Sophos Firewall v19.5 – Alle neuen Funktionen in diesem Update
Es ist schon ein paar Monate her, als ich das letzte Mal Zeit hatte, einen SFOS Update Artikel zu verfassen. In Zukunft wird es nun wieder besser. Darum freue ich mich umso mehr um die neuen Funktionen und Verbesserungen in SFOS 19.5 vorzustellen.
Das Update ist für alle Sophos Firewalls der SG, XG und XGS Serie und auch die virtuellen Appliances oder Instanzen auf den Cloud-Plattformen wie Azure oder AWS.
Folgende Modelle erhalten das Update nicht, da diese nicht über 4 GB RAM verfügen: XG 85(w), XG 105(w), SG 105(w)
Sicherheitslücke CVE-2022-3236 wird geschlossen
Eine Code-Injection Schwachstelle im Benutzerportal und im WebAdmin ermöglicht einem Angreifer die Ausführung von Code in der Sophos Firewall, Version v19.0 MR1 und älter. CVE-2022-3236
Hosts und Services Suche
In der SFOS v19 wurde die Objektsuche in den Firewallregeln massiv verbessert. An einigen Orten fehlte aber noch die Suchfunktion wie bei den Hosts und Services Objekten. Hier ist es möglich nach Namen, Ports oder IP-Adressen zu suchen, was auch das Auffinden doppelter Objekte vereinfacht.
Doppelte Objekte dann zu löschen, wenn diese noch verwendet werden, ist noch immer nicht ganz so einfach, da man keinen Hinweis bekommt, wo dieses Objekt verwendet wird.
Sophos hat die neue Funktion in einem 2min Video noch etwas detaillierter vorgestellt.
Azure AD SSO für Webadmin login
Die Azure AD gibt es schon seit Längerem auf Sophos Central. Mit v19.5 kommt die Integration von Azure Active Directory (Azure AD) nun auf die Sophos Firewall für Single Sign-on (SSO) auf der Webadmin Konsole.
Die Azure AD-Integration ermöglicht auch eine dynamisches Rollen- und Gruppenzugriffsmanagement. Es ist also auf der Firewall eigene Rechteprofile zu erstellen oder man verwendet die bereits vorhanden und diese dann einem User auf dem Azure AD mitzugeben.
In diesem Video wird erklärt, wie man die Azure und Sophos Firewall Seite einrichtet.
Die Azure AD Integration für das Webadmin Login ist sicher ein toller Anfang. Spannend wird es dann, wenn, wenn auch Remote Access User (SSLVPN oder IPsec) und das User Portal damit funktionieren.
High Availability Verbesserungen
Auch eine wirklich gute Verbesserung gibt es für HA-Cluster. Eine kleine Erneuerung ist z. B. der Hinweis beim Erstellen des Clusters, dass die Lizenz auf der Primary Device vorhanden sein muss oder bei einem Active-Active Cluster, was wir tatsächlich nur fast nie verwenden, die Lizenz auf beiden Appliance vorhanden sein muss.
Es ist nun möglich, dass man mehrere HA-Links konfigurieren kann und dies nur noch über eine Direktverbindung, sondern auch über LAGs und VLANs.
VLAN Interfaces, lassen sich nun auch beim Interface Monitoring hinzufügen.
Die Status Page liefert jetzt wesentlich mehr wichtige Informationen. Es ist ersichtlich auf welchem Node die Lizenz aktiviert ist. Das Datum und die Uhrzeit, wann der letzte Statuswechsel des Clusters war. Man kann einen Namen vergeben und muss sich nicht mehr die Seriennummer merken.
Das Widget im Control Center ist nach oben rechts gewandert und zeigt auch mehr Informationen zum Cluster an. Der Tab-Name zeigt nun auch, auf welchem Node man sich verbindet, obschon hier lieber den Hostnamen der Firewall stehen würde, da ich mich auf dem Node2 ohnehin nie anmelde.
Auch hier gibt es ein Video, in welchem diese Verbesserungen gezeigt werden.
SD-WAN Load Balancing
Seit v19 gibt es SD-WAN und in den Profilen ist es in der neuen Version möglich ein Load balancing zu erstellen. Als Methoden gibt es Round Robin oder Session Persistence.
Round Robin
Die Verbindungen werden anhand der Gewichtung auf die ausgewählten Verbindungen verteilt. Im Screenshot ist aktuell bei beiden Gateways eine Gewichtung von 1, wodurch somit eine gleichmässige Verteile auf beide Gateways erfolgt.
Session Persistence
Bei Session Persistence kann man definieren, ob der Traffic nach Source-IP, Destination-IP, beides gleichzeitig oder per Verbindung aufgeteilt werden soll.
Diese Erneuerung gilt für das SD-WAN Profil. Man kann natürlich mehrere Profile anlegen und diese je Anforderung der Routing-Strategie anhand der Anwendung, Quelle, Ziel oder Dienst verwenden.
Mehr Performance für alle Sophos XGS Firewalls
Jede Sophos XGS Appliance hat eine Dual-Prozessor-Architektur. Sophos hat beim Marktstart der XGS-Series einige Verbindungen um das Doppelte beschleunigt, im Vergleich zur XG-Series. Es wurde angekündigt, dass mit kommenden Softwareupdates Prozesse von der CPU auf die NPU ausgelagert werden, um die Performance zu verbessern. Mit der Version 19.5 werden weitere Prozesse vom Xstream Flow Prozessor verarbeitet und dadurch beschleunigt. In diesem Release wurde dank dieser Entwicklung die Anzahl der IPsec VPN-Tunnels bei den XGS Modellen einfach mal verdoppelt.
Bei den Modellen XGS 4300, 4500, 5500 und 6500 werden TLS-verschlüsselte Verbindungen auf dem FastPath beschleunigt und somit ist die Deep-Packet-Inspection noch performanter.
Weitere kleine Verbesserungen in v19.5
OSPFv3
Die neue dynamische Routing Engine bietet Unterstützung für OSPFv3. Zu den Erneuerungen von OSPFv3 gehören unter anderem eine Unterstützung für IPv6, kleinere Header Size und für die Authentifizierung nicht mehr MD5 verwendet. OSPFv3 verzichtet vollständig auf eine eigene Unterstützung der Authentifizierung und verlässt sich stattdessen auf das flexiblere IPsec-Framework von IPv6.
Log
Die verbesserte Speicherung von Log-Dateien ermöglicht eine ausführliche Fehlersuche.
Hardware Support
Verbesserte Unterstützung von 40G-Schnittstellen mit automatischer Erkennung von erweiterten Port-Konfigurationen bei den Modellen XGS 5500 und 6500.
Der Hardware Support für die 5G-Module, welcher in der EAP aufgelistet war, ist nun in der finalen Version v19.5 nicht mehr drin. Ich vermute daher die Module kommen etwas später als erwartet.
Video zu den Erneuerungen in Sophos Firewall OS v19.5
Ihr seht schon, Sophos gibt sich mittlerweile sehr viel Mühe, die neuen Funktionen in Videos zu zeigen, was wir sehr cool finden. Oft gab es neue Funktionen, welche in den Release Notes untergingen und nur wenige mitbekommen haben. Neben den oben eingefügten Video zu einzelnen Features gibt es auch noch ein Video über Sophos Firewall 19.5 als ganzes.
Updates sind nicht mehr lange kostenlos
Vielleicht ist die Info nicht bei allen angekommen: Sophos Firewall Updates zukünftig nicht mehr kostenlos
Nun hätten wir also das erste Update seit Version 19.0 MR1 und der Zähler für die kostenlosen Updates startet bei drei. Nach der Installation, genauer gesagt beim Hochladen des neuen Firmware Images 19.5 steht er dann bei zwei.
Wenn man sich nun die Erneuerungen in diesem Update ansieht, was zugegeben ein grösseres Update ist, sieht man aber schon, dass hier viele neue Funktionen kommen, welche die Sophos Firewall wieder ein Stück besser machen. Diese Entwicklung muss bezahlt werden und wie man es von den Smartphone-Apps kennt, viele Entwickler wechseln auf das Abo Modell, um genau diese Entwicklung bezahlt zu bekommen.
Demzufolge benötigt man, wenn der Firmware Zähler dann auf null steht, eine Enhanced Support Lizenz, welche einzelnen oder in einem Lizenz-Bundle wie Standard Protection, Xstream Protection oder Epic Protection enthalten ist.
