Die Suche nach einem Forefront TMG Ersatz (Teil 2: Sophos UTM 9.1)

Forefront TMG ist ja nun abgekündigt und es muss auf Kurz oder Lang Ersatz her. Es gibt mittlerweile einige Hersteller die in die Lücke springen die Forefront TMG hinterlässt. Einige vielversprechende Lösungen werde ich also testen und zu jedem auch gleich ein Howto veröffentlichen. Zum Schluss kommt dann noch ein Artikel der die Lösungen miteinander vergleicht und aus meiner Sicht die Vor- und Nachteile auflistet. Soweit der Plan.

Ich habe also eine Standard Testumgebung erstellt, die ich für alle Lösungen verwenden werde. Die Testumgebung ist relativ einfach aufgebaut:

Zeichnung1

Es gibt einen Windows Server 2012 R2 mit dem Namen DC1 auf dem die Domain Controller Rolle und Outlook 2013 installiert ist. Exchange 2013 ist ebenfalls auf Server 2012 R2 installiert. Die Exchange Server tragen die Namen EX1 und EX2. Dies bildet immer die Ausgangssituation für alle Lösungen.

Ich habe mir vorab ein paar Bewertungskriterien festgelegt um später ein Fazit ziehen zu können, wohlgemerkt sind das meine eigenen Kriterien, die wahrscheinlich wenig über die Qualität der einzelnen Produkte aussagen. Dazu aber später mehr.

In diesem Artikel geht es um die Sophos UTM 9.1, welche Sophos als komplette Firewall Lösung verkauft. Da es in diesem Artikel aber nur um einen TMG Ersatz in Hinblick auf Exchange geht, interessiert mich VPN, Firewall, Routing, etc nicht. Das interessante Feature nennt Sophos “Web Application Firewall (WAF)” . Auch hier wird wirbt der Hersteller mit einem Ersatz für TMG:

http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx

Ich hab mir also die Home Version der UTM besorgt und meine Testumgebung wieder erweitert

Sophos UTM

Nachdem die UTM in Betrieb ist, kann es mit der Konfiguration der WAF losgehen. Die WAF findet sich unter “Webserver Protection” –> “Web Application Firewall”

image

Als erstes müssen die “Real Server” angelegt werden, also EX1 und EX2 auf die gleiche Weise:

image

Sobald das erledigt ist, sollte das so aussehen:

image

Als nächstes wird ein neues “Firewall Profile” benötigt (Nachtrag: So läuft es zumindest, sobald ich zusätzliche Optionen auswähle, funktionierte OWA in meiner Testumgebung nicht mehr. Ich muss noch klären wie das funktioniert…)

image

Jetzt wird ein “Virtual Webserver” benötigt. An dieser Stelle muss ich erwähnen das mich Zertifikate wenig kümmern, zumindest in meiner Testumgebung, ich wähle daher das WebAdmin Zertifikat aus. Das sorgt natürlich für unendlich viele Warnungen, aber es hat den Vorteil das ich leicht zwischen Sophos UTM Zertifikat und Exchange Zertifikaten unterscheiden kann. In meiner Testumgebung habe ich mich bewusst dafür entschieden.

image

Der Virtual Webserver muss auch aktiviert werden

image

Jetzt kann auf dem Reiter “Global” die Web Application Firewall aktiviert werden

image

Soweit so gut, der Test mit OWA funktioniert:

image

Ich bin überrascht, das war einfach, zumindest bis hier, aber es bleiben einige Fragen, die ich noch mit einem Spezialisten klären muss. Ich werde diesen Artikel ggf. noch einmal überarbeiten müssen. Bis dahin werde ich meine Tabelle pflegen und ein bisschen experimentieren.

11 thoughts on “Die Suche nach einem Forefront TMG Ersatz (Teil 2: Sophos UTM 9.1)”

  1. Hallo Frank, eine Frage leicht OT aber vielleicht hilfst du mir weiter. Ich habe auch eine Home Lizenz – allerdings sobald die UTM erkennt das ich eine interne Domäne habe sperrt sich die UTM. Wie hast du das gelöst ?

    Reply
  2. Hallo Frank,
    wollte heute deine Anleitung mit der neuen Sophos UTM 9.309-3 probieren. Habe alles eingetragen aber beim Aufruf unter https:///owa oder https:///ecp erscheint immer Fehler 403? Hast du diesen Fehler schon einmal gehabt?

    Gruß Marco

    Reply
  3. Hallo Franky,

    funktioniert mit deinen vorgeschlagenen Lösungen nur OWA oder kann auch Outlook anywhere genutzt werden?

    Outlook Anywhere funktioniert bei mir leider nicht mit den beschriebenen Lösungen, hast du hier eine Idee?

    Gruß Kai

    Reply
  4. Hallo,

    hast Du mal die Unklarheiten geklärt?
    Und mal die Ver 9.2 gestestet?
    Dort die Auth für OWA an der UTM?

    Gruß
    Frank

    Reply
  5. Guten Morgen,

    Aber mindestens Server 2012 wäre da doch angebracht und fair…;-)…gegenüber MS. Aber auch R2 ist ja draussen. Also nicht mehr Beta. Einbeziehen wäre da schon gut. Für mich sind bei ARR, wie auch bei der TMG zu viel Einflüsse (Z. B. Updates, Treiber…) dabei. Eine dedizierte Box ist für den sensiblen Internetzugang heutzutage echt gut. Abgesehen von der Angriffsfläche MS….;-)
    Also auch ohne dein Fazit ist Sophos bis heute bei mir Top. Gut das Sophos Gas gibt .Habe eine Astaro am laufen. Absolut problemlos! Das Zeug kommt ja auch aus good old Germany. Äh damals….

    Wie ist es eigentlich mit gateprotect.de. Die UTM soll direkt aus DE kommen. Ohne Backdoor?

    F

    Reply
  6. Hi Frank,

    Dein Fairplay ist zu loben!
    Aber vielleicht ein ergänzender Artikel (Außerhalb der Wertung) wäre doch hilfreich und realistisch. Die 9.2 Version macht doch – aus meiner Sicht – erst wirklich Sinn. Außerdem wäre doch ein Export der Konfig und Import in die neue FM mal echt interessant und praxisnah.

    Interessant wäre auch das Monitoring. Insbesondere was macht welcher AD User aktuell über die UTM.

    Frank

    Reply
    • Hi Frank,

      auf jeden Fall, gerade hinsichtlich WAF und Exchange wurde ja scheinbar einiges getan, ich teste gerade ARR auf Server 2008 R2, auch da hab ich mich schon gegen Server 2012(R2) entschieden, da es eben noch Beta ist. Aber die Features in der UTM 9.2 hören sich natürlich super an, da werde ich auf jeden Fall am Ball bleiben. Gerade weil ich die UTM ja auch Privat im Einsatz habe :-)

      Gruß, Frank

      Reply
    • Hi,

      danke für den Link, das bringt mich schon etwas weiter, übrigens wurde kürzlich die UTM 9.2 BETA freigegeben, in der die WAF verbessert wurde (http://networkguy.de/?p=545). Ich werde aber bei der stabilen Version 9.1 bleiben und diese Version in meine Bewertung aufnehmen, denn ich denke eine Beta wird niemand produktiv einsetzen. Daher wäre es unfair gegenüber den anderen Lösungen.

      Gruß, Frank

      Reply

Leave a Comment