[Sammelthread] Sophos UTM-Sammelthread

@Layerbreak ich habe schon mit dem gleichen Gedanken gespielt, nach dem Bericht aus der aktuellen CT wo sie einen 10watt PC mit einem aktuellen I5 bauen, Scheinen sie sehr sparsam zu sein. Leider sind hier auch wieder Boards mit Dual LAN onboard und mini itx selten oder teuer. das ist es mir nicht wert, bei mir hat die Firewall generell nicht viel zu tun, das
ändert sich vielleicht wenn meine Kinder größer werden ;) . Ich hätte auch gerne ein Gehäuse wie das Antec ISK110 dafür muss das Board 2x LAN onboard haben.
Im übrigen kann ich das geschriebene von xzwr zum Thema T-Modell bestätigen, in der CT haben sie exakt das geschrieben was er schreibt. Idle kein Unterschied und nach oben eben sparsamer weil sie einfach nicht so hoch takten.

Bis jetzt läuft bei mir ja die UTM als VM unter ESXi5.1. Will jetzt aber die UTM als eigenständige Maschine laufen haben um flexibler zu sein und für mein Datengrab laufen inzwischen 15 HDs und das 24/7 nur wegen der UTM - das muss nicht wirklich sein.

Jep, das hab ich inzwischen auch in der c't gelesen. Ich denke, dass ein Pentium G3220/3420/3430 der Haswell-Generation für meinen Bedarf reichen. Ein i3 oder gar i5 schätze ich dürfte überkanditelt sein. Wichtig gilt es noch zu beachten, dass die Netzwerkkarten von Intel sind, denn ich hab hier Kabel mit 100/5 und da sollen die Broadcom oder Realtec Netzwerkadapter der Flaschenhals sein. Treiber für Atheros gibts noch keine. Die zwei Erstgenannten sollen bis max 50 Mbit noch ok sein.
Mini-ITX ist bei mir kein Muss-Kriterium, da das Gerät eh im Keller ins Rack soll.
RAM >= 4 GB da bei UTM9 die Anforderungen stark gestiegen sind.
Beim Netzteil bin ich auch noch unschlüssig. Ist ein Pico-PSU mit 120 W genug oder soll ich mir eher ein 200/300 Watt Netzteil suchen.

LOL, wenn die Kinder größer werden, wird dein Datendurchsatz explodieren. :mad:
Also im 1. Quartal hatte ich noch einen Datenverkehr von 3-5 Gb täglich. Inzwischen nutzen noch 2 weitere Bengels das Netz und inzwischen sind es zwischen 13 und 15 GB/tgl.
Ich kann dir nur einen Tipp geben, aktiviere vom ersten Tag an die Webfilter-Profile, wenn du erst später die Einschränkungen einführst, dann kommen noch Stunden der Diskussion dazu. :kotz:

Zum IPS-Filter: Hier würde ich ebenfalls zustimmen (ohne es 100%ig zu wissen weil ich es eben nicht selber benutze) allerdings solltest du es nochmal vice versa definieren damit es in beide Richtungen greift. So würde er nur von LAN2 in LAN1 greifen.

Da bin ich selbst nicht sicher, vielleicht meldet sich noch ein Wissender hierzu und sagt uns was das Richtige ist.
Ich geh davon aus, dass ein Client von LAN2 eine Verbindung zum Datengrab im LAN1 aufbaut und nie umgekehrt und ich daher vice versa nicht brauche.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bis jetzt läuft bei mir ja die UTM als VM unter ESXi5.1. Will jetzt aber die UTM als eigenständige Maschine laufen haben um flexibler zu sein und für mein Datengrab laufen inzwischen 15 HDs und das 24/7 nur wegen der UTM - das muss nicht wirklich sein.

Jep, das hab ich inzwischen auch in der c't gelesen. Ich denke, dass ein Pentium G3220/3420/3430 der Haswell-Generation für meinen Bedarf reichen. Ein i3 oder gar i5 schätze ich dürfte überkanditelt sein. Wichtig gilt es noch zu beachten, dass die Netzwerkkarten von Intel sind, denn ich hab hier Kabel mit 100/5 und da sollen die Broadcom oder Realtec Netzwerkadapter der Flaschenhals sein. Treiber für Atheros gibts noch keine. Die zwei Erstgenannten sollen bis max 50 Mbit noch ok sein.
Mini-ITX ist bei mir kein Muss-Kriterium, da das Gerät eh im Keller ins Rack soll.
RAM >= 4 GB da bei UTM9 die Anforderungen stark gestiegen sind.
Beim Netzteil bin ich auch noch unschlüssig. Ist ein Pico-PSU mit 120 W genug oder soll ich mir eher ein 200/300 Watt Netzteil suchen.

LOL, wenn die Kinder größer werden, wird dein Datendurchsatz explodieren. :mad:
Also im 1. Quartal hatte ich noch einen Datenverkehr von 3-5 Gb täglich. Inzwischen nutzen noch 2 weitere Bengels das Netz und inzwischen sind es zwischen 13 und 15 GB/tgl.
Ich kann dir nur einen Tipp geben, aktiviere vom ersten Tag an die Webfilter-Profile, wenn du erst später die Einschränkungen einführst, dann kommen noch Stunden der Diskussion dazu. :kotz:



Da bin ich selbst nicht sicher, vielleicht meldet sich noch ein Wissender hierzu und sagt uns was das Richtige ist.
Ich geh davon aus, dass ein Client von LAN2 eine Verbindung zum Datengrab im LAN1 aufbaut und nie umgekehrt und ich daher vice versa nicht brauche.

Beim NT kann ich mir bei weitem nicht vorstellen das ein 120W nicht ausreichen soll, bei der Hardwareleistung wirst du wahrscheinlich nur selten die 100% Marke ankratzen und selbst dann wirst du mit dem Pentium der G-Klasse nur wenig Leistung verzehren. Zum RAM kann ich nur sagen wir haben in der Firma rund 80 Leute sitzen und 8 Netzwerkkarten in unserer Virtuellen UTM verbaut und kratzen noch immer nicht (Immer, kommt ganz selten mal vor das er swappen muss) die 4GB Marke an. Ich denke also das du nicht mehr wie 4 brauchen wirst.
Zum IPS kann ich dir nur sagen das wir gerade letzte Woche einen Sophosspezi da hatten, er hat für einige Tests gefahren da wir ganz miese Performance in die Subnetze hatten. Er hat zum Test dort Ausnahmen definiert (Ich werde morgen mal schauen wie genau sie aussehen dann sollte ich deine Frage auch genauer beantworten können) und er hat sie in Beide Richtungen definert.
Ich werde mir deinen Tipp mit dem Webfilter zu Herzen nehmen Danke ;)
 
Ich denke, dass ein Pentium G3220/3420/3430 der Haswell-Generation für meinen Bedarf reichen.
Denke ich auch, um dir nochmal eine Einschätzung zu geben:
Ich hatte die UTM 9.1 auf einem G1610 laufen, fünf Personenhaushalt, alles kräftige Nutzer, täglicher Durchsatz zwischen 30-50GB, spitzen bis 110Mbit/s, plus den Durchsatz der Server, die aber nicht durch das Webfiltering gehen.
Das war so an der Grenze wo ich sagen würde, dass geht noch von der Performance her. Der Seitenaufbar war messbar und spürbar langsamer (ca. 20% vom DNS request bis alle Daten Übertragen waren.) aber noch nicht, dass man das Gefühl hatte, das es zäh gehen würde.

Beim Netzteil bin ich auch noch unschlüssig. Ist ein Pico-PSU mit 120 W genug oder soll ich mir eher ein 200/300 Watt Netzteil suchen.
Absolut ausreichend, ich hab den G1610 mit zwei 3,5" HDD und zwei Intel Dual-Port Karten nie über 65W bekommen.

LOL, wenn die Kinder größer werden, wird dein Datendurchsatz explodieren. :mad:
Kommt eher aufs Nutzungsverhalten an, als aufs Alter, wobei die beiden natürlich im Zusammenhang stehen :d
 
Hallo

Ich wollte mir die Sophos UTM Home Edition anschauen. Doch auch nach Tagen habe ich keinen Link für den Download erhalten. Habe es schon mit 3 Mail Adressen probiert.
 
Neues Up2date-package:

Code:
Up2Date 9.106017 package description:

Remark:
 System will be rebooted

Bugfixes:
 Fix [23353]: Pop3 mails proceeded during a pattern update are quarantined as "unscanable"
 Fix [26035]: Can't handle a VPN signing CA which expires after 2050 [V9]
 Fix [27569]: HTTP-Proxy breaks GET Request including a huge Cookie
 Fix [28007]: DynDNS: Username containing uppercase chars not working for FreeDNS

RPM packages contained:
 ddclient-3.8.1-7.g1c4d691.noarch.rpm              
 vineyard-plugin-3-0.144836945.gf2c5d3c.i686.rpm   
 vineyard-plugin-tib-3-0.144836945.gf2c5d3c.i686.rpm
 ep-reporting-9.10-12.g523fdad.i686.rpm            
 ep-reporting-resources-9.10-12.g523fdad.i686.rpm  
 ep-awed-9.10-12.g3f65887.i686.rpm                 
 ep-branding-ASG-afg-9.10-32.g2f4a86b.noarch.rpm   
 ep-branding-ASG-ang-9.10-32.g2f4a86b.noarch.rpm   
 ep-branding-ASG-asg-9.10-32.g2f4a86b.noarch.rpm   
 ep-branding-ASG-atg-9.10-32.g2f4a86b.noarch.rpm   
 ep-branding-ASG-aug-9.10-32.g2f4a86b.noarch.rpm   
 ep-confd-9.10-184.g4305ade.i686.rpm               
 ep-localization-afg-9.10-61.gb16d016.i686.rpm     
 ep-localization-ang-9.10-61.gb16d016.i686.rpm     
 ep-localization-asg-9.10-61.gb16d016.i686.rpm     
 ep-localization-atg-9.10-61.gb16d016.i686.rpm     
 ep-localization-aug-9.10-61.gb16d016.i686.rpm     
 ep-mdw-9.10-122.g5aa5700.i686.rpm                 
 ep-webadmin-9.10-140.g117b33b.i686.rpm            
 ep-webadmin-contentmanager-9.10-5.g06a534b.i686.rpm
 ep-chroot-pop3-9.10-41.ga7d09f7.i686.rpm          
 ep-httpproxy-9.10-96.gabd0737.i686.rpm            
 ep-release-9.106-17.noarch.rpm
 
Zum IPS kann ich dir nur sagen das wir gerade letzte Woche einen Sophosspezi da hatten, er hat für einige Tests gefahren da wir ganz miese Performance in die Subnetze hatten. Er hat zum Test dort Ausnahmen definiert (Ich werde morgen mal schauen wie genau sie aussehen dann sollte ich deine Frage auch genauer beantworten können) und er hat sie in Beide Richtungen definert.
Ich werde mir deinen Tipp mit dem Webfilter zu Herzen nehmen Danke ;)

@needles78,
bist schon dazu gekommen auf eurer Firmen-UTM nachzuschauen?
 
Zuletzt bearbeitet:
Hallo

Hat jemand eine Anleitung für die Web Application Firewall. Ich bekomme das mit dem Webserver (Exchange OWA) nicht hin. Bekomme immer den Fehler

Forbidden

You don't have permission to access /owa/ on this server.
 
@needles78,
bist schon dazu gekommen auf eurer Firmen-UTM nachzuschauen?

Ja, ich habe geschaut, sry bin irgendwie noch nicht dazu gekommen es zu posten. Also das ist leider auch bei uns schwammig... Wir haben 2 kleine Ausnahmen definiert wobei bei dem einen:
alle Haken gesetzt sind bei prüfungen auslassen
dann "aus diesen Netzwerken kommend" --> Netz/Subnetz --> und zu diesen Zielen gehend --> "Netz/Subnetz"
Die 2 Ausnahme ist dann wieder anders definiert, identisch zu oben aber auch vice versa.... Das muss ich leider auch nochmal hinterfragen...
 
Ja, ich habe geschaut, sry bin irgendwie noch nicht dazu gekommen es zu posten. Also das ist leider auch bei uns schwammig... Wir haben 2 kleine Ausnahmen definiert wobei bei dem einen:
alle Haken gesetzt sind bei prüfungen auslassen
dann "aus diesen Netzwerken kommend" --> Netz/Subnetz --> und zu diesen Zielen gehend --> "Netz/Subnetz"
Die 2 Ausnahme ist dann wieder anders definiert, identisch zu oben aber auch vice versa.... Das muss ich leider auch nochmal hinterfragen...

Ich vermute mal, dass bei den Ausnahmen innerhalb verschiedener Sub-Netze man alle Haken setzen kann.

NOP, wäre aber schon interessant zu wissen, wie die IPS-Ausnahmen so richtig funktionieren.
Vielleicht bekommst du noch eine Erklärung dazu und bringst hier Licht ins Dunkel.

Momentan hab ich bei mir eine Ausnahme aktiv:
von Quellnetzwerken: LAN2 (Network)
zu Zielen gehend: Host-Datengrab
Diese Dienste verwendend: CIFS(445)

Die Vice versa angelegt, aber noch nicht aktiviert.
 
Hallo Zusammen,

ich habe meine utm 9 nun erfolgreich im Unternehmens-Netzwerk implementiert, alles läuft so wie ich es mir vorgestellt habe.
Unter "Authentifizierungsserver" bin ich auch der Domäne beigetreten - sieht alles gut aus.

Im Webfilter-Log werden wir allerdings statt Hostname bzw. AD-Username nur die IPs der Clients angezeigt. Ich gehe davon aus dass die Sophos sich erst alle User- und Computerkonten aus dem AD synchen muss, kann das sein?
Da man ja bequem ist und ich weiß dass man sich definitiv auch die Hostnamen bzw. AD Userkonten dort anzeigen lassen kann im Protokoll ist die Frage, was ich falsch bzw. noch nicht konfiguriert habe. Any ideas?

Unbenannt.PNG
 
Zuletzt bearbeitet:
Wahrscheinlich ist wird die Reversezone für die Hosts auf deinem AD-DNS verwaltet oder? Die UTM weiß davon nichts, wenn du es ihr nicht sagst ;)
Also die Delegation im DNS eintragen (ich glaub das nennt sich Query Routing oder so auf der ASG), dann funzt das auch.

Um Usernamen sichtbar zu machen, müssen die sich irgendwie an der ASG authentifizieren (z.B. am Proxy), oder du hast einen Agent auf den Clients installiert (z.B. Anti-Virus).
 
Hallo

Habe die Sophos nun zuhause im Einsatz. Habe aber ein etwas komplexes Problem.

Ich frage die Mails der Familie per POP3 vom Internet Anbieter ab und sende sie dann an den SMTP Proxy der Sophos und leite sie von dort weiter an den Exchange Server.
Nun habe ich nur das Problem das alle Mail laut Log und User Portal von meiner Gmail Adresse kommen. Das stimmt aber nicht. Im Outlook stimmt der Absender aber wieder. Wieso das? Würde gerne den SMTP Spam Filter der Sophos verwenden.

Irgendwie finde ich den Fehler nicht

Gruß Christoph
 
In dieser Konstellation habe ich das noch nie betrieben.
Warum nimmst du nicht den POP3 Proxy? Der arbeitet auch transparent, d.h. du hättest an deinem Fetchmail (oder was auch immer du einsetzt) gar nichts ändern müssen (Zustellung direkt an Exchange).
 
so ich habe es hinbekommen.

Ich verwende nicht den POP3 Proxy da das User Portal nur mit dem SMTP Proxy funktioniert. So kann meine Familie die Spam Mails selber durchsuchen.
 
Welche Hardware würdet ihr mit dem heutigen Stand der Technik und der UTM v9 für eine möglichst lautlose, aber perfomante Installation wählen?
Sollte man zut Zeit noch auf die neuen Haswell-Geräte warten oder reichen die Intel Atom die zur Zeit verfügbar sind?
 
Die Glaskugel ist gerade beim Polieren...
Wieviel Durchsatz hast du denn? Nutzt du VPN, IPS, bla??
 
Ips ja, vpn eher selten. Zocken soll aber zuegig sein :) webserver ist zur zeit nicht geplant.

durchsatz zur zeit: 75mbit down / 7mbit up. wobei das in zukunft eher 150/10 sein wird.
 
Zuletzt bearbeitet:
Weiß einer zufällig nach welchem Intervall die UTM DynDNS Updates durchführt?
Habe eben Internet Backup über UMTS eingerichtet und auch nach 10 Minuten über UMTS kein DynDNS Update der UTM.
Ansonsten muss ich den Support am Montag mal befragen.
 
Weiß einer zufällig nach welchem Intervall die UTM DynDNS Updates durchführt?
Habe eben Internet Backup über UMTS eingerichtet und auch nach 10 Minuten über UMTS kein DynDNS Update der UTM.
Ansonsten muss ich den Support am Montag mal befragen.

Ich meine es sind 5 Minuten.
 
Korrekt, Sir.

Code:
cat /etc/ddclient/global.conf-default
daemon=300 --> 5min
ssl=yes
[...]
 
Hallo Leute,

hab gerade versucht mal meinen Minix Intel Minic-PC als UTM z installieren, bekomme jedoch immer den gleichen Fehler.
Installieren will ich von einem USB Stick. Erstellt habe ich diesen mit dem Programm unetbootin.

Eine Install.tar wird immer vermisst! Install Logs habe ich hochgeladen: http://www54.zippyshare.com/v/17899446/file.html
IMG_20131012_140742.jpg


Kann mir wer weiterhelfen?
 
Zuletzt bearbeitet:
1. Download and install 'Universal USB Installer' - Universal USB Installer – Easy as 1 2 3 | USB Pen Drive Linux
2. Download Astaro ASG v8 iso - ftp://ftp.astaro.de/Astaro_Security_...appliance/iso/
3. Open the Universal USB Installer, for Step 1: Select the last option, 'Try Unlisted Linux ISO (New Syslinux)'
4. For Step 2: Select the Astaro ISO
5. For Step 3: Select your USB Key.
6. Click 'Create', Eject the USB Key and Boot your soon-to-be Astaro Box
7. Press <Enter> to Start the Installer
8. On the First Screen, hit Alt-F2.
9. Follow this sequence:
bash-3.2# mount /dev/sdb2 /mnt
bash-3.2# cd /install
bash-3.2# mkdir install
bash-3.2# cd install
bash-3.2# cp -a /mnt/install/* .
Hit Alt-F1
10. Finish the Installation, Reboot and Enjoy.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh