Saltar para o conteudo
Avanet
Sophos Central Wireless - Versão 2.0 com Security Heartbeat

Sophos Central Wireless - Versão 2.0 com Security Heartbeat

27. JULHO 2018

O Sophos Central Wireless 2.0 está prestes a ser lançado e será distribuído por todas as contas entre 30 de julho e 31 de agosto. Para além de novas funcionalidades e melhorias, passarão também a ser suportados os novos access points APX com Wave 2.0. Neste artigo resumimos as funções de que se podem vir a beneficiar.

Synchronized Security para Endpoint e Mobile

O Security Heartbeat está agora disponível também para Sophos Central Wireless. O conceito é basicamente o mesmo que na XG Firewall. O acesso à rede de clientes infetados, ou que não cumprem as políticas definidas, é limitado ou totalmente bloqueado.

Com o Security Heartbeat no Central Wireless, pode isolar um dispositivo em risco da WLAN, garantindo que não representa uma ameaça para outros dispositivos ligados à mesma rede. Para que esta interação funcione, os endpoints têm de estar equipados com o software adequado. Assim, em computadores de secretária e portáteis deve estar instalado, pelo menos, o Sophos Central Endpoint, e em smartphones e tablets, o Sophos Central Mobile. Por fim, é necessário utilizar um dos novos access points APX, pois apenas estes suportam o Security Heartbeat. 😅

Enhanced Rogue AP Detection

Com a Enhanced Rogue AP Detection, os seus access points Sophos analisam todos os canais e listam as redes sem fios vizinhas. À primeira vista, isto pode não parecer muito emocionante. O objetivo é, contudo, como o nome indica, detetar “rogue APs”, ou seja, pontos de acesso não autorizados que podem criar uma falha de segurança numa rede protegida.

As restrições por vezes rigorosas, mas justificadas, numa WLAN empresarial levam ocasionalmente os colaboradores a ter ideias criativas. Pode acontecer, por exemplo, que um colega instale o seu próprio access point no escritório para ligar dispositivos pessoais à Internet. Este seria um “rogue AP”, uma vez que foi instalado numa rede segura sem autorização.

Com a Enhanced Rogue AP Detection, poderá detetar este tipo de access points não autorizados na sua rede. Se a utilização de um dispositivo for aprovada, também é possível adicionar esse AP a uma “lista de AP conhecidos”.

Outras melhorias

Para além das funções mencionadas, a versão 2.0 inclui ainda duas melhorias dignas de nota:

  • Provisionamento em massa: é agora possível adicionar até 30 APs de uma só vez, carregando um ficheiro CSV com os respetivos números de série.
  • Dashboard renovado: passa a ter uma visão mais clara das ameaças na rede e do estado dos dispositivos com Synchronized Security.

Funcionalidades futuras

Está previsto que a versão 2.1 seja lançada em setembro, trazendo ferramentas de depuração e resolução de problemas melhoradas. Em novembro espera‑se a chegada do pequeno access point APX 120, cujo suporte será então garantido na versão 2.1.1.

Conclusão

Sempre considerámos o Sophos Central Wireless um produto muito interessante. Compra os APs, liga-os e está pronto a usar! Com o Sophos Central Wireless não é necessário controlador físico e a gestão de redes sem fios em vários locais é simples e clara.

O único problema que temos com o Sophos Wireless é o preço. Na nossa opinião, nem as novas funcionalidades da versão 2.0 justificam totalmente o custo. Além disso, só beneficia realmente do Synchronized Security se investir também na nova série APX.

A Sophos não está sozinha no mercado de gestão wireless. Muito antes do Sophos Wireless já existiam soluções comparáveis. Até a Google vende os seus próprios access points; pelo preço de um único AP Sophos, poderia comprar três deles. Também esses podem ser geridos via cloud e utilizados em vários locais, com encriptação segura (WPA2).

Não achamos particularmente atraente ter custos recorrentes apenas para a rede sem fios. Vemos o wireless um pouco como “o ar”: tem simplesmente de estar lá. Esta perspetiva pode mudar se, no futuro, forem adicionadas mais funcionalidades de segurança como as da versão 2.0. Nesse caso, o valor acrescentado seria evidente, justificando a cobrança de custos adicionais pelo Sophos Central Wireless.

Também temos de reconhecer que a Sophos reduziu, pelo menos, um pouco o preço dos novos access points APX. Enquanto a Sophos ainda diferencia o preço entre o AP 15 e o AP 100, os custos anuais serão os mesmos para todos os modelos APX, seja o pequeno APX 320 ou o maior 740.

Em suma, o Sophos Central Wireless tem um elevado potencial. Não precisa de qualquer consola física e, com os novos access points APX, traz funcionalidades de segurança adicionais como o Synchronized Security. Do nosso ponto de vista, isto pode vir a ser muito interessante no futuro. Se isso não for relevante para si, pode simplesmente adquirir uma pequena XG Firewall (XG 115) e gerir até 10 access points sem dificuldade. Com esta solução, paga apenas uma vez pelos APs, já que a licença wireless está incluída gratuitamente no Sophos Firewall OS da XG.

Nota: a 31 de julho de 2018, a Sophos contactou‑nos pessoalmente acerca da nossa conclusão sobre o Sophos Central Wireless. Como mencionámos o preço elevado como ponto crítico, a Sophos deu‑nos uma informação interessante: o custo anual pago por access point para o Sophos Wireless incluiria também um seguro para o próprio AP. Se um dispositivo avariar, a Sophos substitui‑o gratuitamente no prazo de 24 horas. Este serviço está, portanto, refletido no preço. Infelizmente, isto não é mencionado nem nas fichas técnicas nem em qualquer outro local do site. Não o podemos, por isso, garantir por escrito, mas, segundo a Sophos, os access points estão segurados enquanto existir uma licença válida do Sophos Central Wireless.

Problemas conhecidos na versão 2.0

A lista seguinte mostra problemas conhecidos que ainda podem ocorrer na versão 2.0. Já se está a trabalhar em correções e estes problemas deverão ser resolvidos em breve.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Mais informações

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.