1

Behind the Scenes Einführung in die neue Sophos Firewall (Projekt Copernicus)

Heartbeat + 01.09.2015 Zürich-Regensdorf +++ 02.09.2015 Hamburg +++ 03.09.2015 Berlin +++ 15.09.2015 Karlsruhe-Durlach +++ 16.09.2015 München-Unterschleißheim +++ 17.09.2015 Nürnberg +++ 23.09.2015 Frankfurt am Main +++ 23.09.2015 Salzburg +++ 24.09.2015 Wien +++ 29.09.2015 Köln +++ 30.09.2015 Dortmund +++ Höchsten +++ 01.10.2015 Egerkingen +++

2 2

„Welcome to project Copernicus“

3

Project Copernicus +

SG Appliances Neues OS

+ Zentrales Mgmt und Reporting

4

Sophos Firewall Manager (SFM)

Zentrales Management und Reporting

Sophos Cloud Firewall Manager (CFM)

Sophos iView v2

Project Copernicus

Vorerst nur für Partner in

zukünftigen Versionen

Migrationstools für Sophos UTM Benutzer

Migration

5

Layer “8” Userbasierende Policies Führende Application Control Beschleunigter Paket Filter iView Logging & Reporting

Führende Threat Protection RED für Standortvernetzung Sicheres WiFi mit Access Points Web Protection Technologien

Project Copernicus

Layer 8 Regelwerk auf Benutzerebene

Cloud console management

/reporting

Deep Application

control, Erkennung und Visualisierung

Intelligente Prüfung zur

Performance- steigerung

Läuft auf Hardware

der SG Serie

Flexible Migration Über Tools

Einzigartige Benutzerfahrung

Architecture Platform Modular Open Source

Hardware, Virtuell und

Cloud Bereitstellung

Heartbeat

Sophos Endpoint und Firewall kommunizieren

miteinander

Next Gen Network Next Gen Endpoint

6

freundliches Erscheinungsbild, einladend und benutzerfreundlich

Komplett neue Benutzererfahrung

• Ein völlig neuer Ansatz für

ein von Grund auf neu

entworfenes Benutzer-

interface, Navigation und

Darstellung

Neues User Interface Design

7

Network Security Control Center

Network Security Control Center

• In einem Blick

Sicherheitsrelevante

Informationen

8

Dashboard - User Threat Quotient

=>

Direkt aus dem Network Security Control Center in das Dashboard. Hier im Beispiel der „User Threat Quotient“

9

Flexibler Ansatz, Zonen basiertes Konzept, Benutzerbasierte All-In-One Policies Zentrales Regelwerk

3 Policy Typen

Business App Policy

Userbased Policy

Network Policy

10

Neu ist das Zonen Modell. Noch flexibler können hier Quellen und Ziele definiert werden

Egal ob Authentifizierung, NAT, QoS, Applikations Kontrolle, Web Filter oder IPS, alles wird in der selben Policy definiert.

Flexibler Ansatz, Zonen basiertes Konzept, Benutzerbasierte All-In-One Policies Zentrales Regelwerk

11

Einige wesentliche Neuerungen vs. UTM Vollwertige NGFW Plattform mit Userbased Policies Zonenkonzept und All-In-One Policies In-House developed Application Control Beschleunigtes Pakethandling IDS/IPS Monitoring Mode Dual Firmware (Rollback Option) API für Remote Konfiguration Bewährte Sophos RED, Wireless, Web Filter, WAF, VPN Technologien ATP Erweiterungen Sophos Endpoint Heartbeat (Projekt Galileo) Vollständig zentrale Verwaltbarkeit (On Prem und Cloud)

12 12

Anwendungsfälle

13 13

ATP Event von Firewall geblockt. Wie finde ich den Verursacher ?

14

ATP Event

Das Advanced Threat Protection Feature existiert bereits in der Sophos UTM. Zweck: Unterbinden von C&C Botnet Verkehr

Technische Einschränkung bisher:

Eine Sophos UTM zeigt zwar die IP des internen Rechners an, von welchem der fragliche Verkehr kam, die Suche und Bereinigung der verantwortlichen Malware oder Prozesse auf dem kompromittierten Rechner ist aber manuell und aufwendig wie:

Scan des Rechners mit verschiedenen AV Produkten

Manuelle Suche verdächtiger Prozesse auf den Rechnern

C&C traffic durch UTM detektiert. Wie finde ich nun den verantwortlichen Prozess ?

15

SOPHOS SYSTEM PROTECTOR

Sophos Cloud

SOPHOS UTM

Application Tracking

Threat Engine

Application Control

Reputation

Emulator HIPS/

Runtime Protection

Device Control

Malicious Traffic

Detection

Web Protection

IoC Collector

Live Protection

Web Filtering

Intrusion Prevention

System Routing

Email Security

Selective Sandbox

Application Control

Data Loss Prevention

ATP Detection

Proxy

Threat Engine

ATP Event auf UTM blocken und Alert anzeigen (Source IP)

Firewall

ATP Event auf der UTM – C&C traffic detected

16

ATP Event

Die Sophos Firewall hingegen bietet mit der neuen Heartbeat Funktion eine Kommunikationsmöglichkeit zwischen dem Sophos Cloud Endpoint und der Sophos Firewall

Im Falle eines ATP Events auf der Firewall kann diese via Heartbeat zusätzliche Informationen vom Sophos Endpoint auf dem Rechner anfordern, welcher das ATP Event verursacht hat

Dadurch kann direkt in der Firewall der Rechner, eingeloggter Benutzer und der Prozess der die C&C Verbindung geöffnet hat angezeigt werden

C&C traffic durch Copernicus detektiert. Wie finde ich nun den verantwortlichen Prozess ?

17

SOPHOS SYSTEM PROTECTOR

Sophos Cloud

heartbeat

SOPHOS FIREWALL OPERATING SYSTEM

Application Tracking

Threat Engine

Application Control

Reputation

Emulator HIPS/

Runtime Protection

Device Control

Malicious Traffic

Detection

Web Protection

IoC Collector

Live Protection

Galileo Heartbeat

Web Filtering

Intrusion Prevention

System Routing

Email Security

Galileo Heartbeat

Selective Sandbox

Application Control

Data Loss Prevention

ATP Detection

Proxy

Threat Engine

Subnetz und WAN Zugriff isolieren

Sperren / Entfernen von malware

Identifizieren & säubern von anderen Systemen

User | System | File

Compromise

Firewall

ATP Event auf Sophos Firewall mit Heartbeat

18

ATP Event auf Sophos Firewall mit Heartbeat

Der C&C Zugriff wird direkt unterbunden…..

19

ATP Event auf Sophos Firewall mit Heartbeat

…und in der Sophos Firewall angezeigt als:

ATP Event (Firewall ATP hat C&C Zugriff verhindert)

Und Heartbeat Event (Endpoint hat fraglichen Prozess isoliert)

20

ATP Event auf Sophos Firewall mit Heartbeat

Im Network Security Control Center wird beim Heartbeat der fragliche Rechner mit Rechnernamen , IP Adresse und dem eingeloggten Benutzer aufgelistet

21

ATP Event auf Sophos Firewall mit Heartbeat

Im Network Security Control Center wird unter ATP für den verhinderten Zugriff der Rechnername, IP Adresse, Threat Typ und der Prozess von dem die ausgehende Verbindung ausging gelistet

22 22

Benutzerbasierte All-In-One Policy

23

Benutzerbasierte All-In-One Policy

Die Sophos Firewall und Sophos UTM haben viele gemeinsame Sicherheitsfunktionen wie Webfilter, QoS, AppControl etc.

Während auf der UTM Policies nur teilweise Userbasiert appliziert werden können (Web Proxy), sind andere Funktionen IP basiert (QoS, Applikationskontrolle etc.)

Auf der Sophos Firewall können alle diese Einstellungen Userbasiert angelegt werden

Alle Policyfunktionen können Userbasiert in einer Policy angelegt werden

24

Benutzerbasierte All-In-One Policy Alle Policyfunktionen können Userbasiert in einer Policy angelegt werden

25 25

Bandbreitenlimitierung in Gäste WIFI Netzwerken pro Gast

26

Bandbreitenlimitierung Gäste WIFI Netzwerke

Die Sophos Firewall bietet die Möglichkeit Bandbreiten für Netzwerknutzer wie in einem Gästenetz einfach zu begrenzen

Anlegen einer passenden Traffic Shaping Policy

Bandbreite pro Gast / Wireless Gerät limitieren

27

Verwenden der Traffic Shaping Policy in der entsprechenden Firewall Policy vom Gästenetzwerk

Bandbreitenlimitierung Gäste WIFI Netzwerke Bandbreite pro Gast / Wireless Gerät limitieren

28 28

Einfaches Publizieren von Applikationen

29

Einfaches Publizieren von Applikationen

Via Business Application Policies können Web, Mail und andere Dienste sicher gegen das Internet publiziert werden.

Für bekannte Applikationen existieren vorkonfigurierte Vorlagen – Die Liste der Vorlagen wird ständig erweitert und erleichtert den Aufwand komplexer komplexe Regelwerke

Web-, und andere Dienste sicher gegen das Internet veröffentlichen

30

Beispiel: Sichere Veröffentlichung von Outlook Anywhere. Die Vorlage erstellt automatisch das komplexe Web Application Firewall Regelwerk nach „Best Practice“ Vorgaben

Einfaches Publizieren von Applikationen Web-, und andere Dienste sicher gegen das Internet veröffentlichen

31 31

Zentrales Management Zentrales Reporting

32

• Vollständiges zentralisiertes Policy Management und Monitoring

• Verfügbar als Cloud, HW & virtuelle Lösung

• SFM 15, 50 & 100 models (Hardware)

• Kostenlos für Partner

• Konsolidierte Reports von UTM9 und Copernicus Firewalls

• Bestehende iView 1 Installationen lassen sich upgraden

• >1000 Reports und Custom Views

• Verfügbar als virtuelle Appliance

• Compliance Reporting für HIPAA, PCI DSS, GLBA, SOX usw.

Sophos iView 2

Zentrales Management

Zentrales Management

33

SFM – Grouping and overview

34

Sophos iView 2.0

35 35

Discover and bridge mode

36

Einfache Auswertung mittels Analyse “Discovery or bridge mode” für einen umfassenden Sicherheits Bericht

Geschütztes Netwerk

Vorhandene Firewall Discover Mode

Vorhandener Switch

Mirror Port

Bridge Mode

Security Audit Report

• Keine störenden Eingriffe /

Veränderungen imNetzwerk

• Spiegelt den Datenverkehr zur

UTM/NGFW

• Lediglich Überwachung

• Einsicht (kein Eingriff) in:

• Benutzer verhalten

• Applikations Risiken

• Webzugriffs Risiken

• Intrusion Attacks & ATP

• Client Insights (Heartbeat), Virus,

VPN coming post v1

• Bietet erweitertes Reporting

inclusive eines Heartbeat

• Der Datenverkehr geht durch

die UTM/NGFW

• Erlaubt optional die Umsetzung

von Policies

Discover Mode

Bridge Mode

37 37

die neuen

Accesspoints

38

AP 15

AP 30

AP 50

AP 55

AP 55C

Deployment Desktop/wall Desktop/ceiling Desktop/wall Desktop/wall Desktop/ceiling

SOHO Ceiling mounted, for larger

offices High-density, dual-band/dual-

radio Larger offices, high density

Ceiling-mounted for larger offices

Maximum throughput 300 Mbps 300 Mbps 300 Mbps 867 Mbps + 300 Mbps 867 Mbps + 300 Mbps

Multiple SSIDs 8 8 8 per radio (16 in total) 8 per radio (16 in total) 8 per radio (16 in total)

Tech. Specification

Supported WLAN Standards

802.11 b/g/n

2.4 GHz

802.11 b/g/n

2.4 GHz

802.11 a/b/g/n

2.4 and 5 GHz

802.11 a/b/g/n/ac

2.4 and 5 GHz

802.11 a/b/g/n/ac

2.4 and 5 GHz

Number of radios 1 1 2 2 2

MIMO capabilities 2x2:2 2x2:2 2x2:2 2x2:2 2x2:2

Sophos Access Points – Small/Large End-of-Sale

30. Jun. 2015

Wurde ersetzt durch AP 55C

End-of-Sale 17. Jun. 2015

Wurde ersetzt durch AP 55

39

AP 100

AP 100C

AP 100X

Deployment Desktop/wall Desktop/ceiling Outdoor wall-mount

Enterprise dual-band/dual-radio Enterprise dual-band/dual-radio Enterprise dual-band/dual-radio

Maximum throughput 1.3 Gbps + 450 Mbps 1.3 Gbps + 450 Mbps 1.3 Gbps + 450 Mbps

Multiple SSIDs 8 per radio (16 in total) 8 per radio (16 in total) 8 per radio (16 in total)

Tech. Specification

Supported WLAN Standards

802.11 a/b/g/n/ac

2.4 and 5 GHz

802.11 a/b/g/n/ac

2.4 and 5 GHz

802.11 a/b/g/n/ac

2.4 and 5 GHz

Number of radios 2 2 2

MIMO capabilities 3x3:3 3x3:3 3x3:3

Environment IP67, -20°-+60°C

Sophos Access Points - Enterprise

40 40

Das neue

RED 15

41

RED 15 • Updated technology • Better throughput (3* RED10) • Planned availability: September

RED 15w • 802.11n, 2x2 MIMO • Planned availability: Early Q1’16

RED 15/15w

42

RED10/RED15 Comparison

RED10 RED15

Pricing $295 $295

Network Connectivity 5 x 100 Mbit/s RJ45 5 x 1 Gbit/s RJ45

2nd UTM Hostname N/A Failover configuration

Serial Console N/A RJ45 Console

Throughput 30 Mbit/s 90 Mbit/s

43 43

Zukunft

44

Zukunft

Copernicus v1 => Grundstein für eine zukunftsträchtige NGFW von Sophos

Copernicus v1 => Zielgruppe sind in erster Instanz Cyberoam und Neukunden

Copernicus v2 => Ergonomie und User Interface werden weiter optimiert

Copernicus v2 => Featureset plusminus gleichauf mit Sophos UTM

Die „Sophos UTM“ und „Cyberoam“ Plattformen werden nach wie vor parallel weiter entwickelt, und die aktuellen „SG“ und „Cyberoam“ Hardware Appliances sind Copernicus / Sophos Firewall OS Kompatibel.

46

Hardware Appliance XG 85 + w SG 105/115 SG 125/135 SG 210/230 SG 310 /330 SG 430/450 SG 550 SG 650 XG 750

Category Small

Desktop Small

Desktop Small

Desktop Medium

Midrange 1U Medium

Midrange 1U Medium

Midrange 1U Large

High-end 2U Large

High-end 2U

Large High-end

2U

Network Ports (standard) 4 4 8 6 6 & 2 SFP 8 (FleXi Port) 8 (FleXi Port) 8 (FleXi Port) 8 (FleXi Port)

FleXi Port Expansion Bays n/a n/a n/a 1 1 3 3 4 8

Redundancy n/a n/a n/a n/a n/a

2 SSD (RAID) &

2nd hot-swap power optional (SG 450 only)

2 hot-swap

SSD (RAID)

2 hot-swap power supplies

2 hot-swap

SSD (RAID)

2 hot-swap power supplies

2 hot-swap

SSD (RAID)

2 hot-swap power supplies

Software Appliance

Runs on dedicated Intel compatible PCs and servers and within virtual environments like VMware, Citrix, Hyper-V, KVM and other virtual environments

SG Series Additions Coming Soon Coming Soon

Copernicus only Copernicus only

49 49

Vielen Dank für Ihre Aufmerksamkeit ! Für Fragen und weitere Informationen stehen wir Ihnen gerne zur Verfügung

50 © Sophos Ltd. All rights reserved.