Sophos UTM-Sammelthread

[What9000]

Wie steht ihr zum Thema Realtek-NICs? Reichen die für 100Mbit am WAN und Gbit im LAN? Falls ja, könnte ich mir die UTM ja auf eine kleine Zotac ZBOX mit 2xGbit installieren.

[Eye-Q]

Wozu brauchst Du Gbit im LAN, wenn das einzige, was durch die Sophos durch geht, nämlich der Internetverkehr, sowieso auf 100 Mbit/s begrenzt ist? Für das LAN musst Du ja sowieso einen separaten (Gigabit-)Switch einsetzen.

Natürlich wirst Du keine Geräte mit 100 Mbit-Port mehr finden, aber selbst die Realtek-NICs sollten bei genug CPU-Power 100 Mbit/s durchbekommen.

[What9000]

Gbit von WAN nach LAN, weil durch den Overhead was verloren geht. Wird ja auch in den inoffiziellen, gängigen Kabelanbieter-Foren so empfohlen. Hinter der UTM habe ich einen Gbit-Switch hängen.
In der ZBOX steckt ein Intel Celeron 2961Y mit 2x1,1Ghz. Müsste so eigentlich reichen, benutze ja kein IPS sondern nur die FW und den Webfilter.

[egal0000]

Hat jemand eine aktuelle Sophos auf einem APU1D4 vor Kurzem installiert und kann mir die korreten Mountpoints mitteilen?

Wenn du da etwas findest, gib mir doch bitte Bescheid. Ich habe auch eine APU1D4. Danke!

[solmk]

Gibt es die community version der utm eigentlich noch?
Denn unter "kostenlose Tools" auf der sophos hompage ist nur noch die xg firewall aufgeführt. Oder überseh ich da was?
Der Nachfolger der aktuellen utm ist die xg utm oder?

Gruß Rocker

Hier bekommt man die neue Sophos XG Firewall Home Edition kostenlos:
https://www.sophos.com/de-de/product...e-edition.aspx

[danielmayer]

Einen Feature-Vergleich sehe ich allerdings nicht.
Was hat die UTM9 Privat, was XG Home nicht hat? Die XG UTM gibt es ja weiterhin (zahlungspflichtig)... Hat sich schon mal jemand damit beschäftigt?
Gruß

[Lightflasher]

Hier bekommt man die neue Sophos XG Firewall Home Edition kostenlos:
https://www.sophos.com/de-de/product...e-edition.aspx

Einen Feature-Vergleich sehe ich allerdings nicht.
Was hat die UTM9 Privat, was XG Home nicht hat? Die XG UTM gibt es ja weiterhin (zahlungspflichtig)... Hat sich schon mal jemand damit beschäftigt?
Gruß

Ich würde bis mindestens v2 warten, war die letzte Woche auf einem Bootcamp und kann daher nur abraten die aktuelle Version produktiv einzusetzen. Für zu Hause mal zum Spielen in einer VM ok, aber als Firewall (auch wenn nur für zu Hause) würde ich noch warten, da noch viele Sachen nicht wirklich fertig sind. Oder noch nicht implementiert sind.

[solmk]

Einen Feature-Vergleich sehe ich allerdings nicht.

Nana.. Dr. Google sollte sich ja mittlerweile rumgesprochen haben oder?
https://www.sophos.com/de-de/mediali...a.pdf?la=de-DE

[Opticum]

die XG ist nix, das Teil hat bestenfalls frühen Betastatus verdient. Die (sophos) tun sich damit grad keinen Gefallen die zu vermarkten.

[solmk]

Ich mag pfSense odern OPNsense auch lieber

[KlimperHannes]

Habe mir auch mal eben die XG angesehen.
Beim "Aktivieren" ist mir das erste mal schlecht geworden. Bei der Oberfläche das zweite mal...
Was denkt ihr, wie lange wird die UTM noch am Leben gehalten?

[solmk]

Mhm... Also ich denke das die UTM zwar nichtmehr groß weiterentwickelt wird, aber bei passendem Feedback von den zahlenden Usern könnte ich mir gut vorstellen das die UTM unter dem XG-Namen weitergeführt wird bzw. die UTM nur einen neuen Namen bekommt Hoffen wir es mal.. Vielleicht liest hier ja sogar ein findiger SOPHOS-Mitarbeiter mit!

[[SoD]r4z0r]

Was ich so aus dem Sophos Forum bisher rausgelesen habe wird es für die UTM primär Sicherheitsupdates geben. Feature-Updates nicht mehr oder nur noch wenige, da ist sich wohl keiner ganz sicher.
Aber es ist definitiv das Ziel von Sophos die Funktionen der UTM in die XG bzw. Sophos OS (ehem. Copernicus) zu integrieren. Aber ob die das auf die Reihe bekommen... Da habe ich große Zweifel.
Die müssen ja mittlerweile die UTM, Cyberoam und SF-OS warten und wenigstens letzteres weiterentwickeln.

Wobei ich zumindest den Ansatz von dem Heartbeat interessant finde.

[solmk]

Kurz noch meinen Senf dazu: Früher habe ich auch @Home die SOPHOS/-Astaro-Firewall gerne eingesetzt. Es war kostenlos, einfach zu bedienen und hatte damals schon eine große Community. Für meine Zwecke fände ich das ganze aber immer mehr überladen und habe die Schlichtheit wie bei monowall vermisst die ich damals an der Arbeit hatte. Als das Projekt pfSense auf den Markt kam war ich baff: Endlich hat es wer geschafft das beste aus beidem zu machen: Eine schlichte Next-Gen-Firewall mit Luft nach oben. Eine perfekte Mischung aus Astaro und monowall. Seitdem ich mich mal näher mit pfSense beschäftigt habe setze ich sie ein wo es nur geht.

[figo-deluxe]

Ich war letzte Woche auf dem Bootcamp. Die UTM wird noch weiterentwickelt bis 9.5. Es kommen auch vereinzelt noch neue Features in die UTM, aber das Hauptaugenmerkt gilt der XG. Man könnte meinen Cyberoam hat Sophos gekauft und nicht andersrum...
Der Ansatz mit Heartbeat schaut super aus. Aber die Firewall komplett umzukrempeln ob das der richtige Ansatz ist glaube ich nicht. Im Bootcamp war einige die nun ernsthaft mit dem Gedanken spielen auf ein neues System umzusteigen.

[Opticum]

figo-deluxe: die Gedanken kann ich gut nachvollziehen, Sophos fährt trotzdem "volles Rohr" den XG Zug z.B. auf Facebook in der Werbung. Die wollen die Leute unbedingt nach XG "hintreiben".
Das wird ziemlich dunkel wenn die UTM 9 EOL geht.

[solmk]

@Opticum
Dem schließe ich mich voll an.

[What9000]

Wäre schade, wenn die UTM9 nicht mehr am Leben gehalten wird. Benutze sie sehr gerne daheim.
Sollte es wirklich so kommen, werde ich mir wohl oder übel was anderes suchen müssen.

[Opticum]

Das wirklich blöde ist, das wird bei Sophos von irgendwelchen Anzugträgern entschieden die noch nie selbst eine Firewall eingerichtet und benutzt haben. Hier wird einfach nur "versucht" irgendwas mit "Next-Gen" zu verkaufen und "Hearthbeat" wird als das Top Feature dargestellt. Das sind alles ganz tolle Marketingbegriffe die eine extrem schlechte Software "stützen" sollen.

Auf der alten Astaro.org Seite wurden sich schon die Finger wundgetippt, auf dem neuen Sophos Community Kramp schreiben die Leute wie schlecht die XG Firewall ist. Sophos schmeisst trotzdem lieber erstmal das Geld dem Marketing hinterher. Jedes ordentliche Unternehmen hätte so etwas wie die XG nie auf den Markt gebracht weil es einfach nur schlecht ist. Selbst als Betaversion ist das Teil peinlich.

Vermutlich würde nur noch eine Demonstration vor dem Sophos Hauptfirmensitz helfen denen klar zu machen das die XG schlicht eine völlige Totgeburt ist und die User diese nicht haben wollen. Das Problem wird jetzt sein das wenn bei Sophos das Thema XG begräbt vermutlich gleich 2-3 Manager mit ihren Hut nehmen müssen. Dieses große Scheitern will sich dort vermutlich noch niemand eingestehen, "vielleicht ist ja noch was zu retten" wird sich dort mancher Anzugträger denken.

[bacon]

Ich stehe wohl gerade auf dem Schlauch.

Wenn ich im Webfilter die HHTPS Option setze möchte ich mein bei StartSSL erstelltes Zertifikat benutzen.
Habe das dann unter Webserver Protection importiert und unter CA das ca.pem von StartSSL.

Entweder ich bekomme gar keine Verbindung zu SSL Seiten oder es kommt die Abfrage dass dem Zertifikat nicht vertraut wird.

Wie ist denn das Richtige vorgehen wenn man sein eigenes Zertifikat benutzen will?

Ich hatte das in der VM zum Testen mal am Laufen jedoch ist das ne Weile her.
Das was ich bisher gefunden habe sagt mir zwar ich soll das unter dem WebFilter->CA importieren und dann wird ein erzeugtes Zertifikat noch per DC an die Clients verteilt.
Aber um welche Tertifikate handelt es sich?

Hat da jemand ein passenden Link

[Lightflasher]

Ich war letzte Woche auf dem Bootcamp. Die UTM wird noch weiterentwickelt bis 9.5. Es kommen auch vereinzelt noch neue Features in die UTM, aber das Hauptaugenmerkt gilt der XG. Man könnte meinen Cyberoam hat Sophos gekauft und nicht andersrum...
Der Ansatz mit Heartbeat schaut super aus. Aber die Firewall komplett umzukrempeln ob das der richtige Ansatz ist glaube ich nicht. Im Bootcamp war einige die nun ernsthaft mit dem Gedanken spielen auf ein neues System umzusteigen.

In Hamburg waren alle der Meinung das man noch bis mindestens v2 warten sollte, wenn nicht sogar bis v3. Die Ansätze sind gut aber es fehlen wie schon geschrieben noch zu viele kleine Sachen die jetzt in der UTM implementiert sind.

figo-deluxe: die Gedanken kann ich gut nachvollziehen, Sophos fährt trotzdem "volles Rohr" den XG Zug z.B. auf Facebook in der Werbung. Die wollen die Leute unbedingt nach XG "hintreiben".
Das wird ziemlich dunkel wenn die UTM 9 EOL geht.

Bis die UTM EOL wird es noch sehr lange dauern … Wenn wäre frühestens in 5 Jahren damit zu rechnen, das heißt aber natürlich nicht das auch noch in 2 Jahre neue Features implementiert werden!

[[BIC]Nemo]

Ich stehe wohl gerade auf dem Schlauch.

Wenn ich im Webfilter die HHTPS Option setze möchte ich mein bei StartSSL erstelltes Zertifikat benutzen.
Habe das dann unter Webserver Protection importiert und unter CA das ca.pem von StartSSL.

Entweder ich bekomme gar keine Verbindung zu SSL Seiten oder es kommt die Abfrage dass dem Zertifikat nicht vertraut wird.

Wie ist denn das Richtige vorgehen wenn man sein eigenes Zertifikat benutzen will?

Ich hatte das in der VM zum Testen mal am Laufen jedoch ist das ne Weile her.
Das was ich bisher gefunden habe sagt mir zwar ich soll das unter dem WebFilter->CA importieren und dann wird ein erzeugtes Zertifikat noch per DC an die Clients verteilt.
Aber um welche Tertifikate handelt es sich?

Hat da jemand ein passenden Link

Du packst da nicht ein StartSSL Zertifikat rein das würde dir ja von der Logik erlauben für ALLE Webseiten ein Cert zu bilden, das geht natürlich nicht. Die UTM erstellt selbst eine Root CA dafür, importier das öffentliche bei dir lokal und gut ist.

[bacon]

Ok danke schön.
Ich glaub so langsam dämmert es wieder wie ich das damals gemacht hatte.
Man sollte es auch als PEM exportieren, dann nimmt das seine gewohnte Bahnen.

[Roxelchen]

Folgendes Problem:

DPI SSL mit Sophos UTM (Sophos nennt es "HTTPS Scan Settings Decrypt and Scan") -> Dropbox Client kriegt keine Verbindung.
In den Filter Optionen bereits unter Skip Transparent Mode Destination Hosts dropbox.com oder *dropbox.com (mir scheint Sophos unterstützt gar keine *.FQDN's?) eingetragen.
Ebenfalls unter den Exceptions ein Objekt für Dropbox.com gebaut -> ohne Erfolg. Einzige Idee ist noch die ganze URL Category:Personal Network Storage als SSL Exception zu definieren -> will aber nicht mit der Holzhammer Methode arbeiten...
Wenn der entsprechende Host von DPI SSL ausgenommen ist tut es -> liegt also def. an DPI SSL
Also beim wem läuft DPI SSL mit Dropbox ?

Edit: Ok Update -> eine Ausnahme unter Exceptions mit Skip SSL für die URL Category Personal Network Storage funktioniert. -> weiß jemand wie man Sub Categorys anlegen kann? Mir ist bewusst ich kann einen Override für Dropbox.com in eine neue Category machen, ich würde aber gerne vorher eine Sub oder Hauptcategory anlegen dürfen um nur granular einen Override für Dropbox zu machen.

Edit2: Ok und final :P. Falls es noch jemanden Interessiert ich konnte es jetzt granular lösen.
Schritt 1: In den "Filtering Options" unter "Websites" ein Objekt anlegen mit URL Dropbox.com und Include Subdomains, keinen Override sondern einem Tag zuweisen (Dropbox).
Schritt 2: In den "Filtering Options" unter "Exceptions" eine neue Exception List anlegen und als Aktion Skip HTTPS Scanning auswählen und unter "For all requests" Websites tagged as den unter Schritt1 angelegten Tag für Dropbox.com auswählen.

Sorry fürs nerven

[danielmayer]

@ kuemmelkassel:
Bei der Geburt von Google war ich bereits dabei und bin zufriedener Yahoo-Wechsler, deinen Link kannte ich natürlich. Aber ein Vergleich zwischen den Hardware-Appliances, bei denen etliche "echte" Hardwareangaben fehlen, ist völlig ab von meiner Frage

Ich meinte einen Feature-Vergleich zwischen den Software-Appl. "UTM9 Full-Featured-kostenlos" <-> "XG Home" <-> "XG UTM". Dazu finde ich nichts und habe nicht die Spezial-Ahnung, selbst eine Bewertung vorzunehmen.