[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Wie schon fast geahnt ließ sich die Hardware-ISO nicht auf die neue Festplatte installieren.
Anscheinend ist die Seriennummer der "alten" Festplatte hinterlegt und wird während der Hardware-Überprüfung abgefragt.
Somit habe ich jetzt die alte Festplatte mit einem Low-Level Format-Tool formatiert, die Hardware-ISO erneut installiert und die alte Festplatte anschließend mit Acronis True Image 2016 auf die neue baugleiche Festplatte geklont.
Um die Heimlizenz einzuspielen habe ich folgendes durchgeführt:
Alternativ kann man auch die Festplatte ausbauen, an einem Windows PC anschließen, das Programm Paragon ExtFS installieren und die Datei über den Editor anpassen.
Anscheinend ist die Seriennummer der "alten" Festplatte hinterlegt und wird während der Hardware-Überprüfung abgefragt.
Somit habe ich jetzt die alte Festplatte mit einem Low-Level Format-Tool formatiert, die Hardware-ISO erneut installiert und die alte Festplatte anschließend mit Acronis True Image 2016 auf die neue baugleiche Festplatte geklont.
Um die Heimlizenz einzuspielen habe ich folgendes durchgeführt:
Alternativ kann man auch die Festplatte ausbauen, an einem Windows PC anschließen, das Programm Paragon ExtFS installieren und die Datei über den Editor anpassen.
Zuletzt bearbeitet:
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Hey ihr,
ich weiß, dass dieses Thema vielleicht schon hier gefragt wurde, aber den ganzen thread durchzulesen ist etwas zuviel, ohne zu wissen, ob es überhaupt gefragt wurde.
Ich möchte die Funktion der Email protection verstehen. Mein Ziel ist es, damit meine Emails von einem gmx, Hotmail, web. de etc. Account zu durchleuchten.
Darf man dieses System so verstehen, wie ein webproxy? Wenn ja, wie realisiert man das? Muss man dazu nen internen exchange am laufen haben oder kann man das auch direkt?
Macht sophos das in real time oder pufferst die das? (wegen imap push, was ich derzeit nicht missen will...)
Danke für eure Hilfe
Gesendet von meinem LG-D855 mit Tapatalk
ich weiß, dass dieses Thema vielleicht schon hier gefragt wurde, aber den ganzen thread durchzulesen ist etwas zuviel, ohne zu wissen, ob es überhaupt gefragt wurde.
Ich möchte die Funktion der Email protection verstehen. Mein Ziel ist es, damit meine Emails von einem gmx, Hotmail, web. de etc. Account zu durchleuchten.
Darf man dieses System so verstehen, wie ein webproxy? Wenn ja, wie realisiert man das? Muss man dazu nen internen exchange am laufen haben oder kann man das auch direkt?
Macht sophos das in real time oder pufferst die das? (wegen imap push, was ich derzeit nicht missen will...)
Danke für eure Hilfe
Gesendet von meinem LG-D855 mit Tapatalk
Hättest Du einfach mal nach dem unscheinbaren Wort IMAP hier im Thread gesucht, hättest Du dir die Frage sparen können, da die UTM kein IMAP scannen kann.
Bei POP3 wird ein Proxy zwischengeschaltet und man braucht keinen Exchange, IMAP geht ungefiltert durch.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Ich bin so blöd... ja, damit hat sichs geklärt...
dann noch was anderes. Der Webproxy, kann man den konfigurieren? Das Ding stellt iwie ein übelstes Problem da, denn alle stationen, die im webfilter eingetragen sind können überall auf Port 80 hin, egal was die Firewall sagt...
Gesendet von meinem LG-D855 mit Tapatalk
dann noch was anderes. Der Webproxy, kann man den konfigurieren? Das Ding stellt iwie ein übelstes Problem da, denn alle stationen, die im webfilter eingetragen sind können überall auf Port 80 hin, egal was die Firewall sagt...
Gesendet von meinem LG-D855 mit Tapatalk
Ja, natürlich kann man den Webproxy auch konfigurieren, sonst wäre der ja ziemlich unsinnig. So wie es aussieht, hast Du erstmal ohne nachzudenken und ohne irgendeine Schulung oder in das Handbuch zu schauen den Webfilter aktiviert. Das sollte man vor allen Dingen bei einer Firewall nicht einfach so machen, denn wenn Du den Webfilter einfach so aktivierst, traue ich dir zu, auch andere Dinge einfach so zu aktivieren/deaktivieren, ohne dass Du wirklich weißt, was das bewirkt.
Deswegen: wie erfahren bist Du in der Konfiguration von Firewalls? Hast Du ggf. schon Firewalls anderer Hersteller konfiguriert? Jeder Hersteller hat da seine Spezialitäten, die beachtet werden müssen, sonst reißt man ggf. Löcher in die Firewall, die man gar nicht beabsichtigt und an die man überhaupt nicht denkt.
Deswegen: wie erfahren bist Du in der Konfiguration von Firewalls? Hast Du ggf. schon Firewalls anderer Hersteller konfiguriert? Jeder Hersteller hat da seine Spezialitäten, die beachtet werden müssen, sonst reißt man ggf. Löcher in die Firewall, die man gar nicht beabsichtigt und an die man überhaupt nicht denkt.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Ich komm von lancom. Bis jetzt hab ich die Firewall auf dem deny-all Prinzip eingerichtet. quasi jede Station, die nicht aufgeführt ist, wird auf any port to any geblockt.
Der Webproxy jedoch übergeht das. Jedenfalls auf Port 80. Beispiel :
Host A ist eingetragen, funktioniert auch. Host B kommt neu hinzu, wird von der Firewall geblockt.
Sobald jedoch Host B im Proxy eingetragen ist, kann dieser überall, sogar in jedes vlan, auf Port 80 telefonieren...
Demnach kommt der Proxy ja an der Firewall vorbei, denn sobald ich Host B aus der webfilter Liste lösche, ist Host B auch geblockt und die Firewall arbeitet so wie erwartet...
Gesendet von meinem LG-D855 mit Tapatalk
Der Webproxy jedoch übergeht das. Jedenfalls auf Port 80. Beispiel :
Host A ist eingetragen, funktioniert auch. Host B kommt neu hinzu, wird von der Firewall geblockt.
Sobald jedoch Host B im Proxy eingetragen ist, kann dieser überall, sogar in jedes vlan, auf Port 80 telefonieren...
Demnach kommt der Proxy ja an der Firewall vorbei, denn sobald ich Host B aus der webfilter Liste lösche, ist Host B auch geblockt und die Firewall arbeitet so wie erwartet...
Gesendet von meinem LG-D855 mit Tapatalk
Das macht die UTM von alleine, da brauchst Du keine Firewall-Regel für. Dafür gibt es die Default-Regel, die eben alles, was nicht freigegeben ist, blockt.
Das ist richtig, der Webfilter umgeht die Firewall, das wird aber in den Schulungen vermittelt und es steht auch im Handbuch.
Das sollte so eigentlich nicht sein. Ohne nähere Angaben, was in den diversen Optionen des Webfilters eingetragen ist, ist eine Fehlersuche jedoch ziemlich schlecht möglich.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Naja, Schulungen und Handbücher, die dort vergeben werden, lohnt sich für privat nicht.. Somit weißt man auch, das ich nur die Home Lizenz hab..
Dazu ne frage: gibt's von sophos nen "privat user" Lizenz modell? Ich meine damit z. B. 50 weitere ip Adressen für 100 Euro oder so... z.Z. Ist ja ein aufrüsten dieser art für privat einfach Investitionsmäßig unmöglich..
Die webfilter Einstellungen sind Standard, die auch vorher waren. Lediglich aufgrund der Firewall Umgehung flog bei zugelassene Netzwerke ganze Netzwerke raus und wurde durch einzelne hosts ersetzt. Weitere regeln wurden für den hotspot gemacht und für ein 2tes Netzwerk auch.
Der Unterschied von diesen zu der Standardsache sind die Erlaubnissen zu den Kategorien.
Wie gesagt, viel zu den webfilter Einstellung, die das Verhalten im internen sophos gedöns angeht, sind dort nicht zu finden.
Ich weiß ehrlich nicht, was sophos sich dabei gedacht hat, das man sich mit dem proxy derartige bösen Löcher in die Firewall schießen kann... Normalerweise hat das regelwerk in der Firewall das letzte Wort und sowas wie derartige Bypässe sollten mit warnenden Hinweisen in der ui versehen werden...
Naja, trotzdem eine Idee, dem proxy dieses Verhalten abzugewöhnen? Vor allem, das Routing über vlans hinweg?
Gesendet von meinem LG-D855 mit Tapatalk
Dazu ne frage: gibt's von sophos nen "privat user" Lizenz modell? Ich meine damit z. B. 50 weitere ip Adressen für 100 Euro oder so... z.Z. Ist ja ein aufrüsten dieser art für privat einfach Investitionsmäßig unmöglich..
Die webfilter Einstellungen sind Standard, die auch vorher waren. Lediglich aufgrund der Firewall Umgehung flog bei zugelassene Netzwerke ganze Netzwerke raus und wurde durch einzelne hosts ersetzt. Weitere regeln wurden für den hotspot gemacht und für ein 2tes Netzwerk auch.
Der Unterschied von diesen zu der Standardsache sind die Erlaubnissen zu den Kategorien.
Wie gesagt, viel zu den webfilter Einstellung, die das Verhalten im internen sophos gedöns angeht, sind dort nicht zu finden.
Ich weiß ehrlich nicht, was sophos sich dabei gedacht hat, das man sich mit dem proxy derartige bösen Löcher in die Firewall schießen kann... Normalerweise hat das regelwerk in der Firewall das letzte Wort und sowas wie derartige Bypässe sollten mit warnenden Hinweisen in der ui versehen werden...
Naja, trotzdem eine Idee, dem proxy dieses Verhalten abzugewöhnen? Vor allem, das Routing über vlans hinweg?
Gesendet von meinem LG-D855 mit Tapatalk
Hier werden Sie geholfen:
https://community.sophos.com/products/unified-threat-management/f/55/t/46405
Hallo zusammen,
ich habe ein Problem mit meinem AP10. Habe Zuhause eine 320 rev. 4 mit einer Homelizenz laufen, dazu 1St. AP10.
Nun wird mir der AP10 nicht mehr angezeigt. LED´s brennen. Rest, Stromlos etc. alles getestet.
Was mir mittlerweile eingefallen ist, womit es evtl zusammenhängen könnte....
Ich habe eine USV an allem hängen. Die Batterien war kaputt und habe neue eingebaut. zuvor gesehen, dass ein neues Update für die UTM gibt. Also vor dem Herunterfahren noch ein Update gemacht. Kann es damit zusammen hängen? Bekam der AP10 auch ein Update und war noch nicht fertig als ich alles Stomlos gemacht habe. Aber es lief das Update durch, danach neustart und danach herunterfahren. Ist ja schon einige Zeit. In der Zeit müsste ja ein Update für den AP10 ebenfalls durch sein sofern es sowas gab.
Hat jemand eine Idee was das sein könnte?
ich habe ein Problem mit meinem AP10. Habe Zuhause eine 320 rev. 4 mit einer Homelizenz laufen, dazu 1St. AP10.
Nun wird mir der AP10 nicht mehr angezeigt. LED´s brennen. Rest, Stromlos etc. alles getestet.
Was mir mittlerweile eingefallen ist, womit es evtl zusammenhängen könnte....
Ich habe eine USV an allem hängen. Die Batterien war kaputt und habe neue eingebaut. zuvor gesehen, dass ein neues Update für die UTM gibt. Also vor dem Herunterfahren noch ein Update gemacht. Kann es damit zusammen hängen? Bekam der AP10 auch ein Update und war noch nicht fertig als ich alles Stomlos gemacht habe. Aber es lief das Update durch, danach neustart und danach herunterfahren. Ist ja schon einige Zeit. In der Zeit müsste ja ein Update für den AP10 ebenfalls durch sein sofern es sowas gab.
Hat jemand eine Idee was das sein könnte?
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Danke. Das scheint zu laufen...
Wie ist das mit dem Lizenzmodell? Gibt's da irgendetwas?
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Das Problem dabei, der Link zum how-to ist wohl "tot". Jedenfalls landet man nicht mehr dort, wo man landen sollte.
Kann das jmd näher beschreiben, wie man per ssh den counter zurück setzt?
edit: habs selbst gefunden. Funktioniert auch, nur tauchen die halt später wieder auf. Hat schon mal jemand das versucht, per Cronjob stündlich zu automatisieren??
Kann das jmd näher beschreiben, wie man per ssh den counter zurück setzt?
edit: habs selbst gefunden. Funktioniert auch, nur tauchen die halt später wieder auf. Hat schon mal jemand das versucht, per Cronjob stündlich zu automatisieren??
Zuletzt bearbeitet:
Damit konnte ich mir selbst helfen...
https://community.sophos.com/products/unified-threat-management/f/68/t/75762
jonasgrafe
Experte
- Mitglied seit
- 05.01.2015
- Beiträge
- 33
Ist es möglich einem bestimmten User (über die IP, z. B.) das komplette Internet zu sperren bis auf Amazon Inhalte wie Prime? Oder music? Muss ich da mit Web Filter und Firewall arbeiten? Wenn ja, wie muss das aussehen?
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Ist es möglich, die DHCP Lease Tabelle zu löschen? Ich weiß, man brauch des fast nie, aber zur Zeit fang ich an, die sophos zu hassen. Neustart esxi und NICHTS geändert während dessen, aber client A ist einfach nicht mehr erreichbar, antwortet aber auf pings, der andere lässt sich nicht mehr anpingen, aber mappen usw... Vor dem Neustart alles tip top...
Irgendwann renkt es sich dann von selbst wieder ein... halt irgendwann..
Irgendwann renkt es sich dann von selbst wieder ein... halt irgendwann..
jonasgrafe
Experte
- Mitglied seit
- 05.01.2015
- Beiträge
- 33
Kann mir jmd zu meinem Amazon Problem helfen.
Evtl übersehe ich da was, aber ist das nicht ganz einfach:
1. Neue Firewall Regel ganz oben: erlaubte Services für die IP des Rechners
2. Neue Firewall Regel darunter: IP des Rechners = alles verbieten
jonasgrafe
Experte
- Mitglied seit
- 05.01.2015
- Beiträge
- 33
Ja Internet blocken ist einfach, aber wie die Verbindung zu den Amazon Diensten erlauben?
teqqy
Enthusiast
Nimmst du halt die DNS Adressen für den einen Host.
Host -> HTTP/HTTPS -> Amazon Dienste
Host -> HTTP/HTTPS -> Amazon Dienste
AvantFighter
Enthusiast
Hoffe Ihr könnt mir helfen,
hab die UTM in einer VM (aktuelle Version 9.402-7), und dazu ein DC und Exchange 2013, das problem ist, im Email-Protection ist "Mit Serveranfrage" eingestellt, doch trotzdem leitet die UTM die Emails an den Exchange weiter, auch wenn die Adresse es nicht gibt.
Alles andere Funktioniert, Email versand und Empfang. Die UTM ist unter SSO nicht in der AD.
Was kann es sein oder wie kann ich das Problem lösen, das die UTM mit der Funktion arbeitet und die Adressen erst im Exchange abfrägt.
hab die UTM in einer VM (aktuelle Version 9.402-7), und dazu ein DC und Exchange 2013, das problem ist, im Email-Protection ist "Mit Serveranfrage" eingestellt, doch trotzdem leitet die UTM die Emails an den Exchange weiter, auch wenn die Adresse es nicht gibt.
Alles andere Funktioniert, Email versand und Empfang. Die UTM ist unter SSO nicht in der AD.
Was kann es sein oder wie kann ich das Problem lösen, das die UTM mit der Funktion arbeitet und die Adressen erst im Exchange abfrägt.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Noch viel Interessanter:
Wie verhält sich die Sophos bei euch bei Statischen IP Adressen, wenn der DHCP Pool noch dynamische Adressen überhat und ein unbekannten Host eine IP vergeben soll?
Bei mir:
Solange der Statische Client nicht im Netz ist, vergibt der Horst einfach die eigentlich Reservierte Adresse dem neuen Freund im Netz. WTF... WAS IST DAS FÜR EINE SCH**** Security Software? Wie kann man für so eine kacke, die noch nicht mal das Wort "Statisch" oder an "MAC Adresse gebundene IP Adresse" beherrscht, auch noch so viel Geld verlangen?
Jungs, mal ehrlich: Bin ich das Problem, weil man dem DHCP noch irgendwo ein hacken setzen muss, das er die Statischen definitiv für die MAX XYZ reserviert hält oder ist die Sophos nur schrott, abgesehen vom Content filter?
Ich hab sogar schon testweise eine zweite Sophos VM frisch aus der Dose aufgesetzt - gleiches Spiel..
Wie verhält sich die Sophos bei euch bei Statischen IP Adressen, wenn der DHCP Pool noch dynamische Adressen überhat und ein unbekannten Host eine IP vergeben soll?
Bei mir:
Solange der Statische Client nicht im Netz ist, vergibt der Horst einfach die eigentlich Reservierte Adresse dem neuen Freund im Netz. WTF... WAS IST DAS FÜR EINE SCH**** Security Software? Wie kann man für so eine kacke, die noch nicht mal das Wort "Statisch" oder an "MAC Adresse gebundene IP Adresse" beherrscht, auch noch so viel Geld verlangen?
Jungs, mal ehrlich: Bin ich das Problem, weil man dem DHCP noch irgendwo ein hacken setzen muss, das er die Statischen definitiv für die MAX XYZ reserviert hält oder ist die Sophos nur schrott, abgesehen vom Content filter?
Ich hab sogar schon testweise eine zweite Sophos VM frisch aus der Dose aufgesetzt - gleiches Spiel..
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Ok, das wäre mir neu, das es traditionell ist. Das funktioniert natürlich. Aber normalerweise ist das nicht der Sinn dieses Systems. Andere Töchter like Lancom, Pfsense etc. beherrschen das wunderbar, eine Resverierte IP innerhalb des Dyn. Pools wirklich nur für MAC XYZ zur reversieren...
Hier anscheinend nicht oder wie darf ich das verstehen?
Hier anscheinend nicht oder wie darf ich das verstehen?
OK, bitte mal klarstellen, wie Du das konfiguriert hast, das kann man nämlich auf verschiedene Weise realisieren:
- Innerhalb des DHCP-Servers auf der Sophos eine statische Reservierung an die MAC-Adresse gebunden
- Dem PC in den Eigenschaften seiner eigenen Netzwerkkarte eine statische IP-Adresse innerhalb der Range des DHCP-Servers der Sophos eingetragen
Im ersteren Falle sollte die Sophos diese IP-Adresse natürlich nicht an ein anderes Gerät vergeben, im zweiteren Falle weiß die gar nicht, dass dort ein Gerät mit dieser IP-Adresse irgendwo im Netz ist und vergibt deswegen natürlich diese IP-Adresse dynamisch, wenn ein anderes Gerät nach einer IP-Adresse fragt.
- Innerhalb des DHCP-Servers auf der Sophos eine statische Reservierung an die MAC-Adresse gebunden
- Dem PC in den Eigenschaften seiner eigenen Netzwerkkarte eine statische IP-Adresse innerhalb der Range des DHCP-Servers der Sophos eingetragen
Im ersteren Falle sollte die Sophos diese IP-Adresse natürlich nicht an ein anderes Gerät vergeben, im zweiteren Falle weiß die gar nicht, dass dort ein Gerät mit dieser IP-Adresse irgendwo im Netz ist und vergibt deswegen natürlich diese IP-Adresse dynamisch, wenn ein anderes Gerät nach einer IP-Adresse fragt.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Der erste Fall. Wird alles von der UTM aus verwaltet... Ohne Witz, ich kann es immer wieder reproduzieren - erst vergibt der DHCP dem neuling eine statische IP, kommt dann der "Eigentümer" bekommt der Eigentümer einfach keine Adresse, weil er merkt, das da etwas faul ist...
- - - Updated - - -
Ok, jetzt ist's offiziell. Die Sophos kann das nicht
Was für eine Lachnummer...
seht hier: (Ausschnitt aus dem Handbuch)
- - - Updated - - -
Ok, jetzt ist's offiziell. Die Sophos kann das nicht
Was für eine Lachnummer... seht hier: (Ausschnitt aus dem Handbuch)