Warenkorb

keine Produkte im Warenkorb

Sophos Central Firewall Management – Funktionen mit SFOS v18

Die erste Verbindung zwischen der Firewall und Central fand ja bereits durch die Implementierung von Synchronized Security statt. Etwas später folgte dann der Sophos Central Firewall Manager. Der Funktionsumfang dieser frühen Version war allerdings stark limitiert, was das Produkt noch nicht wirklich interessant machte. Mit SFOS v18 wurden die Funktionen des Central Firewall Managers nun aber stark aufgebohrt.

Info: Wenn du alles über die Neuerungen in der kommenden SFOS v18 erfahren möchtest, findest hier meinen ausführlichen Beitrag darüber: Sophos SFOS v18: Neue Funktionen im Überblick

Central Firewall Management

Ich persönlich finde den Sophos Central Firewall Manager (SCFM) absolut genial. Klar, die momentan verfügbaren Funktionen sind noch etwas spärlich, aber Sophos ihre Vision dahinter ist phänomenal. Uns hilft das Tool vor allem, um bei Kunden mit mehreren Firewalls den Überblick zu behalten. Auf der UTM gibt es dafür den Sophos UTM Manager (SUM) und für das SFOS kann auch der Sophos Firewall Manager verwendet werden. Letzterer ist allerdings in meinen Augen absoluter Mist und wenn ich sehe, wohin die Reise mit dem SCFM geht, wird dieser mittelfristig sicher eingestellt.

Schauen wir uns kurz die Basis-Funktionen genauer an und wie ihr mit dem Central Firewall Manager selber loslegen könnt.

Firewall verbinden

Damit ihr das Firewall-Management nutzen könnt, wird ein Sophos Central Account benötigt. Diesen könnt ihr kostenlos erstellen und auch das Firewall-Management ist eine kostenlose Funktion. Im Backend der Firewall kann man über den Menüpunkt „Central synchronization“ die Firewall bei Central registrieren. Diese erscheint dann anschliessend in eurem Central Account.

Management

In eurem Central Account entsteht mit der Zeit eine Liste mit allen Firewalls, die ihr hinzugefügt habt. Mit einem Klick auf den Firewall-Namen meldet ihr euch automatisch am Backend der Firewall an und könnt nun wie gewohnt eure Konfigurationen vornehmen. Die Anmeldung an der Firewall ist zwar spürbar langsamer, als wenn man sich direkt mit der Firewall verbindet, aber dafür einiges komfortabler, da kein zusätzliches Login benötigt wird. Hat die Firewall eine dynamische IP-Adresse? Kein Problem. Da die Firewall die Verbindung auf Central herstellt, funktioniert das einwandfrei.

Welche Funktionen euch im Central Firewall Manager zur Verfügung stehen, hängt von der Firmware der Firewall ab. Es gibt Funktionen, die erst bei einem gewissen Release freigeschaltet werden.

Firmware-Updates

In der Firewall-Übersicht sieht man auf einen Blick, über welche Firmware-Version die einzelnen Modelle verfügen. Mit einem Klick auf „Upgrade“ und danach „Upgrade Firmware“, installiert sich die neuste Version.

Ich kann es an dieser Stelle nicht genug betonen, den Update-Knopf immer mit grösster Vorsicht zu drücken. Bereitet euch auf ein Update vor und informiert euch vorher, welche Änderungen mit der neuen Version In­kraft­tre­ten werden. Wir machen immer wieder die Erfahrung, dass ein Firewall-Update zu leichtfertig eingespielt wird. Mit unseren Firewall-Wartungsverträgen kümmern wir uns um die Updates eurer Firewalls und können euch vor bösen Überraschungen bewahren. 😎

Online-Backup

Über den Sophos Central Firewall Manager könnt ihr auch zeitgesteuerte oder manuelle Backups der Konfiguration von euren Firewalls erstellen. Es ist natürlich absolut zu empfehlen, ein solches Backup einzurichten. Bisher konnte man sich diese Backups manuell von der Firewall herunterladen oder direkt auf einem FTP speichern. Auch der Versand per E-Mail stand als Option zur Verfügung.

Trotz dieser Möglichkeit, auf der Firewall ein Backup zu erstellen, kann es zu Problemen kommen, wenn so ein Backup dann einmal gebraucht wird. Folgende Situationen haben wir bei Kunden schon angetroffen:

  • Die E-Mail-Adresse, an die das Backup geschickt wurde, existierte schon länger nicht mehr und daher kamen die Backups auch nie im Postfach an.
  • Die Email Protection blockierte die E-Mails, da diese von einer dynamischen IP versendet wurden oder der SPF nicht korrekt war.
  • Ein Backup war vorhanden, aber das Passwort konnte nicht mehr ausfindig gemacht werden.
  • Ein Backup war vorhanden, jedoch schon sehr veraltet.

Es würden sich sicher noch weitere Gründe finden lassen, woran es im Ernstfall trotz Backup scheitern könnte. Viele dieser Probleme werden durch die Einführung des Online-Backups auf Central gelöst. Man erhält eine sichere Möglichkeit, seine Backups zentral und verschlüsselt in Central zu speichern. Dort sind sie immer auf dem aktuellsten Stand und liegen Bereit, wenn sie für einen Notfall gebraucht werden.

Neue v18 Funktionen

Die oben genannten Funktionen stehen euch bereits mit der Version 17.5 zur Verfügung. Kommen wir jetzt also zu den neuen Funktionen, die erst mit der SFOS v18 Einzug halten werden.

Reporting

Es gab mal ein Produkt von Sophos genannt iView, welches ein zentrales Reporting ermöglicht hat. Ehrlich gesagt, gibt es diese Software immer noch, doch für uns ist ein Produkt, welches seit Jahren nicht mehr weiterentwickelt wurde, nicht mehr existent. Der Umstand, dass es Sophos selbst noch nicht in die Wüste geschickt hat, macht es auch nicht aktueller. 😅 iView hat für uns definitiv keine Zukunft mehr und lebt aber definitiv im Central Reporting weiter.

Wenn man das Reporting auf der Firewall aktiviert, werden die Firewall-Logs an Central übermittelt. Aus den gesammelten Daten können dann ansprechende Reports generiert werden.

Das Central Reporting für die Firewall ist aktuell noch in der Betaphase. In der aktuellen Version bekommt man aber schon ein sehr gutes Gefühl dafür, was man von der finalen Version erwarten kann.

Globale Firewall-Einstellungen

Bei Kunden mit sehr vielen Firewalls stehen wir schnell mal vor dem Problem, dass eine solche Masse an Geräten sehr schwierig zu verwalten ist. Bei 10 Firewalls kann das noch einigermassen klappen, bei über 50 ist dies dann bereits eine rechte Herausforderung. Mit v18 lassen sich die Firewalls auf Central aber wunderbar gruppieren!

Man erhält in den Gruppenrichtlinien dann eine Firewall-Oberfläche und kann Einstellungen zentral definieren und speichern. Diese werden dann auf alle Firewalls in dieser Gruppe ausgerollt.

Auch diese Funktion ist im Moment noch Beta und bei meinen Tests hat man dies auch gemerkt. Von einer stabilen Umsetzung ist man noch ein bisschen entfernt. Zudem haben sich während meinen Tests einige Fragen angesammelt, die bisher noch unbeantwortet sind. Grundsätzlich bin ich aber überzeugt, dass uns die globalen Firewall-Einstellungen in Zukunft eine grosse Hilfe sein werden!

Patrizio
Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.