Sophos XG e supporto alle VLAN in modalità Bridge

Come indicato nell’articolo Sophos XG Firewall: How to deploy in bridge mode della Knowledge Base di Sophos i firewall Sophos XG possono essere configurati in per operare come un layer 2 (transparent bridge) a livello di indirizzi MAC o come un layer 3 bridge (routing) a livello di indirizzi IP. La differenza sta nel fatto che quando il firewall opera come un bridge Layer 2 è possibile eseguire le varie feature di sicurezza ed ispezione del traffico senza modificare l’indirizzamento della rete, quindi questa modalità consente di separare il traffico all’interno della stessa LAN facendolo passare all’interno del firewall in modo trasparente per ispezionarlo.

“The Sophos Firewall as a Layer 2 bridge, allows features like deep-packet inspection, Intrusion Prevention System, Malware Scanning, and Email Content Scanning without changing any configuration or IP schema of the network. When you want to add security without changing any configurations, Sophos Firewall can be deployed in bridge mode.

Sophos Firewall, when configured as a Layer 3 bridge, allows you to harness all of its security features while also routing.”

 

“When the device is configured in bridge mode, packets such as RSTP, Multicast routing, spanning tree and STP are forwarded.”

Come indicato nell’articolo Sophos XG Firewall: How to deploy in bridge mode e possibile configurare il firewall per operare in Bridge Mode o configurare semplicemente un bridge tra alcune porte (Mixed Mode) come indicato nell’articolo Sophos XG Firewall: How to configure a bridge e in cui vengono fornite ulteriori informazioni:

“In Bridge Mode, the LAN and WAN interfaces are joined together, so that all traffic passes transparently to the upstream router.”

“In Mixed Mode, Sophos Firewall acts as a gateway for one network segment, and can be simultaneously bridged to an existing firewall/router for other network segments.”

“Enable routing on this bridge pair allows the Sophos Firewall to route traffic going across the bridge based on its routing table.”

La modalità Bridge esisteva già nella versione precedente del firewall Sophos ovvero Sophos SG UTM, ma nell’SG UTM la modalità bridge ha alcune funzionalità che non sono ancora presenti nell’XG, a riguardo si veda ad esempio l’articolo Sophos XG Firewall: UTM9 bridge interface gaps not supported on Sophos XG Firewall che si riferisce però alla versione 16 dell’XG:

“The following items are listed as UTM9 bridge interface gaps not supported on Sophos XG Firewall:

1. Dynamic DNS
   
2. DHCP Client
   
3. IPsec VPN
   
4. PPPoE”
   

In particolare al momento nell’XG non ha il completo supporto alle VLAN nel bridge, ma è possibile solo assegnare un tag per impostare il VLAN ID come indicato nell’articolo Sophos XG Firewall: How to tag bridge interface traffic with vlan id. A riguardo si veda anche la discussione Adding VLAN to a bridge pair interface? dell’ 8 febbraio 2018 in cui un intervento di Alan Toews (Sr. Product Manager for Sophos XG Firewall) spiega come al momento è possibile appunto gestire bridge con tag VLAN ID ma non gestire un bridge che faccia da router tra diverse VLAN:

“XG DOES support controlling vlans on bridges today. If you want to web filter, IPS scan, firewall, sandbox, etc.. traffic inside VLANs that are passing over a bridge, XG will do that today, and is far superior to what UTM9 offers, and you do not need sub interfaces on the firewall to do it. you just create whatever rules you want,and they will apply seamlessly to all traffic passing over the bridge. Even when filtering web traffic, showing block pages, etc.. and having the resultant outbound request going out the expected vlan gateway, will all work exactly as you would hope, and is far superior to what UTM9 offers for similar scenarios. If that fits your goals, then you’re all set with XG as it stands today. It can sit as a near invisible bump in the wire, and give you all the filtering you might need, and covers the needs of roughly 90% of the customers using VLANs and bridges today, on UTM9.

 

If you want to have XG sit as a bridge, yet also act as a router between different VLANs, this requires you to create sub interfaces on top of the bridge, and is not possible in v17 today. That functionality and currently targeted for v18. This is a much less common scenario, so depending on your needs, it is very likely that XG will meet your VLAN/bridge needs today.”

Sempre Alan Toews indica che il pieno supporto alle VLAN nei bridge ora presente nella versione SG UTM del firewall sarà presente nella versione XG probabilmente nella versione 18 e questa indicazione era già stata espressa precedentemente in un suo intervento nella discussione XG, and VLANs on Bridges – feedback needed del 29 luglio 2016:

“We will add VLAN support on a bridge in v18, but that won’t be till next year.

Inoltre questa informazione è confermata anche nel documento XG Firewall Feature Comparison with SG UTM in cui vi è una pianificazione di quando le funzionalità dell’SG UTM saranno implementate in XG e il “VLAN on bridge support” è appunto schedulato in via indicativa per la versione V18.

A titolo indicativo si tenga presente che al momento è disponibile la versione 17.1.1 MR1 (come indicato in Latest version of Sophos products – Sophos XG Firewall) di seguito il calendario degli ultimi rilasci delle major version releases:

• 2018-06-06 SFOS 17.1.0 GA Released
• 2017-10-23 SFOS 17.0.0 GA Released
• 2017-01-17 SFOS 16.05.0 Released

Dalle informazioni contenute nel documento XG Firewall Feature Comparison with SG UTM in cui sembra che le versioni che verranno rilasciate in futuro saranno la 17.2, la 17.3 e quindi sembrerebbe la 18 e che i tempi di rilascio di una nuova versione sono di circa 8 mesi si può pensare la versione 18 potrebbe essere disponibile a giugno del 2020 e con essa il supporto competo alle VLAN nel bridge. Si tenga però conto che questa considerazione sulla data di rilascio è frutto solo di una previsione in base a dati precedente e non suffragata da alcuna indicazione da parte di Sophos.

Per avere informazioni sui rilasci di prodotto e sulle feature rese disponibili è possibile consultare:

• Il blog di Sophos dedicato al firewall XG disponibile al link https://community.sophos.com/products/xg-firewall/b/xg-blog
• Le sezioni del blog di AVANET (un Sophos Partner Platinum) dedicate a SFOS e ai firewall Sophos disponibili ai seguenti:
  • https://www.avanet.com/en/blog/sophos-firewall-os-release-notes/
  • https://www.avanet.com/en/blog/sophos-firewall/

[Update 01]

Per alcune info sulla roadmap del firewall Sophos XG è possibile vedere il post Sophos Roadshow 2018: See the future sul blog di AVANET sulla base delle informazioni rese pubbliche al Sophos Roadshow 2018 del 7 marzo 2018 tenutosi a Dübendorf in Svizzera dove sono state date indicazioni sulle novità che sarebbero state inserite nelle versioni 17.1, 17.2 e 17.3 e circa la versione 17.3 è stata data la seguente informazione:

“XG v17.3 will also be released this year. Here is a small extract of the expected features.”