Hoppa till innehållet
Avanet
Sophos Firewall v22 MR1: Översikt och alla nya funktioner

Sophos Firewall v22 MR1: Översikt och alla nya funktioner

1. MAJ 2026

Sophos Firewall v22 MR1 bygger vidare på Secure-by-Design-strategin som introducerades med v22 och utökar den med ytterligare telemetri, kuraterade NDR-detekteringar från Taegis-miljön och några detaljförbättringar för VPN, SSO och lagring. Dessutom kommer Sophos Firewall Config Studio V2, ett fristående verktyg som förenklar konfigurationsanalys och jämförelse betydligt.

Secure by Design: utökad XDR Linux-sensor

Med v22 introducerade Sophos XDR Linux-sensorn på brandväggen för att tidigt upptäcka manipulationer i systemet, till exempel i konfigurationsfiler eller kritiska processer. SFOS v22 MR1 utökar sensorn med detektering av interaktiva shells och reverse shells. Om en angripare efter ett intrång försöker etablera en kontrollerande session på brandväggen blockeras den tillhörande TCP- eller UDP-kommunikationen till command-and-control-servern. Nytt är också att sensorn aktiveras på hela XGS-serien, inte längre bara på enskilda modeller.

Reverse-shell-detektering har varit standard på endpoints i flera år. Att samma logik nu även körs på själva brandväggen är konsekvent och viktigt. En komprometterad brandvägg är i värsta fall en huvudnyckel in i nätverket. Varje extra detekteringslager direkt på enheten är där mer meningsfullt än efterföljande korrelation.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integrerar iSensor IPS-tekniken från SecureWorks Taegis-plattformen. De kuraterade detekteringsmönstren kompletterar den klassiska IPS-signaturuppsättningen med mönster som riktar sig mot aktiva angripare i nätverket, alltså lateral movement, C2-kommunikation och jämförbara aktiviteter efter ett initialt intrång.

Uppsättningen kan aktiveras under Active threat response > NDR. Därefter måste motsvarande kryss i IPS-inställningarna sättas i brandväggsreglerna för att de nya detekteringarna ska gälla. För XDR- och MDR-analytiker betyder det mer kontext och kortare utredningsvägar, eftersom detekteringarna riktas direkt mot kända adversary TTPs från Taegis-databasen.

NDR Essentials för alla plattformar

En fråga som ställts återkommande sedan v21.5: när stöder NDR Essentials även virtuella brandväggar och molnbrandväggar? Med v22 MR1 är det nu fallet. NDR Essentials körs nu på alla Sophos Firewall-plattformar, alltså XGS-hårdvara, virtuella appliances, cloud deployments och mjukvaruinstallationer. Därmed försvinner den sista stora begränsningen som hittills exkluderade virtuella setupper från NDR-skyddet.

Detta är den logiska fortsättningen på den CPU-orienterade arkitekturen från v22. Den som körde Sophos Firewall på VMware, Hyper-V eller hos en hyperscaler stod tidigare utanför när det gällde NDR Essentials. Den luckan är nu stängd.

Audit trail med Sophos Central-användaridentitet

När en enskild brandvägg konfigureras via Sophos Central loggar SFOS v22 MR1 nu även vilken Sophos Central-användare som utlöste ändringen. Tidigare syntes ofta bara det generiska Central-kontot i audit trail. Med den nya varianten går det att spåra vilken person som ligger bakom en konfigurationsändring, även om den inte gjordes direkt i brandväggens WebAdmin. Informationen visas både i brandväggens Log Viewer och i loggar och rapporter i Sophos Central.

Detta är särskilt relevant för organisationer som omfattas av NIS2, eftersom spårbarhet för administrativa ingrepp uttryckligen krävs där. I MSP-miljöer med flera tekniker på samma tenant är det dessutom en detalj som länge varit efterlängtad.

VPN-stabilitet och retirement av legacy IPsec

SFOS v22 GA hade ett antal stabilitetsproblem med policy-based IPsec VPN som åtgärdades i MR1. Konkret har bland annat de interna ärendena NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 och NC-176083 rättats. Den som körde v22 GA i produktion och märkte avbrott eller frånkopplingar i policy-based tunnels bör efter uppdateringen kontrollera specifikt om tunnlarna nu är stabila.

Samtidigt fasas Legacy Remote Access IPsec VPN slutgiltigt ut med v22 MR1. Brandväggar som fortfarande använder denna gamla IPsec-variant kan inte uppdateras till v22 MR1 eller senare. Den som berörs måste först migrera till den aktuella Remote Access IPsec-konfigurationen. Sophos har publicerat en egen KB-artikel om detta.

I praktiken ligger majoriteten av befintliga setupper sedan länge på den nya varianten eller på SSL VPN. Ändå lönar det sig att göra en kort kontroll av konfigurationen före uppgraderingen, annars stannar uppdateringen.

Sophos Connect 2.0 för macOS

Med Sophos Connect 2.0 för macOS kan nu även SSL-VPN-anslutningar för Remote Access etableras. Hittills var SSL VPN via Sophos Connect ett Windows-privilegium; macOS-användare fick använda IPsec eller tredjepartsklienter. Därmed blir funktionsuppsättningen mellan de båda klientplattformarna mer likvärdig. Detaljer och stödda macOS-versioner finns i Sophos Connect release notes.

Microsoft Entra ID SSO: tvingad omvärdering

Tidigare kunde en befintlig SSO-session under vissa villkor återanvändas utan att Conditional Access Policies i Entra ID kontrollerades på nytt. I värsta fall öppnade detta en väg att kringgå MFA-krav om sessionscookies fortfarande var giltiga. SFOS v22 MR1 tvingar nu fram en ny kontroll av Conditional Access Policies vid återanvändning av session. Det är en klassisk säkerhetsfix: inte särskilt synlig, men viktig för miljöer som använder Entra ID som central identitetskälla och förlitar sig på MFA.

SSD-skoning och Wi-Fi MTU

Två mindre men meningsfulla detaljförbättringar:

  • SSD-livslängd: Skrivoperationer till den interna SSD:n har optimerats. Det påverkar främst enheter med hög loggvolym och förlänger hårdvarans användningstid.
  • Wi-Fi MTU/MSS: Via befintliga CLI-kommandon kan nu även MTU- och MSS-värden för Wi-Fi-interface justeras. I miljöer med överlagrade tunnlar eller problematiska vägar i WLAN-backhaul är detta ett välkommet verktyg.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2, tidigare Sophos Firewall Configuration Viewer, är ett webbläsarbaserat verktyg som klarar betydligt mer än sin föregångare. Det möjliggör tre centrala arbetsflöden:

  • Configuration Report: Alla regler, policies och inställningar för en brandvägg kan visas i en konsoliderad rapport. Praktiskt för revisioner, överlämningar eller onboarding av nya administratörer.
  • Configuration Compare: Två konfigurationer kan jämföras direkt. Tillagda, ändrade, borttagna och oförändrade poster markeras visuellt. Det är precis det verktyg som saknas vid change reviews eller troubleshooting efter ett migreringssteg, när man inte vill plocka isär brandväggen i drift.
  • Configuration Editor: Konfigurationer kan redigeras eller importeras direkt i verktyget. Därefter kan de laddas tillbaka till brandväggen eller exporteras som API- eller curl-snippet, till exempel för att automatiserat rulla ut ändringar.

En konfigurationsdiff direkt i webbläsaren är en funktion som efterfrågats i flera år. Den som någon gång försökt läsa två Sophos-backuper manuellt mot varandra vet varför detta verktyg är ett verkligt framsteg. Det blir intressant att se hur stabilt editorn fungerar med stora konfigurationer och hur väl API-exporten passar in i befintliga automatiseringspipelines.

Verktyget nås via docs.sophos.com.

Uppdaterad CIS Benchmark för v22

Health Check som introducerades med v22 bygger på CIS-benchmarks. De underliggande benchmarksen har uppdaterats för v22 och finns att ladda ned från CIS-webbplatsen. Den som använder Health Check som del av interna revisioner bör använda den nya versionen som referens.

Kompatibilitet och anmärkningar

  • Legacy Remote Access IPsec VPN: Fasas ut med v22 MR1. Migrering till den aktuella Remote Access IPsec-konfigurationen är en förutsättning för uppgraderingen.
  • Uppgraderingsvägar: SFOS v22 MR1 kan uppgraderas från alla stödda versioner v21.5, v21 och v20. Sophos Central kan planera och styra uppgraderingen.
  • Backup före uppgradering: Som alltid före uppdatering, ta en fullständig backup och ha en rollback-plan redo.
  • Hotfix-mekanism: Säkerhetsrelevanta patchar kommer fortsatt som over-the-air hotfix utan downtime. Maintenance releases samlar dessutom icke-kritiska fixar, så en uppgradering lönar sig även utan akut anledning.

Slutsats

Sophos Firewall v22 MR1 är en solid maintenance release. De viktigaste punkterna ur vårt perspektiv: VPN-stabilitetsfixarna för policy-based IPsec, det utökade NDR Essentials-stödet på virtuella plattformar och den nya audit trail med Sophos Central-användaridentitet. Reverse-shell-detektering på själva brandväggen och de kuraterade iSensor-detekteringarna från Taegis-miljön passar väl in i den linje som Sophos slog in på med v22. Brandväggen blir steg för steg en sensorplattform som levererar telemetri och inte bara filtrerar paket.

Det vi fortfarande saknar har inte förändrats sedan v22: kloning och gruppering av NAT-regler. De önskemål som formulerades för ungefär ett år sedan är delvis genomförda, resten står kvar på listan. Kanske i nästa MR eller senast i v23. Men kanske följer Sophos nu också strategin att lägga allt i Sophos Firewall Config Studio, medan brandväggen förblir som den är.

Mer information

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.