[Sammelthread] Sophos UTM-Sammelthread

[Opticum]

Vape: Die Einrichtung wo ich dir letzten Sommer(?) geholfen habe war auch voll funktionsfähig. Ich weiß gar nicht mehr wie viel Stunden das waren, aber über die $20 Vultr Guthaben habe ich mich sicherlich gefreut. Die nutze ich übrigens hauptsächlich dafür, um mal die ein oder andere Anleitung zu schreiben oder einen Aufbau zu testen, führt hier aber glaube ich auch zu sehr ins OT. Das du dich gemeldet hast war kein Problem, aber wenn ich schreibe ich habe derzeit keine Zeit sollte man das akzeptieren können, dafür gibt es Firmen die Ihren Support anbieten oder dieses Forum.

Als "Kunden" sehe ich dich sicherlich nicht und möchte nochmals betonen, dass ich das hier bei Zeit gerne mal im Privatbereich mache und aushelfe (Communitygedanken), für alles andere gibt es (kostenpflichtige) Sophos Partner.

 

[Vape]

Warum gehst du nicht zu einen professionellen Anbieter?
Ich kann da die Com-sys empfehlen. Die haben mehrere Leute auf Sophos sitzen und sind recht fix!

Bedenke immer eins -> you'll get what you give

Das würde ich gerne tun aber da es ein Projekt ist das so viel genug zeit und geld frisst bei dem der erfolg noch ungewiss ist können qir aktuell nicht noch mehr investieren. Es hatte ja alles funktioniert. Es hat sich weder an der Hardware noch an sonst was geändert. Lediglich eine ip ist anders

 

[DanFu]

Na dann hast du doch schon die Lösung selbst gefunden!

Glaub mir, so teuer ist das nicht!
Ach und noch was, egal was zwischen euch ist, es gehört nicht hier hin, es gehört nirgend hin. Das ist euer privat kram!

 

[Vape]

Vape: Die Einrichtung wo ich dir letzten Sommer(?) geholfen habe war auch voll funktionsfähig. Ich weiß gar nicht mehr wie viel Stunden das waren, aber über die $20 Vultr Guthaben habe ich mich sicherlich gefreut. Die nutze ich übrigens hauptsächlich dafür, um mal die ein oder andere Anleitung zu schreiben oder einen Aufbau zu testen, führt hier aber glaube ich auch zu sehr ins OT. Das du dich gemeldet hast war kein Problem, aber wenn ich schreibe ich habe derzeit keine Zeit sollte man das akzeptieren können, dafür gibt es Firmen die Ihren Support anbieten oder dieses Forum.

Als "Kunden" sehe ich dich sicherlich nicht und möchte nochmals betonen, dass ich das hier bei Zeit gerne mal im Privatbereich mache und aushelfe (Communitygedanken), für alles andere gibt es (kostenpflichtige) Sophos Partner.

Ich finds traurig das man sowas als Erwachsene Menschen in der Öffentlichkeit breit treten muss. Du solltest mich von letzten mal kennen das ich keinen leer ausgehen lasse und zu meinem Wort stehe. Deinen Amazon Gutschein haste auch ohne wiederworte bekommen.

Deswegen standen das wort Kunde in "...."

Ich habe dich immer gefragt darf ich die tv Sitzung aufzeichnen um es das nächste mal selbst zu machen bzw ein video tutorial dafür zu machen um auch anderen usern zu helfen...

 

[DanFu]

Jetzt lass gut sein, euer zoff interessiert hier niemand!!
Dafür gibt es PN!
Glaubst du echt, dass er dir jetzt noch helfen wird?

 

[Vape]

Jetzt lass gut sein, euer zoff interessiert hier niemand!!
Dafür gibt es PN!
Glaubst du echt, dass er dir jetzt noch helfen wird?

Wie wäre es du hälst dich da einfach raus? Ich war ja bereit hier hilfe zu suchen. Ich wusste nicht das er auch hier ist und dazu was schreiben wird... dafür kann ich ja nichts... zudem schreiben wir bereitsper pn!

 

[DanFu]

Wie wäre es du hälst dich da einfach raus? Ich war ja bereit hier hilfe zu suchen. Ich wusste nicht das er auch hier ist und dazu was schreiben wird... dafür kann ich ja nichts... zudem schreiben wir bereitsper pn!

na dann kannst es hier ja lassen!

 

[Olaf16]

Das würde ich gerne tun aber da es ein Projekt ist das so viel genug zeit und geld frisst bei dem der erfolg noch ungewiss ist können qir aktuell nicht noch mehr investieren. Es hatte ja alles funktioniert. Es hat sich weder an der Hardware noch an sonst was geändert. Lediglich eine ip ist anders

Was für ein Projekt? Dieses kann man entweder richtig finanzieren oder lässt es bleiben, um ehrlich zu sein. Wenn dir Leute im Nacken sitzen wenn es nicht läuft, ist es umso wichtiger richtigen Support (24/7 oder zu normalen Geschäftszeiten) bei einem Sophos Partner bzw Systemhaus in der Nähe mit Erfahrung in dem Bereich zu haben. Das kostet aber man ist dann nicht alleine in Dunklen

Ansonsten hat DanFu ja schon erwähnt. Wenn sich die IPv4 geändert hat, kannst du ja mal schauen wo die alte eingetragen war und einfach umaendern (in der Theorie). Muss dann wohl an beiden Sophos eingerichtet werden.

 

[Luckysh0t]

Ich Plane zurzeit eine HW FW und stehe jetzt vor der Wahl des OS. Hatte erst OPNSense auf dem Schirm, allerdings gibt es mit dem Threat hier natürlich eine gute Anlaufstelle für Fragen zur Sophos. Da stellt sich mir die Frage welche ? Die UTM oder die XG.

Grüße Lucky

 

[DanFu]

Die UTM oder die XG.

Die UTM

 

[Vape]

Was für ein Projekt? Dieses kann man entweder richtig finanzieren oder lässt es bleiben, um ehrlich zu sein. Wenn dir Leute im Nacken sitzen wenn es nicht läuft, ist es umso wichtiger richtigen Support (24/7 oder zu normalen Geschäftszeiten) bei einem Sophos Partner bzw Systemhaus in der Nähe mit Erfahrung in dem Bereich zu haben. Das kostet aber man ist dann nicht alleine in Dunklen

Ansonsten hat DanFu ja schon erwähnt. Wenn sich die IPv4 geändert hat, kannst du ja mal schauen wo die alte eingetragen war und einfach umaendern (in der Theorie). Muss dann wohl an beiden Sophos eingerichtet werden.

Also ich hab das nu mal genauer angeschaut und beide utms neu installiert und soweit eingerichtet.
Das wan Interface der extern gehosteten sophos läuft im bridge Modus mit dem interface der red. Paar regeln in der firewall eingerichtet und in der home sophos ein neues interface mit der RED karte und der zweiten statischen ip belegt. Die ip kommt an meiner sophos zwar an aber an der falschen stelle.
Problem ist das sobald ich die ip eintrage und das dazugehörige gateway geht der Link auf error. Wenn ich Gateway raus mache ist der error weg

 

[Olaf16]

Tja, da scheint wo irgendwo ein Fehler zu sein

 

[[SoD]r4z0r]

Hast den Client als lokalen Admin gestartet?

Gute Frage. Ich nutze das Installationssetup der UTM und habe die VPN-Verbindung über das Tray-Icon gestartet.

Erreichst du die Sophos aus dem Internet problemlos? Also z.b. das Benutzerportal kannst du aufrufen?
Und der Eintrag im Log verwundert mich etwas: [AF_INET]192.168.xxx.xxx:443
Ist das die IP-Adresse welches dein WAN-Interface and er Sophos hat? Von welchem Punkt im Netzwerk versucht du auf die Sophos zuzugreifen?

Das Benutzerportal habe ich nur im LAN aktiviert. Der Hinweis mit der IP war richtig, danke - und der Fehler saß vor dem Rechner
Habe mein DynDNS doppelt aktiviert gehabt - standardmäßig in der Fritzbox und fälschlicher Weise die Tage noch in der Sophos aktiviert. DynDNS in der Sophos deaktiviert und Problem behoben

Aber dadurch bedingt das meine Sophos mit ner privaten IP hinter der Fritzbox hängt passt die private IP auf dem WAN-Interface schon.

 

[Vape]

Tja, da scheint wo irgendwo ein Fehler zu sein

Kann man sich sowas nicht sparen?

 

[Opticum]

1) Grundsätzlich muss die Sophos erstmal über eine funktionierende Internetverbindung verfügen. Wenn das nicht gegeben ist, funktioniert der Rest auch nicht!
2) Bei der zweiten IP, wenn sich diese im selben Subnetz wie die erste IP bei Vultr befindet (also im selben /22 oder /24 Netz), dann muss auf der Heim Sophos auf dem RED Interface bei der Netzmaske der zweiten IP Adresse die /32 genommen werden, ansonsten funktioniert das Routing nicht mehr.

Bei Vultr funktioniert das ganze so, bei anderen vServer Anbietern kann das Probleme machen, daher würde ich mitterweile die beiden RED Interfaces in eine gemeinsames privates Netz packen (z.B. 172.24.24.10 für RED Interface vServer und 172.24.24.11 für RED Interface "Zuhause") .. auf der vServer RED muss dann Masquarading angelegt werden damit das Interface zuhause dort drüber raus kann und eingehende NAT Regeln um den eingehenden Traffic der zweiten IP auf die RED IP (172.24.24.11) per DNAT umzuleiten, natürlich auch Multipath usw. Bei dem WAN Interface der vServer RED muss eine zusätzliche IP Adresse eingetragen werden (WENN man das 172.24.24.0/24 Transfernetz nutzt, und nur dann!) - eben die zweite vServer IPv4. Das ganze funktioniert dann ohne Bridge und so, als ob man zwei Router hintereinander am Laufen hat. Daher ist die Einrichtung dann auch genau so zu machen.

Dies ALLES setzt voraus das die Internetverbindung der Sophos UTM zuhause grundsätzlich funktioniert, d.h. ohne Interface Error usw. Wie das bei Kabel Anbietern in 2017 läuft -> Keine Ahnung

Gründsätzlich ist es hilfreich wenn hier Screenshots und komplette Beschreibungen in Form von IPs, NAT Regeln und Fehler vorliegen. Es hilft nichts wenn geschrieben wird "es funktioniert nicht"

 

[Olaf16]

Gibt es eig. nen Trick inzwischen, damit Sophos nicht auf jedem Interface das WebAdmin anbietet? Ich rede jetzt nicht darüber, dass man unter Managemnt bei WebAdmin Settings das LAN Netzwerk (Oder eine IP, Bereich, ... ausm internen Netzwerk) angibt. So kommt man ja im Normalfall auch nicht über WAN/DMZ/WLAN/... drauf, aber wäre trotzdem interessant ob man es nicht doch wirklich nur auf eine Schnittstelle begrenzen kann
Mein letzter Stand von 2014/2015 ging das nicht. In Sophos Community findet man meist auch ältere Beiträge (Teils auch noch als es ASG hieß)

 

[TCM]

Wie, das geht nicht? Oh mann...

Normalerweise einfach in der Webserver-Config auf eine Adresse festsetzen. Wie gut das bei dem Kinderkram möglich ist, müsstest du rausfinden.

 

[Olaf16]

Du kannst da ne IP Einstellen bzw. ein Netzwerkbereich. Aber anbieten tut er es weiterhin auf allen Interfaces. Kenne ich z. B. von WatchGuard und anderen FWs so, dass man wirklich das anbieten auf ein Interface einstellen kann.
Theoretisch, wenn sich die IPs ähneln. Habe jetzt gerade eben wieder getestet - 192.168.2.254/24 WAN, 192.168.0.254/16 LAN/Internal. Eingerichtet 192.168.1.10 für Zugriff auf WebAdmin. Geht auf beiden Interfaces bzw. mit beiden IPs. Natürlich nicht möglich, wenn gescheit konfiguriert ist und die Interfaces komplett anderes IP Netz haben. War aber halt jetzt wieder nur eine überlegung/frage aus Interesse

 

[TCM]

Unter /var/chroot-httpd/etc/httpd/httpd.conf liegt, was nach einer typischen Apache-Config aussieht. Dort einfach eine passende Listen-Direktive eintragen?

Ansonsten ist das natürlich mal wieder ein Hammer, dass eine auf Sicherheit ausgelegte "Appliance" es nicht ermöglicht, _die_ grundlegendste Einstellung zur Sicherheit überhaupt vorzunehmen, nämlich Angriffsfläche zu reduzieren.

Edit: Ähm, 192.168.2.254/24 und 192.168.0.254/16 auf zwei verschiedenen Interfaces zu konfigurieren, die nicht gebridgt sind, ist aber falsch.

 

[DanFu]

Kannst du du nicht anstatt eines Netzes einen Adapter auswählen?


Gesendet von iPhone mit Tapatalk

 

[Eye-Q]

Ansonsten ist das natürlich mal wieder ein Hammer, dass eine auf Sicherheit ausgelegte "Appliance" es nicht ermöglicht, _die_ grundlegendste Einstellung zur Sicherheit überhaupt vorzunehmen, nämlich Angriffsfläche zu reduzieren.

Doch, die Sophos UTM ermöglicht das natürlich, nur eben nicht auf Schnittstellen (eth0/eth1/eth2/eth3) eingeschränkt, sondern auf Netzwerke/Hosts, die an irgendwelchen Schnittstellen (also z.B. 192.168.0.0/24 oder auch ein einzelner Host 192.168.0.222/24) hängen. Dadurch, dass getrennte Netzwerke an getrennten Schnittstellen sich normalerweise nicht überschneiden dürfen (sonst weiß die Routing-Komponente der UTM nicht, wohin mit den Paketen),hat das den selben Effekt.

Edit: Ähm, 192.168.2.254/24 und 192.168.0.254/16 auf zwei verschiedenen Interfaces zu konfigurieren, die nicht gebridgt sind, ist aber falsch.

So sieht das aus, und deswegen kann man auch von der 192.168.1.10/16 auf die 192.168.2.254 zugreifen, die ja im Netzwerk 192.168.0.254/16 enthalten ist.

Kannst du du nicht anstatt eines Netzes einen Adapter auswählen?

Nein, in der GUI kann man eben nur einstellen "WebAdmin darf nur von Host/Netzwerk xyz (oder eben von überall) erreicht werden".

Solange das halbwegs sauber konfiguriert ist, ist das dann de facto eine Einschränkung auf eine (oder mehrer) Schnittstelle/n. Beispiel für ein Doppel-NAT hinter einem anderen NAT-Router:
- WAN auf eth0: 192.168.2.254/24
- LAN auf eth1: 192.168.0.254/24
- DMZ auf eth2: 192.168.1.254/24

Wenn man dann im WebAdmin einstellt, dass der nur aus dem Netzwerk 192.168.0.0/24 erreichbar ist, ist der weder aus dem WAN- noch aus dem DMZ-Netzwerk erreichbar, sondern nur über eth1 aus dem LAN.

 

[fdsonne]

Die UTM hört MGMT seitig auf allen Interfaces mit allen IPs... Das kann man so ohne weiteres aus nicht abstellen im Moment.
Ob das nun als Problem angesehen wird oder nicht, dürfte viel eher eine Frage des Vertrauens in das Produkt sein... Wenn mich nicht alles täuscht, schreibt die UTM eine Firewall Rule für die WebAdmin Access-Geschichten. Sprich die Frage ist, traut man der UTM überhaupt über den Weg, was Firewallseitig getätigt wird? Weil formal stellt sich die Frage nach dem WebAdmin gar nicht... Entweder man traut der Firewall -> oder man nutzt ein anderes Produkt. Das gleiche gilt auf für SSH und andere Services, die das Dingens anbietet...

 

[TCM]

Die Frage ist nicht, vertraut man der Firewall, sondern vertraut man auch seiner eigenen Config bei jedem Schritt, den man beim Ändern macht? Dienste erst gar nicht auf Interfaces anzubieten, wo sie nicht hingehören, ist ein grundlegender Schritt im Sicherheitskonzept, egal ob dann noch eine Firewall läuft oder nicht.

Das Denken in Schichten, was Sicherheit angeht, besteht eben gerade nicht aus "Ich hab ja diese Schicht, also brauch ich auf der anderen Schicht nichts für Sicherheit zu tun". Jede Schicht zählt.

 

[Olaf16]

@ fdsonne
Meiner Konfiguration vertraue ich natürlich. Wie gesagt, das oben genannte Beispiel ist mehr so mal kurz zum Test eingerichtet und Gedankenspielerei (Ist ja kein Problem im Testnetzwerk ner VM die Interfaces aufs interne LAN zu geben um die Zugriffe zu testen). Wer sowass Produktiv setzen würde, dem kann man nicht mehr helfen (Mal davon abgesehen Standardport 4444, SSH usw. ändern bzw. abschalten sowieso Standard sind bei so einer Sicherheitskomponente...)

Es geht, wie @ TCM, um die Frage zwecks der Möglichkeit noch tiefer "im System" rumzufummeln was solche Settings angeht zwecks mehr Sicherheit. Das ist unter anderem einer von wenigen Punkten die mich halt noch an der Sophos stört. An sich aber doch eine gute Firewall mit der ich Privat und Geschäftlich doch overall zufrieden sein kann.

 

[VirtuGuy]

@VirtuGuy
kennst du Lesestoff über die Thematik, WIE der Angreifer aus der gekaperten VM herraus über die PT-Implementation weiter agiert!? Das würde mich zumindest rein informativ her interessieren... Bzw. ob und in welchem Maße derartige Vektoren schon ausgenutzt wurden!?

Eine gute Quelle dafür sind Blackhat oder Openstack Konferenzen, beide haben ein Archiv auf YT. In Verbindung mit Xen gab es da 2011 mehrere ausgezeichnete Vorträge für Angriffe aus der VM heraus (von iseclab.org, ebenfalls eine gute Quelle). Ansonsten einfach mal nach "bypass iommu" suchen, da gibt es immer wieder neue Zusatzpapiere zu bestehenden Arbeiten.

 

[Olaf16]

Habe ich nur an meine Firewall grad "Probleme" mit Endpoint Protection? Er zeigt mir alle PCs/Server als Offline an. Habe mal Registration Token gelöscht und kann jetzt nicht mehr die .exe herunterladen - davor schon aber nach der Installation auf neuem Notebook meckerte er wegen Registrierung...

 

[Vape]

1) Grundsätzlich muss die Sophos erstmal über eine funktionierende Internetverbindung verfügen. Wenn das nicht gegeben ist, funktioniert der Rest auch nicht!
2) Bei der zweiten IP, wenn sich diese im selben Subnetz wie die erste IP bei Vultr befindet (also im selben /22 oder /24 Netz), dann muss auf der Heim Sophos auf dem RED Interface bei der Netzmaske der zweiten IP Adresse die /32 genommen werden, ansonsten funktioniert das Routing nicht mehr.

Bei Vultr funktioniert das ganze so, bei anderen vServer Anbietern kann das Probleme machen, daher würde ich mitterweile die beiden RED Interfaces in eine gemeinsames privates Netz packen (z.B. 172.24.24.10 für RED Interface vServer und 172.24.24.11 für RED Interface "Zuhause") .. auf der vServer RED muss dann Masquarading angelegt werden damit das Interface zuhause dort drüber raus kann und eingehende NAT Regeln um den eingehenden Traffic der zweiten IP auf die RED IP (172.24.24.11) per DNAT umzuleiten, natürlich auch Multipath usw. Bei dem WAN Interface der vServer RED muss eine zusätzliche IP Adresse eingetragen werden (WENN man das 172.24.24.0/24 Transfernetz nutzt, und nur dann!) - eben die zweite vServer IPv4. Das ganze funktioniert dann ohne Bridge und so, als ob man zwei Router hintereinander am Laufen hat. Daher ist die Einrichtung dann auch genau so zu machen.

Dies ALLES setzt voraus das die Internetverbindung der Sophos UTM zuhause grundsätzlich funktioniert, d.h. ohne Interface Error usw. Wie das bei Kabel Anbietern in 2017 läuft -> Keine Ahnung

Gründsätzlich ist es hilfreich wenn hier Screenshots und komplette Beschreibungen in Form von IPs, NAT Regeln und Fehler vorliegen. Es hilft nichts wenn geschrieben wird "es funktioniert nicht"

ich hatte ja bereits erwähnt das die internetverbindung funktioniert. es geht auch soweit alles und die zweite ip kommt auch an meiner homesophos an da man sie anpingen kann auf dem rechner in dem 10.10.10.100 netzwerk. sobald ich bei dem Interface auf der homesophos den haken bei default Gaterway rein mache geht der link auf fehler.

 

[Opticum]

Vape: Firewall Regel auf der VM Sophos die den Traffic VON der zweiten IP nach ANY erlaubt, und Traffic von ANY zur zweiten IP. Ports nach Bedarf oder "Any". Kein NAT auf der externen VM Sophos von zweiter IP auf WAN.
Wie gesagt, setz die WAN IP und/oder Gateway IPv4 auf der Heim Sophos in ein /32 Netz statt /22 oder /24. Wenn sich die Haupt IP und die zweite IP auf dem vServer im selben Subnetz befinden gibt das Probleme. Und ohne Regelwerk hier als Screenshot oder ähnlichem ist es schwierig was dazu zu sagen.

 

[Master Luke]

Hallo zusammen,
ich habe mal die Posts von 01/16 bis jetzt durchgelesen (~25 Seiten) und nachwievor 2 Fragen:

Wieso müssen es unbedingt Intel NICs beim Selbstbau sein?

Mitte letzten Jahres fragte jemand, ob folg. Kiste funktioniert: Zotac ZBOX CI323 nano Preisvergleich
Laut den GH-Bewertungen "ja". Wieviel RAM ist zu empfehlen und wie groß sollte die SSD sein?

Ich hätte sonst eine UTM 120 o.ä. gekauft, finde aber den Selbstbaugedanken und den Stromverbrauch sehr gut. Zudem ist die verlinkte Kiste deutlich leistungsfähiger als eine HW Sophos dieser Preisklasse.
Bei mir gehts um eine Telekom-Hybridleitung, welche über 20mbit down und 9mbit up nicht hinaus kommt.

danke Euch!

 

[TCM]

Weil Intel > alles andere. Du kannst entweder diese Erfahrung über Jahre selber machen oder einfach den Leuten glauben, die das bereits getan haben.