[Sammelthread] Sophos UTM-Sammelthread

In einer Produktivumgebung würde ich es nicht virtualisieren, aber für den heimgebrauch...
Theoretisch bestünde die Möglichkeit, dass sich ein Angreifer über eine komprommittierte VM in der DMZ Zugriff auf das Hostsystem verschafft
Damit bestünde dann natürlich auch Zugriff über die DMZ hinaus.

Aber ich schätze das Risiko recht gering und nutze seit knapp 2 Jahren mein Sohpos auch in einer ESXI Umgebung.

(Sophos auf einem getrennten System hilft dabei aber auch recht wenig, wenn du DMZ und Private VM's nicht auch auf getrennter Hardware rennen hast)

Generell schätze ich die Sicherheit immer noch sehr hoch ein, ansonsten würde es wohl auch kaum als Virtual Appliance angeboten...
Ich würde mal tippen, dass es bei > 90% der Nutzer hier virtualisiert läuft.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielen Dank für die ausführliche Antwort.

Dann werde ich es über Ostern mal einrichten und schaue, wie gut das funktioniert. :)
 
Tr4c3rt schrieb:
Aber ich schätze das Risiko recht gering und nutze seit knapp 2 Jahren mein Sohpos auch in einer ESXI Umgebung.

(Sophos auf einem getrennten System hilft dabei aber auch recht wenig, wenn du DMZ und Private VM's nicht auch auf getrennter Hardware rennen hast)
Zum Vergrößern anklicken....

wenn man getrennte NICs benutzt und KVM bzw esxi ist das Risiko kaum da (also z.B. ne 4 Port GBit per passthrough nur für die VM) ... bei anderen "virtualisierungen" sieht es etwas schlechter aus (mal von BSD abgesehen)
 
Zuletzt bearbeitet:
pumuckel schrieb:
wenn man getrennte NICs benutzt und KVM bzw esxi ist das Risiko kaum da (also z.B. ne 4 Port GBit per passthrough nur für die VM) ... bei anderen "virtualisierungen" sieht es etwas schlechter aus (mal von BSD abgesehen)
Zum Vergrößern anklicken....

Selbst wenn man die NICs nicht durchreicht schätze ich das Risiko mal als sehr gering ein. Sofern man diesen Aufbau nur zuhause nutzt. In der Firma würde ich so etwas niemals einsetzen.
 
ezzq schrieb:
Selbst wenn man die NICs nicht durchreicht schätze ich das Risiko mal als sehr gering ein. Sofern man diesen Aufbau nur zuhause nutzt. In der Firma würde ich so etwas niemals einsetzen.
Zum Vergrößern anklicken....

grad da ist die Virtualisierung recht sinnvoll .... es zerbröselt dir jemand der pseudo admins das system und du stellst einfach den Snapshot wieder her :)
 
verstehe nicht wieso "pseudo admins" überhaupt Zugriff drauf haben aber nun gut anderes Thema...
Ich würde trotzdem eine Unternehmens Firewall nicht virtualisieren wenn ein HA vorhanden sein soll.
Zum testen oder wenn Sie nur als Gateway oder ähnliches intern dienen soll meinetwegen.
Aber das muss jeder oder jedes Unternehmen selber wissen
 
wenn man getrennte NICs benutzt und KVM bzw esxi ist das Risiko kaum da (also z.B. ne 4 Port GBit per passthrough nur für die VM) ... bei anderen "virtualisierungen" sieht es etwas schlechter aus (mal von BSD abgesehen)
Zum Vergrößern anklicken....
Wo ist denn da der Sinn?
Wenn wirklich jemand aus einer DMZ VM heraus den Host kapert hat er auch Zugriff auf die anderen VM's.
Völlig egal wie die ans Netzwerk angebunden sind.
Das Einzige was dagegen schützt ist nunmal eine komplette Hardware Trennung der gesamten Infrastruktur hinter Sophos...
Bei dem was du vorschlägst kann man vom Sicherheitsfaktor her auch gleich Sophos auf demselben Server virtualisieren und spart auch noch Geld für eine 4xGbit Nic.

Aber wie gesagt das Wissen um von der VM das Hostsystem zu kompromittieren dürfte wohl nur wenigen vorbehalten sein.
Und ob die daran Interesse haben...

Ich formuliere mal anders:
Sophos in einer VM ist für einen Heimanwender immer noch um Faktor 1000 sicherer als der schlecht konfigurierte Consumer Router einer durchschnittlichen Arztpraxis.
 
Zuletzt bearbeitet:
Na wer von einer VM oder einem Jail den Host über nehmen kann, den stört auch keine Firewall :)

Die 50€ für ne quad Gbit sind nun nicht sooooo teuer , wers nicht haben mag, der kann ja sparen :)

Gesendet von meinem P8 mit der Hardwareluxx App
 
Na wer von einer VM oder einem Jail den Host über nehmen kann, den stört auch keine Firewall
Zum Vergrößern anklicken....
Genau das ist aber der einzige Grund nicht zu virtualisieren, eben dass keine HW Trennung zwischen DMZ und VMs entsteht.
Die 50 Euro für die Nic sind eben einfach zum Fenster rausgeworfen, insofern viel Geld...
 
Hat schon mal wer eine Sophos UTM auf einem vServer installiert?

Netcup z.B. bietet bei den größeren vServern an, eigene ISOs zum installieren hochladen zu können. Das wäre natürlich klasse.
 
teqqy schrieb:
Fritzbox mit allen Funktionen -> UTM (auf Hyper-V virtualisiert) -> Mein Lan -> WLAN etc...
----------------------------------> LAN/WLAN der Schwiegereltern
Zum Vergrößern anklicken....

Hmm ich habe unter hyper-v auch probleme mit dem netzwerkadapter. Unter vmware nicht. Liegt sicher daran

- - - Updated - - -

Opticum schrieb:
Hat schon mal wer eine Sophos UTM auf einem vServer installiert?

Netcup z.B. bietet bei den größeren vServern an, eigene ISOs zum installieren hochladen zu können. Das wäre natürlich klasse.
Zum Vergrößern anklicken....

Hab ich bei netcup probiert, die installation lief ewig. Habs gelassen. Aber den sinn dahinter verstehe ich grad nicht. Was willst du erreichen?
 
cimbo: Site to Site VPN, geht zwar auch mit OpenVPN aber Sophos kenn ich mich mit aus. Ich habe leider nur einen DS-Lite Internetanschluss, mit Site to Site und NAT kann ich zumindest wieder IPv4 "reinholen"

habe mal bei Netcup einen vServer bestellt und werde das mal testen

ohne Schleichwerbung machen zu wollen, dieses Produkt habe ich zum testen bestellt: https://www.netcup.de/bestellen/produkt.php?produkt=1097 (Kein Ref Link oder ähnliches!)

werde berichten sobald ich freigeschaltet wurde ob es funktioniert.
 
Zuletzt bearbeitet:
Opticum schrieb:
cimbo: Site to Site VPN, geht zwar auch mit OpenVPN aber Sophos kenn ich mich mit aus. Ich habe leider nur einen DS-Lite Internetanschluss, mit Site to Site und NAT kann ich zumindest wieder IPv4 "reinholen"

habe mal bei Netcup einen vServer bestellt und werde das mal testen

ohne Schleichwerbung machen zu wollen, dieses Produkt habe ich zum testen bestellt: https://www.netcup.de/bestellen/produkt.php?produkt=1097 (Kein Ref Link oder ähnliches!)

werde berichten sobald ich freigeschaltet wurde ob es funktioniert.
Zum Vergrößern anklicken....

Ich hab Sophos unter ESXI auf einen Root Server in Frankreich laufen um somit VMS einen dedizierte IP Adresse teilen
 
sepei: hast du dort mehrere IPv4 Adresse beokmmen? Nachdem was ich mir durchgerechnet hatte, wäre es relativ teuer mit ESXI auf einem Root Server. Vielleicht hast da ja den passenden Tip für einen Anbieter? :)
 
Opticum schrieb:
cimbo: Site to Site VPN, geht zwar auch mit OpenVPN aber Sophos kenn ich mich mit aus. Ich habe leider nur einen DS-Lite Internetanschluss, mit Site to Site und NAT kann ich zumindest wieder IPv4 "reinholen"
Zum Vergrößern anklicken....

Also willst du quasi eine Cloud Sophos nutzen? Auch ne Idee. Aber was du mit IPv4 "reinholen" meinst, verstehe ich noch nicht. Oder willst du quasi bestimmte Dienste in deinem Homelan über eine öffentliche IP Adresse freigeben? Dann ist es doch eine durchaus plausible Idee :)
 
teqqy schrieb:
Ich habe keine Probleme mit meiner NIC. Nutze als vSwitch für intern und extern die onBoard vom Supermicro Board.
Zum Vergrößern anklicken....

Kannst du mir genauere Infos zu deiner externen NIC geben? Bei mir bricht der Verbindung immer ab. Wie ist der Switch konfiguriert, welchen Netzwerkchip setzte du ein? Wie ist deine VM konfiguriert?
 
cimbo schrieb:
Also willst du quasi eine Cloud Sophos nutzen? Auch ne Idee. Aber was du mit IPv4 "reinholen" meinst, verstehe ich noch nicht. Oder willst du quasi bestimmte Dienste in deinem Homelan über eine öffentliche IP Adresse freigeben? Dann ist es doch eine durchaus plausible Idee :)
Zum Vergrößern anklicken....

Ja, genau. Durch CG-NAT habe ich keine eigene IPv4 mehr. Durch die "Cloud" Lösung wäre das wieder möglich. Durch die dann feste IP und RDNS Eintrag könnte ich das auch als Mail Relay benutzen zum senden und empfangen.
 
Opticum schrieb:
Ja, genau. Durch CG-NAT habe ich keine eigene IPv4 mehr. Durch die "Cloud" Lösung wäre das wieder möglich. Durch die dann feste IP und RDNS Eintrag könnte ich das auch als Mail Relay benutzen zum senden und empfangen.
Zum Vergrößern anklicken....
Und wenn du dafür genauere Infos für mich hast wäre ich auch seeehr dankbar, denn mir ist die Buissness-DSL-Leitung von den magenta-farbenen auf lange Sicht einfach zu teuer, nur um die feste ip zu haben für nen mail-/groupware-server
 
Ich bekomme es nicht hin .. das Problem wird sein das ich nur 1 IP Adresse und 1 Netzwerk Interface bekommen habe.

Site2Site funktioniert zwar, ich kann allerdings keine Verbindung vom Sophos Cloud zur lokalen Sophos einrichten. Da passt das vom Routing her nicht.

Vielleicht habe ich auch einen Denkfehler eingebaut. Hat wer ne Idee oder Tip?
 
Du brauchst für die Firewall schon zwei NICs. Am Besten wäre es dann allerdings schon wenn du zwei physikalische NICs hast, auf zwei vSwitchen in unterschiedlichen Netzen. Ansonsten geht es auch mit einem Subnetz. Dann brauchst du aber dennoch zwei vNICs in der UTM.
 
wegen dem Routing, oder?

werde mal den Support Fragen ob es möglich ist eine zweite NIC zu bekommen.
Die müssen aber nicht beide eine öffentliche IPv4 dann haben, eine reicht ja, nehme ich an?
 
Es funktioniert! Juchu.

Eingehende Verbindung auf der öffentlichen IPv4 vom Netcup / Sophos Cloud Server wird weitergeleitet über Site2Site auf meine Sophos UTM daheim.

Jetzt das ganze noch ausgehend, und dann gibt's - bei Bedarf - noch eine Anleitung dazu :-)

Edit: Ausgehend funktioniert jetzt auch per Multipath.
Witzigerweise habe ich über die VPN Verbindung einen schnelleren PING zu Hetzner / Netcup IPs als direkt raus.
 
Zuletzt bearbeitet:
Ausgehend macht aber nur bedingt sinn, zumindest sehe ich gerade keinen darin.

Natürlich kann man auch eine Firewall mit einer NIC betreiben. Ist zwar anfangs etwas unlogisch, aber da er über VPN sein Netz per NAT weiterleiten will, gibt es auch Sinn.
 
ausgehend macht auch Sinn wenn man einen Mailserver betreiben möchte.
 
Ich betreibe derzeit eine IPFire Appliance mit 4 Nics. Möchte aber gerne mal zu UTM switchen. Ist die Installation sehr kompliziert und anders? MAcht es eher Sinn meine Fritzbox wählen zu lassen oder soll ich die als reines Modem "mißbrauchen".
 
Ich habe bei mir die Fritzbox 6360 zum Modem degradiert. So hast du kein Doppel NAT und keine Probleme bei der Terminierung von VPN Verbindungen an der Fritzbox.
 
Gute Sache. Die fritze stellt halt nur noch ein wlan im keller für mich dar. das kann ich dann glaube ich wohl vergessen. ;)
 
Hallo,

manche Applikationen funktionieren nicht aufgrund der dazwischen liegenden Sophos UTM, wie z.B. Whatsapp Call. Mit LTE gehts, wenn ich im WLAN bin nicht. Es wird leider nichts in der Firewall geloggt. Den WLAN-AP schließe ich aus. Da ist kein Port gesperrt.

Danke!
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh