Sophos Firewall Feature Request 2024
Sami codziennie pracujemy z Sophos Firewall, a nasi klienci regularnie przekazują nam informacje o funkcjach bezpieczeństwa i obsługi, których im brakuje. Na podstawie tych doświadczeń i opinii stworzyliśmy szczegółową listę. To właśnie te uwagi podsumowujemy tutaj jako Sophos Firewall Feature Request.
Obsługa Let’s Encrypt
To najczęściej oczekiwana funkcja, na którą wiele osób czeka już od ponad trzech lat. W wersji 21, która ma pojawić się około października, ta funkcja ma wreszcie zostać uwzględniona.
Zmiana nazw obiektów
Obecnie niestety nie można zmieniać nazw niektórych elementów w firewallu. Oto kilka przykładów:
- Połączenia IPsec Site-to-Site
- Strefy
- Serwery DHCP
- Reguły IPS
Taka funkcja byłaby niezwykle przydatna, aby utrzymywać konfiguracje w bardziej przejrzystym i uporządkowanym stanie.
Jeśli na przykład chcesz zmienić nazwę połączenia Site-to-Site VPN, musisz je usunąć i utworzyć ponownie tylko po to, aby zmienić nazwę.
Responsywny interfejs graficzny (GUI)
Wraz z aktualizacją do wersji 20 GUI zostało nieco zoptymalizowane pod kątem monitorów panoramicznych, aby zmniejszyć ilość białej przestrzeni. Był to już wcześniej bardzo często zgłaszany Sophos Firewall Feature Request.
Mimo to nasi klienci życzą sobie w pełni responsywnego interfejsu, który dobrze wygląda również na tabletach i urządzeniach mobilnych. Szczególnie na małych monitorach oraz przy rozdzielczości 4K nadal jest miejsce na poprawę.
Wydajność zaplecza
GUI działa wolno, zwłaszcza na mniejszych modelach firewalli. Urządzenia często reagują bardzo powoli, szczególnie podczas zapisywania reguł firewalla. W tym obszarze nadal istnieje duży potencjał optymalizacji, aby poprawić doświadczenie użytkownika.
Jeden przykład: zapisywanie reguły firewalla na Sophos XGS 126 z SFOS v20 trwa zbyt długo.
Czas ładowania interfejsów jest podobnie długi, a dashboard ładuje się około dwa razy dłużej.
Grupowanie reguł NAT
Reguły firewalla można grupować, aby lepiej je organizować. Tej funkcji brakuje jednak przy regułach NAT. Również tutaj opcja grupowania byłaby sensownym Sophos Firewall Feature Request.
Klonowanie reguł NAT
Funkcja klonowania reguł firewalla już istnieje, ale tej użytecznej opcji brakuje dla reguł NAT. Bardzo pomogłoby, gdyby również reguły NAT można było klonować, aby tworzyć konfiguracje szybciej i efektywniej. To często zgłaszany przez naszych klientów Sophos Firewall Feature Request.
Dostosowywanie i zapisywanie Log Viewer
Log Viewer pozwala dodawać lub usuwać kolumny, aby wyświetlać logi w bardziej przejrzysty sposób. Pomogłoby, gdyby te ustawienia można było zapisywać, tak aby przy kolejnym otwarciu Log Viewer od razu dostępny był preferowany układ kolumn.
Zintegrowany test prędkości
Zintegrowany speedtest, który można uruchomić bezpośrednio z firewalla, znajduje się wysoko na liście życzeń wielu użytkowników. Inni producenci oferują już takie funkcje i umożliwiają wykonywanie speedtestów przez różne interfejsy bezpośrednio z firewalla albo planowanie ich w określonym czasie.
Ukrywanie ostrzeżeń w dashboardzie
W dashboardzie wyświetlane są ostrzeżenia lub alarmy, których nie można ukryć. Wielu użytkowników chciałoby mieć możliwość oznaczenia tych komunikatów jako przeczytanych, aby nie były stale wyświetlane.
Importowanie wielu obiektów jednocześnie
Możliwość jednoczesnego importowania wielu obiektów byłaby cennym dodatkiem. Obecnie można importować listy IP, ale nie listy URL ani wiele sieci. Funkcja ta znacząco poprawiłaby efektywność, zwłaszcza przy wyjątkach dla usług Microsoft, gdzie trzeba wprowadzać wiele sieci lub adresów URL.
Linki do firmware release notes
W przypadku aktualizacji firmware dla RED lub Access Points w backendzie dostępny jest obecnie tylko przycisk „Zainstaluj”, bez szczegółowych informacji o zmianach. Administratorzy nie wiedzą więc, jakie zmiany lub ulepszenia wnosi nowy firmware. Jest to szczególnie problematyczne, ponieważ w razie problemów po instalacji nie ma możliwości rollbacku.
Bezpośredni link do release notes byłby więc bardzo praktycznym Sophos Firewall Feature Request. Dzięki temu można byłoby sprawdzić zmiany przed instalacją i lepiej ocenić, jakie ryzyka lub korzyści niesie aktualizacja. Obecnie szczegółów trzeba szukać w Sophos Community, co znów kosztuje czas.
Automatyczne blokowanie ataków
Pokrewną funkcją, którą łatwo sobie wyobrazić, jest mechanizm ochrony haseł, który po zbyt wielu nieudanych próbach logowania uruchamia tymczasową blokadę. Mechanizm ten zna większość administratorów i jest już stosowany w Sophos Firewall.
Ten mechanizm blokuje logowanie po określonej liczbie nieudanych prób i odcina dostęp na ustalony czas. Podobna funkcjonalność dla firewalla byłaby niezwykle przydatna, aby automatycznie blokować adresy IP, gdy w krótkim czasie zostanie wykrytych wiele podejrzanych aktywności.
Podobną metodę stosuje również Fail2Ban, program, który sprawdza logi i blokuje adresy IP wykazujące określone, z góry zdefiniowane wzorce ataków lub podejrzanych aktywności. Fail2Ban chroni w ten sposób systemy przed atakami brute-force i innymi zagrożeniami, automatycznie blokując atakujących.
Oczywiste jest, że taka funkcja automatycznego blokowania byłaby również bardzo przydatna dla Sophos Firewall. Obecnie Intrusion Prevention System (IPS) wykrywa podejrzane aktywności i je blokuje, ale atakujący może stale ponawiać próby. Każda podejrzana aktywność wyzwala powiadomienie, a administrator musi ręcznie interweniować, aby zablokować adres IP.
Tryb automatycznego blokowania, w którym administrator może ustawić blokadę adresu IP na 15 minut, godzinę lub nawet dłużej, znacząco zwiększyłby efektywność i bezpieczeństwo. Jeśli firewall wykryje w ciągu minuty kilka podejrzanych aktywności z określonego adresu IP, sensowne byłoby automatyczne zablokowanie tego adresu na określony czas. Administrator mógłby przy tym w każdej chwili zarządzać blacklistą i w razie potrzeby usunąć adres.
Wprowadzenie takiego modułu automatycznego blokowania sprawiłoby, że firewall jeszcze skuteczniej chroniłby przed powtarzającymi się atakami, a jednocześnie zmniejszyłby nakład pracy administracyjnej.
Wtedy znów byłaby to walka maszyny z maszyną, ponieważ obecnie większość prób ataku jest prowadzona przez boty lub automaty. Za Sophos Firewall stoi jednak administrator, który musi ręcznie zajmować się takimi zdarzeniami, aby zatrzymać kolejne żądania.
Feedy blokowania niebezpiecznych adresów IP
W nadchodzącej wersji 21 firewalla ma pojawić się możliwość implementacji predefiniowanych list blokujących dostęp do niebezpiecznych adresów IP. Oznacza to, że jeśli ktoś z sieci wewnętrznej spróbuje uzyskać dostęp do znanego już niebezpiecznego adresu IP, dostęp zostanie automatycznie zablokowany. W przyszłych wersjach listy te mają zostać uzupełnione przez dostawców zewnętrznych. Niestety obecnie tylko połączenia wychodzące są sprawdzane względem tych list.
Świetnym rozszerzeniem byłoby dodanie do firewalla feedów z listami adresów IP, aby blokować znane niebezpieczne adresy IP także dla połączeń przychodzących. Mogłoby to dotyczyć reguł NAT, żądań VPN, żądań User Portal i innych usług.
W Web Application Firewall istnieje już podobna funkcja o nazwie „Block clients with bad reputation”, która działa następująco:
Blokuje klientów, którzy mają złą reputację na podstawie list Real-time Blackhole List (RBL) i informacji GeoIP. Pomijanie zdalnych zapytań dla klientów o złej reputacji może poprawić wydajność. Dla RBL Sophos Firewall używa Sophos Extensible List (SXL) i SORBS. Dla GeoIP używa Maxmind. Sophos Firewall blokuje klientów należących do kategorii A1 (anonimowe proxy lub usługi VPN) oraz A2 (satelitarni dostawcy internetu).
Życzeniem byłoby więc, aby można było subskrybować własne feedy RBL, na przykład od renomowanych producentów albo z GitHub.
Takie rozszerzenie znacznie zwiększyłoby bezpieczeństwo firewalla i jego usług, skutecznie chroniąc przed znanymi zagrożeniami nie tylko połączenia wychodzące, lecz także przychodzące.
Wyłączanie Wireless Service
Chociaż istnieje opcja wyłączenia Wireless Service, jest to wyświetlane jako błąd. W dashboardzie pojawia się wtedy ostrzeżenie:
Oznacza to, że nawet jeśli administrator świadomie wyłączy usługę, aby oszczędzać zasoby lub z innych powodów, firewall interpretuje to jako problem i wyświetla komunikat o błędzie. Pożądana byłaby więc możliwość wyłączenia Wireless Service bez pokazywania tego jako błędu w dashboardzie.
Feedback dla nas
W tym wpisie zebraliśmy najczęściej zgłaszane Sophos Firewall Feature Requests z ostatnich miesięcy. Uwzględniliśmy zarówno życzenia naszych klientów, jak i funkcje, które pomogłyby nam efektywniej konfigurować i utrzymywać liczne firewalle klientów.
Jeśli jednak masz kolejne sugestie lub życzenia, prześlij nam feedback przez formularz kontaktowy. Będziemy regularnie aktualizować ten wpis, aby odzwierciedlał najnowsze potrzeby i wymagania.
Mapa drogowa również nie jest gwarancją
Nigdy nie należy kupować produktu tylko dlatego, że producent obiecuje, że pożądana funkcja zostanie dodana poprzez aktualizację.
W przypadku Sophos nie jest inaczej. Roadmapa jest mniej więcej tak wiarygodna jak prognoza pogody albo horoskopy. Funkcje są dodawane i usuwane, usługi prezentowane na roadshow albo rzeczy wpisywane do kart produktowych z dopiskiem „coming soon” - to wszystko jeszcze nic nie znaczy. O zapowiedziach Sophos, z których nic nie wyszło, mógłbym napisać osobny post. Poza tym Sophos niestety nie należy do producentów, którzy słuchają użytkowników i na tej podstawie rozwijają funkcje; to byłoby zupełnie absurdalne. Lepiej gonić kolejny hype analityków Gartnera, to, co chcą usłyszeć akcjonariusze, albo patrzeć na konkurencję.
Myślę, że wszystko powinno być jasne i stłumiłem fałszywe nadzieje w zarodku.
