[Sammelthread] Sophos UTM-Sammelthread

[bigghost]

Ich nutze seit Jahren den J1900 Quadcore und der macht mit 3GB alles anständig und das sogar nur virtualisiert über Proxmox.
Erst mit Umstieg auf 400Mbit UM hatte ich auf Kabelgebundenen Systemen festgestellt das bei ca 240mbit Ende ist für eine Single Session.
Mit multiplen Quellen auf einmal erreiche ich aber problemlos 50MB/S. Habe dann Testweise Barebone installiert und damit war das Problem weg.
Liegt wohl am Overhead der Netzwerkvirtualisierung. Wer aber massiv IPS Webfilter VPN nutzt würde ich min 4-6 GB empfehlen.

 

[ChrisM243]

Ich nutze seit Jahren den J1900 Quadcore und der macht mit 3GB alles anständig und das sogar nur virtualisiert über Proxmox.
Erst mit Umstieg auf 400Mbit UM hatte ich auf Kabelgebundenen Systemen festgestellt das bei ca 240mbit Ende ist für eine Single Session.
Mit multiplen Quellen auf einmal erreiche ich aber problemlos 50MB/S. Habe dann Testweise Barebone installiert und damit war das Problem weg.
Liegt wohl am Overhead der Netzwerkvirtualisierung. Wer aber massiv IPS Webfilter VPN nutzt würde ich min 4-6 GB empfehlen.

RAM ließe sich ja nachrüsten, wenn man diese Modelle mit bis zu 8GB kaufen kann. Denke mal, da werden LPDDR verbaut sein. Bin nur etwas skeptisch mit dem Celeron, der hat ja nicht gerade sehr viel Power, aber dafür braucht er wenig Strom.

 

[dimonw]

ich habe mitbekommen, dass Sophos Endpoint Protection end of life ist. Es wird ja empfohlen auf Central Endpoint Protection (CEP) oder Central Intercept X mit Endpoint Advanced (CIXA) umzusteigen.

Hat da jemand schon Erfahrungen sammeln können?

 

[Fr3@k]

Hi, also wir haben auf etwa 1000 Clients bei unseren Kunden Central Intercept X mit Endpoint Advanced (CIXA) installiert - teilweise auch mit der Verschlüsselung.
Kann nichts grob Negatives berichten - funktioniert sehr gut, auch einige Ransomware Attacken wurden abgewehrt.


Ab und zu gibt es Problem mit dem AV bei Updates - das sich der AV selbst beim Update seiner Komponenten zerstört ist aber mit einer Neuinstallation erledigt.

 

[dimonw]

kann man auch per device laufwerke/usb aktivieren/deaktivieren?

 

[Olaf16]

ich habe mitbekommen, dass Sophos Endpoint Protection end of life ist. Es wird ja empfohlen auf Central Endpoint Protection (CEP) oder Central Intercept X mit Endpoint Advanced (CIXA) umzusteigen.
Hat da jemand schon Erfahrungen sammeln können?

Hmm - Hab auch schon überlegt. Lässt sich das auch mit der Sophos UTM steuern?

 

[mueder joe]

Hmm - Hab auch schon überlegt. Lässt sich das auch mit der Sophos UTM steuern?

Nein

 

[DanFu]

Hallo zusammen, hat jemand Interesse an einem HP Tower?

HP ProLiant ML350p Gen8
Xeon E5-2620-0
48Gb RAM
ohne SAS-Platten

sonst fliegt der nur auf'n Müll

 

[besterino]

Gab doch hier den Verschenke-Thread: [Sammelthread] Server-Verschenkethread

 

[Olaf16]

Und wieso im Sophos Thread? Bevor auf Müll fliegt würde ich den gerne nehmen, kann ich zum Hypervisortesten nutzen

Bin btw gerade dabei zu Testen, wie das mit der Webserver Protection genau läuft. Bisher nie gemacht und über nen Zwischenserver LB etc machen lassen

 

[Micha]

hat hier jemand @ home nen exchange mit sophos am laufen? wie löst ihr das problem mit dem dynamischen adressbereich über normales dsl?

 

[niklasschaefer]

hat hier jemand @ home nen exchange mit sophos am laufen? wie löst ihr das problem mit dem dynamischen adressbereich über normales dsl?

Moin habe keine Sophos aber eine Endian Firewall. Ich habe einen 2016 Exchange bei mir Privat am laufen für die ganze Familie 30 User. Ich hole meine Mails per Popcon von Strato ab (CatchallPostfach) und versende über den Smarthost von Strato. OWA/MAPI mache ich dann ganz normal über outlook.domain.de per DynDNS und CNAME. Alternative B zuhause ist halt eine feste IP und dann den MX/PTR Eintrag setzen. Alternative C einen V-Server mieten Postfix drauf MX setzen und als Relais für den Exchange nehmen

 

[Philipp Beatdown]

Hi

Ich

Exchange bekommt die Mails direkt (Mx record) und versendet sie via strato Smarthost .einfach bei sendeconnectoren die Daten eingeben für dein Postfach

Die ip wird minütlich via Update url aktualisiert (wenn es mehrere interessiert , dann stell ich die angepasste url rein

 

[Olaf16]

Gibt es aktuell Interessante Hardware, um eine Sophos UTM (Home) nicht als virtuelle Maschine aufzusetzen?
Von Supermicro gibts ja so kleine Geräte mit ~4 Gigabit Ports (Intel Atom?) - Wie performant sind diese aber, speziell mit IPS und co.? (VPN 1-2 User max)
Bzw. wie empfehlenswert sind die kleinen originalen UTM Büchsen (100-200€ auf ebay)? Muss hier leider umrüsten wegen schleichender HW-Fehler, habe hier aber vor längerer Zeit Leute bereits gesehen mit den Supermicro Kisten z. B.

Was würdet ihr empfehlen? Die 115w würde mir langen, aber 400-500€ für die neue Rev.3 ausgeben hmmm

 

[Opticum]

Ich hatte eine ganz interessante Entdeckung gemacht bezüglich der Sophos Perforamnce. Sobald man über schnellere Internetanbindungen (z.B. 500 Mbit/s) viele Verbindungen nutzt wird das Logging ein großes Problem. Hat man z.B. ein kleines Regelwerk eingebaut und lädt z.B. per Bittorrent ein aktuelles Ubuntu etc. dann kann der Logging Daemon überlastet werden (man sieht per Konsole das die logging daemon prozesse "sterben"). Das ganze war als VM aufgesetzt. Da ich aktuell nur eine 100Mbit/s Leitung habe, ist das mit dem Testen aktuell etwas schwieriger geworden. Demnächst habe ich wieder etwas mehr Bandbreite zur Verfügung und wollte das Ganze nochmal ausprobieren und schauen ob es vllt. in neueren Releases behoben wurde oder auf bare-metal Hardware besser läuft. IPS war deaktiviert. Das Logging zu deaktvieren hatte direkt Abhilfe geschaffen.

- - - Updated - - -

hat hier jemand @ home nen exchange mit sophos am laufen? wie löst ihr das problem mit dem dynamischen adressbereich über normales dsl?

feste IPv4 bei einem vServer Anbieter mieten (z.B. als VM) und dann einen RED Tunnel von einer virtuellen Sophos im RZ zu dir nach Hause. Alternativ z.B. einen Mikrotik Router für sowas vorschalten (ist imho ein sehr sauberer weg auch um einen vernünftiges Netzabschluss zu haben) oder eine andere Tunnel-Software (Wireguard, OpenVPN) nebenher einrichten.

E-Mail zuhause, grad auch mit ipv4 Adressen von Hostern birgt immer auch noch Risiken und Nebenwirkungen. Z.B. wenn die eigene v4 Adresse auf einer Blacklist landet (vielleicht weil das gesamte Subnetz wegen Spam geblacklistet wurde) oder man über mehrere Tage Probleme mit der eigenen Internetleitung hat. Von daher ist ein dritter Mittler vllt. gar nicht so schlecht, solange man dann auch daheim für Backup der E-Mails sorgt ;-)

 

[ForceScout]

Hallo zusammen!
Ich habe mich vor kurzen Beruflich umorientiert in Richtung IT und komme seitdem mit IT-Security und Sophos in berührung..

Mittlerweile bin ich ziemlich angefixt davon mir eine Maschine mit Sophos UTM Home hinzustellen. Von einem Kollegen könnte ich eine Astaro SG220 Rev.2 bekommen, aber die Hardware ist ein wenig zu betagt oder?
In meinem Netzwerk sind folgende Geräte unterwegs:
3 PC´s (1 Desktop, 2 Laptops)
1 Synology DS218j
2 Smartphones
1 Tablet
2 FireTV Sticks
1 TV mit SmartTV
FritzBox 7490

Der Telekom bezahle ich VDSL100 wovon aber nur ca 75Mbit/s ankommt.
Was würdet ihr für Hardware empfehlen? Mehr als 200€ würde ich ungerne ausgeben..
Hat jemand Erfahrung in wie weit so eine Firewall den Ping bei z.B. BF5 beeinflusst?

Da wird man schon ein wenig Paranoid wenn der IT-Ober-Security Mann anfängt zu erzählen

 

[besterino]

Spricht etwas dagegen, das erst einmal in einer Virtuellen Maschine - also in Software - auszuprobieren?

 

[DanFu]

Spricht etwas dagegen, das erst einmal in einer Virtuellen Maschine - also in Software - auszuprobieren?

Nein, hatte ich auch und lief auch ganz gut. Kommt natürlich auf die Hardware an und ob du weißt was du tust!

 

[besterino]

Sorry, meinte ForceScout. Bei mir läuft die bereits seit Monaten friedlich "produktiv" als VM.

 

[mueder joe]

@ForceScout: Die SG220 braucht viel zu viel Strom, hat keine Leistung und im Serienzustand auch nur 1GB RAM. Vergiss das Ding ganz schnell.
Wenn es günstig und sparsam sein soll würde ich in Richtung von einer Zotac ZBOX oder ähnlichem gehen. Da gibt es auch kleine sparsame Geräte mit 2 oder mehr Netzwerkkarten.

 

[Philipp Beatdown]

Hallo Jungs

Hat von euch schon jemand ipv6 in Verbindung mit der fritzbox und einem Active Directory /Exchange am Laufen ?

 

[Fr3@k]

Hallo,

nach dem ich nun meine Internet Verbindung auf 300/30 upgegradet habem hat mich nun ein First World Problem ereilt , mit eingeschalteten IPS bekomme ich nur etwa 170-180Mbit Download durch meine virtuelle UTM.
Die VM hat 1 vCPU mit 4 Cores und 4GB RAM - im Hypervisor steckt eine Xeon E3-1265L und auf dem Host laufen nur 4 VMs also auch kein starkes vCPU Overprovisioning, die virtuelle Festplatte der UTM liegt auf SATA SSDs.
Egal was ich versuche sobald IPS aktiv ist ists vorbei mit der vollen Bandbreite(auch wenn IPS nur aktiv und alle Definitionen deaktiviert sind). Natürlich sind nur die Definitionen aktiv die ich benötigte und der Zeitraum auf 12 Monate eingeschränkt.

Ich habe auch die IPS Instanzen mit cc set ips num_instances angepasst jedoch ohne Verbesserung.
Hat jemand hier noch einen Rat für Optimierungen?

 

[Seelbreaker]

Probier mal 8GB RAM statt 4. CPU sollte ok sein.

 

[FabiHabie]

Hi, ich bekomme diese Woche eine UTM 425. Könnt ihr mir sagen ob diese problemlos mit der Home Edition von Sophos betreiben kann? Aktuell habe ich mit sophos keine Erfahrungen. SonicWALL haben wir in der Firma und bisher hatte ich hier zuhause eine umgebaute watchguard mit pfsense bis diese letzten Monat das zeitliche gesegnet hat. Es handelt sich um die Rev. 5 gibt es hier bei der Inbetriebnahme etwas spezielles zu beachten? Ich habe mich für die utm 425 entschieden weil sie hoffentlich stark genug ist um die packages ordentlich zu filtern. Bei meiner alten dualcore watchguard sind regelmäßig die Downloadraten eingebrochen weil der CPU zu schwach war bei 400mbit unitymedia.

 

[Toupman]

Es gibt eine Kleinigkeit, die man manuell tun muss um die Home Edition auf der Appliance laufen zu lassen. Das findet sich aber überall im www.

Die UTM 425 ist auf jeden Fall nicht zu klein.....

 

[FabiHabie]

Danke @Toupman, ich habe mir nun eine Home License erstellt. Ich denke du meinst mit "manuell tun" das man in die Sophos meine Home License eintragen muss?

 

[DanFu]

Danke @Toupman, ich habe mir nun eine Home License erstellt. Ich denke du meinst mit "manuell tun" das man in die Sophos meine Home License eintragen muss?

lmgtfy

 

[FabiHabie]

@DanFu geh und pöbel wo anders. Wenn man hier eine normale Frage stellt dann kann man ja wohl noch mit einer normalen Antwort rechnen....

Und aussagen wie "Das findet sich überall im www." ist einfach nur unangebracht. Wenn man eine konkrete Frage stellt, dann bitte auch um eine konkrete Antwort.

 

[DanFu]

@DanFu geh und pöbel wo anders. Wenn man hier eine normale Frage stellt dann kann man ja wohl noch mit einer normalen Antwort rechnen....

Die Antwort findest du unter dem Link!

Und aussagen wie "Das findet sich überall im www." ist einfach nur unangebracht. Wenn man eine konkrete Frage stellt, dann bitte auch um eine konkrete Antwort.

Ich hoffe das geht nicht gegen mich, denn das war ich nicht.


Ich hab da noch was für dich -> Von Natur aus dünnhäutig

 

[Fr3@k]

Damit du auf einer Hardware Appliance eine Home Use License einspielen kannst muss du dich per SSH auf die Firewall verbinden, und diesen Befehl ausführen.
"mv /etc/asg /etc/asg.bak"

Vorausgesetzt es ist das UTM Hardware Image installiert, ansonsten einfach das Software Image installieren.
UTM-Support-Downloads