„Our best UTM release ever”. Mit diesen Worten hat Sophos die UTM Version 9.2 veröffentlicht, welche zudem den Beinamen „Accelerated” trägt. Wir möchten Ihnen die wesentlichen neuen Funktionen vorstellen.
Die Highlights:
Advanced Threat Protection
Externe Mitarbeiter, veraltete Virenscanner – schnell befindet sich ein infizierter Client im Netz und beteiligt sich als Bestandteil eines Botnetzes an DDoS-Attacken. Die Advanced Threat Protection (APT) wertet die Daten der Web Protection sowie des IPS aus und blockt Kommunikationen zu den sogenannten „Command & Control“ Hosts. In einer entsprechenden Übersicht lassen sich betroffene Clients identifizieren, sowie weitere Informationen zur Bedrohung über das SophosLabs Threat Center abfragen.
Noch unbekannte, potentielle Schadsoftware lässt sich optional in der „cloud based sandbox“ automatisch von Sophos analysieren. Hierdurch kann zu einer schnelleren Reaktion auf neue Gefahren aktiv beigetragen werden.
WAF reverse authentication
Ein großer Nachteil der Sophos UTM war bisher die fehlende Möglichkeit die Authentifizierung auf einen Reverseproxy zu deligieren (offloading). Sie musste auf dem zu veröffentlichen Webserver selbst erfolgen.
Mit der UTM 9.2 ist es nun möglich sowohl form-based, als auch die Basic Authentication bereit zu stellen. Neben dem Zusatzgewinn an Sicherheit (Verbindungen werden erst nach erfolgter Authentifizierung zum Webserver gereicht) bietet sich die UTM nun auch in diesem Bereich als Ersatz für das abgekündigte Microsoft TMG an.
Two-factor authentication
Durch den Einsatz der 2-Faktor Authentifizierung lässt sich die Sicherheit der Zugänge zu Webapplikationen, VPN, WLAN-Hostspots oder Userportal enorm steigern. Das Benutzerkennwort muss hierbei um einen zeitabhängigen Einmalcode ergänzt werden. Hierbei werden Tokens nach dem OATH/TOTP-Standard unterstützt. Dies können auch Mobile Apps wie der „Google Authenticator“ sein. Letztere können vom Benutzer selbstständig beim ersten Login via QR-Code registriert werden.
Simpler email encryption:
E-Mail Verschlüsselung muss nicht kompliziert sein!
Mit der SPX encryption werden E-Mails via Outlook Plugin oder automatisch, per definierbaren Policies, verschlüsselt. Der Empfänger erhält eine passwortgeschützte PDF-Datei, darüber hinaus besteht die Möglichkeit über ein geschütztes Webportal auf die Mail zu antworten. Vollkommen Softwareunabhängig.
Weitere Verbesserungen:
- Performanter: insbesondere das IPS ist 50-100% schneller im Vergleich zur Vorgängerversion
- Web Protection: Einfacheres Verwalten von Policies, z.B. für AD-Gruppen
- Web Protection: Gerätespezifisches Authentifizierungsverfahren
- Wireless Security: Hotspot mit Authentifizierung gegen Backend (z.B. Active Directory)
- Wireless Security: Benutzerdefinierbare Loginseiten
- RED: Unterstützung von Datenkompression
Neue Midrange Appliances
Passend zum UTM 9.2 Release ersetzt Sophos die UTM220, UTM320 und UTM425 durch 6 neue Modelle (Sophos SG Series: SG 210, SG 230, SG 310, SG 330, SG 430, SG 450). Neben mehr Flexibilität bei der Resourcenplanung bringen die neuen Appliances einige Hardwareverbesserungen mit sich:
- 4th generation Intel Core
- AES-NI Verschlüsselung in Hardware
- SSD (je nach Modell)
- FlexiPort(s) zur Erweiterung der Netzwerkschnittstelen (8xGE Kupfer/8xGE SFP/2x10GE SFP)
Die OpenSSL Heartbleed Sicherheitslücke
Der „Heartbleed Bug“ ist zurzeit in aller Munde. Auf den einschlägigen Newsportalen liest man vom „Super GAU“ oder „Horror Bug“ der Verschlüsselung.
Was ist passiert? Am 07. April veröffentlichten die Entwickler der freien SSL-Implementierung OpenSSL eine Sicherheitswarnung nebst Hotfix.
Die aktuelle Version 1.0.1 ermöglicht das Auslesen von einem zufälligen, bis zu 64k großen, Speicherbereich aus dem Arbeitsspeicher eines verbundenen Servers oder Clients.
Schuld ist ein Fehler in der Heartbeat Implementierung (daraus der abgeleitete Name Heartbleed).
Betroffen sind neben dem Großteil aktueller Linux Distributionen auch die Sophos UTM ab Version 9.1.
Updates sind mittlerweile für alle betroffenen Produkte verfügbar und sollten, falls noch nicht geschehen, zeitnah eingespielt werden. Leider ist dies jedoch nur die halbe Miete.
Es besteht die Gefahr, dass ein Angreifer den privaten Schlüssel des Zertifikates und/oder Benutzerkennwörter auslesen konnte. Falls Sie vom Heartbleed Bug betroffen sind, empfiehlt es sich daher sowohl die SSL-Zertifikate auszutauschen, als auch möglicherweise betroffene Logins zu ändern. Viele Zertifikatsanbieter bieten hierbei die Möglichkeit eines kostenlosen Austausches. Sprechen Sie uns an!
Ihr S&L Networking Team