Sophos Firewall Feature Request 2024
Nós próprios trabalhamos diariamente com a Sophos Firewall, e os nossos clientes também nos dão feedback regularmente sobre as funções de segurança e de operação que sentem falta. Com base nestas experiências e nestes comentários, criámos uma lista detalhada. Resumimos agora esse feedback no Sophos Firewall Feature Request.
Suporte para Let’s Encrypt
Esta é a funcionalidade mais solicitada, pela qual muitos esperam há mais de três anos. Com a Versão 21, que deverá ser lançada por volta de outubro, esta funcionalidade deverá finalmente estar incluída.
Renomear objetos
Atualmente, infelizmente, não é possível renomear determinados elementos na firewall. Alguns exemplos:
- Ligações IPsec Site-to-Site
- Zonas
- Servidor DHCP
- Regras IPS
Esta função seria extremamente útil para manter as configurações mais claras e organizadas.
Se, por exemplo, quiser renomear uma ligação VPN Site-to-Site, tem de a apagar e recriar apenas para alterar o nome.
GUI responsiva
Com a atualização para a Versão 20, a GUI foi ligeiramente otimizada para monitores widescreen, reduzindo o espaço em branco. Este já era um Sophos Firewall Feature Request muito frequente.
No entanto, os nossos clientes gostariam de uma interface totalmente responsiva que também ficasse bem em tablets e dispositivos móveis. Especialmente em monitores pequenos e com resolução 4K, ainda há margem para melhorias.
Desempenho do backend
A GUI é lenta, especialmente nos modelos de firewall mais pequenos, os dispositivos reagem muitas vezes muito lentamente, sobretudo ao guardar regras de firewall. Aqui, ainda há muito potencial de otimização para melhorar a experiência do utilizador.
Um exemplo: guardar uma regra de firewall numa XGS 126 com SFOS v20 demora demasiado tempo.
O carregamento das interfaces demora um tempo semelhante, e o dashboard demora cerca do dobro.
Agrupamento de regras NAT
É possível agrupar regras de firewall para as organizar melhor. No entanto, esta função falta nas regras NAT. Também aqui, uma opção de agrupamento seria um Sophos Firewall Feature Request útil.
Clonar regras NAT
Embora a função de clonagem de regras de firewall já exista, esta opção útil falta para as regras NAT. Seria muito benéfico se as regras NAT também pudessem ser clonadas para tornar as configurações mais rápidas e eficientes. Este é um Sophos Firewall Feature Request frequentemente expresso pelos nossos clientes.
Personalizar e guardar o Log Viewer
O Log Viewer permite adicionar ou remover colunas para apresentar os logs de forma mais clara. Seria útil se estas definições pudessem ser guardadas, para que, da próxima vez que se abrir o Log Viewer, as colunas preferidas já estejam disponíveis.
Speedtest integrado
Um speedtest integrado, que possa ser executado diretamente através da firewall, está no topo da lista de desejos de muitos utilizadores. Outros fabricantes já oferecem estas funções, permitindo realizar speedtests através de diferentes interfaces diretamente a partir da firewall ou agendá-los.
Ocultar avisos no dashboard
No dashboard são apresentadas mensagens de aviso ou alarmes que, no entanto, não podem ser ocultados. Muitos utilizadores gostariam de poder marcar estas mensagens como vistas para que não sejam apresentadas permanentemente.
Importar vários objetos simultaneamente
A capacidade de importar vários objetos simultaneamente seria uma adição valiosa. Atualmente, é possível importar listas de IP, mas não listas de URL ou várias redes. Esta função aumentaria significativamente a eficiência, especialmente em exceções para serviços Microsoft, onde muitas redes ou URLs precisam de ser listadas.
Links para as release notes de firmware
Para atualizações de firmware de RED ou Access Points, atualmente existe apenas um botão “Instalar” no backend, sem informações detalhadas disponíveis sobre as alterações. Isto coloca os administradores perante o problema de não saberem que alterações ou melhorias o novo firmware traz. É especialmente problemático porque não existe opção de rollback caso surjam problemas após a instalação.
Um link direto para as release notes seria, portanto, um Sophos Firewall Feature Request muito prático. Assim, seria possível verificar as alterações antes da instalação e avaliar melhor os riscos ou benefícios da atualização. Atualmente, é necessário procurar detalhes na Sophos Community, o que volta a consumir tempo.
Bloqueio automático de ataques
Uma função relacionada que se pode bem imaginar é o mecanismo de segurança de palavras-passe, que desencadeia um bloqueio temporário se houver demasiadas tentativas de início de sessão falhadas. Este mecanismo é conhecido pela maioria dos administradores e já é aplicado na Sophos Firewall.
Este mecanismo bloqueia o login após um certo número de tentativas falhadas e bloqueia o acesso por um período de tempo definido. Uma funcionalidade semelhante para a firewall seria extremamente útil para bloquear automaticamente endereços IP se múltiplas atividades suspeitas forem detetadas num curto espaço de tempo.
Um método semelhante é também utilizado pelo Fail2Ban, um programa que verifica os registos e bloqueia endereços IP que mostram determinados padrões predefinidos de ataques ou atividades suspeitas. O Fail2Ban protege assim os sistemas contra ataques de força bruta e outras ameaças, bloqueando automaticamente os atacantes.
É evidente que uma função de bloqueio automático deste tipo também seria extremamente útil para a Sophos Firewall. Atualmente, o Intrusion Prevention System (IPS) deteta atividades suspeitas e bloqueia-as, mas o atacante pode continuar a repetir as tentativas. Cada atividade suspeita desencadeia uma notificação, e o administrador tem de intervir manualmente para bloquear o endereço IP.
Um modo de autoblock, no qual o administrador pudesse definir que um endereço IP fosse bloqueado durante 15 minutos, uma hora ou até mais tempo, aumentaria significativamente a eficiência e a segurança. Se a firewall detetar várias atividades suspeitas de um determinado endereço IP no espaço de um minuto, faria sentido bloquear automaticamente esse IP durante um período definido. O administrador poderia manter a blacklist a qualquer momento e remover o endereço, se necessário.
Com a introdução de um módulo de autoblock deste tipo, a firewall protegeria de forma ainda mais eficaz contra ataques repetidos e, ao mesmo tempo, reduziria o esforço administrativo.
Seria então novamente uma luta máquina contra máquina, porque atualmente a maioria das tentativas de ataque é realizada por bots ou sistemas automatizados. Atrás da Sophos Firewall, no entanto, está um administrador que tem de tratar manualmente estes eventos para impedir novas tentativas.
Bad IP Blocker Feeds
Na próxima Firewall-Version 21, deverá ser possível implementar listas predefinidas para bloquear o acesso a endereços IP perigosos. Isto significa que, se alguém internamente tentar aceder a um IP perigoso já conhecido, esse acesso será automaticamente bloqueado. Em versões futuras, estas listas serão complementadas por fornecedores terceiros. Infelizmente, porém, apenas as ligações de saída são verificadas contra estas listas.
Uma excelente extensão seria adicionar feeds à firewall que contenham listas de IPs, para bloquear IPs perigosos conhecidos também em ligações de entrada. Isto poderia aplicar-se a regras NAT, pedidos VPN, pedidos do User Portal e outros serviços.
Na Web Application Firewall já existe uma função semelhante chamada “Block clients with bad reputation”, que faz o seguinte:
Bloqueia clientes que têm má reputação com base em Real-time Blackhole Lists (RBLs) e informações GeoIP. Ignorar consultas remotas para clientes com má reputação pode melhorar o desempenho. Para RBLs, a Sophos Firewall utiliza Sophos Extensible List (SXL) e SORBS. Para GeoIP, utiliza Maxmind. A Sophos Firewall bloqueia clientes que se enquadram nas categorias A1 (proxies anónimos ou serviços VPN) e A2 (ISPs por satélite).
O pedido seria, portanto, poder subscrever feeds RBL próprios, por exemplo de fabricantes reconhecidos ou também do GitHub.
Tal extensão aumentaria significativamente a segurança da firewall e dos seus serviços, protegendo eficazmente não só as ligações de saída, mas também as de entrada contra ameaças conhecidas.
Desativar Wireless Service
Embora exista a opção de desativar o Wireless Service, isso é apresentado como erro. No dashboard aparece então uma mensagem de aviso:
Isto significa que, mesmo quando o administrador desativa o serviço de forma consciente para poupar recursos ou por outros motivos, a firewall interpreta a situação como um problema e apresenta uma mensagem de erro. Seria, portanto, desejável ter uma forma de desativar o Wireless Service sem que isso apareça como erro no dashboard.
Feedback para nós
Nesta publicação, reunimos os Sophos Firewall Feature Requests mais frequentes que recolhemos nos últimos meses. Considerámos tanto os desejos dos nossos clientes como as funções que nos ajudariam a tornar a configuração e manutenção das inúmeras firewalls de clientes mais eficientes.
Se tiver outras sugestões ou desejos, envie-nos o seu feedback através do formulário de contacto. Iremos atualizar regularmente esta publicação para refletir sempre as necessidades e requisitos mais recentes.
A roadmap também não é garantia
Nunca se deve comprar um produto apenas porque um fabricante promete que a função desejada será entregue mais tarde através de uma atualização.
Com a Sophos não é diferente. A roadmap é tão fiável como a previsão meteorológica ou os horóscopos. Funcionalidades são adicionadas e removidas, serviços são apresentados em roadshows ou coisas são escritas nas fichas de produto com a indicação (coming soon), e isso ainda não significa absolutamente nada. Sobre os anúncios da Sophos que acabaram por não se concretizar, eu poderia escrever um post à parte. Além disso, infelizmente a Sophos também não é um dos fabricantes que ouve os utilizadores e depois desenvolve as funcionalidades em conformidade; isso seria completamente absurdo. Melhor correr atrás da próxima tendência dos analistas da Gartner, daquilo que os acionistas querem ouvir, ou simplesmente olhar para a concorrência.
Penso que, com isto, tudo deve estar claro e eu já sufoquei falsas esperanças pela raiz.
