Die wichtigsten Fragen & Antworten zur Netzwerk-Security
In unserer ersten Sprechstunde haben wir zahlreiche Fragen aus dem Partneralltag gesammelt und direkt beantwortet. Hier fassen wir die wichtigsten Themen kompakt zusammen:
Bringen UTM-Services überhaupt etwas – oder ist das nur Marketing?
Diese Frage kam mehrfach.
Kurz gesagt:
UTM-Services sind der zentrale Bestandteil der Sicherheitsfunktion.
- Ohne diese Services ist eine Firewall funktional stark eingeschränkt
- Sie übernehmen die Aufgabe, schädlichen Traffic zu erkennen und zu blockieren
Oder anders formuliert:
Ohne UTM ist es „nur eine halbe Firewall“
Warum man den Nutzen nicht sieht:
- Schutz passiert im Hintergrund
- Probleme werden verhindert – nicht sichtbar gemacht
- Auffällig wird es meist erst im Schadensfall
Muss ich wirklich UTM-Lizenzen einsetzen?
Technisch: nein.
Praktisch: ja.
- Eine Firewall kann auch ohne Services betrieben werden
- Der Unterschied zeigt sich erst, wenn ein Angriff durchkommt
- Probleme werden erst sichtbar, wenn Systeme verschlüsselt sind oder Prozesse nicht mehr laufen.
Gibt es unterschiedliche Lizenzmodelle?
Ja.
- Umfassendes Paket (alle Services enthalten)
- Reduziertes Einstiegspaket mit Basisfunktionen
- Minimaler Grundschutz auch ohne Lizenz vorhanden
Einordnung:
Je nach Paket unterscheiden sich Schutzlevel und Möglichkeiten deutlich.
Warum ist es so schwierig, diese Lizenzen zu verkaufen?
Das Problem ist nicht technisch – sondern kommunikativ:
- Kunden sehen keinen direkten Nutzen
- Der Schutz ist „unsichtbar“
- Diskussion kommt meist erst bei der jährlichen Verlängerung
Ansätze aus der Praxis:
- Reports nutzen (zeigen, was blockiert wurde)
- Lizenz in einen Gesamt-Service integrieren (SLA)
- nicht als Einzelposition verkaufen
Welche Security-Services sind besonders relevant?
Einige Beispiele aus der Praxis:
- Reputation-Filter (blockiert bekannte Angriffsquellen)
- Content-Filter (Webseiten blockieren)
- App-Patrol (Applikationen steuern und auswerten)
- Anti-Malware und Sandbox (Dateien prüfen)
- Intrusion-Prevention (Traffic analysieren)
Wichtig:
- Manche Services wirken global
- andere müssen gezielt pro Regel zugewiesen werden
Was muss ich bei der Konfiguration beachten?
Ein paar Grundprinzipien:
- Viele Services sind nach Aktivierung direkt verfügbar
- Profile müssen Firewall-Regeln zugewiesen werden
- Logging sollte aktiv sein → sonst fehlt Transparenz
Wie funktioniert Zwei-Faktor-Authentifizierung aktuell?
Thema MFA war ein grosser Block.
Stand heute:
- Authenticator-Apps (TOTP) sind der Standard
- Integration mit Entra ID (Azure AD) ist möglich (z. B. bei SSL VPN)
Nicht möglich aktuell:
- MFA via SMS oder E-Mail
- Übernahme bestehender MFA-Setups zwischen Generationen
Wichtig:
- MFA muss bei Migrationen neu eingerichtet werden
Was kommt künftig im Bereich MFA?
Ausblick:
- Integration über zentrale Identity-Lösungen wird weiter ausgebaut
- Ziel ist eine einheitliche Authentifizierung über verschiedene Services
- Verbesserungen sind bereits angekündigt
Kann ich bestehende Firewalls einfach migrieren?
Teilweise – aber mit Einschränkungen.
Möglichkeiten:
- Konverter zur Übernahme bestehender Konfiguration
- Neubau der Umgebung (empfohlen)
Praxis-Erfahrung:
- Konverter hilft, erzeugt aber oft Anpassungsbedarf
- Fehler müssen im Log geprüft und korrigiert werden
Gibt es eine einfache Migration in Nebula?
Ja – mit Einschränkungen:
- Bei nativem Setup sind automatisierte Migrationen möglich
- in anderen Fällen ist manueller Aufwand nötig
Muss ich zwingend mit Nebula arbeiten?
Nein – aber es wird empfohlen.
- Geräte können lokal oder über Nebula konfiguriert werden
- Hybridbetrieb ist möglich
Wichtige Klarstellung:
- Nebula ist eine Management-Plattform
- der Datenverkehr läuft nicht über die Cloud
Wie funktioniert die Zusammenarbeit zwischen Nebula und lokalem GUI?
- Änderungen sind auf beiden Seiten möglich
- Synchronisation passiert automatisch (mit Verzögerung) Wichtig:
- etwas Geduld einplanen
- Synchronisation nicht sofort sichtbar
Gibt es Einschränkungen beim WLAN-Controller?
Ja.
- Unterstützung nur für neuere Access Points
- Funktionsumfang lokal geringer als in Nebula
Empfehlung:
WLAN möglichst über Nebula betreiben