UTM – Familie Leibling

Email: SPF erstellen

Kategorie: Exchange , Server , Sophos , Support

Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.

Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.

SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:

v=spf1 include:remote.leibling.de include:mx.worldserver.net -all

Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.

Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator

Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/

Netzwerk Monitoring mit PRTG

Tags : ESXI Exchange Monitoring Paessler PRTG Server SNMP Sophos UTM

Kategorie: Allgemein , Diverse , ESXI , Exchange , Monitoring , Server , Sophos , Support , Technikblog

Hier der Status meines Hausnetzes in Echtzeit:

<br />

Sophos XG eigenes öffentliches Zertifikat verwenden

Tags : Certficate CRT CSR P12 PEM Sophos UTM XB Zertifikat

Kategorie: Sophos , Support

Um keine Fehlermeldungen zu erhalten beim Zugriff auf die Adminöberfläche oder dem Userportal der Firewall setze ich ein öffentliches Zertifikat ein. Da ich das jedoch meistens nur selber nutze, reicht mir ein günstiges einfaches mit einer niedrigen Sicherheitsstufe aus.

Dazu verwende ich die SSL Zertifikate von SSLs.com – diese gibt es für ca. 15€ für 3 Jahre, das sind rund 0,42€ pro Monat.

Da ich nun von der Sophos UTM auf die Sophos XG umstelle, beschreibe ich hier den Weg wie man ein solches Zertifikat einrichtet, was unter der XG wesentlich einfacher geht als unter der UTM.

Als erstes müssen wir ein CSR erstellen, dazu gehen wir in der XG nach Certificates > Certificates > Add und erstellen folgenden CSR:

Da die Daten auch über das fertige Zertifikat einzusehen sind, habe ich die originalen Daten gelassen, ihr tragt da natürlich eure eigenen Daten ein. Da ich schon ein Zertifikat habe und das nur änder (was kostenlos ist bei SSLs.com) übernehme ich oben natürlich das originale Ablaufdatum.

Wenn ihr die Einstellungen bestätigt habt, könnt ihr dann das Zertifkat herunterladen (welches als GZ und TAR komprimiert ist, mit dem kostenlosen 7Zip könnt ihr diese entpacken).

Auf SSLS.com „kauft“ ihr dann das Zertifikat und verwendet das eben entpackte CSR.

Nun müsst ihr noch die Dateien zusammenbauen mit OpenSSL, dazu könnt ihr dann unter Windows OpenSSL installieren, auf einem Mac habt ihr das schon drauf. Dazu verwendet ihr den folgenden Befehl:

openssl pkcs12 -export -in url_domain_de.crt -inkey url_domain_de.key -out url_domain_de.p12

Mit dem neu erstellten Zertifikat könnt ihr nun in der Sophos XG das neue Zertifikat einfügen:

Dieses könnt ihr dann nun unter Administration > Port Settings for Admin Console > Certificate zurordnen.

Sophos: Umstellung von UTM auf XG

Tags : Exchange Firewal IPS MTA NAT Sophos Umstellung UTM veröffentlichen VPN XG

Kategorie: Exchange , Sophos , Support

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
Umfangreicheres Muticast Routing
Umfangreiche Möglichkeiten bei der Webserververöffentlichung
In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

WLAN Intern und Gästenetz (mit eigenen Accesspoints)
Im Gästenetz Hotspot mit Vouchersystem
VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
VPN Einwahl
NAT / Firewall
Emailprotection
Webprotection
IPS
Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.

Sophos: SSH Befehle für HA Verwaltung

Tags : HA Knoten Node Sophos UTM verwalten Zugriff

Kategorie: Sophos , Support

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

Quelle: https://community.sophos.com/kb/en-us/115616

Sophos: UTM Quarantäne Statusmails senden

Tags : Filter Quarantäne Quarantine Report Sophos Spam UTM

Kategorie: Allgemein , Sophos , Support

Wenn bei der Sophos UTM der Maulfilter aktiviert wird, gelangen einige Mails in die Quarantäne. Per Default sendet keine Mails mit dem Hinweis, das Mails in der Quarantäne sind.

Wenn man solche Mails erhalten möchte, muss man dies unter Webadmin > Email Protection > Quarantine Report aktivieren und einrichten.

Astaro / Sophos UTM: Updates per Shell verwalten

Tags : Astaro Shell Sophos up2date Updates UTM

Kategorie: Allgemein , Sophos , Support

Möchte man eine Sophos schnell bereitstellen und nicht warten bis alle Updates gefunden wurden, kann man unter Verwaltung > Up2Date > Konfiguration die Intervalle für Firmware- und Patterndownloads auf Manuell umstellen und dann unter Übersicht direkt suchen lassen.

Sollte es nicht gehen oder ein Update fehlgeschlagen sein, so kommt man mit der Shell weiter.

Dazu muss man per SSH auf die Sophos mit Root rechten (einschalten über Webgui > Verwaltung > Systemeinstellungen > Shell Zugriff). Erst mit loginuser anmelden und mit su dann zu root wechseln.

Updates bereinigen:

cd /var/up2date/sys

rm u2d*

auisys.plx

Manuell suchen lassen:

audld.plx

Ansicht in der Webgui aktualisieren:

auisys.plx --showdesc

Eigene Voucher erstellen für Sophos UTM / XG Wireless Portal

Tags : Captive Portal Sophos UTM Vorlage Voucher

Kategorie: Allgemein , Hausnetz , Sophos , Support

Die Sophos UTM Firewall bietet unter anderem die Möglichkeit Wireless Netzwerke zu verteilen. Dies muss nicht nur zwangsläufig mit den eigenen Accesspoints geschehen, sondern geht auch mit fremden.

Zuvor hatte ich dazu Airport Express verwendet, mittlerweile nutze ich Linksys LAPAC1200. Im Prinzip kann man jedoch jeden Accesspoint nehmen, der VLANs unterstütz.

So habe ich auf den untagged VLAN das interne Datennetz und im VLAN 1003 das Gästenetz.

Das Gästenetz ist umverschlüsselt und hat keinen Zugriff auf das interne Netz, sondern nur auf das Internet selber. Damit nun jedoch nicht jeder mit meinem Netz surft, habe ich von der Sophos das Vouchersystem vorgeschaltet.

Mit dem Vouchersystem kann man nun PDF Dateien erstellen, die Codes für das WLAN enthalten – es können auch verschiedene Zeiten und Volumen vergeben können.

Mit dem Zugang kann man nun Besuch oder deinen eigenen Kindern (wobei meine noch zu klein sind dafür) Codes zur Verfügung stellen, womit sie nach dem vordefinierten Umfang surfen können. Ich habe sogar schon gehört, das sowas als „Belohnungssystem“ verwendet wird (z.B. wenn du spülst bekommst du einen Gutschein für eine Stunde surfen).

Da diese in Englisch sind, habe ich mir diese angepasst.

Mit einem Mac ist das sehr einfach, da er direkt PDFs erstellen kann, aber unter Windows dürfte das auch mit PDF Export Tools wie FreePDFXP gut gehen.

Ich habe dazu in Word (natürlich geht auch Pages usw.) einfach ein A6 Dokument erstellt in Querformat und mir dazu die angehangene Vorlage erstellt.

Wichtig ist die Zeile mit den Zahlen und Ziffern, diese wird später nicht angezeigt – sorgt jedoch dafür, das die Variablen später die angegebenen Zeichen verwenden können. Soll z.B. eine Variable in Fett verwendet werden, so muss die Zeile auch noch mal in Fett eingefügt werden.

Diese dann als PDF speichern (Version 1.4) und in der Sophos unter Wireless Protection > Hotspots > Hotspots > erstellten bearbeiten > ganz unten unter Hotspot Customization > Voucher Template ändern.

Das interessante ist, das dieses feature komplett genutzt werden kann in der kostenlosen Home Version ;).

Beispielvoucher:

Anleitung zum einrichten des Gäste-WLAN/VLAN: Anleitung

Download Wordvorlage: Voucher-Leibling

P.s.: Beachten Sie auch, das die Seitenränder richtig eingestellt sind (z.B. 0,8 cm) und auch der Abstand zum Seitenrand. Bei Word 2011 finden Sie die Einstellungen unter Datei > Seite einrichten … > Einstellungen: Microsoft Word > Seitenränder … > Einstellungen wie folgt:

Dieser Voucher kann auch für die Sophos XG verwendet werden, beachten sie bitte nur das sie keine Sonderzeichen (z.B. Minuszeichen) im Dateinamen beim Upload verwenden.

VPN mit UTM über Fritzbox

Tags : Fritzbox IPSec NAT Passtrough UTM VPN

Kategorie: Sophos , Support

Als erstes muss die Fritzbox folgende Weiterleitungen bekommen:

Exposed Host -> Interne IP UTM
ESP -> Interne IP UTM
ISAKMP (UDP 500) -> Interne IP UTM
NAT Traversal (UDP 4500) -> Internet IP UTM

Danach müssen die Remotegateway eingerichtet werden. Dabei darauf achten, das bei der UTM OHNE Fritzbox bei der VPN ID die NAT IP des UTM Netzes eingestellt ist:

Danach nur noch den Tunnel einrichten wie gehabt:

Nun auf der Seite MIT der Fritzbox ebenfalls das Remotegateway einrichten, jedoch mit der VPN ID vom Ziel (öffentliche Adresse):

Sowie den Tunnel selber:

P.s.: Sollte auf dem anderen Netz auch eine Fritzbox sein, so muss natürlich nicht die externe IP in die VPN ID, sondern die NAT IP vom externen Interface der entfernten UTM.

VDSL mit Zyxel Modem

Tags : Astaro Sophos UTM VDSL Zyxel

Kategorie: Diverse , Support

Um ein Zyxel VDSL Modem nutzen zu können, muss man die richtigen Einstellungen vornehmen.

Z.B. diese hier:

In der Astaro / Sophos eine neue Schnittstelle einrichten und keinen Hacken bei VDSL setzen.

Nächste Seite »

Email: SPF erstellen

Email: SPF erstellen

Netzwerk Monitoring mit PRTG

Sophos XG eigenes öffentliches Zertifikat verwenden

Sophos: Umstellung von UTM auf XG

Sophos: SSH Befehle für HA Verwaltung

Sophos: UTM Quarantäne Statusmails senden

Astaro / Sophos UTM: Updates per Shell verwalten

Eigene Voucher erstellen für Sophos UTM / XG Wireless Portal

VPN mit UTM über Fritzbox

VDSL mit Zyxel Modem

Suche

Favoriten

Suchbegriffe