Pi Hole und Sophos UTM

Liebe Sophos Community,

ich beschäftige mich seit einiger Zeit mit der Sicherung meines privaten Netzwerkes. Daher habe ich seit einem Jahr folgende Konfiguration:

  1. Speedport smart der Telekom
  2. Sophos UTM
  3. Heimnetzwerk mit allen Geräten

Ich spiele nun mit dem Gedanken mir einen Raspberry Pi mit Pi Hole in dem Netzwerk zu integrieren. Nun meine vielleicht etwas „dumme“ Frage. Muss ich den Raspberry Pi zwischen Speedport und UTM setzen oder zwischen UTM und Heimnetzwerk? Ich will vermeiden durch den Einsatz des Pi Hole die Sicherheit der UTM auszuhebeln.

Vielen Dank für eure Hilfe.

Vielen Dank

Christian

  • If your PI has an attack surface, you need to plan its defense.  UTM is the obvious answer.   You have not explained what you want PI to do or why it should bypass UTM.

    The usual way to bypass UTM would be to put it parallel with UTM, not in-line with it.

  • Hi Christian,

    PiHole ist ein DNS Server, der sich regelmäßig eine Liste mit Werbe Domains runterläd und für diese die Loopbackadresse zurückgibt.

     

    in deinem internen Netz haben die Clients vermutlich die UTM als DNS Server eingetragen - das ist erstmal auch gut und richtig.

     

    Die UTM bietet ähnliche Schutzmechanismen (wobei Werbung durch Schädlichen Content zu ersetzen ist ;) )

    damit du beides kombinieren kannst würde ich folgendes vorschlagen:

     

    - PiHole in das interne Netz (Raspberry PI ist ein DevBoard, das ding ist nicht auf sicherheit ausgelegt)

    - Clients behalten die UTM als DNS Server eingetragen

    - in der UTM legst du als DNS Forwarder eine Verfügbarkeitsgruppe an, in dieser trägst du an erster Stelle dein PiHole ein und an zweiter stelle irgendeinen öffentlichen DNS

    damit hast du sichergestellt, dass solange der Pi läuft (die Teile verrecken im Dauerbetrieb auch gerne mal), deine DNS Anfragen sowohl von der UTM von Schädlichen Servern, als auch durch Pihole von Werbung befreit werden.

    Wenn der Pi aus ist, nimmt die UTM den Public DNS als Forwarder und du kannst trotzdem Surfen - dann halt wieder mit Werbung.

    Beispiel:

    Gruß Lukas

  • In reply to lna:

    Vielen Dank für die detailliert Antwort, die das wiedergibt was ich geahnt habe. 

     

  • In reply to lna:

    Hi, warum nicht anders herum? In den DHCP Einstellungen der UTM den Pi als DNS Server für die Clients eintragen, im DNS Forwarder der UTM die DNS des ISP aktivieren und öffentliche DNS eintragen und dann im Pihole als Upstream DNS  Server die UTM IP (+Port 53) eintragen?

    Funktioniert ebenfalls? Geht halt zuerst über den Pi und dann erst in die UTM. Problematisch?

  • In reply to Chris Jones9:

    Hi Chris,

    deine Variante würde im Normalbetrieb auch funktionieren.

    In der Verfügbarkeits- und Sicherheitsbetrachtung komme ich zu foldenden Überlegungen:

    - wenn die UTM nicht verfügbar ist geht kein Internet (unabhängig davon ob der interne DNS Server ein Pi oder die UTM ist)

    - mir sind schon mehr PIs (hauptsächlich die SD Karte) kaputt gegangen als UTMs (selbst im vergleich zu Eigenbau-UTMs), die Belastung der SD Karte bei dem Standardlogging vom PiHole ist nicht zu vernachlässigen.

    - Der Pi liefert eine Komfortfunktion indem er Werbung ausblendet (wenn kaputt und Internet geht trotzdem, ist das nicht schlimm)

    - Die UTM liefert Schutzfunktionen und aktualisiert ihre Pattern unter umständen schneller als die TTL der Einträge ausläuft in der der Pi seinen Cache pflegt.

     

    Per Verfügbarkeitsgruppe kann die UTM erkennen, dass der Pi nicht verfügbar ist und einen anderen Forwarder verwenden.

     

    Daraus ergibt sich für mich, dass die Clients sinnvollerweise erst die UTM fragen und diese den Pi.

     

    Gruß Lukas

  • In reply to lna:

    Leider ot aber:

    Der pi kann mittlerweile per usb genutzt werden komplett ohne sd Karte.

    Das Thema Verfügbarkeit klingt interessant da muss ich mich mal einlesen.