sophos utm - die perfekte alternative zu microsoft tmg
DESCRIPTION
Belsoft Best Practice - Microsoft TMG: Einfacher Umstieg auf SophosTRANSCRIPT
1
18.06.2014 - Belsoft Best Practice - Microsoft TMG: Einfacher Umstieg auf Sophos
Sascha Paris, Snr. Sales Engineer Sophos
Sophos, die perfekte alternative zu Microsoft TMG
2
R.I.P.
End of sale TMG - 1 December 2012
Web Protection - 1 December 2012
End of support TMG - 14 April 2015
Web Protection – 31 December 2015
End of life TMG & Web protection - 14 April 2020
3
Eine kleine Anmerkung vorneweg…
Kein Hersteller deckt die TMG Funktionalität 1:1 ab…
Die Sophos UTM kann allerdings die meisten Szenarien
bereits heute einfach und zuverlässig abdecken.
4
Schlüsselfunktionen des Microsoft TMG
• HTTP Antivirus/spyware
• URL Filtering
• HTTPS forward inspection
• Web Caching
• Role based access
Secure Web Access
• Stateful firewall
• VoIP traversal (SIP)
• Enhanced network address translation (NAT)
• ISP Link Redundancy
• Client authentication (through FW client)
Firewall
• Exchange Edge/FSE integration
• Antivirus
• Anti-spam
E-mail Protection
• Network Inspection System (NIS)
• Signature based IDS
Intrusion Prevention
•Secure web publishing
• VPN technology (IPSEC, L2TP, PPTP, SSTP)
• Network Access Protection (NAP) integration with VPN role
Remote Access
• Scenario UI and wizards
• Change tracking + reporting
• Built-in NLB and failover
• Windows Server 2008 or R2, native 64-bit
• Hyper-V and VMware
• SQL logging
Deployment and Management
• Web Protection:
• URL Filtering
• Anti malware
• Email Protection
• E-mail AV
• Anti-spam
Subscription Services
5
• Anti-Spam & Phishing
• Dual Virus Protection
• E-Mail Encryption
• Data Loss Prevention (DLP)
• URL-Filter
• Dual Virus Protection
• Anti-Spyware
• Application Control
• Reverse Proxy
• Web Application Firewall
• Dual Virus Protection
• Reverse Authentication
• IPS with MAPP & LiveLabs
• IPSec/SSL/RED VPN
• WAN Link Balancing
• SSL Portal (HTML5)
• Adv. Threat Protection (ATP)
Schlüsselfunktionen der Sophos UTM
• Wireless Controller for
Sophos Access Points
• Multi-SSID Support
• Captive Portal &
Ticketingsystem
Wireless
Protection
Web
Protection
Web Server
Protection
Network
Protection
Protection
optional
• Stateful Firewall
• Network Address Translation
• PPTP/L2TP Remote Access
Essential
Firewall
• Device Control
• AntiVirus
• Web Control
Endpoint
Protection
optional
6
Webbasierte graphische Oberfläche
7
Vergleich Funktionsmodule
8
Network Firewall
• Stateful packet inspection
• H.323 transversal support
• Advanced NAT (SNAT, DNAT, 1:1 NAT, Full NAT, Masquerade)
• Client VPN mit Windows Remote Access (PPTP and L2TP)
Zusätzliche Features gegenüber TMG:
• IPv6 Unterstützung
• Amazon Virtual Private Cloud Connector
• Zwei Faktor Authentifizierung mittels integrierter OTP Lösung
Feature Vergleich
• Stateful firewall
• VoIP traversal (SIP)
• Enhanced network address translation (NAT)
Firewall
•VPN technology (PPTP, L2TP)
Remote Access
9
Network Protection
• Intrusion Prevention System • VPN (S2S und RAS) ○ IPSec, SSL, PPTP and L2TP
• WAN Link Balancing • Client Authentication (mit AD, LDAP, RADIUS und eDirectory) ○ Client Authentication mittels SAA Software
• Flexibles Loadbalancing und Failover
Zusätzliche Features gegenüber TMG: • HTML 5 VPN Portal • Advanced Threat Protection ○ Botnet/Command-and control Detektion ○ Selective cloudbasiertesandbox
Feature Vergleich
• Network Inspection System (NIS) • Signature based IDS
Intrusion Prevention
•VPN technology (IPSEC, L2TP, PPTP, SSTP)
Remote Access
•ISP Link Redundancy • Client authentication (through FW client)
Firewall
•Built-in NLB and failover
Deployment and Management
10
Web Protection
• Gateway Anti Malware
• URL Filtering
• Web Application Control
• User & Gruppen basierter Zugriff
• Interaktive Nutzungsreports
• Policy Tester für Troubeshooting
Zusätzliche Features gegenüber TMG:
• Integration von Sophos Enterprise Console managed Clients (Wen in Endpoint)
• Transparent AD SSO User Authentication
• Device-spezifische Authentifizierung
Feature Vergleich
• HTTP Antivirus/spyware
• URL Filtering
• HTTPS forward inspection • Web Caching
•Role based access
Secure Web Access
• Change tracking + reporting
• SQL logging and SNMP
Deployment and Management
11
Email protection
• Filtert Spam und Malware
Zusätzliche Features gegenüber TMG:
• Benutzerportal für persönliches Quarantäne, White-, und Blacklist Management
• Phishing Protection für E-Mails
• S/MIME und PGP E-Mail Verschlüsselung
• Einfache SPX Verschlüsselung
• Data Leakage Protection
Feature Vergleich
• Exchange Edge/FSE integration • Antivirus
• Anti-spam
E-mail Protection
12
Web Server Protection
• Web Application Firewall
• Reverse Proxy Authentifizierung (Offloading und Passthrough)
• Anti Malware Scanning
• Server und Session Schutzfunktionen
Zusätzliche Features gegenüber TMG:
• Form hardening
• URL hardening
Feature Vergleich
•Secure web publishing
Remote Access
13 13
UTM-spezifische Funktionalitäten
14
Wireless Protection
• zentrales Management (WLAN Controller)
• Plug & play Roll-Out
• Access Points können an LAN-Patchdose angeschlossen werden
• Hotspot mit Captrive Protal integriert
• individuelle Voucher (Zeit/Volumen-basiert)
• Wireless Repeating und Bridging
• voll anpassbare Loginpages und Vouchers
• unterstützt Backend Authentication
• unterstützt 2-Faktor-OTP Authentication
Einfaches zentrales WLAN Management
15
Sophos RED Sichere Plug & Play Anbindung von Branch Offices
• Home Offices, Niederlassungen, Filialen, Außenstellen, Dienststellen, …
• kommt völlig ohne Konfiguration der VPN-Devices aus
• gleiches Sicherheits- & Schutzniveau für alle angebundenen Branches
• Verschlüsselung aller Daten
• keine Betriebsaufwände
16
Endpoint Protection
• Endpoint Anti-malware
• Live protection
• Device Control
○ kontrollierter Zugriff auf Hardware, Ports und Schnittstellen im Rechner
• standortunabhängig durch LiveConnect Management
• Integration der Sophos Enterprise Console Endpoints ○ bestehende Endpoint Kunden lönnen UTM nutzen für Web Policy
Enforcement
• Alarmmails wenn Infektion von for UTM Endpoint Clients erkannt wird
Schutz von Servern und Desktops – auch außerhalb des Unternehmens
17
Web in Endpoint
Konsistenter Schutz unabhängig vom Standort • kombiniert Gateway, Endpoint and Cloud • Surf Policies sind imemr gültig • egal ob der Anwender im Unternehmen oder unterwegs ist
Echtzeit Monitoring und Reporting • Benutzer-Aktivitäten können jederzeit eingesehen werden • egal ob der Anwender im Unternehmen oder unterwegs ist • Datenschutz-Compliance mittels 4-Augen-Anonymisierung der
Reportingdaten
keine Exctrakosten… …für Kunden, die folgende Features einsetzen
• UTM Endpoint Protection • oder eine bestehende Sophos Endpoint installation haben (SEC) • UTM Web Protection
Sicheres surfen immer und überall
18 18
Live Demo Look&Feel Sophos UTM
19
www.sophos.com/tmg Sophos TMG Replacement Home
20
www.sophos.com/kb Sophos Knowledgebase - Konfigurationsvorschläge für die verschiedenen Anwendungen
21
Bekannte Limitierungen der UTM
• keine volle URL Redirection in der WAF ○ Redirect von HTTP Sessions zu HTTPS möglich ○ automatisches umschreiben von URLs in HTML-Dokumenten
○ aber: UTM kann keine Redirects wie “von www.a.com zu www.b.com” oder Pfad-Umschreibungen “von www.a.com/source zu www.a.com/destination”
• Backend Authentication Passthrough Support und SSO Support ○ TMG unterstützt Basic, NTLM und Kerberos Passthrough
○ TMG unterstützt SSO („privater Computer“) und kein SSO („öffentlicher Computer“)
○ UTM unterstützt lediglich Basic Auth Passthrough ○ UTM unterstützt noch kein SSO bei (entspricht „öffentlicher Computer“ beim TMG)
• UTM unterstützt Microsoft Lync mit Einschränkungen ○ Lync Mobile Loadbalancing mit Cookie Persistenz benötigt spezifische Cookies , diese
werden in der UTM nicht unterstützt ○ Lync Mobile 2013 für iOS benötigt andere Timeout-Werte , dies wird momentan in der
UTM nur eingeschränkt unterstützt
Gibt es etwas, was TMG hat, aber die Sophos UTM (noch) nicht kann?
22 22
23 © Sophos Ltd. All rights reserved.
24
Sophos UTM vs Microsoft TMG Ein kompletter TMG Ersatz
• Hyper-V Support
• Firewall (stateful packet filtering)
• IPS
• Exchange anti-spam, anti-malware
• Redundancy
• Logging/Reporting
• Client VPNs (PPTP/L2TP)
• Site-to-Site VPNs (IPSEC)
• URL Filtering
• Content Scanning
• Malware Scanning
• HTTPS Scanning
• User Authentication
• Reverse Proxy
• Reverse Proxy SSL Offloading
• Reverse Proxy Authentication
TMG UTM
• More deployment choices (HW, SW, VM, Cloud)
• Advanced Routing, Country Blocking
• 11,000 IPS attack patterns – Live Protection
• User Portal Quarantine, Email encryption
• WAN redundancy & load balancing
• Customizable reports, Drill-down, and more
• Added flexibility (SSL, HTML5)
• Broader VPN Support, Amazon VPC, RED
• Reputation filtering, Customizable categories
• Real-time App Control
• Dual Engine, Backed by Sophos Labs
• HTTPS Scanning in Transparent Mode
• Added flexibility, Transparent Mode
• WAF with server hardening
• Included feature of WAF
• Integrated since UTM 9.2
Und zusätzlich noch…
25
Welche UTM Subscriptions decken was ?
TMG2010 Feature UTM Feature Subscription
Stateful Packet filtering Firewall / Paketfilter Essential Firewall
NAT NAT Essential Firewall
Application Layer Firewalling (SIP Traversal)
SIP und H.323 Gateway Network Protection
Caching HTTP/S Webproxy Proxy with URL Filter and AV
Caching HTTP/S Web Proxy with URL Filter and Dual AV
Web Protection
Web Application Publishing Web Application Firewall / Reverse Proxy
Webserver Protection
S2S VPN (IPSEC) and RAS VPN (IPSEC, L2TP und PPTP)
VPN Gateway Network Protection
E-Mail Protection Gateway Mail Proxy with Antispam and Dual AV
Mail Protection
Network Inspection System (NIS) IDS/IPS Network Protection
26
Other TMG replacements How the competitors stack up against UTM…
Of all the UTM vendors, Sophos is the only one to include WAF and Reverse Proxy Authentication. Amongst other vendors competing for TMG business, only Bluecoat offers the full feature set and they are expensive!