Sophos XG Update v17.5 - Tutte le novità in sintesi
A inizio novembre abbiamo installato la seconda beta del nuovo firmware SFOS 17.5 e l’abbiamo esaminata più da vicino. Alla Sophos Roadshow di marzo 2018 a Dübendorf si parlava ancora delle versioni 17.2 e 17.3, ma Sophos ha deciso di raggruppare tutte le funzionalità pianificate e passare direttamente alla versione 17.5.
Possiamo anticipare fin da subito che SFOS 17.5 ci lascia sensazioni contrastanti: ci sono funzioni nuove davvero interessanti, ma alcune non ci sembrano del tutto rifinite.
Lateral Movement Protection
Dalla prima versione di Synchronized Security, il client endpoint può condividere il proprio stato con il firewall. In questo modo possiamo, ad esempio, bloccare l’accesso a Internet o al file server per workstation non aggiornate o già compromesse, evitando che mettano a rischio altri sistemi.
Finora questo approccio richiedeva una buona segmentazione della rete. Se tutti i dispositivi sono collegati allo stesso switch e si trovano nella stessa rete, il Security Heartbeat aveva un impatto limitato.
Con SFOS 17.5 questa funzionalità viene ampliata: è ora possibile isolare dai restanti dispositivi della stessa subnet i computer che Synchronized Security contrassegna come “non sani”. In caso di problema, il firewall informa automaticamente tutti gli altri client, che a loro volta possono reagire. Una volta risolto il problema e tornato il “cuore verde”, le comunicazioni vengono ripristinate in automatico.
Inoltre, le rilevazioni IPS su endpoint compromessi possono generare un “cuore rosso”, migliorando ulteriormente la protezione dalle minacce interne.
Reindirizzamento della Portal URL
Durante i test abbiamo notato una funzione non documentata nelle note di rilascio, ma molto pratica.
Quando il proxy web di Sophos blocca un sito, l’utente vede una pagina di avviso. Se decide comunque di procedere, il link puntava finora a un indirizzo IP. Con la versione 17.5 è possibile passare a una URL leggibile direttamente dall’interfaccia web della XG, senza ricorrere alla console.
Al momento la modifica riguarda solo la parte web. Nel caso di email, ad esempio nei report di quarantena, i link rimangono indirizzi IP, con le conseguenti avvertenze di certificato.
Synchronized User ID
Uno dei compiti più frequenti di un firewall è trasportare traffico da A a B, a condizione che sia stata creata una regola firewall corrispondente. Il traffico arriva e parte da un indirizzo IP. Come amministratori, però, vogliamo sapere da quali dispositivi viene generato quel traffico o, meglio ancora, da quale utente. Questo ci aiuta a creare regole firewall basate sugli utenti, a ottenere più trasparenza nella rete e a generare report più comprensibili.
Su SFOS esistono diversi modi per identificare l’utente. In passato abbiamo usato soprattutto il collegamento a un server Active Directory, che inoltrava le informazioni utente alla XG Firewall tramite un agent installato. In alcuni ambienti, però, l’agent non era un’opzione.
Con SFOS v17.5 gli endpoint in un dominio Active Directory possono ora condividere l’identità utente con il firewall tramite Security Heartbeat. Questo rende l’identificazione degli utenti semplice e fluida, senza dover distribuire un agent sui domain controller. In molte situazioni questa funzione può essere molto utile.
Terminal server e host Linux non sono coperti da questa soluzione. Per i primi, STAC resta ancora la soluzione migliore. Le eccezioni sono però importanti: i client Mac non funzionano con Active Directory e anche gli utenti VPN non vi effettuano l’accesso.
Si può beneficiare di questa funzione solo se sui client è installato uno di questi prodotti:
A nostro avviso diventa interessante quando anche i client non appartenenti a un dominio potranno condividere i propri dati utente con la XG. Questa funzione, però, risolve solo un problema molto piccolo.
Client IPsec Sophos Connect
Il nostro articolo Installare il client SSL VPN è uno dei contributi più letti nella nostra Knowledge Base. Non senza motivo: per molti nostri clienti la VPN era una delle richieste più citate prima dell’acquisto della Sophos Firewall.
Come descritto in quella guida, al momento utilizziamo molto spesso il client SSL VPN di Sophos. Questo però può essere installato solo su computer Windows. Per macOS finora era necessario ricorrere a strumenti di terze parti, come ad esempio “Tunnelblick”.
Con Sophos Connect, Sophos presenta ora, come altri produttori, un proprio client IPsec VPN. Sophos Connect supporta nativamente anche Synchronized Security. Finora questo funzionava anche con il client SSL VPN, ma doveva essere configurato separatamente.
Ecco uno screenshot di come appaiono le impostazioni del client IPsec VPN Sophos Connect sulla XG Firewall:
Sophos Connect è attualmente in beta e il client è disponibile per Windows e macOS. Ecco uno screenshot dei client Mac e Windows:
Per il nuovo client IPsec VPN di Sophos esiste anche “Sophos Connect Admin” come ulteriore strumento. Con questo tool è possibile modificare successivamente un file di configurazione, ad esempio per adattare il nome host o attivare la 2FA.
Sophos Central Management
Con il nuovo firmware SFOS 17.5 viene finalmente mantenuta una promessa fatta da tempo. La XG Firewall può ora essere gestita anche tramite la piattaforma Sophos Central. È sicuramente il passo giusto, anche se nella prima versione le funzioni restano ancora limitate.
Per collegare il vostro account Central al firewall, dovete prima attivare Central Management sulla XG Firewall.
Aggiornamento 20.11.2018 Sophos Central ha nel frattempo ricevuto un update, grazie al quale è ora visibile la voce di menu “Firewall Management”. Attivando la funzione “Central Management” sulla nostra XG Firewall, siamo riusciti a integrare correttamente il dispositivo nel nostro account Sophos Central.
Quando ci si collega al firewall tramite Sophos Central, si risulta poi connessi al firewall come “admin”. L’aspetto poco piacevole è che, in teoria, anche altri utenti che hanno accesso a Sophos Central Admin potrebbero accedere ai firewall. È sufficiente che questi utenti dispongano di un’autorizzazione “Read-Only”. Speriamo che in futuro sia possibile controllare in modo più preciso chi abbia effettivamente il permesso di accedere ai firewall tramite Central.
Gestione del firewall via SSO
Se attivate “Central Management” sul firewall, potete accedere alla Sophos XG direttamente dall’interfaccia Central senza reinserire le credenziali.
Backup in Central
Con Central Management attivo, i backup del firewall vengono salvati automaticamente in Sophos Central, sebbene sia possibile disattivare questa funzione.
La funzione “Light-touch deployment” permette di preconfigurare un nuovo XG Firewall direttamente da Central tramite un wizard che genera un file di configurazione da copiare su una chiavetta USB. Il firewall viene avviato con la chiavetta e applica la configurazione di base, mentre il resto viene completato da Central.
Il “Light-Touch Deployment” ci renderà molto più semplice configurare XG Firewall per i nostri clienti. Per il nostro servizio di installazione e configurazione ci facciamo consegnare i firewall in ufficio e creiamo la configurazione di base direttamente sui dispositivi. Poi li inviamo al cliente, che deve solo collegare il firewall alla rete. Con il “Light-Touch Deployment” potremo in futuro evitare la spedizione dell’hardware presso di noi e guadagnare almeno un giorno. 😎
Poiché questo workflow richiede un account Central, probabilmente non potremo utilizzarlo in tutti i nuovi progetti.
Miglioramenti di Synchronized Security – Synchronized Application Control
Synchronized Application Control è stato presentato per la prima volta con la versione 17.0 e ulteriormente migliorato nella versione 17.1. Con questa funzione Sophos voleva offrire una soluzione al problema di fondo per cui gran parte del traffico di rete è ancora difficile da controllare e può passare attraverso il firewall in modo relativamente inosservato anche con la scansione HTTP/HTTPS. Con Synchronized Application Control, l’endpoint comunica al firewall quale software sta generando esattamente il traffico. In questo modo il traffico di rete può essere classificato molto meglio.
Con v17.5 sono stati implementati i seguenti miglioramenti:
- Visualizzazione separata delle applicazioni di sistema Windows e Mac.
- Possibilità di nascondere applicazioni e filtrare quelle nascoste.
- Marcatura delle applicazioni per rimuoverle dall’elenco delle “nuove”.
- Migliore visualizzazione dei percorsi.
Miglioramenti alle Web policy
Immaginate un insegnante che lavora al computer con la sua classe e ha bisogno di un sito web che viene bloccato. In una situazione del genere, finora era sempre necessario chiamare l’amministratore per sbloccare la pagina. Nella versione SFOS 17.5 è ora disponibile una funzione nelle Web policy con cui potete consentire agli utenti autorizzati di aprire comunque siti web bloccati. Potreste quindi dare a quell’insegnante la possibilità di sbloccare autonomamente quel sito, dominio o categoria tramite lo User Portal.
Ogni regola riceve un codice che l’insegnante può comunicare alla classe. Sulla pagina bloccata gli studenti inseriscono questo codice e accedono temporaneamente al sito web in realtà bloccato.
Come amministratori vediamo poi in un elenco quali codici sono stati generati e possiamo anche eliminarli. L’admin può però anche definire siti o categorie che non possono essere aggirati dagli insegnanti.
Ecco alcune altre piccole novità disponibili nelle Web policy in SFOS 17.5:
- Impostazione di un motore di ricerca predefinito.
- SafeSearch e restrizioni YouTube.
- Limiti di dimensione per i download.
- Restrizioni per i domini Google App a livello di policy.
Client Authentication Agent
Il Client Authentication Agent della XG Firewall permette di comunicare alla XG Firewall quale utente è attualmente connesso al computer, anche senza Active Directory. Per farlo è sufficiente eseguire il Client Authentication Agent sul dispositivo.
Il client è disponibile per Windows, macOS, Linux 32/64 bit, iOS e Android. Il download si trova nello User Portal.
Miglioramenti di gestione
Quando si crea una nuova regola firewall, ora è possibile assegnarla direttamente a un gruppo. È disponibile anche una nuova assegnazione automatica ai gruppi, anche se nei miei test non ha funzionato davvero bene. Nei test, il firewall voleva assegnare automaticamente la mia regola a un gruppo in cui non volevo inserirla.
Protezione anti-spoofing.
IPS Protection
- Più categorie per ottimizzare meglio le regole, con conseguente miglioramento delle performance e della protezione.
Wireless
- Supporto per il failover dei server RADIUS con più server.
IPsec
- SD-WAN failover e failback
- IPsec failover – gruppi ridondanti per connessioni IPsec, per passare a un ulteriore link WAN in caso di failover. Non appena la connessione principale torna disponibile, è possibile tornare indietro.
Cosa arriverà nelle prossime versioni?
Nelle prossime settimane/mesi usciranno, come di consueto, Maintenance Release che porteranno ancora alcune funzioni.
Supporto per Sophos Wireless APX Access Point
I nuovi APX Access Points di Sophos finora potevano essere usati solo con Sophos Central. Il supporto per la XG Firewall è però atteso con MR1, che dovrebbe uscire circa 2-4 settimane dopo il release 17.5. L’APX 120, che dovrebbe poi essere disponibile per meno di 200 CHF, arriverà solo a gennaio 2019.
Supporto Airgap
Esistono XG Firewall che non sono collegati a Internet. Finora su questi dispositivi non era possibile attivare una licenza. Ora esiste l’opzione di caricare licenza e aggiornamenti sul firewall tramite una chiavetta USB.
Ulteriori informazioni
