Sophos UTM – End of Support auf Ende 2021

Es gibt aktuell zwei Sophos Firewall Betriebssysteme. Das eine heisst UTM, welches ursprünglich von der Firma Astaro entwickelt wurde. Das neue System nennt sich Sophos Firewall OS oder kurz „SFOS“. Die Unterstützung für das UTM OS, stellen wir nun Ende 2021 ein.

Eine Prise Nostalgie

Im Jahre 2008 hatte ich zum ersten Mal mit der Astaro Firewall zu tun, damals noch in Version 6. Es läuft mir gerade kalt den Rücken runter, wenn ich mir die Screenshots der damaligen Version anschaue 🥶.

Dennoch, für die damalige Zeit war es eine hervorragende Firewall!

Meine erste Aufgabe und gleich ein Bug

An mein erstes Zusammentreffen mit der Astaro Firewall kann ich mich noch gut erinnern. Es blieb mir auch darum so gut im Gedächtnis, da nicht alles rund lief. Ich musste die Firewall von Version 6 auf Version 7 aktualisieren. Nach der Migration konnte die IPsec Verbindung nicht mehr aufgebaut werden. Leider gab es einen Bug, wie ich später herausgefunden habe. Der Pre-shared Key (PSK) begann mit der Ziffer 0, was die Firewall offenbar nicht mochte. Als ich die 0 durch einen Buchstaben ersetzte, konnte die VPN-Verbindung wieder hergestellt werden. 😅

Daily Business

Anfang 2015 wurden die Sophos Produkte dann zu unserem Daily Business. Ich musste selber kurz in unserer Timeline nachschauen um mich zu erinnern. Bis dahin war die Firewall immer nur eine Option auf unseren Offerten, in denen wir hauptsächlich Remote Desktop Services angeboten haben. Für die Sophos Firewalls gab es damals auch nur das UTM Betriebssystem, welches schnell, sehr intuitiv und funktional war. Alles Gründe, warum viele Admins das System auch heute noch lieben.

V15 kam direkt aus der Hölle

Im Februar 2016 ist die erste Version (v15) vom Sophos Firewall OS erschienen und Sophos hat mächtig die „NexGen Firewall Werbetrommeln“ gerührt. Mitte Jahr hatten wir den ersten grösseren Kunden, welcher das neue OS mit der neuen Hardware haben wollte. Es handelte sich um eine Gemeinde mit ca. 150 Usern. Es war der Horror! 🧟

Meine psychischen Abwehrmechanismen konnten die Erinnerungen daran als Selbstschutz verdrängen. 🤮 Das System war so schlimm, dass wir bis Ende 2016 nichts mehr mit SFOS zu tun haben wollten. Keine Ahnung, was Sophos sich da überlegt hatte, so eine unfertige Version überhaupt auf den Markt zu werfen. V15 war bestenfalls eine sehr frühe Pre-Alpha-Version.

Die Gemeinde ist übrigens unser Kunde geblieben und setzt auch heute noch auf die XG-Firewall.

Alles neu mit SFOS

Was man Sophos aber wirklich hoch anrechnen muss, ist, dass sie damals an der Idee und Vision des neuen Firewall-Betriebssystems, trotz grosser Kritik, festhielten. Sie haben etwas später an einer Partnerkonferenz in Lissabon sogar auf der Bühne zugegeben, dass die v15 richtig schlecht war! 👏

Nachdem wir über ein Jahr jedem von SFOS abgeraten und UTM empfohlen hatten, wagten wir mit der Veröffentlichung von v16 im Oktober 2016 einen neuen Versuch. Die Weiterentwicklung konnte als positiv bewertet werden. Schnell wagten wir uns an kleinere Projekte heran und mit jedem neuen Update wurde es besser. Das Vertrauen in das System stieg stetig an und noch bevor SFOS v17 erschien, wurde die XG Firewall zum Standard für neue Projekte.

Migrationen von UTM zu SFOS

Seit Mitte 2017 haben wir bis heute kein einziges Projekt mehr mit UTM umgesetzt und werden es auch nicht mehr tun. Die letzten drei Jahre waren wir damit beschäftigt, Firewalls mit dem UTM OS auf SFOS zu migrieren. Wir sind heute so weit, dass wir bei über 95 % unserer Kunden, welche wir aktiv betreuen, SFOS einsetzen.

Ab und an melde ich mich noch zur Unterstützung von einzelnen Kunden auf einer UTM an. Doch das System ist mir fremd geworden und ich vermisse die Möglichkeiten vom SFOS.

Unsere Entscheidung

Wer sich den Versionsverlauf der beiden Betriebssysteme über die letzten Monate anschaut, stellt diskussionslos fest, dass sich das SFOS stetig weiterentwickelt, die UTM hingegen stehen geblieben ist. Das verwundert kaum, denn auch Sophos bläst im Marketing nur noch in ein Horn. Die UTM ist eigentlich tot und das SFOS wird als Next Generation Firewall angepriesen. In mehreren Blogposts und Podcasts haben wir bereits spekuliert, wann Sophos den Support für die UTM einstellen wird. Für den Security-herstellen selbst scheint es noch genügend Gründe zu geben, die UTM am Leben zu erhalten. Wenn wir hingegen unsere Kundenlandschaft betrachten, ist für uns persönlich und auch wirtschaftlich der Zeitpunkt gekommen, Adieu zu sagen und spätestens Ende 2021 keinen UTM-Support mehr anzubieten.

Wir möchten uns nur noch auf ein Firewall-Betriebssystem konzentrieren und Vorzugweise auf jenes, welches eine Zukunft hat. Für alle, die danach noch UTM-Support benötigen, könne sich mit dem „Premium Support“ direkt an Sophos wenden, oder wir eröffnen die Tickets für euch. Einen Direktsupport basierend auf unserem Fachwissen gibt es aber keinen mehr.

FAQ

• Kann man von UTM auf SFOS migrieren?
  • Es gibt keinen Update-Knopf. Auf der SG Appliance könnt ihr dennoch problemlos das SFOS installieren und die Lizenz kostenlos übernehmen. Wir haben dazu auch eine Anleitung geschrieben: SFOS auf einer SG Appliance installieren
• Kann man die UTM-Konfiguration auf SFOS importieren?
  • Es handelt sich bei SFOS um ein neues Betriebssystem. Es gibt einen Migrationsassistenten, welcher Teile der Konfiguration für SFOS konvertiert. Im Nachgang muss aber trotzdem noch einiges von Grund auf neu eingestellt werden.
• Bietet ihr Hilfe bei einer Migration?
  • Wir haben bereits etliche „UTM zu SFOS Migrationen“ hinter uns. Wir können euch gerne dabei unterstützen.
• Was wird aus dem UTM Betriebssystem?
  • Das UTM System läuft weiter, mindestens noch bis Januar 2024. Die Entwicklung geht allerdings nicht wirklich weiter. Mit v9.8 wird noch die neue Hardware unterstützt, aber das war es dann vermutlich auch.

Wenn ihr euch noch gar nicht mit dem SFOS befasst habt, kann ich euch den Artikel 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM empfehlen.