Gibt unter Google viele gute deutsche und englische Sophos UTM Blogs.
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Gibt unter Google viele gute deutsche und englische Sophos UTM Blogs.
Ich habe nach diese Anleitung letzte Woche meine Firewall zusammengebaut. Bin sehr zufrieden. Klein und leise.
Frage:
Wie kann ich mit der Firewall nur eine bestimmte interne https Seite von Außen erreichbar machen?
Ich versuche nur meinen Webmailer vom Server von Außen erreichbar zu machen. Momentan ist der ganze Web Server erreichbar - was natürlich nicht gewünscht ist ...
Ich check das nicht wie ich es in Sophos einstellen muss...
Frage:
Wie kann ich mit der Firewall nur eine bestimmte interne https Seite von Außen erreichbar machen?
Ich versuche nur meinen Webmailer vom Server von Außen erreichbar zu machen. Momentan ist der ganze Web Server erreichbar - was natürlich nicht gewünscht ist ...
Ich check das nicht wie ich es in Sophos einstellen muss...
![[SoD]r4z0r](/community/data/avatars/m/111/111944.jpg?1577437183){kind=avatar}
[SoD]r4z0r
Enthusiast
- Mitglied seit
- 11.04.2009
- Beiträge
- 3.950
@GuNa
Mir fällt auf Anhieb die WAF (Web Application Firewall) oder ein entsprechendes DNAT ein.
Mir fällt auf Anhieb die WAF (Web Application Firewall) oder ein entsprechendes DNAT ein.
Mit der Web Application Firewall (WAF). Echten Webserver anlegen, dann den virtuellen Webserver (Die Veröffentlichung nach außen) anlegen und mit dem echten verknüpfen. Die Firewall-regeln werden dann automatisch erstellt.
Mahlzeit Experten!
Ich habe als langjähriger Sophos Nutzer ein Problem das ich trotz Google und vielen Anleitungen nicht gelöst bekomme. Vielleicht kann mir jemand eine andere Perspektive öffnen.
Ich wollte die Firewall bei mir zu Hause auf einem APU 1D4, Kingston SSD 60GB installieren (ist kompatibel trotz 1GHZ embedded), da wir jedoch kein VGA sondern nur Serial Console auf dem Gerät haben scheitere ich seit Stunden. (Sophos weigert sich ein CLI-Installer Image bereitzustellen) Es gibt tausend Anleitungen je nach Versionsnummer der Sophos, aber keine funktioniert. Manche machen es sogar mit den Hardware-Appliance Images - und langsam geht mir trial and error auf die Nerven.
Hat jemand eine aktuelle Sophos auf einem APU1D4 vor Kurzem installiert und kann mir die korreten Mountpoints mitteilen?
MfG und vielen Dank!
Ich habe als langjähriger Sophos Nutzer ein Problem das ich trotz Google und vielen Anleitungen nicht gelöst bekomme. Vielleicht kann mir jemand eine andere Perspektive öffnen.
Ich wollte die Firewall bei mir zu Hause auf einem APU 1D4, Kingston SSD 60GB installieren (ist kompatibel trotz 1GHZ embedded), da wir jedoch kein VGA sondern nur Serial Console auf dem Gerät haben scheitere ich seit Stunden. (Sophos weigert sich ein CLI-Installer Image bereitzustellen) Es gibt tausend Anleitungen je nach Versionsnummer der Sophos, aber keine funktioniert. Manche machen es sogar mit den Hardware-Appliance Images - und langsam geht mir trial and error auf die Nerven.
Hat jemand eine aktuelle Sophos auf einem APU1D4 vor Kurzem installiert und kann mir die korreten Mountpoints mitteilen?
MfG und vielen Dank!
Zuletzt bearbeitet:
Wozu brauchst Du Gbit im LAN, wenn das einzige, was durch die Sophos durch geht, nämlich der Internetverkehr, sowieso auf 100 Mbit/s begrenzt ist? 
Für das LAN musst Du ja sowieso einen separaten (Gigabit-)Switch einsetzen.
Natürlich wirst Du keine Geräte mit 100 Mbit-Port mehr finden, aber selbst die Realtek-NICs sollten bei genug CPU-Power 100 Mbit/s durchbekommen.
Für das LAN musst Du ja sowieso einen separaten (Gigabit-)Switch einsetzen.Natürlich wirst Du keine Geräte mit 100 Mbit-Port mehr finden, aber selbst die Realtek-NICs sollten bei genug CPU-Power 100 Mbit/s durchbekommen.
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.411
Gbit von WAN nach LAN, weil durch den Overhead was verloren geht. Wird ja auch in den inoffiziellen, gängigen Kabelanbieter-Foren so empfohlen. Hinter der UTM habe ich einen Gbit-Switch hängen.
In der ZBOX steckt ein Intel Celeron 2961Y mit 2x1,1Ghz. Müsste so eigentlich reichen, benutze ja kein IPS sondern nur die FW und den Webfilter.
In der ZBOX steckt ein Intel Celeron 2961Y mit 2x1,1Ghz. Müsste so eigentlich reichen, benutze ja kein IPS sondern nur die FW und den Webfilter.
egal0000
Urgestein
Wenn du da etwas findest, gib mir doch bitte Bescheid. Ich habe auch eine APU1D4. Danke!
solmk
Experte
- Mitglied seit
- 14.04.2014
- Beiträge
- 140
Hier bekommt man die neue Sophos XG Firewall Home Edition kostenlos:
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.010
Einen Feature-Vergleich sehe ich allerdings nicht.
Was hat die UTM9 Privat, was XG Home nicht hat? Die XG UTM gibt es ja weiterhin (zahlungspflichtig)... Hat sich schon mal jemand damit beschäftigt?
Gruß
Was hat die UTM9 Privat, was XG Home nicht hat? Die XG UTM gibt es ja weiterhin (zahlungspflichtig)... Hat sich schon mal jemand damit beschäftigt?
Gruß
Lightflasher
Enthusiast
Ich würde bis mindestens v2 warten, war die letzte Woche auf einem Bootcamp und kann daher nur abraten die aktuelle Version produktiv einzusetzen. Für zu Hause mal zum Spielen in einer VM ok, aber als Firewall (auch wenn nur für zu Hause) würde ich noch warten, da noch viele Sachen nicht wirklich fertig sind. Oder noch nicht implementiert sind.
solmk
Experte
- Mitglied seit
- 14.04.2014
- Beiträge
- 140
Nana.. Dr. Google sollte sich ja mittlerweile rumgesprochen haben oder?
https://www.sophos.com/de-de/medial...sophos-xg-series-appliances-brna.pdf?la=de-DE
KlimperHannes
Neuling
- Mitglied seit
- 25.12.2014
- Beiträge
- 77
Habe mir auch mal eben die XG angesehen.
Beim "Aktivieren" ist mir das erste mal schlecht geworden. Bei der Oberfläche das zweite mal...
Was denkt ihr, wie lange wird die UTM noch am Leben gehalten?
Beim "Aktivieren" ist mir das erste mal schlecht geworden. Bei der Oberfläche das zweite mal...
Was denkt ihr, wie lange wird die UTM noch am Leben gehalten?
solmk
Experte
- Mitglied seit
- 14.04.2014
- Beiträge
- 140
Mhm... Also ich denke das die UTM zwar nichtmehr groß weiterentwickelt wird, aber bei passendem Feedback von den zahlenden Usern könnte ich mir gut vorstellen das die UTM unter dem XG-Namen weitergeführt wird bzw. die UTM nur einen neuen Namen bekommt 
Hoffen wir es mal.. Vielleicht liest hier ja sogar ein findiger SOPHOS-Mitarbeiter mit!
Hoffen wir es mal.. Vielleicht liest hier ja sogar ein findiger SOPHOS-Mitarbeiter mit!
[SoD]r4z0r
Enthusiast
- Mitglied seit
- 11.04.2009
- Beiträge
- 3.950
Was ich so aus dem Sophos Forum bisher rausgelesen habe wird es für die UTM primär Sicherheitsupdates geben. Feature-Updates nicht mehr oder nur noch wenige, da ist sich wohl keiner ganz sicher.
Aber es ist definitiv das Ziel von Sophos die Funktionen der UTM in die XG bzw. Sophos OS (ehem. Copernicus) zu integrieren. Aber ob die das auf die Reihe bekommen... Da habe ich große Zweifel.
Die müssen ja mittlerweile die UTM, Cyberoam und SF-OS warten und wenigstens letzteres weiterentwickeln.
Wobei ich zumindest den Ansatz von dem Heartbeat interessant finde.
Aber es ist definitiv das Ziel von Sophos die Funktionen der UTM in die XG bzw. Sophos OS (ehem. Copernicus) zu integrieren. Aber ob die das auf die Reihe bekommen... Da habe ich große Zweifel.
Die müssen ja mittlerweile die UTM, Cyberoam und SF-OS warten und wenigstens letzteres weiterentwickeln.
Wobei ich zumindest den Ansatz von dem Heartbeat interessant finde.
solmk
Experte
- Mitglied seit
- 14.04.2014
- Beiträge
- 140
Kurz noch meinen Senf dazu: Früher habe ich auch @Home die SOPHOS/-Astaro-Firewall gerne eingesetzt. Es war kostenlos, einfach zu bedienen und hatte damals schon eine große Community. Für meine Zwecke fände ich das ganze aber immer mehr überladen und habe die Schlichtheit wie bei monowall vermisst die ich damals an der Arbeit hatte. Als das Projekt pfSense auf den Markt kam war ich baff: Endlich hat es wer geschafft das beste aus beidem zu machen: Eine schlichte Next-Gen-Firewall mit Luft nach oben. Eine perfekte Mischung aus Astaro und monowall. Seitdem ich mich mal näher mit pfSense beschäftigt habe setze ich sie ein wo es nur geht.
figo-deluxe
Enthusiast
Ich war letzte Woche auf dem Bootcamp. Die UTM wird noch weiterentwickelt bis 9.5. Es kommen auch vereinzelt noch neue Features in die UTM, aber das Hauptaugenmerkt gilt der XG. Man könnte meinen Cyberoam hat Sophos gekauft und nicht andersrum...
Der Ansatz mit Heartbeat schaut super aus. Aber die Firewall komplett umzukrempeln ob das der richtige Ansatz ist glaube ich nicht. Im Bootcamp war einige die nun ernsthaft mit dem Gedanken spielen auf ein neues System umzusteigen.
Der Ansatz mit Heartbeat schaut super aus. Aber die Firewall komplett umzukrempeln ob das der richtige Ansatz ist glaube ich nicht. Im Bootcamp war einige die nun ernsthaft mit dem Gedanken spielen auf ein neues System umzusteigen.
figo-deluxe: die Gedanken kann ich gut nachvollziehen, Sophos fährt trotzdem "volles Rohr" den XG Zug z.B. auf Facebook in der Werbung. Die wollen die Leute unbedingt nach XG "hintreiben".
Das wird ziemlich dunkel wenn die UTM 9 EOL geht.
Das wird ziemlich dunkel wenn die UTM 9 EOL geht.
Das wirklich blöde ist, das wird bei Sophos von irgendwelchen Anzugträgern entschieden die noch nie selbst eine Firewall eingerichtet und benutzt haben. Hier wird einfach nur "versucht" irgendwas mit "Next-Gen" zu verkaufen und "Hearthbeat" wird als das Top Feature dargestellt. Das sind alles ganz tolle Marketingbegriffe die eine extrem schlechte Software "stützen" sollen.
Auf der alten Astaro.org Seite wurden sich schon die Finger wundgetippt, auf dem neuen Sophos Community Kramp schreiben die Leute wie schlecht die XG Firewall ist. Sophos schmeisst trotzdem lieber erstmal das Geld dem Marketing hinterher. Jedes ordentliche Unternehmen hätte so etwas wie die XG nie auf den Markt gebracht weil es einfach nur schlecht ist. Selbst als Betaversion ist das Teil peinlich.
Vermutlich würde nur noch eine Demonstration vor dem Sophos Hauptfirmensitz helfen denen klar zu machen das die XG schlicht eine völlige Totgeburt ist und die User diese nicht haben wollen. Das Problem wird jetzt sein das wenn bei Sophos das Thema XG begräbt vermutlich gleich 2-3 Manager mit ihren Hut nehmen müssen. Dieses große Scheitern will sich dort vermutlich noch niemand eingestehen, "vielleicht ist ja noch was zu retten" wird sich dort mancher Anzugträger denken.
Auf der alten Astaro.org Seite wurden sich schon die Finger wundgetippt, auf dem neuen Sophos Community Kramp schreiben die Leute wie schlecht die XG Firewall ist. Sophos schmeisst trotzdem lieber erstmal das Geld dem Marketing hinterher. Jedes ordentliche Unternehmen hätte so etwas wie die XG nie auf den Markt gebracht weil es einfach nur schlecht ist. Selbst als Betaversion ist das Teil peinlich.
Vermutlich würde nur noch eine Demonstration vor dem Sophos Hauptfirmensitz helfen denen klar zu machen das die XG schlicht eine völlige Totgeburt ist und die User diese nicht haben wollen. Das Problem wird jetzt sein das wenn bei Sophos das Thema XG begräbt vermutlich gleich 2-3 Manager mit ihren Hut nehmen müssen. Dieses große Scheitern will sich dort vermutlich noch niemand eingestehen, "vielleicht ist ja noch was zu retten" wird sich dort mancher Anzugträger denken.
Ich stehe wohl gerade auf dem Schlauch.
Wenn ich im Webfilter die HHTPS Option setze möchte ich mein bei StartSSL erstelltes Zertifikat benutzen.
Habe das dann unter Webserver Protection importiert und unter CA das ca.pem von StartSSL.
Entweder ich bekomme gar keine Verbindung zu SSL Seiten oder es kommt die Abfrage dass dem Zertifikat nicht vertraut wird.
Wie ist denn das Richtige vorgehen wenn man sein eigenes Zertifikat benutzen will?
Ich hatte das in der VM zum Testen mal am Laufen jedoch ist das ne Weile her.
Das was ich bisher gefunden habe sagt mir zwar ich soll das unter dem WebFilter->CA importieren und dann wird ein erzeugtes Zertifikat noch per DC an die Clients verteilt.
Aber um welche Tertifikate handelt es sich?
Hat da jemand ein passenden Link
Wenn ich im Webfilter die HHTPS Option setze möchte ich mein bei StartSSL erstelltes Zertifikat benutzen.
Habe das dann unter Webserver Protection importiert und unter CA das ca.pem von StartSSL.
Entweder ich bekomme gar keine Verbindung zu SSL Seiten oder es kommt die Abfrage dass dem Zertifikat nicht vertraut wird.
Wie ist denn das Richtige vorgehen wenn man sein eigenes Zertifikat benutzen will?
Ich hatte das in der VM zum Testen mal am Laufen jedoch ist das ne Weile her.
Das was ich bisher gefunden habe sagt mir zwar ich soll das unter dem WebFilter->CA importieren und dann wird ein erzeugtes Zertifikat noch per DC an die Clients verteilt.
Aber um welche Tertifikate handelt es sich?
Hat da jemand ein passenden Link
Lightflasher
Enthusiast
In Hamburg waren alle der Meinung das man noch bis mindestens v2 warten sollte, wenn nicht sogar bis v3. Die Ansätze sind gut aber es fehlen wie schon geschrieben noch zu viele kleine Sachen die jetzt in der UTM implementiert sind.
Bis die UTM EOL wird es noch sehr lange dauern … Wenn wäre frühestens in 5 Jahren damit zu rechnen, das heißt aber natürlich nicht das auch noch in 2 Jahre neue Features implementiert werden!
![[BIC]Nemo](/community/data/avatars/m/14/14761.jpg?1577437178){kind=avatar}
[BIC]Nemo
Neuling
- Mitglied seit
- 29.10.2004
- Beiträge
- 143
Du packst da nicht ein StartSSL Zertifikat rein
das würde dir ja von der Logik erlauben für ALLE Webseiten ein Cert zu bilden, das geht natürlich nicht. Die UTM erstellt selbst eine Root CA dafür, importier das öffentliche bei dir lokal und gut ist.Folgendes Problem:
DPI SSL mit Sophos UTM (Sophos nennt es "HTTPS Scan Settings Decrypt and Scan") -> Dropbox Client kriegt keine Verbindung.
In den Filter Optionen bereits unter Skip Transparent Mode Destination Hosts dropbox.com oder *dropbox.com (mir scheint Sophos unterstützt gar keine *.FQDN's?) eingetragen.
Ebenfalls unter den Exceptions ein Objekt für Dropbox.com gebaut -> ohne Erfolg. Einzige Idee ist noch die ganze URL Category:Personal Network Storage als SSL Exception zu definieren -> will aber nicht mit der Holzhammer Methode arbeiten...
Wenn der entsprechende Host von DPI SSL ausgenommen ist tut es -> liegt also def. an DPI SSL
Also beim wem läuft DPI SSL mit Dropbox ?
Edit: Ok Update -> eine Ausnahme unter Exceptions mit Skip SSL für die URL Category Personal Network Storage funktioniert. -> weiß jemand wie man Sub Categorys anlegen kann? Mir ist bewusst ich kann einen Override für Dropbox.com in eine neue Category machen, ich würde aber gerne vorher eine Sub oder Hauptcategory anlegen dürfen um nur granular einen Override für Dropbox zu machen.
Edit2: Ok und final :P. Falls es noch jemanden Interessiert ich konnte es jetzt granular lösen.
Schritt 1: In den "Filtering Options" unter "Websites" ein Objekt anlegen mit URL Dropbox.com und Include Subdomains, keinen Override sondern einem Tag zuweisen (Dropbox).
Schritt 2: In den "Filtering Options" unter "Exceptions" eine neue Exception List anlegen und als Aktion Skip HTTPS Scanning auswählen und unter "For all requests" Websites tagged as den unter Schritt1 angelegten Tag für Dropbox.com auswählen.
Sorry fürs nerven
DPI SSL mit Sophos UTM (Sophos nennt es "HTTPS Scan Settings Decrypt and Scan") -> Dropbox Client kriegt keine Verbindung.
In den Filter Optionen bereits unter Skip Transparent Mode Destination Hosts dropbox.com oder *dropbox.com (mir scheint Sophos unterstützt gar keine *.FQDN's?) eingetragen.
Ebenfalls unter den Exceptions ein Objekt für Dropbox.com gebaut -> ohne Erfolg. Einzige Idee ist noch die ganze URL Category:Personal Network Storage als SSL Exception zu definieren -> will aber nicht mit der Holzhammer Methode arbeiten...
Wenn der entsprechende Host von DPI SSL ausgenommen ist tut es -> liegt also def. an DPI SSL
Also beim wem läuft DPI SSL mit Dropbox ?
Edit: Ok Update -> eine Ausnahme unter Exceptions mit Skip SSL für die URL Category Personal Network Storage funktioniert. -> weiß jemand wie man Sub Categorys anlegen kann? Mir ist bewusst ich kann einen Override für Dropbox.com in eine neue Category machen, ich würde aber gerne vorher eine Sub oder Hauptcategory anlegen dürfen um nur granular einen Override für Dropbox zu machen.
Edit2: Ok und final :P. Falls es noch jemanden Interessiert ich konnte es jetzt granular lösen.
Schritt 1: In den "Filtering Options" unter "Websites" ein Objekt anlegen mit URL Dropbox.com und Include Subdomains, keinen Override sondern einem Tag zuweisen (Dropbox).
Schritt 2: In den "Filtering Options" unter "Exceptions" eine neue Exception List anlegen und als Aktion Skip HTTPS Scanning auswählen und unter "For all requests" Websites tagged as den unter Schritt1 angelegten Tag für Dropbox.com auswählen.
Sorry fürs nerven
Zuletzt bearbeitet:
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.010
@ kuemmelkassel:
Bei der Geburt von Google war ich bereits dabei und bin zufriedener Yahoo-Wechsler, deinen Link kannte ich natürlich. Aber ein Vergleich zwischen den Hardware-Appliances, bei denen etliche "echte" Hardwareangaben fehlen, ist völlig ab von meiner Frage
Ich meinte einen Feature-Vergleich zwischen den Software-Appl. "UTM9 Full-Featured-kostenlos" <-> "XG Home" <-> "XG UTM". Dazu finde ich nichts und habe nicht die Spezial-Ahnung, selbst eine Bewertung vorzunehmen.
Bei der Geburt von Google war ich bereits dabei und bin zufriedener Yahoo-Wechsler, deinen Link kannte ich natürlich. Aber ein Vergleich zwischen den Hardware-Appliances, bei denen etliche "echte" Hardwareangaben fehlen, ist völlig ab von meiner Frage
Ich meinte einen Feature-Vergleich zwischen den Software-Appl. "UTM9 Full-Featured-kostenlos" <-> "XG Home" <-> "XG UTM". Dazu finde ich nichts und habe nicht die Spezial-Ahnung, selbst eine Bewertung vorzunehmen.