[Sammelthread] Sophos UTM-Sammelthread

[What9000]

Google spuckt mir nichts zu dem Thema aus, daher nun die Frage:
Benutze die Sophos in einer VM auf meinem Homeserver, bin soweit auch sehr zufrieden. Nur mit dem Webfilter habe ich so meine Probleme. Habe ich ihn transparent laufen, funktioniert UPlay nicht und auf den Tablets kein Youtube mehr. Komischerweise wird Youtube aber auf dem Desktop ohne Probleme wiedergegeben. Kann das an den Standard-Filterregeln liegen?

Dabei bin ich nebenher noch am überlegen, ob sich die Sophos für den Heimgebrauch überhaupt lohnt oder nicht eine Firewall a la PFSense reicht. Was meint ihr dazu?

 

[Sandy987]

Tabletts nutzen auch eine andere Seite von Youtube, die Mobile Seite. Was geblockt wird siehst du im Log. Auch kannst du die Seiten zu ner Ausnahme hinzufügen.
Sophos für Home ist oversized, normale Fritzbox etc. reicht da völlig aus. Willst du Kiddies kontrollieren, dann kommst Du an Proxy nicht vorbei!

 

[What9000]

In welchem Log genau?
Im Webfilter-Log stand nur, dass Verbindungen zu localhost nicht erlaubt und der Zugriff wegen unkategorisierter Seite geblockt wurde.
Kiddies möchte ich keine kontrollieren. Mir geht es nur darum, dass ich VOR meinen Endgeräten eine Firewall und einen Proxy bekomme. Habe mir letztens was eingefangen und das möchte ich nicht wieder.

 

[wasp103]

Probleme: NIC verschwunden

Hallo Leute,
Ich verwende die UTM mittlerweile seit ca. einem Jahr als VM. Früher mit ESXI5.1 home, jetzt mit 5.5 essentials.
Was mir früher häufiger passierte, war dass die NICs, die die UTM verwaltet, manchmal einfach verschwinden, bzw. Komplett durcheinandergewürfelt werden.

Setup ist bei mir modem <-> UTM <-> Rest
Wobei der Rest besteht aus Intranet, Management Network, einer DMZ und einem SAN.

Das bedeutet, dass plötzlich am Management- Adapter Intranet-IPs vergeben werden. -Was bei nem Allow nur aus dem Management-Netzwerk schonmal richtig doll ist, von Sicherheitsaspekt mal abgesehen... Zumindest würfelt er die durchgereichte Netzwerkkarte fürs Extranet immer gleich mit weg und nimmt sich selbst vom Netz.

Ich hab viel recherchiert, aber entweder wird das Problem totgeschwiegen, oder es hat sonst keiner. Hatte Installationen mit VMX-Adaptern, mit E1000 Adaptern, als Appliance, als Software-Install, mit festen MACs an den Karten, mit automatisch vergebenen... Alles ohne Erfolg.

Ich dachte, vielleicht wurde es mal gefixt, weil es lang nicht passiert ist, aber gestern dann wieder derselbe Schrott.
Ich kann das ganze nicht reproduzieren, das letzte Up2Date hat er am 28.06. gezogen, also liegts daran wohl auch nicht. Ich spiele gerade wirklich mit dem Gedanken, Sophos den Rücken zu kehren wegen diesem Problem

Habt ihr sowas schon gehabt? Mal was davon gelesen? Nen Fix für mich? Bitte um Hilfe!



Danke schonmal für den seelischen Beistand!

 

[wasp103]

Habe jetzt noch dieses hier gefunden (wurde über ein ähnliches Phänomen bei einem Windows-Server berichtet):
VMware KB: Disabling the HotAdd/HotPlug capability in ESXi 5.x and ESXi/ESX 4.x virtual machines

Hab das VM-Options-Flag "devices.hotplug" entsprechend hinzugefügt und auf false gesetzt und siehe da, die Netzwerkkarte war wieder für die UTM zu finden und die Anschlüsse waren nicht mehr "durcheinander gewürfelt". Und das ganz ohne Neuinstall. Ich bin grad positiv überrascht und zuversichtlich und werde berichten, falls es wieder auftaucht.

Würde aber auch bedeuten, dass den Fehler schon andere mit VMware gehabt haben müssen... Oder schlimmstenfalls irgendwann haben werden :/ Vielleicht hilft Euch meine Odyssey ja zumindest, die Sache bei Euch schneller zu bereinigen.

Alles Gute!

 

[WebY]

Ich habe einen Exchange Server über eine Sophos UTM veröffentlicht...klappt alles super dank der guten Beschreibungen von UTMFAQ.

Nun habe ich beim SMTP Test festgestellt, dass das Relay angeblich nach außen offen ist...das stimmt jedoch nicht, da nur der interne Host relayen darf:

SMTP Server Disconnected - May be an open relay.

Connecting to x.x.x.x

220 mail.domainname.de ESMTP ready. [967 ms]
EHLO MXTB-PWS3.mxtoolbox.com
250-mail.domainname.de Hello mxtb-pws3.mxtoolbox.com [64.20.227.133]
250-SIZE 36700160
250-PIPELINING
250-STARTTLS
250 HELP [780 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 OK [764 ms]
RCPT TO: <test@example.com>

SendSMTPCommand: You hung up on us after we connected. Please whitelist us. (connection lost)

MXTB-PWS3v2 3572ms


Mit einem SMTP Tool kann ich von außen nichts relayen --> Die Serverantwort war: Relay not permitted jedoch verunsichert mich nun die Meldung von der mxrecords toolbox.

Kann mir wer sagen, an welcher Stelle ich noch etwas nachsehen kann? Auf dem Barracuda Mailgateway welches ich woanders administriere, ist das Relaying nach außen nicht geöffnet bzw. wird alles grün beim Check angezeigt.

 

[ott]

Moin ihr UTM Experten,

ich möchte gern weiter in das Thema UTM einsteigen.
Bisher habe ich mit der VM ein bisschen rumgespielt, jetzt soll es aber doch ein Stück Hardware werden.

1)
Könnt ihr mir Hardware-Empfehlungen geben?
- egal ob komplett, barebone, selbstbau
- bis 200€
Einsatzort:
- Heimnetz und Testumgebung
- ca. 20 aktive Netzwerkgeräte und VMs

2)
Gibt es einen "Angänger"-Guide/white paper für ein sicheres Netzwerk (Komponenten/Aufbau/Konzept...) ?

Vielen Dank

 

[WebY]

Moin ihr UTM Experten,

ich möchte gern weiter in das Thema UTM einsteigen.
Bisher habe ich mit der VM ein bisschen rumgespielt, jetzt soll es aber doch ein Stück Hardware werden.

1)
Könnt ihr mir Hardware-Empfehlungen geben?
- egal ob komplett, barebone, selbstbau
- bis 200€
Einsatzort:
- Heimnetz und Testumgebung
- ca. 20 aktive Netzwerkgeräte und VMs

2)
Gibt es einen "Angänger"-Guide/white paper für ein sicheres Netzwerk (Komponenten/Aufbau/Konzept...) ?

Vielen Dank

Guck dir meine Signatur an...bist du mit unter 200€ dabei und ist dazu noch stromsparend.

Hier ein paar Seiten mit sehr guten Artikeln:

Howto's für Sophos UTM, IPv6, Lancom Router, DNS und Email-Sicherheit | UTM FAQ.de
sophos utm | Suchergebnisse | ictschule
Sophos Knowledgebase | Security Articles, Advisories for Sophos

 

[Anarchist]

Moin, ich bin grad dabei Sophos UTM (letzte 9.203-3) in einer virtuellen Umgebung zu testen, bevor ich es richtig einsetze.

Bisher funktioniert es eigentlich ganz gut, bis auf die Tatsache, dass ich unter "Web Protection" -> "Suchmaschinen" keine Einträge bekomme.
Ich habe durch etwas testen bei "Application Control" die "Netzwerksichtbarkeit" aktiviert und seitdem erscheinen zumindest Sucheinträge über Bing.

Ich verstehe aktuell nicht, woran es scheitert, dass z.B. google hier nicht mit erscheint. Kann mir da jemand weiterhelfen?

 

[Eye-Q]

Wahrscheinlich liegt es daran, dass bing ohne SSL verwendet wird und google automatisch auf die SSL-verschlüsselte Seite leitet, wenn man die Website normal über HTTP ansteuert. Ich glaube, dass SSL-verschlüsselter Verkehr nicht in die Netzwerksichtbarkeit einfließt bzw. das nur unter "Sonstiges" verbucht wird.

 

[Anarchist]

Nächste Problem:

ich bekomm einfach keinen Ping nach draußen, ping google.de, ping 8.8.8.8 nichts geht vom Client aus.

Ich habe bald alle Einstellungen durch und verstehe es nicht.

Rest geht, Webseiten funktionieren, DNS.. nur kein Ping nach draußen.

Hab sämtliche ICMP Settings durchprobiert..

EDIT:

Habs geschafft.. es gab keine Masquerading Regel, weil ich das Externe Interface nachträglich eingerichtet habe und nicht direkt bei der Installation!

 

[wasp103]

Das NATing wär mein Tipp gewesen
Gut gem8!

 

[paulianer]

Ich habe die UTM aktuell testweise auf meinem Server laufen im privaten Umfeld (zum testen / lernen). Zwei Fragen:
1) Für wie sicher erachtet ihr den Aufbau Modem > Hyper-V virtuelles Switch INET > UTM > Hyper-V virtuelles Switch LAN > LAN? So hängt der IP-Stack von Hyper-V direkt im Internet...
2) Ich habe Probleme mit privater Software wie z.B. Steam, da diese geblockt wird. Wie handhabt ihr sowas? Per Hand alle Ports / Portranges freischalten? Oder eine Regel a la LAN > ANY > WAN, die den kompletten Sinn hinter dem Einsatz einer UTM zunichte macht?

 

[Anarchist]

In meinem LAN darf erstmal alles raus. Über Sinn lässt sich streiten, aber mir gehts hauptsächlich erstmal um das Logging. Bestimmte Sachen die mich dann stören werden geblockt. Wichtigste für mich ist, dass jetzt der WLAN AP hinter der UTM hängt, da das WLAN von 2 Häusern verwendet wird und ich ka habe wer sich beim Nachbarn alles mal schnell einwählt



Ich weiß echt nicht was ich von der "Network Usage" Übersicht halten soll.., die stimmt ja hinten und vorne nicht.

Eine LinuxVM hinter der UTM:
- ca. 2GB Daten per BTSync aus dem WAN übertragen -> die tauchen gar nicht auf?!
- Debian ISO per wget gezogen, ~270MB -> in der Statistik stieg die Usage bei http auf 121MB.

Ist das so ein Müll?

Hier am Graph zu sehen BTsync auf 500kb/s gedrosselt und die Spitze am Ende der ISO Download

 

[daheym]

Betreibt hier jemand erfolgreich eine JuniperSA mit der UTM als ReverseProxy (Webserver Protection)?
Ich komme leider nicht über die Anmeldeseite hinweg

Edit: Wo sind denn die Jungs die hier immer rumprahlen, dass die bei so vielen Enterprise Kunden unterwegs sind???

 

[wasp103]

Hier mal ein aktueller Stand zur UTM-Problematik.
Es ist wieder passiert!
Was? Siehe meine Posts hier: http://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058-26.html#post22387628

Neues Update auf der UTM auf aktuelle Version 9.204-20 - Reboot - NICs wieder durcheinander gewürfelt.

Habe nun folgendes gefunden und probiere es aus:

https://www.astaro.org/gateway-prod...up2date-licensing/44330-vmware-nic-order.html

So ein Kack, Leute -.-
Hat das wirklich noch niemand von Euch in ner ESX-Umgebung gehabt?

 

[floxx]

ich bin gerade dabei mein Netzwerk daheim neu auf zu bauen und nun meine Frage, kann ich mit Sophos utm home auch einen Virenscanner auf den Clients per remote installieren? mich nervt das ewige manuelle installieren von den freeware tools und dessen popups. Ich weiss das Sophos utm firewall, web und email features ect hat was ich aber nicht benötige. Mir geht es allein um den Virenscanner für die Clients.
Falls diese Funktion kostenpflichtig ist oder nicht realisierbar ist mit Sophos UTM, hätte dann jemand eine alternative für mich? Es sollte kostenlos sein da es wie gesagt ein Heimnetzwerk ist, Danke!

 

[MrDeluxe]

Ist kostenfrei.

Hier weitere Informationen:
http://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosutmendpointprotectiondsna.pdf

 

[EvoluT1oN]

ich bin gerade dabei mein Netzwerk daheim neu auf zu bauen und nun meine Frage, kann ich mit Sophos utm home auch einen Virenscanner auf den Clients per remote installieren?

Wenn Du ein Active Directory einführst, kannst Du die .exe via GPO verteilen. Alternativ kannst Du eine URL die auf einen externen sophos Server zeigt am Client öffnen, welches das Paket herunterlädt. Ein MSI Paket gibt es nicht von Haus aus. Daher muss am Client zumindest das Setup durchgeklickt werden.

Aber ganz ehrlich durch den Busch gesprochen: lass das lieber! Es ist nur eine Frage der Zeit bis die AntiVirus Endpoint Protection der sophos UTM ausgegliedert wird. Es sollte zur Release der 9.2er Firmware deutlich ausgebaut werden, jedoch liegt die Priorität bei sophos aktuell in einem anderen Bereich. Aktuell sieht es so aus als würde die Funktion über Kurz oder Lang komplett verschwinden.

Wenn Du eine Enterprise Lösung haben möchtest ohne großartige Fummelei an den Clients, dann schau dir bspw. Trend Micro Worry Free an.

 

[Interch]

Hier mal ein aktueller Stand zur UTM-Problematik.
Es ist wieder passiert!
Was? Siehe meine Posts hier: http://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058-26.html#post22387628

Neues Update auf der UTM auf aktuelle Version 9.204-20 - Reboot - NICs wieder durcheinander gewürfelt.

Habe nun folgendes gefunden und probiere es aus:

https://www.astaro.org/gateway-prod...up2date-licensing/44330-vmware-nic-order.html

So ein Kack, Leute -.-
Hat das wirklich noch niemand von Euch in ner ESX-Umgebung gehabt?

Ich habe dieses Problem nicht und ich verwende ebenfalls eine ESXi-Umgebung, aber ohne vCenter.

 

[screama]

Ich hab die UTM ebenso im ESXi 5.5 laufen... keine Probleme bisher.

 

[mosjka]

Ich hab die UTM ebenso im ESXi 5.5 laufen... keine Probleme bisher.

Ich schließe mich hier an, ebenfalls nicht ein einziges Problem gehabt.

 

[wasp103]

Würde gern mal Konfigurationen vergleichen.
Hatte die Probleme mit der freien lizenz, als auch jetzt mit der essentials.
Habt ihr eigene MACs vergeben bei der Konfiguration?

Habe nämlich Hinweise gefunden, dass ESX MACs anders verwaltet werden, als manuell vergebene.

Bisher ist es nur aufgetreten, wenn ich die UTM rebootet habe, nachdem ich den esx (konfigurationsbedingt) neu starten musste.
Ich find das schon noch raus.

Ich hab eine NIC per passthrough durchgereicht (extranet) und vier weitere Netze per VMXNET-Adapter.
Wie ists bei euch?

 

[screama]

Ich hab die vom ESXi vergebenen Mac-Adressen behalten und betreibe keinen Passthrough. Als Netzwerkkarten sinds normale E1000 drin.

 

[wasp103]

Hast du noch ne Fritzbox davor, oder verwendest du die UTM auch zur Einwahl?

Ich wollte für die Extranet-Seite (bei mir TAE -> Modem -> Passthrough-NIC) möglichst nich noch nen vSwitch dazwischen und es so direkt wie möglich halten.

 

[linuxadmin]

gelöscht, falschen Thread erwischt.... sorry

 

[screama]

Hast du noch ne Fritzbox davor, oder verwendest du die UTM auch zur Einwahl?

Ich wollte für die Extranet-Seite (bei mir TAE -> Modem -> Passthrough-NIC) möglichst nich noch nen vSwitch dazwischen und es so direkt wie möglich halten.

Kabelmodem <-> Switch <-> ESXi / VM

Vom Kabelmodem werden nur ein paar Ports nach innen zur Sophos gereicht und von dort aus verteilt.

 

[NewUser]

Würde gern mal Konfigurationen vergleichen.
Hatte die Probleme mit der freien lizenz, als auch jetzt mit der essentials.

Wenn der ESXi standalone lief und dann einem vCenter hinzugefügt wurde ändert sich beim Einschalten der VM die MAC Adresse der vNICs, da selbige aus der vCenter ID errechnet wird. Siehe auch How vCenter assigns MAC addresses | EnterpriseAdmins.org und Heads Up! Valid Static Address Ranges in vSphere 5.1 | CormacHogan.com.

Daher schalten wir auf der Arbeit Linux VMs einmal ein, notieren die MAC und konfigurieren diese auf VMware Ebene auf die notierte Adresse.

 

[linuxadmin]

Hallo,

bin auch gerade dabei mich in den Sophos einzuarbeiten.
Ich habe nun aber folgendes Problem:
ich möchte den Internetverkehr für bestimmte Domains/IPs über ein Open-VPN routen, andere Verbindungen halt normal übers Internet. Open-VPN Client habe ich zum laufen bekommen. Firewall sollte dann so sein, dass über das OpenVPN keine eingehenden Verbindungen erlaubt sind.
Nun wird allerdings alles über das VPN geroutet, sobald es gestartet wird. Wo kann man das konfigurieren, ich finde da nichts direkt (und will nicht in der Konsole anfangen rumzubasteln, genau das hoffe ich mit dem Sophos umgehen zu können).

Gruß,
linuxadmin

 

[traxxus]

Ich habe einen Exchange Server über eine Sophos UTM veröffentlicht...klappt alles super dank der guten Beschreibungen von UTMFAQ.

Nun habe ich beim SMTP Test festgestellt, dass das Relay angeblich nach außen offen ist...das stimmt jedoch nicht, da nur der interne Host relayen darf:

SMTP Server Disconnected - May be an open relay.

Connecting to x.x.x.x

220 mail.domainname.de ESMTP ready. [967 ms]
EHLO MXTB-PWS3.mxtoolbox.com
250-mail.domainname.de Hello mxtb-pws3.mxtoolbox.com [64.20.227.133]
250-SIZE 36700160
250-PIPELINING
250-STARTTLS
250 HELP [780 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 OK [764 ms]
RCPT TO: <test@example.com>

SendSMTPCommand: You hung up on us after we connected. Please whitelist us. (connection lost)

MXTB-PWS3v2 3572ms


Mit einem SMTP Tool kann ich von außen nichts relayen --> Die Serverantwort war: Relay not permitted jedoch verunsichert mich nun die Meldung von der mxrecords toolbox.

Kann mir wer sagen, an welcher Stelle ich noch etwas nachsehen kann? Auf dem Barracuda Mailgateway welches ich woanders administriere, ist das Relaying nach außen nicht geöffnet bzw. wird alles grün beim Check angezeigt.

Dasselbe Problem habe ich auch, finde aber keine Lösung. Nachteile oder Sicherheitslücken habe ich aber keine gehabt.