Naar de inhoud
Avanet
Sophos Central Wireless - Versie 2.0 met Security Heartbeat

Sophos Central Wireless - Versie 2.0 met Security Heartbeat

27. JULI 2018

Sophos Central Wireless 2.0 staat in de startblokken en wordt tussen 30 juli en 31 augustus op alle accounts uitgerold. Naast nieuwe functies en verbeteringen worden dan ook de nieuwe APX Wave 2.0‑access points ondersteund. In deze blogpost vatten we samen welke functies u mag verwachten.

Synchronized Security voor Endpoint en Mobile

Security Heartbeat is nu ook beschikbaar voor Sophos Central Wireless. Het idee erachter is in principe hetzelfde als bij de XG Firewall. De netwerktoegang van geïnfecteerde clients, of clients die niet aan de ingestelde policies voldoen, wordt beperkt of volledig geblokkeerd.

Met Security Heartbeat in Central Wireless kunt u een risicovol apparaat van het wifi-netwerk (WLAN) isoleren, zodat het geen bedreiging vormt voor andere apparaten in hetzelfde netwerk. Om dit samenspel te laten werken, moeten de endpoints uiteraard met de juiste software zijn uitgerust. Op desktops en laptops zou u minimaal Sophos Central Endpoint geïnstalleerd moeten hebben, en op smartphones en tablets Sophos Central Mobile. Ten slotte moet u een van de nieuwe APX‑access points gebruiken, omdat alleen deze Security Heartbeat ondersteunen. 😅

Enhanced Rogue AP Detection

Met Enhanced Rogue AP Detection scannen uw Sophos‑access points alle kanalen en brengen zij omliggende draadloze netwerken in kaart. Dat klinkt misschien niet meteen spectaculair, maar het doel is – zoals de naam al aangeeft – het opsporen van zogenaamde “rogue AP’s”. Dit zijn niet‑geautoriseerde access points die een beveiligd netwerk kunnen ondermijnen.

De soms strenge, maar terechte beperkingen in een bedrijfs‑WLAN zorgen er wel eens voor dat medewerkers creatief worden. Het kan zomaar gebeuren dat een collega zijn eigen access point op kantoor neerzet om privéapparaten met internet te verbinden. Dat is dan zo’n “rogue AP”, omdat hij zonder toestemming in een beveiligd netwerk is geïnstalleerd.

Met Enhanced Rogue AP Detection kunt u dit soort ongeautoriseerde access points voortaan in uw netwerk opsporen. Als het gebruik van een apparaat is goedgekeurd, kunt u het access point uiteraard ook toevoegen aan een “bekende AP‑lijst”.

Verdere verbeteringen

Naast de bovenstaande functies bevat versie 2.0 nog twee noemenswaardige verbeteringen:

  • Bulk‑provisioning: u kunt nu tot 30 AP’s in één stap toevoegen door een CSV‑bestand met serienummers te uploaden.
  • Vernieuwd dashboard: u krijgt een beter overzicht van bedreigingen in het netwerk en de status van apparaten met Synchronized Security.

Toekomstige functies

Versie 2.1 staat gepland voor september en zal verbeterde debug‑ en troubleshooting‑tools brengen. In november wordt het kleine APX 120‑access point verwacht, waarvan de ondersteuning dan in versie 2.1.1 gegarandeerd zal zijn.

Conclusie

Wij vonden Sophos Central Wireless altijd al een zeer interessant product. AP’s kopen, aansluiten en aan de slag! Met Sophos Central Wireless is geen fysieke controller nodig en kunt u draadloze netwerken op meerdere locaties eenvoudig en overzichtelijk beheren.

Ons enige punt van kritiek op Sophos Wireless is de prijs. Naar onze mening slagen zelfs de nieuwe functies in versie 2.0 er nog niet helemaal in om die prijs te rechtvaardigen. Bovendien profiteert u van Synchronized Security eigenlijk alleen als u ook in de nieuwe APX‑serie investeert.

Daarnaast is Sophos natuurlijk niet de enige speler in de markt voor draadloos beheer. Al lang vóór Sophos Wireless bestonden er vergelijkbare oplossingen. Zelfs Google verkoopt eigen access points; voor de prijs van één Sophos AP kan ik er daar drie van kopen. Ook die kan ik via de cloud beheren en over meerdere locaties inzetten, inclusief veilige WPA2‑versleuteling.

We vinden het simpelweg niet erg aantrekkelijk om terugkerende kosten te hebben puur voor wifi. Voor ons is wifi een beetje als “lucht”: het moet er gewoon zijn. Deze opvatting kan natuurlijk veranderen als er in de toekomst nog meer beveiligingsfuncties bijkomen, zoals in versie 2.0. In dat geval zien we duidelijk de meerwaarde en is het wat ons betreft legitiem om extra kosten te rekenen voor Sophos Central Wireless.

We moeten ook erkennen dat Sophos de prijs voor de nieuwe APX‑access points enigszins heeft verlaagd. Terwijl er tussen AP 15 en AP 100 nog prijsverschil bestaat, zullen de jaarlijkse kosten voor alle APX‑modellen gelijk zijn, of het nu de kleine APX 320 of de grote 740 is.

Samengevat kunnen we stellen dat Sophos Central Wireless veel potentieel heeft. Er is geen fysieke console nodig en met de nieuwe APX‑access points komen extra beveiligingsfuncties zoals Synchronized Security erbij. Dat kan in de toekomst erg interessant worden. Wie dat allemaal niet nodig heeft, kan gewoon een kleine XG Firewall (XG 115) aanschaffen en daarmee probleemloos 10 access points beheren. Bij die oplossing betaalt u de AP’s slechts één keer, want de wireless‑licentie is gratis inbegrepen in het Sophos Firewall OS op de XG.

Opmerking: op 31 juli 2018 nam Sophos contact met ons op over onze conclusie over Sophos Central Wireless. Omdat we de hoge prijs als kritiekpunt hadden genoemd, kregen we een interessante extra informatie. In de jaarlijkse kosten per access point voor Sophos Wireless zou ook een verzekering voor het apparaat zijn inbegrepen. Gaat een AP kapot, dan wordt het volgens Sophos binnen 24 uur gratis vervangen. Deze service is dus in de prijs verwerkt. Helaas wordt dit noch in de datasheets noch elders op de website vermeld. We kunnen het daarom niet zwart op wit garanderen, maar volgens Sophos zijn de access points verzekerd zolang er een geldige Sophos Central Wireless‑licentie loopt.

Bekende problemen in versie 2.0

In de volgende lijst staan de bekende problemen die in versie 2.0 nog kunnen optreden. Er wordt al aan oplossingen gewerkt en deze issues zouden dus binnenkort moeten zijn verholpen.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Meer informatie

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.