Sophos SFOS v18 - novas funcionalidades em destaque

As Sophos Firewalls com SFOS vão receber em breve uma atualização maior para SFOS v18. Já estamos a usar a versão beta em ambiente produtivo. Neste artigo, explicamos que funcionalidades a nova versão traz e como se comporta no dia a dia.

Testes em operação real

Não testamos a beta num equipamento de teste isolado em laboratório, mas diretamente em operação produtiva. Além disso, clientes selecionados com mais de 650 utilizadores também estão a usar a versão, para recolhermos a maior variedade possível de conclusões sobre a nova versão. Por isso, neste artigo não reproduzimos simplesmente material informativo oficial da Sophos, mas relatamos a nossa experiência prática de várias semanas com o SFOS v18 EAP1 e EAP2. O artigo é, por isso, mais detalhado, pois analisamos muitas funcionalidades ao pormenor. Comecemos pela arquitetura Xstream.

Arquitetura Xstream

Um dos grandes destaques da v18 é a nova arquitetura de processamento de pacotes. Ela garante mais desempenho, maior segurança e uma visibilidade muito melhor sobre tráfego cifrado. Com a v18, houve realmente muitas mudanças nesta área.

Informação: O “X” em “Xstream” significa Next Generation, e “Stream” refere-se ao novo motor DPI, uma solução de scanning baseada em streaming.

Xstream SSL/TLS Inspection

Já escrevemos anteriormente sobre SSL Inspection, também frequentemente chamada de “SSL Scanning” ou “HTTPS Scanning”: HTTPS-Scanning: Warum es auf der Sophos aktiviert sein sollte

Em resumo: o tráfego HTTP pode ser inspecionado pela firewall sem problemas, porque não é cifrado. Já o tráfego HTTPS tem primeiro de ser intercetado antes de a firewall o poder analisar. Até agora, o problema era que o Web Proxy só conseguia decifrar tráfego HTTPS que passasse pela porta 443. Se o tráfego usasse outra porta, por exemplo https://www.example.com:8000, a firewall ficava sem visibilidade.

Com a v18, a firewall volta a estar preparada para tecnologias atuais e consegue inspecionar tanto tráfego SSL como TLS 1.3, independentemente das portas ou protocolos usados. 🤩 Para isso, foram necessárias alterações profundas na arquitetura, felizmente sem trabalho adicional para os administradores.

No centro estão um Decryption Profile, que é associado a uma SSL/TLS Inspection Rule. Esta regra define que tráfego deve ser inspecionado.

, App Control e IPS.

É importante perceber que o novo motor DPI concorre diretamente com o Web Proxy anterior. O Web Proxy é responsável por tráfego HTTP/HTTPS, Web Policies e Content Scanning; estas tarefas também podem ser assumidas pelo novo motor DPI.

Ao atualizar da versão 17.5 para a 18.0, as definições do Web Proxy são mantidas. Quem quiser usar o motor DPI tem, no entanto, de fazer alguns ajustes: configurar uma SSL/TLS Inspection Rule e desativar o Web Proxy nas definições da firewall.

Sophos SFOS v18 regra de firewall - definições de segurança

Há poucos motivos para não apostar no novo motor DPI. Ainda assim, o Web Proxy oferece algumas funcionalidades que ainda não estão disponíveis no motor DPI, como SafeSearch para motores de pesquisa ou YouTube, Caching ou Pharming Protection. Nas firewalls que gerimos, conseguimos prescindir sem problemas destas funcionalidades adicionais, pelo que o motor DPI será seguramente usado por nós.

O vídeo seguinte da Sophos oferece uma introdução compacta ao Xstream DPI Engine e ajuda a decidir quando usar o motor DPI em comparação com o Web Proxy clássico:

Xstream Network Flow FastPath

Muitos administradores conhecem o problema de a firewall abrandar visivelmente o tráfego, tornando determinados processos mais lentos. Com a nova arquitetura, existe agora o chamado FastPath. Ele permite à firewall transferir tráfego não crítico diretamente para o kernel, aumentando significativamente o desempenho.

Sophos SFOS v18 xStream Architecture Fastpath

O tráfego passa primeiro pelo Firewall Stack. Aí é verificado se existe uma regra de firewall adequada e se o tráfego é sequer permitido. Se, por exemplo, o tráfego for inspecionado pelo IPS, passa primeiro pelo motor DPI. Assim que o motor IPS classifica o tráfego como inofensivo, este pode ser transferido para o FastPath e encaminhado diretamente pelo kernel.

Ao olhar para o diagrama da arquitetura, surge naturalmente a pergunta de como isto funciona exatamente na prática. Se o tráfego é permitido em princípio, isso pode ser determinado de forma relativamente rápida; este passo não tem de ser repetido para cada pacote da mesma origem e da mesma porta. Mas como reconhece o motor DPI quando o tráfego pode ser deslocado para o FastPath? Se, por exemplo, o SSL/TLS Scanning estiver ativo, isso não é possível, porque o tráfego deixaria de ser inspecionado. Já no caso do IPS ou do controlo de aplicações, são usadas listas conhecidas, com base nas quais se pode decidir se um fluxo de dados é considerado inofensivo.

Threat Intelligence Analysis

Se o módulo Sophos Sandstorm estiver licenciado para a firewall, os ficheiros já são verificados numa sandbox antes de serem transferidos. Quem quiser saber mais sobre Sophos Sandstorm pode consultar o PDF de FAQs sobre Sophos Sandstorm. Graças à SSL/TLS Inspection, a firewall ganha uma visão mais profunda do tráfego e consegue controlar downloads web com ainda mais precisão. Além disso, a proteção de endpoint continua a ser a última linha de defesa.

Com a v18, a nova Threat Intelligence Analysis complementa o módulo Sandstorm existente. Enquanto o Sophos Sandstorm analisa downloads web ou anexos de email, a Threat Intelligence verifica ficheiros com recurso a Machine Learning. Além disso, é usada a análise dos SophosLabs, que também é aplicada em Sophos Intercept X com EDR.

À semelhança do EDR, é criado um relatório de análise detalhado. No SFOS v18 EAP2, um relatório deste tipo tem, por exemplo, o seguinte aspeto:

Sophos SFOS v18 Intelligence Analysis-Threat-o-Meter

O relatório um pouco mais apelativo só estará disponível a partir do EAP3.

Enterprise NAT

Além da arquitetura Xstream, as regras NAT também foram profundamente revistas. Até à versão 17.5, existia o ponto de menu “Firewall”, onde estavam reunidas todas as regras de firewall, regras NAT e regras WAF. Numa regra de firewall, era possível definir, entre outras coisas, a interface de saída ou o IP de saída para o tráfego.

Sophos SFOS v17.5 criar regra de firewall

Com a v18, as regras NAT passam a ser geridas num separador próprio, o que torna a gestão muito mais flexível.

Muitos clientes esperavam por esta alteração: agora é possível, por exemplo, bloquear todos os pedidos DNS ou NTP a servidores públicos e redirecioná-los para um servidor interno. Assim, também fica disponível uma solução para quem sente falta, na XG, do servidor NTP que ainda vinha integrado na UTM.

O tema NAT é também explicado no vídeo seguinte:

Gestão de regras de firewall

Com cada nova versão principal, a Sophos melhora o trabalho com regras de firewall. Na v18, é agora possível selecionar várias regras de firewall em simultâneo para as apagar, ativar ou desativar, ou para as adicionar a um grupo ou remover de um grupo. Além disso, as regras de firewall estão agora numeradas, para que o número total seja imediatamente visível. A Rule-ID permanece inalterada. Além disso, o ponto de menu “Firewall” foi renomeado para “Rules and policies”.

Sophos SFOS v18 visão geral das regras de firewall

Agora é possível definir filtros, o que simplifica bastante a procura de regras específicas. O filtro mantém-se mesmo quando se alterna entre pontos de menu e depois se regressa ao conjunto de regras.

Quem esperava que a Sophos passasse a deixar os grupos de regras abertos depois de guardar uma regra, infelizmente vai ficar desiludido. Aqui nada mudou. 😖

Sophos SFOS v18 filtrar regras de firewall

Também foi adicionada uma funcionalidade muito pedida: o contador do tráfego processado por uma regra de firewall pode voltar a ser reposto a zero.

Sophos SFOS v18 definições das regras de firewall

Ao criar uma nova regra de firewall, existe agora a possibilidade de a criar inicialmente desativada.

Sophos SFOS v18 estado das regras de firewall

Além disso, agora é possível definir exclusões em regras de firewall. Isto ajuda a manter o conjunto de regras enxuto e a evitar regras adicionais desnecessárias.

Sophos SFOS v18 exclusões em regras de firewall

Log Viewer

Quem leu o artigo 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM sabe como o Log Viewer é útil. Também na nova versão, a ferramenta recebe algumas novas funcionalidades úteis.

Com um clique numa entrada no Log Viewer, é possível definir diretamente um filtro, criar uma exceção SSL/TLS ou ajustar uma política de IPS, Application Control ou Webfilter.

Alerts e Notifications

Em “Administration” > “Notification settings”, até agora só era possível ativar duas opções para notificações por email:

IPsec tunnel up/down
Email alert notifications

Se uma RED não estivesse acessível ou se um utilizador introduzisse demasiadas vezes uma palavra-passe incorreta, até agora não havia forma de receber uma notificação.

Melhorias: Os appliances podem agora ser agrupados num cluster de forma mais rápida e simples. Além disso, é possível fazer rollback do firmware.

Suporte SNMPv3: Segurança significativamente melhor em comparação com SNMPv1 e SNMPv2, se é que nas duas primeiras versões se podia sequer falar em “segurança”. O MIB File continua disponível para download, como habitualmente.
Alteração de nomes de interfaces: Até agora, as interfaces chamavam-se Port1, Port2, etc., sem possibilidade de alterar estes nomes. Na v18, estes nomes podem agora ser ajustados. IPsec, IPS, redes wireless, etc. continuam, no entanto, sem poder ser renomeados.
Atualizações da base de dados GeoIP: A base de dados de IPs por país pode agora ser atualizada independentemente das atualizações de firmware.
Atualização das VMware Tools: As VMware Tools passam a estar na versão v10.3.10 e também suportam o Site Recovery Manager (SRM).

Upgrade para SFOS v18

Pré-requisitos

Ficou com vontade de atualizar para a v18? Se já estiver a usar uma XG Firewall ou uma SG com SFOS, precisa pelo menos da versão v17.5 MR6 para poder mudar para a v18. O rollback continua a ser suportado como habitualmente. Se algo na v18 não funcionar como esperado, pode voltar à versão anterior a qualquer momento.

SG para XG

Se ainda usa uma UTM Firewall, também pode mudar para SFOS. Encontra as instruções correspondentes aqui: Sophos XG Firewall OS auf einer SG Appliance installieren

Se precisar de apoio na migração, teremos todo o gosto em ajudar. Já substituímos com sucesso inúmeros sistemas UTM. 😎

XG 85 e XG 105

Para instalar a v18, são necessários pelo menos 4GB RAM. Por isso, a próxima versão do SFOS deixará de funcionar numa XG 85 ou XG 105. Quem usa hardware próprio e ainda tem 2GB RAM instalados enfrenta o mesmo problema. Cyberoam também deixará de ser suportado.

Os proprietários de uma XG 85 ou XG 105 devem olhar para os modelos sucessores: Sophos XG 86 e XG 106. Atualmente, decorre até 30.09.2020 uma campanha da Sophos em que, no renewal, pode poupar 50% no novo hardware.

Sophos Central Firewall Reporting and Management

Existe um artigo de blog separado sobre este tema: Sophos Central Firewall Management – Funktionen mit SFOS v18

FAQ

Quando estará disponível a GA (versão final)?

Se tudo correr conforme planeado e as versões beta não causarem problemas maiores, a v18 deverá chegar no primeiro trimestre de 2020.

Onde fica o novo hardware?

Já se falou várias vezes sobre o sucessor de hardware da XG Firewall. Atualmente, porém, ainda não há data de lançamento planeada e só se espera algo, no mínimo, na segunda metade de 2020.

O Let's Encrypt vai chegar?

Não 😖, pelo menos ainda não na v18.

Mais informações

XG Firewall: What’s New in v18