Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 2 subscribers
  • Views 26437 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I need some advices about hardware

oupsman
Hello,

As I work as a network and system engineer, I've installed a Sophos UTM at home, running on an old computer :

Atom D510 with 2 network cards ( one on the motherboard, a Realtek) and an additionnal PCI Intel Network card. 

I have a 25 Mbps/1Mbps VDSL connection. 

The motherboard seems to have reliability problems, so I'm planning to change the hardware and I would like to buy hardware that will last and be able to handle an increased load : I think that in the next 2 years, I'll have a Fiber 500 Mbps/200 Mbps connection. 

I have selected this hardware :

1 x SuperMicro A1SAi-2750F mother board
2 x Kingston ValueRAM SO-DIMM 8 Go DDR3L 1333 MHz ECC CL9 
1 x Akasa Galileo case
1 x Kingston SSDNow V300 Series 120 Go for storage

I don't really care if I'm stuck at 100 Mbps per connection, but there is about 30 network devices in my house.

What do you think of this hardware ? The key feature here is that it is absolutely noise less and that is a key component here for me.


This thread was automatically locked due to age.
Parents
  • 0
    That's why I'm buying a new machine to host my UTM. 

    But I don't see the point of absolutely using virtualization to run an UTM. I rather buy a fully supported machine, and don't run it on top of a virtualization solution and waste resources in the process.
  • 0 in reply to oupsman
    That's why I'm buying a new machine to host my UTM. 

    But I don't see the point of absolutely using virtualization to run an UTM. I rather buy a fully supported machine, and don't run it on top of a virtualization solution and waste resources in the process.


    You don't have to use virtualization to run a UTM, but sometimes it pays off. I am running my UTM in a virtual machine, and it is working out very well indeed. In addition to the UTM functions, the real hardware and host operating system are the family server, running a variety of services - file server, automatic backups, and many other functions. The host server system routes its Internet connection through the virtual UTM, the same as the other systems on the LAN.

    The hardware is a quad core i7 with 16 Gbytes RAM, so the virtual UTM has plenty of processing power and memory. The extra cost of adding the UTM to our server was a single USB 3 to Ethernet adapter - $13. 

    https://www.astaro.org/282803-post101.html
  • 0 in reply to utmadm
    You don't have to use virtualization to run a UTM, but sometimes it pays off. I am running my UTM in a virtual machine, and it is working out very well indeed. In addition to the UTM functions, the real hardware and host operating system are the family server, running a variety of services - file server, automatic backups, and many other functions. The host server system routes its Internet connection through the virtual UTM, the same as the other systems on the LAN.

    The hardware is a quad core i7 with 16 Gbytes RAM, so the virtual UTM has plenty of processing power and memory. The extra cost of adding the UTM to our server was a single USB 3 to Ethernet adapter - $13. 

    https://www.astaro.org/282803-post101.html


    Hi

    totally agree, I use my zotac to do experimental stuff, and also run the utm.

    Also recovery in the event of failure is so much quicker, from the daily backup.

    Aimee
Reply
  • 0 in reply to utmadm
    You don't have to use virtualization to run a UTM, but sometimes it pays off. I am running my UTM in a virtual machine, and it is working out very well indeed. In addition to the UTM functions, the real hardware and host operating system are the family server, running a variety of services - file server, automatic backups, and many other functions. The host server system routes its Internet connection through the virtual UTM, the same as the other systems on the LAN.

    The hardware is a quad core i7 with 16 Gbytes RAM, so the virtual UTM has plenty of processing power and memory. The extra cost of adding the UTM to our server was a single USB 3 to Ethernet adapter - $13. 

    https://www.astaro.org/282803-post101.html


    Hi

    totally agree, I use my zotac to do experimental stuff, and also run the utm.

    Also recovery in the event of failure is so much quicker, from the daily backup.

    Aimee
Children
  • 0 in reply to aimeedev
    Hi

    totally agree, I use my zotac to do experimental stuff, and also run the utm.

    Also recovery in the event of failure is so much quicker, from the daily backup.

    Aimee


    Well, obviously you seems to trust a lot Hypervisor technology but it seems to me that it can be a major security risk as, there can be flaws in the hypervisor that can allow one attacker to escape from it and gain access to the whole machine. 

    So, for me, running in a virtual machine an UTM directly exposed on the Internet is a really big mistake. 

    Thank you for your link, I'll give it a thought.
  • 0 in reply to oupsman
    Well, obviously you seems to trust a lot Hypervisor technology but it seems to me that it can be a major security risk as, there can be flaws in the hypervisor that can allow one attacker to escape from it and gain access to the whole machine. 

    So, for me, running in a virtual machine an UTM directly exposed on the Internet is a really big mistake. 

    Thank you for your link, I'll give it a thought.


    Hi

    Actually I dont trust any software solutions connected to the internet, all my 
    systems are in a Faraday cage, except this one.


    Hope you find the system you are looking for, and
    please can you let us all know what you finally purchased, it will 
    help others in their hardware decisions.

    Tak

    Aimee
  • 0 in reply to oupsman
    Well, obviously you seems to trust a lot Hypervisor technology but it seems to me that it can be a major security risk as, there can be flaws in the hypervisor that can allow one attacker to escape from it and gain access to the whole machine. 

    So, for me, running in a virtual machine an UTM directly exposed on the Internet is a really big mistake. 

    Thank you for your link, I'll give it a thought.


    Why is it a "big mistake"? There may be increased risk in running the UTM in a virtual machine, but I am not sure that I would call it a "big mistake". 

    If an attacker manages to break the UTM, then they own the UTM itself, the protected LAN(s), VPN communications, local authentications, DNS, etc. From the owned UTM, they can see and attack all the devices over the LAN, including my host server that is running the guest UTM itself. This is true whether they break a UTM running on dedicated hardware or in a virtual machine. 

    For the most part, breaking the UTM is mostly independent of whether the attacker recognizes that the UTM is running in a virtual machine. If they happen to crash the host server, whether from the LAN side or through the hypervisor, then the UTM crashes with it and they've lost all their hard work because all access is dropped. You might consider it added protection, but I think of it as "security by dumb luck". 

    Let us say that it is possible to develop an attack that breaks UTMs by exploiting a hypervisor-specific vulnerability. First, the attacker must modify the attack for the various hypervisors on the market (VMware, HyperV, VirtualBox). Second, the attacker must find virtualized UTMs. I suspect that virtualized UTMs are relatively rare compared with real hardware UTMs. I note that Sophos also sells and supports virtualized UTMs, too. The rarity of virtualized UTMs on the Internet is security by obscurity, but I doubt that many (any?) attackers are focused on developing exploits for this specialized, corner case. It would be a far better use of time to develop generalized exploits that work against all UTMs. 

    Frankly, my threat model does not include attackers who are sophisticated enough to detect that my UTM is virtualized, and from there run specialized exploits at the hypervisor, or running a "shotgun attack" looking for virtualized UTMs. Remember, this is an ordinary home network; we are not guarding NSA secrets here. The additional security that might be achieved by buying a separate device to run the UTM in order to mitigate the threat of an attacker breaking out into the server through the hypervisor does not seem worth the significant cost of buying (and running) additional hardware. Besides, a UTM running on a Core i7 with lots of RAM is nice to have, virtualized or not.

    I assume that the virtualized UTM is more secure than the off-the-shelf consumer grade NAT/router device that it replaced. Furthermore, I am getting a valuable eduction from implementing and managing a UTM. That makes it worth taking on a little extra risk, too. 

    Let us agree to disagree. :-)
  • 0 in reply to utmadm
    I guess the fact that Microsoft run's multi-billion dollar revenue generating data centers around the world that heavily depend on Hyper-V and it's security doesn't count for much now days. I would think it's pretty secure at this point but anything is certainly possible but I don't usually wear my tin foil hat most days. To each his/her own I suppose.
  • 0 in reply to bryans2k
    The real concern about using any form of vm with an internet facing network is that there is another level of software which is not part of the VM exposed to the internet.

    I think you will find that there are very few hyper-v servers actually exposed to the internet.



    Ian M
  • 0 in reply to RFCat_vk_01
    Has there been any proof of any of what you and oupsman say? I could easily make such statements about anything but that doesn't make them true. So I guess what I'm asking is do you have anything to backup what you are describing because it just sounds like a bunch of FUD to me but please correct me if I'm wrong.
  • 0 in reply to bryans2k
    Has there been any proof of any of what you and oupsman say? I could easily make such statements about anything but that doesn't make them true. So I guess what I'm asking is do you have anything to backup what you are describing because it just sounds like a bunch of FUD to me but please correct me if I'm wrong.


    Well, for me it's just a matter of not adding some potentials attacks layer to a service. 

    For me, the UTM is just a service and this service protects my network from being exposed on the internet, no matter how : if, by accessing to the hypervisor, an attacker can gain access to my NAS, then the UTM service has failed to work. 

    And so, in the event of a flaw on the hypervisor, flaw used by an attacker to bypass all the UTM security, then your UTM has failed to protect your network. 

    It's all theoretical but security is, in my point of vue, as much theoretical than practical.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML