turnschuhit
Goto Top

Firewall (Sophos) - Fritte - Port Chaos

Guten Morgen liebe Kollegen,

da ich mich mit dem Thema Firewall mal wieder auseinander setzen möchte (wozu ich leider sehr selten komme), habe ich im Homelab eine Sophos aufgesetzt mit meiner Fritte davor. Die Sophos ist eine XGS87w mit aktivem Standard Protection Bundle, da ich mich intensiver damit auseinander setzen möchte.

In der Testumgebung habe ich gedacht ich teste es mal mit einer Routerkaskade, da "irgendwie" es ja auch durch die Fritte laufen muss. Das klappt auch soweit...allerdings habe ich das Phänomen, dass die Fritte (Sophos ist Exposed Host) evtl. die Ports falsch übersetzt?

Via Portscanner "teste" ich auf einen offenen Port, IP (der Fritte) ist dynamisch noch, aber alles erstmal Testzwecke.

In dem Beispiel von dem fremden Client, zu Port 30003 der Public IP der Fritte.

Was aber zur Firewall durchgereicht wird ist ein anderer Quellport...dieser wechselt willkürlich, mal Quellport 27064, dann 31054, etc. - das macht ja Probleme bei der Firewall. Zielport ist dann natürlich immer der korrekte. Ich bin hier sehr verwirrt und hoffe man kann nachvollziehen was gemeint ist.

PPPoE wäre natürlich der richtige Weg, mit einem "normalen" Mode, Vigor etc. und natürlich Best Practise denke ich aktuell - logisch. Aber trotzdem verstehe ich nicht ganz wo da diese falsche Übersetzung stattfindet....

In der Fritte habe ich auch schon das Port Forwarding manuell eingerichtet, trotzdem gibt es das "Quell-Port Chaos".

Auf der FritzBox sind auch die VPN-Dienste etc. deaktiviert, das hatte ja auch Probleme in Verbindung mit anderen Firewalls / VPN gemacht...laut der Recherche, aber für das Thema denke ich irrelevant.

Im nächsten Step wenn ich Zeit habe werde ich mal einen Wireshark noch dranhängen an die Fritte, evtl. kann ich da was erkennen, aber vllt. ist das auch einfach ein "blödes Häckchen" was ich total verpennt habe?

Ich habe jetzt erstmal bewusst nicht so viele Fakten niedergeschrieben, da ich fast vermute, dass ich hier grundlegend etwas verdränge...

Bitte nicht gleich steinigen.... face-smile

Vielen Dank schon mal und natürlich einen guten Start in die Woche.

Gruß TurnschuhIT

Content-ID: 7801323887

Url: https://administrator.de/forum/firewall-sophos-fritte-port-chaos-7801323887.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 10.07.2023 um 08:12:10 Uhr
Goto Top
Moin,

der Quell Port ist an der Stelle nicht wirklich relevant. Du solltest deine Regeln anhand des Ziel Ports bauen und Quelle auf "any" lassen.
Bei der Fritte machst du gerade NAT. Daher kommt dieses "Phänomen".

Gruß
Spirit
aqui
aqui 10.07.2023 aktualisiert um 09:14:58 Uhr
Goto Top
Zudem ist es keine gute Idee den Exposed Host zu verwenden. Dann wird alles was auf die Fritzbox einprasselt auch an den WAN Port der Sophos weitergeleitet. Jeder der einmal gesehen hat was an öffentlichen IP Adressen an Traffic im Subsekundentakt eingeht weiss das!
Sowas ist weder aus Performance noch aus Security Sicht besonders intelligent. face-sad
Das wäre es wenn man dediziert immer nur wirklich das weiterreicht an die Firewall was man auch benötigt.

Alles Weitere zum Thema Router Kaskaden findest du, wie immer, HIER!
Spirit-of-Eli
Spirit-of-Eli 10.07.2023 um 09:16:53 Uhr
Goto Top
Zitat von @aqui:

Zudem ist es keine gute Idee den Exposed Host zu verwenden. Dann wird alles was auf die Fritzbox einprasselt auch an den WAN Port der Sophos weitergeleitet. Jeder der einmal gesehen hat was an öffentlichen IP Adressen an Traffic im Subsekundentakt eingeht weiss das!
Sowas ist weder aus Performance noch aus Security Sicht besonders intelligent. face-sad
Das wäre es wenn man dediziert immer nur wirklich das weiterreicht an die Firewall was man auch benötigt.

Alles Weitere zum Thema Router Kaskaden findest du, wie immer, HIER!

Naja, bis auf das die Fritte damit alles weiter leitet, ist es das selbe Scenario als wenn die Sophos im Netz hängt.
Wenn dann ist das hier ein Performace impact.
TurnschuhIT
TurnschuhIT 10.07.2023 aktualisiert um 09:44:43 Uhr
Goto Top
Moin Spirit,

danke für die Info. (leider habe ich die 2 neuen Posts zu spät gesehen...)

Sprich Quellport 1:65.535 auf Zielport 30003 ?

Die Portfreigabe klappt so, aber ich habe das Problem (deswegen eigentlich ein Hintergrundgedanke von mir), dass z. B. bei der Sophos das User Portal von außen über die 4443 erreichbar sein soll, auch aus dem WAN und über die Public IP der Fritte. Allerdings sehe ich in keinem Log der Firewall (Fritte ist da ja leider sehr eingeschränkt) was mit diesen Anfragen passiert, es ist fast so als kommt nichts bei der Sophos an...da werde ich evtl. doch mal mit Wireshark ran müssen...

Port 30003 geht durch...aber da das User Portal ja nichts mit dem LAN, DMZ etc. erstmal zu tun hat verstehe ich noch nichts ganz wo das Problem liegen soll. Aus dem LAN heraus ist es natürlich aufrufbar über die interne LAN IP....

Bei der Sophos kann man ja unter Verwaltung --> Appliance Zugriff relativ klar angeben von welchem Netz aus das User Portal erreichbar sein soll. Unter Admin- und Benutzereinstellungen ja den Port, testweise habe ich den auf 4443 gestellt. Neustarts, Updates, etc. auch alles aktuell und getestet....

Evtl. hatte jemand das gleiche Problem mit der Sophos, denn irgendwo mache ich noch einen oder mehrere Fehler, daher sehe ich da auch noch keine Chance, dass der VPN Verkehr klappen wird.

Zusätzlich...
Was ich nicht verstehe...ich habe ja auch testweise das Port Forwarding händisch angelegt auf der Fritte ohne Exposed Host, allerdings gab es da auch immer Wirr Warr bei der Quell IP. Normalerweise sollte doch.

PublicIP: 30003 --> Fritte Portforwarding 30003 auf 30003 --> Sophos Port 30003 ankommen...

Nachtrag2:

Vermutlich scheitere ich an dem Punkt bei der Sophos...testweise habe ich den Exposed Host wieder rausgenommen und das Port Forwarding manuell eingerichtet. Kennt zufällig jemand dieses Häckchen bei den Sophos oder muss das per Firewall-Regel gebaut werden? Vielen Dank nochmal für den Link!


Gruß TurnschuhIT
2
1
Lochkartenstanzer
Lochkartenstanzer 10.07.2023 um 10:06:51 Uhr
Goto Top
Moin,

Laß doch die Fritte einfach auf dem Interface zur Sophos mitsniffen (Stichwort capture) . Dann siehst Du was zur Sophos geht und was die Sophos meldet.

lks
Crusher79
Crusher79 10.07.2023 um 10:39:35 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Naja, bis auf das die Fritte damit alles weiter leitet, ist es das selbe Scenario als wenn die Sophos im Netz hängt.
Wenn dann ist das hier ein Performace impact.

Sehe ich auch so. Sophos HW mit OPNsense. Im Heimbetrieb konnte ich da aber auch keien großartigen einbußen feststellen.

Sicherheit: Der Durchlauferhitzer hat dann doch seine Daseinsberechtigung? In anderen Threads kamen wir doch mal überein, dass Fw nicht viel bringt - laut Lager A. Die in B waren wieder anderer Meinung face-big-smile Bin da auch gerade etwas verwirrt, hatte nicht auch @aqui bei Sind oder Unsinn eher gegen die Doppel-Fw argumentiert?

Klar muss nur sein dass das vermeintliche Spielzeug hinter der Fritte im echten Internet ist. Hebel man da nicht großartig viel aus, gut die Firewall eig. dass, was sie tun soll. Sehe da als Exposed Host nicht so das Problem.
aqui
aqui 10.07.2023 aktualisiert um 11:24:37 Uhr
Goto Top
bei der Sophos das User Portal von außen über die 4443 erreichbar sein soll
Vernünftige Admins nutzen dafür immer ein VPN! Aber egal...
Üblicherweise ist in Firewalls der GUI Zugang über das WAN Interface aus guten Gründen deaktiviert. Das musst du erst in den Security Settings des Systems erlauben.

Was die Frage Doppel FW angeht lässt sich das in manchen Szenarien mit z.B. Zwangsroutern usw. oftmals ja nicht vermeiden. Technisch besser ist aber immer die Verwendung eines NUR Modems.
In solchen Kaskaden geht es dann aber auch darum unnötigen Traffic zu vermeiden und nur das weiterzuleiten was man wirklich will oder muss. Letzlich kann das aber jeder selber entscheiden...
Spirit-of-Eli
Spirit-of-Eli 10.07.2023 um 11:19:41 Uhr
Goto Top
Das User SelfService Portal fürs VPN ist bei Sophos immer public im Netz wenn dies nicht abgeschaltet wird.
BlueSkillz
BlueSkillz 10.07.2023 aktualisiert um 12:34:03 Uhr
Goto Top
Zitat von @aqui:

Zudem ist es keine gute Idee den Exposed Host zu verwenden. Dann wird alles was auf die Fritzbox einprasselt auch an den WAN Port der Sophos weitergeleitet. Jeder der einmal gesehen hat was an öffentlichen IP Adressen an Traffic im Subsekundentakt eingeht weiss das!
Sowas ist weder aus Performance noch aus Security Sicht besonders intelligent. face-sad
Das wäre es wenn man dediziert immer nur wirklich das weiterreicht an die Firewall was man auch benötigt.

Alles Weitere zum Thema Router Kaskaden findest du, wie immer, HIER!

Naja, dafür nutzt man die Firewall doch, damit der Traffic von außen blockiert wird, dann kann man sich diese auch schenken und nur eine Fritzbox nutzen. Die Segmentierung kann dann eine L3-Switch übernehmen. Also ich würde immer bei einer Fritzbox die Firewall als Exposed-Host eintragen, damit die Fritzbox in den meisten Fällen schon mal als Fehlerquelle ausgeschlossen werden kann.
commodity
commodity 10.07.2023 aktualisiert um 18:45:39 Uhr
Goto Top
Zitat von @aqui:
bei der Sophos das User Portal von außen über die 4443 erreichbar sein soll
Vernünftige Admins nutzen dafür immer ein VPN! Aber egal...
Üblicherweise ist in Firewalls der GUI Zugang über das WAN Interface aus guten Gründen deaktiviert. Das musst du erst in den Security Settings des Systems erlauben.
Das "User Portal" der Sophos ist nicht die GUI. Die GUI heißt "WebAdmin" und ist nicht von außen erreichbar. Das User Portal dient u.a. dazu VPN-Konfigurationen zu "verteilen" - was natürlich aus Sicht der Security eine bemerkenswert schwachsinnige Idee ist, aber ungeheuer bequem.

An den TO:
da ich mich mit dem Thema Firewall mal wieder auseinander setzen möchte
Das Thema lernt man nicht an einer Sophos. Die Sophos ist a) ziemlich mau und b) lernt man bei Sophos halt, wie es Sophos macht. Auf Verständnis oder die Gewinnung von Netzwerkkenntnissen ist das Gerät nicht ausgerichtet. Da hilft i.Ü. auch nicht die Sophos-Zertifizierung, wie ich an einer SG kürzlich feststellen durfte, deren vorheriger "Admin" ein zertifizierter Sophos-Partner war. Ich erspare Euch die Details - die Einrichtung war zum würgen (besonders lustig waren die Einträge mit dem Kommentar "Vorgabe von CGM" aber das ist ein Insider). Nach jetzt drei Monaten Sophos bin ich zu dem Ergebnis gekommen, dass es dem Hersteller vor allem darum geht, eine einfache Usability zu schaffen, besonders für VPN. Um Sicherheit und insbesondere Netzwerk geht es da eher an zweiter Stelle.
Im Unternehmensbereich gibt es sicher auch pfiffige UTM-Lösungen, mit Watchdogs u.ä. - die Sophos gehört definitiv nicht dazu. Die ist mehr für den "Händler-Admin" geschaffen, der Marge gern macht, ohne selbst viel einrichten zu müssen. Ja, und bevor einige weinen: Die Sophos ist nicht ganz schlecht face-smile Mit Securepoint geht es definitiv noch eine Schublade tiefer.

Firewalling lernst Du nativ unter Linux oder etwas angenehmer und viel breiter angelegt auf einer PfSense oder OPNsense. Die haben zwar kaum bis keine sog. "UTM-Features" - die meist aber ohnehin nur Snakeoil sind. Selbst wenn Du SSL-Interception ua. toll findest, solltest Du zunächst die Grundfunktionen erlernen und die wiederum an einem tauglichen Gerät.

Zu Deinem Quellport-Problem:
Alle Programme verbinden sich von immer wieder unterschiedlichen Quellports, das ist ganz normal und das kannst Du nicht firewallen. Du Firewallst im Regelfall ohnehin nicht von außen nach innen, sondern von innen nach außen (von innen nach innen lasse ich an dieser Stelle mal weg) und da kannst Du dann stets die Zielports nehmen. Dort und auch in den wenigen Fällen, wo Du von außen nach innen regelst (und nicht alles blockst) kannst Du die Zugriffe im besten Falle auf die Absender-IP begrenzen. Die kann auch dynamisch sein, wenn die Firewall dynamische Adressen auflösen kann (was die Sophos bestimmt kann, habe ich aber noch nicht eingerichtet). Ein 30 EUR Mikrotik kann das jedenfalls.

Grundprinzip ist aber, wie gesagt, von außen möglichst nichts reinzulassen, sondern solche erforderlichen Zugriffe über VPN zu leiten. Ausnahme sind natürlich echte Serverdienste wie Web, Mail, Cloud, die von außen erreichbar sein müssen, dann aber in eine DMZ gehören. Die Kollgen haben auf das Thema VPN ja bereits hingewiesen.

Last but not least:
auseinander setzen möchte (wozu ich leider sehr selten komme)
Den Widerspruch hast Du sicher selbst bemerkt. Entweder Du willst etwas lernen - dann nimmst Du Dir Zeit. Oder Du willst ein bisschen rumspielen und Dir später einreden, Du verstehst jetzt Firewalling - dann machst Du das mal so ab und zu... Dafür reicht dann natürlich die Sophos alle mal aus. Dein Netz wird dann aber eher unsicherer als es ohne Firewall und nur mit Fritzbox ist (war).

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 10.07.2023 um 19:02:38 Uhr
Goto Top
Also alleine für den Lernerfolg macht eine Sense 1000x mehr Sinn als ne Sophos.
Den Kram bei denen steigt eh keiner einfach durch da alles hinter eine klicki bunti GUI versteckt ist.

Bei der Sense kannst du dir so ziemlich es jeden einzelne Modul einer Sophos selbst nachbauen. Dann wird dir klar wie sowas funktioniert.
BlueSkillz
BlueSkillz 11.07.2023 um 00:19:28 Uhr
Goto Top
Zitat von @commodity:

Zitat von @aqui:
bei der Sophos das User Portal von außen über die 4443 erreichbar sein soll
Vernünftige Admins nutzen dafür immer ein VPN! Aber egal...
Üblicherweise ist in Firewalls der GUI Zugang über das WAN Interface aus guten Gründen deaktiviert. Das musst du erst in den Security Settings des Systems erlauben.
Das "User Portal" der Sophos ist nicht die GUI. Die GUI heißt "WebAdmin" und ist nicht von außen erreichbar. Das User Portal dient u.a. dazu VPN-Konfigurationen zu "verteilen" - was natürlich aus Sicht der Security eine bemerkenswert schwachsinnige Idee ist, aber ungeheuer bequem.

An den TO:
da ich mich mit dem Thema Firewall mal wieder auseinander setzen möchte
Das Thema lernt man nicht an einer Sophos. Die Sophos ist a) ziemlich mau und b) lernt man bei Sophos halt, wie es Sophos macht. Auf Verständnis oder die Gewinnung von Netzwerkkenntnissen ist das Gerät nicht ausgerichtet. Da hilft i.Ü. auch nicht die Sophos-Zertifizierung, wie ich an einer SG kürzlich feststellen durfte, deren vorheriger "Admin" ein zertifizierter Sophos-Partner war. Ich erspare Euch die Details - die Einrichtung war zum würgen (besonders lustig waren die Einträge mit dem Kommentar "Vorgabe von CGM" aber das ist ein Insider). Nach jetzt drei Monaten Sophos bin ich zu dem Ergebnis gekommen, dass es dem Hersteller vor allem darum geht, eine einfache Usability zu schaffen, besonders für VPN. Um Sicherheit und insbesondere Netzwerk geht es da eher an zweiter Stelle.
Im Unternehmensbereich gibt es sicher auch pfiffige UTM-Lösungen, mit Watchdogs u.ä. - die Sophos gehört definitiv nicht dazu. Die ist mehr für den "Händler-Admin" geschaffen, der Marge gern macht, ohne selbst viel einrichten zu müssen. Ja, und bevor einige weinen: Die Sophos ist nicht ganz schlecht face-smile Mit Securepoint geht es definitiv noch eine Schublade tiefer.

Firewalling lernst Du nativ unter Linux oder etwas angenehmer und viel breiter angelegt auf einer PfSense oder OPNsense. Die haben zwar kaum bis keine sog. "UTM-Features" - die meist aber ohnehin nur Snakeoil sind. Selbst wenn Du SSL-Interception ua. toll findest, solltest Du zunächst die Grundfunktionen erlernen und die wiederum an einem tauglichen Gerät.

Zu Deinem Quellport-Problem:
Alle Programme verbinden sich von immer wieder unterschiedlichen Quellports, das ist ganz normal und das kannst Du nicht firewallen. Du Firewallst im Regelfall ohnehin nicht von außen nach innen, sondern von innen nach außen (von innen nach innen lasse ich an dieser Stelle mal weg) und da kannst Du dann stets die Zielports nehmen. Dort und auch in den wenigen Fällen, wo Du von außen nach innen regelst (und nicht alles blockst) kannst Du die Zugriffe im besten Falle auf die Absender-IP begrenzen. Die kann auch dynamisch sein, wenn die Firewall dynamische Adressen auflösen kann (was die Sophos bestimmt kann, habe ich aber noch nicht eingerichtet). Ein 30 EUR Mikrotik kann das jedenfalls.

Grundprinzip ist aber, wie gesagt, von außen möglichst nichts reinzulassen, sondern solche erforderlichen Zugriffe über VPN zu leiten. Ausnahme sind natürlich echte Serverdienste wie Web, Mail, Cloud, die von außen erreichbar sein müssen, dann aber in eine DMZ gehören. Die Kollgen haben auf das Thema VPN ja bereits hingewiesen.

Last but not least:
auseinander setzen möchte (wozu ich leider sehr selten komme)
Den Widerspruch hast Du sicher selbst bemerkt. Entweder Du willst etwas lernen - dann nimmst Du Dir Zeit. Oder Du willst ein bisschen rumspielen und Dir später einreden, Du verstehst jetzt Firewalling - dann machst Du das mal so ab und zu... Dafür reicht dann natürlich die Sophos alle mal aus. Dein Netz wird dann aber eher unsicherer als es ohne Firewall und nur mit Fritzbox ist (war).

Viele Grüße, commodity

Ich habe über Securepoint nur etwas flüchtig gehört. Hast du Erfahrungen mit dem Firewall-Hersteller gemacht?
Crusher79
Crusher79 11.07.2023 um 07:31:48 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Also alleine für den Lernerfolg macht eine Sense 1000x mehr Sinn als ne Sophos.
Den Kram bei denen steigt eh keiner einfach durch da alles hinter eine klicki bunti GUI versteckt ist.

Bei der Sense kannst du dir so ziemlich es jeden einzelne Modul einer Sophos selbst nachbauen. Dann wird dir klar wie sowas funktioniert.

Räusper. Aber die Sophos Hardware macht Spaß. face-wink Hab selber eine kleine mit OPNsense. Schraubt man die auf, ist da eine "normale" SSD drin. Alles schön aufgeräumt. In Kombination wird das ganz nett.
Spirit-of-Eli
Spirit-of-Eli 11.07.2023 um 07:59:12 Uhr
Goto Top
Zitat von @Crusher79:

Zitat von @Spirit-of-Eli:

Also alleine für den Lernerfolg macht eine Sense 1000x mehr Sinn als ne Sophos.
Den Kram bei denen steigt eh keiner einfach durch da alles hinter eine klicki bunti GUI versteckt ist.

Bei der Sense kannst du dir so ziemlich es jeden einzelne Modul einer Sophos selbst nachbauen. Dann wird dir klar wie sowas funktioniert.

Räusper. Aber die Sophos Hardware macht Spaß. face-wink Hab selber eine kleine mit OPNsense. Schraubt man die auf, ist da eine "normale" SSD drin. Alles schön aufgeräumt. In Kombination wird das ganz nett.

Über eine Sense auf Sophos HW oder auch Watchguard HW würde ich auch kein schlechtes Wort verlieren wollen 😉.
commodity
commodity 11.07.2023 aktualisiert um 08:57:53 Uhr
Goto Top
Zitat von @BlueSkillz:
Ich habe über Securepoint nur etwas flüchtig gehört. Hast du Erfahrungen mit dem Firewall-Hersteller gemacht?
Ja, und nicht nur ich face-big-smile

Ich habe auch eine im Zugriff. Wenn Du was wissen möchtest, gerne PM.

Viele Grüße, commodity
aqui
aqui 23.07.2023 um 11:12:20 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!