[Sammelthread] Sophos UTM-Sammelthread

danielmayer schrieb:
@ kuemmelkassel:
Bei der Geburt von Google war ich bereits dabei und bin zufriedener Yahoo-Wechsler, deinen Link kannte ich natürlich. Aber ein Vergleich zwischen den Hardware-Appliances, bei denen etliche "echte" Hardwareangaben fehlen, ist völlig ab von meiner Frage ;)

Ich meinte einen Feature-Vergleich zwischen den Software-Appl. "UTM9 Full-Featured-kostenlos" <-> "XG Home" <-> "XG UTM". Dazu finde ich nichts und habe nicht die Spezial-Ahnung, selbst eine Bewertung vorzunehmen.
Zum Vergrößern anklicken....

Zwischen "XG Home" <-> "XG UTM" gibt es nur den Hardware Lock von 4 Core´s und 6GB RAM für die Home dafür keine IP Limits wie bei der UTM Home (50 IP´s).

sTalKer schrieb:
Hey
Bin nun auch infiziert vom UTM und habe ein j1900, 4gb ram und eine 128gb ssd im Warenprobe liegen. Als Board käme das Gigabyte GA-J1900N-D3V zum Einsatz, laut Google voll kompatibel Dank den 2x Nics mit Sophos. Nur bei der Gröse der Festplatte Zweifel ich noch. Reicht hier eine 60GB SSD, oder würde es auch eine mechanische HD tun? 30€ 160GB HD vs 35€ 60GB bzw 46€ für 128GB SSD... Was benötigt man im / während dem Einsatz, was fressen die Logs?
Danke
Zum Vergrößern anklicken....

Was nutzt du für ein Netzteil? Mein Gigabyte GA-J1900N-D3V wollte mit zwei externen Netzteilen schon nicht :(
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@Lightflasher

Ich habe dieses Netzteil mit dem GA-J1900N-D3V benutzt. Habe inzwischen das Board gegen ein Asrock J1900D2Y getauscht und betreibe es mit dem genanntem 60 Watt Netzteil.
 
GuNa schrieb:
Da bin ich mal gespannt ;-)
Bei mir lief die Kombie mit dem GA-J1900N-D3V ohne Probleme.
Zum Vergrößern anklicken....

So danke dir nochmal. Läuft nun :) ich muss zwar noch ein Kabel im Gehäuse verlängern aber der Rest passt so. Bei der der Installation sind auch beide NICs erkannt worden, da sollte der Konfiguration in der nächsten Woche nichts mehr im Wege stehen.
 
Mal eine etwas spezielle Frage, hat schon jemand versucht eine defeke RED neu zu flashen - nicht über das Sophos Tool.
Ich hab hier etwa 30 defekt REDs die meisten starten einfach nichtmehr - oder versuchen permanent ein Firmware Update durchzuführen (leuchten zwar aber mehr auch nicht - auch mit neuem Netzteil)

- - - Updated - - -

kopierschnitte schrieb:
Hallo!
Danke für den interessanten Thread. Ich hoffe, Ihr habt nix dagegen, wenn ich kurz eine Zwischenfrage einwerfe:
Ich habe in der Bucht eine günstige RED10 bekommen. Leider ist die jedoch "kaputt geflasht" worden. Da das offizielle Recoverytool von Sophos aber scheinbar nur das RootFS enthält und auf die "Existenz" eines SquashFS oder JFFS (?) hofft bzw. dieses wohl auch beschreiben möchte wäre meine bescheidene Bitte, ob jemand mit einer funktionierenden RED10 folgendes ausprobieren könnte:

Client auf IP 192.168.9.8 setzen und am LAN-Port des RED10 anschließen
RED10 einschalten und nach ca. 5sec eine Telnetsession zu Port 9000 der IP 192.168.9.9 aufbauen
Wenn der Prompt RedBoot erscheint, einfach mal fis list eintippen und das Ergebnis posten

Dann könnte ich sehen, welche Bereiche im Flash angelegt sind (und wie die heißen sollen).

Vielen Dank ;-)
Zum Vergrößern anklicken....

Bitte:
 
Zuletzt bearbeitet:
Hab mal ne Frage zum Thema Webserver.
Habe intern in einer DMZ einen Webserver, bei dem auf Port 8443 der Webserver läuft
Intern rufe ich die einzelnen Websites über sub.domain.de/X/ bzw. /Y/, /Z/ etc. auf.

Jetzt möchte ich die URL sub.domain.de/Y/ auch für extern erreichbar machen, aber nur für bestimmte IP Adressen.
Generell fällt mir da a) die Webserver Protection und b) DNAT-Regeln ein.
Bei der Webserver Protection habe ich meines Wissens nach aber nicht die Filterung das nur eine bestimmte IP zugreifen kann und bei der DNAT Regelung habe ich die Webserver Protection nicht, die aber vernachlässigbar ist.

Aber dennoch kann ich bei beiden Möglichkeiten auf alle Bereiche des Webservers, also /X/, /Y/ etc. zugreifen.
Kann ich den Zugriff nur auf /Y/ begrenzen? Wenn ja wie?
 
Naja, die Wahl des Pfades wird letztendlich in der Anwendungsschicht (HTTP) übertragen -- da NAT, soweit ich weiß, nur auf IP und TCP-Ebene arbeitet, dürfte sich da nicht viel einstellen lassen. Ich würde die Pfad-Beschränkung also direkt im Webserver vornehmen (Apache VHost-Deklarationen, IIS-Konfiguration, ...).
 
Seht ihr in der Web Protection bzw. dem HTTP-Proxy einen großen (evtl. auch sicherheitsrelevanten) Vorteil?
Nutze die UTM daheim als Firewall und bisher auch als Webproxy und überlege, ob ich die eigentlich brauche oder ob sie auf der kleinen Box doch zu viel Leistung frisst.
 
Hallo,

wie sind die Lizenz-Kosten bei Sophos? Bei Preisen kann ich nur eine Anfrage stellen, das will ich aber erstmal nicht. Wenn ich das richtig verstanden habe sind ja in der Home-Version nur 50 IP-Adressen dabei? Das wird bei uns zuhause, mit allen Smartphones/Tablets/Computer/IoT-Devices sowie Hardware von Freunden/Verwandten auf Besuch, die unser (W)LAN nutzen nicht reichen :(

Viele Grüße,
Sebastian
 
Als Anhaltspunkt eine Lizenz mit 100 IPs und Subscription für Network Protection kostet für 12 Monate ca. 550€ 36 Monate 1300€
 
Ich bin zwar kein Fachmann (zumindest nicht für die UTMs von Sophos), aber die Home UTM hat halt kostenlos alle Module inne (für 50 IPs). Für die genannten 550 Euro gibts - für gerade mal ein Jahr - nur ein einzelnes Modul (von insgesamt 5 Modulen). Gut, wenn dies für deine Anwendungen reicht. Schlecht, wenn man sich an den vollen Funktionsumfang der UTM Home gewöhnt hat.

Hier sind doch Preise als Anhaltspunkt: UTM 100 - ASG 100 Full Guard (Bundle) | UTMshop | Online-Shop für Security-Lösungen von Sophos/Astaro

Schau mal ins Sophos "Forum" (wenn man das noch so nennen kann), da ist im Moment viel Aufregung was Sophos aktuell für einen Weg einschlägt (Produkt- und Community/Support-technisch). Da wäre ich aktuell vorsichtig, etliche hundert Euro auszugeben um mich Jahre an einen Hersteller zu binden...
 
Zuletzt bearbeitet:
Mahlzeit. Macht es noch Sinn eine Hardwarefirewall gebraucht in der Bucht zu kaufen? Hab hier einen ML310e mit ESXi am laufen und könnte ohne weiteres das ganze virtualisieren. (Quad-NIC fehlt noch).
 
kauf dir bloß keine alte kiste aus der bucht.... hab noch 4 alte astaro bleche rum liegen. da ist bei den alten das problem... das du die nicht auf die noch vorhandene v9 updaten kannst.
und krach usw. machen die enorm (dafür das da nur n mini celeron drin ist der obendrein idr. noch mit einem 32bit linux läuft, ergo ram begrenzung usw).

ne utm bzw generell firewall würde ich nie im esx betreiben! einfach n i1900 board ne quad port nic drauf (dann hast du 5 echte nic's) und kannst alles machen.
virtualisiert höchstens als bastel bude zum testen der features usw.
 
Ich sehe - außer im Handling - für den Betrieb von der Sophos unter ESXi keine Gründe dies im privaten Bereich nicht tun zu können.
Sicherheitsprobleme kommen dort eher woanders her, als das die Firewall auf dem ESXi mitläuft.

Vom Handling her ist es sicher interessant die Firewall auf separaten Blech laufen zu lassen, da es dann unabhängig vom Betrieb des ESXi Servers läuft.
 
Ich persönlich finde es halt blöd wenn ich den Hypervisor patchen muss, dass dann auch meine Firewall offline ist. Das ist der Grund warum sie bei mir als einzelnes Gerät betrieben wird. Die UTM kann ich nachts automatisch patchen lassen wenn ich eh schlafe. Den ESX/Hyper-V/Xen/Proxmox muss ich dafür nicht neustarten etc.

Und gerade wenn die Firewall visualisiert läuft, muss der HV aktuell gepatcht sein!
 
Folgendes Problem:

Ich möchte an meine UTM 3 Switche anschließen (1x Wlan, 2x Kabel)
Die Geräte sollen alle im selben Netz liegen und sich auch gegenseitig erreichen können.

Ist der Weg über einen Netzwerkbrücke in den Schnittstellen Einstellungen der richtige Weg? (Also die jeweiligen Ports einfach zusammenschalten?

Ich hatte das soweit hergerichtet, kam aber dann weder ins Internet (masquerading und firewall hatte ich editiert) noch konnten sich die Endgeräte an den verschiedenen Anschlüssen gegenseitig erreichen.

Bevor ich jetzt weitersuche würde ich mir gerne bestätigen lassen, dass ich mit der Netzwerkbrücke nicht komplett auf dem Holzweg bin. :xmas:

ädit: Eine Brücke ist ja quatsch, ich will ja nicht durchleiten.
Link aggregation scheint das zu sein wonach ich gesucht habe.

Allerdings funktioniert immer nur 1 Port, egal wieviele ich zusammen schalte.
Auf allen anderen funktioniert weder DHCP, noch komme ich aufs Webif der UTM.

Gibts da irgendwo eine brauchbare Erklärung für?
 
Zuletzt bearbeitet:
Netzwerkbrücke ist grds. schon richtig. Wenn ich mich richtig erinnere: Ich glaube, Du musst die NICs in den promiscious mode setzen, wenn sie alle im selben Subnetz sein sollen, damit sie auch Pakete bearbeiten die nicht unmittelbar für sie selbst bestimmt sind.

Ob die NICS dann überhaupt noch dem "Router" bzw. der Bridge selbst zur Verfügung stehen, weiss ich nicht mehr aus dem Kopf - zu lange her, dass ich damit mal rumgefrickelt hab.

- - - Updated - - -

Nachtrag: das gilt allgemein, von der UTM hab ich keine Ahnung. :)
 
Auf Debian Basis würde ich das auch ohne Probleme hinbekommen.
Eine in Sophos erstellte Netzwerkbrücke scheint aber eine etwas andere Funktionalität zu haben als eine klassische Netzwerkbrücke.

Interessant ist zum Beispiel, dass die Firewall (trotz Any Any Any) Zugriffe von den angeschlossenen Endgeräten auf die UTM blockiert.
Die scheint also wirklich nur zum Durchleiten zu sein.

Ich bin mir ziemlich sicher, dass sich das per Link Aggregation lösen lässt.
Es besteht jedoch weiterhin das Problem, dass immer noch nur 1 Port funktionstüchtig ist, wenn ich mehrere zusammenschalte.

lagg2.jpglagg.jpg
 
Zuletzt bearbeitet:
Link Aggregation ist zum Bündeln mehrere Leitungen und muss von der Gegenstelle unterstützt sein. Eine Bridge ist - zumindest von der Bezeichnung - schon korrekt für dein Vorhaben.

Ich stelle mir zwei Fragen: Warum verkabelst du nicht einfach die Switche untereinander? Oder nutzt separate Netze und routest zwischen diesen?
 
Ich stelle mir zwei Fragen: Warum verkabelst du nicht einfach die Switche untereinander? Oder nutzt separate Netze und routest zwischen diesen?
Zum Vergrößern anklicken....
Das zum einen, zum anderen stehen die Geräte in 3 verschiedenen Stockwerken und ich habe neben der UTM nur ein Patchpanel.
Ich müsste also extra einen zusätzlichen 19" Switch anschaffen (oder einen Fachboden + Gebastel), obwohl genug Ports vorhanden wären um die anderen Switche direkt anzuschließen.

Link Aggregation ist zum Bündeln mehrere Leitungen und muss von der Gegenstelle unterstützt sein
Zum Vergrößern anklicken....
Meinst du jetzt Bonding der Wan Verbindungen? Das heißt bei Sophos Uplink Balancing und findet sich direkt daneben.

Wie auf den Fotos zu sehen, bekomme ich beim zusammenschalten mehrerer eth Ports per Link Aggregation einen lag0 Port, der sich fortan wie ein Anschluss behandeln lässt.
So verkehrt kann das doch eigentlich nicht sein?
 
Zuletzt bearbeitet:
Wenn nicht die UTM eine völlig andere Terminologie benutzt, ist Link Aggregation nicht der richtige Weg.

Link Aggregation ist quasi mit einer physischen Zusammenlegung vergleichbar - Du kannst nicht an Ende 2 eine andere Logik wie an Ende 1 fahren - bei beiden Seiten müssen beide Kabel ankommen. Gegenbeispiel: wenn Du ein Kabel aufsplitten würdest und auf Seite 1 in eine Karte und auf Seite 2 gleichzeitig in zwei Switche steckst (quasi wie ein Strom Y-Kabel auf einer Seite), geht das auch nicht.

Am simpelsten ist in der Tat eine Switch-Kaskade, wenn Du wirklich alles in einem Netz haben willst.

Alternativ baust Du für jedes Teilnetz einen eigenen Adressbereich und routest/maskierst dazwischen herkömmlich mit den UTM-Bordmitteln.

Edit: das WAN-Bonding ist vermutlich ein Zwischending. Die UTM macht das Load-balancing selbst über zwei getrennte externe Leitungen und schaltet die beiden Verbindungen nur intern logisch zusammen. Für die externen Gegenstellen ist das unsichtbar/irrelevant. So kannst Du z.B. DSL und LTE bündeln. Vor allem hinter den Gegenstellen in Internet erscheint dein Netz dann aber mit zwei unterschiedlichen IPs - je nachdem worüber die UTM gerade den Traffic schickt.

Bei Link Aggregation ist das nicht so - da gäbe es nur eine Verbindung/IP.
 
Zuletzt bearbeitet:
Ich habe leider gerade keine Sophos zum Testen zur Verfügung, aber laut dieser Anleitung: klick ist eine Bridge genau das wonach du suchst.
Dort kannst du festlegen, was zwischen den einzelnen Ports ausgetauscht werden darf.
 
Alternativ baust Du für jedes Teilnetz einen eigenen Adressbereich und routest/maskierst dazwischen herkömmlich mit den UTM-Bordmitteln.
Zum Vergrößern anklicken....
Das geht nicht, weil ich viele Geräte habe die dann Probleme bekommen (ein Wlan Drucker zum Beispiel)

Am simpelsten ist in der Tat eine Switch-Kaskade, wenn Du wirklich alles in einem Netz haben willst.
Zum Vergrößern anklicken....
Das möchte ich aus den o.g. Gründen nicht.

Die Brücke scheint u.U. doch der richtige Weg zu sein.
Ich verstehe nur nicht warum der Zugriff auf die UTM blockiert wird, obwohl per Firewall Alles erlaubt ist.
Mein Gefühl sagt mir, dass hier wirklich nur 2 Ports logisch verknüpft werden, eine Kommunikation aber nur innerhalb der jeweiligen Endadresse möglich ist (wobei selbst das nicht funktioniert)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh