michigrossmann
Goto Top

Fritz Push up Service vor Sophos UTM 9

Hallo,

ich habe mal folgende Frage:

Ich habe eine Fritz Box 7490 die vor einer Sophos UTM 9 Firewall ist.
Seit ich diese Konfig so habe, funktionierte der Push up Service (Mailversand) nicht mehr, da die Fritzbox nicht mehr an meinen E-Mail Server im Internen Netz kommt.

Was ja soweit richtig ist.

Wenn ich jetzt eine Firewall (D-Nat) Regel erstelle, wo die Fritzbox über das interne Netz auf den Server darf, dann wäre das eine Sicherheitslücke oder sehe ich das falsch?

Daher habe ich jetzt folgende Firewallregel erstellt.
unbenannt

Funktionieren tu es jetzt.
Jedoch bin ich mir nicht sicher, ob dies so richtig ist?

Aber is weiß auch ehrlich gesagt nicht ganz, wie ich das noch besser eingrenzen könnte.
Bzw. nur die Fritzbox freigeben könnte von außen.

Vielen Dank im Voraus.

Gruß Michael

Content-ID: 333409

Url: https://administrator.de/forum/fritz-push-up-service-vor-sophos-utm-9-333409.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

certifiedit.net
certifiedit.net 27.03.2017 um 23:51:49 Uhr
Goto Top
Hallo Michael,

ja. wäre es. Wobei man vor einer Sophos optimalerweise auch nur ein Modem hat.

VG
108012
108012 27.03.2017 um 23:56:56 Uhr
Goto Top
Hallo,

Ich habe eine Fritz Box 7490 die vor einer Sophos UTM 9 Firewall ist.
Internet --- Fritz!Box --- Sophos UTM9 --- LAN
Dann kann die AVM FB doch einfach Ihre Meldung absetzen und verschicken, oder?

Seit ich diese Konfig so habe, funktionierte der Push up Service (Mailversand) nicht mehr, da die Fritzbox nicht mehr an meinen
E-Mail Server im Internen Netz kommt.
Die versendet das aber auch via ISP nach vorne raus und warum soll die AVM FB denn auch den Server hinter dem SPI/NAT
der Sophos UTM9 benutzen.

Was ja soweit richtig ist.
Wenn ich jetzt eine Firewall (D-Nat) Regel erstelle, wo die Fritzbox über das interne Netz auf den Server darf, dann wäre das
eine Sicherheitslücke oder sehe ich das falsch?
Sind denn vorne an der AVM FB auch Ports geöffnet? Es wäre auch jeden Fall ein Einfallstor bzw. völlig unsinnig denn hinter
die zweite Lösung (Sophos) soll im Fall der Fälle ja eigentlich nichts kommen.

Kauf doch ein reines Modem und setze das vor die Sophos UTM 9 oder lass sie einfach die Mail vom Push Service absetzen
und gut ist es. Also wegen der PushMail würde nicht einen Port öffnen an einer Firewall oder einem Router.

Gruß
Dobby
MichiGrossmann
MichiGrossmann 28.03.2017 um 10:13:49 Uhr
Goto Top
Hallo,

und danke erstmal für Eure Antworten.

Das mit dem Modem ist mir bewusst. Jedoch nutze ich diese Geschichte rein privat und würde es mit der vorhandenen Hardware gerne abdecken. Vor allem macht die Fritz Box auch noch VOIP.

Ports sind auf der Fritzbox für die Sophos freigeben. Denn trotz Extended Host muss man die Ports nochmals in der Fritzbox extra freigeben. Sinn verstehe ich da keinen aber damit kann ich leben.

Den Server muss die Fritzbox erreichen, da ich einen eigenen Mail Server habe.
Und der Weg über außen ist glaub der bessere wie wenn ich es über intern (ETH) löse, denn da mache ich ja indirekt die Firewall wieder auf wenn ich es mit meinem Laienverständnis betrachte.

Was ich auch nicht verstehe, eigentlich müsste der Weg von außen zu meinem Mailserver offen sein, denn mein Iphone usw. verbinden sich ja auch mit dem Mailserver. Und ich habe folgende Regel freigegeben:
unbenannt

Daher müsste doch der Weg frei sein oder habe ich hier einen Denkfehler?

Oder ist das wirklich so, dass hier der Weg nur von Innen nach außen offen ist?

Seht ihr es eigentlich kritisch wenn ich den SSL SMTP Port freigebe?
Kann ich es evtl. noch besser auf die Fritz Box begrenzen bzw. nur für die Box freigeben?
Habe halt leider keine Feste IP.

Danke im Voraus.

Gruß Michael
Lochkartenstanzer
Lochkartenstanzer 28.03.2017 um 10:21:39 Uhr
Goto Top
Zitat von @MichiGrossmann:

Hallo,

Was ja soweit richtig ist.

Wenn ich jetzt eine Firewall (D-Nat) Regel erstelle, wo die Fritzbox über das interne Netz auf den Server darf, dann wäre das eine Sicherheitslücke oder sehe ich das falsch?


Kannst Du die regel auf die Fritzbox einschränken? Wenn ja, solltest Du das machen.

Ansonsten nimm des Mailserver Deines Anbieters. oder läßt du Dir die Mails direkt per SMTP an Deinen internen Mailserver zustellen? Wenn letzteres der fall ist, kannst Du auch die Fritzbox reinlassen.

lks
MichiGrossmann
MichiGrossmann 28.03.2017 um 11:19:43 Uhr
Goto Top
Hi,

das ist ja die Frage, wie kann ich es am besten auf die Fritz Box einschränken.

Also der Mailserver bzw. Windows Server holt die Mails per PopCon ab.

Gruß Michael
108012
108012 28.03.2017 um 12:58:32 Uhr
Goto Top
Denn trotz Extended Host muss man die Ports nochmals in der Fritzbox extra freigeben. Sinn verstehe ich da keinen aber damit
kann ich leben.
Ich hoffe einmal das Du hier nicht von einem "Exposed Host" sprichst!

Daher müsste doch der Weg frei sein oder habe ich hier einen Denkfehler?
Ja und zwar einen gewaltigen, denn wenn die AVM FB einen exposed host hat und am besten noch für die gesamte AVM FB
und nicht nur den Port der zur Sophos UTM 9 führt, und an der Sophos UTM 9 sind dann auch noch Ports offen, richtig?

Dann kauf doch einfach nur ein Modem und dann passt das auch wieder dann brauchst Du kein SPI & NAT und Firewallregeln
denn dann funktioniert alles auf Anhieb! Überleg mal was man für eine Menge Spam mit Deinem Server verschicken kann?
Wenn da 1 Millionen eMails drüber rausgehen und sich nur 10.000 Leute melden und das kaufen und pro Verkauf/Kauf
verdient man 2 Euro netto, an was weiß ich für einer Ware, dann ist das sicherlich schon ein Anreiz nach solchen offenen
und ungesicherten Mailservern zu suchen, oder?

Oder ist das wirklich so, dass hier der Weg nur von Innen nach außen offen ist?
Nein, das ist nicht so gut, finde ich zumindest! IN einer Firma, mit Firewall, IDS Sensoren und IPS Appliance vor den Servern
und in einer DMZ und mit einem DMZ Radius Server und was weiß ich nicht noch alles für Absicherungen ist das ganz was
anderes als das was Du hier aufbaust. Wenn schon denn packe doch bitte Dein NAS oder Mailserver direkt hinter die AVM
FB und mach dort dann die Ports auf und hinter der Firewall ist dann alles andere. Von mir aus auch ein kleines APU2C4
Board was dann mit einer 120 GB oder 240 GB mSATA und Linux auch schon wieder etwas anderes ist. Und vom Netz der
Sophos aus kann man dann auch wieder auf die DMZ zugreifen.

Seht ihr es eigentlich kritisch wenn ich den SSL SMTP Port freigebe?
Kann ich es evtl. noch besser auf die Fritz Box begrenzen bzw. nur für die Box freigeben?
Als erstes mal den "exposed host" weg! Dann überlegen worauf der Mailserver läuft!?

Habe halt leider keine Feste IP.
DynDNS oder gar NoIP.org oder gleich MyFritz! sind kein Optionen für Dich?

Gruß
Dobby
MichiGrossmann
MichiGrossmann 28.03.2017 um 16:21:50 Uhr
Goto Top
Hallo Dobby,

also ich rede in der Tat von Exposed Host. Sorry habe mich verschrieben.

Und der Exposed Host wird nur auf den Port der Sophos angewendet.
Diese ist auch ausschließlich an der Fritz Box angeschlossen.

Hier mal der grobe Aufbau.

Fritz Box 7490 (Internet+VOIP) -> Sophos UTM -> internes Netz (Windows Server, Mailserver, Webserver, Clients, Drucker, usw.)

Also so wie ich das sehe dürfte hier kein Verkehr an der Sophos vorbeigehen.

DynDNS habe ich eingerichtet.

Ich dachte vielleicht kann ich es auf die MAC Adresse beschränken irgendwie.
So dass wenn die FritzBox von außen kommt, ausschließlich diese durchgelassen wird, da er die MAC Adresse prüft.
Dann müsste doch alles andere geblockt werden oder?

Ich weiß schon, dass es mit einem Modem besser wäre, wird auch sicher irgendwann kommen.
Jedoch habe ich halt auch schon mitbekommen, dass es Schwierigkeiten mit VOIP gibt, wenn die FritzBox im internen Netz hängt.
Daher wollte ich das erstmal so lassen.

Ich mein wenn es für meine Konfig keine gute Möglichkeit gibt, dann schalte ich den Push Service ab und muss halt selber einmal im Monat schauen, ob es Updates oder so gibt.

Gruß Michael
108012
108012 29.03.2017 um 00:24:26 Uhr
Goto Top
Kauf Dir ein reines Modem und einen Cisco Telefonadapter und dann sollte das auch alles Funktionieren.
An der Sophos UTM 9 dann eine DMZ aufsetzen und den WebServer und den MailServer darein setzen und
den Rets dann ins LAN rein. Damit solltest Du gut fahren zumindest besser als jetzt.

Gruß
Dobby
MichiGrossmann
MichiGrossmann 29.03.2017 um 22:54:26 Uhr
Goto Top
Hallo Dobby,

wie gesagt auf lange Sicht ist das auch geplant.

Mir geht es gerade um eine Lösung mit der aktuellen Hardware.

Also ist es nicht möglich den Zugriff auf dem Mailserver rein der Fritz Box zu ermöglichen?

Weil wie schon erwähnt, zur Not mach ich den Port wieder zu und schau manuell auf die Box.

Oder erstelle eine E-Mail Adresse extern.

Gruß Michael
denny86
denny86 22.04.2017 aktualisiert um 16:33:53 Uhr
Goto Top
Hi Michi,

ich würde dir folgenden Weg vorschlagen.

Wenn auf deinem Mailserver ein POPcon läuft, der die Mails holt, dann brauchst du nur von intern nach extern diesen POP3-Port öffnen.

Für den Versand der Mails nutz doch sicherheitshalber die Mail-Protection deiner Firewall wenn du sie schon hast.
Du kannst die Mails von deinem Mailserver via SMTP-Connector an deine Firewall senden.
In der Mail-Protection kannst du dann deinen sendenden Mailserver als "Allowed" einsetzen und als Smarthost deinen Provider (mit Anmeldedaten)
Somit kann NUR dein interner Mailserver Mails versenden, ohne dass ein externer deine UTM als Relay nutzt.

Hier ist keine NAT nötig, welche nur wieder Sicherheitsrisiken bietet!

Für die Veröffentlichung deines Mailservers via HTTPS kannst du die WAF der UTM nutzen. (Web Application Firewall)
Diese prüft gleichzeitig auch auf Viren/Malware in den Anfragen.

@108012:
Ich möchte ja nix zu deinen Fritzbox-Kenntnissen sagen, aber ich nutze viele Fritzboxen als Router VOR der Firewall und dort einen Exposed Host an die WAN der UTM.
Das hat den Sinn, dass man alle Ports auf der UTM nutzen kann. Ist ja nicht umsonst eine "Firewall".
Somit hat die FB den selben Sinn wie ein Modem. face-smile
Lochkartenstanzer
Lochkartenstanzer 22.04.2017 um 16:47:58 Uhr
Goto Top
Zitat von @denny86:

Somit hat die FB den selben Sinn wie ein Modem. face-smile


Es ist ein wesentlicher Unterschied, ob man vor der Firewall ein reines Modem oder eine Fritzbox hat. Die fritzbox bietet für einen Angreifer zusätzliche Ansatzpunkte, die er mt inem Modem nicht hätte. Weiterhin muß man aufpassen, daß die Fritzbox trotz exposed hst Dir nciht pakete gschnappt, die eigentlch an den exposed host sollten. bestes beispiel dafür ist VPN.

lks
denny86
denny86 23.04.2017 um 00:21:00 Uhr
Goto Top
Punkt für dich was die Angreifbarkeit angeht. face-smile

Bei VPN hatte ich noch nie Probleme, weil ich den SSL VPN Port immer umbiege, da der Standard Port TCP 443 für WAF etc. genutzt wird.

IPsec UDP 500 und 4500 werden normal nicht geblockt und RED 3400 und 3410 auch ned.

Als Alternative kann man die FB auch als Modem konfigurieren, so dass die FW die Einwahl via PPPoE macht. Somit gäbe es keinen direkten Zugriff auf die FB und der Exposed Host fiele auch weg...
108012
108012 23.04.2017 um 14:30:46 Uhr
Goto Top
@denny86

Ich möchte ja nix zu deinen Fritzbox-Kenntnissen sagen,
Dann lass es bitte auch, den ein Exposed host kann nicht nur für einen Port sondern auch ganz schnell für die gesamte
AVM FB erstellt werden und dann ist alles was hinter der AVM FB (außer der Firewall) auch via Internet ohne SPI/NAT
erreichbar, und das will sicherlich keiner haben. Wenn dort nur die Firewall dahinter steht, ist das auch nur die letzte
Möglichkeit bzw. sollte sie sein, denn "nur" Ports und Protokolle weiterleiten ist ja auch möglich, ganz ohne "Exposed Host".

aber ich nutze viele Fritzboxen als Router VOR der Firewall und dort einen Exposed Host an die WAN der UTM.
Man kann die AVM FB aber sicherlich auch im so genannten "bridged mode" als reines Modem betreiben.

Das hat den Sinn, dass man alle Ports auf der UTM nutzen kann. Ist ja nicht umsonst eine "Firewall".
Sinn macht es meiner Meinung nach nur in einigen Ausnahmefällen und sonst gar nicht!

Somit hat die FB den selben Sinn wie ein Modem.
Nein das ist nur im bridged Modus der Fall und nicht bei Verwendung des Exposed Host!

Gruß
Dobby
denny86
denny86 23.04.2017 aktualisiert um 15:54:57 Uhr
Goto Top
Hi Dobby,

ich sehe eine Fritzbox mit aktiver Firewall lediglich als zusätzliche Quelle bei Fehlersuche.

Meiner Meinung nach hat an einer Fritzbox kein anderes Gerät außer Telefonie etwas zu suchen, wenn man eine anständige Firewall als Netztrennung dahinter hat!

Somit macht ein Exposed Host in meinen Augen durchaus Sinn, da das ja die eigentliche Arbeit der FW dahinter ist!

Wenn ich die FW in der FB aktiv habe und eine andere dahinter hab ich bei Portfreigaben, NAT etc immer doppelte Arbeit! Das ist in meinen Augen sinnlos!

Außerdem verfehlen wir mit dieser Diskussion gerade das eigentliche Thema von MichiGrossmann aus den Augen!

Meine Empfehlung aus MS und Sophos Sicht ist daher:
Die FW als Gateway (ob davor FB oder Modem ist ja relativ!) von intern raus den Port 110/995 (POP3 bzw. POP3-SSL) bzw 143/995 (IMAP bzw. IMAP-SSL) zu öffnen für POPcon.
Für SMTP würde ich die Mail-Protection als Proxy nutzen und für OWA/Push etc. die WAF.
Wenn du POP3 ohne SSL nutzt, kannst du auch den Proxy mit Vorabholung und Virenscan nutzen.

Gruß denny
certifiedit.net
certifiedit.net 23.04.2017 um 16:35:57 Uhr
Goto Top
Hi denny,

das geht aber auch am Thema vorbei, denn MG wollte FB Push nachrichten hinter(!) der UTM/SG empfangen.
denny86
denny86 23.04.2017 um 20:08:51 Uhr
Goto Top
Zitat von @certifiedit.net:

Hi denny,

das geht aber auch am Thema vorbei, denn MG wollte FB Push nachrichten hinter(!) der UTM/SG empfangen.

Hmm ok das hab ich dann falsch verstanden. face-smile

Dann werde ich meine Denkweise umstellen:

Ich verstehe das so:
Die FB VOR der UTM versendet Push-Nachrichten, welche direkt an den Mailserver HINTER der UTM ankommen sollen. Richtig?

Imho nutzt die FB den einfachen SMTP-Dienst zum Versand von Push-Benachrichtigungen.

Das heißt es gibt 2 einfache Möglichkeiten:

1. du legst eine DNAT-Regel an, welche dir einfach das SMTP-Protokoll der FB (TCP Port 25) an den internen Mailserver durchreicht. (Wäre ziemlich sicher, da nur von der Quell-IP an Ziel-IP gesendet werden darf)

2. du nutzt die Sophos als Mail-Relay und lässt von der FB direkt an die IP der UTM senden. Diese widerum relayt das an den internen Mailserver und fertig.

In beiden Fällen müsste die FB die Mails nicht erst nach extern senden und man müsste sie nicht wieder mit dem POPcon abholen.

Um was für einen Mailserver handelt es sich denn überhaupt? Denke nicht, dass hier mit einem MS Exchange gearbeitet wird. face-big-smile
108012
108012 23.04.2017 um 21:30:44 Uhr
Goto Top
Die FB VOR der UTM versendet Push-Nachrichten, welche direkt an den Mailserver HINTER der UTM ankommen sollen. Richtig?
Nein! Denn die AVM FB soll über den Mailserver hinter der Sophos die Pushnachrichten versenden.

Gruß
Dobby
denny86
denny86 24.04.2017 um 20:13:56 Uhr
Goto Top
Dann ist mein Ansatz mit dem Proxy dennoch nicht verkehrt, weil in dem Fall die FB direkt über dem Proxy die Mails an den Provider relayt.

Somit würde ein unnötiger Konfigurationsaufwand sowie ein HOP vermieden. face-smile
MichiGrossmann
MichiGrossmann 24.04.2017 um 22:25:44 Uhr
Goto Top
Hallo,

erstmal Vielen Dank dass ihr euch wegen mir den Kopf zerbrecht! face-wink
Und streiten braucht Ihr euch nicht wegen mir! face-smile

Also zu dem Exposed Host muss ich erstmal sagen, dass ich nun in Erfahrung gebracht habe, dass nicht automatisch alle Ports offen sind!
Man muss in der Tat die selben Porst nochmal einzeln öffen und hat wie hier schon erwähnt, die doppelte Arbeit.
Den Sinn habe ich nicht ganz verstanden. Daher habe ich bei AVM nachgefragt. Und der Support meinte, dass es so gewollt ist und dies als eine Art zusätzlicher Sicherheit gedacht ist. So dass nicht jemand ausversehen den ganzen Verkehr aufmacht. Wie schon gesagt, dann erschließt sich mir der Sinn nicht wirklich, warum es diese Funktion gibt.

Also hinter der UTM ist ein Windows Exchange 2007 Mailserver.

Das mit der Mail Protection in der UTM habe ich mir auch schon überlegt. Jedoch habe ich schon öfters gelesen, dass der Betrieb mit einer DYNDNS Adresse eher ungeeignet ist, bzw. davon abgeraten wird.

Ich dachte vielleicht kann ich irgendwie mit einer Regel sagen, dass nur die Fritzbox die Mails versenden darf.
Evtl. das die MAC Adresse geprüft wird oder so?
Aktuell habe ich die Regel drin.
dnat regel

Oder kann ich die Regel so lassen?

Danke Euch im Voraus.

Gruß Michael
denny86
Lösung denny86 26.04.2017 um 10:00:13 Uhr
Goto Top
Hi Michael,

Also zu dem Exposed Host muss ich erstmal sagen, dass ich nun in Erfahrung gebracht habe, dass nicht automatisch alle Ports offen sind!

Ok dann verstehe ich aber denn Sinn eines Exposed Host nicht. Denn der soll ja alles öffnen!

Das mit der Mail Protection in der UTM habe ich mir auch schon überlegt. Jedoch habe ich schon öfters gelesen, dass der Betrieb mit einer DYNDNS Adresse eher ungeeignet ist, bzw. davon abgeraten wird.

Über DYNDNS gibts geteilte Meinung. Mal funktionierts fehlerfrei. Mal nicht...

Ich dachte vielleicht kann ich irgendwie mit einer Regel sagen, dass nur die Fritzbox die Mails versenden darf.
Evtl. das die MAC Adresse geprüft wird oder so?

Du kannst in deiner Netzwerkdefinition eine MAC hinterlegen, welche dann geprüft wird.

Hier musst du aber dann die IP deiner FB verwenden und keinen DNS-Host.
Die MichiGrossmann.de ist ja in dem Fall nicht die IP deiner FB.

Wenn du keine WAF machen willst, kannst bleibt dir nur die NAT.
Wenn du auf Nr. Sicher gehen willst, kannst du den Haken für die automatische FW-Regel rausnehmen und die Regel manuell erstellen. Aber das ist m.E. Kosmetik.

So ein Tipp am Rande:
Wenn Quell- und Zielport identisch sind, kannst du den Zielport leer lassen. Denn dann wird keine Portumleitung gemacht sondern eine Portweiterleitung. face-wink

Grüße denny
MichiGrossmann
MichiGrossmann 15.05.2017 um 22:15:40 Uhr
Goto Top
Hi Denny,

sorry erstmal, dass ich jetzt erst antworte aber war viel los.

Das mit dem Exposed Host verstehe ich auch nicht, aber naja.

Meinst du die interne oder externe IP Adresse von der Fritzbox?
Wenn du die externe meinst, dann muss ich ja die michigrossmann.de nehmen, da ich keine feste habe.

Achja läuft es eigentlich eher zuverlässig mit dyndns oder eher nicht?
Denn ich bekomme zur Zeit auf meine Info Adressen soviel Spam. Daher würde ich es schon gern einrichten.

Danke für deinen Tipp.

Gruß Michael