Sophos Firewall v21: Nya funktioner och förbättringar

Sophos Firewall v21 har varit officiellt tillgänglig sedan den 17 oktober och i den här artikeln beskriver vi de nya funktionerna i denna version.

⚠️ Uppdatering till Sophos Firewall v21

• ✅ XGS-apparater
• ✅ Installera Sophos Firewall VM eller programvara
• ❌ Apparater End of Life
• ❌ SG-apparater med Sophos Firewall OS End of Life

Uppdateringen till Sophos Firewall v21 är uteslutande tillgänglig för XGS-apparater samt VM- och programvarubrandväggar. XG-apparater och SG-apparater med SFOS kommer inte längre att få denna uppdatering och når End-of-Life (EOL) den 31 mars 2025. Alla som påverkas av End-of-Life kommer återigen att informeras om alla detaljer i XG End-of-Life-artikeln.

Let’s Encrypt

Med version 21 av Sophos Firewall kan du använda Let’s Encrypt för att hämta, förnya och hantera SSL/TLS-certifikat kostnadsfritt och automatiskt. Integrationen av Let’s Encrypt i Sophos Firewall v21 möjliggör enklare hantering av certifikat och säkerställer att de förnyas automatiskt i god tid innan de löper ut.

ÄNTLIGEN! I åratal har detta förmodligen varit en av de mest efterfrågade funktionerna och Sophos har verkligen tagit tid på sig här, trots att FortiGate har kunnat göra detta i över ett år 🫣.

Automatisk certifikatskapande

Let’s Encrypt-certifikat är giltiga i 90 dagar och förnyas automatiskt av Sophos Firewall 30 dagar före utgången. Detta minskar avsevärt det manuella arbetet för certifikathantering och säkerställer att brandväggen alltid arbetar med giltiga certifikat.

Gränssnitt som stöds

Let’s Encrypt-certifikat kan användas i brandväggen för olika webbtjänster:

• Web Admin-konsol
• Användarportal
• Captive Portal
• VPN-portal
• SPX-portal
• WAF (Web Application Firewall)

För följande tjänster stöds dock inte Let’s Encrypt:

• Remote Access VPN
• Site-to-Site VPN
• Chromebook SSO

Domänvalidering via HTTP

Certifikaten valideras via HTTP-utmanings-svarsmekanismen. Här skapar brandväggen en tillfällig webbserverkonfiguration samt en WAF-policy för att klara utmaningen och validera domänen. De tillfälliga brandväggsreglerna och den virtuella webbservern tas bort automatiskt efter lyckad certifikatutfärdande.

Domänhantering

Du kan begära certifikat för upp till 50 domäner, varvid endast fullständigt kvalificerade domännamn (FQDN) stöds. Wildcard-domäner och IP-adresser är inte tillåtna.

Använda Let’s Encrypt-certifikat

För att skapa ett Let’s Encrypt-certifikat registrerar man ett konto hos Let’s Encrypt i brandväggen, lägger till önskade domäner och konfigurerar WAN-gränssnittet för HTTP-domänvalidering via port 80. Det är viktigt att DNS-posterna pekar på brandväggens offentliga IP.

De utfärdade certifikaten kan sedan användas för WebAdmin-konsolen, användarportaler och Web Application Firewall (WAF) för att säkerställa säkra HTTPS-anslutningar.

En detaljerad guide finns i denna video:

UX- och UI-förbättringar

Central-UI nu på brandväggen

Med uppdateringen till Sophos Firewall v21 har användargränssnittet omarbetats för att förbättra navigering och dataöversikt. Det nya sidofältet och det anpassade färgschemat säkerställer en tydligare struktur. Instrumentpanelen utnyttjar nu det tillgängliga skärmutrymmet bättre genom att skala till en bredd på upp till 1920 pixlar. Detta gör att mer information kan visas samtidigt, vilket underlättar överblicken.

Widgetarna har också anpassats för att göra mer information tillgänglig på ett ögonblick. Kortvisningen förenklar separationen av de olika datakategorierna. Dessa ändringar gör det möjligt att snabbare komma åt säkerhetsrelevant information och systemstatusmeddelanden.

Sammantaget syftar det omarbetade gränssnittet till att göra interaktionen med brandväggen mer effektiv och det är naturligtvis trevligt att se att Sophos äntligen gör något på detta område igen. Jag hoppas att ämnena Dölj varningsmeddelanden i instrumentpanelen och Backend Performance också kommer att åtgärdas snart.

Objektreferenser

Objektreferensfunktionen lades till Sophos Firewall med v20.

I Sophos Firewall v21 erbjuder de ett sätt att spåra användningen av objekt som gränssnitt, zoner, gateways eller SD-WAN-profiler i konfigurationen. Ändringar av ett objekt kan göras på ett riktat sätt tack vare transparensen av användningsplatserna. Även rensning av objekt som inte längre används underlättas, eftersom man snabbt ser om de fortfarande används eller kan tas bort.

Object Reference API

Det i Sophos Firewall v21 introducerade Object Reference API gör det möjligt att automatiskt hämta användningsantalet för konfigurationsobjekt. API:et kan användas för att snabbt få en översikt över hur ofta ett objekt används i konfigurationen. Detta är särskilt användbart när man måste hantera ett stort antal värdar eller gränssnitt.

API:et möjliggör en programmatisk förfrågan av referensantalet och stöder filteralternativ för att söka specifikt efter vissa objekt. Denna funktionalitet erbjuder ett effektivt sätt att identifiera oanvända objekt och ta bort dem om så krävs. API:et kan också integreras i automatiseringsprocesser, vilket sparar tid vid återkommande uppgifter som systemrensning.

Tredjeparts hotflöden

Med Sophos Firewall v21 stöds integrationen av tredjeparts hotflöden för automatiskt hotförsvar. Denna funktion utökar den befintliga hotunderrättelseintegrationen av Sophos X-Ops och Sophos MDR med externa hotdatakällor. Sophos Firewall kan nu automatiskt bearbeta hotindikatorer från tredje part, Managed Service Providers (MSPs) eller branschspecifika konsortier och blockera hot i olika delsystem.

Automatiserad blockering

Så snart hotindikatorer tillhandahålls av ett tredjepartsflöde integreras dessa automatiskt i brandväggsreglerna. Hot som skadliga IP-adresser, domäner och URL:er blockeras omedelbart på alla relevanta säkerhetsmoduler – dessa inkluderar själva brandväggen, IPS (Intrusion Prevention System), DNS-blocklistor, webbfilter och Deep Packet Inspection (DPI).

Polling-intervall

Frekvensen med vilken brandväggen uppdaterar flödena är flexibelt justerbar. Administratörer kan ställa in intervallet mellan en timme och upp till 30 dagar. Detta gör det möjligt att styra uppdateringen av hotdata efter behov.

Stöd för flera flöden

Sophos Firewall kan hantera upp till 50 olika hotflödeskällor. Dessa flöden måste vara i ett specifikt format – varje indikator för kompromiss (IOC) överförs som en enda rad i en .txt-fil via HTTPS.

Autentisering och säkerhet

Integrationen av externa hotflöden kräver vanligtvis autentisering. Sophos Firewall stöder olika autentiseringsmetoder, inklusive Basic Authentication och token-baserad autentisering. Detta säkerställer att endast auktoriserade hotdatakällor används.

Genom att stödja externa flöden förbättras brandväggens försvarsförmåga avgörande. Hot från branschspecifika eller regionala flöden kan därmed upptäckas och blockeras utan att manuellt behöva skapa ytterligare brandväggsregler.

Leverantör av Threat Feeds

Här är ett litet urval av leverantörer som tillhandahåller hotflöden.

Cybora

Cybora tillhandahåller ett kurerat hotunderrättelseflöde som kombinerar data från hundratals brandväggar över hela världen, community-källor och kommersiella flöden.

Fokus ligger på aktiva högriskindikatorer som command-and-control-servrar, botnätsskanning, brute-force-attacker och nätfiskeinfrastruktur. Genom scoring, deduplicering och kort utgångslogik förblir listorna aktuella, rena och praktiskt användbara.

Leveransen sker som enkla IP- och domänlistor via HTTPS och uppdateras flera gånger per dag. Cybora är kompatibelt med Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks och andra plattformar.

Cybora har specialiserat sig på användning i brandväggar och erbjuder enligt vår mening ett mycket starkt pris-prestandaförhållande. Det är lösningen vi helst använder hos våra kunder. (Avanet ❤️ Cybora)

• Detaljer om lösningen: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec är en open-source-lösning för försvar mot cyberhot, stödd av crowd-intelligens. Det erbjuder automatiserade blocklistor och hotflöden som samlas in från en global gemenskap. CrowdSec hjälper till att identifiera och blockera hot i realtid genom att aggregera hotinformation från många deltagare.

GreyNoise

GreyNoise fokuserar på analys av “internetbrus” genom att undersöka globala nätverksingångar för att identifiera vilka aktiviteter som sannolikt är skadliga. Det filtrerar bort skadlig nätverkstrafikdata som inte utgör en direkt attack mot den egna infrastrukturen, och hjälper därmed till att minska falska larm och prioritera verkliga hot.

Cisco Talos

Talos är Ciscos hotforskningsenhet och erbjuder ett av de största kommersiella hotunderrättelseflödena i världen. Det omfattar detaljerad information om globala hot, sårbarheter och angripare. Talos stöder med aktuella hotdata upptäckten och försvaret mot cyberattacker.

Abuse.ch / URLhaus

Abuse.ch är en plattform som specialiserat sig på att spåra och blockera skadliga domäner och IP-adresser, särskilt skadlig kod och botnät. URLhaus är ett projekt av Abuse.ch som fokuserar på att rapportera och blockera URL:er som sprider skadlig kod.

Hakk Solutions

Hakk Solutions är en leverantör av säkerhetsinformation och -tjänster som specialiserat sig på hotunderrättelser och säkerhetsövervakning. Tjänsterna inkluderar hotdata som kan användas för att identifiera och avvärja cyberattacker.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide erbjuder Open-Source Intelligence Feeds (OSINT) som baseras på allmänt tillgänglig information. Dessa flöden innehåller data om skadliga IP-adresser, URL:er och domäner som samlats in från olika allmänt tillgängliga källor.

CINS Score (CINSscore.com)

CINS Score erbjuder hotdata baserad på analys av nätverkstrafik och hjälper till att identifiera skadliga värdar och nätverk. Det använder maskininlärning och heuristiska algoritmer för att utvärdera potentiellt farliga IP-adresser.

EclecticIQ

EclecticIQ levererar hotdata och analyser för företag och säkerhetsoperationer. Leverantören erbjuder omfattande hotunderrättelsetjänster som gör det möjligt att upptäcka hot och svara på dem.

Feodo Tracker

Feodo Tracker är ett annat projekt av Abuse.ch som specialiserat sig på spårning av botnät, särskilt Feodo, Dridex och Emotet. Det tillhandahåller information om servrarna som dessa botnät använder för styrning, och hjälper därmed till att identifiera och blockera skadliga aktiviteter.

DigitalSlide Threat Intel

DigitalSide erbjuder Threat Intelligence Feeds med fokus på Open-Source Intelligence (OSINT). Det samlar in allmänt tillgänglig information om skadliga IP-adresser, domäner och URL:er. Dessa flöden är särskilt användbara för att identifiera hot tidigt, eftersom de baseras på ett brett spektrum av allmänt tillgängliga datakällor och uppdateras regelbundet.

Proofepoint - Emerging Threat Intelligence

Proofpoint erbjuder omfattande hotinformation genom sitt Emerging Threats Intelligence Feed. Denna tjänst fokuserar på att tillhandahålla realtidsuppdateringar om uppkommande hot, inklusive nya attacktekniker och sårbarheter. Proofpoint använder maskininlärning och expertanalyser för att leverera detaljerade insikter om globala hot, vilket hjälper företag att svara specifikt på cyberattacker.

Endpoint hotindikatorer

Sophos Firewall v21 erbjuder möjligheten att integrera och analysera Indikatorer för Kompromiss (IoC) från endpoints. Både hanterade och ohanterade endpoints stöds. Så snart en endpoint upptäcker en skadlig aktivitet överförs denna information till brandväggen. Brandväggen analyserar dessa IoC och blockerar misstänkta aktiviteter.

Denna funktion är särskilt användbar för att förbättra synkroniseringen mellan endpoints och brandväggen. Hotförsök som upptäcks på endpoints kan därmed stoppas direkt i hela nätverket. Denna realtidsanalys bidrar till snabb respons på hot och inneslutning av attacker.

Synkroniserad telemetri

Brandväggen kan korrelera hotförsök från endpoints genom att inkludera detaljer som exekverade processer och applikationer. Detta förbättrar hotdetektering och analys. Så snart en endpoint upptäcker misstänkt aktivitet överförs denna information automatiskt till brandväggen för att blockera hotet över olika nätverkslager.

Automatisk blockering av hot

Om en skadlig process upptäcks på en hanterad endpoint, blockerar brandväggen automatiskt den tillhörande IP-adressen, domänen eller URL:en. Detta gäller för delsystem som brandväggen, DNS-blocklistor, webbfilter och Deep Packet Inspection. Denna sömlösa integration mellan brandvägg och endpoints minskar avsevärt svarstiden på hot.

Ett exempel skulle vara en ohanterad endpoint som försöker komma åt en skadlig URL. Brandväggen skulle ingripa omedelbart och blockera åtkomsten utan att endpointen själv behöver speciella konfigurationer för detta. Detta skyddar även enheter som inte hanteras direkt av Sophos Endpoint Security.

Förmågan att bearbeta IoC från endpoints erbjuder administratörer ett ytterligare lager av försvar, eftersom brandväggen reagerar inte bara på nätverkstrafik utan också på detaljerad hotinformation från endpoints själva.

Skydd mot laterala rörelser

Skydd mot laterala rörelser nämns igen i Sophos Firewall v21, eftersom betydande förbättringar och optimeringar har gjorts i denna version. I v21 har integration och samordning med andra säkerhetsfunktioner som Synchronized Security och Active Threat Response (ATR) förbättrats särskilt. Brandväggen kan nu svara snabbare och effektivare på hot genom att automatiskt isolera komprometterade enheter och blockera spridningen av hot i nätverket.

Skydd mot laterala rörelser förhindrar att hot sprids i nätverket genom att isolera komprometterade enheter. Så snart en endpoint identifieras som komprometterad blockeras kommunikationen med andra enheter i nätverket. Brandväggen delar också denna information med andra endpoints, som då också blockerar nätverksåtkomsten för den komprometterade enheten.

Denna funktion ökar säkerheten i hela nätverket genom att förhindra att hot rör sig horisontellt från en enhet till nästa. Det är särskilt användbart i stora nätverk där snabb isolering av infekterade enheter kan vara avgörande för att förhindra en incident.

MAC-adressblockering

När en endpoint identifieras som komprometterad delar brandväggen MAC-adressen för denna enhet med alla andra endpoints i nätverket. Endpoints blockerar sedan nätverksåtkomsten för den infekterade enheten. Detta säkerställer att hot inte kan spridas vidare i nätverket.

Heartbeat-status

Brandväggen övervakar kontinuerligt Heartbeat-statusen för endpoints. Så snart en endpoint identifieras som komprometterad växlar Heartbeat-statusen till röd, vilket utlöser en omedelbar blockeringsmekanism. Kommunikationen för den komprometterade endpointen avbryts omedelbart, vilket möjliggör effektiv inneslutning av hotet.

Ett typiskt scenario skulle vara en endpoint som försöker röra sig lateralt i nätverket efter att ha blivit komprometterad. Med aktiverat skydd mot laterala rörelser isoleras denna endpoint omedelbart och dess kommunikation blockeras. Detta förhindrar spridningen av skadlig kod, såsom ransomware, som kan försöka infektera ytterligare enheter.

En förutsättning för denna funktion är att brandväggen och Sophos-endpoints är anslutna via Sophos Central. Detta möjliggör synkronisering mellan säkerhetslösningarna och säkerställer att hot snabbt kan upptäckas och isoleras.

Hot- och IoC-rapportering

Sophos Firewall v21 erbjuder, liksom sina föregångare, rapporteringsfunktioner som är tillgängliga både på enheten (OnBox) och i molnet via Sophos Central. Dessa rapporter gör det möjligt att analysera hot och nätverksaktiviteter i detalj och erbjuder värdefulla insikter om nätverkets säkerhetsläge.

I Sophos Firewall v21 har rapporteringsfunktionerna utökats genom integrationen av Hotkällor och Hothändelser samt stöd för Synkroniserade Indikatorer för Kompromiss (IoC). Nytt är att rapporter nu ger detaljerad information om källorna till hot och deras specifika händelser. Man kan nu spåra hotförsök exakt genom att se vilka enheter, IP-adresser eller användare som var inblandade och vilka brandväggsmoduler som blockerade hotet.

Särskilt anmärkningsvärt är stödet för Synkroniserade IoC. Hotdata från Sophos Central och Sophos Managed Detection and Response (MDR) samt från tredjepartsflöden synkroniseras. Denna utökning gör det möjligt att få djupare insikter i hot genom att analysera de drabbade processerna och slutpunkterna mer exakt. Detta gör att administratörer inte bara kan se var hot inträffade utan också hur de påverkar endpoints och nätverkskomponenter.

I denna video förklaras ämnet tredjeparts hotflöden igen i detalj:

Förbättringar av statiska rutter och VPN

VPN-UX-förbättringar

Med version 21 av Sophos Firewall har flera förbättringar av användargränssnittet (UX) för hantering av VPN-anslutningar införts för att göra driften effektivare.

Bulk-aktivering och -inaktivering

Administratörer kan nu aktivera eller inaktivera flera VPN-anslutningar samtidigt.

Detta sparar avsevärt med tid, särskilt vid hantering av stora nätverk med många VPN-tunnlar. Inaktivering sker snabbt via en central knapp i VPN-hanteringsområdet.

Utökade filteralternativ

Översiktssidan för VPN-anslutningar har nu förbättrade filterfunktioner, vilket förenklar navigering genom flera sidor av VPN-konfigurationer. Dessa filter inkluderar både fritextinmatning och värdebaserade sökalternativ, vilket underlättar hantering och sökning efter specifika nätverk, subnät eller användare för Remote-Access- och Site-to-Site-VPN:er.

XFRM-gränssnittsfilter

Ett ytterligare filteralternativ för XFRM-gränssnitt har lagts till. XFRM-gränssnitt, som ofta används i VPN-konfigurationer, kan nu identifieras och hanteras lättare. Detta är särskilt användbart när VPN:er byggs över VLAN och WAN-gränssnitt.

Site-to-Site VPN

I Sophos Firewall v21 har flera förbättringar för Site-to-Site VPN:er införts, med fokus på både användarvänlighet och prestanda.

DHCP-relay över XFRM-tunnlar: En av de väsentliga nya funktionerna är stödet för DHCP-reläer över XFRM-tunnlar. Detta gör det möjligt att nå DHCP-servrar bakom avlägsna brandväggar, vilket tidigare endast var möjligt via policy-baserade VPN:er. Detta är särskilt användbart i SD-WAN-miljöer där dynamiska IP-adresser måste tillhandahållas via tunnlar.

Förbättrat FQDN-stöd: Vid konfiguration av fjärrgateways i IPsec-VPN:er kan nu både FQDN (Fully Qualified Domain Names) och deras upplösta IP-adresser användas. Detta förbättrar skalbarheten, särskilt i miljöer med hög DNS-latens, där FQDN-upplösningar kan påverka prestandan för VPN-anslutningar. Administratörer kan välja om de vill använda FQDN eller upplösta IP-adresser i konfigurationen.

De nya funktionerna inom Site-to-Site VPN-området ger mer flexibilitet och förbättrar skalbarheten i större, distribuerade nätverk. Genom optimering av gränssnittsåterställningstiden, som sker upp till 20 gånger snabbare, minskas också driftstopp vid tunnelavbrott, omstarter eller HA-failover-scenarier drastiskt.

Rutthantering

Routhanteringen i Sophos Firewall v21 har utökats med nya funktioner och förbättringar för att förenkla hanteringen av statiska och dynamiska rutter och öka nätverkets stabilitet.

Statiska rutter

Aktivering/Inaktivering av rutter

Administratörer kan nu direkt aktivera eller inaktivera enskilda rutter, vilket avsevärt underlättar felsökning och hantering av nätverksanslutningar. Detta möjliggör exakt kontroll över ruttbeteendet i realtid.

Ruttkloning

Med den nya funktionen för ruttkloning kan befintliga rutter enkelt dupliceras och anpassas. Detta sparar tid vid konfiguration och säkerställer konsistens över olika nätverksgränssnitt. Dessutom kan varje rutt förses med en beskrivning för att öka tydligheten.

Dynamiska rutter

Utökat stöd för OSPF och BGP

Brandväggen stöder nu vidarebefordran av BGP-rutter till OSPF v3, vilket förbättrar interoperabiliteten mellan olika routingprotokoll. Detta är särskilt användbart i komplexa nätverk med flera platser och protokoll.

HA-förbättringar

I High Availability (HA) failover-scenarier har stabiliteten för dynamiska rutter förbättrats avsevärt. Medan det i tidigare versioner kunde förekomma flera anslutningsavbrott under failover, sker detta nu bara en gång, vilket ökar tillförlitligheten för nätverksanslutningar.

Google Authentication

Stödet för Google Authentication har utökats i Sophos Firewall v21 för att underlätta integrationen av Google Workspace och Chromebooks.

LDAP-baserad integration

Sophos Firewall stöder nu integrationen av Google Workspace via en vanlig LDAP-klient. Denna utökning gör det lättare för företag som förlitar sig på Google Workspace att autentisera sina användare via Sophos Firewall utan att vara beroende av Active Directory. I framtida versioner kommer även stöd för Google Workspace SSO (Single Sign-On) att följa.

Chromebook SSO-stöd

Brandväggen erbjuder nu SSO-funktionalitet (Single Sign-On) för Google Chromebooks som är anslutna till LDAP-servrar. Denna funktionalitet var tidigare begränsad till Active Directory. Detta gör att Google-användare kan komma åt säkrade resurser utan ytterligare inloggningssteg.

Förbättrad SSO-prestanda

Autentiseringen har förbättrats så att brandväggen kan bearbeta förfrågningar från flera SSO-mekanismer (t.ex. STAS, RADIUS SSO, Synchronized User ID) mer effektivt. I miljöer med ett stort antal samtidiga förfrågningar kan servern nu svara upp till fyra gånger snabbare på autentiseringsförfrågningar och kasta dubbla förfrågningar så snart en användare är autentiserad.

Slutord

Sammantaget är Sophos Firewall v21 en solid årlig uppdatering som ger små men viktiga förbättringar inom UX- och UI-områdena samt erbjuder nya funktioner som ytterligare ökar nätverkssäkerheten.

Vi samlar gärna in mer feedback från er om vilka funktioner ni för närvarande saknar. I inlägget Sophos Firewall Feature Request 2024 har vi redan sammanfattat många förslag från er och arbetar redan på listan för 2025. Ni är välkomna att skicka oss ytterligare önskemål och förslag via kontaktformuläret.