Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 2 subscribers
  • Views 26454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I need some advices about hardware

oupsman
Hello,

As I work as a network and system engineer, I've installed a Sophos UTM at home, running on an old computer :

Atom D510 with 2 network cards ( one on the motherboard, a Realtek) and an additionnal PCI Intel Network card. 

I have a 25 Mbps/1Mbps VDSL connection. 

The motherboard seems to have reliability problems, so I'm planning to change the hardware and I would like to buy hardware that will last and be able to handle an increased load : I think that in the next 2 years, I'll have a Fiber 500 Mbps/200 Mbps connection. 

I have selected this hardware :

1 x SuperMicro A1SAi-2750F mother board
2 x Kingston ValueRAM SO-DIMM 8 Go DDR3L 1333 MHz ECC CL9 
1 x Akasa Galileo case
1 x Kingston SSDNow V300 Series 120 Go for storage

I don't really care if I'm stuck at 100 Mbps per connection, but there is about 30 network devices in my house.

What do you think of this hardware ? The key feature here is that it is absolutely noise less and that is a key component here for me.


This thread was automatically locked due to age.
Parents
  • 0
    The real concern about using any form of vm with an internet facing network is that there is another level of software which is not part of the VM exposed to the internet.

    I think you will find that there are very few hyper-v servers actually exposed to the internet.

    Ian M


    I know companies who are using Hyper-V servers exposed directly to the Internet for the web services that they provide for their customers. They use Hyper-V because they prefer a Microsoft-centric solution. A small (but measurable) percentage of web servers on the Internet are Hyper-V servers.

    If you extend Ian's statement from "Hyper-V" to "virtual machines" in general, then there are vast numbers of virtual machine servers exposed to the Internet. I mentioned VMware, Hyper-V, and VirtualBox in my previous post (and forgot to include Parallels for Mac), but on the Internet there are many OpenVZ, KVM, Xen (PV and HVM), and other virtualization products that are in common use, plus all of the "cloud" services, which have their own variants. I am sure I left out some well-known virtualization technologies, but you get the point. Most of those servers are running Linux. So is the UTM.

    To be fair to Ian, vulnerabilities are found and patched in the various virtualization technologies. They seem not unlike other Internet-exposed technologies such as Linux, Windows, etc.

    Well, for me it's just a matter of not adding some potentials attacks layer to a service. 

    For me, the UTM is just a service and this service protects my network from being exposed on the internet, no matter how : if, by accessing to the hypervisor, an attacker can gain access to my NAS, then the UTM service has failed to work. 

    And so, in the event of a flaw on the hypervisor, flaw used by an attacker to bypass all the UTM security, then your UTM has failed to protect your network. 

    It's all theoretical but security is, in my point of vue, as much theoretical than practical.


    Oupsman is right in one regard. Running a UTM in a virtual machine increases the attack surface. The virtual machine adds potential vulnerabilities to the UTM/VM "system". 

    We disagree on how much of a real-world threat increase the potential vulnerabilities associated with running a UTM on a virtual machine represent. Remember that an attacker must attack the UTM in some special way to exploit the underlying virtual machine vulnerability. It is far more likely that the attacker finds a vulnerability in the UTM software itself and roots the UTM, ignoring the underlying virtual machine. These are the vulnerabilities to which we are all exposed. We trust that Sophos is doing their job to minimize, identify, and mitigate these vulnerabilities. That's why we buy and use Sophos UTMs, right?

    I strongly disagree with Oupsman's statements that "... security is, in my point of vue, as much theoretical than practical." Security in the purest sense is risk reduction, like buying insurance. There is no perfect security. Security is a matter of diminishing returns, and a good security practitioner must balance the real-world risk reduction against the cost to achieve it. 

    All too often, the risk reduction achieved for a given solution is far out of alignment with the cost. Sometimes when it reaches the point of absurdity, we call it "Security Theater". I want to make it clear that I am NOT saying that Oupsman's choice to buy dedicated hardware vs. a virtualized UTM is "security theater". With sincere respect, I believe that Oupsman's assessment of the additional threat posed by running a UTM in a virtual machine is much too high. 

    For me, the cost of buying dedicated hardware for a home UTM is not a good value for a minuscule security improvement. In my particular case, I had good, powerful, underutilized hardware on hand, and all I needed was a cheap $13 Ethernet port to make it work. That $13 bought me a major improvement in security, going from a consumer NAT/router to a UTM. There were additional side benefits in the form of many valuable lessons and a great experience. The money that I might have used to buy dedicated UTM hardware can now be applied to other security improvements (say, a better burglar alarm for my home) or treating the family to a mini-vacation. I am content that I made the right decision.

    - - - - -

    This is not a political forum, so please forgive this rant:
    All too often I see vast resources wasted, spent on security mitigations which are based on potential threats that are exaggerated far out of proportion. Governments waste enormous sums of money on programs where the implemented mitigations are far worse than the threats they are supposed to protect us against. Security product vendors (especially their marketing departments) and security practitioners deliberately induce unreasonable fear in their customers to sell products and services. It is incumbent upon good security practitioners to help their customers make reasonable and prudent security assessments and associated decisions. Otherwise, they are no better than quack doctors who recommend unnecessary and risky surgical procedures.
  • 0 in reply to utmadm
    It's not much the little security improvement that makes me buy dedicated hardware to run an UTM service, but the fact that I want to be able to install updates on my virtualization server without impairing the Internet access at home and, when I go in holidays, be able to shutdown the virtualization server a few day before and have an secured internet access until I finally shutdown the VDSL router and the UTM and jump into my car. 

    And I know that I'm a little bit crazy. But, let's face it, it's absolutely dumb to have an UTM at home : there is no really need of such a thing in a house.
  • 0 in reply to oupsman
    But, let's face it, it's absolutely dumb to have an UTM at home : there is no really need of such a thing in a house.



    lol, many would beg to differ on that statement. In fact there is a company (iGuardian) making a big splash with doing just that. They are trying to make things as simple, secure and fast as possible.
Reply
  • 0 in reply to oupsman
    But, let's face it, it's absolutely dumb to have an UTM at home : there is no really need of such a thing in a house.



    lol, many would beg to differ on that statement. In fact there is a company (iGuardian) making a big splash with doing just that. They are trying to make things as simple, secure and fast as possible.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML