[Sammelthread] Sophos UTM-Sammelthread

Ach die hören sich ja super an, danke.

Hast du zufällig mal getestet was die an Firewall Durchsatz maximal machen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Frage ist - Ob man da nicht für den gleichen Preis nen gebrauchtes Supermicro Gerät mit Notfalls Garantie etc. hier in EU/DE hohlt.
...wobei auch die Sophos für Dummies wie mich beim Erstkontakt auch nicht unbedingt selbsterklärend ist... :)
Und bis dann alle Dinge aus dem Heimnetz auch so nach draußen können, wie sie sollen, ist (abseits einer - völlig sinnlosen - any/any Regel ;) ) echt nicht ganz trivial, also wenn man auf Basis von "alles dicht" als Ausgangspunkt peu-a-peu die Firewall individuell für die jeweiligen Kisten/Dienste/Ziele usw. öffnen will...
Macht aber Laune und man findet sehr sehr viel im Netz dazu.
Um ehrlich zu sein - Aus dem LAN habe ich nach außen jetzt auch ANY. Anders ist es teils nicht praktikabel wenn man ab und zu auf der PS/xBox/PC zocken will, Netflix/Amazon da auf dem TV usw.
Die DMZ darf aber nicht wirklich raus - Das bisschen was raus darf, nur mit bestimmten Ports an bestimmte Server für Updates, sonst nur das nötigste nach Innen über Webprotection usw.
Von außen ins LAN kommt man auch nur per VPN - nix mit irgendwelchen Synology/QNAP Diensten usw. Fahre damit eig. gut inkl. IPS/AV/... Scan/Überprüfung
 
Zuletzt bearbeitet:
An den qotom dingern gefällt mir die Kompaktheit unglaublich gut. Im gesamtpaket scheinen die auch die leistungsstärkere Hardware zu haben.
 
Was für eine genau hast du? Gibt ja diverse Ranges und auch mit i3 usw.
 
@olaf 16 : Danke! Du lässt Deinen Smart TV via Amazon ins Netz? Nen Kumpel (Admin bei Zalando) wurde so sein Amazon Konto gehackt... (okay er hatte auch kein2FA, was mE ein Kardinalsfehler ist).

Habe gerade nochmal mit nem Arbeitskollegen gesprochen, der hat sein Raspi als VPN auch als expsed Host ins Netz gehängt... meint auch, dass das eigtl unsicher sei... frage mich, was man da noch zum Hardening unternehmen kann...
 
@olaf 16 : Danke! Du lässt Deinen Smart TV via Amazon ins Netz? Nen Kumpel (Admin bei Zalando) wurde so sein Amazon Konto gehackt... (okay er hatte auch kein2FA, was mE ein Kardinalsfehler ist).
1. Wurde sein Amazon Konto wie die meisten Amazon/eBay/... Konten nicht durch sowass gehackt.
2. Ist mir das egal - Ich hab kein Netflix bzw. Amazon Prime. Sind die Konten von meiner Freundin :fresse:
3. Wenn was ist soll Amazon ihren Dreck selbst regeln - Immerhin bin ich ja nicht auf Phising reingefallen und ändere mein PW regelmäßig (Gute, eher Random) Mir als Kunde kann das in dem Fall egal sein (Bis auf evtl. natürlich die Adresse - Welche aber nen Postkasten bei uns ist)
Habe gerade nochmal mit nem Arbeitskollegen gesprochen, der hat sein Raspi als VPN auch als expsed Host ins Netz gehängt... meint auch, dass das eigtl unsicher sei... frage mich, was man da noch zum Hardening unternehmen kann...
Was heißt hier als ausgesetzten Host? In die DMZ? (Wäre aber dann eig. auch nen eigenes getrenntes Netz, da kann im LAN nicht viel passieren wenn gut eingerichtet).
Ansonsten wenn er ne Portfreigabe für das VPN an den Raspi gemacht hat weiß ich nicht, was da groß sein soll. System geupdated und sicher halten und nur ihm das erlauben im Netzwerk, was er auch soll. VPN Dienst nicht als root ausführen, gute Passwörter usw.
Und wie immer gilt "Keep it as simple as possible". Also nicht zig Sachen und möglichst viele Tools auf so nen Host packen. Ich kenne viele, die gerne mehrere Rootkitsucher und co. installieren und es langt dann, wenn in nur einem dann ne Schwachstelle ist...

Beide Themen aber auch wieder eig. nicht ganz passend in den Sophos Thread :)
 
Zuletzt bearbeitet:
Danke Dir Olaf! So hatte ich es auch, wenn also durch die nackte Protweiterleitung keine Gfeahr besteht, sollte es passen. Und stimmt, mit Sophos hat da snur noch mittelbar zu tun :wink:
 
Danke Dir Olaf! So hatte ich es auch, wenn also durch die nackte Protweiterleitung keine Gfeahr besteht, sollte es passen. Und stimmt, mit Sophos hat da snur noch mittelbar zu tun :wink:
Naja - Sobald ein Port offen ist, gibt es immer eine Gefahr. Wie viele da offen sind, ist dann meist Zweitrangig, wenn einer rein will. Wenn es nicht drauf ankommt, nimmt man am besten immer nicht Standardports wie 80, 443, 22 (SSH), 21, ... weil dann die meisten Bots schonmal weg sind.
Wenn du bzw. ein Kollege eine Sophos hast, kann ich Empfehlen die üblichen Länder auszusperren - USA, Russland, China, Frankreich. Das hat meine Logs deutlich verringert bei den Scans/Anmeldeversuchen. USA mach ich nur einmal auf, wenn dort Hinreise - Und dann steht in den Logfiles von den Webservern doch einige Scansachen drin :)
 
Auf meiner Kiste im Netz (root-server) sperre ich mit failtoban jeweils große Netzbereiche (glaub auf Ebene Klasse B, also jeweils die ganzen Subnetze drunter mit)... da wurde es dann auch sehr schnell sehr ruhig... :d

Wichtig dann: eine gesicherte und zugängliche IP für den ssh-client immer per alles dominierender Whitelist zulassen: Wär blöd wenn man sich aussperrt, nur weil ein Vollhonk im gleichen Adressbereich Schindluder treibt... ;)
 
@besterino: Welche Aufgaben hat denn die Moehre? Ich halte das fuer nen ziemlich schlechten Ansatz. Du brauchst lediglich n paar Rechner aus nem groeßerem Botnetz und die Kiste redet nur noch mit sich selbst... ^^
 
De facto keine. :d

Ist für mich im Prinzip momentan nur Spielwiese und manchmal für Kumpels im privaten Bereich nen File-Transfer. Ach und nen Teamspeak läuft noch drauf mit so 10 festen Nutzern. War zeitweise noch ein VPN Server für „unbegrenztes Internet“ auf meinen Chinareisen (da kleine Kiste ohne nennenswert Traffic war der auch nicht geblockt), aber das ist mir dann zu heiß geworden und bin da auch kaum noch. Also alles extrem low Key und wenn mal einer nicht draufkommen sollte, kann ich den zur Not manuell freigeben. Ist aber in ~4 Jahren noch nie vorgekommen.

Sorry, für was ernstes ist das natürlich kein Ansatz. War auch nicht wirklich als Vorschlag gemeint. War aber auch echt überrascht/entsetzt, wie schnell die Bot-Angriffe losgingen sobald die Kiste aufgesetzt war.

Und sorry für Offtopic.
 
Zuletzt bearbeitet:
MasterBade: qotom mit i5/i7 von aliexpress läuft hier super.

Die Frage ist - Ob man da nicht für den gleichen Preis nen gebrauchtes Supermicro Gerät mit Notfalls Garantie etc. hier in EU/DE hohlt.

Habe inzwischen einen deutschen Händler gefunden, der die QOTOM Geräte (speziell den QOTOM-Q330G4 mit i5, 8GB RAM und SSD) auch bei uns verkauft. Preislich natürlich höher als direkt aus China, aber halt auch ohne die Nachteile einer Bestellung aus China.
Möchte hier keine Werbung machen, falls jemand Interesse hat kurze PN.
 
Sofern du nicht beteiligt bist, sind solche Infos eher nützlich als dass sie Werbung sind.
 
Da das Thema sicherlich mehrere Leute interessiert (mich eingeschlossen), plädiere ich auch dafür, dass du einfach einen Link kommentarlos postest...
 
Meine Erfahrung über aliexpress (das läuft dann anscheinend direkt über qotom ähnlich wie amazon marketplace) war recht positiv. Ein paar Tage nach Bezahlung bekam ich eine Tracking ID und 1 1/2 Wochen später war das Paket da. Versand aus Großbritannien, scheinbar haben die dort ein Zwischenlager. Ein Bekannter hatte einen defekten qotom erhalten und sehr unkompliziert Austausch erhalten. Man spart halt schon ein paar € ohne Zwischenhändler. Wie der Zwischenhändler mit Gewährleistungsfällen umgeht, wird man auch erst erfahren, wenn ein Problemfall auftritt.
 
Sofern du nicht beteiligt bist, sind solche Infos eher nützlich als dass sie Werbung sind.
Da das Thema sicherlich mehrere Leute interessiert (mich eingeschlossen), plädiere ich auch dafür, dass du einfach einen Link kommentarlos postest...

Bin selbstverständlich nicht beteiligt o.ä. :)
Die Geräte sind nicht bei Amazon eingestellt, habe die Info per Email vom Händler selbst erhalten. Ist auch schon ein paar Tage her, deshalb weiß ich nicht inwiefern noch welche auf Lager sind und/oder ob der Preis geändert wurde.

Humberg Computertechnik
Amazon.de: Humberg Computertechnik

Q330G4 i3 4NIC 8GB 64GB WiFi 365€
Q355G4 i5 4NIC 8GB 64GB WiFi 399€

Je nach Option (weniger Ram, kleinere SSD, ohne Wifi,...) wird der Preis angepasst
 
Ich werde die Tage auf ds-lite umgestellt und will natürlich weiterhin über die utm von und verschiedenste Webdienste hinter der waf nutzen.

Beim stöbern hier hab ich gelesen, das anscheinend die praktikabelste Möglichkeit RED ist, über eine utm bei einem vserver Anbieter.

Allerdings hab ich nicht so wirklich welche gefunden die eibe utm Installation Erlauben und zudem günstig sind. Netcup? Für netcup hab ich gelesen das die utm die HDD nicht erkennt. Ist das aktuell?

Welche nutzt ihr so?

Noch eine noob Frage. Hab mich mit Red noch nicht so beschäftigt. Würde dann auch der Traffic von innen nach außen über den vserver geleitet oder kann man z.b. mit dem PC über die utm und die Fritzbox direkt raus?

Gesendet von meinem Nexus 5X mit Tapatalk
 
Zuletzt bearbeitet:
Bambuleee: hatte die Tage mal was gepostet, ein Anbieter der direkt RED Tunnel inkl. eigener statischer IPv4 anbietet. Man bekommt das RED Provisionierungsfile und die Daten. Hab selbst einen Zugang dort und bisher funktioniert es einwandfrei. Es (der Red Tunnel/Interface) verhält sich wieder ein eigener Internetanschluss. Vielleicht ist das ja was für dich: vServer.site - we host your Site!

Andere Möglichkeit wäre eine UTM bei einem vServer Host zu installieren. Geht z.B. bei vultr. Das Problem bei Netcup war bei mir in der Vergangenheit auch, dass die HD nicht erkannt wurde.

Edit: es gibt wohl auch noch so ein 5€/Monat Paket mit 250GB Traffic. Unter Colocation steht das.
 
Zuletzt bearbeitet:
Genau richtig....aber mit 9 € im Monat viel zu teuer. Vserver bei netcup gibt es ab 1.99€.

Eventuell bekomme ich doch eine v4 Adresse
Heute mit dem Anbieter telefoniert. Nächste Woche weiß ich mehr.

Gesendet von meinem Nexus 5X mit Tapatalk
 
Naja "zu teuer" ist relativ wenn die Leistung stimmt bzw. das Produkt funktioniert. Für 1.99€ wirst du kaum eine KVM VM bekommen wo du die UTM laufen lasst kannst (2 GB Ram, 40GB HD). Im günstigsten Fall bist du 5-7 € los zumal du zwei IPv4 Adressen brauchst wenn du es sauber lösen willst.
 
Ich musste nach einem Crash vom Proxmox meine Sophos VM aus einem Backup einspielen.
Hatte aber seit dem das subjektive Empfinden, dass das Internet etwas träge ist. Zum Teil haben die TLS Handshakes recht lange gedauert
Ich hatte es die Neuinstallation von PVE 5.x getippt und vermutet, dass evtl. irgendwas mit den Settings der VM bezüglich Netzwerk im Backup nicht passt.

Kurzgesagt ich habe die VM platt gemacht und neuaufgezogen.
Jetzt läuft nur die Firewall, IPS und WAF. Zum Teil beobachte ich jetzt folgendes:
- An PC und HTPC wird mir angezeigt dass keine I-Net Verbindung bestand
- Laut PVE Bildschirm-Terminal wird mir als Webadmin Addresse die IP der ext. Schnittstelle angezeigt
- Gestern wollte weder über beide Addressen kein Webadmin gehen. Erst nach etwas IP Addressen Umstellung und Reboot wollte dies wieder
- Erst nach einem WLAN off/on am Handy wollte dies über WLAN ins Internet.

Im Log der Firewall beobachte ich die ganze Zeit schon, dass mein TV-Server den DNS der Sophos anfragt, aber geblockt wird.
Das merkte ich heute als ich per Remote auf dem Server war und kurz ins Inet wollte. div. Addressen wollte er erst verzögert auflösen.

DNS-Settings.JPG
In der Basisinstallation per Assistent ist, wenn ich das Icon richtig interpretiere, die Netzwerkkarte für das interne Netz hinterlegt. Ich ändere das dann immer auf ein von mir erstelltes Netzwerk. KA ob das so Best Practice ist

HTPC-DNS.JPG
So sieht die Firewall Meldung exemplarisch für das Handy aus.

Da ich der Meinung bin, alles eingestellt zu haben wie sonst auch, wundere ich mich gerade etwas.
Als DNS Forwarder dient ein Google DNS und die DNS vom IPS.
Habe ich evtl irgendwo eine Option übersehen die ich sonst gesetzt habe oder eben nicht, die das hervorrufen kann.

Danke
 
@Bacon: ich hatte mit Sophos unter Proxmox relativ schlechte Erfahrungen gemacht (instabilität, crash vom host) und bin daher an dieser Stelle wieder zu esxi (wo es jetzt seit Wochen problemlos läuft, auf derselben Hardware). Auch empfinde ich die Sicherheit unter ESXi besser weil das Netzwerkinterface selbst nicht direkt von ESXi erreichbar/nutzbar ist. Bei Proxmox läuft z.B. per default erstmal IPv6 auf sämtlichen Interfaces. (von Seiten Proxmox, auch wenn diese Interfaces nur als Linux Bridge konfiguriert sind)

Auch wenn ich dir bei diesem Verhalten nicht direkt weiterhelfen kann, ist dies vielleicht eine Ursache/Erklärung für deinen Proxmox Crash. Eine Erklärung konnte ich anhand der Logs nicht finden. Da diese Maschine nur die Sophos VM beherbergt (Ich teste oft verschiedene Versionen der Sophos bzw. halte mir die Möglichkeit eines Rollbacks nach Update offen) war es ein kurzer Prozess den Hypervisor zu wechseln.
 
Zuletzt bearbeitet:
Danke für die Info.
Meine Sophos läuft jetzt eigentlich seit 2 Jahren stabil, bis auf den IPsec Tunnel zu einer Fritzbox.
Da habe ich einfach in letzter Zeit den Zugriff von Remote nach Local nicht hinbekommen. Ich vermute aber es liegt seitens Fritzbox, da ich im FW Log keinerlei
Anfragen aus dem Netz der Fritte sehe.

Mein Crash vom PVE lag eher an mir, wollte von v4.x nach v5.x upgraden. Irgendwas ist dabei schief gelaufen und die WebGUI war nicht mehr erreichtbar
und keine VM´s liefen. Da ich ich nur simpler Anwender in vielerlei Hinsicht bin, hat sich eine Neuinstallation als sinnvoller erwiesen.

Somit konnte ich zumindest meine Doku so weit wieder auf Stand ziehen.
 
Hat jemand schonmal einen WLAN stick versucht zum laufen zu bringen? Sowohl physisch als virtuell.

Wäre echt nice wenn das klappt, solange das WLAN als Interface in der sophos auftauchen müsste es ja passen...
 
Hallo ihr lieben
ich versuche krampfhaft meinen Ts3 server online zu stellen, jedoch klappt das nicht.

Server: VM mit Ts3 firewall(testweise) aus

Und zwar habe ich unter Network-Protection->Nat->Nat 3 Regel erstellt:

Regeltyp : DNAT
Datenverkehrsquelle: ANY
Datenverkehrsdienst: UDP 9987
Datenverkehrsziel: EXTERNAL (WAN) ADDRESS
Ziel ändern in: IP-DES TEAMSPEAK-SERVERS
Dienst ändern in: (Wahlweise leer gelassen und noch mal den PORT)
Automatische Firewallregel: Angehackt

und das gleiche noch für die Ports: TCP 10011 und TCP 30033

Quellport der einzelnen Dienste ist 1:65535

so , auf der firtzbox habe ich den port 9987 an die externe adresse der utm vergeben.

tja port bleibt trotzdem ZU

an was kann das liegen ?

LG
 
Zuletzt bearbeitet:
Bei der Regel und auch der NAT Regel am bestendie protokollieren temporär für debigging mal einschalten und ins Firewall-Log schauen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh