Hoppa till innehållet
Avanet
Sophos Central Wireless - Version 2.0 med Security Heartbeat

Sophos Central Wireless - Version 2.0 med Security Heartbeat

27. JULI 2018

Sophos Central Wireless 2.0 är snart här och kommer att rullas ut till alla konton mellan den 30 juli och 31 augusti. Förutom nya funktioner och förbättringar kommer då även de nya APX‑accesspunkterna med Wave 2.0 att stödjas. I denna bloggpost sammanfattar vi de funktioner du kan se fram emot.

Synchronized Security för Endpoint och Mobile

Security Heartbeat finns nu även för Sophos Central Wireless. Principen är i grunden densamma som på XG Firewall. Nätverksåtkomsten för infekterade klienter, eller klienter som inte uppfyller definierade policies, begränsas eller blockeras helt.

Med Security Heartbeat i Central Wireless kan du isolera en riskfylld enhet från WLAN:et så att den inte utgör ett hot mot andra anslutna enheter. För att detta samspel ska fungera måste endpoints naturligtvis ha rätt programvara. På datorer och bärbara datorer bör du minst ha Sophos Central Endpoint installerat, och på smartphones och surfplattor Sophos Central Mobile. Slutligen krävs en av de nya APX‑accesspunkterna, eftersom endast dessa stöder Security Heartbeat. 😅

Enhanced Rogue AP Detection

Med Enhanced Rogue AP Detection skannar dina Sophos‑accesspunkter alla kanaler och listar närliggande trådlösa nätverk. Det kanske inte låter så spännande vid första anblicken. Målet är dock – som namnet antyder – att hitta så kallade “rogue APs”, alltså obehöriga accesspunkter som kan utgöra en säkerhetsrisk i ett annars skyddat nätverk.

De ibland strikta men befogade begränsningarna i ett företags‑WLAN kan ibland få medarbetare att bli kreativa. Det kan mycket väl hända att en kollega installerar en egen accesspunkt på kontoret för att ansluta privata enheter till internet. Detta skulle vara en “rogue AP”, eftersom den installerats i ett säkert nätverk utan tillstånd.

Med Enhanced Rogue AP Detection kan du i fortsättningen spåra upp sådana obehöriga accesspunkter i ditt nätverk. Om användningen av en enhet har godkänts kan du naturligtvis lägga till denna AP i en “lista över kända APs”.

Fler förbättringar

Utöver de redan nämnda funktionerna innehåller version 2.0 ytterligare två viktiga förbättringar:

  • Mass‑provisionering: du kan nu lägga till upp till 30 accesspunkter i ett enda steg genom att ladda upp en CSV‑fil med serienummer.
  • Omdesignat dashboard: ger bättre överblick över hot i nätverket och status för enheter med Synchronized Security.

Kommande funktioner

Version 2.1 är planerad till september och ska innehålla förbättrade verktyg för felsökning och diagnostik. I november väntas den lilla APX 120‑accesspunkten, vars stöd garanteras i version 2.1.1.

Slutsats

Vi har alltid ansett att Sophos Central Wireless är en mycket intressant produkt. Köp accesspunkter, koppla in dem och kör igång! Med Sophos Central Wireless krävs ingen fysisk kontroller, och du kan administrera trådlösa nätverk på flera platser på ett enkelt och överskådligt sätt.

Det enda problemet vi har med Sophos Wireless är priset. Enligt vår mening lyckas inte ens de nya funktionerna i version 2.0 fullt ut motivera kostnaden. Dessutom drar du egentligen bara nytta av Synchronized Security om du också investerar i den nya APX‑serien.

Vidare är Sophos långt ifrån ensam på marknaden för trådlös hantering. Redan före Sophos Wireless fanns jämförbara lösningar. Till och med Google säljer egna accesspunkter; för priset av en enda Sophos‑AP kan jag köpa tre sådana. De kan också hanteras via molnet och användas på flera platser, med säker WPA2‑kryptering.

Vi finner det helt enkelt inte särskilt attraktivt med återkommande kostnader enbart för wifi. Vi ser wifi lite som “luft”: det måste bara finnas där. Den inställningen kan förstås ändras om det i framtiden tillkommer ännu fler säkerhetsfunktioner som i version 2.0. Då ser vi tydligt mervärdet, och det blir fullt legitimt att ta ut extra avgifter för Sophos Central Wireless.

Vi måste också erkänna att Sophos åtminstone sänkt priset något på de nya APX‑accesspunkterna. Medan det fortfarande är prisskillnad mellan AP 15 och AP 100, kommer de årliga kostnaderna att vara desamma för alla APX‑modeller, oavsett om det är den lilla APX 320 eller den större 740.

Sammanfattningsvis kan vi säga att Sophos Central Wireless har stor potential. Det kräver ingen fysisk konsol och de nya APX‑accesspunkterna tillför ytterligare säkerhetsfunktioner som Synchronized Security. Ur vårt perspektiv kan detta bli mycket intressant framöver. För den som inte bryr sig om detta är ett alternativ att helt enkelt köpa en liten XG Firewall (XG 115) och administrera upp till 10 accesspunkter. I det scenariot betalar du bara en gång för accesspunkterna, eftersom wireless‑licensen ingår utan extra kostnad i Sophos Firewall OS på XG.

Obs: den 31 juli 2018 kontaktade Sophos oss personligen angående våra slutsatser om Sophos Central Wireless. Eftersom vi hade nämnt det höga priset som kritikpunkt delade Sophos en intressant upplysning med oss: i den årliga kostnaden per accesspunkt för Sophos Wireless ingår även en försäkring för enheten. Om en accesspunkt går sönder byts den kostnadsfritt ut av Sophos inom 24 timmar. Denna tjänst ingår alltså i priset. Tyvärr nämns detta varken i datablad eller på webbplatsen. Vi kan därför inte garantera det svart på vitt, men enligt Sophos är accesspunkterna försäkrade så länge det finns en giltig Sophos Central Wireless‑licens.

Kända fel i version 2.0

Följande lista visar kända problem som fortfarande kan uppstå i version 2.0. Arbetet med att åtgärda dem pågår redan och felen bör vara åtgärdade inom kort.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Mer information

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.