Przejdz do tresci
Avanet
Sophos Firewall v22 MR1: Przegląd i wszystkie nowe funkcje

Sophos Firewall v22 MR1: Przegląd i wszystkie nowe funkcje

Sophos Firewall v22 MR1 rozwija strategię Secure by Design wprowadzoną w wersji v22 i uzupełnia ją o dodatkową telemetrię, wyselekcjonowane detekcje NDR z ekosystemu Taegis oraz kilka szczegółowych ulepszeń w obszarach VPN, SSO i pamięci masowej. Do tego dochodzi Sophos Firewall Config Studio V2, samodzielne narzędzie, które wyraźnie upraszcza analizę i porównywanie konfiguracji.

Secure by Design: rozszerzony sensor XDR Linux

W wersji v22 Sophos wprowadził na firewallu sensor XDR Linux, aby wcześnie wykrywać manipulacje w systemie, na przykład w plikach konfiguracyjnych lub krytycznych procesach. SFOS v22 MR1 rozszerza sensor o wykrywanie interaktywnych powłok i połączeń reverse shell. Jeśli atakujący po włamaniu próbuje zestawić kontrolowaną sesję na firewallu, powiązana komunikacja TCP lub UDP do serwera command-and-control zostaje zablokowana. Nowością jest również aktywacja tego sensora na całej serii XGS, a nie tylko na wybranych modelach.

Wykrywanie reverse shell od lat jest standardem na endpointach. To, że ta sama logika działa teraz również na samym firewallu, jest konsekwentne i ważne. Skompromitowany firewall to w najgorszym przypadku klucz generalny do sieci. Każda dodatkowa warstwa detekcji bezpośrednio na urządzeniu ma tam większy sens niż późniejsza korelacja.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integruje technologię iSensor IPS z platformy SecureWorks Taegis. Tak wyselekcjonowane wzorce detekcji uzupełniają klasyczny zestaw sygnatur IPS o wzorce ukierunkowane na aktywnych atakujących w sieci, czyli lateral movement, komunikację C2 i podobne działania po początkowym włamaniu.

Zestaw można aktywować w Active threat response > NDR. Następnie w regułach firewalla trzeba zaznaczyć odpowiednią opcję w ustawieniach IPS, aby nowe detekcje faktycznie działały. Dla analityków XDR i MDR oznacza to więcej kontekstu i krótszą analizę incydentów, ponieważ detekcje są bezpośrednio ukierunkowane na znane TTP przeciwników z bazy Taegis.

Szczegółowe omówienie wymagań, aktywacji, zrzutów ekranu oraz różnicy względem Sophos Central NDR znajduje się w artykule Sophos Firewall: NDR Active Threat Intelligence.

NDR Essentials dla wszystkich platform

Pytanie powtarzające się od v21.5: kiedy NDR Essentials będzie wspierać również firewalle wirtualne i chmurowe? W v22 MR1 tak właśnie się dzieje. NDR Essentials działa teraz na wszystkich platformach Sophos Firewall, czyli sprzęcie XGS, appliance’ach wirtualnych, wdrożeniach chmurowych i instalacjach software’owych. Tym samym znika ostatnie duże ograniczenie, które dotąd wykluczało konfiguracje wirtualne z ochrony NDR.

To logiczna kontynuacja architektury z v22 zorientowanej na CPU. Kto uruchamiał Sophos Firewall na VMware, Hyper-V lub u hyperscalera, był dotąd przy NDR Essentials pominięty. Ta luka została teraz zamknięta.

Audit Trail z tożsamością użytkownika Sophos Central

Gdy pojedynczy firewall jest konfigurowany przez Sophos Central, SFOS v22 MR1 zapisuje teraz dodatkowo, który użytkownik Sophos Central wywołał zmianę. Dotąd w Audit Trail często widoczne było tylko generyczne konto Central. Nowy wariant pozwala ustalić, jaka osoba stoi za zmianą konfiguracji, także wtedy, gdy nie została ona wykonana bezpośrednio w WebAdmin firewalla. Informacja pojawia się zarówno w Log Viewer na firewallu, jak i w logach oraz raportach Sophos Central.

Jest to szczególnie istotne dla organizacji objętych NIS2, ponieważ wymagana jest tam jednoznaczna identyfikowalność działań administracyjnych. W środowiskach MSP z kilkoma technikami pracującymi na tym samym tenancie to i tak od dawna oczekiwany szczegół.

Stabilność VPN i wycofanie legacy IPsec

SFOS v22 GA miał przy policy-based IPsec VPN szereg problemów ze stabilnością, które zostały rozwiązane w MR1. Konkretnie naprawiono między innymi wewnętrzne zgłoszenia NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 i NC-176083. Kto używał v22 GA produkcyjnie i zauważył przerwy lub rozłączenia przy tunelach policy-based, powinien po aktualizacji celowo sprawdzić, czy tunele działają już stabilnie.

Jednocześnie Legacy Remote Access IPsec VPN zostaje ostatecznie wycofany w v22 MR1. Firewalle, które nadal używają tej starej odmiany IPsec, nie mogą zostać zaktualizowane do v22 MR1 lub nowszej. Dotknięte tym środowiska muszą wcześniej przejść na aktualną konfigurację Remote Access IPsec. Sophos opublikował w tym celu osobny artykuł KB.

W praktyce większość istniejących konfiguracji od dawna działa już na nowym wariancie albo na SSL VPN. Mimo to przed aktualizacją warto krótko sprawdzić konfigurację, bo inaczej proces się zatrzyma.

Sophos Connect 2.0 dla macOS

Sophos Connect 2.0 dla macOS pozwala teraz zestawiać również połączenia SSL VPN dla Remote Access. Do tej pory SSL VPN przez Sophos Connect był dostępny tylko w Windows, a użytkownicy macOS musieli korzystać z IPsec albo klientów firm trzecich. W ten sposób zestaw funkcji obu platform klienckich dalej się wyrównuje. Szczegóły i obsługiwane wersje macOS znajdują się w Sophos Connect Release Notes.

Microsoft Entra ID SSO: wymuszona ponowna ocena

Dotąd istniejąca sesja SSO mogła w określonych warunkach zostać ponownie użyta bez ponownego sprawdzenia Conditional Access Policies w Entra ID. W najgorszym przypadku otwierało to ścieżkę do obejścia wymagań MFA, jeśli ciasteczka sesyjne były nadal ważne. SFOS v22 MR1 wymusza teraz ponowną kontrolę Conditional Access Policies przy ponownym użyciu sesji. To klasyczna poprawka bezpieczeństwa: mało widoczna, ale ważna dla środowisk, które używają Entra ID jako centralnego źródła tożsamości i polegają na MFA.

Ochrona SSD i Wi-Fi MTU

Dwie mniejsze, ale sensowne poprawki szczegółowe:

  • Żywotność SSD: Zoptymalizowano operacje zapisu na wewnętrznym SSD. Dotyczy to głównie urządzeń z dużym wolumenem logów i wydłuża okres użytkowania sprzętu.
  • Wi-Fi MTU/MSS: Istniejące komendy CLI pozwalają teraz dostosowywać również wartości MTU i MSS dla interfejsów Wi-Fi. W środowiskach z nakładającymi się tunelami lub problematycznymi ścieżkami w backhaulu WLAN jest to przydatne narzędzie.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2, wcześniej Sophos Firewall Configuration Viewer, to narzędzie przeglądarkowe, które oferuje znacznie więcej niż poprzednik. Umożliwia trzy główne scenariusze pracy:

  • Configuration Report: Wszystkie reguły, polityki i ustawienia firewalla można wyświetlić w skonsolidowanym raporcie. Przydatne przy audytach, przekazaniach lub onboardingu nowych administratorów.
  • Configuration Compare: Dwie konfiguracje można porównać bezpośrednio. Dodane, zmienione, usunięte i niezmienione wpisy są wizualnie wyróżniane. To dokładnie narzędzie, którego brakuje przy przeglądach zmian lub troubleshooting po etapie migracji, gdy nie chce się rozkładać konfiguracji firewalla na części w środowisku produkcyjnym.
  • Configuration Editor: Konfiguracje można bezpośrednio edytować lub importować w narzędziu. Następnie można je załadować z powrotem do firewalla albo wyeksportować jako API lub snippet curl, na przykład do automatycznego wdrażania zmian.

Diff konfiguracji bezpośrednio w przeglądarce to funkcja oczekiwana od lat. Kto próbował ręcznie porównywać dwa backupy Sophos, wie, dlaczego to narzędzie jest prawdziwym krokiem naprzód. Ciekawe będzie, jak stabilnie edytor działa przy dużych konfiguracjach i jak dobrze eksport API da się włączyć w istniejące pipeline’y automatyzacji.

Narzędzie jest dostępne przez docs.sophos.com.

Zaktualizowany benchmark CIS dla v22

Health Check wprowadzony z v22 bazuje na benchmarkach CIS. Leżące u podstaw benchmarki zostały zaktualizowane dla v22 i są dostępne do pobrania na stronie CIS. Kto używa Health Check jako części audytów wewnętrznych, powinien traktować nową wersję jako punkt odniesienia.

Kompatybilność i uwagi

  • Legacy Remote Access IPsec VPN: Zostaje wycofany z v22 MR1. Migracja do aktualnej konfiguracji Remote Access IPsec jest warunkiem aktualizacji.
  • Ścieżki aktualizacji: SFOS v22 MR1 można aktualizować ze wszystkich obsługiwanych wersji v21.5, v21 i v20. Sophos Central może zaplanować aktualizację i sterować jej przebiegiem.
  • Backup przed aktualizacją: Jak zawsze przed aktualizacją należy wykonać pełny backup i przygotować plan rollbacku.
  • Mechanizm hotfix: Poprawki istotne dla bezpieczeństwa nadal są dostarczane jako over-the-air hotfix bez downtime’u. Maintenance releases dodatkowo grupują poprawki niekrytyczne, więc aktualizacja opłaca się również bez pilnej potrzeby.

Wniosek

Sophos Firewall v22 MR1 to solidne wydanie maintenance. Najważniejsze punkty z naszej perspektywy to poprawki stabilności VPN dla policy-based IPsec, rozszerzone wsparcie NDR Essentials na platformy wirtualne oraz nowy Audit Trail z tożsamością użytkownika Sophos Central. Wykrywanie reverse shell na samym firewallu i wyselekcjonowane detekcje iSensor z ekosystemu Taegis dobrze wpisują się w kierunek obrany przez Sophos w v22. Firewall stopniowo staje się platformą sensorową, która dostarcza telemetrię, a nie tylko filtruje pakiety.

To, czego nadal nam brakuje, nie zmieniło się od v22: klonowania i grupowania reguł NAT. Życzenia sformułowane około rok temu zostały częściowo zrealizowane, reszta wciąż jest na liście. Może w kolejnym MR albo najpóźniej w v23. A może Sophos będzie teraz realizować strategię przeniesienia wszystkiego do Sophos Firewall Config Studio, a firewall pozostanie taki, jaki jest.

Więcej informacji

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.