[Sammelthread] Sophos UTM-Sammelthread

@Olaf16: IPS vermutlich. Wieso soll es am NAT liegen? Wenn NAT nicht in Ordnung wäre würde ausgehend nix funktionieren (masquarading) und eingehend brauchst du vermutlich keine DNAT Regeln weil du keinen Server hostest.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Naja. GTA Online basiert auf einem Mischmasch aus Server und P2P - Deshalb läuft es so beknackt. Bin gerade am Rumfummeln. 443 und 80 Ports abgeschalten in DMZ - Lief bei kleinen Lobbys heute eig. einwandfrei, nur große hauts mich nach 2-3 min raus. Nervig :/
 
Hi,

ich habe ein VLAN Interface in der Sophos UTM eingerichtet mit der VID. Lustigerweise funktioniert der Ping nicht vom VLAN-Interface zum internen bzw. externen aber pinge ich eine Webseite an funktioniert die Hostauflösung: "ping -I eth0.3 192.168.99.1" --> no respond
"ping -I eth0.3 heise.de" --> Namensauflösung aber kein ICMP-Reply.

Ich hatte probeweise sogar die Firewall auf ANY-ANY-ANY gesetzt, um das auszuschließen aber keine Chance. Was fehlt also in der Konfiguration, damit das VLAN-Interface auch mit der Außenwelt spricht?
 
Benutzt ihr die VMWare Tools von VMWare oder open-vm-tools?
Wenn die USV den ESX Host herunterfährt, soll dieser die VMs sauber herunterfahren. Die UTM ist die einzige Maschine ohne Tools.
 
Die VMware-Tools sind bei mir installiert, habe aber die UTM-VM auch direkt auf dem ESX installiert und nicht per Converter rüber geschoben.


Gesendet von iPhone mit Tapatalk
 
Zuletzt bearbeitet:
Hab auch direkt installiert. Dann probiere ich das mal aus

Gesendet von meinem Nexus 5X mit Tapatalk
 
568216fcafbb0810253a6358c219d48e.jpg


f2593667962636e9e8dd4a474d32416f.jpg


sorry für die Größe
 
Zuletzt bearbeitet:
Moin,
hat jmd. Telekom Smarthome hinter der UTM laufen? UPnP kann die UTM verständlicherweise nicht. Deshalb frage ich mich wie ich das Problem am besten löse, so dass die Homestation auch von außen verfügbar ist?
 
Deshalb frage ich mich wie ich das Problem am besten löse, so dass die Homestation auch von außen verfügbar ist?

Am besten schlau machen was für Ports und Zieladressen die Technik benötigt und dementsprechend aufmachen. Das siehst du ja auch in den Logs.

Ich geh davon aus das du DDNS usw. eingerichtet hast.
Oder du machst alles per VPN.
 
Ich habe die entsprechenden Ports aus den Logs schon freigegeben. Hab als Ziel den Server der T-Com eingetragen und die jeweiligen Ports freigeben. Jedoch klappt es noch nicht so recht. Damit habe ich bisher noch keinen Erfolg gehabt.
 
Hallo hat jemand eine Ahnung ob irgendwann der Hypervisor Bhyve unterstützt wird von Sophos UTM?
 
Hallo Zusammen
ich habe mir inzwischen VPN-SSL eingerichtet und es läuft auch wunderbar geschmeidig.

1. Jetzt habe ich die kryptografischen Einstellungen mal testweise auf
AES-256-CBC
SHA2 512
Schlüssellänge auf 4096 Bit hochgedreht.

An einem Telekom-Hotspot wird jetzt der Zugang per RDP und VNC schnarch langsam.
Habt ihr mir einen Tipp, wie die Einstellungen zu setzen sind, damit sinnvolle Sicherheit erreicht wird, bei akzeptabler Geschwindigkeit??

2. Seit der VPN-Zugang eingerichtet ist, hab ich vermehrt Port-Scans.
Werde ich den größten Teil der bösen Buben los bzw. erhöhe ich überhaupt die Sicherheit, wenn ich den VPN-Port auf > 1024 setze? Und genügt es, wenn ich den neuen Port einfach in Fernzugriff/SSL/Einstellungen eintrage oder muss in der Firewall dieser Port explizit auch eingetragen werden? Welche Stolperfallen tun sich für mich dann auf, wenn ich den Port wechsle?
 
Hallo hat jemand eine Ahnung ob irgendwann der Hypervisor Bhyve unterstützt wird von Sophos UTM?

bhyve - FreeBSD Wiki

Q: What VM operating systems does bhyve support?

A: bhyve supports any version of FreeBSD i386/amd64 with VirtIO support. OpenBSD, NetBSD and GNU/Linux are supported using the using the sysutils/grub2-bhyve port. UEFI support is available for FreeBSD, GNU/Linux, SmartOS and Windows:

FreeBSD 8.4-RELEASE and newer, including CURRENT
OpenBSD amd64/i386 5.2 and newer
GNU/Linux amd64/i386 (Many distributions)
NetBSD amd64 6.1 and newer
SmartOS 20151001 and newer
Windows x64 Vista, 7, 8, 10
Windows Server 2008r2, 2012r2, 2016

Tested GNU/Linux distributions include:

CentOS/RHEL 6.2, 6.3, 6.4, 6.5 and 7.0
Debian 6.0.7, 7.0, 7.6 netinstall i386/amd64
Fedora 20
OpenSUSE 12.3 and 13.1 amd64
Ubuntu server 10.04, 12.04, 13.04, 14.04, 14.10, 15.04, 15.10, 16.04 i386/amd64


aka wohl nie für prop Systeme (welche nicht der basis oben entsprechen) wenn das Sophos nicht patched (und nein, das ist nicht die Schuld von bhyve)
 
Zuletzt bearbeitet:
pumuckel: wie kommst du darauf? Sophos basiert auf einem gehärtetem Suse Linux. Sollte also funktionieren.
 
pumuckel: wie kommst du darauf? Sophos basiert auf einem gehärtetem Suse Linux. Sollte also funktionieren.
Mr Deluxe sagt das es nicht geht ... ich selbst nutze das nicht und beantwortete nur seine Frage

Hilf Ihm gerne weiter
 
Zuletzt bearbeitet:
Mr Deluxe sagt das es nicht geht ... ich selbst nutze das nicht und beantwortete nur seine Frage

Hilf Ihm gerne weiter

Ich sehe nicht das er irgendwo schreibt das es nicht funktioniert. Er fragt ob es (irgendwann) unterstützt wird.

@pumuckel: Du hast geschrieben "aka wohl nie für prop Systeme (welche nicht der basis oben entsprechen) wenn das Sophos nicht patched (und nein, das ist nicht die Schuld von bhyve)"
Die Sophos UTM ist kein proprietäres OS in dem Sinne. (wie gesagt, Suse basiert)

@MrDeluxe: installier doch einfach mal, es sollte laufen. Wenn klappt oder nicht klappt poste doch mal hier, bei Problemen gibt es vielleicht auch noch Möglichkeiten diese auszumerzen.
 
@Opticum ... das schrieb er im Proxmox Thread :)

... geschrieben von unterwegs (Handy)
 
Hallo Zusammen
ich habe mir inzwischen VPN-SSL eingerichtet und es läuft auch wunderbar geschmeidig.

1. Jetzt habe ich die kryptografischen Einstellungen mal testweise auf
AES-256-CBC
SHA2 512
Schlüssellänge auf 4096 Bit hochgedreht.

An einem Telekom-Hotspot wird jetzt der Zugang per RDP und VNC schnarch langsam.
Habt ihr mir einen Tipp, wie die Einstellungen zu setzen sind, damit sinnvolle Sicherheit erreicht wird, bei akzeptabler Geschwindigkeit??

2. Seit der VPN-Zugang eingerichtet ist, hab ich vermehrt Port-Scans.
Werde ich den größten Teil der bösen Buben los bzw. erhöhe ich überhaupt die Sicherheit, wenn ich den VPN-Port auf > 1024 setze? Und genügt es, wenn ich den neuen Port einfach in Fernzugriff/SSL/Einstellungen eintrage oder muss in der Firewall dieser Port explizit auch eingetragen werden? Welche Stolperfallen tun sich für mich dann auf, wenn ich den Port wechsle?

Da die meisten PortScans auf Standard Ports abzielen bist damit schon etwas aus der Schussbahn,
Einfaches ändern des VPN Ports reicht, Problem bekommst du insofern wenn du kein freies Internet verwendest sondern in irgendwelchen Hotspots unterwegs bist, da wird der Port dann vermutlich auch nicht freigeschaltet sein ergo geht dann dein VPN nicht.
 
Da die meisten PortScans auf Standard Ports abzielen bist damit schon etwas aus der Schussbahn,
Einfaches ändern des VPN Ports reicht, Problem bekommst du insofern wenn du kein freies Internet verwendest sondern in irgendwelchen Hotspots unterwegs bist, da wird der Port dann vermutlich auch nicht freigeschaltet sein ergo geht dann dein VPN nicht.

Danke @Fr3@k, dann bleibt mir aber nichts anderes übrig, als den Standardport zu belassen. Kein funktionierendes VPN ist die noch viel schlechtere Alternative.

Kannst du mir noch etwas zu den kryto-Einstellungen sagen? Was sind da die sinnvollen Einstellungen?
 
@Opticum: Ich habe es getestet und es schlug bereits im Bootvorgang fehl.
 
@MrDeluxe: ich bin im Bootvorgang bis zur Auswahl gekommen. Denke mal das liegt jetzt nur noch an Kleinigkeiten. Melde mich wenn ich es installiert bekommen habe.
 
@MrDeluxe: ich bin im Bootvorgang bis zur Auswahl gekommen. Denke mal das liegt jetzt nur noch an Kleinigkeiten. Melde mich wenn ich es installiert bekommen habe.

OpenSUSE 12.3 and 13.1 amd64 und VirtIO Support
 
Zuletzt bearbeitet:
die Sophos UTM unterstützt u.a. VirtIO Netzwerkkarten. oder was meinst du?
 
Wenn ihr es installiert bekommen habt, erzählt bitte wie :)
 
hat bei euch jemand passende webfilter-ausnahmen für amazin 4k streaming?
bei mir ruckelt bzw kommt es zur fehlermeldungen am tv das nicht nicht genügend bandbreite übrig wäre trotz:

"[x] Streaming-Inhalte nicht scannen"

könnte die intrusion-detection evtl noch stören?

schalte ich den webfilter ab, flutscht alles sofort..
 
MrDeluxe: hab es nur mal kurz probiert. Das Problem ist nicht das die Sophos Behyve nicht unterstützt sonder umgekehrt. Du bekommst bei Behyve nur mit EFI Boot einen KVM Bildschirm. Ansonsten nur serielle Konsole. Die Serielle Konsole nimmt meine Eingaben nicht an, ich bin schon am Installationsauswahlbildschirm gelandet, komme dort nur nicht weiter...

- - - Updated - - -

fatality: schalte den webfilter für dein amazon fire tv aus, exception anlegen. Webfilter dafür ist eh überflüssig.
 
hat bei euch jemand passende webfilter-ausnahmen für amazin 4k streaming?
bei mir ruckelt bzw kommt es zur fehlermeldungen am tv das nicht nicht genügend bandbreite übrig wäre trotz:

"[x] Streaming-Inhalte nicht scannen"

könnte die intrusion-detection evtl noch stören?

schalte ich den webfilter ab, flutscht alles sofort..

Ich habe mir generell für Streaming ne Ausnahme gebaut:

Unbenannt.PNG

Code:
^https?://.*\.mp4
^https?://.*\.avi
^https?://.*\.flv
^https?://.*\.mpg
^https?://.*\.mkv
^https?://.*\.wmv
^https?://.*\.mov
^https?://.*\.vob
^https?://.*\.ogg
^https?://.*\.ogv
^https?://.*\.m4p
^https?://.*\.m4v
^https?://.*\.webm
 
Ich habe mir generell für Streaming ne Ausnahme gebaut:

Anhang anzeigen 397671

Code:
^https?://.*\.mp4
^https?://.*\.avi
^https?://.*\.flv
^https?://.*\.mpg
^https?://.*\.mkv
^https?://.*\.wmv
^https?://.*\.mov
^https?://.*\.vob
^https?://.*\.ogg
^https?://.*\.ogv
^https?://.*\.m4p
^https?://.*\.m4v
^https?://.*\.webm

danke probier ich heut abend aus, ansonsten geb ich dem tv ne feste ip, leg ihn als host an und setz ihn mal auf die ausnahme-host-liste :)
 
Fatality: genau so würde ich es machen. Ein FireTV ist sicherlich kein Hauptangriffspunkt was Virendownload über Webbrowser angeht ;)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh