Quantcast
Viewing all 64 articles
Browse latest View live

IPSec VPN mit Sophos

Als erstes die Einwahl einstellen auf der Sophos (Fernzugriff > IPSec > Neue Richtlinie erstellen):

Image may be NSFW.
Clik here to view.
Bildschirmfoto 2015-04-01 um 11.56.00

Danach den User in die entsprechende Gruppe einfügen und das User Zertifikat exportieren (Benutzer und Gruppen > Benutzer auswählen > Markieren > Aktionen > L2TP Zertifikate herunterladen – das Passwort gilt auch später für die Verbindung und auch die Konfigurationsdatei exportieren):

Image may be NSFW.
Clik here to view.
Bildschirmfoto 2015-04-01 um 11.59.24

Auf dem Client unter http://www.sophos.com/de-de/support/utm-downloads.aspx runterladen und installieren (danach Neustart).

Anschließend die Konfiguration importieren.

Danach die Standard-Zertifikatskonfiguration bearbeiten und das Zertifikat hinterlegen:

Image may be NSFW.
Clik here to view.
Bildschirmfoto 2015-04-01 um 12.04.56

Dann in der Profilkonfiguration das Zertifikat auswählen:

Image may be NSFW.
Clik here to view.
Bildschirmfoto 2015-04-01 um 11.52.23

 

 

 

 


AD Anmeldung per VPN

Die meisten VPN Clients werden erst nach der Anmeldung gestartet, somit ist ein Anmelden am AD nicht möglich, falls das Kennwort nicht gecached wurde.

Es gibt aber einige Clients die die Funktion „Pre-Login Connection Support for AD/Domain Logins“ bieten:

Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.

Sophos XG eigenes öffentliches Zertifikat verwenden

Um keine Fehlermeldungen zu erhalten beim Zugriff auf die Adminöberfläche  oder dem Userportal der Firewall setze ich ein öffentliches Zertifikat ein. Da ich das jedoch meistens nur selber nutze, reicht mir ein günstiges einfaches mit einer niedrigen Sicherheitsstufe aus.

Dazu verwende ich die SSL Zertifikate von SSLs.com – diese gibt es für ca. 15€ für 3 Jahre, das sind rund 0,42€ pro Monat.

Da ich nun von der Sophos UTM auf die Sophos XG umstelle, beschreibe ich hier den Weg wie man ein solches Zertifikat einrichtet, was unter der XG wesentlich einfacher geht als unter der UTM.

Als erstes müssen wir ein CSR erstellen, dazu gehen wir in der XG nach Certificates > Certificates > Add und erstellen folgenden CSR:

Image may be NSFW.
Clik here to view.

Da die Daten auch über das fertige Zertifikat einzusehen sind, habe ich die originalen Daten gelassen, ihr tragt da natürlich eure eigenen Daten ein. Da ich schon ein Zertifikat habe und das nur änder (was kostenlos ist bei SSLs.com) übernehme ich oben natürlich das originale Ablaufdatum.

Wenn ihr die Einstellungen bestätigt habt, könnt ihr dann das Zertifkat herunterladen (welches als GZ und TAR komprimiert ist, mit dem kostenlosen 7Zip könnt ihr diese entpacken).

Auf SSLS.com „kauft“ ihr dann das Zertifikat und verwendet das eben entpackte CSR.

Nun müsst ihr noch die Dateien zusammenbauen mit OpenSSL, dazu könnt ihr dann unter Windows OpenSSL installieren, auf einem Mac habt ihr das schon drauf. Dazu verwendet ihr den folgenden Befehl:

openssl pkcs12 -export -in url_domain_de.crt -inkey url_domain_de.key -out url_domain_de.p12

Mit dem neu erstellten Zertifikat könnt ihr nun in der Sophos XG das neue Zertifikat einfügen:

Image may be NSFW.
Clik here to view.

Dieses könnt ihr dann nun unter Administration > Port Settings for Admin Console > Certificate zurordnen.

Netzwerk Monitoring mit PRTG

Hier der Status meines Hausnetzes in Echtzeit:

Sophos: Fehler ERR_SSL_SERVER_CERT_BAD_FORMAT beim Zugriff

Sollte die Sophos UTM die folgenden Fehlermeldung zeigen im Browser:

ERR_SSL_SERVER_CERT_BAD_FORMAT

Nutzen Sie bitte den IE und stellen sie in den erweiterten Einstellungen HTTPS 1.1 verwenden als einzige HTTPS Option ein und versuchen Sie erneut auf die Seite zuzugreifen.

Es wird dann eine Sicherheitsmeldung angezeigt, diese können Sie dann ignorieren und auf die Seite zugreifen.

Hinweis: Bitte stellen sie später wieder die Originaleinstellung ein, da diese Einstellung unsicher ist. Ziel sollte es sein, das dann kurzfristig das Zertifikat auf der Sophos erneuert wird.

Originallink: https://kallelilja.com/2017/10/sophos-utm-webadmin-tls-error-bad_format/

Email: SPF erstellen

Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.

Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.

SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:

v=spf1 include:remote.leibling.de include:mx.worldserver.net -all

Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.

Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator

Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/

 

Sophos: Voip/SIP mit Telekom DeutschlandLAN

Bei einem DeutschlandLAN Anschluß wird SIP/VOIP über die bestehenden Internetleitung realisiert. In dem Beispiel habe ich einen DSL Anschluß welcher über eine Sophos UTM 9.5 realisiert wird und eine Avaya IP Office Anlage mit mehreren Telefongeräten. Die Telefonanlage hängt im lokalen Netz – man könnte auch die Telefonie trennen und auf ein eigenes Interface der Sophos legen oder ein eigenes VLAN verwenden, das war jedoch hier nicht gewünscht.

An der TAE Dose (kein NTBA oder Splitter dazwischen) hängt ein Telekom Speedport Entry 2 welcher ADSL und VDSL beherscht.

An dem Port LAN1 hängt ein LAN Kabel welches auf einen Netzwerk-Port der Sophos geht. Die PPPoE Einwahl läuft erfolgreich über diesen Port. Internet wird über diesen Anschluß realisiert.

Die Zugangsdaten wurden wie folgt eingerichtet:

Username: <Anschlusskennung><Onlinekennung><Mitbenutzer>@t-online.de
Kennwort: <Kennwort>

Bei VDSL bitte darauf achten, das bei der Sophos VDSL bei der PPPoE Einwahl erfolgt und auch VLAN7 getaggt ist. Sollte ein VDSL Modem mit integriert sein, bitte auch schauen ob diese ein VLAN Tagging benötigt.

Die DNS Server waren zuvor auf externe von Google eingestellt, diese habe ich jedoch auf die externen DNS Server welche bei der PPPoE Einwahl bereitgestellt werden (falls nicht automatisch, dann fest einstellen – Adressen können in dem PPPoE Log eingesehen werden). Dies wird benötigt, da die Services über DNS (z.B. _sip._regs.sip-trunk.telekom.de) aufgelöst werden müssen. Bei der Avaya IP Office kann man für die SIP Verbindung gar eigene DNS Server angeben – somit würde diese Anpassung nicht benötigt.

Eine Besonderheit, die ich habe in meinem Fall ist, das ich nicht über die ADSL Leitung rausgehe, sondern Parallel über eine weitere SDSL Leitung, damit jedoch die Telefonanlage auch die Leitung nutzt auf der das Voip läuft, habe ich eine neue Richtlinienroute erstellt (Schnittstellen & Routing > Statisches Routing > Richtlinien Routing > Neue Richtlinie) wie folgt:

Image may be NSFW.
Clik here to view.

Ob diese Regel funktioniert, testet man am besten an einem PC – wenn man die Seite wieistmeineip.de aufruft und die Regel aktiviert muss sich die IP über die man rausgeht ändern auf die Adresse der DeutschlandLAN Leitung.

Je nach Bandbreite sollte man auch noch ein QoS für SIP erstellen.

Dazu dann unter Schnittstellen & Routing > Status die Ports aktivieren und die richtigen Bandbreiten einstellen (in MBit). Dann unter Verkehrskennzeichner einen neuen Eintrag erstellen wie folgt (Adresse der Telefonanlage):

Image may be NSFW.
Clik here to view.

Und anschließend noch unter Bandbreiten Pools noch einen entsprechenden Bandbreitenpool anlegen wie folgt:

Image may be NSFW.
Clik here to view.

Wenn man dann in der Telefonanlage sieht, das sich die Anlage registriert die Rufnummer 0800 55 10033 anrufen, danach beginnt dann die Portierung.

Wird später komplett auf diese Leitung umgestellt sind weitere Anpassungen erforderlich:

  • Im Kundencenter feste IP aktivieren (evtl. übernehmen).
  • DNS Eintrag anpassen.
  • Ist DNS eingerichtet kann man nach kurzer Zeit auch im Kundencenter den DNS-Reverseeintrag einrichten.
  • Kontrollieren ob Name auch auf eventuelle Zeritifikat passt (z.B. bei Exchange Server).
  • Evtl. vorhandene Einträge im SPF für DNS Eintragen (siehe https://www.leibling.de/email-spf-erstellen/).
  • NAT und Firewallregeln anpassen.
  • Schnittstellenrouting entfernen.
  • QoS anpassen sofern eingerichtet.

Update:

In einem bestimmten Falle wurde die Leitung auch direkt von ADSL auf VDSL umgestellt. Es ist ein Speedport Entry 2 vor Ort eingesetzt – mit dem aktuellsten Firmwareupdate (zu finden unter https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-entry-2/firmware-zum-speedport-entry-2?samChecked=true) war dieses auch VDSL Kompatibel und konnte auf LAN2 im Modem Betrieb den Status ausgeben (http://169.254.2.1). Dort kann man dann die Verbindung einsehen:

Image may be NSFW.
Clik here to view.


Kostenlose Software für den Server- bzw. Netzwerkbereich

Viele Softwareprodukte, die ich einsetze sind entweder kostenlos oder zumindest für den Privateinsatz kostenlos.

Diese Software stelle ich hier vor:

Sophos UTM:
Professionelle Firewall welche Web- und Emailfilter bietet sowie VPN und alles dies mit einem Umfangreichen Reporting. Die Homeversion ist bis zu 50 IP Adressen frei.

VMWare ESXI Server:
Host zum virtualisieren von Servern, mittlerweile mit einer Webgui zur Administration.

VMWare vSphere Converter:
Tool zum convertieren von Physichen oder virtuellen Servern in eine ESXI Umgebung.

Veeam Windows Agent:
Kostenlose Software um Physische Windowsserver zu sichern. Unterstützt werden Zeitgesteuerte Inkrementielle- sowie Vollsicherungen und Emailnotifications. Gesichert werden kann auf Netzlaufwerken, USB Platten und auch Veeam Backup Repositories. Es gibt auch eine kostenlose Version für Linux und virtuelle Umgebungen.

PRTG Monitoring:
Monitoring und Alarminglösung, monitort über SNMP oder Native (Powershell, Webrequest usw.). Es können auch grafische Visualisierungen eingerichtet werden (siehe mein Monitoring). Es gibt eine Webversion und Apps welche gar die Apple Watch unterstützen. 100 Sensoren sind frei, womit man schon sehr weit kommt.

Docusnap:
Inventarisierungssoftware, welche Netzwerke inventarisiert und Dokumentiert. Es können auch Pläne und Reports erstellt werden (sogar Zeitbasiert). Bis zu 20 Rechnern kann die Software kostenlos genutzt werden.

Sophos: Lokales WLAN einrichten (SG)

Die Einrichtung vom WLAN bei den kleinen Sophos SG ist ein wenig anders, als die beiden großen.

Hier ein Konfigurations HOWTO für das Bridging ins AP LAN.

  • Wireless Networks > New Wireless Network: Benötigte Daten einstellen und bei Client Traffic Bridge to AP LAN einstellen.
  • Access Points > Overview > Edit: Netz aktivieren.
  • Interfaces & Routing > Interfaces falls noch kein WLAN vorhanden dort eins anlegen und als Interface die SSID des erstellten Adapters auswählen.
  • Network Services > DHCP > Einen Bereich anlegen.
  • Network Protection > NAT > Masquerading > Add Masquerading anlegen mit einer Regel für das vorgenannte WLAN über Internet auszugehen.
  • Networks Protection > Firewall > Regel für ausgehenden Verkehr erstellen.

Nun mit Clients testen ob es funktioniert.

 

Weitere Infos: https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.400/wireless-protection/wlan-netzwerke

Sophos: SSL VPN Client für Benutzer über Webadmin runterladen

Um den SSL VPN Client herunterzuladen gehen Sie bitte wie folgt vor:

  • Öffnen Sie den Webadmin.
  • Gehen sie auf Definition & Users.
  • Anschließend wählen die den Unterpunkt Users und setzen Sie bei den entsprechenden Usern den Hacken.
  • Wählen Sie unter Actions den Punkt Download SSL VPN Packages.
  • Abschließend wählen Sie bitte was sie herunterladen möchten.

Installieren Sie auf dem entsprechenden Gerät den VPN Client (bitte mit rechter Maustaste und Als Administrator ausführen) und kopieren Sie das entsprechende Profil nach C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config.

Sophos: Auf SG (Wireless) Password of the Day (PotD) einrichten

Bei den kleinen Sophos SG mit eingebauten WLAN weicht die Einrichtung des WLAN ab von den der großen Boxen, da diese das WLAN als internes Interface realisiert haben.

Hier eine kleine Anleitung wie man das Password of the Day auf einer kleinen SG-xxxW einrichtet:

  • Melden Sie sich am Webadmin an
  • Gehen Sie zu Wireless Networks > New wireless Network
  • Erstellen Sie ein Wireless Network mit den folgenden Daten: Network name: Wireless-Gast, Network SSID: Wireless-Gast, Encryption: No encryption, Client Traffic: Separate Zone, Adanved > Client Isolation: Enabled
  • Gehen Sie nun zu Interfaces & Routing > Interfaces > Add Interface
  • Erstellen Sie ein neues Interface mit den folgenden Daten: Name: Wireless-Gast, Type: Ethernet, Hardware: wlan1 (Die Nummer ist zu sehen in Wireless Networks > Wireless Networks > In dem Wireless Network in der Klammer angezeigt), IPv4 Address: 192.168.5.254, IPv4 Netmask: 24
  • Gehen Sie nun nach Network Services > DHCP
  • Erstellen Sie nun einen neuen DHCP Server mit den folgenden Daten: Interface: Wireless-Gast, Range Start 192.168.5.100, Range end: 192.168.5.200, DNS Server: 192.168.5.254, Default Gateway: 192.168.5.254, Domain: wireless.gast, Lease Time 86400
  • Gehen Sie nun nach Networks Services > DNS > General und fügen dort unter allowed Networks Wirelss-Gast (Network) hinzu.
  • Anschließend gehen Sie unter Network Protection > NAT > Masquerading und erstellen eine neue Masquerading Regel mit den folgenden Werten: Wireless-Gast (Network), Interface: External (WAN) und wenn nötig bitte auch Use Address einrichten.
  • Dann noch unter Network Protection > Firewall die ausgehende Regel für Internet IPv4 und Internet IPv6 anpassen, so das Wireless-Gast ebenfalls mit in die Regel kommt.
  • Zu guter letzt noch unter Wireless Protection > Hotspots > Hotspots einen neuen Hotspot erstellen mit folgenden Daten: Name: Wireless-Gast, Interfaces: Wireless-Gast, Administrative Users: admin (und die User, die das Password of the Day sehen sollen im Userportal), Hotspot Type: Password of the Day, Password creation Time: 4:00, Send Password by Email to: Adresse oder Verteilerliste, die das Passwort erhalten sollen

Das war die Einrichtung. Wenn man noch möchte, das das Wireless-Gast nicht unverschlüsselt ist kann man entweder ein eigenes Kennwort vergeben (unter Wireless Networks > Wireless Networks > Wireless-Gast bearbeiten > Encrytion Mode aktivieren und ein Kennwort vergeben) oder aber das Kennwort mit dem Password of the Day syncronisieren (dann zusätzlich noch zu dem Punkt vorher in Wireless Protection > Hotspots > Hotspots > Hotspot bearbeiten > Option Syncronize Password with PSK or Wireless Network) – dann muss das Kennwort jedoch doppelt eingegeben werden (als WLAN Kennwort und nochmal beim Aufruf einer Seite auf der Loginseite).

Sie können jederzeit, das Password of the Day einsehen oder zurücksetzen im Userportal im Register Hostspots.

OpenVPN / Sophos SSL VPN Client: Windows Rechner als Softwarerouter verwenden

Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!

Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.

Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.

Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.

Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.

Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.

Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.

Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:

auth-user-pass password.txt

Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.

Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.

Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).

Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).

Image may be NSFW.
Clik here to view.

Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.

Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Image may be NSFW.
Clik here to view.

Bekannte Probleme:

Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:

Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.

Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:

Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.

Sophos: SSL Netzanbindung mit Raspberry Pi

Sollte die Anbindung an einem Netz erforderlich sein, kann man zum einen ein gesamtes Netz mit einer RED oder einer Firewall realisieren. Selbst eine Anbindung mit einer Fritzbox ist möglich (Achtung: Dies ist jedoch nicht von Sophos supported!).

Sollte es jedoch absolut nicht klappen, kann man einen Raspberry Pi als Router umfunktionieren und diesen per OpenVPN verbinden. Über die Fritzbox verteilt man dann die Route zu dem entfernten Netz und versteckt das Netz per NAT hinter dem Raspberry. Somit kann das gesamte lokale Netz auf das Netz hinter der Sophos zugreifen (Achtung: Da dies keine Site-to-Site Anbindung ist, kann man nicht aus dem Netz hinter der Sophos auf das entfernte Netz zugreifen).

Ich nutze hier einen aktuellen Raspberry Pi in der Version 3B (dieser hat genug Power und ein Gigabit LAN Interface). Dieser kostet um die 35€, komplette Sets gibt es bei Amazon und vielen anderen für ca. 60€ inkl. Raspberry Pi, Netzteil, Gehäuse, SD Karte mit Adapter, HDMI Kabel und Anleitung.

SSL VPN Benutzer einrichten auf der Firewall

Aktivieren und richten Sie den SSL Fernzugriff ein auf der Sophos. Gehen Sie dazu auf Remote Access > SSL > New Remote Access Profile … und erstellen ein Profil wie folgt:

Image may be NSFW.
Clik here to view.

Erstellen Sie nun auf der Sophos einen User wie folgt (natürlich mit echten Daten):

Image may be NSFW.
Clik here to view.

Diesen User nun einer Gruppe hinzufügen die SSL VPN Rechte hat oder direkt in dem SSL Fernzugriff Profil hinzufügen.

Laden Sie nun die entsprechende ovpn Datei herunter (aus der Zip-Datei extrahieren).

Tipp: SSL-Konfigurationsdatei als Admin runterladen!

Installation Linux auf dem Raspberry

Als Basis setze ich ein aktuelles Raspberian Stretch Lite ein (Download).

Wie in der Anleitung beschrieben, entpacke ich die Datei nach dem Download und überspiele die entpackte ISO Datei mit dem Tool Etcher auf die SD Karte.

Anschließend kommt die Karte in dem Raspberry Pi und das Gerät wird gestartet.

Wenn das System gestartet ist, als User pi mit dem Passwort raspberry einloggen (beachtet bitte, das das Default Keyboardlayout US ist und somit das z statt dem y zu verwenden ist) und das System updaten wie folgt:

sudo apt-get update
sudo apt-get dist-upgrade

Als nächstes dann den Raspberry Pi einrichten mit dem folgenden Befehl:

sudo raspi-config

Stellt bitte nun ein neues Passwort ein, die IP Adresse und das Keyboard Layout auf DE. Ich aktiviere auch SSH, damit ich bequem per SSH und Copy&Paste von einem Rechner mit Internetanschluß die Konfiguration abarbeiten kann. Wenn Sie SSH nicht mehr benötigen, können Sie es wieder über raspi-config deaktivieren.

Ich habe die folgenden Einstellungen gewählt (Basis für mein ISO zur Verteilung):

  • Kennwort: RasRou!2019
  • Hostname: pi-gateway
  • Locales: de_DE ISO-8859-1, Default: de_DE
  • Timezone: Europe/Berlin
  • Keyboard Layout: Generic 105-Key (Intl) PC, Other: German, German, Default Key, No compose Key
  • Interface Options: SSH Enabled

Nach einem Neustart deaktivieren Sie noch WLAN und Bluetooth laut dieser Anleitung wie folgt:

sudo nano /boot/config.txt
 # turn wifi and bluetooth off  
 dtoverlay=pi3-disable-wifi  
 dtoverlay=pi3-disable-bt  

Anschließend noch den hciuart Dienst deaktivieren und neustarten:

sudo systemctl disable hciuart  
sudo reboot  

Einrichten VPN Client

Ich gehe hier grundsätzlich nach dieser Anleitung vor, habe jedoch ein paar kleine Änderungen.

Als erstes den VPN Client installieren mit:

sudo apt-get install openvpn

Diese eben kopierte VPN-Konfigurationsdatei bitte nach remote.conf umbennen und nach /etc/openvpn kopieren (z.B. mittels wget oder FTP auf dem Rechner kopieren).

Tipp: Man kann auch die Datei auf die /boot Partition kopieren, da sie FAT Dateisystem ist. Bitte jedoch nicht vergessen, die Datei später zu löschen!

Hinweis: Wenn die Datei anders heißen soll, bitte unten bei Systemctl diese Datei entsprechend anpassen. Die Endung sollte jedoch .conf sein – nicht .ovpn, da sonst Systemctl nicht den Dienst starten kann – es wird kein kompletter Dateiname angegeben und .conf automatisch angehangen!

Dann eine Datei mit dem Namen login mit Zugangsdaten erstellen (in der erste Zeile ist der Username und in der zweiten Zeile das Passwort):

sudo nano /etc/openvpn/login

Dann an der Datei die Rechte anpassen, das nur root sie einsehen kann:

sudo chmod 600 /etc/openvpn/login

Editieren Sie die ovpn-Datei, das hinter auth-user-pass noch der Dateinamen Login steht und speichern diese:

auth-user-pass /etc/openvpn/login

Mit dem folgenden Befehl können Sie sehen, ob die Einwahl erfolgreich war (diese müsste dann in der Sophos unter Fernzugriff angezeigt werden):

sudo openvpn --config /etc/openvpn/remote.conf

Nun wird das VPN so eingestellt, das es direkt nach dem Boot läuft (Achtung: Der Dateiname OHNE .ovpn):

sudo systemctl enable openvpn@remote

Den Raspberry zum Router umfunktionieren

Nun muss noch IP Forwarding aktiviert werden:

echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Anschließend noch NAT aktivieren:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Die Regeln speichern:

sudo apt-get install iptables-persistent

Anpassungen am vorhandenem Internetrouter

Weiterhin müssen sie der Raspberry stets die selbe Adresse zuordnen, dies können sie über die Fritzbox einstellen (sofern diese den DHCP Server stellt). Gehen Sie dazu unter Heimnetz > Netzwerk > Rapberry auswählen und auf das Stiftsymbol klicken. Kontrollieren sie Namen und IP Adresse und machen Sie einen Hacken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.

Damit auch die anderen Rechner im LAN das VPN Netz finden, muss auf dem Internetrouter noch eine Route bekanntgegeben werden – hier anhand einer Fritzbox, gehen Sie unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Image may be NSFW.
Clik here to view.

Masterimage

Falls sie möchten, können Sie ein fertiges Image runterladen und dieses nur noch anpassen. Das Image hat folgende Konfiguration:

  • Username: pi
  • Passwort: RasRou!2019
  • IP: DHCP
  • SSH: Aktiviert

Das Image können Sie hier herunterladen. Es wurde gezippt, damit es weniger Platz und Bandbreite spart. Entzippt es (z.B. mit 7-Zip) und kopiert es dann mit einem Imagetool (z.B. mit Win32Diskimager) auf eine neue SD Karte und startet damit euren Raspberry. Mit den Tools könnt ihr euch auch selber jederzeit ein Backup erstellen (z.B. Sicherungskopie wenn alles funktioniert).

Wenn Sie das Image einsetzen, sollten Sie unbedingt das Kennwort ändern und gegebenenfalls die IP anpassen! Um das VPN nutzen zu können, müssen Sie natürlich eine OpenVPN Konfigurationsdatei einspielen. Wenn Sie SSH nicht benötigen, deaktivieren Sie es. Beachten Sie, das nun alle Rechner im Netzwerk (auch im WLAN) Zugriff auf das entfernte VPN Netz haben – auch eventuell Virenverseuchte Rechner!

Eine Vorlage zur Dokumentation können Sie hier herunterladen (Word | PDF).

Weitere Möglichkeiten

Site-to-Site statt Einzelanbindung: https://www.foxplex.com/sites/sophos-utm-site-to-site-vpn-mit-openvpn/

Raspberry als VPN Server verwenden: http://www.pivpn.io/

WLAN Hotspot bereitstellen über Raspberry:
https://www.datenreise.de/raspberry-pi-3-wlan-verbindung-herstellen/

Bekannte Probleme

  • Feste IP zuordnen klappt noch nicht. Lösung über Fritzbox eingerichtet.
  • Wenn die Verbindung mehrfach neu aufgebaut wurde, funtkoonierte zeitweise Ping nicht stabil – entfernte Dienste konnten jedoch ohne Problem genutzt werden.

Achtung

Ich übernehme keine Haftung, weder für die Dokumentation noch für das fertige Masterimage!!!

Stand 23.01.2019

OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
Image may be NSFW.
Clik here to view.
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:
Image may be NSFW.
Clik here to view.

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


Sophos UTM: RDP Sicherheit umstellen

Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!

Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.

Möglichkeiten zur Sicherheit wären:

  • RDP deaktivieren
  • RDP Zugriff nur auf bestimmte Adressen erlauben
  • RDP erst nach VPN Einwahl erlauben

Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:

Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.

Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.

Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):

Image may be NSFW.
Clik here to view.

Weitere Informationen:

Sophos SG auf XG umstellen

In diesem Falle musste ein Kunde von der SG Basic Guard (Hardware SG115W, die Hardware der SG und XG sind identisch, deswegen kann das Betriebssystem neu mit dem XG System installiert werden – Wireless ist enthalten und wird nicht extra lizenisert) auf eine XG Fullg Guard umstellen.

Hier ein paar allgemeine Informationen:

  • Die Hardware ist identisch und es kann das XG OS auf die SG installiert werden.
  • Die Laufzeit der Lizenz verkürzt sich durch das Upgrade des Funktionsumfangs.
  • Der Lizenzwechsel kann nicht mehr rückgängig gemacht werden und ist in Zukunft immer zu lizensieren.
  • Wireless unterstützen die XG, dies muss nicht extra lizensiert werden.
  • Im Partnerportal gibt es ein Konvertierungstool, welches die SG Konfiguration in eine XG Konfiguration konvertiert – darauf gehe ich hier jedoch nicht ein, da ich lieber neu aufsetze. Weitere Infos hier: https://scs-mg.de/wp-content/uploads/2019/10/Migrations-Anleitung-SG-XG-17.0.0.pdf
  • Es muss beim Installer auf Hardware- oder Softwareversion geachtet werden.
  • Die freie Home Lizenz läuft NICHT auf Sophos Hardware.
  • Nach der Installation kommt womöglich die XG im Bridgemodus hoch, d.h. das an dem Anschluss evtl. mehrere MAC Adressen gesehen werden – dies machte bei mir mit einem Anschluss der Deutschen Glasfaser Probleme – nach einem Portreset war jedoch wieder alles ok.

Ich bin dazu wie folgt vorgegangen:

  • Einloggen im UTM Lizenportal unter https://myutm.sophos.com und aktualisieren der Lizenz von Basic Guard auf Full Gard. Laden sie die aktualisierte Lizenz herunter.
  • Sichern Sie die bestehende Konfiguration mit der Backupfunktion und zusätzlich mit Screenshots.
  • Download des Firewall OS im Sophos Portal, dazu einloggen unter https://id.sophos.com und download des Installers unter MySophos > Download Installers > Hardware Installers > Firewall OS for XG Series.
  • Diesen Download mittels Tools wie z.B. Rufus auf einem Bootfähigen USB Stick einrichten (Rufus mit Adminrechten starten > Stick auswählen > ISO auswählen > Clustergröße auf 8192 kb einstellen > Start drücke > DD Modus wählen).
  • Installation mit dem USB Stick (Monitor und HDMI Kabel sowie USB Tastatur benötigt, den Stick dann an den USB/Com Anschluss anschließen.
  • Nach der Installation anmelden unter https://172.16.16.16:4444 – dazu dem Client eine IP aus dem Bereich geben (z.B. 172.16.16.12, Subnetzmaske 255.255.0.0, Gateway und DNS 172.16.16.16). Während der Installation kann dann die richtige Konfiguration des Netzwerkes eingegeben werden.
  • Mit dem Assistenten bekommen sie eine Grundkonfiguration welche sie nun anpassen können.

Weitere Informationen:

Sophos XG (SFOS 18.04) Exchange 2016 veröffentlichen

In der Firewall einloggen unter https://<ip>:4444

Unter Schützen > Webserver > Hinzufügen den Webserver anlegen:

Image may be NSFW.
Clik here to view.

Unter Schützen > Regeln und Richtlinien > Firewallregel hinzufügen > Neue Firewallregeln auswählen.

Geben Sie einen Namen ein wie z.B. Webserver publizieren.

Wählen Sie bei Maßnahme Mit Webserver schützen.

Wählen sie bei Vorkonfigurierte Vorlage Exchange General.

Bei gehostete Adresse das Interface mit der Internetleitung und wählen Sie bei Launch Port HTTPS aus. Setzen Sie den Hacken bei Umleitungs-HTTP.

Wählen sie das Zertifikat aus und es werden die Domainnamen automatisch ausgefüllt. Da ich ein Multidomain (z.B. von SSLS.com verwende, werden hier beide Adressen angegeben (Autodiscover und Remote).

Image may be NSFW.
Clik here to view.

Bei geschützter Server erstellen sie noch die folgenden Pfade:

  • /autodiscover
  • /Autodiscover
  • /AutoDiscover
  • /
  • /mapi
  • /MAPI
  • /api
  • /API

Bearbeiten sie jeden Pfad einzeln (auch die vorherigen) und wählen sie bei Webserver ihren Exchangeserver aus und bei Authentifizierung keine aus. Speichern Sie die einzelnen Regeln.

Bei Ausnahmen bearbeiten Sie die erste Ausnahmergeln mit den Exchangepfaden und fügen die neuen hinzu gefolgt von einem /*

Erstellen Sie eine neue Ausnahme für / und wählen Statisches URL Hardening und speichern sie diese ab.

Image may be NSFW.
Clik here to view.

Speichern Sie nun die neue Firewallregel und prüfen Sie den Zugriff von extern.

Quellen:

Sophos XG VPN einrichten mit Profile für RDP zu Arbeitsplatz und vollem Serverzugriff

Gehen Sie ins AD und erstellen eine Gruppe SSL-RDP-USER und eine SSL-TERMINAL-USER und ordnen Sie die Benutzer zu.

Sollten Sie ihre XG an das AD anbinden, gehen sie dazu wie folgt vor:

Melden Sie sich auf der XG an unter https://<IP>:4444

Gehen Sie unter Konfigurieren > Authentifizierung > Server > Hinzufügen und erstellen Sie den Server (natürlich mit ihren echten Daten):

Image may be NSFW.
Clik here to view.

Klicken Sie rechts auf das importieren Symbol neben dem Server und wählen die beiden Gruppen aus.

Sollten die Clients für RDP DHCP verwenden, diese bitte die Adressen als Static zuordnen (wenn per XG, dann bitte Konfigurieren > Netzwerk > DHCP > die Daten vom gewünschten Rechner notieren und in dem Range einen Static Eintrag erstellen) oder direkt eine feste Adresse vergeben und einen HOST erstellen.

Dann ein Profil erstellen unter Konfigurieren > VPN > SSL-VPN-Fernzugriff mit den Namen SSL-RDP-USER und dort in den Eigenschaften unter Identität die vorgenannte Gruppe hinzufügen und unter Zugelassene Netzwerkressourcen die Clientrechner für RDP eintragen.

Dann noch ein Profil erstellen mit den Namen SST-TERMINAL-USER und die entsprechende Gruppe zuordnen und dann Zugelassen Netzwerkressourcen die Server auf die Zugegriffen werden soll.

Standardmäßig ist der Userportal Port auf 443 gesetzt, veröffentlichen Sie Webserver sollte der Port verändert werden auf z.B. 4443 (System > Verwaltung > Admin- und Benutzereinstellungen > HTTPS Port für das Benutzerportal.

Soll von extern der Zugriff auf das Userprotal gewünscht werden, dann bitte dies aktivieren unter System > Verwaltung > Appliance Zugriff > Userportal: WAN aktivieren.

Anmeldenamen sind in der Form <anmeldename>@ad.local und das entsprechende AD Kennwort.

Für die SSL Einwahl über AD Konten muss erst unter Konfigurieren > Authentifizierung > Dienste > SSL VPN Authentifizierungsmedthoden das AD aktiviert werden.

Erstellen Sie nun eine Firewallregel wie folgt und speichern sie diese:

  • Regelname: SSL-TERMINAL-USER
  • Quellzone: VPN
  • Zielzone: LAN
  • Zielnetzwerk: Nur die Server auf die zugegriffen werden soll
  • Hacken bei Übereinstimmung mit bekannten Benutzern und die Gruppe SSL-TERMINAL-USER auswählen
  • Speichern

Das selbe nun mit der Gruppe SSL-RDP-USER mit den entsprechenden Einstellungen.

Sophos XG: WLAN einrichten (nicht Bridged)

Auf der Sophos XG anmelden (https://<IP>:4444

Unter Konfigurieren > Netzwerk > Zonen die Zonen WIFI_INTERNAL und WIFI_WEB einrichten

Unter Konfigurieren > WLAN > WLAN Einstellungen > Wireless Protection aktivieren und und beide Netze bei Zugelassene Zonen hnzufügen.

Unter WLAN-Netzwerke ein Netz WIFI_GAST und WIFI_INTERNAL einrichten und mit entsprechenden Kennwörtern sichern und auch eigene IP Adressen verwenden. In den Zonen entsprechende Freigaben wie AD-SSO usw. einrichten.

Unter Access-Points den Standardaccesspoint bearbeiten und beide WLAN hinzufügen.

Ins Ethernet Bridgen sollte deaktiviert sein.

Unter Konfigurieren > Netzwerk > DHCP > DHCP Server hinzufügen (INTERNAL bekommt als DNS Server die Domaincontroller, GAST bekommt z.B. die Google DNS Server 8.8.8.8 / 8.8.4.4).

Jetzt unter Schützen > Regeln und Richtlinien > eine Firewallregeln hinzufügen wie folgt:

  • Name: WLAN_INTERNAL
  • Quelle: WIFI_INTERNAL
  • Zielzonen: LAN und WAN

Dann eine weitere Firewallregel erstellen wie folgt:

  • Name: WLAN_WEB
  • Quelle: WIFI_INTERNAL und WIFI_GAST
  • Zielzonen: WAN

Fertig.

Viewing all 64 articles
Browse latest View live