Sophos SFOS v18 - Neue Funktionen im Überblick

Die Sophos Firewalls mit SFOS erhalten demnächst wieder ein grösseres Update auf SFOS v18. Wir haben die Beta bereits produktiv im Einsatz. In diesem Artikel erfahren Sie, welche Funktionen die neue Version mit sich bringt und wie sie sich im Alltag bewährt.

Tests im Livebetrieb

Wir testen die Beta nicht auf einem isolierten Testgerät in einer Laborumgebung, sondern direkt im produktiven Betrieb. Zusätzlich setzen ausgewählte Kunden mit über 650 Benutzern die Version ein, damit wir möglichst umfassende Erkenntnisse zur neuen Version sammeln können. In diesem Beitrag übernehmen wir daher nicht einfach Inhalte aus dem offiziellen Infomaterial von Sophos, sondern berichten über SFOS v18 EAP1 und EAP2 auf Basis mehrwöchiger Praxiserfahrungen. Entsprechend ausführlich fällt dieser Artikel aus, da wir viele Funktionen im Detail beleuchten. Beginnen wir mit der Xstream-Architektur.

Xstream-Architektur

Ein besonderes Highlight von v18 ist die neue Paketverarbeitungsarchitektur. Sie sorgt für mehr Performance, höhere Sicherheit und deutlich bessere Sichtbarkeit bei verschlüsseltem Datenverkehr. Mit v18 hat sich in diesem Bereich wirklich sehr viel getan.

Info: Das „X“ in „Xstream“ steht für Next Generation, und „Stream“ für die neue DPI Engine, eine streamingbasierte Scanning-Lösung.

Xstream SSL/TLS Inspection

Über SSL Inspection – häufig auch „SSL Scanning“ oder „HTTPS Scanning“ genannt – haben wir bereits berichtet: HTTPS-Scanning: Warum es auf der Sophos aktiviert sein sollte

Kurz zusammengefasst: HTTP-Traffic kann die Firewall problemlos prüfen, da er unverschlüsselt ist. HTTPS-Traffic muss hingegen zuerst aufgebrochen werden, bevor die Firewall ihn analysieren kann. Das Problem war bisher, dass der Web-Proxy nur HTTPS-Datenverkehr entschlüsseln konnte, der über Port 443 lief. Nutzte der Traffic einen anderen Port, z. B. https://www.example.com:8000, blieb die Firewall blind.

Mit v18 ist die Firewall wieder für aktuelle Technologien gerüstet und kann sowohl SSL- als auch TLS-1.3-Traffic prüfen – unabhängig davon, über welche Ports oder Protokolle der Datenverkehr läuft. 🤩 Unter der Haube waren dafür umfangreiche Architekturänderungen nötig, die glücklicherweise ohne zusätzlichen Aufwand für Administratoren einhergehen.

Zentral sind hierbei ein Decryption Profile, das wiederum an eine SSL/TLS Inspection Rule gekoppelt wird. Diese Regel definiert, welcher Traffic geprüft werden soll.

Wichtig ist zu verstehen, dass die neue DPI Engine in direkter Konkurrenz zum bisherigen Web Proxy steht. Der Web Proxy ist für HTTP-/HTTPS-Traffic, Web-Policies und Content-Scanning zuständig; diese Aufgaben kann alternativ die neue DPI Engine übernehmen.

Bei einem Upgrade von Version 17.5 auf 18.0 werden die Web-Proxy-Einstellungen übernommen. Wer die DPI Engine nutzen möchte, muss jedoch einige Anpassungen vornehmen: Es wird eine SSL/TLS Inspection Rule konfiguriert und der Web Proxy in den Firewall-Einstellungen deaktiviert.

Sophos SFOS v18 Firewall Regel - Sicherheitseinstellungen

Es gibt nur wenige Gründe, nicht auf die neue DPI Engine zu setzen. Dennoch bietet der Web Proxy einige Funktionen, die in der DPI Engine (noch) nicht zur Verfügung stehen – darunter beispielsweise SafeSearch für Suchmaschinen oder YouTube, Caching oder Pharming Protection. Bei allen Firewalls, die wir verwalten, können wir jedoch problemlos auf diese Zusatzfunktionen verzichten, weshalb die DPI Engine bei uns sicher zum Einsatz kommen wird.

Das folgende Video von Sophos gibt Ihnen eine kompakte Einführung in die Xstream DPI Engine und hilft bei der Entscheidung, wann Sie die DPI Engine im Vergleich zum klassischen Web Proxy einsetzen sollten:

Xstream Network Flow FastPath

Viele Administratoren kennen das Problem, dass die Firewall den Traffic spürbar ausbremst und sich bestimmte Prozesse dadurch langsamer anfühlen. Durch die neue Architektur gibt es nun den sogenannten FastPath. Er ermöglicht es der Firewall, unkritischen Datenverkehr direkt an den Kernel auszulagern und so die Performance deutlich zu steigern.

Sophos SFOS v18 xStream Architecture Fastpath

Der Traffic durchläuft zunächst den Firewall Stack. Dort wird geprüft, ob eine passende Firewall-Regel vorhanden und der Datenverkehr überhaupt erlaubt ist. Wird der Traffic beispielsweise von der IPS geprüft, läuft er zunächst durch die DPI Engine. Sobald die IPS-Engine den Traffic als unbedenklich einstuft, kann er auf den FastPath ausgelagert und direkt über den Kernel weitergeleitet werden.

Beim Blick auf die Architektur-Grafik stellt sich natürlich die Frage, wie das in der Praxis genau funktioniert. Ob der Traffic grundsätzlich erlaubt ist, lässt sich relativ schnell feststellen – dieser Schritt muss nicht für jedes Paket derselben Quelle und desselben Ports wiederholt werden. Aber woran erkennt die DPI Engine, wann der Traffic auf den FastPath verschoben werden kann? Wenn beispielsweise SSL/TLS-Scanning aktiviert ist, ist dies nicht möglich, da der Datenverkehr sonst nicht mehr geprüft würde. Bei IPS oder Applikationskontrolle hingegen wird mit bekannten Listen gearbeitet, auf deren Basis entschieden werden kann, ob ein Datenstrom als unbedenklich gilt.

Threat Intelligence Analysis

Wenn das Modul Sophos Sandstorm für die Firewall lizenziert ist, werden Dateien bereits in einer Sandbox geprüft, bevor sie heruntergeladen werden. Wer mehr über Sophos Sandstorm erfahren möchte, kann sich das Sophos-Sandstorm-PDF mit FAQs ansehen. Dank SSL/TLS Inspection erhält die Firewall tiefere Einblicke in den Datenverkehr und kann Web-Downloads noch genauer kontrollieren. Zusätzlich besteht weiterhin der Endpoint-Schutz als letzte Verteidigungsebene.

Mit v18 ergänzt die neue Threat Intelligence Analysis das bestehende Sandstorm-Modul. Während Sophos Sandstorm Web-Downloads oder E-Mail-Anhänge analysiert, prüft die Threat Intelligence Dateien mithilfe von Machine Learning. Zudem kommt die Analyse der SophosLabs zum Einsatz, die auch bei Sophos Intercept X mit EDR verwendet wird.

Analog zu EDR wird ein detaillierter Analysebericht erstellt. In SFOS v18 EAP2 sieht ein solcher Bericht beispielsweise wie folgt aus:

Sophos SFOS v18 Intelligence Analysis-Threat-o-Meter

Der etwas hübschere Bericht steht erst ab EAP3 zur Verfügung.

Enterprise NAT

Neben der Xstream-Architektur wurden auch die NAT-Regeln grundlegend überarbeitet. Bis Version 17.5 gab es den Menüpunkt „Firewall“, unter dem sämtliche Firewall-Regeln, NAT-Regeln und WAF-Regeln zusammengefasst waren. In einer Firewall-Regel konnte man unter anderem das ausgehende Interface beziehungsweise die ausgehende IP für den Traffic definieren.

Sophos SFOS v17.5 Firewall-Regel erstellen

Mit v18 werden die NAT-Regeln in einem eigenen Tab verwaltet, was das Management deutlich flexibler macht.

Auf diese Änderung haben viele Kunden gewartet: So lassen sich jetzt beispielsweise alle DNS- oder NTP-Anfragen an öffentliche Server unterbinden und stattdessen an einen internen Server weiterleiten. Damit steht auch eine Lösung für diejenigen bereit, die auf der XG den NTP-Server vermissen, der in der UTM noch integriert war.

Das Thema NAT wird zudem in folgendem Video erläutert:

Firewall-Regelmanagement

Mit jeder neuen Hauptversion verbessert Sophos den Umgang mit Firewall-Regeln. In v18 können nun mehrere Firewall-Regeln gleichzeitig markiert werden, um sie zu löschen, zu aktivieren oder zu deaktivieren beziehungsweise sie einer Gruppe hinzuzufügen oder aus einer Gruppe zu entfernen. Zudem sind die Firewall-Regeln nun nummeriert, sodass die Gesamtanzahl sofort ersichtlich ist. Die Rule-ID bleibt weiterhin unverändert. Außerdem wurde der Menüpunkt „Firewall“ in „Rules and policies“ umbenannt.

Sophos SFOS v18 Firewall-Regeln Übersicht

Neu können Filter gesetzt werden, was die Suche nach bestimmten Regeln erheblich vereinfacht. Der Filter bleibt auch dann erhalten, wenn man zwischen Menüpunkten wechselt und anschließend zum Regelwerk zurückkehrt.

Wer gehofft hat, dass Sophos nun auch Regelgruppen nach dem Speichern einer Regel geöffnet lässt, den muss ich leider enttäuschen. Hier hat sich nichts geändert. 😖

Eine häufig gewünschte Funktion ist ebenfalls hinzugekommen: Der Zähler für den durch eine Firewall-Regel verarbeiteten Traffic kann wieder auf null gesetzt werden.

Sophos SFOS v18 Firewall-Regeln Einstellungen

Beim Erstellen einer neuen Firewall-Regel besteht jetzt die Möglichkeit, die Regel zunächst deaktiviert anzulegen.

Zudem lassen sich in Firewall-Regeln nun Ausschlüsse definieren. Das hilft, das Regelwerk schlank zu halten und unnötige zusätzliche Regeln zu vermeiden.

Sophos SFOS v18 Firewall Regeln Ausschlüsse

Log Viewer

Wer den Artikel 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM gelesen hat, weiss, wie hilfreich der Log Viewer ist. Auch in der neuen Version erhält das Tool ein paar neue hilfreiche Funktionen.

Mit einem Klick auf einen Eintrag im Log Viewer kann direkt ein Filter gesetzt, eine SSL/TLS-Ausnahme definiert oder eine IPS-, Application-Control- oder Webfilter-Richtlinie angepasst werden.

Alerts und Notifications

Unter „Administration“ > „Notification settings“ konnten bislang nur zwei Optionen für E-Mail-Benachrichtigungen aktiviert werden:

IPsec tunnel up/down
Email alert notifications

Wenn eine RED nicht erreichbar war oder ein Benutzer zu häufig ein falsches Passwort eingegeben hat, gab es bislang keine Möglichkeit, sich benachrichtigen zu lassen.

Verbesserungen: Appliances lassen sich jetzt schneller und einfacher zu einem Cluster zusammenfassen. Zudem ist ein Rollback der Firmware möglich.

SNMPv3-Support: Deutlich bessere Sicherheit im Vergleich zu SNMPv1 und SNMPv2 – sofern man bei den ersten beiden Versionen überhaupt von „Sicherheit“ sprechen konnte. Das MIB-File steht wie gewohnt zum Download bereit.
Namensänderung von Interfaces: Bisher waren die Schnittstellen mit Port1, Port2 usw. benannt, ohne dass sich dies ändern liess. In v18 können diese Namen nun angepasst werden. IPsec, IPS, Wireless-Netzwerke usw. lassen sich allerdings weiterhin nicht umbenennen.
GeoIP-Datenbank-Updates: Die Länder-IP-Datenbank kann jetzt unabhängig von Firmware-Updates aktualisiert werden.
VMware-Tools-Upgrade: Die VMware Tools liegen nun in Version v10.3.10 vor und unterstützen auch den Site Recovery Manager (SRM).

Upgrade auf SFOS v18

Voraussetzungen

Ist Ihre Neugier geweckt, auf v18 zu aktualisieren? Wenn Sie bereits eine XG Firewall oder eine SG mit SFOS im Einsatz haben, benötigen Sie mindestens Version v17.5 MR6, um auf v18 wechseln zu können. Ein Rollback wird wie gewohnt unterstützt. Sollte mit v18 etwas nicht wie erwartet funktionieren, können Sie jederzeit zur vorherigen Version zurückkehren.

SG zu XG

Wenn Sie noch eine UTM-Firewall einsetzen, können Sie ebenfalls auf SFOS wechseln. Eine entsprechende Anleitung finden Sie hier: Sophos XG Firewall OS auf einer SG Appliance installieren

Benötigen Sie Unterstützung bei der Migration, stehen wir Ihnen gerne zur Verfügung. Wir haben bereits zahlreiche UTM-Systeme erfolgreich abgelöst. 😎

XG 85 und XG 105

Für die Installation von v18 werden mindestens 4 GB RAM benötigt. Die kommende SFOS-Version wird daher nicht mehr auf einer XG 85 oder XG 105 lauffähig sein. Wer auf eigene Hardware setzt und dort noch 2 GB RAM verbaut hat, steht vor demselben Problem. Cyberoam wird ebenfalls nicht mehr unterstützt.

Besitzer einer XG 85 oder XG 105 sollten einen Blick auf die Nachfolgemodelle werfen: Sophos XG 86 und XG 106. Aktuell läuft noch bis zum 30.09.2020 eine Aktion von Sophos, bei der Sie beim Renewal 50 % auf die neue Hardware sparen können.

Sophos Central Firewall Reporting and Management

Zu diesem Thema gibt es einen separaten Blogpost: Sophos Central Firewall Management – Funktionen mit SFOS v18

FAQ

Wann ist die GA (Final Version) verfügbar?

Wenn alles nach Plan läuft und die Betaversionen keine grösseren Probleme verursachen, ist mit der v18 im Q1 2020 zu rechnen.

Wo bleibt die neue Hardware?

Es wurde bereits mehrfach über den Hardware-Nachfolger der XG-Firewall berichtet. Aktuell ist jedoch noch kein Release-Datum geplant und frühestens in der zweiten Jahreshälfte 2020 damit zu rechnen.

Kommt Let's Encrypt?

Nein 😖, zumindest noch nicht in v18.

Mehr Informationen

XG Firewall: What’s New in v18