Sophos SFOS v18 – nuove funzionalità in sintesi

I Sophos Firewall con SFOS riceveranno a breve un importante aggiornamento a SFOS v18. Stiamo già usando la beta in produzione. In questo articolo scoprite quali funzioni porta la nuova versione e come si comporta nell’uso quotidiano.

Test in produzione

Non testiamo la beta su un dispositivo isolato in laboratorio, ma direttamente in produzione. Inoltre, alcuni clienti selezionati con oltre 650 utenti stanno usando questa versione, così da raccogliere il maggior numero possibile di indicazioni sulla nuova release. In questo articolo, quindi, non riprendiamo semplicemente il materiale informativo ufficiale di Sophos, ma raccontiamo SFOS v18 EAP1 ed EAP2 sulla base di diverse settimane di esperienza pratica. Il risultato è un articolo piuttosto dettagliato, perché analizziamo molte funzioni in profondità. Iniziamo con la Xstream Architecture.

Xstream Architecture

Un punto forte particolare della v18 è la nuova architettura di elaborazione dei pacchetti. Offre maggiori prestazioni, più sicurezza e una visibilità nettamente migliore sul traffico cifrato. Con la v18, in quest’area è cambiato davvero molto.

Info: la “X” in “Xstream” sta per Next Generation, mentre “Stream” indica il nuovo DPI Engine, una soluzione di scansione basata su streaming.

Motore Xstream SSL/TLS Inspection

Di SSL Inspection, spesso chiamata anche “SSL Scanning” o “HTTPS Scanning”, abbiamo già parlato: HTTPS-Scanning: Warum es auf der Sophos aktiviert sein sollte

In breve: il firewall può analizzare senza problemi il traffico HTTP, perché non è cifrato. Il traffico HTTPS, invece, deve prima essere decifrato prima che il firewall possa analizzarlo. Finora il problema era che il Web Proxy poteva decifrare solo il traffico HTTPS sulla porta 443. Se il traffico usava un’altra porta, ad esempio https://www.example.com:8000, il firewall restava cieco.

Con la v18 il firewall torna a essere pronto per le tecnologie attuali e può ispezionare sia il traffico SSL sia quello TLS 1.3, indipendentemente dalle porte o dai protocolli utilizzati. 🤩 Sotto il cofano sono state necessarie ampie modifiche architetturali, che fortunatamente non comportano lavoro aggiuntivo per gli amministratori.

Gli elementi centrali sono un Decryption Profile, che viene a sua volta collegato a una SSL/TLS Inspection Rule. Questa regola definisce quale traffico deve essere ispezionato.

Regola di ispezione SSL TLS Sophos SFOS v18

Profili di decrittazione Sophos SFOS v18

, App Control e IPS.

È importante capire che il nuovo DPI Engine è in diretta concorrenza con il precedente Web Proxy. Il Web Proxy è responsabile del traffico HTTP/HTTPS, delle Web Policies e del Content Scanning; in alternativa, questi compiti possono essere svolti dal nuovo DPI Engine.

Durante un upgrade dalla versione 17.5 alla 18.0, le impostazioni del Web Proxy vengono mantenute. Chi vuole usare il DPI Engine deve però apportare alcune modifiche: bisogna configurare una SSL/TLS Inspection Rule e disattivare il Web Proxy nelle impostazioni firewall.

Regola firewall Sophos SFOS v18 - impostazioni di sicurezza

Ci sono pochi motivi per non passare al nuovo DPI Engine. Tuttavia, il Web Proxy offre alcune funzioni che nel DPI Engine non sono (ancora) disponibili, tra cui ad esempio SafeSearch per motori di ricerca o YouTube, Caching o Pharming Protection. Su tutte le firewall che gestiamo possiamo però rinunciare senza problemi a queste funzioni aggiuntive, motivo per cui useremo sicuramente il DPI Engine.

Il seguente video di Sophos offre una breve introduzione al Xstream DPI Engine e aiuta a decidere quando usare il DPI Engine rispetto al classico Web Proxy:

Xstream Network Flow FastPath

Molti amministratori conoscono il problema: il firewall rallenta sensibilmente il traffico e alcuni processi sembrano quindi più lenti. Grazie alla nuova architettura esiste ora il cosiddetto FastPath. Permette al firewall di trasferire il traffico non critico direttamente al kernel, aumentando nettamente le prestazioni.

Sophos SFOS v18 xStream Architecture Fastpath

Il traffico attraversa prima il Firewall Stack. Qui viene verificato se esiste una regola firewall corrispondente e se il traffico è effettivamente consentito. Se, ad esempio, il traffico viene controllato dall’IPS, passa prima attraverso il DPI Engine. Non appena l’IPS Engine classifica il traffico come innocuo, questo può essere spostato nel FastPath e inoltrato direttamente tramite il kernel.

Osservando il diagramma architetturale ci si chiede inevitabilmente come funzioni tutto questo nella pratica. Stabilire se un traffico è consentito in linea di principio è relativamente rapido – questo passo non deve essere ripetuto per ogni pacchetto della stessa origine e porta. Ma come fa il motore DPI a sapere quando può spostare un flusso nel FastPath? Se, ad esempio, è attiva l’ispezione SSL/TLS, questo non è possibile, perché il traffico non verrebbe più controllato. Per IPS o il controllo applicazioni, invece, ci si basa su liste note che permettono di decidere se un flusso di dati è da considerarsi innocuo.

Threat Intelligence Analysis

Se il modulo Sophos Sandstorm è concesso in licenza per il firewall, i file vengono già analizzati in un sandbox prima di essere scaricati. Chi desidera saperne di più su Sophos Sandstorm può consultare il PDF di Sophos Sandstorm con le FAQ. Grazie all’ispezione SSL/TLS, il firewall ottiene una visibilità più profonda del traffico e può controllare i download web in modo ancora più preciso. Inoltre, la protezione endpoint continua a fungere da ultima linea di difesa.

Con la v18 il nuovo modulo Threat Intelligence Analysis integra il modulo Sandstorm esistente. Mentre Sophos Sandstorm analizza download web o allegati email, Threat Intelligence analizza i file tramite il machine learning. Viene utilizzata anche l’analisi dei SophosLabs, la stessa tecnologia impiegata in Sophos Intercept X con EDR.

Analogamente a EDR, viene generato un report di analisi dettagliato. In SFOS v18 EAP2 un report di questo tipo appare, ad esempio, così:

Sophos SFOS v18 Intelligence Analysis Threat-o-Meter

Il report graficamente più curato sarà disponibile solo a partire da EAP3.

Enterprise NAT

Oltre all’architettura Xstream, anche le regole NAT sono state completamente riviste. Fino alla versione 17.5 esisteva la voce di menu «Firewall», sotto la quale erano raggruppate tutte le regole di firewall, NAT e WAF. In una regola firewall era possibile definire, tra le altre cose, l’interfaccia di uscita o l’indirizzo IP di uscita per il traffico.

Sophos SFOS v17.5 creare una regola firewall

Con la v18 le regole NAT vengono ora gestite in una scheda separata, il che rende l’amministrazione molto più flessibile.

Schede Rules and Policies Sophos SFOS v18

Molti clienti aspettavano questo cambiamento: ora è possibile, ad esempio, bloccare tutte le richieste DNS o NTP verso server pubblici e reindirizzarle invece a un server interno. In questo modo si offre anche una soluzione a chi sente la mancanza del server NTP sulla XG, che era invece integrato nella UTM.

L’argomento NAT è inoltre spiegato in dettaglio nel seguente video:

Gestione delle regole firewall

Con ogni nuova major release, Sophos migliora la gestione delle regole firewall. In v18 è ora possibile selezionare più regole firewall contemporaneamente per eliminarle, attivarle o disattivarle, oppure aggiungerle a un gruppo o rimuoverle da esso. Inoltre le regole firewall sono ora numerate, in modo che il numero totale sia immediatamente visibile. L’ID della regola resta invariato. La voce di menu «Firewall» è stata inoltre rinominata in «Rules and policies».

Panoramica delle regole firewall Sophos SFOS v18

È possibile impostare filtri, il che rende la ricerca di regole specifiche molto più semplice. Il filtro rimane attivo anche se si passa ad altre voci di menu e poi si torna all’elenco delle regole.

Chi sperava che Sophos lasciasse ora i gruppi di regole aperti dopo il salvataggio di una regola, purtroppo deve essere deluso. Qui non è cambiato nulla. 😖

Filtro delle regole firewall Sophos SFOS v18

È stata inoltre aggiunta un’altra funzione molto richiesta: il contatore del traffico elaborato da una regola firewall può ora essere reimpostato a zero.

Impostazioni delle regole firewall Sophos SFOS v18

Quando si crea una nuova regola firewall, è ora possibile salvarla inizialmente in stato disattivato.

Stato delle regole firewall Sophos SFOS v18

Inoltre, ora è possibile definire esclusioni direttamente nelle regole firewall. Questo aiuta a mantenere il rule set snello ed evitare regole aggiuntive non necessarie.

Esclusioni delle regole firewall Sophos SFOS v18

Log Viewer

Chi ha letto l’articolo 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM sa già quanto sia utile il Log Viewer. Nella nuova versione, lo strumento riceve alcune funzioni aggiuntive molto pratiche.

Esclusioni nel Log Viewer Sophos SFOS v18

Con un clic su una voce del Log Viewer è possibile applicare direttamente un filtro, definire un’eccezione SSL/TLS o modificare una policy IPS, di Application Control o di filtro web.

Avvisi e notifiche

In «Administration» > «Notification settings» in precedenza si potevano attivare solo due opzioni per le notifiche email:

IPsec tunnel up/down
Email alert notifications

Se una RED non era raggiungibile o un utente inseriva troppe volte una password errata, finora non era possibile ricevere una notifica.

Miglioramenti: ora è più veloce e semplice raggruppare gli appliance in cluster. Inoltre è possibile eseguire un rollback del firmware.

Supporto SNMPv3: sicurezza nettamente migliore rispetto a SNMPv1 e SNMPv2 – ammesso che si possa parlare di «sicurezza» per queste due versioni. Il file MIB è come sempre disponibile per il download.
Ridenominazione delle interfacce: finora le interfacce si chiamavano Port1, Port2, ecc., senza alcuna possibilità di cambiare questi nomi. In v18 i nomi possono ora essere personalizzati. IPsec, IPS, reti wireless, ecc. non possono però ancora essere rinominati.
Aggiornamenti del database GeoIP: il database degli indirizzi IP per paese può ora essere aggiornato indipendentemente dagli aggiornamenti di firmware.
Aggiornamento di VMware Tools: VMware Tools è ora disponibile nella versione 10.3.10 e supporta anche Site Recovery Manager (SRM).

Upgrade a SFOS v18

Prerequisiti

Ti è venuta voglia di aggiornare alla v18? Se utilizzi già un XG Firewall o un SG con SFOS, ti serve almeno la versione v17.5 MR6 per poter passare alla v18. Come di consueto è supportato il rollback. Se qualcosa non dovesse funzionare come previsto con la v18, puoi sempre tornare alla versione precedente.

Da SG a XG

Se stai ancora utilizzando un firewall UTM, puoi ugualmente passare a SFOS. La guida corrispondente si trova qui: Installare Sophos XG Firewall OS su un appliance SG

Se ti serve supporto per la migrazione, saremo lieti di aiutarti. Abbiamo già sostituito con successo numerosi sistemi UTM. 😎

XG 85 e XG 105

Per installare la v18 sono necessari almeno 4 GB di RAM. La prossima versione di SFOS non potrà quindi più essere eseguita su XG 85 o XG 105. Chi utilizza hardware proprio con soli 2 GB di RAM si troverà davanti allo stesso problema. Anche Cyberoam non sarà più supportato.

I possessori di XG 85 o XG 105 dovrebbero prendere in considerazione i modelli successivi: Sophos XG 86 e XG 106. Fino al 30/09/2020 è attiva una promozione Sophos che consente di ottenere uno sconto del 50% sul nuovo hardware al momento del rinnovo.

Sophos Central Firewall Reporting and Management

Su questo argomento esiste un post separato sul blog: Sophos Central Firewall Management – funzioni con SFOS v18

FAQ

Quando sarà disponibile la versione GA (finale)?

Se tutto procederà secondo i piani e le versioni beta non causeranno problemi rilevanti, la v18 è prevista per il primo trimestre del 2020.

Che fine ha fatto il nuovo hardware?

Del successore hardware di XG Firewall si è già parlato più volte. Al momento, però, non è prevista alcuna data di rilascio e non bisogna aspettarselo prima della seconda metà del 2020.

Arriverà Let's Encrypt?

No 😖, almeno non nella v18.

Ulteriori informazioni

XG Firewall: What’s New in v18