Wer hĂ€ufig Sophos Firewalls installiert und von Grund auf konfigurieren muss wird das Problem kennen. Es fehlen diverse Standardobjekte fĂŒr Hosts und Dienste. ZusĂ€tzlich gibt es diverse Konfigurationen die man immer wieder vornimmt und auch immer gleich sind. Abhilfe schafft die hier angebotene erweiterte Sophos Firewall Basiskonfiguration/Standardkonfiguration zum Import ĂŒber das Webinterface.
Einleitung
Die hier angebotene erweiterte Sophos Firewall Basiskonfiguration/Standardkonfiguration enthÀlt Konfigurationen aus den verschiedensten Bereichen. Alle enthaltenen Anpassungen sind Standards die ich in meinen Installationen immer wieder vornehme. Ab und an erweitere ich die Konfiguration. Fehlt eurer Meinung nach etwas? Teilt es uns in den Kommentaren mit!
Umfang der Konfiguration
Was ist enthalten?
Zero-day protection - Datacenter auf Frankfurt
Firewallregeln (Die Regeln mĂŒssen manuell aktiviert werden) - REJECT and Log Regel am Ende des Regelwerks fĂŒr Datenverkehr von Intern zu allen Zielen - Drop and Log Regel am Ende des Regelwerks fĂŒr Datenverkehr von Extern zur Firewall
Web Protection / Mail Protection - File Types fĂŒr Office Macro Dateien
Wireless - Deaktivierung der Default SSID "GuestAP" falls vorhanden (lĂ€sst sich ĂŒber Import nicht löschen) - Deaktivierung der Default SSID "Sophos" falls vorhanden (lĂ€sst sich ĂŒber Import nicht löschen)
Network - Standard DNS Server auf 8.8.8.8, 1.1.1.1 und 8.8.4.4
Hosts - Host Objekte fĂŒr interne IP Bereiche 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 - FQDN Objekte und Gruppe fĂŒr die von Sophos Firewall verwendeten Dienste (Quelle: Sophos)
Services - Service Objekte fĂŒr fehlende Standarddienste wie z.B: Active Directory, RDP, SMB, WebProxy, Sophos WebUI, Teamviewer AD Objekte: Dienste einzeln, zusammengefasst als single Service oder als Service Gruppe
Administration - Deaktivierung des Sophos Assistent - Zeitserver auf "predefined servers"
Backup and Firmware - Pattern Updates jede Stunde
Modules - Unload SIP (muss sonst in der CLI gemacht werden) - Unload H323 (muss sonst in der CLI gemacht werden)
Was ist (noch) nicht enthalten?
Folgende Host Objekte können separat geladen und installiert werden. Das Angebot wird hier nach und nach erweitert. Sollte die Konfiguration nicht verlinkt sein, ist sie noch nicht fertig đ
- Objekte fĂŒr Sophos Central Mail
- Objekte fĂŒr Sophos Central Admin
- Objekte fĂŒr Sophos AD Sync utility
- Objekte fĂŒr Sophos Intercept X Advanced with XDR and MTR Standard
FĂŒr welche Firmware ist der Import geeignet? Erstellt und getestet ist der Import fĂŒr SFOS >= 19.5.1. Bei frĂŒheren Versionen dĂŒrften nicht vorhandene Konfigurationen in der Regel beim Import ignoriert werden.
Wie kann sichergestellt werden, dass der Import keine Backdoor oder anderes einbaut? Entpackt einfach die TAR-Datei und öffnet die enthaltene XML Datei im Editor. Die Konfiguration steht hier im Klartext. Es ist nur die oben genannte Konfiguration enthalten.
Import in die Firewall
Achtung
In diesem Fall unnötig da wir hier keine wirkliche Gefahr sehen, aber trotzdem der wichtige Hinweis: Wir ĂŒbernehmen keine Garantie fĂŒr Fehler oder SchĂ€den die der Import unserer Konfiguration verursachen könnte. Um sicher zu gehen ist der Test des Imports in ein Testsystem zu empfehlen.
Der Import ist sehr einfach. Laded die unten angebotene Datei herunter und uploaded die Datei dann in die Firewall ĂŒber den Konfigurationspunkt: Backup & firmware >> Import export >> Import
Hallo,
vielen Dank fĂŒr die Basiskonfiguration. Die hat mir einiges erleichtert bei der Konfiguration von neuen Firewall! Ich bin auf Erweiterungen gespannt đ
GruĂ, Daniel
Hinterlass gerne einen Kommentar und teile uns Deine Meinung mit! Das hilft uns, die Tools zu verbessern und weitere spannende Entwicklungen voranzutreiben.
Hallo,
vielen Dank fĂŒr die Basiskonfiguration. Die hat mir einiges erleichtert bei der Konfiguration von neuen Firewall! Ich bin auf Erweiterungen gespannt đ
GruĂ, Daniel