ComputerBase Menü
Aktuelles

Sophos Firewall Grundregel

O

owl2010

Lt. Junior Grade
Registriert
Mai 2018
Beiträge
432
Ich bin gerade dabei meine Sophos XG Firewall einzurichten und zu optimieren.
Bei den Firewall-Regeln würde ich erst einmal nur eine "Grundregel" definieren und dann schauen, was ich evtl. noch hinzufügen muss/sollte.
Bei der Grundregel LAN to WAN würde ich erstmal nur die folgenden Dienste freischalten:
HTTP, HTTPS
FTP
DNS
POP/IMAP
SMTP

Wie seht ihr das? Könnte man so arbeiten, dass diese Dienste generell freigeschaltet sind und alles weitere dann halt benutzerdefiniert.
 
Ehm! 1. Es gibt Schulungen, falls du Sophos Partnert bist 2. Man sollte schon wissen was man da macht 3. Desktop oder 19" oder Cloud / Server ?
 
Bin kein Sophos Partner. Nutze die Firewall für mich privat.
19"
 
Du kannst die Grundregeln einstellen, und solltest dann definieren was du brauchst. Wobei es da ja auch fertige Listen gibt wie z.B. Steam oder so.
 
Ok...aber der "Grundregel" muss ich jetzt nicht nochmal explizit Ports definieren der einzelnen Dienste - da kann ich alle Ports as default nehmen oder?
 
Kann man so machen, ja. Hat aber natürlich das Problem, daß es arg pauschal ist.

Es gibt durchaus Tutorials für sinnvolle und grundsätzlich sichere Firewallkonfigurationen, die man dann natürlich anpassen und gemäß dem eigenen Bedarf weniger restriktiv gestalten kann/muß.

Wichtiger ist ein Verständnis, was da passiert. Nicht bös gemeint, aber das lese ich derzeit nicht raus.

Daher, erstmal belesen.
 
  • Gefällt mir
Reaktionen: Raijin
Ok, du hast dir eine Hardwarefirewall nach hause gestellt.
Was genau erhoffst du dir davon und was gennau ist dein Ziel? Warrum genau diese? Wenn wir das besser verstehen koennen wir auch gerichteter helfen. Bei den aktuellenn anforderungen tut es auch die Windows Firewall // PF auf einem Raspi

Welches Modell hast du genau?
 
Die Hardware-Firewall habe ich geschenkt bekommen, da diese ausgemustert wurde. Es ist eine Sophos XG135.
Mein Ziel ist es, einfach mehr über Firewalls und deren Einrichtung zu erfahren. Es ist also alles eher ein Testbetrieb und es steht jetzt nicht sicherheitsrelevantes dahinter....
 
Naja die XG kann auch virtuell sein.

dein Ansatz ist schonmal nicht ganz falsch.
Anstatt „any any any“ was definieren.

du wirst allerdings noch einiges Nachpflegen müssen...ICMP beispielsweise...irgendwelche exotischen Ports oder Ranges...

ausserdem ist die Frage wo du ansetzt.
  • Ziel nach Quelle ?
  • nur Ziel ?
  • Applikations gebunden ?
  • Auf Portbasis ?
  • Zonen
  • etc

nicht umsonst gibt es da Dienstleister für, die da jahrelange Erfahrungen haben ;)

schau dir erstmal im Netz mal Grundlagen an.
Sophos oder Fortinet haben da auch frei verfügbare Ressourcen.
Ergänzung ()

owl2010 schrieb:
Die Hardware-Firewall habe ich geschenkt bekommen, da diese ausgemustert wurde. Es ist eine Sophos XG135.
Mein Ziel ist es, einfach mehr über Firewalls und deren Einrichtung zu erfahren. Es ist also alles eher ein Testbetrieb und es steht jetzt nicht sicherheitsrelevantes dahinter....
Zum Vergrößern anklicken....
Okay
Dann hat das Ding eh keinen Service ?
Sprich: reines perimeter firewalling (google 😅)
Da du für alles andere keine Updates bekommen wirst. (AV, application und web filtering, IPS etc)

da kannst (übertrieben ausgedrückt) für zuhause besser ne pfsense nehmen.
Da kannste zumindest einige Features mehr nutzen...und ist frei ;) für privat ne coole Sache

zumindest zum spielen und rein zu kommen ist die Sophos natürlich schick ;)

edit: ich hasse meine Handy Tastatur 😅
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Für gewöhnlich hat man erstmal eine Defaultregel, ala „allow anything from LAN to WAN“.
Aktiviere darauf mal das logging, dann siehst du schonmal was alles nach draußen geht. Vergiss nicht eine NAT Regel für den Outbound Traffic zu erstellen und zu aktivieren.
Inbound Regeln werden nach Bedarf gesetzt, für den Anfang kommst du wohl ohne zurecht.

Es handelt sich bestimmt um eine Rev. 2 oder Rev.1 Hardware, deswegen wurde die womöglich auch außer Betrieb genommen.

Gibt es für die XG auch noch die Home Use Lizenzen wie für die SG? Sonst ist die Nutzung stark eingeschränkt. Auf Sophos Hardware kann man aber oft z.B. pfSense betreiben

Grüße
 
Also ich würde so ansetzen, dass ich erstmal meinem LAN erlaube ins Internet zu gehen über die anfangs erwähnten Dienste. Sollten Anwendungen mehr verlangen, so würde ich dass dann nachpflegen. In der Sophos ist ja werkseitig die any-any Regel aktiv so wäre meine Firewall ja komplett offen. Daher möchte ich schon vorab ein paar Türen wieder schließen. Aber Grundbedürfnisse, wie das Surfen und eMail sollten per se schon gehen.
 
  • Gefällt mir
Reaktionen: minimii
Für HTTP/HTTPS ist ein Proxy in der XG.
Für SMTP/POP/IMAP ist ein Proxy in der XG
Für DNS verwendet man die XG als Relay

Die einzige default Regel, die Sinn macht und vermutlich schon da ist, ist ein Drop als letzte Regel.
Danach siehst du, was dagegenprasselt und gibst das frei, was du freigeben willst.
Viel Spaß, wenn du das erste Spiel startest :D
 
Diese NAT-Regel habe ich erstellt:
111111111111.jpg
 
@Minime9191 vielen Dank. Die Lizenz sollte sich @owl2010 auch mal ansehen.

Die NAT Regel würde ich nicht zusätzlich auf Dienste einschränken. Das machst du an genau einer Stelle über das FW Regelwerk, sonst musst du immer mehrere Sachen anpassen. Auch solltest du die IP Addresse der Anfragen auf die public IP der Firewall übersetzen lassen. Private Adressen werden im Internet nämlich nicht geroutet.

Grüße
 
Also erstelle ich nur eine generelle NAT-Regel und lasse die dann immer so bestehen?
 
Aber anders gefragt: Brauche ich überhaupt eine NAT-Regel?
Wie müsste denn dann die allgemeine NAT-Regel ausschauen?
Ergänzung ()

Kann einer vielleicht gute Tutorials empfehlen, wo ich mich einlesen kann oder youtube-Videos?
 
Zuletzt bearbeitet:
Wie sind denn deine Kenntnisse zu Fähigkeiten zum Thema Netzwerk?
es gibt eine ganze Reihe guter Materialien, auch die Hersteller bieten oft gute Sachen an, jedoch sind diese mit Vorkenntnissen wesentlich besser zu verstehen. Tutorials gibt es ebenso, aber dafür sollte man wissen, was man eigentlich erreichen möchte. Das Thema Netzwerk ist dermaßen umfangreich dass du schnell den Überblick verlieren wirst.

Du solltest dir ein konkretes Ziel setzen und nicht einfach wild drauf los bauen.
Skizziere doch mal dein Heimnetzwerk mit der Sophos und poste es hier. Da ist ja womöglich noch der Router von deinem Internetanbieter davor.

Grüße
 
Ich würde schon behaupten, dass ich über Grundkenntnisse in Sachen Netzwerke verfüge.
Also mein Heimnetzwerk schaut so aus:
Clients (Domäne) ->Firewall->Router
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Firewall Lösung für Heimnetz
Antworten
7
Aufrufe
1.326
Thaxll'ssillyia
Thaxll'ssillyia
S
Firewall für "Self-made-Router" mit Linux, nftables-Firewall
Antworten
4
Aufrufe
1.069
SvenjaW
S
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
354
Mickey Mouse
Mickey Mouse
O
Generelle Frage zur Portfreigabe an der Firewall
Antworten
12
Aufrufe
2.959
cloudman
C
Ray Donovan
VPN einrichten
2 3 4
Antworten
78
Aufrufe
8.475
Ray Donovan
Ray Donovan
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz