Sophos UTM auf eigener Hardware

Ich spielte bereits seit längerem mit dem Gedanken, mein Heimnetzwerk mit einer zentralen „Hardware-Firewall“ auszustatten. Die Vorteile liegen auf der Hand:

  • Zentrales Management der Rulesets für alle Clients
  • auch Clients ohne Firewall (Smartphones, Thinclients etc.) stehen unter Schutz
  • Zentrale Analyse des Netzwerktraffics / Logging
  • Entlastung der Clients
  • ggf. nette Zusatzfeatures wie DNS,Client-VPN sowie Site2Site VPN

Dies lässt sich jedoch ohne dedizierte Hardware kaum bewerkstelligen. Die Option der Virtualisierung ist natürlich gegeben, jedoch benötigt diese wiederum relativ starke Hardware und sollte im Hinblick auf das Thema Sicherheit (z.B. das Thema „Angriffsfläche Virtualisierungs-Schicht“) vorab kritisch bedacht werden.

Ich habe zwar entsprechend starke Hardware, möchte die jedoch aus Kosten – und Umweltgründen nicht den ganzen Tag über laufen lassen. Der Dauerbetrieb ist bei einer Firewall, die das Gateway für mein gesamtes Netzwerk darstellt, kaum umgänglich.

Also musste Hardware her, die sowohl sparsam, als auch möglichst leise, genug Leistung mit sich bringt sowie eine flexible Plattform bietet, um bei der Wahl des zu installierenden Produkts die freie Wahl zu haben.

Nach etwas Recherche habe ich mich für die folgende Zusammenstellung entschieden:

 

  • Mainboard: Intel BLKD2500CCE mit integriertem Dual 1,8GHZ Atom Prozessor
  • Gehäuse:  LC-Power 1340mi Desktop – Inkl. 75W Netzteil
  • Speicher: Kingston CL7 4GB DDR3-RAM
  • HDD: Beliebige 2,5″ SATA Platte – In meinem Fall eine 120er Vertex2 – SSD, da Geräuschlos und sparsamer. Hinsichtlich Performance tut es auch eine herkömmliche HDD im 2,5″ Format

 

Das Mainboard lässt hinsichtlich der Anschlüsse keine Wünsche offen. Die Verarbeitung ist Intel-Typisch gut. Das Gehäuse ist ebenfalls solide verarbeitet. Alle benötigen Kabel und Schrauben sind im Lieferumfang enthalten.

 

Der Einbau der Komponenten verlief problemlos. Die SSD/HDD kann mit Hilfe eines Brückenelement geschickt hängend befestigt werden.

 

Einzig die Blech-Blende für die Anschlüsse ist nicht 100% sauber verarbeitet und fordert daher etwas Nachdruck beim Einpassen.

 

Alles in Allem eine saubere und platzsparende Angelegenheit. So sieht es aus, wenn alle Komponenten fertig montiert sind.

 

Das System arbeitet komplett Lüfter – und somit auch Geräuschlos. Es können bei Bedarf zwei Lüfter nachgerüstet werden. Da bisher noch kein Sensor mehr als 60 C° erfasst hat, werde ich es fürs Erste mal dabei belassen.

 

Softwareinstallation

 

Die Hardware läuft, kommen wir zur Installation. Meine Wahl der Software viel auf die UTM in der Version 9.x aus dem Hause Sophos. Diese ist für Privatanwender völlig kostenlos und kann nach einer kurzen Registrierung hier bezogen werden.  Die Sophos UTM ist ein Produkt, dass ganz offensichtlich für den Enterprise-Markt konzipiert wurde. Dies hat für uns Heimanwender den Vorteil das die Chancen gut stehen, auch in Zukunft brav mit Updates versorgt zu werden.

Mindestens benötigt werden für die Sophos UTM: 2 Netzwerkinterfaces (zwingend !), 1,5 GHZ Prozessor, 1 GB RAM (besser 2) und 20 GB Storage.

Die Masse an Features, welche von Haus aus mitgeliefert werden sprechen für sich

  • Firewall
  • Antivirus / Antimaleware für Web, SMTP und POP Traffic
  • Webserver-Schutz
  • Mail-Verschlüsselung
  • DHCP
  • Proxy
  • Reporting
  • Client-VPN
  • Site2Site VPN
  • etc etc..

Das Tolle ist: Alle Features sind in der kostenlosen Version mit an Board. Einzige Einschränkung: Es können „nur“ bis zu 50 IP’s verwaltet werden.

Also Registrieren und .ISO herunterladen. Bitte die Software-Variante der ISO herunterladen, nicht die „Hardware-Appliance“. Der Dateiname der ISO muss mit „asg“ beginnen. „ssi“ ist falsch ! Der erste Versuch, die Installation mit einen mit Rufus bootbar gemachten USB Stick durchzuführen, endete mit der Fehlermeldung „install.tar not found“. Da ich ein externes USB-DVD Laufwerk zur Hand hatte, habe ich das ISO gebrannt und von der CD ohne Probleme installiert.

Wer kein CD/DVD – Laufwerk zur Hand hat, kann folgenden Lösungsvorschlag testen:

 

Gefunden hier

  1. Download and install ‚Universal USB Installer‘ – Universal USB Installer – Easy as 1 2 3 | USB Pen Drive Linux
  2. Download Astaro ASG v8 iso – ftp://ftp.astaro.de/Astaro_Security_…appliance/iso/
  3. Open the Universal USB Installer, for Step 1: Select the last option, ‚Try Unlisted Linux ISO (New Syslinux)‘
  4. For Step 2: Select the Astaro ISO
  5. For Step 3: Select your USB Key. I used a 512MB U3 Kingston
  6. Click ‚Create‘, Eject the USB Key and Boot your soon-to-be Astaro Box
  7. Press <Enter> to Start the Installer
  8. On the First Screen, hit Alt-F2.
  9. Follow this sequence:
    1. bash-3.2# mount /dev/sdb2 /mnt
    2. bash-3.2# cd /install
    3. bash-3.2# mkdir install
    4. bash-3.2# cd install
    5. bash-3.2# cp -a /mnt/install/* .
    6. Hit Alt-F1
  10. Finish the Installation, Reboot and Enjoy.

 

Die weitere Installation ist selbsterklärend. Einfach den Anweisungen des Assistenten folgen. Nach Abschluss der Installation kann die weitere Konfiguration via Browser unter https://interne.ip.deiner.utm:4444 erfolgen.

2 Kommentare

  • @Gorden Die Version für die Hardware Appliance (SSI) fragt bei der Installation ab, ob diverse „zertifizierte“ Hardwarekomponenten vorhanden sind. Appliance bedeutet ja, dass eine Software an eine bestimmte Hardware gebunden ist. Gemeint sind die Security Appliances von Sophos (UTM 220, 320 usf.).

  • Was genau ist der Unterschied zwischen der ISO die mit „ASG“ und der die mit „SSG“ beginnt?

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.