Sophos Firewall Funktionsönskemål 2024
Vi arbetar själva dagligen med Sophos Firewall och våra kunder ger oss ständigt feedback om vilka säkerhets- och användbarhetsfunktioner som saknas. Från dessa erfarenheter och återkopplingar har vi sammanställt en detaljerad lista. Denna feedback sammanfattar vi i Sophos Firewall Funktionsönskemål.
Let’s Encrypt-stöd
Detta är den mest efterfrågade funktionen, som många har väntat på i över tre år. Med Version 21, som förväntas släppas runt oktober, kommer denna funktion äntligen att inkluderas.
Byta namn på objekt
För närvarande är det tyvärr inte möjligt att byta namn på vissa saker i brandväggen. Här är några exempel:
- Site-to-Site IPsec-anslutningar
- Zoner
- DHCP-server
- IPS-regler
Denna funktion skulle vara ytterst användbar för att hålla konfigurationerna tydligare och mer organiserade.
Om du till exempel vill byta namn på en Site-to-Site VPN-anslutning måste du ta bort den och skapa en ny, bara för att ändra namnet.
Responsivt GUI
Med uppdateringen till Version 20 optimerades GUI:t något för bredbildsskärmar för att minska det vita utrymmet. Detta var redan ett mycket ofta efterfrågat Sophos Firewall Funktionsönskemål.
Trots detta önskar våra kunder ett helt responsivt gränssnitt som också ser bra ut på surfplattor och mobila enheter. Särskilt på små skärmar och med 4K-upplösning finns det fortfarande utrymme för förbättringar.
Backend-prestanda
GUI:t är långsamt, särskilt på mindre brandväggsmodeller reagerar enheterna ofta mycket långsamt, speciellt vid spara av brandväggsregler. Här finns fortfarande stor optimeringspotential för att förbättra användarupplevelsen.
Ett exempel: att spara en brandväggsregel på en XGS 126 med SFOS v20 tar för lång tid.
Laddningstiden för gränssnitten tar ungefär lika lång tid, och instrumentpanelen tar ungefär dubbelt så lång tid.
Gruppering av NAT-regler
Det är möjligt att gruppera brandväggsregler för att organisera dem bättre. Denna funktion saknas dock för NAT-regler. Även här skulle en grupperingsfunktion vara ett användbart Sophos Firewall Funktionsönskemål.
Klona NAT-regler
Medan funktionen för att klona brandväggsregler redan finns, saknas detta användbara alternativ för NAT-regler. Det vore mycket fördelaktigt om även NAT-regler kunde klonas för att göra konfigurationerna snabbare och effektivare. Detta är ett ofta uttryckt Sophos Firewall Funktionsönskemål från våra kunder.
Anpassa och spara Log Viewer
Loggvisaren låter dig lägga till eller ta bort kolumner för att visa loggar tydligare. Det vore bra om dessa inställningar kunde sparas så att du nästa gång du öppnar Loggvisaren direkt har dina föredragna kolumnvyer.
Integrerat hastighetstest
Ett integrerat hastighetstest, som kan köras direkt från brandväggen, ligger högt upp på önskelistan för många användare. Andra tillverkare erbjuder redan dessa funktioner, som gör det möjligt att utföra hastighetstester över olika gränssnitt direkt från brandväggen eller att schemalägga dem tidsstyrt.
Dölj varningar i instrumentpanelen
Varningsmeddelanden eller larm visas i instrumentpanelen, men de kan inte döljas. Många användare vill kunna markera dessa meddelanden som sedda så att de inte visas permanent.
Importera flera objekt samtidigt
Möjligheten att importera flera objekt samtidigt skulle vara ett värdefullt tillägg. För närvarande kan IP-listor importeras, men URL-listor eller flera nätverk kan inte det. Denna funktion skulle avsevärt bidra till effektiviteten, särskilt för undantag för Microsoft-tjänster, där många nätverk eller URL:er måste listas.
Länkar till firmware-release-notes
För firmwareuppdateringar för RED eller accesspunkter finns det för närvarande bara en “Installera”-knapp i backend, utan att detaljerad information om ändringarna finns tillgänglig. Detta ställer administratörer inför problemet att de inte vet vilka ändringar eller förbättringar den nya firmwaren medför. Detta är särskilt problematiskt eftersom det inte finns någon möjlighet att återgå om problem uppstår efter installationen.
En direktlänk till release-notes vore därför ett mycket praktiskt Sophos Firewall Funktionsönskemål. På så sätt kan man kontrollera ändringarna före installationen och bättre bedöma vilka risker eller fördelar uppdateringen medför. För närvarande måste man söka detaljer i Sophos Community, vilket återigen kostar tid.
Auto Block attack
En relaterad funktion som man väl kan föreställa sig är lösenordssäkerhetsmekanismen, som utlöser en tillfällig spärr om det blir för många misslyckade inloggningsförsök. Denna mekanism är känd för de flesta administratörer och tillämpas redan på Sophos Firewall.
Denna mekanism blockerar inloggningen efter ett visst antal misslyckade försök och låser åtkomsten under en definierad tidsperiod. En liknande funktionalitet för brandväggen skulle vara ytterst användbar för att automatiskt blockera IP-adresser om flera misstänkta aktiviteter upptäcks inom kort tid.
En liknande metod används också av Fail2Ban, ett program som kontrollerar loggar och blockerar IP-adresser som visar vissa, fördefinierade mönster av attacker eller misstänkta aktiviteter. Fail2Ban skyddar därmed system från brute-force-attacker och andra hot genom att automatiskt blockera angripare.
Det är uppenbart att en sådan automatisk blockeringsfunktion också skulle vara ytterst användbar för Sophos Firewall. För närvarande upptäcker Intrusion Prevention System (IPS) misstänkta aktiviteter och blockerar dem, men angriparen kan kontinuerligt upprepa sina försök. Varje misstänkt aktivitet utlöser en avisering, och administratören måste manuellt ingripa för att blockera IP-adressen.
Ett autoblock-läge, där administratören kan ställa in att en IP-adress blockeras i 15 minuter, en timme eller till och med längre, skulle avsevärt öka effektiviteten och säkerheten. Om brandväggen upptäcker flera misstänkta aktiviteter från en specifik IP-adress inom en minut, vore det förnuftigt att automatiskt blockera denna IP under en viss period. Administratören skulle när som helst kunna underhålla svartlistan och ta bort adressen vid behov.
Genom att införa en sådan autoblock-modul skulle brandväggen skydda ännu effektivare mot upprepade attacker och samtidigt minska den administrativa arbetsbördan för administratören.
Då skulle det återigen vara en kamp maskin mot maskin, för för närvarande utförs de flesta attackförsök av botar eller maskiner. Bakom Sophos Firewall står dock en administratör som manuellt måste hantera sådana händelser för att förhindra ytterligare förfrågningar.
Bad IP Blocker Feeds
I den kommande brandväggsversion 21 ska det vara möjligt att implementera fördefinierade listor för att blockera åtkomst till farliga IP-adresser. Detta innebär att om någon internt försöker komma åt en redan känd farlig IP, kommer denna åtkomst automatiskt att blockeras. I framtida versioner kommer dessa listor att kompletteras av tredjepartsleverantörer. Tyvärr kontrolleras dock endast utgående anslutningar mot dessa listor.
En bra utökning vore att lägga till flöden till brandväggen som innehåller IP-listor för att blockera kända farliga IP-adresser även för inkommande anslutningar. Detta skulle kunna gälla för NAT-regler, VPN-förfrågningar, användarportal-förfrågningar och andra tjänster.
För webbapplikationsbrandväggen finns redan en liknande funktion som heter “Block clients with bad reputation”, som gör följande:
Den blockerar klienter som har dåligt rykte på grund av realtids svarta listor (RBLs) och GeoIP-information. Att hoppa över fjärrfrågor för klienter med dåligt rykte kan förbättra prestandan. För RBLs använder Sophos Firewall Sophos Extensible List (SXL) och SORBS. För GeoIP använder den Maxmind. Sophos Firewall blockerar klienter som faller inom kategorierna A1 (anonyma proxyservrar eller VPN-tjänster) och A2 (satellit-ISP:er).
Önskemålet vore därför att kunna prenumerera på egna RBL-flöden, till exempel från välkända tillverkare eller även från GitHub.
En sådan utökning skulle avsevärt öka säkerheten för brandväggen och dess tjänster genom att effektivt skydda inte bara utgående utan även inkommande anslutningar mot kända hot.
Inaktivera trådlös tjänst
Även om det finns ett alternativ för att inaktivera den trådlösa tjänsten, visas detta som ett fel. En varningsmeddelande visas då i instrumentpanelen:
Detta innebär att även om administratören medvetet inaktiverar tjänsten för att spara resurser eller av andra skäl, tolkar brandväggen detta som ett problem och utfärdar ett felmeddelande. Det vore därför önskvärt att kunna inaktivera den trådlösa tjänsten utan att det visas som ett fel i instrumentpanelen.
Feedback till oss
I detta inlägg har vi sammanställt de vanligaste Sophos Firewall Funktionsönskemålen som vi har samlat in under de senaste månaderna. Vi har därvid beaktat både våra kunders önskemål och de funktioner som skulle hjälpa oss att effektivisera installation och underhåll av de många kundbrandväggarna.
Skulle du dock ha ytterligare förslag eller önskemål, vänligen skicka oss din feedback via kontaktformuläret. Vi kommer regelbundet att uppdatera detta blogginlägg för att alltid återspegla de senaste behoven och kraven.
Färdplan är inte heller någon garanti
Man ska aldrig köpa en produkt bara för att en tillverkare lovar att den funktion man vill ha kommer att läggas till via en uppdatering.
Med Sophos är det inte annorlunda. Färdplanen är ungefär lika pålitlig som väderprognosen, horoskop eller katters beteende. Funktioner läggs till och tas bort, tjänster presenteras på roadshows eller saker skrivs i produktdatablad med hänvisningen (kommer snart), allt det betyder ingenting! Jag skulle kunna skriva ett separat inlägg om Sophos tillkännagivanden som inte blev något. Dessutom är Sophos tyvärr inte en av de tillverkare som lyssnar på användarna och sedan utvecklar funktioner därefter; det vore helt absurt. Bättre att jaga nästa hype från Gartner-analytiker eller vad aktieägarna vill höra, eller titta på konkurrenterna.
Jag tror att allt borde vara klart nu och jag har kvävt falska förhoppningar i sin linda.
