Przejdz do tresci
Avanet
Sophos XG Update v17.5 - Wszystkie nowości w skrócie

Sophos XG Update v17.5 - Wszystkie nowości w skrócie

Na początku listopada zainstalowaliśmy drugą betę nowego firmware’u SFOS 17.5 i przyjrzeliśmy się jej dokładniej. Podczas Sophos Roadshow w marcu 2018 w Duebendorf mówiono jeszcze o wersjach 17.2 i 17.3, ale Sophos zdecydował się połączyć wszystkie planowane funkcje i przejść od razu do wersji 17.5.

Jedno możemy powiedzieć już na początku: SFOS 17.5 budzi u nas raczej mieszane uczucia. Oferuje wprawdzie ciekawe nowe funkcje, ale naszym zdaniem nie wszystkie zostały do końca przemyślane.

Lateral Movement Protection

Od pierwszej wersji Synchronized Security klient endpoint może przekazywać swój status do firewalla. Dzięki tej funkcji możemy na przykład odmówić stacji roboczej, która od dłuższego czasu nie otrzymała aktualizacji albo jest już zainfekowana, dostępu do serwera plików lub Internetu, aby nie narażać innych systemów.

Taka konfiguracja wymagała jednak dotychczas dobrej segmentacji sieci. Jeśli wszystkie urządzenia w firmie są podłączone do tego samego switcha i znajdują się w tej samej sieci, Security Heartbeat nie miał wcześniej większego efektu.

W SFOS 17.5 funkcja ta została rozbudowana i ulepszona. Komputery, które Synchronized Security sklasyfikował jako “niezdrowe”, można teraz izolować także od innych komputerów w tej samej domenie rozgłoszeniowej lub w tej samej sieci. Gdy pojawi się problem z klientem, firewall automatycznie informuje o tym wszystkich pozostałych klientów. Dzięki temu nie tylko firewall wie, że z danym klientem coś jest nie tak, lecz także wszystkie inne klienty w sieci. Zainfekowane urządzenie można w ten sposób jeszcze skuteczniej odizolować do czasu usunięcia problemu. Gdy status Security Heartbeat ponownie zmieni się na “zielony”, połączenia z innymi systemami w sieci zostaną automatycznie przywrócone.

Sophos XG v17.5 - Lateral Movement Protection

Dodatkowo wykrycia IPS na zagrożonych endpointach mogą teraz wywoływać także “czerwony” heartbeat. Jeszcze bardziej poprawia to ochronę przed zagrożeniami w sieci.

Przekierowanie Portal URL

Podczas testów zauważyliśmy funkcję, która niemal po cichu trafiła do nowej wersji, bo nie wspomniano o niej nigdzie w release notes.

Na pewno znacie tę sytuację. Gdy Sophos Web Proxy blokuje stronę, użytkownik widzi stronę ostrzegawczą. Jeśli mimo to chce ją otworzyć, za linkiem krył się dotąd zawsze adres IP zamiast normalnego URL. W wersji 17.1 można było to przynajmniej przestawić z konsoli. W 17.5 jest to teraz wygodnie możliwe także przez interfejs webowy XG Firewall. 👍

Sophos 17.5 Administration Erneuerungen

Przejście z adresu IP na webowy URL działa jednak tylko dla części webowej. Jeśli XG Firewall skanuje na przykład wiadomości e-mail, użytkownicy zwykle otrzymują z firewalla raport kwarantanny. Widać w nim, które wiadomości Sophos Firewall zablokował. Kliknięciem linku można ręcznie zwolnić domniemaną wiadomość spamową. Ten link nadal jest jednak adresem IP. Technicznie działa, ale użytkownik widzi ostrzeżenie certyfikatu.

Zmiana z adresu IP na webowy URL nie została jeszcze wdrożona dla części e-mail. Od Sophos otrzymaliśmy informację, że funkcja może zostać dostarczona w MR1 albo MR2 i że deweloperzy nad tym pracują. My stawiamy raczej na MR2, więc można się tego spodziewać mniej więcej w styczniu albo lutym.

Synchronized User ID

Jednym z najczęstszych zadań firewalla jest transportowanie ruchu z punktu A do punktu B, jeśli utworzono do tego odpowiednią regułę firewall. Ruch przychodzi i wychodzi zawsze do adresu IP. Jako administratorzy chcemy przy tym wiedzieć, z jakich urządzeń ten ruch pochodzi, a jeszcze lepiej: od którego użytkownika. Pomaga to tworzyć reguły firewall oparte na użytkownikach, zwiększać przejrzystość sieci i generować bardziej zrozumiałe raporty.

W SFOS istnieje kilka sposobów rozpoznawania użytkownika. W przeszłości używaliśmy do tego połączenia z serwerem Active Directory, który przekazywał informacje o użytkownikach do XG Firewall za pomocą zainstalowanego agenta. W niektórych środowiskach agent nie był jednak opcją.

W SFOS v17.5 urządzenia końcowe w domenie Active Directory mogą teraz przekazywać tożsamość użytkownika do firewalla przez Security Heartbeat. Dzięki temu identyfikacja użytkowników staje się płynna i prosta, bez konieczności wdrażania agenta na kontrolerach domeny. Funkcja ta może być bardzo pomocna w wielu sytuacjach.

Terminal servers ani hosty Linux nie są objęte tym rozwiązaniem. W przypadku tych pierwszych STAC nadal pozostaje najlepszą opcją. Zakres wyjątków jest jednak duży. Klienty Mac nie działają z Active Directory, a użytkownicy VPN również się tam nie logują.

Z tej funkcji można skorzystać tylko wtedy, gdy na klientach zainstalowany jest jeden z tych produktów:

Naszym zdaniem ciekawie zrobi się dopiero wtedy, gdy także klienty spoza domeny będą mogły przekazywać swoje dane użytkownika do XG. Ta funkcja rozwiązuje jednak tylko bardzo mały problem.

Sophos Connect IPSec VPN Client

Nasz wpis Instalacja SSL VPN Client jest jednym z najpopularniejszych artykułów w naszej Knowledge Base. Nie bez powodu, bo dla wielu naszych klientów VPN był jednym z najczęściej wymienianych wymagań przed zakupem Sophos Firewall.

Jak opisano w tej instrukcji, obecnie bardzo często korzystamy z SSL VPN Client od Sophos. Można go jednak instalować tylko na komputerach z Windows. W przypadku macOS trzeba było dotąd sięgać po narzędzia firm trzecich, takie jak “Tunnelblick”.

Wraz z Sophos Connect Sophos prezentuje teraz, podobnie jak inni producenci, własny IPsec VPN Client. Sophos Connect natywnie obsługuje również Synchronized Security. Dotychczas działało to wprawdzie także z SSL VPN Client, ale wymagało dodatkowej konfiguracji.

Poniżej zrzut ekranu pokazujący, jak wyglądają ustawienia Sophos Connect IPsec VPN Client na XG Firewall:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client Admin Einstellungen

Sophos Connect jest obecnie w wersji beta, a klient jest dostępny dla Windows i macOS. Poniżej jeszcze zrzut ekranu klienta dla Mac i Windows:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client für Mac und Windows

Do nowego IPsec VPN Client od Sophos dostępne jest także dodatkowe narzędzie “Sophos Connect Admin”. Pozwala ono później edytować plik konfiguracyjny, np. dopasować nazwę hosta albo aktywować 2FA.

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Wraz z nowym firmware SFOS 17.5 Sophos wreszcie spełnia obietnicę składaną od dawna. Przez platformę Sophos Central można teraz zarządzać także XG Firewall. To z pewnością właściwy krok, choć w pierwszej wersji zakres funkcji jest jeszcze ograniczony.

Aby połączyć konto Central z firewallem, trzeba najpierw aktywować Central Management na XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall in Central verwalten

Aktualizacja 20.11.2018 Sophos Central otrzymał w międzyczasie aktualizację, dzięki której widoczna jest teraz pozycja menu “Firewall Management”. Po aktywowaniu funkcji “Central Management” na naszej XG Firewall udało nam się pomyślnie podłączyć urządzenie do naszego konta Sophos Central.

Gdy łączymy się z firewallem przez Sophos Central, jesteśmy następnie zalogowani na firewallu jako “admin”. Problem polega na tym, że teoretycznie także inni użytkownicy mający dostęp do Sophos Central Admin mogą uzyskać dostęp do firewalli. Wystarczy, że mają uprawnienie “Read-Only”. Mamy nadzieję, że w przyszłości będzie można dokładniej sterować tym, kto konkretnie ma prawo logować się do firewalli przez Central.

Sophos Central Firewall Manager Link
Sophos Central Firewall Manager Dashboard
Sophos Central Firewall Manager Übersicht
Sophos Central Firewall Management

Zarządzanie firewallem przez SSO

Jeśli na firewallu aktywowano funkcję “Central Management”, można zalogować się do Sophos XG Firewall bez dodatkowego logowania bezpośrednio z interfejsu Central.

Central Backups

Central Management domyślnie zapisuje również backupy firewalla w Central. Jeśli tego nie chcesz, możesz po prostu dezaktywować tę funkcję na XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall Backups in Sophos Central

“Light-Touch Deployment” to naprawdę świetna sprawa. W przyszłości będzie można skonfigurować nową XG Firewall bezpośrednio przez Central. Najpierw przechodzi się przez mały kreator, który na końcu generuje plik konfiguracyjny XG. Tę konfigurację można pobrać i skopiować na pendrive. Następnie nową firewall trzeba uruchomić z tym pendrive’em, a konfiguracja zostanie przeniesiona. Jeśli wszystko zostało wykonane poprawnie, przez Sophos Central można przejść na firewall i dokończyć pozostałą konfigurację.

Sophos Firewall SFOS v17.5 - Light-Touch / Zero-Touch-Bereitstellung

“Light-Touch Deployment” w przyszłości znacznie ułatwi nam przygotowywanie XG Firewalls dla klientów. W ramach naszego serwisu instalacji i konfiguracji firewalle są zwykle dostarczane do naszego biura, a my wykonujemy podstawową konfigurację bezpośrednio na urządzeniach. Następnie wysyłamy je klientowi, który musi już tylko podłączyć firewall do sieci. Dzięki “Light-Touch Deployment” będziemy mogli w przyszłości oszczędzić sobie wysyłki sprzętu do nas i zyskać co najmniej jeden dzień. 😎

Ponieważ ten workflow wymaga konta Central, zapewne nie będziemy mogli stosować tego podejścia u każdego nowego klienta.

Synchronized Security - Ulepszenia Synchronized Application Control

Synchronized Application Control zostało po raz pierwszy zaprezentowane w wersji 17.0 i dalej ulepszone w wersji 17.1. Tą funkcją Sophos chciał rozwiązać podstawowy problem: duża część ruchu sieciowego nadal jest trudna do kontrolowania i nawet przy skanowaniu HTTP/HTTPS może przechodzić przez firewall relatywnie niezauważona. Synchronized Application Control informuje firewall, która aplikacja dokładnie generuje ruch. Dzięki temu ruch sieciowy można klasyfikować znacznie lepiej.

W v17.5 wdrożono następujące ulepszenia:

  • Wyświetlanie aplikacji systemowych Windows i Mac na osobnej liście.
  • Ukrywanie aplikacji, a następnie używanie nowej opcji filtrowania, aby pokazać lub ukryć ukryte aplikacje.
  • Nowa opcja oznaczania aplikacji, aby usunąć je z listy “nowych”.
  • Ulepszona prezentacja nazw ścieżek.

Sophos Firewall SFOS v17.5 - Synchronized Application Control Verbesserungen
Możesz teraz samodzielnie wybrać, które kolumny są naprawdę potrzebne.

Ulepszenia Web Policy

Wyobraź sobie, że nauczyciel pracuje z klasą przy komputerze, a potrzebna strona zostaje zablokowana. W takiej sytuacji dotąd zawsze trzeba było wzywać administratora, aby odblokował stronę. W SFOS 17.5 w web policies dostępna jest teraz funkcja, która pozwala autoryzowanym użytkownikom mimo wszystko otwierać zablokowane strony. Taki nauczyciel może więc samodzielnie odblokować daną stronę, domenę lub kategorię przez User Portal.

Każda reguła otrzymuje kod, który nauczyciel może przekazać klasie. Na zablokowanej stronie uczniowie wpisują ten kod i tymczasowo uzyskują dostęp do właściwie zablokowanej strony.

Jako administratorzy widzimy potem na liście, jakie kody zostały wygenerowane, i możemy je także usuwać. Administrator może jednak również zdefiniować lokalizacje lub kategorie, których nauczyciele nie mogą omijać.

Oto kilka kolejnych drobnych nowości dostępnych w SFOS 17.5 dla web policies:

  • Ustawianie domyślnej wyszukiwarki.
  • SafeSearch i ograniczenia YouTube.
  • Ograniczenie rozmiaru pliku przy pobieraniu.
  • Ograniczenia domen Google App, wszystkie ustawiane na poziomie konkretnej polityki.

Sophos Firewall SFOS v17.5 - Web Protection Allgemeine Einstellungen
😉. Identyfikacja użytkownika w tym systemie operacyjnym różni się od innych systemów i dotychczas nie była obsługiwana przez XG Firewall. W v17.5 Sophos oferuje rozszerzenie Chromebook, które przekazuje identyfikatory użytkowników Chromebook do firewalla. Umożliwia to egzekwowanie polityk i raportowanie użytkowników. Wymagany jest jednak serwer Active Directory zsynchronizowany z Google G Suite. Rozszerzenie Chrome jest wdrażane z konsoli administracyjnej G Suite i zapewnia proste wdrożenie, transparentne dla użytkownika.

Client Authentication Agent

XG Firewall Client Authentication Agent pozwala przekazać XG Firewall informację, który użytkownik jest aktualnie zalogowany na komputerze, bez Active Directory. Wystarczy uruchomić Client Authentication Agent na urządzeniu.

Klient jest dostępny dla Windows, macOS, Linux 32/64 Bit, iOS oraz Android. Pobieranie znajduje się w User Portal.

Sophos Firewall SFOS v17.5 - Client Authentication Agent Download im User Portal
Sophos Firewall SFOS v17.5 - Client Authentication Agent Taskliste

Ulepszenia zarządzania

Gdy tworzy się nową regułę firewall, można od razu przypisać ją do grupy. Dostępne jest także automatyczne przypisywanie do grup, choć u nas nie działało ono szczególnie dobrze. W testach firewall chciał automatycznie przypisać moją regułę do grupy, w której wcale nie chciałem jej mieć.

Sophos XG v17.5 - Automatische Gruppenzuordnung
Ochrona przed spoofingiem.

IPS Protection

  • Więcej kategorii dla lepszej optymalizacji reguł, co przekłada się na lepszą wydajność i większą ochronę.

Wireless

  • Obsługa failover serwerów RADIUS z wieloma serwerami.

IPsec

  • SD-WAN Failover i Failback
  • IPsec Failover - redundantne grupy dla połączeń IPsec, aby w przypadku failover przełączyć się na kolejny link WAN. Gdy główne połączenie będzie ponownie dostępne, można wrócić z powrotem.

Co pojawi się w kolejnych wersjach?

W nadchodzących tygodniach i miesiącach, jak zwykle, pojawią się Maintenance Releases, które dostarczą jeszcze kilka funkcji.

Obsługa Sophos Wireless APX Access Point

Nowe APX Access Points od Sophos mogły dotąd być używane tylko z Sophos Central. Obsługa XG Firewall jest jednak oczekiwana w MR1, który ma pojawić się około 2-4 tygodnie po wydaniu 17.5. APX 120, który ma kosztować poniżej 200 CHF, pojawi się dopiero w styczniu 2019.

Airgap Support

Istnieją XG Firewalls, które nie są podłączone do Internetu. Aktywacja licencji na takich urządzeniach dotąd nie była możliwa. Teraz dostępna jest opcja, aby za pomocą pendrive’a wgrać licencję i aktualizacje na firewall.

Więcej informacji

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.