Warenkorb

keine Produkte im Warenkorb

Sophos Firewall - UTM vs. SFOS
7 Gründe, wieso SFOS das bessere Firewall OS ist und UTM abgelöst werden sollte.

7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM

Seit über zwei Jahren haben wir nur noch XG Firewalls mit dem SFOS in Betrieb genommen oder auf SG Appliances das SFOS installiert. Zugegeben, die XG Firewall war in den ersten Versionen der absolute Horror und nur in wenigen Umgebungen brauchbar einzusetzen. Mit der Version 16 wurde es dann langsam besser und wir getrauten uns zumindest kleinere Projekte damit zu realisiert. Ab v16.5 setzten wir bei neuen Projekten dann komplett auf die XG und haben seither nie wieder auf die UTM zurückgeschaut.

Um gleich zu Beginn damit aufzuräumen: Wenn ich von der XG Firewall spreche, meine ich damit die XG Appliance Serie mit dem Sophos Firewall OS (SFOS). Wir betreuen aber auch SG Appliances, auf denen wir einfach das SFOS installiert haben. Das funktioniert einwandfrei. 🙂

Nachdem wir bereits etliche Projekte mit der XG Firewall umgesetzt haben, wollte ich einmal mitteilen, welche 7 Gründe die XG Firewall in meinen Augen zur besseren Wahl machen, als die SG Serie mit dem UTM-Betriebssystem. Mit diesem Artikel möchte ich also meinen Anteil an der Debatte UTM vs. XG beitragen. 🥊

01 – Entwicklung

Wenn ich heute eine neue App für mein Smartphone oder für den Computer suche, lege ich ein besonderes Augenmerk darauf, wann die App das letzte Mal aktualisiert wurde. Finde ich kein Changelog, schaue ich mir den Social Account an z. B. Twitter. Jede Aktivität, die älter ist als ein Jahr, ist für mich tot und die App schafft es definitiv nicht auf mein Smartphone oder meinen Computer.

Zugegeben, bei der UTM Firewall ist es nicht ganz so schlimm. Aber die Update-Zyklen wurden extrem ausgedehnt. Früher gab es für die UTM so gut wie jeden Monat ein Update. Heute sind es noch gut alle 4 Monate und neue Funktionen gibt es so gut wie keine mehr.

Der Grund dafür ist folgender: Sophos hat etwa 300 Entwickler, welche am SFOS- und UTM-Betriebssystem arbeiten. Doch nur noch etwa 5% dieser Entwickler arbeiten am UTM-Betriebssystem. Der Rest arbeitet an der XG Firewall. Hier sieht man also auch vom Hersteller, wo die Prioritäten liegen.

Ab und zu schenkt man den UTM-Benutzern mit einer neuen Funktion wieder etwas Hoffnung. Aber eigentlich sucht man schon lange nach einem Rezept, den treuen Anhängern die XG schmackhaft zu machen, ohne diese an einen anderen Hersteller zu verlieren. Als ehemaliger UTM-Benutzer weiss ich aber, dass man nicht so schnell ein System wechselt, wenn es nicht wirklich sein muss. Solange also die UTM nicht endgültig abgekündigt wird, gibt es für die Mehrheit einfach keinen Grund zu wechseln.

Wenn man auf die Roadmap der beiden Betriebssysteme schaut, ist die Liste für das SFOS extrem lang und die Pläne gehen weit über 18 Monate hinaus. Bei der UTM wurden in der Vergangenheit Funktionen von der Roadmap gestrichen oder immer weiter nach hinten verschoben. Ein prominentes Beispiel ist hier IKEv2. Das Feature war lange auf der Roadmap und wurde immer wieder verschoben und letztlich sogar ganz aus der Roadmap entfernt. Nach einem Aufschrei in der Community, wurde es wieder hinzugefügt und soll nun in der Version 9.8 im nächsten Jahr erscheinen.

Beim Sophos Firewall OS sieht die Sache komplett anders aus und darum ist dies auch der erste Grund, wieso wir das System lieben. Circa alle sieben Wochen dürfen wir uns über neue MR – Maintenance Releases freuen und 1 bis 2 Mal im Jahr gibt es ein MINOR Release mit richtig vielen neuen Funktionen. Das Sophos Firewall OS entwickelte sich daher in den letzten paar Monaten von „gut“ zu „sehr gut“. Das System ist noch nicht ganz da, wo es sein sollte und hat noch ein paar Defizite. Aber für ein so junges OS sind die Fortschritte doch sehr gross!

02 – Hardware

Die Sophos XG Firewall Hardware und die der SG Serie sind was CPU, RAM, Speicher und Anschlüsse betrifft, identisch. Eine kleine Ausnahme ist hier die Sophos XG 86 und XG 106, die es so bei der SG Serie nicht gibt. Die zwei kleinsten Modelle wären hier die SG 85 und SG 105, die allerdings über weniger RAM und Speicher verfügen, als die XG 86 und XG 106. Aber grundsätzlich ist es problemlos möglich, auf eine SG Hardware das SFOS der XG Firewall zu installieren. Die Lizenz kann dann 1:1 migriert werden.

Wie man auf eine Sophos SG Appliance das SFOS installiert, haben wir in einem KB Post erklärt: Sophos XG Firewall OS auf einer SG Appliance installieren

Im nächsten Jahr wird eine neue Hardware Serie erwartet, welche aktuell auf den Namen „XGS“ hört. Wir können zu diesem Zeitpunkt noch nicht sagen, ob diese dann die XG Serie gleich ablösen wird. Als kompatibles Betriebssystem wird auf jeden Fall nur noch das SFOS genannt. Für die SG Serie ist kein neues Release geplant.

Was zumindest im Moment ebenfalls klar für eine XG Firewall mit SFOS spricht, ist die Unterstützung der neuen APX Access Points! Die Access Points, die bereits im Juli 2018 auf den Markt gekommen sind und über den neuen Wave 2 Standard verfügen, sind auch heute noch nur mit XG Firewalls und Central kompatibel. Vonseiten Sophos hiess es immer, dass man die APX Access Points niemals für die UTM kompatiebel machen würde. Für uns ergab dieser Schritt auch immer völlig Sinn! Es handelt sich hier um NextGen Hardware, die nun mal auch nur für NextGen Firewalls entwickelt wurde.

Kopfschüttelnd können wir euch nun aber doch verkünden, dass Sophos bezüglich dieses Plans wieder zurückgerudert ist. Die Unterstützung der APX Access Points wird für die UTM kommen! Der Support ist für UTM 9.7 geplant, welches Ende Jahr veröffentlicht werden soll.

03 – Lizenzierung

Die Lizenzierung der XG Firewall ist nicht komplett anders, als bei der UTM. Trotzdem gibt es einige wichtige Vorteile.

Base License

Die Basis-Lizenz bei einer XG Firewall Appliance ist kostenlos dabei. Welche Funktionen darin enthalten sind, erfahrt ihr in einem separaten Artikel über die Base License. Hier aber noch die wichtigsten Funktionen, die ihr kostenlos geniessen dürft:

  • Wireless Protection
  • SSL VPN oder Sophos Connect Client
  • IPsec VPN Verbindungen

EnterpriseGuard Bundle

Ihr kennt sicher das FullGuard Bundle, welches alle Module bis auf Sandstorm auf der Firewall freischaltet. Mit dem FullGuard Plus Bundle bekommt ihr auch Sandstorm dazu.

Für die XG Serie gibt es noch zusätzlich das beliebte EnterpriseGuard Bundle. Dieses Bundle ist eine echte Alternative zum FullGuard Bundle, denn es deckt die Bedürfnisse der meisten Kunden bereits ab. Mit dem EnterpriseGuard Bundle bekommt ihr die Network und Web Protection inklusive dem Sophos Premium Support dazu. Die Wireless Protection ist ja bereits kostenlos in der Basis-Lizenz enthalten. Somit müssen nur noch die wenigsten Kunden auf das teurere FullGuard Bundle zurückgreifen, falls dann tatsächlich noch ein Bedürfnis zum Schutz von E-Mails und Webservern besteht.

04 – Firewall-Regeln

Kommen wir nun zum technischeren Teil, warum in meinen Augen das SFOS im Vergleich zum UTM-Betriebssystem die Nase vorne hat.

Das Firewall-Regelwerk ist beim SFOS um einiges übersichtlicher geworden. Wenn man mehr als nur 10 Firewall-Regeln hat, was wohl in den meisten Umgebungen der Fall sein sollte, können diese im SFOS hervorragend gruppiert werden. Der folgende Screenshot von meiner XG Firewall von zu Hause soll dies auch noch einmal verdeutlichen. Hier haben alle IoT Devices ihr eigenes Netzwerk und die Firewall-Regeln dazu werden alle in einer Gruppe zusammengefasst.

Sophos Firewall - Regelübersicht

Wenn man sich dann eine Gruppe genauer anschaut, findet man schnell heraus, durch welche einzelnen Firewall-Regeln noch Traffic durchgeht und welche Regeln womöglich nicht mehr benutzt werden. Diese Darstellung hilft dabei, überflüssige Regeln zu erkennen und zu entfernen.

Sophos Firewall - Firewallregeln

Im Gegensatz zur UTM, kann ich im SFOS einer Firewall-Regel einen eigenen Namen geben. Innerhalb einer Regel sind zudem auch längere Kommentare möglich, um beispielsweise festzuhalten, wer diese Regel erstellt hat und wofür diese Regel einst angelegt wurde.

  • Jede Regel bekommt eine ID, mit welcher ich im Log nachsehen kann, welcher Traffic durch diese Regel geht.
  • Man sieht gleich auf einen Blick, ob für eine Regel z. B. die IPS oder der Webfilter aktiv ist.

Bezüglich Firewall-Regeln könnte ich euch theoretisch noch viel mehr Vorteile nennen, die unterstreichen, warum ich nie wieder auf eine UTM zurückgehen würde. Ich belasse es aber einmal mit den oben aufgeführten Hauptargumenten, die bereits jedem Firewall-Admin überzeugen sollten. 🙂

Auch wenn beim SFOS bezüglich der Firewall-Regeln vieles verbessert wurde, so gibt es beim SFOS doch einen sehr nervigen Nachteil gegenüber der UTM. Das Abspeichern einer Firewall-Regel dauert bei den XG 86 bis XG 135 Firewalls gute 4-10 Sekunden! Dieser Umstand soll in der v18 zuerst verbessert und in der v19 dann komplett behoben werden.

05 – Log Viewer

Auch nach mehreren Jahren auf der XG Firewall, ist der Log Viewer immer noch ein absolutes Highlight! Damit ist es schnell und einfach möglich, Logs gleich über das GUI zu prüfen. Bevor ich hier aber zu viele Worte darüber verliere, schaut euch einfach folgendes Video an:

06 – Sophos Central

Nein, keine Angst! Ich komme jetzt nicht auch noch mit Sophos Synchronized Security, woraus die Marketingabteilung von Sophos eine Parole des Jahrhunderts losgetreten hat. Aber wenn es euch dabei hilft, eure UTM gegen eine XG einzutauschen, dann springen wir natürlich gerne auf den Zug auf. Habt ihr gewusst, dass ihr mit Synchronized Security auf der XG Firewall sehen könnt, welche Applikationen auf den Endpoints laufen? 😂 Also ja, Synchronized Security wird in Zukunft auch noch weitere geniale Möglichkeiten hervorbringen!

Kommen wir nun aber bezüglich Central zu einer Funktion, welche noch ganz in den Kinderschuhen steckt, aber über ein gewaltiges Potenzial verfügt. Ich spreche vom Central Firewall Management. Damit ist es möglich, die Firewall mit Central zu verknüpfen und diese darüber zu verwalten. Eine solche Verknüpfung kann bereits jetzt schon gemacht werden, doch die wirklich interessanten Funktionen werden erst noch kommen! Ich kann hier leider noch nicht zu viel verraten, doch wenn Sophos es richtig anstellt, könnte es in einem Management für SDN enden. Neue Funktionen dürfen wir bereits Ende dieses Jahres erwarten.

07 – Firmware Updates

Wie schon gesagt, finden wir Updates immer gut. Der Spruch never change a running system ist absoluter Blödsinn, wenn es um die Firewall geht. Das haben wir auch bereits mal in einem früheren Post über die Notwendigkeit von Firewall-Updates aufgegriffen.

Dass Updates wichtig sind, habt ihr sicher verstanden. Doch Updates sind auch sehr gefährlich, da es durchaus vorkommen kann, dass danach nicht mehr alles so reibungslos funktioniert, wie zuvor. Von Admins, die davor Angst haben, hört man dann immer den oben genannten Spruch. 😅

Um der Gefahr von Updates ein wenig entgegenzuwirken, gibt es auf der XG Firewall ein paar Verbesserungen:

  1. Die Updates von Access Points und REDs sind losgelöst und nicht mehr im Firewall-Update integriert. Somit lassen sich die REDs auch ohne einen Neustart der Firewall aktualisieren.
  2. Sollte mal ein Firewall-Update nicht funktioniert haben und man möchte auf die vorherige Version zurück, ist dies mit wenigen Klicks möglich.

Fazit

Dieser Artikel ist nun etwas länger geworden, als ich diesen ursprünglich im Sinn hatte. Ich habe hier sieben Gründe aufgelistet, die meiner Meinung nach jeden UTM-Freund zu einem Wechsel animieren sollte. Auch ich habe die UTM einst vergöttert, doch gerade in den Punkten Zukunftssicherheit, Updates und einer klaren Vision, hat unser Verstand uns den Wechsel schon früh nahegelegt und wir haben es bisher auch nie bereut! Wenn es um den Vergleich UTM vs. XG geht, hat die XG für uns ganz klar das beeindruckendere Kampfgewicht auf der Waage. Seid also mutig oder viel mehr vernünftig (😅) und setzt beim nächsten Projekt auf eine XG Firewall. Sobald dieser Schritt gemacht wurde, könnt ihr damit anfangen, eure UTMs auf das SFOS zu migrieren.

Nachteile

Auch wenn das SFOS wirklich viele hervorragende Funktionen bietet, könnte man vielleicht schon ein wenig das Gefühl bekommen, dass dieser Artikel durch die rosarote Brille geschrieben wurde. Darum hänge ich hier noch ein kurzes Kapitel mit den Nachteilen an, denn wie gesagt ist das SFOS noch ein sehr junges Betriebssystem und es gibt in der Tat noch einige Dinge, welche noch nicht ganz so optimal laufen.

Geschwindigkeit vom GUI

  • Das Laden oder Speichern der Firewall-Regeln dauert noch zu lange und nicht so, wie man es sich wünscht.
  • Das Generieren von Reports oder auch Systemressourcen braucht unbedingt einen Geschwindigkeitsschub.

* Wie bereits im Artikel erwähnt, werden diese Dinge mit v18 besser und mit v18.5 gelöst sein.

Umbenennen von Objekten

  • Es ist leider nicht überall möglich, erstellte Einträge im Nachgang umzubenennen. Darunter fallen beispielsweise Zonen, Wireless-Netzwerke, aktive Firewall NAT Ports, IPS Protection Policies, Webserver Protection Policies, IPsec Policies und einige mehr.

* Grund dafür ist, dass die Entwickler der Cyberoam Firewall, was nach wie vor die Basis für das SFOS ist, den Namen für diese Objekte in der Datenbank als Primärschlüssel verwendet haben. Das macht ein Umbenennen im Nachgang natürlich eher schwer. Doch auch daran wird gearbeitet und erste Verbesserungen werden mit der v18 erwartet.

NAT Regeln

  • Erstellte NAT-Regeln lassen sich nicht mehr bearbeiten, wenn diese aktiv sind. Mann muss diese zuerst deaktivieren, bearbeiten und dann wieder aktivieren.

* Soll mit v18 behoben werden.

Benachrichtigungen

  • Die Benachrichtigungen sind beim UTM-System noch um Welten besser. Da kann man sich praktisch über alles per E-Mail benachrichtigen lassen. Das SFOS bietet in dieser Hinsicht so gut wie keine Optionen. Mit SFOS 17.5 MR4 wurde dahingehend etwas nachgebessert, doch es werden noch lange nicht diese Möglichkeiten geboten, die wir bei der UTM als selbstverständlich gesehen haben.

* Soll mit v18 weiter verbessert werden.

Mehr Informationen

Ich verweise in diesem Artikel häufig auf die v18, die viele Verbesserungen bringen soll. Laut Sophos soll die v18 noch Ende 2019 erscheinen. Wir schätzen diese Zeitrechnung allerdings als sehr optimistisch ein und halten das 1. Quartal 2020 als Erscheinungszeitraum zutreffender. 😅

Patrizio
Patrizio

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.