Citrix XenServer based Home-Lab – Sophos UTM Home Edition

Zu meinem Home-Lab gehören neben den Themen Server und Storage natürlich auch Netzwerk. Wie erwähnt setze ich da auch einen kleinen Cisco SG 200-08. Dieser ist Smart Managed und bietet mir deswegen die Möglichkeiten von VLANs.

Update: Ich habe aufgrund von Port-Knappheit den Switch getauscht. Nun verwende ich einen Zyxel 24 Port Gigabit Switch “GS1900-24E”, welcher ebenfalls Smart Managed ist. Das Gerät verfügt zudem über keinen Lüfter.

In Kombination mit meinen beiden XenServern habe ich mich nach langem Hin und Her für den Einsatz von Sophos UTM als Home als Virtual Appliance entschieden. Ich hatte zuerst den Citrix Netscaler dafür vorgesehen, stieß jedoch im Bereich „WAN-Routing“ & klassischem Firewalling an meine Grenzen.

Also habe ich mich nach diversen Tests für eine virtuelle Appliance (natürlich XenServer basierend) von Sophos UTM Home Edition entschieden. Es handelt sich dabei um eine Semi-Professionelle Lösung für daheim, die dem Netzwerk-Erfahrenen Familienvater keine Wünsche offen lässt. Die Beschränkungen gegenüber der Bezahl-Version sind marginal. Eine davon ist jedoch die maximale Anzahl von 50 IP Adressen die von der UTM angesprochen werden. Und da muss ich sagen, komme ich fast ran.

 

Ich verwende natürlich die Firewall.

Das Regelwerk ist sehr einfach und intuitiv dank grafischer HTML5 GUI aufgearbeitet. Regeln lassen sich sehr einfach per Drag and Drop zusammenklicken.
Auch sind nahezu alle bekannten Services vorgegeben. Alternativ kann man auch Services / Ports zu Portgruppen zusammenfassen.

Firewall Regel Builder in Sophos UTM Home

Als weitere Funktion verwende ich einen Transparenten Proxy für HTTP und FTP.

Dieser schickt alle durchlaufenden Daten erstmal durch einen Virenscanner. Das geht erstaunlich performant. Auch größere Dateien werden vor dem Download zwischengespeichert, gescanned und erst dann zum Download an den Browser weitergegeben.

Für das Scannen von HTTPS Traffic muss man eine RootCA erzeugen welche den Endgeräten als „vertrauenswürdige Zertifizierungsstelle“ eingespielt wird. Damit begibt sich die UTM „in die Mitte“ von SSL Verbindungen. Auch bekannt ist das Konstrukt unter der Bezeichnung „man in the middle ssl proxy“. Im Bereich Browsen ist das ganze schon nützlich. Bei Software mit vorausgesetzter Ende zu Ende Verschlüsselung (Software die nicht auf die von Windows vorgegebenen vertrauenswürdigen Zertifikats-Stellen stellen schaut, sondern eine eigene Zertifikatsvertrausverwaltung mitbringt) wie Banking-Software, kann das aufbrechen der SSL Verschlüsselung einem Angriff gleichkommen. Es ist in diesem Fall also Vorsicht geboten. Aber auch da kann man mit Filterlisten vorgeben, welche Verbindungen nicht vom HTTPS Proxy adressiert werden.

HTTPS Transparent Proxy in Sophos UTM Home

Eine Schlüsselfunktion für mich ist die Web-Application Firewall.

Also ein Reverseproxy mit zugeschaltenem Regelwerk. Dahinter kann ich alle internen Web-Dienste packen. Der Vorteil ist, das ich keinerlei D-NAT Funktion benötige um interne Webservices anzusprechen. Dementsprechend kann ich auch mehrere Webserver erreichen, die ich mittels D-NAT jeweils mit einem eigenen Port eintragen müsste.

Da mit die UTM das Thema Webserver Security abnimmt, kann ich die Webserver im Hintergrund auch mal ungepatched stehenlassen, ohne mir direkt Sorgen machen zu müssen.

Web Application Firewall Profil in Sophos UTM Home

Eine weitere Funktion die ich konfiguriert habe ist „E-Mail Protection“.

Dabei handelt es sich quasi um ein Mail-Gateway welches sich in den Verbindungsaufbau von Mailsystemen hängt, Anhänge nach Viren durchsucht sowie Absender auf Spam prüft. Das ganze nahezu transparent. Erkannte SPAM-Mails werden entweder direkt geblockt, oder in Quarantäne gestellt. Dort kann man sie dann per „Mailmanager“ entweder wegwerfen, oder auch freigeben.

Email Protection in Sophos UTM Home

Ich werde mich bei Gelegenheit noch mit dem Thema „Endpoint Protection“ beschäftigen,

dabei wird mittels Sophos Agent die Endgeräte mit einer verwalteten Antivirus-Software ausgestattet. Außerdem kann man dann Regeln nach angemeldeten Nutzer definieren, was denke ich mal auch ein Interessantes Thema für Familien wäre. So könnte man im Bereich Webfilter beispielsweise die Kinder mit einer Portion Extra-Regeln vor fiesen Seiten schützen, oder (sicherlich fast noch interessanter) für bestimmte Seiten / Dienste wie Facebook, Whatsapp, Youtube usw. „Kontingente“ definieren, welche nach Zeit  dann den Nachwuchs vor der Web-Verödung schützen sollen.

Das System läuft jetzt seit einigen Wochen sehr stabil. Das ausgiebige Log- und Reporting-System der Sophos UTM Home Appliance lässt keine Wünsche offen. Es wird mir schwer fallen, von diesem Semi-Professionellen System jemals wieder auf einen simplen Consumer-Router umzusteigen. Falls ihr Fragen zum System habt, lasst mir einfach nen Komi da, oder „klassisch“ per Social Media.

Danke fürs Lesen,
Christian

Veröffentlicht von

Christian

Mit den Fachgebieten Virtualisierung und Citrix arbeite ich als Pricipal Consultant bei Axians IT Solutions GmbH in Deutschland.

3 Gedanken zu „Citrix XenServer based Home-Lab – Sophos UTM Home Edition“

  1. Hallo Christan,

    ich baue gerade meine Demo Citrix Lab mit dem NUC7 und als Router habe ich Fritzbox.
    Der Port 443 vom FritzBox habe ich an Netscaler durzuleiten, war es kein Problem. Wenn ich aber zum Beispiel ein Site2Site VPN mit Microsoft Azure einrichten mochte, bin ich ein Problem gestossen. FritzBox bitten kein erweiterte Log / Debug Möglichkeiten für IPSEC VPN.

    Und du hast es folgendes in deinem Blog geschrieben:
    “stieß jedoch im Bereich „WAN-Routing“ & klassischem Firewalling an meine Grenzen.”
    Was meinst du genau? Könntest du mir bitte kurz erläutern.
    Dein Konfig sieht ungefähre so aus:

    Provider DSL -> RouterUTM NetScaler

    Besten Dank und Gruss
    Dima

    1. Hi Dima,

      Damit meinte ich, das der Netscaler (da kein Router) nicht direkt am WAN hängen konnte. Die UTM wäre dann vorgeschaltet und würde ein NAT auf den Netscaler machen.
      Welche Port´s du da beim Site2Site mit Azure benötigst, kann ich nicht sagen. Kannst du die Fritzbox gegen etwas anderes austauschen?

      VG
      Christian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.