Sophos XG Home auf einer Sophos Appliance

Sophos bietet für Home-Labs resp. den allgemeinen Heimgebrauch die Sophos XG Home Firewall kostenlos an. Sophos XG Home kann entweder als VM auf einer gängigen Virtualisierungs-Umgebung betrieben , oder auf einer Intel basierten Appliance installiert werden. Grundsätzlich werden von Sophos XG Home alle Intel-basierten Computer und Appliances mit mind. 4GB RAM und 2 Dedizierten Netzwerk-Interfaces unterstützt. Der RAM wird auf 6GB und die CPU-Cores auf 4 begrenzt. Die Bregrenzungen sind jedoch in der Software definiert. Die tatsächlich verwendete Hardware darf daher «stärker» sein.

Als Hardware-Appliances sind im Home-Bereich «China-Kracher» weit verbreitet. Es handelt sich dabei meist um lüfterlose NoName-Appliances, welche für freie Firewall-Lösungen wie PFsense oder OPNsense entwickelt wurden. Grundsätzlich reichen solche Appliances für den Heimgebrauch, sind jedoch ähnlich Teuer (Preisbereich: CHF 300 – 500) wie eine günstige Appliance von Sophos ohne Services (z.B. Sophos XG 86, welche bereits unter 400 Franken erhältlich ist.) Auf diversen Online-Plattformen finden sich auch gebrauchte und ausrangierte Sophos XG und Sophos SG Firewalls zum Teil zu äusserst günstigen Konditionen.

Viele Techniker, welche die Sophos XG Firewall aus ihrem Arbeitsalltag kennen, würden deshalb gerne Sophos XG Home auf einer Sophos SG- oder Sophos XG Appliance installieren. Die Frage ist nun: Funktioniert das?

Generell: Installation von Sophos XG Home

Installation von SFOS

Der Prozess für die Installation der Sophos XG Home ist relativ einfach. Man bringt das Installations-ISO auf einen USB-Stick. Mein Tool der Wahl dafür ist Rufus. Wichtig ist, dass man dabei vom ISO-Abbild-Modus auf den DD-Abbild-Modus umstellt. Ansonsten scheinen die USB-Sticks nicht zu funktionieren.

Zur installation des Sophos XG Home Betriebssystems (SFOS) wird an die Appliance über HDMI oder VGA ein Bildschirm sowie eine USB-Tastatur angeschlossen. (Alternativ sollte das auch über den Konsolen-Port funktioneren. Ich habe das aber noch nie getestet.)

Nach dem Booten vom soeben erstellten USB-Medium erscheint direkt der sehr einfach gestaltete Installer von SFOS. Bestätigt man die Meldung mit y (Achtung das Tastatur-Layout ist standarmässig Englisch-US) wird der gefundene Speicher partitioniert und komplett für die Sophos XG Appliance genutzt.

Nach dem Abschlus der Installation wird über den Internen Lautsprecher der Appliance (sofern vorhanden) Mozarts kleine Nachtmusik abgespielt. Nach dem Entfernen des USB-Sticks kann man mit der Eingabe von «y» die Appliance neustarten.

Nach dem Neustart der Appliance geht es im WebGUI weiter. Grundsätzlich kann man nun den Bildschirm und die Tastatur wieder von der Appliance trennen.

Installations-Abschluss und Lizenzierung

Am besten schliesst man am Port 1 der Firewall ein Notebook per Ethernet an. Am Port 2 erwartet die Firewall standardmässig ein WAN-Uplink mit DHCP. Ich hänge hier jeweils temporär mein Testnetz (mit DHCP) an, damit die Firewall zumindest temporär eine Internetverbindung hat.

Das WebGUI der Firewall kann standardmässig über https://172.16.16.16:4444 erreicht werden.

Grundsätzlich folgt man nun dem Installations-Wizard. Man erstellt zuerst ein Passwort, wählt dann die Zeitzone und wählt dann die Lizenzierung aus. Dabei wird der Appliance die Seriennummer zugeordned, welche wir bereits zuvor von Sophos per Mail erhalten haben. Die Dazügehörigen Gratis-Evaluations-Lizenzen sind bereits in MySophos hinterlegt und werden im nächsten Schritt vom Portal synchronisiert. Dazu muss man sich mit einer Sophos ID einloggen. Falls kein solcher Account existiert, muss dieser nun angelegt werden. Wichtig ist zu wissen, dass nach dem Setzen der Seriennummer die Firewall möglicherweise neu startet.

Nach der Bestätigung der Lizenzen können wir betrachten welche Lizenzen von Sophos als Perpetual Evaluation zur Verfügung gestellt werden:

Nach der Synchronisation der Lizenzen ist die weitere Einrichtung relativ individuell, aber doch straight forward. Ich persönlich verwende bei Sophos XG immer die Standard-Einstellungen und ändere dies danach nach dem Abschluss des Wizards.

Einschräkungen, Limitierungen & Workarounds

Installation auf einer Sophos Appliance / Umgehung der Hardware-Limitierung

Die Installation des universellen Images auf einer Sophos Appliance funktioniert nicht «Out of the box». Ursache ist ein Schutz-Mechanismus im Installer, welcher verhindert dass die «falsche» Version von SFOS installiert wird. Es erscheint folgende Fehlermeldung:

Detected Sophos Physical Device.
Please get proper installation source. 

Der Lösungsandatz über ein Partitionierungstool (wie z.B. GParted) alle Partitionen zu löschen (wie Hier vorgeschlagen) hat in meinem Fall nichts gebracht. Auch ohne Partitionen auf der SSD wurde die Installation verhindert. Anfangs habe ich etwas Firmware Trickery vermutet. Die BIOS-Firmware enthält zwar die Seriennummer der Firewall im dafür vorgesehenen Feld. Der Installer scheint dieses jedoch nicht aus zu lesen.

Nach einigen Tests habe ich die Ursache gefunden: Die Version der Appliance und die Seriennummer werden in den MBR geschrieben. Dieser wird auch beim Löschen aller Partitionen nicht gelöscht. Selbst ein Neuerstellen der Partitionstabelle in GParted tastat den MBR nicht an.

Der einfachste Workaround für dieses Problem ist, eine Linux Distro (Ich habe Debian verwendet) oder ein anderes OS wie FreeDOS zu installieren welcher die SSD der Appliance komplett neu Partitioniert und mit der Installation des Bootloaders (z.B. GRUB) auch den MBR überschreibt.

Nach diesen Schritten funktioniert die Installaton mit dem SFOS Image von Sophos XG Home problemlos auch auf Sophos Appliances. (Getestet auf einer Sophos SG 210 Rev. 2, welche zuvor schon auf die XG-Firmware umgestellt worden war.) Bei Sophos SG Appliances mit der UTM 9.x Firmware ist dieser Zwischenschritt nicht notwendig.

Limiten der Sophos XG Home Firmware

Grundsätzlich riegelt die Sophos XG Home Firmware die Appliance auf Software-Ebene auf folgende Hardware-Limiten ab:

• 4 CPU Cores
• 6 GB RAM

Im weiteren wird allenfalls besondere Hardware nicht unterstützt:

• Displays von grösseren Sophos SG- resp. Sophos XG- Appliances
• Packet-Flow-Verarbeitungsarchitektur bei Sophos XGS- Appliances
• …

Lizenzrechtliche Einschränkungen

Important Legal Notice: The Home Use edition is free for personal home use only. You are strictly prohibited from using the Home Edition for anything other than personal home use.

Rechtlicher Hinweis in der Lizenz-Email

Sophos XG Home darf ist ausschliesslich für den Heimgebrauch gedacht. Der kommerzielle Einsatz (auch für Testzwecke) ist strikt untersagt. Für Testzwecke werden zeitlich limitierte Trial-Versionen empfohlen. Reseller erhalten von Sophos oder ihren Distributoren NFR-Versionen zur Bestückung von kommerziellen Labs.

Nützliche Links:

Nachfolgend eine Kleine Auflistung von Links mit Hilfestellungen / Quellen.

Sophos XG (Home)

• Aktuelle Installer-ISOs für Sophos XG Appliances (inkl. Sophos XG Home)
• Sophos XG Home Edition – Registration für eine kostenlose Lizenz
• Genereller Sophos KB-Artikel über Firmware-Versionen
• Übersicht über alle Sophos XG Installer-Images

Sophos SG/UTM (Home)

• Aktuelle Installer-ISOs für Sophos SG / UTM (inkl. Sophos UTM Home)
• Sophos MyUTM Lizenzportal -> Die Bestellung von Sophos UTM Home Lizenzen ist immer noch möglich.
• Genereller Sophos KB-Artikel über Firmware-Versionen
• Übersicht über alle UTM-Installer (Sophos SG Appliances)
• Übersischt über alle UTM-Installer (Sonstige Appliances)

Sophos Appliances kaufen

• Sophos SG Appliances bei Ebay finden
• Sophos XG Appliances bei Ebay finden
• PFSense Hardware bei Ebay finden
• Nach Sophos Appliances bei ricardo.ch suchen