Archiv für den Monat: Januar 2014

Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial

Hier ein kleines Tutorial wie man mehrfache IPsec Tunnel einrichtet und den Traffic über diese Leitungen verteilt. Dazu habe ich mir eine kleine virtuelle Umgebung aufgebaut. In einer solchen Dev-Umgebung sollte man immer einen Router nutzen um das „Internet“ auch wirklich richtig zu simulieren. Hierzu eignet sich am besten eine kleine Linux-VM mit mehreren Interfaces die IP Forwarding aktiviert hat. Es kommen zwei aktuelle Sophos UTM 9.1 und zwei Win7 als Clients zum Einsatz. Eine der UTMs läuft als Cluster für Tests mit aktuellen Updates.

Hier eine Übersicht meiner Umgebung:
Sophos_Multi_VMs        Sophos_Multi_VMs2

Nun definieren wir auf den beiden UTMs jeweils zwei WAN und die internen Interfaces:
Sophos_Multi_Netzconfig_1Sophos_Multi_Netzconfig_2

Als nächstes wird eine Interface Group mit den beiden lokalen WAN Interfaces angelegt:
Sophos_Multi_GRP_Interface Sophos_Multi_GRP_Interface2

Jetzt definieren wir unsere beiden IPsec Verbindungen (deren Einrichtung setze ich voraus und spare mir die Screenshots). Von Sophos 1 WAN1 zu Sophos 2 WAN3 und Sophos 1 WAN2 zu Sophos 2 WAN4:
Sophos_Multi_IPsec_1   Sophos_Multi_IPsec_2

Es dürfen keine Routen zu den Remote Netzwerken gesetzt werden. Mit gesetzten Routen wird es einen Fehler geben und nur eine Verbindung kommt zustande:
Sophos_Multi_IPsec_5_error
Sophos_Multi_IPsec_6_route

Daher nutzen wir in der VPN Definition die Option „Bind Tunnel to local Interface“:
Sophos_Multi_IPsec_3

Jetzt wird keine Route gesetzt und beide VPN Tunnel sind aktiv:
Sophos_Multi_IPsec_7_route
Sophos_Multi_IPsec_4

Nun können wir die „Multipath Rules“ festlegen. Durch diese Regeln wird der Traffic über beide WAN Interfaces in die Tunnel verteilt:
Sophos_Multi_MultipathRule_1

Sophos_Multi_MultipathRule_2

Damit die Interfaces auch wirklich überwacht werden und diese Regeln greifen können, müßen die WAN Interfaces ins „Uplink Balancing“ aufgenommen werden:
Sophos_Multi_GRP_Interface_Uplink

Zur Kontrolle senden wir ICMP Pakete und simulieren den Ausfall eines WAN Links (z.B. durch „ifconfig eth1 down“ auf dem Linux-Router). Der Failover kann schon mal einige Zeit dauern. Ruhe bewahren – Schock bekämpfen:
Sophos_Multi_Failover_Ping
Funktioniert aber!

Hier sieht man wie der Traffic über den ersten VPN Tunnel gesendet wird:
Sophos_Multi_Failover_Weg1

Nach dem Failover wird der zweite Tunnel genutzt:
Sophos_Multi_Failover_Weg2

Nagios Core 4.0.2 mit PNP4Nagios im Bulk Mode mit NPCD

NAGIOS-Core-1  NAGIOS-Core-4

Die neueste Version von Nagios Core 4.x arbeitet nicht mehr mit dem PNP4Nagios Broker Module npcdmod.o zusammen. Daher habe ich meine Nagios Installation auf die neueste Version 4.0.2 geupdated und PNP4Nagios 0.6.21 auf den Bulk Mode mit NPCD umgestellt. Dieses Setup läuft ohne Probleme und entlastet Nagios.

Jan 21 13:51:23 mfs-nagios NPCD[17640]: Processing file service-perfdata.1390308681 with ID 140281519576832 – going to exec /usr/local/pnp4nagios/libexec/process_perfdata.pl -n –bulk /usr/local/pnp4nagios/var/spool/service-perfdata.1390308681
Jan 21 13:51:23 mfs-nagios NPCD[17640]: Processing file ’service-perfdata.1390308681′
Jan 21 13:51:23 mfs-nagios NPCD[17640]: Processing file host-perfdata.1390308681 with ID 140281527969536 – going to exec /usr/local/pnp4nagios/libexec/process_perfdata.pl -n –bulk /usr/local/pnp4nagios/var/spool/host-perfdata.1390308681
Jan 21 13:51:23 mfs-nagios NPCD[17640]: Processing file ‚host-perfdata.1390308681‘

Hier einige Screenshots:

NAGIOS-Core-2

NAGIOS-Core-3

Sophos UTM 9.2 – Advanced Threat Protection und IPS Verbesserungen

Eine ganz neue Funktion ist das ATP System. Hiermit wird ausgehender Traffic in Richtung Bot- und andere schädliche Remotenetze gesperrt. Bei dem IPS wurde die Performance optimiert. Die Engine wurde auf jede Hardware Appliance angepasst und nutzt diese perfekt aus. Desweiteren kann man das Alter der Patterns festlegen. Somit kann man ältere Patterns vernachlässigen was die Performance verbessert.

Advanced Threat Protection
sophos-atp-1

sophos-atp-2

Intrusion Prevention System
sophos-ips-92

Sophos UTM 9.2 – neue OSPF Features

Zufällig habe ich entdeckt, dass zwei neue wichtige Funktionen im OSPF Routing dazugekommen sind. Endlich ist es möglich, auch IPSEC und SSL-VPN Routen zu redistributieren. Vergleich von Version 9.1 zur bevorstehenden 9.2:

sophos-ospf-91    sophos-ospf-92

Sophos UTM 9.2 mit One-Time Password (OTP mit Google Authenticator)

Ein neues Verfahren wurde implementiert, um die Zwei-Faktor-Authentifizierung für die Bereiche WebAdmin, Userportal, SSL-VPN Zugänge etc zu unterstützen. Von mir getestet wurde der Google Authenticator. Einmal eingerichtet, muss der Benutzer seinem Passwort einen OTP-Code anhängen, der in der APP erzeugt wird.
Die Anmeldung sieht dann wie folgt aus: Statt „johndoe / mypassword“ muß jetzt der für 30 Sekunden gültige OTP Code angehängt werden: „johndoe / mypassword254327“. Erst jetzt funktioniert der Login. Als APP habe ich die Android Version gewählt und den Barcode eingescannt. Weitere Tests mit YubiKey Token folgen….

sophos-otp-1

sophos-otp-2

sophos-otp-3