Aktualizacja Sophos SFOS – nowe funkcje w v18.0.3 MR3

Administratorzy, którzy zaktualizowali już swoje XG Firewalle do 17.5 MR13 i MR14, czekali na tę aktualizację od dłuższego czasu. Jednak również dla pozostałych użytkowników v18 MR3 przynosi, oprócz 34 poprawek błędów, kilka nowych funkcji.

Aktualizacja do v18

Obecnie Sophos nadal utrzymuje dwie różne wersje SFOS. Jest v17.5 (MR6 - MR14.1) oraz wersja 18 (MR1 i MR2).

Użytkownicy urządzeń XG 85 lub XG 105 nie mogą przejść na v18 z powodu zbyt małej ilości pamięci RAM. Dlatego te appliance firewallowe są już End of Sale, a w ofercie są odpowiednie modele następcze. Dla klientów z tymi starszymi urządzeniami Sophos nadal utrzymuje v17.5 w aktualnym stanie, przynajmniej pod kątem poprawek błędów i aktualizacji bezpieczeństwa.

Jeśli chce się korzystać z najnowszych funkcji, warto przejść na nowsze modele obsługujące v18. Aby ułatwić tę decyzję klientom posiadającym starsze urządzenia, Sophos oferuje do końca roku promocję renewal, dzięki której można otrzymać 50% nowego sprzętu firewallowego gratis. Drugą opcją byłoby po prostu poczekać do 2021 Q2… (SPOILER: ma pojawić się nowa seria sprzętowa. 🤫)

Dla firewalli obsługujących v18 sama aktualizacja nie była jednak tak prosta. Do tej pory działała ścieżka migracji do wersji 18 tylko dla wersji 17.5 MR6 do MR12. Kto w międzyczasie zainstalował już MR13 lub MR14, przy ręcznej aktualizacji do v18 trafiał na factory reset i tracił całą konfigurację.

W v18 MR3 ścieżka aktualizacji znów istnieje. Widzimy też u naszych klientów korzystających z v17.5, że firewall po raz pierwszy sam proponuje aktualizację do v18. Sophos ma więc wystarczająco dużo zaufania i doświadczeń z v18, by udostępnić upgrade wszystkim klientom.

Nasze doświadczenia z v18 i v18 MR3 są również całkiem pozytywne. Dlatego rekomendujemy aktualizację do v18. 🙌

Dlaczego v18 to naprawdę dobra release

Ta sama appliance firewallowa stała się po aktualizacji oprogramowania do v18 także wyraźnie szybsza! 🚀

Sophos Firewall OS - Performance Boost v18.0 MR3

W serii 100 (XG 86 - XG 135) interfejs webowy stał się całkiem sporo szybszy, ale summa summarum nadal jest cholernie wolny! 🐌

Poprawa wydajności VPN

W v18 MR3 poprawiono wydajność SSL VPN. Na większych modelach sprzętowych obsługiwanych jest teraz znacznie więcej równoległych połączeń niż w starszej wersji SFOS.

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 86 - XG 135

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 210 - XG 330

Sophos Firewall SFOS v18 MR3 Update SSLVPN Performance Table XG 430 - XG 750

Secure Storage Master Key (SSMK)

Po wykonaniu aktualizacji i ponownym zalogowaniu się jako admin pojawia się następujący ekran:

Tło tych zmian

Kilka miesięcy temu Sophos miał lukę bezpieczeństwa w SFOS. Jeszcze wcześniej był problem polegający na tym, że z plików backupu można było przy pewnym wysiłku odczytać hasło administratora. W rezultacie wprowadzono także szyfrowanie kopii zapasowych. Sophos traktuje ten temat bardzo poważnie i dlatego włożył sporo pracy w to, aby coś takiego nie wydarzyło się ponownie. Planowana roadmapa została przesunięta o pół roku, a najpierw zadbano o bezpieczeństwo własnego systemu. Incydenty pokazały, że nawet firewall, który ma chronić przed zagrożeniami, sam może być podatny na atak.

Powiedzenie “nie istnieje stuprocentowe bezpieczeństwo” nie wzięło się znikąd. Wiele filmów czy seriali byłoby bardzo nudnych, gdyby takie stuprocentowe bezpieczeństwo naprawdę istniało. 😋

Wraz z v18 MR3 dostępny jest teraz Secure Storage Master Key. Tę wartość można utworzyć wyłącznie przy użyciu użytkownika admin. Nie działa to z innym użytkownikiem posiadającym prawa administratora. Zdefiniowanie tego nowego klucza powoduje dodatkowe zaszyfrowanie ważnych informacji. Jeśli chcesz dokładnie wiedzieć, co się tutaj dzieje, możesz przeczytać o tym w dokumencie Secure Storage.

Utwórz więc bezpieczne hasło i przechowuj je również w bezpiecznym miejscu.

Sophos Firewall - Create the secure storage master key

Wyłączanie Captcha

Okno logowania firewalla zostało od czasu wspomnianej wyżej luki dla User Portal i loginu administratora wyposażone w Captcha.

Sophos Firewall WebAdmin login with Captcha

W MR3 tę ochronę przed botami można wyłączyć. W tym celu trzeba zalogować się do firewalla przez SSH i przełączyć się do konsoli, wpisując 4.

Tutaj można użyć następującego polecenia, aby włączyć, wyłączyć lub wyświetlić ustawienie Captcha dla okien logowania.

console> system captcha-authentication-global enable/disable/show for userportal/webadminconsole

Sophos Firewall - disable SSH WebAdmin login Captcha

Ostrzeżenia Device Access

Podobnie jak dwie poprzednie funkcje, ostrzeżenia Device Access również mają zapewnić większe bezpieczeństwo.

W menu “Administration > Device Access” można zdefiniować dostęp do usług firewalla.

Tutaj warto kierować się następującą zasadą: zamknąć wszystko i otwierać świadomie. Na przykład zaznaczając pole przy “Ping” albo “User Portal”, pozwalasz każdemu komputerowi na świecie dotrzeć do twojego firewalla przez ICMP lub User Portal.

Sophos Firewall - secure device access WAN access

Oczywiście ustawienia można zmieniać tak jak wcześniej. Teraz system wyświetla jednak komunikat ostrzegawczy. Ma to uświadomić, co dokładnie otwierasz na świat zewnętrzny, zaznaczając pole wyboru w strefie WAN.

Sophos Firewall - Device Access WAN access alert

Lepiej użyć “Local service ACL exception rule”, aby dokładniej określić, skąd ruch ma być dozwolony. Na przykład dla dostępu do User Portal wybierz tylko swój kraj, a dla pinga tylko te IP, które rzeczywiście mają mieć możliwość dotarcia do firewalla przez ICMP.

Sophos Central Firewall Management

Widok klastra High Availability

Wszyscy słuchacze naszego podcastu wiedzą, że Central Firewall Manager to produkt, w którym widzę bardzo duży potencjał. Nadal widać, że jest w fazie rozwoju, ale v18 MR3 usuwa naprawdę mało atrakcyjny problem.

Klastry HA nie są już wyświetlane jako urządzenie online i offline, lecz teraz łatwo rozpoznać, które firewalle zostały skonfigurowane jako klaster.

Sophos Central Firewall Manager High Availability Cluster View

Po kliknięciu wskaźnika statusu myszą wyświetla się jeszcze więcej informacji. Widać wtedy, że to urządzenie znajduje się w klastrze active-passive i że jest urządzeniem auxiliary.

Sophos Central Firewall Manager High Availability Cluster View Detail

Planowane aktualizacje

Możliwe jest teraz planowanie aktualizacji firmware przez Central Firewall Manager. Administratorzy UTM znają to z przeszłości.

Sophos Central Firewall Manager Update Option

Dla planowanej aktualizacji można jednocześnie zaznaczyć kilka firewalli, co w większych środowiskach jest ogromnym ułatwieniem.

Mimo to z tej funkcji należy korzystać ostrożnie. Aktualizacja może czasem również spowodować problemy.

Sophos Firewall OS - Central Firewall Manager Schedule Update

Na powyższym zrzucie ekranu widać, że w tym środowisku wciąż trzeba zainstalować jeszcze kilka aktualizacji. 😅

Jeśli firewall jest w trakcie procesu aktualizacji, sygnalizuje to animowana ikona w widoku ogólnym. Kliknięcie jej pokazuje jeszcze więcej informacji.

Sophos Firewall OS - Central Firewall Manager Update Progress

Dalsze nowości

W tej release znajduje się jeszcze więcej funkcji, ale nie będę ich tutaj szczegółowo omawiać. Dla kompletności jednak je wymieniam:

Sophos Connect Client: teraz można dodawać także grupy, a nie tylko pojedynczych użytkowników.
SFOS obsługuje teraz również infrastrukturę Nutanix AHV i Nutanix Flow.
AWS: wsparcie dla nowych instancji w AWS Cloud (C5, M5 i T3).
AWS: wsparcie dla szablonów CloudFormation.
AWS: wsparcie dla wirtualnych stref WAN na niestandardowych gatewayach.