Sophos XG Update v17.5 - Tutte le novità in sintesi

A inizio novembre abbiamo installato la seconda beta del nuovo firmware SFOS 17.5 e l’abbiamo esaminata più da vicino. Alla Sophos Roadshow di marzo 2018 a Dübendorf si parlava ancora delle versioni 17.2 e 17.3, ma Sophos ha deciso di raggruppare tutte le funzionalità pianificate e passare direttamente alla versione 17.5.

Possiamo anticipare fin da subito che SFOS 17.5 ci lascia sensazioni contrastanti: ci sono funzioni nuove davvero interessanti, ma alcune non ci sembrano del tutto rifinite.

Lateral Movement Protection

Dalla prima versione di Synchronized Security, il client endpoint può condividere il proprio stato con il firewall. In questo modo possiamo, ad esempio, bloccare l’accesso a Internet o al file server per workstation non aggiornate o già compromesse, evitando che mettano a rischio altri sistemi.

Finora questo approccio richiedeva una buona segmentazione della rete. Se tutti i dispositivi sono collegati allo stesso switch e si trovano nella stessa rete, il Security Heartbeat aveva un impatto limitato.

Con SFOS 17.5 questa funzionalità viene ampliata: è ora possibile isolare dai restanti dispositivi della stessa subnet i computer che Synchronized Security contrassegna come “non sani”. In caso di problema, il firewall informa automaticamente tutti gli altri client, che a loro volta possono reagire. Una volta risolto il problema e tornato il “cuore verde”, le comunicazioni vengono ripristinate in automatico.

Inoltre, le rilevazioni IPS su endpoint compromessi possono generare un “cuore rosso”, migliorando ulteriormente la protezione dalle minacce interne.

Reindirizzamento della Portal URL

Durante i test abbiamo notato una funzione non documentata nelle note di rilascio, ma molto pratica.

Quando il proxy web di Sophos blocca un sito, l’utente vede una pagina di avviso. Se decide comunque di procedere, il link puntava finora a un indirizzo IP. Con la versione 17.5 è possibile passare a una URL leggibile direttamente dall’interfaccia web della XG, senza ricorrere alla console.

Al momento la modifica riguarda solo la parte web. Nel caso di email, ad esempio nei report di quarantena, i link rimangono indirizzi IP, con le conseguenti avvertenze di certificato.

Synchronized User ID

Un compito tipico di un firewall è trasportare traffico da A a B, a condizione che esista una regola appropriata. Il traffico è legato a indirizzi IP, ma come amministratori vogliamo spesso sapere da quale dispositivo – o meglio, da quale utente – proviene, per creare regole e report più chiari e basati sugli utenti.

In passato ci siamo affidati a un agent sui controller di dominio per identificare gli utenti tramite Active Directory. In alcuni ambienti questa soluzione non era però praticabile.

Con SFOS v17.5 i client membri di un dominio AD possono condividere l’identità utente con il firewall tramite Security Heartbeat, senza installare agent aggiuntivi sui domain controller. Questa funzionalità è utile in molti scenari, sebbene non copra ancora casi come Terminal Server, host Linux, Mac fuori dominio o utenti VPN.

Client IPsec Sophos Connect

Il nostro articolo “Installare il client SSL VPN” è uno dei più letti nella nostra knowledge base, e non a caso: per molti clienti la VPN è uno dei requisiti principali prima dell’acquisto del firewall.

Finora abbiamo utilizzato soprattutto il client SSL VPN di Sophos, limitato a Windows; su macOS ci si doveva affidare a strumenti di terze parti come “Tunnelblick”.

Con Sophos Connect, Sophos introduce un proprio client IPsec VPN che integra Synchronized Security nativamente. La configurazione del client avviene direttamente sulla XG Firewall:

Il client è attualmente disponibile in beta per Windows e macOS:

È inoltre disponibile “Sophos Connect Admin”, che consente di modificare i file di configurazione (hostname, 2FA, ecc.).

Sophos Central Management

Con SFOS 17.5 viene finalmente mantenuta una promessa attesa da tempo: la possibilità di gestire XG Firewall tramite Sophos Central.

Per collegare l’account Central al firewall è necessario attivare “Central Management” sulla XG.

Aggiornamento 20.11.2018: Sophos Central ha ricevuto un update che introduce il menu “Firewall Management”. Attivando “Central Management” sulla nostra XG siamo riusciti a registrare con successo il dispositivo nel nostro account Central.

Quando ci si collega alla XG tramite Central, si entra come utente “admin”. Il rovescio della medaglia è che, in teoria, anche utenti con diritti di sola lettura in Central potrebbero accedere al firewall. Ci auguriamo una gestione dei permessi più granulare in versioni future.

Gestione del firewall via SSO

Se attivate “Central Management” sul firewall, potete accedere alla Sophos XG direttamente dall’interfaccia Central senza reinserire le credenziali.

Backup in Central

Con Central Management attivo, i backup del firewall vengono salvati automaticamente in Sophos Central, sebbene sia possibile disattivare questa funzione.

La funzione “Light-touch deployment” permette di preconfigurare un nuovo XG Firewall direttamente da Central tramite un wizard che genera un file di configurazione da copiare su una chiavetta USB. Il firewall viene avviato con la chiavetta e applica la configurazione di base, mentre il resto viene completato da Central.

Per noi, che spesso configuriamo i firewall presso il nostro ufficio prima di spedirli ai clienti, questo comporta un risparmio di tempo notevole. 😎

Poiché questo workflow richiede un account Central, probabilmente non potremo utilizzarlo in tutti i nuovi progetti.

Miglioramenti a Synchronized Application Control

Synchronized Application Control, introdotto nella versione 17.0 e migliorato in 17.1, viene ulteriormente esteso in 17.5:

• Visualizzazione separata delle applicazioni di sistema Windows e Mac.
• Possibilità di nascondere applicazioni e filtrare quelle nascoste.
• Marcatura delle applicazioni per rimuoverle dall’elenco delle “nuove”.
• Migliore visualizzazione dei percorsi.

Anche il Log viewer è stato migliorato e consente ora di selezionare le colonne necessarie.

Miglioramenti alle Web policy

Viene introdotta una funzione pensata, ad esempio, per le scuole: determinati utenti (come gli insegnanti) possono sbloccare temporaneamente siti bloccati utilizzando un codice generato dalla policy. Gli studenti inseriscono il codice nella pagina di blocco e ottengono un accesso temporaneo.

Altre novità minori:

• Impostazione di un motore di ricerca predefinito.
• SafeSearch e restrizioni YouTube.
• Limiti di dimensione per i download.
• Restrizioni per i domini Google App a livello di policy.

Viene inoltre aggiunto il supporto per Chromebook tramite un’estensione che comunica alla XG l’identità dell’utente, consentendo l’applicazione delle policy e la generazione di report.

Client Authentication Agent e miglioramenti di gestione

Il Client Authentication Agent di XG consente di comunicare al firewall l’utente connesso anche senza Active Directory. Il client è disponibile per Windows, macOS, Linux 32/64 bit, iOS e Android e può essere scaricato dallo User Portal.

Per quanto riguarda la gestione, è ora possibile assegnare le nuove regole del firewall ai gruppi fin dalla creazione e utilizzare una funzione di assegnazione automatica (che nei nostri test non si è sempre comportata come desiderato).

Ci sono inoltre piccoli miglioramenti in IPS, Wireless e IPsec (più categorie per IPS, failover RADIUS, SD-WAN failover/failback, ecc.).

Cosa arriverà nelle prossime versioni?

Nelle prossime settimane/mesi sono previsti i consueti Maintenance Release con ulteriori miglioramenti, tra cui:

• Supporto per gli APX Access Points direttamente su XG.
• Supporto Airgap per licenziare e aggiornare firewall non connessi a Internet.

Ulteriori informazioni

• PDF: XG Firewall - What’s new in v17.5