Sophos Firewall v20 - Le migliori funzionalità della nuova release SFOS
Le major release sono di gran lunga le più interessanti dell’anno e con Sophos Firewall v20, più precisamente SFOS v20, Sophos introduce alcune funzioni davvero notevoli. Al momento si tratta della EAP1, quindi di una versione Early Access. Se Sophos resterà fedele al proprio schema, la versione finale arriverà probabilmente solo verso fine anno o all’inizio del 2024.
Web Admin ottimizzato per 1920p
Nella lista delle funzionalità di Sophos, questa novità compare in fondo, tra i miglioramenti meno importanti inclusi nella nuova versione: supporto per schermi ad alta risoluzione. I dati di Statista mostrano che i monitor 1920p sono ormai più che standard dal 2018, quindi questa funzione era attesa da tempo. Io la celebro parecchio. 🥳 Era estremamente fastidioso vedere così tanto spazio bianco inutilizzato mentre il testo veniva tagliato.
Tuttavia, non tutto è ancora ottimizzato per 1920p e in molti punti della GUI è ancora necessaria un po’ di cura, ad esempio nella dashboard. Questo dovrebbe essere fornito con la v20.5.
Se si osserva la differenza tra SFOS v19.5 e SFOS v20, si ottiene finalmente più spazio.
Il merito, però, non va a Sophos, ma ad alcuni grandi partner Sophos che hanno spinto il produttore a implementare questa funzione. Quindi, a questo punto, un sentito grazie.
Miglioramenti VPN
Sophos Firewall v20 introduce diverse innovazioni nell’area VPN. Iniziamo con il cambiamento probabilmente più grande.
Portale VPN
Con l’aggiornamento a SFOS v20, le funzionalità VPN del User Portal vengono trasferite nel nuovo VPN Portal. In futuro l’utente avrà quindi due portali, sempre che il User Portal venga ancora utilizzato spesso. Su questo torniamo alla fine.
Il nuovo Portale VPN in SFOS v20 centralizza le funzioni specifiche VPN che in precedenza erano nel Portale Utente.
- Scarica Sophos Connect Client per Windows e macOS
- Scarica la configurazione per Remote SSL VPN e IPsec
- Accesso ai segnalibri senza client
La containerizzazione minimizza l’accesso ai componenti principali di SFOS, rendendo l’utilizzo su WAN più sicuro. Le funzioni relative ai metodi di autenticazione o MFA rimangono le stesse del Portale Utente.
La migrazione a SFOS 20.0 trasferisce automaticamente nel VPN Portal le configurazioni esistenti del User Portal, facilitando il passaggio. Tuttavia, il User Portal riceve una nuova porta, mentre il VPN Portal continua a funzionare sulla porta precedente.
Cosa cambia per i portali dopo l’aggiornamento a SFOS v20?
| Portale VPN | Portale Utente |
|---|---|
| Porta standard: 443 Ciò significa che le implementazioni VPN di accesso remoto esistenti continuano a funzionare senza problemi. | Porta standard: 4443 |
| La porta può essere condivisa con i seguenti servizi: - WAF - SSL VPN | La porta non può essere utilizzata per nessun altro servizio. |
| Download: - Sophos Connect Client - Configurazione IPsec e SSL VPN - Configurazione VPN iOS Gli utenti guest non hanno accesso al portale VPN. | Il client VPN e le configurazioni sono ora nel portale VPN. |
| - Auto-Provisioning per Sophos Connect Client - Recupero della configurazione VPN tramite portale VPN - Con porta standard 443, le implementazioni esistenti rimangono invariate | Spostato nel Portale VPN |
| Accesso senza client ai segnalibri | Spostato nel Portale VPN |
| - | - Altri download client - Utilizzo di Internet - Quarantena e eccezioni e-mail - Superamento delle policy - Hotspot wireless |
Nella KB di Sophos trovate maggiori informazioni sull’argomento: Nuovo portale VPN in SFOS 20.0 e versioni successive
Si vede quindi chiaramente quali funzioni rimangono nel User Portal. Guardando alla base utenti di queste funzioni, emerge che solo pochissimi dei nostri clienti le hanno utilizzate; di conseguenza, il User Portal verrà usato molto meno in futuro.
IPsec VPN Stateful HA Failover
In Sophos Firewall v20 viene introdotto il failover Stateful High Availability (HA) per le connessioni VPN IPsec. Questa nuova funzionalità consente che, in caso di failover, le connessioni VPN IPsec esistenti vengano trasferite senza interruzioni al nodo di standby, senza che le sessioni vengano interrotte. È importante sottolineare quali connessioni VPN beneficiano di questo miglioramento e quali no.
Il miglioramento riguarda le seguenti connessioni VPN:
- VPN IPsec Site-to-Site (basate su rotta e basate su policy)
- VPN IPsec di accesso remoto
Ciò significa che sia le VPN di accesso remoto che le VPN Site-to-Site possono essere continuate in caso di failover senza dover ristabilire la connessione.
Nel contesto delle VPN IPsec, questa funzione è particolarmente utile in quanto accelera il ripristino delle connessioni in caso di failover e quindi aumenta la disponibilità della rete. Soprattutto nel ripristino della connessione si sono verificati ripetutamente problemi e le connessioni VPN dovevano essere ripristinate manualmente o automaticamente con un certo ritardo dopo un failover. Ciò poteva portare a interruzioni dei servizi di rete, che a loro volta compromettevano i processi aziendali. Ora, al massimo, si perdono alcuni ping, ma la connessione rimane.
Con il miglioramento degli Stateful HA Failovers in Sophos Firewall v20, anche le grandi organizzazioni che dipendono da un’elevata disponibilità possono ora beneficiare di una maggiore stabilità e di un funzionamento senza problemi. Le nuove opzioni della riga di comando per la gestione delle impostazioni contribuiscono anche alla flessibilità e al controllo necessari nella gestione delle connessioni VPN.
Altre connessioni VPN come SSL VPN e le connessioni Sophos RED non sono interessate da questo specifico miglioramento del failover, ma l’esperienza dimostra che funzionano anche meglio durante la creazione della connessione.
FQDN Host Support per SSL VPN
In SFOS v20 è stato aggiunto il supporto per i Fully Qualified Domain Names (FQDN) nell’ambito della funzionalità SSL VPN. Con questa novità, le connessioni SSL VPN possono ora essere configurate in base ai nomi di dominio invece che solo agli indirizzi IP. Questo è particolarmente utile in ambienti di rete dinamici, dove gli indirizzi IP degli endpoint possono cambiare, poiché le modifiche negli indirizzi di rete non devono più essere aggiornate manualmente nella configurazione VPN.
Il supporto FQDN facilita inoltre l’integrazione con i servizi DNS, il che semplifica la risoluzione dei nomi di rete e può migliorare le prestazioni complessive delle connessioni SSL VPN.
Inoltre, il supporto FQDN consente di creare policy di sicurezza più precise basate sui nomi di dominio, migliorando il controllo degli accessi alla rete.
SNMP – Monitora lo stato del tunnel VPN IPsec
In SFOS v20 del Sophos Firewall è stata aggiunta la funzione di monitorare lo stato dei tunnel VPN IPsec tramite il protocollo SNMP (Simple Network Management Protocol). Questo era già da tempo nella nostra lista dei desideri e ora semplifica il monitoraggio di altri servizi.
Il componente principale di questa funzione è il file MIB (Management Information Base) fornito da Sophos Firewall. Il file MIB viene importato nello strumento SNMP e consente l’accesso a una varietà di punti dati che forniscono informazioni importanti sullo stato, le prestazioni e i possibili errori dei tunnel VPN IPsec. Ciò consente agli amministratori di eseguire un monitoraggio e un’analisi dettagliati delle attività del tunnel.
Azure AD – Captive Portal SSO e Importazione Gruppi
Sophos Firewall v20 introduce integrazioni estese con Azure Active Directory (Azure AD) attraverso due nuove funzionalità: Azure AD SSO per Captive Portal e importazione di gruppi Azure e RBAC.
La funzione Azure AD SSO per Captive Portal consente agli utenti di autenticarsi al Captive Portal utilizzando le proprie credenziali Azure AD. Ciò semplifica il processo di autenticazione consentendo agli utenti di utilizzare le proprie credenziali Azure AD esistenti.
La seconda novità, Azure Group Import e RBAC, aggiunge una nuova procedura guidata per l’importazione di gruppi Azure AD e consente la promozione automatica per modifiche amministrative basate sui ruoli. Con questa funzione, gli amministratori possono importare facilmente i gruppi Azure AD in Sophos Firewall e utilizzarli per il controllo degli accessi basato sui ruoli (RBAC). La promozione automatica semplifica la gestione di ruoli e autorizzazioni utente, applicando automaticamente le modifiche nell’assegnazione amministrativa basata sui ruoli.
L’estensione di Azure AD è un passo avanti, ma purtroppo dobbiamo ancora attendere l’utilizzo del login Azure AD per VPN Portal, Remote IPsec VPN o SSL VPN. Restiamo quindi in attesa di ulteriori update. 😩
Per configurare Azure AD sul firewall stesso, questi link sono d’aiuto:
- Configura un’applicazione Azure
- Sophos Firewall v21.5: Integrazione SSO di Entra ID per Sophos Connect Client
Attiva / Disattiva interfacce
È stata integrata una funzione attesa da tempo dagli amministratori: attivare e disattivare le interfacce. Questa utile funzione era già disponibile nel precedente sistema operativo Sophos UTM e con SFOS v20 Sophos esaudisce finalmente il desiderio degli amministratori di riaverla.
In precedenza, un’interfaccia poteva essere solo completamente disattivata, il che comportava la perdita dell’intera configurazione.
Se un’interfaccia viene ora disattivata nelle impostazioni, l’intera configurazione rimane intatta e l’interfaccia può essere facilmente riattivata se necessario.
Quando disattivata, la riga dell’interfaccia viene visualizzata in grigio e nel Centro di Controllo lo stato viene mostrato come Disattivato (Turned off). Questo miglioramento semplifica notevolmente la gestione del firewall e consente agli amministratori di risparmiare tempo prezioso nella configurazione e gestione delle interfacce di rete.
Ci sono alcune eccezioni in cui l’attivazione/disattivazione delle interfacce non è possibile. Ad esempio, le interfacce alias o tunnel, o le interfacce che sono membri individuali di un LAG (Link Aggregation Group) o un Bridge, non possono essere disattivate. Tuttavia, l’intero LAG o l’interfaccia Bridge possono essere disattivate.
| Tipo di interfaccia | Attivazione/disattivazione supportata |
|---|---|
| Fisica | Sì |
| VLAN | Sì |
| LAG (Gruppo) | Sì |
| Membro individuale LAG | No |
| Bridge | Sì |
| Membro individuale Bridge | No |
| Alias | Previsto |
| Rete wireless | Sì |
| Interfaccia tunnel (XFRM) | No |
| Wi-Fi | Sì |
| RED | Sì |
*Sophos Firewall v20 (SFOS v20) – Supporto per l’attivazione/disattivazione dell’interfaccia
Riferimento oggetti
La novità della “referenziazione degli oggetti” in Sophos Firewall versione 20 risolve una sfida nota nella gestione degli oggetti di rete. Nelle versioni precedenti fino alla 19.5, identificare dove veniva utilizzato un oggetto specifico all’interno della configurazione, prima di poterlo eliminare, era un compito laborioso. Questo poteva causare ritardi e potenziali errori, soprattutto in ambienti di rete estesi con molte regole e policy.
Nella versione 20 questa lacuna è stata colmata. Per gli oggetti nella voce di menu “Host e servizi”, tutti gli oggetti sono organizzati in schede e, con SFOS v20, Sophos Firewall mostra esattamente dove un oggetto è in uso: in una regola firewall, in una regola NAT, in una configurazione VPN o come servizio in un gruppo. Questo facilita l’identificazione delle dipendenze e aiuta ad apportare le modifiche necessarie prima dell’eliminazione.
Un’altra funzione molto utile è il collegamento diretto alle regole in cui l’oggetto viene utilizzato. Con un solo clic, l’amministratore può passare direttamente alla regola interessata ed effettuare le modifiche necessarie, senza perdere tempo nella ricerca manuale. Questo migliora l’efficienza, riduce la probabilità di errori e fa risparmiare tempo prezioso che altrimenti sarebbe necessario per gestire e verificare la configurazione. La referenziazione degli oggetti in Sophos Firewall v20 è quindi un passo importante verso una gestione più semplice e una migliore prevenzione degli errori di configurazione, facilitando notevolmente il lavoro quotidiano degli amministratori di rete.
Una volta al giorno la referenziazione viene aggiornata, ma può anche essere eseguita manualmente.
Sophos la chiama “Quality of Life Enhancements”. In realtà, è più un modo per rispondere a richieste dei clienti attese da tempo.
Routing dinamico IPv6 (BGP)
In Sophos Firewall v20 è stato esteso il supporto per il routing dinamico con IPv6 nel Border Gateway Protocol (BGP). Questa estensione è un aggiornamento importante, poiché BGP è un protocollo di routing centrale in Internet globale. A differenza di altri protocolli di routing, BGP in SFOS non richiede processi o servizi separati per IPv4 e IPv6, ma offre un servizio standardizzato che semplifica la configurazione e la gestione. L’interfaccia utente è stata estesa in modo che sia IPv4 che IPv6 possano essere configurati sulla stessa pagina, con sezioni separate disponibili per le informazioni di routing di IPv4 e IPv6.
DHCP Prefix Delegation IPv6
Con l’introduzione della DHCP Prefix Delegation in Sophos Firewall SFOS v20, la gestione degli indirizzi IPv6 viene automatizzata. Questa funzione consente di ottenere prefissi di indirizzi IPv6 dal provider e di inoltrarli alla rete LAN. Al ricevimento di un indirizzo IPv6 sull’interfaccia WAN, questo può ora essere utilizzato nella rete LAN. Mediante una richiesta di DHCPv6 Prefix Delegation all’ISP, il Firewall riceve un intervallo di indirizzi IPv6, che viene poi trasmesso ai dispositivi di rete. Questi ricevono i loro indirizzi IPv6 globalmente instradabili tramite messaggi Router Advertisement (RA).
La DHCP Prefix Delegation semplifica notevolmente la gestione degli indirizzi IPv6 e consente un adattamento fluido alle modifiche del prefisso dell’ISP distribuendo automaticamente nuovi prefissi a tutti i client connessi. Ciò migliora l’efficienza e la sicurezza della rete, riduce la complessità della gestione manuale degli indirizzi e promuove un uso più efficiente degli indirizzi IPv6 nella rete. In questo modo, è possibile offrire determinati servizi nella rete con gli indirizzi IPv6 ricevuti dal provider.
Nel seguente video viene spiegata nuovamente la DHCP Prefix Delegation.
Active Threat Response
I seguenti miglioramenti consentono una comunicazione fluida tra gli analisti di sicurezza e Sophos Firewall per rispondere in modo proattivo alle minacce identificate.
Synchronized Security per MDR e XDR
Con Extended Detection and Response (XDR), Sophos Firewall v20 compie un passo importante nella difesa automatizzata dalle minacce. Questa funzione crea un collegamento informativo diretto tra gli analisti di sicurezza e il firewall, consentendo una risposta rapida e automatizzata alle minacce attive.
I dati sulle minacce possono ora essere condivisi senza problemi con il firewall senza dover creare manualmente regole firewall. Questo scambio automatico di informazioni consente al firewall di rispondere proattivamente alle minacce identificate e di adottare le opportune misure di difesa.
Vantaggi:
- Riduzione del lavoro amministrativo manuale
- Aumento della velocità di risposta alle minacce
- Miglioramento della postura di sicurezza complessiva della rete
- Risposta automatizzata alle minacce
- Riduzione del tempo impiegato dal team di sicurezza per la configurazione manuale e l’adattamento delle regole del firewall
Sophos Firewall v20 estende la Synchronized Security per includere Managed Detection and Response (MDR) e Extended Detection and Response (XDR). Questa estensione consente agli analisti della sicurezza di condividere i dati sulle minacce attive direttamente con il firewall. Un punto di forza è che il firewall è in grado di rispondere automaticamente alle minacce attive, senza dover creare regole firewall separate. Questo ulteriore sviluppo rappresenta un significativo valore aggiunto, in quanto riduce notevolmente il tempo di risposta alle minacce e consente una protezione proattiva.
Dynamic Threat Feeds
L’introduzione dei Dynamic Threat Feeds porta con sé un nuovo Threat Feed API Framework, che sarà anche estensibile. Questa funzione facilita lo scambio di dati sulle minacce tra il team Sophos X-Ops e altri prodotti Sophos come MDR e XDR e in futuro dovrebbe integrare anche feed di minacce di terze parti. Grazie a questa maggiore flessibilità, le capacità di Threat Intelligence del firewall vengono ampliate in modo significativo, migliorando rilevamento e risposta alle minacce.
Synchronized Security
La Synchronized Security sarà ulteriormente ottimizzata per consentire una risposta ancora più efficiente alle minacce identificate da MDR/XDR.
Un Health Status rosso su un endpoint o un server indica di norma problemi come malware attivo o in esecuzione, traffico di rete dannoso, comunicazione con host malevoli noti, malware non rimosso o un Sophos Endpoint non correttamente funzionante. In questi casi sono necessarie misure per affrontare i rischi di sicurezza.
L’automatismo (Lateral Movement Protection) con uno stato di salute rosso viene ora esteso alle minacce per garantire che gli host interessati, in caso di compromissione, non possano spostarsi lateralmente nella rete o comunicare esternamente, mentre dettagli importanti come host, utente e processo sono facilmente accessibili per il tracciamento.
La scalabilità di Synchronized Security è stata anche ottimizzata per facilitare la gestione in grandi ambienti di rete. I falsi positivi dovuti alla mancanza di heartbeat su dispositivi in standby o ibernazione sono stati ridotti.
Nuove funzionalità WAF
Controllo Geo IP (bloccare paesi / regioni)
Su Sophos Firewall è presente un database Geoip ip2country, aggiornato tramite i pattern update. Nelle regole firewall e NAT o nelle Local Service ACL Exception Rules era già possibile utilizzarlo. Dopo l’aggiornamento a SFOS v20, nella Web Application Firewall (WAF) è possibile bloccare l’accesso ai server in base alla posizione geografica (indirizzi IP). Gli utenti possono ora bloccare paesi / regioni o continenti specifici, oppure consentire l’accesso solo da determinate regioni. Questa funzione aumenta la sicurezza impedendo l’accesso da regioni potenzialmente dannose e offre al tempo stesso un ulteriore livello di controllo degli accessi.
Configurazione dei cipher
La configurazione personalizzata dei cipher e delle versioni TLS consente ora di utilizzare cifrature più robuste (cipher più sicuri) ed escludere quelle più deboli. Questo offre un controllo migliore sulla sicurezza della trasmissione dei dati tra gli utenti e le applicazioni protette dalla WAF.
HSTS e X-Content-Type-Options
Sicurezza migliorata grazie a HSTS e X-Content-Type-Options: l’implementazione di HTTP Strict Transport Security (HSTS) impone l’uso di HTTPS e migliora così la sicurezza dei browser client. L’impostazione X-Content-Type-Options aiuta a disabilitare il MIME-type sniffing, offrendo una protezione aggiuntiva contro determinati tipi di attacchi.
Integrazione SD-WAN di terze parti
Supponiamo che un’azienda abbia più sedi con reti proprie che devono essere interconnesse per condividere dati e risorse in modo efficiente. Invece della soluzione MPLS tradizionale, costosa e meno flessibile, la SD-WAN (Software-Defined Wide Area Network) offre un’alternativa più agile ed economicamente vantaggiosa.
Grazie all’integrazione di SD-WAN di terze parti in Sophos Firewall v20, il traffico può essere trasferito senza interruzioni alle potenti reti backbone di Cloudflare, Akamai o Azure. Ad esempio, un’azienda che necessita di una connessione più veloce e sicura tra le proprie sedi può instradare il traffico attraverso la rete backbone di Azure per beneficiare della sua portata globale e dei suoi solidi servizi di sicurezza. Questo migliora prestazioni, sicurezza e affidabilità, riducendo al contempo complessità e costi di rete.
L’onramping verso reti backbone di provider come Cloudflare, Akamai o Azure crea un ponte tra la rete locale e le ampie infrastrutture di rete di questi provider. L’integrazione di soluzioni SD-WAN di terze parti in Sophos Firewall v20 semplifica questo processo.
Gateway ZTNA
Questa funzionalità non è nuova di per sé, poiché è stata già integrata nel firewall con SFOS 19.5 MR3, tuttavia Sophos la elenca nuovamente tra le novità di SFOS v20.
L’articolo su questo argomento si trova qui: Sophos ZTNA Gateway su Sophos Firewall
