Sophos UTM – Matériel

Après l’introduction expliquant le but d’un UTM Sophos, je vais vous présenter un peu le matériel que j’ai retenu pour monter mon UTM chez moi.

Le cahier des charges était le suivant :

  • petit

  • SILENCIEUX

  • fiable

  • assez puissant pour supporter un éventuel upgrade de lien Internet.

  • support d’au moins 2 contrôleurs réseaux gigabit Intel ou Broadcom (PAS de contrôleurs realtek)

 

Petit

J’ai une étagère assez petite pour déposer tout mon matériel informatique, ce qui suppose donc que cet UTM doit être le plus petit possible. Le matériel ITX s’impose. Ca tombe bien, mon précédent routeur/firewall était lui aussi composé de matériel au format Mini ITX.

Silencieux

S’agissant de matériel actif en 24/7, je ne veux aucune pièce mobile dans cet ordinateur. Donc exit ventilateurs, disques dur, etc etc. Évidement, cela limite la puissance de traitement car les processeurs acceptant le fanless ne sont pas légions.

Puissance

Sophos UTM étant basé sur snort (entre autres choses), il faut donc que le matériel soit assez puissant pour supporter la charge d’une connexion VDSL, mais aussi éventuellement d’une connexion fibre. Autant le dire tout de suite, j’étais initialement parti sur le fait que la connexion Fibre serait supportée à débit maximal via plusieurs connexion simultanées. Le fait de supporter le débit d’une connexion fibre via une seule connexion n’était pas dans le cahier des charges, c’est un bonus

2 contrôleurs Intel Gigabit (ou plus)

Je hais les cartes réseaux Realtek. Ces cartes sont l’équivalent réseau des winmodems de l’époque (je parle d’une époque que les moins de 20 ans n’ont pas connus, une époque préadsl)

Ces contrôleurs réseaux sont quasiment uniquement gérés par le CPU, alors qu’un contrôleur Intel ou Broadcom va lui traiter beaucoup plus de choses en interne, déchargeant ainsi le CPU.

Inutile de dire que pour mon cahier des charges, un contrôleur Realtek représente le mal absolu : le CPU sera peu puissant (fanless) donc autant le dédier à l’inspection de paquets, et non au traitement de la carte réseau.

Le matériel retenu

Pour monter mon UTM, je suis donc parti de la base existante, et j’ai uniquement changé la carte mère et la RAM.

J’ai donc à disposition :

un boitier antec ITX ISK 300 65 w

un SSD corsair de 60 Go

auquel j’ai ajouté :

1 carte mère Jetway NF9N (processeur celeron 2930 4 coeurs)
1 carte d’extension Jetway (4 ports réseaux Gigabit Intel )
8 Go de RAM

La carte mère Jetway disposant déjà d’un port Intel i211AT Gigabit, cela me fait 5 ports Gigabit Intel à disposition.

Largement de quoi faire.

Assemblage

L’assemblage de ce petit monde est réellement très simple. Il faut juste bien penser à installer l’I/O Shield présentant les 5 ports réseaux.

la carte peut être alimentée par une seule prise 12V, et donc à cet effet, le SSD/disque dur nécessaire à son fonctionnement peut être alimenté directement depuis la carte mère. C’est pour cela qu’est fourni avec un câble un peu bizarre, avec à son extrémité un connecteur de lecteur de disquettes.

Configuration

Notez bien que je ne parle ici que de la postconfiguration spécifique au matériel. Un post plus détaillé sur la configuration dee Sophos UTM viendra dans un futur proche.

Après assemblage et installation de Sophos UTM depuis le CD, je restaure la configuration que j’avais déjà fait sur le précédent matériel.

Après quelques redémarrages, je peux enfin passer à la postconfiguration pour adapter au nouveau matériel.

La première (et seule) action à réaliser est d’ajouter de nettoyer la configuration réseau : Supprimer les interfaces qui n’existent plus et rajouter les 5 interfaces dans le bridge.

Performance

La très très bonne surprise du moment en fait. Suite à l’installation du machin, j’ai commencé par vérifier que tous les paramètres de détection d’intrusion étaient déjà actifs, et j’ai lancé un bon vieux iPerf pour tester.

J’ai testé d’abord l’iPerf sans avoir d’UTM entre les deux extrémités. J’ai obtenu un débit de 940 Mbps. J’ai relancé le test plusieurs fois pour être sûr, les valeurs n’ont bougés que de l’épaisseur du trait.

J’ai donc déplacé le client iPerf sur le switch de la livebox, pour avoir le client coté « public » de l’UTM et le serveur (une VM sur mon XenCenter) de l’autre coté.

Sans que je puisse me l’expliquer, les débits mesurés par iPerf ont variés de 450 Mbps à 560 Mbps.

Bien entendu, pendant le test, un des coeurs du Celeron est occupé à 100% par un processus Snort : ce qui limite le débit est donc bien le CPU.

J’ai relancé plusieurs fois ce test pour être certain des valeurs, sur des durées allant de 1 à 30 minutes.

Ce qui fait que ce matériel pourra amplement encaisser le trafic le jour ou je passerai au FTTH et que j’aurais un débit de 500 Mbps/200 Mbps.

Depuis que l’UTM est démarré, l’occupation RAM n’a pas dépassé les 25 %. Je sais, 8 Go de RAM sont BEAUCOUP trop pour mon utilisation, mais le fait est que je compte garder ce matériel pendant 5 à 8 ans, et qui sait quelle sera la consommation de Sophos UTM d’ici là ?

C’est certain que pour l’instant, avec ma pauvre liaison VDSL 25/1 Mbps, ce système est largement surdimensionné.

Mais au dela de la puissance et de la scalabilité*, je cherchais surtout un système construit à partir de composants de bonne qualité.

Mon but ici est d’avoir le système le plus fiable possible.

Ce système étant en coupure de mon accès Internet, je ne veux pas qu’il tombe en panne, de préférence pendant que je suis en vadrouille à Paris pour une formation de 5 jours. Même si je pense que j’arriverais sans problème à guider mon fils ainé pour qu’il le bypasse, ce n’est bien entendu pas le but.

S’agissant d’une carte mère qui peut être utilisée dans le monde embarqué, je n’ai que peu de doutes sur la fiabilité du matériel.


Publié

dans

par

Étiquettes :

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *