MasterBade
Enthusiast
Ach die hören sich ja super an, danke.
Hast du zufällig mal getestet was die an Firewall Durchsatz maximal machen?
Hast du zufällig mal getestet was die an Firewall Durchsatz maximal machen?
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Die Frage ist - Ob man da nicht für den gleichen Preis nen gebrauchtes Supermicro Gerät mit Notfalls Garantie etc. hier in EU/DE hohlt.
Die DMZ darf aber nicht wirklich raus - Das bisschen was raus darf, nur mit bestimmten Ports an bestimmte Server für Updates, sonst nur das nötigste nach Innen über Webprotection usw.
Von außen ins LAN kommt man auch nur per VPN - nix mit irgendwelchen Synology/QNAP Diensten usw. Fahre damit eig. gut inkl. IPS/AV/... Scan/Überprüfung
Um ehrlich zu sein - Aus dem LAN habe ich nach außen jetzt auch ANY. Anders ist es teils nicht praktikabel wenn man ab und zu auf der PS/xBox/PC zocken will, Netflix/Amazon da auf dem TV usw....wobei auch die Sophos für Dummies wie mich beim Erstkontakt auch nicht unbedingt selbsterklärend ist...
Und bis dann alle Dinge aus dem Heimnetz auch so nach draußen können, wie sie sollen, ist (abseits einer - völlig sinnlosen - any/any Regel) echt nicht ganz trivial, also wenn man auf Basis von "alles dicht" als Ausgangspunkt peu-a-peu die Firewall individuell für die jeweiligen Kisten/Dienste/Ziele usw. öffnen will...
Macht aber Laune und man findet sehr sehr viel im Netz dazu.
Die DMZ darf aber nicht wirklich raus - Das bisschen was raus darf, nur mit bestimmten Ports an bestimmte Server für Updates, sonst nur das nötigste nach Innen über Webprotection usw.
Von außen ins LAN kommt man auch nur per VPN - nix mit irgendwelchen Synology/QNAP Diensten usw. Fahre damit eig. gut inkl. IPS/AV/... Scan/Überprüfung
Zuletzt bearbeitet:
MasterBade
Enthusiast
An den qotom dingern gefällt mir die Kompaktheit unglaublich gut. Im gesamtpaket scheinen die auch die leistungsstärkere Hardware zu haben.
DFFVB
Experte
- Mitglied seit
- 10.10.2016
- Beiträge
- 219
@olaf 16 : Danke! Du lässt Deinen Smart TV via Amazon ins Netz? Nen Kumpel (Admin bei Zalando) wurde so sein Amazon Konto gehackt... (okay er hatte auch kein2FA, was mE ein Kardinalsfehler ist).
Habe gerade nochmal mit nem Arbeitskollegen gesprochen, der hat sein Raspi als VPN auch als expsed Host ins Netz gehängt... meint auch, dass das eigtl unsicher sei... frage mich, was man da noch zum Hardening unternehmen kann...
Habe gerade nochmal mit nem Arbeitskollegen gesprochen, der hat sein Raspi als VPN auch als expsed Host ins Netz gehängt... meint auch, dass das eigtl unsicher sei... frage mich, was man da noch zum Hardening unternehmen kann...
1. Wurde sein Amazon Konto wie die meisten Amazon/eBay/... Konten nicht durch sowass gehackt.
2. Ist mir das egal - Ich hab kein Netflix bzw. Amazon Prime. Sind die Konten von meiner Freundin
3. Wenn was ist soll Amazon ihren Dreck selbst regeln - Immerhin bin ich ja nicht auf Phising reingefallen und ändere mein PW regelmäßig (Gute, eher Random) Mir als Kunde kann das in dem Fall egal sein (Bis auf evtl. natürlich die Adresse - Welche aber nen Postkasten bei uns ist)
Was heißt hier als ausgesetzten Host? In die DMZ? (Wäre aber dann eig. auch nen eigenes getrenntes Netz, da kann im LAN nicht viel passieren wenn gut eingerichtet).
Ansonsten wenn er ne Portfreigabe für das VPN an den Raspi gemacht hat weiß ich nicht, was da groß sein soll. System geupdated und sicher halten und nur ihm das erlauben im Netzwerk, was er auch soll. VPN Dienst nicht als root ausführen, gute Passwörter usw.
Und wie immer gilt "Keep it as simple as possible". Also nicht zig Sachen und möglichst viele Tools auf so nen Host packen. Ich kenne viele, die gerne mehrere Rootkitsucher und co. installieren und es langt dann, wenn in nur einem dann ne Schwachstelle ist...
Beide Themen aber auch wieder eig. nicht ganz passend in den Sophos Thread
Zuletzt bearbeitet:
Naja - Sobald ein Port offen ist, gibt es immer eine Gefahr. Wie viele da offen sind, ist dann meist Zweitrangig, wenn einer rein will. Wenn es nicht drauf ankommt, nimmt man am besten immer nicht Standardports wie 80, 443, 22 (SSH), 21, ... weil dann die meisten Bots schonmal weg sind.Danke Dir Olaf! So hatte ich es auch, wenn also durch die nackte Protweiterleitung keine Gfeahr besteht, sollte es passen. Und stimmt, mit Sophos hat da snur noch mittelbar zu tun
Wenn du bzw. ein Kollege eine Sophos hast, kann ich Empfehlen die üblichen Länder auszusperren - USA, Russland, China, Frankreich. Das hat meine Logs deutlich verringert bei den Scans/Anmeldeversuchen. USA mach ich nur einmal auf, wenn dort Hinreise - Und dann steht in den Logfiles von den Webservern doch einige Scansachen drin
besterino
Legende
Auf meiner Kiste im Netz (root-server) sperre ich mit failtoban jeweils große Netzbereiche (glaub auf Ebene Klasse B, also jeweils die ganzen Subnetze drunter mit)... da wurde es dann auch sehr schnell sehr ruhig... 
Wichtig dann: eine gesicherte und zugängliche IP für den ssh-client immer per alles dominierender Whitelist zulassen: Wär blöd wenn man sich aussperrt, nur weil ein Vollhonk im gleichen Adressbereich Schindluder treibt...
Wichtig dann: eine gesicherte und zugängliche IP für den ssh-client immer per alles dominierender Whitelist zulassen: Wär blöd wenn man sich aussperrt, nur weil ein Vollhonk im gleichen Adressbereich Schindluder treibt...
p4n0
Legende
@besterino: Welche Aufgaben hat denn die Moehre? Ich halte das fuer nen ziemlich schlechten Ansatz. Du brauchst lediglich n paar Rechner aus nem groeßerem Botnetz und die Kiste redet nur noch mit sich selbst... ^^
besterino
Legende
De facto keine.
Ist für mich im Prinzip momentan nur Spielwiese und manchmal für Kumpels im privaten Bereich nen File-Transfer. Ach und nen Teamspeak läuft noch drauf mit so 10 festen Nutzern. War zeitweise noch ein VPN Server für „unbegrenztes Internet“ auf meinen Chinareisen (da kleine Kiste ohne nennenswert Traffic war der auch nicht geblockt), aber das ist mir dann zu heiß geworden und bin da auch kaum noch. Also alles extrem low Key und wenn mal einer nicht draufkommen sollte, kann ich den zur Not manuell freigeben. Ist aber in ~4 Jahren noch nie vorgekommen.
Sorry, für was ernstes ist das natürlich kein Ansatz. War auch nicht wirklich als Vorschlag gemeint. War aber auch echt überrascht/entsetzt, wie schnell die Bot-Angriffe losgingen sobald die Kiste aufgesetzt war.
Und sorry für Offtopic.
Ist für mich im Prinzip momentan nur Spielwiese und manchmal für Kumpels im privaten Bereich nen File-Transfer. Ach und nen Teamspeak läuft noch drauf mit so 10 festen Nutzern. War zeitweise noch ein VPN Server für „unbegrenztes Internet“ auf meinen Chinareisen (da kleine Kiste ohne nennenswert Traffic war der auch nicht geblockt), aber das ist mir dann zu heiß geworden und bin da auch kaum noch. Also alles extrem low Key und wenn mal einer nicht draufkommen sollte, kann ich den zur Not manuell freigeben. Ist aber in ~4 Jahren noch nie vorgekommen.
Sorry, für was ernstes ist das natürlich kein Ansatz. War auch nicht wirklich als Vorschlag gemeint. War aber auch echt überrascht/entsetzt, wie schnell die Bot-Angriffe losgingen sobald die Kiste aufgesetzt war.
Und sorry für Offtopic.
Zuletzt bearbeitet:
Habe inzwischen einen deutschen Händler gefunden, der die QOTOM Geräte (speziell den QOTOM-Q330G4 mit i5, 8GB RAM und SSD) auch bei uns verkauft. Preislich natürlich höher als direkt aus China, aber halt auch ohne die Nachteile einer Bestellung aus China.
Möchte hier keine Werbung machen, falls jemand Interesse hat kurze PN.
negotiator
Enthusiast
- Mitglied seit
- 12.05.2009
- Beiträge
- 167
Da das Thema sicherlich mehrere Leute interessiert (mich eingeschlossen), plädiere ich auch dafür, dass du einfach einen Link kommentarlos postest...
Meine Erfahrung über aliexpress (das läuft dann anscheinend direkt über qotom ähnlich wie amazon marketplace) war recht positiv. Ein paar Tage nach Bezahlung bekam ich eine Tracking ID und 1 1/2 Wochen später war das Paket da. Versand aus Großbritannien, scheinbar haben die dort ein Zwischenlager. Ein Bekannter hatte einen defekten qotom erhalten und sehr unkompliziert Austausch erhalten. Man spart halt schon ein paar € ohne Zwischenhändler. Wie der Zwischenhändler mit Gewährleistungsfällen umgeht, wird man auch erst erfahren, wenn ein Problemfall auftritt.
Bin selbstverständlich nicht beteiligt o.ä.
Die Geräte sind nicht bei Amazon eingestellt, habe die Info per Email vom Händler selbst erhalten. Ist auch schon ein paar Tage her, deshalb weiß ich nicht inwiefern noch welche auf Lager sind und/oder ob der Preis geändert wurde.
Humberg Computertechnik
Amazon.de: Humberg Computertechnik
Q330G4 i3 4NIC 8GB 64GB WiFi 365€
Q355G4 i5 4NIC 8GB 64GB WiFi 399€
Je nach Option (weniger Ram, kleinere SSD, ohne Wifi,...) wird der Preis angepasst
Ich werde die Tage auf ds-lite umgestellt und will natürlich weiterhin über die utm von und verschiedenste Webdienste hinter der waf nutzen.
Beim stöbern hier hab ich gelesen, das anscheinend die praktikabelste Möglichkeit RED ist, über eine utm bei einem vserver Anbieter.
Allerdings hab ich nicht so wirklich welche gefunden die eibe utm Installation Erlauben und zudem günstig sind. Netcup? Für netcup hab ich gelesen das die utm die HDD nicht erkennt. Ist das aktuell?
Welche nutzt ihr so?
Noch eine noob Frage. Hab mich mit Red noch nicht so beschäftigt. Würde dann auch der Traffic von innen nach außen über den vserver geleitet oder kann man z.b. mit dem PC über die utm und die Fritzbox direkt raus?
Gesendet von meinem Nexus 5X mit Tapatalk
Beim stöbern hier hab ich gelesen, das anscheinend die praktikabelste Möglichkeit RED ist, über eine utm bei einem vserver Anbieter.
Allerdings hab ich nicht so wirklich welche gefunden die eibe utm Installation Erlauben und zudem günstig sind. Netcup? Für netcup hab ich gelesen das die utm die HDD nicht erkennt. Ist das aktuell?
Welche nutzt ihr so?
Noch eine noob Frage. Hab mich mit Red noch nicht so beschäftigt. Würde dann auch der Traffic von innen nach außen über den vserver geleitet oder kann man z.b. mit dem PC über die utm und die Fritzbox direkt raus?
Gesendet von meinem Nexus 5X mit Tapatalk
Zuletzt bearbeitet:
Bambuleee: hatte die Tage mal was gepostet, ein Anbieter der direkt RED Tunnel inkl. eigener statischer IPv4 anbietet. Man bekommt das RED Provisionierungsfile und die Daten. Hab selbst einen Zugang dort und bisher funktioniert es einwandfrei. Es (der Red Tunnel/Interface) verhält sich wieder ein eigener Internetanschluss. Vielleicht ist das ja was für dich: vServer.site - we host your Site!
Andere Möglichkeit wäre eine UTM bei einem vServer Host zu installieren. Geht z.B. bei vultr. Das Problem bei Netcup war bei mir in der Vergangenheit auch, dass die HD nicht erkannt wurde.
Edit: es gibt wohl auch noch so ein 5€/Monat Paket mit 250GB Traffic. Unter Colocation steht das.
Andere Möglichkeit wäre eine UTM bei einem vServer Host zu installieren. Geht z.B. bei vultr. Das Problem bei Netcup war bei mir in der Vergangenheit auch, dass die HD nicht erkannt wurde.
Edit: es gibt wohl auch noch so ein 5€/Monat Paket mit 250GB Traffic. Unter Colocation steht das.
Zuletzt bearbeitet:
Genau richtig....aber mit 9 € im Monat viel zu teuer. Vserver bei netcup gibt es ab 1.99€.
Eventuell bekomme ich doch eine v4 Adresse
Heute mit dem Anbieter telefoniert. Nächste Woche weiß ich mehr.
Gesendet von meinem Nexus 5X mit Tapatalk
Eventuell bekomme ich doch eine v4 Adresse
Heute mit dem Anbieter telefoniert. Nächste Woche weiß ich mehr.
Gesendet von meinem Nexus 5X mit Tapatalk
Naja "zu teuer" ist relativ wenn die Leistung stimmt bzw. das Produkt funktioniert. Für 1.99€ wirst du kaum eine KVM VM bekommen wo du die UTM laufen lasst kannst (2 GB Ram, 40GB HD). Im günstigsten Fall bist du 5-7 € los zumal du zwei IPv4 Adressen brauchst wenn du es sauber lösen willst.
Na gut, dann 2,99 €.
https://www.netcup.de/vserver/vps.php#features
Für ein paar Webdienste die ich habe reicht es. Ist mir keine 9 € Wert.
Gesendet von meinem Nexus 5X mit Tapatalk
https://www.netcup.de/vserver/vps.php#features
Für ein paar Webdienste die ich habe reicht es. Ist mir keine 9 € Wert.
Gesendet von meinem Nexus 5X mit Tapatalk
Ich musste nach einem Crash vom Proxmox meine Sophos VM aus einem Backup einspielen.
Hatte aber seit dem das subjektive Empfinden, dass das Internet etwas träge ist. Zum Teil haben die TLS Handshakes recht lange gedauert
Ich hatte es die Neuinstallation von PVE 5.x getippt und vermutet, dass evtl. irgendwas mit den Settings der VM bezüglich Netzwerk im Backup nicht passt.
Kurzgesagt ich habe die VM platt gemacht und neuaufgezogen.
Jetzt läuft nur die Firewall, IPS und WAF. Zum Teil beobachte ich jetzt folgendes:
- An PC und HTPC wird mir angezeigt dass keine I-Net Verbindung bestand
- Laut PVE Bildschirm-Terminal wird mir als Webadmin Addresse die IP der ext. Schnittstelle angezeigt
- Gestern wollte weder über beide Addressen kein Webadmin gehen. Erst nach etwas IP Addressen Umstellung und Reboot wollte dies wieder
- Erst nach einem WLAN off/on am Handy wollte dies über WLAN ins Internet.
Im Log der Firewall beobachte ich die ganze Zeit schon, dass mein TV-Server den DNS der Sophos anfragt, aber geblockt wird.
Das merkte ich heute als ich per Remote auf dem Server war und kurz ins Inet wollte. div. Addressen wollte er erst verzögert auflösen.
In der Basisinstallation per Assistent ist, wenn ich das Icon richtig interpretiere, die Netzwerkkarte für das interne Netz hinterlegt. Ich ändere das dann immer auf ein von mir erstelltes Netzwerk. KA ob das so Best Practice ist
So sieht die Firewall Meldung exemplarisch für das Handy aus.
Da ich der Meinung bin, alles eingestellt zu haben wie sonst auch, wundere ich mich gerade etwas.
Als DNS Forwarder dient ein Google DNS und die DNS vom IPS.
Habe ich evtl irgendwo eine Option übersehen die ich sonst gesetzt habe oder eben nicht, die das hervorrufen kann.
Danke
Hatte aber seit dem das subjektive Empfinden, dass das Internet etwas träge ist. Zum Teil haben die TLS Handshakes recht lange gedauert
Ich hatte es die Neuinstallation von PVE 5.x getippt und vermutet, dass evtl. irgendwas mit den Settings der VM bezüglich Netzwerk im Backup nicht passt.
Kurzgesagt ich habe die VM platt gemacht und neuaufgezogen.
Jetzt läuft nur die Firewall, IPS und WAF. Zum Teil beobachte ich jetzt folgendes:
- An PC und HTPC wird mir angezeigt dass keine I-Net Verbindung bestand
- Laut PVE Bildschirm-Terminal wird mir als Webadmin Addresse die IP der ext. Schnittstelle angezeigt
- Gestern wollte weder über beide Addressen kein Webadmin gehen. Erst nach etwas IP Addressen Umstellung und Reboot wollte dies wieder
- Erst nach einem WLAN off/on am Handy wollte dies über WLAN ins Internet.
Im Log der Firewall beobachte ich die ganze Zeit schon, dass mein TV-Server den DNS der Sophos anfragt, aber geblockt wird.
Das merkte ich heute als ich per Remote auf dem Server war und kurz ins Inet wollte. div. Addressen wollte er erst verzögert auflösen.
In der Basisinstallation per Assistent ist, wenn ich das Icon richtig interpretiere, die Netzwerkkarte für das interne Netz hinterlegt. Ich ändere das dann immer auf ein von mir erstelltes Netzwerk. KA ob das so Best Practice ist
So sieht die Firewall Meldung exemplarisch für das Handy aus.
Da ich der Meinung bin, alles eingestellt zu haben wie sonst auch, wundere ich mich gerade etwas.
Als DNS Forwarder dient ein Google DNS und die DNS vom IPS.
Habe ich evtl irgendwo eine Option übersehen die ich sonst gesetzt habe oder eben nicht, die das hervorrufen kann.
Danke
@Bacon: ich hatte mit Sophos unter Proxmox relativ schlechte Erfahrungen gemacht (instabilität, crash vom host) und bin daher an dieser Stelle wieder zu esxi (wo es jetzt seit Wochen problemlos läuft, auf derselben Hardware). Auch empfinde ich die Sicherheit unter ESXi besser weil das Netzwerkinterface selbst nicht direkt von ESXi erreichbar/nutzbar ist. Bei Proxmox läuft z.B. per default erstmal IPv6 auf sämtlichen Interfaces. (von Seiten Proxmox, auch wenn diese Interfaces nur als Linux Bridge konfiguriert sind)
Auch wenn ich dir bei diesem Verhalten nicht direkt weiterhelfen kann, ist dies vielleicht eine Ursache/Erklärung für deinen Proxmox Crash. Eine Erklärung konnte ich anhand der Logs nicht finden. Da diese Maschine nur die Sophos VM beherbergt (Ich teste oft verschiedene Versionen der Sophos bzw. halte mir die Möglichkeit eines Rollbacks nach Update offen) war es ein kurzer Prozess den Hypervisor zu wechseln.
Auch wenn ich dir bei diesem Verhalten nicht direkt weiterhelfen kann, ist dies vielleicht eine Ursache/Erklärung für deinen Proxmox Crash. Eine Erklärung konnte ich anhand der Logs nicht finden. Da diese Maschine nur die Sophos VM beherbergt (Ich teste oft verschiedene Versionen der Sophos bzw. halte mir die Möglichkeit eines Rollbacks nach Update offen) war es ein kurzer Prozess den Hypervisor zu wechseln.
Zuletzt bearbeitet:
Danke für die Info.
Meine Sophos läuft jetzt eigentlich seit 2 Jahren stabil, bis auf den IPsec Tunnel zu einer Fritzbox.
Da habe ich einfach in letzter Zeit den Zugriff von Remote nach Local nicht hinbekommen. Ich vermute aber es liegt seitens Fritzbox, da ich im FW Log keinerlei
Anfragen aus dem Netz der Fritte sehe.
Mein Crash vom PVE lag eher an mir, wollte von v4.x nach v5.x upgraden. Irgendwas ist dabei schief gelaufen und die WebGUI war nicht mehr erreichtbar
und keine VM´s liefen. Da ich ich nur simpler Anwender in vielerlei Hinsicht bin, hat sich eine Neuinstallation als sinnvoller erwiesen.
Somit konnte ich zumindest meine Doku so weit wieder auf Stand ziehen.
Meine Sophos läuft jetzt eigentlich seit 2 Jahren stabil, bis auf den IPsec Tunnel zu einer Fritzbox.
Da habe ich einfach in letzter Zeit den Zugriff von Remote nach Local nicht hinbekommen. Ich vermute aber es liegt seitens Fritzbox, da ich im FW Log keinerlei
Anfragen aus dem Netz der Fritte sehe.
Mein Crash vom PVE lag eher an mir, wollte von v4.x nach v5.x upgraden. Irgendwas ist dabei schief gelaufen und die WebGUI war nicht mehr erreichtbar
und keine VM´s liefen. Da ich ich nur simpler Anwender in vielerlei Hinsicht bin, hat sich eine Neuinstallation als sinnvoller erwiesen.
Somit konnte ich zumindest meine Doku so weit wieder auf Stand ziehen.
Seelbreaker
Enthusiast
- Mitglied seit
- 28.11.2010
- Beiträge
- 613
Hat jemand schonmal einen WLAN stick versucht zum laufen zu bringen? Sowohl physisch als virtuell.
Wäre echt nice wenn das klappt, solange das WLAN als Interface in der sophos auftauchen müsste es ja passen...
Wäre echt nice wenn das klappt, solange das WLAN als Interface in der sophos auftauchen müsste es ja passen...
Philipp Beatdown
Experte
Hallo ihr lieben
ich versuche krampfhaft meinen Ts3 server online zu stellen, jedoch klappt das nicht.
Server: VM mit Ts3 firewall(testweise) aus
Und zwar habe ich unter Network-Protection->Nat->Nat 3 Regel erstellt:
Regeltyp : DNAT
Datenverkehrsquelle: ANY
Datenverkehrsdienst: UDP 9987
Datenverkehrsziel: EXTERNAL (WAN) ADDRESS
Ziel ändern in: IP-DES TEAMSPEAK-SERVERS
Dienst ändern in: (Wahlweise leer gelassen und noch mal den PORT)
Automatische Firewallregel: Angehackt
und das gleiche noch für die Ports: TCP 10011 und TCP 30033
Quellport der einzelnen Dienste ist 1:65535
so , auf der firtzbox habe ich den port 9987 an die externe adresse der utm vergeben.
tja port bleibt trotzdem ZU
an was kann das liegen ?
LG
ich versuche krampfhaft meinen Ts3 server online zu stellen, jedoch klappt das nicht.
Server: VM mit Ts3 firewall(testweise) aus
Und zwar habe ich unter Network-Protection->Nat->Nat 3 Regel erstellt:
Regeltyp : DNAT
Datenverkehrsquelle: ANY
Datenverkehrsdienst: UDP 9987
Datenverkehrsziel: EXTERNAL (WAN) ADDRESS
Ziel ändern in: IP-DES TEAMSPEAK-SERVERS
Dienst ändern in: (Wahlweise leer gelassen und noch mal den PORT)
Automatische Firewallregel: Angehackt
und das gleiche noch für die Ports: TCP 10011 und TCP 30033
Quellport der einzelnen Dienste ist 1:65535
so , auf der firtzbox habe ich den port 9987 an die externe adresse der utm vergeben.
tja port bleibt trotzdem ZU
an was kann das liegen ?
LG
Zuletzt bearbeitet:
Diese Ports müssen offen sein, sowohl von der Fritzbox zur Sophos IP, also auch im DNAT der Sophos:
TS-Support: Welche Ports benutzt Teamspeak 3?
Zuletzt bearbeitet:
Philipp Beatdown
Experte
Hallo
das habe ich , die ports sind offen , es funktioniert aber trotzdem nicht!
das habe ich , die ports sind offen , es funktioniert aber trotzdem nicht!
- Mitglied seit
- 27.03.2007
- Beiträge
- 1.104
Bei der Regel und auch der NAT Regel am bestendie protokollieren temporär für debigging mal einschalten und ins Firewall-Log schauen.