Naar de inhoud
Avanet
Sophos Firewall v22 MR1: Overzicht en alle nieuwe functies

Sophos Firewall v22 MR1: Overzicht en alle nieuwe functies

1. MEI 2026

Sophos Firewall v22 MR1 bouwt voort op de Secure-by-Design-strategie die met v22 is geïntroduceerd en breidt deze uit met extra telemetrie, gecureerde NDR-detecties uit de Taegis-omgeving en enkele detailverbeteringen voor VPN, SSO en storage. Daarnaast is Sophos Firewall Config Studio V2 een zelfstandig hulpmiddel dat configuratieanalyse en -vergelijking duidelijk vereenvoudigt.

Secure by Design: uitgebreide XDR Linux-sensor

Met v22 heeft Sophos de XDR Linux-sensor op de firewall geïntroduceerd om manipulaties aan het systeem, bijvoorbeeld aan configuratiebestanden of kritieke processen, vroegtijdig te herkennen. SFOS v22 MR1 breidt de sensor uit met detectie van interactieve shells en reverse shells. Probeert een aanvaller na een inbraak een controlerende sessie op de firewall op te zetten, dan wordt de bijbehorende TCP- of UDP-communicatie naar de command-and-controlserver geblokkeerd. Nieuw is ook dat deze sensor op de volledige XGS-serie wordt geactiveerd, niet meer alleen op afzonderlijke modellen.

Reverse-shell-detectie is al jaren standaard op endpoints. Dat dezelfde logica nu ook op de firewall zelf draait, is consequent en belangrijk. Een gecompromitteerde firewall is in het slechtste geval een hoofdsleutel tot het netwerk. Elke extra detectielaag direct op het apparaat is daar zinvoller dan latere correlatie.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integreert de iSensor IPS-technologie uit het SecureWorks Taegis-platform. De zo gecureerde detectiepatronen vullen de klassieke IPS-signatureset aan met patronen die gericht zijn op actieve aanvallers in het netwerk, dus lateral movement, C2-communicatie en vergelijkbare activiteiten na een eerste inbraak.

De set kan worden geactiveerd onder Active threat response > NDR. Daarna moet in de firewallregels het bijbehorende vinkje bij de IPS-instellingen worden gezet, zodat de nieuwe detecties ook daadwerkelijk werken. Voor XDR- en MDR-analisten betekent dit meer context en kortere onderzoekspaden, omdat de detecties direct zijn gericht op bekende adversary TTPs uit de Taegis-database.

NDR Essentials voor alle platforms

Een vraag die sinds v21.5 steeds terugkwam: wanneer ondersteunt NDR Essentials ook virtuele en cloud-firewalls? Met v22 MR1 is het zover. NDR Essentials draait nu op alle Sophos Firewall-platforms, dus XGS-hardware, virtuele appliances, cloud-deployments en software-installaties. Daarmee valt de laatste grote beperking weg die virtuele setups tot nu toe van NDR-bescherming uitsloot.

Dit is de logische voortzetting van de CPU-georiënteerde architectuur uit v22. Wie een Sophos Firewall op VMware, Hyper-V of bij een hyperscaler draait, stond bij NDR Essentials tot nu toe buitenspel. Die kloof is nu gesloten.

Audit trail met Sophos Central-gebruikersidentiteit

Wanneer een enkele firewall via Sophos Central wordt geconfigureerd, logt SFOS v22 MR1 nu ook welke Sophos Central-gebruiker de wijziging heeft geactiveerd. Voorheen was in de audit trail vaak alleen het generieke Central-account zichtbaar. Met de nieuwe variant is te achterhalen welke persoon achter een configuratiewijziging zit, ook wanneer die wijziging niet direct in de WebAdmin van de firewall is uitgevoerd. De informatie verschijnt zowel in de Log Viewer van de firewall als in de logs en rapporten van Sophos Central.

Dit is vooral relevant voor organisaties die onder NIS2 vallen, omdat daar de traceerbaarheid van administratieve ingrepen expliciet wordt gevraagd. In MSP-omgevingen met meerdere technici op dezelfde tenant is het sowieso een langverwacht detail.

VPN-stabiliteit en retirement van legacy IPsec

SFOS v22 GA had bij policy-based IPsec VPNs een reeks stabiliteitsproblemen die in MR1 zijn aangepakt. Concreet zijn onder andere de interne tickets NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 en NC-176083 opgelost. Wie v22 GA productief gebruikte en bij policy-based tunnels uitval of verbindingsonderbrekingen merkte, moet na de update gericht controleren of de tunnels nu stabiel lopen.

Tegelijkertijd wordt het Legacy Remote Access IPsec VPN met v22 MR1 definitief uitgefaseerd. Firewalls die nog op deze oude IPsec-variant vertrouwen, kunnen niet naar v22 MR1 of nieuwer worden bijgewerkt. Wie getroffen is, moet vooraf migreren naar de actuele Remote Access IPsec-configuratie. Sophos heeft hiervoor een eigen KB-artikel gepubliceerd.

In de praktijk draait het merendeel van de bestaande setups al lang op de nieuwe variant of op SSL VPN. Toch loont een korte controle van de configuratie voor de upgrade, anders blijft de update steken.

Sophos Connect 2.0 voor macOS

Met Sophos Connect 2.0 voor macOS kunnen nu ook SSL-VPN-verbindingen voor Remote Access worden opgezet. Tot nu toe was SSL VPN via Sophos Connect een Windows-privilege; macOS-gebruikers moesten uitwijken naar IPsec of clients van derden. Daarmee komt de functieset tussen beide clientplatforms verder op één lijn. Details en ondersteunde macOS-versies staan in de Sophos Connect release notes.

Microsoft Entra ID SSO: geforceerde herbeoordeling

Tot nu toe kon een bestaande SSO-sessie onder bepaalde voorwaarden opnieuw worden gebruikt zonder dat de Conditional Access Policies in Entra ID opnieuw werden gecontroleerd. In het slechtste geval opende dat een pad om MFA-eisen te omzeilen wanneer de sessiecookies nog geldig waren. SFOS v22 MR1 dwingt nu bij hergebruik van een sessie een nieuwe controle van de Conditional Access Policies af. Dat is een klassieke beveiligingsfix: weinig zichtbaar, maar belangrijk voor omgevingen die Entra ID als centrale identity-bron gebruiken en op MFA vertrouwen.

SSD-ontlasting en Wi-Fi MTU

Twee kleinere, maar zinvolle detailverbeteringen:

  • SSD-levensduur: Schrijfbewerkingen naar de interne SSD zijn geoptimaliseerd. Dit heeft vooral effect op apparaten met veel logging en verlengt de gebruiksduur van de hardware.
  • Wi-Fi MTU/MSS: Via de bestaande CLI-commando’s kunnen nu ook MTU- en MSS-waarden voor Wi-Fi-interfaces worden aangepast. In omgevingen met overlappende tunnels of problematische paden in de WLAN-backhaul is dit een welkom hulpmiddel.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2, voorheen Sophos Firewall Configuration Viewer, is een browsergebaseerd hulpmiddel dat duidelijk meer kan dan zijn voorganger. Het ondersteunt drie centrale workflows:

  • Configuration Report: Alle regels, policies en instellingen van een firewall kunnen in een geconsolideerd rapport worden weergegeven. Praktisch voor audits, overdrachten of het onboarden van nieuwe beheerders.
  • Configuration Compare: Twee configuraties kunnen direct worden vergeleken. Toegevoegde, gewijzigde, verwijderde en ongewijzigde onderdelen worden visueel gemarkeerd. Dit is precies het hulpmiddel dat ontbreekt bij change reviews of troubleshooting na een migratiestap, wanneer je de firewall niet tijdens productie uiteen wilt halen.
  • Configuration Editor: Configuraties kunnen direct in het hulpmiddel worden bewerkt of geïmporteerd. Daarna kunnen ze terug in de firewall worden geladen of als API- of curl-snippet worden geëxporteerd, bijvoorbeeld om wijzigingen geautomatiseerd uit te rollen.

Een configuratie-diff direct in de browser is een functie waar al jaren om wordt gevraagd. Wie ooit heeft geprobeerd twee Sophos-backups handmatig met elkaar te vergelijken, weet waarom dit hulpmiddel een echte stap vooruit is. Spannend wordt hoe stabiel de editor bij grote configuraties draait en hoe goed de API-export in bestaande automatiseringspijplijnen past.

Het hulpmiddel is beschikbaar via docs.sophos.com.

Geactualiseerde CIS Benchmark voor v22

De met v22 geïntroduceerde Health Check is gebaseerd op de CIS-benchmarks. De onderliggende benchmarks zijn voor v22 bijgewerkt en kunnen via de CIS-website worden gedownload. Wie de Health Check als onderdeel van interne audits gebruikt, moet de nieuwe versie als referentie nemen.

Compatibiliteit en aandachtspunten

  • Legacy Remote Access IPsec VPN: Wordt met v22 MR1 uitgefaseerd. Migratie naar de actuele Remote Access IPsec-configuratie is een voorwaarde voor de upgrade.
  • Upgradepaden: SFOS v22 MR1 kan worden bijgewerkt vanaf alle ondersteunde versies v21.5, v21 en v20. Sophos Central kan de upgrade plannen en aansturen.
  • Backup voor upgrade: Maak zoals altijd voor de update een volledige backup en zorg voor een rollback-plan.
  • Hotfix-mechanisme: Beveiligingsrelevante patches blijven als over-the-air hotfix zonder downtime komen. Maintenance releases bundelen daarnaast ook niet-kritieke fixes, dus een upgrade loont ook zonder acute aanleiding.

Conclusie

Sophos Firewall v22 MR1 is een solide maintenance release. De belangrijkste punten vanuit ons perspectief: de VPN-stabiliteitsfixes voor policy-based IPsec, de uitgebreide NDR Essentials-ondersteuning op virtuele platforms en de nieuwe audit trail met Sophos Central-gebruikersidentiteit. Reverse-shell-detectie op de firewall zelf en de gecureerde iSensor-detecties uit de Taegis-omgeving passen goed in de lijn die Sophos met v22 heeft ingezet. De firewall wordt stap voor stap een sensorplatform dat telemetrie levert en niet alleen pakketten filtert.

Wat ons nog steeds ontbreekt, is sinds v22 niet veranderd: het klonen en groeperen van NAT-regels. De wensen die ongeveer een jaar geleden zijn geformuleerd zijn deels gerealiseerd, de rest staat nog op de lijst. Misschien in de volgende MR of uiterlijk in v23. Maar misschien volgt Sophos vanaf nu ook de strategie om alles naar Sophos Firewall Config Studio te verplaatsen en blijft de firewall zoals hij is.

Meer informatie

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.