Sophos Firewall für Daheim?

Mitglied: KleinProfi

KleinProfi (Level 1) - Jetzt verbinden

18.03.2020 um 20:10 Uhr, 2931 Aufrufe, 17 Kommentare

Hallo,
kann mir jemand eine kleine Sophos Firewall für daheim empfehlen? Es gibt nämlich so viele Modelle, dass ich da noch nicht durchblicke.
Vielen Dank!
Mitglied: tech-flare
18.03.2020 um 20:45 Uhr
Kleiner Mini PC mit 2 Anschlüssen (Thomas Krenn LES v3)

Und dazu Sophos UTM Home (50Ip) oder Sophos XG (unbeschränkt)

Das ganze ist von sophos kostenlos und hat alle Funktionen
Bitte warten ..
Mitglied: certifiedit.net
18.03.2020 um 20:46 Uhr
Hi,

die SG105 reicht dir vollkommen.
Kannst sogar ne alte UTM120 nehmen.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: Visucius
19.03.2020 um 06:56 Uhr
Ist das nicht abhängig von der Bandbreite des Anschlusses?
Bitte warten ..
Mitglied: certifiedit.net
19.03.2020 um 08:46 Uhr
Er macht sich auch kaum Mühe für eine ausführliche Frage
Bitte warten ..
Mitglied: Visucius
19.03.2020 um 09:01 Uhr
verstehe 😉
Bitte warten ..
Mitglied: aqui
19.03.2020 um 09:07 Uhr
Oder eine kleine pfSense/OPNsense als sinnvollere Heim Alternative ??
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
Bitte warten ..
Mitglied: IT-Prof
19.03.2020 um 12:16 Uhr
Deine Frage ist sehr dürftig. Da kann man schlecht helfen.

Ich hatte einige Jahre eine kleine Sonicwall und im Januar durch Zufall eine kleine Palo Alto mit aktueller Software und umfangreichen Features bei eBay bekommen.

Ich Frage mich als erstes immer, ist ein geneigter Privatanwender überhaupt in der Lage, den Mehrwert abzurufen.
Bitte warten ..
Mitglied: alexnrw
19.03.2020, aktualisiert um 12:26 Uhr
hallo,
würde dir zu einer kleinen cisco asa5000er raten ... fürn fuffi bist du dabei. ggf, sogar mit neuester fw über den verkäufer...
vorteile: mächtige und ausgereife software, aber kein next-gen geraffel.
ich würde generell die next-gen firewalls nicht einsetzen, zumal es für mich suspekt sei, warum diese teilweise gigabyte weise flash/massenspeicher mitführen...
meine vermutung: aufzeichnen der tcp-syn pakete von ssl/tls verbindungen und weiterleiten ans nsa-datacenter zum aufbrechen...
in meinen augen sollte heute eine firewall nur nach ip-adr. und ports filtern innerhalb des state-kontext - mehr auch nicht. das zwanghafte aufbrechen von verbindungen (mitm bei ssl) ist zumindest in meinem lan ein no-go(!).
damit meine ich auch die aktuellen cisco firepower router/firewalls....
grüße alex
ps: falls du noch nichts mit cisco config am hut hattest: ich hab meinen rein per cli-terminal in 2 tagen gekonft, ohne vorwissen ;)
Bitte warten ..
Mitglied: IT-Prof
19.03.2020 um 12:45 Uhr
Ich als böser Cracker, würde dir über HTTPS den A aufreißen, so wie in fast allen Fällen.

DPI-SSL gut konfiguriert ist ein riesen Gewinn an Sicherheit. Besonders, wenn es nicht auf Portbasis arbeitet.
Bitte warten ..
Mitglied: alexnrw
19.03.2020, aktualisiert um 20:10 Uhr
es ist wahrscheinlicher, dass ein cracker die vielbeworbene ssl-inspection-engine einer xyz next-gen-furzfirewall mit malformed ip pakets lahmlegt bzw. auf dem gerät zur remote-code ausführung beiträgt, als dass jemand beim www-surfen mit brain.exe sich per stets mit ssl/tls gesicherten verbindungen fatale trojaner/viren einfängt...
insbesondere wenn ein malware-server eine ssl-verbindung von einer eben solchen supderduper application-firewall abbekommt, wird der cracker hellhörig, was denn da noch zu holen wäre...
insofern finde ich hier simples layer3-filtern völlig ausreichend, vor allem unterstützt mit konsequentem ip-blacklisting sowohl im gateway als auch (per ublock) im browser/client (nicht per hosts-liste!) ;)
mfg
Bitte warten ..
Mitglied: certifiedit.net
19.03.2020 um 20:13 Uhr
Zitat von alexnrw:

es ist wahrscheinlicher, dass ein cracker die vielbeworbene ssl-inspection-engine einer xyz next-gen-furzfirewall mit malformed ip pakets lahmlegt bzw. auf dem gerät zur remote-code ausführung beiträgt, als dass jemand beim www-surfen mit brain.exe sich per stets mit ssl/tls gesicherten verbindungen fatale trojaner/viren einfängt...
insbesondere wenn ein malware-server eine ssl-verbindung von einer eben solchen supderduper application-firewall abbekommt, wird der cracker hellhörig, was denn da noch zu holen wäre...
insofern finde ich hier simples layer3-filtern völlig ausreichend, vor allem unterstützt mit konsequentem ip-blacklisting sowohl im gateway als auch (per ublock) im browser/client (nicht per hosts-liste!) ;)
mfg

tja, aber nicht jeder ist so krass ,endgeil //gecrackter //brain.exe unterwegs, wie du.
Bitte warten ..
Mitglied: alexnrw
19.03.2020, aktualisiert um 22:51 Uhr
Zitat von certifiedit.net:

Zitat von alexnrw:

es ist wahrscheinlicher, dass ein cracker die vielbeworbene ssl-inspection-engine einer xyz next-gen-furzfirewall mit malformed ip pakets lahmlegt bzw. auf dem gerät zur remote-code ausführung beiträgt, als dass jemand beim www-surfen mit brain.exe sich per stets mit ssl/tls gesicherten verbindungen fatale trojaner/viren einfängt...
insbesondere wenn ein malware-server eine ssl-verbindung von einer eben solchen supderduper application-firewall abbekommt, wird der cracker hellhörig, was denn da noch zu holen wäre...
insofern finde ich hier simples layer3-filtern völlig ausreichend, vor allem unterstützt mit konsequentem ip-blacklisting sowohl im gateway als auch (per ublock) im browser/client (nicht per hosts-liste!) ;)
mfg

tja, aber nicht jeder ist so krass ,endgeil //gecrackter //brain.exe unterwegs, wie du.
deshalb sage ich ja: eine konkrete globale blacklist ist gold wert. und das ist mit quasi jedem guten layer3-gateway aka fritzbox, pfsense, asa5505 für kleines geld umsetzbar (ACHTHUNG: asa5505 kann probs am wan-port mit gbit-modems machen = mieser durchsatz unter 40mbit. lösung: billig gigabit-switch zwischenschalten - oder keine asa kaufen ;).
wobei mir die pfsense vom start weg über ipv6 und ntp-dienst etwas zu viel nach hause telefoniert ...
dafür hat pfsense schon von hause aus eine ziemlich starke globale ip-blocklist integriert ;)
egal welche ip-firewall man nimmt: handarbeit ist nötig. auch sollte man sich überlegen, namensauflösung im lan möglichst vollständig per dns-over-https auszulagern, nach nextdns/cloudflare etc. diese dns-anbieter filtern bereits die malware-sites heraus, zumindest mind. so gut wie statische lokale ip-listen...
eine relativ gute und einfache lokale lan-konfig wäre: https-only für browser und mailclient inkl. DoH.
Onlinebanking nur in einem sauberen vm-snapshot. live-cd hat den nachteil, dass man die teils umfangreiche firefox-config verliert (DoH, ssl-härtung, etc pp).
standardmäßig baut der firefox keine sicheren ssl-verbindungen auf (!).
folgendes muss man @ about:config setzen:
security.tls.enable_0rtt_data false <= schutz vor replay-angriffen; insbesondere bei tls1.3 (!)
security.ssl.enable_false_start false
security.ssl.require_safe_negotiation true
security.ssl.treat_unsafe_negotiation_as_broken true
security.ssl3.rsa_aes_128_sha false <== cipher _ohne_ perfect-forward-secrecy...
security.ssl3.rsa_aes_256_sha false <== "
security.ssl3.rsa_des_ede3_sha false <== "
security.tls.version.min 3 <== mind. version tls1.2; default seit motzfoks74
browser.cache.disk_cache_ssl false
grüße
PS: die sinnvollste lösung zuhause ist eine fritzbox zzgl konsequenter dns-over-https konfig aller clients. damit hat man eine ziemlich sichere externe namensauflösung inkl. blocklisting von malware-sites, die so kein lokaler fw-router leisten kann.
und die sog. nextgen-furzwalls kaufen eh alle ihre blocklisten bei google, cloudflare und opendns (mittlerweile cisco) ein...
ab 20 eur ist man dabei (!) supersparsame fritzbox 4020 für einen max 100mbit kabelanschluss. oder 4040 wegen gigabit lan/wan ab 40 eur.
ziemlich mächtige und gehärtete firewall aka cisco asa 5505 gibts auch schon ab 35 eur in der bucht (100mbit) quasi ohne schwachstellen, wenn man die firewall am wan-if nicht für snmp öffnet ;)
... wlan? siehe fritten als ap im lan - openwrt auf tp-link? seit dem wechsel des chipsets weg von qcom nicht mehr so pralle...
am adsl-anschluss hat man etwas mehr qual-der-wahl, aber auch dort: fritzbox erste wahl (wegen des modems). und sowieso sollte man layer2-zugangspunkt aka modem lieber dem isp überlassen (garantie, gerätewechsel, verfügbarkeit...).
PPS: ich finde ja diese rohde&schwarz lancom ziemlich gut. waren schon immer als lancom genial in der konfiguration als auch sicherheit (ipsec-tunnel mit esp & ah, bei site2site-vpn). sprich, der ip-header wird bei lancoms geschützt, sofern der tunnel nicht ins lan reicht.
ansonsten genauso eine gute layer3-4 fw wie cisco asa etc. dabei ist r&s schon seit jahren eine koryphäe bei highend layer7-app-routern im tiefen netz... aber ka, obs auf die 350 eur soho-lancoms abgefärbt hat (im prinzip ein linux mit layer7filtermodul).
persönlich habe ich bei mir im lan alles auf https umgestellt. die einzige erlaubte verbindung aus dem lan ins www ist ssl (ok, ich zocke nicht ;) nur eine einzige https-filterregel in meinen clients (bzw. pro anwendung! erw. windows-fw rockt, wirklich!), der gateway-router ist eh einseitig offen... firewalling ist ein mehrstufiges konzept! es fängt immer am client im netz an, dem schwächsten teilnehmer...
genauso wie der client-pc muss auch JEDER server im netz eigens firewalled sein. damit der server _niemals_ von sich aus verbindungen initiiert. DMZ allein reicht nicht ;)
PPPS: ich halte nichts von mitm per ssl-inspection!
Bitte warten ..
Mitglied: tech-flare
20.03.2020, aktualisiert um 14:16 Uhr
am adsl-anschluss hat man etwas mehr qual-der-wahl, aber auch dort: fritzbox erste wahl (wegen des modems). und sowieso sollte man layer2-zugangspunkt aka modem lieber dem isp überlassen (garantie, gerätewechsel, verfügbarkeit...).

Auf die ganzen anderen Punkte gehe ich jetzt nicht ein...Es ist Freitag, ich bin im HomeOffice...keine Lust....Aber ich bezweilfe das dasdie Erste Wahl bei den Meisten hier sein wird. Im Gegeteil! Scheinbar schwimmst du da etwas auf der Buttermilch.

Warum sollte ich das Modem etc den ISP überlassen? Völliger Käse den du da erzählst....Siehe Speedport mit Sicherheitslücken, die lange nicht gefixt worde sind.

Wenn ich mir das Modemn + FW selbst kaufe, habe ich genauso Garantie / Gewährleistung. Du scheinst gar nicht zu wissen, wie schwer es sein kann, bei einem ISP ein Austauschgerät zu bekommen.

Dieschlagen die nämlich erstmal sämtlichen Mist vor
- Neugestartet
- LAN Kabel tauschen
- DSL Kabel tauchen
- Oh...wir setzen mal den Port im Verteiler zurück
- Factory Reset
und dann....und wirklich erst dan....bkeommst du mit viel Glück ein anderes Gerät.
Bitte warten ..
Mitglied: alexnrw
20.03.2020, aktualisiert um 17:33 Uhr
die fritzbox wird in den meisten fällen erste wahl sein, als zugangsrouter wegen des modems zum isp-netz.
daran muss man auch nichts ändern oder experimentieren mit fremdgeräten.
natürlich kann jeder die fritte in den bridgemodus konfen, wenn man dahinter doch noch einen teureren router anbinden möchte - oder man fährt doppel-nat und hat quasi gratis eine dmz zuhause...
aber insbesondere voip sollte man auf der fritzbox lassen! für peace of mind, weil diese eine ständige stateful-verbindung _ausgehend_ zum isp boarder-session-controller aufrecht erhält. sprich, die fritte hat _keinen_offenen port für voip zuhause, sondern alle "anrufe" werden vom isp über das boarder-gateway zu deiner fritte weitergeleitet über die bestehene verbindung (!). nach außen hin sehen damit alle ports firewalled aus - und man kann sich um wichtigeren kram kümmern als herumdoktorn an voip..
kaskadiert man hinter der fritze noch einen weiteren router für sein privates lan, sorgt man für eine zuverlässige abschwirmung vom isp-router, ohne großartig am lan zu fummeln. und wenn man paranoid ist nutzt man das fritzbox-wlan nur für gäste...
mfg
ps: dein text langweilt mich.
Bitte warten ..
Mitglied: tech-flare
20.03.2020, aktualisiert 21.03.2020
Wenn dich das langweilt.... warum schreibst du dann hier? Bekommt dir das HomeOffice nicht?

Der Fragesteller wollte Hilfe bzgl Sophos. Aber da dies scheinbar über deinen Horizont hinaus geht und du nur von einer Fritte schwärmst, hast du in diesem Thread eigentlich nichts zu suchen.

Nochmal kurz für dich: er fragt nach Sophos, nicht nach einer Fritzbox ! Das solltet auch du als scheinbarer „Profi“ verstehen
Bitte warten ..
Mitglied: alexnrw
21.03.2020 um 17:21 Uhr
ehrlich gesagt habe ich mich nur etwas lustig gemacht darüber, dass leute eine application firewall als etwas notwendiges erachten ...
dabei ist es viel wichtiger, _wohin_ man verbindungen erlaubt...
grüße
Bitte warten ..
Mitglied: jschneppe
23.03.2020 um 10:57 Uhr
Hallo zusammen,


Zitat von alexnrw:

ehrlich gesagt habe ich mich nur etwas lustig gemacht darüber, dass leute eine application firewall als etwas notwendiges erachten ...

Dir scheint echt das HomeOffice aufs Hirn zu schlagen, hier macht man sich nicht lustig sondern beantwortet (wenn auch manchmal etwas sarkhastig) die gestellten Fragen.

dabei ist es viel wichtiger, _wohin_ man verbindungen erlaubt...

Wo du als Pro natürlich davon ausgehen kannst das die Sicherheit dieser Verbindungen über jeden zweifel erhaben sind.

grüße

Grüße zurück
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
Firewall
UTM Firewall Sophos
gelöst FingersFrageFirewall8 Kommentare

Moin Moin ich bin schon seit längerem am überlegen eine UTM Firewall von Sophos in meinem Netzwerk (Zuhause) zu ...

Firewall
Sophos Firewall und Red VPN
gelöst MichaelW84FrageFirewall2 Kommentare

Hallo zusammen, ich habe eine Sophos XG Firewall und mehrere Red 15 Devices für unsere Standortvernetzung im Einsatz. Nun ...

Firewall

Firewall: Alternative Hersteller zu Sophos UTM

gelöst STITDKFrageFirewall38 Kommentare

Schönen guten Tag, da für mich heute Freitag ist und es vermutlich gleich auch Kritik gibt fürs Mausschupsen. Das ...

Router & Routing

Sophos Firewall "externe" VPN Verbindung durchlassen

gelöst floodministratorFrageRouter & Routing8 Kommentare

Hallo Administratoren und Netzwerk-Profis, ich habe für einen Projektaufbau das Szenario des beigefügten Bildes aufgebaut. Bei den beiden Seiten ...

Firewall

Sophos UTM Firewall Portfreigabe nicht funktionsfähig

gelöst NordsterneFrageFirewall15 Kommentare

Hallo miteinander, Bin etwas ratlos. Für einen speziellen Server möchte ich Ports freigeben. Diese habe ich in der Firewall ...

Switche und Hubs

HP-Aruba Switch und Sophos Firewall

gelöst DocuSnap-DudeFrageSwitche und Hubs26 Kommentare

Guten Morgen, ich habe einen nigelnagelneuen Layer3-HP-Aruba Switch, 2 Sophos UTM's und einen Internetrouter (Marke weiss ich gerade nicht, ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT