Sophos: UTM Quarantäne Statusmails senden

Sophos: UTM Quarantäne Statusmails senden

Wenn bei der Sophos UTM der Maulfilter aktiviert wird, gelangen einige Mails in die Quarantäne. Per Default sendet keine Mails mit dem Hinweis, das Mails in der Quarantäne sind.

Wenn man solche Mails erhalten möchte, muss man dies unter Webadmin > Email Protection > Quarantine Report aktivieren und einrichten.

manager


Astaro / Sophos UTM: Updates per Shell verwalten

Möchte man eine Sophos schnell bereitstellen und nicht warten bis alle Updates gefunden wurden, kann man unter Verwaltung > Up2Date > Konfiguration die Intervalle für Firmware- und Patterndownloads auf Manuell umstellen und dann unter Übersicht direkt suchen lassen.

Sollte es nicht gehen oder ein Update fehlgeschlagen sein, so kommt man mit der Shell weiter.

Dazu muss man per SSH auf die Sophos mit Root rechten (einschalten über Webgui > Verwaltung > Systemeinstellungen > Shell Zugriff). Erst mit loginuser anmelden und mit su dann zu root wechseln.

Updates bereinigen:

cd /var/up2date/sys
rm u2d*
auisys.plx

Manuell suchen lassen:

audld.plx

Ansicht in der Webgui aktualisieren:

auisys.plx --showdesc

Eigene Voucher erstellen für Sophos UTM Wireless Portal

Die Sophos UTM Firewall bietet unter anderem die Möglichkeit Wireless Netzwerke zu verteilen. Dies muss nicht nur zwangsläufig mit den eigenen Accesspoints geschehen, sondern geht auch mit fremden.

Zuvor hatte ich dazu Airport Express verwendet, mittlerweile nutze ich Linksys LAPAC1200. Im Prinzip kann man jedoch jeden Accesspoint nehmen, der VLANs unterstütz.

So habe ich auf den untagged VLAN das interne Datennetz und im VLAN 1003 das Gästenetz.

Das Gästenetz ist umverschlüsselt und hat keinen Zugriff auf das interne Netz, sondern nur auf das Internet selber. Damit nun jedoch nicht jeder mit meinem Netz surft, habe ich von der Sophos das Vouchersystem vorgeschaltet.

Mit dem Vouchersystem kann man nun PDF Dateien erstellen, die Codes für das WLAN enthalten – es können auch verschiedene Zeiten und Volumen vergeben können.

Mit dem Zugang kann man nun Besuch oder deinen eigenen Kindern (wobei meine noch zu klein sind dafür) Codes zur Verfügung stellen, womit sie nach dem vordefinierten Umfang surfen können. Ich habe sogar schon gehört, das sowas als „Belohnungssystem“ verwendet wird (z.B. wenn du spülst bekommst du einen Gutschein für eine Stunde surfen).

Da diese in Englisch sind, habe ich mir diese angepasst.

Mit einem Mac ist das sehr einfach, da er direkt PDFs erstellen kann, aber unter Windows dürfte das auch mit PDF Export Tools wie FreePDFXP gut gehen.

Ich habe dazu in Word (natürlich geht auch Pages usw.) einfach ein A6 Dokument erstellt in Querformat und mir dazu die angehangene Vorlage erstellt.

Wichtig ist die Zeile mit den Zahlen und Ziffern, diese wird später nicht angezeigt – sorgt jedoch dafür, das die Variablen später die angegebenen Zeichen verwenden können. Soll z.B. eine Variable in Fett verwendet werden, so muss die Zeile auch noch mal in Fett eingefügt werden.

Diese dann als PDF speichern (Version 1.4) und in der Sophos unter Wireless Protection > Hotspots > Hotspots > erstellten bearbeiten > ganz unten unter Hotspot Customization > Voucher Template ändern.

Das interessante ist, das dieses feature komplett genutzt werden kann in der kostenlosen Home Version ;).

Beispielvoucher:

voucher

Anleitung zum einrichten des Gäste-WLAN/VLAN: Anleitung

Download Wordvorlage: Voucher-Leibling

P.s.: Beachten Sie auch, das die Seitenränder richtig eingestellt sind (z.B. 0,8 cm) und auch der Abstand zum Seitenrand. Bei Word 2011 finden Sie die Einstellungen unter Datei > Seite einrichten … > Einstellungen: Microsoft Word > Seitenränder … > Einstellungen wie folgt:

Bildschirmfoto 2015-07-16 um 15.31.56


Sophos neues LAN Modul suchen

Kategorie: Sophos , Support

Bei einer SG230 hatte ich ein 8 x 1 GbE Flexiport hinzugefügt. Leider wurden diese auch nach einem Neustart nicht angezeigt.

Um zu kontrollieren ob dieses gefunden wurde, kann man einfach folgendes eingeben per SSH:

lspci |grep Eth
Werden dort mehr als 6 LAN Ports aufgelistet (z.B. 14) wurde das Modul gefunden.
Um auf einen eventuell vorhanden passive HA-Knoten zu wechseln, benötigt man den folgenden Befehl:
ha_utils ssh

IPSec VPN mit Sophos

Als erstes die Einwahl einstellen auf der Sophos (Fernzugriff > IPSec > Neue Richtlinie erstellen):

Bildschirmfoto 2015-04-01 um 11.56.00

Danach den User in die entsprechende Gruppe einfügen und das User Zertifikat exportieren (Benutzer und Gruppen > Benutzer auswählen > Markieren > Aktionen > L2TP Zertifikate herunterladen – das Passwort gilt auch später für die Verbindung und auch die Konfigurationsdatei exportieren):

Bildschirmfoto 2015-04-01 um 11.59.24

Auf dem Client unter http://www.sophos.com/de-de/support/utm-downloads.aspx runterladen und installieren (danach Neustart).

Anschließend die Konfiguration importieren.

Danach die Standard-Zertifikatskonfiguration bearbeiten und das Zertifikat hinterlegen:

Bildschirmfoto 2015-04-01 um 12.04.56

Dann in der Profilkonfiguration das Zertifikat auswählen:

Bildschirmfoto 2015-04-01 um 11.52.23

 

 

 

 



Erstellen eines Sophos HA Clusters auf Basis ESXI

HA können nur die selben Typ/System erstellen (kein Physisch/Virtuell, oder ASG 220/230).

Es kann dann Lizensierungsmodell gewechselt werden auf Virtuell. Dann kann ein Server auf einem ESXI laufen, der zweite Knoten läuft dann ebenfalls unter ESXI auf einem weiteren System.

Ich verwende hierzu beispielsweise DELL T20. Bei kauf jedoch auf folgendes achten:

  • Netzwerkkarte nicht kompatibel (kann durchgereicht werden, z.B. für HA)
  • Entsprechende Anzahl weiterer Netzwerkkarten (z.B. Intel Pro 1000E, PCIe) besorgen
  • Bis 32 GB Ram, ECC und nicht ECC können gemischt werden.
  • Kein CD Rom zur Installation vorhanden, entweder Stick verwenden oder USB CD Rom verwenden.
  • Wenn 4 GB vorhanden, muss das System erweitert werden – da der Videoram abgezogen wird und die Installation abbricht.

Nun die Konfiguration:

  • Auf dem bestehenden Sophos HA deaktivieren und eine Sicherung von der aktuellen Konfiguration sichern.
  • Sicherheitshalber noch ein Snapshot erstellen.
  • Der Dell wird mit dem ESXI Dell Image installiert und lizensiert.
  • Danach die Netzwerke einrichten (leere Netzwerke mit eigenen vSwitchen ohne Netzwerkkarten auffüllen).
  • Die neue VM mit den selben Daten erstellen wie die vorhandene VM (Suse Open Server 11 – 64 Bit, VMXNET3 Adapter, Kerne, Raum, HDD, LSI Controller, VM Version 8).
  • Die vorhandene VM updaten auf den selben Stand wie das Installationsiso der neuen VM.
  • Auf dem ESXI im Datastore einen Ordner INSTALL erstellen und das Sophos ISO reinkopieren.
  • Das ISO in der neuen VM als CD einbinden und verbinden.
  • Installieren und konfigurieren (andere IP und anderer Hostname verwenden, keine Lizenz angeben).
  • Schauen das ETH3 (also 4 Netzwerkkarte) beide VMs verbunden sind (wenn nur 100 Mbit, dann mit Crossoverkabel – bei Gigabit nicht benötigt).
  • Auf der alten VM nun HA aktivieren.
  • Beide sollten sich synchronisieren, Status kann in den HA Logs kontrolliert werden.
  • Läuft der HA einwandfrei (kontrollieren mit Neustarts usw.), kann der Snapshot gelöscht werden.

 

Hinweis: Sollten Probleme mit ARP Spoofing usw. bestehen, die Einstellungen in dem entsprechenden vSwitchen prüfen im Register Sicherheit.

 

Sophos UTM Isos: https://www.sophos.com/en-us/support/utm-downloads.aspx 

Dell Image: http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=YGH6K 

Weitere Informationen: http://fastvue.co/sophos/blog/how-to-build-a-sophos-utm-high-availability-ha-cluster-in-hyper-v/ 


VDSL mit Zyxel Modem

Um ein Zyxel VDSL Modem nutzen zu können, muss man die richtigen Einstellungen vornehmen.

Z.B. diese hier:

Bildschirmfoto 2014-09-23 um 14.22.45

In der Astaro / Sophos eine neue Schnittstelle einrichten und keinen Hacken bei VDSL setzen.

 


Sophos: Urlrewrite bzw. Reverse Proxy

Um interne Server verfügbar zu machen über nur eine externe URL kann man den URLRewrite nutzen. Dies bietet die Sophos unter Webserver Protection > Web Application Firewall > Site Path Routing an.

Dies Einrichten geht wie folgt:

Erstellt erst die Real Webserver. Diese sind die internen Server mit den internen Adressen:

Bildschirmfoto 2014-07-22 um 08.35.12

Erstellt einen Virtual Webserver (das ist der, auf dem von außen Zugegriffen wird. Stört euch nicht daran, das bei mir Internat steht – ich kann die Sophos nicht direkt ans Internet anbinden – deswegen routet meine Fritzbox http auf die Sohos von intern. Ihr stellt hier eure externe Adresse ein.), dieser muss die externe Domain enthalten (nur diese wird aufgelöst! Es geht nicht, das man dann mit einem internen Namen oder eine IP testet!).

Aktiviert auch Pass Host Header und Rewrite HTML/Cookies. Es müssen nun alle

Bildschirmfoto 2014-07-22 um 08.32.27

Nun kommt das wichtigste, das Site Path Routing – das erledigt die Zuordnung der externen URL (Path) zu der internen Ressource (Real Webserver):

Bildschirmfoto 2014-07-22 um 08.39.06

 

 

Weitere Informationen:

http://ictschule.wordpress.com/2013/12/07/exchange-ber-sophos-utm-verffentlichen/

https://www.winsec.nl/2013/10/11/publishing-exchange-utm-web-application-firewall/

http://www.sophos.com/de-de/support/knowledgebase/117511.aspx


VPN Traffic kontrollieren mit TCPDUMP

Um sicherzustellen ob Pakete überhaupt eine Firewall passieren, kann man diese mittels TCPDump kontrollieren wenn SSH freigeschaltet wurde.

  • SSH aktivieren und Netz freigeben.
  • Kennwort für root und loginuser vergeben.
  • Per SSH anmelden mit Loginuser.
  • Mit su als Root anmelden.
  • TCPDump benutzen.

TCPDump:

  • Quelle angeben: tcpdump src 1.2.3.4
  • Ziel angeben: tcpdump dst 1.2.3.4
  • Port 80 und 443 lesen: tcpdump -q ‚(tcp port 80) or (tcp port 443)‘