Sophos Firewall v21: Novas funcionalidades e melhorias

O Sophos Firewall v21 está oficialmente disponível desde 17 de outubro e, neste artigo, descrevemos as novas funcionalidades desta versão.

⚠️ Atualização para Sophos Firewall v21

• ✅ Appliances XGS
• ✅ VMs Sophos Firewall ou instalações por software
• ❌ Appliances End-of-Life
• ❌ Appliances SG com Sophos Firewall OS End-of-Life

A atualização para Sophos Firewall v21 está disponível exclusivamente para appliances XGS, bem como para firewalls VM e instalações por software. Appliances XG e appliances SG com SFOS já não receberão esta atualização e atingem o End-of-Life (EOL) a 31 de março de 2025. Quem for afetado pelo End-of-Life encontra todos os detalhes no artigo XG End-of-Life.

Let’s Encrypt

Com a versão 21 do Sophos Firewall, é possível utilizar o Let’s Encrypt para obter, renovar e gerir certificados SSL/TLS de forma gratuita e automatizada. A integração do Let’s Encrypt no Sophos Firewall v21 simplifica a gestão de certificados e garante a renovação automática antes da expiração.

FINALMENTE! Há anos que esta é provavelmente uma das funcionalidades mais pedidas, e a Sophos demorou mesmo muito tempo a entregá-la, embora a FortiGate já consiga fazer isto há mais de um ano 🫣.

Criação automática de certificados

Os certificados Let’s Encrypt são válidos por 90 dias e são renovados automaticamente pelo Sophos Firewall 30 dias antes de expirarem. Isto reduz significativamente o esforço manual de gestão de certificados e garante que a firewall trabalha sempre com certificados válidos.

Interfaces suportadas

Os certificados Let’s Encrypt podem ser usados na firewall para vários serviços web:

• Consola de administração web
• Portal do utilizador
• Portal cativo
• Portal VPN
• Portal SPX
• WAF (Web Application Firewall)

No entanto, o Let’s Encrypt não é suportado para os seguintes serviços:

• VPN de acesso remoto
• VPN site-to-site
• SSO Chromebook

Validação de domínio via HTTP

Os certificados são validados através do mecanismo HTTP Challenge-Response. Para isso, a firewall cria uma configuração temporária de servidor web e uma política WAF para responder ao desafio e validar o domínio. As regras temporárias de firewall e o servidor web virtual são removidos automaticamente após a emissão bem-sucedida do certificado.

Gestão de domínios

É possível solicitar certificados para até 50 domínios, sendo suportados apenas nomes de domínio totalmente qualificados (FQDNs). Domínios wildcard e endereços IP não são permitidos.

Usar certificados Let’s Encrypt

Para criar um certificado Let’s Encrypt, registe uma conta Let’s Encrypt na firewall, adicione os domínios pretendidos e configure a interface WAN para validação HTTP do domínio através da porta 80. É importante que os registos DNS apontem para o IP público da firewall.

Os certificados emitidos podem depois ser usados na consola WebAdmin, nos portais de utilizador e na Web Application Firewall (WAF) para garantir ligações HTTPS seguras.

Um guia detalhado está disponível neste vídeo:

Melhorias de UX e UI

Central UI agora na firewall

Com a atualização para Sophos Firewall v21, a interface de utilizador foi revista para melhorar a navegação e a visão geral dos dados. A nova barra lateral e o esquema de cores ajustado criam uma estrutura mais clara. O dashboard utiliza agora melhor o espaço de ecrã disponível, escalando até uma largura de 1920 píxeis. Isto permite apresentar mais informação em simultâneo e facilita a visão geral.

Os widgets também foram ajustados para disponibilizar mais informação à primeira vista. A apresentação em cartões simplifica a separação das diferentes categorias de dados. Estas alterações permitem aceder mais rapidamente a informações relevantes para a segurança e a mensagens de estado do sistema.

No geral, a interface revista pretende tornar a interação com a firewall mais eficiente, e é naturalmente positivo ver que a Sophos voltou finalmente a mexer nesta área. Espero que os temas ocultar mensagens de aviso no dashboard e desempenho de backend também sejam abordados em breve.

Referenciação de objetos

A funcionalidade de referenciação de objetos chegou ao Sophos Firewall com a v20.

O Sophos Firewall v21 oferece uma forma de rastrear, na configuração, a utilização de objetos como interfaces, zonas, gateways ou perfis SD-WAN. Graças à transparência sobre os locais onde um objeto é usado, as alterações podem ser feitas de forma direcionada. A limpeza de objetos já não utilizados também se torna mais simples, pois é rapidamente possível perceber se ainda estão em uso ou se podem ser removidos.

Object Reference API

A Object Reference API introduzida no Sophos Firewall v21 permite consultar automaticamente o número de utilizações de objetos de configuração. A API pode ser usada para obter rapidamente uma visão geral de quantas vezes um objeto é utilizado na configuração. Isto é particularmente útil quando é necessário gerir um grande número de hosts ou interfaces.

A API permite consultar programaticamente o número de referências e suporta filtros para procurar objetos específicos. Esta funcionalidade oferece uma forma eficiente de identificar objetos não utilizados e removê-los, se necessário. A API também pode ser integrada em processos de automação, poupando tempo em tarefas recorrentes, como a limpeza do sistema.

Feeds de ameaças de terceiros

Com Sophos Firewall v21, passa a ser suportada a integração de Third-Party Threat Feeds para defesa automática contra ameaças. Esta funcionalidade expande a integração de Threat Intelligence já existente da Sophos X-Ops e do Sophos MDR com fontes externas de dados de ameaças. O Sophos Firewall pode agora processar automaticamente indicadores de ameaça de terceiros, Managed Service Providers (MSPs) ou consórcios setoriais e bloquear ameaças em vários subsistemas.

Bloqueio automatizado

Assim que indicadores de ameaça são disponibilizados por um feed de terceiros, são automaticamente integrados nas regras da firewall. Ameaças como endereços IP, domínios e URLs maliciosos são bloqueadas de imediato em todos os módulos de segurança relevantes, incluindo a própria firewall, IPS (Intrusion Prevention System), listas de bloqueio DNS, filtros web e Deep Packet Inspection (DPI).

Intervalo de polling

A frequência com que a firewall atualiza os feeds pode ser ajustada de forma flexível. Os administradores podem definir um intervalo entre uma hora e até 30 dias. Isto permite controlar a atualização dos dados de ameaças conforme necessário.

Suporte para múltiplos feeds

O Sophos Firewall pode gerir até 50 fontes diferentes de Threat Feeds. Estes feeds devem estar num formato específico: cada Indicador de Compromisso (IOC) é transmitido como uma linha individual num ficheiro .txt via HTTPS.

Autenticação e segurança

A integração de feeds de ameaças externos exige normalmente autenticação. O Sophos Firewall suporta vários métodos de autenticação, incluindo Basic Authentication e autenticação baseada em tokens. Isto garante que apenas fontes autorizadas de dados de ameaças sejam utilizadas.

Com o suporte para feeds externos, a capacidade defensiva da firewall melhora de forma significativa. Ameaças provenientes de feeds setoriais ou regionais podem ser detetadas e bloqueadas sem que seja necessário criar manualmente regras adicionais de firewall.

Fornecedores de Threat Feeds

Segue-se uma pequena seleção de fornecedores que disponibilizam Threat Feeds.

Cybora

Cybora fornece um Threat Intelligence Feed curado que combina dados de centenas de firewalls em todo o mundo, fontes da comunidade e feeds comerciais.

O foco está em indicadores ativos e de alto risco, como servidores Command-and-Control, scanning de botnets, ataques de força bruta e infraestrutura de phishing. Graças a scoring, deduplicação e uma lógica curta de expiração, as listas mantêm-se atuais, limpas e práticas.

A disponibilização é feita através de listas simples de IPs e domínios via HTTPS, atualizadas várias vezes por dia. Cybora é compatível com Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks e outras plataformas.

Cybora especializou-se na utilização em firewalls e, do nosso ponto de vista, oferece uma relação preço-desempenho muito forte. É a solução que preferimos implementar nos nossos clientes. (Avanet ❤️ Cybora)

• Detalhes da solução: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec é uma solução open-source para defesa contra ciberameaças, apoiada por inteligência coletiva. Oferece listas de bloqueio automatizadas e feeds de ameaças recolhidos de uma comunidade global. O CrowdSec ajuda a identificar e bloquear ameaças em tempo real, agregando informações de muitos participantes.

GreyNoise

GreyNoise concentra-se na análise de “ruído da Internet”, examinando entradas de rede globais para identificar quais atividades são provavelmente maliciosas. Filtra dados de tráfego de rede nocivos que não representam um ataque direto à infraestrutura própria, ajudando assim a reduzir falsos positivos e a priorizar ameaças reais.

Cisco Talos

Talos é a unidade de investigação de ameaças da Cisco e oferece um dos maiores feeds comerciais de Threat Intelligence do mundo. Inclui informações detalhadas sobre ameaças globais, vulnerabilidades e atacantes. Talos apoia a deteção e a defesa contra ciberataques com dados de ameaças atuais.

Abuse.ch / URLhaus

Abuse.ch é uma plataforma especializada em rastrear e bloquear domínios e endereços IP maliciosos, especialmente malware e botnets. URLhaus é um projeto da Abuse.ch que se concentra em reportar e bloquear URLs que distribuem malware.

Hakk Solutions

Hakk Solutions é um fornecedor de informações e serviços de segurança especializado em Threat Intelligence e monitorização de segurança. Os serviços incluem dados de ameaças que podem ser usados para identificar e defender contra ciberataques.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide oferece feeds de Open-source Intelligence (OSINT) baseados em informações disponíveis publicamente. Estes feeds contêm dados sobre endereços IP, URLs e domínios maliciosos recolhidos de várias fontes públicas.

CINS Score (CINSscore.com)

CINS Score oferece dados de ameaças baseados na análise de tráfego de rede, ajudando a identificar hosts e redes maliciosos. Utiliza machine learning e algoritmos heurísticos para avaliar endereços IP potencialmente perigosos.

EclecticIQ

EclecticIQ fornece dados de ameaças e análises para empresas e operações de segurança. O fornecedor oferece serviços abrangentes de Threat Intelligence que permitem detetar ameaças e responder-lhes.

Feodo Tracker

Feodo Tracker é outro projeto da Abuse.ch especializado no rastreio de botnets, em particular Feodo, Dridex e Emotet. Fornece informações sobre os servidores usados por estas botnets para controlo, ajudando a identificar e bloquear atividades maliciosas.

DigitalSlide Threat Intel

DigitalSide oferece Threat Intelligence Feeds com foco em Open-source Intelligence (OSINT). Recolhe informações disponíveis publicamente sobre endereços IP, domínios e URLs maliciosos. Estes feeds são particularmente úteis para identificar ameaças numa fase precoce, uma vez que se baseiam num amplo conjunto de fontes públicas e são atualizados regularmente.

Proofpoint - Emerging Threat Intelligence

Proofpoint oferece informações abrangentes sobre ameaças através do seu Emerging Threats Intelligence Feed. Este serviço concentra-se em fornecer atualizações em tempo real sobre ameaças emergentes, incluindo novas técnicas de ataque e vulnerabilidades. A Proofpoint utiliza machine learning e análise especializada para fornecer insights detalhados sobre ameaças globais, ajudando as empresas a responder de forma direcionada a ciberataques.

Indicadores de ameaça de Endpoint

O Sophos Firewall v21 oferece a possibilidade de integrar e analisar Indicadores de Compromisso (IoC) de Endpoints. São suportados Endpoints geridos e não geridos. Assim que um Endpoint deteta uma atividade maliciosa, essa informação é transmitida à firewall. A firewall analisa estes IoCs e bloqueia atividades suspeitas.

Esta funcionalidade é particularmente útil para melhorar a sincronização entre Endpoints e a firewall. Tentativas de ameaça detetadas nos Endpoints podem assim ser travadas diretamente em toda a rede. Esta análise em tempo real contribui para uma resposta rápida a ameaças e para a contenção de ataques.

Telemetria sincronizada

A firewall consegue correlacionar tentativas de ameaça provenientes de Endpoints, incluindo detalhes como processos e aplicações executados. Isto melhora a deteção e análise de ameaças. Assim que um Endpoint deteta atividade suspeita, esta informação é automaticamente transmitida à firewall para bloquear a ameaça através de várias camadas de rede.

Bloqueio automático de ameaças

Se for detetado um processo malicioso num Endpoint gerido, a firewall bloqueia automaticamente o endereço IP, domínio ou URL associado. Isto aplica-se a subsistemas como a firewall, listas de bloqueio DNS, filtros web e Deep Packet Inspection. Esta integração contínua entre firewall e Endpoints reduz significativamente o tempo de resposta a ameaças.

Um exemplo seria um Endpoint não gerido a tentar aceder a um URL malicioso. A firewall interviria de imediato e bloquearia o acesso, sem que o próprio Endpoint precisasse de configurações especiais. Isto também protege dispositivos que não são geridos diretamente pelo Sophos Endpoint Security.

A capacidade de processar IoCs de Endpoints oferece aos administradores uma camada adicional de defesa, uma vez que a firewall não reage apenas ao tráfego de rede, mas também a informações detalhadas de ameaças provenientes dos próprios Endpoints.

Proteção contra movimentos laterais

Lateral Movement Protection volta a ser mencionada no Sophos Firewall v21, uma vez que esta versão introduziu melhorias e otimizações importantes. Na v21, foram sobretudo melhoradas a integração e a coordenação com outras funcionalidades de segurança, como Synchronized Security e Active Threat Response (ATR). A firewall consegue agora responder a ameaças de forma mais rápida e eficiente, isolando automaticamente dispositivos comprometidos e bloqueando a propagação de ameaças na rede.

Lateral Movement Protection impede que as ameaças se propaguem na rede ao isolar dispositivos comprometidos. Assim que um Endpoint é identificado como comprometido, a comunicação com outros dispositivos na rede é bloqueada. A firewall também partilha esta informação com outros Endpoints, que por sua vez bloqueiam o acesso à rede do dispositivo comprometido.

Esta funcionalidade aumenta a segurança em toda a rede, impedindo que as ameaças se movimentem lateralmente de um dispositivo para o seguinte. É particularmente útil em redes grandes, onde o isolamento rápido de dispositivos infetados pode ser decisivo para evitar um incidente.

Bloqueio de endereços MAC

Quando um Endpoint é identificado como comprometido, a firewall partilha o endereço MAC desse dispositivo com todos os outros Endpoints na rede. Os Endpoints bloqueiam então o acesso à rede do dispositivo infetado. Isto impede que as ameaças continuem a propagar-se na rede.

Estado de Heartbeat

A firewall monitoriza continuamente o estado de Heartbeat dos Endpoints. Assim que um Endpoint é identificado como comprometido, o estado de Heartbeat muda para vermelho, acionando um mecanismo de bloqueio imediato. A comunicação do Endpoint comprometido é interrompida de imediato, permitindo uma contenção eficaz da ameaça.

Um cenário típico seria um Endpoint tentar mover-se lateralmente na rede depois de ter sido comprometido. Com Lateral Movement Protection ativada, esse Endpoint é imediatamente isolado e a sua comunicação é bloqueada. Isto impede a propagação de malware, como ransomware, que poderia tentar infetar outros dispositivos.

O pré-requisito para esta funcionalidade é que a firewall e os Sophos Endpoints estejam ligados através do Sophos Central. Isto permite a sincronização entre as soluções de segurança e garante que as ameaças possam ser rapidamente detetadas e isoladas.

Relatórios de Ameaças e IoC

O Sophos Firewall v21, tal como as versões anteriores, oferece funcionalidades de reporting disponíveis tanto no próprio dispositivo (OnBox) como na cloud através do Sophos Central. Estes relatórios permitem analisar ameaças e atividades de rede em detalhe e oferecem insights valiosos sobre a postura de segurança da rede.

No Sophos Firewall v21, as funcionalidades de reporting foram alargadas com a integração de Threat Sources e Threat Events, bem como com suporte para Synchronized Indicators of Compromise (IoC). A novidade é que os relatórios fornecem agora informações detalhadas sobre as fontes das ameaças e os respetivos eventos específicos. É possível acompanhar com precisão as tentativas de ameaça, identificando que dispositivos, endereços IP ou utilizadores estiveram envolvidos e que módulos da firewall bloquearam a ameaça.

Particularmente relevante é o suporte para Synchronized IoCs. Os dados de ameaças do Sophos Central e do Sophos Managed Detection and Response (MDR), bem como de feeds de terceiros, são sincronizados. Esta extensão permite obter insights mais profundos sobre ameaças, analisando com maior precisão os processos e Endpoints afetados. Assim, os administradores conseguem ver não só onde ocorreram as ameaças, mas também como afetam Endpoints e componentes de rede.

Neste vídeo, o tema dos Third-Party Threat Feeds é explicado novamente em detalhe:

Melhorias de rotas estáticas e VPN

Melhorias de UX de VPN

Com a versão 21 do Sophos Firewall, foram introduzidas várias melhorias de interface de utilizador (UX) para a gestão de ligações VPN, tornando a operação mais eficiente.

Ativação e desativação em massa

Os administradores podem agora ativar ou desativar várias ligações VPN em simultâneo.

Isto poupa bastante tempo, sobretudo na gestão de grandes redes com muitos túneis VPN. A desativação é feita rapidamente através de um botão central na área de gestão de VPN.

Opções de filtro alargadas

A página de visão geral das ligações VPN dispõe agora de filtros melhorados, que simplificam a navegação por várias páginas de configurações VPN. Estes filtros incluem pesquisa em texto livre e opções de pesquisa baseadas em valores, facilitando a gestão e a procura de redes, sub-redes ou utilizadores específicos para Remote Access VPN e Site-to-Site VPN.

Filtro de interface XFRM

Foi adicionada uma opção de filtro adicional para interfaces XFRM. As interfaces XFRM, frequentemente usadas em configurações VPN, podem agora ser identificadas e geridas com mais facilidade. Isto é particularmente útil quando as VPNs são construídas sobre VLANs e interfaces WAN.

VPN Site-to-Site

No Sophos Firewall v21, foram introduzidas várias melhorias para Site-to-Site VPNs, focadas tanto na usabilidade como no desempenho.

DHCP relay através de túneis XFRM: Uma das novidades essenciais é o suporte para DHCP relays através de túneis XFRM. Isto permite chegar a servidores DHCP atrás de firewalls remotas, algo que antes só era possível através de VPNs baseadas em políticas. É particularmente útil em ambientes SD-WAN, onde endereços IP dinâmicos têm de ser disponibilizados através de túneis.

Suporte FQDN melhorado: Ao configurar gateways remotos em IPsec VPNs, podem agora ser usados tanto FQDNs (Fully Qualified Domain Names) como os respetivos endereços IP resolvidos. Isto melhora a escalabilidade, especialmente em ambientes com elevada latência DNS, onde as resoluções de FQDN poderiam afetar o desempenho das ligações VPN. Os administradores podem escolher se pretendem usar FQDNs ou endereços IP resolvidos na configuração.

As novas funcionalidades na área de Site-to-Site VPN proporcionam mais flexibilidade e melhoram a escalabilidade em redes distribuídas de maior dimensão. A otimização do tempo de recuperação das interfaces, que passa a ser até 20 vezes mais rápida, também reduz drasticamente o downtime em quedas de túneis, reinícios ou cenários de HA failover.

Gestão de rotas

A gestão de routing no Sophos Firewall v21 foi alargada com novas funcionalidades e melhorias para simplificar a administração de rotas estáticas e dinâmicas e aumentar a estabilidade da rede.

Rotas estáticas

Ativação/Desativação de rotas

Os administradores podem agora ativar ou desativar diretamente rotas individuais, o que facilita significativamente a resolução de problemas e a gestão de ligações de rede. Isto permite um controlo preciso do comportamento de routing em tempo real.

Clonagem de rotas

Com a nova função de clonagem de rotas, as rotas existentes podem ser facilmente duplicadas e ajustadas. Isto poupa tempo durante a configuração e garante consistência entre diferentes interfaces de rede. Além disso, cada rota pode receber uma descrição para melhorar a clareza.

Rotas dinâmicas

Suporte alargado para OSPF e BGP

A firewall suporta agora o encaminhamento de rotas BGP para OSPF v3, melhorando a interoperabilidade entre diferentes protocolos de routing. Isto é particularmente útil em redes complexas com vários locais e protocolos.

Melhorias de HA

Em cenários de failover de High Availability (HA), a estabilidade das rotas dinâmicas foi significativamente melhorada. Enquanto em versões anteriores podiam ocorrer várias interrupções de ligação durante o failover, agora isso acontece apenas uma vez, aumentando a fiabilidade das ligações de rede.

Google Authentication

O suporte para Google Authentication foi alargado no Sophos Firewall v21 para facilitar a integração do Google Workspace e de Chromebooks.

Integração baseada em LDAP

O Sophos Firewall suporta agora a integração do Google Workspace através de um cliente LDAP regular. Esta extensão facilita às empresas que usam Google Workspace a autenticação dos seus utilizadores através do Sophos Firewall sem depender do Active Directory. Em versões futuras, deverá seguir-se também o suporte para Google Workspace SSO (Single Sign-On).

Suporte SSO Chromebook

A firewall oferece agora funcionalidade SSO (Single Sign-On) para Google Chromebooks ligados a servidores LDAP. Esta funcionalidade estava anteriormente limitada ao Active Directory. Isto permite aos utilizadores Google aceder a recursos protegidos sem passos adicionais de início de sessão.

Desempenho SSO melhorado

A autenticação foi melhorada para que a firewall possa processar pedidos de vários mecanismos SSO (por exemplo, STAS, RADIUS SSO, Synchronized User ID) de forma mais eficiente. Em ambientes com um grande número de pedidos simultâneos, o servidor pode agora responder a pedidos de autenticação até quatro vezes mais depressa e descartar pedidos duplicados assim que um utilizador esteja autenticado.

Palavras finais

No geral, o Sophos Firewall v21 é uma atualização anual sólida, que traz melhorias pequenas mas importantes nas áreas de UX e UI, além de novas funcionalidades que aumentam ainda mais a segurança da rede.

Continuamos a recolher o vosso feedback sobre as funcionalidades que ainda vos fazem falta. No artigo Sophos Firewall Feature Request 2024, já reunimos muitas das vossas sugestões e estamos a trabalhar na lista para 2025. Podem enviar-nos mais pedidos e propostas através do formulário de contacto.