Sophos Firewall Feature Request 2024
Wij werken dagelijks met Sophos Firewall en onze klanten geven ons regelmatig feedback over welke securityfuncties, maar ook welke bedieningsfuncties, zij missen. Op basis van deze ervaringen en reacties hebben we een gedetailleerde lijst samengesteld. Deze feedback vatten we nu samen in dit Sophos Firewall Feature Request-overzicht.
Let’s Encrypt-ondersteuning
Dit is de meest gevraagde functie, waar velen al meer dan drie jaar op wachten. Met versie 21, die naar verwachting rond oktober verschijnt, zal deze functie eindelijk beschikbaar zijn.
Hernoemen van objecten
Momenteel is het helaas niet mogelijk om bepaalde onderdelen op de firewall te hernoemen. Enkele voorbeelden:
- Site-to-Site IPsec-verbindingen
- Zones
- DHCP-server
- IPS-regels
Deze functie zou bijzonder nuttig zijn om configuraties duidelijker en beter georganiseerd te houden.
Wilt u bijvoorbeeld een Site-to-Site VPN-verbinding hernoemen, dan moet u deze verwijderen en opnieuw aanmaken, alleen om de naam te wijzigen.
Responsieve GUI
Met de update naar versie 20 werd de GUI enigszins geoptimaliseerd voor breedbeeldmonitoren om de witte ruimte te verminderen. Dit was al een zeer vaak gevraagde Sophos Firewall Feature Request.
Toch willen onze klanten graag een volledig responsieve interface die er ook goed uitziet op tablets en mobiele apparaten. Vooral op kleine monitoren en bij 4K-resolutie is er nog ruimte voor verbetering.
Backend Performance
De GUI is traag. Vooral bij de kleinere firewallmodellen reageren de apparaten vaak erg langzaam, met name bij het opslaan van firewallregels. Hier is nog veel optimalisatiepotentieel om de gebruikerservaring te verbeteren.
Een voorbeeld: het opslaan van een firewallregel op een XGS 126 met SFOS v20 duurt te lang.
De laadtijd van de interfaces is vergelijkbaar en het dashboard duurt ongeveer twee keer zo lang.
Groeperen van NAT-regels
Het is mogelijk om firewallregels te groeperen om ze beter te organiseren. Deze functie ontbreekt echter bij NAT-regels. Ook hier zou een groeperingsoptie een zinvolle Sophos Firewall Feature Request zijn.
NAT-regels klonen
Hoewel de functie voor het klonen van firewallregels al bestaat, ontbreekt deze handige optie voor NAT-regels. Het zou zeer nuttig zijn als ook NAT-regels gekloond konden worden, zodat configuraties sneller en efficiënter kunnen worden opgebouwd. Dit is een vaak gehoorde Sophos Firewall Feature Request van onze klanten.
Log Viewer aanpassen en opslaan
De Log Viewer maakt het mogelijk om kolommen toe te voegen of te verwijderen om logs overzichtelijker weer te geven. Het zou handig zijn als deze instellingen opgeslagen konden worden, zodat u bij het volgende openen van de Log Viewer direct uw voorkeursweergave van de kolommen ziet.
Geïntegreerde Speedtest
Een geïntegreerde speedtest die direct via de firewall kan worden uitgevoerd, staat hoog op het verlanglijstje van veel gebruikers. Andere fabrikanten bieden deze functie al aan en maken het mogelijk om speedtests via verschillende interfaces direct vanuit de firewall uit te voeren of tijdgestuurd te plannen.
Waarschuwingen in het dashboard verbergen
In het dashboard worden waarschuwingen of alarmen weergegeven die echter niet verborgen kunnen worden. Veel gebruikers willen de mogelijkheid om deze meldingen als gezien te markeren, zodat ze niet permanent worden weergegeven.
Meerdere objecten tegelijk importeren
De mogelijkheid om meerdere objecten tegelijk te importeren zou een waardevolle aanvulling zijn. Momenteel kunnen IP-lijsten worden geïmporteerd, maar URL-lijsten of meerdere netwerken niet. Deze functie zou de efficiëntie aanzienlijk verhogen, vooral voor uitzonderingen voor Microsoft-services waarbij veel netwerken of URL’s moeten worden vastgelegd.
Links naar firmware-releasenotes
Voor firmware-updates voor RED of Access Points is er momenteel alleen een knop “Installeren” in de backend, zonder dat gedetailleerde informatie over de wijzigingen beschikbaar is. Daardoor weten beheerders niet welke wijzigingen of verbeteringen de nieuwe firmware met zich meebrengt. Dit is bijzonder problematisch omdat er geen rollbackmogelijkheid is als er na de installatie problemen optreden.
Een directe link naar de release notes zou daarom een zeer praktische Sophos Firewall Feature Request zijn. Zo kan men de wijzigingen vóór de installatie controleren en beter inschatten welke risico’s of voordelen de update met zich meebrengt. Momenteel moet men in de Sophos Community naar details zoeken, wat opnieuw tijd kost.
Auto Block attack
Een verwante functie die goed voorstelbaar is, is het wachtwoordbeveiligingsmechanisme dat bij te veel mislukte aanmeldpogingen een tijdelijke blokkade activeert. Dit mechanisme is bij de meeste beheerders bekend en wordt al toegepast op Sophos Firewall.
Dit mechanisme blokkeert de login na een bepaald aantal mislukte pogingen en sluit de toegang voor een vaste periode af. Vergelijkbare functionaliteit voor de firewall zou bijzonder nuttig zijn om IP-adressen automatisch te blokkeren wanneer binnen korte tijd meerdere verdachte activiteiten worden vastgesteld.
Een vergelijkbare methode wordt ook gebruikt door Fail2Ban, een programma dat logs controleert en IP-adressen blokkeert die bepaalde vooraf gedefinieerde patronen van aanvallen of verdachte activiteiten vertonen. Fail2Ban beschermt systemen zo tegen brute-force-aanvallen en andere bedreigingen door aanvallers automatisch te blokkeren.
Het ligt voor de hand dat zo’n automatische blokkeerfunctie ook voor Sophos Firewall bijzonder nuttig zou zijn. Momenteel detecteert en blokkeert het Intrusion Prevention System (IPS) verdachte activiteiten, maar de aanvaller kan zijn pogingen voortdurend herhalen. Elke verdachte activiteit activeert een melding en de beheerder moet handmatig ingrijpen om het IP-adres te blokkeren.
Een autoblockmodus, waarbij de beheerder kan instellen dat een IP-adres gedurende 15 minuten, een uur of zelfs langer wordt geblokkeerd, zou de efficiëntie en beveiliging aanzienlijk verhogen. Als de firewall binnen één minuut meerdere verdachte activiteiten van een specifiek IP-adres detecteert, zou het zinvol zijn om dit IP automatisch gedurende een bepaalde tijd te blokkeren. De beheerder zou de zwarte lijst te allen tijde kunnen bijhouden en het adres indien nodig weer kunnen verwijderen.
Door de introductie van zo’n autoblockmodule zou de firewall nog effectiever beschermen tegen herhaalde aanvallen en tegelijk de beheerlast voor de beheerder verminderen.
Dan zou het weer een strijd van machine tegen machine zijn, want momenteel worden de meeste aanvalspogingen uitgevoerd door bots of geautomatiseerde systemen. Achter de Sophos Firewall staat echter een beheerder die dergelijke events handmatig moet afhandelen om verdere verzoeken te voorkomen.
Bad IP Blocker Feeds
In de komende Firewall-versie 21 moet het mogelijk zijn om vooraf gedefinieerde lijsten te implementeren om toegang tot gevaarlijke IP-adressen te blokkeren. Dat betekent: als iemand intern probeert verbinding te maken met een reeds bekend gevaarlijk IP-adres, wordt deze toegang automatisch geblokkeerd. In toekomstige versies worden deze lijsten aangevuld door derden. Helaas worden echter alleen uitgaande verbindingen tegen deze lijsten gecontroleerd.
Een uitstekende uitbreiding zou zijn om feeds aan de firewall toe te voegen die IP-lijsten bevatten, zodat bekende gevaarlijke IP-adressen ook voor inkomende verbindingen kunnen worden geblokkeerd. Dit zou kunnen gelden voor NAT-regels, VPN-aanvragen, User Portal-aanvragen en andere services.
Bij de Web-Application Firewall is er al een vergelijkbare functie genaamd “Block clients with bad reputation”, die het volgende doet:
Deze functie blokkeert clients die op basis van real-time blackhole lists (RBL’s) en GeoIP-informatie een slechte reputatie hebben. Het overslaan van externe query’s voor clients met een slechte reputatie kan de prestaties verbeteren. Voor RBL’s gebruikt Sophos Firewall Sophos Extensible List (SXL) en SORBS. Voor GeoIP gebruikt de firewall Maxmind. Sophos Firewall blokkeert clients die in de categorieën A1 (anonieme proxy’s of VPN-diensten) en A2 (satelliet-ISP’s) vallen.
De wens is dus om u op eigen RBL-feeds te kunnen abonneren, bijvoorbeeld van gerenommeerde fabrikanten of van GitHub.
Zo’n uitbreiding zou de beveiliging van de firewall en de bijbehorende diensten aanzienlijk verhogen doordat niet alleen uitgaande, maar ook inkomende verbindingen effectief tegen bekende bedreigingen worden beschermd.
Wireless Service uitschakelen
Hoewel de optie bestaat om de Wireless Service uit te schakelen, wordt dit als een fout weergegeven. In het dashboard ziet u dan een waarschuwing:
Dit betekent dat de firewall het als een probleem interpreteert en een foutmelding geeft, zelfs als de beheerder de service bewust uitschakelt om resources te besparen of om andere redenen. Het zou daarom wenselijk zijn om de Wireless Service te kunnen uitschakelen zonder dat dit als fout in het dashboard verschijnt.
Feedback aan ons
In dit artikel hebben we de meest voorkomende Sophos Firewall Feature Requests verzameld die we de afgelopen maanden hebben gehoord. Daarbij hebben we zowel de wensen van onze klanten meegenomen als de functies die ons zouden helpen om de inrichting en het onderhoud van de vele klantfirewalls efficiënter te maken.
Heeft u nog andere suggesties of wensen, stuur ons dan gerust uw feedback via het contactformulier. We zullen dit blogbericht regelmatig bijwerken om de actuele behoeften en vereisten te blijven weergeven.
Roadmap is ook geen garantie
U zou nooit een product moeten kopen alleen omdat een fabrikant belooft dat de gewenste functie later via een update wordt toegevoegd.
Bij Sophos is dat niet anders. De roadmap is ongeveer even betrouwbaar als de weersvoorspelling of horoscopen. Features worden toegevoegd en verwijderd, services worden op roadshows voorgesteld of zaken worden met de vermelding “coming soon” in productdatasheets gezet, maar dat betekent allemaal nog niets. Over de aankondigingen van Sophos waar niets van terechtkwam, zou ik een eigen post kunnen schrijven. Bovendien is Sophos helaas ook niet een van de fabrikanten die naar gebruikers luistert en daarna functies ontwikkelt; dat zou volkomen absurd zijn. Beter rent men achter de volgende hype van Gartner-analisten aan, achter wat aandeelhouders willen horen, of kijkt men naar de concurrentie.
Ik denk dat hiermee alles duidelijk zou moeten zijn en ik valse hoop reeds in de kiem heb gesmoord.
