Sophos Firewall Życzenia dotyczące funkcji 2024
My sami codziennie pracujemy z zaporą Sophos Firewall, a nasi klienci regularnie przekazują nam informacje zwrotne na temat brakujących funkcji bezpieczeństwa i użyteczności. Na podstawie tych doświadczeń i opinii stworzyliśmy szczegółową listę. Te uwagi podsumowujemy w Sophos Firewall Feature Request.
Obsługa Let’s Encrypt
Jest to najczęściej pożądana funkcja, na którą wielu czeka już od ponad trzech lat. Z wersją 21, która ma zostać wydana około października, ta funkcja w końcu zostanie uwzględniona.
Zmiana nazw obiektów
Obecnie niestety nie ma możliwości zmiany nazw niektórych elementów w zaporze. Oto kilka przykładów:
- Połączenia IPsec Site-to-Site
- Strefy
- Serwer DHCP
- Reguły IPS
Funkcja ta byłaby niezwykle użyteczna do utrzymania konfiguracji w bardziej przejrzystym i uporządkowanym stanie.
Jeśli na przykład chcesz zmienić nazwę połączenia VPN typu Side-to-Side, musisz je usunąć i utworzyć ponownie, tylko po to, by zmienić nazwę.
Responsywny interfejs graficzny (GUI)
Wraz z aktualizacją do wersji 20 interfejs graficzny został nieco zoptymalizowany dla monitorów szerokoekranowych, aby zmniejszyć ilość pustego miejsca. Było to już bardzo często pożądane w Sophos Firewall Feature Request.
Niemniej jednak, nasi klienci pragną w pełni responsywnego interfejsu, który dobrze wygląda również na tabletach i urządzeniach mobilnych. Szczególnie na małych monitorach i przy rozdzielczości 4K wciąż istnieje potencjał do poprawy.
Wydajność zaplecza
Interfejs graficzny (GUI) działa wolno, szczególnie w przypadku mniejszych modeli zapór, urządzenia często reagują bardzo powoli, zwłaszcza podczas zapisywania reguł zapory. W tym obszarze wciąż istnieje duży potencjał optymalizacji, aby poprawić doświadczenie użytkownika.
Jeden przykład: zapisywanie reguły zapory na Sophos XGS 126 z SFOS v20 trwa zbyt długo.
Czas ładowania interfejsów trwa podobnie długo, a panel nawigacyjny około dwa razy dłużej.
Grupowanie reguł NAT
Możliwe jest grupowanie reguł zapory, aby lepiej je organizować. Funkcja ta brakuje jednak w przypadku reguł NAT. Również tutaj opcja grupowania byłaby sensownym zgłoszeniem funkcji Sophos Firewall.
Klonowanie reguł NAT
Podczas gdy funkcja klonowania reguł zapory już istnieje, brakuje tej użytecznej opcji dla reguł NAT. Byłoby bardzo korzystne, gdyby reguły NAT również można było klonować, aby konfiguracje były szybsze i bardziej efektywne. Jest to często zgłaszane przez naszych klientów życzenie dotyczące funkcji Sophos Firewall.
Dostosowywanie i zapisywanie przeglądarki logów
Przeglądarka logów umożliwia dodawanie lub usuwanie kolumn, aby wyświetlać logi w bardziej przejrzysty sposób. Byłoby pomocne, gdyby te ustawienia mogły być zapisywane, tak aby przy następnym otwarciu przeglądarki logów od razu były dostępne preferowane widoki kolumn.
Zintegrowany test prędkości
Zintegrowany test prędkości, który można przeprowadzić bezpośrednio z zapory, znajduje się wysoko na liście życzeń wielu użytkowników. Inni producenci oferują już takie funkcje, które umożliwiają przeprowadzanie testów prędkości przez różne interfejsy bezpośrednio z zapory lub planowanie ich w czasie.
Ukrywanie ostrzeżeń na pulpicie nawigacyjnym
Na pulpicie nawigacyjnym wyświetlane są komunikaty ostrzegawcze lub alarmy, których jednak nie można ukryć. Wielu użytkowników chciałoby mieć możliwość oznaczenia tych komunikatów jako przeczytanych, aby nie były wyświetlane na stałe.
Importowanie wielu obiektów jednocześnie
Możliwość jednoczesnego importowania wielu obiektów byłaby cennym dodatkiem. Obecnie można importować listy IP, ale nie listy URL ani wiele sieci. Funkcja ta znacznie przyczyniłaby się do zwiększenia wydajności, zwłaszcza w przypadku wyjątków dla usług Microsoft, gdzie trzeba by było wymieniać wiele sieci lub adresów URL.
Linki do informacji o wydaniu oprogramowania układowego
W przypadku aktualizacji oprogramowania układowego dla RED lub punktów dostępowych, w zapleczu istnieje obecnie tylko przycisk „Zainstaluj”, bez dostępnych szczegółowych informacji o zmianach. Stawia to administratorów przed problemem, że nie wiedzą, jakie zmiany lub ulepszenia wprowadza nowe oprogramowanie układowe. Jest to szczególnie problematyczne, ponieważ nie ma możliwości wycofania zmian w przypadku wystąpienia problemów po instalacji.
Bezpośredni link do informacji o wydaniu byłby zatem bardzo praktycznym życzeniem dotyczącym funkcji Sophos Firewall. Dzięki temu można sprawdzić zmiany przed instalacją i lepiej ocenić, jakie ryzyka lub korzyści niesie ze sobą aktualizacja. Obecnie szczegóły trzeba szukać w Społeczności Sophos, co ponownie kosztuje czas.
Automatyczne blokowanie ataków
Powiązaną funkcją, którą można sobie dobrze wyobrazić, jest mechanizm bezpieczeństwa haseł, który po zbyt wielu nieudanych próbach logowania powoduje tymczasowe zablokowanie. Mechanizm ten jest znany większości administratorów i jest już stosowany w zaporze Sophos Firewall.
Ten mechanizm blokuje logowanie po określonej liczbie nieudanych prób i blokuje dostęp na określony czas. Podobna funkcjonalność dla zapory byłaby niezwykle użyteczna do automatycznego blokowania adresów IP, jeśli w krótkim czasie wykryto wiele podejrzanych działań.
Podobną metodę stosuje również Fail2Ban, program, który sprawdza logi i blokuje adresy IP, które wykazują określone, z góry zdefiniowane wzorce ataków lub podejrzanych działań. Fail2Ban chroni w ten sposób systemy przed atakami brute-force i innymi zagrożeniami, automatycznie blokując atakujących.
Oczywiste jest, że taka funkcja automatycznego blokowania byłaby również niezwykle użyteczna dla zapory Sophos Firewall. Obecnie system zapobiegania włamaniom (IPS) wykrywa podejrzane działania i je blokuje, ale atakujący może ciągle powtarzać swoje próby. Każde podejrzane działanie wywołuje powiadomienie, a administrator musi ręcznie interweniować, aby zablokować adres IP.
Tryb automatycznego blokowania, w którym administrator może ustawić blokowanie adresu IP na 15 minut, godzinę lub nawet dłużej, znacznie zwiększyłby wydajność i bezpieczeństwo. Jeśli zapora wykryje kilka podejrzanych działań z określonego adresu IP w ciągu minuty, rozsądne byłoby automatyczne zablokowanie tego adresu IP na określony czas. Administrator mógłby w każdej chwili zarządzać czarną listą i w razie potrzeby usunąć adres.
Wprowadzenie takiego modułu automatycznego blokowania sprawiłoby, że zapora jeszcze skuteczniej chroniłaby przed powtarzającymi się atakami, a jednocześnie zmniejszyłaby obciążenie administracyjne dla administratora.
Wtedy znowu byłaby to walka maszyna z maszyną, ponieważ obecnie większość prób ataków jest przeprowadzana przez boty lub maszyny. Za zaporą Sophos Firewall stoi jednak administrator, który musi ręcznie zajmować się takimi zdarzeniami, aby zapobiec dalszym żądaniom.
Źródła blokowania niebezpiecznych adresów IP
W nadchodzącej wersji 21 zapory ma być możliwe wdrożenie predefiniowanych list blokujących dostęp do niebezpiecznych adresów IP. Oznacza to, że jeśli ktoś wewnętrznie spróbuje uzyskać dostęp do już znanego niebezpiecznego adresu IP, dostęp ten zostanie automatycznie zablokowany. W przyszłych wersjach listy te zostaną uzupełnione przez dostawców zewnętrznych. Niestety, jednak, tylko połączenia wychodzące są sprawdzane pod kątem tych list.
Świetnym rozszerzeniem byłoby dodanie do zapory źródeł zawierających listy adresów IP, aby blokować znane niebezpieczne adresy IP również dla połączeń przychodzących. Mogłoby to dotyczyć reguł NAT, żądań VPN, żądań portalu użytkownika i innych usług.
W przypadku zapory aplikacji internetowych istnieje już podobna funkcja o nazwie „Blokuj klientów o złej reputacji”, która robi to, co następuje:
Blokuje klientów, którzy mają złą reputację z powodu list RBL (real-time blackhole lists) i informacji GeoIP. Pomijanie zdalnych zapytań dla klientów o złej reputacji może poprawić wydajność. W przypadku list RBL Sophos Firewall używa Sophos Extensible List (SXL) i SORBS. W przypadku GeoIP używa Maxmind. Sophos Firewall blokuje klientów, którzy należą do kategorii A1 (anonimowe proxy lub usługi VPN) i A2 (dostawcy usług internetowych satelitarnych).
Życzeniem byłoby zatem, aby można było subskrybować własne źródła RBL, na przykład od renomowanych producentów lub również z GitHub.
Takie rozszerzenie znacznie zwiększyłoby bezpieczeństwo zapory i jej usług, skutecznie chroniąc nie tylko połączenia wychodzące, ale także przychodzące przed znanymi zagrożeniami.
Wyłączanie usługi bezprzewodowej
Mimo że istnieje opcja wyłączenia usługi bezprzewodowej, jest to wyświetlane jako błąd. Na pulpicie nawigacyjnym pojawia się wówczas komunikat ostrzegawczy:
Oznacza to, że nawet jeśli administrator świadomie wyłączy usługę w celu oszczędzania zasobów lub z innych powodów, zapora interpretuje to jako problem i wyświetla komunikat o błędzie. Byłoby zatem pożądane, aby istniała możliwość wyłączenia usługi bezprzewodowej bez wyświetlania jej jako błędu na pulpicie nawigacyjnym.
Opinie do nas
W tym wpisie zebraliśmy najczęściej zgłaszane Sophos Firewall Feature Request, które zebraliśmy w ciągu ostatnich miesięcy. Uwzględniliśmy przy tym zarówno życzenia naszych klientów, jak i funkcje, które pomogłyby nam efektywniej konfigurować i utrzymywać liczne zapory klientów.
Jeśli jednak masz dalsze sugestie lub życzenia, prosimy o przesłanie nam swojej opinii za pośrednictwem formularza kontaktowego. Będziemy regularnie aktualizować ten wpis na blogu, aby zawsze odzwierciedlał najnowsze potrzeby i wymagania.
Mapa drogowa również nie jest gwarancją
Nigdy nie należy kupować produktu tylko dlatego, że producent obiecuje, że pożądana funkcja zostanie dodana poprzez aktualizację.
W przypadku Sophos nie jest inaczej. Mapa drogowa jest mniej więcej tak wiarygodna jak prognoza pogody, horoskopy czy zachowanie kotów. Funkcje są dodawane i usuwane, usługi prezentowane na roadshowach lub rzeczy zapisywane w arkuszach danych produktu z odwołaniem (już wkrótce), to wszystko jeszcze nic nie znaczy! O zapowiedziach Sophos, z których nic nie wyszło, mógłbym napisać osobny post. Ponadto Sophos niestety nie jest również jednym z producentów, który słucha użytkowników, a następnie rozwija funkcje; to byłoby całkowicie absurdalne. Lepiej ścigać kolejny szał analityków Gartnera lub to, co chcą usłyszeć akcjonariusze, lub patrzeć na konkurencję.
Myślę, że wszystko powinno być jasne i stłumiłem fałszywe nadzieje w zarodku.
