Sophos xg firewall home edition
Sophos xg firewall home edition
Категория: Железо Теги: Межсетевые экраны Опубликовано: 23 марта 2024

Sophos xg firewall home edition

Эта статья является негативным отзывом о продукте Sophos xg firewall home edition. Я всегда знал, что продукция британской компании Sophos не относится к качественному коду, и каждый раз в этом убеждался, особенно, когда вирус fun.exe без особого труда выключал их антивирус, а он его даже не детектил. С тех пор прошло лет 15, и я подумал, что многое могло измениться.

Решил проверить их межсетевой экран Sophos xg firewall home edition. По картинкам и описанию всё красиво и круто, да и бесплатно для дома! Документация для России недоступна, скачивать тоже нужно через vpn, но эта история не относится к претензиям к качеству кода.

Sophos xg firewall базируется на Linux, жаль, не записал название дистрибутива. Его можно узнать, если попытаться поставить на обычное железо. Есть у меня железо, и именно на него я решил установить Sophos xg firewall, но при попытке загрузить образ с флэшки, чтобы установить, вылазили ошибки с жуткой сиреной спикера (более противной, чем старый визг антивируса Касперского). Пробовал менять настройки BIOS, но толку ноль.

Решил для тестов поставить на виртуальную машину, и оно успешно установилось.

МЭ Sophos успешно установлен

После установки он просит ввести пароль (по умолчанию admin) и отображает меню.

Меню SFOS

Сеть настроил и решил ввести серийный номер (без регистрации сие чудо не скачать) и сразу заметил качество кода... Видите вопросы? Они появляются при попытке нажать BackSpace, чтобы стереть лишний символ. Ладно, дальше ошибся я и ввел серийный номер большими буквами - да, действительно большие и маленькие буквы это абсолютно разные символы... Однако даже такой любитель как я умеет приводить ввод пользователя к необходимому регистру. В серийном номере нет больших или маленьких, поэтому приводить всё к одному регистру труда не составит, но видимо разработчики из Sophos об этом не знают.

Нет смысла сразу после ввода пароля что-то пытаться настроить, так как системе нужно еще минут 5, чтобы инициализироваться (из сообщений системы узнал). В частности, сетевые интерфейсы могут не работать.

Хорошо, активировал и задал настройки сети, далее по всем мануалам нас отправляют в веб-интерфейс, и причем на нестандартный порт 4444.

Веб-интерфейс sophos xg firewall

Хм... Код действительно качественный... Действительно, зачем делать переадресацию? Это был сарказм.

Это ведь так легко, даже начинающий эникейщик умеет ставить wordpress с редиректом с http на https. Ладно, я не гордый. Вбил https:// и порт 4444, тогда все-таки увидел этот веб-интерфейс.

Отдельно хочу выделить, что веб-интерфейс, по крайней мере установщик, не адаптивный, то есть, он не адаптируется под разрешение экрана... Качественный код, что тут сказать. Видимо, в Великобритании еще не открыли css...

В крайнем случае, ну можно же было взять bootstrap и не позориться...

Базовая настройка sophos SFOS (не адаптивный веб-интерфейс)

Все окна мастера настройки показывать не буду, так как это не мануал по настройке. Все они не адаптивные были, по завершению настройки межсетевой экран отправляется в ребут.

После перезагрузки появляется окно ввода логина и пароля.

Аутентификации в Sophos SFOS

Кажется, вы забыли сказать, какой у вас по умолчанию логин... Документация недоступна, в письме с серийным номером его тоже нет... Нашел с трудом - admin. Идем дальше.

Центр управления Free Firewall Home Edition

Адаптивным дизайном тут и не пахнет... М-да... И просто жуткие шрифты... Сразу видно, как компания относится к разработке продукта.

В двадцатый раз хочу поблагодарить разработчиков Sophos за адаптивность веб-интерфейса... Мне потребовалось время, чтобы понять, что нужно делать после ввода серийного номера.

Регистрируем наш SFOS

Хотел сказать: "ладно, вдруг тут только интерфейс такой", а потом вспомнил, что этот продукт ставится не на любое железо...

С российских IP-адресов активироваться не хочет! Тут нужно мудрить! Ладно, активировал.

Далее иду смотреть настройки.

Правила и политики в Sophos SFOS

Правила брандмауэра весьма скудные...

Защита от вторжений в Sophos XG Firewall Home Edition

Защита от DDOS, хорошо... Хотя не выглядит надёжно.

IPS в Sophos SFOS

Ух, даже не IDS, а именно IPS! Это был сарказм, если вы не поняли. Правила по умолчанию весьма скудные и без ОЧЕНЬ прямых рук от этой IPS толку нет. Например, в том же OPNsense есть множество дефолтных правил системы обнаружения вторжений, которые показывают неплохую эффективность. А тут только топорность...

веб-фильтрация в Sophos XG Firewall Home Edition

Хочется плакать, когда видишь такой удобный интерфейс для активации защиты веб по категориям. В Zenarmor из OPNsense гораздо удобнее и ЭФФЕКТИВНЕЕ! Там больше категорий, и для их активации достаточно воспльзоваться переключателем!

Просто выбрать действие для категории недостаточно - необходимо добавить правило брандмауэра и указать ТОННУ данных, чтобы оно работало! Удобно? Очень.

Пробуем добавить правило брандмауэра

Еще раз, для активации этих категорий необходимо создать отдельное правило брандмауэра! В Zenarmor (ссылка на него приведена в конце статьи) достаточно нажать на переключатель.

Неужели вы уверены, что все конечные потребители смогут правильно настроить правило для всех этих категорий? Тогда какова эффективность этого софта? Низкая.

Фильтрация приложений в Sophos XG Firewall Home

Фильтр приложений по ходу умеет только онлайн прокси определять и то далеко не все =\

Беспроводные сети в Sophos XG Firewall Home

Возможность поднять свою wi-fi сеть это хорошо!

Защита email

Защита pop3/imap/smtp. Это всё хорошо и замечательно... Но тут нет настроек серверов, значит, он умеет перехватывать только открытый траффик. Офигеть эффективно!

Однако в настройках можно задать сертификат... Из данного меню его скачать или сгенерировать нельзя, либо через отдельную вкладку слева, либо ввести свой.

Защита веб-серверов

Тут можно активировать защиту веб-сайтов и онлайн-сервисов от типовых атак. Например, XSS или SQL-инъекции. Это не защита для сервера внутри сети, это защита для соединения от компьютера внутри до сервера снаружи. Например, скинули вам ссылку, в которой топорный XSS вектор, так вот SFOS её заблокирует. Если сможет расшифровать ваше ssl соединение...

MDR в SFOS

Решил проверить, и знаете, оказывается mail.ru опасный сайт!

Сайт mail.ru заблокирован sophos

М-да... Угроза безопасности! Сайты неправильных средств массовой информации тоже наверное угроза безопасности? Можно конечно исключения делать, но это очень глупый подход к формированию списка угроз. Просто представьте, вирусные аналитики сидят квалифицируют mail.ru как потенциально опасный, вместо того чтобы анализировать сотни тысяч фишинговых ресурсов... То есть, они тратят время на борьбу с безопасными сайтами, вместо того, чтобы анализировать действительно опасные.

Сертификаты в Sophos Firewall for home

Нашел-таки, где сертификаты задаются! Но как скачать-то? Или, мол, это тот, которым https подписан? Ладно, создадим свой, локально подписанный.

Скачиваем локально подписанный сертификат SOPHOS SFOS

И вот его уже можно скачать.

Вывод

Для того, чтобы сформировать своё мнение, вам достаточно посмотреть скриншоты. Лично моё мнение такое: это крайне некачественный продукт с большим количеством политизированности и пиара. Каждая функция написана спустя рукава. Для Sophos XG Firewall очень много эксплоитов...

Эксплоиты для sophos firewall

Эксплоиты для sophos sfos

Я их проверять не стал, так как эти уязвимости давно должны были устранить. Однако вдумайтесь, у продуктов SOPHOS закрыт исходный код, и для них каждый год появляется сотня эксплоитов и уязвимостей... Для OPNsense они тоже появляются, но не в таком количестве, и у OPNsense все-таки открыт исходный код. 

Тот факт, что Sophos xg firewall встаёт не на любое желание, вызывает удивление, ведь у него под капотом linux. У OPNsense таких проблем нет, хотя там FreeBSD. И установка в целом у OPNsense проходит более гладко и удобно, хотя сама FreeBSD более сложная и требовательная.

Буквально каждая из функций выглядит значительно менее качественно, чем в OPNsense, даже если не брать в расчет плагин zenarmor в OPNsense.

Блокировка сайта mail.ru в sophos sfos - это вообще что-то из ряда вон выходящее... Даже не знаешь, плакать или смеяться...

В общем, Sophos XG Firewall Home 20 не заслуживает внимания, и гораздо лучше поставить межсетевой экран с открытым исходным кодом OPNsense с плагином Zenarmor, который обеспечивает режим работы NGFW!

Алексей Черемных
729