Sophos Firewall für Daheim?

Hi,

die SG105 reicht dir vollkommen.
Kannst sogar ne alte UTM120 nehmen.

Viele Grüße,

Christian
certifiedit.net

Ist das nicht abhängig von der Bandbreite des Anschlusses?

Er macht sich auch kaum Mühe für eine ausführliche Frage

verstehe 😉

Oder eine kleine pfSense/OPNsense als sinnvollere Heim Alternative ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Deine Frage ist sehr dürftig. Da kann man schlecht helfen.

Ich hatte einige Jahre eine kleine Sonicwall und im Januar durch Zufall eine kleine Palo Alto mit aktueller Software und umfangreichen Features bei eBay bekommen.

Ich Frage mich als erstes immer, ist ein geneigter Privatanwender überhaupt in der Lage, den Mehrwert abzurufen.

hallo,
würde dir zu einer kleinen cisco asa5000er raten ... fürn fuffi bist du dabei. ggf, sogar mit neuester fw über den verkäufer...
vorteile: mächtige und ausgereife software, aber kein next-gen geraffel.
ich würde generell die next-gen firewalls nicht einsetzen, zumal es für mich suspekt sei, warum diese teilweise gigabyte weise flash/massenspeicher mitführen...
meine vermutung: aufzeichnen der tcp-syn pakete von ssl/tls verbindungen und weiterleiten ans nsa-datacenter zum aufbrechen...
in meinen augen sollte heute eine firewall nur nach ip-adr. und ports filtern innerhalb des state-kontext - mehr auch nicht. das zwanghafte aufbrechen von verbindungen (mitm bei ssl) ist zumindest in meinem lan ein no-go(!).
damit meine ich auch die aktuellen cisco firepower router/firewalls....
grüße alex
ps: falls du noch nichts mit cisco config am hut hattest: ich hab meinen rein per cli-terminal in 2 tagen gekonft, ohne vorwissen ;)

Ich als böser Cracker, würde dir über HTTPS den A aufreißen, so wie in fast allen Fällen.

DPI-SSL gut konfiguriert ist ein riesen Gewinn an Sicherheit. Besonders, wenn es nicht auf Portbasis arbeitet.

es ist wahrscheinlicher, dass ein cracker die vielbeworbene ssl-inspection-engine einer xyz next-gen-furzfirewall mit malformed ip pakets lahmlegt bzw. auf dem gerät zur remote-code ausführung beiträgt, als dass jemand beim www-surfen mit brain.exe sich per stets mit ssl/tls gesicherten verbindungen fatale trojaner/viren einfängt...
insbesondere wenn ein malware-server eine ssl-verbindung von einer eben solchen supderduper application-firewall abbekommt, wird der cracker hellhörig, was denn da noch zu holen wäre...
insofern finde ich hier simples layer3-filtern völlig ausreichend, vor allem unterstützt mit konsequentem ip-blacklisting sowohl im gateway als auch (per ublock) im browser/client (nicht per hosts-liste!) ;)
mfg

tja, aber nicht jeder ist so krass,endgeilgecrackterbrain.exe unterwegs, wie du.

deshalb sage ich ja: eine konkrete globale blacklist ist gold wert. und das ist mit quasi jedem guten layer3-gateway aka fritzbox, pfsense, asa5505 für kleines geld umsetzbar (ACHTHUNG: asa5505 kann probs am wan-port mit gbit-modems machen = mieser durchsatz unter 40mbit. lösung: billig gigabit-switch zwischenschalten - oder keine asa kaufen ;).
wobei mir die pfsense vom start weg über ipv6 und ntp-dienst etwas zu viel nach hause telefoniert ...
dafür hat pfsense schon von hause aus eine ziemlich starke globale ip-blocklist integriert ;)
egal welche ip-firewall man nimmt: handarbeit ist nötig. auch sollte man sich überlegen, namensauflösung im lan möglichst vollständig per dns-over-https auszulagern, nach nextdns/cloudflare etc. diese dns-anbieter filtern bereits die malware-sites heraus, zumindest mind. so gut wie statische lokale ip-listen...
eine relativ gute und einfache lokale lan-konfig wäre: https-only für browser und mailclient inkl. DoH.
Onlinebanking nur in einem sauberen vm-snapshot. live-cd hat den nachteil, dass man die teils umfangreiche firefox-config verliert (DoH, ssl-härtung, etc pp).
standardmäßig baut der firefox keine sicheren ssl-verbindungen auf (!).
folgendes muss man @ about:config setzen:
security.tls.enable_0rtt_data false <= schutz vor replay-angriffen; insbesondere bei tls1.3 (!)
security.ssl.enable_false_start false
security.ssl.require_safe_negotiation true
security.ssl.treat_unsafe_negotiation_as_broken true
security.ssl3.rsa_aes_128_sha false <== cipher _ohne_ perfect-forward-secrecy...
security.ssl3.rsa_aes_256_sha false <== "
security.ssl3.rsa_des_ede3_sha false <== "
security.tls.version.min 3 <== mind. version tls1.2; default seit motzfoks74
browser.cache.disk_cache_ssl false
grüße
PS: die sinnvollste lösung zuhause ist eine fritzbox zzgl konsequenter dns-over-https konfig aller clients. damit hat man eine ziemlich sichere externe namensauflösung inkl. blocklisting von malware-sites, die so kein lokaler fw-router leisten kann.
und die sog. nextgen-furzwalls kaufen eh alle ihre blocklisten bei google, cloudflare und opendns (mittlerweile cisco) ein...
ab 20 eur ist man dabei (!) supersparsame fritzbox 4020 für einen max 100mbit kabelanschluss. oder 4040 wegen gigabit lan/wan ab 40 eur.
ziemlich mächtige und gehärtete firewall aka cisco asa 5505 gibts auch schon ab 35 eur in der bucht (100mbit) quasi ohne schwachstellen, wenn man die firewall am wan-if nicht für snmp öffnet ;)
... wlan? siehe fritten als ap im lan - openwrt auf tp-link? seit dem wechsel des chipsets weg von qcom nicht mehr so pralle...
am adsl-anschluss hat man etwas mehr qual-der-wahl, aber auch dort: fritzbox erste wahl (wegen des modems). und sowieso sollte man layer2-zugangspunkt aka modem lieber dem isp überlassen (garantie, gerätewechsel, verfügbarkeit...).
PPS: ich finde ja diese rohde&schwarz lancom ziemlich gut. waren schon immer als lancom genial in der konfiguration als auch sicherheit (ipsec-tunnel mit esp & ah, bei site2site-vpn). sprich, der ip-header wird bei lancoms geschützt, sofern der tunnel nicht ins lan reicht.
ansonsten genauso eine gute layer3-4 fw wie cisco asa etc. dabei ist r&s schon seit jahren eine koryphäe bei highend layer7-app-routern im tiefen netz... aber ka, obs auf die 350 eur soho-lancoms abgefärbt hat (im prinzip ein linux mit layer7filtermodul).
persönlich habe ich bei mir im lan alles auf https umgestellt. die einzige erlaubte verbindung aus dem lan ins www ist ssl (ok, ich zocke nicht ;) nur eine einzige https-filterregel in meinen clients (bzw. pro anwendung! erw. windows-fw rockt, wirklich!), der gateway-router ist eh einseitig offen... firewalling ist ein mehrstufiges konzept! es fängt immer am client im netz an, dem schwächsten teilnehmer...
genauso wie der client-pc muss auch JEDER server im netz eigens firewalled sein. damit der server _niemals_ von sich aus verbindungen initiiert. DMZ allein reicht nicht ;)
PPPS: ich halte nichts von mitm per ssl-inspection!

Auf die ganzen anderen Punkte gehe ich jetzt nicht ein...Es ist Freitag, ich bin im HomeOffice...keine Lust....Aber ich bezweilfe das dasdie Erste Wahl bei den Meisten hier sein wird. Im Gegeteil! Scheinbar schwimmst du da etwas auf der Buttermilch.

Warum sollte ich das Modem etc den ISP überlassen? Völliger Käse den du da erzählst....Siehe Speedport mit Sicherheitslücken, die lange nicht gefixt worde sind.

Wenn ich mir das Modemn + FW selbst kaufe, habe ich genauso Garantie / Gewährleistung. Du scheinst gar nicht zu wissen, wie schwer es sein kann, bei einem ISP ein Austauschgerät zu bekommen.

Dieschlagen die nämlich erstmal sämtlichen Mist vor
- Neugestartet
- LAN Kabel tauschen
- DSL Kabel tauchen
- Oh...wir setzen mal den Port im Verteiler zurück
- Factory Reset
und dann....und wirklich erst dan....bkeommst du mit viel Glück ein anderes Gerät.

die fritzbox wird in den meisten fällen erste wahl sein, als zugangsrouter wegen des modems zum isp-netz.
daran muss man auch nichts ändern oder experimentieren mit fremdgeräten.
natürlich kann jeder die fritte in den bridgemodus konfen, wenn man dahinter doch noch einen teureren router anbinden möchte - oder man fährt doppel-nat und hat quasi gratis eine dmz zuhause...
aber insbesondere voip sollte man auf der fritzbox lassen! für peace of mind, weil diese eine ständige stateful-verbindung _ausgehend_ zum isp boarder-session-controller aufrecht erhält. sprich, die fritte hat _keinen_offenen port für voip zuhause, sondern alle "anrufe" werden vom isp über das boarder-gateway zu deiner fritte weitergeleitet über die bestehene verbindung (!). nach außen hin sehen damit alle ports firewalled aus - und man kann sich um wichtigeren kram kümmern als herumdoktorn an voip..
kaskadiert man hinter der fritze noch einen weiteren router für sein privates lan, sorgt man für eine zuverlässige abschwirmung vom isp-router, ohne großartig am lan zu fummeln. und wenn man paranoid ist nutzt man das fritzbox-wlan nur für gäste...
mfg
ps: dein text langweilt mich.

Wenn dich das langweilt.... warum schreibst du dann hier? Bekommt dir das HomeOffice nicht?

Der Fragesteller wollte Hilfe bzgl Sophos. Aber da dies scheinbar über deinen Horizont hinaus geht und du nur von einer Fritte schwärmst, hast du in diesem Thread eigentlich nichts zu suchen.

Nochmal kurz für dich: er fragt nach Sophos, nicht nach einer Fritzbox ! Das solltet auch du als scheinbarer „Profi“ verstehen

ehrlich gesagt habe ich mich nur etwas lustig gemacht darüber, dass leute eine application firewall als etwas notwendiges erachten ...
dabei ist es viel wichtiger, _wohin_ man verbindungen erlaubt...
grüße