Vai al contenuto
Avanet
Sophos Central Wireless - Versione 2.0 con Security Heartbeat

Sophos Central Wireless - Versione 2.0 con Security Heartbeat

27. LUGLIO 2018

Sophos Central Wireless 2.0 è in dirittura d’arrivo e verrà distribuito su tutti gli account tra il 30 luglio e il 31 agosto. Oltre alle nuove funzioni e ai miglioramenti, saranno supportati anche i nuovi access point APX Wave 2.0. In questo post riassumiamo le funzionalità più importanti a cui potete guardare con interesse.

Synchronized Security per Endpoint e Mobile

Security Heartbeat è ora disponibile anche per Sophos Central Wireless. Il concetto alla base è sostanzialmente lo stesso dell’XG Firewall. L’accesso alla rete dei client infetti, o di quelli che non rispettano le policy configurate, viene limitato o bloccato completamente.

Con Security Heartbeat in Central Wireless è possibile isolare un dispositivo a rischio dalla WLAN, in modo che non rappresenti una minaccia per gli altri dispositivi connessi. Affinché questa interazione funzioni, gli endpoint devono naturalmente essere dotati del software appropriato. Su desktop e laptop dovreste quindi avere installato almeno Sophos Central Endpoint, e su smartphone e tablet Sophos Central Mobile. Infine, è necessario utilizzare uno dei nuovi access point APX, poiché solo questi supportano Security Heartbeat. 😅

Enhanced Rogue AP Detection

Con Enhanced Rogue AP Detection, i vostri access point Sophos scansionano tutti i canali ed elencano le reti wireless vicine. A prima vista potrebbe non sembrare particolarmente entusiasmante. L’obiettivo, però, come suggerisce il nome, è individuare i cosiddetti “Rogue AP”, ovvero access point non autorizzati che potrebbero aprire una falla di sicurezza in una rete altrimenti protetta.

Le restrizioni talvolta rigorose, ma giustificate, in una WLAN aziendale possono spingere i collaboratori a soluzioni creative. Può capitare, ad esempio, che un collega installi un proprio access point in ufficio per connettere a Internet i propri dispositivi privati. Questo sarebbe un “Rogue AP”, poiché installato in una rete sicura senza autorizzazione.

Grazie a Enhanced Rogue AP Detection, potrete individuare questi access point non autorizzati nella vostra rete. Se l’utilizzo di un dispositivo è stato approvato, è ovviamente possibile aggiungerlo a una “lista di AP conosciuti”.

Ulteriori miglioramenti

Oltre alle funzioni citate, la versione 2.0 include altri due miglioramenti degni di nota:

  • Provisioning in blocco: ora è possibile aggiungere fino a 30 AP in un’unica operazione caricando un file CSV con i numeri di serie.
  • Dashboard rinnovata: si ottiene una migliore panoramica delle minacce presenti nella rete e dello stato dei dispositivi che utilizzano Synchronized Security.

Funzioni in arrivo

La versione 2.1 è prevista per settembre e porterà strumenti migliorati di debug e troubleshooting. A novembre è atteso il piccolo access point APX 120, il cui supporto sarà garantito nella versione 2.1.1.

Conclusioni

Abbiamo sempre considerato Sophos Central Wireless un prodotto davvero interessante. Compri gli AP, li colleghi e sei pronto a partire! Con Sophos Central Wireless non serve alcun controller fisico e la gestione delle reti wireless su più sedi è estremamente semplice e chiara.

L’unico neo di Sophos Wireless è il prezzo. A nostro avviso, nemmeno le nuove funzioni della versione 2.0 riescono ancora a giustificare appieno il costo. Senza contare che si beneficia realmente di Synchronized Security solo acquistando la nuova serie APX.

Inoltre, Sophos non è certo l’unico attore nel mercato della gestione wireless. Molto prima di Sophos Wireless esistevano già soluzioni comparabili. Persino Google vende i propri access point: al prezzo di un singolo AP Sophos potrei comprarne tre. Anche quelli sono gestibili via cloud e utilizzabili per più sedi, con una cifratura sicura (WPA2).

Non troviamo particolarmente allettante avere costi ricorrenti solo per il wireless. Vediamo il wireless un po’ come “l’aria”: deve semplicemente esserci. Questo punto di vista potrebbe cambiare se in futuro venissero aggiunte ulteriori funzioni di sicurezza come quelle della versione 2.0. In tal caso, il valore aggiunto sarebbe evidente e giustificherebbe i costi aggiuntivi di Sophos Central Wireless.

Dobbiamo anche riconoscere che almeno per i nuovi access point APX Sophos è scesa un po’ con i prezzi. Mentre tra AP 15 e AP 100 Sophos applica ancora prezzi differenti, i costi annuali saranno identici per tutti i modelli APX, indipendentemente dal fatto che si tratti del piccolo APX 320 o del grande 740.

In conclusione possiamo affermare che Sophos Central Wireless ha un grande potenziale. Non richiede una console fisica e, con i nuovi access point APX, offre ulteriori funzioni di sicurezza come Synchronized Security. Dal nostro punto di vista potrebbe diventare molto interessante in futuro. Se però questo aspetto non è importante, si può semplicemente acquistare un piccolo XG Firewall (XG 115) e gestire senza problemi 10 access point. Con questa soluzione si sostengono solo i costi una tantum per gli AP, poiché la licenza wireless è inclusa gratuitamente nel Sophos Firewall OS della XG.

Nota: il 31 luglio 2018 Sophos ci ha contattati personalmente in merito alle nostre conclusioni su Sophos Central Wireless. Poiché avevamo indicato l’alto prezzo come punto critico, Sophos ci ha fornito un’informazione interessante. Nei costi annuali che si pagano per Sophos Wireless per ogni access point è inclusa anche un’assicurazione per l’AP. Se un dispositivo dovesse guastarsi, Sophos lo sostituirà gratuitamente entro 24 ore. Questo servizio è quindi compreso nel prezzo. Purtroppo ciò non viene menzionato né nelle schede tecniche né altrove sul loro sito web. Non possiamo quindi garantirvelo “nero su bianco”, ma secondo Sophos gli access point sono assicurati fintanto che esiste una licenza Sophos Central Wireless valida.

Errori noti nella versione 2.0

Nel seguente elenco trovi gli errori già noti che possono ancora verificarsi nella versione 2.0. Si sta già lavorando alla loro correzione e questi problemi dovrebbero quindi essere risolti a breve.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Ulteriori informazioni

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.