Erweiterte Sophos Firewall Basiskonfiguration

Wer häufig Sophos Firewalls installiert und von Grund auf konfigurieren muss wird das Problem kennen. Es fehlen diverse Standardobjekte für Hosts und Dienste. Zusätzlich gibt es diverse Konfigurationen die man immer wieder vornimmt und auch immer gleich sind. Abhilfe schafft die hier angebotene erweiterte Sophos Firewall Basiskonfiguration/Standardkonfiguration zum Import über das Webinterface.

Einleitung

Die hier angebotene erweiterte Sophos Firewall Basiskonfiguration/Standardkonfiguration enthält Konfigurationen aus den verschiedensten Bereichen. Alle enthaltenen Anpassungen sind Standards die ich in meinen Installationen immer wieder vornehme. Ab und an erweitere ich die Konfiguration. Fehlt eurer Meinung nach etwas? Teilt es uns in den Kommentaren mit!

Umfang der Konfiguration

Was ist enthalten?

  • Zero-day protection
    – Datacenter auf Frankfurt
  • Firewallregeln (Die Regeln müssen manuell aktiviert werden)
    – REJECT and Log Regel am Ende des Regelwerks für Datenverkehr von Intern zu allen Zielen
    – Drop and Log Regel am Ende des Regelwerks für Datenverkehr von Extern zur Firewall
  • Web Protection / Mail Protection
    – File Types für Office Macro Dateien
  • Wireless
    – Deaktivierung der Default SSID “GuestAP” falls vorhanden (lässt sich über Import nicht löschen)
    – Deaktivierung der Default SSID “Sophos” falls vorhanden (lässt sich über Import nicht löschen)
  • Network
    – Standard DNS Server auf 8.8.8.8, 1.1.1.1 und 8.8.4.4
  • Hosts
    – Host Objekte für interne IP Bereiche 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8
    – FQDN Objekte und Gruppe für die von Sophos Firewall verwendeten Dienste (Quelle: Sophos)
  • Services
    – Service Objekte für fehlende Standarddienste wie z.B: Active Directory, RDP, SMB, WebProxy, Sophos WebUI, Teamviewer
    AD Objekte: Dienste einzeln, zusammengefasst als single Service oder als Service Gruppe
  • Administration
    – Deaktivierung des Sophos Assistent
    – Zeitserver auf “predefined servers”
  • Backup and Firmware
    – Pattern Updates jede Stunde
  • Modules
    – Unload SIP (muss sonst in der CLI gemacht werden)
    – Unload H323 (muss sonst in der CLI gemacht werden)

Was ist (noch) nicht enthalten?

Folgende Host Objekte können separat geladen und installiert werden.
Das Angebot wird hier nach und nach erweitert. Sollte die Konfiguration nicht verlinkt sein, ist sie noch nicht fertig 😉

  • – Objekte für Sophos Central Mail
  • – Objekte für Sophos Central Admin
  • – Objekte für Sophos AD Sync utility
  • – Objekte für Sophos Intercept X Advanced with XDR and MTR Standard
  • Objekte für M365 Services

Generelle Fragen

Für welche Firmware ist der Import geeignet?
Erstellt und getestet ist der Import für SFOS >= 19.5.1. Bei früheren Versionen dürften nicht vorhandene Konfigurationen in der Regel beim Import ignoriert werden.

Wie kann sichergestellt werden, dass der Import keine Backdoor oder anderes einbaut?
Entpackt einfach die TAR-Datei und öffnet die enthaltene XML Datei im Editor. Die Konfiguration steht hier im Klartext. Es ist nur die oben genannte Konfiguration enthalten.

Import in die Firewall

Achtung

In diesem Fall unnötig da wir hier keine wirkliche Gefahr sehen, aber trotzdem der wichtige Hinweis:
Wir übernehmen keine Garantie für Fehler oder Schäden die der Import unserer Konfiguration verursachen könnte. Um sicher zu gehen ist der Test des Imports in ein Testsystem zu empfehlen.

Der Import ist sehr einfach. Laded die unten angebotene Datei herunter und uploaded die Datei dann in die Firewall über den Konfigurationspunkt:
Backup & firmware >> Import export >> Import

Fertig 😊

Download

Urheberrecht

Die Weitergabe der Dateien ist erlaubt. Ein Verweis auf die IT-Tech.wiki Webseite wäre dabei nett.

Die öffentliche Bereitstellung auf anderen Webservern ist nicht gestattet! Bei Bedarf bitte nachfragen.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


  1. Hallo,
    vielen Dank für die Basiskonfiguration. Die hat mir einiges erleichtert bei der Konfiguration von neuen Firewall! Ich bin auf Erweiterungen gespannt 🙂
    Gruß, Daniel

WordPress Cookie Plugin von Real Cookie Banner