Sophos Firewall v22 MR1 ist verfügbar: Mehr Secure by Design, NDR und wichtige VPN-Änderungen

In den Kategorien: Ankündigungen & Hinweise Rss feed , Sophos Firewall/UTM Rss feed , Sophos News Rss feed Sophos Firewall v22 MR1 ist verfügbar: Mehr Secure by Design, NDR und wichtige VPN-Änderungen

Sophos Firewall v22 MR1 ist verfügbar

Sophos Firewall v22 MR1 ist ab sofort verfügbar und bringt mehrere sicherheitsrelevante Erweiterungen für bestehende Firewall-Umgebungen. Im Fokus stehen mehr Secure by Design, zusätzliche NDR-Erkennungen, bessere Auditierbarkeit in Sophos Central sowie wichtige Änderungen bei Remote Access VPN. Für Administratoren ist das Release deshalb nicht nur ein klassisches Maintenance Update, sondern auch operativ relevant.

Key Takeaways: Was ist neu in v22 MR1?

  • Secure by Design wurde erweitert: Der Linux-Sensor erkennt jetzt auch Kompromittierungen durch interaktive oder Reverse Shells und blockiert zugehörige Command-and-Control-Kommunikation.
  • Die erweiterten Sensor-Funktionen sind nun über die gesamte XGS-Serie hinweg integriert.
  • Mit NDR Active Threat Intelligence führt Sophos zusätzliche kuratierte IPS-Erkennungen auf Basis der iSensor-Technologie aus der Secureworks-Taegis-Plattform ein.
  • NDR Essentials unterstützt jetzt nicht mehr nur XGS-Hardware, sondern auch virtuelle, Cloud- und Software-Firewalls.
  • Änderungen an einer einzelnen Firewall über Sophos Central werden jetzt mit der Benutzeridentität protokolliert, was Audit- und Compliance-Anforderungen besser unterstützt.
  • Das Legacy Remote Access IPsec VPN ist abgekündigt. Firewalls mit dieser Alt-Konfiguration können nicht auf SFOS 22.0 MR1 oder neuer aktualisiert werden.
  • Zusätzlich bringt MR1 Verbesserungen bei policy-basierten IPsec-VPNs, SSD-Schreibvorgängen, Wi-Fi MTU/MSS und mit Config Studio V2 ein ausgebautes Browser-Tool für Analyse und Bearbeitung von Konfigurationen.

Secure by Design: Linux-Sensor mit erweiterten Erkennungen

Mit Sophos Firewall v22 MR1 baut Sophos den in Version 22 eingeführten Linux-Sensor im Rahmen der Secure by Design-Initiative weiter aus. Ziel dieser Architektur ist es, Manipulationen an der Firewall selbst früher zu erkennen und riskante Aktivitäten direkt auf Systemebene besser sichtbar zu machen.

Neu ist vor allem, dass der Sensor nun auch Kompromittierungen erkennen kann, die aus interaktivem Shell-Zugriff oder Reverse-Shell-Szenarien entstehen. Zusätzlich blockiert die Firewall damit verbundene TCP- und UDP-Kommunikation für Command-and-Control-Aktivitäten. Für Sicherheitsverantwortliche ist das relevant, weil genau solche Verbindungen häufig Teil realer Angriffe nach einer ersten Kompromittierung sind.

Wichtig für den Praxiseinsatz ist zudem die breitere Verfügbarkeit. Die erweiterten Sensor-Funktionen sind jetzt über die gesamte XGS-Serie hinweg integriert. Damit profitieren nicht nur größere Appliances, sondern auch kleinere und mittlere Modelle von einem erweiterten Telemetrie- und Schutzansatz. Wer bereits eine Sophos XGS Firewall betreibt, erhält mit dem Update also zusätzliche Schutzmechanismen, ohne die Plattform wechseln zu müssen.

Aus Admin-Sicht zeigt dieser Schritt, in welche Richtung Sophos die Firewall-Plattform weiterentwickelt. Die Lösung entfernt sich weiter von reiner Perimeter-Inspektion und setzt stärker auf Eigenhärtung, interne Integritätsprüfung und tiefere Erkennung von Aktivitäten, die auf eine laufende Kompromittierung hindeuten können.

NDR Active Threat Intelligence und NDR Essentials

Ein zweiter Schwerpunkt von Sophos Firewall v22 MR1 liegt auf der erweiterten Bedrohungserkennung im Netzwerk. Sophos integriert hierfür iSensor-IPS-Technologie aus der Secureworks-Taegis-Plattform und ergänzt die Firewall um neue NDR Active Threat Intelligence-Erkennungen. Diese zusätzlichen, kuratierten IPS-Muster sollen dabei helfen, schädlichen Datenverkehr und aktive Angreifer im Netzwerk zuverlässiger zu identifizieren.

Für Unternehmen, die auf Sophos XDR oder Sophos MDR setzen, ist das besonders interessant. Mehr verwertbare Netzwerk-Telemetrie verbessert die Analyse laufender Vorfälle und kann Untersuchungen im SOC beschleunigen. Die neuen Erkennungen müssen im Bereich Active threat response > NDR aktiviert und anschließend gezielt in Firewall-Regeln eingebunden werden. Damit bleibt die Funktion technisch flexibel, erfordert aber auch eine bewusste Prüfung der bestehenden Regelbasis.

Sophos Firewall v22 MR1 mit NDR Active Threat Intelligence und NDR Essentials

Zusätzlich erweitert Sophos die Verfügbarkeit von NDR Essentials. Die Funktion unterstützt jetzt nicht mehr nur die XGS-Hardware, sondern alle Sophos-Firewall-Plattformen, also auch virtuelle, Cloud- und Software-Deployments. Das ist vor allem für Organisationen mit hybriden Infrastrukturen relevant, die Sicherheitsfunktionen möglichst konsistent über verschiedene Betriebsmodelle hinweg einsetzen wollen.

Die Neuerung zeigt auch strategisch, wohin die Entwicklung geht. Netzwerkbasierte Erkennung wird enger mit Detection-and-Response-Workflows verzahnt. Gerade in Umgebungen, in denen nicht jeder Host vollständig instrumentiert werden kann, gewinnt diese zusätzliche Sichtbarkeit deutlich an Bedeutung.

Mehr Nachvollziehbarkeit für Audit und Compliance

Auch im Bereich Audit und Compliance bringt Sophos Firewall v22 MR1 eine praxisrelevante Verbesserung. Wenn Konfigurationsänderungen an einer einzelnen Firewall über Sophos Central vorgenommen werden, wird nun die Identität des Sophos-Central-Benutzers mitprotokolliert. Das schafft mehr Transparenz bei administrativen Eingriffen und erleichtert die spätere Nachverfolgung.

Gerade für Organisationen mit internen Freigabeprozessen, externen Dienstleistern oder regulierten IT-Umgebungen ist diese Änderung wichtig. Denn in Audits reicht es oft nicht aus, nur zu sehen, dass eine Änderung stattgefunden hat. Entscheidend ist auch, wer sie ausgelöst hat und wann dies erfolgt ist. Sophos verweist in diesem Zusammenhang ausdrücklich auf Anforderungen rund um NIS2 und vergleichbare Compliance-Vorgaben.

Die Audit-Informationen stehen sowohl im Log Viewer der Sophos Firewall als auch in den Logs und Reports von Sophos Central zur Verfügung. Das verbessert die Dokumentation im Tagesbetrieb und reduziert den manuellen Aufwand bei internen Kontrollen, Incident Reviews oder externen Prüfungen.

Für IT-Leitung und Security-Teams ist das kein spektakuläres, aber ein sehr nützliches Detail. Gerade in verteilten Admin-Strukturen zählt saubere Nachvollziehbarkeit inzwischen zu den Grundanforderungen an eine professionell betriebene Sicherheitsplattform.

Wichtige VPN-Änderungen in v22 MR1

Im VPN-Bereich bringt Sophos Firewall v22 MR1 mehrere Änderungen mit, die Bestandskunden genau prüfen sollten. Zum einen nennt Sophos Stabilitätsverbesserungen für policy-basierte IPsec-VPNs und behebt damit mehrere Probleme, die in SFOS 22.0 GA identifiziert wurden. Für Umgebungen mit Standortvernetzung oder komplexeren IPsec-Szenarien ist das ein handfester Grund, das Release einzuplanen.

Noch wichtiger ist jedoch die Abkündigung des Legacy Remote Access IPsec VPN. Diese ältere Remote-Access-Variante wurde mit MR1 endgültig aus dem Support genommen. Firewalls, die diese Alt-Konfiguration noch verwenden, können nicht auf SFOS 22.0 MR1 oder neuer aktualisiert werden. Unternehmen sollten ihre bestehende Remote-Access-Konfiguration deshalb kurzfristig überprüfen und gegebenenfalls auf unterstützte Verfahren migrieren.

Parallel dazu erweitert Sophos die Unterstützung für Sophos Connect 2.0 auf macOS. Damit lassen sich nun auch auf Apple-Geräten Remote Access SSL VPN-Verbindungen mit Sophos Connect aufbauen. Für Unternehmen mit gemischten Client-Umgebungen ist das eine willkommene Verbesserung, weil sich der Remote-Zugriff damit konsistenter abbilden lässt.

Unterm Strich ist der VPN-Teil dieses Releases zweigeteilt. Einerseits verbessert MR1 die Stabilität vorhandener Konfigurationen, andererseits zwingt die Abkündigung des Legacy-IPsec-Zugangs manche Umgebungen zu konkretem Handeln. Genau dieser zweite Punkt sollte vor einem geplanten Update nicht übersehen werden.

Weitere Neuerungen bei Storage, Netzwerk und Config Studio

Neben Security- und VPN-Themen enthält Sophos Firewall v22 MR1 auch mehrere kleinere, aber im Alltag durchaus relevante Optimierungen. Dazu gehört eine verbesserte SSD-Nutzung mit optimierten Schreibvorgängen, die die Lebensdauer der verbauten Laufwerke bei langfristigem Einsatz erhöhen soll. Gerade bei Appliances im Dauerbetrieb ist das ein sinnvoller Beitrag zur Betriebssicherheit.

Hinzu kommt eine Netzwerk-Erweiterung für WLAN-Umgebungen. MTU- und MSS-Werte von Wi-Fi-Interfaces lassen sich nun über bestehende CLI-Befehle anpassen. Das klingt unspektakulär, kann aber in Spezialfällen mit fragmentierungssensiblen Anwendungen, Tunneln oder Performance-Problemen im drahtlosen Netz praktisch relevant sein.

Ebenfalls neu ist Sophos Firewall Config Studio V2, vormals als Configuration Viewer bekannt. Das browserbasierte Tool unterstützt nun nicht nur die Ansicht von Konfigurationen, sondern auch deutlich mehr Analyse- und Bearbeitungsfunktionen. Admins können komplette Konfigurationsberichte erzeugen, zwei Konfigurationen miteinander vergleichen und Unterschiede bei hinzugefügten, entfernten, geänderten oder unveränderten Elementen sichtbar machen.

Zusätzlich lassen sich Konfigurationen direkt im Tool bearbeiten, herunterladen und anschließend wieder importieren. Alternativ können Inhalte auch in API- oder curl-Formaten genutzt werden. Für Migrationen, Rollout-Vorbereitung, Troubleshooting und Change-Reviews ist das ein echter Mehrwert. Gerade in größeren Umgebungen oder bei einer geplanten Firewall-Migration kann Config Studio V2 die Analyse und Qualitätssicherung spürbar vereinfachen.

Fazit: Update zeitnah einplanen

Sophos Firewall v22 MR1 ist mehr als ein reines Wartungsupdate. Das Release stärkt die Plattform in mehreren zentralen Bereichen gleichzeitig: mehr Schutz im Sinne von Secure by Design, zusätzliche netzwerkbasierte Erkennungen für aktive Bedrohungen, bessere Nachvollziehbarkeit von Admin-Änderungen und wichtige Korrekturen sowie Weichenstellungen im VPN-Bereich.

Für IT-Verantwortliche ergibt sich daraus ein klarer Handlungsrahmen. Bestehende Firewalls sollten auf ihre Legacy-IPsec-Konfigurationen geprüft, NDR-Funktionen bewertet und das Update in die reguläre Change-Planung aufgenommen werden. Besonders Organisationen mit XDR-, MDR- oder Compliance-Fokus profitieren von den Neuerungen überproportional.

Da Sophos das Release als kostenloses Upgrade für lizenzierte Kunden mit Enhanced oder Enhanced Plus Support bereitstellt und ausdrücklich eine zeitnahe Installation empfiehlt, spricht viel dafür, v22 MR1 nicht unnötig aufzuschieben. Wer auf aktuelle Sicherheits-, Stabilitäts- und Performance-Verbesserungen angewiesen ist, sollte das Maintenance Release zeitnah testen und einspielen.

Verwandte Beiträge

Unsere Experten beraten Sie gerne

Sie haben Fragen, benötigen Informationen oder wünschen eine individuelle Produktvorstellung? Unser Team freut sich auf Ihre Anfrage!

×