Przejdz do tresci
Avanet
Sophos Firewall v22 MR1: Przegląd i wszystkie nowe funkcje

Sophos Firewall v22 MR1: Przegląd i wszystkie nowe funkcje

1. MAJA 2026

Sophos Firewall v22 MR1 opiera się na strategii Secure-by-Design wprowadzonej w wersji v22 i rozszerza ją o dodatkową telemetrię, kuratorowane wykrycia NDR z otoczenia Taegis oraz kilka szczegółowych ulepszeń w obszarach VPN, SSO i pamięci masowej. Do tego dochodzi Sophos Firewall Config Studio V2, samodzielne narzędzie, które wyraźnie upraszcza analizę i porównywanie konfiguracji.

Secure by Design: rozszerzony sensor XDR Linux

W wersji v22 Sophos wprowadził na firewallu sensor XDR Linux, aby wcześnie wykrywać manipulacje w systemie, na przykład w plikach konfiguracyjnych lub krytycznych procesach. SFOS v22 MR1 rozszerza sensor o wykrywanie interaktywnych powłok i reverse shells. Jeśli atakujący po włamaniu próbuje zestawić kontrolowaną sesję na firewallu, powiązana komunikacja TCP lub UDP do serwera command-and-control zostaje zablokowana. Nowością jest również aktywacja tego sensora na całej serii XGS, a nie tylko na wybranych modelach.

Wykrywanie reverse shell od lat jest standardem na endpointach. To, że ta sama logika działa teraz również na samym firewallu, jest konsekwentne i ważne. Skompromitowany firewall to w najgorszym przypadku klucz główny do sieci. Każda dodatkowa warstwa wykrywania bezpośrednio na urządzeniu ma tam większy sens niż późniejsza korelacja.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integruje technologię iSensor IPS z platformy SecureWorks Taegis. Tak przygotowane wzorce wykrywania uzupełniają klasyczny zestaw sygnatur IPS o wzorce ukierunkowane na aktywnych atakujących w sieci, czyli lateral movement, komunikację C2 i podobne działania po początkowym włamaniu.

Zestaw można aktywować w Active threat response > NDR. Następnie w regułach firewalla trzeba zaznaczyć odpowiednią opcję w ustawieniach IPS, aby nowe wykrycia faktycznie działały. Dla analityków XDR i MDR oznacza to więcej kontekstu i krótsze ścieżki dochodzenia, ponieważ wykrycia są bezpośrednio ukierunkowane na znane TTP przeciwników z bazy Taegis.

NDR Essentials dla wszystkich platform

Pytanie powtarzające się od v21.5: kiedy NDR Essentials będzie wspierać również firewalle wirtualne i chmurowe? W v22 MR1 tak właśnie się dzieje. NDR Essentials działa teraz na wszystkich platformach Sophos Firewall, czyli sprzęcie XGS, appliance’ach wirtualnych, wdrożeniach chmurowych i instalacjach software’owych. Tym samym znika ostatnie duże ograniczenie, które dotąd wykluczało konfiguracje wirtualne z ochrony NDR.

To logiczna kontynuacja architektury z v22 zorientowanej na CPU. Kto uruchamiał Sophos Firewall na VMware, Hyper-V lub u hyperscalera, był dotąd przy NDR Essentials pominięty. Ta luka została teraz zamknięta.

Audit trail z tożsamością użytkownika Sophos Central

Gdy pojedynczy firewall jest konfigurowany przez Sophos Central, SFOS v22 MR1 zapisuje teraz dodatkowo, który użytkownik Sophos Central wywołał zmianę. Dotąd w audit trail często widoczny był tylko generyczny account Central. Nowy wariant pozwala ustalić, jaka osoba stoi za zmianą konfiguracji, także wtedy, gdy nie została ona wykonana bezpośrednio w WebAdmin firewalla. Informacja pojawia się zarówno w Log Viewer na firewallu, jak i w logach oraz raportach Sophos Central.

Jest to szczególnie istotne dla organizacji objętych NIS2, ponieważ wymagana jest tam wyraźna identyfikowalność działań administracyjnych. W środowiskach MSP z kilkoma technikami na tym samym tenantcie jest to i tak od dawna oczekiwany szczegół.

Stabilność VPN i retirement legacy IPsec

SFOS v22 GA miał w policy-based IPsec VPN szereg problemów ze stabilnością, które zostały zaadresowane w MR1. Konkretnie naprawiono między innymi wewnętrzne zgłoszenia NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 i NC-176083. Kto używał v22 GA produkcyjnie i zauważył przerwy lub rozłączenia przy tunelach policy-based, powinien po aktualizacji celowo sprawdzić, czy tunele działają już stabilnie.

Jednocześnie Legacy Remote Access IPsec VPN zostaje ostatecznie wycofany w v22 MR1. Firewalle, które nadal używają tej starej odmiany IPsec, nie mogą zostać zaktualizowane do v22 MR1 lub nowszej. Dotknięte tym środowiska muszą wcześniej przejść na aktualną konfigurację Remote Access IPsec. Sophos opublikował w tym celu osobny artykuł KB.

W praktyce większość istniejących konfiguracji od dawna działa już na nowym wariancie albo na SSL VPN. Mimo to przed upgrade’em warto krótko sprawdzić konfigurację, bo inaczej aktualizacja się zatrzyma.

Sophos Connect 2.0 dla macOS

Sophos Connect 2.0 dla macOS pozwala teraz zestawiać również połączenia SSL VPN dla Remote Access. Do tej pory SSL VPN przez Sophos Connect był przywilejem Windows, a użytkownicy macOS musieli korzystać z IPsec albo klientów firm trzecich. W ten sposób zestaw funkcji obu platform klienckich dalej się wyrównuje. Szczegóły i wspierane wersje macOS znajdują się w Sophos Connect release notes.

Microsoft Entra ID SSO: wymuszona ponowna ocena

Dotąd istniejąca sesja SSO mogła w określonych warunkach zostać ponownie użyta bez ponownego sprawdzenia Conditional Access Policies w Entra ID. W najgorszym przypadku otwierało to ścieżkę do obejścia wymagań MFA, jeśli cookies sesji były nadal ważne. SFOS v22 MR1 wymusza teraz przy ponownym użyciu sesji ponowną kontrolę Conditional Access Policies. To klasyczna poprawka bezpieczeństwa: mało widoczna, ale ważna dla środowisk, które używają Entra ID jako centralnego źródła tożsamości i polegają na MFA.

Ochrona SSD i Wi-Fi MTU

Dwie mniejsze, ale sensowne poprawki szczegółowe:

  • Żywotność SSD: Zoptymalizowano operacje zapisu na wewnętrznym SSD. Dotyczy to głównie urządzeń z dużym wolumenem logowania i wydłuża czas używania sprzętu.
  • Wi-Fi MTU/MSS: Istniejące komendy CLI pozwalają teraz dostosowywać również wartości MTU i MSS dla interfejsów Wi-Fi. W środowiskach z nakładającymi się tunelami lub problematycznymi ścieżkami w backhaulu WLAN jest to przydatne narzędzie.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2, wcześniej Sophos Firewall Configuration Viewer, to narzędzie przeglądarkowe, które oferuje znacznie więcej niż poprzednik. Umożliwia trzy główne workflow:

  • Configuration Report: Wszystkie reguły, polityki i ustawienia firewalla można wyświetlić w skonsolidowanym raporcie. Przydatne przy audytach, przekazaniach lub onboardingu nowych administratorów.
  • Configuration Compare: Dwie konfiguracje można porównać bezpośrednio. Dodane, zmienione, usunięte i niezmienione wpisy są wizualnie wyróżniane. To dokładnie narzędzie, którego brakuje przy change review lub troubleshooting po kroku migracyjnym, gdy nie chce się rozbierać firewalla w pracy produkcyjnej.
  • Configuration Editor: Konfiguracje można bezpośrednio edytować lub importować w narzędziu. Następnie można je załadować z powrotem do firewalla albo wyeksportować jako API lub snippet curl, na przykład do automatycznego wdrażania zmian.

Konfiguracyjny diff bezpośrednio w przeglądarce to funkcja oczekiwana od lat. Kto próbował ręcznie porównywać dwa backupy Sophos, wie, dlaczego to narzędzie jest prawdziwym krokiem naprzód. Ciekawe będzie, jak stabilnie editor działa przy dużych konfiguracjach i jak dobrze eksport API da się włączyć w istniejące pipeline’y automatyzacji.

Narzędzie jest dostępne przez docs.sophos.com.

Zaktualizowany benchmark CIS dla v22

Health Check wprowadzony z v22 bazuje na benchmarkach CIS. Leżące u podstaw benchmarki zostały zaktualizowane dla v22 i są dostępne do pobrania na stronie CIS. Kto używa Health Check jako części audytów wewnętrznych, powinien traktować nową wersję jako punkt odniesienia.

Kompatybilność i uwagi

  • Legacy Remote Access IPsec VPN: Zostaje wycofany z v22 MR1. Migracja do aktualnej konfiguracji Remote Access IPsec jest warunkiem upgrade’u.
  • Ścieżki upgrade’u: SFOS v22 MR1 można aktualizować ze wszystkich wspieranych wersji v21.5, v21 i v20. Sophos Central może zaplanować i sterować upgrade’em.
  • Backup przed upgrade’em: Jak zawsze przed aktualizacją należy wykonać pełny backup i przygotować plan rollbacku.
  • Mechanizm hotfix: Poprawki istotne dla bezpieczeństwa nadal przychodzą jako over-the-air hotfix bez downtime’u. Maintenance releases dodatkowo grupują poprawki niekrytyczne, więc upgrade opłaca się również bez pilnej potrzeby.

Wniosek

Sophos Firewall v22 MR1 to solidne wydanie maintenance. Najważniejsze punkty z naszej perspektywy to poprawki stabilności VPN dla policy-based IPsec, rozszerzone wsparcie NDR Essentials na platformy wirtualne oraz nowy audit trail z tożsamością użytkownika Sophos Central. Wykrywanie reverse shell na samym firewallu i kuratorowane wykrycia iSensor z otoczenia Taegis dobrze wpisują się w kierunek obrany przez Sophos w v22. Firewall stopniowo staje się platformą sensorową, która dostarcza telemetrię, a nie tylko filtruje pakiety.

To, czego nadal nam brakuje, nie zmieniło się od v22: klonowania i grupowania reguł NAT. Życzenia sformułowane około rok temu zostały częściowo zrealizowane, reszta wciąż jest na liście. Może w kolejnym MR albo najpóźniej w v23. A może Sophos będzie teraz realizować strategię przeniesienia wszystkiego do Sophos Firewall Config Studio, a firewall pozostanie taki, jaki jest.

Więcej informacji

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.