Sophos UTM: Neues Update verfügbar (9.704-2)

Das Update für die Sophos UTM ist zwar schon am 05.08.20 erschienen, da es aber noch nicht überall via Up2Date verteilt wird, gibt es doch noch einen kleine Notiz zum Update. Das letzte Update für die UTM ist im April erschienen, wenn ich richtig gezählt habe, hat die Sophos XG im betreffenden Zeitraum 7 Updates erhalten. Notiz an mich selbst: Ich muss mich dringend um die Ablösung der UTM kümmern, scheinbar wird die UTM nur noch stiefmütterlich behandelt.

Hier die Liste der Änderungen für die Version 9.704-2:

  • NUTM-11829 [Access & Identity] L2TP connections fail when many users are connected
  • NUTM-11928 [Access & Identity] Hardening of Authentication Server configuration page
  • NUTM-11559 [Basesystem] Update i40e driver
  • NUTM-11966 [Basesystem] Patch binutils (CVE-2018-17985)
  • NUTM-11982 [Basesystem] Patch BIND (CVE-2020-8616, CVE-2020-8617)
  • NUTM-12007 [Basesystem] Patch OpenSSL 1.0.2j (CVE-2019-1547, CVE-2019-1551, CVE-2019-1563)
  • NUTM-12041 [Basesystem] Patch UTM kernel (CVE-2019-3701, CVE-2019-15916, CVE-2019-20096 CVE-2020-8647, CVE-2020-8648, CVE-2020-10942, CVE-2020-11494)
  • NUTM-11664 [HA/Cluster] Error message „send_ha_msg(ECHO_MASTER): sendto(255) errno = 22“;
  • NUTM-11113 [Logging] Log archiving to SMB share fails to connect
  • NUTM-11846 [Network] Add confd option to enable multicast for IGMP
  • NUTM-11849 [Network] Syslogng fails to write if max concurrent connections is reached
  • NUTM-11936 [Network] DNS host object not updated/unresolved after fail-over
  • NUTM-11938 [Network] Unable to save the new profile in SSLVPN, it gives error „Warn: Client authentication cannot use more than 170 user and group networks at the same time“
  • NUTM-11779 [RED] RED site-to-site tunnel failover doesn’t always work
  • NUTM-11886 [RED] RED server restart notification sent from auxiliary node
  • NUTM-12040 [RED] RED20 is not forwarding tagged traffic like RED15
  • NUTM-12134 [RED_Firmware] Improve throughput for SD-RED WiFi
  • NUTM-12135 [RED_Firmware] Enable 802.11ac for SD-RED WiFi
  • NUTM-11972 [REST API] REST API: Invalid response on GET query for S/MIME component
  • NUTM-11681 [Sandstorm] Sandbox Activity tab uses the incorrect date formatter
  • NUTM-11685 [WAF] Let’s Encrypt renewal fails with HTTP->HTTPS redirection for IPv6 vhost
  • NUTM-11925 [WAF] WAF redirects some requests to the first domain of the virtual webserver
  • NUTM-11388 [Web] Httpproxy restarted due to segmentation fault and generated core dump
  • NUTM-11577 [Web] WebProxy not reliably deleting cached temp files
  • NUTM-11841 [Web] Proxy crash with coredump

Bei Sophos Updates ist es aus Erfahrung ganz besonders wichtig, dass die Updates getestet werden, es kommt hier durchaus häufiger zu Problemen. Hier findet sich der Artikel zum Update in der Sophos Cummunity:

Es lohnt sich, die Kommentare im Blick zu behalten, um auf mögliche Probleme aufmerksam zu werden. Wenn das Update noch nicht via Up2Date angeboten wird, kann es hier runtergeladen werden:

Sophos UTM: Neues Update verfügbar (9.704-2)

38 Gedanken zu „Sophos UTM: Neues Update verfügbar (9.704-2)“

  1. Hi Frank,

    Kommt für dich die sophos XG als Ablöse in Betracht?

    Wenn ja, wäre dazu eine Artikel(Serie) sicherlich sehr interessant für einige.

    Ich beobachte die XG bereits seit Anfang an, finde sie bisher aber noch nicht featuregleich genug mit den Funktionen der UTM (von denen wir so gut wie alle benutzen)…

    Antworten
    • Hi Christoph,
      aktuell tendiere ich für die Ablösung stark zu OPNSense. Ich setze die UTM aber auch nur privat ein und so blöd es sich anhört, aber ich liebe die Let’s Encrypt Integration. Leider bietet die XG bis heute keinen nativen LE Support, was ich sehr schade finde. Ich hab auch viele Funktionen der UTM benutzt (WLAN, AntiSPAM, WAF, WebFilter, AntiVirus, VPN), mittlerweile nutze ich aber nur noch den Webfilter und die WAF, alles andere übernehmen schon Alternativen. Eigentlich ein Kinderspiel die UTM abzulösen, ich brauch nur mal ein freies Wochenende :-)
      Gruß,
      Frank

      Antworten
      • Exakt dasselbe ist bei mir der Fall. Let’s encrypt ist einfach grandios gelöst. Nutze ich sowohl privat als auch in unserer Firma. Kann nicht verstehen warum das die XG noch nicht implementiert bekommen hat.

        Allgemein finde ich jedoch die XG in der Nutzung deutlich träger und von der Handhabung im Browser Platzverschwenderischer als die UTM.

        Antworten
      • Hi,

        ich habe nach der UTM auch einen Abstecher zur OPNSense gemacht jedoch ist dort der Webfilter nicht so gut wie bei der UTM/XG bzw. ich habe keine guten Listen gefunden…
        Weil ich aber wechseln musste (Home Lizenz max. 50 IP’s) bin ich Anfang des Jahres gleich auf die v18 Beta gewechselt.
        Einige Dienste sind dann auf einen Linux Server gewandert wie zum Beispiel DNS Server, NTP Server und DynDNS aber bis jetzt läuft die XG, bis auf das eine vermurkste Firmware Update, ohne Probleme.

        zum LE kann ich leider nichts sagen da ich es nicht benutze :)

        Antworten
  2. Ja die Tage SG sind gezählt. Der Fokus bei Sophos liegt klar auf der XG. Aber noch ist die SG nicht tot und der S/Mime Support der mit der 9.8 kommen soll (und bereits verspätet ist) wird sicherlich nochmal spannend, danach wird aber wohl nicht mehr mit allzuviel zu rechnen sein.

    Antworten
    • Servus,
      ich bin mir da mittlerweile nicht mehr sicher, ob es noch ein Feature Update für die UTM geben wird. Ich versteh aber auch nicht so ganz, warum die LE Unterstützung für die XG so lange auf sich warten lässt.
      Gruß,
      Frank

      Antworten
  3. schwerwiegend bei der XG ist auch die Möglichkeit SSLVPN und WAF auf Port 443 parallel zu nutzen, obwohl genügend externe IPs für die Bindungen vorhanden wären. Daher werden die nächsten Projekte weiterhin mit UTM gemacht.

    LE ist auch ein must have ehrlich gesagt.

    Antworten
  4. Ich warte auch nur noch auf den Let’s Encrypt-Support bei der XG, dann vollziehe ich den Wechsel SG => XG.
    Wenn Du umstellst, wäre eine Artikelserie zur XG toll :-)

    Mit der SG habe ich aktuell immer wieder kurzzeitige Netzwerk-Crashs (1-2 mal die Woche). In einem solchen Moment verlieren alle verbundenen Clients die Netzwerkverbindung (Internet-Verbidung, VoIP-Gespräche brechen ab etc). Ob es letztendlich an der SG liegt, kann ich noch nicht final bestätigen. Mal sehen, ob’s das aktuelle SG-Update was ausrichten kann?!

    Antworten
  5. Hallo Jochen, Hallo Rene,

    Welche Version der UTM setzt ihr ein? Ich habe sowas auch in meiner home UTM auf 9.703 aber nicht auf der Firmen UTM. Die ist noch auf 9.701…

    Antworten
  6. Mit der XG werde ich nicht richtig warm ehrlich gesagt. In der Vergangenheit gab es auch schon viel Ärger (HA instabil bzw. site-site Tunnel kamen nicht mehr hoch etc.).

    Aber bei SPAM-Verdacht kann der Mailfilter leider nicht ablehen, sondern die Mail nur verwefen oder in Quarantäne schieben. Die UTM kann auch hier blockieren.

    Oder was spricht für die XG außer, dass es häufiger Updates gibt?

    Antworten
  7. Wo aus meiner Sicht die XG die Nasse vorn hat:
    – Zentrales Management über Sophos Central
    – Synchronized Security
    – DeepPaketInspection / Anwendungserkennung und Klassifizierung
    – EinwahlVPN (Der Client ist nicht mehr userspezifisch sondern kann für alle genutzt werden)

    Wo es mangelt:
    – Mailfilter (aber da möchte Sophos das der Mailfilter über Central genutzt wird)
    – Logging
    – Hier gibt es bestimmt noch mehr was mir noch nicht aufgefallen ist

    Antworten
  8. Hey, ich bin nicht allein mit dem Problem (…das gibt zumindest ein wenig Trost ;-)

    Meine SG im Home Office, auf der ich die Probleme habe, läuft aktuell mit Version 9.703-3. Soweit ich zurückdenken kann, tritt mein Problem seit Version 9.702-1 auf.
    Nach den Netzwerk-Crashs habe ich mir zwar direkt mehrere Logs auf der SG angesehen, konnte aber nichts finden, was auf die Ausfälle schließen läßt.

    Sollte das Update auf Version 9.704-2 keine Besserung bringen, spiele ich mit dem Gedanken, die SG mit Version 9.701 neu zu installieren und anschließend das Konf-Backup aus Version 9.703-3 einzuspielen (es haben inzwischen mehrere Änderungen stattgefunden). Allerdings vermute ich, dass sich das Konf-Backup nur einspielen läßt, wenn die SG-Version größer oder gleich der Backup-Version ist… Habt ihr da Erfahrung?

    Antworten
  9. Hallo Jochen,

    wenn ich irgendeinen Anpack finde, kann ich das Problem dem Support übergeben (zumal ich es dann warscheinlich auf ein paar Dutzend Firewall nachweisen kann).
    Ein Versionsdowngrade ist mit einer höherwertigen Konfig-Datei leider nicht möglich.

    Antworten
  10. Ich habe den Wechsel der privaten Firewall von der UTM auf die XG vorletzte Woche vollzogen. Für mich ist schon klar, warum die XG mehr Updates bekommt. Die ist ja auch noch viel weniger fertig. ;-) So Kleinigkeiten fehlen wie der oben genannte LE Support, obwohl ich den bei mir eh auf dem Linux Server nutze. Manche Sachen sind aber auch besser gelöst, wie z.B. das Live-Logging. Das hat mich an der UTM eh immer so ein wenig gestört. Das Reporting erinnert eher an das Reporting einer Fortigate. Da fand ich den täglichen Report der UTM immer ganz nett. Aktuell habe ich noch Probleme mit dem VPN, hatte mir aber auch noch nicht die Zeit genommen mich da mal reinzufuchsen. Meine Webfilterlisten musste ich zum Teil händisch übertragen, da ich da kein passendes Tool gefunden habe.

    Antworten
  11. after all these years, I still vote for SG with UTM;-)

    Ein Ende ist auch noch nicht in Sicht, wir bleiben der Linie treu.

    Das SSLVPN 443-Problem ist mit am gravierendsten, dass kann ich seriös keiner Firma verkaufen. Beispiel: MA ist Wirtschafsprüfer und in Großkonzernen unterwegs. Nun muss er ein VPN ins Büro aufbauen – erklärt dem mal, wieso das nicht über TCP 442 oder 444 rausgeht;-)

    Antworten
  12. Wir haben letzes Jahr erst von einer Microsoft TMG auf eine SG (bewusst nicht XG) gewechselt und hoffen, dass Sophos mit einer Abkündigung noch einige Jahre wartet. Aus meiner Sicht sollte Sophos als erstes die Features der XG auf den gleichen bzw. einen höheren Level bringen, um einen Anreiz zum Wechsel zu schaffen. Anschließend sollte man allen SG Besitzern mit einer Upgrade-Möglichkeit und einem Migrations-Tool, dass zumindest die gröbsten Einstellungen umzieht, entgegenkommen. Alles andere würde aus meiner Sicht viele Kunden verprellen.

    Antworten
  13. Hallo Frank,

    ich betreibe die XG seit Version 15.01.x im Jahr 2017 als HA Cluster mit allen Höhen und Tiefen bis heute…
    Der deutschsprachige Telefon Support existiert nach der Zentralisierung und Verkauf quasi nicht mehr.
    Die länge der Wartezeit um Telefonsupport selbst für „Enhanced plus support“ Kunden zu erhalten ist eine einzige Katastrophe.
    90 Minuten Wartemusik – keine Antwort…
    Ich befürchte das wird auch nicht mehr besser.
    Wenigstens die Inder antworten auf schriftliche Supportanfragen in einer angemessenen Zeit.
    Nach den Erfahrungen der letzten Jahre ist Sophos für mich als Hersteller von Sicherheitsprodukten gestorben.

    Viele Grüße
    Fabian

    Antworten
  14. Hallo Frank,

    wir waren vor Corona noch auf der RoadShow, XG wird jetzt laut Sophos einfach hart durchgesetzt.
    Ich glaube es ist Sinnvoll sich da einzuarbeiten :)

    Wir müssen das langsam auch mal tun :D

    Antworten
    • Das die UTM stirbt und XG alles übernimmt war schon vor 3 – 4 Jahren immer von Sophos zu hören.
      Und die Einarbeitung in XG trotz Kursteilnahme habe ich bis heute nicht hinbekommen.
      Es lebe die UTM Oberfläche.
      Vielleicht sollte Astaro die UTM von Sophos „zurück kaufen“?
      Hat bei SUSE ja auch geklappt.

      Antworten
  15. Hallo,

    Kann nur beipflichten, das die XG kein Ersatz für die UTM ist.
    Da wir bald DtGlasfaer mit ipv6 und ipv4 Nat bekommen, habe ich testweise die XG in Azure getestet und War genau nach 30 Minuten durch.

    Habe dann doch eine UTM In Azure deployed und über die Home Utm ein SSL Vpn in die Azure UTM erstellt. Darüber kann ich nun alle Servier Dienste per Waf und SSL Client VPN routen (Trick: Windows Server 2019 Und darin In HyperV Nasted die UTM). So kann ich das Ipv4 Nat umgehen :-).
    Von den kosten scheint das genau in die 85 Euro des Aktion Packs zu passen…

    Die Integration von LE und andere Features sind bei der UTM durchdachter, bzw. Fehlen bei der XG.
    Warum wird bei einer Sprachänderung der xG ein Factory Reset ausgelöst?

    Hoffe, das die UTM weiterhin supported wird – Traum wäre die Verdoppelung der 50226 Frechen Lizenzen der Home edition.

    Erik

    Antworten
  16. Tag zusammen,

    die XG hat einige Features der UTM noch nicht eingebaut. Ganz vorne die LE-Integration, die schon seit 4 Jahren im Feature Request Forum von Sophos brach liegt. Das Versprechen alle Features der UTM seinen vorhanden ist also (bis jetzt) schlichtweg falsch. Dann die fummelige Integration ins Central Management. So schön wie bei der UTM geht das nicht mehr und das Managment für Sophos Partner ist von der Geschwindigkeit eine Katastrophe. Man könnte fast meinen das Ding läuft auf einem „Cloud-Toaster“. Dann noch das Update auf die v18, wodurch man sich im Bereich von NAT wieder einarbeiten muss, da das anders funktioniert. Mir gefällt die Entwicklung nicht unbedingt, aber ich hoffe das beste.
    Außerdem habe ich auch noch keinen wirklichen Ersatz gefunden. Ich hatte mal mit einer Watchguard zu tun und beim Punkt Logging muss ich sagen ist man mit einer Sophos (egal ob UTM oder XG) extrem verwöhnt. Das Management von Cisco ASAs ist aus meiner Sicht noch umständlicher und es wird immer noch viel über die CLI gemacht. Aber das hat mich an Cisco schon immer genervt.
    Die UTM wird aber langsam aussterben. Zumal auch die Features, die angedacht waren bisher noch nicht eingebaut sind. Stichwort IKEv2. Wollten sie schon in 9.6 integrieren, wurde dann verschoben, kommt aber auch nicht in 9.7. Denke es wird auch nicht mehr kommen und mit 9.9 ist dann Schluss. Nach meinen Infos wird es keine 9.10 geben.

    @Erik: Die Sprachänderung kannst du beim Loginscreen oben rechts machen, dann ist auch die XG in der ausgewählten Sprache. Die Option, die du meinst ist einfach ein Factory Reset mit voreingestellter Sprache.

    Antworten
  17. Ich habe mich jetzt nochmal etwas mit der XG beschäftigt. Der Cloud-SMTP proxy / Spamfilter ist für mich eigentlich schon ein KO-Kriterium. Wenn man dann noch die fehlenden Features und den anscheinend mittlerweile miserablen Support bedenkt, tendiere ich wenn ich eh schon einen Wechsel mache eher zum Wettbewerb wie z.B. Palo Alto oder Fortigate, kombiniert mit einem On premise-Spamfilter wie Spamtitan Gateway oder Proofpoint Protection Server.

    Antworten
  18. Hallo zusammen,

    bei uns führte das Update dazu, dass unsere APs (AP55C & AP100C) freidrehen und somit permanent WLAN Abbrüche zu beobachten sind. Habe dieses Verhalten auch schon von anderen berichtet bekommen. Gibt wohl auch schon ein Ticket bei Sophos. Ich würde von einer Installation aktuell abraten, wenn die o.g. APs eingesetzt werden! Habe testweise die betreffenden SSIDs deaktiviert, neue erstellt und war der einzige Nutzer im WLAN, jedoch lief da alles ohne Probleme. Da das WLAN bei uns sehr rege genutzt wird, musste eine schnelle Lösung her und die heißt Downgrade auf die 9.703-3.

    VG Björn

    Antworten
  19. Scheinbar sollen manche auch Probleme mit 99% CPU und DHCP Service Crashs haben…
    Abartig, dass ich die letzten 4 Updates bei einer Firewall nicht mehr installieren kann, weil in jeder Version wieder andere schwerwiegende Bugs enthalten waren.
    Das ist nicht mehr nur doof und nervig oder schlimm sondern eine Katastrophe.

    Antworten
    • Ja, wir haben Probleme mit den DHCP Servern, es wird kein lease mehr verteilt, z.B. im Gäste-WLAN, da ich diese nicht über die internen DHCP Servers des ADs abgebildet habe. Ebenfalls sind alle APs offline, da diese auch keine Adresse mehr zugewiesen bekommen, sehr ärgerlich. 9.705 hat das Problem nicht behoben. :-( Falls jmd noch eine Idee dazu hat, bitte melden. Ein Ticket wurde bereits erstellt, leider bisher ohne Antwort.

      Antworten
        • Guten Abend Christoph, genau an dieser von dir genannten Stelle wurde das Ticket (case) erstellt. Ich warte hoffnungsvoll auf Antwort. In den letzten ~13 Jahren war ich grundsätzlich mit den UTMs zufrieden im Gegensatz zu anderen Wettbewerbern, wie Sonicwall, Juniper, Watchguard, Clavister, Barracuda.

  20. Ich habe erst zwei neue SGs im Cluster geholt. Laut Hersteller wird die SG noch lange nicht eingestellt. Hier teile ich die Meinung einiger. Die XG hat noch updates nötigt und es ist mir lieber das Sophos Updates nicht so schnell rausbringt, dafür sollen sie lieber funktionieren. Quallität statt qantität. :-)

    Antworten

Schreibe einen Kommentar