UTM 9 Home - EndPoint mit drin?!

Hi und herzlich Willkommen im Forum!

Zu deiner ersten Frage, darfst du aus den Wolken fallen [;)]
In der Home Version hast du 10 Lizenzen für die Sophos UTM Endpoint Protection.

Frage 2)
50 Benutzer heißt - jede IP, die du im Netzwerk hast und im ARP Cache landet, wird als aktive Adresse gezählt. Diese sind dann auf 50 IP Adressen beschränkt.

Nice greetings

Hi,

wenn ich es recht verstehe, sind es 50 IPs, die in den als intern definierten Netzwerken enthalten sind. Außerdem werden IPv4 und IPv6 Adressen einzeln gezählt, so daß ein Gerät mit aktivem IPv6 zwei Adressen von den 50 verbraucht.
Der erste Satz ist in sofern wichtig, daß Portscans aus irgendeinem Grund die IPs verschlingen und man dann ganz schnell den Lizenzcount überschreitet, obwohl man nicht so viele Geräte im Netz hat. Daher kann es ratsam sein, seine (als intern definierten) Netze etwas kleiner zu machen, z.B. /28, um bei einem versehentlichen Portscan nicht in Probleme zu laufen.

Hi,

wenn ich es recht verstehe, sind es 50 IPs, die in den als intern definierten Netzwerken enthalten sind. Außerdem werden IPv4 und IPv6 Adressen einzeln gezählt, so daß ein Gerät mit aktivem IPv6 zwei Adressen von den 50 verbraucht.

Ja, außerdem auch WLAN und LAN, Access Point, Switch, Playstation, Fernseher etc. etc. etc. Für den normalen Home Use Einsatz völlig ausreichend.
IPv6 nur, wenn es an der UTM aktiv ist und die mit den IPv6 Paketen auch etwas anfangen kann.

Der erste Satz ist in sofern wichtig, daß Portscans aus irgendeinem Grund die IPs verschlingen und man dann ganz schnell den Lizenzcount überschreitet, obwohl man nicht so viele Geräte im Netz hat. Daher kann es ratsam sein, seine (als intern definierten) Netze etwas kleiner zu machen, z.B. /28, um bei einem versehentlichen Portscan nicht in Probleme zu laufen.

Zu dem ersten Punkt:
Wieso sollten Portscans IPs verschlingen? Es werden nur interne IPs gezählt, welche im ARP Cache landen (das passiert auch, wenn kein Default GW eingetragen ist). Wenn der Client vorher nicht bekannt war und nicht im Cache war, dann ist der das jetzt. Das hat aber nichts mit Portscans zu tun, kannst auch nen Ping oder irgendeine andere Kommunikation machen.

Zum zweiten Punkt:
Was machst du mit dem Rest? der kommt auch an die UTM?
Durch Subnetting werden deine Geräte ja nicht weniger und ich denke nicht, dass du intern in deinem Netz anfangen willst zu NATten.

Also für Home Use, reicht!

Nice greetings

1) Such hier im Forum mal nach Portscans und Du wirst sehen, daß es da Probleme geben kann, weil irgendwas auf die Scans antwortet. Ich habe das gemacht und ich hatte auf einmal 240 aktive IPs und meine Lizenzierung war deutlich drüber. Das dürfte ein bekanntes Problem sein, wenn man den Foreneinträgen glauben darf.
2) Wenn Du Deine 10 Geräte zuhause in ein kleineres Netz steckst und dann aus Versehen eben einen solchen Portscan machst, dann verbrauchst Du nur die IPs aus dem kleinen Netz, z.B. 16 und die Gefahr, daß Du über die 50 kommst, ist kleiner. Das ist auch nur eine Vorsichtsmaßnahme, um nicht in die Portscan-Problematik zu laufen (die es Deiner Meinung nach ja gar nicht gibt [:)]). Die wenigsten Heimnetze brauchen ein /24, es ist halt überall der Default und private Adressen kosten ja auch nichts.

1) habe ich gemacht - nichts gefunden - schick nen Thread
Problem habe ich auch noch nie gehört und konnte ich auch noch nie irgendwo feststellen. Weder auf Home UTMs noch auf Software Appliances, welche produktiv im Einsatz sind und wenn es hier Probleme geben sollte, werde ich solche massiven Lizenzprobleme sofort mitbekommen.

2) völlig unnötig sich selbst auf 14 Hosts bei 50 möglichen zu begrenzen! Mal abgesehen, dass interne Kommunikation ja weiterhin funktioniert.

Nice greetings

Die Konstellation, dass wg. eines Portscans die Geräteliste geflutet wird, interessiert mich auch. Die paar Szenarien, die mir da einfallen würden, mit sehr viel Fantasie, gehören aber eher in den Bereich "selbst schuld" - gewisse Arten von "Netzwerkprofessionalitäten" gehören einfach bestraft...

Die Konstellation, dass wg. eines Portscans die Geräteliste geflutet wird, interessiert mich auch. Die paar Szenarien, die mir da einfallen würden, mit sehr viel Fantasie, gehören aber eher in den Bereich "selbst schuld" - gewisse Arten von "Netzwerkprofessionalitäten" gehören einfach bestraft...

Warum man einen Portscan vom einen internen LAN auf ein anderes internes LAN bestrafen sollte, erschliesst sich mir nicht ganz, aber Du wirst Deine Gründe haben...

Um den Thread nicht weiter zu vergewaltigen: Im Normalfall gibts mit einem einfachen /24 keine Probleme und damit sollte dem Fragesteller ja gedient sein.

Weitere Infos zum IP Count finden sich im Forum, z.B. Suche nach nmap
https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29145
https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29164
https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29369
etc.

Ist doch ganz einfach das nachzustellen. Mir ist es dummerweise letzte Woche passiert.

Per Smartphone VPN nach hause. Dort bekomme ich wie voreingestellt eine Adresse aus dem 10er Netz.
Mein "Heimnetzwerk" liegt im 192er Netz.
Nun mit dem Tool Fing auf dem Smartphone geschaut, welche Hosts im 192er Netz aktiv sind....rumps
Das hat schon gereicht!
Seit dem bekomme ich täglich die Meldung:

This email was sent by your Sophos UTM software to notify
you that you have exceeded 110% of the user count for your license!

Licensed Users/IPs: 50
Counted  Users/IPs: 253

All additional users/ips except the ones listed below will be blocked.
A 10% tolerance has already been deducted.

Please contact your Sophos Partner or Sophos to upgrade your license.

Meine gelesen zu haben, das nach 7 Tagen wieder Ruhe einkehrt.

Warum man einen Portscan vom einen internen LAN auf ein anderes internes LAN bestrafen sollte, erschliesst sich mir nicht ganz, aber Du wirst Deine Gründe haben...

Was ist daran so schwer, Inhalte zu erfassen und nicht nur eigene Interpretationen für die Argumentation zu verwenden?

Im Übrigen gilt doch: Für kleine "Home-LANs" sollten 50 IPs ausreichen. Ausnahme: Man tut Dinge, die man nicht versteht und ist dann verärgert, wenn Nebeneffekte eintreten, die man nicht will.

Hallo,

erstmal Danke für die Antworten.

Was ist daran so schwer, Inhalte zu erfassen und nicht nur eigene Interpretationen für die Argumentation zu verwenden?

Im Übrigen gilt doch: Für kleine "Home-LANs" sollten 50 IPs ausreichen. Ausnahme: Man tut Dinge, die man nicht versteht und ist dann verärgert, wenn Nebeneffekte eintreten, die man nicht will.

Die 50 IPs sollten bei den meisten Home-Benutzern ausreichen. Ich habe jetzt nicht explizit gezählt und komme vielleicht auf 20-25 IPs (ein paar Handys, Router, Switch, Access Point, Notebooks, zwei PCs, ein kleiner Server, ein paar VMs, etc.).

Die Sache mit dem IP-Scan, und weshalb hierüber so derb diskutiert wird, verstehe ich aber auch nicht so richtig. Ab und an, wenn ich neue VMs erstelle oder prüfen möchte, wieviele Geräte gerade im Netz aktiv sind, mache ich auch intern einen Portscan.

Beruflich kommt das auch häufiger vor, gerade wenn es eben kein 100%ig dokumentiertes Netz ist, was leider meistens der Fall ist. 

Insofern bin ich da schon etwas verwundert, dass ein einfacher IP-Scan ausreicht, damit die Sophos UTM denkt, es gäbe "Geister-Geräte" im Netzwerk die die Lizenz sprengen.

Ich habe mir, da ich die UTM virtuell laufen lasse, eine zusätzliche Dual-NIC bestellt und freue mich schon drauf, das ganze mal im privaten Bereich Produktiv zu testen. Ich weiß zwar noch nicht, wie ich meiner Gattin erklären soll, weshalb "die schwarze Box" (= VM-Server) jetzt ins Wohnzimmer gestellt werden muss (= an die Fritzbox, Mietwohnung, keine CAT-Verkabelung - nur DLAN) werden muss,... aber da findet sich sicher eine Lösung [:)]