Kleine Info für Administratoren, die RED50-Geräte von Sophos einsetzen. Ein Bug in der Sophos UTM Version 9.603-Software führt zu einem Absturz der Firmware des Geräts, so dass dieses im Anschluss tot ist.
Hintergrundinformationen zu Sophos RED50
Das Kürzel RED steht für Remote Ethernet Devices. Die Sophos RED50-Geräte ermöglichen den Aufbau sicherer Ethernetverbindungen zu verschiedenen Standorten oder Außenstellen einer Firma.
(Sophos RED, Quelle: Sophos)
Die Geräte sind für um die 700 Euro erhältlich. Auf dieser Webseite beschreibt Sophos die Funktionalität so:
Mit Sophos RED können Sie Ihr sicheres Netzwerk einfach auf andere Standorte ausweiten. Dafür ist kein technisches Fachwissen am Remotestandort erforderlich; geben Sie einfach die ID Ihres RED-Geräts in Ihre UTM ein und schicken Sie das Gerät an den betreffenden Standort. Sobald das Gerät angeschlossen und mit dem Internet verbunden ist, stellt es eine Verbindung zu Ihrer UTM her und baut einen sicheren Ethernet-Tunnel auf. Mehr ist nicht zu tun.
Sie können den gesamten Netzwerkverkehr vom Remotestandort zurück an die UTM leiten (maximale Sicherheit) oder Sie routen nur Netzwerkverkehr innerhalb des Standorts über RED. Alle Daten zwischen dem RED und Ihrer UTM werden verschlüsselt, um die Vertraulichkeit der Verbindung zu garantieren.
Wir bieten drei verschiedene RED-Modelle an: RED 15, RED 15w mit integriertem WLAN und RED 50.
Mit UTM ist das Sicherheitspaket Unified Thread Management von Sophos zur Bedrohungsabwehr gemeint (siehe diese Seite).
Problem der RED 50-Hardware-Ausfälle
Bei administrator.de gibt es diesen Thead, wo sich ein Nutzer über Hardware-Ausfälle seiner RED50-Komponenten beklagt.
Ich hatte jetzt in Vergangenheit mehrfach massive Probleme in Form von Hardware Ausfällen mit den RED50 Geräten von Sophos.
Als Gegenseite habe ich 2 SG330 im HA Cluster. Die Probleme äußern sich in instabilen VPN Tunneln, keine Informationen auf dem Display was jetzt los ist etc. pp.
Sind ca. 20 Rechner + ca. 5 Wlan Accesspoints und 50Mbit/s symmetrisch zu viel für die Geräte? Wie sind da eure Erfahrungswerte? Bei nem 5 bis 600€ Gerät erwarte ich irgendwie etwas mehr.
Mit den SG- oder XG-Modellen schien es laut dem Thread wenig Probleme zu geben. Hätte man achselzuckend zur Kenntnis nehmen können, wenn nicht der Thread-Starter an anderer Stelle auf ein grundsätzliches Problem mit Sophos RED50 hingewiesen hätte. Diese Information ist mir bei administrator.de hier unter die Augen gekommen. Die Sophos RED-Geräte bekommen ein Problem in Verbindung mit Sophos UTM. In diesem Support-Dokument von Sophos findet sich seit Ende Mai 2019 folgende Information:
UTM 9.602 und 9.603: wichtiger Hinweis zu Sophos RED
In der Version 9.600 wurde die Bug ID „NUTM-10594 RED50 disconnects randomly“ eröffnet.Diese wurde von Sophos bereits gelöst und der Fix wurde mit der Version 9.602 veröffentlicht. Leider wurde mit der Lösung und Veröffentlichung der oben genannten Bug ID ein neuer Bug entdeckt.
Die neue Bug ID lautet: „NUTM-10962 RED50 does not startup anymore after update”. Diese Bug ID resultiert aus den Änderungen, die mit NUTM-10594 implementiert wurden. Der Fehler zeigt sich darin, dass das RED keine Verbindung mehr zur Firewall aufbauen kann. Es erscheint nichts im red.log oder im tcpdump auf port 3400 / 3410.
Sophos arbeitet momentan mit Hochdruck an einer Lösung des Problems. Der Fix für dieses Verhalten wird voraussichtlich mit UTM Version 9.604 veröffentlicht.
Sprich: Ein Bug in der UTM-Software in den Versionen 9.602 und 9.603 sorgt dafür, dass die RED50-Geräte sich nicht mehr verbinden (9.602) oder gleich ganz ausfallen (9.603) und nicht mehr starten. Sprich: Das Gerät ist danach gebrickt. Nach diesem Post aus 2014 scheinen die Geräte mit Linux als Firmware zu laufen, und irgend etwas wird da bei der Verwaltung über UTM zerschossen. Auch dieser Forenbeitrag aus 2014 thematisiert bereits Ausfälle. Irgend jemand von euch von diesem Problem betroffen? Gibt es einen Fix, um die RED50 wieder zum Laufen zu bringen?
Man kann versuchen die Verwendung der unified_firmware zu ändern, siehe
https://community.sophos.com/products/unified-threat-management/f/german-forum/112556/sophos-sg-kein-firmwareupdate-auf-9-601-oder-9-602-3-mit-red
Mit dem nächsten Update wird es vielleicht besser, vorher sollte man wahrscheinlich auf die letzten Updates verzichten. Ich bin selbst enttäuscht von der Qualität bei Sophos. Es ist auch kein Zustand Sicherheitslücken über Monate offen zu lassen, weil das Update gravierende Probleme enthält.
Achtung! Stellungnahme:
Das ist echt interessant, wenn man seine eigene Beiträge auf google findet :D
Also folgendes möchte ich ergänzen:
Das RED Firmware Thema ist inzwischen wohl komplett eskaliert. Ich selbst hatte inzwischen öfters auch Kontakt zu Sophos und kann sagen: Die kacke ist/war am dampfen. Wenn der einzige Sinn und Zweck einer Appliance der Aufbau eines VPN Tunnels zu einer anderen Sophos (!!!) Firewall ist und das nach einem Firmware Update nicht mehr klappt, hat diese Firma meiner Meinung ihren Ruf als seriöse Enterprise Company im Firewall Bereich komplett verloren. Nagelt mich jetzt bitte nicht fest aber ich bin mir ziemlich sicher gelesen zu haben, dass Sophos mit dem 9.605 er Update die „unified“ Firmware an alle Firewalls ausgeliefert hat, die unter (!) 20 Reds im Einsatz haben. Das erklärt auch warum der „Skandal“ nur kleinere Firmen betrifft, da (noch) größere Firmen vermutlich eher auf Site to Site VPNs mit vollwertigen Firewalls setzen oder (!) eben nicht auf die Firmware umgeschaltet wurden. Macht ja Sinn. Die können schließlich HA (Galgenhumor ist angebracht). Man stelle sich das mal vor. Man spielt wie immer sein übliches Firmware ein und am nächsten Tach ist mindestens die Hälfte der Standorte down. Ok – war vielleicht bekannt, hat man vielleicht gewusst. Rechtlich hängt da Sophos vielleicht noch nicht ganz so fest drinn. Aber was ich jetzt festgestellt hab erstaunt mich noch mehr.
Durch die „schlechte“ Firmware habe ich mind. eine neue RED50 von Sophos selbst erhalten und diese auch verbaut. Das war vor ca. 6 Monaten. Mir war bewusst, dass man per SSH Befehl alle REDs auf den alten Firmware Stand umschalten kann. Das ist auch der offizielle Workaround von Sophos. Da mein Vertrauen in Sophos aber schlichtweg komplett dahin ist und ich ja eh eine neue Appliance hatte, dachte ich: „Och, lässte mal so laufen“. Die „SSL Handshake Problems“ blieben. Das Teil lief auch. Bis zum Tag X. Die nagelneue RED50 hat sich nach ca. 6 Monaten komplett verabschiedet. Die war einfach offline ohne ein Lebenszeichen im Log o.Ä. Das ist erst vor ein paar Tagen passiert. Konkret heißt das aber für mich: Selbst neue(!!!) RMA Geräte von Sophos werden gebricked wenn man die unified Firmware nicht umschaltet.
Wisst ihr was noch geiler ist? Die Teile werden angeblich mit nem Dual Boot ausgeliefert. Also falls die eine Firmware failed wird die vorherige geladen, weil das besonders sicher is. Jau. Ich persönlich habe jetzt schon von jemanden gehört, der 13(!!) defekte Reds angemeldet hat. Sophos ist übrigens super kulant und tauscht die Dinger sofort aus. Allerdings kam letztens ne Rundmail(!), dass man sich doch mal melden soll, wenn man seine RED noch nicht eingeschickt hat.
Wer bitte designed sowas? Und wie sieht das rechtlich aus? Mir gehen halt die Ausrufezeichen aus. Eine Entschuldigung wird vermutlich nicht kommen, weil die dann sonst Schadensersatzpflichtig sind.
Zu mir: Ich habe jetzt mal auf die alte Firmware umgeschaltet. Auch geil: Reds rebooten sofort. Dementsprechend sind alle Tunnel dann mal offline. Das gibt dem ganzen halt auch ne gewisse Würze. Ist ja schließlich garantiert, dass die wieder hoch kommen. Jedenfalls ist bei mir jetzt zumindest dieser „SSL Handshake“ Error im Log weg,
Funfact: Heute wurde für meine SG eine neues Firmware Update freigegeben, was wohl Probleme mit Red „SITE-TO-SITE“ Tunneln beheben soll.
Aha. Da gabs also auch Probleme? Für nicht Insider: Bei einer Site to Site Konfig muss die Red noch weniger machen als bei „Server to Client“ Konfig.
Ich habe jetzt jedenfalls mal ne Red15 bestellt und werde aber wohl auf lange Sicht meine ganzen Reds gegen vernünftigte Site-To-Site Hardware tauschen. Es ist für mich unbegreiflich wie man eine Firmware verkacken (sry) kann die nur einen einzigen Zweck hat: VPN.
PS: Bin per Administrator.de oder hier per Mail zu erreichen.
Gruß
Ex0r
Für ein Kundenprojekt haben wir mittlerweile 1 red15 und 4 Red50 mit der selben Problematik verheizt. Es gibt auch keine Möglichkeit hier noch etwas zu fixen.
Aus unerklärlichem Grund steigen die Red50 Appliances einfach aus. Die Verbindung wird beendet und das Gerät reagiert nicht mehr. Ein Powercycle bringt nur ein leuchtendes Display, also keinen output.
Die Red15 brauchen auch nicht zurückgeschickt werden. Man soll sie entsorgen und erhält eine ganz neue mit Umverpackung (die man am besten gleich bei ebay einstellt). Nur was kann man mit den ganzen Teilen überhaupt noch anfangen? Der Aufwand die Geräte immer zu versenden und im RZ einzubauen ist einfach zu hoch.
Nun sind wieder 2 Red50 defekt. Mal sehen ob es mittlerweile eine Lösung dafür gibt. Alle Geräte waren auf dem aktuellen Stand und liefen auch einige Monate durch.
Wir betreiben ein Active-Active Cluster bestehend aus zwei SG230. Daran sind 6 RED50 angebunden. Wir befinden uns mittlerweile auf Firmware 9.700-5. Wir haben schon so 6-8 RED50 verheizt. Heute morgen schon wieder eine. Ein zuverlässiger Betrieb ist so nicht möglich. Die VPN-Verbindungen bauen sich auch erst nach 2-3 Verbindungsversuchen auf (DNS funktioniert bei den ersten Verbindungsversuchen nicht). Der Support schickt einfach nur neue REDs und das trotz Premium-Support-Lizenz. Damit ist Sophos bei uns im Unternehmen wohl Geschichte…
Wir haben die gleiche Problematik beim Einsatz von insgesamt 9 RED50. Manche sind nach den Updates ausgestiegen, manche auch im laufenden Betrieb. Mittlerweile habe ich bei einer neuen RED50 via RMA beim Erststart denselben boot error wie bei der defekt gemeldeten RED50. Eine andere RED50 , die via RMA ausgtetauscht wurde, baut unmittelbar eine Verbindung zu einer IP-Adresse der Telekom auf.
Gestern hatte ich ein Gespräch mit einem Support MA bei Sophos…sagen wir mal so…Indisches Englisch war besser zu verstehen…Eine Frechheit was da mittlerweile abgeht.
Was mich interessieren würde: Wie kann man per ssh Befehl auf eine andere Firmware umschalten. Und, geht das auch über die Console, weil bei uns bisher alles Fehler in der boot Sequenz lagen.
Moin,
die Fehlerursache wurde gefunden und wird mit UTM 9.702 gefixt: https://www.sult.eu/2020/03/02/sophos-utm-9-702-1-verfuegbar/
Danke für den Kommentar! Dann trägt der Vorgang hier Sophos von Thoma Bravo aufgekauft ja Früchte ;-).
Ich habe es mal in diesem Blog-Beitrag Sophos RED50: Ursache für gebrickte UTMs gefixt herausgezogen.
Hallo,
ich habe ein ähnliches Problem seit dem 4.2.20 mit einer RED15.
nach dem Update der SG115 UTM auf 9.701-6 war die Verbindung mit der RED15 tot.
Im RED Live Log der UTM sieht man einen SSL Fehler:
SELF: Cannot do SSL handshake on socket accept from ‚185.153.199.118‘: SSL accept attempt failed with unknown error error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Sophos hat die RED15 schon 2 mal getauscht, leider erfolglos.
Man macht nichts mehr trotz „Premium-Support“, ein Trauerspiel.
Druckmittel hat man nicht, ausser das ganze wegwerfen. ABer die UTM ist schon ne tolle Lösung, nur die RED ist unbrauchbar.
Im August 2019 hatte ich das auch schon mal, ebenfalls nach einem Update der UTM Firmware, aber damals half es die RED Verbindung zu löschen und neu anzulegen, da hatte sich der Provisioning Server wohl „verschluckt“. Hat aber auhc 2 Wochen gedauert bis der Sophos Support das gelöst hatte.
So eine Lösung ist im professionellen IT Umfeld einfach nicht mehr einzusetzen.
Nur welche Lösung (speziell UTM) hat diesen Funktionsumfang und ist einfach bedienbar sowie bietet ein Lösung wie die RED als VPN Tunel an?
Ich kenne keine.
Gruß
Reinhold
So, nach 6 Wochen, Problem gelöst:
Das Problem mit der Firmware 9.701-6 war, dass der RED Teil dieser Firmware ein DNS-Problem hat.
In der RED Konfiguration, die auf den provissionierenden Server hochgeladen wird, habe ich in der Vergangenheit den UTM-Hostnamen eingetragen. Hat ja funktioniert.
Entsprechend der Aussage aus der Online-Hilfe: : „UTM hostname: You need to enter a public IP address or hostname where Sophos UTM is accessible.”
Ich habe dies nun auf die öffentliche IP-Adresse des UTM geändert. Der UTM hat die neue Konfiguration auf den Provisionierungsserver hochgeladen und der RED15-Tunnel hat nach kurzer Zeit angefangen zu arbeiten.
Ich bin sehr enttäuscht, dass ich dieses Problem gefunden habe und nicht den Premium-Support von Sophos , es hat 6 Wochen gedauert, um dieses Problem zu beheben.
ABer ich bin auch sehr froh, dass dies jetzt behoben ist.
Hoffentlich behebt Sophos diesen Fehler und andere Anwender können diese Umgehungslösung nutzen.
Danke für den Hinweis.