Konfigurationsbeispiele für die Sophos UTM Astaro und Lancom Router & APs
Next-Gen Firewall Sophos UTM 9
Lancom VPN Router und Wireless APs
IPv6 - Internet Protocol Version 6
Email Protection & DomainKeys Identified Mail DKIM
Sicherstellung der Authentizität von E-Mail-Sendern
Mit DKIM werden E-Mail-Header und Body digital signiert um die
Authentizität des Absenders zu garantieren. Mails werden 
Email Protection Grundkonfiguration
Sophos UTM als SMTP Proxy mit AD-Anbindung
D
ie Sophos UTM (Astaro) bietet als Next Generation Firewall einen sicheren und
sehr guten SMTP-Proxy/Mailproxy, die nur in Verbindung mit einem 
WebAdmin - neues (Wildcard)Zertifikat - OpenSSL Heart bleed Patch
Update 9.201-23
Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)
Nach dem Schließen der OpenSSL Sicherheitslücke durch den Patch
empfiehlt Sophos die CA und das Zertifikat für 
Site-to-site VPN Sophos UTM
UTM <-> UTM
UTM <-> Lancom VPN Router
Lancom VPN Router <-> Lancom VPN Router
Eine Site to Site VPN verbindet 2 oder mehrere Netzwerke an verschiedenen Standorten
über eine gesicherte Verbindung durch das Internet,
SMTP Proxy Profile Mode: Ein MX, mehrere Domains und Exchange Server
Email Protection SMTP Profile - Multidomain
Die Sophos UTM Email Protection kann im SMTP Profile
für verschiedene Mail-Domänen als MX und 
| weiterlesen ...
Installation - Setup Sophos UTM mit Grundeinrichtung
Installation der Sophos UTM 9.2
Die Sophos UTM lässt sich so ziemlich auf jeder Hardware installieren,
lediglich bei den unterstützten Netzwerkkarten 
Sophos UTM 9.2 Update verfügbar - 9.201-23 Heart bleed Patch
Unter ftp://ftp.astaro.com/pub/UTM/v9/up2date/ findet sich die Datei
u2d-sys-9.109001-200011.tgz.gpg, mit der die Version 9.109-1 
Eigener MX -Mailexchange- & Smarthost mit fester IP
Mail Exchange Resource Record & Smarthost
Diese Anleitung stellt einen einfachen und sicheren Aufbau für einen
eigenen MX mit SMTP-Proxy/Mailproxy und Smarthost 
IPv6 Aufbau und Besonderheiten
IPv6 - Aufbau & Basics
Dieser Artikel beschreibt IPv6 nicht vollständig, sondern nur vereinfacht: Das
Wesentliche für eine Implementierung. Es sollte immer Dualstack
Email Protection - SMTP-Relay erlauben
SMTP-Relay hostbasiert und per SMTP-Auth erlauben
Die Sophos UTM (Astaro) als Smarthost bietet mehrere Möglichkeiten
den SMTP Relay für User, Hosts und Netzwerke zu 
IPv6 Smarthost & MX mit RDNS / PTR
IPv6 Smarthost/MX über Tunnelbroker oder Native IPv6
IPv6 für einen Smarthost/SMTP-Relay benötigt auch einen
RDNS/PTR, sonst - wird wie auch bei IPv4 -
Update ESXi 5.1 per SSH/Putty
Update VMware vSphere Hypervisor ESXi 5.1 per SSH
Für den ESXi 5.1 gibt es eine Reihe von Updates, alle bis zum 16 Januar 2014
sind im 'VMware ESXi 5.1, Patch ESXi510-Update02: ESXi 5.1 Complete Update 2 (2062314)'
VLAN Tag einrichten - IEEE 802.1Q
VLAN Tagging am Beispiel von verschiedenen Switchen und Routern
VLAN werden eingerichtet, um in der gleichen physikalischen Infrastruktur
Netzwerke zu trennen und somit zu sichern. Optional kann man VLAN
| weiterlesen ...
Update ESXi 5.1 auf 5.5 per SSH/Putty | ESXi 5.5.5
Update VMware vSphere Hypervisor ESXi 5.1 auf 5.5 per SSH
Für den ESXi 5.1 gibt es ein Update auf ESXi 5.5, welches man als Datei
von VMWare.com herunterladen und mit
Webproxy - Web Filtering Exceptions/Ausnahmen
Diese Liste umfasst alle Exceptions/Ausnahmen des Webproxys
der Sophos UTM 9.1 und 9.2, die im Standard eingerichtet sind. Oft
Zeitsynchronisation in der Domäne
Zeitabgleich in einer Domäne - schnelle Lösung
Zeit/NTP ist in einer Windows Domäne wichtig und wird für viele Dienste
wie Kerberos und DFS benötigt. Der Zeitabgleich
Webserver Protection für virtuelle Webserver (VMWare ESXi)
Sophos UTM Webserver Protection für virtuelle Webserver mit VMWare ESXi
Die Webserver Protection der Sophos UTM Astaro stellt eine sichere und
sehr performante Lösung für den Betrieb eines eigenen
Sophos UTM 9 - IPv6 über Tunnelbroker
IPv6 über einen Tunnelbroker bei Internetzugang mit fester IPv4
IPv6 ist so konzipiert, dass jeder Host des Netzwerkes eine Global-Unicast-Adresse bekommt,
also eine öffentliche IP-Adresse. Bei IPv6 gibt es also kein NAT/Masquerading
E-Mail Absender Fälschung mit SPF, DMARC & DKIM verhindern
Verifizieren von eingehenden Mails und signieren von Ausgehenden
Einen Email-Absender zu fälschen, um z.B. Spam- oder Phishing-Mails zu versenden ist
denkbar einfach und wird millionenfach jeden Tag gemacht. Als Gegenmaßnahme
Remote Access über SSL
Remote Access über SSL VPN mit AD-Usern Auth
Remote Access mit SSL Port 443 bietet sichere und zuverlässige
Technik, um eine mobile Einwahl zu realisieren,
Sophos UTM Email Protection & Exchange 2013 IPv6
Konfiguration Exchange 2013 und Sophos UTM SMTP Proxy
Bei der Konfiguration von Exchange 2013, Sophos UTM Astaro als
Smarthost/SMTP Proxy mit IPv6 sind einige Einstellungen 
Gast WLAN mit Sophos UTM 9 & Lancom AP
Gastzugang WLAN über die Wireless Protection mit Firewall und Application Control abgesichert
Erstellung eines Gast-WLAN mit Hotspot / Public Spot (Sophos UTM),
genutzt wird alternativ ein (oder mehrere) APs von Lancom. 
Lager WLAN mit Sophos UTM 9 & Lancom AP
Wifi Netzwerk durch Sophos UTM Firewall und MAC Filter abgesichert
Einrichtung eines WLAN für ein Lager, genutzt wird alternativ ein
(oder mehrere) AP von Lancom und als Firewall die Sophos
Starface TK Installation mit ESXi und Sophos UTM Astaro
Virtuelle Starface VoIP-Telefonanlage & Sophos UTM Astaro
Die Starface Telefonanlage gibt es in 3 Ausführungen, Appliances,
Cloud Server und VM-Edition. Hier wird die Installation
Komplettrouting einer Niederlassung über S2S VPN
Angebundene Niederlassung über Site to Site VPN ohne lokalen Breakout
Es ist möglich den ganzen Traffic einer Niederlassung inkl. Internet komplett
über die Hauptstelle zu routen, das kann aus Sicherheitsgründen
VPN-Verbindungen mit XAUTH
VPN-Verbindungen Sophos UTM <-> Lancom zusätzlich mit XAUTH schützen
Um die Standortvernetzung (Site to Site VPN) noch sicherer zu gestalten
kann zusätzlich noch XAUTH im Lancom VPN Router und
Sophos UTM als CA - Wildcard SSL Zertifikat erstellen
Wildcard SSL Zertifikate für Webserver selber erstellen
Bei der Installation der Sophos UTM Astaro wird automatisch eine VPN Signing CA
= Certification Authority - Zertifizierungsstelle für digitale Zertifikate
DHCP Relay Site-to-Site VPN
DHCP-Relay durch S2S IPSec Tunnel
DHCP-Relay bedeutet, dass es nur einen zentralen DHCP Server für
alle Netzwerke und Standorte (angebunden über Site-to-Site)
DNS-Einrichtung Sophos UTM 9
Einrichtung von DNS in der Sophos UTM
Funktionierendes DNS ist für das AD, im Internet und auch
für die Sophos UTM notwendig. Die interne (AD)
Authentication Servers - Active Directory SSO
Authentifizieren von Active Directory Usern an der Sophos UTM 9
Unter "Authentication Servers" kann konfiguriert werden, an welchen
Servern die Sophos UTM Astaro AD-User abgefragen und
WLAN Lager, Intern, Gast mit Lancom AP und IPv6
IPv6 für WLAN Netzwerke mit Sophos UTM 9 und Lancom Wireless AP
Bei mehreren getrennten IPv4 Netzwerken ist die Umsetzung von IPv6 nur mit einem
/64 Netzwerk möglich, zumindest was die Anzahl der Hosts in einem
Webserver-Verzeichnisse für externen Zugriff sperren mit Webserver Protection WAF
Verzeichnisse und/oder Dateien über die Site Path Routing der Sophos UTM Astaro WAF schützen oder umleiten
Klassischer Weise werden Verzeichnisse und Dateien auf Webservern
mit .htaccess geschüzt, dazu muss man auf dem
WPAD - Angabe des Webproxy für Browser und andere Clienten
Angabe des Web-Proxy über WPAD für Browser und andere Clienten
Das Web Proxy Autodiscovery Protocol (WPAD) gibt Clienten in einem
Netzwerk den Web-Proxy und den Port des Web-Proxys an. Jeder
SPF - MX & Sender Policy Framework
SPF - Sender Policy Framework
Ein SPF ist ein DNS TXT Record einer Domain der abgefragt wird, um zu überprüfen,
ob die IP des Mailsender auch berechtigt ist, für diese Domain Mails
Email Verschlüsselung mit S/MIME CA & public / private Key
Asymmetrische E-Mail Verschlüsselung mit S/MIME - Secure Multipurpose Internet Mail Extensions
Die Email Protection der Sophos UTM Astaro verschlüsselt Mails mit einer
Email encryption certificate authority (CA), offiziell gültig oder
Internes WLAN mit Sophos UTM 9 & Lancom AP
Wifi Netzwerk durch Sophos UTM Wireless Protection & Firewall abgesichert
Einrichtung eines WLAN für den internen Gebrauch,
genutzt wird ein (oder mehrere) AP(s) von Lancom
Sophos UTM 9 Astaro Socks 5 Proxy für Skype
Freigeben von Skype für User oder Usergruppen
Skype nutzt im Standard den erkannten Proxy (durch WPAD) des Netzwerkes und verbindet sich
gesichert über HTTPS mit einem Server. Das SSL Zertifikat dieser
Application Control Sophos UTM 9
"The Application Control functionality of UTM allows you to shape and block network traffic based on the type of traffic."
Konkret gemeint ist, daß Traffic, der durch die UTM geht,
"beschleunigt" oder blockiert werden kann, aber nicht
Sophos UTM AP 5 10 30 50 für Wireless Protection
Sophos UTM Wireless Protection und Sophos Access Points
Von der Firma 
gibt es -passend
zur Sophos UTM Astaro- eine Reihe von 