Przejdz do tresci
Avanet
Sophos Central Wireless - Wersja 2.0 z Security Heartbeat

Sophos Central Wireless - Wersja 2.0 z Security Heartbeat

27. LIPCA 2018

Sophos Central Wireless 2.0 jest gotowy do wdrożenia i będzie udostępniany we wszystkich kontach w okresie od 30 lipca do 31 sierpnia. Oprócz nowych funkcji i ulepszeń, obsługiwane będą również nowe punkty dostępowe APX Wave 2.0. W tym wpisie podsumowujemy funkcje, na które możesz liczyć.

Synchronized Security dla Endpoint i Mobile

Security Heartbeat jest teraz dostępny także w Sophos Central Wireless. Zasada działania jest w gruncie rzeczy taka sama jak w XG Firewall. Dostęp do sieci dla zainfekowanych klientów lub urządzeń niespełniających zdefiniowanych polityk jest ograniczany lub całkowicie blokowany.

Dzięki Security Heartbeat w Central Wireless możesz odizolować zagrożone urządzenie od sieci WLAN, aby nie stanowiło niebezpieczeństwa dla innych sprzętów podłączonych do tej samej sieci. Aby ta współpraca działała, endpointy muszą być oczywiście wyposażone w odpowiednie oprogramowanie. Na komputerach stacjonarnych i laptopach powinien być zainstalowany co najmniej Sophos Central Endpoint, a na smartfonach i tabletach Sophos Central Mobile. Wreszcie, konieczne jest korzystanie z jednego z nowych punktów dostępowych APX, ponieważ tylko one obsługują Security Heartbeat. 😅

Enhanced Rogue AP Detection

Dzięki Enhanced Rogue AP Detection punkty dostępowe Sophos skanują wszystkie kanały i wyświetlają listę sąsiednich sieci bezprzewodowych. Na pierwszy rzut oka może to nie brzmieć szczególnie ekscytująco. Celem jest jednak – jak sugeruje nazwa – wykrywanie tzw. „rogue AP”, czyli nieautoryzowanych punktów dostępowych, które mogą stworzyć lukę w zabezpieczonej sieci.

Surowe, lecz uzasadnione ograniczenia w firmowej sieci Wi‑Fi czasem skłaniają pracowników do kreatywnych rozwiązań. Może się zdarzyć, że kolega podłączy w biurze własny access point, aby korzystać z Internetu na prywatnych urządzeniach. Taki punkt dostępowy byłby „rogue AP”, ponieważ został zainstalowany w bezpiecznej sieci bez zezwolenia.

Enhanced Rogue AP Detection pozwala na wykrywanie takich nieautoryzowanych punktów dostępowych w Twojej sieci. Jeśli korzystanie z danego urządzenia zostało zatwierdzone, można je oczywiście dodać do „listy znanych AP”.

Inne ulepszenia

Oprócz wspomnianych funkcji, w wersji 2.0 wprowadzono jeszcze dwa godne uwagi usprawnienia:

  • Provisioning zbiorczy: można dodać do 30 AP jednocześnie, wczytując plik CSV z numerami seryjnymi.
  • Przeprojektowany pulpit nawigacyjny: daje lepszy przegląd zagrożeń w sieci i stanu urządzeń korzystających z Synchronized Security.

Nadchodzące funkcje

Wersja 2.1 ma zostać wydana we wrześniu i przyniesie ulepszone narzędzia debugowania i rozwiązywania problemów. W listopadzie oczekiwany jest mały access point APX 120, którego obsługa będzie gwarantowana w wersji 2.1.1.

Podsumowanie

Od zawsze uważaliśmy Sophos Central Wireless za bardzo ciekawy produkt. Kupujesz AP, podłączasz i gotowe! W przypadku Sophos Central Wireless nie jest wymagany fizyczny kontroler, a sieciami bezprzewodowymi w wielu lokalizacjach można zarządzać w prosty i przejrzysty sposób.

Jedynym zastrzeżeniem, jakie mamy wobec Sophos Wireless, jest cena. Naszym zdaniem nawet nowe funkcje w wersji 2.0 nie do końca ją uzasadniają. Nie wspominając o tym, że z Synchronized Security w pełni skorzystasz tylko wtedy, gdy zainwestujesz również w nową serię APX.

Ponadto Sophos nie jest jedynym graczem na rynku zarządzania sieciami bezprzewodowymi. Rozwiązania, z którymi można go porównywać, istniały jeszcze przed pojawieniem się Sophos Wireless. Nawet Google sprzedaje własne access pointy; w cenie jednego AP Sophos mógłbym kupić trzy takie urządzenia. Również nimi można zarządzać przez chmurę i wykorzystywać w wielu lokalizacjach, a szyfrowanie WPA2 jest równie bezpieczne.

Nie uważamy ponoszenia cyklicznych kosztów wyłącznie za Wi‑Fi za szczególnie atrakcyjne. Traktujemy sieć bezprzewodową trochę jak „powietrze”: po prostu musi być. Ten pogląd może się oczywiście zmienić, jeśli w przyszłości pojawi się więcej funkcji bezpieczeństwa, takich jak w wersji 2.0. Wtedy wartość dodana będzie wyraźna, a pobieranie dodatkowych opłat za Sophos Central Wireless – w pełni uzasadnione.

Musimy również przyznać, że Sophos przynajmniej nieco obniżył cenę nowych access pointów APX. Podczas gdy między AP 15 a AP 100 istnieje nadal różnica cenowa, roczne koszty wszystkich modeli APX będą takie same, niezależnie od tego, czy jest to mały APX 320, czy duży 740.

Podsumowując, Sophos Central Wireless ma duży potencjał. Nie wymaga fizycznej konsoli, a nowe access pointy APX wprowadzają dodatkowe funkcje bezpieczeństwa, takie jak Synchronized Security. Z naszego punktu widzenia w przyszłości może to być bardzo interesujące. Jeżeli nie ma to dla Ciebie znaczenia, możesz po prostu kupić niewielką XG Firewall (XG 115) i zarządzać do 10 access pointami. W tym rozwiązaniu płacisz tylko raz za AP, ponieważ licencja wireless jest zawarta bez dodatkowych opłat w Sophos Firewall OS na XG.

Uwaga: 31 lipca 2018 r. Sophos skontaktował się z nami osobiście w sprawie naszego podsumowania dotyczącego Sophos Central Wireless. Ponieważ wskazaliśmy wysoką cenę jako punkt krytyczny, otrzymaliśmy ciekawą informację: roczne koszty Sophos Wireless na access point mają również obejmować ubezpieczenie urządzenia. Jeśli access point ulegnie awarii, Sophos wymieni go bezpłatnie w ciągu 24 godzin. Usługa ta jest więc wliczona w cenę. Niestety, nie jest to wspomniane ani w kartach danych, ani w innym miejscu na stronie internetowej. Nie możemy więc potwierdzić tego na piśmie, ale według Sophos access pointy są ubezpieczone, o ile licencja Sophos Central Wireless jest ważna.

Znane problemy w wersji 2.0

Poniższa lista zawiera znane błędy, które mogą nadal występować w wersji 2.0. Prace nad ich usunięciem już trwają, więc problemy te powinny zostać wkrótce rozwiązane.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Więcej informacji

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.