Pfsense als Alternative für MS TMG/ISA



  • Hallo Gemeinde,

    seitdem Microsoft den TMG/ISA abgekündigt hat, sind wir auf der Suche nach einer Alternativen. Unsere derzeitige Alternative ist bei einem reichhaltigen Budget die Sophos (ehemals Astaro), die auch dies gerne bewirbt http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx

    Wir haben in größeren Umgebungen ebenfalls die pfsense lieb gewonnen, da sie fast alles kann…..fast.
    Wir benötigen, um pfsense vollständig einsetzen zu können, bei dem Proxy die integrierte Authentifizierung (SSO) im aktuellen Windows Active Directory-Umfeld. -> Der Benutzer bekommt je nach Gruppenzugehörigkeit -ohne sich zusätzlich zu authentifizieren- Internetzugriff.

    Wenn ich hier in diesem Forum lese, ist dies seit Jahren ohne einen großen Kraftaufwand scheinbar nicht möglich.
    https://forum.pfsense.org/index.php/topic,58700.0.html
    Ist das die einzige Möglichkeit dies ans Fliegen zu bekommen?

    Gruß

    Dirk


  • Moderator

    Eine andere Möglichkeit wäre sich für das Projekt Support einzukaufen. Das beinhaltet nicht nur Beratung, sondern ggf. auch (sofern machbar) Programmierung oder Erweiterung für den spezifischen Kunden. Wir sind von Juniper Datacenter Firewalls auf pfSense gewechselt und für die Ersparnis davon kann ich noch lange Support einkaufen bevor ich an das Budget rankomme, was die beiden Juniper gekostet hätten.
    Ggf. einfach auch mal vorher anfragen, dass ihr das als Projekt vorhabt und ob es realisierbar wäre.

    Grüße



  • Ich kann mit pfsense 2.1 den WebGUI Login über LDAP machen. Ich bin der Meinung, dass auch ein SSO am Proxy über LDAP mittlerweile keine Probleme mehr bereitet.



  • Ohne Eingabe von Benutzername/Passwort? :o



  • Ja, Squid kann das seit längeren. Ich glaube nicht das die pfSense das ausgebaut bekommen hat.

    Die TMG hat noch bis 2015 bzw. 2020 Support von MS. Also kann man das Produkt weiterhin einsetzen. Ich habe meine TMG-Migration auf pfSense frühstens im November geplant.



  • 2020…. richtig... Bei bestehenden Installation wird erst einmal nichts geändert. Bei Neueinrichtungen, wie z.B. aktualisierung des SBS2003, brauche ich eine Alternative. Bei Juniper oder Sophos finde ich die Höhe der Lizenz im SOHO-Bereich nicht angemessen....



  • Das was du als Problem hast ist meiner Meinung nach ein konzeptionelles. Ich betreibe meine TMG als Standalonehost, im Moment mit einen einfachen XEON und 6 GB RAM. Läuft für 80-100 User super.
    Meine TMG ist aber nicht das Edge, sondern dann kommt noch mal eine "echte" Firewall und davor ein Westermo Falcon Router mit gehärteter Konfig.

    Meine TMG hat im Moment nur noch seine Daseinsberechtigung wegen des SSO meiner AD-User. Ich kann dich also verstehen.
    Ich würde an deiner Stelle eine neue TMG machen, bis der Markt mehr her gibt.



  • Das Problem ist aber: Du bekommst keinen TMG mehr. Weder in der Bucht, noch als used… Der Markt ist leer gefegt. Deshalb war meine Hoffnung, daß dies die pfSense bereits kann.
    Werde aber mal den Ansatz von JeGr aufgreifen und mit den Kollegen vom Support sprechen...



  • @shiversc:

    Ja, Squid kann das seit längeren. Ich glaube nicht das die pfSense das ausgebaut bekommen hat.

    Möglich ist es, aber ggf. nur mit eigenem repository und selbstgebautem squid PBI.
    Squid als Software kann das - Ja. Allerdings wird das "offizielle" pfSense squid package nicht mit allen Optionen gebaut. Somit kann Dein Vorhaben LDAP-auth genau daran scheitern.

    Ich habe mir deswegen ein eigenes repository eingerichtet. squid als fertiges package hat meinen Anforderungen leider nicht genügt, deswegen kompilier ich es selber.



  • oooohhhhaaa….Kompilieren....

    Der Hersteller von diesem Gerät http://axiomtek.com/products/ViewProduct.asp?view=824 hatte mir einen Treiber geschrieben, um das LCM anzusteuern. Aus diesem Grund hatte ich in einer Virtualisierung die 8.3 installiert und mich am Kompilieren versucht und kläglich gescheitert...
    ...Mist...
    ... und squid kompilieren wird wohl da noch eine Ecke mehr Fallstricke haben, als so ein simpler Treiber...
    Wenn ich die Anzahl der Views von dem o.g. Thread sehe ist das doch ein nicht unnötiges Feature... Naja...
    Mal schauen wieviel die Kollegen für dieses Feature haben wollen...



  • @Ruddimaster:

    oooohhhhaaa….Kompilieren....

    Klingt schlimmer als es ist ;)

    Zutaten:
    FreeBSD in der Version wie sie von pfSense benutzt wird
    pfsense-tools (builder scripts)
    ein wenig einlesen - leider nicht so einfach wie es klingt, da die Doku nicht die beste ist

    ich würd es Dir gerne genauer erklären, aber dafür fehlt mir die Zeit… Am Ende ist es: Ports updaten, XML editieren, script ausführen, geduld haben...


  • Moderator

    @Hobby: Wenn das aber "alles" ist, kann es durchaus sein, dass je nach Zeitaufwand und Finanzlage es einfacher ist, dass einfach beim Paid-Support einzukippen und da ggf. eben ne Stunde oder was zu zahlen dafür, dass sie einem ein custom/angepasstes Paket bauen und/oder maintainen. Evtl. wird es ja nach der Anforderung auch mit in den normalen Build aufgenommen. Fragen schadet zumindest nicht. :)



  • War mit JimP im Gespräch…
    Das ist wohl eine grössere Kiste... Mein Problem ist es, daß ich viele kleine Kunden habe. Also einmal customizen ist es bei mir nicht getan. Ich brauch das Boxed... und soviel Kundendurchsatz habe ich jetzt auch nicht, daß ich den ROI direkt schon in Aussicht habe. Das Projekt "Integration ADS" (incl. mehrerer Gruppen) in der pfSense kann ich nicht alleine tragen. Ich hab da mal Crowdfounding in den Raum geworfen. Seit dem habe ich nichts mehr gehört. Ich hoffe die Amis sind jetzt nicht verärgert...
    Also meine Hoffnung, daß ich pfSense im SOHO-Bereich einsetzen kann schwinden.

    pfSense als FW und ipFire oder ipCop als Proxy (Da geht das meines Wissens) ist nicht supportbar. Naja mal sehen was daraus wird...

    Gruß

    Dirk



  • @Ruddimaster
    Auch wenn wir hier im pfSense Forum sind würde ich die zur Sophos raten.
    Ich verbaue die Firewall mehrmals im Monat und es ist auch der "Mehrwert" dadurch zu sehen.
    In der Version 9.2 kommt jetzt auch OTP dazu und die Vor-Authentifizierung. WAF und Proxy sind auch stark überarbeitet.

    Viele Kunden wollen den TMG los haben. Mit der UTM bist Du da sehr gut beraten. AD Integration ist vorhanden, vom Proxy bis zum OpenVPN Client bis über das UserPortal.
    Der Webproxy kann sauber mit Profilen arbeiten was viel Gestaltungsraum für dies,das und jenes gibt.
    Kommt auf die Größe der Nutzer und Surfverhalten drauf an ob Du eine UTM 110/120 oder 220 benötigst. Bei den Lizenzen kannst Du auch nochmals unterscheiden ob Websecurity oder FullGuard.
    Klar kostet das alles Geld, funktioniert heute aber schon probelmlos.

    Privat und in Familienkreis nutze ich selber pfSense - da ist es absolut TOP.



  • Die 120 und die 220 haben wir jetzt auch schon mehrere im Einsatz.
    Ich gebe Dir Recht, nur sehe ich die Lizenzkosten nicht im Verhältnis. Bei der 120 -FullGuard- ca. 2000 Ocken auf 3 Jahre http://www.sitaas.de/sophos-astaro/preise.html… Für das Geld habe ich den TMG gekauft.. OK nochn bischen HW...aber mit der haben wir 7500 User bedient. Die 120 hat bei 20 MA schon zu wenig Hubraum.
    Wenn dann demnächst die Datenvorhaltung von 2 Jahren kommt, dann kann ich da auch noch mit einem SysLog anfangen mit dem entsprechenden Konfigurationsaufwand.

    Für mich ist/war die pfSense für den professionellen Bereich wirklich eine Alternative. Hier würde ich auch den prof. Support einkaufen, wenn es zu Problemen kommt -und das wird kommen-, daß ich denn den 3rd-Level heranziehen kann...

    Bei einigen Kunden geht der GF das Strafrecht-Risiko ein und es werkelt jetzt ein LANCOM. Klasse Produkt + Support mit gutem Preis-Leistungsverhältnis. Nur kein (Reverse)Proxy.

    Unsere zentrale Firewall ist derzeit auch eine pfSense. Alleine mal damit Erfahrung zu bekommen. Vom Prinzip liebe ich dieses Gerät. Einfach, Übersichtlich und macht genau das was es soll. -- Zuverlässig--. Eine Sophos haben wir schon mal öfters Neustarten müssen...

    Beim Heartbleed war Sophos nur 4 Stunden gegenüber einem Community-Produkt schneller. Ich würde dem Produkt ja alleine aus Überzeugung die Möglichkeit geben...

    Ach ist das Jammern heute wieder schön....



  • @JeGr:

    @Hobby: Wenn das aber "alles" ist, kann es durchaus sein, dass je nach Zeitaufwand und Finanzlage es einfacher ist, dass einfach beim Paid-Support einzukippen und da ggf. eben ne Stunde oder was zu zahlen dafür, dass sie einem ein custom/angepasstes Paket bauen und/oder maintainen. Evtl. wird es ja nach der Anforderung auch mit in den normalen Build aufgenommen. Fragen schadet zumindest nicht. :)

    Ja, nein, ja… ;)

    Ich habe pfSense auch bei Kunden im Einsatz und die haben - jeder für sich - spezielle Wünsche. Im Großen und Ganzen überschneiden sich die Wünsche meist. Für mich ist es einfacher ein eigenes repository zu halten und darin (zu den standard packages) noch meine eigenen anzubieten.

    z. B. squid
    ich arbeite mit der Version 3.3.11, welche im offiziellen repository als "dev" gekennzeichnet ist und somit nicht mit "stable" gleichgesetzt werden kann. Ein ganz großes Problem für mich war die fehlende Unterstützung für Zertifikate mit key >2048 bit. Wir können uns jetzt streiten, ob das sinnvoll ist oder nicht... Aber ja, für mich war es notwendig.

    Wenn man sich einmal eingearbeitet hat, ist das selber kompilieren von PBIs kein Problem. Natürlich kommt es hier auf die Vorkenntnisse FreeBSD und kompilieren an. Ob jeder kleine Wunsch auf Anpassungen von packages über den Gold-Support Erfolg haben wird, zweifle ich auch ein wenig an.
    Ich habe mir heute mal das Thema AD-auth bei squid angeschaut. Wenn Du weißt, wie Du Dateien auf der Box editieren kannst, dann sollte das ein Aufwand von wenigen Stunden sein, um es dann schnell und einfach verfielfältigen zu können.