Sophos XG Update v17.5 - Todas as novidades em destaque

No início de novembro instalámos a segunda versão beta do novo firmware SFOS 17.5 e analisámo‑la com mais atenção. Na Sophos Roadshow 2018 em Dübendorf ainda se falava das versões 17.2 e 17.3, mas a Sophos decidiu agrupar todas as funcionalidades planeadas e avançar diretamente para a versão 17.5.

Uma coisa podemos dizer desde já: o SFOS 17.5 deixa‑nos com uma sensação um pouco ambivalente. Há novidades muito interessantes, mas, na nossa opinião, nem todas estão pensadas até ao fim.

Lateral Movement Protection

Desde a primeira versão do Synchronized Security que o cliente endpoint pode partilhar o seu estado com o firewall. Esta funcionalidade permite, por exemplo, impedir que um posto de trabalho que não recebe updates há muito tempo – ou que já está infetado – aceda ao servidor de ficheiros ou à Internet, evitando assim colocar outros sistemas em risco.

Até agora, uma configuração deste tipo exigia uma boa segmentação da rede. Quando todos os dispositivos numa empresa estão ligados ao mesmo switch e se encontram na mesma sub‑rede, o Security Heartbeat tinha, na prática, um impacto limitado.

Com o SFOS 17.5, esta funcionalidade foi ampliada e melhorada. Passa a ser possível isolar, mesmo dentro do mesmo domínio de broadcast ou da mesma rede, computadores que o Synchronized Security classifica como “não saudáveis”. Assim que surge um problema num cliente, o firewall informa automaticamente todos os outros clientes. Desta forma, não é apenas o firewall que sabe que algo está errado, mas também os restantes endpoints na rede. Um dispositivo infetado pode assim ser isolado de forma ainda mais eficaz até que o problema seja resolvido. Quando o estado do Security Heartbeat volta a “verde”, as ligações aos outros sistemas são restabelecidas automaticamente.

Além disso, deteções IPS em endpoints em risco podem agora acionar também um heartbeat “vermelho”. Isto melhora ainda mais a proteção contra ameaças na rede.

Reencaminhamento do Portal URL

Durante os meus testes reparei numa funcionalidade que entrou quase às escondidas na nova versão, pois não é mencionada nas Release Notes.

Certamente conhece a situação: quando uma página web é bloqueada pelo Sophos Web Proxy, o utilizador vê uma página de aviso. Se o utilizador quiser mesmo assim aceder à página, o link apontava até agora para um endereço IP em vez de uma URL normal. Na versão 17.1, isto pelo menos podia ser alterado através da consola. Com a 17.5, passa a ser possível fazê-lo comodamente pela interface web do XG Firewall. 👍

A mudança de um endereço IP para uma URL web funciona, no entanto, apenas na parte web. Quando o XG Firewall, por exemplo, analisa os seus emails, os utilizadores recebem normalmente um relatório de quarentena da firewall. Nesse relatório é visível que emails foram bloqueados pela Sophos Firewall. Com um clique num link, a mensagem supostamente spam pode ser libertada manualmente. Exatamente esse link continua, porém, a ser um endereço IP, o que funciona tecnicamente, mas apresenta ao utilizador um aviso de certificado.

A mudança de endereço IP para URL web ainda não foi implementada para a parte de email. Da Sophos recebemos o feedback de que poderá chegar com MR1 ou MR2 e que os developers estão a trabalhar nisso. Apostamos mais em MR2, pelo que provavelmente poderemos contar com isso por volta de janeiro ou fevereiro.

Synchronized User ID

Uma das tarefas mais frequentes de uma firewall é transportar tráfego de A para B, desde que exista uma regra de firewall para isso. O tráfego entra e sai sempre através de um endereço IP. Como administradores, queremos saber que dispositivos geram esse tráfego ou, melhor ainda, que utilizador está por trás dele. Isto ajuda-nos a criar regras de firewall baseadas em utilizadores, a aumentar a transparência da rede e a gerar relatórios mais compreensíveis.

No SFOS existem várias formas de identificar o utilizador. No passado, utilizávamos para isso a ligação a um servidor Active Directory, que encaminhava as informações de utilizador para o XG Firewall através de um agente instalado. Em alguns ambientes, porém, esse agente não era uma opção.

Com o SFOS v17.5, endpoints num domínio Active Directory podem agora partilhar a identidade do utilizador com a firewall através do Security Heartbeat. Isto torna a identificação de utilizadores simples e transparente, sem ser necessário instalar um agente nos domain controllers. Esta função pode ser muito útil em muitas situações.

Terminal servers ou hosts Linux não são cobertos por esta solução. Nos primeiros, STAC continua a ser a melhor solução. As exceções, porém, são grandes. Clientes Mac não funcionam com um Active Directory e utilizadores VPN também não iniciam sessão nele.

Só se pode beneficiar desta funcionalidade se um destes produtos estiver instalado nos clientes:

• Sophos Central Endpoint Protection
• Sophos Central Intercept X Advanced

Na nossa opinião, torna-se interessante quando também clientes que não pertencem a um domínio puderem partilhar os seus dados de utilizador com o XG. Esta funcionalidade resolve, no entanto, apenas um problema muito pequeno.

Sophos Connect IPSec VPN Client

O nosso artigo Instalar SSL VPN Client é uma das publicações mais populares da nossa Knowledge Base. Não é por acaso, pois para muitos dos nossos clientes a VPN era uma das exigências mais mencionadas antes da compra da Sophos Firewall.

Como descrito nessa instrução, usamos atualmente com muita frequência o SSL VPN Client da Sophos. No entanto, este só pode ser instalado em computadores Windows. Para macOS era necessário recorrer até agora a ferramentas de terceiros, como por exemplo o “Tunnelblick”.

Com o Sophos Connect, a Sophos apresenta agora, como outros fabricantes, o seu próprio IPsec VPN Client. O Sophos Connect suporta de origem também Synchronized Security. Isto já funcionava com o SSL VPN Client, mas tinha de ser configurado adicionalmente.

Aqui fica um screenshot de como são as definições do Sophos Connect IPsec VPN Client no XG Firewall:

O Sophos Connect está atualmente em beta e o client está disponível para Windows e macOS. Aqui fica ainda um screenshot dos clients para Mac e Windows:

Para o novo IPsec VPN Client da Sophos existe ainda o “Sophos Connect Admin” como ferramenta adicional. Com ela pode editar posteriormente um ficheiro de configuração e, por exemplo, ajustar o hostname ou ativar 2FA.

Sophos Central Management

Com o novo firmware SFOS 17.5, uma promessa antiga é finalmente cumprida. Através da plataforma Sophos Central passa a ser possível gerir também o XG Firewall. É certamente o passo certo, mas as funcionalidades da primeira versão ainda são limitadas.

Para ligar a sua conta Central à firewall, tem primeiro de ativar o Central Management no XG Firewall.

Update 20.11.2018 Entretanto, o Sophos Central recebeu uma atualização, fazendo com que o ponto de menu “Firewall Management” fique agora visível. Ao ativarmos a função “Central Management” no nosso XG Firewall, conseguimos associar o equipamento com sucesso à nossa conta Sophos Central.

Quando se liga à firewall através do Sophos Central, fica autenticado na firewall como “admin”. O problema é que, teoricamente, outros utilizadores com acesso ao Sophos Central Admin também podem aceder às firewalls. Basta que esses utilizadores tenham permissões “Read-Only”. Esperamos que no futuro seja possível controlar com mais precisão quem tem autorização para iniciar sessão nas firewalls através do Central.

Gestão da firewall via SSO

Se ativar na sua firewall a função “Central Management”, pode iniciar sessão diretamente no Sophos XG Firewall a partir da interface do Central, sem login adicional.

Central Backups

Com o Central Management, os backups da sua firewall passam por defeito a ser guardados também no Central. Se não quiser isso, pode simplesmente desativar esta função no seu XG Firewall.

O “Light-Touch Deployment” é uma funcionalidade realmente interessante. No futuro será possível configurar uma nova XG Firewall diretamente através do Central. Para isso, passa-se primeiro por um pequeno wizard, que no final gera um ficheiro de configuração XG. Esta configuração pode ser descarregada e copiada para uma pen USB. Depois, a nova firewall tem de ser iniciada com essa pen, e a configuração é transferida. Se tudo tiver sido feito corretamente, é possível aceder à firewall através do Sophos Central e concluir as restantes configurações.

O “Light-Touch Deployment” vai facilitar bastante a configuração de XG Firewalls para os nossos clientes. No nosso serviço de instalação e configuração, mandamos normalmente entregar as firewalls no nosso escritório e fazemos a configuração base diretamente nos equipamentos. Depois enviamo-las ao cliente, que só tem de ligar a firewall à rede. Com o “Light-Touch Deployment” poderemos futuramente dispensar o envio do hardware para nós, ficando pelo menos um dia mais rápidos. 😎

Como este workflow pressupõe uma conta Central, provavelmente não poderemos aplicar este procedimento a todos os novos clientes.

Melhorias em Synchronized Security – Synchronized Application Control

Synchronized Application Control foi apresentado pela primeira vez na versão 17.0 e melhorado na versão 17.1. Com esta funcionalidade, a Sophos queria oferecer uma solução para o problema de base de que uma grande parte do tráfego de rede continua a ser difícil de controlar e pode passar relativamente despercebida pela firewall mesmo com HTTP/HTTPS scanning. Com Synchronized Application Control, o endpoint comunica à firewall que software causa exatamente o tráfego. Assim, o tráfego de rede pode ser classificado de forma muito melhor.

Com a v17.5 foram implementadas as seguintes melhorias:

• Mostrar aplicações de sistema Windows e Mac numa lista separada.
• Ocultar aplicações e depois utilizar uma nova opção de filtro para mostrar ou esconder aplicações ocultas.
• Uma nova opção para marcar aplicações e removê-las assim da lista de “novas”.
• Melhor apresentação dos nomes de caminhos.

Pode agora escolher você mesmo que colunas realmente precisa.

Melhorias nas Web Policies

Imagine que um professor está a trabalhar com a turma no computador e uma página web necessária é bloqueada. Numa situação destas, até agora era sempre necessário chamar o administrador para desbloquear a página. Na versão SFOS 17.5 existe agora uma função nas Web Policies que permite autorizar utilizadores a acederem mesmo assim a páginas bloqueadas. Poderia, portanto, dar a esse professor a possibilidade de desbloquear ele próprio essa página, domínio ou categoria através do User Portal.

Cada regra recebe um código, que ele pode depois comunicar à turma. Na página bloqueada, os alunos introduzem esse código e acedem temporariamente ao site originalmente bloqueado.

Como administradores, vemos depois numa lista que códigos foram gerados e também os podemos apagar. O admin pode ainda definir sites ou categorias que não podem ser contornados pelos professores.

Aqui ficam mais algumas pequenas novidades disponíveis nas Web Policies da versão SFOS 17.5:

• Definição de um motor de pesquisa padrão.
• SafeSearch e restrições do YouTube.
• Limitação do tamanho de ficheiros em downloads.
• Restrições de domínio do Google App, todas definidas com base em políticas específicas.

😉. A identificação do utilizador neste sistema operativo é diferente da de outros sistemas e até agora não era suportada pelo XG Firewall. Com a v17.5, a Sophos disponibiliza uma extensão para Chromebook que partilha os IDs dos utilizadores Chromebook com a firewall. Isto permite aplicar políticas e criar user reporting. É necessário, porém, um servidor Active Directory sincronizado com Google G Suite. A extensão Chrome é disponibilizada a partir da consola de administração da G Suite e oferece uma implementação simples e transparente para o utilizador.

Client Authentication Agent

O XG Firewall Client Authentication Agent permite informar o XG Firewall sobre que utilizador está atualmente autenticado no computador, sem Active Directory. Para isso, basta executar o Client Authentication Agent no equipamento.

O client existe para Windows, macOS, Linux 32/64 bits, iOS e Android. O download encontra-se no User Portal.

Melhorias de gestão

Ao criar uma nova regra de firewall, pode agora atribuí-la diretamente a um grupo. Existe também uma nova atribuição automática a grupos, embora nos meus testes não tenha funcionado particularmente bem. A firewall quis atribuir automaticamente a minha regra a um grupo onde eu não a queria.

proteção contra spoofing.

IPS Protection

• Mais categorias para melhor otimização das regras, o que resulta em melhor performance e mais proteção.

Wireless

• Suporte para failover de servidores RADIUS com vários servidores.

IPsec

• SD-WAN Failover e Failback
• IPsec Failover – grupos redundantes para ligações IPsec, para mudar para outro link WAN em caso de failover. Assim que a ligação principal voltar a estar disponível, também é possível regressar a ela.

O que vem nas próximas versões?

Nas próximas semanas/meses serão lançados, como habitualmente, Maintenance Releases que irão acrescentar ainda algumas funcionalidades.

Sophos Wireless APX Access Point Support

Os novos APX Access Points da Sophos até agora só podiam ser usados com Sophos Central. O suporte para o XG Firewall é esperado em MR1, que deverá sair cerca de 2 a 4 semanas após o lançamento da 17.5. O APX 120, que deverá estar disponível por menos de 200 CHF, só chega em janeiro de 2019.

Airgap Support

Existem XG Firewalls que não estão ligadas à Internet. A ativação da licença nestes equipamentos não era possível até agora. Passa a existir uma opção para carregar a licença e updates para a firewall através de uma pen USB.

---

Mais informações

• PDF: XG Firewall - What’s new in v17.5