Carrello

Nessun prodotto nel carrello.

Sophos Firewall Feature Request 2024

Noi stessi lavoriamo quotidianamente con Sophos Firewall e i nostri clienti ci danno sempre un feedback su quali funzioni di sicurezza e operative mancano. Abbiamo stilato un elenco dettagliato sulla base di questa esperienza e dei feedback ricevuti. Ora stiamo riassumendo questo feedback nella richiesta di funzionalità di Sophos Firewall.

Supporto per Let’s Encrypt

Si tratta della funzione più richiesta, che molti attendono da oltre tre anni. Questa funzione sarà finalmente inclusa nella versione 21, il cui rilascio è previsto per ottobre.

Rinominare gli oggetti

Purtroppo al momento non è possibile rinominare alcuni elementi del firewall, ecco alcuni esempi:

  • Connessioni IPsec da sito a sito
  • Zone
  • Server DHCP
  • Regole IPS

Questa funzione sarebbe estremamente utile per mantenere le configurazioni più chiare e organizzate.

Se vuoi rinominare una connessione VPN side-to-side, ad esempio, devi cancellarla e crearne una nuova solo per cambiare il nome.

Interfaccia grafica reattiva

Con l’aggiornamento alla versione 20, l’interfaccia grafica è stata leggermente ottimizzata per i monitor widescreen al fine di ridurre lo spazio bianco. Questa era già una richiesta molto frequente di Sophos Firewall.

Tuttavia, i nostri clienti desiderano un’interfaccia completamente responsiva che risulti gradevole anche su tablet e dispositivi mobili. C’è ancora margine di miglioramento, soprattutto su monitor piccoli e con la risoluzione 4K.

Prestazioni del backend

L’interfaccia grafica è lenta, soprattutto con i modelli di firewall più piccoli, i dispositivi reagiscono spesso molto lentamente, soprattutto quando si salvano le regole del firewall. C’è ancora molto potenziale di ottimizzazione per migliorare l’esperienza dell’utente.

Ad esempio, salvare una regola del firewall su un XGS 126 con SFOS v20 richiede troppo tempo.

YouTube video
Richiesta di funzionalità per Sophos Firewall – Durata del salvataggio di una regola del firewall

Le interfacce impiegano un tempo simile per caricarsi e la dashboard impiega circa il doppio del tempo.

Raggruppare le regole NAT

È possibile raggruppare le regole del firewall per organizzarle meglio. Tuttavia, questa funzione non è presente nelle regole NAT. Anche in questo caso, un’opzione di raggruppamento sarebbe un’utile richiesta di funzionalità di Sophos Firewall.

Clona le regole NAT

Mentre la funzione di clonazione delle regole del firewall è già disponibile, manca questa utile opzione per le regole NAT. Sarebbe molto utile se le regole NAT potessero essere clonate per rendere le configurazioni più veloci ed efficienti. Questa è una richiesta frequente di Sophos Firewall da parte dei nostri clienti.

Personalizza e salva il visualizzatore di log

Il visualizzatore di log ti permette di aggiungere o rimuovere colonne per visualizzare i log in modo più chiaro. Sarebbe utile se queste impostazioni potessero essere salvate in modo da avere le tue visualizzazioni preferite delle colonne la prossima volta che aprirai il visualizzatore di log.

Test di velocità integrato

Un test di velocità integrato che possa essere effettuato direttamente tramite il firewall è in cima alla lista dei desideri di molti utenti. Altri produttori offrono già queste funzioni, che permettono di effettuare test di velocità tramite varie interfacce direttamente dal firewall o di programmarli su base temporale.

Nascondi i messaggi di avviso nella dashboard

Richiesta di funzionalità per Sophos Firewall - Alette della dashboard
Sophos Firewall Feature Request – Dashboard Alets

I messaggi di avviso o gli allarmi vengono visualizzati nel cruscotto, ma non possono essere nascosti. Molti utenti vorrebbero poter contrassegnare questi messaggi come visti, in modo da non visualizzarli in modo permanente.

Importa più oggetti contemporaneamente

La possibilità di importare più oggetti contemporaneamente sarebbe un’aggiunta preziosa. Attualmente è possibile importare elenchi di IP, ma non elenchi di URL o reti multiple. Questa funzione contribuirebbe in modo significativo all’efficienza, soprattutto per le eccezioni dei servizi Microsoft in cui è necessario elencare molte reti o URL.

Per quanto riguarda gli aggiornamenti del firmware per RED o Access Points, attualmente è presente solo un pulsante “Installa” nel backend, senza informazioni dettagliate sulle modifiche disponibili. Questo pone agli amministratori il problema di non sapere quali cambiamenti o miglioramenti apporterà il nuovo firmware. Questo è particolarmente problematico perché non esiste un’opzione di rollback se si verificano problemi dopo l’installazione.

Un link diretto alle note di rilascio sarebbe quindi una richiesta di funzionalità di Sophos Firewall molto pratica. Questo ti permette di verificare le modifiche prima dell’installazione e di valutare meglio i rischi o i benefici dell’aggiornamento. Attualmente devi cercare i dettagli nella Sophos Community, il che richiede più tempo.

Attacco di blocco automatico

Una funzione correlata, facile da immaginare, è il meccanismo di sicurezza delle password, che attiva un blocco temporaneo se troppi tentativi di accesso falliscono. Questo meccanismo è familiare alla maggior parte degli amministratori ed è già utilizzato con Sophos Firewall.

Questo meccanismo blocca il login dopo un certo numero di tentativi falliti e blocca l’accesso per un determinato periodo di tempo. Una funzionalità simile per il firewall sarebbe estremamente utile per bloccare automaticamente gli indirizzi IP se vengono rilevate diverse attività sospette in un breve periodo di tempo.

Sophos Firewall - Visualizzatore di log IPS
Sophos Firewall Feature Request – Autoblock Attacker

Un metodo simile è utilizzato anche da Fail2Ban, un programma che controlla i log e blocca gli indirizzi IP che mostrano determinati schemi predefiniti di attacchi o attività sospette. Fail2Ban protegge quindi i sistemi dagli attacchi brute force e da altre minacce bloccando automaticamente gli aggressori.

È ovvio che una simile funzione di blocco automatico sarebbe estremamente utile anche per Sophos Firewall. Attualmente, il sistema di prevenzione delle intrusioni (IPS) riconosce le attività sospette e le blocca, ma l’attaccante può ripetere continuamente i suoi tentativi. Qualsiasi attività sospetta fa scattare una notifica e l’amministratore deve intervenire manualmente per bloccare l’indirizzo IP.

Una modalità di autoblocco, in cui l’amministratore può impostare un indirizzo IP da bloccare per 15 minuti, un’ora o anche di più, aumenterebbe notevolmente l’efficienza e la sicurezza. Se il firewall riconosce diverse attività sospette da un certo indirizzo IP nell’arco di un minuto, avrebbe senso bloccare automaticamente questo IP per un certo periodo di tempo. L’amministratore può mantenere la lista nera in qualsiasi momento e rimuovere nuovamente l’indirizzo se necessario.

L’introduzione di un modulo di autoblocco di questo tipo proteggerebbe il firewall in modo ancora più efficace contro gli attacchi ripetuti e allo stesso tempo ridurrebbe il carico di lavoro amministrativo per l’amministratore.

In questo caso si tratterebbe ancora una volta di una battaglia macchina contro macchina, perché al momento la maggior parte dei tentativi di attacco sono portati avanti da bot o macchine. Tuttavia, dietro il firewall Sophos c’è un amministratore che deve gestire manualmente questi eventi per evitare ulteriori richieste.

I feed dei cattivi bloccatori di IP

Nella prossima versione 21 del firewall, dovrebbe essere possibile implementare liste predefinite per bloccare l’accesso agli indirizzi IP pericolosi. Ciò significa che se qualcuno internamente tenta di accedere a un IP pericoloso già noto, l’accesso viene automaticamente bloccato. Nelle versioni future, questi elenchi saranno integrati da fornitori terzi. Purtroppo, però, solo le connessioni in uscita vengono verificate con questi elenchi.

Un’ottima estensione sarebbe quella di aggiungere al firewall dei feed che contengano elenchi di IP, in particolare per bloccare gli IP noti come pericolosi per le connessioni in entrata. Questo può valere per le regole NAT, le richieste VPN, le richieste VPN Portal e altri servizi.

Il firewall delle applicazioni web dispone già di una funzione simile chiamata “Blocca i client con cattiva reputazione”, che svolge le seguenti funzioni:

Blocca i client che hanno una cattiva reputazione grazie alle liste di blackhole in tempo reale (RBL) e alle informazioni GeoIP. Saltare le query remote per i client con una cattiva reputazione può migliorare le prestazioni. Per le RBL, Sophos Firewall utilizza la Sophos Extensible List (SXL) e SORBS. Utilizza Maxmind per il GeoIP. Il Sophos Firewall blocca i client che rientrano nelle categorie A1 (proxy anonimi o servizi VPN) e A2 (ISP satellitari).

Il desiderio sarebbe quindi quello di poter sottoscrivere i propri feed RBL, ad esempio quelli di produttori noti o di GitHub.

Questa estensione aumenterebbe in modo significativo la sicurezza del firewall e dei suoi servizi, proteggendo efficacemente non solo le connessioni in uscita ma anche quelle in entrata dalle minacce conosciute.

Disattivare il servizio wireless

Sebbene esista un’opzione per disattivare il servizio wireless, questa viene visualizzata come un errore. Verrà visualizzato un messaggio di avviso nella dashboard:

Richiesta di funzionalità per Sophos Firewall - Disabilitare il servizio wireless
Sophos Firewall Feature Request – Disable Wireless Service
Richiesta di funzionalità per Sophos Firewall - Avviso di servizio wireless
Sophos Firewall Feature Request – Wireless Service Alert

Ciò significa che anche se l’amministratore disattiva deliberatamente il servizio per risparmiare risorse o per altri motivi, il firewall lo interpreta come un problema ed emette un messaggio di errore. Sarebbe quindi auspicabile avere un modo per disattivare il servizio wireless senza che questo appaia come un errore nel cruscotto.

Feedback per noi

In questo articolo abbiamo raccolto le più frequenti richieste di funzionalità di Sophos Firewall che abbiamo raccolto negli ultimi mesi. Nel farlo, abbiamo tenuto conto sia dei desideri dei nostri clienti sia delle funzioni che ci avrebbero aiutato a organizzare in modo più efficiente la configurazione e la manutenzione dei numerosi firewall dei clienti.

Tuttavia, se hai ulteriori suggerimenti o richieste, inviaci il tuo feedback utilizzando il modulo di contatto. Aggiorneremo regolarmente questo blog post per riflettere le esigenze e i requisiti più recenti.

Anche la tabella di marcia non è una garanzia

Non dovresti mai acquistare un prodotto solo perché il produttore ti promette che la funzione che desideri verrà aggiunta tramite un aggiornamento.

Sophos non è da meno. La tabella di marcia è affidabile quanto le previsioni del tempo, l’oroscopo o il comportamento dei gatti. Le funzionalità vengono aggiunte e rimosse, i servizi vengono presentati al roadshow o le cose vengono scritte nelle schede tecniche dei prodotti con il riferimento (coming soon), ma questo non significa ancora nulla! Potrei scrivere un post a parte sugli annunci di Sophos che non si sono concretizzati. Inoltre, Sophos purtroppo non è uno dei produttori che ascolta gli utenti e sviluppa le funzioni di conseguenza, sarebbe completamente assurdo. È meglio correre dietro al prossimo hype degli analisti di Gartner o a ciò che gli azionisti vogliono sentire, oppure guardare alla concorrenza.

Penso che questo dovrebbe chiarire tutto e ho già eliminato le false speranze sul nascere.

Patrizio
Patrizio

Patrizio è un esperto specialista di rete specializzato in firewall, switch e access point Sophos. Supporta i clienti o il loro reparto IT nella configurazione e nella migrazione dei firewall Sophos e garantisce una sicurezza di rete ottimale attraverso una segmentazione pulita e la gestione delle regole del firewall.

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.