[Sammelthread] Sophos UTM-Sammelthread

Soo, die Installation ist geglueckt.

Nach laaaangem hin und her! Falls ihr das gleiche Problem haben solltet und die Hardwaredetection bei 66% stehenbleibt:
Nutzt ihr einen Intel der >6th Generation?

Die Installation hat bei mir erst nach Einbau einer dedizierten Grafikkarte geklappt.

Desweiteren musste ich, um schlußendlich installieren zu koennen manuell meinen USB Stick(Installer) auf /install mounten. Keine Ahnung
wieso Sophos da so schlampt? ^^

sophos.JPG

Ich hoffe das Wochenende wird zeitlich ausreichen um alles sauber zu konfigurieren :)
Werde euch sicherlich noch mit der ein oder anderen Frage auf den Sack gehen hier.

Grueße und guts naechtle
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@Master Luke
Wenn du erstmal nur testen willst dann installier die UTM doch in eine VM, und erstellst eine zweite VM als Test-Rechner. Kostet deutlich weniger Nerven, da du dir eben nicht den Ast absägst, auf dem du sitzt.

@p4n0
Das mit dem USB und /install ist halt so. Hab ich glatt wieder vergessen, macht man halt nicht so oft ^^
Sophos wird in der Richtung einfach nichts optimieren, außer es finden sich vielleicht genug Befürworter im feature request forum. Aber da sehe ich auch schwarz, da die Tendenz bei Sophos eher auf die drecks XG geht.
 
Zuletzt bearbeitet:
Ich hoffe dass - wie im Forum gefordert und ordentlich befuerwortet wurde - let's encrypt sauber implementiert wird. :)

Die Einrichtung und Konfiguration der Sophos tut sich erstaunlich leicht.. Komme aus dem PFSense lager und im direkten Vergleich ist
das hier richtiger Kindergarten vom Anspruch her :d

Der erste Eindruck ist also durchaus positiv :)
 
Zuletzt bearbeitet:
Habe neulich in einem Blog erst gelesen, dass die 9.5 leider immer noch keine let's encrypt Implementierung kriegen soll - mal sehen, wann die dann wirklich kommt. ;)

Gruß
 
Macht es für die utm Performance einen Unterschied, ob sie auf einer ssd oder einer hdd installiert ist?

Gesendet von meinem Nexus 5X mit Tapatalk
 
wenn du ihr genug RAM gibst und die UTM nicht den SWAP nutzt, behaupte ich ist es egal wo sie installiert ist.
Hier wird es dann lediglich bei der Boot Zeit Unterscheide geben.
Wenn du aber mit dem RAM geizen möchtest sollte man schon eine SSD nehmen, da falls nötig Dateien aus dem SWAP deutlich schneller geladen werden können.
Unter der Ansicht Hardware kannst die sehen wie stark die Swap Auslastung ist, da kannst du falls du die UTM in einer VM betreibst mal bissl mit dem RAM spielen, um das Verhältniss SWAP <> RAM zu testen.

Gruß Rocker
 
Das HTTPS Scanning funktioniert wunderbar, wenn man das Man in the Middle Zertifikat richtig installiert. Ich persönlich bin jetzt wieder nur zur URL Filterung gewechselt.

Btw. nutzt jemand wpad? Wie funktioniert das genau? Oder hat wer n link zu einem guten tutorial oder how to?
 
Zuletzt bearbeitet:
Kann gut sein, dass es gut funktioniert aber was haltet ihr davon? Anscheinend ist es zwar ein schönes Feature aber mit sicherheitsbedenken. Zumal auch der Konfigurationsaufwand pro Client erheblich steigt, denn jeder Webclient muss das Zertifikat der UTM vertrauen.


https://zakird.com/papers/https_interception.pdf
 
Zuletzt bearbeitet:
Ich bin zwar kein IT'ler aber mir war schon vorher bewusst das ich neue Angriffsvektoren öffne, wenn mein Gateway Man in the Middle spielt.
 
Ich pers. halte nichts davon SSL aufzubrechen. Daher bleibt das aus :)
 
Cloud Runner schrieb:
Ich bin zwar kein IT'ler aber mir war schon vorher bewusst das ich neue Angriffsvektoren öffne, wenn mein Gateway Man in the Middle spielt.
Zum Vergrößern anklicken....

aber genau darum geht es ja. Malware lässt sich auch via https verbreiten und ohne https traffic zu untersuchen, kriegt die UTM davon halt nix mit.
Ich nutze es selbst zu Hause auch und habe keine großen Probleme. Zumindest keine, die ich ohne SSL Scanning mit Proxy nicht auch hätte.

Die Zertifikate für die privaten Geräte zu verteilen geht doch zügig und im Unternehmen nutzt man halt GPOs..

- - - Updated - - -

BTW ist der Transparant Proxy sehr viel schneller eingerichtet als WPAD oder auf jedem Client den Proxy händisch einzutragen.
 
Meiner Meinung nach gewinnt die Thematik in Zeiten von Let's Encrypt an Bedeutung.

Zu Hause nutze ich URL Filtering für HTTPS und bei mir auf der Arbeit wird HTTPS per Firewall-Regel ermöglicht. Beides im transparenten Modus.

Edit:
@suchmich
Der transparente Proxy erfordert clientseitig eigentlich keine Einstellung... Zumindest habe ich bei mir nichts konfiguriert und es funktioniert wunderbar.
Einfach aktivieren, bei Bedarf noch des URL Filtering für HTTPS und gut.
 
Zuletzt bearbeitet:
Auch wenn https inspect sauber funktioniert heißt es ncoh lange nicht dass der scanner auch tatsaechlich das schadzeug findet und filtert.

Ich finde man handelt sich mehr Nachteile als Vorteile ein, wenn man verschluesselte Verbindungen aufbricht. Außerdem spricht das irgendwie gegen den Sinn der Verschluesselung... Wenn man sie freiwillig knackt um reinzuschauen.
 
[SoD]r4z0r schrieb:
Meiner Meinung nach gewinnt die Thematik in Zeiten von Let's Encrypt an Bedeutung.

Zu Hause nutze ich URL Filtering für HTTPS und bei mir auf der Arbeit wird HTTPS per Firewall-Regel ermöglicht. Beides im transparenten Modus.

Edit:
@suchmich
Der transparente Proxy erfordert clientseitig eigentlich keine Einstellung... Zumindest habe ich bei mir nichts konfiguriert und es funktioniert wunderbar.
Einfach aktivieren, bei Bedarf noch des URL Filtering für HTTPS und gut.
Zum Vergrößern anklicken....

sag ich doch :d

- - - Updated - - -

p4n0 schrieb:
Auch wenn https inspect sauber funktioniert heißt es ncoh lange nicht dass der scanner auch tatsaechlich das schadzeug findet und filtert.

Ich finde man handelt sich mehr Nachteile als Vorteile ein, wenn man verschluesselte Verbindungen aufbricht. Außerdem spricht das irgendwie gegen den Sinn der Verschluesselung... Wenn man sie freiwillig knackt um reinzuschauen.
Zum Vergrößern anklicken....

sicherlich eher, als wenn er denn SSL Traffic gar nicht untersucht!

- - - Updated - - -

Cloud Runner schrieb:
Das HTTPS Scanning funktioniert wunderbar, wenn man das Man in the Middle Zertifikat richtig installiert. Ich persönlich bin jetzt wieder nur zur URL Filterung gewechselt.

Btw. nutzt jemand wpad? Wie funktioniert das genau? Oder hat wer n link zu einem guten tutorial oder how to?
Zum Vergrößern anklicken....

Genutzt wird hier ein DNS Eintrag namens "WPAD" welcher auf einen http Server verweisst, der dann via http eine Proxy Autoconfiguration bereitstellt.
Eigentlich ist in der Hilfe der UTM alles dazu gesagt was benötigt wird. Ein passendes proxy script musst du dir dann selbst an deine Bedürfnisse anpassen und zusammenstellen.
 
suchmich1983 schrieb:
sicherlich eher, als wenn er denn SSL Traffic gar nicht untersucht!
Zum Vergrößern anklicken....

Und wieviele Nachteile auf einen Schlag hast Du dir eingehandelt wenn die Box nicht ganz so safe funktioniert wie sie sollte?
Komplettes Unternehmen vertraut beispielsweise falschen Zertifikaten?

IdR hinken die Virendefinitionen so weit hinterher, dass es sich meiner Meinung nach unterm Strich nicht lohnt das SSL zu verhunzen.
Da wuerde ich an anderer Stelle ansetzen und beispielsweise die Mails ordentlich filtern.
 
p4n0 schrieb:
Und wieviele Nachteile auf einen Schlag hast Du dir eingehandelt wenn die Box nicht ganz so safe funktioniert wie sie sollte?
Komplettes Unternehmen vertraut beispielsweise falschen Zertifikaten?
Zum Vergrößern anklicken....
na und? Alle vom selben Herausgeber!

Kann deinen Aussagen nicht wirklich folgen, aber jeder muss natürlich so machen wie er meint!
 
suchmich1983 schrieb:
na und? Alle vom selben Herausgeber!

Kann deinen Aussagen nicht wirklich folgen, aber jeder muss natürlich so machen wie er meint!
Zum Vergrößern anklicken....

Schreib ich echt so unverstaendlich? ^^

Ich bin einfach nur der Meinung dass die Firewall der falsche Ort ist um Maleware zu beseitigen, welche evtl durch ne verschluesselte Verbindung eintruedelt.
Und funktionieren tut's halt auch nur fuer veralteten Muell, der nichtmehr unterwegs ist. Also bleiben meiner Meinung nach nur die Nachteile stehen.. Und darum wuerde ICH kein SSL aufbrechen :)
 
Kurz zum Thread ne Frage:

Gibt's ne ordentliche Methode um LE-Certs auf der Sophos zu aktualisieren?

Konnte auf die Schnelle nix finden... Mein Ansatz waere das ganze per SSH automatisiert rueberzupruegeln und auf der Sophos einfach zu ueberschreiben... Oder knallt das?
 
Ok dann brauche ich das wpad gedöns nicht. Hab mir zwar ein script geschrieben, aber der transparente Proxy reicht.
Danke.
 
p4n0 schrieb:
Kurz zum Thread ne Frage:

Gibt's ne ordentliche Methode um LE-Certs auf der Sophos zu aktualisieren?

Konnte auf die Schnelle nix finden... Mein Ansatz waere das ganze per SSH automatisiert rueberzupruegeln und auf der Sophos einfach zu ueberschreiben... Oder knallt das?
Zum Vergrößern anklicken....

[HOWTO] Lets Encrypt - Web Server Security - Sophos UTM 9 - Sophos Community
Der Link war mir mal vor ner Zeit über den Weg gelaufen, vlt. hilft der dir weiter.

Und dann noch fleißig für den Feature Request voten :bigok:
Let's Encrypt Integration – Sophos Features Ideas Laboratory
 
Hat einer von euch schon das Update auf die 9.412er Version gemacht? Hat das problemlos funktioniert?
Habe das Update geplant heute um 5:10 Uhr durchführen lassen und jetzt sieht es so aus:



Während/nach der Installation gabs ne E-Mail Update installiert (The current firmware version is now 9.412002).
Dann kam ne zweite E-Mail von wegen es wäre eine neue Version verfügbar (The following Firmware Up2Date package has been successfully downloaded and is now available for installation: 9.412002).
Und zum Schluss die normale Reboot E-Mail.
 
Hallo Leute,

Ich brauche mal eure Hilfung bzw. Meinung.
Ich bin am überlegen bei mir auch eine Sophos UTM aufzubauen um mein Netz abzusichern.
Ausgangslage ist folgende:

Telekom VDSL Vectoring -> Fritzbox 7490 -> Switch -> Clients (über LAN und WLAN) , HyperV Server, 2* Cisco VOIP Telefone + 1 Cisco AP

Jetzt ist es so, dass ich auf den HyperV Server einen Webserver und Minecraft Server laufen habe, der auch aus dem Internet erreichbar ist.
Deshalb wollte ich den lieber in ein extra Netz packen welches getrennt von mein LAN Netz ist.
Für die Telefonie nutze ich 2 Cisco VOIP 9951 Telefone + 2 AVM Fritz MTF Telefone.
Die Cisco VOIP Telefone benötigen einen TFTP Server wo die Configs liegen und die dann eine Verbindung zur Fritzbox aufbauen und sich dort registrieren.

Jetzt habe ich gelesen das es mit VOIP hinter der UTM Probleme geben soll. Hatte mir eigentlich gedacht nen Draytek Vigor an die TAE anzuschließen und dahinter die UTM zu packen und dahinter dann eine kleinere Fritzbox die nur für VOIP und DECT genutzt wird.
Da es dort aber Probleme geben soll weiß ich jetzt nicht genau wie ich das handhaben soll.
Telefonie ist schon wichtig sonst dreht die Familie durch :-)
Aber genauso wichtig ist es auch die Server vom LAN abzuschotten wegen Sicherheitsrisiken.

Habt ihr ne Ahnung oder könnt ihr mir Tipps geben wie ich das ganze aufbauen bzw. verkabeln sollte?

Vielen Dank im Voraus

MfG

Dopamin
 
Zuletzt bearbeitet:
DSL --> Vigor --> Sophos --> Switch --> Fritzbox/Rest.

Funktioniert einwandfrei. Habe eine 7490 genau in der Konsteallation als IP Client (Telefoniegeraete melden sich dort an, sie spielt SIP Server). Alles funktioniert blendend ohne jegliche Einschränkungen / Abbrueche etc.. Ebenfalls Telekom BNG(ADSL2+) Anschluss (Vlan7 Tagging erforderlich).

Für deinen Public Server erstellst ne DMZ auf der Sophos. Sehe keine Probleme bei dem Vorhaben.

Grueße
 
p4n0 schrieb:
DSL --> Vigor --> Sophos --> Switch --> Fritzbox/Rest.

Funktioniert einwandfrei. Habe eine 7490 genau in der Konsteallation als IP Client (Telefoniegeraete melden sich dort an, sie spielt SIP Server). Alles funktioniert blendend ohne jegliche Einschränkungen / Abbrueche etc.. Ebenfalls Telekom BNG(ADSL2+) Anschluss (Vlan7 Tagging erforderlich).

Für deinen Public Server erstellst ne DMZ auf der Sophos. Sehe keine Probleme bei dem Vorhaben.

Grueße
Zum Vergrößern anklicken....

Okay das klingt vielversprechend. Kannst du mir dann sagen wie das mit den Ports gemacht wird?
Welche müssen denn dort genau freigeschalten werden?

Habe des öfteren gehört und gelesen das es Probleme gibt, das die Gespräche abbrechen oder Stimme nicht mit übertragen wird.
 
Du musst gar nichts explizit freischalten. Es reicht wenn du in der FB die Option aktivierst dass die Verbindung zum ProviderSIP-Server alle 30sec Refreshed wird.

War selbst darueber verwundert.. Komme aus dem PFSense Lager und dort musste ich expiltzite Freischaltungen Tätigen für die Sprachdaten. Das faellt bei Sophos aus.
 
Ich habe Sophos UTM 9 auf einem ESXI 6.0 Host virtualisiert (zum Testen) und eine HP Netzwerkkarte an die Sophos UTM VM durchgereicht. In ESXi gibt es also eine virtualisierte Schnittstelle über die ich auf das Webinterface der Sophos UTM zugreife. Zugleich gibt es dann weitere Hardware Schnittstellen der HP Netzwerkkarte.

Ich setzte eine FritzBox ein, die als Modem, Router und DHCP Server fungiert (IP Range: 192.168.178.xxx). Das Webinterface kann ich über folgende IP aufrufen: https://192.168.2.100:4444 (vorausgesetzt ich beziehe meine IP an meinem PC nicht vom DHCP Server sondern stelle sie manuell ein).

Nun habe ich eine Hardwareschnittstelle (eth1) der Sophos UTM mit meinem Switch via Kabel verbunden (das Switch hängt an der FritzBox). Ich möchte gerne, dass die Hardware Schnittstelle auch ganz normal auf mein Heimnetzwerk bzw. Internet zugreifen kann.

Ich hab dazu wie folgt die Schnittstelle eingerichtet:


Screen Shot 2017-04-28 at 16.10.50_interfacekonfiguration.png



Leider ist die Schnittstelle aber weiterhin "down":

Screen Shot 2017-04-28 at 16.10.59_u?bersicht.jpg

An was kann das liegen? Die Schnittstelle ist ja auf "Dynamic IP" gesetzt, sollte sich also vom DHCP Server (FritzBox) die IP holen.

Hintergrund der ganzen Geschichte: Ich möchte gerne einen weiteren Server via VPN zu einem VPN Anbieter verbinden. Dh ich möchte gerne den Server an einer weiteren Hardwareschnittstelle der Sophos UTM anschließen. Die Sophos UTM soll einfach nur als VPN Einwahlclient dienen. Ich könnte das natürlich auch softwaremäßig direkt auf dem Server erledigen, es kommen aber evtl weitere Server hinter der Sophos UTM hinzu. Die Fritzbox kann dies leider nicht (unterstützt das VPN Protokoll nicht).


Vielen Dank für Ratschläge!
 
Zuletzt bearbeitet:
qoosinoo8: falsches netzwerkinterface bzw. Port. Die Reihenfolge der UTM entspricht nicht unbedingt die der Karte. Da wird das Problem sein.
Mögliches Testszenario: Nimm eine andere VM und schau ob dort Konnektivität besteht. Du kannst auch die einzelnen MAC Adressen der Netzwerkkarte unter "Hardware" nachschauen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh