Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Subscribers 9 subscribers
  • Views 1654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG Firewall - SSL-Inspection und allgemeine Frage

balombi2

Hallo zusammen, 

ich habe seit kurzer Zeit eine Sophos XG in der Home Edition.

Ich habe nun ein paar Fragen, bei denen ich nicht weiter komme.

Wie ich in der Doku gelesen habe, gibt es zwei Möglichkeiten, den Datenverkehr zu scannen und ggf. zu blockieren: Web Proxy und DPI.

Da der Web Proxy mittlerweile durch die DPI abgelöst worden ist und die DPI wohl auch mehr Leistung hat und alle TCP Ports überwacht, vermute ich, dass es ratsam ist, die DPI anstatt dem Web Proxy zu verwenden.

Ich würde gerne auch den HTTPS-Datenverkehr scannen und ggf. blockieren, wenn er Schadsoftware, etc. enthält. Es gibt für die DPI ja unter "Regeln und Richtlinien" den Reiter "SSL/TLS-Inspektionsregeln". Hier kann ich aber nur Regeln für Datenverkehr von LAN zu WAN anlegen. Meiner Meinung nach habe ich ja aber in dem Datenverkehr, der von WAN zu LAN kommt, also aus dem Internet, ein weit aus höheres Risiko, Schadsoftware, etc. zu erhalten, als in dem Datenverkehr, der von meinem LAN ins WAN geht. Deswegen würde es mir logischer erscheinen, nicht den ausgehenden HTTPS-Datenverkehr zu entschlüsseln und zu scannen, sondern den eingehenden Datenverkehr. Liege ich hier richtig und wie kann ich das mit der Sophos Firewall umsetzen ?

Gibt es außerdem eine Möglichkeit wenn die Firewall im Router-Modus verwendet wird, Benachrichtigungen per E-Mail zu erhalten, wenn sich neue, bisher unbekannte Geräte im Netzwerk anmelden ? Oder gibt es die Möglichkeit, nur bestimmten MAC-Adressen den Zutritt ins Netzwerk zu genehmigen ?

Vielen Dank im Voraus für Tipps/Hilfestellungen

balombi2



Added TAGs
[edited by: Erick Jan at 11:50 AM (GMT -7) on 9 Jun 2023]
  • +1

    Für das Aufbrechen von Datenverkehr musst der Client dem Zertifikat der Firewall vertrauen. Das ist so bei jedem Hersteller, ansonsten könnte jeder Angreifer dein HTTPS im Cafe oder ähnlichem mitlesen. Du musst aktiv dem Zertifikat vertrauen, damit du diese Man in the Middle inspection machen kannst.

    Wenn du dem Zertifikat vertraust, dann wird die Regel immer von Client to Server aufgebaut. Das bedeutet, der Client greift auf die Website (server) zu. Da die Firewall eine stateful Firewall ist, umfasst diese Regel auch alles, was vom Server zurück kommt. 

    Der Natur heraus, wie es oben steht, ist es unwahrscheinlich, dass ein Datenverkehr vom Internet zu deinem Client aufgebaut wird - So funktioniert das Internet in der Regel nicht. Außer du arbeitest mit einem DNAT und du veröffentlichst eine Ressource. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ok, dann reicht es also aus, wenn ich die DPI verwende und unter "Regeln und Richtlinien" -> "SSL/TLS-Inspektionsregeln" Richtlinien für LAN zu WAN erstelle und der Datenverkehr der dann über WAN zu LAN auf diesen ausgehenden Datenverkehr zurückkommt, wird dann ebenfalls inspiziert ?

  • 0 in reply to balombi2

    Ganz genau!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Hat jemand noch eine Idee, wie ich die E-Mail-Benachrichtigungen für neue Netzwerkgeräte bzw. einen MAC-Filter umsetzen kann ?

Unfiltered HTML