Sophos Firewall v20 - Najlepsze funkcje w nowej wersji SFOS
Główne wersje są zdecydowanie najbardziej ekscytujące w roku, a wraz z Sophos Firewall v20, a dokładniej SFOS v20, Sophos wprowadza kilka naprawdę świetnych nowych funkcji. Obecnie jest to EAP1, czyli wersja Early Access. Ostateczna wersja prawdopodobnie pojawi się dopiero pod koniec roku lub na początku 2024 roku, jeśli Sophos pozostanie wierny swojemu harmonogramowi.
Web Admin zoptymalizowany dla 1920p
W liście funkcji Sophos ta nowość znajduje się na samym dole, wśród mniej ważnych ulepszeń zawartych w nowej wersji. Obsługa ekranów o wysokiej rozdzielczości. Dane Statista pokazują, że monitory 1980p są już od 2018 roku bardziej niż standardem – ta funkcja jest więc dawno spóźniona. Niezwykle cieszę się z tej funkcji. 🥳 Było niezwykle denerwujące, że tyle białego miejsca pozostawało niewykorzystane, a zamiast tego tekst był obcinany.
Jednakże, nie wszystko jest jeszcze zoptymalizowane pod kątem 1920p, a w wielu miejscach w GUI, np. na pulpicie nawigacyjnym, nadal wymaga trochę dopracowania. Ma to zostać dostarczone z v20.5.
Jeśli spojrzeć na różnicę między SFOS v19.5 a SFOS v20, wreszcie otrzymuje się więcej miejsca.
Zasługa należy się tu jednak nie Sophosowi, lecz kilku dużym partnerom Sophos, którzy zasugerowali producentowi wprowadzenie tej funkcji. Zatem w tym miejscu bardzo dziękuję.
Ulepszenia VPN
Sophos Firewall v20 wprowadza różne nowości w obszarze VPN. Zacznijmy od prawdopodobnie największej zmiany.
Portal VPN
Wraz z aktualizacją do SFOS v20, funkcjonalności VPN z Portalu Użytkownika zostaną przeniesione do nowego Portalu VPN. Będą więc w przyszłości dwa portale dla użytkownika, pod warunkiem, że Portal Użytkownika będzie nadal często używany. Więcej na ten temat na końcu.
Nowy Portal VPN w SFOS v20 centralizuje funkcje specyficzne dla VPN, które wcześniej znajdowały się w Portalu Użytkownika.
- Pobierz Sophos Connect Client dla Windows i macOS
- Pobierz konfigurację dla Remote SSL VPN i IPsec
- Dostęp do zakładek bez klienta
Konteneryzacja minimalizuje dostęp do podstawowych komponentów SFOS, co zwiększa bezpieczeństwo użytkowania przez sieć WAN. Funkcje dotyczące metod uwierzytelniania lub MFA pozostają takie same jak w Portalu Użytkownika.
Migracja na SFOS 20.0 automatycznie przenosi istniejące konfiguracje portalu użytkownika do portalu VPN, co ułatwia przejście. Jednak dla portalu użytkownika jest teraz nowy port, a portal VPN działa na poprzednim porcie.
Co zmienia się dla portali po aktualizacji do SFOS v20?
| Portal VPN | Portal użytkownika |
|---|---|
| Port standardowy: 443 Oznacza to, że istniejące implementacje VPN dostępu zdalnego nadal działają płynnie. | Port standardowy: 4443 |
| Port może być współdzielony z następującymi usługami: - WAF - SSL VPN | Port nie może być używany do żadnej innej usługi. |
| Pobierz: - Sophos Connect Client - Konfiguracja IPsec i SSL VPN - Konfiguracja VPN iOS Goście nie mają dostępu do portalu VPN. | Klient VPN i konfiguracje są teraz w portalu VPN. |
| - Automatyczne udostępnianie dla Sophos Connect Client - Pobieranie konfiguracji VPN za pośrednictwem portalu VPN - Przy standardowym porcie 443, istniejące wdrożenia pozostają niezmienione | Przeniesione do Portalu VPN |
| Dostęp bez klienta do zakładek | Przeniesione do Portalu VPN |
| - | - Inne pobieranie klientów - Korzystanie z Internetu - Kwarantanna e-mail i wyjątki - Przekroczenie zasad - Hotspoty bezprzewodowe |
W Sophos KB znajdziecie więcej informacji na ten temat: New VPN portal in SFOS 20.0 and later
Widać więc teraz wyraźnie, jakie funkcje pozostają w Portalu Użytkownika. Spoglądając na bazę użytkowników tych funkcji, okazuje się, że tylko bardzo niewielka liczba naszych klientów z nich korzystała, co oznacza, że Portal Użytkownika będzie odtąd używany rzadziej.
IPsec VPN Stateful HA Failover
W Sophos Firewall v20 wprowadzono Stateful High Availability (HA) Failover dla połączeń IPsec VPN. Ta nowa funkcja umożliwia płynne przenoszenie istniejących połączeń IPsec VPN do węzła zapasowego w przypadku awarii, bez przerywania sesji. Ważne jest, aby podkreślić, które połączenia VPN korzystają z tego ulepszenia, a które nie.
Ulepszenie dotyczy następujących połączeń VPN:
- IPsec Site-to-Site VPN (oparte na trasowaniu i oparte na polityce)
- IPsec Remote-Access VPN
Oznacza to, że zarówno VPN-y dostępu zdalnego, jak i VPN-y typu Site-to-Site mogą być kontynuowane w przypadku awarii bez konieczności ponownego nawiązywania połączenia.
W kontekście sieci VPN IPsec, funkcja ta jest szczególnie użyteczna, ponieważ przyspiesza przywracanie połączeń w przypadku awarii, a tym samym zwiększa dostępność sieci. Zwłaszcza przy przywracaniu połączenia wielokrotnie pojawiały się problemy i połączenia VPN musiały być przywracane ręcznie lub automatycznie z pewnym opóźnieniem po awarii. Mogło to prowadzić do przerw w usługach sieciowych, co z kolei negatywnie wpływało na procesy biznesowe. Obecnie traci się co najwyżej kilka pingów, ale połączenie pozostaje.
Dzięki ulepszeniu Stateful HA Failovers w Sophos Firewall v20, nawet duże organizacje, które polegają na wysokiej dostępności, mogą teraz korzystać ze zwiększonej stabilności i płynnego działania. Nowe opcje wiersza poleceń do zarządzania ustawieniami również przyczyniają się do elastyczności i kontroli, które są potrzebne w obsłudze połączeń VPN.
Inne połączenia VPN, takie jak SSL VPN i połączenia Sophos RED, nie są objęte tym konkretnym ulepszeniem przełączania awaryjnego, ale doświadczenie pokazuje, że również lepiej działają podczas nawiązywania połączenia.
Obsługa hostów FQDN dla SSL VPN
W SFOS v20 dodano obsługę w pełni kwalifikowanych nazw domen (FQDN) w ramach funkcjonalności SSL VPN. Dzięki tej nowości, połączenia SSL VPN mogą być teraz konfigurowane w oparciu o nazwy domen zamiast wyłącznie adresów IP. Jest to szczególnie pomocne w dynamicznych środowiskach sieciowych, gdzie adresy IP punktów końcowych mogą ulegać zmianom, ponieważ zmiany w adresach sieciowych nie muszą być już ręcznie aktualizowane w konfiguracji VPN.
Obsługa FQDN ułatwia również integrację z usługami DNS, co upraszcza rozwiązywanie nazw sieciowych i może poprawić ogólną wydajność połączeń SSL VPN.
Ponadto, obsługa FQDN umożliwia precyzyjniejsze tworzenie polityk bezpieczeństwa opartych na nazwach domen, co pozwala na kontrolę dostępu do sieci.
SNMP – Monitoruj status tunelu VPN IPsec
W SFOS v20 zapory Sophos Firewall dodano funkcję monitorowania statusu tuneli VPN IPsec za pośrednictwem protokołu SNMP (Simple Network Management Protocol). Funkcja ta znajdowała się również od dłuższego czasu na naszej liście życzeń i teraz upraszcza monitorowanie kolejnych usług.
Kluczowym komponentem tej funkcji jest plik Management Information Base (MIB) dostarczony przez Sophos Firewall. Plik MIB jest importowany do narzędzia SNMP i umożliwia dostęp do wielu punktów danych, które dostarczają ważnych informacji o stanie, wydajności i możliwych błędach tuneli VPN IPsec. Dzięki temu administratorzy mogą przeprowadzać szczegółowe monitorowanie i analizę aktywności tuneli.
Azure AD – Captive Portal SSO i import grup
Sophos Firewall v20 wprowadza rozszerzone integracje z Azure Active Directory (Azure AD) poprzez dwie nowe funkcje: Azure AD SSO dla Captive Portal oraz import grup Azure i RBAC.
Funkcja Azure AD SSO dla Captive Portal umożliwia użytkownikom uwierzytelnianie się w portalu Captive Portal za pomocą poświadczeń Azure AD. Upraszcza to proces uwierzytelniania, umożliwiając użytkownikom korzystanie z istniejących poświadczeń Azure AD.
Druga innowacja, Import grup Azure i RBAC, dodaje nową funkcję kreatora importu dla grup Azure AD i umożliwia automatyczne promowanie zmian administratora opartych na rolach. Dzięki tej funkcji administratorzy mogą łatwo importować grupy Azure AD do Sophos Firewall i używać ich do kontroli dostępu opartej na rolach (RBAC). Funkcja automatycznego promowania upraszcza zarządzanie rolami i uprawnieniami użytkowników, automatycznie promując zmiany w przypisywaniu administratorów opartych na rolach.
Rozszerzenie Azure AD to krok naprzód, ale niestety nadal musimy czekać na możliwość korzystania z logowania Azure AD dla portalu VPN, zdalnych VPN IPsec lub SSL VPN. Mamy więc nadzieję na aktualizacje. 😩
Aby skonfigurować Azure AD na zaporze, pomogą te linki:
- Konfiguracja aplikacji Azure
- Sophos Firewall v21.5: Integracja SSO Entra ID dla Sophos Connect Client
Włączanie / wyłączanie interfejsów
Zintegrowano długo oczekiwaną funkcję dla administratorów. Aktywacja i dezaktywacja interfejsów. Ta przydatna funkcja była już dostępna w poprzednim systemie operacyjnym Sophos UTM, a SFOS v20 spełnia teraz życzenie administratorów, aby przywrócić tę funkcjonalność.
Do tej pory interfejs mógł być całkowicie dezaktywowany, co skutkowało utratą całej konfiguracji.
Jeśli interfejs zostanie teraz dezaktywowany w ustawieniach, cała konfiguracja pozostanie zachowana, a interfejs można w razie potrzeby bezproblemowo ponownie aktywować.
W stanie dezaktywowanym wiersz interfejsu jest wyświetlany w kolorze szarym, a w Control Center status jest wyświetlany jako Wyłączony (Turned off). To ulepszenie znacznie upraszcza zarządzanie zaporą i oszczędza administratorom cenny czas podczas konfiguracji i zarządzania interfejsami sieciowymi.
Istnieją pewne wyjątki, w których aktywacja/dezaktywacja interfejsów nie jest możliwa. Na przykład, interfejsy aliasowe lub tunelowe, lub interfejsy, które są pojedynczymi członkami LAG (Link Aggregation Group) lub Bridge, nie mogą być dezaktywowane. Jednakże cały LAG lub interfejs Bridge może być dezaktywowany.
| Typ interfejsu | Obsługa aktywacji/dezaktywacji |
|---|---|
| Fizyczny | Tak |
| VLAN | Tak |
| LAG (Grupa) | Tak |
| Indywidualny członek LAG | Nie |
| Most | Tak |
| Indywidualny członek mostu | Nie |
| Alias | Planowany |
| Sieć bezprzewodowa | Tak |
| Interfejs tunelowy (XFRM) | Nie |
| Wi-Fi | Tak |
| RED | Tak |
*Sophos Firewall v20 (SFOS v20) – Obsługa włączania/wyłączania interfejsów
Referencje obiektów
Nowość w postaci „Referencji obiektów” w Sophos Firewall w wersji 20 rozwiązuje wcześniejsze wyzwanie w zarządzaniu obiektami sieciowymi. W poprzednich wersjach do 19.5 identyfikacja, gdzie konkretny obiekt był używany w konfiguracji przed jego usunięciem, była żmudnym zadaniem. Mogło to prowadzić do opóźnień i potencjalnych błędów, zwłaszcza w rozbudowanych środowiskach sieciowych z dużą liczbą reguł i polityk.
W wersji 20 ta podatność została naprawiona. W przypadku obiektów w menu “Hosty i usługi” wszystkie obiekty są zorganizowane w zakładkach, a w SFOS v20 Sophos Firewall dokładnie pokazuje, gdzie ten obiekt jest używany, czy to w regule zapory, regule NAT, konfiguracji VPN czy usłudze w grupie. Ułatwia to identyfikację zależności i pomaga w wprowadzeniu niezbędnych zmian przed usunięciem.
Kolejną potężną funkcją jest bezpośrednie linkowanie do reguł, w których obiekt jest używany. Jednym kliknięciem administrator może teraz nawigować bezpośrednio do odpowiedniej reguły i wprowadzać niezbędne zmiany, nie tracąc czasu na ręczne wyszukiwanie reguły. Zwiększa to wydajność, minimalizuje podatność na błędy i oszczędza cenny czas, który w przeciwnym razie musiałby być poświęcony na zarządzanie i weryfikację konfiguracji. Referencja obiektów w Sophos Firewall v20 jest zatem znaczącym krokiem w kierunku uproszczenia zarządzania i zapobiegania błędom konfiguracji, co znacznie ułatwia codzienną pracę administratorów sieci.
Raz dziennie aktualizowana referencja może być również wykonana ręcznie.
Sophos sam nazywa to „Quality of Life Enhancements”. Jest to jednak raczej odpowiedź na długo oczekiwane życzenia klientów.
Dynamiczne routowanie IPv6 (BGP)
W Sophos Firewall v20 rozszerzono wsparcie dla dynamicznego routingu z IPv6 w protokole Border Gateway Protocol (BGP). To rozszerzenie jest ważnym uaktualnieniem, ponieważ BGP jest centralnym protokołem routingu w globalnym Internecie. W przeciwieństwie do innych protokołów routingu, BGP w SFOS nie wymaga oddzielnych procesów ani usług dla IPv4 i IPv6, lecz oferuje ustandaryzowaną usługę, która upraszcza konfigurację i zarządzanie. Interfejs użytkownika został rozszerzony tak, że zarówno IPv4, jak i IPv6 mogą być konfigurowane na tej samej stronie, z oddzielnymi sekcjami dostępnymi dla informacji o routingu IPv4 i IPv6.
Delegacja prefiksu DHCP IPv6
Wraz z wprowadzeniem delegacji prefiksu DHCP w Sophos Firewall SFOS v20, zarządzanie adresami IPv6 zostaje zautomatyzowane. Funkcja ta pozwala na pobieranie prefiksów adresów IPv6 od dostawcy i przekazywanie ich do sieci LAN. Po otrzymaniu adresu IPv6 na interfejsie WAN, może on być teraz wykorzystywany w sieci LAN. Poprzez żądanie delegacji prefiksu DHCPv6 do dostawcy usług internetowych, zapora sieciowa otrzymuje zakres adresów IPv6, który następnie jest przekazywany do urządzeń sieciowych. Te ostatnie otrzymują swoje globalnie routowalne adresy IPv6 poprzez komunikaty Router Advertisement (RA).
Delegacja prefiksów DHCP znacznie upraszcza zarządzanie adresami IPv6 i umożliwia płynne dostosowanie do zmian prefiksu dostawcy usług internetowych poprzez automatyczne rozpowszechnianie nowych prefiksów do wszystkich podłączonych klientów. Poprawia to efektywność i bezpieczeństwo sieci, zmniejsza złożoność ręcznego zarządzania adresami i promuje bardziej efektywne wykorzystanie adresów IPv6 w sieci. W ten sposób niektóre usługi w sieci mogą być oferowane z otrzymanymi od dostawcy adresami IPv6.
W poniższym filmie ponownie wyjaśniono delegację prefiksów DHCP.
Active Threat Response
Poniższe ulepszenia umożliwiają płynną komunikację między analitykami bezpieczeństwa a zaporą Sophos Firewall w celu proaktywnej reakcji na zidentyfikowane zagrożenia.
Synchronized Security dla MDR i XDR
Dzięki Extended Detection and Response (XDR), Sophos Firewall v20 stanowi znaczący postęp w zautomatyzowanej obronie przed zagrożeniami. Funkcja ta ustanawia bezpośrednie połączenie informacyjne między analitykami bezpieczeństwa a zaporą, umożliwiając szybką i zautomatyzowaną reakcję na aktywne zagrożenia.
Dane o zagrożeniach mogą być teraz płynnie współdzielone z zaporą bez konieczności ręcznego tworzenia reguł zapory. Ta zautomatyzowana wymiana informacji pozwala zaporze proaktywnie reagować na zidentyfikowane zagrożenia i podejmować odpowiednie działania obronne.
Zalety:
- Zmniejszony manualny nakład pracy administracyjnej
- Zwiększona szybkość reakcji na zagrożenia
- Ulepszona ogólna postawa bezpieczeństwa sieci
- Zautomatyzowana reakcja na zagrożenia
- Zmniejszony czas poświęcany przez zespół bezpieczeństwa na ręczną konfigurację i dostosowywanie reguł zapory
Sophos Firewall v20 rozszerza Synchronized Security o Managed Detection and Response (MDR) i Extended Detection and Response (XDR). To rozszerzenie umożliwia analitykom bezpieczeństwa bezpośrednie udostępnianie aktywnych danych o zagrożeniach zaporze. Ważnym elementem jest to, że zapora jest w stanie automatycznie reagować na aktywne zagrożenia, bez konieczności tworzenia oddzielnych reguł zapory. Ten dalszy rozwój stanowi znaczącą wartość dodaną, ponieważ znacznie skraca czas reakcji na zagrożenia i umożliwia proaktywną ochronę.
Dynamiczne źródła zagrożeń
Wprowadzenie Dynamic Threat Feeds przynosi nowy Threat Feed API Framework, który będzie również rozszerzalny. Funkcja ta ułatwia wymianę danych o zagrożeniach między zespołem Sophos X-Ops, innymi produktami Sophos, takimi jak MDR i XDR, a w przyszłości ma również integrować źródła zagrożeń od innych dostawców. Dzięki zwiększonej elastyczności możliwości Threat Intelligence zapory zostają znacznie rozszerzone, co umożliwia lepsze wykrywanie i reagowanie na zagrożenia.
Synchronized Security
Synchronized Security zostanie dodatkowo zoptymalizowana, aby umożliwić jeszcze skuteczniejsze reagowanie na zagrożenia zidentyfikowane przez MDR/XDR.
Czerwony status zdrowia na punkcie końcowym lub serwerze zazwyczaj wskazuje na problemy takie jak aktywne lub działające złośliwe oprogramowanie, złośliwy ruch sieciowy, komunikacja ze znanymi złośliwymi hostami, niezostałe usunięte złośliwe oprogramowanie lub nieprawidłowo działający Sophos Endpoint. W takich przypadkach wymagane są działania w celu rozwiązania zagrożeń bezpieczeństwa.
Automatyka (Lateral Movement Protection) w przypadku czerwonego statusu zdrowia zostaje teraz rozszerzona na zagrożenia, aby zapewnić, że dotknięte hosty, w przypadku kompromitacji, nie mogą przemieszczać się bocznie w sieci ani komunikować się na zewnątrz, podczas gdy ważne szczegóły, takie jak host, użytkownik i proces, są łatwo dostępne do śledzenia.
Skalowalność Synchronized Security została również zoptymalizowana, aby ułatwić zarządzanie w dużych środowiskach sieciowych. Zredukowano fałszywe alarmy spowodowane brakiem sygnałów Heartbeat na urządzeniach w trybie czuwania lub hibernacji.
Nowe funkcje WAF
Kontrola Geo IP (blokowanie krajów / regionów)
Na zaporze Sophos Firewall dostępna jest baza danych Geoip ip2country, która jest aktualizowana poprzez aktualizacje wzorców. W regułach zapory i NAT lub regułach wyjątku ACL usług lokalnych można było już tego używać. Po aktualizacji do SFOS v20 możliwe jest w Web Application Firewall (WAF) blokowanie dostępu do serwerów na podstawie lokalizacji geograficznej (adresów IP). Użytkownicy mogą teraz blokować określone kraje / regiony lub kontynenty lub zezwalać na dostęp tylko z określonych regionów. Funkcja ta zwiększa bezpieczeństwo poprzez zapobieganie dostępowi z potencjalnie złośliwych regionów, a jednocześnie zapewnia dodatkową warstwę kontroli dostępu.
Konfiguracja szyfru
Niestandardowa konfiguracja szyfrów i ustawienia wersji TLS umożliwiają teraz wykorzystanie silniejszych szyfrów (bezpieczniejszych) i wykluczenie słabszych. Pozwala to na lepszą kontrolę nad bezpieczeństwem transmisji danych między użytkownikami a aplikacjami chronionymi przez WAF.
HSTS i X-Content-Type-Options
Ulepszone bezpieczeństwo dzięki HSTS i X-Content-Type-Options mogą teraz wymusić implementację HTTP Strict Transport Security (HSTS), co poprawia bezpieczeństwo przeglądarek klientów. Ustawienie X-Content-Type-Options pomaga wyłączyć wykrywanie typu MIME, co zapewnia dodatkową ochronę przed niektórymi rodzajami ataków.
Integracja SD-WAN firm trzecich
Załóżmy, że firma ma wiele lokalizacji z własnymi sieciami, które muszą być ze sobą połączone, aby efektywnie udostępniać dane i zasoby. Zamiast tradycyjnego, ale kosztownego i mniej elastycznego rozwiązania MPLS, SD-WAN (Software-Defined Wide Area Network) oferuje bardziej elastyczną i ekonomiczną alternatywę.
Dzięki integracji SD-WAN firm trzecich w Sophos Firewall v20, ruch może być płynnie przesyłany do potężnych sieci szkieletowych Cloudflare, Akamai lub Azure. Na przykład firma, która potrzebuje szybszego i bezpieczniejszego połączenia między swoimi lokalizacjami, może skierować ruch przez sieć szkieletową Azure, aby skorzystać z jej globalnego zasięgu i solidnych usług bezpieczeństwa. Poprawia to wydajność, bezpieczeństwo i niezawodność, jednocześnie redukując złożoność sieci i koszty.
Wprowadzanie do sieci szkieletowych dostawców takich jak Cloudflare, Akamai czy Azure tworzy pomost między siecią lokalną a rozbudowanymi infrastrukturami sieciowymi tych dostawców. Integracja rozwiązań SD-WAN firm trzecich w Sophos Firewall v20 upraszcza ten proces.
Brama ZTNA
Ta funkcja nie jest sama w sobie nowa, ponieważ została już zintegrowana z zaporą w SFOS 19.5 MR3, niemniej jednak Sophos ponownie wymienia ją wśród nowości w SFOS v20.
Artykuł na ten temat można znaleźć tutaj: Brama Sophos ZTNA na zaporze Sophos
