein Object (Username) und kannst damit firewalling etc. machen. 

Selbes Beispiel mit Zonen vs Firewall Regeln. Du kannst keine Zonen verwenden und UTM like mit Netzobjekte arbeiten. Die musst du auf SFOS manuell anlegen. Umständlich --> Aber du könntest mit Zonen arbeiten, die effektiv besser sind als Network Objects (da dynamisch und gebündelt). 

Anderes Beispiel Granularität. IPS, App Control, Webfilter anhand von Firewall Regeln zu steuern kann umständlich sein, bringt jedoch den Vorteil, dass du besser Performance verteilen kannst. Der Workflow wird dadurch erhöht, jedoch hast du ein Security und Performance Benefit davon. 

Logviewer ist ein anderes Beispiel. Ich habe bisher keinen Kunden kennengelernt, der den Live Log von der UTM "wirklich" verwendet. Auf 100+ User ist der Live Log von Packet Capture nicht mehr zu verwenden. Logviewer auf SFOS ist eine Datenbank und kann besser durchsucht werden. Dafür hast du jedoch keine "Log Einträge" vom Module selbst. Also wenn die WAF abstürzt oder ähnliches, siehst du das im Live Log der UTM, jedoch nicht im Logviewer. 

V19.0 wird einige Dinge auch im Workflow der SFOS verbessern. Auch sind weitere Änderungen geplant. Der Punkt ist immer: Wieviel Zeit investiert man in ein System für den "Workflow Improvement" während man an Security Features arbeiten sollte. Am Ende ist es ein Security Produkt - Security sollte immer an oberste Stelle stehen. (Was bringt einen die schönste Mauer, wenn man einfach drüberspringen kann). 

Ich verstehe nicht, dass man ein äusserst gutes Produkt wie die UTM, damals von Astaro gekauft hat und dieses Produkt nun "sterben lassen" will. Man hätte auf dieses Produkt aufbauen und weiterentwickeln können.

Das Livelog von der UTM finde ich genial, und das Handling der Weboberfläche ist so etwas von intuitiv, da verstehe ich nicht, dass man diese Features nicht in die XGS übernommen hat.

Ich gehe davon aus, dass es Geschmackssache ist, wer was gut an welchem Produkt findet. Ich persönliche finde LiveLog in der UTM unbrauchbar und das GUI der UTM war nicht meins. (Modularer Aufbau - Warum kann ich keine Firewall Regel für Webfilter Rules bauen? - Weil Firewall keinen Einfluss auf den Web Proxy hat.)

Auf jeden Fall wäre es interessant, wenn diese Diskussion von mehreren Benutzern geführt wird. Mich nimmt es einfach Wunder, ob nur ich so kompliziert bin ;-) liegt wohl am Alter.... :-)

Nein du bist absolut nicht der einzige. Ganz viele Systemhäuser würde gerne weiterhin auf die UTM setzten. Für Unternehmen mit lokaler IT Server Infrastruktur ist es einfach ein geniales Produkt welches so viele tolle nutzliche Features bietet. Stichwort: Eierlegende-WollMilchSau.

Das GUI ist für Leute mit fundierten Netzwerk-Kentnissen viel intuitiver als alle "modernen" GUIs die alles unter sog. Policies mischen/vereinen. Firewall, NAT, Proxy, ... Man weiß nachher einfach nicht mehr was genau das technisch sein soll. Versteht man einmal das Prinzip der UTM mit seinen Proxys, ist es einfach top!

Leider hat das Mangemenrt von Sophos entschieden, das Produkt sterben zu lassen und mit aller Gewalt seine Cloud Lösungen aufzuzwingen und XG zu pushen. Man denkt wohl, dass die Zuklunft 100% Cloud Dienste ist, und niemand mehr lokale Server betreiben sollte. Dass sie glauben, sich dabei natürlich eine goldene Nase verdienen zu können, ist wohl der primäre Antreiber dahinter. Allerdings verdienen sie aktuell noch zu viel Geld mit den UTM Lizenzen, als dass sie es sofort killen könnten. Aber große Updates wird es wohl keine geben (IKEv2 zB).

Leider gibt es auf dem gesamten Mark kein vergleichbares Produkt auf dem Level.

Auch die XG wird niemals die Features bieten die die UTM aktuell kann. Bestes Beispiel ist LetsEncrypt. Man hat ganz klar entschieden, das Feature nicht einzubauen, da man der Meinung ist, dass niemand mehr lokale Serverinfrastruktur nutzen sollte. Und wenn doch, dann sollen gefälligst Zertifikate gekauft werden!

Wir werden mit unseren 200+ UTMs wohl den Anbieter wechseln (müssen) sollte Sophos nicht eine Kehrtwende machen

Als IT Admin nutze ich das Livelog Feature der UTM bei fast jedem Problem zum debuggen. Es ist einfach genial und vereinfacht mir die Suche nach Problemen enorm. Möchte ich bei einer Firewall nicht mehr missen!

Die Objekt-basierte Konfiguration ist auch unglaublich nutzlich. Ändert die IP eines Servers/Gerätes, muss man im Prinzip nur einen Datensatz anpassen und nicht alle 100 Stellen in der Config suchen gehen, wo das evtl noch benutzt wurde. Auch sieht man so mit einem Blick auf das i-Symbol, wo es benutzt wird aktuell.

Wie groß sind diese Appliances denn? Wer mehr als 100 Clients hinter einer UTM hat, sollte in der Regel mit dem Live Log keine Chance mehr haben, etwas zu erkennen. Zumindest ist das meine Erfahrung. Die meisten Administratoren wechseln dann auf die CLI für den Task. 

PS: Auf SFOS kannst du auch mit einem Objekt grundsätzlich arbeiten. Objekte werden auch überall verwendet. Hast du das Objekt in der Firewall, kannst du das dort anpassen und es wird überall angepasst. 

Nur das "Where is this object used" fehlt bis dato noch. 

Also ich sehe persönlich es komplett anders. Aber habe auch mit vielen Administratoren zu tun, die von anderen Hersteller kommen. Ein Unified Ruleset mit zentralisierter Infrastruktur scheint für viele sehr viel intuitiver zu sein als ein modulares System. Aber das hängt eben davon ab, von welcher Plattform man kommt. Wer natürlich jahrelang UTM gemacht hat, versteht grundsätzlich, warum NAT mit Bind to Local Interface so funktioniert, wie es funktioniert. Aber das wirst du so bei keinem anderem Hersteller finden. 

Das "Filter" Feld oben links im Livelog Fenster sollte man schon nutzen bei sehr aktiven Dateien :)

Die meisten unserer UTM haben effektiv weniger als 100 Clients, aber auch UTMs mit über 1000 managen wir damit, und bisher hat mich die Livelog Funktion nie enttäuscht.

Und diese Funktionalität ist besser als der Logviewer von SFOS? Kann ich persönlich nicht nachvollziehen. Ein Fluten von Einträgen, die abhängig vom Module nur sind ohne Chainen von Filtern ist für mich nicht ausreichend. 

Aber das scheint wohl eine Geschmackssache zu sein.