Sophos SFOS‑update: nieuwe functies in v18.0.3 MR3

Beheerders die hun XG Firewall al naar 17.5 MR13 en MR14 hebben geüpdatet, wachten al een hele tijd op deze update. Maar ook voor alle anderen brengt v18 MR3 naast 34 bugfixes een aantal nieuwe functies mee.

Upgrade naar v18

Momenteel zijn er nog altijd twee verschillende versies van SFOS die door Sophos worden bijgewerkt. Er is v17.5 (MR6 - MR14.1) en versie 18 (MR1 en MR2).

Gebruikers van een XG 85 of XG 105 kunnen vanwege te weinig RAM niet naar v18 upgraden. Daarom zijn deze firewall appliances ook end-of-sale en zijn er overeenkomstige opvolgmodellen. Voor klanten met deze oudere apparaten houdt Sophos v17.5 wel actueel, althans als het gaat om bugfixes en beveiligingsupdates.

Om van de nieuwste functies te profiteren, is het aan te raden om over te stappen op de nieuwe modellen die v18 ondersteunen. Om die beslissing voor klanten met oudere apparaten wat eenvoudiger te maken, biedt Sophos nog tot het einde van het jaar een renewal promo aan, waarmee je 50% van de nieuwe firewallhardware cadeau krijgt. De andere optie is gewoon wachten tot 2021 Q2… (SPOILER: er komt een nieuwe hardwarelijn aan. 🤫)

Voor firewalls die v18 ondersteunen, was updaten tot nu toe echter niet zo eenvoudig. Er was alleen voor versies 17.5 MR6 tot MR12 een werkend migratiepad naar versie 18. Wie intussen al MR13 of MR14 had geïnstalleerd, liep bij een handmatige update naar v18 tegen een factory reset aan en verloor de volledige configuratie.

Met v18 MR3 is er weer een updatepad. Ook zien we bij onze v17.5-klanten dat de v18-update voor het eerst automatisch op de firewall wordt voorgesteld. Sophos heeft dus voldoende vertrouwen en ervaring met v18 opgebouwd om de upgrade voor alle klanten beschikbaar te maken.

Ook onze ervaringen met v18 en v18 MR3 zijn behoorlijk positief. Daarom bevelen wij een upgrade naar v18 aan. 🙌

Waarom v18 een echt goede release is

Dezelfde firewall appliance is met de software-upgrade naar v18 ook nog eens een stuk sneller geworden! 🚀

Sophos Firewall OS - Performance Boost v18.0 MR3

Op de 100-serie (XG 86 - XG 135) is de webinterface behoorlijk wat sneller geworden, maar onder de streep nog altijd verdomd traag! 🐌

Verbeterde VPN-performance

In v18 MR3 is de SSL-VPN-performance verbeterd. Op de grotere hardwaremodellen worden nu veel meer gelijktijdige verbindingen ondersteund dan met de oudere SFOS-versie.

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 86 - XG 135

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 210 - XG 330

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 430 - XG 750

Secure Storage Master Key (SSMK)

Nadat je de update hebt uitgevoerd en daarna als admin inlogt, verschijnt het volgende scherm:

Achtergrond bij deze veranderingen

Sophos had een paar maanden geleden een kwetsbaarheid in SFOS. Nog eerder was er al het probleem dat het administratorwachtwoord met enige moeite uit back-upbestanden kon worden uitgelezen. Daarom werd ook back-upversleuteling ingevoerd. Sophos neemt deze zaak erg serieus en heeft daarom veel moeite gedaan om te voorkomen dat zoiets opnieuw gebeurt. De geplande roadmap werd een halfjaar uitgesteld en eerst werd de veiligheid van het eigen systeem aangepakt. De incidenten hebben laten zien dat zelfs een firewall, die tegen bedreigingen moet beschermen, zelf ook kwetsbaar kan zijn.

De uitdrukking “100 procent zekerheid bestaat niet” bestaat natuurlijk niet zonder reden. Veel films of series zouden erg saai zijn als zo’n 100 procent zekerheid echt zou bestaan. 😋

Nieuw in v18 MR3 is nu de Secure Storage Master Key. Deze sleutel kan alleen met de admin-gebruiker worden aangemaakt. Met een andere gebruiker met beheerdersrechten werkt dat niet. Door deze nieuwe sleutel te definiëren, worden belangrijke gegevens extra versleuteld. Wie technisch precies wil weten wat hier gebeurt, kan dat nalezen in het Secure Storage-document.

Kies dus een sterk wachtwoord en sla dat ook veilig op.

Sophos Firewall - Create the secure storage master key

Captcha uitschakelen

Het aanmeldvenster van de firewall is sinds de hierboven genoemde kwetsbaarheid voor User Portal en admin-login voorzien van een Captcha.

Sophos Firewall WebAdmin login with Captcha

Met MR3 kan deze botbescherming worden uitgeschakeld. Daarvoor moet je via SSH op de firewall inloggen en met 4 naar de console schakelen.

Hier kun je met de volgende opdracht de Captcha-instelling voor de aanmeldvensters inschakelen, uitschakelen of tonen.

console> system captcha-authentication-global enable/disable/show for userportal/webadminconsole

Sophos Firewall - disable SSH WebAdmin login Captcha

Device Access-waarschuwingen

Net als de twee bovenstaande functies zijn ook de Device Access-waarschuwingen bedoeld om voor meer veiligheid te zorgen.

Onder het menu-item “Administration > Device Access” kun je de toegang tot de firewallservices definiëren.

Hier zou je volgens het volgende principe moeten werken: alles dichtzetten en bewust openen. Door bijvoorbeeld het vakje bij “Ping” of “User Portal” aan te vinken, geef je iedere computer ter wereld toestemming om jouw firewall via ICMP of het User Portal te bereiken.

Sophos Firewall - secure device access WAN access

Natuurlijk kun je de instellingen nog steeds wijzigen zoals voorheen. Het systeem geeft nu alleen een waarschuwing. Zo word je je bewuster van wat je naar buiten toe openzet door een vinkje in de WAN-zone te activeren.

Sophos Firewall - Device Access WAN access alert

Beter is het om met de “Local service ACL exception rule” nauwkeuriger te definiëren vanwaar verkeer is toegestaan. Kies bijvoorbeeld voor toegang tot het User Portal alleen je eigen land, of voor ping alleen de IP-adressen die de firewall via ICMP daadwerkelijk mogen bereiken.

Sophos Central Firewall Management

High Availability Cluster-weergave

Alle luisteraars van onze podcast weten dat Central Firewall Manager een product is waarin ik veel potentieel zie. Je merkt nog altijd dat het in ontwikkeling is, maar met v18 MR3 wordt echt een lelijk punt opgelost.

HA-clusters worden niet langer als online en offline weergegeven, maar het is nu goed zichtbaar welke firewalls als cluster zijn geconfigureerd.

Sophos Central Firewall Manager High Availability Cluster View

Als je met de muis op de statusindicator klikt, krijg je nog meer informatie te zien. Zo wordt duidelijk dat dit apparaat zich in een active-passive-cluster bevindt en het auxiliary device is.

Sophos Central Firewall Manager High Availability Cluster View Detail

Geplande updates

Het is nu mogelijk om firmware-updates via Central Firewall Manager te plannen. UTM-beheerders kennen dit nog van vroeger.

Sophos Central Firewall Manager Update Option

Voor een geplande update kun je ook meerdere firewalls tegelijk selecteren, wat in grotere omgevingen een enorme verlichting is.

Toch moet je deze functie met enige voorzichtigheid gebruiken. Een update kan soms ook problemen veroorzaken.

Sophos Firewall OS - Central Firewall Manager Schedule Update

In de bovenstaande screenshot is te zien dat in deze omgeving nog enkele updates moeten worden geïnstalleerd. 😅

Als een firewall bezig is met een updateproces, wordt dat aangegeven met een geanimeerd pictogram in het overzicht. Klik erop om nog meer informatie te krijgen.

Sophos Firewall OS - Central Firewall Manager Update Progress

Verdere vernieuwingen

Er zijn nog meer functies in deze release, maar daar ga ik hier niet dieper op in. Voor de volledigheid zet ik ze wel nog op een rij:

Sophos Connect Client: groepen kunnen nu ook worden toegevoegd, niet alleen individuele gebruikers.
SFOS ondersteunt nu ook Nutanix AHV- en Nutanix Flow-infrastructuur.
AWS: support voor nieuwe instances in de AWS Cloud (C5, M5 en T3).
AWS: support voor CloudFormation-templates.
AWS: support voor virtuele WAN-zones op aangepaste gateways.