SFOS 21.5 Technical Deep Dive – Funktionen, Mechanismen und Implementierung im Detail

Mit SFOS 21.5 erweitert Sophos seine Next-Gen-Firewall-Plattform erneut um eine Vielzahl technischer Funktionen, die sowohl unter der Haube als auch in der operativen Nutzung spürbare Verbesserungen bringen. Aufbauend auf dem vorangegangenen Preview-Beitrag geht dieser Deep-Dive gezielt auf die technischen Hintergründe, Abhängigkeiten und konkreten Einsatzaspekte ein.

Network Detection & Response Essentials (NDR-E)

Mit NDR Essentials integriert Sophos erstmals eine abgespeckte Version seines umfassenden NDR-Ansatzes direkt auf der Firewall. Die Funktionalität basiert auf denselben Prinzipien wie das vollwertige Sophos NDR, wurde jedoch gezielt für den Einsatz auf einer Appliance ohne zusätzliche Infrastruktur optimiert. Es sind daher keine externen Sensoren, kein Switch-Mirroring und auch keine zusätzliche virtuelle Instanz notwendig.

Der Vorteil: Bedrohungserkennung wird auch auf Systemen möglich, auf denen kein Agent installiert ist – ohne Infrastrukturaufwand. Gleichzeitig ist zu beachten, dass NDR Essentials nur einen Teil der im vollständigen Sophos NDR verfügbaren Analyseverfahren beinhaltet. Besonders ressourcenintensive Algorithmen und Deep-Inspection-Mechanismen bleiben dem vollständigen Sophos NDR vorbehalten. Diese Einschränkung ist bewusst gewählt, da die Firewall-Hardware – trotz Xstream-Architektur – nicht die Rechenleistung bietet, um die komplette NDR-Logik performant lokal umzusetzen.

Bei erhöhtem Bedarf an Detailtiefe, insbesondere bei forensischer Analyse oder in hochsensiblen Umgebungen, kann jederzeit auf das vollständige Sophos NDR umgestellt werden – z. B. als Ergänzung über Central.

Technische Basis:

• Aktiv in Kombination mit Xstream Protection – ohne zusätzliche Lizenzkosten. NDR Essentials ist automatisch enthalten, wenn die Firewall mit gültiger Xstream Protection betrieben wird, wie es bei Comp4U Managed Firewall-Services grundsätzlich der Fall ist.
• Die Mustererkennung erfolgt mithilfe sogenannter Convolutional Neural Networks (CNNs) – einem etablierten KI-Verfahren zur Analyse von Netzwerkverkehr auf Basis statistischer Merkmale und Kommunikationsverhalten, ohne dass Inhalte entschlüsselt oder direkt analysiert werden müssen
• Die Analyse erfolgt ohne aktive TLS-Entschlüsselung, da NDR Essentials nicht auf den eigentlichen Dateninhalt zugreift, sondern auf Metadaten und Verhaltensmuster in der Kommunikation. Das bedeutet: Auch verschlüsselte Verbindungen – wie etwa HTTPS – können auf Auffälligkeiten untersucht werden, ohne dass deren Inhalte sichtbar gemacht oder entschlüsselt werden müssen. Dies ermöglicht eine datenschutzfreundliche und performante Erkennung potenzieller Bedrohungen, ohne den Kommunikationsfluss technisch zu beeinträchtigen.

Erkannt werden unter anderem:

• DGA-Muster (Domain Generation Algorithms): Diese werden häufig von Malware verwendet, um dynamisch wechselnde Command-and-Control-Server-Adressen zu erzeugen. NDR Essentials analysiert DNS-Anfragen und erkennt verdächtige Algorithmen, die für die automatische Generierung solcher Domains typisch sind.
• Anomalien im Verbindungsverhalten: Dazu gehören z. B. ungewöhnlich häufige Verbindungsversuche, inkonsistente Paketgrößen oder untypische Zeitmuster. Solche Abweichungen können Hinweise auf Malware-Kommunikation, Port-Scanning oder Datenexfiltration sein.
• Ungewöhnliche Kommunikationsziele: Verbindungen zu geografisch unerwarteten oder selten genutzten TLDs (Top-Level-Domains) werden erfasst und bewertet. Auch selten angesprochene IP-Ranges oder Domains ohne Reputation können so als potenziell verdächtig eingestuft werden.

Limitierungen:

Während NDR Essentials eine wertvolle Erweiterung darstellt, gibt es im Vergleich zum vollständigen Sophos NDR einige bewusste Einschränkungen:

• Keine Payload-Analyse: Da keine TLS-Entschlüsselung erfolgt, ist keine vollständige Deep Packet Inspection bei verschlüsseltem Inhalt möglich. Die Analyse beschränkt sich auf Metadaten und Verhaltensmuster, was für viele Bedrohungen ausreicht, jedoch keine vollständige Inhaltsbewertung zulässt.
• Kein Zusammenspiel mit Central Threat Cases: Die in Sophos Central verfügbaren korrelierenden Threat Cases und Funktionen wie Incident Response oder automatisierte Workflows stehen in NDR Essentials nicht zur Verfügung. Damit fehlt die übergeordnete Sicht auf Bedrohungen in mehreren Systemen.
• Reduzierter Algorithmusumfang: Aufgrund der begrenzten Ressourcen auf der Firewall werden nicht alle KI-gestützten Erkennungsverfahren des vollständigen Sophos NDR verwendet. Insbesondere rechenintensive Modelle, wie etwa Deep Sequence Analysis oder fortgeschrittene Verhaltenskorrelationen, sind ausschließlich dem zentralen Sophos NDR vorbehalten.
• Keine aktive Reaktion möglich: NDR Essentials – ebenso wie das vollständige Sophos NDR – ist ein reines Analyse- und Erkennungssystem. Anders als bei klassischen Threat Feeds oder Security Policies erfolgt keine automatische Blockade oder Unterbrechung verdächtiger Verbindungen. Während dies beim zentralen NDR aufgrund der Architektur (Analyse auf Paketkopien) grundsätzlich nicht möglich ist, wäre ein aktiver Eingriff bei NDR Essentials auf der Firewall technisch denkbar – ist jedoch in der aktuellen Version (noch) nicht implementiert.

Zielsetzung: Passive Threat Visibility in Umgebungen ohne Sensorik oder Agenten, zur Erhöhung der Netztransparenz.

Entra ID SSO für VPN (OpenID Integration)

Mit SFOS 21.5 unterstützt die Sophos Firewall erstmals die Integration von Microsoft Entra ID (ehemals Azure AD) zur Authentifizierung von VPN-Nutzern. Die Umsetzung erfolgt über OpenID Connect in Kombination mit OAuth2 und ermöglicht damit eine direkte Anmeldung über bestehende Microsoft-Konten.

Für die technische Umsetzung gelten folgende Voraussetzungen:

• Sophos Connect v2.4 oder neuer wird für den Client-Zugriff benötigt
• Die Konfiguration erfolgt über eine neue Authentifizierungsrichtlinie im Bereich "Authentication Servers"
• Multifaktor-Authentifizierung (MFA) wird automatisch von Entra ID verarbeitet, sofern sie im M365-Mandanten aktiv ist – es ist keine zusätzliche Konfiguration auf der Firewall notwendig

Aus Administrationssicht bietet dies mehrere Vorteile: Die Benutzerverwaltung erfolgt zentral über Entra ID, bestehende Compliance-Mechanismen wie Conditional Access greifen auch bei VPN-Zugriffen, und ein separates Passwortmanagement entfällt. Für Benutzer bedeutet dies einen reibungslosen Zugang mit bekannten Zugangsdaten, ohne zusätzliche Logik oder Applikationen.

Aktuelle Einschränkungen (Stand EAP1):

• Gruppenbasierte Regelzuweisung auf Basis von Entra ID-Gruppen wird derzeit noch nicht unterstützt. Zugriffskontrollen erfolgen also auf globaler Basis und nicht differenziert nach Benutzergruppen.
• Ein Fallback-Mechanismus auf alternative Authentifizierungsquellen ist grundsätzlich vorgesehen und kann in der GUI aktiviert werden. Damit ist es möglich, im Fehlerfall der Entra ID-Authentifizierung auf ein Backup-Verfahren zurückzugreifen – beispielsweise lokale Benutzer oder RADIUS-Instanzen, sofern korrekt eingerichtet. Der genaue Ablauf und die Wirksamkeit hängen jedoch stark von der individuellen Konfiguration ab und sollten vor dem produktiven Einsatz gründlich getestet werden.

Diese Funktion vereinfacht die sichere Anbindung mobiler oder dezentraler Arbeitsplätze erheblich. Gleichzeitig ist zu erwarten, dass in zukünftigen Releases weitere Erweiterungen folgen – insbesondere im Hinblick auf Gruppenlogik, Policy-Mapping und verbessertes Logging.

SD-WAN & VPN Skalierung

Mit SFOS 21.5 hebt Sophos die bisher geltenden Skalierungsgrenzen im Bereich VPN und Standortvernetzung deutlich an. Die Plattform wird dadurch vor allem für größere Infrastrukturen und MSP-Szenarien deutlich leistungsfähiger.

Neue Systemgrenzen im Überblick:

• IPSec (route-based): Unterstützung von bis zu 3.000 aktiven VPN-Tunneln
• Site-to-Site RED: Betrieb von bis zu 1.000 Tunneln
• SD-RED-Geräte: Verwaltung von bis zu 650 gleichzeitig angebundenen Geräten

Diese neuen Grenzwerte erweitern die bisherigen Limitierungen deutlich – in früheren Versionen lag die Grenze für route-based VPNs beispielsweise bei rund 1.000 Tunneln. Damit vervielfacht sich die nutzbare Kapazität, was besonders für zentral gemanagte Multi-Standort-Umgebungen oder den Einsatz im MSP-Betrieb ein wesentliches Argument darstellt.

Die tatsächliche Auslastbarkeit hängt nach wie vor vom jeweiligen XGS-Modell, der vorhandenen Hardwareleistung sowie der aktiven Konfiguration (beispielsweise IPS oder SSL-Inspection) ab. Es empfiehlt sich daher, bei komplexeren Szenarien eine gezielte Leistungsbewertung vorzunehmen, um Performancegrenzen im produktiven Betrieb frühzeitig zu erkennen und gegebenenfalls anzupassen.

Für Comp4U ergeben sich daraus neue Optionen in der Umsetzung hochverfügbarer, skalierbarer Standortvernetzungen – sowohl mit klassischem VPN als auch im Rahmen moderner SD-WAN-Konzepte.

Sophos DNS Protection (Central)

Sophos DNS Protection ist eine cloudbasierte Sicherheitsfunktion, die erstmals 2023 als Teil der Sophos Central Plattform eingeführt wurde. Ziel der Lösung ist es, Angriffe und Bedrohungen bereits auf DNS-Ebene zu unterbinden – also bevor überhaupt ein IP-Paket an einen potenziell schädlichen Server gesendet wird. DNS-Anfragen gehören zu den frühesten und häufigsten Schritten in der Kommunikation zwischen einem Gerät und dem Internet. Genau hier setzt DNS Protection an und filtert unerwünschte oder riskante Domains, noch bevor eine Verbindung aufgebaut wird.

Die Lösung wurde ursprünglich für die Absicherung mobiler Benutzer und Remote-Arbeitsplätze konzipiert, lässt sich aber auch für Standorte mit Sophos Firewalls einsetzen. Mit SFOS 21.5 wird diese Integration deutlich verbessert und die DNS-Funktionalität auch direkt in die Firewall-Oberfläche integriert.

Technische Integration:

• Mit SFOS 21.5 wird die zentrale DNS-Schutzfunktion von Sophos nun auch sichtbar und in Teilen steuerbar direkt über die Firewall-Oberfläche verfügbar gemacht. Ein neues Dashboard-Widget zeigt aktuelle DNS-Aktivitäten und den Schutzstatus übersichtlich an. Die Konfiguration erfolgt über einen integrierten Assistenten, der den Administrator Schritt für Schritt durch die Aktivierung führt.
• Im Hintergrund leitet die Firewall den DNS-Verkehr der konfigurierten Netzwerke an den Sophos DNS Cloud Resolver weiter. Die Kommunikation erfolgt verschlüsselt über DNS-over-TLS. Das sorgt dafür, dass DNS-Anfragen nicht mitgelesen oder manipuliert werden können – ein entscheidender Sicherheitsvorteil insbesondere in ungeschützten Netzwerken.
• Die Integration in SFOS dient dabei nicht der vollständigen Policy-Steuerung (diese verbleibt in Sophos Central), sondern dem operativen Überblick, der Aktivierung auf Netzwerkebene und der Sichtbarkeit im Tagesgeschäft. Die Funktion ist besonders sinnvoll für Standorte, bei denen ohnehin ein zentralisiertes DNS-Policy-Management über Central erfolgt, aber Transparenz auf Firewall-Ebene gewünscht ist.

Besonderheiten:

• Erweiterte Kategorisierung und Policy-Steuerung nur über Central: Während die Firewall grundlegende DNS-Aktivitäten darstellt, erfolgt die granulare Steuerung – etwa das Sperren bestimmter Kategorien, Benutzergruppen oder Zeiträume – ausschließlich in Sophos Central. Das ermöglicht eine einheitliche Verwaltung über alle Standorte hinweg, setzt aber zwingend eine zentrale Policy-Verwaltung voraus.
• Logging via Sophos Central DNS Reports: Die Protokollierung und Analyse der DNS-Anfragen erfolgt ebenfalls ausschließlich in Sophos Central. Dort stehen detaillierte Reports, Zeitreihenanalysen und Filterfunktionen zur Verfügung, die über die lokale Firewallanzeige hinausgehen und auch historische Auswertungen ermöglichen.
• Konfiguration per Assistent inkl. Failover-Detection: Die Einrichtung der DNS Protection erfolgt über einen integrierten Assistenten, der sowohl die Anbindung an Sophos Central als auch die Konfiguration der Weiterleitung automatisiert. Ein besonderes Merkmal ist die integrierte Failover-Detection: Sollte die DNS-Weiterleitung zur Cloud fehlschlagen, greift automatisch eine hinterlegte Ersatzkonfiguration – ein klarer Pluspunkt in puncto Ausfallsicherheit.

Verbesserungen in WebAdmin / UI / Policy Engine

Mit jeder SFOS-Version arbeitet Sophos kontinuierlich daran, die Benutzeroberfläche und Nutzerführung weiterzuentwickeln. Ziel ist es, trotz wachsender Funktionsvielfalt eine effiziente, verständliche und intuitiv bedienbare Plattform für Administratoren bereitzustellen. Gerade bei komplexen Konfigurationen im Bereich SD-WAN, VPN, Objekthandling oder Policy-Verwaltung ist eine übersichtliche und performante GUI ein wesentlicher Faktor für einen reibungslosen Betrieb. Auch SFOS 21.5 enthält wieder gezielte Detailverbesserungen, die im Alltag für mehr Klarheit und Komfort sorgen.

• Suchfunktion für ACLs und SD-WAN-Routen: Die neue Volltextsuche ermöglicht es, ACL-Einträge und Routing-Definitionen schnell zu durchsuchen – ideal bei großen Regelwerken oder verschachtelten Strukturen.
• Speicherbare Spaltenbreiten in Tabellenansichten: Tabellen innerhalb der GUI (z. B. bei Firewall-Regeln, Objekten oder NAT) merken sich nun die vom Benutzer eingestellten Spaltenbreiten pro Browser. Das erleichtert die tägliche Arbeit und reduziert lästiges Neuanordnen.
• Entfernen vordefinierter Default-Regeln: Bei Neuinstallationen werden bisher automatisch angelegte Standardregeln und -gruppen nicht mehr übernommen. Administratoren werden dadurch gezwungen, Sicherheitsregeln explizit zu definieren – was langfristig zu einer besseren Transparenz und Kontrolle beiträgt.

Erweiterungen im IPv6-Stack und Protokollhandling

IPv6 gewinnt zunehmend an Bedeutung – nicht nur innerhalb von Unternehmensnetzwerken, sondern vor allem im WAN-Bereich bei der Anbindung über moderne Provideranschlüsse. Immer mehr Kundenumgebungen setzen auf IPv6 oder kombinierte Dual-Stack-Ansätze, um zukunftssicher und kompatibel mit aktuellen Standards zu bleiben. Sophos trägt diesem Wandel Rechnung und erweitert in jeder SFOS-Version konsequent die Unterstützung für IPv6-bezogene Funktionen und Protokolle.

• NAT64 im Proxy-Modus (explicit): IPv6-only Clients erhalten über die Sophos Firewall Zugriff auf IPv4-basierte Dienste, ohne dass im internen Netz zusätzliche NAT-Gateways erforderlich sind. Dies ist besonders relevant, wenn Endgeräte ausschließlich mit IPv6 arbeiten, Zielsysteme im Internet aber noch auf IPv4 basieren.
• DHCPv6 Prefix Delegation: Die Firewall kann jetzt über DHCPv6 ganze IPv6-Präfixe vom Provider entgegennehmen – auch im Bereich /48 bis /64. Dies erhöht die Kompatibilität mit modernen WAN-Zugängen und ermöglicht eine saubere IPv6-Adressverteilung im internen Netz, auch bei dynamischen Anbindungen.
• Path MTU Discovery per Flow: Die Firewall erkennt die maximale Paketgröße pro Verbindung dynamisch und passt sich automatisch an. Dadurch werden Fragmentierungsprobleme vermieden, die bei PPPoE- oder VPN-Verbindungen häufig auftreten. Es handelt sich um eine systemseitige Optimierung ohne GUI-Option – die Funktion ist standardmäßig aktiv und arbeitet vollständig im Hintergrund, ohne dass eine manuelle Konfiguration erforderlich ist.

Einsatznutzen:

• Vereinfachung in WAN-Umgebungen mit IPv6/Dual Stack
• Verbesserung der Stabilität bei dynamischen Routen
• Entlastung manueller MTU-Workarounds in PPPoE/VPN

Verfügbarkeit und Aktivierung

Die in diesem Beitrag beschriebenen Funktionen stehen mit dem Update auf SFOS 21.5 technisch zur Verfügung, werden jedoch nicht automatisch aktiviert oder ausgerollt. Viele der Neuerungen – etwa DNS Protection, Entra ID SSO oder NDR Essentials – erfordern eine individuelle Prüfung, sorgfältige Konfiguration und gegebenenfalls die Anpassung bestehender Sicherheits- oder Netzwerkstrukturen.

Ob und in welchem Umfang bestimmte Funktionen sinnvoll im jeweiligen Kundenumfeld eingesetzt werden können, hängt stark von der vorhandenen Umgebung, den Anforderungen und dem Betriebsmodell ab. Die Aktivierung erfolgt daher ausschließlich im Rahmen gezielter technischer Abstimmung – typischerweise im Rahmen eines Projekts, eines Anpassungstermins oder eines Workshops.

Bei Interesse prüft das Comp4U Technikteam gemeinsam mit dem Kunden den Einsatz einzelner Features – strukturiert, nachvollziehbar und mit klarer Aufwandseinschätzung. Diese individuelle Beratung ist Teil unserer erweiterten Betriebs- und Projektleistungen und wird separat beauftragt.

Jetzt beraten lassen – mit den Sophos-Spezialisten von Comp4U

Viele der vorgestellten Funktionen bieten spannende Potenziale für mehr Sicherheit, Automatisierung und Effizienz – wenn sie richtig implementiert und auf die jeweilige IT-Struktur abgestimmt werden. Das Comp4U Technikteam verfügt über umfangreiche Praxiserfahrung mit Sophos Firewalls – von der initialen Konzeption bis zur laufenden Betriebsoptimierung.

Lass uns gemeinsam prüfen, welche Funktionen in deiner Umgebung sinnvoll eingesetzt werden können. Unsere Spezialisten unterstützen kompetent bei der Analyse, Planung und Umsetzung – ganz gleich, ob es um Entra ID, DNS Protection oder NDR geht.

Am besten: Jetzt anrufen oder eine E-Mail senden – und direkt mit den richtigen Ansprechpartnern sprechen.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500