Sophos XG und Central Partner-Workshop Pt.1

gepostet am 03.07.2018 von Jonathan Schwing

Wir sind der Einladung unseres Distributors Infinigate gefolgt und haben ihn im Mercure Hotel in Stuttgart am 29.05.2018 getroffen, um uns in technischen Live Demos über die Neuerungen und Produktfeatures von Sophos XG und Sophos Central zu informieren und um Fragen direkt an die Experten von Sophos und Infinigate zu stellen.

Den ersten Teil zu Sophos XG von diesem exklusiven Partnerevent lesen Sie in diesem Artikel.

XG Firewall

Nach einer kurzen Begrüßung und Klärung organisatorischer Details ging es auch schon direkt los mit dem ersten Teil zu Sophos XG, der Next Generation Firewall von Sophos. Herr Stefan Vogt, Sales Engineer bei Sophos führte uns durch den XG Teil. Die Sophos XG Firewall ist ein neues, völlig eigenständiges Produkt mit einem anderen Konzept und kein Nachfolger der UTM. Viele Module der UTM sind mittlerweile in der XG vertreten und weitere werden nach und nach folgen. Ebenso wurde uns versichert, dass die UTM über die nächsten Jahre weiterhin bestehen bleiben wird und mit Neuerungen zu rechnen ist.

Module und Lizenzierung

Zu Beginn fällt auf, dass aus der bekannten UTM Essential Firewall eine Basis Lizenz mit zusätzlich Wifi und VPN Features geworden ist. Alle weiteren Module können bei Bedarf nach lizenziert werden. Bei virtuellen Appliances ist hingegen die Lizenzierung von IP/Users zu per vCore/vRAM geändert wurden und gleicht nun der marktüblichen Lizenzierung.

Auf neue Hardware Appliances und den Unterschied zwischen SG und XG Hardware, ging Sophos auch noch ein, wobei SG Hardware mit UTM vorinstalliert und XG Hardware mit XG vorinstalliert ausgeliefert wird. Sophos erwähnte, dass eine Änderung des installierten Produkts jederzeit vorgenommen werden kann, jedoch kein Mix bei einem HA-System zwischen SG und XG möglich ist.

Deployment-Varianten

Die Sophos XG Firewall lässt sich in vier verschiedenen Varianten in Betrieb nehmen. Auf den Discover Mode möchte ich näher eingehen, da er im Vergleich zur UTM neu ist und besonders bei der Ablösung einer bisherigen Firewall einen entscheidenden Vorteil bietet. Im Discover Mode wird die Sophos XG Firewall hinter eine bereits bestehende Firewall über einen verwaltbaren Switch mit Port Mirroring verbunden und kann dadurch den Traffic zwischen WAN und LAN bzw. andersherum erfassen und auswerten. Hierbei ist es möglich evtl. Schwachstellen der derzeitigen Firewall zu erkennen.

Basis Setup und Start des Web-Admin

Den Web-Admin kennen wir bereits von der UTM, der Zugriff findet über den ebenso bekannten Weg statt. Deutlich erweitert hat Sophos den Wizard, der bei der erstmaligen Inbetriebnahme unterstützen soll. Dort können wir das Basissetup wie Interfaces konfigurieren, Datum und Uhrzeit einstellen, den Admin Benutzer anlegen, die Lizenz aktivieren und ein Backup, sowie Benachrichtigungen einrichten. Auf die aktuellste Firmware lässt sich schon vorab aktualisieren. Nach einem Neustart der Appliance erscheint die Anmeldemaske für den Web-Admin und es kann losgehen.

Die XG Firewall verfügt über einen Dual Firmware Loader, sprich es kann auch jeweils auf die vorherige Firmware wieder zurück gewechselt werden, wenn unerwartete Probleme auftreten. Zudem werden RED und AP Firmware Updates nicht mehr über die SFOS Firmware, sondern getrennt verteilt. Bei der UTM kamen Updates für RED und AP immer nur über die Firmware der UTM mit.

Das Web-Admin Control Center fungiert hier wie das UTM Web-Admin Dashboard und zeigt uns in Form einer Startseite die wichtigsten Fakten zu unserer Appliance, wie Systemstatus, Anzahl der Verbindungen und Netzwerkauslastung, Benachrichtigungen und Reports.

Network Setup

Die XG Firewall arbeitet anders als die UTM mit so genannten Zonen. Dies sind Gruppen von mind. einem oder mehreren virtuellen/physikalischen Interfaces, die schlichtweg zur besseren Verwaltbarkeit zusammen gefasst werden. Es gibt mit „LAN“, „WAN, „DMZ“, „VPN“ und „Wi-Fi“ insgesamt fünf vorgefertigte Zonen, die um benutzerdefinierte Zonen vom Typ „LAN“ und „WAN“ ergänzt werden können. Diesen erstellten Zonen lassen sich dann Services wie z. B. DNS, Module wie Web-Proxy, oder Wireless Protection, oder Firewallregeln zuordnen.

Die Konfiguration von zusätzlichen Interfaces, sowie DNS und DHCP gestaltet sich in ähnlich gewohnter Manier und fällt leicht von der Hand.

Firewall

Bei der XG Firewall gibt es drei Kategorien von Firewall-Regeln, die klassischen Netzwerkregeln und neu dazugekommenen User-Regeln, auf die zusätzlich Web filtering, Application control und QoS gebunden werden kann. Die User-Regeln erlauben, wie die Bezeichnung es bereits vermuten lässt, die Regeln an Benutzer oder Benutzergruppen zu binden.

Als Business Application Regeln werden Regeln bezeichnet, die sich auf Enterprise Dienste wie Webserver mit WAF, Mailserver mit Email Protection beziehen oder wobei NAT für interne Services/Server eingesetzt werden muss. All dies wird nun zentral an einer Stelle bzw. in einer Regeln konfiguriert und aktiviert.

Über vordefinierte Filter lassen sich zudem Regeln schnell identifizieren. Firewall Regeln können außerdem ebenfalls in Gruppen abgebildet werden, dies dient aber nur der Übersichtlichkeit. Neu hinzugekommen ist die Verwendung der Regel ID als eindeutige Nummer, um Regeln besser identifizieren zu können. Anders als bei der UTM ändert sich die ID bei der XG nicht mehr, wenn die Regel an eine andere Position gebracht wird. Konsequent umgesetzt wurde dies meiner Meinung jedoch noch nicht, da bei einem Löschen der Regel diese ID wieder frei wird und durch eine neue Regel dann wieder zur Verwendung kommt.

In den Firewall Regeln werden ebenfalls Anti-Virus und IPS konfiguriert.

Policy Test Simulator

Anders als bei der UTM, können hier nicht nur Web filtering Regeln geprüft werden, sondern auch Firewall Regeln. Anschließend wird ein vollständiger Report angezeigt – wirklich sehr praktisch.

Log Viewer

Der Log Viewer wurde ebenfalls deutlich aufgebohrt und lässt sich effizient durch zusammenklicken der benötigten Module und der Eingabe des Suchkriteriums bedienen. Ebenfalls können hier auch wieder Filter angewendet werden.

Authentifizierung

Die XG Firewall biete eine Reihe von internen und externen Authentifizierungsdiensten an bzw. unterstützt diese. Bei den externen Authentifizierungsdiensten werden die gängigen, wie Active Directory, eDirectory, Radius und LDAP unterstützt.

Userbasierte Authentifizierung

NTLM (Authentication beim Zugriff auf eine Website. NTLM wird vom Browser übermittelt, nur sinnvoll für Proxyauthentication)
https://community.sophos.com/kb/en-us/123149
https://community.sophos.com/kb/en-us/123362
Sophos Client (Tool in der Taskleiste, User / PW Eingabe notwendig)
https://community.sophos.com/kb/en-us/123015
SSO Client (Client läuft auf Rechnern im Hintergrund. Bei der Win. Auth wird via Logonscript der SSO Client installiert und authentisiert sich direkt ohne zusätzliche Aktion des Users) https://community.sophos.com/kb/en-us/123159
STAS Client (Installation auf allen DCs, Win Logon Events werden analysiert) https://community.sophos.com/kb/en-us/123156
https://community.sophos.com/kb?TopicId=10248
SATC Client für Terminalserver
https://community.sophos.com/kb/en-us/127157
Captive Portal
https://www.youtube.com/watch?v=q0GwtPLS0nk
Clientless User
https://community.sophos.com/kb/en-us/123039

VPN

Die Sophos XG unterstützt fünf verschiedene VPN Modi:

IPsec
SSL VPN
L2TP over IPsec
Clientless Access
CISCO VPN Client for iOS

Bisher war bei SSL VPN der Port auf 8443 begrenzt, ist aber mit dem Erscheinen von SFOS 17.1 Anfang Juni 2018 änderbar.

Internet Key Exchange (IKE) wird sowohl in Version 1, wie auch Version 2 unterstützt. Ein bereits vorkonfiguriertes Profil für IKEv2 ist ebenfalls enthalten.

Zudem bietet die XG Firewall eine Hochverfügbarkeit durch VPN Failover unter der Verwendung von zwei WAN Links und schwenkt automatisch den Traffic im Fehlerfall.

Für SSL VPN Remote Access gibt es wie bei der UTM wieder die Möglichkeit den Installer und die Konfiguration über das User Portal zu laden.

Ebenfalls ist die Anbindung von den der UTM bekannten REDs möglich.

IPsec VPN Connection Wizard

Der Wizard führt uns durch die komplette Konfiguration eines IPsec Site-to-site VPNs.

Web Proxy

Die Konfiguration des Web Proxy findet im Modul der Web Protection statt, hierfür gibt es auch bereits vorgefertigte Profile. Als AV Scanner kommt entweder im Single Mode der Sophos eigene oder im Dual Mode zusätzlich noch der von Avira zum Einsatz.

Die erstellten Regeln für Web Protection, Application Control und IPS (Intrusion Prevention System) werden anschließend im Bereich Firewall in der entsprechenden Regel nach Bedarf aktiviert.

Beim Malware Scanning gibt es auch wieder die Möglichkeit Sophos Sandstorm zu aktivieren, sofern eine passende Subscription vorhanden ist. Hiermit werden zero day Threats erkannt und blockiert.

Mail Proxy

Die Sophos XG Firewall unterstützt seit Version 16 den MTA Mode und kann daher als MTA E-Mails aus dem Internet zu einem internen Mailserver weitergeben, davor unterstützte sie lediglich den Legacy Mode.

Synchronized Security

Die Sicherheitslösungen von Sophos sprechen jetzt miteinander und sorgen so für noch mehr Sicherheit und einen reduzierten administrativen Aufwand. Die Sophos XG Firewall ist ebenfalls einer dieser Teamplayer. Wird eine Bedrohung auf einem gesicherten Endpoint erkannt, blockiert die XG Firewall ausgehende Verbindungen, damit sowohl keine Daten das Unternehmen verlassen, sowie sich die Bedrohung weder weiter im Unternehmen ausbreiten kann, noch Daten aus dem WAN nachladen kann. Parallel dazu verhindert Intercept X die ggf. Verschlüsselung von Daten auf dem betroffenen System und hilft mit Sophos Clean den Schädling direkt zu bereinigen. Sollte die Festplattenverschlüsselung Sophos SafeGuard Enterprise zum Einsatz kommen, wird zusätzlich der Schlüssel entzogen und damit sind die Daten auf der Festplatte auch nicht lesbar und so unbrauchbar für den Angreifer. Für dieser Technologie ist die Verwendung von Sophos Central vorausgesetzt, dabei handelt es sich um ein Management in der Cloud, welches mit anderen Sophos Cloud-Crodukten aber auch On-Premises Varianten von Sophos Produkten verbunden wird.

Synchronized AppControl

Mit Version 17 führte Sophos bei der XG Firewall ein neues Highlight genannt Synchronized AppControl ein. Dahinter verbirgt sich ähnlich wie bei der Synchronized Security die Kommunikation mit einem weiteren Sophos Produkt, welches auf den zu schützenden Endpoints installiert sein muss. Da eine Firewall oft auf Grund fehlender Signaturen eines Programms oder da der Traffic zu generisch (HTTP/HTTPS) ist, dieses nicht identifizieren kann gelingt die Kontrolle an dieser Stelle nicht immer. Dieses Problem wird durch die Sophos Endpoint Protection gelöst, welche die Programme lokal auf dem System identifiziert und die Information an die XG Firewall weitergibt. Derzeit ist dies Intercept X.

Mit SFOS 17.1 wurde die Synchronized AppControl noch weiter entwickelt und gewinnt dadurch mehr und mehr an Bedeutung.

Feature Vergleich UTM vs. XG

Wie an der Abbildung zu erkennen ist, hat die XG mit dem derzeitigen Release die UTM mittlerweile bei den Features eingeholt und man darf gespannt sein auf die nächsten Releases.

Potenzielle Migration-Showstopper

Derzeit kommt die XG Firewall noch ohne einen NTP Server aus, Verschlüsselung bei E-Mail in Form von SMIME oder PGP sucht man ebenfalls vergebens. Die SSL VPN Portvergabe ist mit v17.1 mittlerweile gekommen. Derzeit ist die Konfiguration eines HAs noch sehr umständlich, hier arbeitet Sophos bereits an einer Verbesserung.

Upcoming v17.x Releases

Seit Anfang Juni ist SFOS 17.1 erschienen. Die nächsten zwei Releases hat Sophos bereits in Planung. Mit v17.2 kann wohl Anfang 2019 gerechnet werden. Änderungen sind hier jedoch möglich.

Troubleshooting

Uns stehen eine Reihe von Tools zur Fehleranalyse zur Verfügung. Sowohl über den Web-Admin, wie auch den zu konfigurierenden SSH Access.

Tools im Diagnose Menü

Hier haben wir zum einen die Möglichkeit für jedes Modul den Log Viewer über den Web-Admin zu verwenden, wer Logs lieber auf der Shell anschaut, findet hier ebenfalls Möglichkeiten. Im Diagnose Menü gibt es zusätzlich einige praktische Tools, wie z. B. einem Ping Check, Telnet oder NS Lookup.

Shell Zugriff

Sind wir erst einmal per SSH angemeldet, gibt es eine CLI (Command Line Interface), sprich ein Menü mit den wichtigsten Optionen zum Konfigurieren. Sollte diese nicht ausreichen, gibt es noch die Advanced Shell, bei der wir uns dann auf der Unix/Linux Ebene befinden und die gewohnten Tools zum Analysieren nutzen können.

Fazit und Ausblick auf Sophos Central

Mit Version 17.1 ist die XG Firewall mittlerweile eine sehr gute Rundum-Lösung geworden und lässt nur noch wenige Features der UTM missen. Die Vorteile liegen vor allem bei den Benutzer- und Applikations-gesteuerten Firewallregeln, wie auch der Fähigkeit Teil des Security Heartbeats zu sein. Hier setzt Sophos zwar nur auf die eigenen Produkte, bietet keine Schnittstelle zu weiteren an und es werden dafür zwingend Clouddienste nötig. Die XG Firewall bietet bereits trotz des immer noch frühen Entwicklungsstandes mehr Funktionalität als die UTM und die noch fehlenden Features davon werden sicherlich bald folgen. Dazu kommt, dass in einigen Jahren die UTM nach und nach an Bedeutung in der Entwicklung verlieren wird. Die XG Firewall eignet sich vor allem für Unternehmen, die bereits andere Sophos Produkte im Einsatz haben und sich auch nicht vor der Cloud scheuen.

Den Workshop kann ich ebenfalls nur wärmstens allen Partner empfehlen, die Workshops sind stets gut organisiert und man wird auf einem hohen Level mit Informationen versorgt. Technische Workshops sind hier auch wirklich von Technikern, für Techniker.

Sehen Sie im bald folgenden zweiten Teil meines Beitrags des „Sophos XG und Central Partner-Workshop“ die Inhalte zu Sophos Central. Bleiben Sie gespannt.

Central Cloud Endpoint Protection IT-Security Malware Next Generation Firewall Ransomware Sophos Synchronized Security

1 Kommentar

Pingback: Sophos XG und Central Partner-Workshop Pt.2 - TO Blog