Hardware Firewall Angebot bitte prüfen

[tihei]

Hallo,
wir brauchen in der Praxis eine neue Hardware Firewall-Lösung.
Das Netzwerk sieht folgendermaßen aus: 1 dezidierter Server, Windows Server 2019, 15 Clients, Win 11, Peer-to-Peer, 1 Sonogerät per WLAN eingebunden, Internetzugang mittels aktueller FritzBox, TI Zugang als TI-as-a-service mittels VPN Watchdog FireGuard Box über CGM.
Bisheriger Schutz durch VPN-Firewall über das Deutsche Gesundheits Netz DGN mittels GUSbox. Geht jetzt nicht mehr weil sich TI-VPN-Verbindung durch die VPN-Firewall wohl nicht verlässlich machen lässt.

Das Angebot meines IT-Händlers:
1 x SOPHOS XGS 108 Firewall + 3 Jahre Xstream Protection = Euro 1.149,- +MwSt. Inkl. 3 Jahre SOPHOS Xstream Protection
oder
1 x SOPHOS XGS 118 Firewall + 3 Jahre Xstream Protection = Euro 1.890,- +MwSt. Inkl. 3 Jahre SOPHOS Xstream Protection

zusätzlich
1 x SOPHOS EmailProtection XGS 108 / 3 Jahre = Euro 185,- +MwSt. bzw. 1 x SOPHOS EmailProtection XGS 118 / 3 Jahre = Euro 285,- +MwSt.

zusätzlich
1 x SOPHOS ENDPOINT-100 SERVER SecurityLösung / 3 Jahre (AN 1082997914) = à Euro 125,- + MwSt.

1 x SOPHOS ENDPOINT-100 USER SecurityLösung / 3 Jahre (AN 1082997914) = à Euro 125,- + MwSt.

zusätzlich
Installationsaufwand vor Ort ca 5-6 Stunden

Der Vertriebsmensch, der mir dieses Angebot erstellt hat, klingt im Beratungsgespräch wie ein Autohändler, der einem immer noch etwas und noch etwas aufschwätzen will mit dem Argument, dass sonst alles ganz schlimm wäre. Deshalb bin ich da etwas unsicher.

Deshalb dazu meine Fragen:
- Ist das insgesamt ein realistisches und schlüssiges Angebot?
- macht es Sinn die leistungsfähigere XGS 118 zu nehmen, oder kommen wir die nächsten Jahre auch mit der XGS 108 hin?
- Ist die Schutzsoftware SOPHOS ENDPOINT empfehlenswert für Server und Clients? Zuverlässigkeit, Fehleranfälligkeit? Alternativen? ...
- wenn ich eine Hardware-Firewall habe und ein Endpoint Schutzprogramm auf Clients und Server, brauche ich da noch ein extra EmailProtection für die ganz normale Email-Kommunikation über Web.de?
- Ist diese Schutzlösung für die Bedürfnisse unseres Netzwerks richtig ausgelegt oder überdimensioniert?
- sind die Preise realistisch?

Über eine kurze Einordnung wäre ich sehr dankbar.
Gruß
.

[Macros]

1 x SOPHOS XGS 118 Firewall + 3 Jahre Xstream Protection = Euro 1.890,- +MwSt. Inkl. 3 Jahre SOPHOS Xstream Protection

Ist aus dem Bauchgefühl heraus günstig, kurze Suche hat mir in der Kombination nichts unter 2.000 Euro gebracht, wenn denn die Protection wirklich schon dabei ist.

1 x SOPHOS EmailProtection XGS 108 / 3 Jahre = Euro 185,- +MwSt. bzw. 1 x SOPHOS EmailProtection XGS 118

Wenn Sie den Mailserver nicht selber betreiben, brauchen Sie das nicht unbedingt, schadet aber auch nicht unbedingt, sind pro Monat keine 3 Euro und niemand kann ihnen dann sagen, Sie haben sich nicht geschützt.

1 x SOPHOS ENDPOINT-100 SERVER SecurityLösung / 3 Jahre (AN 1082997914) = à Euro 125,- + MwSt.

1 x SOPHOS ENDPOINT-100 USER SecurityLösung / 3 Jahre (AN 1082997914) = à Euro 125,- + MwSt.

Ist für mich die Frage, wird es nur installiert? Wird es installiert / konfiguriert und evtl. an ein Ticket / Alerting System angebunden? Ich sehe Vorteile in einer zentralen & betriebenen Umgebung, wenn es eh nur "mitläuft" und sich keiner kümmert, kann auch der Defender von Microsoft reichen.

Installationsaufwand vor Ort ca 5-6 Stunden

Ich hätte aus dem Bauch heraus höher angesetzt, bis es vernünftig läuft, klingt also auch für mich fair.

Und für mich gibt es kaum noch ein "übertrieben" was Schutz angeht, denn dass was ich an angriffen sehe, wird immer komplexer, selbst "out of the box" durch "Scriptkidies" gibt es heute schon alles, was es für nicht gesicherte Systeme braucht.

[FortiSecond]

Ja, bin (fast) vollständig bei @Macros.
Klingt fast wie ein Schnäppchen. Wenn´s keinen Haken hat und die FW korrekt eingerichtet wird... Deal!

Die 108er dürfte reichen (immer noch genügend Ports; die 118er ist halt (nominal!) 10 - 20% schneller).


Nur bei der Security-Lösung weiche ich klar ab: Defender allein ist... ähem... nicht gut. Frisch Erfahrung gemacht. Siehe unten.

Wünschenswert ist Management durch Lieferanten sicherlich, und bei guter Support-Erreichbarkeit und -Response ist das wunderbar. Aber auch selbst das Management zu machen, ist in der Regel viel mehr als nichts. Wirklich günstiger sind die anderen kostenpflichtigen Pakete auch nicht. ESET wäre ggf. hier als Alternative denkbar.

Defender allein: Im Dezember PC aufgesetzt, Win11 mit Defender. Von Github eine KI-Anwendung heruntergeladen und installiert. Nach einiger Zeit seltsames Verhalten und "komische Dateien im TEMP". Defender hat´s selbst bei manuellen Scan nicht interessiert, dass da ein Trojaner seine besten Freunde und Verwandte ein- bzw. nachgeladen hat.
Selbst "Beispiel an MS senden" hat kein Ergebnis gezeigt.
Spaßeshalber* ESET Internet Security raufgeschubst auf das verseuchte System: Es hat tatsächlich sofort alles entdeckt, isoliert und bereinigt. Dem Anschein nach war das System danach sauber.
* = Spaßeshalber, weil ich bei sowas eigentlich keinen Spaß verstehe, das dann aus Neugierde durchgespielt habe, bevor Killdisk dann ein Secure Erase machen durfte und ich die Box neu eingerichtet habe.

Natürlich kann JEDER Virenscanner versagen oder was nicht kennen. Aber ESET hat gleich vier (sehr unterschiedliche) Trojaner erkannt, die auch wirklich welche waren. Selten habe ich den Defender so versagen gesehen. Und trotzdem ist er besser als gar kein Schutz. Dennoch: Ein ordentlicher Scanner kann mehr.

Ansonsten: Mail Security sollte entbehrlich sein, ja. Viren sollte Sophos oder sonstwer auch "so" erkennen. Und für einen Spamfilter ist das Overkill.

Gut aufgepasst, nicht jeden Krempel andrehen lassen, und die richtigen Fragen gestellt -> Das ist verantwortliches Vorgehen.