1

Sascha-Michael OdenthalBusiness Development MgrInfinigate Deutschland GmbHsascha.odenthal@infinigate.de

Sophos SG vs. XG

– Welche Lösung ist die Richtige für Ihr Unternehmen ?

2

Bedrohungslandschaft

3

Kosten Zeitaufwand

Heutige Netzwerksicherheitslösungen

3

Umfassender Schutz wird immer aufwändiger

Router

Firewall

IPS

SSL VPN Gateway

E-Mail-/Spam-Filter

GW Antivirus-Filter

Web-Filter

WAN Link Balancer

Load Balancer

Gesamt:

4

All-in-one UTM/SG Sicherheitsfeatures

4

Optimaler Schutz für die Netzwerke kleiner und mittlerer Unternehmen

• Wireless controller

• Multi-zone (SSID) support

• Captive Portal

UTM Wireless

Protection

• URL filter

• Antivirus & antispyware

• Application control

UTM Web

Protection

• Reverse proxy

• Web application firewall

• Antivirus

UTM Webserver

Protection

• Intrusion prevention

• IPSec/SSL VPN & RED

• HTML5 VPN Portal

UTM Network

Protection

• Anti-spam & -phishing

• Dual virus protection

• Email encryption

UTM Email

Protection

optional

• Stateful firewall

• Network address translation

• PPTP/L2TP remote access

Essential Network

Firewall

• Antivirus

• HIPS

• Device Control

UTM Endpoint

Protection Antivirus

optional

77

IT-Sicherheit muss neu definiert werden

8

Generationen der IT-Sicherheit

Insellösungen

Antivirus

IPS

Firewall

Sandbox

Mehrschichtige Lösungen

Bundles

Suites

UTM

EMM

Synchronized Security

Security Heartbeat™

9

Immer mehr und immer raffiniertere Angriffe

Größere Angriffsfläche

Laptops/DesktopsMobiltelefone/Tablets

Virtuelle Server/DesktopsCloud-Server/-Speicher

Raffiniertere Bedrohungen

Angriffe sind koordinierter als

Abwehrmaßnahmen

10

Traditional anti virus

Traditional firewall

Zerocommunicatio

nEmail gateway

Web gateway

Mobile ProtectionWireless Networks

Web Application Firewall Encryption

11

Traditional anti virus

Traditional firewall

Email gateway

Web gateway

Mobile ProtectionWireless Networks

Web Application Firewall Encryption

Synchronized

Security

12

Integration auf einer neuen Ebene

Synchronized Security Alternative

• Datenaustausch auf Systemebene• Automatische Korrelation• Schnellerer Entscheidungsprozess• Schnellere Erkennung von

Bedrohungen• Automatische Reaktion auf

Vorfälle• Einfache zentrale Verwaltung

• Ressourcenintensiv• Manuelle Korrelation• Abhängig von menschlichen Analysen• Manuelle Reaktion auf

Bedrohungen/Vorfälle• Zusätzliche Produkte• Endpoint/Netzwerk agieren

unabhängig voneinander

Verwaltung

Enduser Netzwerk

SIEM

Endpoint-Verwaltg.

Netzwerk-Verwaltg.

Endpoint Netzwerk

13

Synchronized Security

Sicherheit muss umfassend seinAlle Funktionen, die Kunden benötigen

Sicherheit kann einfach seinBereitstellung, Lizenzierung, Bedienung & Verwaltung

Sicherheit ist effektiver als SystemNeue Möglichkeiten durch Technologie-Kooperation

Synchronized Security Integrierte, kontext-sensitive Sicherheit, die mittels Austausch wichtiger Informationen zwischen Enduser- und Netzwerktechnologien besseren Schutz liefert SOPHOSLABS

Sophos Cloud

Next-Gen Network Security

Next-Gen Enduser Security

Heartbeat

1414

Funktionsweise der neudefinierten IT-Sicherheit

15

3 Säulen der Advanced Threat Protection

Identifizierung auf Gerätebasis spart Zeit, da infizierte oder

gefährdete Geräte/Hosts nicht mehr manuell und

ausschließlich anhand der IP-Adresse identifiziert werden

müssen.

Kompromittierte Endpoints werden von der Firewall

automatisch isoliert und der Endpoint beendet und entfernt

die Schadsoftware.

Durch die Kombination von Endpoint- und

Netzwerksicherheit können unbekannte Bedrohungen

schneller identifiziert werden. Sophos Security Heartbeat™

überträgt Echtzeit-Informationen zu verdächtigen

Verhaltensweisen.

Security Heartbeat™

Schnellere Erkennung von Bedrohungen

AktiveIdentifizierungdes Ursprungs

Automatische Reaktion auf

Vorfälle

Schnellere, bessere Entscheidungen

Schnellere, einfachere Analyse

Weniger Beeinträchtigungen durch Bedrohungen

16

Automatische Reaktion auf Vorfälle

GrünEndpoints haben vollständigen Zugriff auf interne Anwendungen und Daten sowie auf das Internet.

GelbBetroffene Endpoints können von internen/sensiblen Anwendungen und Daten isoliert werden, haben jedoch nach wie vor Zugriff auf das Internet.

RotBetroffene Endpoints werden vom Netzwerk isoliert und haben keinen Zugriff auf interne Systeme oder das externeInternet.

SOPHOSLABS

Sophos Cloud

Next-Gen Network Security

Next-Gen Enduser Security

Heartbeat

Standardeinstellungen und individuelle GestaltungsmöglichkeitenEs gibt keine auf dem Sicherheitsstatus basierendenStandardrichtlinien. So können Administratoren Reaktionenindividuell nach Bedarf gestalten. In Kürze wird auch ein Best Practices Guide verfügbar sein, der Ihnen Hilfestellung beim Einrichten bewährter Richtlinien gibt.

1717

Synchronized Security 2016

18

SOPHOS SYSTEMPROTECTOR

Sophos Cloud

Noch bessere Bedrohungserkennung

Heartbeat

SOPHOS FIREWALLBETRIEBSSYSTEM

ApplicationTracking

Threat Engine

Application Control

Reputation

EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection

SecurityHeartbeat™

Web-Filterung

IntrusionPrevention

SystemRouting

Email Security

SecurityHeartbeat™

SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-Erkennung

Proxy

ThreatEngine

Lokalen Netzwerkzugriff sperrenDateischlüssel entfernenMalware beenden/entfernenAndere infizierte Systeme identifizieren und bereinigen

Benutzer | System | Datei

Kompromittierung

Firewall

19

SOPHOS SYSTEMPROTECTOR

Sophos Cloud

Automatischer Schutz für Endpoints

Heartbeat

SOPHOS FIREWALLBETRIEBSSYSTEM

ApplicationTracking

Threat Engine

Application Control

Reputation

EmulatorHIPS/

Laufzeit-schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection

SecurityHeartbeat™

Web-Filterung

IntrusionPrevention

SystemRouting

E-Mail-Sicherheit

SecurityHeartbeat™

SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-Erkennung

Proxy

ThreatEngine

Nicht verwaltete Endpoints ermittelnVerwaltung möglich?Set-up des Self-Service-PortalsBenutzerauthentifizierungSicherheitsprofil-Verteilung

Win | Mac | Mobile

Endpoint

Firewall

20

SOPHOS SYSTEMPROTECTOR

Sophos Cloud

Erkennen und Beseitigen von Kompromittierungen

Heartbeat

SOPHOS FIREWALLBETRIEBSSYSTEM

ApplicationTracking

Threat Engine

Application Control

Reputation

Emulator

HIPS/Laufzeit-

schutz

DeviceControl

MaliciousTraffic

Detection

Web Protection

IoCCollector

Live Protection

SecurityHeartbeat™

Web-Filterung

IntrusionPrevention

SystemRouting

Email Security

SecurityHeartbeat™

SelektiveSandbox

ApplicationControl

Data LossPrevention

ATP-Erkennung

Proxy

ThreatEngine

Kompromittierung identifizierenUrsprung erkennenAuswirkungen bewertenMalware blockieren/entfernenAndere infizierte Systeme identifizieren und bereinigen

Benutzer | System | Datei

Kompromittierung

Firewall

21

NEXT-GENENDUSER SECURITY

NEXT-GENNETWORK SECURITY

SOPHOS UTM

• NETWORK-PROTECTION-MODUL

SOPHOS CLOUD ENDPOINT

• CLOUD ENDUSER PROTECTION

• CLOUD ENDPOINT ADVANCED

Endpoint und Netzwerk arbeiten zusammen

• FULLGUARD-LIZENZ

• TOTALPROTECT BUNDLE

NEXT-GEN FIREWALL

• NETWORK-PROTECTION-MODUL

• NEXT-GENGUARD-LIZENZ

• NEXT-GENPROTECT BUNDLE

22

Marco Wolf Leiter PSO Business Development Mgr

XG Firewall vs SG Firewall (UTM)

Update durch Sascha Odenthal

23

24

25

26

27

Netzwerkdefinitionen

28

Dienstdefinitionen

29

Schnittstellen Übersicht

30

Schnittstellen (Ethernet & Bridge)

31

Schnittstellen (PPPoE & VLAN)

32

Authentifizierungsdienste

33

Authentifizierungsdienste (Beispiel LDAP)

34

Sophos XG Demo

35

36

37

Product Bundles – mit und ohne HW

Sophos UTM

Network Protection

Web Protection

Email Protection

Web Server Protection

Wireless Protection

Support

Hardware Appliance

FullG

uar

d

Tota

lPro

tect

XG Firewall

Network Protection

Web Protection

Email Protection

Web Server Protection

Tota

lPro

tect

EnhancedSupport

HW/SW/virtual Appliance(incl. Base License)

FullG

uar

d

Network Protection

Web Protection

EnhancedSupport

HW/SW/virtual Appliance(incl. Base LicenseEn

terp

rise

Pro

tect

Ente

rpri

seG

uar

d

neues BundleWas ist neu?• EnterpriseGuard / Enterprise Protect• Heartbeat in Network Protection• keine wireless subscription• ohne Enhanced Support gibt es nur

90 Tage Support + 1 Jahr RMA

38

39

40

XG Supportstufen

weitere Details zu Enhanced und EnhancedPlus unter:https://www.sophos.com/en-us/medialibrary/PDFs/Support/Sophos-XG-Firewall-Support-Plans.pdf?la=en

41

42

Was ist in beiden Varianten gleich?

• Anbindung der REDs

• Wireless + Hotspot

• Advanced Threat Protection

• VPN (außer IPsec Client Config)

• Avira + Sophos AV Engine

• SMTP: Cyren Antispam + IP Reputationsfilter, Quarantäne

• gleiche Config + mehr Features in XG:

￮ Web Application Firewall nun mit Templates (z.B. Profil für Exchange Veröffentlichung)

￮ HTML5 Portal mit neuen Möglichkeiten: FTP, SFTP, FTPS, SMB

￮ detailliertere Authentisierungsserver (AD, LDAP etc.)

43

Was kann die SG, was die XG nicht kann? (1)

• HA Verbund von UTMs mit dynamischen Interfaces (DHCP, PPPoE) -> geht somit nicht bei direkter (V)DSL-Einwahl

• mehr als 2 Knoten im HA Active/Active Verbund

• UTM zu UTM Verbindung über RED Tunnel

• Endpoint Management

• Config für Sophos IPsec Client erzeugen

• SMC Anbindung

• OTP Funktionalität direkt auf der UTM

• Web Proxy Features: mehrere Parent Proxys, Quota auf Categorie Ebene

44

Was kann die SG, was die XG nicht kann? (2)

• Mail kann mit eigenem MTA in Queue gestellt werden

• SMTP Antispam Features: BATV, RDNS / HELO Check, SPF, Greylisting

• Email Encryption S/MIME + OpenPGP

• SPX Reply Portal

• SPX Template - Passwort vom Empfänger festlegen und solangeEmail in der Queue halten

• POP3 Prefetch Mode (+ Quarantäne Report)

• POP3 Emails in Quarantäne halten

• Logfiles und Reportingdaten über längeren Zeitraum auf der Maschine halten

45

Kompatibilität zwischen SG und XG

• IPsec Tunnel: ja

• SSL-VPN Tunnel: nein

• RED-Tunnel: nein

• Config für Sophos IPsec Client erzeugen: nur SG

• Verwalten der bestehenden REDs: beide

• Verwalten der bestehenden APs: beide

• Verwalten der bestehenden Endpoints: nur SG

• Anbindung an Sophos UTM Manager (SUM): nur SG

• Anbindung an Sophos Firewall Manager (SFM): nur XG

• Anbindung an Sophos Mobile Control (SMC): nur SG

• Anbindung an Sophos iView: ab V2 beide

• Config-Import SG in XG Firewall: wird kommen

• Config-Import XG in SG Firewall: wird nicht kommen

46

Features in XG, welche auch für SG 9.4 gekommen sind

• Sophos Transparent Authentication Suite

￮ Single-Sign-On (SSO) an Firewall, ohne das der User hierfür etwas gesondert eingeben muss (einmal an Windows Client anmelden reicht)

￮ Vorgehen:‒ Client meldet sich an Windows an

‒ ein Agent holt sich die Anmeldeinfo (welcher User an welchem Client) und teilt dies der Firewall mit

‒ somit kann eine Policy (Wer darf wohin?; Applikationen; normale Paketfilterregeln etc.) direkt auf den User erstellt werden

47

alleinige Features der XG im Vergleich zur SG

• granulares Reporting, welche Applikationen über die Firewall kommunizieren

• userbasierte Firewall Regeln• IPS, QoS, Appcontrol und Webfilter direkt in einer Policy (Unified policy

model)• Zonen basiertes Model (z.B. WAN, DMZ, LAN Zone)• einfaches Firmware Downgrade (bei SG beinhaltet dies komplette

Neuinstallation)• TAP mode deployment – XG wird transparent in den Traffic gehangen um

Infos zu sammeln und über das Reporting darzustellen• IMAP Proxy• Configuration API – XG ist über eine Schnittstelle skriptbar• Security Heartbeat mit Endpoint Client• WAF Policy Templates (z.B. Exchange Veröffentlichung)• Pharming protection (prüft ob die DNS Antworten von einem Server mit

denen eines in der Firewall hinterlegten DNS Servers übereinstimmen)

48

Vorteile für Kunden• Modernster Schutz

￮ Gegen bekannte und unbekannte Bedrohungen

￮ Leistungsstarke APT-Lösung

￮ Sicherheit mit Zukunftspotenzial

• Gesenkte Kosten

￮ Automatische Reaktion auf Vorfälle

￮ Abwehr, Erkennung, Nachforschung, Bereinigung, Verschlüsselung

￮ Wechsel von einer Wettbewerbslösung zum Preis der bisherigen Wartung

• Einfache Bedienung

￮ Automatische Richtlinien

￮ Echtzeit-Reports

• Schnell und kompakt

￮ Keine zusätzlichen Agenten – der bestehende Endpoint-Agent übernimmt alleAufgaben

49

FAQ

• Wird SG weiter entwickelt?

￮ Ja, SG und XG laufen parallel! Es gibt keine Abkündigungshinweise!

• Warum sind die Durchsatzzahlen auf einer XG besser als auf einer SG, obwohl die Hardware Plattform gleich ist?￮ Die XG kann mit der Fastpath Technologie Pakete teils besser routen und

nutzt aufgrund des schlankeren Images die Hardware teils besser aus.

• Sollte man jetzt als Kunde der SG auf XG wechseln?￮ Ein Wechsel ist noch nicht empfohlen, weil

‒ XG hat noch nicht alle wichtigen Features der SG

‒ XG Interface ist gewöhnungsbedürftig und verwirrend für SG Kunden

‒ es gibt keine Migrationsmöglichkeit der Config, man muss alles händisch nachziehen

50

Migration bei bereits genutzten Sophos-Lösungen

* Für die Nutzung von Security Heartbeat ist Sophos Cloud Endpoint Protection Advanced oder Sophos Cloud Enduser Protection erforderlich.