Schneller internationaler Versand
ISO 9001/27001 Unternehmenszertifizierung
Herstellerzertifizierte Experten für Ihr Projekt
Sophos UTM 9.6 Sophos UTM Manager
28. August 2019
Marcel Zimmer
Sophos
Sophos
Sophos UTM Manager (SUM) ist Sophos' Produkt zur zentralen Verwaltung. Sie können mehrere UTM-Appliances mit einem SUM verbinden, über den eine zentrale Überwachung, Konfiguration und Wartung möglich ist. SUM 4.2 unterstützt nur die Konfiguration von UTM 9.2. Andere Versionen von UTM werden in SUM ebenso dargestellt und können überwacht werden. Wenn sich zum Beispiel eine UTM 9.2 mit einem SUM 4.1 verbindet, wird der „Legacy-Modus“ aktiv. Backups, MSP-Lizenzierung und Up2Date-Installationen sind dennoch möglich.
Auf dieser Registerkarte können Sie die Verbindung Ihrer UTM mit einem oder zwei SUMs konfigurieren.
Damit Sophos UTM von einem SUM-Server überwacht werden kann, gehen Sie folgendermaßen vor:
Aktivieren Sie die SUM-Funktionalität auf der Registerkarte Sophos UTM Manager.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich SUM-Einstellungen kann bearbeitet werden.
Geben Sie den SUM-Host an.
Wählen Sie einen SUM-Server aus, mit dem sich die UTM verbinden soll, oder fügen Sie einen hinzu.Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
Authentifizierung (optional): Wenn der SUM-Server Authentifizierung erfordert, wählen Sie diese Option und geben Sie das Kennwort (vereinbarter Schlüssel) an, das auf dem SUM-Server konfiguriert ist.
SUM-Server als Up2Date-Cache verwenden (optional): Up2Date-Pakete können von einem Zwischenspeicher (engl. cache) geholt werden, der sich auf dem SUM-Server befindet. Wenn Sie diese Funktionalität für Ihr Gateway verwenden wollen, wählen Sie die Option SUM-Server als Up2Date-Cache verwenden. Bitte stellen Sie sicher, dass auf dem SUM-Server, der Ihr Gerät verwaltet, die Up2Date-Cache-Funktionalität ebenfalls aktiv ist. Beachten Sie, dass die Verwendung der Up2Date-Cache-Funktionalität und eines übergeordneten Proxy für Up2Date-Pakete sich gegenseitig ausschließen.
Legen Sie die Berechtigungen des SUM-Administrators fest.
Der für die UTM zuständige Administrator kann im SUM nur die Bereiche der UTM verwalten, für die hier eine ausdrückliche Berechtigung erteilt ist. Die hier aufgelisteten Berechtigungen entsprechen dem Hauptmenü und den Verwaltungsoptionen des SUM Gateway Manager.
Administration: Bei Auswahl kann der Administrator die Funktionen in den Menüs Wartung und Verwaltung verwenden. Dadurch lässt sich beispielsweise der Bestand anzeigen. Außerdem können Backups erstellt und wiederhergestellt sowie geplante Vorgänge wie Firmware-Aktualisierungen durchgeführt werden.
Berichte: Bei Auswahl kann der Administrator die Funktionen im Berichtsmenü verwenden. Er kann z.B. UTM-Berichte anfordern.
Überwachung: Bei Auswahl wird die UTM auf den Seiten Überwachung angezeigt und der Administrator kann die entsprechenden Funktionen verwenden.
Konfiguration: Bei Auswahl kann der Administrator die Funktionen im Menü Konfiguration verwenden. Er kann der UTM beispielsweise Objekte (Netzwerke, Hosts, VPNs) zuweisen.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Der Schieberegler wird grün.
Die UTM versucht nun, eine Verbindung zum Sophos UTM Manager aufzubauen. Sobald eine Verbindung zwischen den beiden Systemen existiert, wird der Verbindungsstatus grün. Die UTM kann dann vom hier gewählten SUM-Server überwacht und verwaltet werden. Den aktuellen Verbindungsstatus und den Zustand können Sie im Bereich SUM-Zustand verfolgen. Ein Neuladen der Seite aktualisiert diese Daten. Nutzen Sie die Schaltfläche Live-Protokoll öffnen und lesen Sie die angezeigten Meldungen sorgfältig, um gegebenenfalls Verbindungsprobleme feststellen zu können.
Einstellungen für einen zweiten SUM
In diesem Abschnitt können Sie optional einen weiteren SUM hinzufügen. Das ist sinnvoll, wenn Sie beispielsweise die Konfiguration selbst vornehmen (erster SUM-Server), aber Ihre Maschinen dennoch von einem Dritten überwachen lassen wollen, z.B. Ihrem MSSP (zweiten SUM-Server). Die Einstellungen sind fast identisch mit denen des ersten SUM-Servers, lediglich die Option Konfiguration fehlt, da diese nur dem ersten SUM-Server zur Verfügung steht. Die UTM wird nicht im MSP-Bereich des zweiten SUM erscheinen, das bedeutet MSP-Lizensierung ist nur vom ersten SUM möglich.
Hinweis – Beachten Sie, dass das Gateway und der SUM-Server über Port 4433 miteinander kommunizieren, wohingegen der Zugriff auf den Sophos UTM Manager mit einem Browser über das HTTPS-Protokoll auf Port 4444 für die WebAdmin- und auf Port 4422 für die Gateway-Manager-Schnittstelle erfolgt.
SUM-Zustand
Sie können den aktuellen Verbindungsstatus und Zustand im Abschnitt SUM-Zustand sehen. Ein Neuladen der Seite aktualisiert diese Daten.
SUM-Objekte
Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einem SUM aus angelegt wurden und dieser SUM ist nun getrennt von der Sophos UTM. SUM-erzeugte Objekte können Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und Ähnliches sein.
Die Schaltfläche Objekte aufräumen kann angeklickt werden, um alle Objekte freizugeben, die von dem SUM angelegt wurden, mit dem das System ehemals verwaltet wurde. Diese Objekte sind normalerweise gesperrt und können auf dem lokalen Gerät nur angeschaut werden. Nach Betätigung der Schaltfläche werden die Objekte voll zugänglich und können vom lokalen Administrator wiederverwendet oder gelöscht werden. Sofern nicht verwendete Objekte vorhanden sind, werden diese direkt gelöscht und sind nicht wiederverwendbar.
Hinweis – Wenn ehemalige SUM-erzeugte Objekte aufgeräumt wurden, können sie nicht zurückgewandelt werden, wenn das Gerät wieder mit demselben SUM verbunden wird. Das bedeutet, wenn ein entfernter SUM noch Objektdefinitionen für ein Gerät bereithält, das sich später wieder mit ihm verbindet, so werden diese Objekte erneut auf das Gerät übertragen – obwohl dann bereits lokale Kopien existieren.
Live-Protokoll
Sie können das Live-Protokoll verwenden, um die Verbindung zwischen der Sophos UTM und dem SUM zu beobachten. Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um das Live-Protokoll in einem neuen Fenster zu öffnen.
Auf dieser Registerkarte können Sie die Verbindung Ihrer UTM mit einem oder zwei SUMs konfigurieren.
Damit Sophos UTM von einem SUM-Server überwacht werden kann, gehen Sie folgendermaßen vor:
Aktivieren Sie die SUM-Funktionalität auf der Registerkarte Sophos UTM Manager.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich SUM-Einstellungen kann bearbeitet werden.
Geben Sie den SUM-Host an.
Wählen Sie einen SUM-Server aus, mit dem sich die UTM verbinden soll, oder fügen Sie einen hinzu.Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
Authentifizierung (optional): Wenn der SUM-Server Authentifizierung erfordert, wählen Sie diese Option und geben Sie das Kennwort (vereinbarter Schlüssel) an, das auf dem SUM-Server konfiguriert ist.
SUM-Server als Up2Date-Cache verwenden (optional): Up2Date-Pakete können von einem Zwischenspeicher (engl. cache) geholt werden, der sich auf dem SUM-Server befindet. Wenn Sie diese Funktionalität für Ihr Gateway verwenden wollen, wählen Sie die Option SUM-Server als Up2Date-Cache verwenden. Bitte stellen Sie sicher, dass auf dem SUM-Server, der Ihr Gerät verwaltet, die Up2Date-Cache-Funktionalität ebenfalls aktiv ist. Beachten Sie, dass die Verwendung der Up2Date-Cache-Funktionalität und eines übergeordneten Proxy für Up2Date-Pakete sich gegenseitig ausschließen.
Legen Sie die Berechtigungen des SUM-Administrators fest.
Der für die UTM zuständige Administrator kann im SUM nur die Bereiche der UTM verwalten, für die hier eine ausdrückliche Berechtigung erteilt ist. Die hier aufgelisteten Berechtigungen entsprechen dem Hauptmenü und den Verwaltungsoptionen des SUM Gateway Manager.
Administration: Bei Auswahl kann der Administrator die Funktionen in den Menüs Wartung und Verwaltung verwenden. Dadurch lässt sich beispielsweise der Bestand anzeigen. Außerdem können Backups erstellt und wiederhergestellt sowie geplante Vorgänge wie Firmware-Aktualisierungen durchgeführt werden.
Berichte: Bei Auswahl kann der Administrator die Funktionen im Berichtsmenü verwenden. Er kann z.B. UTM-Berichte anfordern.
Überwachung: Bei Auswahl wird die UTM auf den Seiten Überwachung angezeigt und der Administrator kann die entsprechenden Funktionen verwenden.
Konfiguration: Bei Auswahl kann der Administrator die Funktionen im Menü Konfiguration verwenden. Er kann der UTM beispielsweise Objekte (Netzwerke, Hosts, VPNs) zuweisen.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Der Schieberegler wird grün.
Die UTM versucht nun, eine Verbindung zum Sophos UTM Manager aufzubauen. Sobald eine Verbindung zwischen den beiden Systemen existiert, wird der Verbindungsstatus grün. Die UTM kann dann vom hier gewählten SUM-Server überwacht und verwaltet werden. Den aktuellen Verbindungsstatus und den Zustand können Sie im Bereich SUM-Zustand verfolgen. Ein Neuladen der Seite aktualisiert diese Daten. Nutzen Sie die Schaltfläche Live-Protokoll öffnen und lesen Sie die angezeigten Meldungen sorgfältig, um gegebenenfalls Verbindungsprobleme feststellen zu können.
Einstellungen für einen zweiten SUM
In diesem Abschnitt können Sie optional einen weiteren SUM hinzufügen. Das ist sinnvoll, wenn Sie beispielsweise die Konfiguration selbst vornehmen (erster SUM-Server), aber Ihre Maschinen dennoch von einem Dritten überwachen lassen wollen, z.B. Ihrem MSSP (zweiten SUM-Server). Die Einstellungen sind fast identisch mit denen des ersten SUM-Servers, lediglich die Option Konfiguration fehlt, da diese nur dem ersten SUM-Server zur Verfügung steht. Die UTM wird nicht im MSP-Bereich des zweiten SUM erscheinen, das bedeutet MSP-Lizensierung ist nur vom ersten SUM möglich.
Hinweis – Beachten Sie, dass das Gateway und der SUM-Server über Port 4433 miteinander kommunizieren, wohingegen der Zugriff auf den Sophos UTM Manager mit einem Browser über das HTTPS-Protokoll auf Port 4444 für die WebAdmin- und auf Port 4422 für die Gateway-Manager-Schnittstelle erfolgt.
SUM-Zustand
Sie können den aktuellen Verbindungsstatus und Zustand im Abschnitt SUM-Zustand sehen. Ein Neuladen der Seite aktualisiert diese Daten.
SUM-Objekte
Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einem SUM aus angelegt wurden und dieser SUM ist nun getrennt von der Sophos UTM. SUM-erzeugte Objekte können Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und Ähnliches sein.
Die Schaltfläche Objekte aufräumen kann angeklickt werden, um alle Objekte freizugeben, die von dem SUM angelegt wurden, mit dem das System ehemals verwaltet wurde. Diese Objekte sind normalerweise gesperrt und können auf dem lokalen Gerät nur angeschaut werden. Nach Betätigung der Schaltfläche werden die Objekte voll zugänglich und können vom lokalen Administrator wiederverwendet oder gelöscht werden. Sofern nicht verwendete Objekte vorhanden sind, werden diese direkt gelöscht und sind nicht wiederverwendbar.
Hinweis – Wenn ehemalige SUM-erzeugte Objekte aufgeräumt wurden, können sie nicht zurückgewandelt werden, wenn das Gerät wieder mit demselben SUM verbunden wird. Das bedeutet, wenn ein entfernter SUM noch Objektdefinitionen für ein Gerät bereithält, das sich später wieder mit ihm verbindet, so werden diese Objekte erneut auf das Gerät übertragen – obwohl dann bereits lokale Kopien existieren.
Live-Protokoll
Sie können das Live-Protokoll verwenden, um die Verbindung zwischen der Sophos UTM und dem SUM zu beobachten. Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um das Live-Protokoll in einem neuen Fenster zu öffnen.
Autor:
Marcel Zimmer
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.