Fachbeiträge
Neuigkeiten zu IT-Themen und Comp4U
SFOS 21.5 Beta – Neue Funktionen und praktischer Nutzen für den sicheren IT-Betrieb
Mit der Version 21.5 des Sophos Firewall OS (SFOS) bringt Sophos im Laufe des Juni 2025 ein umfangreiches Funktionsupdate auf den Markt. Comp4U nimmt als Teil eines exklusiven Partnerkreises ausgewählter Sophos-Partner am Early Access Program (EAP1) teil und konnte die neuen Funktionen bereits in realen Testszenarien evaluieren.
Dieser Überblick zeigt, welche Neuerungen eingeführt werden, wo konkrete Vorteile im laufenden IT-Betrieb liegen und welche begleitenden Serviceleistungen Comp4U im Rahmen der vollständig betreuten Firewall-Bereitstellung automatisiert umsetzt.
Hinweis
Bei dieser Veröffentlichung handelt es sich um eine Vorschau auf die kommenden Funktionen von SFOS 21.5. Die Installation auf Kundensystemen erfolgt grundsätzlich erst nach offizieller Freigabe der GA-Version durch Sophos sowie anschließender technischer Freigabe durch Comp4U. So wird sichergestellt, dass alle produktiven Systeme weiterhin stabil und zuverlässig betrieben werden können.Network Detection and Response (NDR) Essentials
Die neue Funktion NDR Essentials bringt erstmals ausgewählte Analysefähigkeiten des Sophos Network Detection and Response (NDR) direkt auf die Firewall – ohne zusätzliche Komponenten, ohne Mehrkosten. Sie ist Bestandteil der Xstream Protection-Lizenz, die in allen vollständig gemanagten Comp4U Firewall-Lösungen standardmäßig enthalten ist.
NDR Essentials nutzt künstliche Intelligenz zur Erkennung auffälliger Kommunikationsmuster im Netzwerk – auch wenn der Datenverkehr verschlüsselt ist. Dabei kommen moderne Klassifizierungsmodelle (u. a. Convolutional Neural Networks) zum Einsatz, die Bedrohungen anhand ihres Verhaltens identifizieren. Das Besondere: Die Analyse funktioniert ohne TLS-Entschlüsselung. Das bedeutet, potenziell gefährliche Aktivitäten können erkannt werden, ohne dass Inhalte sichtbar gemacht oder datenschutzrelevante Vorgänge ausgelöst werden.
Der Fokus liegt auf einer schnellen, ressourcenschonenden Identifikation von Angriffen und Anomalien – direkt auf der Firewall, nahe an der Quelle.
Nutzen:
- Untersuchung des Netzwerkverkehrs auch von Systemen, auf denen kein Sophos-Agent installiert ist – dadurch können auch bisher „blinde Flecken“ in der IT-Infrastruktur sichtbar gemacht werden
- Kein zusätzlicher Hardwareeinsatz notwendig – NDR Essentials läuft direkt auf der Firewall, ohne separate VM, dedizierte Appliance oder Anpassungen an der Switch-Struktur
- Erkennung versteckter Angriffe in unverschlüsselten und verschlüsselten Netzwerkverbindungen – beispielsweise HTTPS –, ohne dass eine aufwendige TLS-Entschlüsselung notwendig ist
- Kein Eingriff in Datenschutz oder Verschlüsselung
- Entlastung bestehender Scanprozesse
Voraussetzung für die Nutzung von NDR Essentials ist eine aktive Xstream Protection-Lizenz, die in allen vollständig gemanagten Comp4U Firewall-Lösungen enthalten ist.
Im Unterschied zur vollständigen Sophos NDR-Lösung ist bei NDR Essentials keine zusätzliche Infrastruktur notwendig. Es müssen weder Switchstrukturen angepasst noch virtuelle Maschinen oder dedizierte Appliances bereitgestellt werden. Die Funktionalität läuft vollständig auf der Firewall – effizient, integriert und wartungsarm.
Derzeit ist NDR Essentials verfügbar auf allen aktuellen Appliances aus der XGS-Reihe.
Entra ID SSO für VPN-Zugänge
SFOS 21.5 integriert erstmals Single Sign-On über Microsoft Entra ID (vormals Azure AD) für den Sophos Connect VPN-Client sowie das SSL-VPN-Portal.
Vorteile:
- Einheitliche Benutzerkonten für VPN-Zugriff
- Zentrale Verwaltung über Microsoft EntraID
- Erhöhte Sicherheit durch Multifaktor-Integration
Diese Funktion reduziert den Verwaltungsaufwand erheblich, da kein separater VPN-Benutzer mit zusätzlicher Authentifizierung notwendig ist. Die Anmeldung erfolgt direkt mit dem bestehenden Microsoft 365-Konto. Die Multifaktor-Authentifizierung (MFA), die dort bereits etabliert ist, greift im Hintergrund automatisch und sorgt so für ein hohes Maß an Sicherheit – ganz ohne zusätzlichen Aufwand. Ein klarer Vorteil sowohl für Administratoren als auch für Anwender – ein echtes Win-win-Modell.
Erweiterte Skalierbarkeit für VPN und SD-RED
Version 21.5 erweitert die Kapazität von Sophos Firewalls erheblich:
- Bis zu 3.000 route-based VPN-Tunnel
- 1.000 Site-to-Site RED-Tunnel
- Verwaltung von bis zu 650 SD-RED-Geräten
Diese Verbesserungen richten sich besonders an größere Netzwerke und MSP-Umgebungen mit zentralisierter Infrastruktur. Zum Vergleich: In früheren Versionen lag die Obergrenze bei rund 1.000 route-based VPNs und etwa 250 bis 300 RED-Tunneln – die neuen Werte stellen also eine Verdreifachung bis Vervierfachung dar. Für Comp4U bedeutet das deutlich mehr Spielraum bei der Umsetzung hochverfügbarer Standortvernetzungen – auch für komplexere Kundenszenarien mit vielen Außenstellen.
Verbesserte Integration von Sophos DNS Protection
DNS-Anfragen sind ein oft unterschätzter Angriffsvektor in Unternehmensnetzwerken. Noch bevor eine Verbindung zu einem schädlichen Server aufgebaut wird, erfolgt meist ein DNS-Request – zum Beispiel durch Schadsoftware, die auf eine externe Command-&-Control-Infrastruktur zugreifen möchte. Genau hier setzt Sophos DNS Protection an: Durch die Überwachung und Kategorisierung von DNS-Abfragen lassen sich viele Bedrohungen bereits im Vorfeld blockieren, bevor überhaupt Daten übertragen werden.
Mit SFOS 21.5 wird die cloudbasierte DNS-Schutzfunktion tiefer in die Sophos Firewall integriert:
- Neues Dashboard-Widget zur schnellen Übersicht
- Ereignisprotokolle und Warnmeldungen bei auffälligem Verhalten
- Geführte Einrichtung für einen einfachen Start – auch in bestehenden Umgebungen
Mehrwert: Durch die zentrale Darstellung direkt auf der Firewall lässt sich DNS-Schutz einfacher überwachen und verwalten. Zudem erhöht sich die Transparenz über die interne Netzwerkkommunikation – ein wesentlicher Baustein in der modernen IT-Sicherheitsstrategie. Die DNS Protection ist ein ergänzendes Sicherheitselement zu den klassischen Webfiltermechanismen und hilft, verdächtige Aktivitäten frühzeitig zu erkennen – auch bei bisher unauffälligen Endpunkten.
Usability-Verbesserungen in der Verwaltungsoberfläche
Für Administratoren wurden zahlreiche Verbesserungen im Detail umgesetzt – als Teil der kontinuierlichen Weiterentwicklung der grafischen Oberfläche, mit dem Ziel, alltägliche Verwaltungsaufgaben effizienter und angenehmer zu gestalten:
- Anpassbare Spaltenbreiten in Tabellen mit Speicherfunktion im Browser
- Erweiterte Suchfunktionen für SD-WAN-Routen und ACLs
- Entfernung vorgefertigter Standardregeln, um bewusste Sicherheitsrichtlinien zu erzwingen
Diese Änderungen erleichtern die tägliche Verwaltung und tragen zur besseren Dokumentation bei.
Technische Ergänzungen im Hintergrund
Einige Funktionen betreffen die Netzwerkarchitektur und Protokollebene.
- Path MTU Discovery erkennt automatisch die optimale Paketgröße für jede Verbindung und passt sie dynamisch an. Dies ist besonders bei Verbindungen mit PPPoE, VPN oder SD-WAN hilfreich, da Fragmentierungsprobleme oder instabile Verbindungen dadurch vermieden werden können – ohne zusätzlichen manuellen Konfigurationsaufwand.
- NAT64-Support im Proxy-Modus: IPv6-only Clients können über die Sophos Firewall auch auf IPv4-basierte Ressourcen zugreifen – ohne separate NAT-Gateways oder Dual-Stack-Anpassungen. Dies ist besonders relevant für Umgebungen, in denen IPv6 im WAN-Bereich zunehmend Standard wird und gleichzeitig noch viele Dienste ausschließlich über IPv4 bereitgestellt werden.
- DHCP Prefix Delegation: Unterstützung für /48 bis /64 IPv6-Präfixe – wichtig für die zunehmende Nutzung von IPv6 oder Dual-Stack-Anschlüssen, insbesondere im WAN-Bereich. Diese Erweiterung verbessert die Kompatibilität mit Internetanbietern und sorgt für eine stabilere und zukunftsfähige Netzwerkanbindung.
Diese Anpassungen steigern die Zukunftsfähigkeit und Stabilität moderner Netzwerke – gerade im Hinblick auf die zunehmende Verbreitung von IPv6 im WAN-Bereich und die wachsenden Anforderungen an nahtlose Protokollübergänge.
Rollout im Rahmen von Comp4U ServicePLUS
Alle Comp4U Kunden mit aktivem ServicePLUS Firewall-Paket erhalten das Update auf SFOS 21.5 kostenfrei im Rahmen des Wartungsprozesses. Dabei stellt Comp4U sicher, dass die neue Version umfassend getestet ist und alle sicherheitsrelevanten Funktionen und Konfigurationen wie erwartet funktionieren – bevor ein Rollout auf Kundensystemen erfolgt. Denn der stabile und unterbrechungsfreie Betrieb aller produktiven Firewalls hat für Comp4U oberste Priorität.
Individuelle Tests oder Pilotinstallationen können auf Wunsch kurzfristig abgestimmt werden.
Kontakt
Comp4U sorgt dafür, dass produktive Firewalls rechtzeitig, sicher und durchgängig betreut auf dem aktuellen Stand bleiben. Sobald Sophos die finale Version von SFOS 21.5 veröffentlicht und wir diese intern freigegeben haben, werden alle notwendigen Maßnahmen proaktiv durchgeführt.
Für Fragen rund um SFOS 21.5, geplante Rollouts oder individuelle Anforderungen steht unser Team gerne zur Verfügung:
+49 6103 9707-500
SFOS 21.5 Beiträge
- SFOS 21.5 Beta – Neue Funktionen und praktischer Nutzen für den sicheren IT-Betrieb 27.05.2025
- SFOS 21.5 Technical Deep Dive – Funktionen, Mechanismen und Implementierung im Detail 02.06.2025
- Sophos Firewall Version 21.5 – Jetzt offiziell verfügbar: Was ändert sich für den produktiven Einsatz? 03.06.2025
