Sophos Firewall v20 - melhores funcionalidades no novo release SFOS
As versões principais são, de longe, as mais interessantes do ano e, com a Sophos Firewall v20, mais precisamente SFOS v20, a Sophos traz algumas funcionalidades novas realmente excelentes. Atualmente, trata-se da EAP1, ou seja, uma versão Early Access. A versão final só deverá ser lançada no final do ano ou no início de 2024, se a Sophos se mantiver fiel ao seu calendário habitual.
Web Admin otimizado para 1920p
Na lista de funcionalidades da Sophos, esta novidade aparece bem no fim, entre as melhorias menos importantes incluídas na nova versão: suporte para ecrãs de alta resolução. Os números da Statista mostram que os monitores de 1920p são mais do que standard desde 2018; esta funcionalidade já vinha tarde. Eu celebro bastante esta melhoria. 🥳 Era extremamente irritante ver tanto espaço em branco por usar enquanto o texto era cortado.
No entanto, nem tudo está ainda otimizado para 1920p e em vários pontos da GUI, por exemplo no dashboard, ainda é preciso algum acabamento. Isto deverá chegar com a v20.5.
Se analisarmos a diferença entre o SFOS v19.5 e o SFOS v20, obtemos finalmente mais espaço.
No entanto, o mérito aqui não é da Sophos, mas de alguns grandes parceiros da Sophos que sugeriram ao fabricante a sua implementação. Assim, muito obrigado por isso.
Melhorias VPN
A Sophos Firewall v20 traz diversas inovações na área de VPN. Comecemos pela maior alteração.
Portal VPN
Com a atualização para SFOS v20, as funcionalidades VPN do Portal do Utilizador serão transferidas para o novo Portal VPN. Assim, no futuro, haverá dois portais para o utilizador, desde que o Portal do Utilizador continue a ser frequentemente utilizado. Mais sobre isso no final.
O novo Portal VPN no SFOS v20 centraliza as funções específicas de VPN que anteriormente estavam no Portal do Utilizador.
- Download do Sophos Connect Client para Windows e macOS
- Download da configuração para Remote SSL VPN e IPsec
- Acesso a marcadores sem cliente
A containerização minimiza o acesso aos componentes centrais do SFOS, tornando a utilização via WAN mais segura. As funções relacionadas com métodos de autenticação ou MFA permanecem iguais às do Portal do Utilizador.
A migração para SFOS 20.0 assume automaticamente as configurações existentes do portal do utilizador para o portal VPN, o que facilita a transição. No entanto, existe agora uma nova porta para o portal do utilizador e o portal VPN funciona na porta anterior.
O que muda para os portais após a atualização para SFOS v20?
| Portal VPN | Portal do Utilizador |
|---|---|
| Porta padrão: 443 Isto significa que as implementações VPN de acesso remoto existentes continuam a funcionar sem problemas. | Porta padrão: 4443 |
| A porta pode ser partilhada com os seguintes serviços: - WAF - SSL VPN | A porta não pode ser utilizada para nenhum outro serviço. |
| Download: - Sophos Connect Client - Configuração IPsec e SSL VPN - Configuração VPN iOS Os utilizadores convidados não têm acesso ao VPN Portal. | O cliente VPN e as configurações estão agora no VPN Portal. |
| - Auto-provisioning para Sophos Connect Client - Obtenção da configuração VPN através do VPN Portal - Com a porta padrão 443, as implementações existentes permanecem inalteradas | Movido para o VPN Portal |
| Acesso clientless a bookmarks | Movido para o VPN Portal |
| - | - Outras transferências de clientes - Utilização da Internet - Quarentena de e-mail e exceções - Violação de políticas - Hotspots sem fios |
Pode ver-se agora claramente quais as funções que permanecem no Portal do Utilizador. Uma análise da base de utilizadores destas funções mostra que apenas um número muito reduzido dos nossos clientes as utilizava, o que significa que o Portal do Utilizador será, doravante, menos frequentemente utilizado.
IPsec VPN Stateful HA Failover
Na Sophos Firewall v20, é introduzido o Stateful High Availability (HA) Failover para ligações IPsec VPN. Esta nova funcionalidade permite que, em caso de failover, as ligações IPsec VPN existentes sejam transferidas de forma transparente para o standby node, sem interrupção das sessões. É importante destacar que ligações VPN beneficiam desta melhoria e quais não.
A melhoria afeta as seguintes ligações VPN:
- VPNs IPsec Site-to-Site (baseadas em rota e baseadas em política)
- VPNs IPsec de Acesso Remoto
Isto significa que tanto as VPNs de Acesso Remoto como as VPNs Site-to-Site podem ser continuadas em caso de failover sem ter que restabelecer a ligação.
No contexto das VPNs IPsec, esta função é particularmente útil, pois acelera a restauração das ligações em caso de failover e, consequentemente, aumenta a disponibilidade da rede. Especialmente na restauração da ligação, surgiam repetidamente problemas e as ligações VPN tinham de ser restauradas manual ou automaticamente com um certo atraso após um failover. Isso podia levar a interrupções nos serviços de rede, o que por sua vez afetava os processos de negócio. Agora, no máximo, perdem-se alguns pings, mas a ligação permanece.
Com a melhoria do Stateful HA Failover na Sophos Firewall v20, também grandes organizações dependentes de alta disponibilidade podem beneficiar de maior estabilidade e de uma operação sem interrupções. As novas opções de linha de comando para gerir as definições também contribuem para a flexibilidade e o controlo necessários no tratamento de ligações VPN.
Outras ligações VPN, como SSL VPN e ligações Sophos RED, não são afetadas por esta melhoria específica de failover, mas a experiência demonstra que também funcionam melhor ao estabelecer uma ligação.
Suporte FQDN Host para SSL VPN
No SFOS v20, foi adicionado suporte para Fully Qualified Domain Names (FQDN) no âmbito da funcionalidade SSL VPN. Com esta novidade, as ligações SSL VPN podem agora ser configuradas com base em nomes de domínio e não apenas em endereços IP. Isto é particularmente útil em ambientes de rede dinâmicos, nos quais os endereços IP dos endpoints podem mudar, porque as alterações nos endereços de rede deixam de ter de ser atualizadas manualmente na configuração VPN.
O suporte FQDN também facilita a integração com serviços DNS, o que simplifica a resolução de nomes de rede e pode melhorar o desempenho geral das ligações SSL VPN.
Além disso, o suporte FQDN permite uma criação mais precisa de políticas de segurança baseadas em nomes de domínio, o que permite o controlo do acesso à rede.
SNMP – Monitorizar o estado do túnel VPN IPsec
No SFOS v20 da Sophos Firewall, foi adicionada a função de monitorizar o estado dos túneis VPN IPsec através do Protocolo Simples de Gestão de Rede (SNMP). Esta funcionalidade também estava na nossa lista de desejos há algum tempo e agora simplifica a monitorização de outros serviços.
O componente central desta função é o ficheiro Management Information Base (MIB) fornecido pela Sophos Firewall. O ficheiro MIB é importado para a ferramenta SNMP e permite o acesso a uma variedade de pontos de dados que fornecem informações importantes sobre o estado, o desempenho e os possíveis erros dos túneis VPN IPsec. Isso permite que os administradores realizem monitorização e análise detalhadas das atividades do túnel.
Azure AD – Captive Portal SSO e importação de grupos
A Sophos Firewall v20 traz integrações alargadas com o Azure Active Directory (Azure AD) através de duas novas funcionalidades: Azure AD SSO para Captive Portal e Azure Group Import e RBAC.
A funcionalidade SSO do Azure AD para Captive Portal permite que os utilizadores se autentiquem no Captive Portal utilizando as suas credenciais do Azure AD. Isso simplifica o processo de autenticação, permitindo que os utilizadores utilizem as suas credenciais do Azure AD existentes.
A segunda novidade, Azure Group Import e RBAC, adiciona uma nova função de assistente de importação para grupos do Azure AD e permite a promoção automática de alterações administrativas baseadas em funções. Com esta função, os administradores podem importar facilmente grupos do Azure AD para o Sophos Firewall e utilizá-los para controlo de acesso baseado em funções (RBAC). A função de promoção automática simplifica a gestão de funções e permissões de utilizador, promovendo automaticamente alterações na atribuição administrativa baseada em funções.
A expansão do Azure AD é um avanço, mas infelizmente ainda teremos de esperar pela utilização do login Azure AD no VPN Portal, no Remote IPsec VPN ou no SSL VPN. Ficamos, portanto, à espera de atualizações. 😩
Para configurar o Azure AD na própria firewall, estes links ajudam:
- Configurar uma Aplicação Azure
- Sophos Firewall v21.5: Integração SSO do Entra ID para Sophos Connect Client
Ativar / Desativar Interfaces
Uma função há muito esperada para administradores foi integrada. A ativação e desativação de interfaces. Esta função útil já estava disponível no sistema operativo anterior do Sophos UTM e o SFOS v20 cumpre agora o desejo dos administradores de trazer esta funcionalidade de volta.
Anteriormente, uma interface só podia ser completamente desativada, o que resultava na perda de toda a configuração.
Se uma interface for agora desativada nas configurações, toda a configuração permanece intacta e a interface pode ser facilmente reativada, se necessário.
No estado desativado, a linha da interface é apresentada a cinzento e no Centro de Controlo, o estado é apresentado como Desligado (Turned off). Esta melhoria simplifica significativamente a gestão da firewall e poupa um tempo valioso aos administradores na configuração e gestão das interfaces de rede.
Existem algumas exceções em que a ativação/desativação de interfaces não é possível. Por exemplo, interfaces de alias ou de túnel, ou interfaces que são membros individuais de um LAG (Link Aggregation Group) ou Bridge, não podem ser desativadas. No entanto, o LAG ou a interface Bridge completa podem ser desativados.
| Tipo de interface | Suporte para ativar/desativar |
|---|---|
| Física | Sim |
| VLAN | Sim |
| LAG (Grupo) | Sim |
| Membro individual LAG | Não |
| Bridge | Sim |
| Membro individual Bridge | Não |
| Alias | Planeado |
| LAN sem fios | Sim |
| Interface de Túnel (XFRM) | Não |
| Wi-Fi | Sim |
| RED | Sim |
*Sophos Firewall v20 (SFOS v20) – Suporte para ativar/desativar interfaces
Referenciação de objetos
A novidade da “referenciação de objetos” na Sophos Firewall versão 20 resolve um desafio antigo na gestão de objetos de rede. Nas versões anteriores até à 19.5, era uma tarefa trabalhosa identificar onde um objeto específico era usado dentro da configuração antes de o poder eliminar. Isto podia causar atrasos e potenciais erros, sobretudo em ambientes de rede extensos com muitas regras e políticas.
Na versão 20, esta fragilidade foi corrigida. Nos objetos do menu “Hosts and services”, todos os objetos estão organizados em separadores e, com o SFOS v20, a Sophos Firewall mostra exatamente onde cada objeto está em uso, seja numa regra de firewall, numa regra NAT, numa configuração VPN ou como serviço num grupo. Isto facilita a identificação de dependências e ajuda a fazer as alterações necessárias antes da eliminação.
Outra funcionalidade poderosa é a ligação direta para as regras em que o objeto é utilizado. Com um único clique, o administrador pode agora navegar diretamente para a regra em questão e fazer os ajustes necessários, sem perder tempo à procura manual. Isto melhora a eficiência, reduz a probabilidade de erros e poupa tempo valioso que, de outra forma, seria gasto na gestão e verificação da configuração. A referenciação de objetos na Sophos Firewall v20 é, assim, um passo importante para simplificar a administração e evitar erros de configuração, facilitando bastante o trabalho diário dos administradores de rede.
A referenciação é atualizada uma vez por dia, mas também pode ser executada manualmente.
A Sophos chama-lhe “Quality of Life Enhancements”. Mas isto é mais uma resposta a pedidos de clientes há muito esperados.
Encaminhamento Dinâmico IPv6 (BGP)
Na Sophos Firewall v20, o suporte para routing dinâmico com IPv6 no Border Gateway Protocol (BGP) foi alargado. Esta extensão é uma atualização importante, pois o BGP é um protocolo de routing central na Internet global. Ao contrário de outros protocolos de routing, o BGP no SFOS não requer processos ou serviços separados para IPv4 e IPv6; oferece antes um serviço padronizado que simplifica a configuração e a gestão. A interface de utilizador foi alargada para que IPv4 e IPv6 possam ser configurados na mesma página, com secções próprias para as informações de routing de IPv4 e IPv6.
Delegação de Prefixo DHCP IPv6
Com a introdução da DHCP Prefix Delegation na Sophos Firewall SFOS v20, a gestão de endereços IPv6 passa a ser automatizada. Esta função permite obter prefixos de endereços IPv6 do provider e encaminhá-los para a rede LAN. Ao receber um endereço IPv6 na interface WAN, este pode agora ser utilizado na rede LAN. Através de um pedido DHCPv6 Prefix Delegation ao ISP, a firewall recebe um intervalo de endereços IPv6, que é depois distribuído aos dispositivos de rede. Estes recebem os seus endereços IPv6 globalmente roteáveis através de mensagens Router Advertisement (RA).
A DHCP Prefix Delegation simplifica significativamente a gestão de endereços IPv6 e permite uma adaptação fluida a alterações do prefixo do ISP, distribuindo automaticamente novos prefixos a todos os clientes ligados. Isto melhora a eficiência e a segurança da rede, reduz a complexidade da gestão manual de endereços e promove uma utilização mais eficiente dos endereços IPv6 na rede. Assim, determinados serviços na rede podem ser disponibilizados com os endereços IPv6 recebidos do provider.
No vídeo seguinte, a DHCP Prefix Delegation é explicada novamente.
Active Threat Response
As seguintes melhorias permitem uma comunicação fluida entre analistas de segurança e a Sophos Firewall para uma resposta proativa a ameaças identificadas.
Synchronized Security para MDR e XDR
Com Extended Detection and Response (XDR), a Sophos Firewall v20 representa um avanço significativo na defesa automatizada contra ameaças. Esta função estabelece uma ligação de informação direta entre os analistas de segurança e a firewall, permitindo uma resposta rápida e automatizada a ameaças ativas.
Os dados de ameaças podem agora ser partilhados de forma transparente com a firewall sem que seja necessário criar regras de firewall manualmente. Esta troca automática de informações permite à firewall responder proativamente a ameaças identificadas e tomar as medidas de defesa apropriadas.
Vantagens:
- Esforço administrativo manual reduzido
- Maior velocidade de resposta a ameaças
- Melhor postura geral de segurança da rede
- Resposta automatizada a ameaças
- Tempo reduzido despendido pela equipa de segurança na configuração manual e ajuste das regras da firewall
A Sophos Firewall v20 expande a Synchronized Security com Managed Detection and Response (MDR) e Extended Detection and Response (XDR). Esta extensão permite aos analistas de segurança partilhar dados de ameaças ativas diretamente com a firewall. Um destaque é a capacidade da firewall responder automaticamente a ameaças ativas, sem necessidade de criar regras de firewall separadas. Esta evolução representa um valor acrescentado significativo, uma vez que reduz claramente o tempo de resposta a ameaças e permite proteção proativa.
Dynamic Threat Feeds
A introdução dos Dynamic Threat Feeds traz um novo Threat Feed API Framework, que também será extensível. Esta função facilita a troca de dados de ameaças entre a equipa Sophos X-Ops e outros produtos Sophos, como MDR e XDR, e deverá integrar futuramente também threat feeds de terceiros. Graças a esta flexibilidade acrescida, as capacidades de Threat Intelligence da firewall são fortemente ampliadas, permitindo melhor deteção e resposta a ameaças.
Synchronized Security
A Synchronized Security será ainda mais otimizada para permitir uma resposta ainda mais eficiente a ameaças identificadas por MDR/XDR.
Um estado de saúde vermelho num endpoint ou servidor indica normalmente problemas como malware ativo ou em execução, tráfego de rede malicioso, comunicação com hosts maliciosos conhecidos, malware não removido ou um Sophos Endpoint que não está a funcionar corretamente. Nestes casos, são necessárias medidas para mitigar os riscos de segurança.
O automatismo (Lateral Movement Protection) perante um estado de saúde vermelho é agora alargado a ameaças, para garantir que hosts afetados, em caso de comprometimento, não se possam mover lateralmente na rede nem comunicar para o exterior, mantendo detalhes importantes como host, utilizador e processo facilmente acessíveis para rastreamento.
A escalabilidade da Synchronized Security também foi otimizada para facilitar a gestão em grandes ambientes de rede. Foram reduzidos falsos positivos causados pela ausência de heartbeats em dispositivos em standby ou hibernação.
Novas funcionalidades WAF
Controlo Geo IP (Bloquear países / regiões)
Na Sophos Firewall existe uma GeoIP ip2country DB, atualizada através dos pattern updates. Nas regras de firewall e NAT ou nas Local Service ACL Exception Rules, isto já podia ser usado. Após a atualização para SFOS v20, passa a ser possível na Web Application Firewall (WAF) bloquear o acesso a servidores com base na localização geográfica (endereços IP). Os utilizadores podem agora bloquear países/regiões ou continentes específicos, ou permitir o acesso apenas a partir de determinadas regiões. Esta função aumenta a segurança ao impedir o acesso a partir de regiões potencialmente maliciosas e, ao mesmo tempo, acrescenta mais uma camada de controlo de acesso.
Configuração de ciphers
A configuração personalizada de ciphers e das versões TLS permite agora utilizar encriptação mais forte (ciphers mais seguros) e excluir ciphers mais fracos. Isto oferece melhor controlo sobre a segurança da transmissão de dados entre os utilizadores e as aplicações protegidas pela WAF.
HSTS e X-Content-Type-Options
Segurança melhorada através de HSTS e X-Content-Type-Options: a implementação de HTTP Strict Transport Security (HSTS) força a utilização de HTTPS, melhorando a segurança dos browsers cliente. A definição X-Content-Type-Options ajuda a desativar o MIME type sniffing, oferecendo proteção adicional contra determinados tipos de ataque.
Integração de SD-WAN de terceiros
Suponhamos que uma empresa tem vários locais com redes próprias que têm de estar interligadas para partilhar dados e recursos de forma eficiente. Em vez da solução MPLS tradicional, dispendiosa e menos flexível, a SD-WAN (Software-Defined Wide Area Network) oferece uma alternativa mais ágil e económica.
Através da integração de SD-WAN de terceiros na Sophos Firewall v20, o tráfego pode ser transferido de forma transparente para as poderosas redes backbone da Cloudflare, Akamai ou Azure. Por exemplo, uma empresa que necessita de uma ligação mais rápida e segura entre os seus locais pode encaminhar o tráfego através da rede backbone do Azure para beneficiar do seu alcance global e dos seus robustos serviços de segurança. Isto melhora a performance, a segurança e a fiabilidade, ao mesmo tempo que pode reduzir a complexidade e os custos da rede.
O onramping para redes backbone de fornecedores como Cloudflare, Akamai ou Azure cria uma ponte entre a rede local e as extensas infraestruturas de rede desses fornecedores. A integração de soluções SD-WAN de terceiros na Sophos Firewall v20 simplifica este processo.
Gateway ZTNA
Esta funcionalidade não é nova por si só, uma vez que já foi integrada na firewall com o SFOS 19.5 MR3, no entanto, a Sophos lista-a novamente entre as novidades no SFOS v20.
O artigo sobre este tema encontra-se aqui: Sophos ZTNA Gateway no Sophos Firewall
