NSG Tech Session 2
Sophos UTM 9.5
Notification für ablaufende Zertifikate Was verbirgt sich dahinter? 30 Tage vor Ablauf des Zertifikats o Zertifikat wird im UI hervorgehoben o E-Mail Benachrichtigung über ablaufende Zertifikate Warum brauche ich das? Früher auf den Ablauf von Zertifikaten reagieren Sichere Verbindungen ohne unerwartete Unterbrechungen betreiben
Support Access für SSH und WebAdmin Was verbirgt sich dahinter? Erweiterung der bisherigen Support Access funktionalität Erlaubt den Zugriff auf die Appliance für den Sophos Support sowohl über WebAdmin als auch SSH Warum brauche ich das? Es müssen keine Login Informationen mehr an den Sophos Support übermittelt werden Einfacher und sicherer Zugriff für den Sophos Support nach Freigabe
WAF URL Redirection Was verbirgt sich dahinter? Domains/URLs die von der WAF zur Verfügung gestellt werden können innerhalb der WAF zu einer anderen Domain/URL umgeleitet werden Warum brauche ich das? Vereinfachung von Services auf den Backend Systemen Viel genutzte Funktion innerhalb von TMG (für MS Services)
Konfigurieren der erlaubten TLS Version in WAF Was verbirgt sich dahinter? Kontrolle der minimal zu verwendenden TLS Version für Verbindungen zu WAF Warum brauche ich das? Bessere Kontrolle welche TLS Version für Verbindungen benutzt wird Verhindern von unsicheren Verbindungen PCI Compliance
Datacenter Auswahl für Sophos Sandstorm Was verbirgt sich dahinter? Auswahl des für Sophos Sandstorm zu verwendende Datacenter (US/EU/Auto) Warum brauche ich das? Fix festlegen wo Daten verarbeitet werden
Ausnahmen für Sophos Sandstorm Was verbirgt sich dahinter? Ausschließen bestimmter Dateitypen von der Analyse mit Sophos Sandstorm Warum brauche ich das? Bessere Kontrolle welche Dateien in Sophos Sandstorm analysiert werden, unabhängig von AV scannning
RESTful API Was verbirgt sich dahinter? Eine vollständige API für die komplette Konfiguration der Sophos UTM Warum brauche ich das? Automatisierung von Konfigurationsänderungen Einbinden in andere Systeme um UTM Konfigurationen zu Überwachen oder zu verändern
RESTful API https://<ip or URL of UTM>:4444/api/ 11
RESTful API 12
RESTful API Beispiel Alle Interfaces curl -k -L -X GET --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/ 13
RESTful API 14
RESTful API Beispiel Alle Interfaces curl -k -L -X GET --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/ Spezifisches Interface curl -k -L -X GET --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/<REF auf Interface> 15
RESTful API Beispiel 16
RESTful API Beispiel Alle Interfaces curl -k -L -X GET --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/ Spezifisches Interface curl -k -L -X GET --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/<REF auf Interface> Spezifisches Interface ändern (Up/Down) curl -k -L -X PATCH --header 'Accept: application/json' --header 'Authorization: Basic andlymvyonbwcha=' -d '{"status":true}' 'https://<utm IP or URL>:4444/api/objects/interface/ethernet/<REF auf Interface>' 17
RESTful API Beispiel 18
Uses Cases REST API Automatisierung via Skript Konfigurationsänderungen ohne Zugang zum Webadmin Lehrer kann Internet für die entsprechende Schulklasse deaktivieren, ohne ihm Zugriff auf den Webadmin geben zu müssen Empfangspersonal kann ohne IT Kenntnisse das Gast WLAN über eine einfache HTML Seite aktivieren/deaktivieren Sehr viele weitere Anwendungsszenarien, ihre Kreativität ist gefragt. 19
Was kommt noch in Sophos UTM 9.5? Sophos Sandstorm E-Mail Reporting Verbesserungen TFT für WAF Up-/Downloads WAF Templates Authentication und Protection Vorlagen WAF Proxy Protocol Support HTTPS Blockseite enthält Bilder auch ohne CA SNMP Monitoring für das Dateisystem 64-bit PostgreSQL Datenbank
Sophos UTM 9.6 21
Geplante Features UTM 9.6 Änderungen vorbehalten IKE v2 für Site-to-Site VPN Vollständiger Report für Sophos Sandstorm o Persistenter Report auch für Cache basierte Ergebnisse Neue RED Firmware mit besserer 3G/4G Stick Unterstützung Let s Encrypt Integration für WAF, E-Mail Protection, WebAdmin o Vertrauenswürdige Zertifikate mit automatischer Erneuerung Sophos Anti-Spam Engine in E-Mail Protection Manueller Upload für Sophos Sandstorm o Admin kann Dateien zur Überprüfung selber hochladen 22
Integration von UTM 9 in SFM/CFM In Prüfung Integration von Monitoring für Sophos UTM im Sophos Firewall Manager o On-Premise und in Sophos Central Management von UTM Konfiguration im Sophos Firewall Manager o On-Premise und in Sophos Central Ein Management System für Sophos UTM und XG Firewall! 23
UTM zu SF-OS Migrationsportal
UTM zu SF-OS Konfiguration Migrationsportal Zweck Konvertierung einer Sophos UTM Konfiguration in eine SF-OS kompatible Konfiguration Bereitstellung Das Migrationsportal ist ein durch Sophos bereitgestelles Online Portal Status Das Migrationsportal ist work in progress und wird fortlaufend weiterentwickelt und ergänzt. 25
UTM zu SF-OS Konfiguration Migrationsportal Grundlegender Ablauf Login ins Migrationsportal via Partner Portal oder per MySophos Credentials Hochladen einer zu konvertierenden UTM Konfigurationsbackup Datei Automatische Konvertierung unterstützter Konfigurationsitems in eine SF- OS kompatible Konfiguration Manuelle Anpassung nicht automatisch konvertierbarer Objekte Download eines SF-OS Konfigurationspaketes nach erfolgreicher Konversion (SF-OS Konfigurationsdatei & Migrationslog) Optional: Preview Darstellung der konvertierten Konfiguration Import der erstellten Konfigurationsdatei auf dem Ziel SF-OS System 26
Welche Konfigurationen werden zu Beginn migriert UTM Network Definitions Service Definitions Time Period Definitions Authentication Services Interfaces Routing Network Services Firewall IPsec Site to Site VPN Remote Access Management Migierte Konfigurationsitems Hosts, Group, Network, Range, MAC Address Definitions TCP, UDP, TCP/UDP, ICMP, ICMPv6, IP, Group Time Period Definitions Authentication Servers, STAS Ethernet, Alias, VLAN Static Route (Interface Route, Gateway Route), PIM SM DNS, DHCP Basic Network Firewall Rules Connections, Policies Certificate Management L2TP over IPsec Global settings, PPTP Global settings, IPsec Connections and Policies Time & Date settings Das Portal wird fortlaufend um weitere, konvertierbare Konfigurationsitems erweitert werden 27
Migration Schritte 1. Terms of Service 2. Welcome page 3. Upload UTM configuration 4. Auto-migration 5. Auto-migration completed 28
Migration Schritte 6. Exception list 7. Resolve Exceptions 8. Download migrated configuration 9. Preview Mode (Advanced Users) 29
Rollout Strategie Sophos Services Migration Portal - Partners Migration Portal - Customers Inline migration - Select Partners Inline migration - Partner staging Inline migration - Customers Stand heute 30
Sophos XG Firewall v16.5
XG v16 Hauptziele bei der XG v16 / 16.5 Entwicklung User Experience Feature Gaps Synchronized Security Adressierung der Haupt Kritikpunkte der v15 von Navigation über Policy Editor bis zu Logging und mehr. Über 100 neue Funktionalitäten und 35 Feature Gaps zur UTM9 wie Sandstorm, MTA, OTP, Web Filter und anderen Funktionalitäten hinzugefügt. Neue Funktionalitäten im Synchronized Security Teil hinzugefügt um Schutz Policy Enforcement und Reporting noch weiter zu verbessern. 32
XG v16.5 - Control Center und Navigation Neue Menüleiste / Menüstruktur Intuitivere Menüführung In 2-3 Klicks zum gewünschten Item Status der wichtigsten Security Module Schnellerer Zugriff aus dem Control Center
XG v16.5 Überarbeiteter Firewall Policy Editor Neues Layout Intuitivere Handhabung Weniger scrollen
Unified Policy Management Alle Policies auf einem Bildschirm IPS QoS Web Apps Routing 35
XG v16.5 - Web Policy Control Transparent und Standard Proxy Web Proxy Policies mit Vererbung Standard und Transparenter Modus Vereinfachte Nutzung durch vordefinierte Templates Weniger Regeln notwendig Allow, Block und Warn Aktions Flexible Konfigurationsmöglichkeiten (durch User, Groups, Activities, URLs, Kategorien, Dateitypen, Zeiträume )
User- und Gruppenbasiertes Regelwerk Web Policy Profil über die Firewall Regel aktivieren Web Regel Profil definieren Und in der gewünschten Firewall Regel aktivieren 37
Demo Web Policy Control
Video Web Policy Control 39
Sophos Sandstorm
Wie Sophos Sandstorm funktioniert Sophos Sandstorm Verhaltensanalyse Bekannte Datei? Verdächtige Dateien Zulassen/ Blockieren Reporting Next-Gen XG Firewall Unified Threat Management Secure Web Gateway Secure Email Gateway
Sophos Sandstorm NextGen Sandbox Funkionen jetzt auch für XG Serie Für Web und Email Protection (SMTP) Einfache Konfiguration über Firewall Rules Datacenterauswahl Europa /USA Ausnahmen Konfiguration 42
Sandstorm Activity Report Activity Report für Web und Email Filter und Sortierfunktionen Scan Report 43
Sandstorm Detail Reports 44
Demo Sandstorm
Demo Video Sandstorm 46
XG Firewall on Microsoft Azure
XG on Azure Vorteile Durchsetzen des verteilten Verantwortungsmodells o Sicherheit der Cloud (Cloud Service Provider) vs. Sicherheit in der Cloud (Kunde) Schnelle und automatisierte Bereitstellung o Interaktiv/manuell aus Azure Marketplace o Per Quickstart Templates im Azure Resource Manager Flexible Lizensierungs- und Abrechnungsmodelle o BYOL vergleichbar mit SW Appliance (alle Regionen) o PAYG inkludiert in Azure Angebot (nicht in allen Regionen, inkl. Enhanced Support) 48
XG on Azure Anwendungsszenarien Visibilität des Virtual Network erhöhen! Azure-basierte Instanzen absichern o eingehend NGFW, IPS, WAF o ausgehend NGFW, ATP, Webfilter o Segmentierung innerhalb der Subnetze 49
Q1 Q2 Q4 XG on Azure Gute Aussichten in 2017 o High Availability durch Azure Load Balancer und Health Checks o Templates für multiples Deployment von XG Instanzen o XG wird als Lösung für WAF, IPS und VPN im Azure Security Center gelistet o Synchronized Security zur Isolation von kompromittierten VMs inklusive Root Cause Analyse in Sophos Central 50
Zentrales Management SFM v16
Sophos Firewall Manager (SFM) What is it and what it does: Zentrale Verwaltung für mehrere XG Firewalls Verwaltung von bis zu 1000 Geräten Full Featured - Verwaltung aller Firewall Features Firewall Policy Verwaltung Monitoring and Alerting Vereinfacht das Deployment bei vielen Standorten Verwaltung von Firmwareupdates Verfügbar als : On-premise Hardware oder Software / Virtual Sophos Central for Partners (CFM)
Key Features Vollständiger Konfigurationsumfang (same as on-box) Geräte Monitoring Verschiedene Ansichten und konfigurierbare Schwellwerte Alarmierung für z.b. auslaufende Lizenzen, bei Verbindungsproblemen, Security Events etc. Wiederverwendbare Templates für Konfigurationen und Regelwerk Flexible Gruppierungen z.b. Region, Model, Firmwarestand etc. Verschiedene Rollen für die Administration Change-Control, Auditing, Logging Firmware Updates verwalten
Ausblick Sophos XG v17
Next-Gen App Control
XG v17 - Synchronized Security Next-Gen App Control Erkennung von unbekannten Anwendungen / Individualsoftware Next-Gen Application Control kann jedes Executable, und den damit verbundenen Netzwerkverkehr erkennen Next-Gen App Pattern werden erstellt Netzwerkzugriffe können mit diesen Pattern geregelt werden Ehemals unbekannte Applikationen können priorisiert oder gedrosselt werden Eigene Kategorisierungs- und Filtermöglichkeiten
Firewall Rules
Übersichtliches Firewall Regelwerk 58
Firewall Regeln Verbesserter Workflow 59
Firewall Regel Gruppierung 60
Policy Tester Users may easily test web requests, TCP, UDP, ICMP, and other protocol traffic Tests may be run against multiple users simultaneously, allowing quick comparison of the results 61
Log Viewer
Log Viewer Improvements Near Final 63
Log Viewer Improvements 64
Log Viewer Improvements 65
Weitere v17 Features
Weitere v17 Features IKE v2 Support für Site-to-Site VPN Verzögerte Registrierung (30 Tage) Reduktion Feature Gaps Email Protection o Recipient Verification o Greylisting o Outbound Relay Wildcard DNS Support Besserer AV Scan bei Streaming Diensten (range-request) Diverse UX Verbesserungen z. B. bei Email, IPS und AppControl Viele weitere Neuerungen... 67
Sophos Central Wireless
Wireless Feature Parity
Highlights 70
Wireless Dashboard 71
Mehrwert Visibilität 72
Mehrwert Visibilität 73
Einfachere Planung 74
Hotspot Portal und Gast Netzwerk Voucher sowie Password of the Day Backend Authentication Gast Netzwerk (Bridge/NAT Mode) 75
Band Steering Lastverteilung von 2,4 auf das 5 GHz Netz Effektivere Nutzung des zur Verfügung stehenden Spektrums Erhöhte Leistungsfähigkeit Verbesserung der Stabilität 76
Band Steering Unbekanntes Gerät Kann ich mich mit dem 2.4 GHz Netz verbinden? Hm? Ich prüfe das mal! Einen kleinen Augenblick! Soll ich mich vielleicht mit dem 5 GHz Netz verbinden? MAC 11:00:22:3E:4F:55 Client supports 2.4 and 5 GHz Ahh, genau das wollte ich auch vorschlagen! 77
Band Steering Bekanntes Dual-Band Gerät Kann ich mich mit dem 2.4 GHz Netz verbinden? Ich weiß aber, dass du auch 5 GHz unterstützt! Na, dann! Verbinde ich mich statt dessen mit dem 5 GHz Netz MAC 11:00:22:3E:4F:55 Client supports 2.4 and 5 GHz Genau das wollte ich auch vorschlagen. 78
Airtime Fairness Gerechte Aufteilung der WLAN-Übertragungszeit Effiziente Ausnutzung der zur Verfügung stehenden Bandbreite Schnellere Clients werden nicht mehr ausgebremst 79
Demo Central Wireless
It s Time to Synchronize Security Next-Gen Firewall UTM Cloud Intelligence Centralized Policy Management Endpoint Wireless Analytics Next-Gen Endpoint Web Mobile Email File Encryption Disk Encryption Server
Zusammenfassung Central Wireless je nach Einsatzgebiet günstiger als mit SG/XG Funktionsumfang im Vergleich zu SG/XG Wireless deutlich höher Visibilität erleichtert den Betrieb Site Planner reduziert Projektkosten Schnellere Verfügbarkeit von Features und Bugfixes Central Wireless ist Teil vom MSP Programm Advanced Lizenz mit Security Funktionen kommt Einstieg in Synchronized Security 83