Hardware or Software Appliances - Where to Start ?

I am interested in setting up better security on my home network. I hate all the spam mail I get and wish to protect my Home server which has many family photos, personal docs and all that sort of stuff which I don't want shared without my knowledge :-)  

I as a newcomer would like some advice.

I saw SOPHO'S UTM software offered free and have a Fujistu Celsius PC I bought 2nd hand to play around with.  If I can afford it would I be better buying something such as an SG 105 or will a software appliance on the Fujitsu be acceptable for my home needs.

Any pros and cons will be gratefully accepted with out too many TLA's (Three letter acronyms) :-)  Thanks.

If possible use a virtual Astaro.
There is no easier way for try, error and learing  if you use snapshots and full backups.

Ralf

If possible use a virtual Astaro.
There is no easier way for try, error and learing  if you use snapshots and full backups.

Ralf

Thank you for the advice.  I will go and do some homework on which O.S. to run the virtual Astaro on. Assuming there is a choice. This may be overkill If a better approach is to harden the Linux (Amahi) server.  Both will put me on a steep learning curve :-)

Hi Cloudy,

Really the only two choices for virtualization software that work with Sophos UTM are vSphere(ESXi) or HyperV. You can run the UTM on Xen, KVM, and WMware Workstation but for various reasons, the first two (ESXi & HyperV) are the best choices. Both however do require dedicated hardware (their own machine) as they install their own OS onto the computer, then provide tools to access them for management.

I know ESXi best because that's what I use at home and at work. One of the biggest reasons for running UTM virtualized is snapshots. Snapshots allow you to take a point in time copy of your UTM, say just before an upgrade, so that if things go sideways, you can just revert back to the snapshot. Think of it as Windows' System Restore on steroids. [:)]

For home use, I'd suggest staying away from the prebuilt appliances. Not that you can't use them, folks have, it's just that you can often times build a better machine for the same price. For example, a little while back, I had a quote on both a UTM120 and a 220. I was able to build a UTM 220 (on paper) for a shade more then I'd have paid for a UTM120. The big reason my build was substantially cheaper is because I used consumer grade, off the shelf gear. UTM hardware is standardized, tested, and designed to be run 24x7x365 for years at a time, whereas consumer gear not so much.

Hi,

If you don't have experience with virtualization and/or don't have a server to run it on, then sticking with a dedicated computer for the firewall is fine.

1. 
a. what is the current speed of your internet connection?
b. do you expect any large speed upgrades in the foreseeable future?

2. 
what features do you plan to use? e.g.
IPS
Web Filtering with or without AntiVirus scanning
email Filtering

3. 
hardware requirements include:
2 or more network interface cards (NICs).
2-8GB RAM, depending on features used. 4GB or more is recommended if using Web Filtering + IPS.
Intel or AMD CPU
30GB+ HDD

The SG105 is on the low end of the requirements, and IMO may not be very future-proof with only 2GB RAM. I would consider the SG115 a better choice.

Also note if you buy a SG* or UTM* appliance, you will need to buy new licenses annually, or convert the system to a home license.

Barry

Thank you both (“The Drew” & “Barry G&#8221[;)] for such useful info.  

Firstly to “The Drew” -  I wouldn't have known the niceties of which Virtualisation software to use to enable the Sophos UTM to run successfully and having tinkered at home with VMWare player and Oracles Virtual Box I have some idea of the advantages of virtual clients and the snap shot usefulness.  I am inclined to got to a virtual set-up using a proper hyper-visor (I think that's right) as you suggested. For me this would be vSphere(ESXI) I think also the 2nd hand Fujitsu Platform I bought will be capable of doing this. 

Secondly to “Barry G”   As you can see I have little experience of virtualisation except for tinkering with the VM software I mention above to essentially run Linux Variants and old windows variants on My Win7 Pro main pc at home. I didn't do anything with the Linux except prove I could... And with the old windows (specifically XP) to run a particular Game I liked.
=======================================================================
Generally:  I did run up the SOPHOS UTM on the Fujitsu machine I mentioned in my first post and discovered I have much to learn about threat protection and correctly configuring it without shooting myself in the foot, so to speak.

The motherboard looks capable and it has room for me to put modern drives in it and more memory.

At the moment it has a quad Intel processor and 4GByte memory and the additional network card I put into it (Both Onboard & add-in are Gigabit connections) and a pretty slow old hard drive which I haven't investigated. Before I wiped it with UTM it was running Win7 Pro – Reasonably. (Subjective of course :-)) 

I suspect for my UTM virtualised (If I go that way) I could beef it up (if necessary).

Bearing in mind this is a home set-up and here in the U.K. I don't have blistering fast internet I suspect the Fujitsu will do and then any monetary concerns will be regarding licensing and some upgrading of the Fujitsu where required. 

Barry G – I notice you make a distinction between a SG* and UTM*  so I didn't understand I wasn't buying a UTM capable device in my original suggestion of an SG 105.  Thanks for the advice on capability and licensing. In direct answer to your questions..

1) 40 MegaBits per second (in theory but in reality at weekend could be as low as 5Mb/s)
2) No – This is the best BT can offer me over a copper connection with Fibre at the end of the road.
3) Features – Not Sure which Is why you guys are kindly helping me :-) 
I want to get rid / block all unwanted advertising  junk and unsolicited e-mail
I want to be able to keep my home server on-line and be as confident as possible that its not compromised. (Bear in mind that its Fedora 19 – modified to be Amahi and I don't have the slightest clue how to harden it so I am hoping the UTM solution will give me some peace of mind –( If this is dumb please say so ) I want this because I can take my family photos with me (metaphorically) to show my Grandkids, kids, and Mother this social stuff.
I have suspicion but don't know that I have been 'got at' I can't say why except that I observe sometimes what I consider to be inconsistencies in behaviour – such as slowness,  apps not responding until multiple attempts at launch and phishing e-mails. This is all probably paranoia by me, but so what..... I am interested in getting this going and seeing what I can do.

Summary

Thanks to all 3 of you again for your help and advice.

I believe I can and will attempt to use VMWARE (Vsphere(ESXI) to virtualise the Sophos UTM as a client machine. Particularly because of control and snapshots.
I need to get that going and then learn all the network niceties to understand config.
I need to calculate costs (licensing and machine upgrade) beforehand.
I didn't say that I would like virus scanning on any stuff entering or leaving my home which I believe the SOPHOS UTM will do. ( I did notice that the freebie is limited in functionality and expires after 3 years) so what then ? Hence my worries about cost as a Home not commercial user.
I need to understand further threats of using my S3 android device to 'share' stuff with family and friends.
I need to be able to remotely connect from any family pcs' without compromise.  I have used VPN on my android but being asked if I trust the VPN software (every time) isn't helpful.
For my Amahi server there is a provided secure client so I think I'll be o.k. using that should I need to access personal documents away from home. If you're wondering why Amahi its because WHS was abandoned by Microsoft – or at least the backup protection it originally provided and the Linux based  “Amahi” has worked well for me as a home server. 

I do have a concern that the Fujistu machine I intend to use has Intel Embedded security and some 'Out of |Band' network functionality – Is this a REAL concern – Can it be configured, shut down, infected or generally be messed around with without my knowledge. If so I need other hardware.

Hi,

ESXi would be fine as long as you have enough RAM (at least 4GB for the UTM + a couple GB for ESXi host + any other VMs).
You could use the free/standalone version of ESXi, fwiw.

The UTM can do email and web (outbound:web protection; server:webserver protection) antivirus.

Re the Intel Embedded system; don't put that NIC on the internet; use it for an internal connection or disable it.

Barry

In case it helps, I have had a virtual UTM running in a Mac mini under VMware Fusion (now at version 7.0) for nearly a year. It has been very reliable. 

I downloaded a ready-to-use virtual machine from Sophos, then got it running under VMware Fusion. It took a few tricks to convert it to be useable under Fusion, but after that, it just works. (The tricks are not a secret, but I do not remember exactly what I did.)

One issue that I have is that the Mac mini lives as a server on the private side of the network, so the virtual UTM is not inline with the Internet connection. Instead, both virtual NICs have private LAN IP addresses. One serves as the gateway IP address for home computers that route through the UTM. Routing between home computers in the LAN bypasses the UTM. It is also possible to bypass the UTM by specifying the home NAT/router as the gateway instead of the UTM.

The virtual UTM appears to be limited to 3 Gbytes of RAM. Assigning more RAM does not show up in the UTM's interface.

Hi Barry, Thanks for the advice and the warning. I'll make sure I dont get that management NIC anywhere near the internet. I'll probably disbale it to make sure.
Hi "utmadm" thanks for your input - definately useful :-) especially as I will be considering the self same scenario with my home setup.  I.E. separation when I want to get between the ISP router/modem and my home devices. 

I'm gonna shut up now but keep an eye on the forum. I casn't seem to get the VMWARE O.S. to see the additional network cards I put in the host machine so have been using much time trying to figute that out. Its no use Creating UTM as a VM until I do so because I got it runnning but only had the management Interface working.  After Barry's cautionary note I want that OFF and the 2 NIC's working in ESXI so they can be offered to the UTM VM when created.  Don't know whether I might just revert to putting UTM straight onto the hardware as I have also done that and it 'sees' the other NIC cards.
Would be a shame to lose the snapshoting and usefulness of the Virtualisation platform though ! It seems I will have to learn some command line usage in ESXI but perhaps drivers suitable for the NICS  under ESXI are not available/possible.  BFN

It is not recommended to use the pre-made virtual machine.  Just install the software version in a Suse Enterprise 11 VM.  That will let you specify more RAM (though 3GB should be plenty) and use the 64-bit version.  The VMware tools and support are loaded automatically when the installer senses the virtual environment.  Install the VMXNET3 NICs.

Cheers - Bob

Although in the age of cloud computing and virtualization, I still like dedicated devices for certain functions like firewalls.  Even with my dedicated Pentium 4 HT with (4) GB of Ram, I am running at 35 - 50% RAM, cpu hovers around 1 to 4%.  Although, I could shave off 20% by converting back to single scan Anti-virus engine and probably could shave more by shutting AV down altogether since I run Trend Micro Worry-Free Advance Anti-virus server with 3 workstation seats.  But I really like the defense in depth approach and have (3) anti-virus running without software conflict since some vendors release pattern updates for certain viruses faster than other vendors.  And yes, if anything, I am geeking around with the many functions that Sophos UTM has to offer.

Now for servers, I do not mind at all running VMs for them if I have the horse (resource) power.

Of course, since you are not an enterprise, you deal with what budget and resources you have available.