Sophos XG Firewall in einem ProfitBricks-VDC einrichten

Mittwoch, 21. Juni 2017, in Application Platform, von Benjamin Schmidt

Einleitung

In diesem Tutorial wird Ihnen in detaillierten Schritten erklärt, wie Sie in einem virtuellen Data Center (VDC) von ProfitBricks eine Sophos XG Firewall hochladen, provisionieren, installieren und konfigurieren.

Für die Einrichtung werden folgende Schritte durchlaufen:

• ISO-Image von Sophos hochladen
• Virtuelles Data Center vorbereiten
• IP-Adresse reservieren
• Jump-Server-Instanz erzeugen
• Sophos XG Firewall-Instanz erzeugen
• ISO-Boot-Device auswählen
• Netzwerk konfigurieren
• Provisionieren
• Sophos XG Firewall installieren
• Sophos XG Firewall aktivieren (web-basiert)
• Sophos XG Firewall konfigurieren mit dem Network Configuration Wizard

Voraussetzungen

Zunächst benötigen Sie die ISO-Datei der Sophos XG Firewall, die Sie kaufen und herunterladen können, wenn Sie sich bei Sophos registrieren. Alternativ können Sie eine kostenfreie Testversion bei Sophos anfordern.

Sie erhalten in beiden Fällen

• ein ISO-Image und
• eine gültige Seriennummer.

ISO-Image hochladen

Laden Sie zunächst die Sophos-XG-ISO-Datei in den iso-Ordner in Ihrem ProfitBricks-Account hoch. Wenn Sie zum Image-Hochladen nicht die Betriebssystem-internen Mittel verwenden möchten, können Sie einen FTP-Client wie FileZilla verwenden. Ein Beispiel, wie Sie mit Windows 10 Images hochladen können, finden Sie in unserer Online-Hilfe.

Sobald das Hochladen abgeschlossen ist, erhalten Sie eine E-Mail.

Virtuelles Data Center vorbereiten

Loggen Sie sich nun in den Data Center Designer (DCD) ein und erstellen Sie ein neues Data Center oder wählen Sie ein bestehendes aus, in welchem Sie die Firewall einrichten möchten.

IP-Adresse reservieren

Da die Firewall ein dauerhafter Bestandteil Ihres Netzwerk ist, empfiehlt es sich, eine statische IP-Adresse zu verwenden. Um eine IP-Adresse zu reservieren, gehen Sie folgendermaßen vor:

1. Öffnen Sie in der Menüleiste des DCD den IP-Manager.
2. Klicken Sie im IP-Manager auf IPs reservieren.
3. Vergeben Sie im sich daraufhin öffnenden Dialog einen Namen für die IP und setzen Sie die Anzahl der IPs auf 1. Achten Sie darauf, dass die hier eingestellte Region mit der Region Ihres gewählten Data Centers übereinstimmt.
4. Bestätigen Sie Ihre Eingaben, indem Sie IPs jetzt reservieren klicken.
   

Jump-Server-Instanz erzeugen

Die Sophos XG Firewall kann initial nur über eine Webseite konfiguriert werden, die auf der XG läuft. Diese Webseite ist nur über das interne LAN-Interface der XG erreichbar und nicht von deren öffentlicher Schnittstelle, dem Internet. Um auf die Webseite zuzugreifen, wird daher ein Jump-Server benötigt, der sich in demselben internen LAN befindet wie die XG.

1. Fügen Sie Ihrem VDC eine Komposit-Instanz hinzu, um einen Windows-2012-Server einzurichten, der als Jump-Server verwendet wird.
2. Verwenden Sie die Standardeinstellungen für die Serverkonfiguration.
3. Wählen Sie das ProfitBricks-Image windows-2012-r2-server als Boot-Device.
   
4. Geben Sie ein Administrator-Passwort für das Image ein.
5. Verbinden Sie den Server mit dem Internet, indem Sie die entsprechenden Elemente (Server und Internetzugang) miteinander verbinden.

Server für die Sophos XG Firewall erzeugen

1. Erzeugen Sie nun im DCD einen Sophos-XG-Server.
2. Verwenden Sie die folgenden Einstellungen für die Serverkonfiguration, die auf den von Sophos empfohlenen Voraussetzungen basieren:
   • Cores: 2,
   • RAM: 4 GB,
   • HDD: 64 GB.

   Wählen Sie kein Boot-Image aus.
   

ISO-Boot-Device auswählen

1. Markieren Sie im DCD die zuvor erzeugte Sophos-XG-Server-Instanz.
2. Öffnen Sie im Inspektor den Tab Storage und klicken Sie auf CD-ROM hinzufügen.
   
3. Im sich daraufhin öffnenden Dialog Neues CD-ROM-Laufwerk klicken Sie im Auswahlmenü Image auf den Eintrag Eigene Images und wählen das zuvor hochgeladene Sophos-XG-ISO-Image aus.
   
4. Lassen Sie die Checkbox Von Gerät booten unselektiert.
5. Bestätigen Sie Ihre Eingaben, indem Sie auf CD-ROM-Laufwerk hinzufügen klicken.
6. Wenn Sie das hochgeladene Image zum ersten Mal verwenden, werden Sie aufgefordert, das Betriebssystem anzugeben. Wählen Sie Linux und bestätigen Sie die Eingabe mit OK.

Netzwerk konfigurieren

1. Verbinden Sie die erste Netzwerkkarte (NIC 0) des Firewall-Servers mit der zweiten NIC (NIC 1) des Jump-Servers.
2. Verbinden Sie die zweite NIC (NIC 1) des Firewall-Servers mit dem Internetzugang.
   Wichtig: Bauen Sie das Netzwerk unbedingt in genau dieser Reihenfolge auf, andernfalls funktioniert die Konfiguration nicht!
   Die Netzwerktopologie sollte nun wie folgt aussehen:
   
3. Markieren Sie im DCD den Jump-Server und öffnen Sie im Inspektor den Tab Netzwerk.
4. Definieren Sie für NIC 1 als Primäre IP: 172.16.16.10.
5. Markieren Sie im DCD den Server mit der Sophos XG Firewall und öffnen Sie im Inspektor den Tab Netzwerk.
6. Nehmen Sie folgende Einstellungen vor:
   • NIC 0:
     • Primäre IP: 172.16.16.16,
     • DHCP: deaktiviert.
   • NIC 1: Wählen Sie als Primäre IP die zuvor reservierte IP-Adresse.
     

Provisionieren

Provisionieren Sie alle Änderungen, wenn die Provisionierungsüberprüfung keine Fehler enthält. Die Provisionierung kann einige Minuten dauern. Sobald der Vorgang abgeschlossen ist, erscheint im DCD ein Dialog, der darauf hinweist.

Sophos XG Firewall installieren

Sie können nun die Firewall folgendermaßen installieren:

1. Starten Sie im DCD die Remote Console für den Sophos-XG-Firewall-Server.
   
2. Klicken Sie in das sich neu öffnende Browserfenster.
3. Tippen Sie y ein und drücken Sie die Enter-Taste. (Bitte beachten Sie, dass der Installer das US-Tastaturlayout verwendet.)
   
4. Der Installer formatiert nun die leere Festplatte, erzeugt ein neues Dateisystem und installiert alle nötigen Dateien. Eine Fortschrittsanzeige hilft Ihnen dabei, den Installationsvorgang zu verfolgen.
   
5. Nachdem alle Dateien installiert worden sind, drücken Sie die y-Taste, um die Firewall neu zu starten.
   Nun läuft auf dem System eine Sophos XG Firewall.
6. Nach dem ersten Neustart zeigt das System Details zur Hardware-Konfiguration und fordert Sie auf, ein Passwort einzugeben. Geben Sie das Standardpasswort admin ein.
   
7. Bestätigen Sie die EULA, indem Sie a drücken.
   
8. Standardmäßig weist Sophos XG seiner ersten NIC die IP-Adresse 172.16.16.16 zu. Unter dieser IP-Adresse ist auch die web-basierte Sophos-Admin-Konsole erreichbar. Um die Firewall zu aktivieren, ist eine Internetverbindung nötig. Verifizieren Sie die Netzwerkkonfiguration, bevor Sie mit der eigentlichen web-basierten Konfiguration beginnen. Wählen Sie im Hauptmenü der Konsole die 1, um die Netzwerkkonfiguration zu starten.
   
   
9. Wählen Sie im nächsten Menü nochmals die 1 für die Schnittstellenkonfiguration.
   
10. Stellen Sie sicher, dass Port1 die IPv4-Adresse 172.16.16.16 enthält. Ein Gateway muss nicht konfiguriert werden. Drücken Sie die Enter-Taste, um fortzufahren.
    
11. Stellen Sie sicher, dass die Schnittstelle Port2 die reservierte öffentliche IPv4-Adresse enthält, die der ProfitBricks-DHCP-Server zugewiesen hat. Diese IP-Adresse sollte derjenigen entsprechen, die im DCD in den Netzwerkeinstellungen für die Sophos-Instanz angezeigt wird. Für die externe Kommunikation wird auch eine Gateway-IP-Adresse benötigt. Diese sollte auch durch den ProfitBricks-DHCP-Server automatisch zugewiesen worden sein.
    
12. Sollten die IP-Adressen nicht korrekt sein, geben Sie im folgenden Bildschirm y ein und geben Sie die korrekte IP-Adresse ein.

Web-basierte Aktivierung der Sophos XG Firewall

Die web-basierte Admin-Konsole der Sophos XG Firewall ist unter https://172.16.16.16:4444 erreichbar.

1. Verwenden Sie den Jump-Server, um die Seite der Firewall zu öffnen, indem Sie eine Remote-Desktop-Verbindung zu der öffentlichen IP-Adresse des Windows-Jump-Servers öffnen.
   Sie finden diese IP-Adresse im Feld Primäre IP-Adresse von NIC 0, wenn Sie den Tab Netzwerk im Inspektor des Jump-Servers öffnen.
   
   Hinweis: Diese IP-Adresse wurde dynamisch zugewiesen und kann sich ändern, wenn der Server ausgeschaltet (Power-off) und neugestartet wird.
2. Verwenden Sie den Browser des Jump-Servers, um die Seite https://172.16.16.16:4444 zu öffnen und sich an der Sophos-Admin-Konsole anzumelden.
   Hinweis: Es empfiehlt sich, Chrome auf Ihrem Jump-Server zu installieren, um die Sophos-Admin-Konsole effektiv nutzen zu können. Sollten Sie den Internet Explorer verwenden, reduzieren Sie die Sicherheitseinstellungen des Browsers auf das Minimum.
3. Verwenden Sie für den Login die Standardanmeldedaten:
   • Benutzername: admin
   • Passwort: admin
     Es kann einige Minuten dauern, bis der HTTP-Server auf der Firewall korrekt geladen und die Webseite erreichbar ist.
4. Den Zertifikatfehler des Browsers können Sie ignorieren.
   
5. Wenn Sie sich zum ersten Mal einloggen, muss nun als nächstes das Device aktiviert werden. Geben Sie eine gültige Seriennummer ein und klicken Sie auf Activate Device.
   
   Hinweis: In einigen Fällen ist die per DHCP konfigurierte, öffentliche IP-Adresse auf der Firewall nicht persistent. Die Aktivierung wird dann die Fehlermeldung “No internet connection. Check your internet connection as described in the product documentation.” ausgeben. Um dies zu beheben, klicken Sie auf Basic Setup, wählen Sie für IP Assignment Static und geben Sie folgende Informationen ein:
   • IP address: Geben Sie die reservierte öffentliche IP-Adresse ein, die Sie NIC 1 Ihrer Sophos-Instanz zugewiesen haben
   • Subnet Mask: 255.255.255.0
   • Default Gateway: kann auch in den Einstellungen von NIC 1 im DCD gefunden werden, aber ist sonst immer .1 des Subnets des Devices
   • DNS: 8.8.8.8 (öffentliche Google-DNS)

   Speichern Sie mit Save Changes Ihre Eingaben.
   
   Versuchen Sie nun noch einmal, das Device zu aktvieren.

6. Nach der erfolgreichen Aktivierung muss nun das Device registriert werden. Klicken Sie dafür Register Device, um die Registrierung zu starten.
7. Sie werden nun auf die MySophos-Portalseite weitergeleitet. Wenn Sie bereits über ein MySophos-Konto verfügen, klicken Sie auf Login. Wenn Sie ein neuer Benutzer sind, legen Sie ein MySophos-Konto an, indem Sie auf Create SophosID klicken.
   
8. Nachdem Sie sich erfolgreich angemeldet haben, klicken Sie im sich darauf öffnenden Dialog auf Continue.
9. Nach erfolgreicher Registrierung müssen noch die Lizenzinhalte mit dem Sophos-Server synchronisiert werden. Klicken Sie auf Initiate License Synchronization, um diesen Vorgang zu starten.
   
10. Nachdem die Lizenz erfolgreich synchronisiert worden ist, sehen Sie im nächsten Schritt die Welcome-Seite. Starten Sie den Network Configuration Wizard, indem Sie auf Click here klicken.
    
    Der Wizard führt Sie durch die Schritte der initialen Konfiguration Ihrer Sophos XG Firewall, sodass Sie mit dem Erstellen Ihrer Sicherheitsregeln beginnen können.

Sophos Network Configuration Wizard

1. Klicken Sie Start, um die Netzwerkkonfiguration zu starten.
   
2. Wählen Sie im nächsten Schritt Gateway Mode als den Modus für die Einrichtung und klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   
3. In der Port Configuration konfigurieren Sie die IP-Adressen der Schnittstellen. Normalerweise ist es nicht nötig, die Einstellungen zu ändern. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   
4. Auf der Seite DNS Configuration geben Sie die IP-Adressen der DNS-Server Ihrer Organisation ein oder fügen IP-Adressen öffentlicher DNS-Server hinzu. Im Beispiel werden die DNS-Server von Google verwendet. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   
5. Auf der Seite Default Network Policy wählen Sie den gewünschten Netzwerk-Regelsatz. Dies können Sie unkonfiguriert lassen und bei Bedarf, wie alle anderen im Sophos Network Configuration Wizard definierten Einstellungen, zu einem späteren Zeitpunkt konfigurieren. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   
6. Auf der Seite Mail Server Configuration konfigurieren Sie die folgenden Parameter:
   • Die E-Mail-Adresse, an die Systembenachrichtigungen geschickt werden sollen,
   • Die IP-Adresse und die Port-Nummer des Mail-Servers.
   • Die E-Mail-Adresse des Administrators, der die Benachrichtungen versendet.

   Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   

7. Auf der Seite Date & Time Configuration wählen Sie die Time Zone entsprechend Ihres aktuellen Standortes und geben Datum und Zeit entsprechend ein. Aktivieren Sie vorzugsweise die Checkboxen Automatically Synchronize with NTP Server und Use pre-defined NTP Server. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
   
8. Nun erscheint die Seite Configuration Overview und zeigt Ihnen eine Zusammenfassung der Konfiguration im Gateway-Modus an. Wenn Sie nicht möchten, dass Daten an Sophos gesendet werden, deaktivieren Sie die Checkbox App & Thread data. Klicken Sie auf Finish, um die Basiskonfiguration abzuschließen.
   
9. Bestätigen Sie im anschließenden Dialog die Konfiguration mit OK.
   
   Die Konfiguration wird einige Minuten dauern.
   
   Danach wird der Wizard geschlossen, und Sie werden auf die Login-Seite weitergeleitet.

Ihre Sophos XG Firewall ist nun installiert und im Gateway-Modus vorkonfiguriert. Wie Sie die Firewall noch detaillierter konfigurieren, können Sie dem offiziellen Sophos XG Reference Guide entnehmen.