Sophos UTM Home Edition: Konfiguration einer eigenen UTM im Heimnetzwerk

In der Geschäftswelt sind wir in der IT von Proxys, Firewalls, Antivirenschutz, Content Filtern, Intrusion Prevention Systeme und vielem mehr umgeben, um uns zu schützen. Und wie sieht es Zuhause aus? Auf einem PC hat man vielleicht noch einen Antivirenschutz und eine Firewall in Form einer Endpoint-Solution. Und der Rest?

Hintergrund

Wahrscheinlich sieht ihr Heimnetz wie folgt aus:

SophosUTM@home Heimnetz

Wie schützen Sie ihr Smartphone oder ihre NAS vor unerlaubten Zugriffen? Wer garantiert ihnen, dass ihr günstiges WLAN-fähiges Gadget aus Fernost keinen Unfug treibt? Oder wie schützen Sie ihre Kinder vor ungewünschten Inhalten im Internet?
Und in der aktuellen Zeit häufig ein Thema: Wie sicher ist Ihre Homeoffice-Infrastruktur?

Bei den Meisten sieht es bei diesen Fragen ziemlich düster aus. Das kann vielerlei Gründe haben. Technisches Unwissen, fehlende Zeit, mangelndes Interesse und/oder ungenügendes Bewusstsein und natürlich auch finanzielle Argumente. Wer möchte sich schon eine Enterpriselösung im 19-Zoll-Format ins Wohnzimmer stellen?

Eine kleine und feine Alternative bietet Sophos an.

Die englische Hard- und Softwareschmiede für Security-Lösungen ist unser langjähriger Partner und vertreibt unter anderem ein Unified Thread Management (kurz: UTM), welche für den Privatgebrauch kostenlos ist und bis zu 50 IP’s schützt. Diese verbindet viele Funktionen, um einen guten Schutz zu bieten. Angefangen bei einer Firewallfunktion, über einen Proxy der Sicherheit beim Surfen bietet, bis hin zu einem Intrusion Prevention System, welches den Netzwerkverkehr auf bekannte Schadmuster prüft und gegebenfalls blockt.

Man kann die UTM als Hardware oder in einer virtuellen Umgebung betreiben. Die Hardwarelösung beschränkt sich aber nicht nur auf „Sophos-Blech“, sondern kann auch auf einer beliebigen Hardware installiert werden. Die Hardwarekomponenten müssen nur entsprechend vom Betriebssystem erkannt werden.

In diesem Artikel möchte ich meinen Weg zur eigenen Sophos UTM im Heimnetzwerk aufzeigen.

Beschaffung der Hardware

Sophos gibt folgende Mindestanforderungen an Hardware an:

  • Intel Dual Core Prozessor mit 1,46 GHZ
  • 2GB RAM
  • 40 GB SATA Festplatte
  • Zwei oder mehr Netzwerkkarten

Meine persönliche Präferenz war nur, dass das System passiv gekühlt, lüfterlos und somit lautlos ist.

Meine Entscheidung fiel auf die ZBOX CI327 von Zotac, in der Barebone-Variante. Also ohne RAM und Festplatte. Da bis zu 8 GB Ram unterstützt werden, wurden eben 8 GB und eine 120 GB SSD-Festplatte bestellt.

Vorbereitung

Um die Wartezeit während der Hardwarelieferung nicht unnütz verstreichen zu lassen, ging es währenddessen an die Beschaffung der Software.

Über den Anmelde-Dialog habe ich mich registriert und danach eine entsprechende E-Mail erhalten. In dieser ist einmal ein Link zum Download, sowie eine Lizenz im Anhang enthalten, um die Installation für 3 Jahre zu aktivieren. Außerdem gibt es hier das Handbuch zur UTM. Nachdem die Hardware geliefert und verbaut wurde, konnte anschließend aus der ISO-Datei eine Installations-DVD gebrannt werden. Versuche über einen entsprechenden USB-Stick oder einer SD-Card schlugen später beim Setup fehl. Mitten in der Installation heißt es dann plötzlich install.tar not found.

Die Installation via DVD war jedoch erfolgreich.

Nachdem die ausgewählte Platte partitioniert und formatiert, sowie die notwendigen Pakete installiert wurden, gilt es die interne Netzwerkkarte zu konfigurieren.

SophosUTM@home Netzwerkkarte

SophosUTM@home Netzwerkkarte

Nachdem dies passiert ist, wird nach einem Neustart alles Weitere per Webdialog parametriert, indem man durch einen Konfigurations-Assistenten geleitet wird.

SophosUTM@home Konfigurationsassistent

SophosUTM@home basic system setup

SophosUTM@home allowed services

Wer den http-Proxy verwendet, kann angeben, welche Inhalte geblockt werden sollen:

SophosUTM@home web protection settings

Nach Abschluss der Einrichtung landet man auf der Startseite der UTM und erhält dort eine Übersicht zum Status des Systems.

SophosUTM@home dashboard

Einbindung im LAN

Die UTM soll zwischen zwei Netzen sitzen und den Verkehr vom WLAN-Access-Point zum Modem kontrollieren.

SophosUTM@home Einbindung LAN

Einrichtung der UTM-Module

Interfaces: Da die UTM als Wächter zwischen zwei Netzen dienen soll, werden beide Interfaces für jeweils unterschiedliche Netzwerke parametriert. Als Standardgateway wird die IP des Modems meines Internet-Service-Providers angegeben.

Netzwerkdienste: DNS und DHCP werden deaktiviert, da diese Aufgaben andere Komponenten übernehmen sollen.

Firewall: Die Firewall-Funktion wird aktiviert um entsprechenden Traffic über Regeln zu erlauben bzw. zu blocken.

Intrusion Prevention: Das IPS wird aktiviert, um den Traffic nach Auffälligkeiten zu überprüfen

Web Security: Die Web Security-Funktion wird aktiviert, da die UTM als Proxy fungieren soll und von Sophos auch entsprechend Regelwerke erhält, falls man Traffic nach Themenblöcken wie „Weapons“ oder „Nudity“ blocken möchte. Ein direktes Blacklisting von Webseiten durch den Admin ist somit nicht zwingend notwendig.

Reporting/Monitoring

Die Sophos hat auf ihrem Webdialog eine Seite, um die Funktionen zu testen, um zum Beispiel den Aufruf einer theoretisch geblockten Website zu prüfen.

Um die Webfilter-Funktion zu testen, rufe ich allerdings eine Webseite direkt an einem Client auf. Als Beispiel nehme ich weapons.com, da z.B. die Kategorie „Weapons“ geblockt werden soll.

SophosUTM@home blocked content

Wie man sieht, erscheint im Webbrowser nicht die gewünschte Seite, sondern ein Hinweis der UTM, dass der gewünschte Inhalt geblockt wird.

Man kann auch auf der UTM aktiv prüfen, was diese aktuell macht. Dazu geht man im Webdialog in den entsprechenden Bereich (zum Beispiel Network Protection) und öffnet das Live-Log im Menü oben rechts.

SophosUTM@home menue

Hier sieht man zum Beispiel geblockte Pakete.

Die Sophos UTM bietet die Möglichkeit Benachrichtigungen zum Beispiel an den Administrator zu schicken. Dazu muss man nur eine Mailadresse angeben. Ich habe festgestellt, dass der Name und die Adresse unter Umständen identisch sein müssen, da sonst die Mails nicht verschickt werden.

SophosUTM@home notifications

SophosUTM@home notifications 2

Fertig?

Im Grunde ist die UTM jetzt einsatzbereit. Es kann aber vorkommen, dass einige Geräte jetzt Probleme haben, da ihre Netzwerkkommunikation an der UTM geblockt werden. Diese Kommunikation muss anschließend analysiert und an der Firewall freigeben werden. Dieses Vorgehen im Detail zu beschreiben, füllt allerdings einen eigenen Blogbeitrag. Hinterlassen Sie dazu gerne einen Kommentar mit Ihren Fragen. Gerne führen wir diese Thematik dann in einem weiteren Blogbeitrag aus. Ich freue mich, wenn ich Ihnen mit diesem Artikel bei der Einrichtung Ihrer Sophos UTM in Ihrem Heimnetzwerk helfen konnte.

Auf LinkedIn folgen

8 Kommentare

  1. Hallo, vielen Dank für den lehrreichen Beitrag und die ausführlichen Erläuterungen! Das klingt ganz schön kompliziert. Eine wirklich sichere Netzwerkkonfiguration zu bewerkstelligen scheint gar nicht so einfach zu sein! Herzliche Grüsse

  2. Hallo!
    Danke erstmal für die Anleitung!
    Für die Fehlermeldung „install.tar not found“ gibt es eine Lösung (auch im Netz zu finden – vielleicht kann die hier ergänzt werden):

    1. Booten vom USB-Stick
    2. Durch Installation klicken bis zur Seite NACHREM die Hardware erkannt wird – nach Beendigung der Hardware-Erkennung die Tastenkombination Alt+F2 drücken (zu Terminal wechseln)
    3. Boot-Geräte anzeigen mit Befehl: sfdisk -l (kleines L)
    4. USB-Stick in der Liste suchen – wahrscheinlich ähnlich „/dev/sdbX“ wobei X je nach System bzw. Geräte-Anzahl unterschiedlich sein kann (wenn überhaupt vorhanden).
    5. USB-Stick mounten mit dem Befehl: mount /dev/sdbX /install
    6. Zurückwechseln zur Installations-Oberfläche mit Alt+F1

    Hoffentlich funktioniert das auch bei euch gut!

    BTW:
    Während dem Setup werden folgende Hardware Requirements angezeigt:
    CPU: Intel (TM) compatible CPU @1,5 GHz
    MEM: 1 GB
    Harddisk: 20 GB
    2 PCI Ethernet Network Cards
    –> Bitte mit Vorsicht genießen, Anforderungen sind wahrscheinlich schon gestiegen seit der UTM-Installer geschrieben wurde.

  3. Hallo, vielen Dank für den blog Eintrag.
    Ich habe die selben Schritte gemacht jedoch bleibt er bei mir im Boot Vorgang.

    Wäre es möglich Sie mir das Image zukommen lassen könnten?

  4. Die Sophos UTM als Home Edition ist wirklich gut. Ich nutze sie seit rund 10 Jahren (damals hieß sie noch Astaro Security Gateway) und bin sehr zufrieden damit. Gerade in der aktuellen Zeit mit überwiegender Home-Office-Tätigkeit, stellt sie einen zuverlässige Schutzfunktion dar.

    Leider ist Sophos nicht mehr so aktiv, was die Weiterentwicklung der UTM angeht. Seit Jahren versucht Sophos, die Nutzer auf die XG zu bringen. Diese ist ebenfalls als kostenfreie Home Edition verfügbar. Die Meinungen sind allerdings sehr unterschiedlich und offenbar ist die XG auch erst seit kurzem in der Lage, die UTM voll ersetzen zu können, wobei Let’s Encrypt Zertifikate immer noch nicht unterstützt werden. Die Sophos UTM ermöglicht das schon seit längerem und das funktioniert super.

    Nun hat Sophos letztes Jahr angekündigt, bis in 3 Jahren die On-Premise-Produkte abzukündigen. Alles soll nur noch in der Cloud laufen.

    Für mich stellt sich die Frage, was das nun für die Zukunft von Sophos UTM und auch die XG bedeutet? Werden diese ebenfalls nur noch aus der Cloud angeboten? Das stelle ich mir schwierig vor, denn eine Firewall soll ja die internen Netzwerke vom lokalen Internet-Zugang trennen und den Datenverkehr überwachen.

    Aber wenn sich Sophos von On-Premise komplett verabschiedet, müsste man sich nun früher oder später mit alternativen Lösungen beschäftigen, um rechtzeitig einen Ersatz für die UTM oder XG in Betrieb zu haben.

  5. Hallo, sehr interessanter Blog-Beitrag.
    Welchen Durchsatz hat dieser Aufbau? Derzeit nutze ich eine UTM in Form einer VM auf meinem Proliant-Server, 300MBit/s (Glasfaser-Internet) erreiche ich auch hinter der UTM. Für eine Wohnung eines Familienmitglieds, die eine 1000MBit/s Glasfaser-Anbindung bekommt, möchte ich ebenfalls eine UTM zusammenstellen (dort ist kein Server „einfach vorhanden“). Und natürlich möchte ich die 1000MBit/s auch zur Verfügung haben (auch wenns sehr overkill ist, war aber eben der günstigste Tarif). Funktioniert das mit diesem kosteneffizienten Aufbau?
    Danke

    1. Da man an der UTM Module wir das Intrusion Detection oder das Advanced Thread Protection aktivieren oder dort wiederum Außnahmen parametrieren kann, ist es schwer, eine pauschale Aussage zu machen, in wie fern eine Verlangsamung stattfinden wird.

      Das man aber als Endanwender eine Verlangsamung bei diesem Setup bemerkt, lässt sich nicht abstreiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *