[Sammelthread] Sophos UTM-Sammelthread

Auf Grund dieses Threads will ich mir (erstmal) eine virtuelle UTM aufsetzen.
Diese wird zwischen Fritzbox und LAN geschaltet.
Ist es sinnvoll den DHCP der UTM zu verwenden oder lieber den des AD Controllers?

Sonst noch Tipps für absolute Neulinge? ;)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
nimm den DHCP des AD und die auch die User aus dem AD und leg dort ggf. noch gruppen mit entsprechenden Filtern an.
Die UTM läuft Problemlos in VM
 
wie die utm mit den Gruppen umgehen soll
wenn man entsprechende Gruppen im ad anlegt, kann man darin die user packen und sie haben entsprechende Filter, die die utm abarbeitet
 
hab mein Blog aktualisiert, untere anderem den Link zum Lets Encrypt Update Script eingefügt und eine Anleitung zur Installation der UTM bei Providerdienste. Vielleicht hilft das ja dem einen oder anderen weiter. Leider fehlt mir im Moment massiv die Zeit die zwei Anleitungen (CGN umgehen und LE Zertifikat) richtig bebildert zu aktualisieren.
 
Moin,

habe folgende Aufbau aber bekomme irgendwie die DNS-Geschichte zwischen Sophos und Server2012r2 Essentials nicht hin.

1. Sophos spielt DHCP und DNS (soll nicht der Domäne beitreten)
2. Server2012r2 Essentials (hier installiert sich ja ein DNS mit) dieser soll als Backupserver dienen.

Die Clients sollen über den MS-Server-Connector mit den Essentials verbinden und ihre BackupIntervalle durchziehen.
Ich habe jetzt das Problem das der MS-Connector zwar verbindet, aber wenn ich auf einem Client was zum Test wiederherstellen möchte, kann er mir das Backuprepository nicht öffnen und sagt der client hätte keine Verbindung zum Server..

Ich habe jetzt schon einiges gelesen und festgestellt das die DNS-Auflösung zwischen Sophos und dem Essentials (DC mit DNS) sauber funzen muss.
Wie und was stelle ich in der Sophos nun ein damit der Essentials sauber DNS-teschnisch mit der Sophos zusammenarbeitet?

Sophos 192.168.0.1
Essentials: 192.168.0.10
Client1 : DHCP von Sophos / DNS1 per hand eingetragen 192.168.0.1 - DNS2 per hand eingetragen 192.168.0.10

stehe auf dem schlauch bzw weiß nicht was ich in der Sophos ggf noch an welcher Stelle eintragen müsste..

Danke für jeden tipp!
 
Die Sophos kann also nicht korrekt auf den Essentials zugreifen? Hast du im DNS-Server der UTM eine entsprechende Request Route für deine Domäne angelegt? Damit der UTM-DNS Server weiß, wie er die Domäne korrekt auflösen kann.
 
Ich habe aktuell noch Kabel Internet und stelle nun auf VDSL um. Werde mir einen Vigor 130 vor der Sophos holen.

Sollte ich die Einwahl auf der Sophos durchführen? Oder ist es alternativ auf dem Vigor besser aufgehoben? Dann müsste ich aber doppelt NAT betreiben oder die UTM als "Exposed Host" in eine DMZ stellen?
 
Uhm, nutz das vigor schlicht als Modem. Dann sollte es eigentlich die externe IP bereitstellen

Gesendet von meinem ZTE A2017G mit Tapatalk
 
Opticum schrieb:
hab mein Blog aktualisiert, untere anderem den Link zum Lets Encrypt Update Script eingefügt und eine Anleitung zur Installation der UTM bei Providerdienste. Vielleicht hilft das ja dem einen oder anderen weiter.
Zum Vergrößern anklicken....

Die Anleitung für die Einbindung von Letsencrypt Zertifikaten verweist ja auf das Script sophos-utm-letsencrypt. Das wiederum nutzt getssl, um die Zerfikate bei Letsencrypt zu holen bzw. zu erneuern.

Soweit, so gut, aber ich habe an zwei Stellen eine Art Störgefühl, den Code auf der Firewall zu installieren und dort laufen zu lassen:

1. Wenn ich den Script-Code von update-cert (von sophos-utm-letsencrypt) richtig interpretiere, wird das Sophos-originäre /usr/local/bin/confd-client.plx genutzt, um die letsencrypt-Zertifikate in Sophos UTM einzubinden. Wenn nun confd-client.plx bei einem UTM-Update plötzlich anders arbeitet, kann es zu undefiniertem Verhalten des Scripts update-cert kommen? Gruselig ist dabei die Vorstellung, dass das Script über den Aufruf eines geänderten confd-client.plx die Web Application Firewall der UTM ungewollt umkonfiguriert.

2. Der Code von getssl, auf den update-cert zurückgreift, enthält u.a. einen optionalen Update-Check auf neuere Versionen des Scripts. Das wird zwar von update-cert derzeit nicht genutzt, aber wenn sich der Autor von getssl irgendwann (aus welchen Gründen auch immer) dazu entschließen sollte, den Update-Check als (abschaltbaren) default zu setzen, kann auch das zu ungewollten Nebeneffekten führen. Die Firewall würde dann über das update-cert getssl aufrufen und darüber ggfs. eigenständig neuen Code laden/installieren. Ist zwar DERZEIT wohl noch nicht so. Wenn man sich als UTM-Betreiber aber dazu entschließt, beide Scripts gelegentlich auf neuere Versionsstände anzuheben, sollte man das im Blick haben - jedenfalls dann, wenn man nicht möchte, dass die Firewall über die Scripte nicht nur mit Letsencrypt kommuniziert.

Im Ergebnis bleibt für mich dabei das Gefühl, über die Installation der Scripte in das Ökosystem der Sophos-UTM einzugreifen und beim nächsten Sophos-Update (siehe Punkt 1) zusätzlichen Kontrollaufwand zu haben. Andererseits ist die Einbindung von Letsencrypt-Zertifikaten dort schon richtig aufgehoben, wenn man die Web Application Firewall nutzt. Es ist ja auch nicht weniger aufwändig, hinter der UTM einen eigenen HAproxy-Server zu betreiben und dort über certbot die letsencrypt-Zertikate zu verwalten. Letzere Lösung hat allerdings den Vorteil, dass man das Ökosystem UTM nicht verändert und nicht das Sophos-originäre /usr/local/bin/confd-client.plx einbeziehen muss.

Dies nur als weitere Denkanstöße zum Thema Letsencrypt :-)
 
Zuletzt bearbeitet:
cif1378: bin ganz deiner Meinung, daher habe ich auch beide Wege im Blog stehen gelassen. Es wäre an der Zeit das Sophos dieses Feature selbst einbaut. Ich habe das Updatescript nicht als Cronjob eingerichtet sondern verwende es noch "manuell". Den Hinweis mit dem Update von getssl habe ich bereits an den Autor weitergeleitet.

Die ganze Thematik was zuhause am Besten ist wäre sowieso so zu beantworten das man dort nichts hosten sollte ;-) Netter Nebeneffekt bei der LE Geschichte ist, das der Webadmin der Sophos auch ein gültiges Zertifikat erhält. Die WAF ist ja an sich sehr interessant weil es eine fertige Lösung ist die für selbst gehostete Inhalte etwas mehr Sicherheit bringt da sie regelmäßig (in der Theorie) von Sophos gewartet wird.
 
Zuletzt bearbeitet:
Was mir bei der Letsencrypt-Einbindung über getssl auch noch aufgefallen ist: Für das Erstellen und Erneuern der LE-Zertifikate benötigt das Script einen schreibenden SSH-Zugriff auf den jeweiligen Web-Server (damit .well-known/acme-challenge beschrieben werden kann). Das bedeutet, die Firewall bekommt Schreibrechte für den Webserver... Da richte ich mir doch lieber in einer eigenen VM einen haproxy ein, der die SSL-Terminierung übernimmt und auf dem certbot nur für die Dauer der Zertifikatserstellung-/erneuerung und auch nur für LE einen Standalone-Server startet.

Die WAF von Sophos kann man dabei auch nachbilden, indem man z.B. einen Apache als ReverseProxy mit mod_security laufen lässt - und alles über haproxy passend delegiert. Ist zwar etwas mehr manueller Aufwand, aber die Sophos-WAF ist ja auch nichts anderes als mod_security. Großartig gewartet wird da meines Erachtens von Sophos nichts - die nutzen die freien modsecurity-Rules (siehe hier).

Und mir persönlich gefällt es "irgendwie" (=vor allem Bauchgefühl) besser, wenn die Web-Server von allem unberührt bleiben.
 
cif1378 schrieb:
Und mir persönlich gefällt es "irgendwie" (=vor allem Bauchgefühl) besser, wenn die Web-Server von allem unberührt bleiben.
Zum Vergrößern anklicken....

Ich würde sogar soweit gehen und behaupten, so ein Script gehört NICHT auf die UTM. Warum? Weil es eben (wie du schon selbst beschreiben hast) zu unerwünschen Dreckseffekten kommen kann, vor allem wenn sich A) an der UTM was ändert oder B) wenn sich am Script selbst was dreht. Der Access vom geschätzten LAN Bereich in die interen Netze, wo die Webserver stehen ist eigentlich ein Securitytechnisches NoGo im Design. Vor allem VON der UTM aus. Kapert wer die UTM, ist das Ding offen. Da kannste eigentlihc gleich den Webserver via SSH zugänglich machen von public.

Aus meiner Sicht wäre der richtige Ansatz eher der, dass von einem dritten Host (der rein intern steht/erreichbar ist) selbst die LE-Certs erneuert werden und dann von diesem aus via SSH oder direkt HTTP(S) am WebAdmin die Zertifikate geändert werden...
Via SSH dürfte dabei sogar etwas einfacher sein, wenn auch potentiell gefährlicher, weil eben "mehr" Access in die UTM Innereien damit möglich ist. Über den WebAdmin könnte man ja mit Roles arbeiten, hab ich selbst zwar so nicht im Einsatz, aber eine WAF Manager Role kann halt keine Firewall Regeln schreiben/ändern bspw. Müsste aber ausreichend sein um die Zertifikate zu tauschen.





Mal was anderes, gibt es zum Thema UTM was neues bzgl. des "Dirty Cow" Kernel problems???
Komisch das es gerade für eine "Security Appliance" da nix gibt... Sich dahinter zu verstecken, dass man Shell Access auf die Kiste benötigt ist halt nur die halbe Miete, wer weis, was da noch für Bugs im Code sind, der genau diesen Access ermöglicht. Zumal, wenn ich das richtig sehe, reiner Shell Access auch nur eine Möglichkeit ist, das Problem zu nutzen. Die Kontenscanner bspw. sind dafür ja auch anfällig, wenn es da Bugs gibt, die gescannten Code bspw. irgendwie ausführen...
 
fdsonne schrieb:
Aus meiner Sicht wäre der richtige Ansatz eher der, dass von einem dritten Host (der rein intern steht/erreichbar ist) selbst die LE-Certs erneuert werden und dann von diesem aus via SSH oder direkt HTTP(S) am WebAdmin die Zertifikate geändert werden...
Via SSH dürfte dabei sogar etwas einfacher sein, wenn auch potentiell gefährlicher, weil eben "mehr" Access in die UTM Innereien damit möglich ist. Über den WebAdmin könnte man ja mit Roles arbeiten, hab ich selbst zwar so nicht im Einsatz, aber eine WAF Manager Role kann halt keine Firewall Regeln schreiben/ändern bspw. Müsste aber ausreichend sein um die Zertifikate zu tauschen.
Zum Vergrößern anklicken....

Ich verfolge folgenden Ansatz:

  • Let's Encrypt mit DNS-01-Challenge
  • die Subdomain acme.$domain wird auf einen Server in einer DMZ delegiert, nennen wir ihn mal einen CA-Proxy. Dieser bietet nur SFTP, kein SSH (selber Port, aber kein Login möglich)
  • benötige ich ein Zertifikat für foo.$domain, wird ein Record _acme-challenge.foo.$domain CNAME foo.acme.$domain angelegt
  • der Server, der das Zertifikat benötigt, erstellt einen privaten Key und lädt den CSR per SFTP auf den CA-Proxy hoch
  • auf dem CA-Proxy läuft ein eigener ACME-Client, der die Kommunikation mit LE abhandelt und das fertige Zertifikat wieder per SFTP zur Verfügung stellt
  • speziell in meinem Fall ist das ein selbstgeschriebener Client in Perl, der mit dem Modul Net::dNS::Nameserver die Challenges direkt selbst beantworten kann, ohne DNS-Updates auf einen separaten DNS-Server
  • der Server läft das Zertifikat runter und installiert es nach Bedarf

Dabei läuft alles periodisch per Cron. Jeder Server, der ein Zertifikat benötigt, guckt jeden Tag beim CA-Proxy nach, lädt die Dateien runter und vergleicht, ob sich seit dem letzten Mal was geändert hat. Wenn er kein Zertifikat findet, erstellt er einen neuen Key und lädt den CSR wieder hoch. Damit im Zusammenspiel guckt der CA-Proxy täglich, ob alle Zertifikate noch mind. 30 Tage gültig sind. Wenn nicht, wird das entspr. Zertifikat dem Zugriff des Servers entzogen, so dass dieser wieder den CSR erstellt.

Mit diesem System lassen sich nebenbei auch vollautomatisch OCSP-Antworten für OCSP-Stapling abhandeln. Diese fragt der CA-Proxy bei der CA jeden Tag ab und stellt sie den Servern per SFTP bereit. Falls diese eine Änderung bemerken, installieren sie die bei sich lokal und starten den entsprechenden Dienst neu.

Damit kann man auch interne Domains mit Zertifikaten versorgen, weil man nach außen hin nur den Namen _acme-challenge.foo.intern.$domain bereitstellen muss und keine internen Adressen.

Mit einem IPv6-Tunnel kann man so einen CA-Proxy auch zu Hause als VM laufenlassen.
 
Zuletzt bearbeitet:
mmmh heute scheint irgendwas mit dem endpoint-webcontrol zu spinnen.
Komplett alle windows clients bekommen vom agent die meldung das alle Websites gegen die Richtlinien verstoßen würden, sogar die sophos-Admin-seite geht nicht.
Hilft nur am client den Manipulationsschutz rauszumachen und das webcontrol zu deaktivieren momentan.
Jemand das gleiche Problem oder schon wo gelesen was das ist? genau seit heute..

- - - Updated - - -

Teste ich die rule auf der sophos geht alles durch (von einem client mit deaktviertem webcontrol agent).

Ist der Client mit webcontrol aktiv, sieht es so aus:



über dem sophos-agent erscheint dann noch die ballo-tip mit "der Zugriff auf eine Website.. nicht im Einklang.. Unternehmensrichtline.."
 
Zuletzt bearbeitet:
Hi zusammen :)
Eine frage an euch Spezialisten ,
ich habe aktuell auf meinen ganzen clients ESET Endpoint Security installiert.
Was spricht gegen (oder für) dás Sophos Endpoint Protection ?! hat das überhaupt wer installiert ?
Liebe Grüße
 
Philipp Beatdown schrieb:
Hi zusammen :)
Eine frage an euch Spezialisten ,
ich habe aktuell auf meinen ganzen clients ESET Endpoint Security installiert.
Was spricht gegen (oder für) dás Sophos Endpoint Protection ?! hat das überhaupt wer installiert ?
Liebe Grüße
Zum Vergrößern anklicken....

Geht um das Endpoint Protection was in der UTM dabei ist?

Dagegensprechen würde das es bei der XG schon nicht mehr dabei ist und auch nicht mehr eingelegt werden soll. Dazu kommt noch das der Endpoint aka Central Client auch nur noch bedingt für die UTM weiterentwickelt wird. Der Client ist nicht identisch mit dem Central Endpoint Client!
 
Lasse die Sophos Endpoint Protection wo sie ist (als Paket irgendwo rumschimmeln) und verwende Eset.
Das wäre mein Tipp, aus meiner Erfahrung heraus.
 
Up2Date 9.408004 ist raus und als Update verfügbar.

u.a. " Fix [NUTM-5049]: [Endpoint] Liveconnect Connectivity Issue"
 
Das neue Update bringt auch den Kernel-Fix:

"Fix [NUTM-5714]: [Basesystem] CVE-2016-5195 - Linux Kernel - Dirty Cow"
 
jo, das problem bei mir vorhin war scheinbar ein defekter pattern der noch vor dem firmwareupdate gefixt wurde. läuft wieder alles, auch mit neuer firmware.
 
Geht IPsec VPN nur mit dem Client von Sophos (extra Lizenz!) oder gibt es Client Alternativen dafür?
\\EDIT: Habe es nu mit Shrew VPN hinbekommen, jedoch fehlt mit das Gateway in dem Virtuellen IP Pool, so dass ich natürlich keine Ziele erreichen kann. Muss ich meinen DHCP für diesen Pool bereitstellen, oder kann ich anderweitig das Gateway einstellen?
 
Zuletzt bearbeitet:
Hallo zusammen,
ich habe mir einen Poweredge T20 + eine Quad Netzwerkkarte gekauft . Nun möchte ich Sophos Home UTM auf dem Poweredge virtualisieren. Ist das Sinnvoll bzgl dem Durchsatz oder lieber auf einen
eigenständigen Server/Rechner laufen lassen?
Ich habe die Sophos Home UTM als VM auf dem Poweredge testweise installiert, doch ich komme mit der Netzwerkkarte nicht zurecht.
Ich habe die Netzwerkkarte als einen vSwitch1 angelegt, was vermutlich falsch ist?!
Desweiteren möchte ich eine 2 Sophos Home UTM an einem anderen Standort aufstellen. Als Mainboard habe ich mir Asrock J3710M (https://www.amazon.de/ASRock-J3710M...&ie=UTF8&qid=1479320382&sr=1-2&keywords=J3710) ausgesucht + 4GB RAM +ca 80GB SSD +Quad Netzwerkkarte. Laut den Systemanforderungen dürfte die Hardware reichen, oder habt ihr da andere Vorschläge? Die Quadnetzwerkkarte (PCI x4)hätte ich bereits.

Grüße
 
Wieviel Sinn / wie gut ist die Endpoint Protection?
Lohnt es sich die Rechner (bisher nur Windows Defender) damit zu schützen oder lieber was kostenloses eines anderen Herstellers?

Ist das denn der selbe Client wie man ihn z.B. im Unternehmensumfeld mit der Enterprise Console hat?
 
Bambuleee schrieb:
Wieviel Sinn / wie gut ist die Endpoint Protection?
Lohnt es sich die Rechner (bisher nur Windows Defender) damit zu schützen oder lieber was kostenloses eines anderen Herstellers?

Ist das denn der selbe Client wie man ihn z.B. im Unternehmensumfeld mit der Enterprise Console hat?
Zum Vergrößern anklicken....

Ist bis auf das Management gleich mit dem Endpoint Securtiy und Control mit der Enterprise Console.
 
oOHiggsOo schrieb:
Hallo zusammen,
ich habe mir einen Poweredge T20 + eine Quad Netzwerkkarte gekauft . Nun möchte ich Sophos Home UTM auf dem Poweredge virtualisieren. Ist das Sinnvoll bzgl dem Durchsatz oder lieber auf einen
eigenständigen Server/Rechner laufen lassen?
Ich habe die Sophos Home UTM als VM auf dem Poweredge testweise installiert, doch ich komme mit der Netzwerkkarte nicht zurecht.
Ich habe die Netzwerkkarte als einen vSwitch1 angelegt, was vermutlich falsch ist?!
Zum Vergrößern anklicken....

Es scheint ein Glaubenskrieg zu sein, ob man eine Firewall/UTM als Barebone auf einem eigenen System oder virtualisiert laufen lassen soll. Die Sophos UTM läuft bei mir auf dem T20 mit einer Quad-Netzwerk-Karte ohne Performance-Probleme als VM (KVM) unter Proxmox für WAN, DMZ, LAN, WLAN. Die CPU-Last liegt mit der Sophos-UTM-VM und einer Handvoll LXCs selten höher als 5 Prozent. Allerdings ist das ein reiner Home-Betrieb mit einer 50/5-Internetanbindung für eine kleine Schar Internet-Süchtiger. Die Sophos UTM übernimmt neben dem Routing und der Firewall mit IPS auch die VPN-Anbindung für die Familienhandies mit Web Protection/Filter und eine Webserver-Protection für ein paar belanglose Web-Dienste, die als LXC auf dem T20 vor sich hindümpeln.

Die physikalischen NICs sind unter Proxmox jeweils einer eigenen Bridge zugewiesen. An diesen Brigdes hängen dann die virtuellen NICs für die VM. Die WAN-Bridge mit dem physikalischen WAN-NIC ist unter Proxmox unkonfiguriert, so dass der Hypervisor über dieses Interface bzw. die dazugehörige Bridge nicht erreichbar ist, sondern nur die Sophos-UTM-VM. Bei anderen Hypervisoren dürfte die Netzwerk-Konfiguration ähnlich möglich sein.

Disclaimer: Ich traue der virtualisierten UTM durchaus zu, meinen -sehr bescheidenen- Sicherheitsanforderungen gerecht zu werden. Weil hier aber noch ein ungenutzter Raspberry Pi herumlag, habe ich den mit OpenWRT bestückt und als "nackte" Firewall (=nur ein paar Port Forwards eingehend, ohne jeglichen weiteren Schnickschnack) zwischen Kabelmodem und T20 gehängt. Verbraucht kaum zusätzlichen Strom und kann meine Internet-Anbindung problemlos bis zur Volllast bedienen. Vermutlich ist eine Firewall-Kaskade gar nicht nötig, aber sie schadet ja auch nicht... zumindest Script-Kiddies, die sich an meine IP verirrt haben, etwas länger zu beschäftigen.
 
Zuletzt bearbeitet:
Guten Morgen,

könnt Ihr mir vllt. sagen, warum die Sophos mir unter den Firewall Logs ständig anzeigt, dass die Sophos Kontakt mit dem DNS Servers meines Internetproviders herstellt?
Rot wäre ja Verwerfen und Grün erlaubt. Was bedeutet dann weiß?

Sophos Log.PNG
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh