Sophos Firewall Feature Request 2024
Lavoriamo quotidianamente con Sophos Firewall e anche i nostri clienti ci segnalano regolarmente quali funzioni di sicurezza, ma anche quali funzioni operative, sentono mancare. Da queste esperienze e da questi feedback abbiamo creato un elenco dettagliato. Ora riassumiamo questi spunti nella Sophos Firewall Feature Request.
Supporto Let’s Encrypt
Questa è la funzione più richiesta, attesa da molti da oltre tre anni. Con la versione 21, prevista indicativamente per ottobre, questa funzione dovrebbe finalmente essere inclusa.
Rinominare gli oggetti
Attualmente, purtroppo, non è possibile rinominare alcuni elementi sul firewall. Ecco alcuni esempi:
- Connessioni IPsec Site-to-Site
- Zone
- Server DHCP
- Regole IPS
Questa funzione sarebbe estremamente utile per mantenere le configurazioni più chiare e ordinate.
Se, ad esempio, si desidera rinominare una connessione VPN Site-to-Site, è necessario eliminarla e crearne una nuova, solo per cambiare il nome.
GUI responsive
Con l’aggiornamento alla versione 20, la GUI è stata in parte ottimizzata per i monitor widescreen, così da ridurre lo spazio bianco. Questa era già una Sophos Firewall Feature Request molto frequente.
Tuttavia, i nostri clienti desiderano un’interfaccia completamente responsive che appaia bene anche su tablet e dispositivi mobili. Soprattutto su monitor piccoli e con risoluzione 4K, c’è ancora margine di miglioramento.
Prestazioni del backend
La GUI è lenta. Soprattutto sui modelli firewall più piccoli, i dispositivi reagiscono spesso con molta lentezza, in particolare quando si salvano le regole firewall. Qui c’è ancora molto potenziale di ottimizzazione per migliorare l’esperienza utente.
Un esempio: il salvataggio di una regola firewall su un XGS 126 con SFOS v20 richiede troppo tempo.
Il caricamento delle interfacce richiede un tempo simile e la dashboard impiega circa il doppio.
Raggruppamento di regole NAT
È possibile raggruppare le regole firewall per organizzarle meglio. Tuttavia, questa funzione manca per le regole NAT. Anche qui, un’opzione di raggruppamento sarebbe una Sophos Firewall Feature Request utile.
Clonare le regole NAT
Mentre la funzione per clonare le regole firewall esiste già, questa utile opzione manca per le regole NAT. Sarebbe molto utile poter clonare anche le regole NAT, così da creare configurazioni in modo più rapido ed efficiente. Questa è una Sophos Firewall Feature Request che i nostri clienti esprimono spesso.
Personalizzare e salvare il Log Viewer
Il Log Viewer consente di aggiungere o rimuovere colonne per visualizzare i log in modo più chiaro. Sarebbe utile poter salvare queste impostazioni, così da ritrovare subito le colonne preferite alla successiva apertura del Log Viewer.
Speed test integrato
Uno speed test integrato, eseguibile direttamente dal firewall, è in cima alla lista dei desideri di molti utenti. Altri produttori offrono già funzioni di questo tipo, che consentono di eseguire speed test su diverse interfacce direttamente dal firewall o di pianificarli.
Nascondere avvisi nella dashboard
Nella dashboard vengono visualizzati messaggi di avviso o allarmi che però non possono essere nascosti. Molti utenti vorrebbero poterli contrassegnare come già visti, così da non visualizzarli in modo permanente.
Importare più oggetti contemporaneamente
La possibilità di importare più oggetti contemporaneamente sarebbe un’aggiunta preziosa. Attualmente si possono importare liste IP, ma non liste URL o più reti. Questa funzione aumenterebbe notevolmente l’efficienza, soprattutto per le eccezioni relative ai servizi Microsoft, dove è necessario indicare molte reti o URL.
Link alle note di rilascio del firmware
Per gli aggiornamenti firmware di RED o Access Points, nel backend è attualmente disponibile solo un pulsante “Installa”, senza informazioni dettagliate sulle modifiche. Questo mette gli amministratori nella situazione di non sapere quali cambiamenti o miglioramenti introduca il nuovo firmware. È particolarmente problematico perché non esiste un’opzione di rollback se dopo l’installazione si verificano problemi.
Un link diretto alle release note sarebbe quindi una Sophos Firewall Feature Request molto pratica. In questo modo si potrebbero verificare le modifiche prima dell’installazione e valutare meglio quali rischi o vantaggi comporti l’aggiornamento. Attualmente bisogna cercare i dettagli nella Sophos Community, cosa che richiede ulteriore tempo.
Blocco automatico degli attacchi
Una funzione correlata, facile da immaginare, è il meccanismo di sicurezza delle password che attiva un blocco temporaneo dopo troppi tentativi di accesso non riusciti. Questo meccanismo è noto alla maggior parte degli amministratori ed è già utilizzato su Sophos Firewall.
Questo meccanismo blocca il login dopo un certo numero di tentativi falliti e impedisce l’accesso per un periodo definito. Una funzionalità simile per il firewall sarebbe estremamente utile per bloccare automaticamente gli indirizzi IP quando vengono rilevate più attività sospette in breve tempo.
Un metodo simile viene utilizzato anche da Fail2Ban, un programma che controlla i log e blocca gli indirizzi IP che mostrano determinati pattern predefiniti di attacchi o attività sospette. Fail2Ban protegge così i sistemi da attacchi brute force e da altre minacce bloccando automaticamente gli aggressori.
È ovvio che una tale funzione di blocco automatico sarebbe estremamente utile anche per Sophos Firewall. Attualmente, il Sistema di Prevenzione delle Intrusioni (IPS) rileva le attività sospette e le blocca, ma l’aggressore può ripetere continuamente i suoi tentativi. Ogni attività sospetta attiva una notifica e l’amministratore deve intervenire manualmente per bloccare l’indirizzo IP.
Una modalità di blocco automatico, in cui l’amministratore può impostare il blocco di un indirizzo IP per 15 minuti, un’ora o anche più a lungo, aumenterebbe notevolmente efficienza e sicurezza. Se il firewall rileva entro un minuto più attività sospette provenienti da un determinato indirizzo IP, avrebbe senso bloccare automaticamente quell’IP per un certo periodo. L’amministratore potrebbe comunque gestire la blacklist in qualsiasi momento e rimuovere l’indirizzo se necessario.
Con l’introduzione di un modulo di autoblock di questo tipo, il firewall proteggerebbe in modo ancora più efficace dagli attacchi ripetuti e ridurrebbe al tempo stesso il carico amministrativo.
Sarebbe di nuovo uno scontro macchina contro macchina, perché oggi la maggior parte dei tentativi di attacco viene eseguita da bot o sistemi automatizzati. Dietro Sophos Firewall, però, c’è un amministratore che deve occuparsi manualmente di questi eventi per impedire ulteriori richieste.
Bad IP Blocker Feeds
Nella prossima versione 21 del Firewall, dovrebbe essere possibile implementare liste predefinite per bloccare l’accesso a indirizzi IP pericolosi. Ciò significa che, se qualcuno all’interno della rete tenta di accedere a un IP già noto come pericoloso, l’accesso viene bloccato automaticamente. Nelle versioni future queste liste saranno integrate da provider terzi. Purtroppo, però, solo le connessioni in uscita vengono verificate rispetto a queste liste.
Un’ottima estensione sarebbe aggiungere al firewall feed contenenti liste IP, così da bloccare gli IP pericolosi noti anche per le connessioni in ingresso. Questo potrebbe valere per regole NAT, richieste VPN, richieste al portale utente e altri servizi.
Per la Web Application Firewall esiste già una funzione simile chiamata “Block clients with bad reputation”, che funziona così:
Blocca i client che hanno una cattiva reputazione in base a Real-time Blackhole Lists (RBL) e informazioni GeoIP. Evitare le query remote per i client con cattiva reputazione può migliorare le prestazioni. Per le RBL, Sophos Firewall utilizza Sophos Extensible List (SXL) e SORBS. Per GeoIP utilizza Maxmind. Sophos Firewall blocca i client che rientrano nelle categorie A1 (proxy anonimi o servizi VPN) e A2 (ISP satellitari).
Il desiderio sarebbe quindi potersi abbonare a feed RBL propri, ad esempio di produttori noti o anche di GitHub.
Un’estensione di questo tipo aumenterebbe notevolmente la sicurezza del firewall e dei suoi servizi, proteggendo in modo efficace non solo le connessioni in uscita ma anche quelle in ingresso contro minacce note.
Disabilitare il servizio Wireless
Anche se esiste l’opzione per disabilitare il servizio Wireless, questo viene visualizzato come un errore. Nella dashboard appare un messaggio di avviso:
Questo significa che, anche se l’amministratore disattiva intenzionalmente il servizio per risparmiare risorse o per altri motivi, il firewall lo interpreta come un problema e genera un messaggio di errore. Sarebbe quindi auspicabile poter disattivare il Wireless Service senza che questo venga mostrato come errore nella dashboard.
Feedback per noi
In questo articolo abbiamo raccolto le Sophos Firewall Feature Request più frequenti emerse negli ultimi mesi. Abbiamo considerato sia i desideri dei nostri clienti sia le funzioni che aiuterebbero anche noi a rendere più efficiente la configurazione e la manutenzione dei numerosi firewall dei clienti.
Se però avete altri suggerimenti o desideri, inviateci pure il vostro feedback tramite il modulo di contatto. Aggiorneremo regolarmente questo articolo per riflettere sempre le esigenze e i requisiti più attuali.
La roadmap non è una garanzia
Non si dovrebbe mai acquistare un prodotto solo perché un produttore promette che la funzione desiderata verrà aggiunta tramite un aggiornamento.
Con Sophos non è diverso. La roadmap è affidabile più o meno quanto le previsioni del tempo o gli oroscopi. Vengono aggiunte e rimosse funzionalità, i servizi vengono presentati durante le roadshow oppure nelle schede prodotto compaiono indicazioni come (coming soon), ma tutto questo non significa ancora nulla. Potrei scrivere un post a parte sugli annunci di Sophos rimasti senza seguito. Inoltre, purtroppo Sophos non è nemmeno uno dei produttori che ascolta gli utenti e poi sviluppa le funzioni di conseguenza; sarebbe del tutto assurdo. Meglio correre dietro al prossimo hype degli analisti Gartner, a ciò che gli azionisti vogliono sentire, oppure guardare alla concorrenza.
Penso che con questo sia tutto chiaro e di aver già soffocato sul nascere le false speranze.
