This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Pi Hole und Sophos UTM

Liebe Sophos Community,

ich beschäftige mich seit einiger Zeit mit der Sicherung meines privaten Netzwerkes. Daher habe ich seit einem Jahr folgende Konfiguration:

  1. Speedport smart der Telekom
  2. Sophos UTM
  3. Heimnetzwerk mit allen Geräten

Ich spiele nun mit dem Gedanken mir einen Raspberry Pi mit Pi Hole in dem Netzwerk zu integrieren. Nun meine vielleicht etwas „dumme“ Frage. Muss ich den Raspberry Pi zwischen Speedport und UTM setzen oder zwischen UTM und Heimnetzwerk? Ich will vermeiden durch den Einsatz des Pi Hole die Sicherheit der UTM auszuhebeln.

Vielen Dank für eure Hilfe.

Vielen Dank

Christian



This thread was automatically locked due to age.
Parents
  • Hi Christian,

    PiHole ist ein DNS Server, der sich regelmäßig eine Liste mit Werbe Domains runterläd und für diese die Loopbackadresse zurückgibt.

     

    in deinem internen Netz haben die Clients vermutlich die UTM als DNS Server eingetragen - das ist erstmal auch gut und richtig.

     

    Die UTM bietet ähnliche Schutzmechanismen (wobei Werbung durch Schädlichen Content zu ersetzen ist ;) )

    damit du beides kombinieren kannst würde ich folgendes vorschlagen:

     

    - PiHole in das interne Netz (Raspberry PI ist ein DevBoard, das ding ist nicht auf sicherheit ausgelegt)

    - Clients behalten die UTM als DNS Server eingetragen

    - in der UTM legst du als DNS Forwarder eine Verfügbarkeitsgruppe an, in dieser trägst du an erster Stelle dein PiHole ein und an zweiter stelle irgendeinen öffentlichen DNS

    damit hast du sichergestellt, dass solange der Pi läuft (die Teile verrecken im Dauerbetrieb auch gerne mal), deine DNS Anfragen sowohl von der UTM von Schädlichen Servern, als auch durch Pihole von Werbung befreit werden.

    Wenn der Pi aus ist, nimmt die UTM den Public DNS als Forwarder und du kannst trotzdem Surfen - dann halt wieder mit Werbung.

    Beispiel:

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

Reply
  • Hi Christian,

    PiHole ist ein DNS Server, der sich regelmäßig eine Liste mit Werbe Domains runterläd und für diese die Loopbackadresse zurückgibt.

     

    in deinem internen Netz haben die Clients vermutlich die UTM als DNS Server eingetragen - das ist erstmal auch gut und richtig.

     

    Die UTM bietet ähnliche Schutzmechanismen (wobei Werbung durch Schädlichen Content zu ersetzen ist ;) )

    damit du beides kombinieren kannst würde ich folgendes vorschlagen:

     

    - PiHole in das interne Netz (Raspberry PI ist ein DevBoard, das ding ist nicht auf sicherheit ausgelegt)

    - Clients behalten die UTM als DNS Server eingetragen

    - in der UTM legst du als DNS Forwarder eine Verfügbarkeitsgruppe an, in dieser trägst du an erster Stelle dein PiHole ein und an zweiter stelle irgendeinen öffentlichen DNS

    damit hast du sichergestellt, dass solange der Pi läuft (die Teile verrecken im Dauerbetrieb auch gerne mal), deine DNS Anfragen sowohl von der UTM von Schädlichen Servern, als auch durch Pihole von Werbung befreit werden.

    Wenn der Pi aus ist, nimmt die UTM den Public DNS als Forwarder und du kannst trotzdem Surfen - dann halt wieder mit Werbung.

    Beispiel:

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

Children
  • Vielen Dank für die detailliert Antwort, die das wiedergibt was ich geahnt habe. 

     

  • Hi, warum nicht anders herum? In den DHCP Einstellungen der UTM den Pi als DNS Server für die Clients eintragen, im DNS Forwarder der UTM die DNS des ISP aktivieren und öffentliche DNS eintragen und dann im Pihole als Upstream DNS  Server die UTM IP (+Port 53) eintragen?

    Funktioniert ebenfalls? Geht halt zuerst über den Pi und dann erst in die UTM. Problematisch?

  • Hi Chris,

    deine Variante würde im Normalbetrieb auch funktionieren.

    In der Verfügbarkeits- und Sicherheitsbetrachtung komme ich zu foldenden Überlegungen:

    - wenn die UTM nicht verfügbar ist geht kein Internet (unabhängig davon ob der interne DNS Server ein Pi oder die UTM ist)

    - mir sind schon mehr PIs (hauptsächlich die SD Karte) kaputt gegangen als UTMs (selbst im vergleich zu Eigenbau-UTMs), die Belastung der SD Karte bei dem Standardlogging vom PiHole ist nicht zu vernachlässigen.

    - Der Pi liefert eine Komfortfunktion indem er Werbung ausblendet (wenn kaputt und Internet geht trotzdem, ist das nicht schlimm)

    - Die UTM liefert Schutzfunktionen und aktualisiert ihre Pattern unter umständen schneller als die TTL der Einträge ausläuft in der der Pi seinen Cache pflegt.

     

    Per Verfügbarkeitsgruppe kann die UTM erkennen, dass der Pi nicht verfügbar ist und einen anderen Forwarder verwenden.

     

    Daraus ergibt sich für mich, dass die Clients sinnvollerweise erst die UTM fragen und diese den Pi.

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

  • Leider ot aber:

    Der pi kann mittlerweile per usb genutzt werden komplett ohne sd Karte.

    Das Thema Verfügbarkeit klingt interessant da muss ich mich mal einlesen.

  • Nochmal eine "ganz blöde Frage": Was trage ich denn im Idealfall im Global - Reiter bei den DNS Einstellungen ein, je nach Szenario?

     

    Szenario A: UTM DHCP / dort PIHOLE als einzigen DNS eintragen --> UTM DNS --> als Forwarder den PIHOLE setzen --> Im PIHOLE als Upstream DNS Server z.B. Google setzen.

    Szenario B: UTM DHCP / dort die interne IP der UTM als einzigen DNS eintragen --> UTM DNS --> als Forwarder den Google DNS setzen --> im PIHOLE als DNS Upstream: IP der UTM #53 

     

    Ich hatte schon beide Varianten im Einsatz, momentan Variante A. Ich sehe im PIHOLE nicht mehr, welcher Client was anfragt im PIHOLE, weil alles über die UTM kommt, aber das ist erstmal nicht so schlimm. 

    Sehe ich es richtig, dass der Global - Reiter nur die Funktion übernimmt, dass ich in den FW - Regeln keine eigene DNS Regel erstellen muss? 

    Bei Szenario A kann ich nämlich den Global - Reiter leer lassen und ebenso die FW - Regel "INTERNES NETZWERK --> DNS --> ANY (oder INTERNES NETZWERK) löschen, denn der DHCP gibt die Anweisung die UTM als DNS zu nehmen und die UTM forwarded direkt auf den PIHOLE.

    Bei Szenario B muss ich im Global - Reiter das INTERNE NETZWERK als zugelassen setzen, ebenso muss ich noch zusätzlich eine manuelle FW Regel erstellen mit: "INTERNES NETZWERK --> DNS --> INTERNE ADRESSE", damit die Anfrage nach Verarbeitung im PIHOLE auch auf der UTM landet (und von dort aus dann auf die Public DNS weitergeleitet wird).

    Ist das korrekt so?