Hoppa till innehållet
Avanet
Sophos XG-uppdatering v17.5 - Alla nyheter i korthet

Sophos XG-uppdatering v17.5 - Alla nyheter i korthet

I början av november installerade vi den andra betaversionen av den nya SFOS 17.5-firmwaren och tittade närmare på den. På Sophos Roadshow i mars 2018 i Dübendorf talades det fortfarande om versionerna 17.2 och 17.3, men Sophos valde att samla alla planerade funktioner och hoppa direkt till version 17.5.

En sak kan vi säga redan från början: SFOS 17.5 ger oss ganska blandade känslor. Det innehåller visserligen intressanta nya funktioner, men enligt vår mening är de inte alltid helt genomtänkta.

Lateral Movement Protection

Sedan den första versionen av Synchronized Security har Endpoint-klienten kunnat dela sin status med firewall. Med den här funktionen kan vi exempelvis neka en arbetsstation åtkomst till filservern eller internet om den inte har fått uppdateringar på länge eller redan är infekterad, så att andra system inte utsätts för risk.

En sådan konfiguration krävde hittills också en bra nätverkssegmentering. Om alla enheter i ett företag är anslutna till samma switch och befinner sig i samma nätverk hade Security Heartbeat tidigare ingen nämnvärd effekt.

Med SFOS 17.5 har funktionen byggts ut och förbättrats. Det är nu också möjligt att isolera datorer som Synchronized Security klassar som “ohälsosamma” från andra datorer i samma broadcast-domän eller nätverk. Vid ett problem med en klient informerar firewall automatiskt alla andra klienter. Därmed vet inte längre bara firewall när något är fel med en klient, utan även alla andra klienter i nätverket. En infekterad enhet kan på så sätt isoleras ännu effektivare tills problemet är löst. När Security Heartbeat-statusen åter blir “grön” återställs anslutningarna till andra system i nätverket automatiskt.

Sophos XG v17.5 - Lateral Movement Protection

Dessutom kan IPS-detekteringar från utsatta Endpoints nu också utlösa ett “rött” hjärtslag. Det förbättrar skyddet mot hot i nätverket ytterligare.

Vidarebefordran av portal-URL

Under mina tester upptäckte jag en funktion som nästan smugit sig in i den nya versionen, eftersom den inte nämns någonstans i release notes.

Ni känner säkert igen situationen. När en webbplats blockeras av Sophos Web Proxy visas en varningssida för användaren. Om användaren ändå vill öppna sidan har länken hittills alltid pekat på en IP-adress i stället för en vanlig URL. I version 17.1 kunde man åtminstone ändra detta via konsolen. Med 17.5 går det nu bekvämt via XG Firewall-webbgränssnittet. 👍

Sophos 17.5 Administration Erneuerungen

Bytet från IP-adress till webb-URL fungerar dock bara för webbdelen. När XG Firewall exempelvis skannar dina e-postmeddelanden får användarna normalt en karantänrapport från firewall. Där framgår vilka e-postmeddelanden Sophos Firewall har blockerat. Med ett klick på en länk kan man manuellt frisläppa det misstänkta skräppostmeddelandet. Men just den länken är fortfarande en IP-adress, vilket tekniskt fungerar men visar en certifikatvarning för användaren.

Bytet från IP-adress till webb-URL har alltså ännu inte implementerats för e-postdelen. Sophos har gett mig återkopplingen att det eventuellt kommer med MR1 eller MR2 och att utvecklarna arbetar på det. Vi gissar snarare på MR2, vilket betyder att vi antagligen kan räkna med det ungefär i januari eller februari.

Synchronized User ID

En av de vanligaste uppgifterna för en firewall är att transportera trafik från A till B, förutsatt att en firewall-regel har skapats för detta. Trafiken kommer från och går till en IP-adress. Som administratörer vill vi gärna veta vilka enheter som genererar trafiken, eller ännu hellre vilken användare. Det hjälper oss att skapa användarbaserade firewall-regler, skapa transparens i nätverket och ta fram tydligare rapporter.

På SFOS finns flera sätt att identifiera användaren. Tidigare använde vi oftast anslutningen till en Active Directory-server som vidarebefordrade användarinformationen till XG Firewall via en installerad agent. I vissa miljöer var agenten dock inget alternativ.

Med SFOS v17.5 kan slutenheter i en Active Directory-domän nu dela användaridentiteten med firewall via Security Heartbeat. Det gör användaridentifieringen sömlös och enkel, utan att en agent måste installeras på domänkontrollanterna. Den här funktionen kan vara mycket användbar i många situationer.

Terminalservrar eller Linux-värdar täcks inte av den här lösningen. För terminalservrar är STAC fortfarande den bästa lösningen. Undantagen är dock stora. Mac-klienter fungerar inte med ett Active Directory, och VPN-användare loggar inte heller in där.

Du kan bara dra nytta av den här funktionen om en av dessa produkter är installerad på klienterna:

Enligt vår mening blir det riktigt intressant först när även klienter som inte ligger i en domän kan dela sina användardata med XG. Den här funktionen löser därför bara ett mycket litet problem.

Sophos Connect IPSec VPN Client

Vårt inlägg Installera SSL VPN Client är ett av de mest populära bidragen i vår Knowledge Base. Det är inte utan anledning, eftersom VPN för många av våra kunder var ett av de vanligaste kraven inför köpet av Sophos Firewall.

Som beskrivs i den guiden använder vi för närvarande ofta Sophos SSL VPN Client. Den kan dock bara installeras på Windows-datorer. För macOS var man tidigare tvungen att använda tredjepartsverktyg, till exempel “Tunnelblick”.

Med Sophos Connect presenterar Sophos nu, precis som andra tillverkare, en egen IPsec VPN Client. Sophos Connect har inbyggt stöd för Synchronized Security. Det har visserligen tidigare också fungerat med SSL VPN Client, men krävde extra konfiguration.

Här är en skärmbild som visar inställningarna för Sophos Connect IPsec VPN Client på XG Firewall:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client Admin Einstellungen

Sophos Connect är för närvarande i beta och klienten finns för Windows och macOS. Här är också en skärmbild av Mac- och Windows-klienten:

Sophos XG v17.5 - Sophos Connect IPSec VPN Client für Mac und Windows

Till Sophos nya IPsec VPN Client finns även “Sophos Connect Admin” som ytterligare verktyg. Med det kan du i efterhand redigera en konfigurationsfil och exempelvis anpassa värdnamnet eller aktivera 2FA.

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Med den nya SFOS 17.5-firmwaren infrias äntligen ett löfte som funnits länge. Via Sophos Central-plattformen kan man nu också hantera XG Firewall. Det är absolut rätt steg, men funktionerna är fortfarande begränsade i den första versionen.

För att koppla ditt Central-konto till firewall måste du först aktivera Central Management på XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall in Central verwalten

Uppdatering 2018-11-20 Sophos Central har under tiden fått en uppdatering, vilket gör att menyalternativet “Firewall Management” nu syns. Genom att aktivera funktionen “Central Management” på vår XG Firewall kunde vi framgångsrikt koppla enheten till vårt Sophos Central-konto.

När man ansluter till firewall via Sophos Central är man därefter inloggad på firewall som “admin”. Det mindre trevliga med detta är att andra användare som har åtkomst till Sophos Central Admin teoretiskt sett också kan få åtkomst till firewalls. Det räcker redan att dessa användare har en “Read-Only”-behörighet. Vi hoppas att det i framtiden går att styra mer exakt vem som faktiskt får rätt att logga in på firewalls via Central.

Sophos Central Firewall Manager Link
Sophos Central Firewall Manager Dashboard
Sophos Central Firewall Manager Übersicht
Sophos Central Firewall Management

Firewall-hantering via SSO

Om du har aktiverat funktionen “Central Management” på din firewall kan du logga in på Sophos XG Firewall direkt från Central-gränssnittet utan ytterligare inloggning.

Central Backups

Genom Central Management lagras som standard även säkerhetskopiorna av din firewall i Central. Om du inte vill det kan du enkelt avaktivera funktionen på din XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall Backups in Sophos Central

“Light-Touch Deployment” är en riktigt smart sak! I framtiden blir det möjligt att konfigurera en ny XG Firewall direkt via Central. Först klickar man sig igenom en liten guide som till slut skapar en XG-konfigurationsfil. Den konfigurationen kan man sedan ladda ner och kopiera till ett USB-minne. Därefter måste den nya firewall startas med USB-minnet, och konfigurationen överförs. Om allt har gjorts rätt kommer man åt firewall via Sophos Central och kan göra de återstående konfigurationerna.

Sophos Firewall SFOS v17.5 - Light-Touch / Zero-Touch-Bereitstellung

“Light-Touch Deployment” kommer framöver att göra det betydligt enklare för oss att installera XG Firewalls åt våra kunder. För vår installations- och konfigurationstjänst låter vi normalt firewalls levereras till vårt kontor och skapar grundkonfigurationen direkt på enheterna. Därefter skickar vi dem till kunden, som bara behöver ansluta firewall till nätverket. Med “Light-Touch Deployment” kan vi framöver slippa skicka hårdvaran till oss och blir därmed minst en dag snabbare. 😎

Eftersom det här arbetsflödet förutsätter ett Central-konto kommer vi troligen inte att kunna använda det på samma sätt för varje ny kund.

Synchronized Security – förbättringar i Synchronized Application Control

Synchronized Application Control presenterades första gången med version 17.0 och förbättrades ytterligare i version 17.1. Med den här funktionen ville Sophos erbjuda en lösning på grundproblemet att en stor del av nätverkstrafiken fortfarande är svår att kontrollera och kan passera firewall relativt obemärkt även med HTTP/HTTPS-skanning. Med Synchronized Application Control meddelar Endpoint firewall exakt vilken programvara som orsakar trafiken. Därmed kan nätverkstrafiken klassificeras betydligt bättre.

Med v17.5 har följande förbättringar implementerats:

  • Visa Windows- och Mac-systemapplikationer i en separat lista.
  • Dölja applikationer och sedan använda ett nytt filteralternativ för att visa eller dölja dolda applikationer.
  • Ett nytt alternativ för att markera applikationer och på så sätt ta bort dem från listan “nya”.
  • Förbättrad visning av sökvägsnamn.

Sophos Firewall SFOS v17.5 - Synchronized Application Control Verbesserungen
Du kan nu själv välja vilka kolumner du verkligen behöver.

Förbättringar i Web Policy

Föreställ dig att en lärare arbetar med sin klass vid datorn och att en webbplats som behövs blockeras. I en sådan situation behövde administratören tidigare alltid kallas in för att låsa upp sidan. I SFOS version 17.5 finns nu en funktion i webbriktlinjerna som gör att du kan tillåta auktoriserade användare att ändå öppna blockerade webbplatser. Du skulle alltså kunna ge läraren möjlighet att själv låsa upp webbplatsen, domänen eller kategorin via User Portal.

Varje regel får en kod som läraren sedan kan dela med klassen. På den blockerade sidan kan eleverna ange koden och får då tillfällig åtkomst till den egentligen spärrade webbplatsen.

Som administratörer ser vi i en lista vilka koder som har genererats och kan också radera dem igen. Administratören kan även definiera platser eller kategorier som lärarna inte får kringgå.

Här är ytterligare några små nyheter som finns tillgängliga i webbriktlinjerna i SFOS version 17.5:

  • Fastställande av en standardsökmotor.
  • SafeSearch och YouTube-begränsningar.
  • Begränsning av filstorlek vid nedladdning.
  • Domänbegränsningar för Google App, som alla kan anges per riktlinje.

Sophos Firewall SFOS v17.5 - Web Protection Allgemeine Einstellungen
😉. Användaridentifieringen i det här operativsystemet skiljer sig från andra system och stöddes hittills inte av XG Firewall. Med v17.5 erbjuder Sophos en Chromebook-tillägg som delar Chromebook-användar-ID:n med firewall. Det gör riktlinjeverkställighet och användarrapportering möjligt. Det krävs dock en Active Directory-server som synkroniseras med Google G Suite. Chrome-tillägget distribueras från G Suite-administrationskonsolen och ger en enkel distribution som är transparent för användaren.

Client Authentication Agent

XG Firewall Client Authentication Agent gör det möjligt att meddela XG Firewall vilken användare som för närvarande är inloggad på datorn, utan Active Directory. För detta behöver Client Authentication Agent bara köras på enheten.

Klienten finns för Windows, macOS, Linux 32/64-bit, iOS och Android. Nedladdningen finns i User Portal.

Sophos Firewall SFOS v17.5 - Client Authentication Agent Download im User Portal
Sophos Firewall SFOS v17.5 - Client Authentication Agent Taskliste

Management-förbättringar

När man skapar en ny firewall-regel kan den direkt tilldelas en grupp. Det finns också en ny automatisk grupptilldelning, även om den inte riktigt fungerade bra hos mig. I mina tester ville firewall automatiskt tilldela min regel till en grupp där jag inte ville ha den.

Sophos XG v17.5 - Automatische Gruppenzuordnung
spoofing-skydd.

IPS Protection

  • Fler kategorier för bättre optimering av reglerna, vilket leder till bättre prestanda och mer skydd.

Wireless

  • Stöd för RADIUS-serverfailover med flera servrar.

IPsec

  • SD-WAN failover och failback
  • IPsec failover – redundanta grupper för IPsec-anslutningar för att vid en failover växla till ytterligare en WAN-länk. Så snart huvudanslutningen är tillgänglig igen kan man också växla tillbaka.

Vad kommer i nästa versioner?

Under de kommande veckorna/månaderna kommer som vanligt Maintenance Releases som levererar ytterligare några funktioner.

Sophos Wireless APX Access Point Support

De nya APX Access Points från Sophos kunde hittills bara användas med Sophos Central. Stöd för XG Firewall väntas dock i MR1, som kommer ungefär 2-4 veckor efter 17.5-releasen. APX 120, som då ska finnas för under 200 CHF, kommer först i januari 2019.

Airgap Support

Det finns XG Firewalls som inte är anslutna till internet. Licensaktivering var tidigare inte möjlig på dessa enheter. Nu finns alternativet att läsa in licensen och uppdateringar till firewall med hjälp av ett USB-minne.

Mer information

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.