der4hnungslose
14.06.2023
view2205
view8
0
Goto Top

Internetzugriff in Sophos SG einschränken

FrageNetzwerkeFirewall
Hallo liebe Community,

ich stehe vor der Herausforderung, den Internetzugriff für etwa 10 Geräte in meinem Netzwerk über eine Sophos SG Firewall zu sperren. Allerdings möchte ich sicherstellen, dass die Windows-Updates weiterhin durchkommen. Hat jemand von euch Erfahrung oder eine Idee, wie ich das am besten umsetzen kann?

Vielen Dank im Voraus für eure Hilfe!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 7521574588

Url: https://administrator.de/contentid/7521574588

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
6376382705
6376382705 14.06.2023 um 12:16:50 Uhr
Goto Top
Hi.

Internetzugriff für etwa 10 Geräte sperren
So weit, so fein.

eine Idee
Offline WSUS, der die Updates online einmalig abholt und lokal an die Clients verteilt.

Gruß
radiogugu
radiogugu 14.06.2023 um 12:18:43 Uhr
Goto Top
Mahlzeit.

TCP Ports 80 und 443 auf die im als Lösung akzeptierten Forenbeitrag stehenden URL sollte passen.

https://learn.microsoft.com/en-us/answers/questions/457840/what-are-the- ...

Das lässt sich ja schnell testen > Eine Windows 10 Maschine installieren und nach Updates suchen face-smile

Gruß
Marc
Der4hnungslose
Der4hnungslose 14.06.2023 um 12:41:07 Uhr
Goto Top
Hey @radiogugu,

allerdings wo bzw. wie stell ich ein das zum einen alles geblockt werden soll für die bestimmten Geräte und zum anderen diese eine Ausnahme existiert und greift?
radiogugu
radiogugu 14.06.2023 aktualisiert um 13:19:13 Uhr
Goto Top
Zitat von @Der4hnungslose:
allerdings wo bzw. wie stell ich ein das zum einen alles geblockt werden soll für die bestimmten Geräte und zum anderen diese eine Ausnahme existiert und greift?

Alias ist das Stichwort.

Den zehn Geräten wird eine IP via DHCP zugewiesen und diese IPs kommen in eine Objektgruppe.

Eine weitere Objektgruppe besteht aus den WSUS URLs.

Diese Objektgruppen kommen dann in zwei Regeln vor.

Eine Regel erlaubt den Zugriff auf das WAN auf den Ports 80 und 443 auf die WSUS URLs von der PC Objektgruppe.

Darunter kommt eine Block Regel für die PC Objektgruppe auf "any" was Verkehr ins WAN anbelangt.

Damit greift die erste Regel, wenn die Ports 80 oder 443 auf eine der URLs in der Liste angesprochen werden.

Sollte dann einer auf wdr.de surfen wollen, klappt das nicht, da dann die zweite Regel greift.

Bei Firewall Regeln ist ja der Grundsatz: "Der erste Treffer gewinnt."

Also sollte keine "Allow any to any" Regeln ganz oben irgendwo stehen.

Davon mal ab, ein interner WSUS lohnt sich für zehn Clients und mehr durchaus. Vor allem wird es ja noch mehr geben, wenn ich die Fragestellung richtig interpretiere.

Gruß
Marc
heart1
Der4hnungslose
Der4hnungslose 14.06.2023 um 14:21:21 Uhr
Goto Top
Hey @radiogugu,

ich gehe davon richtig aus das die Regel unter Firewall in Network Protection kommt?

Leider kommt dennoch ein WSUS aktuell nicht in frage... face-sad

Gruß
radiogugu
radiogugu 14.06.2023 um 14:53:21 Uhr
Goto Top
Zitat von @Der4hnungslose:
ich gehe davon richtig aus das die Regel unter Firewall in Network Protection kommt?

Ich kenne Sophos bisher nur als Namen, habe selber noch keine "bedient".

Daher würde ich auf RTFM verweisen und schauen. Es gibt bestimmt jede Menge Tutorials online oder einen freundlichen KI Bot, der dir diese Fragen beantworten kann.

Leider kommt dennoch ein WSUS aktuell nicht in frage... face-sad

Ist ja kein Muss, macht nur vieles etwas zentraler verwaltbar.

Gruß
Marc
jsysde
jsysde 14.06.2023 um 18:55:18 Uhr
Goto Top
N'Abend.

Die Sophos blockiert per Default alles, was nicht zugelassen wird, entsprechend sind Block-Regeln unnötig.
Schau einfach mal unter Network Protection => Firewall, was es da für Regeln gibt und editiere/lösche/ergänze entsprechend.

Cheers,
jsysde
user217
user217 15.06.2023 um 07:28:07 Uhr
Goto Top
Hi,

einfach eine Gruppe mit den entspr. FQDN's erstellen und nach belieben einstellen vielleicht!?
FrageNetzwerkeFirewall
Mehr von Der4hnungsloseDer4hnungsloseMigration Exchange 2016 zu O365Der4hnungslose - 3 KommentareDer4hnungsloseApplocker-Konfiguration: Alles sperren und Whitelist einrichtenDer4hnungslose - 2 KommentareDer4hnungsloseVertrauensmeldung bei Office-Dokumenten aus Teams AppDer4hnungslose - 1 KommentarDer4hnungsloseBackup auf neuen Windows ClientsDer4hnungslose - 8 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 Kommentare