Saltar para o conteudo
Avanet
7 razões pelas quais o XG Firewall (SFOS) é melhor do que o UTM

7 razões pelas quais o XG Firewall (SFOS) é melhor do que o UTM

Há mais de dois anos que só colocamos em funcionamento XG Firewalls com SFOS ou instalamos SFOS em SG Appliances. É certo que o XG Firewall foi um autêntico horror nas primeiras versões e só era utilizável eficazmente em poucos ambientes. Com a versão 16, a situação começou a melhorar lentamente e atrevemo-nos a realizar projetos mais pequenos. A partir da v16.5, passámos a apostar totalmente no XG para novos projetos e desde então nunca mais olhámos para o UTM.

Para esclarecer logo de início: Quando falo de XG Firewall, refiro-me à série de appliances XG com o Sophos Firewall OS (SFOS). No entanto, também gerimos SG Appliances nas quais simplesmente instalamos o SFOS. Isso funciona perfeitamente. 🙂

Depois de já termos implementado vários projetos com o XG Firewall, gostaria de partilhar 7 razões pelas quais, na minha opinião, o XG Firewall é uma melhor escolha do que a série SG com o sistema operativo UTM. Com este artigo, gostaria de contribuir para o debate UTM vs. XG. 🥊

01 - Desenvolvimento

Quando hoje procuro uma nova aplicação para o meu smartphone ou computador, presto especial atenção a quando a aplicação foi atualizada pela última vez. Se não encontro um registo de alterações, consulto a conta nas redes sociais, por exemplo no Twitter. Qualquer atividade com mais de um ano, para mim, está morta, e a aplicação definitivamente não chegará ao meu smartphone ou computador.

É verdade que com o UTM Firewall não é assim tão grave. Mas os ciclos de atualização foram extremamente alargados. Anteriormente, havia uma atualização para o UTM quase todos os meses. Hoje em dia, é aproximadamente a cada 4 meses e praticamente não existem novas funcionalidades.

A razão para isso é a seguinte: A Sophos tem cerca de 300 programadores a trabalhar nos sistemas operativos SFOS e UTM. No entanto, apenas cerca de 5% desses programadores ainda trabalham no sistema operativo UTM. O resto trabalha no XG Firewall. Aqui, também se pode ver, por parte do fabricante, onde estão as prioridades.

De tempos em tempos, os utilizadores do UTM recebem alguma esperança com uma nova funcionalidade. Mas, na verdade, há muito tempo que se procura uma receita para tornar o XG apetecível para os fiéis seguidores, sem os perder para outro fabricante. Como ex-utilizador do UTM, sei, no entanto, que não se muda de sistema rapidamente, a menos que seja realmente necessário. Assim, enquanto o UTM não for definitivamente descontinuado, não há simplesmente nenhuma razão para a maioria mudar.

Se olharmos para o roteiro dos dois sistemas operativos, a lista para o SFOS é extremamente longa e os planos estendem-se muito para além dos 18 meses. No caso do UTM, funcionalidades foram removidas do roteiro no passado ou constantemente adiadas. Um exemplo proeminente é o IKEv2. A funcionalidade esteve no roteiro durante muito tempo, foi constantemente adiada e, finalmente, até mesmo completamente removida do roteiro. Após um clamor na comunidade, foi novamente adicionada e está agora agendada para aparecer na versão 9.8 no próximo ano.

Com o Sophos Firewall OS, a situação é completamente diferente e é por isso que esta é também a primeira razão pela qual amamos o sistema. Aproximadamente a cada sete semanas, podemos contar com novos MR - Maintenance Releases e 1 a 2 vezes por ano há um MINOR Release com muitas funcionalidades novas. O Sophos Firewall OS, portanto, evoluiu de “bom” para “muito bom” nos últimos meses. O sistema ainda não está totalmente onde deveria estar e ainda tem algumas deficiências. Mas para um SO tão jovem, o progresso é muito significativo!

02 - Hardware

O hardware do Sophos XG Firewall e o da série SG são idênticos em termos de CPU, RAM, armazenamento e conexões. Uma pequena exceção aqui é o Sophos XG 86 e o XG 106, que não existem na série SG. Os dois modelos menores aqui seriam o SG 85 e o SG 105, que, no entanto, têm menos RAM e armazenamento do que o XG 86 e o XG 106. Mas, basicamente, é perfeitamente possível instalar o SFOS do XG Firewall em um hardware SG. A licença pode então ser migrada 1:1.

Como instalar o SFOS num appliance Sophos SG, explicamos num post da KB: Instalar o Sophos XG Firewall OS num appliance SG

No próximo ano, espera-se uma nova série de hardware, que atualmente tem o nome “XGS”. Neste momento, ainda não podemos dizer se esta substituirá diretamente a série XG. Como sistema operativo compatível, é de qualquer forma mencionado apenas o SFOS. Para a série SG, não está planeado nenhum novo lançamento.

O que, pelo menos por enquanto, também fala claramente a favor de um XG Firewall com SFOS é o suporte aos novos Access Points APX! Os Access Points, que foram lançados em julho de 2018 e possuem o novo padrão Wave-2, ainda hoje são compatíveis apenas com XG Firewalls e Central. Por parte da Sophos, sempre foi dito que os Access Points APX nunca seriam compatíveis com o UTM. Para nós, este passo sempre fez todo o sentido! Trata-se de hardware NextGen, que foi desenvolvido apenas para Firewalls NextGen.

No entanto, é com alguma perplexidade que podemos agora anunciar que a Sophos recuou nesse plano. O suporte aos Access Points APX chegará ao UTM! O suporte está planeado para o UTM 9.7, que deverá ser lançado no final do ano.

03 - Licenciamento

O licenciamento do XG Firewall não é completamente diferente do do UTM. No entanto, existem algumas vantagens importantes.

Licença Base

A licença base de um appliance XG Firewall está incluída gratuitamente. As funções incluídas são explicadas num artigo separado sobre a Licença Base. Mas estas são as funções mais importantes que podem ser usadas gratuitamente:

  • Wireless Protection
  • SSL VPN ou cliente Sophos Connect
  • Ligações VPN IPsec

EnterpriseGuard Bundle

Certamente conhecem o FullGuard Bundle, que ativa todos os módulos, exceto o Sandstorm, na firewall. Com o FullGuard Plus Bundle, também obtêm o Sandstorm.

Para a série XG existe ainda o popular EnterpriseGuard Bundle. Este bundle é uma verdadeira alternativa ao FullGuard Bundle, pois já cobre as necessidades da maioria dos clientes. Com o EnterpriseGuard Bundle, obtêm Network e Web Protection, incluindo o Sophos Premium Support. A Wireless Protection já está incluída gratuitamente na licença base. Assim, apenas muito poucos clientes terão de recorrer ao FullGuard Bundle mais caro, caso exista de facto uma necessidade de proteção de e-mails e servidores web.

04 - Regras de Firewall

Passemos agora à parte mais técnica, ou seja, porque é que, na minha opinião, o SFOS leva vantagem face ao sistema operativo UTM.

O conjunto de regras da firewall tornou-se muito mais claro com o SFOS. Se existirem mais de 10 regras de firewall, o que provavelmente será o caso na maioria dos ambientes, estas podem ser muito bem agrupadas no SFOS. A seguinte captura de ecrã do meu XG Firewall em casa ilustra isso novamente. Aqui, todos os dispositivos IoT têm a sua própria rede e as regras de firewall correspondentes são todas reunidas num único grupo.

Sophos Firewall - Visão geral das regras

Ao observar um grupo mais de perto, é possível perceber rapidamente por que regras individuais da firewall ainda passa tráfego e que regras poderão já não estar a ser utilizadas. Esta representação ajuda a identificar e remover regras supérfluas.

Sophos Firewall - Regras de Firewall

Ao contrário da UTM, posso dar um nome próprio a uma regra de firewall no SFOS. Dentro de uma regra, também são possíveis comentários mais longos, por exemplo, para registar quem criou esta regra e para que fim foi criada.

  • Cada regra recebe um ID, com o qual posso verificar no log que tráfego passa por essa regra.
  • Pode-se ver de relance se, por exemplo, o IPS ou o filtro web estão ativos para uma regra.

Em relação às regras de firewall, eu poderia teoricamente citar muitas outras vantagens que sublinham por que nunca mais voltaria a um UTM. Mas vou ater-me aos principais argumentos acima mencionados, que já deveriam convencer qualquer administrador de firewall. 🙂

Mesmo que muitas coisas tenham sido melhoradas no SFOS em relação às regras de firewall, o SFOS tem uma desvantagem muito irritante em comparação com o UTM. Guardar uma regra de firewall nas Firewalls XG 86 a XG 135 demora uns bons 4 a 10 segundos! Esta situação deverá ser primeiro melhorada na v18 e depois completamente resolvida na v19.

05 - Visualizador de Logs

Mesmo após vários anos no XG Firewall, o Log Viewer continua a ser um destaque absoluto! Com ele, é rápido e fácil verificar os logs diretamente pela GUI. Mas, antes de me alongar demasiado sobre isso, vejam simplesmente o seguinte vídeo:

06 - Sophos Central

Não, não se preocupem! Não vou agora começar também com Sophos Synchronized Security, que o departamento de marketing da Sophos transformou praticamente no slogan do século. Mas se isso vos ajudar a trocar a vossa UTM por um XG, então, claro, teremos todo o gosto em entrar nessa onda. Sabiam que, com Synchronized Security no XG Firewall, é possível ver que aplicações estão a ser executadas nos endpoints? 😂 Portanto, sim, Synchronized Security também trará outras possibilidades geniais no futuro!

Mas agora passemos, no contexto do Central, a uma função que ainda está nos seus primórdios, mas que possui um potencial enorme. Refiro-me ao Central Firewall Management. Com ele é possível ligar a firewall ao Central e geri-la a partir daí. Essa ligação já pode ser feita agora, mas as funções realmente interessantes ainda estão por vir! Infelizmente, não posso revelar muito aqui, mas se a Sophos fizer as coisas corretamente, poderá resultar num sistema de gestão para SDN. Podemos esperar novas funções já no final deste ano.

07 - Atualizações de Firmware

Como já foi dito, consideramos sempre as atualizações positivas. O ditado never change a running system é um absoluto disparate quando se trata de firewalls. Já abordámos isso num post anterior sobre a necessidade de atualizações de firewall.

Certamente já perceberam que as atualizações são importantes. Mas as atualizações também podem ser perigosas, pois pode acontecer que depois nem tudo funcione tão bem como antes. Entre administradores que têm receio disso, ouve-se sempre o ditado mencionado acima. 😅

Para contrariar um pouco o perigo das atualizações, existem algumas melhorias no XG Firewall:

  1. As atualizações dos Access Points e REDs são separadas e já não estão integradas na atualização da firewall. Assim, os REDs podem ser atualizados mesmo sem reiniciar a firewall.
  2. Se uma atualização da firewall não funcionou e quiserem voltar à versão anterior, isso é possível com apenas alguns cliques.

Conclusão

Este artigo ficou um pouco mais longo do que eu tinha inicialmente em mente. Listei aqui sete razões que, na minha opinião, deveriam encorajar qualquer fã da UTM a mudar. Eu também venerava a UTM, mas precisamente nos pontos de segurança futura, atualizações e visão clara, a razão levou-nos cedo a essa mudança e até hoje nunca nos arrependemos! Quando se trata da comparação UTM vs. XG, o XG tem para nós claramente um peso de combate mais impressionante na balança. Portanto, sejam corajosos ou, melhor dizendo, sensatos (😅) e apostem num XG Firewall no vosso próximo projeto. Depois de dado esse passo, podem começar a migrar as vossas UTMs para o SFOS.

Desvantagens

Mesmo que o SFOS ofereça realmente muitas funcionalidades excelentes, pode-se talvez ter a sensação de que este artigo foi escrito através de óculos cor-de-rosa. Por isso, anexo aqui um pequeno capítulo com as desvantagens, pois, como disse, o SFOS ainda é um sistema operativo muito jovem e, de facto, ainda há algumas coisas que não funcionam de forma tão otimizada.

Velocidade da GUI

  • O carregamento ou a gravação das regras de firewall ainda demora muito e não é como se desejaria.
  • A geração de relatórios ou mesmo os recursos do sistema precisam urgentemente de um aumento de velocidade.

* Conforme já mencionado no artigo, estas questões serão melhoradas com a v18 e resolvidas com a v18.5.

Renomear objetos

  • Infelizmente, não é possível renomear posteriormente entradas criadas em todos os locais. Isto inclui, por exemplo, zonas, redes wireless, portas NAT ativas da firewall, IPS Protection Policies, Webserver Protection Policies, IPsec Policies e algumas outras.

* A razão para isso é que os programadores da Cyberoam Firewall, que continua a ser a base do SFOS, usaram o nome destes objetos na base de dados como chave primária. Naturalmente, isso torna a renomeação posterior bastante difícil. Mas também se está a trabalhar nesse ponto, e as primeiras melhorias são esperadas com a v18.

Regras NAT

  • As regras NAT criadas já não podem ser editadas se estiverem ativas. É preciso primeiro desativá-las, editá-las e depois reativá-las.

* Deve ser corrigido com a v18.

Notificações

  • As notificações continuam a ser incomparavelmente melhores no sistema UTM. Nele, é possível receber praticamente qualquer notificação por e-mail. O SFOS oferece muito poucas opções nesse sentido. Com SFOS 17.5 MR4, houve algumas melhorias nessa área, mas ainda não são oferecidas as possibilidades que considerávamos óbvias na UTM.

* Será melhorado ainda mais com a v18.

Mais informações

Neste artigo, refiro-me frequentemente à v18, que deverá trazer muitas melhorias. Segundo a Sophos, a v18 deverá ser lançada ainda no final de 2019. No entanto, consideramos este calendário muito otimista e vemos o 1.º trimestre de 2020 como um período de lançamento mais realista. 😅

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.