Przejdz do tresci
Avanet
Sophos SFOS v18 - nowe funkcje w skrócie

Sophos SFOS v18 - nowe funkcje w skrócie

Firewalle Sophos z SFOS otrzymają wkrótce większą aktualizację do SFOS v18. Używamy już wersji beta produkcyjnie. W tym artykule dowiesz się, jakie funkcje wnosi nowa wersja i jak sprawdza się w codziennej pracy.

Testy w pracy produkcyjnej

Nie testujemy bety na odizolowanym urządzeniu testowym w środowisku laboratoryjnym, lecz bezpośrednio w pracy produkcyjnej. Dodatkowo wybrani klienci z ponad 650 użytkownikami również korzystają z tej wersji, abyśmy mogli zebrać możliwie szerokie doświadczenia z nową wersją. Dlatego w tym wpisie nie powtarzamy po prostu treści z oficjalnych materiałów informacyjnych Sophos, lecz opisujemy SFOS v18 EAP1 i EAP2 na podstawie kilkutygodniowych doświadczeń praktycznych. Artykuł jest przez to dość obszerny, ponieważ wiele funkcji omawiamy szczegółowo. Zacznijmy od architektury Xstream.

Architektura Xstream

Szczególną atrakcją wersji v18 jest nowa architektura przetwarzania pakietów. Zapewnia ona większą wydajność, wyższe bezpieczeństwo i znacznie lepszą widoczność zaszyfrowanego ruchu. W tym obszarze w wersji v18 zmieniło się naprawdę bardzo wiele.

Info: “X” w “Xstream” oznacza Next Generation, a “Stream” odnosi się do nowego DPI Engine, czyli rozwiązania skanującego opartego na strumieniowym przetwarzaniu danych.

Xstream SSL/TLS Inspection

O SSL Inspection, często nazywanej również “SSL Scanning” lub “HTTPS Scanning”, pisaliśmy już wcześniej: HTTPS-Scanning: dlaczego należy aktywować je na Sophos

W skrócie: Firewall może bez problemu sprawdzać ruch HTTP, ponieważ nie jest on szyfrowany. Ruch HTTPS musi natomiast zostać najpierw rozszyfrowany, zanim firewall będzie mógł go przeanalizować. Dotychczas problem polegał na tym, że Web Proxy mogło odszyfrować tylko ruch HTTPS działający na porcie 443. Jeśli ruch korzystał z innego portu, np. https://www.example.com:8000, firewall pozostawał ślepy.

W wersji v18 firewall jest ponownie gotowy na aktualne technologie i może sprawdzać zarówno ruch SSL, jak i TLS 1.3, niezależnie od tego, przez jakie porty lub protokoły przechodzi ruch. 🤩 Pod spodem wymagało to rozległych zmian architektury, które na szczęście nie oznaczają dodatkowego nakładu pracy dla administratorów.

Kluczowe są tutaj Decryption Profile, które są powiązane z SSL/TLS Inspection Rule. Taka reguła określa, jaki ruch ma być sprawdzany.

Sophos SFOS v18 SSL TLS Inspection Rule
Sophos SFOS v18 Decryption Profiles
, App Control i IPS.

Ważne jest zrozumienie, że nowy DPI Engine bezpośrednio konkuruje z dotychczasowym Web Proxy. Web Proxy odpowiada za ruch HTTP/HTTPS, polityki webowe i Content-Scanning; te zadania może alternatywnie przejąć nowy DPI Engine.

Podczas aktualizacji z wersji 17.5 do 18.0 ustawienia Web Proxy zostają przejęte. Kto chce korzystać z DPI Engine, musi jednak wprowadzić kilka zmian: konfiguruje się SSL/TLS Inspection Rule i wyłącza Web Proxy w ustawieniach firewalla.

Sophos SFOS v18 reguła firewalla - ustawienia zabezpieczeń

Jest tylko niewiele powodów, aby nie przejść na nowy DPI Engine. Web Proxy oferuje jednak kilka funkcji, które w DPI Engine nie są jeszcze dostępne, między innymi SafeSearch dla wyszukiwarek lub YouTube, Caching czy Pharming Protection. Na wszystkich firewallach, którymi zarządzamy, możemy jednak bez problemu zrezygnować z tych funkcji dodatkowych, dlatego DPI Engine na pewno będzie u nas używany.

Poniższy film Sophos daje kompaktowe wprowadzenie do Xstream DPI Engine i pomaga zdecydować, kiedy używać DPI Engine w porównaniu z klasycznym Web Proxy:

Xstream Network Flow FastPath

Wielu administratorów zna problem, że firewall zauważalnie spowalnia ruch i przez to niektóre procesy wydają się wolniejsze. Dzięki nowej architekturze dostępny jest teraz tak zwany FastPath. Pozwala on firewallowi przekazywać niekrytyczny ruch bezpośrednio do kernela, znacząco zwiększając wydajność.

Sophos SFOS v18 xStream Architecture Fastpath

Ruch przechodzi najpierw przez Firewall Stack. Tam sprawdzane jest, czy istnieje odpowiednia reguła firewalla i czy ruch jest w ogóle dozwolony. Jeśli ruch jest na przykład sprawdzany przez IPS, najpierw przechodzi przez DPI Engine. Gdy IPS Engine uzna ruch za nieszkodliwy, może on zostać przekazany na FastPath i przesłany dalej bezpośrednio przez kernel.

Patrząc na grafikę architektury, naturalnie pojawia się pytanie, jak dokładnie działa to w praktyce. To, czy ruch jest zasadniczo dozwolony, można ustalić stosunkowo szybko; tego kroku nie trzeba powtarzać dla każdego pakietu z tego samego źródła i portu. Ale po czym DPI Engine rozpoznaje, kiedy ruch może zostać przeniesiony na FastPath? Jeśli na przykład aktywne jest SSL/TLS-Scanning, nie jest to możliwe, ponieważ ruch nie byłby już wtedy sprawdzany. W przypadku IPS lub kontroli aplikacji pracuje się natomiast ze znanymi listami, na podstawie których można zdecydować, czy strumień danych jest nieszkodliwy.

Threat Intelligence Analysis

Jeśli moduł Sophos Sandstorm jest licencjonowany dla firewalla, pliki są już sprawdzane w sandboxie, zanim zostaną pobrane. Kto chce dowiedzieć się więcej o Sophos Sandstorm, może zajrzeć do PDF-a Sophos Sandstorm z FAQ. Dzięki SSL/TLS Inspection firewall zyskuje głębszy wgląd w ruch i może jeszcze dokładniej kontrolować pobierane pliki z internetu. Dodatkowo pozostaje ochrona endpoint jako ostatnia linia obrony.

W wersji v18 nowy moduł Threat Intelligence Analysis uzupełnia istniejący moduł Sandstorm. Podczas gdy Sophos Sandstorm analizuje webowe pobrania lub załączniki e-mail, Threat Intelligence sprawdza pliki za pomocą Machine Learning. Wykorzystywana jest także analiza SophosLabs, ta sama technologia, która jest używana w Sophos Intercept X z EDR.

Analogicznie do EDR tworzony jest szczegółowy raport analityczny. W SFOS v18 EAP2 taki raport wygląda na przykład tak:

Sophos SFOS v18 Intelligence Analysis-Threat-o-Meter
Fragment raportu (przegląd)
Fragment raportu (przegląd)

Nieco ładniejszy raport będzie dostępny dopiero od EAP3.

Enterprise NAT

Oprócz architektury Xstream gruntownie przeprojektowano także reguły NAT. Do wersji 17.5 istniał punkt menu “Firewall”, w którym zebrane były wszystkie reguły firewalla, reguły NAT i reguły WAF. W regule firewalla można było między innymi zdefiniować interfejs wychodzący lub wychodzący adres IP dla ruchu.

Sophos SFOS v17.5 WAF Template
Sophos SFOS v17.5 tworzenie reguły firewalla

W wersji v18 reguły NAT są zarządzane w osobnej zakładce, co czyni zarządzanie znacznie bardziej elastycznym.

Sophos SFOS v18 Rules and Policies Tabs

Na tę zmianę czekało wielu klientów: można teraz na przykład zablokować wszystkie zapytania DNS lub NTP do publicznych serwerów i zamiast tego przekierować je do wewnętrznego serwera. Dzięki temu dostępne jest również rozwiązanie dla tych, którym w XG brakuje serwera NTP znanego z UTM.

Temat NAT jest dodatkowo objaśniony w następującym filmie:

Zarządzanie regułami firewalla

Z każdą nową główną wersją oprogramowania Sophos usprawnia obsługę reguł firewalla. W v18 można teraz zaznaczać wiele reguł firewalla jednocześnie, aby je usuwać, aktywować lub dezaktywować, albo dodawać do grupy lub usuwać z grupy. Ponadto reguły firewalla są teraz numerowane, dzięki czemu całkowita liczba jest od razu widoczna. Rule-ID pozostaje nadal niezmienione. Zmieniono również nazwę punktu menu “Firewall” na “Rules and policies”.

Sophos SFOS v18 przegląd reguł firewalla

Nowością jest możliwość ustawiania filtrów, co znacznie ułatwia wyszukiwanie konkretnych reguł. Filtr pozostaje zachowany także wtedy, gdy przełącza się między punktami menu i następnie wraca do zestawu reguł.

Kto liczył, że Sophos będzie teraz zostawiać grupy reguł otwarte po zapisaniu reguły, tego muszę niestety rozczarować. Tutaj nic się nie zmieniło. 😖

Sophos SFOS v18 filtrowanie reguł firewalla

Dodano również często oczekiwaną funkcję: licznik ruchu przetworzonego przez regułę firewalla można znowu wyzerować.

Sophos SFOS v18 ustawienia reguł firewalla

Podczas tworzenia nowej reguły firewalla można teraz zapisać ją najpierw jako wyłączoną.

Sophos SFOS v18 status reguł firewalla

Ponadto w regułach firewalla można teraz definiować wykluczenia. Pomaga to utrzymać zestaw reguł w przejrzystej formie i unikać zbędnych dodatkowych reguł.

Sophos SFOS v18 wykluczenia reguł firewalla

Log Viewer

Kto przeczytał artykuł 7 powodów, dla których XG Firewall (SFOS) jest lepszy od UTM, wie, jak pomocny jest Log Viewer. Również w nowej wersji narzędzie otrzymało kilka nowych przydatnych funkcji.

Sophos SFOS v18 filtr Log Viewer
Sophos SFOS v18 wykluczenia Log Viewer

Kliknięcie wpisu w Log Viewerze pozwala bezpośrednio ustawić filtr, zdefiniować wyjątek SSL/TLS albo dostosować politykę IPS, Application-Control lub Webfilter.

Alerty i powiadomienia

W “Administration” > “Notification settings” dotychczas można było aktywować tylko dwie opcje powiadomień e-mail:

  • IPsec tunnel up/down
  • Email alert notifications

Jeśli RED była nieosiągalna albo użytkownik zbyt często wpisał błędne hasło, dotychczas nie było możliwości otrzymania powiadomienia.

Sophos SFOS v18 powiadomienia
Usprawnienia: Appliances można teraz szybciej i łatwiej łączyć w klaster. Możliwy jest też rollback firmware.

  • Obsługa SNMPv3: Znacznie lepsze bezpieczeństwo w porównaniu z SNMPv1 i SNMPv2, o ile przy pierwszych dwóch wersjach w ogóle można mówić o “bezpieczeństwie”. MIB File jest jak zwykle dostępny do pobrania.
  • Zmiana nazw interfejsów: Dotychczas interfejsy były nazwane Port1, Port2 itd. i nie dało się tego zmienić. W v18 można teraz dostosować te nazwy. IPsec, IPS, sieci Wireless itd. nadal nie mogą być jednak przemianowane.
  • Aktualizacje bazy GeoIP: Baza adresów IP krajów może być teraz aktualizowana niezależnie od aktualizacji firmware.
  • Aktualizacja VMware Tools: VMware Tools są teraz dostępne w wersji v10.3.10 i obsługują również Site Recovery Manager (SRM).

Aktualizacja do SFOS v18

Wymagania

Czy ciekawość skłania Państwa do aktualizacji do v18? Jeśli używają już Państwo XG Firewall lub SG z SFOS, do przejścia na v18 potrzebna jest co najmniej wersja v17.5 MR6. Rollback jest obsługiwany jak zwykle. Jeśli w v18 coś nie będzie działało zgodnie z oczekiwaniami, można w każdej chwili wrócić do poprzedniej wersji.

SG do XG

Jeśli nadal korzystają Państwo z UTM Firewall, również mogą Państwo przejść na SFOS. Odpowiednią instrukcję znajdą Państwo tutaj: Instalacja Sophos XG Firewall OS na SG Appliance

Jeśli potrzebują Państwo wsparcia przy migracji, chętnie pomożemy. Z powodzeniem zastąpiliśmy już wiele systemów UTM. 😎

XG 85 i XG 105

Do instalacji v18 wymagane jest co najmniej 4GB RAM. Nadchodząca wersja SFOS nie będzie więc już działać na XG 85 ani XG 105. Kto używa własnego sprzętu z zainstalowanymi tylko 2GB RAM, stoi przed tym samym problemem. Cyberoam również nie będzie już wspierany.

Właściciele XG 85 lub XG 105 powinni przyjrzeć się następcom tych modeli: Sophos XG 86 i XG 106. Aktualnie do 30.09.2020 trwa akcja Sophos, w ramach której przy Renewal można zaoszczędzić 50% na nowym sprzęcie.

Sophos Central Firewall Reporting and Management

Na ten temat istnieje osobny wpis na blogu: Sophos Central Firewall Management – funkcje w SFOS v18

FAQ

Kiedy będzie dostępna GA (wersja finalna)?

Jeśli wszystko pójdzie zgodnie z planem i wersje beta nie spowodują większych problemów, v18 można oczekiwać w Q1 2020.

Gdzie jest nowy sprzęt?

O sprzętowym następcy XG Firewall informowano już wielokrotnie. Obecnie nie ma jednak zaplanowanej daty premiery i należy się go spodziewać najwcześniej w drugiej połowie 2020 roku.

Czy pojawi się Let's Encrypt?

Nie 😖, przynajmniej jeszcze nie w v18.

Więcej informacji

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.