Zum Inhalt springen
Avanet
Sophos XG Update v17.5 - Alle Neuerungen im Überblick

Sophos XG Update v17.5 - Alle Neuerungen im Überblick

Wir haben uns Anfang November die zweite Beta der neuen SFOS 17.5 Firmware installiert und diese einmal genauer unter die Lupe genommen. An der Sophos Roadshow im März 2018 in Dübendorf war zwar noch von den Versionen 17.2 und 17.3 die Rede, doch Sophos hat sich entschieden, alle geplanten Features zu bündeln und direkt auf Version 17.5 zu springen.

Eines können wir diesem Bericht schon vorwegnehmen: Das SFOS 17.5 löst bei uns eher gemischte Gefühle aus. Es bietet zwar interessante neue Features, diese sind aus unserer Sicht jedoch nicht immer vollständig durchdacht worden.

Lateral Movement Protection

Seit der ersten Version von Synchronized Security ist es möglich, dass der Endpoint Client seinen Status mit der Firewall teilt. Dank diesem Feature können wir einer Workstation, die länger keine Updates mehr erhalten hat oder bereits infiziert ist, beispielsweise den Zugriff auf den Fileserver oder das Internet verwehren, um andere Systeme nicht zu gefährden.

Eine solche Konfiguration setzte bis anhin aber auch eine gute Netzwerksegmentierung voraus. Wenn alle Geräte in einem Unternehmen am gleichen Switch angeschlossen sind und diese sich im selben Netzwerk befinden, hatte der Security Heartbeat bisher keinen nennenswerten Effekt.

Mit SFOS 17.5 wurde dieses Feature ausgebaut und verbessert. Es ist nun auch möglich, Computer, die von Synchronized Security als „ungesund“ eingestuft wurden, vor anderen Computern in derselben Broadcast-Domäne oder demselben Netzwerk zu isolieren. Bei einem Problem mit einem Client informiert die Firewall automatisch alle anderen Clients. Somit weiss nicht mehr nur die Firewall, wenn mit einem Client etwas nicht stimmt, sondern auch alle anderen Clients im Netzwerk. Dadurch kann ein infiziertes Gerät noch effektiver isoliert werden, bis das Problem behoben wurde. Sobald der Security Heartbeat-Status wieder auf „grün“ wechselt, werden die Verbindungen zu anderen Systemen im Netzwerk automatisch wiederhergestellt.

Sophos XG v17.5 - Lateral Movement Protection

Zusätzlich können IPS-Erkennungen von gefährdeten Endpoints nun auch einen „roten“ Herzschlag auslösen. Dies verbessert den Schutz vor Bedrohungen im Netzwerk weiter.

Weiterleitung von Portal-URL

Während meiner Tests ist mir eine Funktion aufgefallen, die quasi klammheimlich in die neue Version geschmuggelt wurde, denn sie wird nirgends in den Release Notes erwähnt.

Sie kennen das ja sicher alle. Wenn eine Webseite vom Sophos Web Proxy blockiert wird, erscheint beim Benutzer eine Warnseite. Möchte der Benutzer die Seite dann trotzdem aufrufen, verbarg sich hinter dem Link bisher immer eine IP-Adresse anstelle einer normalen URL. In der Version 17.1 konnte man dies zumindest über die Konsole umstellen. Mit 17.5 ist dies nun auch bequem über die Weboberfläche der XG Firewall möglich. 👍

Sophos 17.5 Administration Erneuerungen

Die Umstellung von einer IP-Adresse auf eine Web-URL funktioniert jedoch nur für den Web-Teil. Wenn die XG Firewall beispielsweise Ihre E-Mails scannt, erhalten die Benutzer üblicherweise einen Quarantäne-Report von der Firewall. In diesem ist dann ersichtlich, welche E-Mails die Sophos Firewall blockiert hat. Mit einem Klick auf einen Link kann man die vermeintliche Spam-Nachricht manuell freigeben. Doch genau dieser Link ist nach wie vor eine IP-Adresse, was zwar technisch funktioniert, aber dem Benutzer eine Zertifikatswarnung anzeigt.

Die Umstellung von einer IP-Adresse zu einer Web-URL wurde für den E-Mail-Teil noch nicht umgesetzt. Von Sophos habe ich das Feedback erhalten, dass es allenfalls mit MR1 oder MR2 nachgeliefert wird und die Entwickler daran arbeiten. Wir tippen hier eher auf MR2, womit wir dann wohl ungefähr im Januar oder Februar damit rechnen können.

Synchronized User ID

Eine der häufigsten Aufgaben, die eine Firewall wahrnehmen muss, ist es, Traffic von A nach B zu transportieren, sofern dafür eine Firewall-Regel erstellt wurde. Der Traffic kommt und geht jeweils zu einer IP-Adresse. Als Administratoren möchten wir dabei gerne wissen, von welchen Geräten der Traffic erzeugt wird oder noch besser von welchem Benutzer. Das hilft uns, benutzerbasierte Firewallregeln zu erstellen, Netzwerktransparenz zu schaffen und verständlichere Reports zu erzeugen.

Auf dem SFOS gibt es einige Möglichkeiten, den Benutzer zu erkennen. In der Vergangenheit nutzten wir dafür bisher die Verbindung zu einem Active Directory Server, der die Benutzerinformationen über einen installierten Agenten an die XG Firewall weiterleitete. In manchen Umgebungen war der Agent aber keine Option.

Mit SFOS v17.5 können Endgeräte auf einer Active Directory-Domäne nun über den Security Heartbeat die Benutzeridentität mit der Firewall teilen. Dies macht die Benutzeridentifikation nahtlos und einfach, ohne dass ein Agent auf den Domänencontrollern bereitgestellt werden muss. Diese Funktion kann in vielen Situationen sehr hilfreich sein.

Terminalserver oder Linux-Hosts werden von dieser Lösung nicht abgedeckt. Bei ersteren ist STAC noch immer die beste Lösung. Die Ausnahmen sind jedoch gross. Mac-Clients funktionieren nicht mit einem Active Directory, und VPN-Benutzer melden sich ebenfalls nicht daran an.

Von diesem Feature kann man nur profitieren, wenn auf den Clients eines dieser Produkte installiert ist:

Interessant wird es unserer Meinung nach, wenn auch Clients, die nicht in einer Domäne sind, ihre Benutzerdaten mit der XG teilen können. Diese Funktion löst jedoch nur ein sehr kleines Problem.

Sophos Connect IPSec VPN Client

Unser Post SSL VPN Client installieren ist einer der beliebtesten Beiträge in unserer Knowledge Base. Dies nicht ohne Grund, denn für viele unserer Kunden war VPN eine der meistgenannten Anforderungen vor dem Kauf der Sophos Firewall.

Wie in dieser Anleitung beschrieben, nutzen wir aktuell sehr oft den SSL VPN Client von Sophos. Dieser kann allerdings nur auf Windows-Computern installiert werden. Für macOS musste man bisher auf Dritthersteller-Tools, wie z. B. „Tunnelblick“ zurückgreifen.

Mit Sophos Connect stellt Sophos nun, wie andere Hersteller auch, einen eigenen IPsec VPN Client vor. Sophos Connect unterstützt von Haus aus auch Synchronized Security. Dies hat bisher zwar auch mit dem SSL VPN Client funktioniert, musste aber zusätzlich konfiguriert werden.

Hier ein Screenshot, wie die Einstellungen des Sophos Connect IPsec VPN Clients auf der XG Firewall aussehen:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client Admin Einstellungen

Sophos Connect ist aktuell in einer Beta und der Client ist aktuell für Windows und macOS erhältlich. Hier noch ein Screenshot des Mac- und des Windows-Clients:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client für Mac und Windows

Zum neuen IPsec VPN Client von Sophos gibt es noch “Sophos Connect Admin” als weiteres Tool. Damit können Sie eine Config-Datei nachträglich bearbeiten und z. B. den Hostnamen anpassen oder 2FA aktivieren.

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Mit der neuen SFOS 17.5 Firmware wird ein schon lang gemachtes Versprechen nun endlich eingelöst. Über die Sophos Central Plattform lässt sich jetzt neu auch die XG Firewall verwalten. Sicherlich der richtige Schritt, aber die Funktionen halten sich in der ersten Version noch in Grenzen.

Um Ihren Central Account mit der Firewall zu verbinden, müssen Sie zuerst auf der XG Firewall das Central Management aktivieren.

Sophos Firewall SFOS v17.5 - XG Firewall in Central verwalten

Update 20.11.2018 Sophos Central hat zwischenzeitlich ein Update erhalten, wodurch nun der Menüpunkt “Firewall Management” ersichtlich ist. Durch das Aktivieren der Funktion “Central Management” auf unserer XG Firewall, konnten wir das Gerät erfolgreich in unseren Sophos Central Account einbinden.

Wenn man sich über Sophos Central mit der Firewall verbindet, ist man anschließend auf der Firewall als “admin” angemeldet. Das Unschöne daran ist, dass nun theoretisch auch andere Benutzer, die Zugriff auf Sophos Central Admin haben, auf die Firewalls zugreifen können. Es reicht bereits, wenn diese Benutzer über eine ‘Read-Only’ Berechtigung verfügen. Wir hoffen, dass hier in Zukunft noch genauer gesteuert werden kann, wer genau die Berechtigung hat, sich über Central an den Firewalls anzumelden.

Sophos Central Firewall Manager Link
Sophos Central Firewall Manager Dashboard
Sophos Central Firewall Manager Übersicht
Sophos Central Firewall Management

Firewall Verwaltung via SSO

Wenn Sie auf Ihrer Firewall die Funktion „Central Management“ aktiviert haben, können Sie sich ohne zusätzliches Login direkt von der Central-Oberfläche an der Sophos XG Firewall anmelden.

Central Backups

Durch das Central Management werden standardmässig auch die Backups Ihrer Firewall auf Central abgelegt. Wenn Sie dies nicht möchten, können Sie diese Funktion auf Ihrer XG Firewall einfach deaktivieren.

Sophos Firewall SFOS v17.5 - XG Firewall Backups in Sophos Central

Das „Light-Touch Deployment“ ist eine richtig coole Sache! Es wird zukünftig möglich sein, gleich über Central eine neue XG Firewall zu konfigurieren. Dabei klickt man sich zuerst durch einen kleinen Wizard, der am Schluss ein XG-Config-File ausspuckt. Diese Konfiguration kann man dann herunterladen und auf einen USB-Stick kopieren. Danach muss die neue Firewall mit diesem Stick gestartet werden und die Konfiguration wird dabei übertragen. Hat man alles richtig gemacht, gelangt man über Sophos Central auf die Firewall und kann noch die restlichen Konfigurationen durchführen.

Sophos Firewall SFOS v17.5 - Light-Touch / Zero-Touch-Bereitstellung

Das „Light-Touch Deployment“ macht es uns zukünftig um einiges leichter, XG Firewalls für unsere Kunden einzurichten. Für unseren Einrichtungs- und Konfigurationsservice lassen wir die Firewalls jeweils zu uns ins Büro liefern und erstellen die Grundkonfiguration direkt auf den Geräten. Danach senden wir diese dem Kunden zu, der die Firewall nur noch ans Netzwerk nehmen muss. Mit dem „Light-Touch Deployment“ können wir uns zukünftig den Versand der Hardware zu uns sparen und sind dadurch mindestens einen Tag schneller. 😎

Da dieser Workflow einen Central Account voraussetzt, werden wir dieses Vorgehen wohl auch nicht bei jedem neuen Kunden so anwenden können.

Synchronized Security – Synchronized Application Control Verbesserungen

Synchronized Application Control wurde mit Version 17.0 erstmals vorgestellt und in Version 17.1 weiter verbessert. Mit diesem Feature wollte Sophos eine Lösung für das Grundproblem bieten, dass ein Grossteil des Netzwerkverkehrs nach wie vor schwierig zu kontrollieren ist und selbst mit HTTP/HTTPS-Scanning relativ unerkannt durch die Firewall gelangen kann. Mit Synchronized Application Control teilt der Endpoint der Firewall mit, welche Software den Traffic genau verursacht. Somit lässt sich der Netzwerkverkehr viel besser klassifizieren.

Mit v17.5 wurden die folgenden Verbesserungen umgesetzt:

  • Windows- und Mac-Systemanwendungen in einer separaten Liste anzeigen lassen.
  • Anwendungen ausblenden und dann eine neue Filteroption verwenden, um versteckte Anwendungen anzuzeigen oder auszublenden.
  • Eine neue Option, um Anwendungen zu markieren und sie so aus der “neuen” Liste zu entfernen.
  • Verbesserte Darstellung von Pfadnamen.
Sophos Firewall SFOS v17.5 - Synchronized Application Control Verbesserungen

Sie können nun selbst auswählen, welche Spalten Sie wirklich benötigen.

Web Policy Verbesserungen

Stellen Sie sich vor, ein Lehrer arbeitet mit seiner Klasse am Computer und eine benötigte Webseite wird blockiert. In so einer Situation musste bisher immer der Admin gerufen werden, um die Seite freizuschalten. In der SFOS Version 17.5 gibt es nun eine Funktion in den Web-Richtlinien, mit der Sie autorisierten Benutzern erlauben können, blockierte Webseiten trotzdem aufzurufen. Sie könnten diesem Lehrer also die Möglichkeit geben, diese Webseite, Domain oder Kategorie einfach selbst über das User Portal freizuschalten.

Jede Regel erhält einen Code, den er dann der Klasse mitteilen kann. Auf der blockierten Seite können die Schüler dann diesen Code eingeben und gelangen vorübergehend auf die eigentlich gesperrte Webseite.

Als Administratoren sehen wir dann in einer Liste, welche Codes generiert wurden, und können diese auch wieder löschen. Der Admin kann aber auch Standorte oder Kategorien definieren, die nicht von den Lehrern umgangen werden können.

Hier noch ein paar weitere kleine Neuerungen, die Ihnen in der SFOS Version 17.5 bei den Web-Richtlinien zur Verfügung stehen werden:

  • Das Festlegen einer Standard-Suchmaschine.
  • SafeSearch und YouTube-Beschränkungen.
  • Begrenzung der Dateigrösse beim Herunterladen.
  • Domainbeschränkungen von Google App, die alle auf richtlinienspezifischer Basis festgelegt werden.
Sophos Firewall SFOS v17.5 - Web Protection Allgemeine Einstellungen

😉 Die Benutzeridentifikation bei diesem Betriebssystem ist anders als bei anderen Systemen und wurde bisher von der XG Firewall nicht unterstützt. Mit v17.5 bietet Sophos eine Chromebook-Erweiterung, die Chromebook-Benutzer-IDs mit der Firewall teilt. Damit sind eine Richtliniendurchsetzung und ein User-Reporting möglich. Es wird jedoch ein Active-Directory-Server benötigt, der mit Google G Suite synchronisiert wird. Die Chrome-Erweiterung wird aus der G-Suite-Verwaltungskonsole heraus bereitgestellt und bietet eine einfache, für den Benutzer transparente Bereitstellung.

Client Authentication Agent

Der XG Firewall Client Authentication Agent bietet die Möglichkeit, ohne Active Directory der XG Firewall mitzuteilen, welcher User gerade am Computer angemeldet ist. Hierfür muss einfach der Client Authentication Agent auf dem Gerät ausgeführt werden.

Den Client gibt es für Windows, macOS, Linux 32/64 Bit, iOS und Android. Den Download findet ihr im User Portal.

Sophos Firewall SFOS v17.5 - Client Authentication Agent Download im User Portal
Sophos Firewall SFOS v17.5 - Client Authentication Agent Taskliste

Management Verbesserungen

Wenn man neu eine Firewall-Regel erstellt, kann man diese direkt einer Gruppe zuordnen. Es gibt auch neu eine automatische Gruppenzuordnung, obschon diese bei mir nicht wirklich gut funktioniert hat. In meinen Tests wollte die Firewall meine Regel automatisch einer Gruppe zuordnen, in der ich sie aber nicht haben wollte.

Sophos XG v17.5 - Automatische Gruppenzuordnung
Spoofing-Schutz.

IPS Protection

  • Mehr Kategorien zur besseren Optimierung der Regeln, was zu verbesserter Performance und mehr Schutz führt.

Wireless

  • Unterstützung für RADIUS-Server-Failover mit mehreren Servern.

IPsec

  • SD-WAN Failover und Failback
  • IPsec Failover – redundante Gruppen für IPsec-Verbindungen, um bei einem Failover auf einen weiteren WAN-Link zu wechseln. Sobald die Hauptverbindung wieder verfügbar ist, kann auch wieder zurückgewechselt werden.

Was kommt in den nächsten Versionen?

In den kommenden Wochen/Monaten erscheinen wie gewohnt Maintenance Releases, die noch einige Funktionen nachliefern werden.

Sophos Wireless APX Access Point Support

Die neuen APX Access Points von Sophos konnten bisher nur mit Sophos Central verwendet werden. Die Unterstützung für die XG Firewall wird jedoch in MR1 erwartet, das ca. 2-4 Wochen nach dem 17.5 Release erscheinen wird. Der APX 120, der dann für unter 200 CHF erhältlich sein soll, kommt erst im Januar 2019.

Airgap Support

Es gibt XG Firewalls, die nicht am Internet angeschlossen sind. Eine Lizenzaktivierung war bei diesen Geräten bisher nicht möglich. Neu gibt es die Option, dass mittels eines USB-Sticks die Lizenz und Updates auf die Firewall geladen werden können.

Mehr Informationen

Patrizio

Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.