Sophos Firewall Feature Request 2024
Vi arbetar själva dagligen med Sophos Firewall, och våra kunder ger oss regelbundet feedback om vilka säkerhetsfunktioner och administrationsfunktioner de saknar. Utifrån dessa erfarenheter och återkopplingar har vi sammanställt en detaljerad lista. Denna feedback sammanfattar vi nu i Sophos Firewall Feature Request.
Let’s Encrypt-stöd
Detta är den mest efterfrågade funktionen, som många har väntat på i över tre år. Med Version 21, som väntas komma omkring oktober, ska funktionen äntligen ingå.
Byta namn på objekt
För närvarande är det tyvärr inte möjligt att byta namn på vissa saker i firewallen. Här är några exempel:
- Site-to-Site IPsec-anslutningar
- Zoner
- DHCP-server
- IPS-regler
Denna funktion skulle vara mycket användbar för att hålla konfigurationer tydligare och bättre organiserade.
Om man till exempel vill byta namn på en Site-to-Site-VPN-anslutning måste man ta bort den och skapa den på nytt, bara för att ändra namnet.
Responsivt GUI
Med uppdateringen till Version 20 optimerades GUI:t något för bredbildsskärmar för att minska de stora tomma ytorna. Det var redan en mycket ofta efterfrågad Sophos Firewall Feature Request.
Trots detta önskar våra kunder ett helt responsivt gränssnitt som också ser bra ut på surfplattor och mobila enheter. Särskilt på små skärmar och med 4K-upplösning finns det fortfarande utrymme för förbättringar.
Backend-prestanda
GUI:t är långsamt. Särskilt på mindre firewall-modeller reagerar enheterna ofta mycket trögt, framför allt när firewall-regler sparas. Här finns fortfarande stor optimeringspotential för att förbättra användarupplevelsen.
Ett exempel: att spara en firewall-regel på en XGS 126 med SFOS v20 tar för lång tid.
Laddningstiden för gränssnitten tar ungefär lika lång tid, och instrumentpanelen tar ungefär dubbelt så lång tid.
Gruppering av NAT-regler
Det går att gruppera firewall-regler för att organisera dem bättre. Den funktionen saknas däremot för NAT-regler. Även här skulle en grupperingsfunktion vara en meningsfull Sophos Firewall Feature Request.
Klona NAT-regler
Funktionen för att klona firewall-regler finns redan, men detta användbara alternativ saknas för NAT-regler. Det vore mycket hjälpsamt om även NAT-regler kunde klonas för att bygga konfigurationer snabbare och mer effektivt. Detta är en Sophos Firewall Feature Request som våra kunder ofta nämner.
Anpassa och spara Log Viewer
Log Viewer gör det möjligt att lägga till eller ta bort kolumner för att visa loggarna tydligare. Det vore bra om dessa inställningar kunde sparas, så att man vid nästa öppning av Log Viewer direkt får sina föredragna kolumnvyer.
Integrerat hastighetstest
Ett integrerat Speedtest som kan köras direkt via firewallen står högt upp på önskelistan för många användare. Andra tillverkare erbjuder redan sådana funktioner, där Speedtests kan köras via olika gränssnitt direkt från firewallen eller planeras tidsstyrt.
Dölj varningar i instrumentpanelen
Varningsmeddelanden eller larm visas i dashboarden, men de kan inte döljas. Många användare vill kunna markera dessa meddelanden som sedda, så att de inte visas permanent.
Importera flera objekt samtidigt
Möjligheten att importera flera objekt samtidigt skulle vara ett värdefullt tillägg. I dag kan IP-listor importeras, men inte URL-listor eller flera nätverk. Funktionen skulle ge ett tydligt effektivitetslyft, särskilt för undantag för Microsoft-tjänster där många nätverk eller URL:er måste listas.
Länkar till firmware-release-notes
För firmwareuppdateringar för RED eller Access Points finns det för närvarande bara en “Installera”-knapp i backend, utan detaljerad information om ändringarna. Det gör att administratörer inte vet vilka ändringar eller förbättringar den nya firmwaren medför. Det är särskilt problematiskt eftersom det inte finns någon rollback-möjlighet om problem uppstår efter installationen.
En direktlänk till release notes vore därför en mycket praktisk Sophos Firewall Feature Request. Då kan man kontrollera ändringarna före installationen och bättre bedöma vilka risker eller fördelar uppdateringen innebär. I dag måste man leta efter detaljer i Sophos Community, vilket tar ytterligare tid.
Auto Block attack
En närliggande funktion som är lätt att föreställa sig är lösenordsskyddet som utlöser en tillfällig spärr efter för många misslyckade inloggningsförsök. Mekanismen är välkänd för de flesta administratörer och används redan i Sophos Firewall.
Denna mekanism blockerar inloggningen efter ett visst antal misslyckade försök och låser åtkomsten under en definierad tidsperiod. En liknande funktionalitet för firewallen skulle vara mycket användbar för att automatiskt blockera IP-adresser om flera misstänkta aktiviteter upptäcks inom kort tid.
En liknande metod används av Fail2Ban, ett program som kontrollerar loggar och blockerar IP-adresser som uppvisar vissa fördefinierade mönster för attacker eller misstänkt aktivitet. På så sätt skyddar Fail2Ban system mot brute-force-attacker och andra hot genom att automatiskt blockera angripare.
Det är uppenbart att en sådan automatisk blockeringsfunktion också skulle vara mycket användbar för Sophos Firewall. För närvarande upptäcker Intrusion Prevention System (IPS) misstänkta aktiviteter och blockerar dem, men angriparen kan kontinuerligt upprepa sina försök. Varje misstänkt aktivitet utlöser en avisering, och administratören måste manuellt ingripa för att blockera IP-adressen.
Ett autoblock-läge där administratören kan ange att en IP-adress ska blockeras i 15 minuter, en timme eller ännu längre skulle avsevärt öka effektiviteten och säkerheten. Om firewallen upptäcker flera misstänkta aktiviteter från en viss IP-adress inom en minut vore det rimligt att automatiskt blockera denna IP under en bestämd tidsperiod. Administratören skulle när som helst kunna underhålla blocklistan och ta bort adressen vid behov.
Genom att införa en sådan autoblock-modul skulle firewallen skydda ännu effektivare mot upprepade attacker och samtidigt minska den administrativa arbetsbördan för administratören.
Då skulle det återigen bli en kamp maskin mot maskin, eftersom de flesta attackförsök i dag utförs av botar eller automatiserade system. Bakom Sophos Firewall står däremot en administratör som i dag måste hantera sådana händelser manuellt för att stoppa ytterligare försök.
Bad IP Blocker Feeds
I den kommande firewall-version 21 ska det bli möjligt att implementera fördefinierade listor för att blockera åtkomst till farliga IP-adresser. Det innebär att åtkomsten automatiskt blockeras om någon internt försöker nå en redan känd farlig IP-adress. I framtida versioner ska dessa listor kompletteras av tredjepartsleverantörer. Tyvärr kontrolleras dock bara utgående anslutningar mot listorna.
En bra utökning vore att lägga till feeds i firewallen som innehåller IP-listor för att blockera kända farliga IP-adresser även för inkommande anslutningar. Detta skulle kunna gälla för NAT-regler, VPN-förfrågningar, User Portal-förfrågningar och andra tjänster.
För Web Application Firewall finns redan en liknande funktion som heter “Block clients with bad reputation”, som gör följande:
Den blockerar klienter som har dåligt rykte baserat på realtidsbaserade blackhole-listor (RBL:er) och GeoIP-information. Att hoppa över fjärrfrågor för klienter med dåligt rykte kan förbättra prestandan. För RBL:er använder Sophos Firewall Sophos Extensible List (SXL) och SORBS. För GeoIP använder den Maxmind. Sophos Firewall blockerar klienter som tillhör kategorierna A1 (anonyma proxyservrar eller VPN-tjänster) och A2 (satellit-ISP:er).
Önskemålet vore alltså att kunna prenumerera på egna RBL-feeds, till exempel från välkända leverantörer eller även från GitHub.
En sådan utökning skulle avsevärt höja säkerheten för firewallen och dess tjänster genom att inte bara utgående, utan även inkommande anslutningar, skyddas effektivt mot kända hot.
Inaktivera trådlös tjänst
Även om det finns ett alternativ för att inaktivera Wireless Service visas detta som ett fel. I dashboarden visas då ett varningsmeddelande:
Det innebär att firewallen tolkar det som ett problem och visar ett felmeddelande även om administratören medvetet har inaktiverat tjänsten för att spara resurser eller av andra skäl. Därför vore det önskvärt att kunna inaktivera Wireless Service utan att detta visas som ett fel i dashboarden.
Feedback till oss
I det här inlägget har vi sammanställt de vanligaste Sophos Firewall Feature Requests som vi har samlat in under de senaste månaderna. Vi har tagit hänsyn både till våra kunders önskemål och till funktioner som skulle hjälpa oss att göra installation och underhåll av många kundfirewalls mer effektivt.
Om du har ytterligare förslag eller önskemål får du gärna skicka din feedback via kontaktformuläret. Vi kommer att uppdatera detta blogginlägg regelbundet för att alltid spegla aktuella behov och krav.
Roadmapen är inte heller någon garanti
Man ska aldrig köpa en produkt bara för att en tillverkare lovar att den funktion man vill ha kommer att läggas till via en uppdatering.
Med Sophos är det inte annorlunda. Roadmapen är ungefär lika pålitlig som väderprognoser eller horoskop. Funktioner läggs till och tas bort, tjänster presenteras på roadshows eller saker skrivs in i produktblad med hänvisningen (coming soon), men allt det betyder ännu ingenting. Jag skulle kunna skriva ett eget inlägg om Sophos-annonseringar som aldrig blev något. Dessutom är Sophos tyvärr inte en av de tillverkare som lyssnar på användarna och sedan utvecklar funktionerna därefter; det vore helt absurt. Bättre då att jaga nästa hype från Gartner-analytikerna, det aktieägarna vill höra, eller hålla ett öga på konkurrenterna.
Jag tror att allt borde vara klart nu och jag har kvävt falska förhoppningar i sin linda.
