Pi Hole und Sophos UTM

Question

Liebe Sophos Community, 
 ich besch&auml;ftige mich seit einiger Zeit mit der Sicherung meines privaten Netzwerkes. Daher habe ich seit einem Jahr folgende Konfiguration: 
 
 Speedport smart der Telekom 
 Sophos UTM 
 Heimnetzwerk mit allen Ger&auml;ten 
 
 Ich spiele nun mit dem Gedanken mir einen Raspberry Pi mit Pi Hole in dem Netzwerk zu integrieren. Nun meine vielleicht etwas &bdquo;dumme&ldquo; Frage. Muss ich den Raspberry Pi zwischen Speedport und UTM setzen oder zwischen UTM und Heimnetzwerk? Ich will vermeiden durch den Einsatz des Pi Hole die Sicherheit der UTM auszuhebeln. 
 Vielen Dank f&uuml;r eure Hilfe. 
 Vielen Dank 
 Christian

lna · Accepted Answer

Hi Christian, 
 PiHole ist ein DNS Server, der sich regelm&auml;&szlig;ig eine Liste mit Werbe Domains runterl&auml;d und f&uuml;r diese die Loopbackadresse zur&uuml;ckgibt. 
 
 in deinem internen Netz haben die Clients vermutlich die UTM als DNS Server eingetragen - das ist erstmal auch gut und richtig. 
 
 Die UTM bietet &auml;hnliche Schutzmechanismen (wobei Werbung durch Sch&auml;dlichen Content zu ersetzen ist ;) ) 
 damit du beides kombinieren kannst w&uuml;rde ich folgendes vorschlagen: 
 
 - PiHole in das interne Netz (Raspberry PI ist ein DevBoard, das ding ist nicht auf sicherheit ausgelegt) 
 - Clients behalten die UTM als DNS Server eingetragen 
 - in der UTM legst du als DNS Forwarder eine Verf&uuml;gbarkeitsgruppe an, in dieser tr&auml;gst du an erster Stelle dein PiHole ein und an zweiter stelle irgendeinen &ouml;ffentlichen DNS 
 damit hast du sichergestellt, dass solange der Pi l&auml;uft (die Teile verrecken im Dauerbetrieb auch gerne mal), deine DNS Anfragen sowohl von der UTM von Sch&auml;dlichen Servern, als auch durch Pihole von Werbung befreit werden. 
 Wenn der Pi aus ist, nimmt die UTM den Public DNS als Forwarder und du kannst trotzdem Surfen - dann halt wieder mit Werbung. 
 Beispiel: 
 
 Gru&szlig; Lukas

lna · Answer

Hi Chris, 
 deine Variante w&uuml;rde im Normalbetrieb auch funktionieren. 
 In der Verf&uuml;gbarkeits- und Sicherheitsbetrachtung komme ich zu foldenden &Uuml;berlegungen: 
 - wenn die UTM nicht verf&uuml;gbar ist geht kein Internet (unabh&auml;ngig davon ob der interne DNS Server ein Pi oder die UTM ist) 
 - mir sind schon mehr PIs (haupts&auml;chlich die SD Karte) kaputt gegangen als UTMs (selbst im vergleich zu Eigenbau-UTMs), die Belastung der SD Karte bei dem Standardlogging vom PiHole ist nicht zu vernachl&auml;ssigen. 
 - Der Pi liefert eine Komfortfunktion indem er Werbung ausblendet (wenn kaputt und Internet geht trotzdem, ist das nicht schlimm) 
 - Die UTM liefert Schutzfunktionen und aktualisiert ihre Pattern unter umst&auml;nden schneller als die TTL der Eintr&auml;ge ausl&auml;uft in der der Pi seinen Cache pflegt. 
 
 Per Verf&uuml;gbarkeitsgruppe kann die UTM erkennen, dass der Pi nicht verf&uuml;gbar ist und einen anderen Forwarder verwenden. 
 
 Daraus ergibt sich f&uuml;r mich, dass die Clients sinnvollerweise erst die UTM fragen und diese den Pi. 
 
 Gru&szlig; Lukas