Naar de inhoud
Avanet
7 redenen waarom de XG Firewall (SFOS) beter is dan de UTM

7 redenen waarom de XG Firewall (SFOS) beter is dan de UTM

Meer dan twee jaar lang hebben we alleen XG Firewalls met het SFOS in gebruik genomen of het SFOS op SG Appliances geïnstalleerd. Toegegeven, de XG Firewall was in de eerste versies absolute horror en slechts in enkele omgevingen bruikbaar. Met versie 16 werd het langzaam beter en durfden we tenminste kleinere projecten ermee te realiseren. Vanaf v16.5 vertrouwden we bij nieuwe projecten volledig op de XG en hebben sindsdien nooit meer teruggekeken naar de UTM.

Om meteen aan het begin iets duidelijk te maken: als ik het over de XG Firewall heb, bedoel ik de XG Appliance-serie met het Sophos Firewall OS (SFOS). We beheren echter ook SG Appliances waarop we gewoon het SFOS hebben geïnstalleerd. Dat werkt perfect. 🙂

Nadat we al diverse projecten met de XG Firewall hebben uitgevoerd, wil ik graag delen welke 7 redenen de XG Firewall in mijn ogen een betere keuze maken dan de SG-serie met het UTM-besturingssysteem. Met dit artikel wil ik dus mijn bijdrage leveren aan het debat UTM vs. XG. 🥊

01 - Ontwikkeling

Als ik vandaag een nieuwe app voor mijn smartphone of computer zoek, let ik er vooral op wanneer de app voor het laatst is bijgewerkt. Als ik geen changelog vind, kijk ik naar het socialmediakanaal, bijvoorbeeld Twitter. Activiteit die ouder is dan een jaar, is voor mij afgeschreven en de app komt zeker niet op mijn smartphone of computer.

Toegegeven, bij de UTM Firewall is het niet zo erg. Maar de updatecycli zijn extreem verlengd. Vroeger was er voor de UTM bijna elke maand een update. Tegenwoordig is het nog maar eens in de 4 maanden en nieuwe functies zijn er zo goed als niet meer.

De reden hiervoor is de volgende: Sophos heeft ongeveer 300 ontwikkelaars die werken aan de SFOS- en UTM-besturingssystemen. Echter, slechts ongeveer 5% van deze ontwikkelaars werkt nog aan het UTM-besturingssysteem. De rest werkt aan de XG Firewall. Hieruit blijkt dus ook van de fabrikant waar de prioriteiten liggen.

Af en toe geeft Sophos UTM-gebruikers met een nieuwe functie weer wat hoop. Maar eigenlijk zoekt men al lang naar een manier om trouwe aanhangers warm te maken voor de XG, zonder hen aan een andere fabrikant te verliezen. Als voormalig UTM-gebruiker weet ik echter dat je niet zo snel van systeem wisselt als het niet echt nodig is. Zolang de UTM dus niet definitief wordt stopgezet, is er voor de meerderheid gewoon geen reden om over te stappen.

Als je naar de roadmap van de twee besturingssystemen kijkt, is de lijst voor SFOS extreem lang en reiken de plannen tot ruim voorbij 18 maanden. Bij de UTM zijn in het verleden functies van de roadmap geschrapt of steeds verder naar achteren geschoven. Een prominent voorbeeld is IKEv2. De functie stond lange tijd op de roadmap, werd telkens uitgesteld en uiteindelijk zelfs helemaal van de roadmap verwijderd. Na protest uit de community werd IKEv2 weer toegevoegd en moet het nu volgend jaar in versie 9.8 verschijnen.

Bij het Sophos Firewall OS ziet de situatie er compleet anders uit en daarom is dit ook de eerste reden waarom we van het systeem houden. Ongeveer elke zeven weken krijgen we nieuwe MR - Maintenance Releases en 1 tot 2 keer per jaar verschijnt er een MINOR Release met heel veel nieuwe functies. Het Sophos Firewall OS heeft zich daardoor in de afgelopen maanden ontwikkeld van “goed” naar “zeer goed”. Het systeem is nog niet helemaal waar het zou moeten zijn en heeft nog enkele tekortkomingen. Maar voor zo’n jong OS zijn de vorderingen toch zeer groot!

02 - Hardware

De hardware van de Sophos XG Firewall en die van de SG-serie zijn wat betreft CPU, RAM, opslag en aansluitingen identiek. Een kleine uitzondering zijn de Sophos XG 86 en XG 106, die in de SG-serie niet bestaan. De twee kleinste modellen zouden hier de SG 85 en SG 105 zijn, die echter minder RAM en opslag hebben dan de XG 86 en XG 106. Maar in principe is het probleemloos mogelijk om op SG-hardware het SFOS van de XG Firewall te installeren. De licentie kan dan 1:1 worden gemigreerd.

Hoe men SFOS op een Sophos SG Appliance installeert, hebben we in een KB Post uitgelegd: Sophos XG Firewall OS installeren op een SG Appliance

Volgend jaar wordt een nieuwe hardwareserie verwacht, die momenteel de naam “XGS” draagt. We kunnen op dit moment nog niet zeggen of deze de XG-serie direct zal vervangen. Als compatibel besturingssysteem wordt in ieder geval alleen het SFOS genoemd. Voor de SG-serie is geen nieuwe release gepland.

Wat in ieder geval op dit moment ook duidelijk pleit voor een XG Firewall met SFOS, is de ondersteuning van de nieuwe APX Access Points! De Access Points, die al in juli 2018 op de markt kwamen en over de nieuwe Wave-2-standaard beschikken, zijn ook vandaag de dag nog steeds alleen compatibel met XG Firewalls en Central. Vanuit Sophos werd altijd gezegd dat men de APX Access Points nooit compatibel zou maken met de UTM. Voor ons was deze stap ook altijd volkomen logisch! Het betreft hier NextGen Hardware, die nu eenmaal ook alleen voor NextGen Firewalls werd ontwikkeld.

Met schuddende hoofden kunnen we jullie nu echter toch verkondigen dat Sophos wat dit plan betreft weer is teruggekomen. De ondersteuning van de APX Access Points komt voor de UTM! De ondersteuning is gepland voor UTM 9.7, dat eind dit jaar moet worden uitgebracht.

03 - Licentiemodel

Het licentiemodel van de XG Firewall is niet compleet anders dan dat van de UTM. Toch zijn er enkele belangrijke voordelen.

Base License

De Base License voor een XG Firewall Appliance is gratis inbegrepen. Welke functies daarin zijn opgenomen, leest u in een apart artikel over de Base License. Hier zijn echter de belangrijkste functies waarvan u gratis kunt genieten:

  • Wireless Protection
  • SSL VPN of Sophos Connect Client
  • IPsec VPN-verbindingen

EnterpriseGuard Bundle

Jullie kennen zeker de FullGuard Bundle, die alle modules behalve Sandstorm op de firewall activeert. Met de FullGuard Plus Bundle krijgen jullie ook Sandstorm.

Voor de XG-serie is er bovendien de populaire EnterpriseGuard Bundle. Deze bundel is een echt alternatief voor de FullGuard Bundle, want hij dekt de behoeften van de meeste klanten al af. Met de EnterpriseGuard Bundle krijgen jullie Network Protection en Web Protection inclusief Sophos Premium Support. Wireless Protection is al gratis in de basislicentie inbegrepen. Daardoor hoeven maar weinig klanten terug te vallen op de duurdere FullGuard Bundle, tenzij er daadwerkelijk nog behoefte is aan bescherming van e-mails en webservers.

04 - Firewall-regels

Laten we nu overgaan naar het meer technische deel: waarom het SFOS in mijn ogen een streepje voor heeft op het UTM-besturingssysteem.

Het firewallregelwerk is met SFOS een stuk overzichtelijker geworden. Als je meer dan 10 firewallregels hebt, wat waarschijnlijk in de meeste omgevingen het geval is, kunnen deze in SFOS uitstekend worden gegroepeerd. De volgende screenshot van mijn XG Firewall thuis maakt dit nog eens duidelijk. Hier hebben alle IoT-apparaten hun eigen netwerk en de bijbehorende firewallregels worden allemaal in één groep samengevat.

Sophos Firewall - Regeloverzicht

Als men dan een groep nader bekijkt, komt men er snel achter welke individuele firewallregels nog steeds verkeer doorlaten en welke regels mogelijk niet meer worden gebruikt. Deze weergave helpt om overbodige regels te herkennen en te verwijderen.

Sophos Firewall - Firewallregels

In tegenstelling tot de UTM kan ik in SFOS een firewallregel een eigen naam geven. Binnen een regel zijn bovendien langere opmerkingen mogelijk, bijvoorbeeld om vast te leggen wie deze regel heeft gemaakt en waarvoor deze regel ooit is aangemaakt.

  • Elke regel krijgt een ID, waarmee ik in de log kan zien welk verkeer door deze regel gaat.
  • Je ziet in één oogopslag of bijvoorbeeld de IPS of de webfilter actief is voor een regel.

Wat firewallregels betreft, zou ik jullie theoretisch nog veel meer voordelen kunnen noemen die onderstrepen waarom ik nooit meer naar een UTM zou teruggaan. Ik laat het echter bij de hierboven genoemde hoofdargumenten, die elke firewallbeheerder al zouden moeten overtuigen. 🙂

Ook al is er veel verbeterd aan SFOS wat betreft de firewallregels, toch heeft SFOS een zeer vervelend nadeel ten opzichte van de UTM. Het opslaan van een firewallregel duurt op de XG 86 tot XG 135 firewalls wel 4-10 seconden! Deze omstandigheid moet in v18 eerst verbeterd en in v19 dan volledig verholpen worden.

05 - Log Viewer

Ook na meerdere jaren op de XG Firewall is de Log Viewer nog steeds een absoluut hoogtepunt! Hiermee is het snel en eenvoudig mogelijk om logs direct via de GUI te controleren. Maar voordat ik er hier te veel woorden aan vuil maak, bekijk gewoon de volgende video:

06 - Sophos Central

Nee, wees niet bang! Ik kom nu niet ook nog met Sophos Synchronized Security, waarvan de marketingafdeling van Sophos een slogan van de eeuw heeft gemaakt. Maar als het helpt om jullie UTM in te ruilen voor een XG, dan springen we natuurlijk graag op die trein. Wisten jullie dat je met Synchronized Security op de XG Firewall kunt zien welke applicaties op de endpoints draaien? 😂 Dus ja, Synchronized Security zal in de toekomst nog meer geniale mogelijkheden opleveren!

Laten we nu, wat Central betreft, naar een functie kijken die nog in de kinderschoenen staat, maar over enorm potentieel beschikt. Ik heb het over Central Firewall Management. Daarmee is het mogelijk om de firewall aan Central te koppelen en deze daarover te beheren. Zo’n koppeling kan nu al worden gemaakt, maar de echt interessante functies moeten nog komen! Ik kan hier helaas nog niet te veel verklappen, maar als Sophos het goed aanpakt, zou dit kunnen uitmonden in management voor SDN. Nieuwe functies mogen we al eind dit jaar verwachten.

07 - Firmware Updates

Zoals gezegd vinden we updates altijd goed. Het motto never change a running system is absolute onzin als het om de firewall gaat. Dit hebben we ook al in een eerdere post over de noodzaak van firewall-updates besproken.

Dat updates belangrijk zijn, hebben jullie zeker begrepen. Maar updates zijn ook erg gevaarlijk, aangezien het zeker kan voorkomen dat daarna niet alles meer zo soepel werkt als voorheen. Van admins die daar bang voor zijn, hoort men dan altijd de bovengenoemde spreuk. 😅

Om het risico van updates wat te beperken, zijn er op de XG Firewall een paar verbeteringen:

  1. De updates van Access Points en REDs zijn losgekoppeld en niet langer geïntegreerd in de firewall-update. Zo kunnen de REDs ook zonder herstart van de firewall worden bijgewerkt.
  2. Mocht een firewall-update niet gewerkt hebben en men wil terug naar de vorige versie, dan is dit met een paar klikken mogelijk.

Conclusie

Dit artikel is iets langer geworden dan ik oorspronkelijk van plan was. Ik heb hier zeven redenen opgesomd die naar mijn mening elke UTM-vriend zouden moeten aanzetten tot een overstap. Ook ik heb de UTM ooit op een voetstuk geplaatst, maar juist op het vlak van toekomstbestendigheid, updates en een duidelijke visie heeft ons verstand ons al vroeg richting overstap gestuurd en daar hebben we tot nu toe nooit spijt van gehad! In de vergelijking UTM vs. XG staat de XG voor ons duidelijk sterker in de ring. Wees dus moedig of liever verstandig (😅) en kies bij uw volgende project voor een XG Firewall. Zodra die stap is gezet, kunt u beginnen met het migreren van uw UTM’s naar SFOS.

Nadelen

Ook al biedt SFOS echt veel uitstekende functies, men zou misschien toch een beetje het gevoel kunnen krijgen dat dit artikel door een roze bril is geschreven. Daarom voeg ik hier nog een kort hoofdstuk met de nadelen toe, want zoals gezegd is SFOS nog een zeer jong besturingssysteem en er zijn inderdaad nog enkele zaken die nog niet helemaal optimaal werken.

Snelheid van de GUI

  • Het laden of opslaan van de firewallregels duurt nog te lang en niet zoals gewenst.
  • Het genereren van rapporten of ook systeemresources heeft absoluut een snelheidstoename nodig.

* Zoals reeds vermeld in het artikel, zullen deze zaken met v18 verbeterd en met v18.5 opgelost zijn.

Hernoemen van objecten

  • Het is helaas niet overal mogelijk om aangemaakte items achteraf te hernoemen. Daaronder vallen bijvoorbeeld zones, Wireless-netwerken, actieve firewall-NAT-poorten, IPS Protection Policies, Webserver Protection Policies, IPsec Policies en nog een aantal.

* De reden hiervoor is dat de ontwikkelaars van de Cyberoam Firewall, die nog steeds de basis is voor SFOS, de naam voor deze objecten in de database als primaire sleutel hebben gebruikt. Dat maakt hernoemen achteraf natuurlijk nogal moeilijk. Maar ook hieraan wordt gewerkt en de eerste verbeteringen worden met v18 verwacht.

NAT-regels

  • Gemaakte NAT-regels kunnen niet meer worden bewerkt als deze actief zijn. Men moet deze eerst deactiveren, bewerken en dan weer activeren.

* Moet met v18 worden opgelost.

Meldingen

  • De meldingen zijn bij het UTM-systeem nog werelden beter. Daar kan men zich over vrijwel alles per e-mail laten informeren. Het SFOS biedt in dit opzicht zo goed als geen opties. Met SFOS 17.5 MR4 zijn hierin wel enige verbeteringen aangebracht, maar de mogelijkheden die we bij de UTM als vanzelfsprekend zagen, worden nog lang niet geboden.

* Moet met v18 verder verbeterd worden.

Meer informatie

In dit artikel verwijs ik vaak naar v18, die veel verbeteringen moet brengen. Volgens Sophos moet v18 eind 2019 verschijnen. Wij vinden deze planning echter erg optimistisch en achten het eerste kwartaal van 2020 als releaseperiode realistischer. 😅

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.