Sophos XG Firewall – Erste Eindrücke

Sophos_XG_LogoMontagmorgen. Mal schnell die neue OVF der Firewall XG hochgeladen und… ja… und… erst mal nix. Erst mal muß ein total nerviger Aufwand mit der Registrierung betrieben werden um überhaupt die ersten Gehversuche zu machen. Die Konsole ist gesperrt und man kann nicht mal eben mit ifconfig die IP ins interne LAN setzen, sondern muss einen Clientrechner ins 172er Netz bringen um die quälende Prozedur der Registrierung hinter sich zu bringen. Ich hasse es wenn es mir so schwer gemacht wird. Ein offline Test ist also absolut unmöglich. Den Rechner erst mal ins Netz der XG packen, z.B. 172.16.16.100/24. Dann sollte die Default-IP der XG mit 172.16.16.16 erreichbar sein.
Install_1Install_2
Jetzt mit dem Browser über https://172.16.16.16:4444 die Grundeinrichtung vornehmen:
Install_4 Install_5 Install_6
Wenn man diese ganze Prozedur über sich hat ergehen lassen, so kann man endlich das Dashboard in Augenschein nehmen. Erster Eindruck von mir – das will man nicht 🙁
DASHBOARD_0
Das wird einige Zeit dauern bis man sich von einer UTM auf die neue XG „umgewöhnt“ hat. Hier einige weitere Impressionen der Oberfläche. Was beim VPN auffällt: wo sind die RED Tunnel? Schnell im FAQ nachgesehen -> ist noch nicht drin 🙁    Sophos XG FAQ
VPN_1So sehen die neuen Seiten für die Firewallregeln aus:
FW_1 FW_2       FW_3

Jetzt werde ich erst mal den ersten Eindruck setzen lassen und eine Migration von einer bestehenden UTM ausprobieren. Die meisten Migrationen werden wohl erst mal an dem nicht vorhandenen RED Device scheitern, welches ich für das OSPF Routing benötige….

21 thoughts on “Sophos XG Firewall – Erste Eindrücke

  1. Alex

    Hallo Michael,

    ich habe erst gestern gesehen das es neue UTMs der XG Serie gibt zwar noch nicht zu kaufen in Deutschland oder Österreich nach meiner Recherche aber sicher bald. Die neuen XGs haben SSDs als Hauptfestplatte drinnen was mir persönlich nicht gefällt da für einen Dauerbetrieb die meisten SSDs trotz SLC und 3D Nand schneller eingehen als normale 24/7 Enterprise HDDs.

    Zu der neuen Oberfläche fällt mir nur eines ein „geht gar nicht“ erinnert mich an das Windows Kachel Design das ich bis heute meide und daher noch immer Windows 7 verwende. So wird es wohl dann auch bei der SG Serie und UTM 9 bleiben.

    Danke für die erste Vorstellung und ich bin gespannt wie die weiteren Erfahrungen bei den Test in Sachen Umgang, Verwaltbarkeit, Zurechtfinden wo was zu finden ist so funktioneren.

    PS: da du ja ein Profi bist in Sachen UTM hätte ich eine Frage an dich. Ich habe meherere IPSec Site to Site Tunnel an Remote Standorten. Will diese jetzt mittel XAUTH noch weiter absichern dies funktioniert leider nicht er baut den Tunnel nicht mehr auf im Log ist auch keine Fehler zu finden. Beide Sites haben den selben Namen und auch das selbe Passowort unter XAUTH eingetragen trotzdem baut er nicht auf hast du hier Erfahrungen damit?

    LG Alex

    Antworten
    1. Michael Klehr Beitragsautor

      Hallo Alex,
      ich hatte evtl. nach dem ersten Test etwas zu emotional geschrieben, aber keineswegs vorschnell. Es handelt sich hierbei nur um Eindrücke die ich persönlich habe. Aber ich wollte mal einige Szenarien nachstellen mit der neuen Oberfläche und ich komme damit nur sehr schwer zurecht. Handgriffe und Änderungen die man mit der UTM schnell erledigt werden unter der neuen XG Oberfläche nur „kompliziert“.
      Mal schnell IPSEC definieren, ein DNAT oder ein SSLVPN anlegen – alles kommt mir komisch und umständlich vor. Ich sollte erwähnen das ich keineswegs ein „Gewohnheitstier“ bin! Ich mag neues und bin auch schnell zu begeistern, aber in diesem Fall sprang der Funke nicht über. Auch der Umbau des Astaro Forums in die neue Sophos Community hat bei mir nicht gerade für Begeisterung gesorgt. Warten wir ab was Sophos da noch so alles umbaut…. Gruß aus dem Saarland!
      PS: Wegen dem IPSEC melde ich mich nochmal.

      Antworten
  2. Alex

    Hallo,

    ja so wie du es emotional geschrieben hast dachte ich mir das auch, dies war mein erster Eindruck. Genau das ist es um was es mir geht einfache Dinge wie du sagst schnell zu erldigen und nicht unnötig zu verkomplizieren. Ich dagegen bin ein Gewohnheitstier das gebe ich zu. Aber so wie du richtig sagst „komisch und kompliziert“ dies war auch mein erster Eindruck.

    Was ich nur nicht herauslesen konnte auf der Sophos Webseite wird die XG Paralell zur UTM laufen oder wird die UTM durch die XG abgelöst? Dann frage ich mich wie lange die UTM noch mit Patches und Firmware Updates versogt wird? Die Lizenzen sind ja nicht billig. Ich hoffe nur das die UTM noch lange supported wird da ich mich wirklich eingelebt habe und es so wie es jetzt ist schnell bzw schon auswendig weiß wo was zu finden ist. Es war schon von pfSense und ipFire eine umgewöhnung auf die UTM und jetzt wieder auf was neues? Ne keine Lust hab noch zu viel andere Baustellen. Jedenfalls bestärkt mich das jetzt in meiner Entscheidung noch SG Modell zu bestellen und meine Cluster Fertig zu bauen und nicht auf XG zu warten.

    LG Alex

    Antworten
    1. Michael Klehr Beitragsautor

      Hier gibt es Informationen zur Lizenz und Roadmap. Die Lizenz soll also kompatibel sein. Ein UTM Key kann in der XG genutzt werden:
      https://community.sophos.com/products/unified-threat-management/f/41/t/10892

      Roadmap:
      https://community.sophos.com/cfs-file/__key/communityserver-discussions-components-files/41/2015_2D00_11_2D00_13-16_5F00_56_5F00_02_0E202D00_-Photos.jpg

      Es wird also noch einige Zeit das Produkt „UTM“ geben. Zum Glück.

      Antworten
  3. Thomas

    Hallo Michael,

    ich hoffe Du kannst mir helfen. Leider bin ich nicht so bewandert was die Sophos Firewall betrifft und mein Englisch ist auch nicht das beste. Mir ist bewusst das Du von der XG nichts hälst, trotzdem würde ich Dich gern um einen gefallen bitten. Könntest Du mir bei der Einrichtung einer L2TP/IPSec Verbindung helfen? Ich möchte gerne mein Android Smartphone über L2TP/IPSec an meine XG anbinden. Leider scheint es irgendwie nicht zu klappen. Im Protokollbetrachter schreibt die XG zwar bei mehreren Einträgen „Erfolgreich“ jedoch erscheint kein Schlüssel. Wenn ich eine PPTP Verbindung einrichte, funktioniert dies jedoch auf anhieb. Da mir das ganze aber zu unsicher ist, wollte ich auf L2TP/IPSec umsteigen. OpenVPN möchte ich nicht nutzen.

    Ich schreibe diesen „HilfeRuf“ auch in die Sophos Community, obwohl ich glaube das mir dort nicht geholfen wird. Zumindest sind meine bisherigen Anfragen meistens Unbeantwortet geblieben.

    Grüße Thomas

    Antworten
    1. Michael Klehr Beitragsautor

      Hi Thomas,
      ich würde gerne helfen, aber ich bin den ganzen Dezember bis Januar voll mit Projekten und Schulungen die ich noch halten muss. So gerne ich das mal testen würde, aber mir fehlt echt die Zeit um mal nebenher so ein Setup aufzubauen. Was spricht gegen OpenVPN? Ich selbst bin seit Jahren ein Fan von SSL basierenden VPNs. Sophos Community – die am Wochenende zugespamt worden ist weil das alte Forum ja so furchtbar unsicher ist? 🙂

      Antworten
  4. Thomas

    Hallo Michael,

    ich habe mit OpenVPN schon alles probiert. Da bekomme ich zwar eine Verbindung hin, jedoch nicht ins eigene LAN. Ich habe zwar eine Regel für VPN –> LAN aber die will nicht greifen. Jedoch bei einer PPTP Verbindung geht meine Regel. PPTP ist halt zu unsicher. Es scheint am Routing von OpenVPN zu liegen. Und wenn ich richtig vermute, dann benötige ich eine Modifizierte *.opvn Datei mit einem Push befehl. Da hatte ich mich auch schon mal dran versucht, jedoch nichts zum laufen gebracht. Irgendwie scheint das alles kompliziert zu sein.

    Antworten
      1. Michael Klehr Beitragsautor

        Bei NAT kannst du aber keine Regeln in der Firewall definieren „Wer – Wo – Was – Wann auf welchen Server etc“…. Alles wird hinter einer Adresse maskiert. Aus diesem Grund mag ich NAT in VPNs nicht. Damit bekommt man zwar vieles schnell zum Laufen, aber richtige Regeln kann man halt nicht abbilden….

        Antworten
  5. Alex

    Hallo Thomas,

    ich habe das etwas mitverfolgt. Verstehe ich jetzt richtig du hast versucht den SSL Client VPN einzurichten? Wenn du dort einen Benutzer anlegst kannst du sagen in welches Zeil Netzwerk oder zu welchen Ziel Host der VPN User zugreifen darf. Sobald du dies machst wird dies im Hintergrund automatisch in die Konfiguration miteingetragen davon siehst du nichts. Erst jetzt wenn das alles gespeichert wurde ladest du dir die Config für das passende Endgerät herunten und öffnest zb am iphone den Open VPN Client oder unter Windows gibt es eine Fertige .exe die du aus der Sophos herunterladen kannst. Diese beinhaltet den Open VPN Client und das Zertifikat für den jeweiligen Benutzer den du erstellt hast. Du musst ich um nichts kümmern nur herunterladen und installieren. Am Smartphone musst du nur die Config in das Open VPN App importieren und das wars.
    Wenn du z.b eingetragen hast für User: Test er darf in das Internal LAN dann bekommst du beim installieren oder importieren automatisch durch die Kofiguration das Push für die Open VPN Config mit bzw ruft der Open VPN Client dies von der Sophos beim connect ab und trägt z.b mit ROUTE ADD 192.168.0.0. 255.255.0.0 zb das ganze Netz 192.168. ein. Dies wird durch den Client automatisch gepusht und eingetragen. Bitte nichts in der Config ändern.

    Ich hoffe konnte dir etwas helfen bei fragen einfach schreiben.

    @ Michael ich hoffe es störrt dich nicht das ich etwas dazu geschrieben habe.

    LG Alex

    Antworten
  6. Alex

    Aja noch dazu wennd u einen User erstellst gibt es einen Haken Automatische Firewall Regel erstellt diesen am besten setzen dann legt die Sophos dies automatisch an und du musst keine Regel unter Firewall erstellen. Würde ich dir empfehlen. Also die Regel von dir rausnehmen und Haken setzen „Automatische Firewall Regel“

    Antworten
  7. Thomas

    Hallo Alex,
    hallo Michael,

    erst mal Danke für eure Antworten. Nun zu meinem Problem. Es besteht immer noch. Zunächst sei gesagt, das ich NICHT mit der UTM9 arbeite, sondern mit der Firewall-XG (Nachfolger der UTM?). Ich habe folgendes Setup bei mir Daheim: Internet –> FritzBox (192.168.0.1) –> Sophos Port1 (192.168.0.2) –> Sophos Port2 (192.168.2.1)–>HP Switch –> Rest meiner EDV. Wenn ich mich per OpenVPN einlogge, kann ich problemlos auf das Internet sowie die FritzBox zugreifen. Nur in das Interne Netz lässt die Sophos mich nicht. Gerne kann ich auch mal Screenshots anfertigen. Möchte hier aber den Blog nicht spammen.
    Ich habe eine Regel das JEDER von VPN ins LAN kommt. Und wenn ich eine Verbindung mit PPTP herstelle funktioniert das auch. Nur eben mit OpenVPN nicht.

    Antworten
    1. Michael Klehr Beitragsautor

      Alles kein Problem. Hast du eine Netzwerkdefinition z.B. NET_192.168.2.1 angelegt und diese im SSLVPN auch eingetragen? Das Netz .2.1 muss auf den Client gepusht werden.

      Antworten
  8. Alex

    ok wenn ich das richtig verstehe nutzt du die fritzbox als router ins netz durch deinen ISP und dahinter die Sophos. die Sophos bekommt auf WAN eine interne IP deiner Fritz Bos somit bist du hinter NAT durch die Fritz Box dann hast du ein 2tes SubNetz .2.1 dahinter in dein internes LAN so wie Michaek richtig schreibt musst du 2.1 Netz auch eintragen sonst weiss die Sophos ja nicht in welches Netz du routen willst eigentlich ist diese Konfig NAT auf NAT ich mein ich habe keine Fritz Box aber kann man die nicht in den Switched Mode versetzen das du direkt auf der Sophos WAN die externe IP hast dann wäre es besser anstatt einer internen IP der Fritz Box. Bitte verbessert mich wenn ich falsch liege aber dies ist meine Meinung.

    LG Alex

    Antworten
  9. Thomas

    Hallo Alex,
    hallo Michael,

    Problem ist gelöst. 🙂
    Ich hatte echt vergessen das 2te Subnetz einzugeben (192.168.2.0) weil ich davon ausgegangen bin, das wenn ich mich per VPN einlogge und ich die IP 10.81.234.X habe und die Regel VPN –> LAN habe, das dies ausreicht. Habe ich wohl missverstanden. Aber man lernt ja nicht aus 🙂 Hatte echt gedacht das der Intern automatisch von der 10.81.234.X auf die 192.168.2.X routet.

    Also Danke nochmals für diesen Wach rüttler 🙂

    Danke euch beiden. Bin jetzt Super Happy 🙂

    Antworten
    1. Resul Özcelik

      Hi Thomas,

      habe das selbe Problem mit VPN. Die Zusammenhänge verstehe ich noch nicht ganz richtig. Wäre es möglich, dass Du ein Tutorial mit Bildern über Deinen Lösungsweg veröffentlichst?

      Antworten
  10. Ingo

    moin

    das Problem mit der Provider Fritze hatte ich auch.
    nun hab ich ein vdsl modem (wr0500ac) am anschluss und die utm macht pppoe.
    damit hat man wirklich alle Funktionen und kein doppelnat
    die fritze ist nur ip-client – nur voip (o2) und wlan

    allerdings hatte ich beim ip-sec der fritzbox ca. 6-7mbit von durchsatz
    bei 10mbit upload vdsl
    bei dem ssl vpn der sophos schaffe ich nur ca. 4mbit ?!?

    hab schon auf udp gestellt und auch die tun-mtu verringert
    default steht die ja bei 1500, nun 1400

    aber geht nicht
    getestet mit android und open vpn

    gruß Ingo

    Antworten
  11. Sebastian

    Hallo Michael,
    ich bin auch kein Gewohnheitstier … an die umständliche Benutzeroberfläche könnte ich mich noch gewöhnen, aber die gesamte Einbindung ins Microsoft AD mit den *nicht* automatisierten Nutzerimport-Möglichkeiten ist wirklich eine Katastrophe. Warum muss ich plötzlich zusätzliche Software auf meinen AD-Servern installieren? Oder nach manuellen Import: Warum muss ich gelöscht AD-Nutzer manuell in der XG löschen?

    Das ärgert mich wirklich tierisch. Der einzige Vorteil scheint mir zu sein, dass Laien weniger Fehler bei der Konfiguration machen, indem alle Funktionalitäten (IDS; AV; Paket-Filter; Nutzerkreis) in einer einzigen Regel definiert werden (ähnlich wie bei er ZyWall).

    Naja, es gibt noch viele Kleinigkeiten, welche nicht vorhanden sind. Schade, dass die SG in XG konvertiert werden kann, aber nicht anders herum!

    Sebastian

    Antworten
  12. Resul Özcelik

    Hi Michael,

    habe die XG Home als VM bei mir zuhause am laufen. Läuft soweit, aber jetzt wollte ich mich mal daran setzen, mein Exchange 2013 dahinter zu klemmen. Mein Englisch ist nicht wirklich gut, mit Anstrengung versuche ich mich durch die komplexen englischen Texte voranzuarbeiten. Meine Frage ist, ob Du eine Deutsche Administrationsanleitung dafür kennst? Ich habe die englische gefunden,da ist ja eigentlich alles erklärt, die brauche ich auf Deutsch. Für Tipps wäre ich sehr Dankbar

    Antworten
    1. Michael Klehr Beitragsautor

      Ich versuche das mal in meiner virtuellen Installation zu klicken, denn ich habe keine XG im Einsatz. Ich bleibe vorerst der UTM 9.x treu…..

      Antworten
  13. Frank Fiene

    Oh Mann, endlich jemand, der mir aus der Seele spricht.

    Ich habe das Teil auch schon mehrmals auf einer VM installiert.
    Schonmal versucht ein Telnet auf das System zu machen?
    Da ist man gleich in der Konfig, ohne PW. Und Telnet geht auch mal gar nicht.
    Und die sollen mir bloß nicht kommen mit: den Admin-Port durch Firewall-Regeln absichern!

    Dann: wo ist mein Linux-OS? Ich sehe nirgendwo, wo ich in der Konsole mit tail, grep etc. vernünftig Logs durchsuchen zu können. Ich muss dazu sagen, ich bin Linux-User der ersten Stunde. Ich will mich nicht umgewöhnen. Außerdem bin ich OpenSource-Fan.

    Dann weiß ich nicht, welche Software dort läuft. Mir war schon zuwider, dass Sophos den Squid nicht mehr genutzt, sondern wieder das Rad neu erfunden hat. Einen nginx sehe ich da auch nicht.

    Und wo sind meine iptables-Befehle? Was läuft denn da für ein Kernel?
    Wieder das Rad neu erfunden? Ich habe selber am Knetfilter-Framework mit entwickelt und mein Kumpel Harald Welte hat das Projekt damals für Astaro vorangetrieben.

    Ich werde mir das nochmal anschauen, wenn alle Funktionen verfügbar sind.
    Aber so wie es jetzt aussieht, werde ich wohl für unsere Gruppe selber eine Firewall bauen.
    Die XG werde ich nicht einsetzen, eher den Anbieter wechseln, sollten die die UTM einstallen.

    Also Umsatz für ca. 20 (jetzt) SG-230, 4 SG-330, 6 SG-135 und zwei (noch) UTM-650-10G weg.
    Das Geld werden dann andere verdienen oder wie gesagt, ich baue das selber.

    *Kopfschüttel*

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*