Sophos Firewall v21: Nuove funzionalità e miglioramenti

Sophos Firewall v21 è ufficialmente disponibile dal 17 ottobre e in questo articolo descriviamo le nuove funzioni di questa versione.

⚠️ Aggiornamento a Sophos Firewall v21

• ✅ Appliance XGS
• ✅ Sophos Firewall VM o installazioni software
• ❌ Appliance End of Life
• ❌ Appliance SG con Sophos Firewall OS End of Life

L’aggiornamento a Sophos Firewall v21 è disponibile esclusivamente per appliance XGS, nonché per firewall VM e software. Le appliance XG e le appliance SG con SFOS non riceveranno più questo aggiornamento e raggiungeranno la fine vita (EOL) il 31 marzo 2025. Tutti coloro che sono interessati dalla fine vita saranno nuovamente informati su tutti i dettagli nell’articolo XG End-of-Life.

Let’s Encrypt

Con la versione 21 di Sophos Firewall è possibile utilizzare Let’s Encrypt per ottenere, rinnovare e gestire certificati SSL/TLS gratuitamente e in modo automatizzato. L’integrazione di Let’s Encrypt in Sophos Firewall v21 semplifica la gestione dei certificati e garantisce che vengano rinnovati automaticamente prima della scadenza.

FINALMENTE! Da anni questa è probabilmente una delle funzionalità più richieste e Sophos se l’è presa davvero comoda, anche se FortiGate lo supporta già da oltre un anno 🫣.

Creazione automatica dei certificati

I certificati Let’s Encrypt sono validi per 90 giorni e vengono rinnovati automaticamente da Sophos Firewall 30 giorni prima della scadenza. Questo riduce sensibilmente l’impegno manuale nella gestione dei certificati e garantisce che il firewall lavori sempre con certificati validi.

Interfacce supportate

I certificati Let’s Encrypt possono essere utilizzati nel firewall per vari servizi web:

• Console di amministrazione web
• Portale utente
• Captive Portal
• Portale VPN
• Portale SPX
• WAF (Web Application Firewall)

Tuttavia, Let’s Encrypt non è supportato per i seguenti servizi:

• VPN di accesso remoto
• VPN site-to-site
• Chromebook SSO

Convalida del dominio tramite HTTP

I certificati vengono convalidati tramite il meccanismo HTTP challenge-response. La firewall crea una configurazione temporanea del web server e una policy WAF per gestire la challenge e convalidare il dominio. Le regole firewall temporanee e il web server virtuale vengono rimossi automaticamente dopo l’emissione corretta del certificato.

Gestione dei domini

È possibile richiedere certificati per un massimo di 50 domini; sono supportati solo nomi di dominio completi (FQDN). Domini wildcard e indirizzi IP non sono consentiti.

Utilizzo dei certificati Let’s Encrypt

Per creare un certificato Let’s Encrypt, si registra un account Let’s Encrypt nel firewall, si aggiungono i domini desiderati e si configura l’interfaccia WAN per la convalida HTTP del dominio tramite la porta 80. È importante che i record DNS puntino all’IP pubblico del firewall.

I certificati emessi possono quindi essere utilizzati per la console WebAdmin, i portali utente e il Web Application Firewall (WAF) per garantire connessioni HTTPS sicure.

Una guida dettagliata è disponibile in questo video:

Miglioramenti UX e UI

Central UI ora sul firewall

Con l’aggiornamento a Sophos Firewall v21, l’interfaccia utente è stata rivista per migliorare navigazione e panoramica dei dati. La nuova barra laterale e lo schema cromatico adattato rendono la struttura più chiara. La dashboard sfrutta meglio lo spazio disponibile sullo schermo, scalando fino a una larghezza di 1920 pixel. Questo consente di visualizzare più informazioni contemporaneamente e facilita la lettura complessiva.

Anche i widget sono stati adattati per rendere disponibili più informazioni a colpo d’occhio. La visualizzazione a card semplifica la separazione delle diverse categorie di dati. Queste modifiche consentono un accesso più rapido alle informazioni rilevanti per la sicurezza e ai messaggi di stato del sistema.

Nel complesso, l’interfaccia rivista punta a rendere più efficiente l’interazione con il firewall. È naturalmente bello vedere che Sophos torna finalmente a fare qualcosa anche in quest’area. Speriamo che anche i temi nascondere i messaggi di avviso nella dashboard e prestazioni backend vengano affrontati presto.

Referenziazione degli oggetti

La funzionalità di referenziazione degli oggetti è stata introdotta in Sophos Firewall con la v20.

Sophos Firewall v21 offre la possibilità di tracciare nella configurazione l’uso di oggetti come interfacce, zone, gateway o profili SD-WAN. Grazie alla trasparenza sui punti in cui un oggetto viene utilizzato, le modifiche possono essere effettuate in modo mirato. Anche la pulizia degli oggetti non più necessari diventa più semplice, perché si vede rapidamente se sono ancora in uso o possono essere rimossi.

Object Reference API

La Object Reference API introdotta in Sophos Firewall v21 consente di recuperare automaticamente il numero di utilizzi degli oggetti di configurazione. L’API può essere usata per ottenere rapidamente una panoramica di quante volte un oggetto viene utilizzato nella configurazione. Questo è particolarmente utile quando si deve gestire un gran numero di host o interfacce.

L’API consente di interrogare programmaticamente il numero di riferimenti e supporta opzioni di filtro per cercare oggetti specifici. Questa funzionalità offre un modo efficiente per identificare oggetti inutilizzati e rimuoverli se necessario. L’API può anche essere integrata nei processi di automazione, risparmiando tempo in attività ricorrenti come la pulizia del sistema.

Threat Feed di terze parti

Con Sophos Firewall v21 è supportata l’integrazione di Third-party Threat Feeds per la difesa automatica dalle minacce. Questa funzione estende l’integrazione già esistente della threat intelligence di Sophos X-Ops e Sophos MDR con fonti esterne di dati sulle minacce. Sophos Firewall può ora elaborare automaticamente indicatori di minaccia provenienti da terze parti, Managed Service Provider (MSP) o consorzi di settore e bloccare le minacce in diversi sottosistemi.

Blocco automatizzato

Non appena gli indicatori di minaccia vengono forniti da un feed di terze parti, vengono integrati automaticamente nelle regole firewall. Minacce come indirizzi IP, domini e URL malevoli vengono bloccate immediatamente in tutti i moduli di sicurezza rilevanti: firewall, IPS (Intrusion Prevention System), blocklist DNS, web filter e Deep Packet Inspection (DPI).

Intervallo di polling

La frequenza con cui il firewall aggiorna i feed è configurabile in modo flessibile. Gli amministratori possono impostare un intervallo compreso tra un’ora e 30 giorni. Questo consente di controllare l’aggiornamento dei dati sulle minacce in base alle esigenze.

Supporto per più feed

Sophos Firewall può gestire fino a 50 diverse sorgenti di Threat Feed. Questi feed devono essere disponibili in un formato specifico: ogni indicatore di compromissione (IOC) viene trasmesso come singola riga in un file .txt tramite HTTPS.

Autenticazione e sicurezza

L’integrazione di feed esterni sulle minacce richiede di norma un’autenticazione. Sophos Firewall supporta diversi metodi, tra cui Basic Authentication e autenticazione basata su token. Questo garantisce che vengano utilizzate solo fonti autorizzate di dati sulle minacce.

Grazie al supporto dei feed esterni, la capacità difensiva del firewall viene migliorata in modo decisivo. Le minacce provenienti da feed settoriali o regionali possono essere rilevate e bloccate senza dover creare manualmente regole firewall aggiuntive.

Provider di Threat Feed

Ecco una piccola selezione di provider che mettono a disposizione Threat Feed.

Cybora

Cybora fornisce un Threat Intelligence Feed curato, che combina dati provenienti da centinaia di firewall in tutto il mondo, fonti community e feed commerciali.

Il focus è su indicatori attivi e ad alto rischio, come server command-and-control, scansioni botnet, attacchi brute-force e infrastrutture di phishing. Grazie a scoring, deduplicazione e una logica di scadenza breve, le liste restano aggiornate, pulite e utilizzabili nella pratica.

La distribuzione avviene tramite semplici liste di IP e domini via HTTPS, aggiornate più volte al giorno. Cybora è compatibile con Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks e altre piattaforme.

Cybora si è specializzata nell’impiego in firewall e, dal nostro punto di vista, offre un rapporto qualità-prezzo molto forte. È la soluzione che preferiamo utilizzare presso i nostri clienti. (Avanet ❤️ Cybora)

• Dettagli della soluzione: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec è una soluzione open source per la difesa dalle minacce informatiche, supportata dall’intelligenza collettiva. Offre blocklist automatizzate e Threat Feed raccolti da una community globale. CrowdSec aiuta a identificare e bloccare le minacce in tempo reale aggregando informazioni provenienti da molti partecipanti.

GreyNoise

GreyNoise si concentra sull’analisi del “rumore di Internet”, esaminando input di rete globali per identificare quali attività siano probabilmente malevole. Filtra dati di traffico dannosi che non rappresentano un attacco diretto alla propria infrastruttura, aiutando così a ridurre i falsi positivi e a dare priorità alle minacce reali.

Cisco Talos

Talos è l’unità di ricerca sulle minacce di Cisco e offre uno dei più grandi Threat Intelligence Feed commerciali al mondo. Include informazioni dettagliate su minacce globali, vulnerabilità e attori malevoli. Talos supporta il rilevamento e la difesa dagli attacchi informatici con dati sulle minacce aggiornati.

Abuse.ch / URLhaus

Abuse.ch è una piattaforma specializzata nel rintracciare e bloccare domini e indirizzi IP dannosi, in particolare malware e botnet. URLhaus è un progetto di Abuse.ch che si concentra sulla segnalazione e il blocco di URL che distribuiscono malware.

Hakk Solutions

Hakk Solutions è un provider di informazioni e servizi di sicurezza specializzato in threat intelligence e monitoraggio della sicurezza. I servizi includono dati sulle minacce che possono essere utilizzati per identificare e contrastare attacchi informatici.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide offre feed di Open-Source Intelligence (OSINT) basati su informazioni pubblicamente disponibili. Questi feed contengono dati su indirizzi IP, URL e domini malevoli raccolti da diverse fonti pubbliche.

CINS Score (CINSscore.com)

CINS Score offre dati sulle minacce basati sull’analisi del traffico di rete e aiuta a identificare host e reti malevoli. Utilizza machine learning e algoritmi euristici per valutare indirizzi IP potenzialmente pericolosi.

EclecticIQ

EclecticIQ fornisce dati sulle minacce e analisi per aziende e security operation. Il provider offre servizi completi di threat intelligence che consentono di rilevare le minacce e reagire di conseguenza.

Feodo Tracker

Feodo Tracker è un altro progetto di Abuse.ch specializzato nel tracciamento di botnet, in particolare Feodo, Dridex ed Emotet. Fornisce informazioni sui server usati da queste botnet per il controllo e aiuta a identificare e bloccare attività malevole.

DigitalSlide Threat Intel

DigitalSide offre Threat Intelligence Feed con focus su Open-Source Intelligence (OSINT). Raccoglie informazioni pubblicamente disponibili su indirizzi IP, domini e URL malevoli. Questi feed sono particolarmente utili per identificare precocemente le minacce, perché si basano su un ampio spettro di fonti pubbliche e vengono aggiornati regolarmente.

Proofpoint - Emerging Threat Intelligence

Proofpoint offre informazioni complete sulle minacce attraverso il suo Emerging Threats Intelligence Feed. Questo servizio si concentra sulla fornitura di aggiornamenti in tempo reale sulle minacce emergenti, incluse nuove tecniche di attacco e vulnerabilità. Proofpoint utilizza machine learning e analisi di esperti per offrire insight dettagliati sulle minacce globali e aiutare le aziende a rispondere in modo mirato agli attacchi informatici.

Indicatori di minaccia dagli endpoint

Sophos Firewall v21 offre la possibilità di integrare e analizzare Indicators of Compromise (IoCs) provenienti dagli endpoint. Sono supportati sia endpoint gestiti sia non gestiti. Non appena un endpoint rileva un’attività malevola, questa informazione viene trasmessa al firewall. Il firewall analizza gli IoC e blocca le attività sospette.

Questa funzione è particolarmente utile per migliorare la sincronizzazione tra endpoint e firewall. I tentativi di minaccia rilevati sugli endpoint possono così essere fermati direttamente nell’intera rete. L’analisi in tempo reale contribuisce a una risposta rapida alle minacce e al contenimento degli attacchi.

Telemetria sincronizzata

Il firewall è in grado di correlare i tentativi di minaccia provenienti dagli endpoint includendo dettagli come processi e applicazioni eseguiti. Questo migliora il rilevamento e l’analisi delle minacce. Non appena un endpoint rileva un’attività sospetta, queste informazioni vengono trasmesse automaticamente al firewall per bloccare la minaccia su diversi livelli di rete.

Blocco automatico delle minacce

Se viene rilevato un processo malevolo su un endpoint gestito, il firewall blocca automaticamente l’indirizzo IP, il dominio o l’URL associati. Questo vale per sottosistemi come firewall, blocklist DNS, web filter e Deep Packet Inspection. Questa integrazione fluida tra firewall ed endpoint riduce sensibilmente il tempo di risposta alle minacce.

Un esempio potrebbe essere un endpoint non gestito che tenta di accedere a un URL malevolo. La firewall interverrebbe immediatamente e bloccherebbe l’accesso, senza che l’endpoint debba avere una configurazione specifica. Questo protegge anche dispositivi non gestiti direttamente da Sophos Endpoint Security.

La capacità di elaborare IoC dagli endpoint offre agli amministratori un ulteriore livello di difesa, perché il firewall non reagisce solo al traffico di rete, ma anche a informazioni dettagliate sulle minacce provenienti dagli endpoint stessi.

Lateral Movement Protection

Lateral Movement Protection viene citata di nuovo in Sophos Firewall v21 perché in questa versione sono stati apportati miglioramenti e ottimizzazioni sostanziali. Nella v21 sono state migliorate in particolare l’integrazione e la sincronizzazione con altre funzioni di sicurezza come Synchronized Security e Active Threat Response (ATR). Il firewall può ora rispondere alle minacce in modo più rapido ed efficiente, isolando automaticamente i dispositivi compromessi e bloccando la diffusione delle minacce nella rete.

Lateral Movement Protection impedisce alle minacce di diffondersi nella rete isolando i dispositivi compromessi. Non appena un endpoint viene riconosciuto come compromesso, la comunicazione con altri dispositivi nella rete viene bloccata. Il firewall condivide queste informazioni anche con altri endpoint, che a loro volta bloccano l’accesso di rete del dispositivo compromesso.

Questa funzione aumenta la sicurezza dell’intera rete impedendo alle minacce di muoversi lateralmente da un dispositivo all’altro. È particolarmente utile nelle reti di grandi dimensioni, dove l’isolamento rapido dei dispositivi infetti può essere decisivo per prevenire un incidente.

Blocco degli indirizzi MAC

Quando un endpoint viene riconosciuto come compromesso, il firewall condivide l’indirizzo MAC di questo dispositivo con tutti gli altri endpoint nella rete. Gli endpoint bloccano quindi l’accesso alla rete del dispositivo infetto. Questo impedisce alle minacce di diffondersi ulteriormente nella rete.

Stato Heartbeat

Il firewall monitora continuamente lo stato Heartbeat degli endpoint. Non appena un endpoint viene identificato come compromesso, lo stato Heartbeat passa a rosso, attivando un meccanismo di blocco immediato. La comunicazione dell’endpoint compromesso viene interrotta subito, consentendo un contenimento efficace della minaccia.

Uno scenario tipico potrebbe essere un endpoint che, dopo essere stato compromesso, tenta di muoversi lateralmente nella rete. Con Lateral Movement Protection attiva, questo endpoint viene immediatamente isolato e la sua comunicazione bloccata. Questo impedisce la diffusione di malware, ad esempio ransomware, che potrebbe tentare di infettare altri dispositivi.

Il prerequisito per questa funzione è che il firewall e gli endpoint Sophos siano collegati tramite Sophos Central. Questo consente la sincronizzazione tra le soluzioni di sicurezza e garantisce che le minacce possano essere rilevate e isolate rapidamente.

Reporting su Threats e IoC

Sophos Firewall v21, come le versioni precedenti, offre funzioni di reporting disponibili sia sul dispositivo (OnBox) sia nel cloud tramite Sophos Central. Questi report consentono di analizzare in dettaglio minacce e attività di rete, offrendo informazioni preziose sulla postura di sicurezza della rete.

In Sophos Firewall v21, le funzioni di reporting sono state ampliate con l’integrazione di Threat Sources e Threat Events, oltre al supporto per Synchronized Indicators of Compromise (IoC). La novità è che i report ora forniscono informazioni dettagliate sulle fonti delle minacce e sui relativi eventi specifici. È possibile seguire con precisione i tentativi di minaccia, vedendo quali dispositivi, indirizzi IP o utenti erano coinvolti e quali moduli firewall hanno bloccato la minaccia.

Particolarmente rilevante è il supporto per Synchronized IoCs. I dati sulle minacce provenienti da Sophos Central, Sophos Managed Detection and Response (MDR) e feed di terze parti vengono sincronizzati. Questa estensione permette di ottenere insight più profondi sulle minacce, analizzando con maggiore precisione processi ed endpoint interessati. Gli amministratori possono così vedere non solo dove si sono verificate le minacce, ma anche come impattano endpoint e componenti di rete.

In questo video il tema dei Third-party Threat Feeds viene spiegato ancora una volta in dettaglio:

Miglioramenti per static route e VPN

Miglioramenti UX per VPN

Con la versione 21 di Sophos Firewall sono stati introdotti diversi miglioramenti dell’esperienza utente (UX) per la gestione delle connessioni VPN, così da renderne l’uso più efficiente.

Attivazione e disattivazione in blocco

Gli amministratori possono ora attivare o disattivare più connessioni VPN contemporaneamente.

Questo fa risparmiare molto tempo, soprattutto nella gestione di reti grandi con molti tunnel VPN. La disattivazione avviene rapidamente tramite un pulsante centrale nell’area di gestione VPN.

Opzioni di filtro estese

La pagina di panoramica delle connessioni VPN dispone ora di funzioni di filtro migliorate, che semplificano la navigazione tra più pagine di configurazioni VPN. Questi filtri includono sia input di testo libero sia opzioni di ricerca basate su valori, facilitando la gestione e la ricerca di reti, subnet o utenti specifici per Remote Access VPN e Site-to-Site VPN.

Filtro interfaccia XFRM

È stata aggiunta un’ulteriore opzione di filtro per le interfacce XFRM. Le interfacce XFRM, spesso utilizzate nelle configurazioni VPN, possono ora essere identificate e gestite più facilmente. Questo è particolarmente utile quando le VPN vengono configurate tramite VLAN e interfacce WAN.

VPN Site-to-Site

In Sophos Firewall v21 sono stati introdotti diversi miglioramenti per le Site-to-Site VPN, focalizzati sia sull’usabilità sia sulle prestazioni.

DHCP relay su tunnel XFRM: Una delle principali nuove funzioni è il supporto per DHCP relay su tunnel XFRM. Questo consente di raggiungere server DHCP dietro firewall remoti, cosa che in precedenza era possibile solo tramite VPN basate su policy. È particolarmente utile in ambienti SD-WAN in cui indirizzi IP dinamici devono essere forniti tramite tunnel.

Supporto FQDN migliorato: Nella configurazione di gateway remoti in IPsec VPN, ora è possibile usare sia FQDN (Fully Qualified Domain Names) sia i rispettivi indirizzi IP risolti. Questo migliora la scalabilità, soprattutto in ambienti con elevata latenza DNS, dove la risoluzione degli FQDN potrebbe compromettere le prestazioni delle connessioni VPN. Gli amministratori possono scegliere se utilizzare FQDN o indirizzi IP risolti nella configurazione.

Le nuove funzioni nell’area Site-to-Site VPN offrono maggiore flessibilità e migliorano la scalabilità in reti distribuite di grandi dimensioni. Grazie all’ottimizzazione del tempo di ripristino delle interfacce, fino a 20 volte più rapido, si riduce drasticamente anche la downtime in caso di interruzioni dei tunnel, riavvii o scenari di failover HA.

Route Management

Il Route Management in Sophos Firewall v21 è stato ampliato con nuove funzioni e miglioramenti per semplificare la gestione delle rotte statiche e dinamiche e aumentare la stabilità della rete.

Rotte statiche

Attivazione/Disattivazione di rotte

Gli amministratori possono ora attivare o disattivare direttamente singole rotte, facilitando notevolmente troubleshooting e gestione delle connessioni di rete. Questo consente un controllo preciso del comportamento di routing in tempo reale.

Clonazione rotte

Con la nuova funzione di clonazione, le rotte esistenti possono essere duplicate e adattate con facilità. Questo fa risparmiare tempo durante la configurazione e garantisce coerenza tra diverse interfacce di rete. Inoltre, ogni rotta può essere dotata di una descrizione per aumentare la chiarezza.

Rotte dinamiche

Supporto esteso per OSPF e BGP

Il firewall ora supporta l’inoltro di rotte BGP verso OSPF v3, migliorando l’interoperabilità tra diversi protocolli di routing. Questo è particolarmente utile in reti complesse con più sedi e protocolli.

Miglioramenti HA

Negli scenari di failover ad alta disponibilità (HA), la stabilità delle rotte dinamiche è stata migliorata in modo significativo. Mentre nelle versioni precedenti potevano verificarsi più interruzioni di connessione durante il failover, ora questo accade una sola volta, aumentando l’affidabilità delle connessioni di rete.

Google Authentication

Il supporto per Google Authentication è stato ampliato in Sophos Firewall v21 per facilitare l’integrazione di Google Workspace e Chromebook.

Integrazione basata su LDAP

Sophos Firewall supporta ora l’integrazione di Google Workspace tramite un normale client LDAP. Questa estensione facilita alle aziende che utilizzano Google Workspace l’autenticazione degli utenti tramite Sophos Firewall, senza dipendere da Active Directory. Nelle versioni future seguirà anche il supporto per Google Workspace SSO (Single Sign-On).

Supporto SSO Chromebook

Il firewall offre ora funzionalità SSO (Single Sign-On) per Google Chromebook collegati a server LDAP. Questa funzionalità era in precedenza limitata ad Active Directory. Gli utenti Google possono così accedere a risorse protette senza passaggi di login aggiuntivi.

Prestazioni SSO migliorate

L’autenticazione è stata migliorata affinché il firewall possa elaborare in modo più efficiente le richieste provenienti da più meccanismi SSO (ad es. STAS, RADIUS SSO, Synchronized User ID). In ambienti con un elevato numero di richieste simultanee, il server può ora rispondere alle richieste di autenticazione fino a quattro volte più velocemente e scartare le richieste duplicate non appena un utente è autenticato.

Considerazioni finali

Nel complesso, Sophos Firewall v21 è un solido aggiornamento annuale: porta piccoli ma importanti miglioramenti nelle aree UX e UI e offre nuove funzioni che aumentano ulteriormente la sicurezza della rete.

Continuiamo volentieri a raccogliere il vostro feedback sulle funzioni che vi mancano al momento. Nel post Sophos Firewall Feature Request 2024 abbiamo già riassunto molti dei vostri suggerimenti e stiamo già lavorando alla lista per il 2025. Potete inviarci ulteriori desideri e proposte tramite il modulo di contatto.