Installation - Setup Sophos UTM mit Grundeinrichtung

Share

Installation der Sophos UTM 9.2

Die Sophos UTM lässt sich so ziemlich auf jeder Hardware installieren,
lediglich bei den unterstützten Netzwerkkarten 30 Minuten

gibt es Einschränkungen. Intel NICs werden i.d.R. erkannt und laufen einwandfrei.

Eine kostenlose Home Lizenz können Sie auf www.Sophos.com beantragen.

Als Hardware empfiehlt sich eine Maschine mit 2-6 GB RAM, 2 oder mehr CPU-Core und mindestens 2 Netzwerkkarten. Die Festplatte sollte 80GB oder grösser sein, SSD werden unterstützt. Man kann die UTM problemlos in einer VMWare (EXSi) oder virtuellen Hyper-V Maschine installieren, sowohl als Live-, als auch als Testsystem.
Die UTM sollte idealerweise als Standardgateway laufen und den Internetzugang bereitstellen.

.
Das Image zur Installation kann man von
ftp://ftp.astaro.com/pub/UTM/v9/software_appliance/iso/ herunterladen, auf CD brennen und die UTM installieren. Ohne Lizenz läuft die Sophos UTM als 30 Tage Testversion.
.

 

.
Wenn man über die CD bootet startet man die UTM Installation mit Enter:

Sophos UTM Installation Start

 

.
Danach kommt der Hinweis das alle Daten auf der Festplatte gelöscht werden, eine Sophos UTM muss immer dedeziert laufen, also nicht zusammen mit anderen Betriebssystemen auf einer Hardware, auch bei Testinstallationen  nicht.

Sophos-UTM-Installation-2

 

 

.
Wichtig ist, dass die Netzwerkkarten erkannt werden (müssen immer 2 oder mehr sein), ansonsten sollte man die Installation abbrechen und andere NICs (z.B. intel® Ethernet Gigabit Server Adapters) einsetzten:

Sophos UTM Installation Netzwerkkarten

.
In den nächsten Steps wird das Keyboard Layout gewählt, danach die Zeitzone (Europe/Berlin) und Zeit und Datum.

Das WebAdmin Interface ist i.d.R. auch das Interface für das interne LAN (eth0):

Sophos UTM Installation eth0 nic

.
.
Die IP der UTM sollte aus dem internen Netz gewählt werden und natürlich frei sein.
Das Gateway muss man jetzt noch nicht angeben, wenn der Internetzugang konfiguriert wird, bekommt die UTM dadurch automatisch das Standardgateway.

Sophos UTM Installation eth0 nic ip

 Man kann auch das vorhandene Gateway angeben, die UTM lädt dann die Updates (Up2Date) darüber, zur (Vor) Konfigurationen der UTM ist das aber nicht nötig.

.
.
Der 64-Bit kernel sollte installiert werden, ansonsten ist der RAM auf 4 GB beschränkt:

Sophos UTM Installation kerne -64-bit

.
.
Im nächsten Schritt:
Do you wish to install all capabilities? -> <Yes>

.
Danach kommt die Warnung, das die Daten auf der Festplatte wirklich gelöscht werden -> <Yes>

.
.
Dann erfolgt die Formatierung der Disk und die Installation der Pakete. Wenn die Installation fertig ist, die CD entnehmen und einen Reboot durchführen,  danach kann man den Adminbereich /WebAdmin über

https://IPderUTM:4444

erreichen

Sophos UTM Installation fertig reboot

 

.
.
Auf dem Bildschirm wird nach dem Start der Sophos UTM auch immer die aktuelle IP des WebAdmin und der Port angezeigt:

Sophos UTM Installation fertig IP WebAdmin Port

 

.
.
Die Sopho UTM erstellt bei der Installation eigene SSL Zertifikate u.a. für den WebAdmin Bereich, deshalb kommt diese Warnung:

Sophos UTM WebAdmin Keine vertrauenswuerdige Verbindung

 

.
.
Danach kommt das  "Basic system Setup", es werden
Hostname:  'utm.meineDomain.local'
Company or Organization Name:  'Meine Firma'
City:  'Münster'
Country:  'Germany'
admin account password:  ********
Repeat password:  ********
admin account email address:  'meineEmail@Domain.de'

angegeben.
Sophos UTM basic system setup WebAdmin

 

.
.
Danach kann man sich das erste mal im WebAdmin anmelden und wird gefragt, ob man mit der Basisinstallation fortfahren will oder ein Backup restore machen möchte.

.
.
Im nächsten Schritt erfolgt  die License Installation:
Please install a license file. If you do not install a license, a 30-day trial license will be used.

Auf der Seite www.Sophos.com kann man eine kostenlos Lizenz für die Home Installation beantragen und diese dann hier einspielen, alternativ läuft automatisch die 30 Tage Testversion.

.
Im nächsten Schritt wird noch mal die IP Adresse des internen Interfaces abgefragt, DHCP sollte man nicht aktivieren
Sophos-UTM-WebAdmin-User-admin-Device-utm

 

.
.
Danach wird die Art des Internetzugangs abgefragt, Internet Uplink (WAN) Settings

Sophos UTM Internet Uplink

Dafür wird das eth1, also die 2. Netzwerkkarte benutzt.

Bei einem Kabelmodem Anbieter (UnityMedia, Kabel Deutschland etc) wird diese Einstellung angegeben (bei 1 festen IP):

Internet uplink type: 'Standard Ethernet Interface with static IP Address'

Die Netmask ist bei UnityMedia /30, also 255.255.255.252, am besten anfragen (nicht einfach /24 angeben). die DNS forwarder IP wird auch von dem Anbieter vorgegeben, wenn diese nicht bekannt ist, kann auch 8.8.8.8 (Google DNS Server) angegeben werden. Das Default Gateway wird auch vom Anbieter vorgegeben ( i.D.R. feste IP -1).

 

Sophos UTM Internet Kabelmodem

 

Bei einem DSL Zugang mit fester IP (Telekom) sieht das dann so aus:
Internet uplink type: DSL - PPP over Ethenet (PPPoE)
Username:  feste-ip/345678912345@t-online-com.de

Ein DSL Modem muss natürlich an der Netzwerkkarte angeschlossen sein, der Router ist dann die Sophos UTM

Sophos UTM Internet DSL feste IP

 

Man kann diesen Schritt aber auch überspringen und die UTM erst ohne direkten Internetzugang konfigurieren.

.
.
Im nächsten Schritt 'Setup wizard - Allowed Services Settings' sollte nicht weiter eingestellt werden,
vor allem nicht Web (HTTP,HTTPS) aktivieren, für den Internetzugang sollte man den WebProxy der UTM konfigurieren.

Sophos UTM Setup wizard Allowed Services Settings

'UTM responds to Pings' und 'UTM forwards Pings' aktivieren.

.
.
Im nächsten Schritt  kann die 'Advanced Threat Protection Settings' (= Intrusion Prevention Engine und Command & Control/Botnet Detection Engine) aktiviert werden, kann man aber auch später machen.

.
Danach werden die Einstellungen der 'Web Protection' abgefragt, sollte man an dieser Stelle auch übergehen.

.
Ehe man die  'Email Protection Settings' konfiguriert besser die beiden Artikel lesen:
Eigener MX -Mailexchange- & Smarthost mit fester IP
Email Protection Grundkonfiguration

 

.
Der Wizard endet hier, die Grundinstallation ist abgeschlossen.

 

Sophos UTM Finishin the Setup wizard

.
.
Nach dem Login man unter
Management -> System Settings |Shell Access| den 'SSH shell Access' aktivieren, allerdings beschränkt auf das Interne LAN und die Passwörter festlegen:
Password for user root: *******
Password for user loginuser: *********

Sophos UTM Shell Access

Für Notfälle ist ein Zugriff per SSH/Putty immer sinnvoll.

.
.
Unter
Management -> WebAdmin Settings |General| "WebAdmin access configuration" 'Allowed networks' 'any' raus und das Internal beschränken, wenn man von seinem privaten Anschluss die UTM auch noch "remote" verwalten will, sollte man seinen (Dyn)DNS-Host anlegen und hinzufügen:

Sophos UTM Webadmin Access

 'Log access traffic' anstellen.

.
.
Unter
Management -> Up2Date ggf. neue Updates einspielen (nur wenn Standardgateway eingetragen ist)

.
.

Danach sollte man folgende Artikel lesen und die Einrichtungen vornehmen:
DNS
SSO

WebProxy

WPAD
Aufbau Eigener MX -Mailexchange
Email Protection Grundkonfiguration
IPv6 (ggf. Tunnelbroker)

Optional:
WLAN Gast
WLAN Internal

 

Hilfe gefunden? Laden Sie mich auf ein Bier ein! (click on Beck's)

.

.


Münster AD 2014

Share