Kategorie: Sophos

Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM. Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung…
Weiterlesen

Sophos: Öffentliches Zertifikat verwenden

Um eine Sophos ein eigenes Zertifikat zuzuordnen sind nur wenige Handgriffe erforderlich. Am einfachsten geht das, wenn man auf einem Rechner (Windows oder Mac) schon OpenSSL installiert hat. Dann im BIN-Unterordner des OpenSSL-Programmordners wechseln um das CSR zu erstellen mit folgenden Befehl: openssl req -new -newkey rsa:2048 -nodes -out url_domain_de.csr -keyout url_domain_de.key -subj „/C=DE/ST=NorthRhine-Westphalia/L=Ort/O=Firma GmbH/OU=EDV/CN=url.domain.de“…
Weiterlesen

Sophos: SSH Befehle für HA Verwaltung

Auszug aus der Sophos Doku: <p“>Overview If you are using High Availability you have different Shellprompts depending on the type of your node: <M>: Node is master <S>: Node is slave <W>: Node is worker High Availability command line tools ha_daemon -c help : help ha_daemon -c status : status information, like fifo output ha_daemon -c takeover :…
Weiterlesen

Sophos: Keine Einwahl mit Open VPN Client unter iOS und Android

Der aktuelle Open VPN Client unterstützt kein Passworthash mit MD5 mehr. Sollte das noch in der Sophos eingestellt sein, so kann sich der Open VPN Client unter iOS und Android nicht mehr einwählen. Prüfen Sie, ob das Problem mit umstellen auf z.B. SHA1 behoben ist. Beachten sie, das Sie dann auf allen Clients die Profile neu…
Weiterlesen

Sophos: UTM Quarantäne Statusmails senden

Wenn bei der Sophos UTM der Maulfilter aktiviert wird, gelangen einige Mails in die Quarantäne. Per Default sendet keine Mails mit dem Hinweis, das Mails in der Quarantäne sind. Wenn man solche Mails erhalten möchte, muss man dies unter Webadmin > Email Protection > Quarantine Report aktivieren und einrichten.

outlook.com bzw. Office365 Server whitelisten

Ich hatte das Problem bei einem Kunden, das dieser keine Emails von Empfängern erhalten konnten, die outlook.com bzw. Office 365 nutzten. Laut mxtoolbox.com war jedoch alles ok. In den Logs der Sophos fand ich jedoch folgende Zeilen: 2015:08:12-22:37:59 gateway exim-in[16769]: 2015-08-12 22:37:59 TLS error on connection from mail-db3on0121.outbound.protection.outlook.com (emea01-db3-obe.outbound.protection.outlook.com) [157.55.234.121]:2048 (SSL_accept): error:00000000:lib(0):func(0):reason(0) 2015:08:12-22:37:59 gateway exim-in[16769]:…
Weiterlesen

Astaro / Sophos UTM: Updates per Shell verwalten

Möchte man eine Sophos schnell bereitstellen und nicht warten bis alle Updates gefunden wurden, kann man unter Verwaltung > Up2Date > Konfiguration die Intervalle für Firmware- und Patterndownloads auf Manuell umstellen und dann unter Übersicht direkt suchen lassen. Sollte es nicht gehen oder ein Update fehlgeschlagen sein, so kommt man mit der Shell weiter. Dazu muss…
Weiterlesen

Eigene Voucher erstellen für Sophos UTM / XG Wireless Portal

Die Sophos UTM Firewall bietet unter anderem die Möglichkeit Wireless Netzwerke zu verteilen. Dies muss nicht nur zwangsläufig mit den eigenen Accesspoints geschehen, sondern geht auch mit fremden. Zuvor hatte ich dazu Airport Express verwendet, mittlerweile nutze ich Linksys LAPAC1200. Im Prinzip kann man jedoch jeden Accesspoint nehmen, der VLANs unterstütz. So habe ich auf…
Weiterlesen

Sophos neues LAN Modul suchen

Bei einer SG230 hatte ich ein 8 x 1 GbE Flexiport hinzugefügt. Leider wurden diese auch nach einem Neustart nicht angezeigt. Um zu kontrollieren ob dieses gefunden wurde, kann man einfach folgendes eingeben per SSH: lspci |grep Eth Werden dort mehr als 6 LAN Ports aufgelistet (z.B. 14) wurde das Modul gefunden. Um auf einen…
Weiterlesen

Sophos SSL VPN Client AD Anmelden vor dem Logon

Manchmal ist es erforderlich auf das Netzwerkzuzugreifen, noch bevor der Logon an Windows stattgefunden hat bzw. bevor eine Anmeldung mit dem VPN Client möglich ist. Hier zu gibt es eine Lösung – die jedoch einige Sicherheitslecks mit sich bringt: https://www.astaro.org/gateway-products/vpn-site-site-remote-access/31922-ssl-vpn-question.html