[Sammelthread] Sophos UTM-Sammelthread

mmh hat jemand von euch mal die firewall regeln für den blizzard downloader parat bzw hat den erfolgreich am laufen (spiele komplett runterladen und updaten) ?
das teil flippt völlig aus scheinbar, egal ob man torrent-support mit nutzt oder nicht. er verweigert spiele updates und downloads im moment :(
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mit Diablo 3 komme ich damit zurecht.

Bildschirmfoto 2016-03-21 um 20.15.47.png
 
teqqy schrieb:
IPS ist aber nur von innen nach außen und nicht andersrum.
Zum Vergrößern anklicken....

Wofür steht wohl das I in IPS?

Wie soll denn 218.60.112.224 innen sein? Und wieso soll die _Ziel-IP-Adresse_ ein Hostname sein? Scheint mir reichlich untauglich, dieser UTM-Kram. Ich hätte an der Stelle mal gern definitiv gewusst, in welche Richtung auf welchem Interface das Paket gegangen sein soll. Aber für solche Details ist das Ding wohl zu advanced... Wie kann man sich sowas nur ins Netz stellen?
 
Zuletzt bearbeitet:
Eye-Q schrieb:
Genau die selbe Meldung mit genau der selben IP-Adresse (218.60.112.224) habe ich bei uns und einigen Kunden auch. Da als Quell-Adresse auf beiden Screenshots externe Adressen angegeben sind, hat das nichts mit internen PCs, die infiziert sind, zu tun.

Somit brauchst Du eigentlich nichts zu machen außer dir sicher zu sein, dass die Sophos da einen Angriff abgewehrt hat.
Zum Vergrößern anklicken....

Hatte das bei mir auch privat, aber mit leicht anderen IP Adressen:

Bei mir in der Firma war bisher noch nichts.
Dass das keine interne IP ist ist mir klar, aber warum erkennt das System dann eine externe IP? Kann mir das irgendwie nicht recht erklären.

TCM schrieb:
Wofür steht wohl das I in IPS?
Zum Vergrößern anklicken....

Intrusion Prevention System, System zur Erkennung von Angriffen auf Computersysteme oder -netze
https://en.wikipedia.org/wiki/Intrusion_prevention_system
 
TCM schrieb:
Scheint mir reichlich untauglich, dieser UTM-Kram. Ich hätte an der Stelle mal gern definitiv gewusst, in welche Richtung auf welchem Interface das Paket gegangen sein soll. Aber für solche Details ist das Ding wohl zu advanced... Wie kann man sich sowas nur ins Netz stellen?
Zum Vergrößern anklicken....
:haha: Das, was in den Screenshots zu sehen ist, ist natürlich längst nicht alles, es gibt natürlich Log-Dateien noch und nöcher, die ausgewertet werden können, wenn man will. Eine Sophos UTM ist keine Black-Box, die tiefere Infos nicht preisgibt.

Abgesehen davon: Wenn Du die Sophos UTM nicht magst, wieso kommentierst Du dann in diesem Thread? Für so etwas wäre mir meine Energie zu schade - es gibt viele unterschiedliche Produkte, und jedes Produkt hat seine Berechtigung.
 
teqqy schrieb:
Mit Diablo 3 komme ich damit zurecht.
Anhang anzeigen 355883
Zum Vergrößern anklicken....


danke schonmal, habe ja auch schon einiges gegoogelt und ähnliches gefunden, aber ohne gänzlichen erfolg.
könntest du testweise die installation von heroes of the storm 10% anfangen lassen? würde nur gerne wissen ob das mit deinen settings durchgeht.
Bin im moment leider auf fritzbox only wegen aufständischen zwischenrufen der familienmitglieder und kann es nicht direkt testen :d
 
Ich hatte hier vor einigen Tagen das Problem mit der V-DSL Einwahl und habe nun die Lösung gefunden.
Meine Sophos UTM läuft als VM auf einem ESXI Server.
Leider muss man dem Host (ESXI) extra mitteilen, dass die VLAN ID'S auch weitergegeben werden, ansonsten bekommen die VM's darauf keinen Zugriff.
Nachdem ich den Fehler gefunden hatte läuft die Einwahl nun sauber!
 
Tr4c3rt schrieb:
Leider muss man dem Host (ESXI) extra mitteilen, dass die VLAN ID'S auch weitergegeben werden, ansonsten bekommen die VM's darauf keinen Zugriff.
Nachdem ich den Fehler gefunden hatte läuft die Einwahl nun sauber!
Zum Vergrößern anklicken....

Mist, das Problem hatte ich mit VLAN und ESXi auch schon mal. Das hätte ich dir auch sagen können aber hatte das wohl mit dem ESXi überlesen. Sorry.
 
Opticum schrieb:
Mist, das Problem hatte ich mit VLAN und ESXi auch schon mal. Das hätte ich dir auch sagen können aber hatte das wohl mit dem ESXi überlesen. Sorry.
Zum Vergrößern anklicken....

Ich glaube das Problem hatte ich sogar selbst schonmal irgendwann. :fresse2:
Allerdings habe ich zwischenzeitlich einen anderen Server bekommen und konnte mich da garnicht mehr dran erinnern...
Die Einstellungen waren natürlich wieder auf Standard.
 
Habe nun Version 9.4 erhalten....leider ist Sandstorm nicht mit der Home Lizenz nutzbar.
 
Die ATP Alerts von dieser URL (*app.anmorencai.com) sind uns bereits bekannt. Die Probleme sind bei einem Pattern Update reingekommen.
 
Ich habe ein riesen Problem mit dem SMTP Versand von den Clients aus (GMX). Ich bekomme nur Timeouts, obwohl die Firewallregel grün ist

FW_LOG.PNG.

Der SMTP Proxy ist eingeschaltet und steht auf transparent, Leider kommt aber trotzdem nichts im Log an.

2016:03:24-10:31:23 wall smtpd[5453]: MASTER[5453]: (Re-)loading configuration from Confd
2016:03:24-10:31:23 wall smtpd[5453]: MASTER[5453]: Past 07:00:00, QR status one set to 'sent'
2016:03:24-10:31:23 wall smtpd[5453]: MASTER[5453]: Before 16:00:00, QR status two set to 'pending'
2016:03:24-10:31:23 wall exim-in[5928]: 2016-03-24 10:31:23 pid 5928: SIGHUP received: re-exec daemon
2016:03:24-10:31:23 wall exim-in[5928]: 2016-03-24 10:31:23 exim 4.82_1-5b7a7c0-XX daemon started: pid=5928, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4)
2016:03:24-10:32:00 wall exim-out[835]: 2016-03-24 10:32:00 Start queue run: pid=835
2016:03:24-10:32:00 wall exim-out[835]: 2016-03-24 10:32:00 End queue run: pid=835
2016:03:24-10:33:00 wall exim-out[959]: 2016-03-24 10:33:00 Start queue run: pid=959
2016:03:24-10:33:00 wall exim-out[959]: 2016-03-24 10:33:00 End queue run: pid=959
2016:03:24-10:34:00 wall exim-out[1040]: 2016-03-24 10:34:00 Start queue run: pid=1040
2016:03:24-10:34:00 wall exim-out[1040]: 2016-03-24 10:34:00 End queue run: pid=1040
2016:03:24-10:35:00 wall exim-out[1092]: 2016-03-24 10:35:00 Start queue run: pid=1092
2016:03:24-10:35:00 wall exim-out[1092]: 2016-03-24 10:35:00 End queue run: pid=1092
2016:03:24-10:36:00 wall exim-out[1191]: 2016-03-24 10:36:00 Start queue run: pid=1191
2016:03:24-10:36:00 wall exim-out[1191]: 2016-03-24 10:36:00 End queue run: pid=1191
2016:03:24-10:37:00 wall exim-out[1230]: 2016-03-24 10:37:00 Start queue run: pid=1230
2016:03:24-10:37:00 wall exim-out[1230]: 2016-03-24 10:37:00 End queue run: pid=1230
2016:03:24-10:38:00 wall exim-out[1301]: 2016-03-24 10:38:00 Start queue run: pid=1301
2016:03:24-10:38:00 wall exim-out[1301]: 2016-03-24 10:38:00 End queue run: pid=1301
2016:03:24-10:39:00 wall exim-out[1324]: 2016-03-24 10:39:00 Start queue run: pid=1324
2016:03:24-10:39:00 wall exim-out[1324]: 2016-03-24 10:39:00 End queue run: pid=1324
 
Wenn du SMTP Proxy transparent aktiviert hast, brauchst du doch gar keine SMTP Firewall-Regel extra...?
 
Der Traffic schlägt aber auf der Firewall auf und nicht im SMTP Log. Ich werde noch wahnsinnig.

Beim Mailprogramm gebe ich doch ganz normal den Server von GMX an (mail.gmx.net) oder muss ich hier die Sophos eintragen (10.10.10.1) ? Wir haben die UTM bein uns im Geschäft im Einsatz, aber da steht der Exchangeserver bei uns im Netz und wir haben den Smarthost aktiviert.
 
paulianer: ja, das geht. Du kannst das mit VLANs lösen. Ob das genau so sicher ist .. Glaubensfrage. Aber vom Prinzip her ist es schon besser zumindest WAN und LAN auf getrennten NICs laufen zu lassen.
 
@Opticum: Danke für die Antwort.
Ich wollte mir einen NUC-Klon anschaffen um die UTM vom VM-Server zu bekommen. Da ich sowieso schon VLANs im Netz habe, habe ich wenig Skrupel. Nur aus der Erinnerung heraus lässt sich die UTM mit nur einer Netzwerkkarte gar nicht erst installieren.

Glaubensfrage: Ich sehe das so, es müsste ein potentieller Angreifer Kontrolle über mein Kabelmodem erlangen und von da aus schaffen, aus dem Access-Port auf dem Switch auszubrechen. Ich denke im Heim-Bereich sollte das ausreichend sicher sein - aber Gegenargumente lese ich immer gerne.
 
paulianer: doch, lässt sich auch mit nur 1 NUC installieren. Man bekommt einen Hinweis das es keinen Sinn macht, aber gehen tut es trotzdem. Ich hatte die Überlegung auch schon das mit einem NUC zu lösen, hätte aber wirklich gern zumindest einen zweiten Netzwerkport. Ich würde zumindest einen 8 Port VLAN Switch exklusiv an dem Intel NUC betreiben und diesen nur für die (virtuellen) Sophos Ports benutzen. Die VLANs könnte man auch unter ESXi einrichten und dann sogar noch 1-2 kleine VMs neben der Firewall fahren. Einzig blöd ist das der NUC kein ECC Ram hat, dafür nur ca. 6 Watt Verbrauch idle mit 1 Windows VM unter ESXi (selbst gemessen)
 
Zuletzt bearbeitet:
Opticum schrieb:
paulianer: doch, lässt sich auch mit nur 1 NUC installieren. Man bekommt einen Hinweis das es keinen Sinn macht, aber gehen tut es trotzdem.[...]
Zum Vergrößern anklicken....
Danke, genau die Information habe ich gesucht! :)

LichtiF schrieb:
USB Netzwerkkarte :)

Running USB NICs with Sophos UTM – Network Guy
Zum Vergrößern anklicken....
Danke, den Beitrag hatte ich bei meiner Recherche auch schon gesehen. Das wäre auch eine Alternativ. Habt ihr Erfahrungen damit? Laufen USB NICS zuverlässig?
 
Es habe selber noch keine Firewall damit im Einsatz aber kenne etliche die in ihre (portablen) Homelabs auch Nuc + USB Netzwerkkarten im Einsatz haben.

Na dann kann man aber auch sagen :

bevor ich Sophos UTM verwende nehme ich lieber Pfsene ...... :)
 
Na USB NICs ist eine Frage der Zuverlässigkeit. Meine Dockingstation auf der Arbeit beinhaltet eine USB Netzwerkkarte und die läuft ganz solide - doof ist nur, dass bei voller Last auf der NIC Tastatur und vor allem die Maus anfangen zu laggen :fresse:.

Ich denke ich teste es mal mit einem NUC und einer USB-Netzwerkkarte. Wenn die nicht zuverlässig laufen sollte kann ich immer noch auf VLANs umsteigen. Glaubt ihr ein Intel Celeron 3205U ist ausreichend flott für eine dreier WG und 100/5 Mbit? Mit allen Schutzfunktionen aktiviert?
 
Zuletzt bearbeitet:
paulianer schrieb:
Na USB NICs ist eine Frage der Zuverlässigkeit. Meine Dockingstation auf der Arbeit beinhaltet eine USB Netzwerkkarte und die läuft ganz solide - doof ist nur, dass bei voller Last auf der NIC Tastatur und vor allem die Maus anfangen zu laggen :fresse:.

Ich denke ich teste es mal mit einem NUC und einer USB-Netzwerkkarte. Wenn die nicht zuverlässig laufen sollte kann ich immer noch auf VLANs umsteigen. Glaubt ihr ein Intel Celeron 3205U ist ausreichend flott für eine dreier WG und 100/5 Mbit? Mit allen Schutzfunktionen aktiviert?
Zum Vergrößern anklicken....

Schau doch was die echten UTM Modelle für die versprochenen Leistungen verbaut haben, daran kann man sich gut orientieren.
https://www.sophos.com/de-de/products/utm-9/tech-specs.aspx

Und um die Prozessoren darin herauszufinden entweder googlen bzw. bei einem UTM Shop vorbeischauen:
Sophos SG 115w TotalProtect | UTMshop | Online-Shop für Security-Lösungen von Sophos/Astaro

Die 115W schafft laut Datenblatt mit aktiviertem Antivirusschutz einen Durchsatz bis zu 120 Mbit/s, darin ist ein Intel Atom E3826 mit 2x 1.46 GHz verbaut.
Also sind die in der Leistung etwa vergleichbar. Nur sollte man dann ebenfalls eine mindestens 60 GB große SSD einsetzen.

Um ganz sicher zu gehen und Reserven für später zu haben würde ich vielleicht sogar noch etwas stärkeres holen, denn alle Dienste benötigen schon etwas Leistung.
 
:love:

wird bestellt. schon angefragt.

allerdings frage ich mich gerade, was ich dann mit meinem zweiten hp gen8 anfange, auf dem aktuell die sophos unter esxi rennt.
Der kostete ja auch nicht viel mehr, hat mehr power und die anderen VMs darauf sind auch nur spielerei. Ich hätte dann wieder eine saubere Lösung, wenn ich darauf Sophos pur laufen lassen.

hmmm. mal sehen, was der verkäufer für den versand in die USA (bin dort ansäßig), mit 8GB Ram und 64 GB SSD verlangt.

letztlich ist das ja mein hobby, da muss nicht die vernuft siegen... :d
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh