Startseite » Blog » Sophos Firewall » Sophos SFOS v19 EAP1 – Alle Neuerungen im Überblick
Sophos Firewall Update - SFOS v19 EAP1

Sophos SFOS v19 EAP1 – Alle Neuerungen im Überblick

Noch im Dezember ist es möglich, sich das Update für SFOS v19 EAP1 herunterzuladen. In diesem Post gebe ich euch einen Überblick, welche neuen Funktionen in der EAP1 enthalten sind.

Achtung! Kommende Erneuerungen werden euch vermutlich dazu verleiten, die SFOS v19 EAP1 auf eurer Firewall zu installieren. Unter den neuen Funktionen sind einige Erneuerungen, auf die wir schon lange warten und die Ungeduld, dieses Release zu installieren, kann gross sein.

EAP – Early Access Program

Was bedeutet eigentlich EAP und sollte man eine solche Version auf einer produktiven Firewall installieren? An sich spricht nichts dagegen, denn eine EAP-Version wird auch von Sophos supportet. Die Version gilt mehrheitlich als stabil und wurde auch weitgehend getestet. Trotzdem ist eine EAP-Version nicht so stabil, wie ein MR Release, auf den man in der Firewall direkt aufmerksam gemacht wird. Eine EAP-Version muss zur Installation hingegen manuell von der Sophos-Webseite heruntergeladen werden. Ich würde EAPs somit eher vorsichtig einsetzen und nicht gleich auf jeder Umgebung installieren. Die finale SFOS v19 erscheint dann etwa im Q2 2022.

Suche

Suchfenster in der Navigation

Die Navigation im kommenden SFOS v19 wird eine Suchleiste enthalten, mit der man nach Konfigurationsbereichen suchen kann. Dies ist sicherlich für UTM-Umsteiger eine Hilfe. Aber auch bestehende SFOS-Admins kann dies unterstützen, da Sophos in den letzten Versionen auch mal Änderungen an der Navigation durchgeführt hat.

Die Suche soll tatsächlich auch „mitdenken“ und intelligente Vorschläge machen. Wenn man z. B. nach „Multipath“ sucht, wie es auf der UTM früher hiess, wird einem SD-WAN vorgeschlagen. 🙂

Objektsuche 🔥🔥🔥

Die Objektsuche wurde stark verbessert. 🙏 Endlich! Für mich persönlich mit Abstand das heisseste Feature in der v19. Das behaupte ich bereits jetzt, auch wenn ich noch nicht ganz alle Funktionen kennen, welche noch kommen werden.

Bis anhin musste man bei der Suche nach einem Objekt genau wissen, wie der Name anfängt. Bei Firewalls, welche wir selbst eingerichtet haben, halten wir uns hierfür natürlich an ein Schema z. B. „IP + Hostname“. Wenn wir jedoch auf einer Firewall etwas konfigurieren sollten, welche wir nicht eingerichtet haben, war es unglaublich mühsam. Dazu mussten wir häufig die Firewallregel verlassen, nach dem Objekt suchen, sich den Namen merken, zurück in die Firewallregel und alles von Neuem erstellen. Wenn mehrere Admins auf dem gleichen System gearbeitet haben, kam es auch schon vor, dass doppelte Objekte erstellt wurden.

Um den Unterschied besser zu verstehen, schaut euch die folgende Grafik an. So sah es bisher in der Version 18.5 und früheren Versionen aus:

Mit der neuen Volltext-Objektsuche in der Version 19 wird nun vieles einfacher. Auch kleine UI-Verbesserungen sind mir aufgefallen. Es werden mehr Objekte angezeigt und die unnötigen Links, welche ohnehin nicht funktioniert haben, wurden entfernt.

Es ist ebenfalls möglich, direkt nach einem Port zu suchen, auch wenn dieser nicht im Namen steht.

VPN

Im Menü gibt es neu keinen VPN-Punkt mehr, stattdessen wurden die Einstellungen in zwei Kategorien eingeteilt:

  • Remote Access VPN
  • Site-to-Site VPN

Bessere VPN-Logs im Logviewer

Für das Troubleshooting von SSL-VPN, IPsec oder RED findet man neu wesentlich mehr Informationen im Logviewer, ohne gleich die Logs auf der Konsole zu prüfen.

AES-GCM

Neu hinzugekommen ist die Verschlüsselung „AES-GCM“ für SSL-VPN und IPsec-VPN. AES-GCM ist ein authentifizierter Verschlüsselungsmodus, welcher im Gegensatz zum bisher verwendeten AES-CBC mehr Performance bringt.


SD-WAN SLA Profile

Die SD-WAN-Funktionalität erlaubt das Handling mit mehreren WAN-Anbindungen.

  • Netzwerke, IPs oder User anhand von Ports oder Applikationen über verschiedene WAN-Verbindungen leiten

Mit SFOS v19 lässt sich nicht nur die Verfügbarkeit des Anschlusses prüfen, sondern neu auch deren Qualität. Hierfür kann man eins der drei vordefinierten Profile verwenden oder eigene erstellen.

Damit lassen sich dann auch Regeln definieren wie beispielsweise: Wenn die Latenz bei Leitung 1 zu hoch ist, dann verwende für den Datenverkehr z. B. VOIP eine andere Leitung (sofern diese natürlich eine geringere Latenz hat).

In der Diagnose sieht man dann auch die gesammelten Leistungswerte als Chart dargestellt.

Warenkorb
Nach oben blättern