Sophos SFOS v18 – nieuwe functies in één oogopslag

Sophos Firewalls met SFOS krijgen binnenkort opnieuw een grotere update naar SFOS v18. Wij gebruiken de beta al productief. In dit artikel leest u welke functies de nieuwe versie meebrengt en hoe ze zich in de dagelijkse praktijk bewijst.

Tests in livegebruik

Wij testen de beta niet op een geïsoleerd testapparaat in een labomgeving, maar rechtstreeks in productie. Daarnaast gebruiken geselecteerde klanten met meer dan 650 gebruikers deze versie, zodat we zo breed mogelijke inzichten in de nieuwe release kunnen verzamelen. In dit artikel nemen we daarom niet simpelweg de officiële Sophos-informatie over, maar berichten we over SFOS v18 EAP1 en EAP2 op basis van meerdere weken praktijkervaring. Het artikel is daardoor vrij uitgebreid, omdat we veel functies in detail bekijken. We beginnen met de Xstream-architectuur.

Xstream-architectuur

Een bijzonder hoogtepunt van v18 is de nieuwe architectuur voor pakketverwerking. Die zorgt voor meer performance, hogere veiligheid en duidelijk betere zichtbaarheid in versleuteld dataverkeer. Met v18 is er op dit vlak echt heel veel veranderd.

Info: de “X” in “Xstream” staat voor Next Generation en “Stream” voor de nieuwe DPI Engine, een streaminggebaseerde scanoplossing.

Xstream SSL/TLS Inspection

Over SSL Inspection, vaak ook “SSL Scanning” of “HTTPS Scanning” genoemd, hebben we al eerder geschreven: HTTPS-scanning: waarom dit op Sophos geactiveerd zou moeten zijn

Kort samengevat: HTTP-verkeer kan de firewall zonder problemen controleren, omdat het onversleuteld is. HTTPS-verkeer moet daarentegen eerst worden opengebroken voordat de firewall het kan analyseren. Tot nu toe was het probleem dat de Web Proxy alleen HTTPS-verkeer kon ontsleutelen dat via poort 443 liep. Gebruikte het verkeer een andere poort, bijvoorbeeld https://www.example.com:8000, dan bleef de firewall blind.

Met v18 is de firewall weer klaar voor actuele technologieen en kan hij zowel SSL- als TLS 1.3-verkeer controleren, ongeacht via welke poorten of protocollen het dataverkeer loopt. 🤩 Onder de motorkap waren daarvoor omvangrijke architectuurwijzigingen nodig, gelukkig zonder extra werk voor beheerders.

Centraal staan hierbij een Decryption Profile, dat weer aan een SSL/TLS Inspection Rule wordt gekoppeld. Deze regel bepaalt welk verkeer gecontroleerd moet worden.

, App Control en IPS.

Belangrijk om te begrijpen is dat de nieuwe DPI Engine rechtstreeks concurreert met de bestaande Web Proxy. De Web Proxy is verantwoordelijk voor HTTP-/HTTPS-verkeer, webpolicies en contentscanning; deze taken kan de nieuwe DPI Engine als alternatief overnemen.

Bij een upgrade van versie 17.5 naar 18.0 worden de Web-Proxy-instellingen overgenomen. Wie de DPI Engine wil gebruiken, moet echter enkele aanpassingen doen: er wordt een SSL/TLS Inspection Rule geconfigureerd en de Web Proxy wordt in de firewallinstellingen gedeactiveerd.

Sophos SFOS v18 firewallregel - beveiligingsinstellingen

Er zijn maar weinig redenen om niet op de nieuwe DPI Engine over te stappen. Toch biedt de Web Proxy enkele functies die in de DPI Engine (nog) niet beschikbaar zijn, waaronder bijvoorbeeld SafeSearch voor zoekmachines of YouTube, Caching of Pharming Protection. Bij alle firewalls die wij beheren, kunnen we deze aanvullende functies echter probleemloos missen, waardoor de DPI Engine bij ons zeker zal worden gebruikt.

De volgende video van Sophos geeft u een compacte introductie in de Xstream DPI Engine en helpt bij de beslissing wanneer u de DPI Engine in vergelijking met de klassieke Web Proxy moet gebruiken:

Xstream Network Flow FastPath

Veel beheerders kennen het probleem dat de firewall het verkeer merkbaar afremt en bepaalde processen daardoor trager aanvoelen. Door de nieuwe architectuur is er nu de zogenoemde FastPath. Die maakt het voor de firewall mogelijk om onkritisch dataverkeer rechtstreeks naar de kernel uit te besteden en zo de performance duidelijk te verhogen.

Sophos SFOS v18 xStream Architecture Fastpath

Het verkeer doorloopt eerst de Firewall Stack. Daar wordt gecontroleerd of er een passende firewallregel bestaat en of het dataverkeer überhaupt is toegestaan. Wordt het verkeer bijvoorbeeld door IPS gecontroleerd, dan loopt het eerst door de DPI Engine. Zodra de IPS Engine het verkeer als ongevaarlijk beoordeelt, kan het naar de FastPath worden uitbesteed en direct via de kernel worden doorgestuurd.

Wie naar het architectuurdiagram kijkt, vraagt zich logischerwijs af hoe dat in de praktijk precies werkt. Of verkeer in principe is toegestaan, valt relatief snel vast te stellen – die stap hoeft niet voor elk pakket van dezelfde bron en poort opnieuw te worden doorlopen. Maar hoe weet de DPI‑engine wanneer een flow naar het FastPath kan worden verplaatst? Wanneer bijvoorbeeld SSL/TLS‑inspectie is ingeschakeld, is dat niet mogelijk, omdat het verkeer dan niet meer wordt gecontroleerd. Voor IPS of applicatiecontrole wordt daarentegen gewerkt met bekende lijsten die als basis dienen om te beslissen of een datastroom als ongevaarlijk kan worden beschouwd.

Threat Intelligence Analysis

Als de module Sophos Sandstorm voor de firewall is gelicentieerd, worden bestanden al in een sandbox geanalyseerd voordat ze worden gedownload. Wie meer wil weten over Sophos Sandstorm, kan de Sophos Sandstorm-PDF met FAQ bekijken. Dankzij SSL/TLS‑inspectie krijgt de firewall een veel dieper inzicht in het dataverkeer en kan zij webdownloads nog nauwkeuriger controleren. Endpointbeveiliging blijft daarnaast de laatste verdedigingslinie.

Met v18 wordt de bestaande Sandstorm‑module uitgebreid met de nieuwe module Threat Intelligence Analysis. Terwijl Sophos Sandstorm webdownloads of e‑mailbijlagen analyseert, controleert Threat Intelligence bestanden met behulp van machine learning. Daarbij wordt ook gebruikgemaakt van de analyses van SophosLabs, die tevens worden ingezet in Sophos Intercept X met EDR.

Net als bij EDR wordt er een gedetailleerd analyserapport gegenereerd. In SFOS v18 EAP2 ziet zo’n rapport er bijvoorbeeld als volgt uit:

Sophos SFOS v18 Intelligence Analysis Threat-o-Meter

De visueel wat aantrekkelijkere versie van het rapport is pas vanaf EAP3 beschikbaar.

Enterprise NAT

Naast de Xstream‑architectuur zijn ook de NAT‑regels grondig herzien. Tot en met versie 17.5 was er de menuoptie “Firewall”, waaronder alle firewall‑, NAT‑ en WAF‑regels waren samengebracht. In een firewallregel kon je onder andere de uitgaande interface of het uitgaande IP‑adres voor het verkeer definiëren.

Met v18 worden NAT‑regels nu in een eigen tabblad beheerd, waardoor het beheer aanzienlijk flexibeler wordt.

Veel klanten hebben op deze wijziging gewacht: zo is het nu mogelijk om alle DNS‑ of NTP‑aanvragen naar publieke servers te blokkeren en in plaats daarvan naar een interne server door te sturen. Daarmee is er ook een oplossing voor iedereen die op de XG de NTP‑server mist die in de UTM nog geïntegreerd was.

Het onderwerp NAT wordt bovendien uitgelegd in de volgende video:

Beheer van firewallregels

Met elke hoofdversie verbetert Sophos de omgang met firewallregels. In v18 kunnen meerdere firewallregels tegelijk worden geselecteerd om ze te verwijderen, te activeren of te deactiveren, of om ze aan een groep toe te voegen of eruit te verwijderen. Bovendien zijn firewallregels nu genummerd, zodat het totale aantal direct zichtbaar is. De rule‑ID blijft ongewijzigd. Daarnaast is het menu “Firewall” hernoemd naar “Rules and policies”.

Er kunnen nu filters worden ingesteld, wat het zoeken naar specifieke regels aanzienlijk vereenvoudigt. De filterinstelling blijft behouden, zelfs als je naar een andere menusectie gaat en daarna weer naar het regeloverzicht terugkeert.

Wie had gehoopt dat Sophos nu ook de regelgroepen geopend zou laten na het opslaan van een regel, moet ik helaas teleurstellen. Hier is niets veranderd. 😖

Een veelgevraagde functie is eveneens toegevoegd: de teller voor het verkeer dat door een firewallregel is verwerkt, kan nu worden teruggezet naar nul.

Bij het aanmaken van een nieuwe firewallregel is het nu mogelijk om de regel aanvankelijk in gedeactiveerde toestand op te slaan.

Bovendien kunnen in firewallregels nu uitsluitingen worden gedefinieerd. Dat helpt om het regelwerk slank te houden en overbodige extra regels te vermijden.

Sophos SFOS v18 firewall rule exclusions

Log Viewer

Wie het artikel 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM heeft gelezen, weet hoe nuttig de Log Viewer is. In de nieuwe versie krijgt deze tool nog een aantal extra handige functies.

Met één klik op een vermelding in de Log Viewer kun je direct een filter instellen, een SSL/TLS‑uitzondering definiëren of een IPS‑, applicatiecontrole‑ of webfilterpolicy aanpassen.

Alerts en notificaties

Onder “Administration” > “Notification settings” konden tot nu toe slechts twee opties voor e‑mailmeldingen worden ingeschakeld:

IPsec tunnel up/down
Email alert notifications

Als een RED niet bereikbaar was of een gebruiker te vaak een fout wachtwoord invoerde, bestond er tot nu toe geen mogelijkheid om hierover een melding te ontvangen.

Verbeteringen: appliances kunnen nu sneller en eenvoudiger tot één cluster worden samengevoegd. Daarnaast is een rollback van de firmware mogelijk.

SNMPv3‑ondersteuning: duidelijk betere beveiliging dan SNMPv1 en SNMPv2 – voor zover je bij die eerste twee versies al van “beveiliging” kunt spreken. Het MIB‑bestand staat zoals gebruikelijk klaar om te downloaden.
Interfaces hernoemen: tot nu toe heetten de interfaces Port1, Port2, enzovoort, zonder dat dit kon worden gewijzigd. In v18 kunnen deze namen nu worden aangepast. IPsec, IPS, draadloze netwerken enz. kunnen nog steeds niet worden hernoemd.
GeoIP‑database‑updates: de database met land‑IP‑adressen kan nu onafhankelijk van firmware‑updates worden bijgewerkt.
VMware Tools‑upgrade: VMware Tools is nu beschikbaar in versie 10.3.10 en ondersteunt ook Site Recovery Manager (SRM).

Upgrade naar SFOS v18

Vereisten

Ben je nieuwsgierig geworden naar een upgrade naar v18? Als je al een XG Firewall of een SG met SFOS gebruikt, heb je minimaal versie v17.5 MR6 nodig om naar v18 te kunnen overschakelen. Een rollback wordt zoals gebruikelijk ondersteund. Als er met v18 iets niet werkt zoals verwacht, kun je altijd terug naar de vorige versie.

SG naar XG

Als je nog een UTM‑firewall gebruikt, kun je ook overstappen op SFOS. De bijbehorende handleiding vind je hier: Sophos XG Firewall OS installeren op een SG‑appliance

Heb je ondersteuning nodig bij de migratie, dan helpen wij je graag. We hebben al tal van UTM‑systemen succesvol vervangen. 😎

XG 85 en XG 105

Voor de installatie van v18 is minimaal 4 GB RAM vereist. De komende SFOS‑versie zal daarom niet meer op een XG 85 of XG 105 kunnen draaien. Wie eigen hardware gebruikt met slechts 2 GB RAM, staat voor hetzelfde probleem. Cyberoam wordt eveneens niet langer ondersteund.

Eigenaren van een XG 85 of XG 105 doen er goed aan om naar de opvolgmodellen te kijken: Sophos XG 86 en XG 106. Momenteel loopt er nog tot 30‑09‑2020 een actie van Sophos waarbij je bij verlenging 50% korting op de nieuwe hardware krijgt.

Sophos Central Firewall Reporting and Management

Over dit onderwerp is er een afzonderlijke blogpost: Sophos Central Firewall Management – functies met SFOS v18

FAQ

Wanneer is de GA-versie (definitieve versie) beschikbaar?

Als alles volgens plan verloopt en de bètaversies geen grote problemen veroorzaken, wordt v18 verwacht in het eerste kwartaal van 2020.

Waar blijft de nieuwe hardware?

Over de hardware-opvolger van de XG Firewall is al meerdere keren bericht. Op dit moment is er echter nog geen releasedatum gepland en wordt deze op zijn vroegst in de tweede helft van 2020 verwacht.

Komt Let's Encrypt?

Nee 😖, in elk geval nog niet in v18.

Meer informatie

XG Firewall: What’s New in v18