Sophos Firewall v21: Nuove funzioni e miglioramenti
Sophos Firewall La versione 21 è ufficialmente disponibile dal 17 ottobre e in questo articolo descriviamo le nuove funzioni di questa versione.
⚠️ Aggiornamento a Sophos Firewall v21
- ✅ XGS Appliances
- ✅ Installare le macchine virtuali o il software Sophos Firewall
- ❌ Apparecchi XG
- ❌ Le appliance SG con Sophos Firewall OS
Sophos Firewall L’aggiornamento alla versione 21 è disponibile solo per le appliance XGS e per i firewall VM e software. End-of-Life Le appliance XG e le appliance SG con SFOS non riceveranno più questo aggiornamento e raggiungeranno l’EOL il 31 marzo 2025. End-of-Life End-of-Life Tutti gli interessati saranno informati di tutti i dettagli nell’ articolo dedicato a XG.
Argomenti
Let’s Encrypt
Con la versione 21 di Sophos Firewall, puoi utilizzare Let’s Encrypt per ottenere, rinnovare e gestire i certificati SSL/TLS in modo automatico e gratuito. L’integrazione di Let’s Encrypt in Sophos Firewall v21 semplifica la gestione dei certificati e garantisce il loro rinnovo automatico prima della scadenza.
FINALMENTE! Questa è probabilmente una delle funzioni più richieste da anni e Sophos ci ha messo davvero tanto tempo, sebbene anche FortiGate sia in grado di farlo da oltre un anno 🫣.
Creazione automatica di certificati
I certificati Let’s Encrypt hanno una validità di 90 giorni e vengono rinnovati automaticamente da Sophos Firewall 30 giorni prima della loro scadenza. Questo riduce in modo significativo l’impegno manuale richiesto per la gestione dei certificati e garantisce che il firewall funzioni sempre con certificati validi.
Interfacce supportate
I certificati Let’s Encrypt possono essere utilizzati nel firewall per diversi servizi web:
- Console di amministrazione web
- Portale utenti
- Portale vincolato
- VPN Portal
- Portale SPX
- WAF (Web Application Firewall)
Tuttavia, Let’s Encrypt non è supportato dai seguenti servizi:
- Accesso remoto VPN
- VPN sito-sito
- SSO dei Chromebook
Convalida del dominio via HTTP
I certificati vengono convalidati tramite il meccanismo HTTP challenge-response. Il firewall crea una configurazione temporanea del server web e un criterio WAF per superare la sfida e convalidare il dominio. Le regole temporanee del firewall e il server web virtuale vengono automaticamente rimossi una volta che il certificato è stato rilasciato con successo.
Gestione del dominio
Puoi richiedere certificati per un massimo di 50 domini; sono supportati solo i nomi di dominio completamente qualificati (FQDN). Non sono ammessi domini e indirizzi IP jolly.
Usa i certificati Let’s Encrypt
Per creare un certificato Let’s Encrypt, registra un account con Let’s Encrypt nel firewall, aggiungi i domini desiderati e configura l’interfaccia WAN per la convalida del dominio HTTP tramite la porta 80. È importante che le voci DNS puntino all’IP pubblico del firewall.
I certificati emessi possono essere utilizzati per la console WebAdmin, i portali degli utenti e il Web Application Firewall (WAF) per garantire connessioni HTTPS sicure.
Le istruzioni dettagliate sono disponibili in questo video:
Miglioramenti UX e UI
L’interfaccia utente centrale ora è sul firewall
Con l’aggiornamento a Sophos Firewall v21, l’interfaccia utente è stata ridisegnata per migliorare la navigazione e la panoramica dei dati. La nuova barra laterale e lo schema di colori adattato forniscono una struttura più chiara. La dashboard ora sfrutta meglio lo spazio disponibile sullo schermo, scalando fino a 1920 pixel di larghezza. Questo permette di visualizzare più informazioni contemporaneamente, rendendo più facile la visione d’insieme.
Anche i widget sono stati personalizzati per rendere accessibili più informazioni a colpo d’occhio. La visualizzazione della mappa semplifica la separazione delle varie categorie di dati. Queste modifiche consentono di accedere più rapidamente alle informazioni rilevanti per la sicurezza e ai messaggi sullo stato del sistema.
Nel complesso, l’interfaccia rinnovata mira a rendere più efficiente l’interazione con il firewall e naturalmente è bello vedere che Sophos sta finalmente facendo qualcosa in questo settore. Spero che vengano presto risolti anche i problemi relativi alla possibilità di nascondere i messaggi di avviso nella dashboard e alle prestazioni del backend.
Riferimento agli oggetti
La funzione di riferimento agli oggetti è stata aggiunta a Sophos Firewall con la v20.
Sophos Firewall v21 offre un modo per tracciare l’utilizzo di oggetti come interfacce, zone, gateway o profili SD-WAN nella configurazione. Le modifiche a un oggetto possono essere effettuate in modo mirato grazie alla trasparenza delle posizioni di utilizzo. È anche più facile ripulire gli oggetti non più in uso, in quanto è possibile riconoscere rapidamente se sono ancora in uso o se possono essere rimossi.
API di riferimento per gli oggetti
L’API Object Reference introdotta in Sophos Firewall v21 permette di recuperare automaticamente il conteggio dell’utilizzo degli oggetti di configurazione. L’API può essere utilizzata per ottenere rapidamente una panoramica sulla frequenza di utilizzo di un oggetto nella configurazione. Questo è particolarmente utile se devi gestire un gran numero di host o di interfacce.
L’API consente di interrogare in modo programmatico il conteggio dei riferimenti e supporta opzioni di filtro per la ricerca di oggetti specifici. Questa funzionalità offre un modo efficiente per identificare e, se necessario, rimuovere gli oggetti inutilizzati. L’API può anche essere integrata nei processi di automazione, consentendo di risparmiare tempo per le attività ricorrenti come la pulizia del sistema.
Feed di minacce di terze parti
Sophos Firewall v21 supporta l’integrazione di feed di minacce di terze parti per la difesa automatica dalle minacce. Questa funzione estende l’integrazione esistente delle informazioni sulle minacce di Sophos X-Ops e Sophos MDR con le fonti di dati sulle minacce esterne. Sophos Firewall può ora elaborare automaticamente gli indicatori di minaccia provenienti da fornitori di terze parti, provider di servizi gestiti (MSP) o consorzi specifici del settore e bloccare le minacce nei vari sottosistemi.
Blocco automatico
Non appena gli indicatori di minaccia vengono forniti da un feed di terze parti, vengono integrati automaticamente nelle regole del firewall. Minacce come indirizzi IP, domini e URL dannosi vengono immediatamente bloccati da tutti i moduli di sicurezza pertinenti, tra cui il firewall stesso, l’IPS (Intrusion Prevention System), le blocklist DNS, i filtri web e la Deep Packet Inspection (DPI).
Intervallo di polling
La frequenza con cui il firewall aggiorna i feed può essere impostata in modo flessibile. Gli amministratori possono impostare un intervallo compreso tra un’ora e un massimo di 30 giorni. In questo modo è possibile controllare l’aggiornamento dei dati sulle minacce in base alle esigenze.
Supporto per più feed
Sophos Firewall è in grado di gestire fino a 50 diverse sorgenti di minacce. Questi feed devono avere un formato specifico: ogni Indicatore di Compromissione (IOC) viene inviato come una singola riga in un file .txt tramite HTTPS.
Autenticazione e sicurezza
L’integrazione di feed di minacce esterne richiede solitamente l’autenticazione. Sophos Firewall supporta diversi metodi di autenticazione, tra cui l’autenticazione di base e l’autenticazione basata su token. In questo modo si garantisce che vengano utilizzate solo le fonti di dati sulle minacce autorizzate.
Il supporto per i feed esterni migliora notevolmente le capacità di difesa del firewall. Le minacce provenienti da feed specifici del settore o regionali possono essere riconosciute e bloccate senza la necessità di creare manualmente ulteriori regole del firewall.
Fornitore di feed di minacce
Ecco una piccola selezione di fornitori che rendono disponibili i feed delle minacce.
CrowdSec
CrowdSec è una soluzione open source per la difesa dalle minacce informatiche basata sulla crowd intelligence. Fornisce blocklist automatiche e feed di minacce raccolti da una comunità globale. CrowdSec aiuta a identificare e bloccare le minacce in tempo reale aggregando le informazioni sulle minacce di molti partecipanti.
GreyNoise
GreyNoise si concentra sull’analisi del “rumore di internet” esaminando il traffico di rete globale per identificare le attività che potrebbero essere dannose. Filtra il traffico di rete dannoso che non rappresenta un attacco diretto alla tua infrastruttura, aiutandoti a ridurre i falsi positivi e a dare priorità alle minacce reali.
Cisco Talos
Talos è l’unità di ricerca sulle minacce di Cisco e fornisce uno dei più grandi feed commerciali di informazioni sulle minacce al mondo. Include informazioni dettagliate sulle minacce globali, sulle vulnerabilità e sugli aggressori. Talos supporta il rilevamento e la difesa dagli attacchi informatici con dati aggiornati sulle minacce.
Abuse.ch / URLhaus
Abuse.ch è una piattaforma specializzata nel rilevamento e nel blocco di domini e indirizzi IP dannosi, in particolare malware e botnet. URLhaus è un progetto di Abuse.ch specializzato nella segnalazione e nel blocco di URL che diffondono malware.
Soluzioni Hakk
Hakk Solutions è un fornitore di informazioni e servizi di sicurezza specializzato in threat intelligence e monitoraggio della sicurezza. I servizi includono dati sulle minacce che possono essere utilizzati per identificare e difendersi dagli attacchi informatici.
OSINT (Open-source Intelligence) / DigitalSide
DigitalSide fornisce feed di intelligence open source (OSINT) basati su informazioni pubblicamente disponibili. Questi feed contengono dati su indirizzi IP, URL e domini dannosi raccolti da varie fonti pubblicamente disponibili.
Punteggio CINS (CINSscore.com)
CINS Score fornisce informazioni sulle minacce basate sull’analisi del traffico di rete per aiutare a identificare host e reti dannosi. Utilizza algoritmi di apprendimento automatico ed euristici per valutare gli indirizzi IP potenzialmente pericolosi.
EcletticoIQ
EclecticIQ fornisce informazioni sulle minacce e analisi per le aziende e le operazioni di sicurezza. Il fornitore offre servizi completi di threat intelligence che consentono di riconoscere e reagire alle minacce.
Feodo Tracker
Feodo Tracker è un altro progetto di Abuse.ch specializzato nel monitoraggio delle botnet, in particolare Feodo, Dridex ed Emotet. Fornisce informazioni sui server che queste botnet utilizzano per controllarsi, aiutando a identificare e bloccare le attività dannose.
DigitalSlide Threat Intel
DigitalSide fornisce feed di intelligence sulle minacce con particolare attenzione all’open source intelligence (OSINT). Raccoglie informazioni pubblicamente disponibili su indirizzi IP, domini e URL dannosi. Questi feed sono particolarmente utili per identificare le minacce in una fase iniziale, poiché si basano su un’ampia gamma di fonti di dati disponibili pubblicamente e vengono aggiornati regolarmente.
Proofepoint – Informazioni sulle minacce emergenti
Proofpoint fornisce informazioni complete sulle minacce attraverso il suo Emerging Threats Intelligence Feed. Questo servizio si concentra sulla fornitura di aggiornamenti in tempo reale sulle minacce emergenti, comprese le nuove tecniche di attacco e le vulnerabilità. Proofpoint utilizza l’apprendimento automatico e l’analisi di esperti per fornire informazioni dettagliate sulle minacce globali che aiutano le organizzazioni a rispondere agli attacchi informatici in modo mirato.
Indicatori di minaccia per gli endpoint
Sophos Firewall v21 offre la possibilità di integrare e analizzare gli indicatori di minaccia Indicatori di Compromissione (IoC) provenienti dagli endpoint. Sono supportati sia gli endpoint gestiti che quelli non gestiti. Non appena un endpoint rileva un’attività dannosa, le informazioni vengono trasmesse al firewall. Il firewall analizza questi IoC e blocca le attività sospette.
Questa funzione è particolarmente utile per migliorare la sincronizzazione tra gli endpoint e il firewall. I tentativi di minaccia rilevati sugli endpoint possono così essere bloccati direttamente sull’intera rete. Questa analisi in tempo reale contribuisce a una risposta rapida alle minacce e al contenimento degli attacchi.
Telemetria sincronizzata
Il firewall è in grado di correlare i tentativi di minaccia provenienti dagli endpoint includendo dettagli come i processi e le applicazioni in esecuzione. Questo migliora il rilevamento e l’analisi delle minacce. Non appena un endpoint riconosce un’attività sospetta, queste informazioni vengono trasmesse automaticamente al firewall per bloccare la minaccia attraverso diversi livelli di rete.
Blocco automatico delle minacce
Se viene rilevato un processo dannoso su un endpoint gestito, il firewall blocca automaticamente l’indirizzo IP, il dominio o l’URL associato. Questo vale per sottosistemi come il firewall, le blocklist DNS, i filtri web e la deep packet inspection. Questa perfetta integrazione tra il firewall e gli endpoint riduce significativamente il tempo di risposta alle minacce.
Un esempio potrebbe essere un endpoint non gestito che tenta di accedere a un URL dannoso. Il firewall interverrebbe immediatamente e bloccherebbe l’accesso senza che l’endpoint stesso richieda alcuna configurazione particolare. Questo protegge anche i dispositivi non gestiti direttamente da Sophos Endpoint Security.
La capacità di elaborare gli IoC dagli endpoint fornisce agli amministratori un ulteriore livello di difesa, in quanto il firewall risponde non solo al traffico di rete, ma anche alle informazioni dettagliate sulle minacce provenienti dagli endpoint stessi.
Protezione dai movimenti laterali
La protezione dai movimenti laterali è nuovamente menzionata in Sophos Firewall v21, poiché in questa versione sono stati apportati miglioramenti e ottimizzazioni significativi. Nella versione 21 è stata migliorata l’integrazione e il coordinamento con altre funzioni di sicurezza come Synchronized Security e Active Threat Response (ATR). Il firewall è ora in grado di rispondere in modo più rapido ed efficiente alle minacce, isolando automaticamente i dispositivi compromessi e bloccando la diffusione delle minacce nella rete.
La protezione del movimento laterale impedisce alle minacce di diffondersi nella rete isolando i dispositivi compromessi. Non appena un endpoint viene riconosciuto come compromesso, la comunicazione con gli altri dispositivi della rete viene bloccata. Il firewall condivide questa informazione anche con altri endpoint, che a loro volta bloccano l’accesso alla rete al dispositivo compromesso.
Questa funzione aumenta la sicurezza della rete impedendo alle minacce di spostarsi orizzontalmente da un dispositivo all’altro. È particolarmente utile nelle reti di grandi dimensioni, dove il rapido isolamento dei dispositivi infetti può essere fondamentale per prevenire un incidente.
Blocco dell’indirizzo MAC
Se un endpoint viene riconosciuto come compromesso, il firewall condivide l’indirizzo MAC di questo dispositivo con tutti gli altri endpoint della rete. Gli endpoint bloccano quindi l’accesso alla rete al dispositivo infetto. In questo modo si garantisce che le minacce non possano diffondersi ulteriormente nella rete.
Stato del battito cardiaco
Il firewall monitora continuamente lo stato di heartbeat degli endpoint. Non appena un endpoint viene identificato come compromesso, lo stato dell’heartbeat passa a rosso, innescando un meccanismo di blocco immediato. La comunicazione dell’endpoint compromesso viene immediatamente interrotta, consentendo un efficace contenimento della minaccia.
Uno scenario tipico è quello di un endpoint che tenta di spostarsi lateralmente nella rete dopo essere stato compromesso. Attivando Lateral Movement Protection, questo endpoint viene immediatamente isolato e la sua comunicazione bloccata. In questo modo si evita la diffusione di malware, come il ransomware, che potrebbe tentare di infettare altri dispositivi.
Il prerequisito per questa funzione è che il firewall e gli endpoint Sophos siano collegati tramite Sophos Central. Ciò consente la sincronizzazione tra le soluzioni di sicurezza e assicura che le minacce possano essere individuate e isolate rapidamente.
Minacce e rapporti IoC
Sophos Firewall v21, come i suoi predecessori, offre funzionalità di reporting disponibili sia sul dispositivo (OnBox) che nel cloud tramite Sophos Central. Questi report permettono di analizzare nel dettaglio le minacce e le attività di rete e forniscono preziose indicazioni sulla situazione della sicurezza della rete.
In Sophos Firewall v21, le funzionalità di reportistica sono state migliorate con l’integrazione di Fonti di minaccia ed Eventi di minaccia e il supporto per gli Indicatori di compromissione sincronizzati (IoC). La novità è che ora i report forniscono informazioni dettagliate sulle fonti delle minacce e sui loro eventi specifici. I tentativi di minaccia possono ora essere tracciati con precisione vedendo quali dispositivi, indirizzi IP o utenti sono stati coinvolti e quali moduli del firewall hanno bloccato la minaccia.
Particolarmente degno di nota è il supporto per gli IoC sincronizzati. Questo permette di sincronizzare i dati sulle minacce provenienti da Sophos Central e Sophos Managed Detection and Response (MDR) e da feed di terze parti. Questa estensione consente di ottenere una visione più approfondita delle minacce analizzando in modo più dettagliato i processi e gli endpoint interessati. In questo modo gli amministratori possono vedere non solo dove si sono verificate le minacce, ma anche come si ripercuotono sugli endpoint e sui componenti della rete.
In questo video, l’argomento dei feed di minacce di terze parti viene spiegato nuovamente in dettaglio:
Miglioramenti alle rotte statiche e alle VPN
Miglioramenti alla UX della VPN
La versione 21 di Sophos Firewall introduce diversi miglioramenti all’interfaccia utente (UX) per la gestione delle connessioni VPN, per renderne più efficiente l’utilizzo.
Attivazione e disattivazione di massa
Gli amministratori possono ora attivare o disattivare diverse connessioni VPN contemporaneamente.
Questo consente di risparmiare una notevole quantità di tempo, soprattutto quando si gestiscono reti di grandi dimensioni con molti tunnel VPN. La disattivazione avviene rapidamente tramite un pulsante centrale nell’area di gestione della VPN.
Opzioni di filtro estese
La pagina di riepilogo delle connessioni VPN è ora dotata di funzionalità di filtraggio migliorate che rendono più semplice la navigazione tra le varie pagine di configurazioni VPN. Questi filtri includono sia l’inserimento di testo libero che opzioni di ricerca basate su valori, rendendo più semplice la gestione e la ricerca di reti, sottoreti o utenti specifici per l’accesso remoto e le VPN site-to-site.
Filtro interfaccia XFRM
È stata aggiunta un’ulteriore opzione di filtro per le interfacce XFRM. Le interfacce XFRM spesso utilizzate nelle configurazioni VPN possono ora essere identificate e gestite più facilmente. Questo è particolarmente utile quando le VPN sono configurate tramite VLAN e interfacce WAN.
VPN sito-sito
Sophos Firewall v21 introduce diversi miglioramenti per le VPN site-to-site che si concentrano sia sull’usabilità che sulle prestazioni.
Relè DHCP tramite tunnel XFRM: Una delle nuove funzioni principali è il supporto dei relay DHCP tramite tunnel XFRM. In questo modo è possibile raggiungere i server DHCP dietro firewall remoti, cosa che in precedenza era possibile solo tramite VPN basate su criteri. Questo è particolarmente utile negli ambienti SD-WAN in cui è necessario fornire indirizzi IP dinamici attraverso i tunnel.
Supporto FQDN migliorato: quando si configurano i gateway remoti nelle VPN IPsec, ora è possibile utilizzare sia gli FQDN (Fully Qualified Domain Names) che gli indirizzi IP risolti. Questo migliora la scalabilità, soprattutto in ambienti con alta latenza DNS, dove le risoluzioni FQDN potrebbero influire sulle prestazioni delle connessioni VPN. Gli amministratori possono scegliere se utilizzare gli FQDN o gli indirizzi IP risolti nella configurazione.
Le nuove funzioni nell’area VPN site-to-site offrono maggiore flessibilità e migliorano la scalabilità nelle reti più grandi e distribuite. L’ottimizzazione del tempo di ripristino dell’interfaccia, fino a 20 volte più veloce, riduce drasticamente i tempi di inattività in caso di guasti al tunnel, riavvii o scenari di failover HA.
Gestione del percorso
La gestione delle rotte in Sophos Firewall v21 è stata potenziata con nuove funzioni e miglioramenti per semplificare la gestione delle rotte statiche e dinamiche e aumentare la stabilità della rete.
Percorsi statici
Attivazione/disattivazione dei percorsi
Gli amministratori possono ora attivare o disattivare direttamente le singole rotte, il che rende molto più semplice la risoluzione dei problemi e la gestione delle connessioni di rete. Questo permette di controllare con precisione il comportamento del routing in tempo reale.
Clonazione del percorso
Con la nuova funzione di clonazione delle rotte, le rotte esistenti possono essere facilmente duplicate e personalizzate. In questo modo si risparmia tempo durante la configurazione e si garantisce la coerenza tra le diverse interfacce di rete. Inoltre, ogni percorso può essere corredato da una descrizione che ne aumenta la chiarezza.
Percorsi dinamici
Supporto esteso per OSPF e BGP
Il firewall ora supporta l’inoltro di rotte BGP a OSPF v3, migliorando l’interoperabilità tra diversi protocolli di routing. Questo è particolarmente utile nelle reti complesse con più sedi e protocolli.
Miglioramenti all’HA
La stabilità delle rotte dinamiche è stata notevolmente migliorata negli scenari di failover ad alta disponibilità (HA). Mentre nelle versioni precedenti potevano verificarsi diversi malfunzionamenti delle connessioni durante il failover, ora ciò avviene solo una volta, aumentando l’affidabilità delle connessioni di rete.
Questo video riassume le nuove funzionalità relative a VPN e routing:
Autenticazione Google
Il supporto per l’autenticazione Google è stato esteso in Sophos Firewall v21 per facilitare l’integrazione di Google Workspace e dei Chromebook.
Integrazione basata su LDAP
Sophos Firewall ora supporta l’integrazione di Google Workspace tramite un normale client LDAP. Questa estensione rende più facile per le organizzazioni che si affidano a Google Workspace autenticare i propri utenti tramite Sophos Firewall senza dover ricorrere ad Active Directory. Nelle prossime versioni sarà supportato anche il SSO (Single Sign-On) di Google Workspace.
Supporto SSO per Chromebook
Il firewall offre ora la funzionalità SSO (single sign-on) per i Chromebook di Google collegati a server LDAP. In precedenza questa funzionalità era limitata ad Active Directory. Ciò consente agli utenti di Google di accedere a risorse sicure senza ulteriori passaggi di login.
Prestazioni SSO migliorate
L’autenticazione è stata migliorata in modo che il firewall possa elaborare in modo più efficiente le richieste provenienti da più meccanismi SSO (ad esempio STAS, RADIUS SSO, Synchronised User ID). In ambienti con un numero elevato di richieste simultanee, il server può ora rispondere fino a quattro volte più velocemente alle richieste di autenticazione e scartare le richieste duplicate non appena un utente viene autenticato.
Le ultime parole
Nel complesso, Sophos Firewall v21 è un solido aggiornamento annuale che apporta piccoli ma importanti miglioramenti alla UX e alla UI, oltre a nuove funzionalità che migliorano ulteriormente la sicurezza della rete.
Siamo lieti di continuare a raccogliere il tuo feedback sulle funzionalità che attualmente ti mancano. Abbiamo già riassunto molti dei tuoi suggerimenti nel post Sophos Firewall Feature Request 2024 e stiamo già lavorando all’elenco per il 2025. Puoi utilizzare il modulo di contatto per inviarci ulteriori richieste e suggerimenti.