Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Hallo Thranrielralel: WLAN machst du am besten mit einem seperaten WLAN Access Point. Wenn du mehrere SSIDs benötigt, gibt es auch Geräte die man jeweils auf ein VLAN "bridgen" kann.
Ob die Box ausreicht liegt dran wie schnell dein Internetanschluss ist und wieviel Funktionen du benötigst (E-Mail Protection, Web Protection, VPN etc)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.102
Ort
dark side of the sun
Offiziell gibt es keine Fremd-Hardware für WLAN. Inoffiziell gibt es ein paar Adapter, die funktionieren sollen. Eher praktikabel wäre, direkt eine UTM/SG mit WLAN zu kaufen (sehr teuer) oder einfach einen separaten Access-Point zu verwenden.

Ansonsten musst du nicht viel beachten. Die Hardware sollte für deine Ansprüche ausreichend schnell sein (VPN, IPS etc...) und je nach Verwendungszweck ausreichend NICs.
 

teqqy

Experte
Mitglied seit
30.07.2012
Beiträge
1.158
Ort
Rheinhessen
Kann man eigentlich die Email Protection nutzen ohne das man intern einen Email Server hat und mit IMAP arbeitet?
 

Thranrielralel

Neuling
Mitglied seit
15.03.2016
Beiträge
3
Hallo,

danke für die Rückinfo,

wenn ich das mit Vlan trennen möchte brauche ich dafür nicht auf ein Manage Switch. der die Vlans versteht ?
Ich habe ein 150 Mbits anschluss. Dann sollte die Box eig ausreichen oder ?.
Würde die Normalen Features nutzen. Die wichtig sind für die Sicherheit.
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
@teqqy: du kannst einen transparenten pop3 filter mit der email protection zwischenschalten. Imap scan geht leider nicht.
 

ischneid

Semiprofi
Mitglied seit
19.01.2016
Beiträge
40
Ort
HH
Moin


O2 DSL (also BSA VDSL one Session Anschluss) hat VLAN 7 (die neuen Anschlüsse über die DTAG all-ip)
die original TLF VDSLer nutzen VLAN 11+12

ich hab das allnet wr0500ac - vlan tagging übernimmt die Sophos

wichtig beim Modem:
nicht auf Automatik stellen, sondern (in meinem Fall) manuell auf VDSL2 - Annex B
die Automatik funktioniert nicht, sync ok, aber immer pppoe Fehler

alles andere hab ich komplett deaktiviert

läuft
Telefonie auch
 

xalur

Enthusiast
Mitglied seit
31.01.2010
Beiträge
60
Ich habe noch einmal wg. meines Vorhabens mein WLAN zu Erweitern mit Hilfe eines zusätzlichen APs als auch Netzwerkseitig an dem LAN-Port des zusätzlichen APs beim SOPHOS-Support nachgefragt und folgende Antwort erhalten:

Hallo xxx,

das benötigte Feature in Ihren Fall ist die Wireless Bridge. Dieses ist mit den APs 15, 50, 55 und 100 verfügbar. Hier benötigen Sie also 2 AP15. Einer fungiert als Root AP an der UTM und der andere AP als Mesh AP.

Mit freundlichen Grüßen,
Sophos Technischer Support

Hallo,

vielen Dank für Ihre Antwort.

Da ich ja bereits einen AP15 besitze der ein WLAN erzeugt nocheinmal folgende Nachfrage:

Benötige ich ein zusätzliches Gerät oder 2 zusätzliche APs? Soll heißen, kann mein jetziger AP welcher direkt an der UTM hängt, gleichzeitig auch der Root AP für den Mesh AP sein oder benötige ich einen zusätzlichen AP am UTM, welcher die Root-Funktion herstellt. (Also 2 oder 3 APs in Summe)

Vielen Dank im Voraus!

Mit freundlichen Grüßen

Hallo xxx,

Sie benötigen in Summe 2 AP15 (je nach Bereichsgröße können es aber auch mehr APs sein) um ein Mesh Netzwerk aufzubauen. Ein AP wird weiterhin mit der UTM verbunden sein. Der 2. AP wird die Verbindung via WLAN über den 1. AP (Root AP) aufbauen. An den freien Netzwerkport des 2. AP können Sie dann z.B. einen PC oder Switch anschließen.

Die Mesh-Funktion ist also offiziel verfügbar.
 

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.102
Ort
dark side of the sun
Kannst du das auch weiter ausführen pumuckel? Wir benutzen auf der Arbeit mittlerweile fast ausschließlich Sophos UTMs und was soll ich sagen? Die Kisten rennen und sie sind einfach in der Handhabe.
 

pumuckel

Enthusiast
Mitglied seit
13.12.2002
Beiträge
7.564
Ort
Bayern
Kannst du das auch weiter ausführen pumuckel? Wir benutzen auf der Arbeit mittlerweile fast ausschließlich Sophos UTMs und was soll ich sagen? Die Kisten rennen und sie sind einfach in der Handhabe.

auf der Arbeit habt ihr aber sicherlich keine Home Lizenzen .. oder ?

die sophos sind "nett" aber halt nur für soho

durch PFSense lernt man einfach, wie es funktioniert (und ja , bin weg von Linux im critical Netzwerkbereich, bsd ist da wirklich besser)
 
Zuletzt bearbeitet:

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.102
Ort
dark side of the sun
Hmm, ich hatte jetzt auf stichhaltige Argumente gegen die UTM und für PFSense gehofft.

Natürlich setzten wir auf der Arbeit keine Home-Lizenzen ein - aber nennenswert limitiert ist die Home-Lizenz nicht. Allerdings ist im privaten Betrieb eine UTM nahezu nicht benutzbar - ich sag nur Steam und Netflix.
 

pumuckel

Enthusiast
Mitglied seit
13.12.2002
Beiträge
7.564
Ort
Bayern
Hmm, ich hatte jetzt auf stichhaltige Argumente gegen die UTM und für PFSense gehofft.

Natürlich setzten wir auf der Arbeit keine Home-Lizenzen ein - aber nennenswert limitiert ist die Home-Lizenz nicht. Allerdings ist im privaten Betrieb eine UTM nahezu nicht benutzbar - ich sag nur Steam und Netflix.

ich sagte nur .. PFSense und lernt was fürs leben ... UTMs von Sophos braucht man kaum ... aber du wirst mir noch sagen was an der Aussage falsch war :)
 

teqqy

Experte
Mitglied seit
30.07.2012
Beiträge
1.158
Ort
Rheinhessen
PFSense ist aber eine reine Firewall, oder? Es sind dort keine UTM Features wie Thread Detection oder, wie heute mit der 9.4 eingeführt, Sandboxing?!

Für mich würden die zwei Ansätze nicht konkurrieren sondern sich im besten Fall ergänzen.
 

paulianer

HWLuxx SC2-Cup2 Silber#1
Mitglied seit
17.01.2008
Beiträge
8.102
Ort
dark side of the sun
ich sagte nur .. PFSense und lernt was fürs leben ... UTMs von Sophos braucht man kaum ... aber du wirst mir noch sagen was an der Aussage falsch war :)

Hmm. Nein ich widerspreche dem nicht, so tiefgehend sind meine Kenntnisse betreffend der PFSense (noch der UTM) nicht. Daher hatte ich gehofft, dass du mir noch weiter Stichpunkte lieferst.
Was meinst du mit "man lernt etwas fürs leben"? Was kann eine PFSense, was die UTM/SFOS nicht kann?
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Sophos UTM ist eine kommerzielle Unified Thread Protection. Firewall, E-Mail Filter, Web Filter, Application Firewall (Webserver), VPN etc.
pfsense ist eine open-source community unterstützte Firewall mit Plugin Möglichkeiten.
Pfsense hat seinen Charme, das man dabei für's Leben lernt und bei der Sophos nicht halte ich für ein Gerücht. Die Sophos ist im Vergleich etwas Anwenderfreundlicher, man muss aber für die Einstellungen trotzdem noch wissen was man tut ;)
 

TCM

Experte
Mitglied seit
06.04.2012
Beiträge
1.852
wer was fürs leben lernen mag nimmt PFSense

Alles, was eine Web-Oberfläche hat, verschleiert die Zusammenhänge prinzipiell, um einfachere Nutzung zu ermöglichen.

Wer was lernen will, installiert das blanke BSD und konfiguriert alles selbst.
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
wer so tief lernen will soll das tun, für alles andere nehme ich dann die Lösung die am Besten bei mir funktioniert :-)
 

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.562
Ort
Hamburch
Alles, was eine Web-Oberfläche hat, verschleiert die Zusammenhänge prinzipiell, um einfachere Nutzung zu ermöglichen.

Wer was lernen will, installiert das blanke BSD und konfiguriert alles selbst.
Programmierst Du dein Betriebssystem selbst, erlegst Du selbst die Tiere, die Du isst (wenn Du Vegetarier/Veganer bist, dann sollte die Frage dementsprechend lauten, ob Du alles, was Du isst, selbst anbaust und erntest), holst Du selbst Öl aus der Erde, raffinierst es und füllst es in den Tank deines Autos? :) Das selbe kann man für alle Bereiche des Lebens fragen.

Es gibt Leute, die einfach nur ein (größtenteils sehr gut) funktionierendes Produkt einsetzen wollen/müssen und auch noch andere Aufgaben haben, die es nicht erlauben, sich in Dinge wie pfSense einzuarbeiten. Ich arbeite in einer kleinen Firma und betreue viele kleinere Netzwerke bei Kunden von A bis Z, da habe ich einfach keine Zeit und keine Lust, mich so tief in die Materie einzuarbeiten. Zuhause habe ich einen PC, den nur ich nutze und einen Router, da brauche ich keine hochkomplizierte Firewall, die auch den Verkehr nach außen scannt etc.

Wenn man nur mit Firewalls arbeitet und wenige andere Aufgaben hat, kann es durchaus Sinn ergeben, pfSense einzusetzen. Allerdings gibt es auch genug andere Leute, die sich eben nicht auf eine Sache hauptsächlich konzentrieren können/wollen, und deswegen gibt es auch Auswahl. Ob man da nun eine Sophos UTM, eine Watchguard Firebox oder was auch immer es noch gibt einsetzt, spielt da nicht die Rolle.
 

TCM

Experte
Mitglied seit
06.04.2012
Beiträge
1.852
Programmierst Du dein Betriebssystem selbst, erlegst Du selbst die Tiere, die Du isst (wenn Du Vegetarier/Veganer bist, dann sollte die Frage dementsprechend lauten, ob Du alles, was Du isst, selbst anbaust und erntest), holst Du selbst Öl aus der Erde, raffinierst es und füllst es in den Tank deines Autos? :) Das selbe kann man für alle Bereiche des Lebens fragen.

Wenn ich das Entsprechende lernen will? Natürlich. Wie denn sonst? Oder weißt du plötzlich über Landwirtschaft bescheid, weil du im Laden einen Sack Kartoffeln kaufst?
 
Zuletzt bearbeitet:

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.562
Ort
Hamburch
...und das bringt mich zu meinem letzten Absatz, den Du wie es aussieht geflissentlich ignoriert hast...

Es gibt Leute, die das lernen wollen/müssen, es gibt Leute, die das eben nicht lernen wollen/müssen. Es ist schön, dass es pfSense gibt, da man sich damit beschäftigen kann, das ist aber absolut nicht das Thema dieses Threads. Es wäre gut, wenn Du das mal einsehen würdest. Du hörst dich ja schon wie ein Veganer an, der jedem erzählen muss, dass er ein Veganer ist...
 

TCM

Experte
Mitglied seit
06.04.2012
Beiträge
1.852
Verwechselst du mich mit jemandem? Ich habe gerade mal 2 Posts dazu abgelassen. Das Thema pfSense kommt nicht von mir.

Ich rede auch nicht davon, "pfSense zu lernen", oder irgendeine andere Appliance. Ich rede davon, zu wissen, wie z.B. HTTP funktioniert und was ein Reverse-Proxy damit macht, oder wie man SSL so durch den Proxy kriegt, dass man reingucken kann. Sowas muss man alles wissen. An irgendwelchen Appliances rumfummeln, bis es irgendwie funktioniert, ist kein Wissen. Das kann man Affen beibringen.

Edit: Zum Thema "es gibt Leute, die nichts lernen wollen" muss man wohl nichts sagen. Die haben in der IT eigtl. nichts verloren.
 
Zuletzt bearbeitet:

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.562
Ort
Hamburch
Entschuldigung, das stimmt, da habe ich nicht drauf geachtet, dass Du gar nicht der Initiator der Diskussion warst.

Das Ding ist: ich weiß, wie HTTP (grundsätzlich) funktioniert, was ein Reverse-Proxy macht etc., viele andere wissen es auch, allerdings ist das für den normalen Betrieb eines Netzwerks nicht unbedingt notwendig. Wenn man eine Appliance hat, die sich per Weboberfläche bedienen lässt, muss man die Zusammenhänge trotzdem verstehen, um sinnvolle Regeln zu erstellen oder um Fehler zu suchen. Das spreche ich auch gar nicht ab.
Natürlich gibt es auch Leute, die solche Appliances einrichten, ohne sich richtig mit der Materie auseinandergesetzt zu haben und deswegen Konfigurationsfehler machen. Das wäre aber bei deinem Szenario nicht anders - man kann sich noch so tief in *NIX, BSD, Firewalls oder was auch immer einarbeiten, es würde wenig bringen, wenn man die Zusammenhänge nicht versteht. Wenn man dann meint, alles (oder genug) zu wissen, um eine Firewall einzurichten, kann man trotzdem Dinge machen, wo andere nur mit dem Kopf schütteln, weil man es nicht besser weiß.

Was ich nicht mag, ist jemand, der auf einem hohen Ross sitzt und meint, nur weil er/sie die Technologie XYZ von der Pike auf kann, sind alle anderen, die sich dieser Technologie über eine einfachere Konfigurationsoberfläche bedienen, schlechter als er. Dafür sind andere Leute in anderen Bereichen besser, sei es nun Technologie ZYX, Sozialverhalten, Schreinern oder Kindererziehung.
 

besterino

Urgestein
Mitglied seit
31.05.2010
Beiträge
5.006
Ort
Wo mein Daddel-PC steht
Tjo. Der ein kann es selbst, der andere bezahlt einfach den der es kann und konzentriert sich darauf, womit er eben selbst sein Geld verdienen kann Dumm ist halt nur, dass man idealerweise wissen muss, wer denn derjenige ist, der es kann. ;)

Und da man das da draußen den Leuten nicht so richtig ansehen kann, kommen so weiche Faktoren dazu wie "wer benutzt den/das außer mir noch, von denen ich glaube dass sie sich sehr intensiv mit der Auswahl beschäftigt haben", oder "was verspricht er an Leistung" drumrum (24/7 Hotline) oder "welches harte Ergebnis verspricht er" (99.9999% Verfügbarkeit)... und vor allem, wieviel Kohle und Bumms steckt dahinter, wenn er eben das Versprochene nicht hält.

Ich mach IT nur als Hobby als Spaß nebenher. Wenns ernst wird, hört halt im wahrsten Sinne der Spaß auf... :)
 

AliManali

cpt sunday flyer
Mitglied seit
07.03.2012
Beiträge
2.746
Hi

Ich brauche dringend eine FW Distribution für VMware. Die soll nur eines können: sie muss zwei LAN Schnittstellen haben, und auf einer Schnittstelle den Traffic (nur das Volumen) loggen.

Im Moment ist es so, dass an einer ESXi NIC eine Endian hängt, von deren blauer Schnittstelle wird ein VPN Gateway gespiesen. An dem VPN Gateway hängt hinten dran noch eine Endian ^^ Mit den beiden Endians kann ich also vergleichen, was hinten rein geht, und vorne raus kommt (mir gehts vorerst nur mal um das Traffic Volumen).

Bei der Endian sehr symphatisch wäre mir das logging mit der graphischen Ausgabe. Aber ich sprech da nur von Erinnerungen, denn im Moment habe ich da Probleme mit den Zertifikaten von den uralt Endian's.

Kann die Sophos das? Die muss wirklich nur das Volumen von LAN2 aufzeichen. Aber mit Tageszeit, und schönen Diagrammen, und so.

Oder soll ich da was anderes nehmen?
 
Zuletzt bearbeitet:

AliManali

cpt sunday flyer
Mitglied seit
07.03.2012
Beiträge
2.746
Habe da ein Tool gefunden: ntop.org

War bei der neuen Endian dabei. Das ist super. :)
 

bacon

Experte
Mitglied seit
14.08.2012
Beiträge
215
Guten Morgen zusammen,

habe von meiner UTM Notifications bekommen, dasss die Advanced Intrusion Detection was gefunden hätte.
Über den Link der in der Mail ist, kam ich auf eine Supportseite wo ich ein Removal Tool laden kann.

Habe mich dann ins Webinterface eingelogt um mir das mal anzuschauen.
Jetzt stehe ich wie ein Ochs vorm Berg.
Kann mir jemand die Infos etwas erleutern? Ich bin jetzt davon ausgegangen dass ich den, möglicherweise,
kompromittieren Host sehe. So wie ich das verstehe hat die UTM aber wohl eher den Traffic komplett unterbunden.
Unbenannt.JPG

Unbenannt1.JPG

Sowas hatte ich bis her zum ersten Mal und bin etwas überfordert.
Danke
 

Eye-Q

Enthusiast
Mitglied seit
11.07.2004
Beiträge
3.562
Ort
Hamburch
Genau die selbe Meldung mit genau der selben IP-Adresse (218.60.112.224) habe ich bei uns und einigen Kunden auch. Da als Quell-Adresse auf beiden Screenshots externe Adressen angegeben sind, hat das nichts mit internen PCs, die infiziert sind, zu tun.

Somit brauchst Du eigentlich nichts zu machen außer dir sicher zu sein, dass die Sophos da einen Angriff abgewehrt hat.
 

teqqy

Experte
Mitglied seit
30.07.2012
Beiträge
1.158
Ort
Rheinhessen
IPS ist aber nur von innen nach außen und nicht andersrum. Bei ca. 30 UTMs die ich für Kunden betreue hatte ich eigentlich noch nie ein Fehlalarm. Die Adressen sind mir zwar nicht bekannt, aber nichts desto trotz würde ich deine Rechner mal komplett offline Scannen. Am besten mit verschiedenen Produkten!
 
Oben Unten