Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

Fr3@k

Active member
Mitglied seit
02.08.2007
Beiträge
3.622
Ort
Perg, OÖ
@LichtiF
aber Outlook Anywere ist doch nur HTTPS... Was muss die Firewall da unterstüzten?
in der neuen Version 9.1 kommt die Outlook Anywhere Unterstützung für die Webserver Protection, momentan ist es nicht möglich Webserver PRotection auf einen Exchange Server zuverwenden.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Äh uffbasse.

Outlook Anywhere != Outlook Web Access

Outlook Web Access ist HTTPS und wird von der ASG/UTM WAF schon einige Jahre unterstüzt.
Outlook Anywhere ist RPC over HTTPS. Die <9.1 kann die HTTPS-Session zwar checken (aufbrechen wäre hier nicht richtig, da sie die session terminiert und ggf. zum exchange neu verschlüsselt), aber nicht das RPC-Protokoll. Und das soll jetzt mit 9.1 kommen.


@CF-Karte (wer auch immer damit angefangen hat :fresse: ): Vergess die Idee, außer du hast eine von den seltenen CF-Karten mit Platte. Hatte selbst früher mit großem Aufwand den ganzen schmodder auf eine 8GB CF gepackt (V6), die Dinger sind verreckt wie die Fliegen.

zwei NICs dürfen dir auch reichen, oder ?
Kommt drauf an wieviel Bandbreite man hat und ob man 802.1q als "physikalische" Netztrennung ansieht bzw. ob man darauf Wert legt. Wenn du ein 802.1q-fähigen Switch hast, reicht dir theoretisch auch 1 Interface (die ASG meckert zwar bei der Installation, aber es funktioniert).
 
Zuletzt bearbeitet:

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
34.899
Ort
SN
Outlook Web Access ist HTTPS und wird von der ASG/UTM WAF schon einige Jahre unterstüzt.
Outlook Anywhere ist RPC over HTTPS. Die <9.1 kann die HTTPS-Session zwar checken (aufbrechen wäre hier nicht richtig, da sie die session terminiert und ggf. zum exchange neu verschlüsselt), aber nicht das RPC-Protokoll. Und das soll jetzt mit 9.1 kommen.
Ahh, jetzt wird die Sache verständlicher ;)
Also gehts eher darum, in diese Sessions quasi reinzugucken...

Es klang oben eher nach einem generellen Funktionsproblem, was ja eigentlich nicht vorhanden ist... Bzw. was mir nicht bekannt wäre :fresse:



Mir stellt sich aber eher die Frage, für was das ganze?
Und vor allem, ob das sauber funktionieren wird... Denn das SSL Scanning funkt zum Teil ja bekanntermaßen nicht ;)
 

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Auch hier wieder "uffbasse" (herrliches Wort)

Was verstehst du unter SSL-Scanning? Dass die SSL-Session (transparent) aufgebrochen wird, so wie das z.B. eine BlueCoat macht?
Das kann die ASG nicht.
Die ASG Terminiert den Traffic (daher musst du dort auch die Webserver Zertifikate einspielen) und verschlüsselt dann ggf. neu, je nach dem ob du intern mit dem Webserver auch HTTPS oder nur HTTP sprichst. Ich bin mir gerade nicht sicher, aber ich glaube das kann Sie auch transparent (analog zu Web&Mail Proxy) und non-transparent, benötigt jedoch wie gesagt immer ein (gültiges) Zertifikat, sonst geht nix.

Was es bringt? Klassischen WAF (Web Application Firewall) Schutz, gegen SQL-Injection, XSS, etc.

Edit: Was genau bei 9.1 in dem RPC-Stream analysiert wird kann ich dir nicht sagen, da ich das Protokoll nicht kenne.
 
Zuletzt bearbeitet:

konfetti

Active member
Mitglied seit
10.08.2006
Beiträge
1.563
Ort
Lower East Bavaria
@CF-Karte (wer auch immer damit angefangen hat :fresse: ): Vergess die Idee, außer du hast eine von den seltenen CF-Karten mit Platte. Hatte selbst früher mit großem Aufwand den ganzen schmodder auf eine 8GB CF gepackt (V6), die Dinger sind verreckt wie die Fliegen.
Naja, sonne CF HDD hatte ich auch, fand die aber net den Brüller... - wäre halt mit den Mainboards siehe Seite 1 ganz interessant gewesen, vorallem wohl auch wegen dem Verbrauch ;)

was anderes, kommt die Sophos auch mit diesen lustigen USB-RJ45 dingern klar? *gg* - dann könnte ich - nein Platztechnisch geht da ins Case kein größeres Board - da ein "altes" noch wiederverwenden...
 

Fr3@k

Active member
Mitglied seit
02.08.2007
Beiträge
3.622
Ort
Perg, OÖ
was anderes, kommt die Sophos auch mit diesen lustigen USB-RJ45 dingern klar? *gg* - dann könnte ich - nein Platztechnisch geht da ins Case kein größeres Board - da ein "altes" noch wiederverwenden...
Also hab das schonmal probiert da hat das funktioniert mit einer USB Netzwerkkarte, kommt aber halt immer auf den Chipsatz an.
 

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Wie oben schon geschrieben: Wenn du einen VLAN-fähigen Switch hast brauchst du nicht mit USB-NICs rumfummeln. Auch wenn du dann nur einen 1GBit-Trunk hast für alle Netze, idR ist die Rechenleistung der FW der limitierende Faktor - siehe meine Tabelle, selbst die 625er schaffen kein GBit UTM und wer setzt eine Astaro schon nur für Firewall-throughput ein, das können andere Hersteller besser ;)
 

konfetti

Active member
Mitglied seit
10.08.2006
Beiträge
1.563
Ort
Lower East Bavaria
Ach das war eher für nen anderen Anwendungsfall gedacht - echte 2 Stufige Firewall ;)
gibts von Genua z.B. - aber mit Mini-ITX und USB könnte man das intern lösen - der Durchsatz wird vermutlich immernoch reichen, auch wenn da USB der limitierende Faktor ist - is aber nicht mein Anwendungsfall ;)

- Wegen dem Board aus China - ich weiß nicht, in wie fern da ne Sammelbestellung was wird. - ggf. müsste man dann direkt über alibaba mit denen verhandeln und bei >5 Boards kann man auch ein eigenes Logo aufbringen ;) - z.B. HWLUXX *gg* - aber das is dann mit dem Import wieder so ein Ding... und wer kümmert sich um den ganzen Rest?

Da is für mich einfacher, ich bestell das Board einzeln. - zumal ich mir ja eh das mit dem SIM-Slot noch holen möchte ;)
 
Zuletzt bearbeitet:

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Willst du den Traffic 2 mal durch die Firewall routen, oder 2 virtuelle Firewalls auf die Hardware packen?

Die Genua bezeichnet sich als 2-stufige Firewall, weil PacketFilter und ALG auf getrennter Hardware stattfindet.
Auch das sollte man nicht verwechseln mit einem 2-stufigen Firewallkonzept. Das sollte nämlich 2 hintereinandergeschaltete Firewalls unterschiedlicher Hersteller, mit getrennten Management umfassen. Bei den Genugates konfigurierst du ja idR auf dem PacketFilter und kopierst das ALG ruleset dann per USB rüber. Dafür ist sie dann auch BSI zertifiziert :fresse:
 

konfetti

Active member
Mitglied seit
10.08.2006
Beiträge
1.563
Ort
Lower East Bavaria
I know the Genua ;)

ne, die Idee des bekannten war schon, 2 physikalische Systeme zu haben - nur eben "intern verkabelt" - man könnte natürlich generell nur 2 Interfaces na außen mit so RJ45-RJ45 Verbindern anliegen lassen und die gesamte Hardware intern verbasteln, mit ja egal ^^ - und zusätzliche Interfaces brauch ich auch net, wenn ich mir das Board mit den 4 NICs hole ;) - 6 wären schon wieder übertrieben (glaub ich)
 

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Für das Display scheint es keine Linux Treiber zu geben, zumindest nicht vom Hersteller.
 

RobertJ

Member
Mitglied seit
01.08.2005
Beiträge
160
Ort
Eppstein/Taunus
Hi,

ich brauche auch mal wieder eine neue Spielwiese.
Ich bin mir nur wegen meiner Hardware im unklaren ob es reicht.

Ich strebe die Softwarelösung an(nicht VM).
Dafür hätte ich einen kleinen Server 1HE Supermicro X7SPA-HF(D510 Atom und 4GB RAM + 320GB 2,5" Platte)
Wäre das für Sophos V9 ausreichend?

Anbindung hätte ich so vor:

Unitymedia Kabelmodem(100MBit Tarif)->Fritzbox 7390->obiger Server mit Sophos UTM(2x Intel 82574L Gigabit Ethernet )->Switch Cisco SG200-18-> Kabelclients

Habe ich einen Speedverlust durch den evtl. langsamen Sophos-Server zu befürchten?
Download 100MBit/Upload ca. 5MBit

Firewall der Fritzbox wäre dann hinfällig oder?
Alle bisherigen Einstellungen werden über Sophos gemacht? DHCP Server bleibt bei der Fitzbox?

Danke schonmal für eure Tips
Gruß Robert
 

MrDeluxe

Active member
Mitglied seit
01.04.2006
Beiträge
1.428
System
Laptop
Thinkpad E480
Details zu meinem Desktop
Prozessor
AMD 3700x @ 4,3 Boost-Overdrive + Thermal Grizzly Aeronaut
Mainboard
Gigabyte Aorus Pro X570
Kühler
Scythe Fuma 2
Speicher
G,Skill - F4-3200C14D-16GFX
Grafikprozessor
RX480
Display
1xBenq G2411HD, 1xLG 27GL850-B, 1xBenq G2411HD @ Icy Box Monitor Arm IcyBox 3 – IB-MS405-T
SSD
WD Black SN750
HDD
Samsung 850Evo, Crucial 120GB @ Linux EOS
Optisches Laufwerk
N/A
Soundkarte
OnBoard
Gehäuse
Fractal Design Define R6 USB-C Blackout
Netzteil
be quiet straight power 650W
Keyboard
CMSTORM
Mouse
MX518
Betriebssystem
Win10 + Linux Elementary OS
Hmm, die Astaro UTM gibt es schon mehrere Jahre und jetzt wird ein Thread erstellt. Erstaunlich. :hmm:

@Threadersteller: Die Home-User Lizenz hat eine Zeitbegrenzung von 3Jahren. Könnte wichtig sein.


@ RobertJ
Dafür hätte ich einen kleinen Server 1HE Supermicro X7SPA-HF(D510 Atom und 4GB RAM + 320GB 2,5" Platte)
Wäre das für Sophos V9 ausreichend?
siehe 1. Seite des Threads. Kommt aber drauf an, wieviele User dranhängen. Hauptsache kein AMD...


Habe ich einen Speedverlust durch den evtl. langsamen Sophos-Server zu befürchten?
Download 100MBit/Upload ca. 5MBit
Ich erkenne unterschiede, wenn ich den Webproxy im Browser deaktiviere.

Firewall der Fritzbox wäre dann hinfällig oder?
Alle bisherigen Einstellungen werden über Sophos gemacht? DHCP Server bleibt bei der Fitzbox?
Die Fritzbox kannst du beiseite legen. Die UTM kann auch als DHCP Server dienen und vieles mehr. Ich bin auch direkt vom Kabelmodem (Telecolumbus) an der UTM.
 

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.387
Ort
RLP
Hi,

ich brauche auch mal wieder eine neue Spielwiese.
Ich bin mir nur wegen meiner Hardware im unklaren ob es reicht.

Ich strebe die Softwarelösung an(nicht VM).
Dafür hätte ich einen kleinen Server 1HE Supermicro X7SPA-HF(D510 Atom und 4GB RAM + 320GB 2,5" Platte)
Wäre das für Sophos V9 ausreichend?

Anbindung hätte ich so vor:

Unitymedia Kabelmodem(100MBit Tarif)->Fritzbox 7390->obiger Server mit Sophos UTM(2x Intel 82574L Gigabit Ethernet )->Switch Cisco SG200-18-> Kabelclients

Habe ich einen Speedverlust durch den evtl. langsamen Sophos-Server zu befürchten?
Download 100MBit/Upload ca. 5MBit

Firewall der Fritzbox wäre dann hinfällig oder?
Alle bisherigen Einstellungen werden über Sophos gemacht? DHCP Server bleibt bei der Fitzbox?

Danke schonmal für eure Tips
Gruß Robert
Spar dir das Supermicro X7SPA-HF.
Das Supermicro X7SPA-HF ist nur für eine NAS-Lösung interessant, da es sechs SATA-Ports bietet.
Ein "normales" Atom-Board mit zwei Intel-NICs oder eine seperate Dual-Port-Netzwerkkarte macht hier Sinn.

@Threadersteller: Die Home-User Lizenz hat eine Zeitbegrenzung von 3Jahren. Könnte wichtig sein.
Laut meinen Informationen wird die Lizenz automatisch verlängert.
 
Zuletzt bearbeitet:

RobertJ

Member
Mitglied seit
01.08.2005
Beiträge
160
Ort
Eppstein/Taunus
Danke für die Infos.
Habe es gestern mal getestet.Installation ging super.Webinterface ist auch zügig.Aber das Laden von Webseiten war nicht OK.
Lange Responsetime und manchmal erst beim zweiten Klick.

Kann natürlich auch ein DNS-Routingproblem gewesen sein, da auch noch mein Winserver 2012 als DNSserver mit dran hing.Muss mich nochmal in Ruhe damit beschäftigten und evtl. Über ein neues Board nachdenken.
 

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.387
Ort
RLP
Nein.
Zudem würde ich empfehlen sich min. jedes Jahr eine 3-Jahres Lizenz zu erstellen. Wer weiß wie lange Sophos die kostenlose Home-Version noch anbietet.
Danke für die Info.
Wie genau lässt sich den die Lizenz verlängern ?

Danke für die Infos.
Habe es gestern mal getestet.Installation ging super.Webinterface ist auch zügig.Aber das Laden von Webseiten war nicht OK.
Lange Responsetime und manchmal erst beim zweiten Klick.

Kann natürlich auch ein DNS-Routingproblem gewesen sein, da auch noch mein Winserver 2012 als DNSserver mit dran hing.Muss mich nochmal in Ruhe damit beschäftigten und evtl. Über ein neues Board nachdenken.
Schau dir mal folgende Boards an - vielleicht sagt dir ja eins zu:

OO Ahome ITX BW25H24A Intel Atom D2550, 4*Intel 82574L Giga LAN,SIM/3G/Wifi/SSD, 17*17CM Firewall Server Mini ITX Mainboard-in Motherboards from Computer & Networking on Aliexpress.com

Mini itx 17*17 Four Gigabit Ethernet lan firewall / network / ROS moterboard D2550 1.86GHZ instead of D525 1.8GHz-in Motherboards from Computer & Networking on Aliexpress.com

Intel D2500CCE bulk, NM10 (PC3-8500U DDR3) (BLKD2500CCE) Preisvergleich | Geizhals Deutschland

Gigabyte GA-C847N, NM70 (dual PC3-10667U DDR3) Preisvergleich | Geizhals Deutschland
 

Fr3@k

Active member
Mitglied seit
02.08.2007
Beiträge
3.622
Ort
Perg, OÖ
Falls jemand ein Board braucht für die UTM
Verkaufe mein MSI Fuzzy GM965 ITX + Intel Core 2 Duo T7250
Klick
 

MrDeluxe

Active member
Mitglied seit
01.04.2006
Beiträge
1.428
System
Laptop
Thinkpad E480
Details zu meinem Desktop
Prozessor
AMD 3700x @ 4,3 Boost-Overdrive + Thermal Grizzly Aeronaut
Mainboard
Gigabyte Aorus Pro X570
Kühler
Scythe Fuma 2
Speicher
G,Skill - F4-3200C14D-16GFX
Grafikprozessor
RX480
Display
1xBenq G2411HD, 1xLG 27GL850-B, 1xBenq G2411HD @ Icy Box Monitor Arm IcyBox 3 – IB-MS405-T
SSD
WD Black SN750
HDD
Samsung 850Evo, Crucial 120GB @ Linux EOS
Optisches Laufwerk
N/A
Soundkarte
OnBoard
Gehäuse
Fractal Design Define R6 USB-C Blackout
Netzteil
be quiet straight power 650W
Keyboard
CMSTORM
Mouse
MX518
Betriebssystem
Win10 + Linux Elementary OS
Zuletzt bearbeitet:

Evil Master

Member
Mitglied seit
19.06.2007
Beiträge
998
Ort
Hamburg
Man muss sich nicht unbedingt neu registrieren. Auf der Seite steht:
Astaro Security Gateway is available as a full version, free for home users with up to 50 IP addresses. This license is for private use only and may not be used commercially.

Home use licenses nearing expiration can be renewed seven days prior to the actual expiration date.
Ich hab selbst eine UTM (seit Anfang 2011) und Astaro meinte damals, dass die auf jeden Fall bei der Free Version bleiben wollen, trotzt der Übernahme.
 
Zuletzt bearbeitet:

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.387
Ort
RLP
UMTS-Stick sowie SIM-Karte sind bei mir eingetroffen.

Die Einrichtung vom UMTS-Failover hat erst nach der Festlegung von Überwachungskriterien funktioniert.
Die "Automatische Überwachung" hat entweder nicht richtig funktioniert oder ich war etwas zu ungeduldig.





Hab das Failover jetzt so eingerichtet, dass das UMTS-Modem aktiviert wird wenn die primäre WAN-Schnittstelle mehrere bestimmte DNS-Hosts im Internet nicht erreichen kann.

Das UMTS-Modem muss ich demnächst noch anders platzieren, da der Empfang im Server-Schrank sehr "bescheiden" is :fresse:






Sollte ich den MTU-Wert des UMTS-Modems verringern, wieder auf den Defaultwert 1500 setzen oder ist das eher egal ?
 
Zuletzt bearbeitet:

daheym

Member
Mitglied seit
20.12.2004
Beiträge
640
Läuft die UMTS-Karte überhaupt mit Jumbo-Frames?
Ich sehe darin eigentlich keinen Sinn, selbst eine LTE-Verbindung (100MBit shared) sollte mit normalen Paketgrößen vernünftig laufen.
 

XTaZY

aka h0schi
Thread Starter
Mitglied seit
01.11.2004
Beiträge
5.387
Ort
RLP
Habs mal auf den Normalwert wieder zurückgesetzt ... konnte keine großen Unterschiede feststellen ...
 
Mitglied seit
22.08.2008
Beiträge
535
Ort
Berlin
Hallo Ihr,

habe gerade versucht mir die vorkonfigurierte ESXi-Appliance anzuschauen und leider versäumt vorher das Handbuch zu lesen. Wie kann man den nur eine Appliance mit der IP 192.168.0.1 ausliefern? Promt stand mein Sohn in der Tür und beschwerte sich, das er aus seinem Online-Battle rausgeflogen ist ;-)
Ich sollte jetzt ersteinmal einen neuen vswitch anlegen ...
 

fdsonne

Moderator
Hardwareluxx Team
Mitglied seit
08.08.2006
Beiträge
34.899
Ort
SN
@millennium
wie kann man nur sein lokales LAN mit den default IP Adressen betreiben, die jeder für seine Standard IPs benutzt? :fresse:
 
Oben Unten