Sophos Firewall v20 - Melhores funcionalidades no novo Release SFOS
As versões principais são, de longe, as mais emocionantes do ano e, com a Sophos Firewall v20, mais precisamente SFOS v20, a Sophos traz algumas funcionalidades novas realmente fantásticas. Atualmente, trata-se da EAP1, ou seja, uma versão de Acesso Antecipado. A versão final só deverá ser lançada no final do ano ou no início de 2024, se a Sophos se mantiver fiel ao seu esquema.
Web Admin otimizado para 1920p
Na lista de funcionalidades da Sophos, esta inovação encontra-se no final, entre as melhorias menos importantes incluídas na nova versão. Suporte para ecrãs de alta resolução. Os números da Statista mostram que os monitores de 1980p já são mais do que padrão desde 2018 – esta funcionalidade está, portanto, muito atrasada. Celebro esta funcionalidade de forma extrema. 🥳 Era extremamente irritante que tanto espaço em branco permanecesse inutilizado e, em vez disso, o texto fosse cortado.
No entanto, nem tudo está ainda otimizado para 1920p e em muitos locais na GUI, por exemplo, no painel de controlo, ainda precisa de alguma atenção. No entanto, isto deverá ser fornecido com a v20.5.
Se analisarmos a diferença entre o SFOS v19.5 e o SFOS v20, obtemos finalmente mais espaço.
No entanto, o mérito aqui não é da Sophos, mas de alguns grandes parceiros da Sophos que sugeriram ao fabricante a sua implementação. Assim, muito obrigado por isso.
Melhorias VPN
A Sophos Firewall v20 traz diversas inovações na área de VPN. Comecemos pela maior alteração.
Portal VPN
Com a atualização para SFOS v20, as funcionalidades VPN do Portal do Utilizador serão transferidas para o novo Portal VPN. Assim, no futuro, haverá dois portais para o utilizador, desde que o Portal do Utilizador continue a ser frequentemente utilizado. Mais sobre isso no final.
O novo Portal VPN no SFOS v20 centraliza as funções específicas de VPN que anteriormente estavam no Portal do Utilizador.
- Download do Sophos Connect Client para Windows e macOS
- Download da configuração para Remote SSL VPN e IPsec
- Acesso a marcadores sem cliente
A contentorização minimiza o acesso aos componentes centrais do SFOS, o que torna a utilização via WAN mais segura. As funções relativas a métodos de autenticação ou MFA permanecem as mesmas do Portal do Utilizador.
A migração para SFOS 20.0 assume automaticamente as configurações existentes do portal do utilizador para o portal VPN, o que facilita a transição. No entanto, existe agora uma nova porta para o portal do utilizador e o portal VPN funciona na porta anterior.
O que muda para os portais após a atualização para SFOS v20?
| Portal VPN | Portal do Utilizador |
|---|---|
| Porta padrão: 443 Isto significa que as implementações VPN de acesso remoto existentes continuam a funcionar sem problemas. | Porta padrão: 4443 |
| A porta pode ser partilhada com os seguintes serviços: - WAF - SSL VPN | A porta não pode ser utilizada para nenhum outro serviço. |
| Transferir: - Sophos Connect Client - Config. IPsec e SSL VPN - Config. VPN iOS Os utilizadores convidados não têm acesso ao portal VPN. | O Cliente VPN e as Configurações estão agora no Portal VPN. |
| - Auto-Provisionamento para Sophos Connect Client - Recolha de configuração VPN via portal VPN - Com porta padrão 443, as implementações existentes permanecem inalteradas | Movido para o Portal VPN |
| Acesso sem cliente a marcadores | Movido para o Portal VPN |
| - | - Outras transferências de clientes - Utilização da Internet - Quarentena de e-mail e exceções - Violação de políticas - Hotspots sem fios |
Mais informações sobre o tópico podem ser encontradas na KB da Sophos: Novo portal VPN no SFOS 20.0 e posteriores
Pode ver-se agora claramente quais as funções que permanecem no Portal do Utilizador. Uma análise da base de utilizadores destas funções mostra que apenas um número muito reduzido dos nossos clientes as utilizava, o que significa que o Portal do Utilizador será, doravante, menos frequentemente utilizado.
Failover Stateful HA IPsec VPN
Na Sophos Firewall v20, é introduzido o Failover de Alta Disponibilidade (HA) com estado para ligações IPsec VPN. Esta nova funcionalidade permite que, em caso de failover, as ligações IPsec VPN existentes sejam transferidas de forma transparente para o nó de espera, sem que as sessões sejam interrompidas. É importante salientar quais as ligações VPN que beneficiam desta melhoria e quais não.
A melhoria afeta as seguintes ligações VPN:
- VPNs IPsec Site-to-Site (baseadas em rota e baseadas em política)
- VPNs IPsec de Acesso Remoto
Isto significa que tanto as VPNs de Acesso Remoto como as VPNs Site-to-Site podem ser continuadas em caso de failover sem ter que restabelecer a ligação.
No contexto das VPNs IPsec, esta função é particularmente útil, pois acelera a restauração das ligações em caso de failover e, consequentemente, aumenta a disponibilidade da rede. Especialmente na restauração da ligação, surgiam repetidamente problemas e as ligações VPN tinham de ser restauradas manual ou automaticamente com um certo atraso após um failover. Isso podia levar a interrupções nos serviços de rede, o que por sua vez afetava os processos de negócio. Agora, no máximo, perdem-se alguns pings, mas a ligação permanece.
Com a melhoria dos Stateful HA Failovers na Sophos Firewall v20, mesmo as grandes organizações que dependem de alta disponibilidade podem agora beneficiar de maior estabilidade e funcionamento suave. As novas opções de linha de comando para gerir as configurações também contribuem para a flexibilidade e controlo necessários ao lidar com as ligações VPN.
Outras ligações VPN, como SSL VPN e ligações Sophos RED, não são afetadas por esta melhoria específica de failover, mas a experiência demonstra que também funcionam melhor ao estabelecer uma ligação.
Suporte de Anfitrião FQDN para SSL VPN
No SFOS v20, foi adicionado suporte para Nomes de Domínio Totalmente Qualificados (FQDN) na funcionalidade SSL VPN. Com esta nova funcionalidade, as ligações SSL VPN podem agora ser configuradas com base em nomes de domínio em vez de apenas endereços IP. Isto é particularmente útil em ambientes de rede dinâmicos, onde os endereços IP dos pontos de extremidade podem mudar, uma vez que as alterações nos endereços de rede já não precisam de ser atualizadas manualmente na configuração VPN.
O suporte FQDN também facilita a integração com serviços DNS, o que simplifica a resolução de nomes de rede e pode melhorar o desempenho geral das ligações SSL VPN.
Além disso, o suporte FQDN permite uma criação mais precisa de políticas de segurança baseadas em nomes de domínio, o que permite o controlo do acesso à rede.
SNMP – Monitorizar o estado do túnel VPN IPsec
No SFOS v20 da Sophos Firewall, foi adicionada a função de monitorizar o estado dos túneis VPN IPsec através do Protocolo Simples de Gestão de Rede (SNMP). Esta funcionalidade também estava na nossa lista de desejos há algum tempo e agora simplifica a monitorização de outros serviços.
O componente central desta função é o ficheiro Management Information Base (MIB) fornecido pela Sophos Firewall. O ficheiro MIB é importado para a ferramenta SNMP e permite o acesso a uma variedade de pontos de dados que fornecem informações importantes sobre o estado, o desempenho e os possíveis erros dos túneis VPN IPsec. Isso permite que os administradores realizem monitorização e análise detalhadas das atividades do túnel.
Azure AD – SSO de Captive Portal e Importação de Grupos
A Sophos Firewall v20 traz integrações estendidas com o Azure Active Directory (Azure AD) através de duas novas funcionalidades: SSO do Azure AD para Captive Portal e Importação de Grupos do Azure e RBAC.
A funcionalidade SSO do Azure AD para Captive Portal permite que os utilizadores se autentiquem no Captive Portal utilizando as suas credenciais do Azure AD. Isso simplifica o processo de autenticação, permitindo que os utilizadores utilizem as suas credenciais do Azure AD existentes.
A segunda inovação, Importação de Grupos do Azure e RBAC, adiciona uma nova função de assistente de importação para grupos do Azure AD e permite a promoção automática de alterações de administrador baseadas em funções. Com esta função, os administradores podem importar facilmente grupos do Azure AD para o Sophos Firewall e utilizá-los para controlo de acesso baseado em funções (RBAC). A função de promoção automática simplifica a gestão de funções e direitos de utilizador, promovendo automaticamente as alterações na atribuição de administradores baseada em funções.
A expansão do Azure AD é um avanço, mas infelizmente, ainda teremos de esperar pelo uso do login do Azure AD para o Portal VPN, VPN IPsec remoto ou SSL VPN. Assim, esperamos por atualizações. 😩
Para configurar o Azure AD na própria firewall, estes links ajudam:
- Configurar uma Aplicação Azure
- Sophos Firewall v21.5: Integração SSO do Entra ID para Sophos Connect Client
Ativar / Desativar Interfaces
Uma função há muito esperada para administradores foi integrada. A ativação e desativação de interfaces. Esta função útil já estava disponível no sistema operativo anterior do Sophos UTM e o SFOS v20 cumpre agora o desejo dos administradores de trazer esta funcionalidade de volta.
Anteriormente, uma interface só podia ser completamente desativada, o que resultava na perda de toda a configuração.
Se uma interface for agora desativada nas configurações, toda a configuração permanece intacta e a interface pode ser facilmente reativada, se necessário.
No estado desativado, a linha da interface é apresentada a cinzento e no Centro de Controlo, o estado é apresentado como Desligado (Turned off). Esta melhoria simplifica significativamente a gestão da firewall e poupa um tempo valioso aos administradores na configuração e gestão das interfaces de rede.
Existem algumas exceções em que a ativação/desativação de interfaces não é possível. Por exemplo, interfaces de alias ou de túnel, ou interfaces que são membros individuais de um LAG (Link Aggregation Group) ou Bridge, não podem ser desativadas. No entanto, o LAG ou a interface Bridge completa podem ser desativados.
| Tipo de interface | Ativar/Desativar Suportado |
|---|---|
| Física | Sim |
| VLAN | Sim |
| LAG (Grupo) | Sim |
| Membro individual LAG | Não |
| Bridge | Sim |
| Membro individual Bridge | Não |
| Alias | Planeado |
| LAN sem fios | Sim |
| Interface de Túnel (XFRM) | Não |
| Wi-Fi | Sim |
| RED | Sim |
*Sophos Firewall v20 (SFOS v20) – Suporte para Ativar/Desativar Interface
Referência de Objeto
A inovação da “Referência de Objetos” na Sophos Firewall versão 20 aborda um desafio anterior na gestão de objetos de rede. Em versões anteriores até 19.5, era uma tarefa tediosa identificar onde um objeto específico era usado dentro da configuração antes de poder ser excluído. Isso podia levar a atrasos e potenciais erros, especialmente em ambientes de rede extensos com uma infinidade de regras e políticas.
Na versão 20, esta vulnerabilidade foi corrigida. Nos objetos do menu “Hosts e serviços”, todos os objetos são organizados em separadores e com o SFOS v20, a Sophos Firewall mostra exatamente onde este objeto está em uso, seja numa regra de firewall, numa regra NAT, numa configuração VPN ou num serviço num grupo. Isso facilita a identificação de dependências e ajuda a fazer as alterações necessárias antes da eliminação.
Outra funcionalidade poderosa é a ligação direta às regras onde o objeto é utilizado. Com um único clique, o administrador pode agora navegar diretamente para a regra relevante e fazer os ajustes necessários, sem perder tempo a procurar manualmente a regra. Isso melhora a eficiência, minimiza a suscetibilidade a erros e poupa um tempo valioso que de outra forma teria de ser gasto na gestão e verificação da configuração. A referência de objetos na Sophos Firewall v20 é, portanto, um passo significativo para simplificar a gestão e evitar erros de configuração, o que facilita consideravelmente o trabalho diário dos administradores de rede.
A referenciação é atualizada uma vez por dia, mas também pode ser executada manualmente.
A Sophos chama-lhe “Melhorias na Qualidade de Vida”. Mas isso é mais como atender a pedidos de clientes há muito esperados.
Encaminhamento Dinâmico IPv6 (BGP)
Na Sophos Firewall v20, o suporte para encaminhamento dinâmico com IPv6 no Border Gateway Protocol (BGP) foi estendido. Esta extensão é uma atualização importante, pois o BGP é um protocolo de encaminhamento central na Internet global. Ao contrário de outros protocolos de encaminhamento, o BGP no SFOS não requer processos ou serviços separados para IPv4 e IPv6, mas oferece um serviço padronizado que simplifica a configuração e a gestão. A interface do utilizador foi estendida para que IPv4 e IPv6 possam ser configurados na mesma página, com secções separadas disponíveis para as informações de encaminhamento de IPv4 e IPv6.
Delegação de Prefixo DHCP IPv6
Com a introdução da Delegação de Prefixo DHCP na Sophos Firewall SFOS v20, a gestão de endereços IPv6 é automatizada. Esta função permite obter prefixos de endereços IPv6 do provedor e encaminhá-los para a rede LAN. Ao receber um endereço IPv6 na interface WAN, este pode agora ser utilizado na rede LAN. Através de um pedido de Delegação de Prefixo DHCPv6 ao ISP, a Firewall recebe um intervalo de endereços IPv6, que é então transmitido aos dispositivos de rede. Estes recebem os seus endereços IPv6 globalmente encaminháveis através de mensagens Router Advertisement (RA).
A Delegação de Prefixo DHCP simplifica significativamente a gestão de endereços IPv6 e permite uma adaptação fluida às mudanças do prefixo do ISP, distribuindo automaticamente novos prefixos a todos os clientes conectados. Isso melhora a eficiência e a segurança da rede, reduz a complexidade da gestão manual de endereços e promove um uso mais eficiente dos endereços IPv6 na rede. Assim, certos serviços na rede podem ser oferecidos com os endereços IPv6 recebidos do provedor.
No vídeo seguinte, a Delegação de Prefixo DHCP é explicada novamente.
Resposta Ativa a Ameaças
As seguintes melhorias permitem uma comunicação fluida entre os analistas de segurança e a Sophos Firewall para uma resposta proativa a ameaças identificadas.
Segurança Sincronizada para MDR e XDR
Com Extended Detection and Response (XDR), a Sophos Firewall v20 representa um avanço significativo na defesa automatizada contra ameaças. Esta função estabelece uma ligação de informação direta entre os analistas de segurança e a firewall, permitindo uma resposta rápida e automatizada a ameaças ativas.
Os dados de ameaças podem agora ser partilhados de forma transparente com a firewall sem que seja necessário criar regras de firewall manualmente. Este intercâmbio automático de informações permite à firewall responder proativamente a ameaças identificadas e tomar as medidas de defesa apropriadas.
Vantagens:
- Esforço administrativo manual reduzido
- Velocidade de resposta a ameaças aumentada
- Postura geral de segurança da rede melhorada
- Resposta automatizada a ameaças
- Tempo reduzido despendido pela equipa de segurança na configuração manual e ajuste das regras da firewall
A Sophos Firewall v20 estende a Segurança Sincronizada para incluir Managed Detection and Response (MDR) e Extended Detection and Response (XDR). Esta extensão permite aos analistas de segurança partilhar dados de ameaças ativas diretamente com a firewall. Um destaque é que a firewall é capaz de responder automaticamente a ameaças ativas, sem ter que criar regras de firewall separadas. Este desenvolvimento representa um valor acrescentado significativo, uma vez que reduz significativamente o tempo de resposta a ameaças e permite uma proteção proativa.
Feeds de Ameaças Dinâmicos
A introdução dos Dynamic Threat Feeds traz um novo Threat Feed API Framework, que também será extensível. Esta função facilita o intercâmbio de dados de ameaças entre a equipa Sophos X-Ops, outros produtos Sophos, como MDR e XDR, e deverá no futuro integrar também feeds de ameaças de terceiros. Graças a esta flexibilidade acrescida, as capacidades de Threat Intelligence da firewall são fortemente expandidas, o que permite uma melhor deteção e resposta a ameaças.
Segurança Sincronizada
A Segurança Sincronizada será otimizada ainda mais para permitir uma resposta ainda mais eficiente a ameaças identificadas por MDR/XDR.
Um status de saúde vermelho num endpoint ou servidor geralmente indica problemas como malware ativo ou em execução, tráfego de rede malicioso, comunicação com hosts maliciosos conhecidos, malware não removido ou um Sophos Endpoint que não está funcionando corretamente. Nesses casos, são necessárias medidas para resolver os riscos de segurança.
O automatismo (Proteção contra Movimento Lateral) com um Status de Saúde vermelho é agora estendido às Ameaças para garantir que os hosts afetados, em caso de comprometimento, não possam mover-se lateralmente dentro da rede ou comunicar externamente, enquanto detalhes importantes como host, utilizador e processo são facilmente acessíveis para rastreamento.
A escalabilidade da Segurança Sincronizada também foi otimizada para facilitar a gestão em grandes ambientes de rede. Os falsos positivos devido à falta de heartbeats em dispositivos em standby ou hibernação foram reduzidos.
Novas Funcionalidades WAF
Controlo Geo IP (Bloquear países / regiões)
A Sophos Firewall tem uma base de dados Geoip ip2country, que é atualizada por atualizações de padrões. Nas regras de firewall e NAT ou nas Regras de Exceção ACL de Serviço Local, isso já podia ser usado. Após a atualização para SFOS v20, é possível no Web Application Firewall (WAF) bloquear o acesso a servidores com base na localização geográfica (endereços IP). Os utilizadores podem agora bloquear países/regiões ou continentes específicos ou permitir o acesso apenas de certas regiões. Esta função aumenta a segurança, impedindo o acesso de regiões potencialmente maliciosas e, ao mesmo tempo, fornece uma camada adicional de controlo de acesso.
Configuração de Cifragem
A configuração personalizada de cifras e as definições de versão TLS permitem agora que se utilizem criptografias mais fortes (cifras mais seguras) e que se excluam as mais fracas. Isso permite um melhor controlo sobre a segurança da transmissão de dados entre os utilizadores e as aplicações protegidas pelo WAF.
HSTS e X-Content-Type-Options
Segurança aprimorada através de HSTS e X-Content-Type-Options podem agora forçar a implementação de HTTP Strict Transport Security (HSTS), o que melhora a segurança dos navegadores clientes. A configuração X-Content-Type-Options ajuda a desabilitar o MIME-Type-Sniffing, fornecendo proteção adicional contra certos tipos de ataques.
Integração de SD-WAN de terceiros
Suponhamos que uma empresa tenha vários locais com as suas próprias redes que precisam de ser interligados para partilhar dados e recursos de forma eficiente. Em vez da solução MPLS tradicional, que é dispendiosa e menos flexível, a SD-WAN (Software-Defined Wide Area Network) oferece uma alternativa mais ágil e económica.
Através da integração de SD-WAN de terceiros na Sophos Firewall v20, o tráfego pode ser transferido de forma transparente para as poderosas redes de backbone da Cloudflare, Akamai ou Azure. Por exemplo, uma empresa que necessita de uma ligação mais rápida e segura entre os seus locais pode encaminhar o tráfego através da rede de backbone do Azure para beneficiar da sua abrangência global e dos seus robustos serviços de segurança. Isso melhora o desempenho, a segurança e a fiabilidade, ao mesmo tempo que reduz a complexidade e os custos da rede.
O “onramping” para as redes backbone de fornecedores como a Cloudflare, Akamai ou Azure cria uma ponte entre a rede local e as extensas infraestruturas de rede desses fornecedores. A integração de soluções SD-WAN de terceiros na Sophos Firewall v20 simplifica este processo.
Gateway ZTNA
Esta funcionalidade não é nova por si só, uma vez que já foi integrada na firewall com o SFOS 19.5 MR3, no entanto, a Sophos lista-a novamente entre as novidades no SFOS v20.
O artigo sobre este tópico pode ser encontrado aqui: Gateway ZTNA Sophos na Sophos Firewall
