Sophos Firewall v21.5: Neue Funktionen für Sicherheit und Benutzerfreundlichkeit
Sophos Firewall v21.5 ist da und bringt eine Fülle neuer Funktionen und Verbesserungen, die deine Netzwerksicherheit stärken und die Verwaltung vereinfachen. In diesem Blogpost stellen wir die wichtigsten Neuerungen von SFOS v21.5 vor, darunter die lang erwartete Entra ID Single Sign-On (SSO)-Integration und die leistungsstarke NDR Essentials für fortschrittliche Bedrohungserkennung. Ausserdem behandeln wir Verbesserungen in der VPN-Skalierbarkeit, im DNS-Schutz, in der Benutzeroberfläche und mehr. Lass uns eintauchen in die Neuerungen von Sophos Firewall v21.5.
Themen
Sophos NDR Essentials: Fortschrittliche Bedrohungserkennung
Network Detection and Response (NDR) ist ein zentraler Bestandteil moderner Cybersicherheit, um Bedrohungen durch Überwachung des Netzwerkverkehrs zu erkennen und darauf zu reagieren. Mit SFOS v21.5 führt Sophos NDR Essentials ein, eine cloud-basierte NDR-Lösung, die direkt in die Firewall integriert ist.
NDR Essentials nutzt künstliche Intelligenz, um Metadaten aus TLS-verschlüsseltem Datenverkehr und DNS-Abfragen zu analysieren und böswillige Aktivitäten zu erkennen, ohne den Datenverkehr entschlüsseln zu müssen. Dies schont die Leistung der Firewall und respektiert die Privatsphäre der Nutzer. Die Lösung ist für Kunden mit dem Xstream Protection Bundle kostenlos und erfordert keine zusätzliche Hardware.
Wichtige Vorteile von NDR Essentials:
- Erkennung komplexer Bedrohungen: Identifiziert ausgeklügelte Angriffe, einschliesslich solcher, die verschlüsselte Kanäle oder dynamische Domains nutzen.
- Cloud-basierte Lösung: Keine Auswirkungen auf die Firewall-Leistung, da die Analyse in der Sophos Intellix Cloud erfolgt.
- Einfache Integration: Aktivierung über das Active Threat Response-Menü der Firewall.
Wie funktioniert es?
NDR Essentials analysiert verschlüsselten Datenverkehr und DNS-Abfragen mithilfe von zwei KI-Engines: Encrypted Payload Analysis (EPA) und Domain Generation Algorithm (DGA)-Erkennung. Erkennungen werden auf einer Skala von 1 (niedriges Risiko) bis 10 (hohes Risiko) bewertet. Administratoren können einen Schwellenwert festlegen, ab dem Benachrichtigungen und Alarme ausgelöst werden. Alle Erkennungen werden protokolliert und sind in detaillierten Berichten sowohl auf der Firewall als auch in Sophos Central einsehbar.
Einrichtung:
Um NDR Essentials zu aktivieren, navigiere in Sophos Firewall v21.5 zu Active Threat Response, wähle die Registerkarte NDR Essentials und aktiviere die Funktion. Wähle die zu überwachenden Schnittstellen (z. B. solche mit hohem Internetverkehr) und lege den minimalen Bedrohungs-Score fest (Empfehlung: 9-10 für hohes Risiko).
Lizenzanforderungen:
NDR Essentials erfordert eine aktive Xstream Protection Bundle-Lizenz. Für Nicht-Kunden steht eine 30-Tage-Testversion zur Verfügung. Derzeit wird die Funktion nur auf XGS-Hardware unterstützt, nicht auf virtuellen oder Cloud-Geräten. Auch HA Active-Active-Modus wird nicht unterstützt.
Warum ist das wichtig?
NDR Essentials konzentriert sich auf Gateway-Verkehr und bietet eine „Lite“-Version im Vergleich zur vollständigen Sophos NDR, die auch internen Netzwerkverkehr überwacht. Für umfassendere Einblicke empfiehlt Sophos die vollständige NDR-Lösung oder den Managed Detection and Response-Service (Sophos MDR).
Für eine detaillierte Demonstration sehe dir das Video zu NDR Essentials an:
Entra ID Single Sign-On: Vereinfachter VPN-Zugang
Die Verwaltung von Benutzerauthentifizierungen für VPN-Zugänge kann in grossen Unternehmen komplex sein. Sophos Firewall v21.5 führt eine Single Sign-On (SSO)-Integration mit Microsoft Entra ID (ehemals Azure AD) ein, die den Zugang zum VPN-Portal und zum Sophos Connect Client erleichtert.
Diese Integration nutzt die Protokolle OAuth 2.0 und OpenID Connect, um eine nahtlose Authentifizierung zu ermöglichen. Benutzer melden sich einmal mit ihren Entra ID-Anmeldedaten an und erhalten Zugang zu VPN-Diensten, ohne erneut Anmeldedaten eingeben zu müssen.
Wichtige Funktionen:
- Unterstützung für Sophos Connect Client: Version 2.4 und höher auf Windows-Plattformen.
- Multi-Faktor-Authentifizierung (MFA): Vollständig mit Entra ID unterstützt.
- Einheitliche Konfiguration: Derselbe Entra ID SSO-Server wird für VPN-Portal, SSL-VPN und IPsec-Konfigurationen verwendet.
Einrichtung:
Um Entra ID SSO in Sophos Firewall v21.5 zu konfigurieren, richte den Authentifizierungsserver mit der Azure Application ID ein. Stelle sicher, dass die URLs für das VPN-Portal und den Remote-Zugang als Callback-URLs in Azure registriert sind. Für den Sophos Connect Client muss eine Bereitstellungsdatei importieren, die die Gateway-Einstellungen angibt. Hier ein Beispiel für eine solche Datei:
[
{
"gateway": "vpn.domain.com",
"vpn_portal_port": 443,
"check_remote_availability": false
}
]Der „gateway“-Wert muss mit der in Azure konfigurierten Callback-URL übereinstimmen, um die SSO-Funktionalität zu gewährleisten. Diese Datei aktiviert sowohl die traditionelle Anmeldung als auch die SSO-Option im Sophos Connect Client.
Warum ist die Bereitstellungsdatei notwendig?
Die Datei stellt sicher, dass der Sophos Connect Client die korrekten Gateway-Einstellungen verwendet und die SSO-Funktionalität aktiviert. Ohne diese Konfiguration könnte die Verbindung fehlschlagen oder die SSO-Option nicht angezeigt werden.
Einschränkungen:
- Die Funktion ist derzeit nur für Windows-basierte Sophos Connect Clients verfügbar.
- Benutzer, die von früheren SFOS-Versionen mit Azure AD SSO migrieren, müssen die Callback-URI für das VPN-Portal in der Azure-Anwendung hinzufügen.
Diese Funktion verbessert die Benutzererfahrung erheblich, insbesondere in Umgebungen, die bereits Entra ID für die Authentifizierung nutzen, und erhöht die Sicherheit durch MFA-Unterstützung.
VPN- und Skalierbarkeitsverbesserungen
SFOS v21.5 bringt mehrere Verbesserungen für VPN-Funktionen und Skalierbarkeit, die die Verwaltung und Leistung optimieren:
- Benutzeroberflächen-Updates: „Site-to-Site“-VPN-Verbindungen heissen nun „policy-based“, und Tunnel-Schnittstellen werden als „route-based“ bezeichnet, um die Klarheit zu erhöhen.
- Verbesserte IP-Lease-Pool-Validierung: Optimierte Überprüfungen für SSL-VPN, IPsec, L2TP und PPTP, um Konfigurationsfehler zu vermeiden.
- Strenge IPsec-Profil-Durchsetzung: Stellt sicher, dass IPsec-Verbindungen den definierten Sicherheitsrichtlinien entsprechen.
- Erhöhte Tunnelkapazität: Unterstützung für bis zu 3.000 route-based VPN-Tunnel und bis zu 1.000 Site-to-Site RED-Tunnel mit bis zu 650 SD-RED-Geräten.
Diese Verbesserungen machen die VPN-Verwaltung intuitiver und skalierbarer, insbesondere für grössere Unternehmensumgebungen.
Sophos DNS Protection: Verbesserte Integration
Sophos DNS Protection, ein „kostenloser“ Dienst für Xstream Protection-Kunden, erhält in Sophos Firewall v21.5 mehrere Updates:
- Neues Control Center Widget: Bietet einen schnellen Überblick über den Status des DNS-Schutzes.
- Verbesserte Fehlerbehebung: Neue Protokolle und Benachrichtigungen erleichtern die Problemlösung.
- Geführte Einrichtungsanleitung: Schritt-für-Schritt-Anweisungen zur einfachen Konfiguration.
Diese Ergänzungen vereinfachen die Überwachung und Verwaltung von DNS-basierten Sicherheitsannahmen direkt über die Firewall-Oberfläche.
Verwaltungsverbesserungen
Sophos Firewall v21.5 führt mehrere Verbesserungen in der Benutzeroberfläche und Verwaltung ein:
- Anpassbare Tabellenspalten: Spaltenbreiten in Tabellen (z. B. SD-WAN, NAT, SSL, Hosts, VPN) sind nun anpassbar und bleiben im Browser gespeichert.
- Erweiterte Suchfunktionen: Freitextsuche ist jetzt in SD-WAN-Routen und lokalen ACL-Regeln verfügbar, was die Navigation erleichtert.
- Änderungen in der Standardkonfiguration: Standard-Firewall-Regeln und Regelgruppen wurden entfernt, und die Standardaktion ist auf „Keine“ gesetzt, was Administratoren dazu anregt, explizite Sicherheitsrichtlinien zu definieren.
- Neue Schriftart: Eine neue Schriftart verbessert die Lesbarkeit der Benutzeroberfläche. (Das meint zumindest die Sophos, wer sich ein wenig mit Schriften auskennt und sich damit beschäftigt, sieht das vermutlich anders.)
Diese Änderungen verbessern die Benutzererfahrung und machen die Konfiguration und Verwaltung der Firewall effizienter.
Weitere Verbesserungen
SFOS v21.5 enthält eine Reihe weiterer Verbesserungen, die die Flexibilität und Sicherheit erhöhen:
- Lizenz-Updates: Virtuelle, Software- und Cloud-Lizenzen haben keine RAM-Beschränkungen mehr; stattdessen sind sie durch die Anzahl der Kerne begrenzt.
- WAF-Dateigrössenlimit: Die Web Application Firewall unterstützt nun konfigurierbare Dateigrössenlimits bis zu 1 GB, nützlich für grössere Uploads.
- Sicherheitstelemetrie: Echtzeitüberwachung von Änderungen an Kernbetriebssystemdateien mithilfe sicherer Hash-Validierung zur Erkennung unbefugter Änderungen.
- DHCP-Verbesserungen: Unterstützung für grössere IPv6-Präfixe (/48 bis /64), mit standardmäßig aktiviertem Router Advertisement (RA) und DHCPv6.
- Path MTU Discovery: Verbessert, um TLS-Entschlüsselungsfehler zu beheben, insbesondere für fortschrittliche kryptografische Methoden wie ML-KEM.
- NAT64-Unterstützung: Ermöglicht die Übersetzung von IPv6- zu IPv4-Verkehr im expliziten Proxy-Modus, was die IPv6-Einführung erleichtert.
Diese Updates tragen zu einer flexibleren, sichereren und effizienteren Firewall-Lösung bei.
Schlusswort
Sophos Firewall v21.5 bietet bedeutende Fortschritte in der Bedrohungserkennung mit NDR Essentials und vereinfacht den Benutzerzugang mit Entra ID SSO. Zusammen mit Verbesserungen in der VPN-Skalierbarkeit, Verwaltung und Sicherheitsfunktionen ist SFOS v21.5 ein robustes Upgrade für Unternehmen, die ihre Netzwerksicherheit stärken möchten. Die Xstream Protection Lizenz bietet hier langsam immer mehr Gegenwert als zum Zeitpunkt, an welchem die Lizenz eingeführt wurde.
SFOS v21.5 ist aktuell noch in der EAP also Beta, und bislang nicht für den produktiven Einsatz geeignet.
