9
Sophos XGS - Bedrohungsfeeds von Drittanbietern - ab V21 - geiles neues Feature
Moin Zusammen,
zwischen den Jahren habe ich mir ein bisschen Zeit genommen, um eines der neuen Features der Sophos XGS Plattform zu testen und zwar das sogenannte „Bedrohungsfeeds von Drittanbietern“, welches ab V21 neu dazugekommen ist und ich bin begeistert. 😁
Denn damit kann man nun bei einer XGS, ganz easy diverse „Sperrlisten“ von Drittanbietern integrieren.
Nähere Details siehe:
https://partnernews.sophos.com/de-de/2024/09/products/sophos-firewall-v2 ...
Die Einrichtung ist übrigens auch total Easy.
Folgend ein Beispiel, wie man sich damit z.B. die ganzen TOR-Exitnodes vom Hals halten kann.
Im nächsten Fenster …
… muss man den Namen für den neuen Bedrohungsfeed eingeben, unter „Maßnahme“ „Sperren“ wählen, bei externer URL den Link für die externe Thor-Exitnodes-Liste eingeben („https://check.torproject.org/torbulkexitlist“), das Poll-Intervall nach Bedarf einstellen und auf „Speichen“ klicken und schon ist der 🐟 geputzt, sprich, sämtlicher Datenverkehr zu und von den gelisteten IP's der entsprechenden List ist nun gesperrt. 😁
Und auf dieselbe Art und Weise, kann man nun bei einer Sophos XGS, auch diverse andere externe Bedrohungslisten, wie z.B. die von URLhaus, GreenSnow, blocklist.de u.s.w. einpflegen. 😉
Mit besten Neujahrsgrüssen aus BaWü
Alex
zwischen den Jahren habe ich mir ein bisschen Zeit genommen, um eines der neuen Features der Sophos XGS Plattform zu testen und zwar das sogenannte „Bedrohungsfeeds von Drittanbietern“, welches ab V21 neu dazugekommen ist und ich bin begeistert. 😁
Denn damit kann man nun bei einer XGS, ganz easy diverse „Sperrlisten“ von Drittanbietern integrieren.
Nähere Details siehe:
https://partnernews.sophos.com/de-de/2024/09/products/sophos-firewall-v2 ...
Die Einrichtung ist übrigens auch total Easy.
Folgend ein Beispiel, wie man sich damit z.B. die ganzen TOR-Exitnodes vom Hals halten kann.
Im nächsten Fenster …
… muss man den Namen für den neuen Bedrohungsfeed eingeben, unter „Maßnahme“ „Sperren“ wählen, bei externer URL den Link für die externe Thor-Exitnodes-Liste eingeben („https://check.torproject.org/torbulkexitlist“), das Poll-Intervall nach Bedarf einstellen und auf „Speichen“ klicken und schon ist der 🐟 geputzt, sprich, sämtlicher Datenverkehr zu und von den gelisteten IP's der entsprechenden List ist nun gesperrt. 😁
Und auf dieselbe Art und Weise, kann man nun bei einer Sophos XGS, auch diverse andere externe Bedrohungslisten, wie z.B. die von URLhaus, GreenSnow, blocklist.de u.s.w. einpflegen. 😉
Mit besten Neujahrsgrüssen aus BaWü
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670437
Url: https://administrator.de/knowledge/sophos-xgs-bedrohungsfeeds-von-drittanbietern-ab-v21-geiles-neues-feature-670437.html
Ausgedruckt am: 05.02.2025 um 04:02 Uhr
9 Kommentare
Neuester Kommentar
Moin Zusammen,
ähm ja, bevor der eine oder andere nach dem Ausprobieren des oberen Beispiels gleich am Jahresanfang einen Herzkasper bekommt, weil gleich nach dem erstellen der "TOR-Sperre" irgendwelche Warnmeldungen von internen IP's Richtung TOR auf der eigenen XGS oder gar der eines Kunden auftauchen.
Zuerstmal ganz ruhig bleiben und prüffen ob die Ziel-IP die folgende ist 217.79.189.239, wenn ja, dann besteht wahrscheinlich überhaupt kein Grund zur Sorge.
Denn der Grund dafür könnte die NTP konfiguration des Gerätles mit der internen Quell-IP sein. Und zwar ist bei diesem Gerätle als NTP-Server wahrscheinlich "pool.ntp.org" konfiguriert und unter einer der IP Adressen aus diesem NTP-Server-Pool, läuft leider auch ein TOR-Exit-Node. 😭
Man kann nun für diese IP eine Ausnahme erstellen, was ich jedoch nicht wirklich empfehlen würde.
Wir konfigurieren als externe NTP-Server immer die von der PTB ...
https://www.ptb.de/cms/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/zeitsy ...
... und mal unabhängig davon, dass die PTB in Deutschland die genaueste Zeitquelle ist, betreiben die unter den entsprechenden IP's auch ganz sicher keine TOR-Exit-Nodes.
Gruss Alex
ähm ja, bevor der eine oder andere nach dem Ausprobieren des oberen Beispiels gleich am Jahresanfang einen Herzkasper bekommt, weil gleich nach dem erstellen der "TOR-Sperre" irgendwelche Warnmeldungen von internen IP's Richtung TOR auf der eigenen XGS oder gar der eines Kunden auftauchen.
Zuerstmal ganz ruhig bleiben und prüffen ob die Ziel-IP die folgende ist 217.79.189.239, wenn ja, dann besteht wahrscheinlich überhaupt kein Grund zur Sorge.
Denn der Grund dafür könnte die NTP konfiguration des Gerätles mit der internen Quell-IP sein. Und zwar ist bei diesem Gerätle als NTP-Server wahrscheinlich "pool.ntp.org" konfiguriert und unter einer der IP Adressen aus diesem NTP-Server-Pool, läuft leider auch ein TOR-Exit-Node. 😭
Man kann nun für diese IP eine Ausnahme erstellen, was ich jedoch nicht wirklich empfehlen würde.
Wir konfigurieren als externe NTP-Server immer die von der PTB ...
https://www.ptb.de/cms/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/zeitsy ...
... und mal unabhängig davon, dass die PTB in Deutschland die genaueste Zeitquelle ist, betreiben die unter den entsprechenden IP's auch ganz sicher keine TOR-Exit-Nodes.
Gruss Alex
Bei Sophos "bahnbrechend" 😂. Das pflegt ein eigenes Skript schon seit 10 Jahren von selbst in meine Firewall ein ...
Aber aus dem TOR Netzwerk kommt hier ehrlich gesagt kaum noch was rein, das ist eh zu lahm, der meiste Schitt kommt heute direkt aus den Clouds um die Ecke.
Auffällig ist das IPv6 im Vergleich zu IPv4 im Angriffsbereich auch immer noch stiefmütterlich genutzt wird.
Aber aus dem TOR Netzwerk kommt hier ehrlich gesagt kaum noch was rein, das ist eh zu lahm, der meiste Schitt kommt heute direkt aus den Clouds um die Ecke.
Auffällig ist das IPv6 im Vergleich zu IPv4 im Angriffsbereich auch immer noch stiefmütterlich genutzt wird.
2
Moin @151183,
ja, das eine oder andere Feature hätte schon früher kommen können.
Ich vermisse z.B. schon seit Jahren Fail2Ban und von der NTP Geschichte will ich erst gar nicht angangen. 😭
Na ja, wie auch immer, es ist auf jeden Fall eine sehr sinnvolle Erweiterung, was mann heutzutage ja leider nicht wirklich von jeder behaupten kann. 🙃
Gruss Alex
Bei Sophos bahnbrechend 😂. Das pflegt ein eigenes Skript schon seit 10 Jahren von selbst in meine Firewall ein ...
ja, das eine oder andere Feature hätte schon früher kommen können.
Ich vermisse z.B. schon seit Jahren Fail2Ban und von der NTP Geschichte will ich erst gar nicht angangen. 😭
Na ja, wie auch immer, es ist auf jeden Fall eine sehr sinnvolle Erweiterung, was mann heutzutage ja leider nicht wirklich von jeder behaupten kann. 🙃
Gruss Alex
als NTP-Server wahrscheinlich "pool.ntp.org" konfiguriert
Deshalb sollte das bekanntlich auch immer länderbezogen konfiguriert werden wie de.pool.ntp.org ! 
Siehe: https://www.ntppool.org/use.html Thema: Länderzone
Moin @151183,
doch doch, das TOR netzwerk wird von den Angreifern noch sehr rege benutzt, aber eben nicht für Massenjobs sondern dann eher für die gezielteren Angriffe. Ich habe erst vor ein paar Monaten einen Incident betreut, bei welchem der Hauptangriff über die TOR-Exitnodes gelaufen ist. 😔
Das es im IPv6 Raum, im Vergleich zu dem IPv4 Raum, bisher so gut wie keine Angriffe gibt, liegt mitunter an der Tatsache, dass der IPv6 Adressraum mit seinen ~ 340 Sextillionen (340.282.366.920.938.463.463.374.607.431.768.211.456) Adressen, im Vergleich zu dem IPv4 Adressraum, der lediglich nur ~4,3 Milliarden (4.294.967.296) Adressen bereitstellt, nicht wirklich einfach zu durchsuchen ist, weil dieser eben um 79.228.162.514.264.337.593.543.950.336 Mal mehr Adressen enthält und somit jeder Scann dieses Adressraums nach potenziellen Ziehlen, auch das um das 79.228.162.514.264.337.593.543.950.336fachste länger dauert, als der des IPv4 Adressraums. 🙃
Gruss Alex
Aber aus dem TOR Netzwerk kommt hier ehrlich gesagt kaum noch was rein, das ist eh zu lahm,
doch doch, das TOR netzwerk wird von den Angreifern noch sehr rege benutzt, aber eben nicht für Massenjobs sondern dann eher für die gezielteren Angriffe. Ich habe erst vor ein paar Monaten einen Incident betreut, bei welchem der Hauptangriff über die TOR-Exitnodes gelaufen ist. 😔
Auffällig ist das IPv6 im Vergleich zu IPv4 im Angriffsbereich auch immer noch stiefmütterlich genutzt wird.
Das es im IPv6 Raum, im Vergleich zu dem IPv4 Raum, bisher so gut wie keine Angriffe gibt, liegt mitunter an der Tatsache, dass der IPv6 Adressraum mit seinen ~ 340 Sextillionen (340.282.366.920.938.463.463.374.607.431.768.211.456) Adressen, im Vergleich zu dem IPv4 Adressraum, der lediglich nur ~4,3 Milliarden (4.294.967.296) Adressen bereitstellt, nicht wirklich einfach zu durchsuchen ist, weil dieser eben um 79.228.162.514.264.337.593.543.950.336 Mal mehr Adressen enthält und somit jeder Scann dieses Adressraums nach potenziellen Ziehlen, auch das um das 79.228.162.514.264.337.593.543.950.336fachste länger dauert, als der des IPv4 Adressraums. 🙃
Gruss Alex
Moin @aqui,
das bringt in diesem Fall aber nicht wirklich etwas, da der von mir angesprochene TOR-Exitnode, ausgerechnet bei uns in Deutschland steht ...
... und daher in dem von dir angesprochenem deutschen NTP Pool, wahrscheinlich auch vorhanden ist.
Gruss Alex
Deshalb sollte das bekanntlich auch immer länderbezogen konfiguriert werden wie de.pool.ntp.org !
Siehe: https://www.ntppool.org/use.html Thema: Länderzone
Siehe: https://www.ntppool.org/use.html Thema: Länderzone
das bringt in diesem Fall aber nicht wirklich etwas, da der von mir angesprochene TOR-Exitnode, ausgerechnet bei uns in Deutschland steht ...
... und daher in dem von dir angesprochenem deutschen NTP Pool, wahrscheinlich auch vorhanden ist.
Gruss Alex
@MysticFoxDE
Kannst Du mich bitte kommerziell unterstützen ?
Habe 2x XGS3300 im "Vollausbau"...
Rest bitte per PM.
Danke Dir!
Gutes Neues allen!
Gruss Globe!
Kannst Du mich bitte kommerziell unterstützen ?
Habe 2x XGS3300 im "Vollausbau"...
Rest bitte per PM.
Danke Dir!
Gutes Neues allen!
Gruss Globe!
Moin @Globetrotter,
na klar.
Meine Kontaktdaten müssten per PM bereits schon bei dir sein.
Ebenso.
Gruss Alex
Kannst Du mich bitte kommerziell unterstützen ?
na klar.
Habe 2x XGS3300 im "Vollausbau"...
Rest bitte per PM.
Rest bitte per PM.
Meine Kontaktdaten müssten per PM bereits schon bei dir sein.
Gutes Neues allen!
Ebenso.
Gruss Alex
Gutes Feature, ich habe damit auch mal ein bisschen rumgespielt.
Tatsächlich ist die Dest. IP vieler älterer Geräte der de.pool.ntp.org NTP Server
217.79.189.239 und unglücklicherweise wird diese Public IP auch gleichzeitig für eine TOR Exit Node genutzt.
Den PTB NTP nutze ich bereits auch auf meinem Domain Controller.
Da manche alt Geräte sich nicht konfigurieren lassen bzw. der Aufwand auch zu hoch ist, dachte ich an einer zentralen Lösung auf der FW.
Nun hatte ich die Idee auf der Sophos FW NAT Rules zu erstellen, sodass alle Anfragen vom Port 123 (NTP Service) nach draußen immer zum PTB NTP genatted werden.
Zusätzlich gibt es noch DNS Request. Da dachte ich erstelle ein Static DNS Record auf der FW was de.pool.ntp.org die IP vom PTB aufschlüsselt.
Ziel:
Nur einen NTP Server für alle Geräte benutzen.
Wie ist eure Meinung dazu?
Extra Frage:
Momentan habe ich die Third Party Active Reponse Integrationen auf "Monitor only" eingestellt. Dennoch bekomme ich über Sophos Central für jede Detection Mails (Reporting). Weiß jemand ob man das einstellen kann und braucht es dafür den SA auf Sophos Central? Für Monitor only brauch ich keine Report Mails.
NAT Rule:
https://www.avanet.com/en/kb/set-up-sophos-firewall-as-ntp-server/
Tatsächlich ist die Dest. IP vieler älterer Geräte der de.pool.ntp.org NTP Server
217.79.189.239 und unglücklicherweise wird diese Public IP auch gleichzeitig für eine TOR Exit Node genutzt.
Den PTB NTP nutze ich bereits auch auf meinem Domain Controller.
Da manche alt Geräte sich nicht konfigurieren lassen bzw. der Aufwand auch zu hoch ist, dachte ich an einer zentralen Lösung auf der FW.
Nun hatte ich die Idee auf der Sophos FW NAT Rules zu erstellen, sodass alle Anfragen vom Port 123 (NTP Service) nach draußen immer zum PTB NTP genatted werden.
Zusätzlich gibt es noch DNS Request. Da dachte ich erstelle ein Static DNS Record auf der FW was de.pool.ntp.org die IP vom PTB aufschlüsselt.
Ziel:
Nur einen NTP Server für alle Geräte benutzen.
Wie ist eure Meinung dazu?
Extra Frage:
Momentan habe ich die Third Party Active Reponse Integrationen auf "Monitor only" eingestellt. Dennoch bekomme ich über Sophos Central für jede Detection Mails (Reporting). Weiß jemand ob man das einstellen kann und braucht es dafür den SA auf Sophos Central? Für Monitor only brauch ich keine Report Mails.
NAT Rule:
https://www.avanet.com/en/kb/set-up-sophos-firewall-as-ntp-server/
