Die Sophos UTM steht unter [10] als ISO-Image und als Up2Date-Package für bestehende Installationen zum Download bereit. Das Image lässt sich entweder auf einem physischen Gerät mit mindestens zwei Netzwerkkarten oder in einer virtuellen Maschine installieren. Sophos unterstützt neben Xen, KVM und VMware auch Microsofts Hypervisor-Plattform Hyper-V. Für den Betrieb von Version 9.2 empfiehlt der Hersteller mindestens einen 1,5-Gigahertz-Prozessor, ein GByte RAM und 20 GByte Festplattenplatz, ein schnellerer Prozessor und mehr RAM sorgen aber für einen spürbaren Performance-Schub.
Alternativ testet man die neue Version auch in der Amazon Cloud (AWS). Sophos stellt im Amazon Marketplace für die Regionen US-West (Virginia), EU-West (Ireland) und Asia-Pacific (Singapore) passende Amazon Machine Images (AMI) bereit.
Zu beachten ist, dass die Installationsroutine den Inhalt der vorhandenen Festplatte vollständig überschreibt; den Parallelbetrieb mit bereits vorhandenen Betriebssystemen sieht sie nicht vor. Nach der Installation steht das Web-Interface der Firewall gemäß der Standardeinstellungen unter
»https://192.168.0.1:4444
«
bereit. Hier legt der Admin sein Passwort fest und spielt Lizenzen ein.
Mit den Sophos Labs unterhält der Hersteller ein weltweites Big-Data-Analysenetzwerk, das rund um die Uhr E-Mails, URLs, Dateien und IP-Adressen auf ihre Reputation und möglichen Schadcode untersucht und Botnetze sowie deren Steuerungsserver (Command and Control Sites) identifiziert. Die neue Version der Sophos UTM integriert Sophos Labs und erkennt Daten aus Botnetzen so auch ohne aufwendige Analyse des Datenverkehrs. Im Dashboard weist ein neues Icon darauf hin, wenn die Firewall Botnetz-Traffic erkennt und stellt die infizierten Hosts auch gleich an den Pranger.
Gleichzeitig hat sich die Performance des Intrusion Prevention Systems (IPS) spürbar gesteigert. Das liegt daran, dass es jetzt zum einen die Systemeinstellungen automatisch an das Hardware-Appliance-Modell anpasst und zum anderen mit einem Pattern-Aging-System nicht mehr relevante Muster für die Intrusion Detection und Prevention automatisch deaktiviert. Kommandozeilenliebhaber freuen sich über das neue Werkzeug
»ipsctl
«
, mit dem sich das IPS-System komfortabel über die Shell steuern lässt.
Ein großer Wurf ist die neue Zwei-Faktor-Authentifizierung mit One-Time-Password-Tokens (OTP). Sie sichert beispielsweise VPN-Verbindungen und den Zugang zum User-Portal oder zur Admin-Konsole zusätzlich mit einem Einmalpasswort, das ans bisher genutzte statische Passwort angehängt wird. Als Generator fürs Einmalpasswort steht etwa die Google Authenticator App zur Verfügung ( Abbildung 6 ), aber auch Hardware-Tokens und andere Applikationen, die den OATH/TOTP-Standard unterstützen.
Die integrierte Zwei-Faktor-Authentifizierung kommt allerdings ausschließlich bei Firewall-eigenen Diensten zum Zuge, nicht bei externen Applikationen wie beispielsweise Outlook Web Access.
Die folgenden Schritte zeigen exemplarisch die Verwendung von Google Authenticator, um die Zwei-Faktor-Authentifizierung für einen Benutzer des User-Portals zu aktivieren:
Verwaltung | Benutzerportal | Benutzerportal Status
«
) freischalten. Unter
»Zugelassene Netzwerke
«
mindestens
»Internal (Network)
«
hinzufügen.Definitionen und Benutzer | Authentifizierungsdienste | Einmaliges Kennwort (OTP)
«
einschalten und das Kästchen
»All users must use one-time passwords
«
deaktivieren.Benutzer & Gruppen
«
hinzufügen.OTP-Token automatisch für Benutzer erstellen
«
aktivieren und bei
»Benutzerportal
«
ankreuzen.https://IP Web-Interface
«
. Es zeigt einen QR-Code zum Scannen mit der Google Authenticator App an.