Sophos Firewall v21: Nya funktioner och förbättringar

Sophos Firewall v21 har varit officiellt tillgänglig sedan den 17 oktober och i den här artikeln beskriver vi de nya funktionerna i versionen.

⚠️ Uppdatering till Sophos Firewall v21

• ✅ XGS Appliances
• ✅ Sophos Firewall VMs eller programvaruinstallationer
• ❌ XG Appliances End of Life
• ❌ SG Appliances med Sophos Firewall OS End of Life

Uppdateringen till Sophos Firewall v21 är endast tillgänglig för XGS Appliances samt VM- och programvarubrandväggar. XG Appliances och SG Appliances med SFOS kommer inte längre att få denna uppdatering och når End-of-Life (EOL) den 31 mars 2025. Alla som berörs av End-of-Life får mer information i XG End-of-Life-artikeln.

Let’s Encrypt

Med version 21 av Sophos Firewall kan du använda Let’s Encrypt för att kostnadsfritt och automatiserat hämta, förnya och hantera SSL/TLS-certifikat. Integrationen av Let’s Encrypt i Sophos Firewall v21 förenklar certifikathanteringen och säkerställer att certifikaten förnyas automatiskt i god tid innan de löper ut.

ÄNTLIGEN! I flera år har detta sannolikt varit en av de mest efterfrågade funktionerna, och Sophos har verkligen tagit god tid på sig här, trots att FortiGate har kunnat göra detta i över ett år 🫣.

Automatisk certifikatskapning

Let’s Encrypt-certifikat är giltiga i 90 dagar och förnyas automatiskt av Sophos Firewall 30 dagar innan de löper ut. Det minskar det manuella arbetet med certifikathantering avsevärt och säkerställer att brandväggen alltid arbetar med giltiga certifikat.

Gränssnitt som stöds

Let’s Encrypt-certifikat kan användas i brandväggen för olika webbtjänster:

• Web Admin-konsol
• Användarportal
• Captive Portal
• VPN-portal
• SPX-portal
• WAF (Web Application Firewall)

För följande tjänster stöds dock inte Let’s Encrypt:

• Remote Access VPN
• Site-to-Site VPN
• Chromebook SSO

Domänvalidering via HTTP

Certifikaten valideras via HTTP challenge-response-mekanismen. Brandväggen skapar då en tillfällig webbserverkonfiguration och en WAF-policy för att hantera challenge-processen och validera domänen. De tillfälliga brandväggsreglerna och den virtuella webbservern tas automatiskt bort efter lyckad certifikatutfärdning.

Domänhantering

Du kan begära certifikat för upp till 50 domäner. Endast fullständigt kvalificerade domännamn (FQDN) stöds. Wildcard-domäner och IP-adresser är inte tillåtna.

Använda Let’s Encrypt-certifikat

För att skapa ett Let’s Encrypt-certifikat registrerar du ett konto hos Let’s Encrypt i brandväggen, lägger till önskade domäner och konfigurerar WAN-gränssnittet för HTTP-domänvalidering via port 80. Det är viktigt att DNS-posterna pekar mot brandväggens publika IP-adress.

De utfärdade certifikaten kan sedan användas för WebAdmin-konsolen, användarportalerna och Web Application Firewall (WAF) för att säkerställa säkra HTTPS-anslutningar.

En detaljerad guide finns i denna video:

UX- och UI-förbättringar

Central-UI nu på brandväggen

Med uppdateringen till Sophos Firewall v21 har användargränssnittet arbetats om för att förbättra navigation och överblick. Den nya sidopanelen och det justerade färgschemat ger en tydligare struktur. Dashboarden utnyttjar nu det tillgängliga skärmutrymmet bättre genom att skala upp till en bredd på 1920 pixlar. Därmed kan mer information visas samtidigt, vilket gör det lättare att behålla överblicken.

Widgetarna har också anpassats för att visa mer information direkt. Kortvyn gör det enklare att skilja mellan olika datakategorier. Ändringarna gör det snabbare att komma åt säkerhetsrelevant information och systemstatusmeddelanden.

Sammantaget syftar det omarbetade gränssnittet till att göra arbetet med brandväggen mer effektivt, och det är förstås trevligt att se att Sophos äntligen gör något på detta område igen. Jag hoppas att ämnena dölja varningsmeddelanden i dashboarden och Backend Performance också tas tag i snart.

Objektreferenser

Objektreferensfunktionen lades till Sophos Firewall med v20.

Sophos Firewall v21 erbjuder ett sätt att spåra användningen av objekt som gränssnitt, zoner, gateways och SD-WAN-profiler i konfigurationen. Tack vare insynen i var objekten används kan ändringar göras mer riktat. Även städning av objekt som inte längre används blir enklare, eftersom du snabbt ser om de fortfarande används eller kan tas bort.

Object Reference API

Det Object Reference API som introduceras i Sophos Firewall v21 gör det möjligt att automatiserat hämta antalet referenser till konfigurationsobjekt. API:et kan användas för att snabbt få en överblick över hur ofta ett objekt används i konfigurationen. Det är särskilt användbart när många hosts eller gränssnitt ska hanteras.

API:et gör det möjligt att fråga efter referensantal programmatiskt och stöder filter för att söka riktat efter specifika objekt. Funktionen ger ett effektivt sätt att identifiera oanvända objekt och vid behov ta bort dem. API:et kan också integreras i automatiseringsflöden, vilket sparar tid vid återkommande uppgifter som systemstädning.

Tredjeparts Threat Feeds

Med Sophos Firewall v21 stöds integrationen av Third-Party Threat Feeds för automatiserad hotblockering. Funktionen utökar den befintliga Threat Intelligence-integrationen från Sophos X-Ops och Sophos MDR med externa hotdatakällor. Sophos Firewall kan nu automatiskt bearbeta hotindikatorer från tredje part, Managed Service Providers (MSPs) eller branschspecifika konsortier och blockera hot i olika subsystem.

Automatiserad blockering

Så snart hotindikatorer tillhandahålls av ett tredjepartsfeed integreras de automatiskt i brandväggsreglerna. Hot som skadliga IP-adresser, domäner och URL:er blockeras omedelbart i alla relevanta säkerhetsmoduler, inklusive själva brandväggen, IPS (Intrusion Prevention System), DNS-blocklistor, webbfilter och Deep Packet Inspection (DPI).

Polling-intervall

Frekvensen med vilken brandväggen uppdaterar feeds kan ställas in flexibelt. Administratörer kan välja ett intervall från en timme upp till 30 dagar. Det gör det möjligt att styra uppdateringen av hotdata efter behov.

Stöd för flera flöden

Sophos Firewall kan hantera upp till 50 olika Threat Feed-källor. Dessa feeds måste ha ett specifikt format: varje Indicator of Compromise (IoC) skickas som en egen rad i en .txt-fil via HTTPS.

Autentisering och säkerhet

Integrationen av externa Threat Feeds kräver vanligtvis autentisering. Sophos Firewall stöder olika autentiseringsmetoder, inklusive Basic Authentication och tokenbaserad autentisering. Det säkerställer att endast auktoriserade hotdatakällor används.

Stödet för externa feeds förbättrar brandväggens försvarsförmåga avsevärt. Hot från branschspecifika eller regionala feeds kan upptäckas och blockeras utan att ytterligare brandväggsregler behöver skapas manuellt.

Threat Feeds-leverantörer

Här är ett litet urval av leverantörer som tillhandahåller Threat Feeds.

Cybora

Cybora tillhandahåller ett kuraterat Threat Intelligence Feed som kombinerar data från hundratals brandväggar världen över, community-källor och kommersiella feeds.

Fokus ligger på aktiva indikatorer med hög risk, till exempel command-and-control-servrar, botnätsskanning, brute-force-attacker och nätfiskeinfrastruktur. Genom scoring, deduplicering och kort livslängd för indikatorer hålls listorna aktuella, rena och praktiskt användbara.

Leveransen sker som enkla IP- och domänlistor via HTTPS och uppdateras flera gånger per dag. Cybora är kompatibelt med Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks och andra plattformar.

Cybora har specialiserat sig på användning i brandväggar och erbjuder enligt vår mening ett mycket starkt pris-/prestandaförhållande. Det är lösningen vi helst använder hos våra kunder. (Avanet ❤️ Cybora)

• Detaljer om lösningen: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec är en open-source-lösning för skydd mot cyberhot som bygger på crowd intelligence. Den erbjuder automatiserade blocklistor och Threat Feeds som samlas in från en global community. CrowdSec hjälper till att identifiera och blockera hot i realtid genom att aggregera hotinformation från många deltagare.

GreyNoise

GreyNoise fokuserar på analys av “internetbrus” genom att undersöka globala nätverkssignaler och identifiera vilka aktiviteter som sannolikt är skadliga. Tjänsten filtrerar bort skadlig nätverkstrafik som inte utgör en direkt attack mot den egna infrastrukturen och hjälper därmed till att minska falsklarm och prioritera verkliga hot.

Cisco Talos

Talos är Ciscos hotforskningsenhet och erbjuder ett av världens största kommersiella Threat Intelligence Feeds. Det omfattar detaljerad information om globala hot, sårbarheter och angripare. Talos stödjer upptäckt och försvar mot cyberattacker med aktuella hotdata.

Abuse.ch / URLhaus

Abuse.ch är en plattform som specialiserar sig på att spåra och blockera skadliga domäner och IP-adresser, särskilt kopplade till malware och botnät. URLhaus är ett projekt från Abuse.ch som fokuserar på rapportering och blockering av URL:er som sprider malware.

Hakk Solutions

Hakk Solutions är en leverantör av säkerhetsinformation och säkerhetstjänster med fokus på Threat Intelligence och säkerhetsövervakning. Tjänsterna omfattar hotdata som kan användas för att identifiera och avvärja cyberattacker.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide erbjuder Open-Source Intelligence Feeds (OSINT) baserade på offentligt tillgänglig information. Dessa feeds innehåller data om skadliga IP-adresser, URL:er och domäner som samlats in från olika öppna källor.

CINS Score (CINSscore.com)

CINS Score erbjuder hotdata baserade på analys av nätverkstrafik och hjälper till att identifiera skadliga hosts och nätverk. Tjänsten använder maskininlärning och heuristiska algoritmer för att bedöma potentiellt farliga IP-adresser.

EclecticIQ

EclecticIQ levererar hotdata och analyser för företag och säkerhetsoperationer. Leverantören erbjuder omfattande Threat Intelligence-tjänster som gör det möjligt att upptäcka hot och reagera på dem.

Feodo Tracker

Feodo Tracker är ett annat projekt från Abuse.ch som specialiserar sig på spårning av botnät, särskilt Feodo, Dridex och Emotet. Det tillhandahåller information om servrarna som dessa botnät använder för styrning och hjälper därmed till att identifiera och blockera skadliga aktiviteter.

DigitalSlide Threat Intel

DigitalSide erbjuder Threat Intelligence Feeds med fokus på Open-Source Intelligence (OSINT). Det samlar in offentligt tillgänglig information om skadliga IP-adresser, domäner och URL:er. Dessa feeds är särskilt användbara för tidig hotidentifiering eftersom de bygger på ett brett spektrum av öppna datakällor och uppdateras regelbundet.

Proofpoint - Emerging Threat Intelligence

Proofpoint erbjuder omfattande hotinformation genom sitt Emerging Threats Intelligence Feed. Tjänsten fokuserar på realtidsuppdateringar om framväxande hot, inklusive nya attacktekniker och sårbarheter. Proofpoint använder maskininlärning och expertanalyser för att ge detaljerade insikter om globala hot som hjälper företag att reagera riktat på cyberattacker.

Endpoint-hotindikatorer

Sophos Firewall v21 erbjuder möjlighet att integrera och analysera Indicators of Compromise (IoCs) från endpoints. Både hanterade och ohanterade endpoints stöds. Så snart en endpoint upptäcker skadlig aktivitet överförs informationen till brandväggen. Brandväggen analyserar dessa IoCs och blockerar misstänkta aktiviteter.

Funktionen är särskilt användbar för att förbättra synkroniseringen mellan endpoints och brandväggen. Hotförsök som upptäcks på endpoints kan därmed stoppas direkt i hela nätverket. Realtidsanalysen bidrar till snabb respons på hot och effektiv begränsning av attacker.

Synkroniserad telemetri

Brandväggen kan korrelera hotförsök från endpoints genom att inkludera detaljer som körda processer och applikationer. Det förbättrar hotdetektering och analys. Så snart en endpoint upptäcker misstänkt aktivitet överförs informationen automatiskt till brandväggen för att blockera hotet över olika nätverkslager.

Automatisk blockering av hot

Om en skadlig process upptäcks på en hanterad endpoint blockerar brandväggen automatiskt den tillhörande IP-adressen, domänen eller URL:en. Det gäller subsystem som brandväggen, DNS-blocklistor, webbfilter och Deep Packet Inspection. Den sömlösa integrationen mellan brandvägg och endpoints minskar svarstiden på hot avsevärt.

Ett exempel är en ohanterad endpoint som försöker nå en skadlig URL. Brandväggen ingriper omedelbart och blockerar åtkomsten utan att endpointen själv behöver någon särskild konfiguration. Det skyddar även enheter som inte hanteras direkt av Sophos Endpoint Security.

Förmågan att bearbeta IoCs från endpoints ger administratörer ett extra försvarslager, eftersom brandväggen inte bara reagerar på nätverkstrafik utan också på detaljerad hotinformation från själva endpoints.

Lateral Movement Protection

Lateral Movement Protection nämns återigen i Sophos Firewall v21, eftersom betydande förbättringar och optimeringar har gjorts i denna version. I v21 har särskilt integrationen och samordningen med andra säkerhetsfunktioner som Synchronized Security och Active Threat Response (ATR) förbättrats. Brandväggen kan nu reagera snabbare och mer effektivt på hot genom att automatiskt isolera komprometterade enheter och blockera spridningen av hot i nätverket.

Lateral Movement Protection förhindrar att hot sprids i nätverket genom att isolera komprometterade enheter. Så snart en endpoint identifieras som komprometterad blockeras kommunikationen med andra enheter i nätverket. Brandväggen delar även denna information med andra endpoints, som då också blockerar nätverksåtkomsten för den komprometterade enheten.

Funktionen höjer säkerheten i hela nätverket genom att förhindra att hot rör sig lateralt från en enhet till nästa. Den är särskilt användbar i stora nätverk där snabb isolering av infekterade enheter kan vara avgörande för att stoppa en incident.

MAC-adressblockering

När en endpoint identifieras som komprometterad delar brandväggen enhetens MAC-adress med alla andra endpoints i nätverket. Därefter blockerar endpoints nätverksåtkomsten för den infekterade enheten. Det förhindrar att hotet sprids vidare i nätverket.

Heartbeat-status

Brandväggen övervakar kontinuerligt Heartbeat-statusen för endpoints. Så snart en endpoint identifieras som komprometterad växlar Heartbeat-statusen till rött, vilket utlöser en omedelbar blockeringsmekanism. Kommunikationen från den komprometterade endpointen avbryts direkt, vilket möjliggör effektiv begränsning av hotet.

Ett typiskt scenario är en endpoint som försöker röra sig lateralt i nätverket efter att ha komprometterats. Med aktiverad Lateral Movement Protection isoleras endpointen omedelbart och kommunikationen blockeras. Det förhindrar spridning av malware, till exempel ransomware som annars skulle kunna försöka infektera fler enheter.

En förutsättning för funktionen är att brandväggen och Sophos-endpoints är anslutna via Sophos Central. Det möjliggör synkronisering mellan säkerhetslösningarna och säkerställer att hot snabbt kan upptäckas och isoleras.

Hot- och IoC-rapportering

Sophos Firewall v21 erbjuder, liksom tidigare versioner, rapporteringsfunktioner både på enheten (OnBox) och i molnet via Sophos Central. Rapporterna gör det möjligt att analysera hot och nätverksaktiviteter i detalj och ger värdefulla insikter om nätverkets säkerhetsläge.

I Sophos Firewall v21 har rapporteringsfunktionerna utökats genom integrationen av Threat Sources och Threat Events samt stöd för Synchronized Indicators of Compromise (IoC). Nytt är att rapporterna nu ger detaljerad information om hotens källor och specifika händelser. Du kan nu följa hotförsök mer exakt genom att se vilka enheter, IP-adresser eller användare som var inblandade och vilka brandväggsmoduler som blockerade hotet.

Särskilt värt att lyfta fram är stödet för Synchronized IoCs. Här synkroniseras hotdata från Sophos Central och Sophos Managed Detection and Response (MDR) samt från tredjepartsfeeds. Denna utökning gör det möjligt att få djupare insikter i hot genom att analysera berörda processer och endpoints mer exakt. Administratörer kan därmed inte bara se var hot uppstått, utan också hur de påverkar endpoints och nätverkskomponenter.

I denna video förklaras ämnet Third-Party Threat Feeds mer detaljerat:

Förbättringar av statiska rutter och VPN

VPN-UX-förbättringar

Med version 21 av Sophos Firewall har flera UX-förbättringar för hantering av VPN-anslutningar införts för att göra arbetet mer effektivt.

Bulkaktivering och -inaktivering

Administratörer kan nu aktivera eller inaktivera flera VPN-anslutningar samtidigt.

Det sparar mycket tid, särskilt vid hantering av stora nätverk med många VPN-tunnlar. Inaktivering sker snabbt via en central knapp i VPN-hanteringen.

Utökade filteralternativ

Översiktssidan för VPN-anslutningar har nu förbättrade filterfunktioner som gör det enklare att navigera genom flera sidor med VPN-konfigurationer. Filtren omfattar både fritextsökning och värdebaserade sökalternativ, vilket underlättar hantering och sökning efter specifika nätverk, subnät eller användare för Remote Access- och Site-to-Site-VPN.

XFRM-gränssnittsfilter

Ett extra filteralternativ för XFRM-gränssnitt har lagts till. XFRM-gränssnitt, som ofta används i VPN-konfigurationer, kan nu identifieras och hanteras enklare. Det är särskilt användbart när VPN byggs över VLAN och WAN-gränssnitt.

Site-to-Site VPN

I Sophos Firewall v21 har flera förbättringar för Site-to-Site VPN införts, med fokus på både användarvänlighet och prestanda.

DHCP-relay över XFRM-tunnlar: En av de viktigaste nya funktionerna är stöd för DHCP-relay över XFRM-tunnlar. Det gör det möjligt att nå DHCP-servrar bakom fjärrbrandväggar, vilket tidigare endast var möjligt via policybaserade VPN. Det är särskilt användbart i SD-WAN-miljöer där dynamiska IP-adresser behöver tillhandahållas via tunnlar.

Förbättrat FQDN-stöd: Vid konfiguration av remote gateways i IPsec-VPN kan nu både FQDNs (Fully Qualified Domain Names) och deras upplösta IP-adresser användas. Det förbättrar skalbarheten, särskilt i miljöer med hög DNS-latens där FQDN-upplösningar kan påverka VPN-anslutningarnas prestanda. Administratörer kan välja om de vill använda FQDNs eller upplösta IP-adresser i konfigurationen.

De nya funktionerna inom Site-to-Site VPN ger mer flexibilitet och förbättrar skalbarheten i större, distribuerade nätverk. Genom att återställningstiden för gränssnitt har optimerats och nu kan vara upp till 20 gånger snabbare minskar även driftstopp vid tunnelavbrott, omstarter eller HA-failover-scenarier kraftigt.

Route Management

Routinghanteringen i Sophos Firewall v21 har utökats med nya funktioner och förbättringar för att förenkla hanteringen av statiska och dynamiska rutter och öka nätverkets stabilitet.

Statiska rutter

Aktivering/inaktivering av rutter

Administratörer kan nu aktivera eller inaktivera enskilda rutter direkt, vilket gör felsökning och hantering av nätverksanslutningar betydligt enklare. Det möjliggör exakt kontroll över routingbeteendet i realtid.

Ruttkloning

Med den nya funktionen för ruttkloning kan befintliga rutter enkelt dupliceras och anpassas. Det sparar tid vid konfiguration och säkerställer konsekvens över olika nätverksgränssnitt. Dessutom kan varje rutt förses med en beskrivning för bättre överblick.

Dynamiska rutter

Utökat stöd för OSPF och BGP

Brandväggen stöder nu vidarebefordran av BGP-rutter till OSPF v3, vilket förbättrar interoperabiliteten mellan olika routingprotokoll. Det är särskilt användbart i komplexa nätverk med flera platser och protokoll.

HA-förbättringar

I High Availability (HA)-failover-scenarier har stabiliteten för dynamiska rutter förbättrats avsevärt. Där det i tidigare versioner kunde uppstå flera anslutningsavbrott under failover sker detta nu bara en gång, vilket ökar nätverksanslutningarnas tillförlitlighet.

Google Authentication

Stödet för Google Authentication har utökats i Sophos Firewall v21 för att förenkla integrationen av Google Workspace och Chromebooks.

LDAP-baserad integration

Sophos Firewall stöder nu integration av Google Workspace via en vanlig LDAP-klient. Denna utökning gör det enklare för företag som använder Google Workspace att autentisera användare via Sophos Firewall utan att vara beroende av Active Directory. I framtida versioner kommer även stöd för Google Workspace SSO (Single Sign-On).

Chromebook SSO-stöd

Brandväggen erbjuder nu SSO-funktionalitet (Single Sign-On) för Google Chromebooks som är anslutna till LDAP-servrar. Denna funktionalitet var tidigare begränsad till Active Directory. Därmed kan Google-användare komma åt skyddade resurser utan ytterligare inloggningssteg.

Förbättrad SSO-prestanda

Autentiseringen har förbättrats så att brandväggen kan bearbeta förfrågningar från flera SSO-mekanismer (t.ex. STAS, RADIUS SSO, Synchronized User ID) mer effektivt. I miljöer med många samtidiga förfrågningar kan servern nu svara upp till fyra gånger snabbare på autentiseringsförfrågningar och slänga dubblettförfrågningar så snart en användare är autentiserad.

Slutord

Sammantaget är Sophos Firewall v21 en solid årsuppdatering som både ger små men viktiga förbättringar inom UX och UI och erbjuder nya funktioner som ytterligare stärker nätverkssäkerheten.

Vi tar gärna fortsatt emot feedback om vilka funktioner ni saknar just nu. I inlägget Sophos Firewall Feature Request 2024 har vi redan sammanfattat många av era förslag och arbetar redan på listan för 2025. Skicka gärna fler önskemål och förslag via kontaktformuläret.