[Sammelthread] Sophos UTM-Sammelthread

[KlimperHannes]

Hi,

habe mal Sophos auf Empfehlung in einem anderen Thread auf dem ESXi installiert.
Ziel soll es sein, meinen Webserver abzuschotten.
Ich habe 3 Intefaces angelegt
WAN, LAN und DMZ

WAN und LAN hängen am gleichen vSwitch. Der eine nutzt die Fritzbox als Uplink ins Internet und die LAN Schnittstelle nutze ich zum Management.
Die DMZ hat einen separaten vSwitch an dem auch der Webserver hängt.

Wie konfiguriere ich nun das DMZ? Soll der Webserver ausgehend NATTEN oder per Routing raus?! Irgendwie muss er ja an seine updates kommen.
Und Eingehend sicherlich über NAT Rules, korrekt?

 

[Eye-Q]

WAN und LAN hängen am gleichen vSwitch. Der eine nutzt die Fritzbox als Uplink ins Internet und die LAN Schnittstelle nutze ich zum Management.

Das heißt Du kannst mit deinen internen Geräten an der Sophos vorbei ins Internet, ist das wirklich so gewollt?

Wie konfiguriere ich nun das DMZ? Soll der Webserver ausgehend NATTEN oder per Routing raus?! Irgendwie muss er ja an seine updates kommen.
Und Eingehend sicherlich über NAT Rules, korrekt?

Es muss auf jeden Fall eine Maskierungsregel DMZ -> WAN geben. In die umgekehrte Richtung darf es keine Maskierungsregel geben. In der Firewall der Sophos müssen dann noch die Ports von der DMZ in Richtung WAN freigegeben werden, die der Webserver braucht, um "an seine Updates zu kommen" (was auch immer das heißt).

Wenn Du den Webserver abschotten willst, darf keine einfache Portweiterleitung in Form eines NAT eingerichtet werden, sonst steht der Webserver wieder offen im Internet. Dafür ist die Web Application Firewall da, die dann den Verkehr von extern auf Bedrohungen durchsucht.

 

[KlimperHannes]

Das heißt Du kannst mit deinen internen Geräten an der Sophos vorbei ins Internet, ist das wirklich so gewollt?

Im Moment ja. Primär geht es darum, den Webserver davor abzusichern, dass bei einem Einbruch in diesen nicht auf's LAN zugegriffen werden kann.
In der späteren Ausbaustufe soll auch noch der Server für die Heimautomatisierung gesichert werden. Sprich: Nur bestimmte Clients dürfen draufzugreifen.

Es muss auf jeden Fall eine Maskierungsregel DMZ -> WAN geben. In die umgekehrte Richtung darf es keine Maskierungsregel geben. In der Firewall der Sophos müssen dann noch die Ports von der DMZ in Richtung WAN freigegeben werden, die der Webserver braucht, um "an seine Updates zu kommen" (was auch immer das heißt).

Mit Updates meine ich: "apt update && apt upgrade".
Macht hier Maskierung auch Sinn, wenn ich von DMZ -> WAN gehe, da WAN ja auch eine internal-IP Range ist. Reicht hier kein Routing? MASQ macht doch die Fritzbox, oder?

Wenn Du den Webserver abschotten willst, darf keine einfache Portweiterleitung in Form eines NAT eingerichtet werden, sonst steht der Webserver wieder offen im Internet. Dafür ist die Web Application Firewall da, die dann den Verkehr von extern auf Bedrohungen durchsucht.

Das wäre dann eine Stateful-Inspection, richtig?

 

[TheSane]

Ich bin aktuell auf PFSense und nur mäßig zufrieden. Nach den ersten Recherchen sehe in der UTM ein paar Features die ich vermisse, gerade beim Reporting.
Ich nutze PFSense nur für zu Hause auf dem aktuellsten ALIX Board. Welche Hardwareempfehlung gibt es den für daheim? Es kommen zwei 100Mbit Leitungen zum Einsatz, kein Site2Site VPN, ich wähle mich hin und wieder mal ein von Remote.

 

[Fischje]

merke: so ein kleines handbuch lohnt sich doch. wenn in der bedienungsanleitung drin steht "Mindestanforderung: 40 GB Plattenplatz" und in diversen Tutorials auch schonmal gerne "80GB" genannt werden wird es einen Grund haben.

Da wundere ich mich das meine UTM rumzickt und hatte der nur 10 GB gegeben. Hätte nicht gedacht das direkt nach der Install schon die 10 GB voll waren. Folge: Nur Probleme. Alle Proxys laufen über.Updates schlagen fehl etc. Konnte ich wenigstens gestern noch reparieren.

 

[teqqy]

Es gab ein Problem mit dem "named" Dienst auf den UTMs seit 9.1x dieses soll mit der kommenden Version 9.35 gefixt werden.
Dies hatte unter anderem zur Folge, dass die UTM unnötigt den SWAP aufgeblasen hat und teilweise sogar überlaufen hat, obwohl noch genügend freier Speicher zur Verfügung stand.

Wir hatten zwei Kunden bei denen dadurch die UTM abgestürzt ist.

 

[Fischje]

hmm ich glaube im ftp verzeichnis mit den up2dates liegt die neue version schon - hab mich aber noch nicht getraut die zu installieren.

 

[Benni90]

Hallo!
Ist es denn möglich die Home Lizenz auf ASG110/120 Hardware zu verwenden? krige beim einspielen immer die Fehlermeldung das die Lizenz nicht auf ASG hardware funktioniert. Es handelt sich um die Rev. 4

 

[Fischje]

Änder doch die Bootreihenfolge und die Testinstallation auf USB-Stick. Wenn gut, dann übertragen auf das reguläre Device.

heisst, ich kann die sophos komplett von nem stick fahren? ... öhmm...

 

[Fischje]

Für den Probebetrieb doch sicherlich. Ich habe für genau solche Fälle immer eine SSD im externen Gehäuse (USB, Firewire, E-SATA).

nen slc stick hab ich noch zu hause mit 16 oder 32 gigs - nur wie ich paar posts davor schon erwähnt ist die sophos ja mit unter 40 gb nicht sehr lange glücklich...

 

[Tr4c3rt]

Ich verzweifle gerade am Versuch den kompletten Traffic meiner zweiten DMZ durch einen VPN (IPSec) zu einer entfernt stehenden Fritzbox zu jagen.
Es ist ein ganz normaler IP Sec Tunnel (DMZ2: 192.168.10.0/24, Fritzbox: 192.168.0.0/24)
Beide Netze erreichen sich gegenseitig einwandfrei.

Ich hab es jetzt schon per statischem Routing und NAT versucht, aber keinen Erfolg gehabt.

Wie bekomme ich es hin die Fritzbox als Standardgateway zu verwenden?

Ich hab schon ipv4 Internet als entferntes Netzwerk bei entfernte Gateway eingetragen, das Problem ist nur, dass dann der Tunnel schon teilweise eine Fehlermeldung bekommt:

SA: 192.168.10.0/24=xx.xxx.248.86 %any=0.0.0.0/0
VPN ID: 79.245.248.86
Error: No connection

Der Tunnel an sich steht aber.

Kann es sein, dass die Fritte irgendwie den Zugriff von VPN Clients auf das Netz blockt?
Laut Acceslist müsste ich eigentlich Zugriff haben

accesslist = "permit ip any 192.168.10.0 255.255.255.0";

 

[Luckysh0t]

Hallo zusammen,


ich habe mir zum testen die UTM in eine VM Installiert, jetzt ergeben sich ein paar Dinge die ich nicht so ganzs nachvollziehen kann.
Ich greife über eine weitere VM (Win 7) auf diese zu (interne Schnittstelle und die Win7 VM sind in einem eigenen Netz (VMware Workstation).
(Sowohl mit UTM DHCP Dienst als auch ohne getestet)

- Ich habe keine Regeln im Setup erstellt
- NAT und Firewall Regeln sind komplett leer - d.h doch es dürfte nichts durchgelassen werden, oder? Kann dennoch HWluxx aufrufen.
- NAT ist zwischen Internal und external festgelegt und die Firewall hat die Regel die dass "Websurfing" oder "any" verbieten - allerdings kann ich dennoch mit dem IE zB HWluxx aufrufen.

Wenn noch Infos fehlen, liefere ich die gerne nach.

Woran kann das liegen ?



MfG

Lucky

 

[Fr3@k]

Hallo zusammen,


ich habe mir zum testen die UTM in eine VM Installiert, jetzt ergeben sich ein paar Dinge die ich nicht so ganzs nachvollziehen kann.
Ich greife über eine weitere VM (Win 7) auf diese zu (interne Schnittstelle und die Win7 VM sind in einem eigenen Netz (VMware Workstation).
(Sowohl mit UTM DHCP Dienst als auch ohne getestet)

- Ich habe keine Regeln im Setup erstellt
- NAT und Firewall Regeln sind komplett leer - d.h doch es dürfte nichts durchgelassen werden, oder? Kann dennoch HWluxx aufrufen.
- NAT ist zwischen Internal und external festgelegt und die Firewall hat die Regel die dass "Websurfing" oder "any" verbieten - allerdings kann ich dennoch mit dem IE zB HWluxx aufrufen.

Wenn noch Infos fehlen, liefere ich die gerne nach.

Woran kann das liegen ?



MfG

Lucky

Die IP deiner UTM in der VM ist auch das Standard Gateway in deiner Windows 7 VM?
Evtl. gibt es auch automatisch generierte Firewall Regeln.

 

[Luckysh0t]

Ja die Win 7 VM hat die UTM als Gateway, und ich habe keine automatisch generierten Regeln in der Firewall.

 

[Eye-Q]

Das ergibt keinen Sinn, denn komplett ohne Firewallregeln macht die Sophos komplett dicht.

Wie sind die VMs konfiguriert? Was heißt "eigenes Netz" in VMWare Workstation? Welche IP-Adressen, Subnetzmasken, Standardgateways etc. sind eingestellt, und zwar sowohl in den beiden virtuellen Maschinen als auch beim Hostsystem?

 

[Luckysh0t]

UTM-VM

NIC extern(Bridged)

IP 192.168.0.5

Mask 255.255.255.0

IPv4 default GW: X

Gateway 192.168.0.1 (mein Router)



NIC intern (VMNet6)

IP 192.168.2.100

Mask 255.255.255.0



Win7-VM (VMNet6)

IP 192.168.2.101

Mask 255.255.255.0

Gateway 192.168.2.100

DNS 192.168.2.100


Win7-Host

IP 192.168.0.10

Mask 255.255.255.0

Gateway 192.168.0.1

DNS 192.168.0.1


Eigenes Netz heist das diese Anschlüsse (VMNet6) sich in einem eigenem, vom Rest getrennten virtuellen Netzwerk befinden, bereitgestellt von der VMwware Workstation.
Da ich mit der Win7-VM auch auf die UTM-VM zugreifen kann und auch eine IP vom UTM DHCP Dienst bekomme (testweise konfiguriert) sollte da kein Fehler sein, zumal ich es auch ohne dieses "vlan" getestet habe...gleiches Ergebnis..leider.

Um sicher zu gehen das der Netzwerkverkehr der Win7-VM über die UTM-VM geht, habe ich in der UTM die externe Schnitstelle deaktiviert, mit dem Ergebnis das im IE der Win7-VM die Sophos Fehlerseite kommt.

 

[Tr4c3rt]

Stell mal eine Regel ein die mit dem http nichts zu tun hat.
Ich meine das auch mal gehabt zu haben, wenn wirklich garkeine Regeln eingetragen sind macht Sophos Alles auf.

Der Fall kommt aber eigentlich so gut wie nie vor, da man bei einem Setup ja schon Definitionen festlegt.




Ich hab leider auch nochmal ein kleines Problem.

Meine UTM stellt eine SSL Verbindung mit einem entfernten wrt54g her.
Von der UTM selbst (ssh) kann ich das entfernte Netzwerk anpingen, von den Endstellen im Netzwerk aber leider nicht.

Eigentlich kann es ja kein Routingproblem sein, wenn die Endstellen Sophos als Gateway nutzen müsste denen der Weg doch mitgeteilt werden?!

Oder übersehe ich irgendwas?

 

[Luckysh0t]

Habs gerade probiert, ändert nichts...

 

[Opticum]

Tr4c3rt: funktioniert das mit der Fritzbox bei dir grundsätzlich? Bei mir bricht die Verbindung immer wieder ab.
Wenn du sagst deine Sophos verbindet sich per SSL mit einem WRT54G - was meinst du dann damit? OpenSSL VPN? Du musst den Clients in deinem Netzwerk hinter der Sophos noch das Netz freigeben, dann sollte es funktionieren.

 

[Tr4c3rt]

Tr4c3rt: funktioniert das mit der Fritzbox bei dir grundsätzlich? Bei mir bricht die Verbindung immer wieder ab.

Hi,

klar das funktioniert einwandfrei. (Also zumindest solange ich das Internet der Fritte nicht verfügbar machen will)
Was schreibt das log?
Hast du einen keepalive Befehle auf Seite der Fritzbox drin? (keepalive_ip = 192.168.10.1; wobei die IP natürlich die der UTM sein muss)

Ansonsten wird die Verbindung bei inaktivität getrennt und wird bei Zugriffen aus dem Netz hinter der UTM auch nicht wiederhergestellt.
Nur wenn aus dem Netz der Fritzbox inital eine Verbindung kommt würde der Tunnel wieder aufgebaut.

ädit: Hast meine Konfigs per PM bekommen ;-)


So mein erstes Problem hat sich geklärt, folgt das nächste:

Die UTM verbindet sich als SSL Client mit dem WRT Router.
In beide Richtungen sind die jeweils dahinter liegenden Netze erreichbar, also da wären:

192.168.2.0/24 (DMZ der UTM)
192.168.0.0/24 (Netz hinter der Fritzbox

Das interne Netz der UTM ist:
192.168.10.0/24

Ich möchte dass alle Clients im DMZ Netz das entfernte VPN als Gateway verwenden (bzw. die Fritzbox im VPN mit der IP 192.168.0.1)

Jetzt gibt es natürlich die Möglichkeit per server.conf der UTM als SSL Client ein redirect-gateway zu pushen.

Da es nur ein Standard Gateway gibt, steht dann natürlich mein normales internes Netz ohne Internet da.
Selbst wenn ich das per Firewall freischalten würde, will ich den normalen internen Internetverkehr natürlich weiterhin über die lokale Wan Verbindung abwickeln.

ädit: LÖSUNG

Der Openvpn Server pusht sich jetzt selbst als default gateway.
Für das "internal net" habe ich eine Policy Route erstellt, die alle Anfragen über das lokale Wan rausjagt.

Ist sicherlich keine ideale Lösung, aber es ist leider nicht möglich policy based Routing Regeln für VPN's zu erstellen, da diese von der UTM nicht als Interface angesehen werden.

Ich glaube ich start mal einen Anfrage bei Astaro. Die sollen endlich mal alle Adapter als Schnittstellen verfügbar machen (inkl. der virtuellen Schnittstellen wie tun und tap Devices)

Vielleicht finden sich ja noch ein paar Befürworter


Mttlerfristig werde ich mir wohl eine kleine 110er in das entfernte Netz stellen, weil es mir nicht gefällt, dass das VPN jetzt quasi das Default Gateway für die komplette UTM ist und ich für jeden Kram Außnahmen erstellen muss.

Wie kann ich für die DMZ ein anderes Gateway setzen als für das interne Netz?

 

[Fr3@k]

UTM-VM

NIC extern(Bridged)

IP 192.168.0.5

Mask 255.255.255.0

IPv4 default GW: X

Gateway 192.168.0.1 (mein Router)



NIC intern (VMNet6)

IP 192.168.2.100

Mask 255.255.255.0



Win7-VM (VMNet6)

IP 192.168.2.101

Mask 255.255.255.0

Gateway 192.168.2.100

DNS 192.168.2.100


Win7-Host

IP 192.168.0.10

Mask 255.255.255.0

Gateway 192.168.0.1

DNS 192.168.0.1


Eigenes Netz heist das diese Anschlüsse (VMNet6) sich in einem eigenem, vom Rest getrennten virtuellen Netzwerk befinden, bereitgestellt von der VMwware Workstation.
Da ich mit der Win7-VM auch auf die UTM-VM zugreifen kann und auch eine IP vom UTM DHCP Dienst bekomme (testweise konfiguriert) sollte da kein Fehler sein, zumal ich es auch ohne dieses "vlan" getestet habe...gleiches Ergebnis..leider.

Um sicher zu gehen das der Netzwerkverkehr der Win7-VM über die UTM-VM geht, habe ich in der UTM die externe Schnitstelle deaktiviert, mit dem Ergebnis das im IE der Win7-VM die Sophos Fehlerseite kommt.

Wenn du eine Error Page von der Sophos bekommst sobald du das externe Interface deaktivierst und keine Firewall Regeln vorhanden sind dann hast du vermutlich den Transparenten Proxy auf der UTM aktiviert und deswegen hast du wohl Internetzugriff ohne das Firewallregeln vorhanden sind

 

[Luckysh0t]

Die Webfiltering Funktion war an und hat das ganze verursacht...->Transparenter Proxy

 

[Rocker]

? wenn der der Webfilter auf Transparent steht kann alles rein oder raus? oder verstehe ich das falsch?
solte man dann auf Standard setzen?

Gruß Rocker

 

[Eye-Q]

Nein, es wird immer noch gescannt, es werden allerdings keine HTTP(S)-Anfragen geblockt, auch wenn es in der Firewall keine Regeln gibt. Die Web Protection hebelt somit die Firewall-Regeln aus, solange sie aktiviert ist.

 

[traxxus]

Betreibt jemand von euch eine Sophos UTM Firewall mit dem Supermicro A1SRi-2758F ?
Falls ja, wie sieht es mit der Leistung aus?
Aktuell habe ich einen Eigenbau mit einem intel Core i7 3770 welcher problemlos alles stemmen mag, jedoch passen diese Komponenten in kein 1U Case und produzieren zu viel Abwärme.

Die genutzten Features wären: Proxy / AntiVirus / IPS / IDS / Application Control / VPN / WAF / SMTP Proxy -> also fast alles.

 

[Fischje]

Betreibt jemand von euch eine Sophos UTM Firewall mit dem Supermicro A1SRi-2758F ?
Falls ja, wie sieht es mit der Leistung aus?
Aktuell habe ich einen Eigenbau mit einem intel Core i7 3770 welcher problemlos alles stemmen mag, jedoch passen diese Komponenten in kein 1U Case und produzieren zu viel Abwärme.

Die genutzten Features wären: Proxy / AntiVirus / IPS / IDS / Application Control / VPN / WAF / SMTP Proxy -> also fast alles.

ich auch - ähnlich wie beim guruhacker. habs aber virtualisiert. hw langweilt sich - hab wohl kein IDS / IPS / App Control und SMTP Proxy aktiv - dazu müsste ich erstmal nen funktionierenden email-server betreiben

 

[traxxus]

Gut, besten Dank für eure Informationen

 

[MrSpeedy]

Hi,
ich möchte bei mir zu Hause auch eine Sophos UTM einsetzen und suche noch die passende Hardware. Die Hardware soll wenig Strom verbrauchen und parallel möchte ich noch ein Windows System (für zB: Sky Go über TV) betreiben. Macht es überhaupt Sinn, beides zusammen auf einem Gerät zu installieren oder sollte ich beides besser trennen? Wie würdet ihr das ganze installieren? Über VM-Ware ESX oder ein Windows Betriebssystem und Sophos-UTM über Hyper V ?

 

[Fischje]

ich nutze esxi und bin damit sehr zufrieden. hyper-v kann ich nichts sagen.

imao: grundsätzlich solltest du aber keine services auf dem host laufen lassen, wie z.b. diese sky geschichte, wenn in der vm die netzwerke geroutet werden...

 

[MrSpeedy]

ok, dann sollte ich mich Hauptsächlich auf die Firewall Dienste konzentrieren.... und Sky Go weiterhin mit Notebook und HDMI realisieren....
Was wäre eine gute und günstige Hardware um ESXI und Sophos reibungslos im Dauerbetrieb zu realisieren?