Naar de inhoud
Avanet

Sophos Firewall Air-Gap-licentieverlening en patroonupdates beheren

Sophos Firewall

Een Sophos Firewall kan in bijzonder geïsoleerde omgevingen zonder directe internettoegang worden gebruikt. Dit is geen normale offline-modus, maar een bewust geplande Air-Gap-bedrijf met een eigen licentielogica, handmatige synchronisatie en een apart updateproces voor patronen.

Het belangrijkste punt: Air Gap is geen manier om een firewall eenvoudig “zonder internet” te gebruiken. Er is vooraf een passende goedkeuring nodig, een geclaimde hardware-firewall, een duidelijk updateproces en regelmatige controle van de licentie- en patroonstatus. Anders blijft de firewall misschien wel werken, maar verliezen beschermingsfuncties hun actualiteit of worden abonnementen gedeactiveerd.

Voor de algemene licentielogica is het eerst nuttig om Sophos Firewall Basislicentie begrijpen te lezen. Dit artikel richt zich op het speciale geval van Air Gap.

Wanneer Air Gap zinvol is

Air Gap is alleen geschikt voor omgevingen waarin de firewall bewust van het internet gescheiden wordt gebruikt. Typische voorbeelden zijn sterk gereguleerde netwerken, onderzoeksomgevingen, defensieomgevingen, productiesegmenten of andere zones waar directe cloud- of updateverbindingen niet zijn toegestaan.

Voor de beslissing moeten drie vragen worden onderscheiden:

VraagWaarom belangrijk?
Mag de firewall echt geen internettoegang hebben?Als gecontroleerde internettoegang mogelijk is, is normale licentie- en patroon-synchronisatie meestal eenvoudiger en veiliger.
Wie neemt het handmatige updateproces op zich?Air Gap creëert operationele inspanning. Licentiebestanden en patronen moeten bewust worden onderhouden.
Welke functies vallen weg of worden zwakker?Sommige functies vereisen online diensten, reputatie, Sophos Central of externe resolutie.

Air Gap verhoogt niet automatisch de veiligheid. Het vermindert een bepaalde verbindingsoppervlakte, maar verschuift de verantwoordelijkheid naar processen: downloaden, controleren, overdragen, uploaden, documenteren en monitoren.

Vereisten

Voor de installatie moeten deze punten worden verduidelijkt:

  • De firewall moet als Air-Gap-firewall in Sophos Central zijn geclaimd.
  • Het gebruik van Air Gap moet via de Sophos Account Manager zijn goedgekeurd.
  • Volgens Sophos is Air Gap bedoeld voor hardware-firewalls.
  • De omgeving mag niet eenvoudigweg tijdelijk offline zijn, maar moet als geïsoleerde omgeving zijn gepland.
  • De firewall mag niet met MSP-Flex-licentieverlening in een niet-passend model worden gebruikt.
  • Er is een admin-toegang nodig op CLI en WebAdmin.
  • Er is een veilige manier nodig om licentie- en patroonbestanden naar de geïsoleerde omgeving over te brengen.

Voor de uitvoering moeten serienummer, model, Sophos Central-account, licentiestatus en verantwoordelijke persoon worden gedocumenteerd. Voor serienummers en licentiegrondslagen helpen Sophos Firewall Licentiesleutel activeren en Serienummer van de Sophos Firewall vinden.

Overzicht van het proces

Het Air-Gap-proces bestaat uit meerdere afzonderlijke stappen. Als een van deze ontbreekt, is de firewall niet correct in Air-Gap-bedrijf.

StapLocatieResultaat
Firewall claimenSophos CentralFirewall is aan het juiste account toegewezen
Air-Gap-goedkeuring regelenSophos Account ManagerAir-Gap-recht is aanwezig
Air-Gap-licentie downloadenSophos CentralLicentiebestand is beschikbaar
Air Gap op de firewall activerenCLI Device ConsoleHandmatige licentiesynchronisatie wordt zichtbaar
Licentiebestand uploadenAdministration > LicensingLicentiestatus wordt lokaal bijgewerkt
Patroonupdates uitvoerenBackup & firmware > Pattern updatesBeschermingspatronen worden bijgewerkt
Proces en logs bewakenWebAdmin, Alerts, licensing.logDeactivering of verouderde patronen worden vroegtijdig herkend

De volgorde is belangrijk. Een licentiebestand alleen is niet voldoende als Air Gap op de firewall niet is geactiveerd. Omgekeerd heeft het CLI-commando geen zin als er geen geldige Air-Gap-licentiebestand uit het juiste account beschikbaar is.

Air-Gap-licentie downloaden

Het licentiebestand wordt in Sophos Central gedownload. Het typische pad is:

Sophos Central > Profielmenu > Licensing > Firewall licenses > Download airgap license

Het licentiebestand moet na het downloaden gecontroleerd worden behandeld en hoort niet in privé-downloads, messenger of onduidelijke klemborden. Een korte interne bewijsvoering is zinvol:

  • Downloaddatum
  • Sophos Central-account
  • Betreffende firewall of firewall-groep
  • Serienummers
  • Verantwoordelijke persoon
  • Geplande uploadtijd

Sophos geeft aan dat een gedownloade Air-Gap-licentie binnen 30 dagen moet worden toegepast. Als het bestand te laat wordt gebruikt, moet een nieuw bestand worden gedownload.

Air Gap op de firewall activeren

Om de handmatige licentiesynchronisatie in WebAdmin zichtbaar te maken, moet Air Gap op de firewall via CLI worden geactiveerd.

Procedure:

  1. Aanmelden bij de firewallconsole of via SSH.
  2. In de Sophos-console 4 voor Device Console selecteren.
  3. Het commando uitvoeren:
system airgap enable

Daarna zou onder Administration > Licensing het gedeelte Manual license synchronization zichtbaar moeten zijn.

Deze stap moet worden gedocumenteerd. In productieve omgevingen hoort het in dezelfde wijziging als de upload van het licentiebestand, zodat later duidelijk is wanneer Air Gap is geactiveerd en welk licentiebestand daarbij hoort.

Air-Gap-licentie uploaden

Na de activering wordt het licentiebestand in WebAdmin ingevoerd.

Procedure:

  1. Aanmelden bij de WebAdmin Console.
  2. Administration > Licensing openen.
  3. In het gedeelte Manual license synchronization Choose file selecteren.
  4. Het Air-Gap-licentiebestand selecteren.
  5. Met Update license invoeren.
  6. Licentiestatus en vervaldatums controleren.

Na de upload moet men controleren of de verwachte abonnementen actief zijn. Een succesvolle licentiesynchronisatie vervangt geen functietest. Als Web Protection, IPS, Zero-Day Protection of andere modules worden gebruikt, moeten beleid, patroonstatus, logging en tests afzonderlijk kloppen.

HA-cluster: Initial Primary in acht nemen

Bij Active-Passive-HA is Air-Gap-licentieverlening bijzonder gevoelig. Het licentiebestand moet alleen op de Initial Primary worden ingevoerd. Dit apparaat moet bij de upload ook de huidige Primary zijn.

Als de licentie op de verkeerde node wordt geüpload, kunnen er licentieverschillen of onverwacht HA-gedrag ontstaan. Voor de operatie is het daarom zinvol:

  1. Voor de upload System services > High availability controleren.
  2. Initial Primary en huidige rol documenteren.
  3. Initial Primary als Preferred primary device instellen.
  4. Licentiebestand op de juiste Primary invoeren.
  5. Daarna HA-status en licentiestatus controleren.

Voor de HA-grondslagen en rollenlogica past Sophos Firewall High Availability instellen. Bij Air Gap is deze voorbereiding niet optioneel, omdat de verkeerde node later moeilijk te begrijpen licentie- of failoversymptomen kan veroorzaken.

Patroonupdates handmatig uitvoeren

Zonder automatische online-updates moeten patronen bewust worden onderhouden. Dit betreft handtekeningen, engines, clients en andere updatecomponenten. In Air-Gap-omgevingen wordt hiervoor een patroonbestand gedownload en in WebAdmin geüpload.

Voor SFOS 22.0 en nieuwer verwijst Sophos naar het Air-Gap-patroonbestand:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procedure:

  1. Patroonbestand op een daarvoor bedoeld systeem downloaden.
  2. Bestand via de goedgekeurde overdrachtsweg naar de geïsoleerde omgeving brengen.
  3. Aanmelden bij de firewall.
  4. Backup & firmware > Pattern updates > Manual pattern update openen.
  5. Choose file selecteren.
  6. Patroonbestand uploaden.
  7. Upload bevestigen en update-status controleren.

In HA-omgevingen worden patronen op de Primary ingevoerd en vervolgens op de Auxiliary gesynchroniseerd. Daarom moet ook hier eerst de HA-status worden gecontroleerd.

Patroonstatus controleren

Een Air-Gap-bedrijf is alleen zo goed als de routine erachter. Nieuwe patronen zijn regelmatig beschikbaar. Als de firewall lange tijd niet wordt bijgewerkt, daalt de waarde van IPS, Antivirus, Application Signatures en andere beschermingsfuncties.

Praktische controle:

ControleLocatie
Huidige patroonversiesBackup & firmware > Pattern updates
Laatste succesvolle updateBackup & firmware > Pattern updates
Update-statusReady to install, Downloading, Success of Failed
LicentiestatusAdministration > Licensing
Licentie- en deactiveringswaarschuwingenlicensing.log

Voor een algemene bedrijfscontrole past daarnaast Sophos Firewall Health Check correct gebruiken. Daar moet Air Gap niet als uitzondering op updatehygiëne worden begrepen, maar als speciaal proces voor dezelfde plicht: beschermingsfuncties actueel houden.

Licentieverloop en Incommunicado-venster

Bij normale licentiesynchronisatie zijn 90 dagen zonder succesvolle synchronisatie kritiek. Bij Air-Gap-licenties geldt een langer venster van 180 dagen. Daarna worden beveiligingsabonnementen gedeactiveerd; Base Firewall en Enhanced Support blijven actief.

Voor de operatie betekent dit:

  • Uiterlijk vanaf dag 160 moet een nieuw Air-Gap-licentiebestand worden voorbereid.
  • Uiterlijk bij waarschuwingsmeldingen moet de upload worden gepland.
  • Na 180 dagen zonder nieuwe Air-Gap-licentie dreigt deactivering van beschermingsabonnementen.
  • Het verkeer kan doorgaan, maar zonder de getroffen beschermingsfuncties.
  • De toestand moet via WebAdmin, Alerts en licensing.log worden gecontroleerd.

licensing.log is bij licentieproblemen bijzonder belangrijk. Een overzicht van relevante firewall-logs staat in Sophos Firewall Troubleshooting: Services en Logs.

Wat in Air-Gap-omgevingen beperkt is

Air Gap betekent dat online diensten niet functioneren zoals in een normaal verbonden firewall. Sommige functies worden helemaal niet ondersteund, andere verliezen een deel van hun effectiviteit.

Typische beperkingen:

GebiedBeperking
Sophos Central Managementcentrale beheer en Synchronized Security zijn niet zoals in online omgevingen bruikbaar
Dynamic DNSvereist internetverbinding
Externe NTPwerkt alleen als er een bereikbare interne tijdserver aanwezig is
FQDNzinvol alleen met interne DNS-resolutie
RED Online Provisioningvereist online provisioning
Web en URL Categorizationzonder online diensten alleen met lokaal beschikbare categorieën en handtekeningen beperkt
Zero-Day Protectionvereist cloudaansluiting en past niet bij klassiek Air Gap
Support AccessRemote-supporttoegang is in geïsoleerde netwerken niet beschikbaar

Dit punt wordt in projecten vaak onderschat. Een Air-Gap-firewall kan niet dezelfde cloud-ondersteunde beschermingswerking leveren als een normaal verbonden firewall. Daarom moet voor het ontwerp worden beslist welke beschermingsfuncties absoluut nodig zijn en hoe de ontbrekende online functies worden gecompenseerd: interne DNS- en NTP-servers, handmatige patroonroutine, Syslog, lokale documentatie en een duidelijk supportproces.

Bedrijfsroutine vaststellen

Voor Air Gap is een vaste routine nodig. Anders worden licentie- en patroonupdates pas merkbaar wanneer er een waarschuwing verschijnt of een beschermingsmodule niet meer actueel is.

Zinvolle routine:

IntervalTaak
Wekelijks of volgens intern risicoPatroonbestand controleren, downloaden en invoeren
MaandelijksPatroonstatus, licentiestatus, HA-status en waarschuwingen documenteren
Uiterlijk vanaf dag 160nieuwe Air-Gap-licentiebestand uit Sophos Central voorbereiden
Na elke uploadLicentiestatus, patroonstatus, relevante beschermingsmodules en HA-synchronisatie controleren
Bij elk firmwarevensterAir-Gap-proces, backup, patroon en rollback gezamenlijk plannen

Firmware-updates blijven een eigen proces. Voor de uitvoering past Sophos Firewall Firmware Update uitvoeren, voor backup en herstel Sophos Firewall Backup maken of herstellen.

Veelgemaakte fouten

Air Gap pas na de installatie regelen

Air Gap moet voor de aanschaf en installatie worden geregeld. Als de firewall al productief geïsoleerd draait, maar er geen passende Air-Gap-goedkeuring of licentiebestand aanwezig is, ontstaat onnodige druk.

Patroonupdates als optioneel beschouwen

Patroonupdates zijn in Air-Gap-omgevingen niet minder belangrijk, maar operationeel intensiever. Zonder routine verouderen beschermingsfuncties stilletjes.

HA-rol voor de licentie-upload negeren

Bij Active-Passive-HA moet de Initial Primary de juiste huidige Primary zijn. Anders kan de licentiestatus na failover of upload onduidelijk worden.

Cloud-functies veronderstellen

Zero-Day Protection, Sophos Central Management, Online-Reputation, RED Online Provisioning of Support Access moeten in Air-Gap-ontwerpen niet stilzwijgend worden ingepland.

Licentiewaarschuwingen te laat behandelen

Air-Gap-licenties hebben weliswaar een 180-dagenvenster, maar het proces moet niet op de laatste dag beginnen. Download, overdracht, wijzigingsgoedkeuring en upload kosten tijd.

Checklist

  • Air-Gap-goedkeuring met Sophos geregeld.
  • Firewall in het juiste Sophos Central-account geclaimd.
  • Serienummer, model en licentiestatus gedocumenteerd.
  • Veilige bestandsoverdracht naar de geïsoleerde omgeving gedefinieerd.
  • system airgap enable uitgevoerd en gedocumenteerd.
  • Air-Gap-licentie onder Administration > Licensing geüpload.
  • Bij HA: Initial Primary, huidige Primary en Preferred Primary gecontroleerd.
  • Patroonbestand gedownload en onder Backup & firmware > Pattern updates ingevoerd.
  • Licentiestatus, patroonstatus en licensing.log gecontroleerd.
  • Bedrijfsroutine voor patroon, licentiebestand, HA-status en firmwarevenster vastgesteld.

FAQ

Wat is Sophos Firewall Air Gap?

Air Gap is een bedrijfsmodel voor geïsoleerde Sophos-firewall-omgevingen zonder directe internettoegang. Licentieverlening en patroonupdates worden daarbij handmatig of via een apart Air-Gap-proces onderhouden.

Hoe activeer je Air Gap op de Sophos Firewall?

Je activeert Air Gap in de Device Console met system airgap enable. Daarna verschijnt onder Administration > Licensing het gedeelte voor handmatige licentiesynchronisatie.

Hoe lang is een Air-Gap-licentie geldig?

Voor Air-Gap-licenties geldt een 180-dagenvenster zonder nieuwe synchronisatie. Daarna worden beveiligingsabonnementen gedeactiveerd, terwijl Base Firewall en Enhanced Support actief blijven.

Moet je patronen in Air-Gap-omgevingen handmatig bijwerken?

Ja, als er geen geautomatiseerde Air-Gap-update-oplossing is ingericht. Voor SFOS 22.0 en nieuwer wordt het patroonbestand gedownload en onder Backup & firmware > Pattern updates > Manual pattern update geüpload.

Wat is belangrijk bij Air Gap en HA?

Bij Active-Passive-HA moet de Air-Gap-licentie op de Initial Primary worden ingevoerd, terwijl dit apparaat ook de huidige Primary is. De Initial Primary moet als Preferred Primary worden ingesteld.

Werken alle Sophos-firewallfuncties in Air-Gap-bedrijf?

Nee. Functies met Cloud-, Online-Reputatie-, Central- of Remote-Support-afhankelijkheid zijn niet of slechts beperkt bruikbaar. Dit moet voor het ontwerp worden gecontroleerd.