[Sammelthread] Sophos UTM-Sammelthread

Habe gestern aktualisiert auf die 9.400-9. Heute mal bisschen rumgestestet und festgestellt, das der Virenscann über https nicht mehr funktioniert. Wenn ich unter Download ° EICAR - European Expert Group for IT-Security mit ein Testfile runterlade schlägt nur der lokale Virenscanner an, aber nicht der Webfilter...?!
Das ging bislang problemfrei, zumindest das letzte Jahr. Über http funktioniert alles, Webtraffic wird mir im Logfile sauber angezeigt.

Bin Ratlos :confused:

#Edit

ist ein Downgrade auf die 9.35 eigentlich möglich? Wenn ja, wie?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Habe gestern aktualisiert auf die 9.400-9. Heute mal bisschen rumgestestet und festgestellt, das der Virenscann über https nicht mehr funktioniert. Wenn ich unter Download ° EICAR - European Expert Group for IT-Security mit ein Testfile runterlade schlägt nur der lokale Virenscanner an, aber nicht der Webfilter...?!

Also bei mir geht das mit der 9.400er ;)
Wie sprichst du den Proxy über SSL an? SSL Scanning ist aber aktiv? Oder nur URL Filtering? -> weil dann gehts imho nicht. Klar...
Im Browser/Client, bei statisch hinterlegtem Proxy ist auch SSL mit aktiv? Wenn du ein Packfile nutzt, ist keine Ausnahme drin?
 
Zuletzt bearbeitet:
Hi fdsonne,

klar habe ich "Entschlüsseln und Scannen" aktiviert, die Konfig ist seit längerem aktiv und passte bislang.
Was mich irritiert, ich kann trotz der unten gewählten Einstellung ohne mein Proyzertifikat HTTPS Seiten sauber anzeigen lassen, ohne einen Zertifikatsfehler zu bekommen. Mein Zertifikat interessiert hier gar nicht mehr...:confused:
Nehme ich meinen Rechner aus der Gruppe derer, die über entsprechendes Profil ins Netz gehen, habe ich keine Verbindung, also wird der Proxy aktiv genutzt!

 
habe auch mal ne frage zum internetsperren eines hosts mit fester ip.
eigentlich reicht doch:

-host erstmal anlegen mit name ubuntu-vm und angabe seiner festen ip in der hostsliste

-firewallregel
quelle: ubuntu-vm
dienst: any
ziel: any
aktion: verwerfen

richtig?

teste das gerade mit ner ubunut-vm und die kann trotzdem wild weitersurfen :confused:
 
Zuletzt bearbeitet:
ja, die http-proxyrule überschreibt die FW-Rule
Einfach noch ne Rule im Webfilerting für den Host anlegen, die deny-all aussagt
 
Was mich irritiert, ich kann trotz der unten gewählten Einstellung ohne mein Proyzertifikat HTTPS Seiten sauber anzeigen lassen, ohne einen Zertifikatsfehler zu bekommen. Mein Zertifikat interessiert hier gar nicht mehr...:confused:

Das klingt, wie oben schon vermutet danach, dass dein Browser gar keine HTTPS/SSL Anfragen zum Proxy schickt. Deinem zweiten Bild entnehme ich, du nutzt den IE respektive die Windows Settings? -> drück mal unten auf Erweitert, da sollte es die Möglichkeit geben, für die verschiedenen Protokolle den Proxy zu hinterlegt. Der Haken bei "für alle Protokolle den selben Proxy verwenden" sollte ausreichen. Alternativ, mindestens mal die SSL/HTTPS Zeile ausfüllen mit der IP/dem Namen sowie richtigem Port für deinen Proxy.

Als Gegentest kannst du versuchen einfach mal auf Google zu surfen -> und dir das Zertifikat anzusehen. Ist es das offizielle Google Zertifikat, scheint der Proxy nicht für SSL Anfragen genutzt zu werden. Ist es dein UTM Zertifikat, dann gehts über den Proxy, SSL Scanning ist aktiv und die UTM bricht die HTTPS Verbindung auf.

Was potentiell auch sein kann -> wenn du (wie oben schon geschrieben) Exceptions für gewisse Seiten bzw. Ziel IP und/oder Clients hinterlegt hast. Kannst du prüfen indem du in der UTM auf Web Protection gehst und dort dann Filtering Options öffnest, erste Karteikarte = Exceptions. Dort sollte weder SSL Scanning für deine HTTPS Seiten, die du gerade testest, ausgenommen sein wie auch dein Client/das Netz, in dem sich dein Client befindet, ausgenommen für SSL Scanning sein.

Bitte frag mich nicht, wie das auf der deutschen Oberfläche genau heist :fresse: ich betreibe derartige Geräte grundsätzlich in ENG, einfach weil man sich so viel besser helfen kann und zumeist technischer Support aus der Community in Englisch geführt wird mit Ausnahme vielleicht ein paar deutscher Foren. Ebenso sind die Übersetzungen zum Teil wirklich grausig, vor allem bei Fehlermeldungen ;)
 
@fdsonne

vielen Dank für deine ausführliche Antwort. Hatte das alles schon und betracht gezogen und gecheckt.
Fakt, der HTTPS Proxy wird definitiv genutzt, aber ignoriert das selbst erstellte Zertifikat, und trotzdem keinerlei Fehlermeldung. Es werden mir die original Zertifikate der Aussteller angezeigt (google etc.).

Schade das man nicht auf die 9.35 zurück kann....
 
ich werde wohl in Richtung Intel NUC + VLAN Switch wechseln. ESXi Drauf, dort drin die Netzwerke erstellen. Nach reichlich Überlegung sehe ich kein größeres Sicherheitsrisiko als die Sophos generell in einer VM zu betreiben. Da müsste man wirklich VLAN eine Sicherheitslücke unterstellen und dann können wir das mit Sicherheit & Co eh gleich wieder vergessen ;) 6 Watt braucht die Kiste und ich kann Firewall + Windows Maschine für den Zugriff von Draußen drauf laufen lassen. Was will ich mehr :)
 
Zuletzt bearbeitet:
Schade das man nicht auf die 9.35 zurück kann....

Hast du denn vielleicht noch ein Configbackup der alten Version? Respektive das Mailing mit den Configs aktiv?
Weil rein technisch kannst du die Kiste einfach neu hochziehe und die Config zurück spielen. Du büßt zwar ein paar Daten ein, Caches, Mails, sofern genutzt, generell sollte das aber möglich sein...

Aber mir scheint, dass da bei dir grundsätzlich was faul ist. Wie gesagt, ich hab hier die 9.4er ebenso drauf über ein Update -> händisch das File importieren und dann über die GUI installiert. Das läuft ohne schmerzen. Mit und ohne SSL Scanning wie gewünscht.
Möglicherweise hast du da bei deiner Kiste generell was komisches. Eine saubere Neuinstallation ist da nicht unbedingt verkehrt.

PS: ich hatte das vor einiger Zeit auf der Arbeit ebenso schon teilweise. Nach Updates gingen gewisse Funktionen nicht mehr. Wie pauschal abgelehnte Mails, weil die Scanner nicht funktioniert haben und die Mails abgewiesen wurden usw. Hat ganz paar Nerven gekostet zu verstehen, dass es ein Problem mit unserer Appliance war. Neuinstall, Config drauf -> läuft ;)
 
Ich schätze auch, das es darauf hinauslaufen wird, leider.
Dafür läuft die Konfig aber auch schon seit Jahren stabil, ohne größere Fehler.
Backups hab ich natürlich, kommen wöchentlich per Mail rein. Werde aber mal schauen, ob ich nicht trotzdem noch einen Weg aus dem Dilemma finde.
Danke Dir für Deine Unterstützung.
 
Übeltäter gefunden!!!
HTTPS Scan wieder aktiv :banana:
Habe tatsächlich nochmal alle Einstellungen der "filteroptionen" deaktiviert, Browser Cache gelöscht, und siehe da, mein Zertifikat war wieder aktiv...
Nach ein bisschen hin und her testen war es folgende Regel!



Sobald ich diese Regel deaktiviere, passt wieder alles...was also ist an der regel "Sophos LiveConnect" falsch?
Ich vergleiche mal mit unsren Astaros in der Firma.

#Edit

War offensichtlich mein Fehler. Ein kleiner Eintrag, warum auch immer ich den gesetzt habe, hat dieses Chaos bei mir ausgelöst.
Fehler durch roten Pfeil kenntlich gemacht.

 
Zuletzt bearbeitet:
Deswegen schrieb ich oben schon: "Was potentiell auch sein kann -> wenn du (wie oben schon geschrieben) Exceptions für gewisse Seiten bzw. Ziel IP und/oder Clients hinterlegt hast. Kannst du prüfen indem du in der UTM auf Web Protection gehst und dort dann Filtering Options öffnest, erste Karteikarte = Exceptions. Dort sollte weder SSL Scanning für deine HTTPS Seiten, die du gerade testest, ausgenommen sein wie auch dein Client/das Netz, in dem sich dein Client befindet, ausgenommen für SSL Scanning sein."

Mit der Regel hast du effektiv alle Clients im internen Netz vom SSL Scanning befreit...
Das dort das Netz mit drin ist in der Regel, ist definitiv nicht default ;) Den Eintrag hast du dort warscheinlich selbst reingedreht... :wink:
 
Zuletzt bearbeitet:
Das es auf meinem Mist gewachsen ist, das stimmt.
Die lokalen Virenscanner (Endpoint Protection) konnten sich nicht mehr aktualisieren, und hinkten mit ihren Pattern Files Wochen hinterher. Das schlimmste, hab nirgends ne Meldung bekommen und nur zufällig enteckt.
Denke das es damit zusammenhing, ansonsten hätte ich wohl keinen Grund gehabt da rumzustellen.
Ich muss echt besser aufpassen und vorher ein Backup machen bevor ich rumstelle. Das kann dann dabei rauskommen...:fresse:
 
Naja, da steht ja aus diesen Netzwerken or diese URLs betreffend, nicht aus diesen Netzwerken and diese URLs betreffend. ;)
 
Bei mir tut OpenVPN von Windows 10 Laptop zur Sophos mit 9.4 nicht mehr. Es wird zwar wie immer alles aufgebaut, Routen gesetzt etc. aber kann dann nicht mal das Gateway anpingen.
 
Ich habe mal nach einem Preis für den 4port J1900 Mini-Barebone gefragt... 176USD inkl. Shipping, ohne Ram/SSD.
Dann noch mal Steuer drauf und so langsam wird es recht teuer. ebenso weiß ich nicht ob ein CE Logo vorhanden ist.

NA ja mal gucken und abwarten, evtl. kommen davon ja mal Stückzahlen nach Deutschland, für den Preis ist mir das Teil aber leider zu teuer.
 
Yo, und für papyal möchte der Anbieter nochmal 10USD mehr. Da war ich dann auch raus.
Die Preise des Anbieters für SSD und RAM sind ebenfalls keine Schnäppchen, verglichen mit Amazon.
 
Weiß einer ob es möglich ist mit der UTM ein IPsec S2S Tunnel aufzubauen, wenn erstens beiden Seiten dynamische IPs haben (sollte mittels DYN-DNS ja machbar sein auch wenn nicht Optimal) und wenn die UTM hinter einem Router steht. Aufbau wäre dann z.B. UTM <-> Router (z.B. Fritzbox/Kabelbox) <- UTM.

Das Ganze sollte, wenn von dem Router alles an die UTM weitereicht wird und mittels NAT-T doch möglich sein oder habe ich irgendwo ein Denkfehler begangen?
 
Ja, das ist problemlos möglich.
 
Werden auch USB Wlan, UTMS Sticks durch die Sophos UTM erkannt?
Wenn ja kennt jemand funktionierende?

Danke
 
N'Abend zusammen, habe nen Problem bei nem Website-Aufruf und würde gerne mal eure Meinungen dazu hören.

Möchte den Fernzugriff von meiner Uni nach folgender Anleitung nutzen: Konfiguration Mozilla Firefox für Proxy-Zugang - Fernzugriff - Digitale Bibliothek - Hochschul- und Kreisbibliothek Bonn-Rhein-Sieg
Ich gebe also im Firefox die entsprechende Proxy-Config an. Wenn ich dann die Seite https://www.digibib.net/ aufrufe kommt eine Zertifikatswarnung von Firefox und anschließend ein Fehler von der Sophos. Dem Log vom Webproxy kann ich folgendes entnehmen:

2016:03:30-21:55:44 sophos httpproxy[19748]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.1.42" dstip="" user="" ad_domain="" statuscode="405" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2609" request="0x16eaa000" url="https://www.digibib.net/" referer="" error="" authtime="0" dnstime="0" cattime="70" avscantime="0" fullreqtime="211639" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" exceptions=""

Wenn ich diese komische Policy Check Funktion der Sophos nutze kann ich die Seite ohne Probleme aufrufen, ebenfalls wenn ich lokal den Proxy deaktiviert habe bzw. keinen Proxy nutze.
Frage: Woran liegt das? An der Sophos oder einfach an der Kombi Sophos + lokal konfigurierter Proxy?
 
Mal ne frage zu der home lizenz mit 50 IPs.
Wenn man jetzt viel mit temporären vm's testet (sind also nach paar tagen wieder gelöscht) und jede vm ihre ip zieht, wie lange werden die dann unter der Lizenz gehalten? will natürlich nicht das meine lizenz mit test-vm's verbraucht wird nach ein paar monaten ;)
 
Mal ne frage zu der home lizenz mit 50 IPs.
Wenn man jetzt viel mit temporären vm's testet (sind also nach paar tagen wieder gelöscht) und jede vm ihre ip zieht, wie lange werden die dann unter der Lizenz gehalten? will natürlich nicht das meine lizenz mit test-vm's verbraucht wird nach ein paar monaten ;)

Eigentlich werden die recht schnell wieder dort raus gelöscht, ansonsten mal neustarten.

Gezählt werden nur die IPs an allen Interfaces die kein Standartgateway haben. Sprich, das "externe" Interface wird nicht mitgezählt, da dort ja für gewöhnlich ein IPv4/IPv6 Gateway eingetragen ist.
(Ich frage mich hier, was passiert wenn man dem echten externen Interface das IPv4 Gateway zuweist, und aus Spaß ein leeres IPv6 Gateway in der Internen Schnittstelle zuweist, das müsste ja dann auch nicht zählen ... :fresse2:)

Also wenn die Lizenzen knapp werden sollten, einfach eine UTM extra für die VMs aufsetzen, da sollten 49 VMs (1 IP für das Interface) wohl reichen. :d
 
Hatte ein paar Seiten vorher auch noch nen shellbefehl zur Umgehung gepostet
 
Ich steh grad irgendwie an bei der Konfiguration...

Habe via sixxs einen IPv6 Tunnelbroker eingerichtet und es läuft auch. Was nun aber nicht mehr geht sind sämtliche Webserver hinter der WAF (Web Application Firewall). (Getestet von extern)
Irgendetwas übersehe ich, nur was?
 
Hast du an der WAF Interfaces angegeben, auf die die Regeln "hören"? Weil wenn das nun auf nem anderen Interface rein kommt -> nämlich über den Tunnel via IPv6, dann musst du entsprechend die Regeln entweder anpassen oder weitere Regeln schreiben ;)
Auch können natürlich Source Beschränkungen ein Grund sein... So nach dem Motto, alles was von public IPv4 kommt, darf, der Rest nicht -> das schließt IPv6 natürlich aus.
 
Traxxus: schau mal tunnelbroker.net - sixxs hat sehr sehr fragwürdige Verhaltensweisen und einen Admin dem sein Ego über den Kopf gestiegen ist...
 
SixXS kann man als tot betrachten. Ich bin auch am Wegmigrieren zu he.net.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh