hardware voor Sophos router / firewall - Desktop koopadvies

zondag 24 september 2017 17:52

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Ik volg al een tijdje verschillende topics op deze prachtige site en nu toch maar eens zelf de stap gezet.
Ik wil zelf een router / firewall gaan maken in zelfbouw en had graag jullie menig over onderstaande samenstelling. Temeer omdat het zelfs mijn eerste zelfbouw- project 'tout court' is.

Wat wil je doen met je nieuwe systeem?
Mijn bedoeling is om zelf een router / firewall te gaan maken. Als systeem heb ik mijn idee op Sophos gezet (opensense en pfsense stonden ook eerst op de lijst).

Wat mag het systeem gaan kosten?
300 à 450€

Zijn er componenten of randapparatuur die je al hebt en mee wil nemen naar je nieuwe systeem?
Neen, alles moet nog worden aangekocht

Wat denk je allemaal nodig te hebben?
Op mijn voorlopig lijstje heb ik volgende zaken gezet:
- een case
- moederbord met minstens 3 netwerkaansluitingen (WAN, LAN & DMZ aansluiting)
- intel pentium processor
- artic freezer processorkoeling
- 8GB RAM
- Xilence voeding
- Kingston SSD 120 GB

Aangezien het mijn allereerste zelfbouw project is zou het zomaar eens kunnen dat ik iets over het hoofd zie

Heb je nog bepaalde (merk)voorkeuren?
Niet bepaald merkgebonden, ik zoek vooral kwalitatief materiaal. Merk speelt daarbij geen rol

Heb je nog bepaalde eisen/wensen?
Geluidsniveau is van ondergeschikt belang, materiaal zou in een patchkast komen.
Aangezien de firewall 24/24 en 7/7 zal draaien is een energiezuinige opstelling mooi meegenomen

Ga je overklokken?
Neen. Ik mik erop om een toestel in mekaar te krijgen die makkelijk aankan wat ik wil gaan doen.
Het moet de standaardfuncties van een firewall kunnen uitvoeren (dhcp, poorten doorsturen, interne DNS, packet inspection,...) maar daarnaast ook logs kunnen bijhouden en evt proxy server draaien.

Wat verwacht je van ons?
Aangezien het mijn eerste zelfbouw project is had ik graag geweten of mijn materiaal lijstje wel compleet is en of de geselecteerde materialen wel de juiste keuze zijn voor wat ik er wil mee gaan doen.

Alle info mbt aanpak of zelfs het firewall pakket op zich zijn zeer welkom.
Ik las reeds soortgelijke topic op het forum maar kan alle info goed gebruiken.

Alvast bedankt!

Hierbij mijn lijstje:

#	Product	Prijs	Subtotaal
1	Intel Pentium G4560 Boxed	€ 59,29	€ 59,29
1	Supermicro X11SSH-F	€ 215,75	€ 215,75
1	Inter-Tech IT-607	€ 27,50	€ 27,50
1	Arctic Freezer i32	€ 25,95	€ 25,95
1	HP 516423-B21	€ 26,62	€ 26,62
1	Xilence SPS-XP500.(12)R3	€ 31,-	€ 31,-
1	Kingston SSDNow UV400 120GB	€ 58,95	€ 58,95
Bekijk collectie Importeer producten		Totaal	€ 445,06

zondag 24 september 2017 18:42

Acties:

Operations

Volgens mij heeft dit bordje maar 2 bruikbare netwerkpoorten. 1 van de poorten is bedoeld voor toegang van buitenaf.

Waarom koop je niet via vraag en aanbod een PCI-E HP QUAD netwerkkaart. Dan maakt het niet meer uit wat voor bordje je gebruikt.

[ Voor 36% gewijzigd door Operations op 24-09-2017 18:45 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

zondag 24 september 2017 18:52

Acties:

42dpi

ლ(ಠ益ಠლ)

Ik ben zelf ook bezig met een eigen router te maken maar sommigen dingen die je gebruikt zijn overkill.

Ik heb zelf een mATX mobo gekocht tweedehands dualcore 2GB ram 14,-
PCI kaartje 1Gbit 10,-
Kleine voeding 2 sata basic 5,-
1Gbit switch 5 poorts 20,-
WIFI AP 1200AC 30,-
SSD (nog opzoek) 30/40 euro

Dat moet voldoende zijn om al mijn wifi apparaten te voorzien 11 stuks
1 server
1 desktop

Rond de 120,- is het al haalbaar misschien klein kistje ergens paar draadje voor aan en uit en ventilatortje

Hardware die jij gebruikt daar maak je een server van.

Si vis pacem, para bellum

zondag 24 september 2017 18:57

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op zondag 24 september 2017 @ 17:52:

Ga je overklokken?
Neen. Ik mik erop om een toestel in mekaar te krijgen die makkelijk aankan wat ik wil gaan doen.
Het moet de standaardfuncties van een firewall kunnen uitvoeren (dhcp, poorten doorsturen, interne DNS, packet inspection,...) maar daarnaast ook logs kunnen bijhouden en evt proxy server draaien.

Houd je er wel rekening mee dat packet inspecion geen standaard functionaliteit is maar een functie die erg veel van hardware vraagt wanneer je hiermee ook nog eens een goede throughput wilt halen?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 24 september 2017 19:00

Acties:

Operations

Denk dat dit een betere keuze is qua cpu:

Intel Xeon E3-1220L V3 2-Core @ 1.1Ghz S1150 17W TDP

Krachtiger en zuiniger.
Past alleen niet op je gekozen bord. Is een s1150 cpu dit en jij koos een s1151 bord.

Ik ga dit heel misschien ook doen, ik zou het zo doen:

Asrock B85 M-ITX (Kan ook de Pro4 variant nemen als je M-ITX niet nodig vindt)
Intel Xeon E3-1220L V3 2-Core @ 1.1Ghz S1150 17W TDP
Cooler Master Elite 130 (via V&A heel goedkoop)
simpel geheugen 4GB
Quad port netwerkkaart.

Dan ben je goedkoper en mijn inziens beter uit. En je hebt een kleiner kastje, wat je niet zo belangrijk vond maar toch. Je kan uiteraard ook een ander M-ITX bordje en kastje nemen, maar het idee is zo wel duidelijk denk ik.

[ Voor 92% gewijzigd door Operations op 24-09-2017 19:27 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

zondag 24 september 2017 20:16

Acties:

Verwijderd

Topicstarter

Beste Operations, 42dpi & Bor,

Bedankt voor jullie hulp en voorstellen!
Ik had al een licht vermoeden dat mijn opstelling wat overkill was.

@ bor: ik las idd al dat deep packet inspection behoorlijk wat van de hardware vraagt, zou ik in mijn opstelling hiermee tekortschieten?

Verder noteer ik uit jullie voorstellen ook dat ik beter voor een meer "basic" moederbord kan gaan en daar een 4-poorts netwekkaart inpluggen.De processor zou ik inruilen voor een intel Xeon.

Misschien een domme vraag, maar ik ga ervan uit dat een 4-poort netwerkkaart toch 4 aparte MAC en ip adressen krijgt (1 per poort).
Ik vraag me nl af hoe het juiste ip toe te wijzen aan de desbetreffende poort (WAN, LAN, DMZ)?
Dit zal nl tijdens het installatieproces moeten gebeuren denk ik dan? (dit was natuurlijk hetzelfde geweest met mijn origineel geselecteerde moederbord)

Ik bekijk jullie voorstellen alvast nog eens grondiger en maak daarna een nieuwe setup.

zondag 24 september 2017 21:02

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op zondag 24 september 2017 @ 20:16:

@ bor: ik las idd al dat deep packet inspection behoorlijk wat van de hardware vraagt, zou ik in mijn opstelling hiermee tekortschieten?

Het hangt er helemaal van af wat je exact wilt gaan doen en welke doorvoer je verwacht. Zelfs met enterprise level firewalls kun je het systeem met DPI op zijn knieën krijgen. Als voorbeeld; Synology biedt DPI (beperkt) aan op zijn routers maar wanneer je dit gaat gebruiken zie je soms een halvering in doorvoersnelheid. Dat is dan geen enterprise level apparaat maar het geeft wel een indicatie. Ga je voor zelfbouw op basis van bv een Linux distributie dan zal je het eea ook nog eens vooral in software moeten afhandelen wat de snelheid er niet beter op maakt. Wanneer je near wirespeed verwacht met een moderne internetaansluiting (daar lees ik weinig over) ga je echt tekort schieten met een setup als deze.

[ Voor 8% gewijzigd door Bor op 24-09-2017 21:03 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 24 september 2017 21:26

Acties:

jan99999

Zelf heb ik een pfsense router.
Deze cpu heb ik,
Intel(R) Celeron(R) CPU 1037U @ 1.80GHz
Is een kleine moederbord met cpu gesoldeerd, 2 netwerkkaarten en zuinig.
Zoek op diverse forums wat de minimale cpu.

zondag 24 september 2017 21:29

Acties:

JackBol

Security is not an option!

Hoeveel bandbreedte heb je nodig?

De actuele opbrengst van mijn Tibber Homevolt

maandag 25 september 2017 08:19

Acties:

Verwijderd

Topicstarter

@ bor: OK, dat is een mooi voorbeeld! Ik zal mijn plannen omtrent DPI wat moeten bijstellen denk ik...

JackBol schreef op zondag 24 september 2017 @ 21:29:
Hoeveel bandbreedte heb je nodig?

Momenteel heb ik een basis-verbinding met 50Mbps aan download. Dit zou dus minimum de vereiste moeten blijven, liever wat hoger om safe te zitten bij een overstap naar een "zwaarder" pakket.

Wat ik eerder nog vergat te melden: ik zou ook VPN willen opzetten en zou daar de passtrough toch ook op min 50Mbps willen houden. Wat wil zeggen dat mijn "gewone" passtrough hoger zal moeten liggen...

maandag 25 september 2017 09:01

Acties:

Nakebod

Nope.

Ik heb zelf een Sophos SG125w, welke een Atom C2358 heeft en 4GB RAM. Dit is een dualcore 1.7GHz CPU.
Dat draait prima totdat je meer dan 100 Mbit wilt, en tegelijkertijd IPS (intrusion prevention system) aan hebt staan. Onderliggend wordt hier snort voor gebruikt, en die blijkt alleen single core te doen en dat trekt hij dan niet.
Hier kwam ik onlangs achter toen mijn lijn van 100/100 naar 160/160 geupgrade werd en ik niet hoger kwam dan 110 Mbit. IPS uit en het werkt wel snel.

Dus 50 Mbit moet met vergelijkbare hardware moet wel lukken.
Ik draai UTM9, en niet XG. Het kan zijn dat dat nog iets van invloed is op de systeemeisen.

Blog | PVOutput Zonnig Beuningen

maandag 25 september 2017 10:36

Acties:

Verwijderd

Topicstarter

Nakebod schreef op maandag 25 september 2017 @ 09:01:
Ik heb zelf een Sophos SG125w, welke een Atom C2358 heeft en 4GB RAM. Dit is een dualcore 1.7GHz CPU.
Dat draait prima totdat je meer dan 100 Mbit wilt, en tegelijkertijd IPS (intrusion prevention system) aan hebt staan. Onderliggend wordt hier snort voor gebruikt, en die blijkt alleen single core te doen en dat trekt hij dan niet.
Hier kwam ik onlangs achter toen mijn lijn van 100/100 naar 160/160 geupgrade werd en ik niet hoger kwam dan 110 Mbit. IPS uit en het werkt wel snel.

Dus 50 Mbit moet met vergelijkbare hardware moet wel lukken.
Ik draai UTM9, en niet XG. Het kan zijn dat dat nog iets van invloed is op de systeemeisen.

Dit is zeer waardevolle input, bedankt voor de info!

Ik ga de Xeon en de Atom eens naast mekaar zetten en zet mezelf aan een nieuw lijstje

maandag 25 september 2017 11:57

Acties:

Operations

Quad poort netwerkkaart betekent inderdaad 4 x een IP plus MAC adres. Dus je zou tijdens de installatie precies aan kunnen geven welke poort waarvoor bedoeld is. Hoe precies kan ik je ook niet vertellen zover ben ik ook nog niet.

Puur uit nieuwsgierigheid, ik neem aan dat dit voor thuis bedoeld is. Waarom vind je DPI zo belangrijk dan?

@Nakebod hoeveel cpu kracht heb je nodig voor een 400/40 verbinding als ik DPI zou willen gebruiken?

[ Voor 32% gewijzigd door Operations op 25-09-2017 12:03 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

maandag 25 september 2017 12:23

Acties:

sh4d0wman

Attack | Exploit | Pwn

Geen advies op hardware gebied maar wel iets over de inrichting van je filtering.

Gebruik Wireshark om te kijken welk verkeer er plaats vindt binnen je LAN en blokkeer met een ACL alle niet essentiele packets op de inkomende interface(s), of voorkom het verkeer uberhaupt door op de clients applicaties te verwijderen/aan te passen. Dat voorkomt dat het doorstroomt naar de IPS, dus heb je daar al een iets minder hoge load.

Verder moet je de ruleset fine-tunen. Meestal gebruik je maar een sub-set. b.v. Windows detectie only. Ook zit er verschil tussen de engines, Snort vs Suricata. Hier de belangrijkste verschillen: https://www.aldeid.com/wiki/Suricata-vs-snort

Mocht je het opzetten dan zou ik graag een topic zien, ik ga er zelf binnenkort ook mee de slag (binnen een VM). Good luck!

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 25 september 2017 12:25

Acties:

Nakebod

Nope.

Operations schreef op maandag 25 september 2017 @ 11:57:
@Nakebod hoeveel cpu kracht heb je nodig voor een 400/40 verbinding als ik DPI zou willen gebruiken?

Met zekerheid durf ik het niet te zeggen, maar een wat ouder topic uit 2014 waar men Gbit wil halen praat over Xeon CPU's. https://community.sophos....quired-for-1gb-throughput
CPU power is natuurlijk hard vooruit gegaan, dus hoe relevant dat nog is is maar de vraag.

Nu is een Intel Atom CPU qua power niet echt de snelste.
Even snelle vergelijking: Atom-C2358 @ 1.7GHz vs i5-4200U @ 1.6GHz http://cpuboss.com/cpus/I...4200U-vs-Intel-Atom-C2358 en de i5 wint. PassMark singlecore score is bijna 3x zo hoog.
Als ik dat voorzichtig doortrek zou een modern i5 systeem met 2+GHz dat mogelijk al wel trekken.

Maar het keyword hierin is denk ik het beste te omschrijven als: Zoveel mogelijk GHz per core, en dan niet eens veel cores.
Wat bijvoorbeeld neer zou komen liever een 4GHz dualcore (Als die al bestaat) dan een octacore 2GHz.
Effectief 8GHz vs 16GHz, maar singlecore performance is dan een stuk sneller.

@sh4d0wman
Rulesets kunnen waarschijnlijk nog wel wat verlichten ja, heb mij daar zelf nog niet in verdiept en of dat genoeg is. Binnen Sophos UTM heb je iig wel wat opties, zie screenshot: https://imgur.com/a/ydE7F

[ Voor 8% gewijzigd door Nakebod op 25-09-2017 12:30 ]

Blog | PVOutput Zonnig Beuningen

maandag 25 september 2017 12:26

Acties:

Verwijderd

Topicstarter

Bedankt voor de info!

Ik ga zelf ook eens moeten puzzelen om te zien hoe ik de juiste netwerk-aansluiting verbonden krijg met de juiste poort...
Welke ip moet je dan ingeven in de browser om naar de GUI-pagina van je router te gaan, of kan dit elk van de 3 (in mijn geval) zijn?

Operations schreef op maandag 25 september 2017 @ 11:57:
Puur uit nieuwsgierigheid, ik neem aan dat dit voor thuis bedoeld is. Waarom vind je DPI zo belangrijk dan?

Idd voor thuisgebruik. Ik zou de DPI maar willen verkennen als "hobby" en vanuit de optiek:
"beter te hard beveiligd dan te weinig"

maandag 25 september 2017 15:58

Acties:

Verwijderd

Topicstarter

Gebaseerd op jullie input en ervan uitgaand dat ik beter af ben met bvb een dual core met hoge klokfrequentie dan met een octacore met lagere klokfrequentie ben ik eens gaan zoeken: ik ben daarbij bij de 'Intel pentium G4400' terecht gekomen een 2-core met 3,3 GHz

Als ik deze naast de eerder vermelde Xeon zet zou deze de betere zijn, toch??
Zo ja, hij is nog een pak goedkoper ook! Maar wel 1151 socket, wat wil zeggen dat ik terug naar een ander bord moet

http://cpuboss.com/cpus/I...v3-vs-Intel-Pentium-G4400

Mocht je het opzetten dan zou ik graag een topic zien, ik ga er zelf binnenkort ook mee de slag (binnen een VM). Good luck!

Thx! De firewall zal er zeker komen, ik weet enkel nog niet in welk opzet.
Eens zover zal ik een topic lanceren

Bedankt voor jullie hulp en enthousiasme!
Ik kom dichter bij de finale lijst

[ Voor 6% gewijzigd door Verwijderd op 25-09-2017 16:05 ]

maandag 25 september 2017 19:22

Acties:

jan99999

En goed kijken of je hardware ondersteund wordt, meestal is dit bsd.
Lees goed op de forums van de software die je gebruikt.
Op pfsense website/forum kun je ook kijken tav hoe snel je hardware moet zijn.

maandag 25 september 2017 21:08

Acties:

Verwijderd

Topicstarter

Ik had contact met Sophos, dit zijn de vereisten voor de home-edition installatie:

List of system requirements for UTM home edition:
x86 CPU (1.5 GHz+)
1 GB RAM (2 GB recommended)
Dual Core (Quad Core recommended)
20 GB HDD (40 GB recommended)
Bootable CD-ROM or Sophos Smart Installer.
2-3 NICs (WAN/LAN/DMZ)
Any other computer with a recent web browser

Ik heb mezelf weer iets te hard laten gaan denk ik, maar dit is het lijstje zoals nu samengesteld.
Mogelijks moet in nog inbinden als blijkt dat ik werkelijk nog een pak hoger uitkom

#	Product	Prijs	Subtotaal
1	Intel Core i3-4170 Boxed	€ 114,22	€ 114,22
1	ASRock B85M Pro4	€ 71,-	€ 71,-
1	Antec VSK2000-U3	€ 39,55	€ 39,55
1	HP NC375T PCI Express Quad Port Gigabit Server Adapter	€ 107,18	€ 107,18
1	Cooler Master Hyper TX3 Evo	€ 19,51	€ 19,51
1	Kingston HyperX Fury black HX318C10FB/4	€ 32,52	€ 32,52
1	Xilence XP600R7	€ 33,50	€ 33,50
1	Kingston SSDNow UV400 120GB	€ 58,95	€ 58,95
Bekijk collectie Importeer producten		Totaal	€ 476,43

dinsdag 26 september 2017 00:49

Acties:

Operations

Dan zou ik een 4170T( is dezelfde maar de T staat voor de energie zuinige variant )nemen, die is net iets zuiniger. Ik heb die cpu nog liggen en ook het bordje en zelfs ook die quad poort kaart die jij kiest dus ik heb de hardware al in huis toevallig

Dus ben erg benieuwd naar jouw resultaten

mocht ik er ook aan beginnen wat zoals ik al zei nog niet zeker is.

Die specs die Sophos noemde waren ook geschikt voor DPI?

Waarom trouwens LAN, WAN en DMZ? Ik dacht dat het een netwerkkaart (of poort) was voor IN vanaf het modem en een netwerkkaart (of poort ) voor de OUT naar je switch. Dus voor je lan ( dus 2 netwerkpoorten ipv 3). Dan zit je Sophos dus precies als firewall er tussen.

[ Voor 46% gewijzigd door Operations op 26-09-2017 01:24 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

dinsdag 26 september 2017 02:38

Acties:

42dpi

ლ(ಠ益ಠლ)

Operations schreef op dinsdag 26 september 2017 @ 00:49:
Die specs die Sophos noemde waren ook geschikt voor DPI?

Waarom trouwens LAN, WAN en DMZ? Ik dacht dat het een netwerkkaart (of poort) was voor IN vanaf het modem en een netwerkkaart (of poort ) voor de OUT naar je switch. Dus voor je lan ( dus 2 netwerkpoorten ipv 3). Dan zit je Sophos dus precies als firewall er tussen.

Hardware minimaal is 256 MB RAM and 500 MHz CPU, er is zelfs support voor embedded hardware, zelf verkopen ze een soort van custom raspberry pi met een 600 Mhz Arm en 512MB ram, hardware is wat je er mee doet sneller is snellere resultaat met een cap natuurlijk.

Ik zelf ga het gewoon als router gebruiken, ik moet een zooi wifi apparaten beheren en wat data over en weer knallen vaak van en naar de server 80% desktop de rest laptop.

Netwerk kaart is dan gewoon een switch alleen dan op de router zelfs wss, je hebt managed switches maar ook niet managed switches daar zal misschien verschil in zitten.

Si vis pacem, para bellum

dinsdag 26 september 2017 05:23

Acties:

Operations

42dpi schreef op dinsdag 26 september 2017 @ 02:38:
[...]

Hardware minimaal is 256 MB RAM and 500 MHz CPU, er is zelfs support voor embedded hardware, zelf verkopen ze een soort van custom raspberry pi met een 600 Mhz Arm en 512MB ram, hardware is wat je er mee doet sneller is snellere resultaat met een cap natuurlijk.

Ik zelf ga het gewoon als router gebruiken, ik moet een zooi wifi apparaten beheren en wat data over en weer knallen vaak van en naar de server 80% desktop de rest laptop.

Netwerk kaart is dan gewoon een switch alleen dan op de router zelfs wss, je hebt managed switches maar ook niet managed switches daar zal misschien verschil in zitten.

Dit snap ik niet helemaal. Je gaat de Sophos software dus wel gebruiken op basis van 1 netwerkkaart IN (dus vanaf je modem) en 1 netwerkkaart OUT (die normaal naar je switch loopt). Alleen jij hebt geen switch en wil een derde netwerkkaart als 1 poort switch gaan gebruiken? Dat hoeft dan toch niet? Je OUT is toch al je poort naar je lokale netwerk toe?

Je hebt iinderdaad managed en niet managed switches maar wat heeft dat precies met dit stukje te maken?

Voor zover ik het werkt het zo:
Modem ------- Sophos pc (netwerkkaart 1)werkt als ingang dus Sophos filtert dan al je inkomend verkeer.
Vervolgens:
Sophos pc(netwerkkaart 2) ------ switch en hier hang je al je clients aan. Dus je Wi-Fi acces points bijvoorbeeld.

Of mis ik iets in jouw verhaal?

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

dinsdag 26 september 2017 06:55

Acties:

42dpi

ლ(ಠ益ಠლ)

Operations schreef op dinsdag 26 september 2017 @ 05:23:
[...]

Dit snap ik niet helemaal. Je gaat de Sophos software dus wel gebruiken op basis van 1 netwerkkaart IN (dus vanaf je modem) en 1 netwerkkaart OUT (die normaal naar je switch loopt). Alleen jij hebt geen switch en wil een derde netwerkkaart als 1 poort switch gaan gebruiken? Dat hoeft dan toch niet? Je OUT is toch al je poort naar je lokale netwerk toe?

Je hebt iinderdaad managed en niet managed switches maar wat heeft dat precies met dit stukje te maken?

Voor zover ik het werkt het zo:
Modem ------- Sophos pc (netwerkkaart 1)werkt als ingang dus Sophos filtert dan al je inkomend verkeer.
Vervolgens:
Sophos pc(netwerkkaart 2) ------ switch en hier hang je al je clients aan. Dus je Wi-Fi acces points bijvoorbeeld.

Of mis ik iets in jouw verhaal?

Ik heb wel een switch, geen idee waar ik over had met managed en unmanaged, had nog last van een borrel denk ik.

Wat ik heb is Experiabox V8 Bridge mode --> Sophos Router met 2x 1Gbit NIC's NIC1 input modem NIC2 out naar --> switch --> LAN 1 Wifi-AP LAN 2 Desktop LAN3 Server

Si vis pacem, para bellum

dinsdag 26 september 2017 08:31

Acties:

Verwijderd

Topicstarter

Waarom trouwens LAN, WAN en DMZ? Ik dacht dat het een netwerkkaart (of poort) was voor IN vanaf het modem en een netwerkkaart (of poort ) voor de OUT naar je switch. Dus voor je lan ( dus 2 netwerkpoorten ipv 3). Dan zit je Sophos dus precies als firewall er tussen.

Het was idd ook eerst mijn plan om een bord te nemen met minimum 3 netwerk - aansluitingen. Door voor een netwerkkaart te kiezen met 4 aansluitingen hoop ik hetzelfde te kunnen bereiken in 1 kaart.
Of moet ik dan toch telkens een andere kaart nemen??

Indien ik de 4 poorten op een quad-netwerkkaart apart kan benaderen kan ik bvb toch de eerste gebruiken als WAN, de 2e als LAN en de 3e als DMZ, de 4e blijft voorlopig vrij...

Maw: gedraagt een 4-poorts netwerkkaart zich op dezelfde manier als 4 aparte kaarten met 1 aansluiting?

De DMZ aansluiting zou ik gaan gebruiken om een ftp server aan te hangen die van buitenaf makkelijk bereikbaar moet zijn. Dit is handig om makkelijk gegevens beschikbaar te stellen aan externe contacten en leuk als hobby

dinsdag 26 september 2017 09:28

Acties:

Nakebod

Nope.

1 kaart met meerdere poorten is geen probleem.
Ervan uitgaande dat die kaart iig gewoon door Sophos (Onderliggend RHEL) ondersteund is.

Op een SG125W zitten bijvoorbeeld twee 4-poort NIC's onboard: Intel Corporation Ethernet Connection I354
en Intel Corporation I211. Die hebben 4x hetzelfde hardware ID, maar allemaal hun eigen MAC adres.

Blog | PVOutput Zonnig Beuningen

dinsdag 26 september 2017 09:30

Acties:

Operations

Je ftp server moet je gewoon achter je firewall hangen en dan de juiste poorten door sturen (meestal 21 en 990 voor secure ftp).

Iets in DMZ zetten betekent dat die server volledig open staat op het internet. Dat wil je niet.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

dinsdag 26 september 2017 09:33

Acties:

Probub

is dit niets voor je, speciaal gemaakt voor Sophos UTM...
http://utmshop.nl/sophos-...nces/nfa-home-rev3xg.html

dinsdag 26 september 2017 12:08

Acties:

Verwijderd

Topicstarter

Operations schreef op dinsdag 26 september 2017 @ 09:30:
Je ftp server moet je gewoon achter je firewall hangen en dan de juiste poorten door sturen (meestal 21 en 990 voor secure ftp).

Iets in DMZ zetten betekent dat die server volledig open staat op het internet. Dat wil je niet.

Dat klopt inderdaad, maar mijn insteek was om whitelist te maken van MAC of ip adressen en enkel die adressen toegang te geven tot specifieke zaken binnen mijn netwerk. Wanneer ik dan iets wil uitwisselen met een nieuw "contact" kan die niet bij me binnen aangezien die niet in de whitelist staat.

Dit zou ik via DMZ wel kunnen doen. Toegegeven: het is meer als hobby dan als noodzaak

De DMZ is dan idd behoorlijk blootgesteld, maar zou ook enkel als "transfer" server gebruikt worden.

Probub schreef op dinsdag 26 september 2017 @ 09:33:
is dit niets voor je, speciaal gemaakt voor Sophos UTM...
http://utmshop.nl/sophos-...nces/nfa-home-rev3xg.html

Bedankt voor de tip, dit ziet er idd iets uit wat ik zoek!

dinsdag 26 september 2017 12:25

Acties:

Operations

DMZ (zonder firewall) en internet is echt een slechte combi... Je kan je ftp toegang wel beperken, maar elke andere bruikbare poort staat ook gewoon open. Voorbeeld als je remote desktop intern gebruikt en die computer staat dus in DMZ dan is dat ook gewoon van buitenaf te benaderen. Je NTFS shares zijn ook gewoon zichtbaar etc...

Het heeft ook geen enkele meerwaarde tov de juiste poorten forwarden.

Maar goed zelf weten

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

dinsdag 26 september 2017 12:37

Acties:

Verwijderd

Topicstarter

Operations schreef op dinsdag 26 september 2017 @ 12:25:
DMZ (zonder firewall) en internet is echt een slechte combi... Je kan je ftp toegang wel beperken, maar elke andere bruikbare poort staat ook gewoon open. Voorbeeld als je remote desktop intern gebruikt en die computer staat dus in DMZ dan is dat ook gewoon van buitenaf te benaderen. Je NTFS shares zijn ook gewoon zichtbaar etc...

Het heeft ook geen enkele meerwaarde tov de juiste poorten forwarden.

Maar goed zelf weten

Daar volg ik je idd volledig, ik weet ook niet of Sophos nog extra instellingen biedt mbt de DMZ poort.
Ik doe het nu ook gewoon dmv poorten doorsturen naar de juiste plaats.

Het zou sowieso maar als test zijn in geval van de ftp server, mogelijks later wel een webserver...

zondag 8 oktober 2017 20:58

Acties:

Operations

Kleine update van mijn kant. IPS is echt heel zwaar. Ik draai Sophos nu als VM op mijn Hyper V machine. Specs: x8dah-+f, x5650, SSD's en 64GB.

De Sophos VM heeft 8 vCPUS en 16GB en nog steeds ligt mijn download snelheid op 50%. Ik haal maar 150Mbps van de 350Mbps.

Heb al een topic lopen op Sophos forum, ga waarschijnlijk nog even testen zonder Hyper V dus echt fysiek op een machine. Op het forum wordt mij een recente i7 en 16GB(en ssd) aanbevolen.

Wat ik eigenlijk wil zeggen is, als je een machine bouwt voor Sophos UTM en je wil IPS gebruiken. Hou dan rekening met some serious hardware en dus ook bijhorend stroom verbruik.

Ik draai Sophos op de aanbevolen manier, dus WAN direct in de Sophos machine (aparte netwerkkaart) en een andere netwerkkaart in de switch. Dus niet one armed of op een andere manier.

[ Voor 13% gewijzigd door Operations op 08-10-2017 21:01 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5