Sophos RED50: UTM bewirkt Absturz und Gerät ist tot

Kleine Info für Administratoren, die RED50-Geräte von Sophos einsetzen. Ein Bug in der Sophos UTM Version 9.603-Software führt zu einem Absturz der Firmware des Geräts, so dass dieses im Anschluss tot ist.


Anzeige

Hintergrundinformationen zu Sophos RED50

Das Kürzel RED steht für Remote Ethernet Devices. Die Sophos RED50-Geräte ermöglichen den Aufbau sicherer Ethernetverbindungen zu verschiedenen Standorten oder Außenstellen einer Firma.

Sophos RED
(Sophos RED, Quelle: Sophos)

Die Geräte sind für um die 700 Euro erhältlich. Auf dieser Webseite beschreibt Sophos die Funktionalität so:

Mit Sophos RED können Sie Ihr sicheres Netzwerk einfach auf andere Standorte ausweiten. Dafür ist kein technisches Fachwissen am Remotestandort erforderlich; geben Sie einfach die ID Ihres RED-Geräts in Ihre UTM ein und schicken Sie das Gerät an den betreffenden Standort. Sobald das Gerät angeschlossen und mit dem Internet verbunden ist, stellt es eine Verbindung zu Ihrer UTM her und baut einen sicheren Ethernet-Tunnel auf. Mehr ist nicht zu tun.

Sie können den gesamten Netzwerkverkehr vom Remotestandort zurück an die UTM leiten (maximale Sicherheit) oder Sie routen nur Netzwerkverkehr innerhalb des Standorts über RED. Alle Daten zwischen dem RED und Ihrer UTM werden verschlüsselt, um die Vertraulichkeit der Verbindung zu garantieren.

Wir bieten drei verschiedene RED-Modelle an: RED 15, RED 15w mit integriertem WLAN und RED 50.

Mit UTM ist das Sicherheitspaket Unified Thread Management von Sophos zur Bedrohungsabwehr gemeint (siehe diese Seite).

Problem der RED 50-Hardware-Ausfälle

Bei administrator.de gibt es diesen Thead, wo sich ein Nutzer über Hardware-Ausfälle seiner RED50-Komponenten beklagt.

Ich hatte jetzt in Vergangenheit mehrfach massive Probleme in Form von Hardware Ausfällen mit den RED50 Geräten von Sophos.

Als Gegenseite habe ich 2 SG330 im HA Cluster. Die Probleme äußern sich in instabilen VPN Tunneln, keine Informationen auf dem Display was jetzt los ist etc. pp.

Sind ca. 20 Rechner + ca. 5 Wlan Accesspoints und 50Mbit/s symmetrisch zu viel für die Geräte? Wie sind da eure Erfahrungswerte? Bei nem 5 bis 600€ Gerät erwarte ich irgendwie etwas mehr.

Mit den SG- oder XG-Modellen schien es laut dem Thread wenig Probleme zu geben. Hätte man achselzuckend zur Kenntnis nehmen können, wenn nicht der Thread-Starter an anderer Stelle auf ein grundsätzliches Problem mit Sophos RED50 hingewiesen hätte. Diese Information ist mir bei administrator.de hier unter die Augen gekommen. Die Sophos RED-Geräte bekommen ein Problem in Verbindung mit Sophos UTM. In diesem Support-Dokument von Sophos findet sich seit Ende Mai 2019 folgende Information:

UTM 9.602 und 9.603: wichtiger Hinweis zu Sophos RED

In der Version 9.600 wurde die Bug ID „NUTM-10594 RED50 disconnects randomly“ eröffnet.Diese wurde von Sophos bereits gelöst und der Fix wurde mit der Version 9.602 veröffentlicht. Leider wurde mit der Lösung und Veröffentlichung der oben genannten Bug ID ein neuer Bug entdeckt.

Die neue Bug ID lautet: „NUTM-10962 RED50 does not startup anymore after update”. Diese Bug ID resultiert aus den Änderungen, die mit NUTM-10594 implementiert wurden. Der Fehler zeigt sich darin, dass das RED keine Verbindung mehr zur Firewall aufbauen kann. Es erscheint nichts im red.log oder im tcpdump auf port 3400 / 3410.

Sophos arbeitet momentan mit Hochdruck an einer Lösung des Problems. Der Fix für dieses Verhalten wird voraussichtlich mit UTM Version 9.604 veröffentlicht.

Sprich: Ein Bug in der UTM-Software in den Versionen 9.602 und 9.603 sorgt dafür, dass die RED50-Geräte sich nicht mehr verbinden (9.602) oder gleich ganz ausfallen (9.603) und nicht mehr starten. Sprich: Das Gerät ist danach gebrickt. Nach diesem Post aus 2014 scheinen die Geräte mit Linux als Firmware zu laufen, und irgend etwas wird da bei der Verwaltung über UTM zerschossen. Auch dieser Forenbeitrag aus 2014 thematisiert bereits Ausfälle. Irgend jemand von euch von diesem Problem betroffen? Gibt es einen Fix, um die RED50 wieder zum Laufen zu bringen?


Anzeige
Dieser Beitrag wurde unter Geräte abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sophos RED50: UTM bewirkt Absturz und Gerät ist tot


  1. Anzeige
  2. Alexander Busch sagt:

    Man kann versuchen die Verwendung der unified_firmware zu ändern, siehe
    https://community.sophos.com/products/unified-threat-management/f/german-forum/112556/sophos-sg-kein-firmwareupdate-auf-9-601-oder-9-602-3-mit-red

    Mit dem nächsten Update wird es vielleicht besser, vorher sollte man wahrscheinlich auf die letzten Updates verzichten. Ich bin selbst enttäuscht von der Qualität bei Sophos. Es ist auch kein Zustand Sicherheitslücken über Monate offen zu lassen, weil das Update gravierende Probleme enthält.

  3. Ex0r2k16 sagt:

    Achtung! Stellungnahme:

    Das ist echt interessant, wenn man seine eigene Beiträge auf google findet :D

    Also folgendes möchte ich ergänzen:

    Das RED Firmware Thema ist inzwischen wohl komplett eskaliert. Ich selbst hatte inzwischen öfters auch Kontakt zu Sophos und kann sagen: Die kacke ist/war am dampfen. Wenn der einzige Sinn und Zweck einer Appliance der Aufbau eines VPN Tunnels zu einer anderen Sophos (!!!) Firewall ist und das nach einem Firmware Update nicht mehr klappt, hat diese Firma meiner Meinung ihren Ruf als seriöse Enterprise Company im Firewall Bereich komplett verloren. Nagelt mich jetzt bitte nicht fest aber ich bin mir ziemlich sicher gelesen zu haben, dass Sophos mit dem 9.605 er Update die “unified” Firmware an alle Firewalls ausgeliefert hat, die unter (!) 20 Reds im Einsatz haben. Das erklärt auch warum der “Skandal” nur kleinere Firmen betrifft, da (noch) größere Firmen vermutlich eher auf Site to Site VPNs mit vollwertigen Firewalls setzen oder (!) eben nicht auf die Firmware umgeschaltet wurden. Macht ja Sinn. Die können schließlich HA (Galgenhumor ist angebracht). Man stelle sich das mal vor. Man spielt wie immer sein übliches Firmware ein und am nächsten Tach ist mindestens die Hälfte der Standorte down. Ok – war vielleicht bekannt, hat man vielleicht gewusst. Rechtlich hängt da Sophos vielleicht noch nicht ganz so fest drinn. Aber was ich jetzt festgestellt hab erstaunt mich noch mehr.
    Durch die “schlechte” Firmware habe ich mind. eine neue RED50 von Sophos selbst erhalten und diese auch verbaut. Das war vor ca. 6 Monaten. Mir war bewusst, dass man per SSH Befehl alle REDs auf den alten Firmware Stand umschalten kann. Das ist auch der offizielle Workaround von Sophos. Da mein Vertrauen in Sophos aber schlichtweg komplett dahin ist und ich ja eh eine neue Appliance hatte, dachte ich: “Och, lässte mal so laufen”. Die “SSL Handshake Problems” blieben. Das Teil lief auch. Bis zum Tag X. Die nagelneue RED50 hat sich nach ca. 6 Monaten komplett verabschiedet. Die war einfach offline ohne ein Lebenszeichen im Log o.Ä. Das ist erst vor ein paar Tagen passiert. Konkret heißt das aber für mich: Selbst neue(!!!) RMA Geräte von Sophos werden gebricked wenn man die unified Firmware nicht umschaltet.

    Wisst ihr was noch geiler ist? Die Teile werden angeblich mit nem Dual Boot ausgeliefert. Also falls die eine Firmware failed wird die vorherige geladen, weil das besonders sicher is. Jau. Ich persönlich habe jetzt schon von jemanden gehört, der 13(!!) defekte Reds angemeldet hat. Sophos ist übrigens super kulant und tauscht die Dinger sofort aus. Allerdings kam letztens ne Rundmail(!), dass man sich doch mal melden soll, wenn man seine RED noch nicht eingeschickt hat.

    Wer bitte designed sowas? Und wie sieht das rechtlich aus? Mir gehen halt die Ausrufezeichen aus. Eine Entschuldigung wird vermutlich nicht kommen, weil die dann sonst Schadensersatzpflichtig sind.

    Zu mir: Ich habe jetzt mal auf die alte Firmware umgeschaltet. Auch geil: Reds rebooten sofort. Dementsprechend sind alle Tunnel dann mal offline. Das gibt dem ganzen halt auch ne gewisse Würze. Ist ja schließlich garantiert, dass die wieder hoch kommen. Jedenfalls ist bei mir jetzt zumindest dieser “SSL Handshake” Error im Log weg,

    Funfact: Heute wurde für meine SG eine neues Firmware Update freigegeben, was wohl Probleme mit Red “SITE-TO-SITE” Tunneln beheben soll.

    Aha. Da gabs also auch Probleme? Für nicht Insider: Bei einer Site to Site Konfig muss die Red noch weniger machen als bei “Server to Client” Konfig.

    Ich habe jetzt jedenfalls mal ne Red15 bestellt und werde aber wohl auf lange Sicht meine ganzen Reds gegen vernünftigte Site-To-Site Hardware tauschen. Es ist für mich unbegreiflich wie man eine Firmware verkacken (sry) kann die nur einen einzigen Zweck hat: VPN.

    PS: Bin per Administrator.de oder hier per Mail zu erreichen.

    Gruß
    Ex0r

  4. Anzeige

  5. Für ein Kundenprojekt haben wir mittlerweile 1 red15 und 4 Red50 mit der selben Problematik verheizt. Es gibt auch keine Möglichkeit hier noch etwas zu fixen.

    Aus unerklärlichem Grund steigen die Red50 Appliances einfach aus. Die Verbindung wird beendet und das Gerät reagiert nicht mehr. Ein Powercycle bringt nur ein leuchtendes Display, also keinen output.

    Die Red15 brauchen auch nicht zurückgeschickt werden. Man soll sie entsorgen und erhält eine ganz neue mit Umverpackung (die man am besten gleich bei ebay einstellt). Nur was kann man mit den ganzen Teilen überhaupt noch anfangen? Der Aufwand die Geräte immer zu versenden und im RZ einzubauen ist einfach zu hoch.

    Nun sind wieder 2 Red50 defekt. Mal sehen ob es mittlerweile eine Lösung dafür gibt. Alle Geräte waren auf dem aktuellen Stand und liefen auch einige Monate durch.

  6. HeadofIT sagt:

    Wir betreiben ein Active-Active Cluster bestehend aus zwei SG230. Daran sind 6 RED50 angebunden. Wir befinden uns mittlerweile auf Firmware 9.700-5. Wir haben schon so 6-8 RED50 verheizt. Heute morgen schon wieder eine. Ein zuverlässiger Betrieb ist so nicht möglich. Die VPN-Verbindungen bauen sich auch erst nach 2-3 Verbindungsversuchen auf (DNS funktioniert bei den ersten Verbindungsversuchen nicht). Der Support schickt einfach nur neue REDs und das trotz Premium-Support-Lizenz. Damit ist Sophos bei uns im Unternehmen wohl Geschichte…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.