Hoppa till innehållet
Avanet
Sophos SFOS v18 – nya funktioner i korthet

Sophos SFOS v18 – nya funktioner i korthet

Sophos Firewalls med SFOS får snart ännu en större uppdatering till SFOS v18. Vi använder redan betaversionen i produktion. I den här artikeln får du veta vilka funktioner den nya versionen för med sig och hur den fungerar i vardagen.

Tester i live-drift

Vi testar inte betaversionen på en isolerad testenhet i en labbmiljö, utan direkt i produktiv drift. Dessutom använder utvalda kunder med över 650 användare versionen, så att vi kan samla så breda erfarenheter som möjligt av den nya versionen. I det här inlägget återger vi därför inte bara innehåll från Sophos officiella informationsmaterial, utan rapporterar om SFOS v18 EAP1 och EAP2 utifrån flera veckors praktisk erfarenhet. Artikeln blir därför ganska utförlig, eftersom vi belyser många funktioner i detalj. Vi börjar med Xstream-arkitekturen.

Xstream-arkitektur

En särskild höjdpunkt i v18 är den nya arkitekturen för paketbearbetning. Den ger bättre prestanda, högre säkerhet och betydligt bättre insyn i krypterad trafik. Med v18 har det verkligen hänt mycket på det här området.

Info: ”X” i ”Xstream” står för Next Generation, och ”Stream” för den nya DPI Engine, en streamingbaserad scanning-lösning.

Xstream SSL/TLS Inspection

Vi har redan skrivit om SSL Inspection, som ofta också kallas ”SSL Scanning” eller ”HTTPS Scanning”: HTTPS-Scanning: Warum es auf der Sophos aktiviert sein sollte

Kort sammanfattat: HTTP-trafik kan brandväggen kontrollera utan problem eftersom den är okrypterad. HTTPS-trafik måste däremot först brytas upp innan brandväggen kan analysera den. Problemet hittills var att Web Proxy bara kunde dekryptera HTTPS-trafik som gick via port 443. Om trafiken använde en annan port, till exempel https://www.example.com:8000, förblev brandväggen blind.

Med v18 är brandväggen åter rustad för modern teknik och kan kontrollera både SSL- och TLS 1.3-trafik, oavsett vilka portar eller protokoll trafiken använder. 🤩 Under huven krävdes omfattande arkitekturförändringar, som lyckligtvis inte innebär något extra arbete för administratörer.

Kärnan är en Decryption Profile, som i sin tur kopplas till en SSL/TLS Inspection Rule. Denna regel definierar vilken trafik som ska kontrolleras.

Sophos SFOS v18 SSL TLS Inspection Rule
Sophos SFOS v18 Decryption Profiles
, App Control och IPS.

Det är viktigt att förstå att den nya DPI Engine konkurrerar direkt med den tidigare Web Proxy. Web Proxy ansvarar för HTTP-/HTTPS-trafik, webbpolicyer och content scanning; de här uppgifterna kan alternativt tas över av den nya DPI Engine.

Vid en uppgradering från version 17.5 till 18.0 tas Web Proxy-inställningarna över. Den som vill använda DPI Engine behöver dock göra några anpassningar: en SSL/TLS Inspection Rule konfigureras och Web Proxy inaktiveras i brandväggsinställningarna.

Sophos SFOS v18 brandväggsregel - säkerhetsinställningar

Det finns få skäl att inte satsa på den nya DPI Engine. Web Proxy erbjuder ändå några funktioner som ännu inte finns i DPI Engine, till exempel SafeSearch för sökmotorer eller YouTube, Caching och Pharming Protection. På alla brandväggar vi hanterar kan vi dock utan problem avstå från dessa extrafunktioner, vilket gör att DPI Engine definitivt kommer att användas hos oss.

Följande video från Sophos ger en kompakt introduktion till Xstream DPI Engine och hjälper till i beslutet om när DPI Engine bör användas jämfört med den klassiska Web Proxy:

Xstream Network Flow FastPath

Många administratörer känner igen problemet att brandväggen märkbart bromsar trafiken och att vissa processer därför upplevs som långsammare. Med den nya arkitekturen finns nu det så kallade FastPath. Det gör att brandväggen kan flytta okritisk trafik direkt till kärnan och därmed höja prestandan avsevärt.

Sophos SFOS v18 xStream Architecture Fastpath

Trafiken går först igenom Firewall Stack. Där kontrolleras om det finns en passande brandväggsregel och om trafiken överhuvudtaget är tillåten. Om trafiken till exempel kontrolleras av IPS går den först igenom DPI Engine. Så snart IPS-motorn klassar trafiken som ofarlig kan den flyttas till FastPath och vidarebefordras direkt via kärnan.

När man tittar på arkitekturdiagrammet uppstår naturligtvis frågan hur detta fungerar i praktiken. Huruvida trafik i grunden är tillåten kan avgöras relativt snabbt – det behöver inte upprepas för varje paket med samma källa och port. Men hur vet DPI‑motorn när ett flöde kan flyttas till FastPath? Om SSL/TLS‑inspektion till exempel är aktiverad går det inte, eftersom trafiken då skulle sluta inspekteras. För IPS eller applikationskontroll används däremot kända listor som underlag för att bedöma om ett datastream kan betraktas som ofarligt.

Threat Intelligence Analysis

Om modulen Sophos Sandstorm är licensierad för brandväggen granskas filer redan i en sandbox innan de laddas ned. Den som vill veta mer om Sophos Sandstorm kan läsa PDF‑dokumentet med vanliga frågor och svar. Tack vare SSL/TLS‑inspektion får brandväggen också en djupare insyn i trafiken och kan kontrollera webb‑nedladdningar ännu mer noggrant. Dessutom finns endpoint‑skyddet kvar som sista försvarslinje.

Med v18 kompletteras den befintliga Sandstorm‑modulen av den nya modulen Threat Intelligence Analysis. Medan Sophos Sandstorm analyserar webb‑nedladdningar eller e‑postbilagor granskar Threat Intelligence filer med hjälp av machine learning. Dessutom används analyserna från SophosLabs – samma teknik som ligger bakom Sophos Intercept X med EDR.

Precis som i EDR genereras en detaljerad analysrapport. I SFOS v18 EAP2 kan en sådan rapport exempelvis se ut så här:

Sophos SFOS v18 Intelligence Analysis Threat‑o‑Meter
Utdrag ur rapporten (översikt)
Utdrag ur rapporten (översikt)

Den något mer polerade versionen av rapporten blir tillgänglig först från EAP3.

Enterprise NAT

Utöver Xstream‑arkitekturen har även NAT‑reglerna byggts om från grunden. Fram till version 17.5 fanns menyposten ”Firewall”, där alla brandväggs‑, NAT‑ och WAF‑regler låg samlade. I en brandväggsregel kunde man bland annat ange utgående gränssnitt eller utgående IP‑adress för trafiken.

WAF‑mall i Sophos SFOS v17.5
Sophos SFOS v17.5 – skapa brandväggsregel

Med v18 hanteras NAT‑regler nu i en egen flik, vilket gör administrationen betydligt mer flexibel.

Flikarna Rules and Policies i Sophos SFOS v18

Många kunder har väntat på den här förändringen: nu är det till exempel möjligt att blockera alla DNS‑ eller NTP‑förfrågningar till offentliga servrar och i stället styra om dem till en intern server. Därmed finns det också en lösning för dem som saknar NTP‑servern i XG, som tidigare fanns inbyggd i UTM.

Ämnet NAT förklaras dessutom närmare i följande video:

Hantering av brandväggsregler

Med varje ny huvudversion förbättrar Sophos hanteringen av brandväggsregler. I v18 kan man nu markera flera brandväggsregler samtidigt för att ta bort dem, aktivera eller inaktivera dem eller lägga dem till i en grupp eller ta bort dem från en grupp. Dessutom är brandväggsreglerna nu numrerade, vilket gör att det totala antalet syns direkt. Regel‑ID:t förblir oförändrat. Menyposten ”Firewall” har också bytt namn till ”Rules and policies”.

Översikt över brandväggsregler i Sophos SFOS v18

Det går nu att sätta filter, vilket gör det mycket enklare att hitta specifika regler. Filtret ligger kvar även om man växlar till andra menyposter och sedan går tillbaka till regeluppsättningen.

Den som hoppades att Sophos nu skulle lämna regelgrupper öppna efter att en regel sparats blir tyvärr besviken. Här har inget ändrats. 😖

Filtrera brandväggsregler i Sophos SFOS v18

En annan efterfrågad funktion har också lagts till: räknaren för den trafik som passerat genom en brandväggsregel kan nu återställas till noll.

Inställningar för brandväggsregler i Sophos SFOS v18

När man skapar en ny brandväggsregel finns nu möjlighet att skapa den i inaktiverat läge från början.

Status för brandväggsregler i Sophos SFOS v18

Dessutom går det nu att definiera undantag direkt i brandväggsreglerna. Detta hjälper till att hålla regelverkets omfattning nere och undvika onödiga extra regler.

Undantag i brandväggsregler i Sophos SFOS v18

Log Viewer

Den som har läst artikeln 7 skäl till varför XG Firewall (SFOS) är bättre än UTM vet hur användbar Log Viewer är. I den nya versionen får verktyget ytterligare några praktiska funktioner.

Filter i Log Viewer i Sophos SFOS v18
Undantag i Log Viewer i Sophos SFOS v18

Med ett klick på en post i Log Viewer kan man direkt sätta ett filter, definiera ett SSL/TLS‑undantag eller justera en IPS‑, applikationskontroll‑ eller webbfilterpolicy.

Aviseringar och meddelanden

Under ”Administration” > ”Notification settings” fanns tidigare bara två alternativ som kunde aktiveras för e‑postaviseringar:

  • IPsec tunnel up/down
  • Email alert notifications

Om en RED‑enhet var otillgänglig eller en användare angav ett felaktigt lösenord för många gånger fanns det tidigare inget sätt att få ett meddelande om detta.

Aviseringar i Sophos SFOS v18

Förbättringar: det går nu snabbare och enklare att slå samman enheter till ett kluster. Det är också möjligt att göra rollback av firmware.

  • SNMPv3‑stöd: avsevärt högre säkerhet jämfört med SNMPv1 och SNMPv2 – om man överhuvudtaget kan tala om ”säkerhet” för dessa två versioner. MIB‑filen finns som vanligt tillgänglig för nedladdning.
  • Byta namn på interfaces: tidigare hade interfaces namn som Port1, Port2 osv., utan möjlighet att ändra dem. I v18 kan dessa namn nu anpassas. Däremot går det fortfarande inte att byta namn på IPsec, IPS, trådlösa nätverk osv.
  • GeoIP‑databasuppdateringar: databasen med lands‑IP‑adresser kan nu uppdateras oberoende av firmwareuppdateringar.
  • Uppdatering av VMware Tools: VMware Tools finns nu i version 10.3.10 och stöder även Site Recovery Manager (SRM).

Uppgradering till SFOS v18

Förutsättningar

Nyfiken på att uppgradera till v18? Om du redan använder en XG Firewall eller en SG med SFOS behöver du minst version v17.5 MR6 för att kunna gå vidare till v18. Som vanligt stöds rollback. Om något inte fungerar som förväntat med v18 kan du när som helst gå tillbaka till den tidigare versionen.

Från SG till XG

Om du fortfarande använder en UTM‑brandvägg kan du också migrera till SFOS. En detaljerad guide finns här: Installera Sophos XG Firewall OS på en SG‑appliance

Om du behöver hjälp med migreringen hjälper vi gärna till. Vi har redan ersatt ett stort antal UTM‑system. 😎

XG 85 och XG 105

För att installera v18 behövs minst 4 GB RAM. Den kommande SFOS‑versionen kommer därför inte längre att fungera på XG 85‑ eller XG 105‑modellerna. Den som kör egen hårdvara med endast 2 GB RAM hamnar i samma situation. Cyberoam kommer inte heller längre att stödjas.

Ägare till XG 85 eller XG 105 bör titta närmare på efterföljarna: Sophos XG 86 och XG 106. Fram till 30‑09‑2020 pågår dessutom en kampanj från Sophos där du kan få 50 % rabatt på ny hårdvara i samband med förnyelse.

Sophos Central Firewall Reporting and Management

Det finns ett separat blogginlägg om detta ämne: Sophos Central Firewall Management – funktioner med SFOS v18

FAQ

När blir GA-versionen (slutversionen) tillgänglig?

Om allt går enligt plan och betaversionerna inte orsakar några större problem väntas v18 under första kvartalet 2020.

Vad händer med den nya hårdvaran?

Det har redan rapporterats flera gånger om efterföljaren till XG Firewall-hårdvaran. För närvarande finns dock inget planerat lanseringsdatum och den väntas tidigast under andra halvåret 2020.

Kommer Let's Encrypt?

Nej 😖, åtminstone inte i v18.

Mer information

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.