Sophos Firewall v20 - Beste functies in de nieuwe SFOS-release
De hoofdversies zijn met afstand de spannendste releases van het jaar en met Sophos Firewall v20, nauwkeuriger gezegd SFOS v20, brengt Sophos een paar echt sterke nieuwe functies. Momenteel gaat het om EAP1, dus een Early Access-versie. De definitieve versie verschijnt waarschijnlijk pas eind dit jaar of begin 2024, als Sophos zijn schema trouw blijft.
Web Admin geoptimaliseerd voor 1920p
In de featurelijst van Sophos staat deze vernieuwing helemaal onderaan bij de minder belangrijke verbeteringen in de nieuwe versie: ondersteuning voor schermen met hoge resolutie. Cijfers van Statista laten zien dat 1980p-monitoren al sinds 2018 meer dan standaard zijn - deze functie was dus al lang over tijd. Ik ben extreem blij met deze feature. 🥳 Het was bijzonder storend dat zoveel witte ruimte onbenut bleef terwijl tekst werd afgekapt.
Nog niet alles is echter voor 1920p geoptimaliseerd en op veel plekken in de GUI, bijvoorbeeld in het dashboard, is nog wat onderhoud nodig. Dit zou met v20.5 moeten worden nageleverd.
Als men het verschil tussen SFOS v19.5 en SFOS v20 bekijkt, krijgt men nu eindelijk meer ruimte.
De eer komt hier echter niet Sophos toe, maar enkele grote Sophos-partners die de fabrikant hebben aangespoord dit te implementeren. Dus op deze plaats: hartelijk dank.
VPN-verbeteringen
Sophos Firewall v20 brengt diverse vernieuwingen op VPN-gebied. We beginnen met waarschijnlijk de grootste wijziging.
VPN Portal
Met de update naar SFOS v20 worden de VPN-functionaliteiten uit het User Portal overgebracht naar het nieuwe VPN Portal. Er zijn voor gebruikers dus voortaan twee portalen, voor zover het User Portal daadwerkelijk nog vaak wordt gebruikt. Daarover aan het einde meer.
Het nieuwe VPN Portal in SFOS v20 centraliseert VPN-specifieke functies die voorheen in het User Portal stonden.
- Download Sophos Connect Client voor Windows en macOS
- Download configuratie voor Remote SSL VPN en IPsec
- Toegang tot Clientless Bookmarks
Door containerisatie wordt de toegang tot kerncomponenten van SFOS geminimaliseerd, wat gebruik via WAN veiliger maakt. Functies rond authenticatiemethoden of MFA blijven hetzelfde als in het User Portal.
De migratie naar SFOS 20.0 neemt bestaande User Portal-configuraties automatisch over in het VPN Portal, wat de overstap vereenvoudigt. Nieuw is wel dat het User Portal een nieuwe poort krijgt en het VPN Portal op de bestaande poort draait.
Wat verandert er voor de portalen na de update naar SFOS v20?
| VPN Portal | User Portal |
|---|---|
| Standaardpoort: 443 Hierdoor blijven bestaande Remote Access VPN-implementaties probleemloos werken. | Standaardpoort: 4443 |
| Poort kan worden gedeeld met de volgende services: - WAF - SSL VPN | Poort kan niet worden gebruikt voor een andere service. |
| Download: - Sophos Connect Client - IPsec en SSL VPN-config - iOS VPN-config Gastgebruikers hebben geen toegang tot het VPN Portal. | VPN-client en configuraties staan nu in het VPN Portal. |
| - Auto-Provisioning voor Sophos Connect Client - VPN-configuratie ophalen via VPN-portaal - Met standaardpoort 443 blijven bestaande implementaties ongewijzigd | Verplaatst naar VPN Portal |
| Clientless toegang tot bookmarks | Verplaatst naar VPN Portal |
| - | - Overige clientdownloads - Internetgebruik - E-mailquarantaine en uitzonderingen - Overschrijden van beleid - Draadloze hotspots |
Zo ziet u nu duidelijk welke functies in het User Portal blijven. Als we naar de gebruikersbasis van deze functies kijken, blijkt dat slechts een zeer klein aantal van onze klanten ze heeft gebruikt, waardoor het User Portal voortaan minder vaak zal worden ingezet.
IPsec VPN Stateful HA Failover
In Sophos Firewall v20 wordt Stateful High Availability (HA) Failover voor IPsec VPN-verbindingen geïntroduceerd. Deze nieuwe functie maakt het mogelijk dat bestaande IPsec VPN-verbindingen bij een failover naadloos worden overgedragen naar de standby-node, zonder dat de sessies worden onderbroken. Daarbij is het belangrijk te benadrukken welke VPN-verbindingen van deze verbetering profiteren en welke niet.
De verbetering betreft de volgende VPN-verbindingen:
- IPsec Site-to-Site VPN’s (route-based en policy-based)
- IPsec Remote-Access VPN’s
Dit betekent dat zowel Remote-Access VPN’s als Site-to-Site VPN’s bij een failover kunnen worden voortgezet zonder de verbinding opnieuw te hoeven opbouwen.
In de context van IPsec-VPN’s is deze functie bijzonder nuttig, omdat zij het herstel van verbindingen bij een failover versnelt en daarmee de beschikbaarheid van het netwerk verhoogt. Vooral bij het herstellen van de verbinding traden steeds weer problemen op en moesten VPN-verbindingen na een failover handmatig of automatisch, met enige vertraging, opnieuw worden opgebouwd. Dit kon leiden tot onderbrekingen in netwerkdiensten, wat op zijn beurt bedrijfsprocessen raakte. Nu verliest u hooguit een paar pings, maar de verbinding blijft bestaan.
Met de verbetering van Stateful HA Failover in Sophos Firewall v20 kunnen nu ook grote organisaties die afhankelijk zijn van hoge beschikbaarheid profiteren van meer stabiliteit en een soepele werking. Ook de nieuwe commandline-opties voor het beheer van de instellingen dragen bij aan de flexibiliteit en controle die bij VPN-verbindingen nodig zijn.
Andere VPN-verbindingen zoals SSL VPN en Sophos RED-verbindingen worden niet beïnvloed door deze specifieke failover-verbetering, maar werken volgens ervaring ook beter bij het tot stand brengen van de verbinding.
FQDN Host Support voor SSL VPN
In SFOS v20 is de ondersteuning voor Fully Qualified Domain Names (FQDN) toegevoegd aan de SSL VPN-functionaliteit. Met deze vernieuwing kunnen SSL VPN-verbindingen nu worden geconfigureerd op basis van domeinnamen in plaats van alleen IP-adressen. Dit is bijzonder handig in dynamische netwerkomgevingen waar de IP-adressen van eindpunten kunnen veranderen, aangezien wijzigingen in netwerkadressen niet langer handmatig in de VPN-configuratie hoeven te worden bijgewerkt.
De FQDN-ondersteuning vergemakkelijkt bovendien de integratie met DNS-diensten, wat de naamresolutie vereenvoudigt en de algehele performance van SSL VPN-verbindingen kan verbeteren.
Bovendien maakt FQDN-ondersteuning het mogelijk om beveiligingspolicies preciezer op basis van domeinnamen op te stellen, wat betere controle over netwerktoegang biedt.
SNMP – Monitor IPsec VPN Tunnel Status
In SFOS v20 van de Sophos Firewall is de functie toegevoegd om de status van IPsec VPN-tunnels te bewaken via het Simple Network Management Protocol (SNMP). Dit stond ook al langer op onze wensenlijst en vereenvoudigt nu de bewaking van verdere diensten.
De kerncomponent van deze functie is het Management Information Base (MIB)-bestand dat door de Sophos Firewall wordt geleverd. Het MIB-bestand wordt in de SNMP-tool geïmporteerd en biedt toegang tot een groot aantal datapunten die belangrijke informatie leveren over de status, performance en mogelijke fouten van de IPsec VPN-tunnels. Zo kunnen beheerders tunnelactiviteiten gedetailleerd bewaken en analyseren.
Azure AD – Captive Portal SSO & groepsimport
Sophos Firewall v20 brengt uitgebreide integraties met Azure Active Directory (Azure AD) via twee nieuwe functies: Azure AD SSO voor Captive Portal en Azure Group Import en RBAC.
De functie Azure AD SSO voor Captive Portal stelt gebruikers in staat om zich met hun Azure AD-aanmeldgegevens bij de Captive Portal te authenticeren. Dit vereenvoudigt het authenticatieproces door gebruikers hun bestaande Azure AD-aanmeldgegevens te laten gebruiken.
De tweede vernieuwing, Azure Group Import en RBAC, voegt een nieuwe importwizardfunctie voor Azure AD-groepen toe en maakt automatische promotie voor rolgebaseerde adminwijzigingen mogelijk. Met deze functie kunnen beheerders Azure AD-groepen eenvoudig in de Sophos Firewall importeren en gebruiken voor Role-Based Access Control (RBAC). De automatische promotiefunctie vereenvoudigt het beheer van gebruikersrollen en rechten door wijzigingen in de rolgebaseerde admin-toewijzing automatisch te bevorderen.
De uitbreiding van Azure AD is weliswaar een stap vooruit, maar helaas moeten we nog altijd wachten op het gebruik van Azure AD-login voor het VPN Portal, Remote IPsec VPN of SSL VPN. We hopen dus op updates. 😩
Om Azure AD zelf op de firewall in te stellen, helpen deze links:
- Een Azure-toepassing instellen
- Sophos Firewall v21.5: Entra ID SSO-integratie voor Sophos Connect Client
Interfaces activeren / deactiveren
Een langverwachte functie voor beheerders is geïntegreerd: het activeren en deactiveren van interfaces. Deze nuttige functie was al beschikbaar in het vorige besturingssysteem van Sophos UTM en SFOS v20 voldoet nu aan de wens van beheerders om deze functionaliteit terug te brengen.
Voorheen kon een interface alleen volledig worden gedeactiveerd, wat resulteerde in het verlies van de gehele configuratie.
Als een interface nu in de instellingen wordt gedeactiveerd, blijft de gehele configuratie behouden en kan de interface indien nodig probleemloos weer worden geactiveerd.
In gedeactiveerde toestand wordt de regel van de interface grijs weergegeven en in het Control Center wordt de status als uitgeschakeld (Turned off) getoond. Deze verbetering vereenvoudigt het beheer van de firewall aanzienlijk en bespaart beheerders waardevolle tijd bij de configuratie en het beheer van netwerkinterfaces.
Er zijn enkele uitzonderingen waarbij het activeren/deactiveren van interfaces niet mogelijk is. Alias- of tunnelinterfaces, of interfaces die individuele leden van een LAG (Link Aggregation Group) of Bridge zijn, kunnen bijvoorbeeld niet worden gedeactiveerd. De volledige LAG- of Bridge-interface kan echter wel worden gedeactiveerd.
| Interfacetype | Activeren/deactiveren ondersteund |
|---|---|
| Fysiek | Ja |
| VLAN | Ja |
| LAG (Groep) | Ja |
| LAG individueel lid | Nee |
| Bridge | Ja |
| Bridge individueel lid | Nee |
| Alias | Gepland |
| Draadloos LAN | Ja |
| Tunnelinterface (XFRM) | Nee |
| Wi-Fi | Ja |
| RED | Ja |
*Sophos Firewall v20 (SFOS v20) – Interface Enable/Disable Support
Objectreferentie
De vernieuwing “objectreferentie” in Sophos Firewall versie 20 pakt een bestaande uitdaging in het beheer van netwerkobjecten aan. In eerdere versies tot 19.5 was het een moeizame taak om te achterhalen waar een specifiek object binnen de configuratie werd gebruikt voordat het kon worden verwijderd. Dit kon tot vertragingen en mogelijke fouten leiden, vooral in uitgebreide netwerkomgevingen met veel regels en policies.
In versie 20 is deze zwakke plek verholpen. Bij de objecten onder het menu-item “Hosts and services” zijn alle objecten in tabs georganiseerd en met SFOS v20 toont de Sophos Firewall precies waar een object wordt gebruikt, of dat nu in een firewallregel, NAT-regel, VPN-configuratie of als service in een groep is. Dit vereenvoudigt het identificeren van afhankelijkheden en helpt om noodzakelijke wijzigingen vóór het verwijderen uit te voeren.
Een andere krachtige functie is de directe link naar de regels waarin het object wordt gebruikt. Met één klik kan de beheerder nu direct naar de betreffende regel navigeren en de noodzakelijke aanpassingen uitvoeren, zonder tijd te verliezen met handmatig zoeken. Dit verhoogt de efficiëntie, verkleint de kans op fouten en bespaart waardevolle tijd die anders aan beheer en controle van de configuratie besteed zou worden. De objectreferentie in Sophos Firewall v20 is daarmee een belangrijke stap om beheer te vereenvoudigen en configuratiefouten te voorkomen, wat het dagelijkse werk van netwerkbeheerders aanzienlijk makkelijker maakt.
De referenties worden één keer per dag bijgewerkt, maar u kunt dit ook handmatig uitvoeren.
Sophos noemt dit zelf “Quality of Life Enhancements”. Het voelt echter eerder als het invullen van langverwachte klantwensen.
IPv6 Dynamic Routing (BGP)
In Sophos Firewall v20 is de ondersteuning voor dynamic routing met IPv6 in het Border Gateway Protocol (BGP) uitgebreid. Deze uitbreiding is een belangrijke upgrade, omdat BGP een centraal routingprotocol op het wereldwijde internet is. In tegenstelling tot andere routingprotocollen heeft BGP in SFOS geen afzonderlijke processen of diensten voor IPv4 en IPv6 nodig, maar biedt het een gestandaardiseerde dienst die configuratie en beheer vereenvoudigt. De gebruikersinterface is zo uitgebreid dat zowel IPv4 als IPv6 op dezelfde pagina kunnen worden geconfigureerd, met afzonderlijke secties voor routinginformatie van IPv4 en IPv6.
IPv6 DHCP Prefix Delegation
Met de introductie van DHCP Prefix Delegation in Sophos Firewall SFOS v20 wordt het beheer van IPv6-adressen geautomatiseerd. Deze functie maakt het mogelijk IPv6-adresprefixen van de provider te ontvangen en naar het LAN-netwerk door te geven. Wanneer een IPv6-adres op de WAN-interface wordt ontvangen, kan dit nu in het LAN-netwerk worden gebruikt. Via een DHCPv6 Prefix Delegation-aanvraag aan de ISP ontvangt de firewall een IPv6-adresbereik, dat vervolgens aan de netwerkapparaten wordt doorgegeven. Deze krijgen via Router Advertisement (RA)-berichten hun wereldwijd routeerbare IPv6-adressen.
DHCP Prefix Delegation vereenvoudigt het IPv6-adresbeheer aanzienlijk en maakt een soepele aanpassing aan wijzigingen van de ISP-prefix mogelijk door automatisch nieuwe prefixen naar alle verbonden clients te distribueren. Dit verbetert de netwerkefficiëntie en -beveiliging, verlaagt de complexiteit van handmatig adresbeheer en bevordert een efficiënter gebruik van IPv6-adressen in het netwerk. Zo kunnen bepaalde diensten in het netwerk met de van de provider ontvangen IPv6-adressen worden aangeboden.
In de volgende video wordt DHCP Prefix Delegation nogmaals uitgelegd.
Active Threat Response
De volgende verbeteringen maken naadloze communicatie tussen beveiligingsanalisten en de Sophos Firewall mogelijk voor een proactieve reactie op geïdentificeerde dreigingen.
Synchronized Security voor MDR & XDR
Met Extended Detection and Response (XDR) zet Sophos Firewall v20 een belangrijke stap vooruit in geautomatiseerde dreigingsafweer. Deze functie creëert een directe informatieverbinding tussen beveiligingsanalisten en de firewall en maakt zo een snelle en geautomatiseerde reactie op actieve dreigingen mogelijk.
Dreigingsgegevens kunnen nu naadloos met de firewall worden gedeeld zonder dat handmatig firewallregels hoeven te worden aangemaakt. Deze geautomatiseerde informatie-uitwisseling stelt de firewall in staat proactief op geïdentificeerde dreigingen te reageren en passende afweermaatregelen te nemen.
Voordelen:
- Minder handmatig beheerwerk
- Verhoogde reactiesnelheid op dreigingen
- Betere algemene beveiligingspositie van het netwerk
- Geautomatiseerde dreigingsrespons
- Verminderde tijd die het beveiligingsteam besteedt aan handmatige configuratie en aanpassing van firewallregels
Sophos Firewall v20 breidt Synchronized Security uit met Managed Detection and Response (MDR) en Extended Detection and Response (XDR). Deze uitbreiding stelt beveiligingsanalisten in staat actieve dreigingsgegevens rechtstreeks met de firewall te delen. Een belangrijk voordeel is dat de firewall automatisch op actieve dreigingen kan reageren zonder dat afzonderlijke firewallregels hoeven te worden aangemaakt. Deze doorontwikkeling biedt aanzienlijke meerwaarde, omdat zij de reactietijd op dreigingen duidelijk verkort en proactieve bescherming mogelijk maakt.
Dynamische Threat Feeds
De introductie van Dynamic Threat Feeds brengt een nieuw Threat Feed API Framework dat ook uitbreidbaar zal zijn. Deze functie vereenvoudigt de uitwisseling van dreigingsgegevens tussen het Sophos X-Ops-team en andere Sophos-producten zoals MDR en XDR, en moet in de toekomst ook threat feeds van derden integreren. Door deze grotere flexibiliteit worden de Threat-Intelligence-mogelijkheden van de firewall sterk uitgebreid, wat betere detectie van en reactie op dreigingen mogelijk maakt.
Synchronized Security
Synchronized Security wordt verder geoptimaliseerd om een nog efficiëntere reactie op door MDR/XDR geïdentificeerde dreigingen mogelijk te maken.
Een rode health-status bij een endpoint of server wijst doorgaans op problemen zoals actieve of lopende malware, kwaadaardig netwerkverkeer, communicatie met bekende schadelijke hosts, niet-verwijderde malware of een niet correct functionerende Sophos Endpoint. In zulke gevallen zijn maatregelen nodig om de beveiligingsrisico’s aan te pakken.
Het automatisme (Lateral Movement Protection) bij een rode health-status wordt nu uitgebreid naar dreigingen om ervoor te zorgen dat getroffen hosts zich bij een compromittering niet lateraal door het netwerk kunnen bewegen of naar buiten kunnen communiceren, terwijl belangrijke details zoals host, gebruiker en proces voor opvolging eenvoudig toegankelijk blijven.
De schaalbaarheid van Synchronized Security is eveneens geoptimaliseerd om het beheer in grote netwerkomgevingen te vergemakkelijken. False positives door ontbrekende heartbeats bij apparaten in standby of slaapstand zijn verminderd.
Nieuwe WAF-functies
Geo IP-controle (landen / regio’s blokkeren)
Op de Sophos Firewall is een Geoip ip2country DB aanwezig, die via pattern updates wordt bijgewerkt. In firewall- en NAT-regels of Local Service ACL Exception Rules kon dit al worden gebruikt. Na de update naar SFOS v20 is het in de Web Application Firewall (WAF) mogelijk om toegang tot servers op basis van geografische locatie (IP-adressen) te blokkeren. Gebruikers kunnen nu specifieke landen/regio’s of continenten blokkeren, of toegang alleen vanuit bepaalde regio’s toestaan. Deze functie verhoogt de beveiliging door toegang vanuit potentieel schadelijke regio’s te voorkomen en biedt tegelijk een extra laag toegangscontrole.
Cipher Configuratie
Aangepaste cipherconfiguratie en TLS-versie-instellingen maken het nu mogelijk sterkere versleuteling (veiligere ciphers) te gebruiken en zwakkere uit te sluiten. Dit geeft betere controle over de beveiliging van gegevensoverdracht tussen gebruikers en de door de WAF beschermde applicaties.
HSTS en X-Content-Type-Options
Verbeterde beveiliging door HSTS en X-Content-Type-Options: de implementatie van HTTP Strict Transport Security (HSTS) dwingt het gebruik van HTTPS af, wat de beveiliging van clientbrowsers verbetert. De X-Content-Type-Options-instelling helpt MIME-type sniffing uit te schakelen en biedt extra bescherming tegen bepaalde soorten aanvallen.
Integratie van SD-WAN van derden
Stel dat een bedrijf meerdere locaties met eigen netwerken heeft die met elkaar verbonden moeten zijn om gegevens en resources efficiënt te delen. In plaats van de traditionele, maar kostbare en minder flexibele MPLS-oplossing biedt SD-WAN (Software-Defined Wide Area Network) een flexibelere en kostenefficiëntere alternatief.
Door de integratie van SD-WAN van derden in Sophos Firewall v20 kan traffic naadloos worden overgedragen naar de krachtige backbone-netwerken van Cloudflare, Akamai of Azure. Een bedrijf dat een snellere en veiligere verbinding tussen zijn locaties nodig heeft, kan traffic bijvoorbeeld via het Azure backbone-netwerk leiden om te profiteren van het wereldwijde bereik en de robuuste beveiligingsdiensten daarvan. Dit verbetert performance, beveiliging en betrouwbaarheid, terwijl tegelijkertijd netwerkcomplexiteit en kosten kunnen worden verlaagd.
Onramping naar backbone-netwerken van aanbieders zoals Cloudflare, Akamai of Azure creëert een brug tussen het lokale netwerk en de uitgebreide netwerkinfrastructuren van deze aanbieders. De integratie van SD-WAN-oplossingen van derden in Sophos Firewall v20 vereenvoudigt dit proces.
ZTNA Gateway
Deze feature is op zichzelf niet nieuw, omdat deze al met SFOS 19.5 MR3 in de firewall werd geïntegreerd. Toch vermeldt Sophos haar opnieuw onder de vernieuwingen in SFOS v20.
Het artikel over dit onderwerp vindt u hier: Sophos ZTNA Gateway op de Sophos Firewall
