Sophos UTM 9 on APU2c4

Von Alexander|August 20, 2016|19 Kommentare

Heute möchte ich mich einmal dem Thema Netzwerksicherheit widmen. Wie man aus den Medien entnehmen kann ist dies ein sehr wichtiges Thema welches leider all zu oft sehr vernachlässigt wird. Es gibt kaum einen Tag wo man nicht von Sicherheitslücken in Systemen, Viren, Ransomware oder sonstiger unerwünschter Software hört. Aus diesem Anlass werde ich in diesem Artikel kurz erklären, wie man sich selbst eine Firewall „bauen“ kann um sein Netzwerk damit zu sichern. Die Kosten der Firewall belaufen sich auf ~ 250 Euro. Die Box verfügt über 3x Lan und 1x Wlan. Somit kann das Gerät auch als Access Point genutzt werden.

Szenario:

Da ich diverse Endgeräte wie Handys, Laptops, PC und Drucker in meinem Netzwerk schützen möchte habe ich mich für eine Firewall Lösung entschieden. Hiermit ist es mir möglich den Netzwerkzugriff zu überwachen, zu filtern bzw. zu sperren. Als Software verwende ich Sophos UTM Home Edition in Version 9.4. Diese bietet den vollständigen Funktionsumfang für Heimanwender zum Null Tarif.

Die Möglichkeit einen Content Filter sowie Sophos Endpoint Protection zu nutzen runden das Gesamtpaket ab. Einzige Einschränkung der Home Version: maximal 50 User bzw. 50 IP Adressen sowie diverse Text Customisations. Das ist für den Privat Gebrauch aber kein Problem 😉

————————-                       ————————-                       ————————-
|     LAN/WLAN     |     –>            |       Firewall        |       –>           |       Internet       |
————————-                       ————————-                       ————————-

Hardware (kosten: ca. 300€) :

Software (kosten: gratis):

 

1. Vorbereitung:

Auf den „Zusammenbau“ der Box werde ich hier nicht näher eingehen, da dies eigentlich selbsterklärend ist. Darum widme ich mich gleich der Installation. Um an eine Gratis Lizenz zu kommen muss man sich vorher auf der Sophos Seite registrieren. Anschließend bekommt man eine E-Mail mit der Lizenz und den Download Link zur UTM v9 software appliance. Diese wird mittels  RUFUS auf einen USB Stick kopiert der über mindestens 4 GB verfügt. Außerdem benötigt man noch eine USB-Tastatur welche an die Box angeschlossen wird, ein Null-Modem Kabel und einen USB to Serial Converter damit wir eine Ausgabe über Putty bekommen.

Wichtig:
Benutzt wirklich RUFUS, da es mit anderen Programmen zu Installationsproblemen kommen kann.

 

2. Bootstick erstellen

Rufus starten und die zuvor heruntergeladene Sophos UTM Iso (asg-9.405-5.1.iso) auswählen. Anschließend mit Start bestätigen. Achtung: alle Daten auf dem Stick werden gelöscht!

 

3. Installation Sophos UTM 9.4

Der zuvor erstellte Stick, sowie auch das Null Modem Kabel werden an der Box angeschlossen. Anschließend startet man Putty und macht folgende Einstellungen. Der COM Port muss individuell angepasst werden. Die Bitrate soll auf 38400 sein, da wir sonst nur wirre Zeichen bei der Installation bekommen.

Putty richtig konfigurieren

Putty richtig konfigurieren

Sobald die Box am Strom ist drücken wir mehrfach F10 (Bootmenü). Anschließend drückt man auf 1 um vom USB Stick zu booten. Nicht wundern, wenn beim Booten nur komische Zeichen angezeigt werden. Das APU2 Bios hat  eine Bitrate von 115200. Die Bootroutine von Sophos hat aber eine Bitrate von 38400. Um den Bootvorgang bei Problemen trotzdem zu sehen, kann man die Bitrate auch auf 115200 stellen. Sobald vom Stick gebootet wird muss man dies wieder auf 38400 ändern da an sonsten nur wirres Zeug zu sehen ist. Die Installation ist soweit selbsterklärend. Einfach dem Text folgeleisten.

WICHTIG:
Sobald man zu dem Punkt wo die Festplatte gelöscht und die Partitionen erstellt werden kommt MUSS noch folgendes gemachen werden da ansonsten die Fehlermeldung „install.tar wasn’t found on the installation media“ erscheint.

  1. ALT+F2 drücken (dadurch kommt man in die Konsole. Nicht wundern, man sieht diese Konsole leider nicht es funktioniert aber trotzdem)
  2. mount /dev/sdb1 /install“ eingeben und mit Enter bestätigen (ohne die „“)
  3. ALT+F1 drücken (dadurch wird die Konsole wieder verlassen)

Erst JETZT auf YES klicken und die Installation sollte ohne Probleme abgeschlossen werden.

Diese Diashow benötigt JavaScript.

Die Installation sollte in ca 15 Minuten abgeschlossen sein. Sobald alles erledigt ist, kann man sich auf dem zuvor definierten Port mit der zuvor definierten IP Adresse verbinden. In meinem nächsten Beitrag werde ich auf die Konfiguration der UTM eingehen.

Diesen Beitrag teilen:

19 Kommentare

  1. Interessanter Artikel! Lässt sich die kostenlose und nicht auf 50 Geräte limitierte XG Version auch installieren?

    https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

    1. Hallo Lu Up,

      ich selbst habe es noch nicht getestet, aber generell spricht nichts dagegen auch die XG auf der APU2c4 zu installieren. Sobald die Features beider Versionen gleich auf sind und es von Sophos das Migration Tool gibt werde ich einen Umstieg auf die XG machen und hier darüber berichten.

      Lg Alex

  2. Alles klar. Danke.

    Andere Frage noch: wie bist Du mit der Performance der Sophos auf der APU2c4 zufrieden? Läuft alles flüssig oder ist die Hardware am Limit?

    VG

    1. Hi,

      man kann soweit flüssig arbeiten. Ich nutze derzeit IDS, Web Filtering, Antivirus, Advanced Threat Protection, Application Control, Endpoint Protection und es gibt keine Probleme. Dahinter betreibe ich 5 Endgeräte, die alle aber nicht immer zur selben Zeit laufen.

      Die CPU Last in den letzten drei Monaten beläuft sich im Schnitt auf ca. 13% der RAM auf ca. 48%. Hin und wieder kann es mal vorkommen, dass eine Seite etwas länger beim Aufbau braucht. Dies liegt aber am aktiven Virenscan der Box.

      Usage UTM APU2c4

      Mit Performance tests kann ich dir leider nicht dienen, da ich keine gemacht habe. Was ich noch wo gelesen habe: Es soll durch den Einsatz der XG einen Performance Boost geben da diese ein anderes OS nutzt. Werde ich dann sehen wenn es soweit ist 😀

      lg

    2. Super! Danke für die detaillierten Info.

  3. Hier eine Übersicht meiner Hardwareauslastung mit 9 Geräten und zwei WLAN Netzen.

    https://picload.org/image/rdwcipdd/apu2c4status.png

  4. Vielen dank für die tolle Anleitung, Installation hat wunderbar funktioniert.

    Kleine Anmerkung, vielleicht hilfts dem ein oder anderen:
    Hatte schon eine Sophos-VM und wollte ein backup davon auf dem APU2 einspielen, bin fast daran verzweifelt bis ich herausgefunden habe das man unbedingt beim erstellen des Backups den Haken bei „Unique site data“ entfernen muß damit auf dem neuen system die Zertifikate fürs Webinterface neu generiert werden, sonst kann man sich nach dem Restore nicht mehr anmelden

  5. Hallo,
    wunderbarer Artikel, hab sofort die Hardware bestellt!
    Eine Frage noch: Muss ich eine größere mSATA Platte kaufen?
    Ist beim Board schon eine dabei?
    Bei der Hardware-Liste war separat keine aufgeführt.

    Danke für die Info!

    1. Hallo Max,

      ja für diese Box benötigt man eine eigene mSATA Disk da keine dabei ist. Ich habe den Artikel um eine Disk ergänzt. Danke für die Info.

      Lg Alex

  6. Hey Alex,

    danke für deine schnelle Antwort.
    Die mSATA Disk im Artikel ist ja aktuell nicht lieferbar. Gibt es Erfahrungen mit Disks anderer Hersteller?
    Bei Amazon z.B. gibt es Karten von Transcend, Kingston, Integral Memory.
    Ich hätte spontan zur Kingston SMS200S3/60G oder für 5€ mehr die 120GB Variante gegriffen. Gibt’s da Erfahrungen zu Treibern etc.?
    64GB sollten für den Heimgebrauch locker ausreichen, oder?

    1. Es dürften soweit alle Disks erkannt werden. Je nachdem wie viele Geräte du hast aber ich denke die 64 GB Version sollte reichen. Bei mir sind auf der Disk ca. 20% belegt (System 16% | Logs 4%).

      Mit der Kingston kannst du sicherlich nichts falsch machen da diese auch die besseren Performance Werte hat als die Transcend.

      Lg

  7. Hallo Alexander,
    wenn man die Sequenz ALT+F2; „mount /dev/sdb1 /install“; ALT+F1 blind eingibt,
    muss man dann bei der Verwendung einer deutschen Tastatur die Zeichen auf der Position der englischen Tastatur eingeben? also: statt „/“ den „-“
    Oder muss man zwingend wie beschrieben, das englische Tastaturlayout wählen?
    Viele Grüße
    Karl

    1. Hallo Karl,

      wenn du das deutsche Tastaturlayout bei der Installation auswählst, findest du die Tasten an deiner gewohnten Position. Solltest du die englische Variante ausgewählt haben, dann musst du mit „-“ arbeiten.

      Lg Alex

  8. Hallo,

    ich habe mal ene Frage dazu, es gibt ja auch das APU.3B4 Systemboard wäre das auch für die Sophos geeignet?

    1. Hi Micha,

      es spricht nichts dagegen, dass du die APU.3B4 nutzt da auch diese über die selbe CPU wie die APU.2C4 verfügt.

      lg Alex

  9. Hallo
    Habe die gleiche Hard / Software. Wenn die Box läuft habe ich keinen Zugriff auf die Serielle Schnittstelle bzw. Putty verbindet sich aber keinen Konsolen-Output, nur schwarzes Fenster. Hat jemand einen Tip?

    Danke und Gruss Ganesh

    1. Hallo ganesh,

      das ist richtig so. Die Serielle Schnittstelle kann nur für die Installation der UTM genutzt werden. Sie dient nicht zur Grafikausgabe. Dazu würde man einen Video Ausgang sowie eine Grafikkarte benötigen.

      lg Alex

    2. Hallo Alex
      Das ist aber schlecht. Ich möchte das Passwort neu setzen da ich es vergessen habe. Gemäss dieser Anleitung müsste ich mich nach dem Booten an die Konsole anmelden . https://community.sophos.com/kb/en-us/115346
      Scheint dass mir nur eine Neuinstallation weiter hilft. Das ist natürlich uncool.

      Gruss Ganesh

    3. Hallo ganesh,

      du könntest noch folgendes versuchen.

      1. stelle die Bitrate bei Putty auf 115200
      2. starte die APU neu
      3. sobald Grub wird geladen da steht die ESC Taste drücken um in das Grub Menü zu kommen
      4. Tastatur an der APU anschließen und die Konfiguration wie unter „All password reset procedure“ beschrieben durchführen.

      Ich habe dies nicht getestet vl. funktioniert es aber.

      Lg Alex

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*