Sophos UTM: RDP Sicherheit umstellen

Sophos UTM: RDP Sicherheit umstellen

Tags :

Kategorie: Diverse , Server , Sophos

Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!

Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.

Möglichkeiten zur Sicherheit wären:

  • RDP deaktivieren
  • RDP Zugriff nur auf bestimmte Adressen erlauben
  • RDP erst nach VPN Einwahl erlauben

Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:

Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.

Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):

Weitere Informationen:

OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Tags :

Kategorie: Diverse , Exchange , Server , Sophos , Support

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:

Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.

Anschließend mit iisreset den Webserver neustarten.

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!

Sophos: Auf SG (Wireless) Password of the Day (PotD) einrichten

Tags :

Kategorie: Allgemein , Client , Sophos , Support

Bei den kleinen Sophos SG mit eingebauten WLAN weicht die Einrichtung des WLAN ab von den der großen Boxen, da diese das WLAN als internes Interface realisiert haben.

Hier eine kleine Anleitung wie man das Password of the Day auf einer kleinen SG-xxxW einrichtet:

  • Melden Sie sich am Webadmin an
  • Gehen Sie zu Wireless Networks > New wireless Network
  • Erstellen Sie ein Wireless Network mit den folgenden Daten: Network name: Wireless-Gast, Network SSID: Wireless-Gast, Encryption: No encryption, Client Traffic: Separate Zone, Adanved > Client Isolation: Enabled
  • Gehen Sie nun zu Interfaces & Routing > Interfaces > Add Interface
  • Erstellen Sie ein neues Interface mit den folgenden Daten: Name: Wireless-Gast, Type: Ethernet, Hardware: wlan1 (Die Nummer ist zu sehen in Wireless Networks > Wireless Networks > In dem Wireless Network in der Klammer angezeigt), IPv4 Address: 192.168.5.254, IPv4 Netmask: 24
  • Gehen Sie nun nach Network Services > DHCP
  • Erstellen Sie nun einen neuen DHCP Server mit den folgenden Daten: Interface: Wireless-Gast, Range Start 192.168.5.100, Range end: 192.168.5.200, DNS Server: 192.168.5.254, Default Gateway: 192.168.5.254, Domain: wireless.gast, Lease Time 86400
  • Gehen Sie nun nach Networks Services > DNS > General und fügen dort unter allowed Networks Wirelss-Gast (Network) hinzu.
  • Anschließend gehen Sie unter Network Protection > NAT > Masquerading und erstellen eine neue Masquerading Regel mit den folgenden Werten: Wireless-Gast (Network), Interface: External (WAN) und wenn nötig bitte auch Use Address einrichten.
  • Dann noch unter Network Protection > Firewall die ausgehende Regel für Internet IPv4 und Internet IPv6 anpassen, so das Wireless-Gast ebenfalls mit in die Regel kommt.
  • Zu guter letzt noch unter Wireless Protection > Hotspots > Hotspots einen neuen Hotspot erstellen mit folgenden Daten: Name: Wireless-Gast, Interfaces: Wireless-Gast, Administrative Users: admin (und die User, die das Password of the Day sehen sollen im Userportal), Hotspot Type: Password of the Day, Password creation Time: 4:00, Send Password by Email to: Adresse oder Verteilerliste, die das Passwort erhalten sollen

Das war die Einrichtung. Wenn man noch möchte, das das Wireless-Gast nicht unverschlüsselt ist kann man entweder ein eigenes Kennwort vergeben (unter Wireless Networks > Wireless Networks > Wireless-Gast bearbeiten > Encrytion Mode aktivieren und ein Kennwort vergeben) oder aber das Kennwort mit dem Password of the Day syncronisieren (dann zusätzlich noch zu dem Punkt vorher in Wireless Protection > Hotspots > Hotspots > Hotspot bearbeiten > Option Syncronize Password with PSK or Wireless Network) – dann muss das Kennwort jedoch doppelt eingegeben werden (als WLAN Kennwort und nochmal beim Aufruf einer Seite auf der Loginseite).

Sie können jederzeit, das Password of the Day einsehen oder zurücksetzen im Userportal im Register Hostspots.

Sophos: Lokales WLAN einrichten (SG)

Tags :

Kategorie: Sophos , Support

Die Einrichtung vom WLAN bei den kleinen Sophos SG ist ein wenig anders, als die beiden großen.

Hier ein Konfigurations HOWTO für das Bridging ins AP LAN.

  • Wireless Networks > New Wireless Network: Benötigte Daten einstellen und bei Client Traffic Bridge to AP LAN einstellen.
  • Access Points > Overview > Edit: Netz aktivieren.
  • Interfaces & Routing > Interfaces falls noch kein WLAN vorhanden dort eins anlegen und als Interface die SSID des erstellten Adapters auswählen.
  • Network Services > DHCP > Einen Bereich anlegen.
  • Network Protection > NAT > Masquerading > Add Masquerading anlegen mit einer Regel für das vorgenannte WLAN über Internet auszugehen.
  • Networks Protection > Firewall > Regel für ausgehenden Verkehr erstellen.

Nun mit Clients testen ob es funktioniert.

 

Weitere Infos: https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.400/wireless-protection/wlan-netzwerke

Kostenlose Software für den Server- bzw. Netzwerkbereich

Tags :

Kategorie: Allgemein , Diverse , ESXI , Hausnetz , Monitoring , Server , Sophos , Support , Technikblog , Toptitel

Viele Softwareprodukte, die ich einsetze sind entweder kostenlos oder zumindest für den Privateinsatz kostenlos.

Diese Software stelle ich hier vor:

Sophos UTM:
Professionelle Firewall welche Web- und Emailfilter bietet sowie VPN und alles dies mit einem Umfangreichen Reporting. Die Homeversion ist bis zu 50 IP Adressen frei.

VMWare ESXI Server:
Host zum virtualisieren von Servern, mittlerweile mit einer Webgui zur Administration.

VMWare vSphere Converter:
Tool zum convertieren von Physichen oder virtuellen Servern in eine ESXI Umgebung.

Veeam Windows Agent:
Kostenlose Software um Physische Windowsserver zu sichern. Unterstützt werden Zeitgesteuerte Inkrementielle- sowie Vollsicherungen und Emailnotifications. Gesichert werden kann auf Netzlaufwerken, USB Platten und auch Veeam Backup Repositories. Es gibt auch eine kostenlose Version für Linux und virtuelle Umgebungen.

Update:

Veeam hat Backup and Replication für virtuelle UND physische Server als kostenlose Community Edition freigeben – mit dem Umfang der Kaufversion jedoch beschränkt auf 10 Rechner. Mehr hier zu lesen.

PRTG Monitoring:
Monitoring und Alarminglösung, monitort über SNMP oder Native (Powershell, Webrequest usw.). Es können auch grafische Visualisierungen eingerichtet werden (siehe mein Monitoring). Es gibt eine Webversion und Apps welche gar die Apple Watch unterstützen. 100 Sensoren sind frei, womit man schon sehr weit kommt.

Docusnap:
Inventarisierungssoftware, welche Netzwerke inventarisiert und Dokumentiert. Es können auch Pläne und Reports erstellt werden (sogar Zeitbasiert). Bis zu 20 Rechnern kann die Software kostenlos genutzt werden.

Email: SPF erstellen

Tags :

Kategorie: Exchange , Server , Sophos , Support

Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.

Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.

SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:

v=spf1 include:remote.leibling.de include:mx.worldserver.net -all

Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.

Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator

Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/

 

Netzwerk Monitoring mit PRTG

Tags :

Kategorie: Allgemein , Diverse , ESXI , Exchange , Monitoring , Server , Sophos , Support , Technikblog , Toptitel

Hier der Status meines Hausnetzes in Echtzeit:

Sophos XG eigenes öffentliches Zertifikat verwenden

Tags :

Kategorie: Sophos , Support

Um keine Fehlermeldungen zu erhalten beim Zugriff auf die Adminöberfläche  oder dem Userportal der Firewall setze ich ein öffentliches Zertifikat ein. Da ich das jedoch meistens nur selber nutze, reicht mir ein günstiges einfaches mit einer niedrigen Sicherheitsstufe aus.

Dazu verwende ich die SSL Zertifikate von SSLs.com – diese gibt es für ca. 15€ für 3 Jahre, das sind rund 0,42€ pro Monat.

Da ich nun von der Sophos UTM auf die Sophos XG umstelle, beschreibe ich hier den Weg wie man ein solches Zertifikat einrichtet, was unter der XG wesentlich einfacher geht als unter der UTM.

Als erstes müssen wir ein CSR erstellen, dazu gehen wir in der XG nach Certificates > Certificates > Add und erstellen folgenden CSR:

Da die Daten auch über das fertige Zertifikat einzusehen sind, habe ich die originalen Daten gelassen, ihr tragt da natürlich eure eigenen Daten ein. Da ich schon ein Zertifikat habe und das nur änder (was kostenlos ist bei SSLs.com) übernehme ich oben natürlich das originale Ablaufdatum.

Wenn ihr die Einstellungen bestätigt habt, könnt ihr dann das Zertifkat herunterladen (welches als GZ und TAR komprimiert ist, mit dem kostenlosen 7Zip könnt ihr diese entpacken).

Auf SSLS.com „kauft“ ihr dann das Zertifikat und verwendet das eben entpackte CSR.

Nun müsst ihr noch die Dateien zusammenbauen mit OpenSSL, dazu könnt ihr dann unter Windows OpenSSL installieren, auf einem Mac habt ihr das schon drauf. Dazu verwendet ihr den folgenden Befehl:

openssl pkcs12 -export -in url_domain_de.crt -inkey url_domain_de.key -out url_domain_de.p12

Mit dem neu erstellten Zertifikat könnt ihr nun in der Sophos XG das neue Zertifikat einfügen:

Dieses könnt ihr dann nun unter Administration > Port Settings for Admin Console > Certificate zurordnen.

Sophos: Umstellung von UTM auf XG

Tags :

Kategorie: Exchange , Sophos , Support

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.

Sophos: SSH Befehle für HA Verwaltung

Tags :

Kategorie: Sophos , Support

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

 

Quelle: https://community.sophos.com/kb/en-us/115616

Nächste Seite »

Suche

Favoriten

Neue Beiträge

Suche
Kategorien
Suchbegriffe
2010 2011 2013 AD Adobe Anmeldung Apple Backup Certificate Console CSR DNS Docusnap ESX ESXI Exchange Fotografie Fritzbox HP iLO Installation IP iPhone kostenlos Monitoring NAS Office OSX Outlook OWA Postfach SBS Server Sicherung Sophos SSL TLS Update Upgrade UTM Veeam VMWare VPN Windows Zertifikat
Impressum

Peter Leibling
Preussen-Dellbrück-Weg 21
51069 Köln

Telefon 0221 8232783
Fax 0221 8232784
Mobil 01590 4071646

© 2018 Familie Leibling