Sophos XG Update v17.5 - Alle nieuwe functies in een overzicht

Begin november hebben we de tweede beta van de nieuwe SFOS 17.5-firmware geinstalleerd en deze eens grondig bekeken. Tijdens de Sophos Roadshow in maart 2018 in Dubendorf was nog sprake van versies 17.2 en 17.3, maar Sophos heeft besloten alle geplande functies te bundelen en direct naar versie 17.5 te springen.

Een ding kunnen we alvast zeggen: SFOS 17.5 roept bij ons gemengde gevoelens op. De release biedt interessante nieuwe functies, maar die zijn naar onze mening niet altijd volledig doordacht.

Lateral Movement Protection

Sinds de eerste versie van Synchronized Security kan de Endpoint Client zijn status met de firewall delen. Dankzij deze functie kunnen we een werkstation dat lange tijd geen updates heeft gekregen of al geinfecteerd is bijvoorbeeld de toegang tot de fileserver of het internet weigeren, zodat andere systemen niet in gevaar komen.

Zo’n configuratie vereiste tot nu toe echter ook een goede netwerksegmentatie. Als alle apparaten in een bedrijf op dezelfde switch zijn aangesloten en zich in hetzelfde netwerk bevinden, had Security Heartbeat tot nu toe nauwelijks effect.

Met SFOS 17.5 is deze functie uitgebreid en verbeterd. Computers die door Synchronized Security als “ongezond” worden beoordeeld, kunnen nu ook van andere computers in hetzelfde broadcast-domein of netwerk worden geisoleerd. Bij een probleem met een client informeert de firewall automatisch alle andere clients. Daardoor weet niet langer alleen de firewall dat er met een client iets mis is, maar ook alle andere clients in het netwerk. Een geinfecteerd apparaat kan zo nog effectiever worden geisoleerd totdat het probleem is opgelost. Zodra de Security Heartbeat-status weer op “groen” springt, worden de verbindingen met andere systemen in het netwerk automatisch hersteld.

Daarnaast kunnen IPS-detecties van kwetsbare endpoints nu ook een “rode” heartbeat activeren. Dit verbetert de bescherming tegen bedreigingen in het netwerk verder.

Doorsturen van Portal URL

Tijdens mijn tests viel mij een functie op die vrijwel stilletjes in de nieuwe versie is meegesmokkeld, want ze wordt nergens in de release notes genoemd.

U kent het vast allemaal. Wanneer een website door de Sophos Web Proxy wordt geblokkeerd, krijgt de gebruiker een waarschuwingspagina te zien. Als de gebruiker de pagina daarna toch wil openen, zat achter de link tot nu toe altijd een IP-adres in plaats van een normale URL. In versie 17.1 kon dit ten minste via de console worden aangepast. Met 17.5 kan dit nu ook comfortabel via de webinterface van de XG Firewall. 👍

De omschakeling van een IP-adres naar een web-URL werkt echter alleen voor het webgedeelte. Wanneer de XG Firewall bijvoorbeeld uw e-mails scant, ontvangen gebruikers meestal een quarantainerapport van de firewall. Daarin is zichtbaar welke e-mails door de Sophos Firewall zijn geblokkeerd. Met een klik op een link kan men de vermeende spambericht handmatig vrijgeven. Maar precies die link is nog altijd een IP-adres. Technisch werkt dat wel, maar de gebruiker krijgt daardoor een certificaatwaarschuwing.

De omschakeling van een IP-adres naar een web-URL is voor het e-mailgedeelte nog niet uitgevoerd. Van Sophos kregen we de feedback dat dit mogelijk met MR1 of MR2 wordt nageleverd en dat de ontwikkelaars eraan werken. Wij gokken eerder op MR2, waardoor we er waarschijnlijk rond januari of februari mee kunnen rekenen.

Synchronized User ID

Een van de meest voorkomende taken van een firewall is verkeer van A naar B transporteren, mits daarvoor een firewallregel is aangemaakt. Het verkeer komt en gaat telkens naar een IP-adres. Als beheerders willen we daarbij graag weten van welke apparaten het verkeer afkomstig is, of nog beter: van welke gebruiker. Dat helpt ons om gebruikersgebaseerde firewallregels te maken, netwerktransparantie te creeren en begrijpelijkere rapporten te produceren.

Op SFOS zijn er verschillende manieren om de gebruiker te herkennen. In het verleden gebruikten we hiervoor meestal de verbinding met een Active Directory-server, die de gebruikersinformatie via een geinstalleerde agent naar de XG Firewall doorstuurde. In sommige omgevingen was die agent echter geen optie.

Met SFOS v17.5 kunnen eindapparaten in een Active Directory-domein nu via Security Heartbeat de gebruikersidentiteit met de firewall delen. Dat maakt gebruikersidentificatie naadloos en eenvoudig, zonder dat er een agent op de domeincontrollers hoeft te worden uitgerold. Deze functie kan in veel situaties erg nuttig zijn.

Terminalservers of Linux-hosts worden door deze oplossing niet afgedekt. Voor terminalservers blijft STAC nog altijd de beste oplossing. De uitzonderingen zijn echter groot. Mac-clients werken niet met een Active Directory, en VPN-gebruikers melden zich daar evenmin bij aan.

Van deze functie profiteert u alleen als op de clients een van deze producten is geinstalleerd:

• Sophos Central Endpoint Protection
• Sophos Central Intercept X Advanced

Interessant wordt het volgens ons pas wanneer ook clients die niet in een domein zitten hun gebruikersgegevens met de XG kunnen delen. Deze functie lost voorlopig slechts een heel klein probleem op.

Sophos Connect IPSec VPN Client

Onze post SSL VPN Client installeren is een van de populairste bijdragen in onze Knowledge Base. Dat is niet zonder reden, want voor veel van onze klanten was VPN een van de meest genoemde eisen voor de aanschaf van een Sophos Firewall.

Zoals in deze handleiding beschreven, gebruiken we momenteel heel vaak de SSL VPN Client van Sophos. Die kan echter alleen op Windows-computers worden geinstalleerd. Voor macOS moest men tot nu toe terugvallen op tools van derden, zoals “Tunnelblick”.

Met Sophos Connect introduceert Sophos nu, net als andere fabrikanten, een eigen IPsec VPN Client. Sophos Connect ondersteunt standaard ook Synchronized Security. Dat werkte tot nu toe weliswaar ook met de SSL VPN Client, maar moest extra worden geconfigureerd.

Hier ziet u een screenshot van de instellingen van de Sophos Connect IPsec VPN Client op de XG Firewall:

Sophos Connect bevindt zich momenteel in beta en de client is beschikbaar voor Windows en macOS. Hier nog een screenshot van de Mac- en Windows-client:

Bij de nieuwe IPsec VPN Client van Sophos hoort ook “Sophos Connect Admin” als extra tool. Daarmee kunt u een configuratiebestand achteraf aanpassen en bijvoorbeeld de hostnaam wijzigen of 2FA activeren.

Sophos Central Management

Met de nieuwe SFOS 17.5-firmware wordt een al lang gedane belofte eindelijk ingelost. Via het Sophos Central-platform kan nu ook de XG Firewall worden beheerd. Zeker de juiste stap, maar in de eerste versie blijven de functies nog beperkt.

Om uw Central-account met de firewall te verbinden, moet u eerst op de XG Firewall Central Management activeren.

Update 20.11.2018 Sophos Central heeft inmiddels een update gekregen, waardoor het menu-item “Firewall Management” zichtbaar is. Door de functie “Central Management” op onze XG Firewall te activeren, konden we het apparaat succesvol aan ons Sophos Central-account koppelen.

Wanneer u via Sophos Central verbinding maakt met de firewall, bent u vervolgens op de firewall als “admin” aangemeld. Het vervelende daaraan is dat theoretisch ook andere gebruikers met toegang tot Sophos Central Admin toegang tot de firewalls kunnen krijgen. Het is al voldoende als deze gebruikers over een ‘Read-Only’-machtiging beschikken. We hopen dat in de toekomst nauwkeuriger kan worden ingesteld wie precies de bevoegdheid heeft om zich via Central op de firewalls aan te melden.

Firewallbeheer via SSO

Wanneer u op uw firewall de functie “Central Management” hebt geactiveerd, kunt u zich zonder extra login direct vanuit de Central-interface bij de Sophos XG Firewall aanmelden.

Central Backups

Door Central Management worden standaard ook de back-ups van uw firewall in Central opgeslagen. Als u dat niet wilt, kunt u deze functie op uw XG Firewall eenvoudig deactiveren.

“Light-Touch Deployment” is echt een mooie zaak. In de toekomst wordt het mogelijk om direct via Central een nieuwe XG Firewall te configureren. Daarbij klikt u eerst door een kleine wizard die aan het einde een XG-configuratiebestand oplevert. Deze configuratie kunt u downloaden en op een USB-stick kopieren. Daarna moet de nieuwe firewall met deze stick worden gestart en wordt de configuratie overgedragen. Als alles correct is uitgevoerd, komt u via Sophos Central op de firewall terecht en kunt u de resterende configuratie uitvoeren.

“Light-Touch Deployment” maakt het ons in de toekomst een stuk eenvoudiger om XG Firewalls voor onze klanten in te richten. Voor onze installatie- en configuratieservice laten we de firewalls telkens bij ons op kantoor afleveren en maken we de basisconfiguratie rechtstreeks op de apparaten. Daarna sturen we ze naar de klant, die de firewall alleen nog op het netwerk hoeft aan te sluiten. Met “Light-Touch Deployment” kunnen we in de toekomst besparen op het verzenden van de hardware naar ons kantoor en zijn we daardoor minstens een dag sneller. 😎

Omdat deze workflow een Central-account vereist, zullen we deze aanpak waarschijnlijk niet bij elke nieuwe klant kunnen gebruiken.

Synchronized Security - Verbeteringen in Synchronized Application Control

Synchronized Application Control werd met versie 17.0 voor het eerst voorgesteld en in versie 17.1 verder verbeterd. Met deze functie wilde Sophos een oplossing bieden voor het basisprobleem dat een groot deel van het netwerkverkeer nog altijd moeilijk te controleren is en zelfs met HTTP/HTTPS-scanning relatief onopgemerkt door de firewall kan komen. Met Synchronized Application Control deelt de endpoint met de firewall welke software het verkeer precies veroorzaakt. Daardoor kan het netwerkverkeer veel beter worden geclassificeerd.

Met v17.5 zijn de volgende verbeteringen doorgevoerd:

• Windows- en Mac-systeemapplicaties in een aparte lijst weergeven.
• Applicaties verbergen en daarna een nieuwe filteroptie gebruiken om verborgen applicaties weer te geven of te verbergen.
• Een nieuwe optie om applicaties te markeren en ze zo uit de “nieuwe” lijst te verwijderen.
• Verbeterde weergave van padnamen.

U kunt nu zelf kiezen welke kolommen u echt nodig hebt.

Verbeteringen in Web Policy

Stel u voor dat een leraar met zijn klas aan de computer werkt en dat een benodigde website wordt geblokkeerd. In zo’n situatie moest tot nu toe altijd de admin worden geroepen om de pagina vrij te geven. In SFOS versie 17.5 is er nu een functie in de Web Policies waarmee u geautoriseerde gebruikers kunt toestaan om geblokkeerde websites toch te openen. U kunt deze leraar dus de mogelijkheid geven om deze website, dit domein of deze categorie eenvoudig zelf via het User Portal vrij te geven.

Elke regel krijgt een code die hij vervolgens aan de klas kan doorgeven. Op de geblokkeerde pagina kunnen de leerlingen deze code invoeren en tijdelijk naar de eigenlijk geblokkeerde website gaan.

Als beheerders zien we vervolgens in een lijst welke codes zijn gegenereerd en kunnen we die ook weer verwijderen. De admin kan echter ook locaties of categorieen definieren die niet door leraren kunnen worden omzeild.

Hier nog een paar andere kleine vernieuwingen die u in SFOS versie 17.5 bij de Web Policies ter beschikking hebt:

• Het instellen van een standaardzoekmachine.
• SafeSearch- en YouTube-beperkingen.
• Beperking van de bestandsgrootte bij downloads.
• Domeinbeperkingen van Google App, die allemaal per policy kunnen worden ingesteld.

😉. De gebruikersidentificatie bij dit besturingssysteem is anders dan bij andere systemen en werd tot nu toe niet door de XG Firewall ondersteund. Met v17.5 biedt Sophos een Chromebook-extensie die Chromebook-gebruikers-ID’s met de firewall deelt. Daarmee zijn policy enforcement en user reporting mogelijk. Er is echter een Active Directory-server nodig die met Google G Suite wordt gesynchroniseerd. De Chrome-extensie wordt vanuit de G Suite-beheerconsole uitgerold en biedt een eenvoudige implementatie die voor de gebruiker transparant is.

Client Authentication Agent

De XG Firewall Client Authentication Agent biedt de mogelijkheid om zonder Active Directory aan de XG Firewall door te geven welke gebruiker momenteel op de computer is aangemeld. Hiervoor hoeft alleen de Client Authentication Agent op het apparaat te worden uitgevoerd.

De client is beschikbaar voor Windows, macOS, Linux 32/64-bit, iOS en Android. De download vindt u in het User Portal.

Verbeteringen in beheer

Wanneer men nieuw een firewallregel aanmaakt, kan men die direct aan een groep toewijzen. Er is ook een nieuwe automatische groepsindeling, hoewel die bij mij niet echt goed heeft gewerkt. In mijn tests wilde de firewall mijn regel automatisch aan een groep toewijzen waarin ik haar juist niet wilde hebben.

Spoofing Protection.

IPS Protection

• Meer categorieen voor een betere optimalisatie van regels, wat tot betere prestaties en meer bescherming leidt.

Wireless

• Ondersteuning voor RADIUS-serverfailover met meerdere servers.

IPsec

• SD-WAN Failover en Failback
• IPsec Failover - redundante groepen voor IPsec-verbindingen om bij een failover naar een andere WAN-link over te schakelen. Zodra de hoofdverbinding weer beschikbaar is, kan ook weer worden teruggeschakeld.

Wat komt er in de volgende versies?

In de komende weken/maanden verschijnen zoals gebruikelijk Maintenance Releases, die nog enkele functies zullen naleveren.

Sophos Wireless APX Access Point Support

De nieuwe APX Access Points van Sophos konden tot nu toe alleen met Sophos Central worden gebruikt. Ondersteuning voor de XG Firewall wordt echter verwacht in MR1, dat ongeveer 2-4 weken na de 17.5-release zal verschijnen. De APX 120, die dan voor minder dan 200 CHF beschikbaar moet zijn, komt pas in januari 2019.

Airgap Support

Er zijn XG Firewalls die niet met het internet verbonden zijn. Licentieactivatie was bij deze apparaten tot nu toe niet mogelijk. Nieuw is de optie om met behulp van een USB-stick de licentie en updates op de firewall te laden.

---

Meer informatie

• PDF: XG Firewall - What’s new in v17.5