Sophos Firewall v22 WebAdmin Login Page

Sophos Firewall v22 MR1: Überblick und alle neuen Features

Sophos Firewall v22 MR1 baut auf der mit v22 eingeführten Secure-by-Design-Strategie auf und erweitert sie um zusätzliche Telemetrie, kuratierte NDR-Erkennungen aus dem Taegis-Umfeld und ein paar Detailverbesserungen bei VPN, SSO und Storage. Dazu kommt mit Sophos Firewall Config Studio V2 ein eigenständiges Tool, das Konfigurationsanalyse und -vergleich deutlich vereinfacht.

Secure by Design: erweiterter XDR Linux-Sensor

Mit v22 hat Sophos den XDR Linux-Sensor auf der Firewall eingeführt, um Manipulationen am System – etwa an Konfigurationsdateien oder kritischen Prozessen – frühzeitig zu erkennen. SFOS v22 MR1 erweitert den Sensor um die Erkennung von interaktiven Shells und Reverse Shells. Versucht ein Angreifer, sich nach einem Einbruch eine kontrollierende Sitzung auf die Firewall zu legen, wird die zugehörige TCP- oder UDP-Kommunikation zum Command-and-Control-Server blockiert. Neu wird dieser Sensor zudem auf der gesamten XGS-Serie aktiviert – nicht mehr nur auf einzelnen Modellen.

Reverse-Shell-Erkennung gehört seit Jahren zum Standard auf Endpoints. Dass dieselbe Logik nun auch auf der Firewall selbst läuft, ist konsequent und wichtig. Eine kompromittierte Firewall ist im Worst Case ein Generalschlüssel ins Netzwerk – jede zusätzliche Erkennungsschicht direkt am Gerät ist dort sinnvoller als jede nachgelagerte Korrelation.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integriert die iSensor-IPS-Technologie aus der SecureWorks-Taegis-Plattform. Die so kuratierten Erkennungsmuster ergänzen das klassische IPS-Signaturset um Pattern, die auf aktive Angreifer im Netzwerk ausgerichtet sind – also auf Lateral Movement, C2-Kommunikation und vergleichbare Aktivitäten nach einem initialen Einbruch.

Aktivieren lässt sich das Set unter Active threat response > NDR. Anschliessend muss in den Firewall-Regeln der entsprechende Haken bei den IPS-Settings gesetzt werden, damit die neuen Detektionen auch greifen. Für XDR- und MDR-Analysten bedeutet das mehr Kontext und kürzere Untersuchungswege, weil die Erkennungen direkt auf bekannte Adversary-TTPs aus der Taegis-Datenbasis zielen.

NDR Essentials für alle Plattformen

Eine seit v21.5 immer wieder gestellte Frage: Wann unterstützt NDR Essentials auch virtuelle und Cloud-Firewalls? Mit v22 MR1 ist das soweit – NDR Essentials läuft jetzt auf allen Sophos-Firewall-Plattformen, also XGS-Hardware, virtuellen Appliances, Cloud-Deployments und Software-Installationen. Damit fällt die letzte grosse Einschränkung weg, die bisher virtuelle Setups vom NDR-Schutz ausgeschlossen hat.

Das ist die logische Fortsetzung der CPU-orientierten Architektur aus v22. Wer auf VMware, Hyper-V oder einem Hyperscaler eine Sophos Firewall betreibt, war beim Thema NDR Essentials bisher aussen vor – diese Lücke ist nun geschlossen.

Audit Trail mit Sophos Central User-Identität

Wenn eine einzelne Firewall über Sophos Central konfiguriert wird, protokolliert SFOS v22 MR1 jetzt zusätzlich, welcher Sophos-Central-Benutzer die Änderung ausgelöst hat. Bisher war im Audit Trail oft nur der generische Central-Account sichtbar. Mit der neuen Variante lässt sich nachvollziehen, welche Person hinter einer Konfigurationsänderung steht – auch wenn diese nicht direkt am Webadmin der Firewall vorgenommen wurde. Die Information erscheint sowohl im Log Viewer der Firewall als auch in den Logs und Reports von Sophos Central.

Das ist insbesondere für NIS2-pflichtige Organisationen relevant, weil dort die Nachvollziehbarkeit administrativer Eingriffe explizit gefordert wird. In MSP-Umgebungen mit mehreren Technikern auf demselben Tenant ist es ohnehin ein längst überfälliges Detail.

VPN-Stabilität und Retirement Legacy IPsec

SFOS v22 GA hatte bei policy-based IPsec-VPNs eine Reihe von Stabilitätsproblemen, die in MR1 adressiert wurden. Konkret wurden unter anderem die internen Tickets NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 und NC-176083 behoben. Wer mit v22 GA produktiv unterwegs war und bei policy-based Tunnels Aussetzer oder Verbindungsabbrüche bemerkt hat, sollte nach dem Update gezielt prüfen, ob die Tunnel jetzt stabil laufen.

Gleichzeitig wird das Legacy Remote Access IPsec VPN mit v22 MR1 endgültig abgekündigt. Firewalls, die noch auf diese alte IPsec-Variante setzen, lassen sich nicht auf v22 MR1 oder neuer aktualisieren. Wer betroffen ist, muss vorgängig auf die aktuelle Remote-Access-IPsec-Konfiguration migrieren – Sophos hat dazu einen eigenen KB-Artikel veröffentlicht.

In der Praxis ist die Mehrzahl der bestehenden Setups längst auf der neuen Variante oder auf SSL VPN. Dennoch lohnt sich vor dem Upgrade ein kurzer Check der Konfiguration – das Update bleibt sonst stehen.

Sophos Connect 2.0 für macOS

Mit Sophos Connect 2.0 für macOS lassen sich neu auch SSL-VPN-Verbindungen für Remote Access aufbauen. Bisher war SSL VPN über Sophos Connect ein Windows-Privileg, macOS-Nutzer mussten auf IPsec ausweichen oder Drittanbieter-Clients nutzen. Damit gleicht sich das Feature-Set zwischen den beiden Client-Plattformen weiter an. Details und unterstützte macOS-Versionen finden sich in den Sophos Connect Release Notes.

Microsoft Entra ID SSO: erzwungene Re-Evaluierung

Bisher konnte eine bestehende SSO-Session unter bestimmten Bedingungen wiederverwendet werden, ohne dass die Conditional Access Policies in Entra ID neu geprüft wurden. Das öffnete im schlimmsten Fall einen Pfad, MFA-Anforderungen zu umgehen, wenn die Session-Cookies noch gültig waren. SFOS v22 MR1 erzwingt nun bei Sitzungs-Reuse eine erneute Prüfung der Conditional Access Policies. Das ist ein klassischer Sicherheitsfix – wenig sichtbar, aber wichtig für Umgebungen, die Entra ID als zentrale Identity-Quelle einsetzen und sich auf MFA verlassen.

SSD-Schonung und Wi-Fi MTU

Zwei kleinere, aber sinnvolle Detailverbesserungen:

  • SSD-Lebensdauer: Schreibvorgänge auf die interne SSD wurden optimiert. Das wirkt sich primär auf Geräte mit hohem Logging-Aufkommen aus und verlängert die Nutzungsdauer der Hardware.
  • Wi-Fi MTU/MSS: Über die bestehenden CLI-Befehle lassen sich nun auch MTU- und MSS-Werte für Wi-Fi-Interfaces anpassen. In Umgebungen mit überlagerten Tunneln oder problematischen Pfaden im WLAN-Backhaul ein willkommenes Werkzeug.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (vorher: Sophos Firewall Configuration Viewer) ist ein browserbasiertes Tool, das deutlich mehr leistet als sein Vorgänger. Es erlaubt drei zentrale Workflows:

  • Configuration Report: Alle Regeln, Policies und Einstellungen einer Firewall lassen sich in einem konsolidierten Bericht anzeigen. Praktisch für Audits, Übergaben oder das Onboarding neuer Admins.
  • Configuration Compare: Zwei Konfigurationen lassen sich direkt vergleichen. Hinzugefügte, geänderte, entfernte und unveränderte Einträge werden visuell hervorgehoben. Das ist genau das Werkzeug, das bei Change-Reviews oder Troubleshooting nach einem Migrations-Schritt fehlt, wenn man die Firewall nicht im laufenden Betrieb auseinandernehmen möchte.
  • Configuration Editor: Konfigurationen lassen sich direkt im Tool bearbeiten oder importieren. Anschliessend kann man sie wieder zurück in die Firewall laden oder als API- bzw. curl-Snippet exportieren – etwa um Änderungen automatisiert auszurollen.

Ein Konfigurations-Diff direkt im Browser ist eine seit Jahren gewünschte Funktion. Wer schon einmal versucht hat, zwei Sophos-Backups manuell gegeneinander zu lesen, weiss, warum dieses Tool ein echter Fortschritt ist. Spannend wird sein, wie stabil der Editor bei grossen Konfigurationen läuft und wie gut der API-Export sich in bestehende Automatisierungs-Pipelines einfügen lässt.

Aufrufen lässt sich das Tool über docs.sophos.com.

Aktualisierter CIS Benchmark für v22

Der mit v22 eingeführte Health Check basiert auf den CIS-Benchmarks. Die zugrundeliegenden Benchmarks wurden für v22 aktualisiert und stehen auf der CIS-Webseite zum Download bereit. Wer den Health Check als Teil interner Audits nutzt, sollte die neue Version als Referenz heranziehen.

Kompatibilität und Hinweise

  • Legacy Remote Access IPsec VPN: Wird mit v22 MR1 abgekündigt. Migration auf die aktuelle Remote-Access-IPsec-Konfiguration ist Voraussetzung für das Upgrade.
  • Upgradepfade: SFOS v22 MR1 lässt sich von allen unterstützten Versionen v21.5, v21 und v20 aus aktualisieren. Sophos Central kann das Upgrade planen und steuern.
  • Backup vor Upgrade: Wie immer vor dem Update ein vollständiges Backup ziehen und einen Rollback-Plan bereithalten.
  • Hotfix-Mechanismus: Sicherheitsrelevante Patches kommen weiterhin als Over-the-Air-Hotfix ohne Downtime. Maintenance-Releases bündeln aber zusätzlich nicht-kritische Fixes – ein Upgrade lohnt sich also auch ohne akuten Anlass.

Fazit

Sophos Firewall v22 MR1 ist ein solides Maintenance-Release. Die wichtigsten Punkte aus unserer Sicht: die VPN-Stabilitätsfixes für policy-based IPsec, die ausgeweitete NDR-Essentials-Unterstützung auf virtuelle Plattformen und der neue Audit Trail mit Sophos-Central-User-Identität. Reverse-Shell-Erkennung auf der Firewall selbst und die kuratierten iSensor-Detektionen aus dem Taegis-Umfeld passen gut in die Linie, die Sophos mit v22 eingeschlagen hat – die Firewall wird Stück für Stück zu einer Sensor-Plattform, die Telemetrie liefert und nicht nur Pakete filtert.

Was uns weiterhin fehlt, hat sich seit v22 nicht verändert: das Klonen und Gruppieren von NAT-Regeln. Die vor rund einem Jahr formulierten Wünsche sind teilweise umgesetzt, der Rest steht weiter auf der Liste. Vielleicht im nächsten MR oder spätestens in v23. Aber vielleicht verfolgt Sophos ab jetzt auch die Strategie, alles in das Sophos Firewall Config Studio auszulagern, und die Firewall bleibt, wie sie ist.

Mehr Informationen

Avanet
Avanet

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.