Sophos Firewall v20 - Najlepsze funkcje w nowej wersji SFOS
Główne wersje są zdecydowanie najciekawszymi wydaniami w roku, a wraz z Sophos Firewall v20, a dokładniej SFOS v20, Sophos wprowadza kilka naprawdę świetnych funkcji. Obecnie mówimy o EAP1, czyli wersji Early Access. Jeśli Sophos pozostanie przy swoim schemacie, finalna wersja pojawi się prawdopodobnie dopiero pod koniec roku albo na początku 2024 r.
Web Admin zoptymalizowany dla 1920p
Na liście funkcji Sophos ta nowość znajduje się prawie na samym dole, wśród mniej istotnych ulepszeń nowej wersji: obsługa ekranów o wysokiej rozdzielczości. Dane Statista pokazują, że monitory 1980p już od 2018 roku są czymś więcej niż standardem, więc ta funkcja była mocno spóźniona. Ja akurat bardzo się z niej cieszę. 🥳 To było wyjątkowo irytujące, że tyle białej przestrzeni pozostawało niewykorzystane, a tekst mimo to był ucinany.
Nie wszystko jest jednak jeszcze zoptymalizowane pod 1920p i w wielu miejscach GUI, np. w dashboardzie, nadal wymaga dopracowania. Ma to zostać uzupełnione w v20.5.
Jeśli spojrzeć na różnicę między SFOS v19.5 a SFOS v20, wreszcie otrzymuje się więcej miejsca.
Zasługa nie należy tu jednak do samego Sophos, lecz do kilku dużych partnerów Sophos, którzy mocno zasugerowali producentowi wdrożenie tej zmiany. W tym miejscu: wielkie dzięki.
Ulepszenia VPN
Sophos Firewall v20 wprowadza różne nowości w obszarze VPN. Zacznijmy od prawdopodobnie największej zmiany.
Portal VPN
Wraz z aktualizacją do SFOS v20 funkcje VPN zostają przeniesione z User Portal do nowego VPN Portal. W przyszłości użytkownik będzie więc miał dwa portale, o ile User Portal w ogóle nadal będzie często używany. Więcej o tym na końcu.
Nowy VPN Portal w SFOS v20 centralizuje funkcje VPN, które wcześniej znajdowały się w User Portal.
- Pobieranie Sophos Connect Client dla Windows i macOS
- Pobieranie konfiguracji dla Remote SSL VPN i IPsec
- Dostęp do zakładek Clientless
Konteneryzacja minimalizuje dostęp do kluczowych komponentów SFOS, co zwiększa bezpieczeństwo korzystania z portalu przez WAN. Funkcje dotyczące metod uwierzytelniania lub MFA pozostają takie same jak w User Portal.
Migracja do SFOS 20.0 automatycznie przenosi istniejące konfiguracje User Portal do VPN Portal, co ułatwia przejście. Nowy port otrzymuje jednak User Portal, a VPN Portal działa na dotychczasowym porcie.
Co zmienia się dla portali po aktualizacji do SFOS v20?
| VPN Portal | User Portal |
|---|---|
| Port standardowy: 443 Oznacza to, że istniejące implementacje VPN dostępu zdalnego nadal działają płynnie. | Port standardowy: 4443 |
| Port może być współdzielony z następującymi usługami: - WAF - SSL VPN | Port nie może być używany do żadnej innej usługi. |
| Pobieranie: - Sophos Connect Client - konfiguracja IPsec i SSL VPN - konfiguracja VPN dla iOS Użytkownicy-goście nie mają dostępu do VPN Portal. | Klient VPN i konfiguracje są teraz w VPN Portal. |
| - Auto-Provisioning dla Sophos Connect Client - pobieranie konfiguracji VPN przez VPN Portal - przy porcie standardowym 443 istniejące wdrożenia pozostają bez zmian | Przeniesione do VPN Portal |
| Dostęp Clientless do zakładek | Przeniesione do VPN Portal |
| - | - Inne pobieranie klientów - Korzystanie z Internetu - Kwarantanna e-mail i wyjątki - Przekroczenie zasad - Hotspoty bezprzewodowe |
Widać więc teraz wyraźnie, jakie funkcje pozostają w User Portal. Patrząc na wykorzystanie tych funkcji u naszych klientów, korzystała z nich tylko bardzo niewielka grupa, więc User Portal będzie odtąd używany znacznie rzadziej.
IPsec VPN Stateful HA Failover
W Sophos Firewall v20 wprowadzono Stateful High Availability (HA) Failover dla połączeń IPsec VPN. Ta nowa funkcja umożliwia płynne przenoszenie istniejących połączeń IPsec VPN do węzła zapasowego w przypadku awarii, bez przerywania sesji. Ważne jest, aby podkreślić, które połączenia VPN korzystają z tego ulepszenia, a które nie.
Ulepszenie dotyczy następujących połączeń VPN:
- IPsec Site-to-Site VPN (oparte na trasowaniu i oparte na polityce)
- IPsec Remote-Access VPN
Oznacza to, że zarówno VPN-y dostępu zdalnego, jak i VPN-y typu Site-to-Site mogą być kontynuowane w przypadku awarii bez konieczności ponownego nawiązywania połączenia.
W kontekście IPsec VPN funkcja ta jest szczególnie użyteczna, ponieważ przyspiesza odtworzenie połączeń w razie failoveru, a tym samym zwiększa odporność sieci. Zwłaszcza przy ponownym zestawianiu połączeń często pojawiały się problemy i po failoverze tunele VPN musiały być przywracane ręcznie albo automatycznie, ale z pewnym opóźnieniem. Mogło to powodować przerwy w usługach sieciowych, a w konsekwencji zakłócać procesy biznesowe. Teraz można stracić najwyżej kilka pingów, ale połączenie pozostaje aktywne.
Dzięki ulepszeniu Stateful HA Failover w Sophos Firewall v20 nawet duże organizacje, które polegają na wysokiej dostępności, mogą korzystać z większej stabilności i płynniejszej pracy. Do elastyczności i kontroli potrzebnej przy obsłudze połączeń VPN przyczyniają się również nowe opcje wiersza poleceń do zarządzania ustawieniami.
Inne połączenia VPN, takie jak SSL VPN i połączenia Sophos RED, nie są objęte tym konkretnym ulepszeniem przełączania awaryjnego, ale doświadczenie pokazuje, że również lepiej działają podczas nawiązywania połączenia.
Obsługa hostów FQDN dla SSL VPN
W SFOS v20 dodano obsługę w pełni kwalifikowanych nazw domen (FQDN) w ramach funkcjonalności SSL VPN. Dzięki tej nowości, połączenia SSL VPN mogą być teraz konfigurowane w oparciu o nazwy domen zamiast wyłącznie adresów IP. Jest to szczególnie pomocne w dynamicznych środowiskach sieciowych, gdzie adresy IP punktów końcowych mogą ulegać zmianom, ponieważ zmiany w adresach sieciowych nie muszą być już ręcznie aktualizowane w konfiguracji VPN.
Obsługa FQDN ułatwia również integrację z usługami DNS, co upraszcza rozwiązywanie nazw sieciowych i może poprawić ogólną wydajność połączeń SSL VPN.
Ponadto obsługa FQDN umożliwia precyzyjniejsze tworzenie polityk bezpieczeństwa opartych na nazwach domen, a tym samym lepszą kontrolę dostępu do sieci.
SNMP – Monitoruj status tunelu VPN IPsec
W SFOS v20 dla Sophos Firewall dodano funkcję monitorowania statusu tuneli VPN IPsec za pośrednictwem protokołu SNMP (Simple Network Management Protocol). Funkcja ta od dłuższego czasu znajdowała się na naszej liście życzeń, a teraz upraszcza monitorowanie kolejnych usług.
Kluczowym komponentem tej funkcji jest plik Management Information Base (MIB) dostarczony przez Sophos Firewall. Plik MIB jest importowany do narzędzia SNMP i umożliwia dostęp do wielu punktów danych, które dostarczają ważnych informacji o stanie, wydajności i możliwych błędach tuneli VPN IPsec. Dzięki temu administratorzy mogą przeprowadzać szczegółowe monitorowanie i analizę aktywności tuneli.
Azure AD – Captive Portal SSO i import grup
Sophos Firewall v20 wprowadza rozszerzone integracje z Azure Active Directory (Azure AD) poprzez dwie nowe funkcje: Azure AD SSO dla Captive Portal oraz import grup Azure i RBAC.
Funkcja Azure AD SSO dla Captive Portal umożliwia użytkownikom uwierzytelnianie się w portalu Captive Portal za pomocą poświadczeń Azure AD. Upraszcza to proces uwierzytelniania, umożliwiając użytkownikom korzystanie z istniejących poświadczeń Azure AD.
Druga nowość, import grup Azure i RBAC, dodaje nowego asystenta importu grup Azure AD i umożliwia automatyczne przypisywanie zmian administracyjnych opartych na rolach. Dzięki tej funkcji administratorzy mogą łatwo importować grupy Azure AD do Sophos Firewall i używać ich w ramach kontroli dostępu opartej na rolach (RBAC). Automatyczne przypisywanie upraszcza zarządzanie rolami i uprawnieniami użytkowników.
Rozszerzenie Azure AD to krok naprzód, ale niestety nadal musimy czekać na możliwość korzystania z logowania Azure AD dla portalu VPN, zdalnych VPN IPsec lub SSL VPN. Mamy więc nadzieję na aktualizacje. 😩
Aby skonfigurować Azure AD na zaporze, pomogą te linki:
- Konfiguracja aplikacji Azure
- Sophos Firewall v21.5: Integracja SSO Entra ID dla Sophos Connect Client
Włączanie / wyłączanie interfejsów
Zintegrowano długo oczekiwaną funkcję dla administratorów. Aktywacja i dezaktywacja interfejsów. Ta przydatna funkcja była już dostępna w poprzednim systemie operacyjnym Sophos UTM, a SFOS v20 spełnia teraz życzenie administratorów, aby przywrócić tę funkcjonalność.
Do tej pory interfejs można było jedynie całkowicie dezaktywować, co skutkowało utratą całej konfiguracji.
Jeśli interfejs zostanie teraz wyłączony w ustawieniach, cała konfiguracja pozostaje zachowana, a interfejs można w razie potrzeby bez problemu ponownie aktywować.
Po wyłączeniu wiersz interfejsu jest wyszarzony, a w Control Center status widnieje jako Wyłączony (Turned off). To ulepszenie znacznie upraszcza zarządzanie firewallem i oszczędza administratorom cenny czas podczas konfiguracji oraz utrzymania interfejsów sieciowych.
Istnieją pewne wyjątki, w których włączanie/wyłączanie interfejsów nie jest możliwe. Przykładowo interfejsów aliasowych lub tunelowych oraz interfejsów będących pojedynczymi członkami LAG (Link Aggregation Group) albo bridge nie można wyłączyć. Można jednak wyłączyć cały interfejs LAG lub bridge.
| Typ interfejsu | Obsługa włączania/wyłączania |
|---|---|
| Fizyczny | Tak |
| VLAN | Tak |
| LAG (Grupa) | Tak |
| Indywidualny członek LAG | Nie |
| Bridge | Tak |
| Indywidualny członek bridge | Nie |
| Alias | Planowany |
| Sieć bezprzewodowa | Tak |
| Interfejs tunelowy (XFRM) | Nie |
| Wi-Fi | Tak |
| RED | Tak |
*Sophos Firewall v20 (SFOS v20) – Obsługa włączania/wyłączania interfejsów
Referencje obiektów
Nowość „referencje obiektów” w Sophos Firewall v20 rozwiązuje dotychczasowy problem w zarządzaniu obiektami sieciowymi. W poprzednich wersjach, do 19.5 włącznie, zidentyfikowanie miejsc, w których konkretny obiekt był używany w konfiguracji przed jego usunięciem, było żmudnym zadaniem. Mogło to prowadzić do opóźnień i błędów, zwłaszcza w rozbudowanych środowiskach sieciowych z dużą liczbą reguł i polityk.
W wersji 20 ta słabość została usunięta. W menu “Hosts and services” wszystkie obiekty są zorganizowane w zakładkach, a w SFOS v20 Sophos Firewall dokładnie pokazuje, gdzie dany obiekt jest używany: w regule firewalla, regule NAT, konfiguracji VPN czy jako usługa w grupie. Ułatwia to identyfikację zależności i pomaga wykonać niezbędne zmiany przed usunięciem.
Kolejną potężną funkcją jest bezpośrednie linkowanie do reguł, w których obiekt jest używany. Jednym kliknięciem administrator może teraz nawigować bezpośrednio do odpowiedniej reguły i wprowadzać niezbędne zmiany, nie tracąc czasu na ręczne wyszukiwanie reguły. Zwiększa to wydajność, minimalizuje podatność na błędy i oszczędza cenny czas, który w przeciwnym razie musiałby być poświęcony na zarządzanie i weryfikację konfiguracji. Referencja obiektów w Sophos Firewall v20 jest zatem znaczącym krokiem w kierunku uproszczenia zarządzania i zapobiegania błędom konfiguracji, co znacznie ułatwia codzienną pracę administratorów sieci.
Referencje są aktualizowane raz dziennie, ale można też uruchomić aktualizację ręcznie.
Sophos sam nazywa to „Quality of Life Enhancements”. Jest to jednak raczej odpowiedź na długo oczekiwane życzenia klientów.
Dynamiczne routowanie IPv6 (BGP)
W Sophos Firewall v20 rozszerzono obsługę dynamicznego routingu IPv6 w protokole Border Gateway Protocol (BGP). To ważne ulepszenie, ponieważ BGP jest jednym z kluczowych protokołów routingu w globalnym Internecie. W przeciwieństwie do innych protokołów routingu BGP w SFOS nie wymaga osobnych procesów ani usług dla IPv4 i IPv6, lecz oferuje ustandaryzowaną usługę, która upraszcza konfigurację i zarządzanie. Interfejs użytkownika rozszerzono tak, aby IPv4 i IPv6 można było konfigurować na tej samej stronie, z osobnymi sekcjami dla informacji routingu IPv4 i IPv6.
Delegacja prefiksu DHCP IPv6
Wraz z wprowadzeniem DHCP Prefix Delegation w Sophos Firewall SFOS v20 zarządzanie adresami IPv6 zostaje zautomatyzowane. Funkcja ta pozwala pobierać prefiksy adresów IPv6 od dostawcy i przekazywać je do sieci LAN. Po otrzymaniu adresu IPv6 na interfejsie WAN można go teraz wykorzystać w sieci LAN. Poprzez żądanie DHCPv6 Prefix Delegation do ISP firewall otrzymuje zakres adresów IPv6, który następnie przekazuje urządzeniom sieciowym. Te otrzymują swoje globalnie routowalne adresy IPv6 przez komunikaty Router Advertisement (RA).
Delegacja prefiksu DHCP znacząco upraszcza zarządzanie adresami IPv6 i umożliwia płynne dostosowanie do zmian prefiksu ISP przez automatyczne rozgłaszanie nowych prefiksów do wszystkich podłączonych klientów. Poprawia to efektywność i bezpieczeństwo sieci, zmniejsza złożoność ręcznego zarządzania adresami oraz wspiera bardziej efektywne wykorzystanie adresów IPv6 w sieci. Dzięki temu wybrane usługi w sieci mogą być udostępniane z użyciem adresów IPv6 otrzymanych od dostawcy.
W poniższym filmie ponownie wyjaśniono delegację prefiksów DHCP.
Active Threat Response
Poniższe ulepszenia umożliwiają płynną komunikację między analitykami bezpieczeństwa a zaporą Sophos Firewall w celu proaktywnej reakcji na zidentyfikowane zagrożenia.
Synchronized Security dla MDR i XDR
Dzięki Extended Detection and Response (XDR), Sophos Firewall v20 stanowi znaczący postęp w zautomatyzowanej obronie przed zagrożeniami. Funkcja ta ustanawia bezpośrednie połączenie informacyjne między analitykami bezpieczeństwa a zaporą, umożliwiając szybką i zautomatyzowaną reakcję na aktywne zagrożenia.
Dane o zagrożeniach mogą być teraz płynnie udostępniane firewallowi bez konieczności ręcznego tworzenia reguł. Ta zautomatyzowana wymiana informacji pozwala Sophos Firewall proaktywnie reagować na zidentyfikowane zagrożenia i podejmować odpowiednie działania obronne.
Zalety:
- Zmniejszony manualny nakład pracy administracyjnej
- Zwiększona szybkość reakcji na zagrożenia
- Poprawiona ogólna pozycja bezpieczeństwa sieci
- Zautomatyzowana reakcja na zagrożenia
- Zmniejszony czas poświęcany przez zespół bezpieczeństwa na ręczną konfigurację i dostosowywanie reguł firewalla
Sophos Firewall v20 rozszerza Synchronized Security o Managed Detection and Response (MDR) i Extended Detection and Response (XDR). To rozszerzenie umożliwia analitykom bezpieczeństwa bezpośrednie udostępnianie aktywnych danych o zagrożeniach firewallowi. Ważnym elementem jest to, że firewall może automatycznie reagować na aktywne zagrożenia bez konieczności tworzenia oddzielnych reguł. Ten dalszy rozwój stanowi znaczącą wartość dodaną, ponieważ znacznie skraca czas reakcji na zagrożenia i umożliwia proaktywną ochronę.
Dynamiczne źródła zagrożeń
Wprowadzenie Dynamic Threat Feeds przynosi nowy, rozszerzalny Threat Feed API Framework. Funkcja ta ułatwia wymianę danych o zagrożeniach między zespołem Sophos X-Ops a innymi produktami Sophos, takimi jak MDR i XDR, a w przyszłości ma integrować także feedy zagrożeń od dostawców zewnętrznych. Dzięki większej elastyczności możliwości Threat Intelligence firewalla zostają znacząco rozszerzone, co pozwala lepiej wykrywać zagrożenia i na nie reagować.
Synchronized Security
Synchronized Security zostanie dodatkowo zoptymalizowana, aby umożliwić jeszcze skuteczniejsze reagowanie na zagrożenia zidentyfikowane przez MDR/XDR.
Czerwony status zdrowia endpointa lub serwera zwykle wskazuje na problemy takie jak aktywne lub uruchomione złośliwe oprogramowanie, złośliwy ruch sieciowy, komunikacja ze znanymi szkodliwymi hostami, nieusunięte malware albo nieprawidłowo działający Sophos Endpoint. W takich przypadkach potrzebne są działania ograniczające ryzyko bezpieczeństwa.
Automatyzm (Lateral Movement Protection) przy czerwonym statusie zdrowia zostaje teraz rozszerzony na zagrożenia, aby w razie kompromitacji dotknięte hosty nie mogły przemieszczać się lateralnie w sieci ani komunikować się na zewnątrz. Jednocześnie ważne szczegóły, takie jak host, użytkownik i proces, pozostają łatwo dostępne do dalszej analizy.
Skalowalność Synchronized Security została również zoptymalizowana, aby ułatwić zarządzanie w dużych środowiskach sieciowych. Zredukowano fałszywe alarmy spowodowane brakiem sygnałów Heartbeat na urządzeniach w trybie czuwania lub hibernacji.
Nowe funkcje WAF
Kontrola Geo IP (blokowanie krajów / regionów)
Na Sophos Firewall dostępna jest baza danych Geoip ip2country, aktualizowana przez Pattern Updates. W regułach firewall i NAT lub w Local Service ACL Exception Rules można było już z niej korzystać. Po aktualizacji do SFOS v20 w Web Application Firewall (WAF) możliwe jest blokowanie dostępu do serwerów na podstawie lokalizacji geograficznej (adresów IP). Użytkownicy mogą teraz blokować określone kraje / regiony lub kontynenty albo zezwalać na dostęp tylko z wybranych regionów. Funkcja ta zwiększa bezpieczeństwo, zapobiegając dostępowi z potencjalnie szkodliwych regionów, a jednocześnie zapewnia dodatkową warstwę kontroli dostępu.
Konfiguracja szyfru
Niestandardowa konfiguracja szyfrów i ustawienia wersji TLS umożliwiają teraz wykorzystanie silniejszych szyfrów (bezpieczniejszych) i wykluczenie słabszych. Pozwala to na lepszą kontrolę nad bezpieczeństwem transmisji danych między użytkownikami a aplikacjami chronionymi przez WAF.
HSTS i X-Content-Type-Options
Ulepszone bezpieczeństwo dzięki HSTS i X-Content-Type-Options: wdrożenie HTTP Strict Transport Security (HSTS) wymusza użycie HTTPS, co poprawia bezpieczeństwo przeglądarek klienckich. Ustawienie X-Content-Type-Options pomaga wyłączyć MIME type sniffing, zapewniając dodatkową ochronę przed określonymi typami ataków.
Integracja SD-WAN firm trzecich
Załóżmy, że firma ma wiele lokalizacji z własnymi sieciami, które muszą być ze sobą połączone, aby efektywnie udostępniać dane i zasoby. Zamiast tradycyjnego, ale kosztownego i mniej elastycznego rozwiązania MPLS, SD-WAN (Software-Defined Wide Area Network) oferuje bardziej elastyczną i ekonomiczną alternatywę.
Dzięki integracji SD-WAN firm trzecich w Sophos Firewall v20, ruch może być płynnie przesyłany do potężnych sieci szkieletowych Cloudflare, Akamai lub Azure. Na przykład firma, która potrzebuje szybszego i bezpieczniejszego połączenia między swoimi lokalizacjami, może skierować ruch przez sieć szkieletową Azure, aby skorzystać z jej globalnego zasięgu i solidnych usług bezpieczeństwa. Poprawia to wydajność, bezpieczeństwo i niezawodność, jednocześnie redukując złożoność sieci i koszty.
Onramping do sieci szkieletowych dostawców takich jak Cloudflare, Akamai czy Azure tworzy pomost między siecią lokalną a rozbudowaną infrastrukturą sieciową tych dostawców. Integracja zewnętrznych rozwiązań SD-WAN w Sophos Firewall v20 upraszcza ten proces.
Brama ZTNA
Ta funkcja nie jest sama w sobie nowa, ponieważ została już zintegrowana z zaporą w SFOS 19.5 MR3, niemniej jednak Sophos ponownie wymienia ją wśród nowości w SFOS v20.
Artykuł na ten temat można znaleźć tutaj: Sophos ZTNA Gateway na Sophos Firewall
