Sophos UTM Elevated 9.4 – Sandbox, User/Gruppen Regeln und WAF Cookies

Die neue Firmwareversion 9.4 für die UTM steht in den Startlöchern. Die Final wurde bereits freigegeben. Auch wenn mit der XG-Serie das neue Betriebssystem Sophos Firewall OS (SFOS) vorgestellt wurde, ist die UTM noch längst nicht tot. Dies können wir euch nun definitiv aus erster Hand bestätigen. Wir waren letzte Woche nämlich an der Sophos Roadshow in Zürich. Beide Betriebssysteme werden parallel weiterentwickelt und die Roadmap der UTM geht mindestens noch bis 2017. Nach einer schnellen Wachablöse sieht das also nicht aus. Zumal muss man sagen, dass wir nach wie vor die SG-Series empfehlen und erst mit dem im Sommer 2016 kommenden Update des Sophos Firewall OS, einen Wechsel in Betracht ziehen würden.

Aber schauen wir uns mal an, was die neue Sophos UTM Elevated 9.4 Firmware für Neuerungen bereithält.

Sophos UTM Elevated 9.4 Neuerungen

1. Sophos Sandstorm

Die Haupterneuerung kommt mit der Sandboxing-Lösung Sandstorm, welche wir bereits in einem früheren Post angekündigt haben. Mit 9.4 ist Sandstorm nun im System integriert und kann nach dem Kauf einer Lizenz aktiviert werden. Entsprechende Lizenzen können per sofort in unserem Sophos-Shop für die SG Firewall oder XG Firewall bestellt werden. Einfach auf euer Hardware-Modell klicken und die neue Sandstorm-Lizenz auswählen.

Sophos Sandstorm ist im Moment nur für UTM 9.4 verfügbar. Besitzer einer XG-Firewall, mit dem Sophos Firewall OS, müssen sich noch ein wenig gedulden. Sophos Sandstorm ist zudem nicht im FullGuard Bundle enthalten und muss separat gekauft werden.

Update: Sophos Sandstorm ist mittlerweile für UTM und SFOS verfügbar und kann entweder einzeln oder in einem Bundle gekauft werden.

Was genau macht Sophos Sandstorm?

Sophos Sandstorm ergänzt die bestehenden Security-Produkte von Sophos und bietet zusätzlichen Schutz gegen Advanced Persistent Threats (APT) und zero-Day-Malware. Alle Dateien, welche heruntergeladen werden, ob im Web oder per Mail Protection werden wie folgt behandelt.

1. Die Firewall erzeugt einen Hashwert der Datei und prüft, ob diese bereits untersucht wurde. Falls die Datei schon geprüft wurde, steht bereits fest, ob diese erlaubt oder blockiert werden soll.
2. Ist die Datei unbekannt, wird diese an die Sophos Labs übertragen und analysiert. Nach der Analyse wird ein Report für diese Datei erstellt und genau aufgezeigt, was die Datei versucht hat. Abschliessend wird die Datei wieder von den Sophos Servern gelöscht.

Was muss ich mir unter einer „Sandbox“ vorstellen?

• Abgeschottete, isolierte Umgebung, in welcher (nicht bekannte) Dateien ausgeführt werden. Klar, bekannte Maleware wird gleich blockiert, muss also nicht erst gescannt werden. Aber z. B. eine neue Randsomware, welche Code im Hintergrund herunterlädt und ausführt, wird mittels dieser Technik erkannt.
• Ort für die verhaltensbasierte, dynamische Maleware Analyse. Jede Datei wird ausgeführt und analysiert, was diese Tut. Danach wird ein Report erstellt und eine Auswertung gesendet.
• Emulierte Analyseumgebung für Windows, Mac und Android
• Ausführbare Dateien wie (32 oder 64-Bit), DLLs, Office Dokumente und weitere Dateiendungen (DF, HWP, XPF, CHM, JAR, APK Archives (ZIP, BZIP, GZIP, RAR, TAR, LHA / LZH, XZ)

2. Benutzer-/Gruppenbasiertes Regelwerk

Es gibt nun auch neue Konfigurationsmöglichkeiten, um benutzer- oder gruppenbasierte Regeln zu definieren. Bis anhin war es nur möglich, einem Device mittels DHCP oder direkt im System eine fixe IP-Adresse zuzuweisen und danach mit diesem Objekt Firewallregeln zu erstellen. Dies hatte aber den Nachteil, dass Computer, welche keinem fixen Mitarbeiter zugeteilt waren, immer dieselbe Regel hatte. Neu gibt es die Sophos Transparent Authentication Suite (STAS), die man von der XG her kennt, nun auch für die UTM. Dadurch ist es möglich, eine transparente Authentifizierung für Firewall- und Applikationsregeln mit Microsoft Active Directory zu erstellen.

3. WAF Persistent Session Cookies

Verbessert die Zusammenarbeit mit Webapplikationen und Webserverfarmen.

4. IPv6 SSL VPN Support

Ergänzt die häufig gewünschte Unterstützung für IPv6 VPN.

Alle Neuerungen im Video

Wann ist nun der finale Release der Version 9.4?

Die ersten UTMs erhalten das Update im März. Spätestens im April steht es dann für alle zur Verfügung. Wer nicht mehr darauf warten kann und die Version 9.4 jetzt schon installieren möchte, darf sich gerne bei uns melden.