Frage zum Angebot von Sicherheitssoftware

[-wAcKy-]

Hi all,

ich hab ein Anbgeot bekommen, welches mir nicht so behagt und ich gerne eure Meinung dazu haben möchte.

Wir bekommen in der Firma 2 Citrix-Terminalserver, 1 Exchange-Server, 1 File/SQL-Server und einen ISA-Server(brauchen wir überhaupt einen ISA-Server? könnt Ihr mir ein paar alternativen nenen wegen Citrix?)

Jetzt zum Angebot:

Backup Exec 11d Windows Server + System Recovery

Windows Agent und SQL-Server Agent für SQL-Server

Windows Agent und Exchange Server Agent für Exchange-Server

2 x Windows Agent für TS1 und TS2

Advanced Open File Agent für Fileserver

McAfee Total Protection für X User

Ich stell mich jetzt einfach ganz dumm und möchte von euch gerne wissen, ob das wirklich nötig ist.

PS: zur Zeit haben wir einen SBS. Sind die Backupsoftware etc. mit den Lizenzen vom SBS gekoppelt?

nö, oder? :-)

(ich wills von euch wissen, damit ich weiß, ob ich in die Klapse muss oder nicht *g*)

Danke im Voraus!

[hades]

Der SQL-Agent von BE ist Geschmackssache.

Ich brauch ihn nicht, weil ich ueber die Wartungsplaene vom SQL Server Sicherungen von DB und Transaktionslog-Dateien anlege, die ueber dateibasierte Sicherungen eingesammelt werden koennen.

Und im Wiederherstellungsfall kannst Du das dann ueber die Verwaltungssoftware vom SQL Server wieder einspielen.

Der Open File Agent:

Muss auch nicht zwingend sein.

Wuerde ich erst ohne testen und dann bei Bedarf nachkaufen. Ist ja nur ein Installationscode, der nachtraeglich eingepflegt wird, einmal die BE-Agenten neu ausrollen sowie die betreffenden Server neustarten.

Exchange Agent:

ja der muss sein.

Ohne kannst Du auf Anhieb nur komplette Exchange DB und dann zeitaufwaendig auch manuell einzelne Postfaecher wiederherstellen.

Mit dem Exchange Agent ist das deutlich einfacher.

Remote Agent fuer Windows Server:

ja der muss auch sein.

Sonst kannst Du keinen anderen Windows Server mit BE sichern als den BE-Mediaserver selbst.

Backup Exec gibt es in zwei Editionen:

- Eine normale, wo die einzelnen Agenten hinzugekauft werden muessen

und

- Eine deutlich preiswertere SBS-Edition

Die SBS-Edition enthaelt den Exchange und den SQL Agenten und kann nur auf SBS Servern installiert werden.

Fuer vollwertige Windows Server kannst Du keine SB-Edition einsetzen, dort muss das Vollprodukt von BE drauf.

ISA Server:

Wuerde ich als Appliance mit der IAG-Erweiterung kaufen, nicht als Software-Produkt (wo es kein IAG gibt).

Das IAG 2007 ermoeglicht Dir mit dem ISA SSL-VPNs.

Der normale ISA als Software-Produkt kann bei VPN nur PPTP und L2TP/IPsec sowie IPsec-Tunnel.

Der ISA ist -vorausgesetzt gut konfiguriert- besser als jeder handelsuebliche DSL-Router.

Der ISA kann bis auf Applikation-Ebene in die Pakete reinschauen und nicht erwuenschte Befehle/Code filtern.

Auch kann er in SSL-geschuetzten Traffic von extern zu Deinen internen Servern reinschauen.

Er kann Exchange und andere MS-Dienste sehr gut absichern, weil er keine profane Portweiterleitung wie ein DSL-Router macht.

Er kennt Protokolle bis Applikations-Ebene und kann auch einzelne Kommandos (z.B. SMTP EXPN oder SMTP VRFY) filtern.

Er stellt bei Serververoeffentlichungen eigene Anmeldeseiten fuer die veroeffentlichten Dienste zur Verfuegung.

Sieht im Fall von Exchange genauso wie die formularbasierte OWA-Anmeldung auf dem Exchange aus, stammt aber vom ISA selbst.

D.h. im Falle eines Angriffs wird der ISA und nicht der beabsichtigte MS-Dienst angegriffen.

Du kannst mit dem ISA auch Signaturen von z.B. Instant Messaging, Skype oder P2P in HTTP-Paketen erkennen.

Der ISA 2004 entspricht den hochstmoeglichen common critieria (EAL4+), beim ISA 2006 ist diese Bescheinigung beim BSI in Bearbeitung.

McAfee:

Kenn ich nicht (mehr) so genau.

Es gab mal bzw. gibt eine Edition, in der der ePO als zentrales Verwaltungsinstrument, dann McAfee VirusScan als Virenscanner fuer die Clients/Server und zusaetzlich ein Virenscanner speziell fuer Exchange DB drin war.

Das waere das Passende fuer Dich.

Denn Du solltest zum Einen auch die Exchange DB scannen und zum anderen die AV-Software zentral verwalten koennen.

[-wAcKy-]

ebenfalls danke hades für die Info!

Natürlich hab ich noch einige Fragen

Brauch ich für jeden Server einen Windows-Agent?

Was ist den ein Windows-Agent? Ich hab noch nichts brauchbares unter google gefunden.

siehe Angebot:

Windows Agent und SQL-Server Agent für SQL-Server

Windows Agent und Exchange Server Agent für Exchange-Server

2 x Windows Agent für TS1 und TS2

Und nochwas, 2 x Windows Agent für TS1 und TS2 wird wahrscheinlich der Remote-Agent gemeint, oder?

Da es sich ja um eine Citrix-Umgebung in Zukunft halten wird, währe da nicht der Citrix Access Gateway nicht die bessere Variante, als den IAG 2007?

Aus Kostengründen wollte ich eigentlich darauf verzichten. VPN-Verbindungen sind ja mit dem ISA trotzdem möglich. Dafür muss doch nur ein VPN-Client auf die Laptops. (für die im außendienst)

PS: was ist den ein Active-Server Agent? das hab ich auch angeboten bekommen. Davon hatte ich zuvor noch nichts gehört und auch googlen hatte nichts gebracht.

Edit: nochmal groooßes Danke im Voraus! werd jetzt mal nach einer gescheiten Virenlösung suchen.

[hades]

Der Windows Agent ist "mein" Remote Agent fuer Windows Server.

Den brauchst Du fuer jeden Windows-Server, den Du sichern willst und auf dem nicht die Backup Exec Software selbst installiert ist.

In manchen Backup Exec Agenten sind bereits die Remote Agenten fuer Windows Server drin. Z.B. im Exchange Agent und SQL Agent

Die Backup Exec Agenten sind Software, die das Sichern eines Servers oder bestimmte Software des Servers mit Backup Exec ueber eine Netzwerkverbindung ermoeglicht.

Dieser Agent wird wie alle Backup Exec Agenten (im Normalfall) ueber die Backup Exec Software auf die einzelnen Server installiert.

VPN:

Ja der ISA hat VPN, aber...

Er unterstuetzt als Software-Version ausschliesslich die VPN-Protokolle PPTP, L2TP/IPsec und IPsec im Tunnelmodus, die in manchen Umgebungen Probleme bereiten:

Nicht alle Router beherrschen das ungefilterte Durchlassen der IPsec-Protokolle ESP bzw. AH (IPsec-Passthrough) bzw. des bei PPTP verwendeten GRE-Protokolls (PPTP-Passthrough).

Manche Router sind auch in der max. Verbindungsanzahl fuer PPTP bzw. IPsec auf wenige Verbindungen (z.B. nur auf 1) beschraenkt.

Bei IPsec kann zusaetzlich das haeufig anzutreffende NAT Probleme bereiten. NAT veraendert IP-Header, was IPsec gar nicht mag (siehe oben IPsec-Passthrough).

Dafuer gibt es mittlerweile das sogenannte NAT-Traversal, wo ESP nicht als eigenstaendiges IP-Protokoll uebertragen, sondern in UDP eingepackt und auf einem zusaetzlichen UDP-Port uebertragen wird.

NAT-Traversal wird vom ISA ab Version 2004 unterstuetzt, wenn er auf Windows Server 2003 oder hoeher installiert ist.

SSL-VPN umgeht diese Probleme, indem der in vielen Umgebungen offene HTTPS-Port 443 und als Verschluesselung SSL/TLS genutzt wird.

Eine SSL-VPN-Loesung ist auch das kostenlose OpenVPN.

Citrix Access Gateway: Ja ist auch SSL-VPN.

Vorteil hier, Du brauchst wie beim IAG 2007 keinen VPN-Client (wie z.B. bei OpenVPN) verteilen oder konfigurieren (ISA ohne IAG) oder beides (andere IPsec basierende Loesungen).

Ab der Advanced Edition kannst Du hier auch festlegen wer was ueber VPN darf.

Das kannst Du beim ISA auch. Nicht bei OpenVPN oder anderen IPsec basierenden Loesungen.

Citrix Access Gateway uebernimmt die Funktionen des Presentation Server Security Gateway, dort brauchst Du dann keine separate Anmeldung.

Ansonsten fuer Dich vielleicht nicht so interessant: Der High-Available Mode in der Enterprise Edition. Das kann das IAG 2007 nicht (der ISA ist auf Appliances meist nur als Standard Edition drauf).

Wenn Du ein kostenloses VPN haben moechtest, das hohe Sicherheit bietet und fast* problemlos durch NAT und Proxy-Verbindungen durchkommt: OpenVPN. (*kann wie alles andere auch durch IDS/IPS-Systeme gefiltert werden)

Wenn Du Wert auf sehr gute Integrierbarkeit in die vorhandene MS-Infrastruktur und (fuer Sicherheitstechnik) einfache Bedienung legst: ISA (als Appliance mit IAG2007)

Wenn Du Wert darauf legst, eine grosse Citrix-Umgebung aufzubauen und diese auch so einfach wie moeglich per VPN anzubinden: Citrix Access Gateway

[-wAcKy-]

danke für diese ausführliche Antwort!

tja, da wir ein kleines Unternehmen sind, wären ein Citrix Access Gateway ein bisschen zu teuer. Der IGA wird sicherlich günstiger sein, nehm ich mal an.

Nungut, dann werden wir mal sehen, welches Produkt wir nun einsetzen werden.

gruß

[Mike Lorey]

tja, da wir ein kleines Unternehmen sind, wären ein Citrix Access Gateway ein bisschen zu teuer. Der IGA wird sicherlich günstiger sein, nehm ich mal an.

Das interessante an dem CAG in Verbindung Advanced Access Control ist die dedizierte Rechtevergabe je nach Zugriffszenario. Durch die Endpunkt Analyse kannst Du genau festlegen was in welchen Fall passiert. Wenn Ihr so etwas benötigt, oder in nächster Zeit andenkt, ganz klar CAG.

Wenn du won extern nur auf deine Citrix-Apps willst bleibt noch die kostenlose Lösung Webinterface und SecureGateway. Allerdings gibt es hier nicht die Filter wie beim CAG und das SecureGateway wird nicht weiterentwickelt.

Allerdings kenn ich Eure Preise nicht für ein CAG. Bei uns war ein CAG billiger als einen Server zu kaufen, auf dem dann die WI / CSG Kombi läuft.