Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 5 subscribers
  • Views 4660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heimnetzwerk Absichern

Jan Seifarth

Hallo liebe SOPHOS-Community,

das Thema was ich nun behandeln möchte ist ein Thema voller Missverständnisse, für mich, soweit ich das beurteilen kann.

 

Wenn man nach dem Thema "Sophos hinter Fritzbox" Googelt, kommen so unendlich viele verscheidene Ansätze und Diskussionen

auf, das man sich schon bald gar nicht traut hierzu noch etwas zu schreiben oder zu fragen... kurzum, ich habe mir eine SOPHOS-UTM-110/120

zugelegt für mein bescheidenes Heimnetzwerk, weil ich folgende Idee verfolge, welche ich euch einmal versuche Illustrativ darzustellen:

 

Meine fragen an euch hierzu sind folgende:

 

1. Kann man das so überhaupt realisieren?

2. Wenn 1. JA -> Dann: Was sollte man bei so einer Konstellation beachten?

3. Meines erachtens Spielt sich alles hinter der Sophos ab, bis auf die Telefonie. Stimmt das so?

 

Ich wäre dankbar über jede "Konstruktive" reaktion.

 

Bis dahin und LG aus Cuxhaven

 

Jan



This thread was automatically locked due to age.
  • 0

    Hallo Jan,

    besonders konstruktiv sind meine antworten hier sicher nicht... ich hoffe sie helfen trotzdem.

    1. Ja

    2. Nix besonderes (Die SG Konfiguration muss natürlich den Wünschen entsprechen und schlüssig sein)

    3. Ja

    PS: ich habe jetzt keine FritzBox als AP, aber das habe ich so schon gesehen. Das Kupferkabel muss dann nicht an WAN, sondern einen LAN -port. Da hätte man auch gleich einen Switch für andere Geräte mit drin.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo Jan,

    ich würde anstelle der zweiten Fritzbox einen Sophos APX120 nehmen. Die neuen Accesspoints werden von der UTM ab Release 9.7 direkt unterstützt https://community.sophos.com/products/unified-threat-management/unified-threat-management-beta/sophos-utm-9-7-eap/f/sophos-utm-9-7-public-eap/114939/welcome-to-the-utm-9-7-early-access-program

    Das gilt natürlich nur, falls es um Neu-Anschaffungen geht, wenn die zwei Fritzboxen bereits vorhanden sind, dann liegt die Sache anders.

    Warum empfehle ich die Fritzbox nicht als AP zu verwenden? Die Reichweite und Stabilität der 7490 sind echt bescheiden, was den WLAN-Betrieb angeht. Ich habe damit keine guten Erfahrungen gemacht. Die neuen APX Accesspoints unterstützen den Wave2-Standard, die Reichweite ist besser, sie sind leichter abgesetzt zu plazieren und der kleine APX120 kostet ungefähr genau so viel wie eine 7490 Box. Da hättest du zusätzlich den Vorteil der Integration in die Sophos Firewall-Verwaltung mit dem "Wireless"-Modul.

    Ein Hinweis noch zur ersten Fritzbox, die am Internet hängt: ich habe letzte Woche bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Moin Dirk,

    und danke für deine Antwort(en).

    Also ich finde die schonmal im Bezug auf "Man kann das so Umsetzen" sehr hilfreich, danke dafür.

    Das mit der Fritzbox als AP mache ich weil ich gerade 2 7490er zur verfügung habe. Allerdings habe ich noch einen Lancom 1301 AP liegen... Vieleicht nehme ich auch den aber dann habe ich halt kein MESH mehr.

    Wenn man diese Strucktur so aufbaut, wo habe ich dann denn meine Schwachstelle? Liegt die bei der FB7490 die das INet aufbaut?

     

    LG aus Cuxhaven

     

    Jan

  • 0 in reply to jprusch

    Moin Philipp,

    dir auch Danke für deine Antwort und anregungen.

    jprusch said:
    Das gilt natürlich nur, falls es um Neu-Anschaffungen geht, wenn die zwei Fritzboxen bereits vorhanden sind, dann liegt die Sache anders.

    Genau das ist der momentane Ausgangspunkt, ich habe 2 FB7490 zur verfügung, aber gestern auch noch gesehen das ich einen LanCom 1302acn AP liegen habe. Mal sehen welches ich von beiden nun benutze.

    jprusch said:
    Ein Hinweis noch zur ersten Fritzbox, die am Internet hängt: ich habe letzte Woche bei einem Kunden auf FritzOS 7.12 aktualisiert und danach ging die Funktion "exposed host" nicht mehr richtig. Also eigentlich gar nicht. Ich habe einen Moment gebraucht, um darauf zu kommen, aber kann es mittlerweile mit einer zweiten Installation an einem andern Ort bestätigen. Der Workaround besteht dann darin, einzelne "Port-Freigaben" (im AVM-Jargon) einzurichten (die heißen "DNAT-Regeln" im Rest der Welt). Bei AVM scheint das Problem noch nicht angekommen zu sein.

    Davon habe ich auch schon gehört das es dieses Problem geben soll. Wie hat sich das bei dir gezeigt das der expHost nicht mehr ging? Das würde ja im endeffekt heissen das man quasie alle Ports mal pauschal an die Sophos weiterleiten müsste. Das wäre natürlich übel.

    Die APs von Sophos habe ich mir auch schon angesehen, sehr interessant. Ich werde erstmal mit der UTM100/110/120 rumspielen und später dann ggf. eine aktuellere Sophos holen und die dann mit den APX120ern betreiben. Würde ja auch gerne die FB weglassen, habe aber noch nicht so den Peil wie ich dann mein Telefon zum laufen bekommen kann.

     

    LG aus dem Cuxland

     

    Jan

  • 0 in reply to Jan Seifarth

    Ist die Frage, was du mit "Schwachstelle" meinst.

    Wir haben recht häufig eine FB vor der Sophos. Mit einzelnen portweiterleitungen oder Exposed Host kann das sogar einen Gewinn an Sicherheit bedeuten. (2.Firewall-Stufe)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to Jan Seifarth

    Moin, moin,

    was heißt "wie hat sich das gezeigt?", es ging einfach nix mehr von "aussen nach innen" nach dem Update der Fritzbox von 6.x auf 7.12. Internet und NAT hat weiter prima funktioniert. Ich habe dann auf Verdacht einzelne Ports geöffnet, anstatt den Anschluss der Sophos als "exposed host" zu deklarieren. Da fingen dann meine externen Zugänge wieder an, sich zu melden. Ich fand es erst mega nervig, aber je länger ich es mir überlege, ist es gar nicht so übel. Meist benötigt man sowieso nur eine Handvoll Ports, die weitergeleitet werden sollen. Dann prallt der ganze Rest schon an der Fritzbox ab, ist doch ok.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to dirkkotte

    Moin Dirk,

     

    interessanter Ansatz. So habe ich das noch gar nicht gesehen ;).

     

    LG aus Cuxhaven

    Jan

  • 0 in reply to jprusch

    Guten Morgen Philipp,

     

    danke für das Feedback was den exposed host angeht.

     

    Im Endeffekt macht der ja auch nichts anderes als Internettraffic direkt an den Client weiter zu leiten, ungefiltert und dreckig. Von daher macht das echt Sinn anstatt dessen wirklich nur die Ports weiter zu leiten an die WAN-Schnittstelle der SOPHOS die man auch braucht. Wie Dirk auch schon erwähnt hat

    dirkkotte said:
    Mit einzelnen portweiterleitungen oder Exposed Host kann das sogar einen Gewinn an Sicherheit bedeuten. (2.Firewall-Stufe)

    Ich denke das ist ein guter Ansatz, werde ich genau so umsetzen.

    Wenn meine Arbeit mich lässt werde ich mich am Wochenende dran machen und mein Heimnetzwerk wie oben geplant umstricken. Ich bin gespannt und wenn Ihr mögt halte ich euch gerne auf dem Laufenden oder belästige euch hier noch mit eventuellen fragen oder ähnlichem ;)

     

    Beste Grüße aus Cuxhaven

     

    Jan

  • 0

    Halli Hallo zusammen,

    also, kleiner zwischenstand. Läuft alles genau so wie ich es geplant habe. Das mit der 2ten FW-Stufe ist echt gut finde ich, zwar etwas komplizierter aber funktioniert einwandfrei. Die FritzBox die den AP stellt muss halt etwas anders konfiguriert werden als gedacht damit sie sich ihre Updates ziehen kann, aber auch das klappt. Ich denke ich werde mal eine kleine Doku hierzu veröffentlichen wie ich was gemacht und konfiguriert habe :)

     Was ich allerdings noch nicht so gefunden habe das man den zugriff auf den WebAdmin nur aus einem bestimmten netz erlaubt. Habt Ihr da evtl. eine lösung?

    Beste Grüße aus Cuxhaven

    Jan

  • 0 in reply to Jan Seifarth

    Der Zugriff auf das Webinterface kann nicht an ein Interface gebunden werden.

    Aber die IP-Adressen / Netzbereiche welche berechtigt sind werden in Management / WegAdmin settings / allowed networks eingetragen


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML