Sophos Firewall v21.5: Nieuwe functies voor veiligheid en gebruiksvriendelijkheid

Sophos Firewall v21.5 is er en brengt een schat aan nieuwe functies en verbeteringen die uw netwerkbeveiliging versterken en het beheer vereenvoudigen. In deze blogpost introduceren we de belangrijkste nieuwigheden van SFOS v21.5, waaronder de langverwachte Entra ID Single Sign-On (SSO)-integratie en de krachtige NDR Essentials voor geavanceerde bedreigingsdetectie. Daarnaast behandelen we verbeteringen in VPN-schaalbaarheid, DNS-bescherming, gebruikersinterface en meer. Laten we duiken in de nieuwigheden van Sophos Firewall v21.5.

Sophos NDR Essentials: Geavanceerde bedreigingsdetectie

Network Detection and Response (NDR) is een centraal onderdeel van moderne cyberbeveiliging om bedreigingen te detecteren en erop te reageren door netwerkverkeer te bewaken. Met SFOS v21.5 introduceert Sophos NDR Essentials, een cloud-gebaseerde NDR-oplossing die direct in de firewall is geïntegreerd.

NDR Essentials gebruikt kunstmatige intelligentie om metadata van TLS-versleuteld verkeer en DNS-query’s te analyseren om kwaadaardige activiteiten te detecteren zonder het verkeer te hoeven ontsleutelen. Dit spaart de prestaties van de firewall en respecteert de privacy van gebruikers. De oplossing is gratis voor klanten met de Xstream Protection Bundle en vereist geen extra hardware.

Belangrijkste voordelen van NDR Essentials:

• Detectie van complexe bedreigingen: Identificeert geavanceerde aanvallen, inclusief aanvallen die versleutelde kanalen of dynamische domeinen gebruiken.
• Cloud-gebaseerde oplossing: Geen impact op firewallprestaties omdat de analyse plaatsvindt in de Sophos Intellix Cloud.
• Eenvoudige integratie: Activering via het Active Threat Response-menu van de firewall.

Hoe werkt het? NDR Essentials analyseert versleuteld verkeer en DNS-query’s met behulp van twee AI-engines: Encrypted Payload Analysis (EPA) en Domain Generation Algorithm (DGA)-detectie. Detecties worden beoordeeld op een schaal van 1 (laag risico) tot 10 (hoog risico). Beheerders kunnen een drempelwaarde instellen waarboven meldingen en alarmen worden geactiveerd. Alle detecties worden gelogd en zijn in gedetailleerde rapporten zowel op de firewall als in Sophos Central te bekijken.

Instelling: Om NDR Essentials te activeren, navigeer in Sophos Firewall v21.5 naar Active Threat Response, selecteer het tabblad NDR Essentials en activeer de functie. Selecteer de te bewaken interfaces (bijv. die met veel internetverkeer) en stel de minimale bedreigingsscore in (aanbeveling: 9-10 voor hoog risico).

Licentievereisten: NDR Essentials vereist een actieve Xstream Protection Bundle-licentie. Voor niet-klanten is een proefversie van 30 dagen beschikbaar. Momenteel wordt de functie alleen ondersteund op XGS-hardware, niet op virtuele of cloud-apparaten. Ook HA Active-Active-modus wordt niet ondersteund.

Waarom is dit belangrijk? NDR Essentials richt zich op gateway-verkeer en biedt een “Lite”-versie in vergelijking met de volledige Sophos NDR, die ook intern netwerkverkeer bewaakt. Voor uitgebreidere inzichten beveelt Sophos de volledige NDR-oplossing of de Managed Detection and Response-service aan - Naar de productpagina: Sophos MDR.

Bekijk voor een gedetailleerde demonstratie de video over NDR Essentials:

Entra ID Single Sign-On: Vereenvoudigde VPN-toegang

Het beheer van gebruikersauthenticaties voor VPN-toegang kan complex zijn in grote bedrijven. Sophos Firewall v21.5 introduceert een Single Sign-On (SSO)-integratie met Microsoft Entra ID (voorheen Azure AD) die de toegang tot het VPN-portaal en de Sophos Connect Client vergemakkelijkt.

Deze integratie maakt gebruik van de protocollen OAuth 2.0 en OpenID Connect om naadloze authenticatie mogelijk te maken. Gebruikers loggen één keer in met hun Entra ID-inloggegevens en krijgen toegang tot VPN-diensten zonder opnieuw inloggegevens te hoeven invoeren.

Belangrijkste functies:

• Ondersteuning voor Sophos Connect Client: Versie 2.4 en hoger op Windows-platforms.
• Multi-Factor Authenticatie (MFA): Volledig ondersteund met Entra ID.
• Uniforme configuratie: Dezelfde Entra ID SSO-server wordt gebruikt voor VPN-portaal, SSL-VPN en IPsec-configuraties.

Instelling: Om Entra ID SSO in Sophos Firewall v21.5 te configureren, stelt u de authenticatieserver in met de Azure Application ID. Zorg ervoor dat de URL’s voor het VPN-portaal en externe toegang zijn geregistreerd als callback-URL’s in Azure. Voor de Sophos Connect Client moet een inrichtingsbestand worden geïmporteerd dat de gateway-instellingen specificeert. Hier is een voorbeeld van zo’n bestand:

[
  {
    "gateway": "vpn.domain.com",
    "vpn_portal_port": 443,
    "check_remote_availability": false
  }
]

De waarde “gateway” moet overeenkomen met de callback-URL die in Azure is geconfigureerd om de SSO-functionaliteit te garanderen. Dit bestand activeert zowel de traditionele aanmelding als de SSO-optie in de Sophos Connect Client.

Waarom is het inrichtingsbestand noodzakelijk? Het bestand zorgt ervoor dat de Sophos Connect Client de juiste gateway-instellingen gebruikt en de SSO-functionaliteit activeert. Zonder deze configuratie zou de verbinding kunnen mislukken of zou de SSO-optie niet worden weergegeven.

Beperkingen:

• De functie is momenteel alleen beschikbaar voor Windows-gebaseerde Sophos Connect Clients.
• Gebruikers die migreren van eerdere SFOS-versies met Azure AD SSO moeten de callback-URI voor het VPN-portaal toevoegen in de Azure-applicatie.

Deze functie verbetert de gebruikerservaring aanzienlijk, vooral in omgevingen die al Entra ID gebruiken voor authenticatie, en verhoogt de beveiliging door MFA-ondersteuning.

VPN- en schaalbaarheidsverbeteringen

SFOS v21.5 brengt verschillende verbeteringen voor VPN-functies en schaalbaarheid die het beheer en de prestaties optimaliseren:

• Gebruikersinterface-updates: “Site-to-Site” VPN-verbindingen heten nu “policy-based”, en tunnelinterfaces worden aangeduid als “route-based” om de duidelijkheid te vergroten.
• Verbeterde IP-lease-pool-validatie: Geoptimaliseerde controles voor SSL-VPN, IPsec, L2TP en PPTP om configuratiefouten te voorkomen.
• Strenge IPsec-profiel-handhaving: Zorgt ervoor dat IPsec-verbindingen voldoen aan de gedefinieerde beveiligingsbeleidsregels.
• Verhoogde tunnelcapaciteit: Ondersteuning voor maximaal 3.000 route-based VPN-tunnels en maximaal 1.000 Site-to-Site RED-tunnels met maximaal 650 SD-RED-apparaten.

Deze verbeteringen maken VPN-beheer intuïtiever en schaalbaarder, vooral voor grotere bedrijfsomgevingen.

Sophos DNS Protection: Verbeterde integratie

Sophos DNS Protection, een “gratis” dienst voor Xstream Protection-klanten, krijgt in Sophos Firewall v21.5 verschillende updates:

• Nieuwe Control Center Widget: Biedt een snel overzicht van de status van de DNS-bescherming.
• Verbeterde probleemoplossing: Nieuwe logboeken en meldingen vergemakkelijken het oplossen van problemen.
• Begeleide installatiehandleiding: Stap-voor-stap instructies voor eenvoudige configuratie.

Deze toevoegingen vereenvoudigen de bewaking en het beheer van DNS-gebaseerde beveiligingsaannames direct via de firewall-interface.

Beheersverbeteringen

Sophos Firewall v21.5 introduceert verschillende verbeteringen in de gebruikersinterface en het beheer:

• Aanpasbare tabelkolommen: Kolombreedtes in tabellen (bijv. SD-WAN, NAT, SSL, Hosts, VPN) zijn nu aanpasbaar en blijven opgeslagen in de browser.
• Geavanceerde zoekfuncties: Vrije tekst zoeken is nu beschikbaar in SD-WAN-routes en lokale ACL-regels, wat navigatie vergemakkelijkt.
• Wijzigingen in standaardconfiguratie: Standaard firewallregels en regelgroepen zijn verwijderd, en de standaardactie is ingesteld op “Geen”, wat beheerders aanmoedigt om expliciete beveiligingsbeleidsregels te definiëren.
• Nieuw lettertype: Een nieuw lettertype verbetert de leesbaarheid van de gebruikersinterface. (Dat vindt Sophos tenminste, wie een beetje verstand heeft van lettertypen en zich ermee bezighoudt, ziet dat waarschijnlijk anders.)

Deze wijzigingen verbeteren de gebruikerservaring en maken de configuratie en het beheer van de firewall efficiënter.

Verdere verbeteringen

SFOS v21.5 bevat een reeks andere verbeteringen die de flexibiliteit en beveiliging verhogen:

• Licentie-updates: Virtuele, software- en cloud-licenties hebben geen RAM-beperkingen meer; in plaats daarvan zijn ze beperkt door het aantal kernen.
• WAF-bestandsgroottelimiet: De Web Application Firewall ondersteunt nu configureerbare bestandsgroottelimieten tot 1 GB, handig voor grotere uploads.
• Beveiligingstelemetrie: Realtime bewaking van wijzigingen in kernbesturingssysteembestanden met behulp van veilige hash-validatie om ongeautoriseerde wijzigingen te detecteren.
• DHCP-verbeteringen: Ondersteuning voor grotere IPv6-voorvoegsels (/48 tot /64), met Router Advertisement (RA) en DHCPv6 standaard ingeschakeld.
• Path MTU Discovery: Verbeterd om TLS-ontsleutelingsfouten te verhelpen, met name voor geavanceerde cryptografische methoden zoals ML-KEM.
• NAT64-ondersteuning: Maakt de vertaling van IPv6- naar IPv4-verkeer mogelijk in expliciete proxymodus, wat de IPv6-adoptie vergemakkelijkt.

Deze updates dragen bij aan een flexibelere, veiligere en efficiëntere firewall-oplossing.

Slotwoord

Sophos Firewall v21.5 biedt aanzienlijke vooruitgang in bedreigingsdetectie met NDR Essentials en vereenvoudigt de gebruikerstoegang met Entra ID SSO. Samen met verbeteringen in VPN-schaalbaarheid, beheer en beveiligingsfuncties is SFOS v21.5 een robuuste upgrade voor bedrijven die hun netwerkbeveiliging willen versterken. De Xstream Protection-licentie biedt hier langzaam steeds meer waar voor zijn geld dan op het moment dat de licentie werd geïntroduceerd.