[Sammelthread] Sophos UTM-Sammelthread

[Revan]

Ja, so hab ichs probiert, geht nur leider nicht:

- HTTP/HTTPS von PC nach Internet v4 erlaubt zw. 8:00 und 17:00 Uhr
- Webprotection auf Whitelist
== Kein Zugriff

Zum Testen:
- Any von PC nach Any verboten zw. 8:00 und 17:00 Uhr
- Webprotection auf Blacklist
== Zugriff

Ich nehme an das die Firewallregel greift wenn ich die Webprotection deaktiviere, aber der User soll ja auch während der Arbeitszeit nicht auf die generell blockierten Seitenkategorien zugreifen dürfen, daher ist das jetzt keine wirkliche Alternative.

Hatte das schon im Sophos-Forum gepostet, leider weiß dort auch niemand Rat.

 

[Fr3@k]

Wenn du die Web Protection verwendest dann musst du das über Filter Assignments Lösen.


Da Kannst du genauso ein zuvor erstelltes Zeitfenster auswählen - eine Filter Action(z.B. Social Media während der Arbeitszeit verboten)
zuweisen und die User auf die diese Richtlinie zutrifft.

 

[daheym]

Zudem könnte man ein schönes Gastnetz aufbauen in dem Nur Port 80 und 443 zur Verfügung stehen. Alles nette Sachen, die mir aber irgendwie dann doch keine knapp 500 Euro wert wären.

Das kannste auch mit fast jedem billig Router (z.B. TP-Link tl-wr1043nd mit DD-WRT).
2 SSIDs, jeweils in einem VLAN und für das eine Netz eben nur die Ports oder Anwendungen freigeben welche gewünscht sind.

 

[XTaZY]

Version 9.102-8 ist released !

Sophos UTM 9.102

[B]News[/B]
• Security update 
• Fix memory leak in IPv6 kernel code that could be abused for remote DoS 

[B]Remarks[/B]
• System will be rebooted 

[B]Bugfixes[/B]
• 26192 Since 9.101 Web Filter uses excessive amounts of CPU

[B]Download:[/B]
Up2date Link: [URL="ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.101011-102008.tgz.gpg"]ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.101011-102008.tgz.gpg[/URL]
Up2Date MD5Sum: 7a6e09ca779b080ef1e8d3ce76235771
Up2Date Size: ~28.5 MB

Up2Date 9.102008 package description:

Remark:
 System will be rebooted

News:
 Security update
 Fix memory leak in IPv6 kernel code that could be abused for remote DoS

Bugfix:
 Fix [26192]: Since 9.101 Web Filter uses excessive amounts of CPU

RPM packages contained:
 perf-tools-3.8.6-6.g91bc86c.i686.rpm              
 ep-httpproxy-9.10-40.gd74ad5b.i686.rpm            
 kernel-smp-3.8.6-6.g91bc86c.i686.rpm              
 kernel-smp64-3.8.6-6.g91bc86c.x86_64.rpm          
 ep-release-9.102-8.noarch.rpm

Quelle: UTM 9.102 Soft-Released - Sophos User Bulletin Board

 

[Revan]

Wenn du die Web Protection verwendest dann musst du das über Filter Assignments Lösen.
Anhang anzeigen 239879

Da Kannst du genauso ein zuvor erstelltes Zeitfenster auswählen - eine Filter Action(z.B. Social Media während der Arbeitszeit verboten)
zuweisen und die User auf die diese Richtlinie zutrifft.

Das war mein erster Ansatz.

Ich habe einen Filter erstellt als Blacklist, mit den im Unternehmen erlaubten Webseitenkategorien, die derjenigen Usergruppe zugewiesen und die Zuweisung dann auf die Zeit zwischen 8:00 - 17:00 Uhr beschränkt. Standard Fallback Action war "alles geblockt"

Nur leider funktioniert es nicht. Die User haben trotzdem nach 17:00 Webzugriff

 

[teqqy]

Das kannste auch mit fast jedem billig Router (z.B. TP-Link tl-wr1043nd mit DD-WRT).
2 SSIDs, jeweils in einem VLAN und für das eine Netz eben nur die Ports oder Anwendungen freigeben welche gewünscht sind.

Ich brauche aber 3 Stk im Haus und diese kann ich dann nicht über ein Punkt managen (DHCP, Access-Listen, etc).

 

[daheym]

Ich brauche aber 3 Stk im Haus und diese kann ich dann nicht über ein Punkt managen (DHCP, Access-Listen, etc).

DHCP machst du auf UTM (bitte nicht auf dem AP, uhhaaa. Mit vielen APs (=Router) funktioniert das auch gar nicht, da sie sich selbst als GW und DNS setzen)
ACLs machst du auf UTM

was noch?

 

[teqqy]

Accesslisten (nach Port) kann ich auch unter DDWRT einstellen, wenn ich das richtig in Erinnerung habe. Wenn der AP GW und DNS ist funktioniert ja kein anständiges Roaming...

 

[daheym]

Accesslisten (nach Port) kann ich auch unter DDWRT einstellen, wenn ich das richtig in Erinnerung habe.

Das mag sein. Aber damit baust du dir genau das Problem das du doch eigentlich nicht haben willst (= dezentrales Management).
Pack die ACLs doch auf die UTM..!?

Wenn der AP GW und DNS ist funktioniert ja kein anständiges Roaming...

Eben, deshalb GW + DNS = UTM

Im Endeffekt musst du nur die SSIDs dezentral konfigurieren, den Rest kannst du auf der UTM machen.

 

[teqqy]

Irgendwie stehe ich jetzt auf dem Schlauch.

Wenn ich 3 APs an der UTM hängen habe und diese sämtliche Dienste wie DNS, DHCP und GW bereit stellt dann kann ich doch keine zwei SSIDs für ein normales und ein Gastnetz erstellen.

 

[daheym]

Ob 1 oder 3 APs spielt keine Rolle. Du hast an jedem AP 2 SSIDs:

SSID "privat" -> VLAN 1
SSID "guest" -> VLAN 2

An der UTM hast du die gleichen VLANs mit unterschiedlichen Netzen, DHCP, etc.

 

[millenniumpilot]

Hallo Ihr,

da mein ESXi nun zusätzlichen Speicher erhalten hat und ich eine Intel PRO/1000 PT Dual Port Server bekommen habe, möchte ich mich nun auch an der Sophos UTM versuchen.
Kennt jemand eine paar gute HowTo's? Die Konfiguration scheint ja nicht ganz trivial zu sein. Hilfreiche Kenntnisse durch die jahrelange Verwendung von Fli4L und IPCop sind aber vorhanden.

 

[Fr3@k]

Hallo und Willkommen als baldiger UTM Benutzer


hier findest du das aktuellste Administrationshandbuch:
http://www.sophos.com/en-us/medialibrary/PDFs/documentation/utm9006_manual_eng.pdf

Die Grundkonfiguration ist eigentlich recht einfach, solltest du irgendwo Hilfe brauchen
kannst du mir gerne eine PN Schreiben dann schick ich dir meine Skype Addresse und dann können wir das da bequatschen.

 

[millenniumpilot]

OK, danke. Werde dann ersteinmal viel lesen.

 

[Sandy987]

Ich nehme an das die Firewallregel greift wenn ich die Webprotection deaktiviere, aber der User soll ja auch während der Arbeitszeit nicht auf die generell blockierten Seitenkategorien zugreifen dürfen, daher ist das jetzt keine wirkliche Alternative.

Richtig. Wenn Du Proxy an hast, dann darf keine HTTP FW Regel an sein. Scannst du zusätzlich mit dem Proxy SSL traffic, dann darf auch in der FW die HTTPS Regel nicht aktiv sein!
Was dir übrig bleibt, die Proxy Profile zu nutzen.

---------- Post added at 22:10 ---------- Previous post was at 21:56 ----------

Ich habe gerade das Problem, das er die UTM9 partu nicht zur AD hinzufügen will. Woran kann das liegen?

Grüße

Was sagt Kerberos? Stimmt die Zeit zw. dem DC und UTM? Voraussetzung, dass die beide Maschinen identische Zeit haben.

 

[Revan]

Kannst du das mit den Proxy-Profilen näher erläutern?

 

[koaschten]

Sag mal Fr3@k, in wie weit ist UTM eigentlich für den privaten Gebrauch kostenfrei und was sind die Beschränkungen?

Sophos UTM Home Edition Essential Firewall Download ist ja doch ein wenig allgemein gehalten.

 

[Sandy987]

Kannst du das mit den Proxy-Profilen näher erläutern?

Ich habe z.Z. keine UTM hier um das nachzustellen.
Ich denke aber, wenn Du d. Video mal angeschaut hast, dann weißt Du, wie Du weiter vorgehen kannst...

Setting up Web Filtering Profiles - Training Episode 6 - YouTube

---------- Post added at 11:22 ---------- Previous post was at 11:09 ----------

Sag mal Fr3@k, in wie weit ist UTM eigentlich für den privaten Gebrauch kostenfrei und was sind die Beschränkungen?

Sophos UTM Home Edition Essential Firewall Download ist ja doch ein wenig allgemein gehalten.

Wurde hier schon irgendwo beschrieben.
Einschränkungen:
- User Portal ist auf ENG und kann nicht auf DE umgestellt werden.
- Proxy Benachrichtigungen bzw. PopUps sind auch auf ENG und können nicht auf DE umgestellt bzw. editiert werden.
- von der Firewall und weiteren technischen Security Einstellungen ist die private Lizenz mit FullGuard vergleichbar.
- Bei Endpoint Protection kannst du für 12 User ( 10 lizenzierte Benutzer + 2 freie Benutzer )zusätzlich Antiviren Software von Sophos verteilen, mit FullGuard Lizenz nur 2.
- bei Mail Quarantänebericht kann die Zeit nicht definiert werden
- die private Lizenz ist auf 50 Benutzer (IP-Adressen) beschränkt
- die private Lizenz ist auf aktive/passiv Cluster beschränkt, bei Full Guard ist es fast genau so
- private Lizenz ist 3 Jahre gültig

Ich denke aber, dass diese Einschränkungen (Sprachen Einstellungen) über CLI aufgehoben werden können. Beschäftigt habe ich mich damit aber noch nicht...

 

[Revan]

Nein, leider hilft das Video nicht. Die Proxy-Profile und Webfilter Assignments sind bei uns ganz ähnlich aufgebaut, nur wird bei uns die Authentifizierung per SSO durchgeführt. Einen zeitlich beschränkten Zugriff aufs Internet ist so nicht hinzubekommen.

 

[Fr3@k]

Neue Firmware 9.103005 released:

Up2Date 9.103005 package description:

Remarks:
System will be rebooted
Configuration will be upgraded
Connected Wifi APs will perform firmware upgrade

News:
Bugfix Release
Fixed: Permission errors for auditor rules
Changed: Better adapt IPS configuration to machine capabilities
Changed: Notifications for Site-to-Site VPN and RED tunnels are separate
Changed: Wifi channel 165 is available in Taiwan

Bugfix:
Fix [24922]: after reboot syslogng was not started

RPM packages contained:
libnetfilter_conntrack-1.0.2-3.g257dcce.i686.rpm
libnetfilter_queue1-1.0.2-3.g37e5537.i686.rpm
libopenssl1_0_0-1.0.1e-1.1.1038.gd2ef759.i686.rpm
libopenssl1_0_0_httpproxy-1.0.1e-1.1.1038.gd2ef759.i686.rpm
libsaviglue-9.10-5.g05a36fb.i686.rpm
client-openvpn-9.10-2.g93d4092.noarch.rpm
modsecurity2-2.5.12-623.g1e82387.rb1.i686.rpm
openssl-1.0.1e-1.1.1038.gd2ef759.i686.rpm
perf-tools-3.8.6-15.g16fa7cb.i686.rpm
perl-Perl-Tidy-20121207-1.269.g03566e8.rb2.noarch.rpm
tcpdump-3.9.8-1.21.1594.g4fd8310.rb1.i686.rpm
ep-reporting-9.10-8.g7e2bb6e.i686.rpm
ep-reporting-c-9.10-16.g34a1220.i686.rpm
ep-reporting-resources-9.10-8.g7e2bb6e.i686.rpm
ep-aua-9.10-10.g012c059.i686.rpm
ep-branding-ASG-afg-9.10-7.g0d8c64e.noarch.rpm
ep-branding-ASG-ang-9.10-7.g0d8c64e.noarch.rpm
ep-branding-ASG-asg-9.10-7.g0d8c64e.noarch.rpm
ep-branding-ASG-atg-9.10-7.g0d8c64e.noarch.rpm
ep-branding-ASG-aug-9.10-7.g0d8c64e.noarch.rpm
ep-confd-9.10-107.g47514e3.i686.rpm
ep-confd-tools-9.10-97.g6ad3c75.i686.rpm
ep-epsecd-9.10-10.g3d6716e.i686.rpm
ep-init-9.10-5.g6e22b58.noarch.rpm
ep-ipv6-watchdog-0.5-0.137235993.g4f7a0a5.i686.rpm
ep-localization-afg-9.10-52.g7852b81.i686.rpm
ep-localization-ang-9.10-52.g7852b81.i686.rpm
ep-localization-asg-9.10-52.g7852b81.i686.rpm
ep-localization-atg-9.10-52.g7852b81.i686.rpm
ep-localization-aug-9.10-52.g7852b81.i686.rpm
ep-mdw-9.10-97.g0b23413.i686.rpm
ep-notifier-9.10-5.gd70d121.i686.rpm
ep-repctl-0.1-0.135683822.g266cb29.i686.rpm
ep-syslog-ng-9.10-1.g760e708.noarch.rpm
ep-webadmin-9.10-75.gfe931f6.i686.rpm
ep-wireless-firmware-4022-0.gcffe312.i586.rpm
ep-chroot-smtp-9.10-17.g42fdbe9.i686.rpm
chroot-afc-9.10-6.g1a6494e.i686.rpm
chroot-ipsec-9.10-1.g7412661.i686.rpm
chroot-openvpn-9.10-7.g6a91d17.i686.rpm
chroot-smtp-9.10-9.g27d2900.i686.rpm
ep-chroot-pop3-9.10-38.gbe126db.i686.rpm
ep-httpproxy-9.10-70.gb848cab.i686.rpm
kernel-smp-3.8.6-15.g16fa7cb.i686.rpm
kernel-smp64-3.8.6-15.g16fa7cb.x86_64.rpm
ep-release-9.103-5.noarch.rpm

 

[Huwiseg]

Hi,

ich "muss" bzw. darf mich beruflich in nächster Zeit mit den Astaros auseinandersetzen und arbeite mich gerade ganz grob ein. Ich hatte gestern bereits eine Installation in einer HyperV VM (Windows 8) laufen und war erschlagen von den Funktionen und Features die alleine schon in der Home Variante enthalten sind. Nun würde ich am Wochenende gerne zum Testen der Features und Konfigurationen das Heimnetzwerk darüber abwickeln, allerdings mangelnder freier Hardware nur in einer VM.

Für die Kids (feste IPs per Sophos an MAC gebunden, sollte ja gehen) werd ich mich dann am Webfilter versuchen.

Ich würde dann DHCP im Router deaktivieren und per Sophos regeln. Im Router rennt auch WLan was aktiv bleiben soll aaaber über die Sophos gesichert werden soll.

Wäre es generell notwendig, da der PC eh an dem Router hängt, ein zweites NIC im PC zu verwenden um eine NIC per zwei vSwitch Netzen an Sophos für in und out zu binden? Klingt erstmal unsinnig den PC mit 2 NICs an den Router zu hängen auch wenn die eine NIC mit 2 vSwitch im HyperVM an die Sophos VM gebunden wird für in und out.

Oder würdet ihr eine andere Umsetzung empfehlen? Möglich wäre auch eine zweite NIC im PC für den Router der das DSL aufbaut. Die NIC würde ich dann an die VM mit Sophos binden (in und out). An den Router(?) käme dann ein WRT der das lokale Netz und WLan umsetzt. Die erste NIC vom PC käme dann an den WRT.

Allerdings klingt das in beiden Fällen irgendwie doppelt gemoppelt. Ich bin ja so aufgeregt *g*

 

[MrDeluxe]

Gibt es Informationen ob Sophos ebenfalls Backdoors für die NSA/Geheimdienste verwendet?

 

[LichtiF]

Deswegen gibt es bei uns in der Firma 2 mehrere Firewall stufen von verschiedenen Herstellern

 

[daheym]

Gibt es Informationen ob Sophos ebenfalls Backdoors für die NSA/Geheimdienste verwendet?

Das wird schwierig, da das Teil wegen Firmware updates, Antivir + IPS Patterns, Lizenz, etc. ständig nachhause quatscht...

Deswegen gibt es bei uns in der Firma 2 mehrere Firewall stufen von verschiedenen Herstellern

Und da wird es jetzt interessant. Welche Firewalls/Hersteller habt ihr denn?
Früher haben sich Firmen gerne eine Astaro, Phion oder Utimaco ins Netz gestellt um das eventuelle home- & NSA-calling der ciscos, checkpoints, junipers, etc. zu verhindern, da man auf deutsche Unternehmen vertraut hat.
Aber mittlerweile ist halt Astaro & Utimaco -> Sophos und Phion -> Barracuda. Ein mehrstufiges Konzept mit diesen Herstellern würde ich daher keinen Kunden mehr empfehlen.

 

[LichtiF]

Da ich die Firewall Systeme bei uns nicht mehr betreue weiß ich es nicht genau. Wir haben im Rechenzentrum mehrstufiges Firewall Konzept + unser Ministerium ist nochmal mit einer Firewall geschützt (früher hatte ich die Verwaltet war eine Cisco PIX) ist inzwischen aber auch auf einem neuen System das durch die EDVler vom Rechenzentrum verwaltet wird.

So werde mir jetzt zuhause auch mal die Sophos anschauen erstmal als VM und später wohl als Hardware Kiste.

 

[991jo]

Mal ne kurze Frage: Wie sieht das den aus mit dem Ping? um wie viel wird der den so circa dadurch höher? Man hat ja noch 1 Gerät mehr, durch das man seine Verbindung schleußt.

 

[teqqy]

Ich würde sagen, es kommt auf die Hardware an. Bei meinem alten Brötchengeber haben die das System nur um 1 ms verlangsamt. War allerdings auch Cisco und keine Sophos.

 

[daheym]

Mal ne kurze Frage: Wie sieht das den aus mit dem Ping? um wie viel wird der den so circa dadurch höher? Man hat ja noch 1 Gerät mehr, durch das man seine Verbindung schleußt.

Das muss ja nichts zwangsweise so sein. Kannst mit der UTM ja auch direkt PPPoE Verbindungen aufbauen, dann hast du die gleiche Anzahl an Hops.

Zum Vergleich: Eine FritzBox 7170 hat eine 211MHz Popel-CPU, eine UTM idR "etwas" mehr Leistung

 

[dapc]

Hallo,

habe mir meinen Server mit WS2012 und Hyper-V die letzten Tage aufgesetzt und habe jetzt noch in einer VM Sophos UTM9 installiert. Dabei habe ich eine Netzwerkkarte nur für die VM (WAN) eingerichtet und die andere läuft ins Netzwerk, wo auch die anderen VM's und Clients danhängen.
Leider habe ich das Problem, dass das Internet extems langsam ist. Meistens baut er die Seite garnicht auf.
Könnt ihr mir da weiterhelfen?
System:
Intel Xeon 1230V2
32GB RAM (3GB für UTM9)
UTM9 läuft auf einer SSD mit.

 

[chaser21a]

Hallo Leute,

ich würde durch meine Firma kostenlos an eine Astaro ASG220 rev3 kommen und überlege mir diese in meinem Heimnetzwerk einzusetzen.
Würde diese mit UTM9.1 HomeLizenz nutzen. (mit RAM upgrade auf 2GB)

Habe in einem anderen Forum gelesen, dass man die Ports der Asg 220 rev3 in der Software auf gigabit schalten kann. Leider stand dort nicht wie man das genau macht.
Hat jemand Erfahrung damit und könnte mir Helfen wie ich das hinbekommen?

Ich habe auch geplant meine lokalen Virenscanner durch Sophos EndpointProtection Agents zu ersetzen, gibt es Gründe die eurer Meinung nach dagegen sprechen?