andrew 15 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 hello together Szenario, ein Kunde mit ca. 8 Benutzern Ist Zustand FW und MailzustellungEin Kunde hat zurzeit einen=> SBS 2011 im Einsatz=> Exchange Version ist demnach 2010=> Mails werden via SBS POP Connector abgeholt=> FW Produkt = zurzeit ist eine MonoWall im Einsatz Ziel, Vorschlag FW und Mailzustellung (bereits dem Kunde so mündlich vorkommuniziert worden)=> Sophos UTM Lösung mit Fullguard Filter (alle Filter, auch Mailfilterung)=> Sophos UTM soll bestehende FW ersetzen, den Mailverkehr filtern und danach intern dem Exchange zustellen=> Umgekehrt das selbe in grün beim Mailversand, der Exchange soll die Mails an den SmartHost (Sophos UTM) weiterleiten, Mail auf Schadsoftware prüfen und versenden.=> darum mein Vorschlag vorgängig an den Kunden: anstatt weiterhin auf POP Konten setzen, die Mailumstellung von POP auf SMTP vornehmen.Das ist der Ist Zustand bzw. war mein Vorschlag an den Kunden Antwort Kunde:=> Was passiert, wenn die Sophos UTM HW Box "abraucht", einen technischen Defekt erleidet?=> Sicherheit Mailzustellung? Antwort von mir:=> die Sophos UTM Hardware Box im Active Active Cluster betreiben! Wenn eine HW Box ausfällt, übernimmt die andere HW Firewall, Mails werden weiterhin angenommen.=> Sicherheit Mailzustellung: wäre bei einem Active Active Cluster in Bezug auf die HW Box gelöst, jedoch kommen weitere Faktoren dazu, Faktoren wie- Internet Leitung, wenn diese ausfällt, bringt auch das Clustern einer FW nichts! > Backup Internetleitung angebracht (Kosten!)- SBS 2011 Server = ein Mailserver 2010, was geschehe denn, wenn dieser abliege? da hätten wir zurzeit auch keine Ausfallsicherheit, ein Backup, klaro, aber bis der SBS 2011 im schlimmsten Fall auf eine neue HW aufgespielt wird (Restore), die neue HW zuerst beschaffen werden müsste und und ..da vergehen Stunden, ja noch mehr (wenn wir vom Worst Case Szenario ausgehen > habe ich alles selber schon erlebt und das Service Pack auf der Hardware des Servers nicht alles abdeckt (aus Kostengründen vielleicht hier nicht die besten Leistungen im Service Pack integriert sind)- dann haben wir die Switches, was würde passieren, wenn die oder der Switch abliegt? dann würde die Sophos UTM auch nichts bringen, wenn diese den Server nicht erreichen kann. Kurz, Fazit, Fakt=> Kunde will aus diesen Gründen bei der jetzigen POP Lösung bleiben=> die FW muss gemäss Kunde ersetzt werden, da will er eine Offerte für die Sophos UTM Firewall haben, das ist Fakt! :-) Frage an die CommunityBringt mir Argumente, welche für die Mailzustellung von POP auf SMTP sprchen oder Fakten, welche in diesem Szenario dagegen sprechen und die Aussage des Kunden bestätigen, sprich, eine Befürwortung von POP und somit ein belassen der aktuellen Lösung zur Folge hätten Achtung pro und contra LagerZu beachten gilt aber die aktuelle Kundenumgebung Und: Dass zurzeit im Moment für den Kunden nur der FW Wechsel in Frage kommt, dass man am Besten alles Ausfallsicher bauen müsste weiss der Kunde, habe oben ja alle Punkte (mehr oder weniger) aufgeführt (und dem Kunden auch schon mal mündlich weiss gemacht). Dies ist aber wie immer eine Kostenfrage, darum will der Kunde wohl auch bei seinen "doofen" POP Konten (sorry an alle POP Freunde) bleiben :-( Wie Ihr merkt, ich bin ein POP Konten Gegner :-) Danke für eure Meinungen, auch wenn es schon zig tausend mal besprochen wurde, aber jede Kundeumgebung ist individuell :-) Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Mails gehen nicht verloren. Wenn Sophos Kaputt ist, dann kann er sowieso keine Mails mehr empfangen oder Senden, auch beim Einsatz eines POPConnectors. Wer hier im Board sucht, wird genügend Gründe gegen den Einsatz jeglicher POPConnectoren finden. Es gibt nur wenige Gründe die dafür sprechen. Bei 8 Usern würde ich auch keine Active Active FIrewall einsetzen. Mit dem selben Argument könnte man ja auch fragen, was passiert wenn der SBS ausfällt? Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Moin, im Prinzip ist doch schon alles gesagt worden. POP-Connectoren erhöhen die Komplexität und erschweren die Fehlersuche. Das Forum wäre merklich kleiner, wenn es diese Dinger gar nicht gäbe. Das SMTP-Protkoll ist auf dieser Krücke nicht eingestellt, das merkt man auch. Weiter: Der Absender bekommt bei Fehlern keine Nachricht, dass sein Mail nicht angekommen. Bei SMTP bekommt er irgendwann eine Nachricht, dass seine Mail nicht zugestellt wurde und kann sich darum kümmern. Bei POP-Connectoren fällt das weg. Das ist auch rechtlich bedenklich, weil die Mail als zugestellt gilt, wenn sie beim Provider angenommen wurde. Kann der Kunde die aus irgendeinem Grund dann nicht abholen, muss er sich das Versagen anlasten lassen. SMTP ist als unsicheres Protokoll designet worden. Es ist einkalkuliert, dass Mails nicht sofort zugestellt werden können und eine Leitung auch mal für Stunden ausfällt. Warum soll ich mir das bewusst kaputtmachen? Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 22. September 2014 Autor Melden Teilen Geschrieben 22. September 2014 (bearbeitet) der sendende Mailserver versucht innerhalb 18 Stunden (oder so) die Mails immer wieder erneut zuzustellen, korrekt? (darum würden die Mails nicht verloren gehen) Richtig, der Kunde könnte keine Mails mehr senden und empfangen, wenn die FW defekt würde, da danach kein Internet mehr Und: Der oder die Angestellten via Outlook Mails senden und der SBS 2011 via POP Connector abholt und wenn keine Interleitung da wäre, würde auch das Abholen der Mails via SBS POP Connector nicht funktionieren. Der Kunde könnte auch nicht argumentieren, drallalaa, ich kann die Mails ja via Provider (Webmail) abholen, da auch hierfür eine Internetleitung den Angestellten den Webzugang ermöglichten müsste, was ja bei einer defekten Firewall somit auch nicht weiterhelfen würde :-) RobertWi, ich stimme Dir zu und danke für die Anregungen - habe gerade nicht an alle Argumente gedacht, welche ich gegen das Argument des Kunden, er wolle noch POP Konten behalten aus Gründen der "Ausfallsicherheit" gleich einfliessen lassen kann (darum melde ich mich ja hier auf dem Board :-)) Danke auch Dir NorbertFe für die Anregungen ;) bearbeitet 22. September 2014 von andrew Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Das ist doch wieder mal ein typischer Fall, wie man die Symptome, aber nicht die Ursache bekämpft. Sinnvoll wäre es doch dafür zu sorgen, dass die Internetleitung möglichst nicht ausfällt. Entweder über Redundanz oder über passende Providerverträge. Dann bräuchte man sich kaum Gedanken um das danach zu machen und alle in der Firma würden davon profitieren. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 22. September 2014 Autor Melden Teilen Geschrieben 22. September 2014 (bearbeitet) das stimmt, da gebe ich Dir voll und ganz recht Robert. Weil ich zu denen gehören möchte, welche möglichst immer, wann möglich, die Kundenbedürfnisse versucht zu verstehen und demnach eine passende Lösung offeriert und den Kunden versucht über Vor und Nachteile zu informieren, werde ich Ihm auch als Option eine Backup Internetleitung offerieren. Leider ist halt das Problem bei kleinen Kunden wie in diesem Beispiel gut veranschaulicht, dass dann oft das Geld oder das Verständnis fehlt, um nicht nur "Teilbereiche" redundant absichern zu müssen, sondern dass im Prinzip jede Komponente (Switch, FW, Internet, Server) redundant ausgelegt sein sollten. Weil aber viele so Kleinkunden dann für solche Szenarien auch entsprechend mehr Geld ausgeben müssten Und: ein Kunde sowieso von vorne herein das Gefühl hat, die IT sei nur ein MUSS, ein übel, von welchem Sie keinen direkten Nutzen ziehen könnten, so ist es oft auch nicht einfach, einer solchen Kundenansicht entgegen zu treten, um den Kunden klar zu machen, dass es überhaupt sinnvoll ist, überhaupt am Anfang ein wenig Geld in die Finger zu nehmen, damit Sie auf einem stabilen Fundament aufbauen können. Es gibt Kunden, die Fragen sich bei allem und jedem, für was Sie das überhaupt brauche, schon angefangen beim Server :-) Dann kommt leider hinzu, dass viele Kleinkunden blöderweise, fälschlicherweise den Bereich IT in Ihrer Finanzbuchhaltung gar nicht oder falsch berechnen, viel zu wenig hierfür an Geld reservieren und man dann stets erstaunt ist, was es kostet, um einen Server inklusive Arbeitsplätze etc. aufzusetzen, in das Netz einzubinden und und und ... Ich schweife vom eigentlichen Thema hier ab, aber ich fand es soeben wichtig, den wichtigen Punkt, wo Du angesprochen hast (Internet auch redundant auslegen), den roten Faden weiter zu spinnen, noch einen Schritt weiter zu gehen, als "nur" zusätzlich auch noch das Internet redundant auszulegen :-) P.S. Um diesen übel etwas entgegen zu wirken mache ich es in solchen Situationen oft so, dass man dann halt, dass das Service Pack, also die Garantie/ Support Leistungen in Bezug auf die Serverhardware dann einigermassen gut abgedeckt sind. Es gibt viele Kunden, denen reicht das, wenn man Ihnen sagt, ach wissen Sie, je nach je kann es Stunden dauern, bis Ihr wieder einen funktionsfähigen Server hat (je nach Fall) oder eben halt noch länger Und: Wir müssen dann halt als IT- Dienstleister schauen, dass wir ggf. die längeren Ausfallzeiten abfangen können und wenn es wirklich sein sollte, selber eine Maschine organisieren, dem Kunden hinpflanzen und den Restore auf diese Maschine vornehmen (als Notnagel, habe ich auch schon erlebt :-) bearbeitet 22. September 2014 von andrew Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Eventuell definiert der Kunde erstmal seine Anforderungen und das zur Verfügung stehende Budget. Es gibt für fast alles eine Lösung, aber was hilft es dem Kunden, wenn er redundante Firewall, I-Netleitung usw. hat und im Endeffekt fällt am Freitag um 13 Uhr der Hammer und keine Sau merkt, dass überhaupt was ausgefallen ist. Das muß bezahlt und überwacht werden. Und Internetleitungen und SMTP ist weniger empfindlich als gemeinhin befürchtet. Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Solche Kunden kenne ich sehr gut. Und es ist auch schon vorgekommen, dass ich bei extrem beratungsresistenten Kunden wieder gegangen bin. Das sehe ich auch als ein wenig Selbstschutz, denn wenn der Kunde mich holt und nicht auf mich hören will, sucht er vermutlich nur einen Buhmann, dem er das Versagen nachher in die Schuhe schieben kann. Und über die kalkulatorischen Probleme rege ich mich auch immer auf, schon weil ich gelernter Kaufmann bin. Da wird das Klopapier und der Verbrauch an Wasser pro Mitarbeiter kalkuliert, aber 300 pro Jahr um alle vier Jahre einen neuen Arbeitsplatz (der meistens extrem Effektivitätsschübe bringt) einzuplanen, bringen sogar große Firmen nicht auf die Reihe. Ein wenig kann helfen, wenn Du klar machst, dass HA ähnlich wie IT-Sicherheit nur so gut ist, wie das schwächste Glied in der Kette ist. Es gibt nicht den einen Punkt, den man anfasst und dann ist alles verfügbar oder sicher. Es gibt aber Punkt, bei denen man mehr Benefit rausholt und das Ratio zwischen Kosten und Nutzen besser ist, als bei anderen. Eine doppelte Firewall finde ich zum Beispiel mit einem relativ schlechten Ratio bestückt. Kostet viel Geld, bringt aber relativ wenig ein. Eine doppelte Internetverbindung dagegen bringt für das eingesetzt Geld deutlich mehr zurück. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 22. September 2014 Autor Melden Teilen Geschrieben 22. September 2014 das stimmt. Das Kostenverhältnis muss stimmen Und: es macht Sinn, dort eine Redundanz einzubringen, wo der Kunden am meisten Nutzen daraus ziehen kann und eben, das Kostenverhältnis aus Sicht des Kunden Sinn macht. Genau, auch ist die Überwachung nicht zu verachten, wenn genau der Punkt eintrifft wie Du es nennst, Robert. Die Überwachung ist nicht zu unterschätzen, im Gegenteil. Ich bin für eine proaktive Überwachung, Probleme erkennen, bevor Sie grossen Schaden anrichten, um schlussendlich so auch dem Kunden ggf. viel Ärger, Geld und Zeit ersparen zu können ;) Aber auch da: es gibt zig Freeware Lösungen, es gibt zig kostenpflichtige Lösungen Und: Man müsste dann auch noch die Zeit haben, um sich selber das notwendige Wissen anzueignen, damit man den grössten, möglichen Nutzen aus der Überwachungssoftware holen kann. Wir haben beispielsweise die Swisscom, die hat auch für Überwachungszwecke ein hammer mässig starkes Programm im Einsatz. Ich kenne einen Techniker, der muss mit diesem Programm Workstations überwachen Und: ist oder war am Anfang schlicht und ergreifend überfordert, so derart viele Möglichkeiten habe diese Überwachungs Software geboten. Ja es sei sogar so gewesen, dann man fast erschlagen wurde, von der Vielfalt an Funktionen, welches dieses Überwachungsprogramm bietet. der Techniker muss zum Beispiel eine CAD Station eines Kunden überwachen, da der Ausfall dieser Arbeitsstation extrem kostspielig wäre. Der Techniker hat aber in diesem speziellen Fall das Glück, dass er bei der grossen Swisscom arbeitet, welche die Mitarbeiter auch in wirklich allem unterstützt. Arbeite auch in einem Kleinbetrieb, da hätte ich noch zig Wünsche und Vorstellungen, wie und was ich gerne bei Kunden installieren würde, von Monitoring über redundante Hyper-V Lösungen und und .. Dies würde in meinem speziellen Fall aber wiederum voraussetzen, dass ich quasi in allen Bereich einigermassen fit bin, möchte den Horizont erweitern, die Möglichkeiten von Exchange bei den Kundeninstallationen besser nutzen und nicht nur Postfächer einrichten, Kalenderfreigaben einrichten usw. , so bräuchte ich hierzu viel mehr Zeit, um im Exchange Bereich ein Hirsch zu werden, daneben habe ich aber noch zig andere Bereiche, in welchen ich auch noch Bedarf habe :-) Möchte ich dann zum Beispiel noch Überwachungssysteme bei Kunden einführen, ja, so würde das ja bedeuten ,dass ich erst mal hierfür wieder Zeit investieren müsste, ggf. sogar eine Schulung, wer weiss, wie komplex dann das Überwachungssystem wäre und woher würde ich die Zeit nehmen? Wer würde mir hierfür das Geld bezahlen? Das ist dann wiederum ein anderes Thema, das eine zieht halt leider das andere nach, so ist es oft im Leben :-) Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Eine doppelte Firewall finde ich zum Beispiel mit einem relativ schlechten Ratio bestückt. Kostet viel Geld, bringt aber relativ wenig ein. Eine doppelte Internetverbindung dagegen bringt für das eingesetzt Geld deutlich mehr zurück. Moin, sehe ich nicht so. Da muss man wirklich sehen, wie wichtig funktionierendes Internet für das jeweilige Unternehmen ist. Die meisten UTM-Hersteller bieten inzwischen schon Clusterlösungen an. Hier zahlst Du i.d.R. nur die einmalig die doppelte FW HW. Die eigentlichen FW-Lizenzen zahlst Du nur einmalig. Die 2. FW läuft dann als Hot-Standby. Funktioniert FW1 nicht mehr ordnungsgemäß wird automatisch auf FW2 umgeschaltet. Außerdem kann man bei vielen UTM-Herstellern für das Backupgerät auch die UTM mit einer 'schwächeren' Hardware nehmen. Das spart dann auch nochmal Geld. Das macht durchaus Sinn, da z.B. Sophos oder Securepoint nur einen HW-Austauschservice Next-Business-Day anbieten. Wie auch immer, da könnte im Fehlerfall schon 1 Arbeitstag Ausfallzeit entstehen. Und das kann für einige Firmen schon der Grund sein, das Geld in die Hand zu nehmen und sich für eine FW-Clusterlösung zu entscheiden. War bei uns auch der Fall, nachdem unsere Sophos UTM Macken gemacht hat. Da hat die GF gemerkt, wie essentiell wichtig eine funktionierende FW für das Unternehmen mittlerweile geworden ist (Speditions- und Zollabwicklung, VPN-Zugänge, usw.). Nächster Punkt bei uns wird dann eine Fallbacklösung sein (wahrscheinlich mit LTE), damit im Notfall zumindest die Speditionsabwicklung noch funktioniert. Gruß Dirk Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 @monstermania: Hast Du Dir mal das Eingangsszenario mal angeschaut? Wir reden über 8 Arbeitsplätze mit einem SBS! Ich persönlich finde da sogar schon eine Sophos UTM oversized (zumal die Erfahrung sagt, dass Mailfilterung eh nicht gut damit geht und viele Probleme macht). Und wenn ein Kunden in eine solchen Umgebung als größte Sorge hat, dass die Firewall ausfällen könnte, läuft im Verständnis irgendwas verkehrt. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 @Andrew Ja, Redundanz ist eine schöne Sache. Aber Redundanz kostet eben auch eine Menge Geld. Und leider nicht nur für die HW, sondern auch für die entsprechenden Softwarelizenzen. Das wird ja leider oft 'vergessen' und Ruck Zuck stellt man dann fest, dass das Unternehmen massiv falsch lizenziert ist! Und nicht jeder Kunde bzw. jedes Unternehmen ist bereit entsprechend viel Geld auszugeben. Teilweise ist es ja auch aus bautechnischen Gründen gar nicht möglich völlige EDV-Redundanz umzusetzen (z.B. unterschiedliche Brandabschnitte). Da gilt es dann einen Kompromiss zu finden und ein funktionierendes Backup/Restore-Konzept zu haben! Überwachungssysteme sind auch eine feine Sache. Habe letztes Jahr bei uns im Unternehmen Zabbix eingeführt. Klar, hat einigen Einarbeitungsaufwand benötigt. Aber ist schon schön, wenn man darüber informiert ist, dass der Toner bei Drucker XYZ zu Ende geht, noch bevor der User anruft! Oder, dass Dienst XXX auf Server 13 nicht mehr läuft und man eine SMS bekommt... Gruß Dirk @RobertWi Mag sein, dass es nur 8 User sind. Die Anzahl der Mitarbeiter sagt aber nichts über die Wichtigkeit des Internetzugangs eines Unternehmens aus. Ich habe schon 5 Mann-Buden mit komplett Redundanter Serverumgebung gesehen... Kommt halt immer darauf an, was der Arbeitsausfall pro Stunde/Tag kostet und ob das jeweilige Unternehmen schon mal von einem solchen Ausfall betroffen war. Und ja, die Sophos UTM würde ich auch nicht (mehr) nehmen. Wir haben im April auf Securepoint umgestellt. Funktioniert auch leidlich gut, kostet aber deutlich weniger als Sophos. Gruß Dirk Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 @RobertWi Mag sein, dass es nur 8 User sind. Die Anzahl der Mitarbeiter sagt aber nichts über die Wichtigkeit des Internetzugangs eines Unternehmens aus. Ich habe schon 5 Mann-Buden mit komplett Redundanter Serverumgebung gesehen... Kommt halt immer darauf an, was der Arbeitsausfall pro Stunde/Tag kostet und ob das jeweilige Unternehmen schon mal von einem solchen Ausfall betroffen war. Ich auch. Ich habe auch 300 Anwender mit 20 Exchange Servern erlebt und 450 Mitarbeiter, mit einer IT die fast 80 Leute zählte. Aber über so einen Kunden würden wie hier gar nicht reden. Die wissen, dass IT wichtig ist und eine gewisse Menge Geld kosten wird. Wir reden hier über einen Kunden, der offensichtlich kein Geld ausgeben will oder kann. Daher gilt erstmal der Satz von Norbert: Eventuell definiert der Kunde erstmal seine Anforderungen und das zur Verfügung stehende Budget. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Genau nämlich Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 BTW: Darf man mal fragen, wo so eine Active/Active-Lösung preislich liegt und was d so durchschnittliche Margen sind? Die acht User würde ich auf Exchange Online legen. Keine 30 EUR im Monat für 8x50 GB Postfächer mit 99,9% SLA und Du kannst, wenn Dein SBS oder die Internetanbindung steht, problemlos mit Smartphone, Tablet & Co. über eine Mobilfunkverbindung weiterarbeiten. Für KMUs kriegst Du die Ausfallsicherung auf dem Niveau über alle beteiligten Komponente nicht realisiert. Die Kette reißt immer am schwächsten Glied. Die Mailfilterung würde ich auch den Exchange (Online) direkt machen lassen, um erkannten Spam direkt bei Anlieferung ablehnen zu können. Just my 0.02€. Daniel 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.