Sophos Firewall v21: Novas funções e melhorias

O Sophos Firewall v21 está oficialmente disponível desde 17 de outubro e neste artigo descrevemos as novas funções desta versão.

⚠️ Atualização para Sophos Firewall v21

• ✅ Appliances XGS
• ✅ Instalar VMs ou software Sophos Firewall
• ❌ Appliances Fim de Vida
• ❌ Appliances SG com Sophos Firewall OS Fim de Vida

A atualização para o Sophos Firewall v21 está disponível exclusivamente para appliances XGS, bem como firewalls VM e software. Appliances XG e appliances SG com SFOS não receberão mais esta atualização e atingirão o Fim de Vida (EOL) em 31 de março de 2025. Todos os afetados pelo Fim de Vida serão informados novamente sobre todos os detalhes no artigo XG End-of-Life.

Let’s Encrypt

Com a versão 21 do Sophos Firewall, pode utilizar o Let’s Encrypt para obter, renovar e gerir certificados SSL/TLS gratuitamente e de forma automatizada. A integração do Let’s Encrypt no Sophos Firewall v21 permite um manuseamento mais fácil de certificados e garante que sejam renovados automaticamente a tempo antes de expirarem.

FINALMENTE! Há anos que esta é provavelmente uma das funcionalidades mais desejadas e a Sophos demorou realmente muito tempo aqui, embora o FortiGate seja capaz de fazer isto há mais de um ano 🫣.

Criação automática de certificados

Os certificados Let’s Encrypt são válidos por 90 dias e são renovados automaticamente pelo Sophos Firewall 30 dias antes de expirarem. Isso reduz significativamente o esforço manual para a gestão de certificados e garante que o firewall trabalhe sempre com certificados válidos.

Interfaces suportadas

Os certificados Let’s Encrypt podem ser usados no firewall para vários serviços web:

• Consola de administração web
• Portal do utilizador
• Portal cativo
• Portal VPN
• Portal SPX
• WAF (Web Application Firewall)

No entanto, o Let’s Encrypt não é suportado para os seguintes serviços:

• VPN de acesso remoto
• VPN site-to-site
• SSO Chromebook

Validação de domínio via HTTP

Os certificados são validados através do mecanismo de desafio-resposta HTTP. Aqui, o firewall cria uma configuração temporária de servidor web, bem como uma política WAF, para superar o desafio e validar o domínio. As regras temporárias de firewall e o servidor web virtual são removidos automaticamente após a emissão bem-sucedida do certificado.

Gestão de domínios

Pode solicitar certificados para até 50 domínios, sendo suportados apenas nomes de domínio totalmente qualificados (FQDNs). Domínios curinga e endereços IP não são permitidos.

Usar certificados Let’s Encrypt

Para criar um certificado Let’s Encrypt, registe uma conta no Let’s Encrypt no firewall, adicione os domínios desejados e configure a interface WAN para validação de domínio HTTP via porta 80. É importante que as entradas DNS apontem para o IP público do firewall.

Os certificados emitidos podem então ser usados para a consola WebAdmin, portais de utilizador e o Web Application Firewall (WAF) para garantir conexões HTTPS seguras.

Um guia detalhado está disponível neste vídeo:

Melhorias de UX e UI

Central UI agora no firewall

Com a atualização para o Sophos Firewall v21, a interface do utilizador foi revista para melhorar a navegação e a visão geral dos dados. A nova barra lateral e o esquema de cores adaptado garantem uma estrutura mais clara. O painel de controlo utiliza agora melhor o espaço de ecrã disponível, escalando para uma largura de até 1920 píxeis. Isso permite exibir mais informações simultaneamente, o que facilita a visão geral.

Os widgets também foram adaptados para tornar mais informações acessíveis num relance. A visualização em cartões simplifica a separação das diferentes categorias de dados. Estas alterações permitem um acesso mais rápido a informações relevantes para a segurança e mensagens de estado do sistema.

No geral, a interface revista visa tornar a interação com o firewall mais eficiente e é claro que é bom ver que a Sophos está finalmente a fazer algo nesta área novamente. Espero que os tópicos Ocultar mensagens de aviso no painel de controlo e Desempenho de backend também sejam abordados em breve.

Referenciação de objetos

A funcionalidade de referenciação de objetos foi adicionada ao Sophos Firewall com a v20.

No Sophos Firewall v21, oferecem uma forma de rastrear o uso de objetos como interfaces, zonas, gateways ou perfis SD-WAN na configuração. As alterações a um objeto podem ser feitas de forma direcionada graças à transparência dos locais de uso. A limpeza de objetos que já não são usados também é facilitada, pois pode-se ver rapidamente se ainda estão em uso ou se podem ser removidos.

API de referência de objetos

A API de referência de objetos introduzida no Sophos Firewall v21 permite recuperar automaticamente a contagem de utilização de objetos de configuração. A API pode ser usada para obter rapidamente uma visão geral de quantas vezes um objeto é usado na configuração. Isto é particularmente útil quando se tem de gerir um grande número de hosts ou interfaces.

A API permite a consulta programática da contagem de referências e suporta opções de filtragem para pesquisar especificamente certos objetos. Esta funcionalidade oferece uma forma eficiente de identificar objetos não utilizados e removê-los, se necessário. A API também pode ser integrada em processos de automação, o que poupa tempo em tarefas recorrentes, como a limpeza do sistema.

Feeds de ameaças de terceiros

Com o Sophos Firewall v21, a integração de feeds de ameaças de terceiros para defesa automática contra ameaças é suportada. Esta função estende a integração de inteligência de ameaças existente da Sophos X-Ops e Sophos MDR com fontes de dados de ameaças externas. O Sophos Firewall pode agora processar automaticamente indicadores de ameaça de terceiros, Managed Service Providers (MSPs) ou consórcios específicos da indústria e bloquear ameaças em vários subsistemas.

Bloqueio automatizado

Assim que indicadores de ameaça são fornecidos por um feed de terceiros, eles são automaticamente integrados nas regras do firewall. Ameaças como endereços IP, domínios e URLs maliciosos são imediatamente bloqueados em todos os módulos de segurança relevantes – estes incluem o próprio firewall, IPS (Sistema de Prevenção de Intrusões), listas de bloqueio DNS, filtros web e Deep Packet Inspection (DPI).

Intervalo de polling

A frequência com que o firewall atualiza os feeds é ajustável de forma flexível. Os administradores podem definir o intervalo entre uma hora e até 30 dias. Isso permite controlar a atualização dos dados de ameaças conforme necessário.

Suporte para múltiplos feeds

O Sophos Firewall pode gerir até 50 fontes diferentes de feeds de ameaças. Estes feeds devem estar num formato específico – cada Indicador de Compromisso (IOC) é transmitido como uma única linha num ficheiro .txt via HTTPS.

Autenticação e segurança

A integração de feeds de ameaças externos geralmente requer autenticação. O Sophos Firewall suporta vários métodos de autenticação, incluindo Autenticação Básica e autenticação baseada em tokens. Isso garante que apenas fontes de dados de ameaças autorizadas sejam usadas.

Ao suportar feeds externos, a capacidade de defesa do firewall é decisivamente melhorada. Ameaças de feeds específicos da indústria ou regionais podem assim ser detetadas e bloqueadas sem ter de criar manualmente regras de firewall adicionais.

Fornecedor de Threat Feeds

Aqui está uma pequena seleção de fornecedores que disponibilizam feeds de ameaças.

Cybora

Cybora fornece um feed curado de inteligência de ameaças que combina dados de centenas de firewalls em todo o mundo, fontes da comunidade e feeds comerciais.

O foco está em indicadores ativos e de alto risco, como servidores command-and-control, varredura de botnets, ataques de força bruta e infraestrutura de phishing. Graças a scoring, desduplicação e uma lógica curta de expiração, as listas permanecem atuais, limpas e práticas.

A entrega é feita como listas simples de IPs e domínios via HTTPS e é atualizada várias vezes por dia. Cybora é compatível com Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks e outras plataformas.

Cybora especializou-se no uso com firewalls e, do nosso ponto de vista, oferece uma relação preço-desempenho muito forte. É a solução que preferimos usar nos nossos clientes. (Avanet ❤️ Cybora)

• Detalhes da solução: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec é uma solução open-source para defesa contra ameaças cibernéticas, apoiada por inteligência de multidão. Oferece listas de bloqueio automatizadas e feeds de ameaças recolhidos de uma comunidade global. O CrowdSec ajuda a identificar e bloquear ameaças em tempo real, agregando informações sobre ameaças de muitos participantes.

GreyNoise

GreyNoise concentra-se na análise de “ruído da Internet” examinando entradas de rede globais para identificar quais atividades são provavelmente maliciosas. Filtra dados de tráfego de rede prejudiciais que não representam um ataque direto à sua própria infraestrutura, ajudando assim a reduzir falsos alarmes e priorizar ameaças reais.

Cisco Talos

Talos é a unidade de pesquisa de ameaças da Cisco e oferece um dos maiores feeds de inteligência de ameaças comerciais do mundo. Inclui informações detalhadas sobre ameaças globais, vulnerabilidades e atacantes. Talos apoia a deteção e defesa de ataques cibernéticos com dados de ameaças atuais.

Abuse.ch / URLhaus

Abuse.ch é uma plataforma especializada em rastrear e bloquear domínios e endereços IP maliciosos, especialmente malware e botnets. URLhaus é um projeto da Abuse.ch que se concentra em reportar e bloquear URLs que distribuem malware.

Hakk Solutions

Hakk Solutions é um fornecedor de informações e serviços de segurança especializado em inteligência de ameaças e monitorização de segurança. Os serviços incluem dados de ameaças que podem ser usados para identificar e repelir ataques cibernéticos.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide oferece feeds de inteligência open-source (OSINT) baseados em informações disponíveis publicamente. Estes feeds contêm dados sobre endereços IP, URLs e domínios maliciosos recolhidos de várias fontes disponíveis publicamente.

CINS Score (CINSscore.com)

CINS Score oferece dados de ameaças baseados na análise de tráfego de rede, ajudando a identificar hosts e redes prejudiciais. Utiliza machine learning e algoritmos heurísticos para avaliar endereços IP potencialmente perigosos.

EclecticIQ

EclecticIQ fornece dados de ameaças e análises para empresas e operações de segurança. O fornecedor oferece serviços abrangentes de inteligência de ameaças que permitem detetar ameaças e responder a elas.

Feodo Tracker

Feodo Tracker é outro projeto da Abuse.ch especializado no rastreio de botnets, especialmente Feodo, Dridex e Emotet. Fornece informações sobre os servidores que estas botnets usam para controlo, ajudando a identificar e bloquear atividades maliciosas.

DigitalSlide Threat Intel

DigitalSide oferece feeds de inteligência de ameaças com foco em inteligência open-source (OSINT). Recolhe informações disponíveis publicamente sobre endereços IP, domínios e URLs maliciosos. Estes feeds são particularmente úteis para identificar ameaças precocemente, uma vez que se baseiam num vasto espectro de fontes de dados disponíveis publicamente e são atualizados regularmente.

Proofepoint - Emerging Threat Intelligence

Proofpoint oferece informações abrangentes sobre ameaças através do seu feed de inteligência de ameaças emergentes. Este serviço concentra-se em fornecer atualizações em tempo real sobre ameaças emergentes, incluindo novas técnicas de ataque e vulnerabilidades. Proofpoint utiliza machine learning e análises de especialistas para fornecer insights detalhados sobre ameaças globais, ajudando as empresas a responder especificamente a ataques cibernéticos.

Indicadores de ameaça de endpoint

O Sophos Firewall v21 oferece a capacidade de integrar e analisar Indicadores de Compromisso (IoC) de endpoints. Tanto endpoints geridos como não geridos são suportados. Assim que um endpoint deteta atividade maliciosa, essa informação é transmitida ao firewall. O firewall analisa estes IoC e bloqueia atividades suspeitas.

Esta função é particularmente útil para melhorar a sincronização entre endpoints e o firewall. Tentativas de ameaça detetadas nos endpoints podem assim ser paradas diretamente em toda a rede. Esta análise em tempo real contribui para uma resposta rápida a ameaças e contenção de ataques.

Telemetria sincronizada

O firewall é capaz de correlacionar tentativas de ameaça de endpoints, incluindo detalhes como processos e aplicações executados. Isso melhora a deteção e análise de ameaças. Assim que um endpoint deteta atividade suspeita, esta informação é automaticamente transmitida ao firewall para bloquear a ameaça em várias camadas de rede.

Bloqueio automático de ameaças

Se um processo prejudicial for detetado num endpoint gerido, o firewall bloqueia automaticamente o endereço IP, domínio ou URL associado. Isso aplica-se a subsistemas como o firewall, listas de bloqueio DNS, filtros web e Deep Packet Inspection. Esta integração perfeita entre firewall e endpoints reduz significativamente o tempo de resposta a ameaças.

Um exemplo seria um endpoint não gerido a tentar aceder a um URL malicioso. O firewall interviria imediatamente e bloquearia o acesso sem que o próprio endpoint necessitasse de configurações especiais para isso. Isso também protege dispositivos que não são geridos diretamente pelo Sophos Endpoint Security.

A capacidade de processar IoC de endpoints oferece aos administradores uma camada adicional de defesa, uma vez que o firewall reage não apenas ao tráfego de rede, mas também a informações detalhadas sobre ameaças dos próprios endpoints.

Proteção contra movimentos laterais

A proteção contra movimentos laterais é mencionada novamente no Sophos Firewall v21, uma vez que melhorias e otimizações significativas foram feitas nesta versão. Na v21, a integração e coordenação com outras funções de segurança como Synchronized Security e Active Threat Response (ATR) foram particularmente melhoradas. O firewall pode agora responder mais rápida e eficientemente a ameaças isolando automaticamente dispositivos comprometidos e bloqueando a propagação de ameaças na rede.

A proteção contra movimentos laterais impede que as ameaças se espalhem na rede isolando dispositivos comprometidos. Assim que um endpoint é reconhecido como comprometido, a comunicação com outros dispositivos na rede é bloqueada. O firewall também partilha esta informação com outros endpoints, que então também bloqueiam o acesso à rede para o dispositivo comprometido.

Esta função aumenta a segurança em toda a rede impedindo que as ameaças se movam horizontalmente de um dispositivo para o próximo. É particularmente útil em grandes redes onde o isolamento rápido de dispositivos infetados pode ser crucial para prevenir um incidente.

Bloqueio de endereço MAC

Quando um endpoint é reconhecido como comprometido, o firewall partilha o endereço MAC deste dispositivo com todos os outros endpoints na rede. Os endpoints bloqueiam então o acesso à rede para o dispositivo infetado. Isso garante que as ameaças não possam ser mais espalhadas na rede.

Estado de Heartbeat

O firewall monitoriza continuamente o estado de Heartbeat dos endpoints. Assim que um endpoint é identificado como comprometido, o estado de Heartbeat fica vermelho, desencadeando um mecanismo de bloqueio imediato. A comunicação do endpoint comprometido é imediatamente interrompida, permitindo uma contenção eficaz da ameaça.

Um cenário típico seria um endpoint a tentar mover-se lateralmente na rede após ser comprometido. Com a proteção contra movimentos laterais ativada, este endpoint é imediatamente isolado e a sua comunicação bloqueada. Isso impede a propagação de malware, como ransomware, que poderia tentar infetar mais dispositivos.

Um pré-requisito para esta função é que o firewall e os endpoints Sophos estejam ligados via Sophos Central. Isso permite a sincronização entre as soluções de segurança e garante que as ameaças possam ser rapidamente detetadas e isoladas.

Relatórios de Ameaças e IoC

O Sophos Firewall v21, tal como os seus antecessores, oferece funções de relatório disponíveis tanto no dispositivo (OnBox) como na nuvem via Sophos Central. Estes relatórios permitem analisar ameaças e atividades de rede em detalhe e oferecem insights valiosos sobre o estado de segurança da rede.

No Sophos Firewall v21, as funções de relatório foram expandidas através da integração de Fontes de Ameaças e Eventos de Ameaças, bem como suporte para Indicadores de Compromisso Sincronizados (IoC). O que é novo é que os relatórios agora fornecem informações detalhadas sobre as fontes das ameaças e os seus eventos específicos. Pode-se agora rastrear tentativas de ameaça com precisão, vendo que dispositivos, endereços IP ou utilizadores estiveram envolvidos e que módulos de firewall bloquearam a ameaça.

Particularmente notável é o suporte para IoC Sincronizados. Dados de ameaças do Sophos Central e Sophos Managed Detection and Response (MDR), bem como de feeds de terceiros, são sincronizados. Esta extensão torna possível obter insights mais profundos sobre ameaças analisando mais precisamente os processos e endpoints afetados. Isso permite que os administradores não só vejam onde ocorreram as ameaças, mas também como afetam endpoints e componentes de rede.

Neste vídeo, o tópico de feeds de ameaças de terceiros é explicado novamente em detalhe:

Melhorias de rota estática e VPN

Melhorias de UX de VPN

Com a versão 21 do Sophos Firewall, várias melhorias de interface do utilizador (UX) para gerir conexões VPN foram introduzidas para tornar a operação mais eficiente.

Ativação e desativação em massa

Os administradores podem agora ativar ou desativar várias conexões VPN simultaneamente.

Isso poupa tempo considerável, especialmente ao gerir grandes redes com muitos túneis VPN. A desativação é feita rapidamente através de um botão central na área de gestão de VPN.

Opções de filtro alargadas

A página de visão geral das conexions VPN tem agora funções de filtro melhoradas, simplificando a navegação através de várias páginas de configurações de VPN. Estes filtros incluem tanto a entrada de texto livre como opções de pesquisa baseadas em valores, facilitando a gestão e a pesquisa de redes específicas, sub-redes ou utilizadores para acesso remoto e VPNs site-to-site.

Filtro de interface XFRM

Uma opção de filtro adicional para interfaces XFRM foi adicionada. Interfaces XFRM, frequentemente usadas em configurações VPN, podem agora ser identificadas e geridas mais facilmente. Isto é particularmente útil quando VPNs são construídas sobre VLANs e interfaces WAN.

VPN Site-to-Site

No Sophos Firewall v21, várias melhorias para VPNs Site-to-Site foram introduzidas, focando-se tanto na usabilidade como no desempenho.

Relay DHCP sobre túneis XFRM: Uma das novas funções essenciais é o suporte para relays DHCP sobre túneis XFRM. Isso torna possível alcançar servidores DHCP atrás de firewalls remotos, o que anteriormente só era possível via VPNs baseadas em políticas. Isto é particularmente útil em ambientes SD-WAN onde endereços IP dinâmicos precisam de ser fornecidos via túneis.

Suporte FQDN melhorado: Ao configurar gateways remotos em VPNs IPsec, tanto FQDNs (Fully Qualified Domain Names) como os seus endereços IP resolvidos podem agora ser usados. Isso melhora a escalabilidade, especialmente em ambientes com alta latência de DNS, onde as resoluções de FQDN poderiam prejudicar o desempenho das conexões VPN. Os administradores podem escolher se querem usar FQDNs ou endereços IP resolvidos na configuração.

As novas funções na área de VPN Site-to-Site proporcionam mais flexibilidade e melhoram a escalabilidade em redes distribuídas maiores. Ao otimizar o tempo de recuperação da interface, que ocorre até 20 vezes mais rápido, o tempo de inatividade durante interrupções de túnel, reinícios ou cenários de failover HA também é drasticamente reduzido.

Gestão de rotas

A gestão de encaminhamento no Sophos Firewall v21 foi expandida com novas funções e melhorias para simplificar a gestão de rotas estáticas e dinâmicas e aumentar a estabilidade da rede.

Rotas estáticas

Ativação/Desativação de rotas

Os administradores podem agora ativar ou desativar diretamente rotas individuais, facilitando significativamente a resolução de problemas e a gestão de conexões de rede. Isso permite um controlo preciso sobre o comportamento de encaminhamento em tempo real.

Clonagem de rotas

Com a nova função de clonagem de rotas, as rotas existentes podem ser facilmente duplicadas e ajustadas. Isso poupa tempo durante a configuração e garante consistência em diferentes interfaces de rede. Além disso, cada rota pode ser fornecida com uma descrição para aumentar a clareza.

Rotas dinâmicas

Suporte alargado para OSPF e BGP

O firewall agora suporta o encaminhamento de rotas BGP para OSPF v3, melhorando a interoperabilidade entre diferentes protocolos de encaminhamento. Isto é particularmente útil em redes complexas com vários locais e protocolos.

Melhorias de HA

Em cenários de failover de Alta Disponibilidade (HA), a estabilidade das rotas dinâmicas foi significativamente melhorada. Enquanto em versões anteriores poderiam ocorrer múltiplas interrupções de conexão durante o failover, isso agora acontece apenas uma vez, aumentando a fiabilidade das conexões de rede.

Autenticação Google

O suporte para Autenticação Google foi expandido no Sophos Firewall v21 para facilitar a integração do Google Workspace e Chromebooks.

Integração baseada em LDAP

O Sophos Firewall suporta agora a integração do Google Workspace através de um cliente LDAP regular. Esta extensão torna mais fácil para as empresas que confiam no Google Workspace autenticar os seus utilizadores através do Sophos Firewall sem depender do Active Directory. Em versões futuras, o suporte para Google Workspace SSO (Single Sign-On) também seguirá.

Suporte SSO Chromebook

O firewall oferece agora funcionalidade SSO (Single Sign-On) para Google Chromebooks conectados a servidores LDAP. Esta funcionalidade estava anteriormente limitada ao Active Directory. Isso permite que os utilizadores da Google acedam a recursos protegidos sem passos de login adicionais.

Desempenho SSO melhorado

A autenticação foi melhorada para que o firewall possa processar pedidos de múltiplos mecanismos SSO (por exemplo, STAS, RADIUS SSO, ID de utilizador sincronizado) de forma mais eficiente. Em ambientes com um grande número de pedidos simultâneos, o servidor pode agora responder até quatro vezes mais rápido a pedidos de autenticação e descartar pedidos duplicados assim que um utilizador for autenticado.

Palavras finais

No geral, o Sophos Firewall v21 é uma atualização anual sólida que traz pequenas mas importantes melhorias nas áreas de UX e UI, bem como oferece novas funções que aumentam ainda mais a segurança da rede.

Estamos felizes por continuar a recolher o seu feedback sobre quais funções lhe faltam atualmente. No post Sophos Firewall Feature Request 2024, já resumimos muitas sugestões suas e já estamos a trabalhar na lista para 2025. É bem-vindo a enviar-nos mais desejos e sugestões através do formulário de contacto.