[Sammelthread] Sophos UTM-Sammelthread

sirram schrieb:
Bis hier hin sollte der Aufbau theoretisch funktionieren. Praktisch jedoch noch nicht :d
Zum Vergrößern anklicken....
Was heißt "Praktisch jedoch nicht"? Was versuchst Du, und was gibt es für Fehler(meldungen)? Wenn Du eine externe IP-Adresse pingen willst, in der Firewall-Regel aber nur Websurfing erlaubt hast, funktioniert Ping natürlich nicht. Wie sieht deine Firewall-Regel aus? Zum Testen kannst Du erstmal "Any" für Internal nach External erlauben,

sirram schrieb:
Ich würde auf der UTM dann einen DHCP Dienst laufen lassen mit dem sich die Clients verbinden - die FritzBox kann ja nicht weiter als DHCP Server betrieben werden, richtig?
Zum Vergrößern anklicken....
Die Fritzbox kann nicht als DHCP-Server für das Netz hinter der Sophos UTM betrieben werden, das ist richtig.

sirram schrieb:
Eine Konfiguration á la FritzBox -> UTM -> FritzBox -> Switch -> Clients ist nicht möglich?
Zum Vergrößern anklicken....
Nein, sonst könnten die Clients ja einfach die Fritzbox als Standardgateway eingetragen bekommen und würden die UTM komplett umgehen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@DanFu: Kommt da noch was, ober war das einfach nur substanzloses Gemeckere?
 
DFFVB schrieb:
@DanFu: Kommt da noch was, ober war das einfach nur substanzloses Gemeckere?
Zum Vergrößern anklicken....

"Macht man nicht" ist keine technische aussage ;)

da ist garnichts langsam. meine IPS läuft auch voll aktiv mit allen regeln.
probiere es aus, lässt sich super virtualisieren. 4cores, 3-4gb ram.
Als netzwerktreiber kannst in der qnap die virtio-treiber sogar nehmen.

Auch das on the fly snapshoten in der virtualisation-station geht im betrieb wunderbar so das du die sophos-vm regelmäßig wegsichern kannst ohne was tun zu müssen.
 
Zuletzt bearbeitet:
"Macht man nicht"
- Sicherheitsaspekte bei Virtualisierung einer Firewall auf einem NAS.
Auch wenn es funktioniert, heißt es noch lange nicht das es best practise ist oder sicher. Was der Kollege "DanFU" vermutlich damit beschreiben wollte.

Von praktibablen Aspekten mal ganz zu schweigen;
- Fällt das NAS aus, ist auch die Firewall und somit die Internetverbindung weg
- Performance bei gleichzeitiger Nutzung NAS / Firewall

Es kneift sich halt "etwas" eine "dicke" Enterprise Firewall einzusetzen, nur um diese dann auf einem QNAP zu virtualisieren.

Ich würde das ganze in dieser Art und Weise auch etwas skeptisch sehen, als Heimanwendungsszenario aber ggf. durchgehen lassen wenn man sich der Nachteile bewusst ist und diese in Kauf nehmen will.
 
Zuletzt bearbeitet:
Opticum schrieb:
"Macht man nicht"
- Sicherheitsaspekte bei Virtualisierung einer Firewall auf einem NAS.
Auch wenn es funktioniert, heißt es noch lange nicht das es best practise ist oder sicher. Was der Kollege "DanFU" vermutlich damit beschreiben wollte.

Von praktibablen Aspekten mal ganz zu schweigen;
- Fällt das NAS aus, ist auch die Firewall und somit die Internetverbindung weg
- Performance bei gleichzeitiger Nutzung NAS / Firewall

Es kneift sich halt "etwas" eine "dicke" Enterprise Firewall einzusetzen, nur um diese dann auf einem QNAP zu virtualisieren.

Ich würde das ganze in dieser Art und Weise auch etwas skeptisch sehen, als Heimanwendungsszenario aber ggf. durchgehen lassen wenn man sich der Nachteile bewusst ist und diese in Kauf nehmen will.
Zum Vergrößern anklicken....

Sorry, aber so eine Antwort kannst Du Dir auch schenken... Typen wie Du und DanFU machen die Foren-Kultur kaputt.

Nochmal kurz zum rekapitulieren: Worum gehts in einem Forum? Austausch bzw. Know-How Transfer... von Dir kommt nix...

Welche Sicherheitsaspekte? Bitte konkret werden! Muss im privaten Bereich eine Best Pratice (btw mit c) umgesetzt werden? Mitnichten. "Fällt das NAS aus, ist auch die Firewall und somit die Internetverbindung weg" - Was soll der Quatsch? Ein Router oder eine Firewall kann genauso gut ausfallen, und jeder der sowas macht wird noch einen alten Router rumfahren haben...

Die Performancesache könnte sein, dazu muss man aber auch genau wissen, was gemeint ist, bzw. was gemacht wird...


Was mir einfach missfällt ist dieser Oberlehrer-Tonfall, der aber den eigtl. Sinn und Zweck von so einem Forum voll und ganz aus den Augen verliert...

@Fatality: Abermals danke.
 
DFFVB schrieb:
Sorry, aber so eine Antwort kannst Du Dir auch schenken... Typen wie Du und DanFU machen die Foren-Kultur kaputt.

Nochmal kurz zum rekapitulieren: Worum gehts in einem Forum? Austausch bzw. Know-How Transfer... von Dir kommt nix...

Was mir einfach missfällt ist dieser Oberlehrer-Tonfall, der aber den eigtl. Sinn und Zweck von so einem Forum voll und ganz aus den Augen verliert...
Zum Vergrößern anklicken....

hoffentlich bist du nie drauf angewiesen, von jemandem etwas zu lernen in deinem Leben.... oder bezahlst gut dafür :)

p.s. ein "Transfer" ist nicht das beantworten von Fragen, sondern durchaus auch das Vermitteln von Erfahrungen. Eventuell kennste sowas ja aus deinem Elternhaus ... eventuell




... geschrieben von unterwegs (Handy)
 
@DFDVB: nunja, der Ton macht die Musik. Vielleicht solltest Du auch noch einmal in Dich gehen, ob es angemessen ist zu erwarten, dass jemand Dir die Grundlagen von IT-Sicherheit mundgerecht serviert. Und dann noch mit banalen Typos rumzustänkern appelliert definitiv nicht an die Hilfsbereitschaft der Kollegen hier.

Und Opticum ist zum Beispiel da ganz ganz weit vorne - wenn ich das noch richtig im Kopf hab, hat der sich bisweilen sogar mit Teamviewer und Co bei Hilfesuchenden eingelogged und dann sogar bei der Konfiguration / Setup komplexer Regelwerkw geholfen.

Sowas machen aber die Leute FREIWILLIG. Und wenn man eine gewisse Eigeninitiative (Recherche) und Lernwilligkeit erkennen kann. Wer einfordert, stänkert, schmollt und/oder rummeckert, wird schnell ignoriert. So einfach ist das.

Zur Sache: die UTM ist eine Firewall und dazu gedacht, die fette „line of Defense“ zur bösen Welt da draußen zu sein. Da - nach der reinen Lehre - sämtliche Attacken dann auf die Box einprasseln, auf der die UTM läuft, sollte diese Box möglichst sicher (Hardware & software) sein. Das gilt für die Fertig-NASen wie Qnap & Co. eben nicht. Die sind eher gerade nicht dafür gedacht, den Attacken direkt ausgesetzt zu sein sondern für den Einsatz eben genau HINTER so einer schönen, warmen und robusten Firewall wie z.B. der UTM. Auch die Virtualisierungsfeatures und Absicherung des Hypervisors kommt an die Profis wie ESXi nicht heran. Darum würde niemand hier auf die Idee kommen, seine Netzwerksicherheit (allein) einer Qnap mit einer virtualisierten UTM drauf anzuvertrauen.

Auch wenn man eine UTM virtualisiert betreibt, ist eine der best practice Regeln z.B. dass auf dem Host keine (sonstigen) VMs oder Dienste (!) mit Kontakt zum internen Netz laufen sollten (um einen Angriff auf diese VMs „von innen“ und einen anschließenden Ausbruch aus diesen VMs zur Übernahme des Hypervisors bzw. Kompromittierung der Firewall-VM auszuschließen). Und auch das läuft schon dem Sinn und Zweck eines Fertig-NAS entgegen...

So viel zur reinen Lehre.

Für Zuhause kann man aber Zwischenstufen basteln, z.B. wenn die gute alte Fritzbox schon die erste Firewall spielt und man „dahinter“ dann weiter macht mit seinem Nas+UTM. Dann stellt sich aber halt wieder die Sinnfrage: wenn der (zusätzliche) Schutz damit nicht wirklich taugt, wozu dann überhaupt ne UTM zusätzlich ins Netz hängen... dann bleibt halt Lern-Faktor oder ggf. Filter/ Routing, was sich mit dem Fritz-Ding nicht realisieren lässt.

Lange Rede, kurzer Sinn: wenn man es richtig machen will, sind Firewalls dedizierte Maschinen mit einem mögjlichst geringen „Footprint“ aus sonstigen Applikationen, um eben die möglichen Angriffsvektoren zu minimieren. Jeder zusätzliche Dienst ist ein Sicherheitsrisiko.
 
Zuletzt bearbeitet:
DFFVB schrieb:
Sorry, aber so eine Antwort kannst Du Dir auch schenken... Typen wie Du und DanFU machen die Foren-Kultur kaputt.

Nochmal kurz zum rekapitulieren: Worum gehts in einem Forum? Austausch bzw. Know-How Transfer... von Dir kommt nix...
Zum Vergrößern anklicken....

Wegen Leuten wie dir machen mir die Foren immer weniger Spass. Was du als "Know-How Transfer" bezeichnest gleicht einer Einstellung zum Anspruch von Vorkauen von Informationen ohne Gegenleistung oder viel Eigeninitiative. Vielleicht verwechselst du mich auch mit einem IT Dienstleister den du dafür gerne stundenweise bezahlen darfst.
Falls dich der Sinn einer Firewall überfordert würde ich dir empfehlen bei einer Fritzbox zu bleiben und regelmäßig die von AVM bereitgestellten Updates durchzuführen. Das ist dann best-practise für die meisten Heimanwender und du kannst nicht viel falsch machen.

Jüngste Beispiele wie Spectre und Meltdown zeigen wieder wieso Firewalls am Besten auf dedizierter Hardware laufen sollten und nicht bunt gemischt. Der Heimanwender wird hiervon wieder weniger betroffen sein als Firmen oder Behörden mit Interesse an Datenschutz und Abwehr von Industriespionage.
 
Zuletzt bearbeitet:
Danke, hat mir sehr weitergeholfen. Noch eine Frage zur DynDNS. Habe eine Domain auf changeip und würde sie gerne hinzufügen damit ich immer auf meinen webserver komme. Muss ich da DNS custom nehmen? Und was müsste ich da einsetzen?
 
@pumuckl
Eben gerade weil ich lernen will, bin ich hierher gekommen... Und vermitteln von Erfahrungen: Ja das kenne ich sehr gut aus meinem Elternhaus. Meine Mutter hat nämlich nicht gesagt: "Finger weg von der Herdplatte, weil is nicht." Sondern hat meine Hand genommen, und auf eine lauwarme Platte gedrückt... Damit hatte ich eine Erfahrung, und konnte verstehen ;)

@besterino
Genau, der Ton macht die Musik. Vlt. sollten wir mal kurz rekapitulieren: Wir sind hier in einem Forum. Hier wird sich ausgetauscht. Ein Austausch beinhaltet per se einen Know-How Transfer. Kommt drauf an zwischen wem. Gibt Experten die sich austauschen, und Novizen die gerne von dem Erfahrungsschatz der Experten profitieren. Diesen nicht zu teilen, sondern hochmütig auf die Novizen herabzuschauen, hilft keinem. Dafür ist ein Forum auch der falsche Ort. Insbesondere ein Sammel-Thread. Ein extra Thread, geschlossenes Forum, oder noch besser Mailingliste ist dafür passender. Es hat auch keiner gesagt, dass man bei Adam und Eva anfangen soll, aber Antworten wie: "Wenn das NAS ausfällt, ist die Firewall weg." bringen mir wenig. Jede Technik kann ausfallen. Zumal hier konkret DanFu schon wenig hilfreich war, ich schrieb "lass dir doch nicht alles aus der Nase ziehen", da war dann das weitere "kann man so machen, ist dann halt scheiße" der Tropfen der das Fass zum Überlaufen gebracht hat.

Und genau das was Du geschrieben hast, hilft mir hier sehr, Danke an der Stelle! Die Aussage, dass der Hypervisor vom QNAP nicht mit einem ESXI (und vermutlich proxmox) vergleichbar ist, ist ja durchaus nachvollziehbar. Meine Hauptmotivation wäre auch Deep Packet Inspection um so den Datenverkehr kontrollieren zu können. Sofern ich eine Fritzbox hätte, müsste ich aber das NAT im Sophos deaktivieren?
Im zweiten Schritt stellt sich die Frage, was man stattdessen für Hardware nehmen kann? Die Zotac n323 Boxen sind ja erstmal das günstigste, aber mit Realtek NICs soll man ja auch keinen Spaß haben... blieb mE nur sowas.

Muss man sich halt im nächsten Schritt fragen, ob es einem das dann wert ist als durchschnittlicher Heimnutzer... auch hier kann ggf jemand aus den praktischen Erfahrungen im Heimnetz berichten...

Danke aber schon mal an der Stelle, für erste Anhaltspunkte.

@Opticum
Also ich hab mich schon mit der Thematik beschäftigt, bevor ich aber ins Detail gehe, wollte ich grundsätzliches abklären... ein Punkt ist wohl der Hypervisor von QNAP vs ESXI... und nein für einen IT-Dienstleister halte ich Dich nicht... dazu waren wir wie gesagt noch zu abstrakt unterwegs.... Wie Du darauf kommst, dass mich der Sinn der Firewall überfordert verstehe ich auch nicht so ganz, insbesondere da ja Sophos UTM einiges mehr in petto hat (AntiViren, Zertifikate für Clients etc. pp.), aber ja Meltdown und Spectre unterstützen die These der dedizierten Hardware.
 
DFFVB schrieb:
@besterino
Genau, der Ton macht die Musik. Vlt. sollten wir mal kurz rekapitulieren
Zum Vergrößern anklicken....

Darüber diskutier' ich nicht. Entweder der Ton passt mir oder nicht nicht. Und Deinen - das war hoffentlich deutlich, fand ich unangemessen (und ich habe den Thread gelesen). Passt mir der Ton nicht, bin ich ja zum Glück frei, meine Konsequenzen daraus zu ziehen. Mach ich IRL genauso und fahre recht gut damit. Die Lebenserfahrung zeigt, dass die, die's beim 1. Hinweis nicht kapieren, es auch beim 2. nicht tun. Um mich mit solchen Personen herumzuärgern - wenn ich nicht muss (Job, Familie) - ist mir meine Lebenszeit zu schade.

Letzter Punkt dazu: Foren leben von den Experten (zu denen ich mich nicht zähle), nicht von den Anfängern. Gehen die Experten, weil sie die Schnauze voll haben, ist das Forum wert-/sinnlos und 'ne Laberecke. Davon gibt's im Internet unendlich, gute Foren (wie dieses) mit netten "Experten" (wie hier) sind seltene Perlen.

Muss man sich halt im nächsten Schritt fragen, ob es einem das dann wert ist als durchschnittlicher Heimnutzer... auch hier kann ggf jemand aus den praktischen Erfahrungen im Heimnetz berichten...
Zum Vergrößern anklicken....
Das bzw. das "warum" sollte man sich grundsätzlich möglichst früh für sich selbst fragen. Wenn man das nicht beantworten kann, fällt's in die Kategorie "Spieltrieb".

Dabei ist Spieltrieb völlig ok, nur so lernt man was. Aber man muss dann eben aufpassen, dass man sich mit seinem Spielzeug das "Nicht-Spielzeug" nicht kaputt macht --> "Lab-Umgebung" = möglichst wenig Verbindung zum Rest der Infrastruktur. Wer sich daran nicht hält, selbst Schuld & kein Mitleid.
 
Zuletzt bearbeitet:
Vermutlich wäre es auch sinnvoll den Startpost auf Seite 1 zu erweitern/aktualisieren. Viele Fragen kommen immer wieder auf oder es werden neue Threads erstellt.
Ich würde davon abraten eine Sophos UTM produktiv zu nutzen wenn man nicht um die Gefahren und Konzepte Bescheid weiß die einen sicheren Betrieb ermöglichen. Wie besterino schon schrieb "Lab-Umgebung" = möglichst wenig Verbindung zum Rest der Infrastruktur.

Das Konzept einer Firewall und sicherer Infrastruktur zu vermitteln sprengt glaube ich den Rahmen von ein paar Forum Posts. Dafür gibt es genug Online Resourcen. Manchmal muss man dann einfach bestimmte Dinge so in zwei Sätzen hinnehmen, da die vernünftige Erklärung viel Zeit kosten würde.
Wenn es Gefahren (Sicherheitsprobleme) in bestimmten Konstrukten gibt und darauf hingewiesen wird, ist es halt einem selbst überlassen diese zu hinterfragen und zu recherchieren. Dann kann immer noch selbst entschieden werden ob einem das Risiko bewusst und wert ist. Das hat nichts mit Arroganz oder von oben herab zu tun.

@DFFVB Den "Oberlehrer-Tonfall" kann ich nicht ganz nachvollziehen, wenn dir meine Antworten zu kurz erscheinen, mag das daran liegen, das ich nicht immer die nötige Zeit habe in aller breite ein Thema für jemanden zurecht zu legen. Mit den Hinweisen die von den Kollegen hier im Forum gegeben werden sollte aber nach kurzem Googlen selbst entsprechendes Material gefunden werden um bestimmte Dinge nachzuvollziehen. Der Suchbegriff "Sicherheitskonzept Firewall" bietet schon einige Treffer. Z.B. vom BSI https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/Konz_SiGw_pdf.pdf?__blob=publicationFile - Es ist mühselig Leuten Netzwerksicherheit zu vermitteln, wenn etablierte Konzepte ständig hinterfragt werden (wieso die Firewall dediziert laufen sollte und nicht auf einem NAS). Dafür ist mir meine Zeit zu schade. Deshalb streite ich auch nicht mehr über Sinn oder Unsinn 5 Watt Stromverbrauch zu sparen weil man die Festplatte täglich 3 Minuten in den Standby schickt. Das ist dann persönliches dafür oder wieder, aber hat nichts mit sicherem und zuverlässigem Betrieb zu tun.

Meine "2 cent": Wenn es Fragen zum grundsätzlichen Betrieb gibt (und das hier ist halt der Sophos UTM Sammelthread, nicht der ESXI/Proxmox Thread, oder was gibt es bei der Virtualisierung für Vor-/Nachteile), z.B. ob man für IPv6 ausgehendes NAT braucht oder nicht .. oder manchmal vielleicht doch .. dann ist ein Forum eine super Anlaufstelle, das hab ich selbst auch schon in umfänglicher Weise genutzt in meiner Astaro SG (jetzt Sophos UTM) Einarbeitungsphase.
 
Zuletzt bearbeitet:
@besterino /Opticum
Klar, den Ton nimmst Du subjektiv wahr... Ich meine allerdings auch reflektiert genug zu sein, als, dass ich Eingangs neutral war, gebe aber zu, dass ich ggf. aufgrund der sarkastischen Antwort von DanFu ("Glückwunsch"), bei Opticum etwas überreagiert zu haben... der Hinweis, dass sich potente Sicherheitslösungen mit kastrierter Hardware zu kneifen scheine, stieß mir in ein ähnliches Horn, insbesondere mit der jovialen Genehmigung für den Heimbereich und dem unbelegten Hinweis auf Sicherheit....

Aber ja, das ist auch ein generelles Problem: Es gibt Leute die haben Wissen, und es gibt Leute denen fehlt Wissen. Allzu häufig ist es so, dass man mit nichtssagenden Antworten abgespeist wird, bzw. auch, dass Leute die Beiträge gar nicht erst lesen, und dann in "Drive-By" Manier Halbwissen weitergeben, Klassiker: "Ein Raid ist kein Back-Up". Ich halte es in so einem Fall für besser, gar nichts zu sagen, weil eine unbegründete Antwort ist noch unbefriedigender, als gar keine. Ich finde auch, dass das zu einem gewissen Grad dazu gehört. Ich selber lese auch öfter Posts wo ich mir an den Kopf fasse, ich antworte allerdings nur, wenn ich Zeit und Lust habe, auch tatsächlich Wissen weiter zu vermitteln. Das meine ich auch mit Foren-Kultur. Hinweise / FAQ am Anfang eines solchen Threads sind sicherlich hilfreich, Missverständnisse wie dieses von vornherein zu minimieren, da stimme ich Dir zu Opticum. Ich muss aber auch sagen, dass von einem Certified Engineer mehr erwartet werden kann als "wenn das NAS kaputt geht hast Du kein Internet mehr", das kann bei einem Qotom von AliExpress auch jederzeit passieren.

Und auch Aussagen wie: "ist es halt einem selbst überlassen diese zu hinterfragen und zu recherchieren. Dann kann immer noch selbst entschieden werden ob einem das Risiko bewusst und wert ist." helfen nur äußerst bedingt weiter... denn gerade weil ich recherchiert habe und nix dazu gefunden habe, wende ich mich ja an das Forum, und gerade weil ich es selbst entscheiden will, muss ich mich informieren...

Aber ja, ich verstehe auch, wenn man nicht jedem alles immer erklären kann oder will... ich dachte halt, dass ein Sammelthread dafür geeignet sei, ansonsten hätte ich einen neuen aufgemacht ;-) Ich bin auch sicherlich nicht der letzte der auf so eine schlaue Idee kommt... daher kann man da ja auch kompakt sagen warum nicht, bzw. sich mal einer die Mühe machen, das für die n00bs zur erklären, worauf man dann verlinken kann, fängt ja jeder mal klein an...

P.S.: Danke noch für den Link zum BSI!
 
Zuletzt bearbeitet:
DFFVB schrieb:
"wenn das NAS kaputt geht hast Du kein Internet mehr", das kann bei einem Qotom von AliExpress auch jederzeit passieren....!
Zum Vergrößern anklicken....

Nunja, aber Dein Vergleich hinkt.

Wenn man auf die Firewall verzichten muss, weil das NAS n neustart braucht oder einen Fehler hat, dann ist die Firewall unbrauchbar.
Hat die Firewall an sich ein Problem, weil die Software oder bei einem dedizierten System die Hardware ein Problem hat, betrifft es nur das 1 System - nicht 2 oder mehr.

Warum auch immer die Hersteller angefangen haben, jedes o815 Heimnas/SoHo Gerät mit unnötigen Features und damit Sicherheitsrisiken auszustatten ist mir persönlich immer noch ein Rätsel.

Eine Firewall gehört perse nicht auf ein NAS - zumal es auch noch auf die Leistung des NAS an sich ankommt.
Eine virtualisierte Firewall auf einem ESXi/HyperV/Xen-Server zu betreiben mag unterschiedliche Ansätze und Sicherheitsaspekte haben.

Wenn Deine FW den DHCP macht und sonstige Zugriffsregeln, ist es auf dem NAS auch unter Umständen ein Henne-Ei-Problem, wenn die FW erst nach dem System startet, abgesehn davon, das Dein NAS dann vermutlich eh von außen als Einfallstor fungiert.

Alle möglichen Szenarien hier nochmals abzubilden macht aber auch keinen Sinn, da die Hersteller meist die Einsatzzwecke ihrer Hardware/Software/Appliance auf ihren Webseiten eh mehr als ausreichend dokumentiert haben.
 
@konfetti

Wenn ich die FW aber virtualisere (ESXi/Proxmox) und den Server neustarten muss oder der ne Macke hab ich doch das gleiche Problem? Aber ja, ist wohl nicht die beste Idee, da auch der Punkt mit Henne-Ei nicht ganz von der Hand zu weisen ist...

Mich hat am Sophos die DeepPacketInspection gereizt (plus IPS), dazu auch noch VPN. Einfach die Ports in meinem Router aufzumachen und auf das NAS weiterzuleiten scheint mir etwas fahrlässig. Daher die Idee mit VPN... man kommt ja schnell vom Hundersten ins Tausendste...

Vlt. will und kann ja jemand von praktischen Erfahrungen hier berichten, also gerade, ob wie DeepPacketInspection funktioniert (auch im Hinblick auf TLS-Traffic), bzw. ob das IPS im privaten Umfeld Vorteile bringt...
 
VPN ist halt was völlig anderes: da machst Du z.B. in Deiner Fritzbox-FW einen einzigen Port auf, der dann auf den VPN-Dienst auf der entsprechenden Maschine / VM zeigt. Mach ich übrigens so mit OpenVPN in einer LinuxVM und genügt meinen persönlichen "Sicherheitsanforderungen". ESXi und/oder VM aus --> nix geht. VPN-VM hat eine feste IP außerhalb der DHCP-Addressrange, so dass da auch nicht "zufällig" eine andere Maschine "hinkommt", die dann auf der IP an dem Port irgendwie anders als gewünscht reagiert.

Sicherlich kann man das auch noch besser und sicherer implementieren als ich das bisher gemacht habe (steht auch noch auf meiner ToDo-Liste, allerdings in der Priorität gerade nicht soooo weit vorne).

Das ist aber etwas ganz anderes als den ESXi "ungeschützt" direkt hinter's DSL-Modem zu klemmen.
 
IPS und DPI taugt auf der Sophos auch nur noch bedingt. Wenn man was zuverlässiges haben möchte geht es eher in Richtung Palo Alto & Co. - aber das ist was anderes, teuer und für privat nicht praktikabel (oder bezahlbar).
Hintergrund: Sophos hat die Entwicklung von IPS/DPI auf der UTM vor einiger Zeit einschlafen lassen. Beides basiert auf Patterns, beides funktioniert rudimentär auf der Sophos UTM.

IPS hat die Daseinsberechtigung zum Teil noch dadurch das bestimmte Angriffszenarien auf Serverdienste erkannt und blockiert werden können, grad wenn man nicht immer die neusten Sicherheitspatches einspielt. Ist halt in die Jahre gekommen weil es nicht mit dem technischen Fortschritt modernisiert wurde. Es funktioniert halt aber nicht zu 90%+, würde eher sagen 70%+ (das ist so ein gefühlter Daumenwert ohne echte Zahlengrundlage, vielleicht auch eher weniger)

IPS im privaten Umfeld halte ich für überflüssig, z.T. aus o.g. Gründen zum anderen aufgrund der meist relativ kleinen Anzahl an Serverdiensten daheim die man sinnvoll absichern kann. Zum anderen schafft man sich viele "false positives" da die Internetnutzung privat meist völlig anders ausschaut als im geschäftlichen Umfeld. (Andere Dienste etc)

Ordentliche Passwörter, der Umgang mit diesen und regelmäßige Sicherheitsupdates der eingesetzten Software (auch die NAS Software zählt dazu) bieten 100x mehr Sicherheit als irgendein dahin geklatschtes IPS der Sophos. Vor allem das eigene Betriebssystem absichern hilft. Das ist alles (IPS/DPI) nur Absicherung im Bereich der letzten 5% Sicherheit und wird - je nach Einsatzzweck - fürchterlich überbewertet (meiner Meinung nach). Es ist hier - mal wieder - ein kleiner Teil eines Gesamtsicherheitskonzeptes.
 
Zuletzt bearbeitet:
Die Sophos XG ist ja glaub in einigen Punkten etwas besser vom technischen her - Aber fürchterlich im Handling und hat auch andere/eigene Probleme. Finde die UTM trotzdem noch besser :fresse:
 
DFFVB schrieb:
... Ich muss aber auch sagen, dass von einem Certified Engineer mehr erwartet werden kann als "wenn das NAS kaputt geht hast Du kein Internet mehr", das kann bei einem Qotom von AliExpress auch jederzeit passieren.
...
Zum Vergrößern anklicken....

So eine Aussage empfinde ich gelinde gesagt als Unverschaemtheit. Und sie beweist Deine voellig unangemessene Erwartungshaltung.
Wenn Du in einem Forum wie diesem um einen kostenlosen Rat anfragst, darfst Du genau eines erwarten:
GAR NICHTS!
 
besterino schrieb:
VPN ist halt was völlig anderes: da machst Du z.B. in Deiner Fritzbox-FW einen einzigen Port auf, der dann auf den VPN-Dienst auf der entsprechenden Maschine / VM zeigt. Mach ich übrigens so mit OpenVPN in einer LinuxVM und genügt meinen persönlichen "Sicherheitsanforderungen". ESXi und/oder VM aus --> nix geht. VPN-VM hat eine feste IP außerhalb der DHCP-Addressrange, so dass da auch nicht "zufällig" eine andere Maschine "hinkommt", die dann auf der IP an dem Port irgendwie anders als gewünscht reagiert.

Sicherlich kann man das auch noch besser und sicherer implementieren als ich das bisher gemacht habe (steht auch noch auf meiner ToDo-Liste, allerdings in der Priorität gerade nicht soooo weit vorne).

Das ist aber etwas ganz anderes als den ESXi "ungeschützt" direkt hinter's DSL-Modem zu klemmen.
Zum Vergrößern anklicken....

Hab grad keine Fritzbox, sondern nur so ein olles Modem von KabelDeutschland... werde wohl zur Überbrückung einen EdgeRouter holen... Genauso wie Du hatte ich das Testweise auch eingestellt (auf einem alten Laptop), das hat ganz gut funktioniert, wobei ich mir nicht ganz sicher war, ob man in der LinuxVM (hatte Alpine), auch noch eine Firewall aktivieren muss? Als ich das gmeacht hab ging gar nix mehr... dann händisch alle Ports zu öffnen ist ja auch ein bisschen widersinnig. Was für Ansätze hättest du hier denn zum hardening? Ich hab mich damals an dieses Tutorial gehalten, da kann man die Key-Size auf 4k Bits einstellen...

Ich wollte das ESXI auch nicht nackt ans netz hängen, sondern den entsprechenden Port exklusiv der Sophos VM zuweisen... :-)

Opticum schrieb:
IPS und DPI taugt auf der Sophos auch nur noch bedingt. Wenn man was zuverlässiges haben möchte geht es eher in Richtung Palo Alto & Co. - aber das ist was anderes, teuer und für privat nicht praktikabel (oder bezahlbar).
Hintergrund: Sophos hat die Entwicklung von IPS/DPI auf der UTM vor einiger Zeit einschlafen lassen. Beides basiert auf Patterns, beides funktioniert rudimentär auf der Sophos UTM.

IPS hat die Daseinsberechtigung zum Teil noch dadurch das bestimmte Angriffszenarien auf Serverdienste erkannt und blockiert werden können, grad wenn man nicht immer die neusten Sicherheitspatches einspielt. Ist halt in die Jahre gekommen weil es nicht mit dem technischen Fortschritt modernisiert wurde. Es funktioniert halt aber nicht zu 90%+, würde eher sagen 70%+ (das ist so ein gefühlter Daumenwert ohne echte Zahlengrundlage, vielleicht auch eher weniger)

Ordentliche Passwörter, der Umgang mit diesen und regelmäßige Sicherheitsupdates der eingesetzten Software(auch die NAS Software zählt dazu) bieten 100x mehr Sicherheit als irgendein dahin geklatschtes IPS der Sophos. Vor allem das eigene Betriebssystem absichern hilft. Das ist alles (IPS/DPI) nur Absicherung im Bereich der letzten 5% Sicherheit und wird - je nach Einsatzzweck - fürchterlich überbewertet (meiner Meinung nach). Es ist hier - mal wieder - ein kleiner Teil eines Gesamtsicherheitskonzeptes.
Zum Vergrößern anklicken....

Danke für diese Hintergrund-Info!!! Genau deswegen bin ich hier! Das ist für mich genug, dass ich für mich entscheiden kann, mir das Projekt und die Einarbeitung zu sparen, wenn das eh nicht mehr richtig gepflegt wird... und ja Palo Alto ist privat unbezahlbar! Seitdem Ubiquiti den Chefentwickler von pfsense abgeworben hat, soll es da ja auch steil bergab gegangen sein...

Also: Danke an euch (auch konfetti), auch wenn über Umwege, aber die Infos haben mir sehr geholfen!
 
DFFVB schrieb:
... Seitdem Ubiquiti den Chefentwickler von pfsense abgeworben hat, soll es da ja auch steil bergab gegangen sein...
Zum Vergrößern anklicken....

Womit ging es steil bergab? - mit pfSense? - kann ich nicht behaupten, aber kommt vermutlich darauf an, wie man die Systeme einsetzt.
Bei mir läuft schon lange keine UTM mehr, sondern seit mittlerweile 3 Jahre eine pfSense-Umgebung. - 1x in Hardware + 1x virtuell, die aber nur als Firewall arbeiten.
Für Mail und Web gibt es eigene Systeme, sofern man diese denn benötigt. - Meistens sind diese offline, da die Kids noch nicht in dem Alter sind, als das ich da einen entsprechende Zugriffskontrolle brauche, und meine Frau wird in die Themen eingewiesen, die kann zur Not auch die Systeme booten und umschalten, sollte ich von extern mal nicht drauf kommen.

Wie gesagt, je nach Umgebung und dem Einsatzzweck kann man durchaus die Funktionen hinterfragen - nicht jeder (Kunde) braucht auch alle Features, die so ein System anbietet. Manchmal ist weniger (auf einesm System und damit die Trennung) mehr.
 
konfetti schrieb:
Womit ging es steil bergab? - mit pfSense? - kann ich nicht behaupten, aber kommt vermutlich darauf an, wie man die Systeme einsetzt.
Bei mir läuft schon lange keine UTM mehr, sondern seit mittlerweile 3 Jahre eine pfSense-Umgebung. - 1x in Hardware + 1x virtuell, die aber nur als Firewall arbeiten.
Für Mail und Web gibt es eigene Systeme, sofern man diese denn benötigt. - Meistens sind diese offline, da die Kids noch nicht in dem Alter sind, als das ich da einen entsprechende Zugriffskontrolle brauche, und meine Frau wird in die Themen eingewiesen, die kann zur Not auch die Systeme booten und umschalten, sollte ich von extern mal nicht drauf kommen.

Wie gesagt, je nach Umgebung und dem Einsatzzweck kann man durchaus die Funktionen hinterfragen - nicht jeder (Kunde) braucht auch alle Features, die so ein System anbietet. Manchmal ist weniger (auf einesm System und damit die Trennung) mehr.
Zum Vergrößern anklicken....

pfSense hatte ich früher gerne als 2. Firewall - Finde aber inzwischen opnsense besser, da mir auch die Oberfläche mehr taugt. Vom System ja eig. fast identisch (Zumindest vor einigen Monaten noch). Ist ja auch eine Abspaltung.
Was man aber am Ende nimmt ist glaube ich aber auch nicht soo wichtig im Privatbereich (Egal ob Sophos UTM, OPNsense, pfsense, ipfire, ...) - WIchtig ist hier eine gescheite Einrichtung. So ist man dann auch in jedem Fall mehrere male besser gesichert als mit nem Router vom Internetanbieter... :)
 
Batey schrieb:
So eine Aussage empfinde ich gelinde gesagt als Unverschaemtheit. Und sie beweist Deine voellig unangemessene Erwartungshaltung.
Wenn Du in einem Forum wie diesem um einen kostenlosen Rat anfragst, darfst Du genau eines erwarten:
GAR NICHTS!
Zum Vergrößern anklicken....

*Seufz*, gut das ich das vorher überlesen hatte...
 
@konfetti / Olaf16

Hab unseren alten Head of IT vorher kontaktiert, ob lieber pfsense oder Sophos, der meinte, er hätte früher auch pfsense im Einsatz gehabt, aber das im letzten Jahr wo eingesetzt und wäre überrascht gewesen, wieviel die rausgenommen hätten...

Olaf16 schrieb:
WIchtig ist hier eine gescheite Einrichtung. So ist man dann auch in jedem Fall mehrere male besser gesichert als mit nem Router vom Internetanbieter... :)
Zum Vergrößern anklicken....

Wie meinst Du das konkret?
 
DFFVB schrieb:
Wie meinst Du das konkret?
Zum Vergrößern anklicken....
Schau in die Sophos Foren - Gibt viele, die da nicht begeistert sind von der XG (Gibt es btw. auch als Home Edition meines Wissens).
Technisch etwas neuer und kann glaub z. B. bei IPS oder AV Scan mehrere Kerne gleichzeitig auslasten (Da gabs irgendeine Limitierung bei der UTM) - Aber Einrichtung ein Graus. Basiert ja immerhin auf irgendso einer indischen Firewall, wenn ich mich richtig erinnere (Cyberoam? Hatte da mal nen Kurs und ein Testgerät - Ist vom Handling und dem Regelaufbau eig identisch mit der XG. Wurden von Sophps aufgekauft)
 
...wobei auch die Sophos für Dummies wie mich beim Erstkontakt auch nicht unbedingt selbsterklärend ist... :)

Und bis dann alle Dinge aus dem Heimnetz auch so nach draußen können, wie sie sollen, ist (abseits einer - völlig sinnlosen - any/any Regel ;) ) echt nicht ganz trivial, also wenn man auf Basis von "alles dicht" als Ausgangspunkt peu-a-peu die Firewall individuell für die jeweiligen Kisten/Dienste/Ziele usw. öffnen will...

Macht aber Laune und man findet sehr sehr viel im Netz dazu.
 
Hallo an alle. Bin gerade auf der Suche nach Hardware für die Sophos UTM Home. Hatte mir jetzt mal die Supermicro Boards mit integrierter SoC angeschaut. Sind die dank meltdown denn noch empfehlenswert als Hardware Firewall? Momentan sieht es ja auch schlecht an alternativen aus...

Gesendet von meinem HUAWEI VNS-L31 mit Tapatalk
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh