Sophos Tipps & Tricks - Firewall - V21.0 Let´s Encrypt Integration

Рет қаралды 473

Күн бұрын

Пікірлер: 19

@marian-marcussuchanek8608 Ай бұрын

Super! Ich habe schon nicht mehr daran geglaubt ;-) Als ehemaliger UTM-Kunde ein lang vermisstes Feature was endlich in SFOS Einzug erhalten hat. TOP!

@SophosDACHSE Ай бұрын

Viel Spaß damit!

@kevinneufeld3195 Ай бұрын

Wenn jetzt noch DNS-Challanges möglich wären und damit Wildcard-Zertifikate gehen würden, wäre es natürlich noch schöner :) Aber schonmal Mega endlich dieses Feature zu haben

@SophosDACHSE Ай бұрын

DNS Challenge hätte einiges mehr an Entwicklung gedauert und exkludiert auch viele Kunden. Die Anzahl an Kunden, die einen API basierten DNS Provider haben, ist doch geringer, daher haben wir den Weg gewählt, der auch die UTM Firewall damals gewählt hat.

@Felix-ve9hs Ай бұрын

@@SophosDACHSEBei Sophos XGS DynDNS mit Cloudflare wird der A/AAAA DNS Record doch auch durch API Calls aktualisiert? Einen TXT Record mit der API zu erstellen wäre schön gewesen… :/

@SophosDACHSE Ай бұрын

@@Felix-ve9hs Theoretisch ja - Dafür braucht der Kunde aber einen Cloudflare Account. Wir haben uns dafür entschieden, im ersten Schritt, für alle Kunden Zertifikate anzubieten und nicht Kunden zu exkludieren.

@VolkerHett Ай бұрын

Endlich!

@Glatze603 Ай бұрын

Hi, was wenn die WAN-IP keine öffentliche IP ist oder wann wenn man hinter einem CGNAT hängt? Stichwort DNS-Challange.

@SophosDACHSE Ай бұрын

SFOS kann die Challenge auch, wie bei UTM, mittels HTTP auf eine Private IP durchführen. Es muss nur sichergestellt werden, dass die Challenge auch die Firewall auf diesem Interface trifft. Bei GCNAT wird es mit HTTP Challenge schwierig. Für das Szenario haben wir aktuell keine Lösung. Häufig ist dann jedoch auch kein WAN Zugriff möglich (HTTPS oder ähnliches). In GCNAT Szenario, warum benötigt man ein LE Zertifikat auf der Firewall? Für den Webadmin?

@Felix-ve9hs Ай бұрын

Funktioniert die HTTP-01 Challenge auch über IPv6? Bei DS-Lite wird der Zugriff vom ACME Server via IPv4 aus dem Internet nicht möglich sein.

@SophosDACHSE Ай бұрын

Nein, wird nicht funktionieren, jedoch hat man dann auch keinen Zugriff auf den Webserver. Daher kann man die Zertifikate nicht einsetzen.

@necr0vort3x Ай бұрын

Ich find es interessant.. wenn ich es genau so durchführe, bekomme ich beim Zertifikat einen Fehler mit der Meldung "http request error" - die temporäre WAF-Regel wird aber erstellt. Wenn ich dann wiederum aber hingehe und nebenbei temporär eine FW-Regel "Any to Any" aktiviere, dann funktioniert die Zertifikat erstellung. Mittels einem "Test-NetConnection" über PowerShell kann ich aber sehen, das Port 80 definitiv temporär freigegeben ist, solange die WAF-Regel vorhanden ist. Wo ist der "Fehler"?

@SophosDACHSE Ай бұрын

Wir haben in der EAP1 ein Thema mit Systemen gefunden, die Load Probleme haben. Das bedeutet, wenn die Appliance nicht viel Performance hat, dann können die Calls, die wir nutzen, nicht funktionieren. Das wird in der V21.0 GA gelöst. Wenn die Appliance hier in dem Beispiel eine Software Appliance ist, die ggf. nicht viel Performance hat, dann liegt es wahrscheinlich daran.

@necr0vort3x Ай бұрын

@@SophosDACHSE Ja, es ist definitiv eine Software Appliance - aber gut zu hören, dass das Thema schon bekannt ist, dann bin ich gespannt. :)

@Traxano Ай бұрын

Wie kann ich diesen Prozess z.B. auf ein kleines lokales AD / NAS Systeme Linux etc. Übertragen ohne das cert alle x Tage hündisch zu erneuern?

@SophosDACHSE Ай бұрын

Das ist nicht möglich und kann auch nicht adaptiert werden. Wir generieren auf der Firewall einen CSR und ist nur für die Firewall bestimmt. Wenn man das Zertifikat extern verwenden möchte, macht ggf. ein Wildcard Zertifikat mittels LEGO/Certbot mehr Sinn. Das kann man dann wiederverwenden. Die Firewall hier - Als Service - Ist nicht ausgelegt, um diese IT Administratoren Aufgabe zu übernehmen.

@Traxano Ай бұрын

@@SophosDACHSE Danke👍