Zum Inhalt springen
Avanet
Sophos SFOS v19 EAP1 - Alle Neuerungen im Überblick

Sophos SFOS v19 EAP1 - Alle Neuerungen im Überblick

Noch im Dezember ist es möglich, sich das Update für SFOS v19 EAP1 herunterzuladen. In diesem Post gebe ich euch einen Überblick, welche neuen Funktionen in der EAP1 enthalten sind.

Achtung! Kommende Neuerungen werden euch vermutlich dazu verleiten, das SFOS v19 EAP1 auf eurer Firewall zu installieren. Unter den neuen Funktionen sind einige, auf die wir schon lange warten, und die Ungeduld, dieses Release zu installieren, kann gross sein.

EAP – Early Access Program

Was bedeutet eigentlich EAP und sollte man eine solche Version auf einer produktiven Firewall installieren? An sich spricht nichts dagegen, denn eine EAP-Version wird auch von Sophos supportet. Die Version gilt mehrheitlich als stabil und wurde auch weitgehend getestet. Trotzdem ist eine EAP-Version nicht so stabil wie ein MR-Release, auf das man in der Firewall direkt aufmerksam gemacht wird. Eine EAP-Version muss zur Installation hingegen manuell von der Sophos-Webseite heruntergeladen werden. Man sollte EAPs somit eher vorsichtig einsetzen und nicht gleich auf jeder Umgebung installieren. Die finale SFOS v19 erscheint dann etwa im Q2 2022.

Suche

Suchfenster in der Navigation

Die Navigation im kommenden SFOS v19 wird eine Suchleiste enthalten, mit der man nach Konfigurationsbereichen suchen kann. Dies ist sicherlich für UTM-Umsteiger eine Hilfe. Aber auch bestehende SFOS-Admins kann dies unterstützen, da Sophos in den letzten Versionen auch Änderungen an der Navigation durchgeführt hat.

Neue Suchleiste in der Navigation
Eine Suchleiste in der Navigation erleichtert das Finden von gewünschten Einstellungen.

Die Suche soll tatsächlich auch „mitdenken“ und intelligente Vorschläge machen. Wenn man z. B. nach „Multipath“ sucht, wie es auf der UTM früher hiess, wird einem SD-WAN vorgeschlagen. 🙂

Objektsuche 🔥🔥🔥

Die Objektsuche wurde stark verbessert. 🙏 Endlich! Für mich persönlich mit Abstand das heisseste Feature in der v19. Das behaupte ich bereits jetzt, auch wenn ich noch nicht ganz alle Funktionen kenne, die noch kommen werden.

Bis anhin musste man bei der Suche nach einem Objekt genau wissen, wie der Name anfängt. Bei Firewalls, die wir selbst eingerichtet haben, halten wir uns hierfür natürlich an ein Schema, z. B. „IP + Hostname“. Wenn wir jedoch auf einer Firewall etwas konfigurieren sollten, die wir nicht eingerichtet haben, war es unglaublich mühsam. Dazu mussten wir häufig die Firewall-Regel verlassen, nach dem Objekt suchen, uns den Namen merken, zurück in die Firewall-Regel und alles von Neuem erstellen. Wenn mehrere Admins auf dem gleichen System gearbeitet haben, kam es auch schon vor, dass doppelte Objekte erstellt wurden.

Um den Unterschied besser zu verstehen, schaut euch die folgende Grafik an. So sah es bisher in der Version 18.5 und früheren Versionen aus:

SFOS v18.5 Objektsuche

Mit der neuen Volltext-Objektsuche in der Version 19 wird nun vieles einfacher. Auch kleine UI-Verbesserungen sind mir aufgefallen. Es werden mehr Objekte angezeigt und die unnötigen Links, die ohnehin nicht funktioniert haben, wurden entfernt.

SFOS v19 Objektsuche
So sieht die Objektsuche nun im SFOS v19 aus.
SFOS v19 Netzwerkobjekt suchen

Es ist ebenfalls möglich, direkt nach einem Port zu suchen, auch wenn dieser nicht im Namen steht.

SFOS v19 Serviceobjekt suchen

VPN

Im Menü gibt es neu keinen VPN-Punkt mehr, stattdessen wurden die Einstellungen in zwei Kategorien eingeteilt:

  • Remote Access VPN
  • Site-to-Site VPN

Bessere VPN-Logs im Logviewer

Für das Troubleshooting von SSL-VPN, IPsec oder RED findet man neu wesentlich mehr Informationen im Logviewer, ohne gleich die Logs auf der Konsole zu prüfen.

AES-GCM

Neu hinzugekommen ist die Verschlüsselung „AES-GCM“ für SSL-VPN und IPsec-VPN. AES-GCM ist ein authentifizierter Verschlüsselungsmodus, der im Gegensatz zum bisher verwendeten AES-CBC mehr Performance bringt.

SD-WAN-SLA-Profile

Die SD-WAN-Funktionalität erlaubt das Handling mehrerer WAN-Anbindungen.

  • Netzwerke, IPs oder User anhand von Ports oder Applikationen über verschiedene WAN-Verbindungen leiten

Mit SFOS v19 lässt sich nicht nur die Verfügbarkeit des Anschlusses prüfen, sondern neu auch dessen Qualität. Hierfür kann man eines der drei vordefinierten Profile verwenden oder eigene erstellen.

SFOS v19 SD-WAN-SLA-Profile

Damit lassen sich dann auch Regeln definieren wie beispielsweise: Wenn die Latenz bei Leitung 1 zu hoch ist, dann verwende für den Datenverkehr, z. B. VoIP, eine andere Leitung (sofern diese natürlich eine geringere Latenz hat).

SFOS v19 SD-WAN-Leistungs-Chart

In der Diagnose sieht man dann auch die gesammelten Leistungswerte als Chart dargestellt.

Patrizio

Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.