Pi Hole und Sophos UTM

Liebe Sophos Community,

ich beschäftige mich seit einiger Zeit mit der Sicherung meines privaten Netzwerkes. Daher habe ich seit einem Jahr folgende Konfiguration:

  1. Speedport smart der Telekom
  2. Sophos UTM
  3. Heimnetzwerk mit allen Geräten

Ich spiele nun mit dem Gedanken mir einen Raspberry Pi mit Pi Hole in dem Netzwerk zu integrieren. Nun meine vielleicht etwas „dumme“ Frage. Muss ich den Raspberry Pi zwischen Speedport und UTM setzen oder zwischen UTM und Heimnetzwerk? Ich will vermeiden durch den Einsatz des Pi Hole die Sicherheit der UTM auszuhebeln.

Vielen Dank für eure Hilfe.

Vielen Dank

Christian

  • If your PI has an attack surface, you need to plan its defense.  UTM is the obvious answer.   You have not explained what you want PI to do or why it should bypass UTM.

    The usual way to bypass UTM would be to put it parallel with UTM, not in-line with it.

  • Hi Christian,

    PiHole ist ein DNS Server, der sich regelmäßig eine Liste mit Werbe Domains runterläd und für diese die Loopbackadresse zurückgibt.

     

    in deinem internen Netz haben die Clients vermutlich die UTM als DNS Server eingetragen - das ist erstmal auch gut und richtig.

     

    Die UTM bietet ähnliche Schutzmechanismen (wobei Werbung durch Schädlichen Content zu ersetzen ist ;) )

    damit du beides kombinieren kannst würde ich folgendes vorschlagen:

     

    - PiHole in das interne Netz (Raspberry PI ist ein DevBoard, das ding ist nicht auf sicherheit ausgelegt)

    - Clients behalten die UTM als DNS Server eingetragen

    - in der UTM legst du als DNS Forwarder eine Verfügbarkeitsgruppe an, in dieser trägst du an erster Stelle dein PiHole ein und an zweiter stelle irgendeinen öffentlichen DNS

    damit hast du sichergestellt, dass solange der Pi läuft (die Teile verrecken im Dauerbetrieb auch gerne mal), deine DNS Anfragen sowohl von der UTM von Schädlichen Servern, als auch durch Pihole von Werbung befreit werden.

    Wenn der Pi aus ist, nimmt die UTM den Public DNS als Forwarder und du kannst trotzdem Surfen - dann halt wieder mit Werbung.

    Beispiel:

    Gruß Lukas

  • In reply to lna:

    Vielen Dank für die detailliert Antwort, die das wiedergibt was ich geahnt habe. 

     

  • In reply to lna:

    Hi, warum nicht anders herum? In den DHCP Einstellungen der UTM den Pi als DNS Server für die Clients eintragen, im DNS Forwarder der UTM die DNS des ISP aktivieren und öffentliche DNS eintragen und dann im Pihole als Upstream DNS  Server die UTM IP (+Port 53) eintragen?

    Funktioniert ebenfalls? Geht halt zuerst über den Pi und dann erst in die UTM. Problematisch?

  • In reply to Chris Jones9:

    Hi Chris,

    deine Variante würde im Normalbetrieb auch funktionieren.

    In der Verfügbarkeits- und Sicherheitsbetrachtung komme ich zu foldenden Überlegungen:

    - wenn die UTM nicht verfügbar ist geht kein Internet (unabhängig davon ob der interne DNS Server ein Pi oder die UTM ist)

    - mir sind schon mehr PIs (hauptsächlich die SD Karte) kaputt gegangen als UTMs (selbst im vergleich zu Eigenbau-UTMs), die Belastung der SD Karte bei dem Standardlogging vom PiHole ist nicht zu vernachlässigen.

    - Der Pi liefert eine Komfortfunktion indem er Werbung ausblendet (wenn kaputt und Internet geht trotzdem, ist das nicht schlimm)

    - Die UTM liefert Schutzfunktionen und aktualisiert ihre Pattern unter umständen schneller als die TTL der Einträge ausläuft in der der Pi seinen Cache pflegt.

     

    Per Verfügbarkeitsgruppe kann die UTM erkennen, dass der Pi nicht verfügbar ist und einen anderen Forwarder verwenden.

     

    Daraus ergibt sich für mich, dass die Clients sinnvollerweise erst die UTM fragen und diese den Pi.

     

    Gruß Lukas

  • In reply to lna:

    Leider ot aber:

    Der pi kann mittlerweile per usb genutzt werden komplett ohne sd Karte.

    Das Thema Verfügbarkeit klingt interessant da muss ich mich mal einlesen.

  • In reply to lna:

    Nochmal eine "ganz blöde Frage": Was trage ich denn im Idealfall im Global - Reiter bei den DNS Einstellungen ein, je nach Szenario?

     

    Szenario A: UTM DHCP / dort PIHOLE als einzigen DNS eintragen --> UTM DNS --> als Forwarder den PIHOLE setzen --> Im PIHOLE als Upstream DNS Server z.B. Google setzen.

    Szenario B: UTM DHCP / dort die interne IP der UTM als einzigen DNS eintragen --> UTM DNS --> als Forwarder den Google DNS setzen --> im PIHOLE als DNS Upstream: IP der UTM #53 

     

    Ich hatte schon beide Varianten im Einsatz, momentan Variante A. Ich sehe im PIHOLE nicht mehr, welcher Client was anfragt im PIHOLE, weil alles über die UTM kommt, aber das ist erstmal nicht so schlimm. 

    Sehe ich es richtig, dass der Global - Reiter nur die Funktion übernimmt, dass ich in den FW - Regeln keine eigene DNS Regel erstellen muss? 

    Bei Szenario A kann ich nämlich den Global - Reiter leer lassen und ebenso die FW - Regel "INTERNES NETZWERK --> DNS --> ANY (oder INTERNES NETZWERK) löschen, denn der DHCP gibt die Anweisung die UTM als DNS zu nehmen und die UTM forwarded direkt auf den PIHOLE.

    Bei Szenario B muss ich im Global - Reiter das INTERNE NETZWERK als zugelassen setzen, ebenso muss ich noch zusätzlich eine manuelle FW Regel erstellen mit: "INTERNES NETZWERK --> DNS --> INTERNE ADRESSE", damit die Anfrage nach Verarbeitung im PIHOLE auch auf der UTM landet (und von dort aus dann auf die Public DNS weitergeleitet wird).

    Ist das korrekt so? 

  • Hi,

    warum nicht einfach die Ad-Block Listen nehmen die Pi-Hole nutzt und in die Sophos die URLs eintragen? Effekt ist doch am Ende gleich und du hast mehr Performance.
    Nachteil: Du muss die Listen ein mal pro Monat abgleichen. In der Regel kommen aber nicht so viele neue Domains dazu. Oder taucht dann die Sophos Meldung auf, dass die Website geblockt wurde?

    Ansonsten wäre die richtige Einstellung:

    - in Pi-Hole upstream Server nur die Sophos eintragen.
    - die Clients sollen vom DHCP Srver nur die DNS IP vom Pi-Hole verteilt bekommen
    - in Sophos DNSsec aktivieren und unter DNS Forwarder nichts eintragen, damit Sophos per DNSsec NUR mit den DNS Root Servern spricht.

    Komm. Ablauf: Clients fragt direkt den pi-hole, wenn pi-hole nichts hat, fragt dieser die Sophos. Hat Sophos nichts im Cache, wird in der Regel so sein, dann leitet Sophos DNS Proxy über DNSsec die Anfragen weiter an DNS Root Server. Sichere und Datenschutzfreundliche Konstellation