Sophos Firewall v22 MR1: NDR, VPN-Fixes und wichtige Upgrade-Hinweise

Mit Sophos Firewall v22 MR1 steht das erste Maintenance Release für SFOS v22 zur Verfügung. Nachdem v22.0 GA bereits mehrere technische Änderungen und bekannte Fallstricke mit sich brachte, liefert MR1 nun wichtige Nachbesserungen, neue Erkennungsfunktionen und zusätzliche Compliance-Verbesserungen. 

Dieser Praxis-Check zeigt, welche Neuerungen für Administratoren wirklich relevant sind, welche v22.0-GA-Themen entschärft wurden und welche Punkte vor dem Upgrade geprüft werden sollten.

Die wichtigsten Neuerungen im Überblick

Wenn Sie bereits SFOS v22.0 GA einsetzen oder ein Upgrade auf v22 planen, bringt MR1 mehrere wichtige Verbesserungen:

• NDR Active Threat Intelligence ergänzt zusätzliche Erkennungsmuster für verdächtigen Netzwerkverkehr.
  
• Der XDR Linux Sensor erkennt nun auch Kompromittierungen durch interaktive Shells und Reverse-Shell-Zugriffe.
  
• Sophos Central Audit-Logs protokollieren die Benutzeridentität bei zentral vorgenommenen Konfigurationsänderungen.
  
• Mehrere policy-based IPsec VPN-Probleme aus SFOS v22.0 GA wurden behoben.
  
• Legacy Remote Access IPsec VPN wird nicht mehr unterstützt und kann ein Upgrade blockieren.
  
• Sophos Connect 2.0 für macOS unterstützt nun Remote Access SSL VPN.
  
• Microsoft Entra ID SSO erhält ein verbessertes Session-Handling gegen MFA-Bypass-Szenarien.
  
• SSD-Nutzung und Schreibvorgänge wurden optimiert.
  
• Sophos Firewall Config Studio V2 erleichtert Analyse, Vergleich und Bearbeitung von Firewall-Konfigurationen.

Was wurde gegenüber SFOS v22.0 GA verbessert?

Mit MR1 adressiert Sophos mehrere Punkte, die nach der Veröffentlichung von SFOS v22.0 GA für Administratoren relevant wurden. Dazu gehören insbesondere Verbesserungen bei policy-based IPsec VPNs, PPPoE-Performance, Microsoft Entra ID SSO und zusätzlichen Detection-and-Response-Funktionen.

Besonders wichtig ist der VPN-Bereich: Mehrere policy-based IPsec-Probleme aus v22.0 GA wurden korrigiert. Zusätzlich wurde in der Community bestätigt, dass der PPPoE-Performance-Bug NC-167806 behoben wurde. Für Umgebungen mit PPPoE-WAN-Anbindung oder komplexen VPN-Strukturen ist MR1 daher nicht nur ein Funktionsupdate, sondern auch ein relevantes Stabilitätsrelease.

Gleichzeitig bleiben bestimmte Punkte prüfpflichtig. Dazu zählen Legacy Remote Access IPsec VPN, STAS-Authentifizierung und Sophos-Wireless-Umgebungen mit APX- oder AP6-Access-Points.

Neue Erkennung: NDR Active Threat Intelligence

Eine der wichtigsten Neuerungen in SFOS v22 MR1 ist NDR Active Threat Intelligence. Sophos integriert hierbei iSensor-IPS-Technologie aus der Secureworks-Taegis-Plattform. Ziel ist es, zusätzliche kuratierte IPS-Erkennungsmuster bereitzustellen, die bösartigen Netzwerkverkehr und aktive Angreifer im Netzwerk besser identifizieren können.

Die neuen NDR-Erkennungen werden unter folgendem Menüpunkt aktiviert:

• Active threat response > NDR

Gerade für Umgebungen mit Sophos XDR oder Sophos MDR ist das interessant, weil zusätzliche Netzwerkereignisse für Untersuchungen, Korrelationen und Analystenbewertungen zur Verfügung stehen.

Secure by Design: XDR Sensor erkennt Shell-Aktivitäten

Mit SFOS v22 wurde bereits ein neuer Sophos XDR Linux Sensor eingeführt. MR1 erweitert dessen Erkennungsfunktionen. Laut Sophos kann der Sensor nun auch Kompromittierungen erkennen, die aus interaktivem Shell-Zugriff oder Reverse-Shell-Zugriffen resultieren. Zusätzlich kann zugehöriger TCP- oder UDP-Command-and-Control-Datenverkehr blockiert werden.

Das ist besonders relevant, weil Reverse Shells in realen Angriffsszenarien häufig genutzt werden, um nach einer erfolgreichen Kompromittierung eine Verbindung aus dem Zielnetz heraus aufzubauen.

Die Firewall wird dadurch stärker als aktive Sicherheitskomponente in Detection-and-Response-Prozesse eingebunden und kann Hinweise auf laufende Kompromittierungen schneller sichtbar machen.

NDR Essentials jetzt auf allen Sophos Firewall-Plattformen

Mit v22 MR1 unterstützt NDR Essentials nun alle Sophos Firewall-Plattformen. Dazu gehören laut Sophos auch virtuelle, Cloud- und Software-Firewalls.

Das ist vor allem für Umgebungen relevant, die nicht ausschließlich auf physische XGS-Appliances setzen. Gerade virtuelle oder cloudbasierte Deployments werden damit besser in die NDR-Funktionalität eingebunden.

Wichtig bleibt jedoch: Für entsprechende NDR-Funktionen muss die passende Lizenzierung vorhanden sein. In der Sophos Community wurde außerdem darauf hingewiesen, dass bestimmte Funktionen wie NDR-E und DNS Protection bei reinen Home-Lizenzen nicht freigeschaltet sind.

Audit-Logs über Sophos Central

Eine sehr praxisrelevante Neuerung betrifft die Nachvollziehbarkeit von Änderungen. Werden Konfigurationsänderungen an einer einzelnen Firewall über Sophos Central vorgenommen, wird nun die Sophos-Central-Benutzeridentität protokolliert. Diese Audit-Informationen sind im Sophos Firewall Log Viewer sowie in Sophos Central Logs und Reports verfügbar. Sophos nennt dabei ausdrücklich die Unterstützung von NIS2 und ähnlichen Compliance-Anforderungen.

Für Unternehmen mit mehreren Administratoren, Partnerzugriff oder zentralem Firewall-Management ist das ein wichtiger Punkt. Änderungen lassen sich besser einer konkreten Person zuordnen.

Gerade im Audit- oder Compliance-Kontext ist entscheidend, nachvollziehen zu können, wer wann welche Änderung vorgenommen hat. Die neue Protokollierung schafft hier deutlich mehr Transparenz.

VPN: Legacy IPsec entfällt, IPsec-Fixes enthalten

Im VPN-Bereich bringt SFOS v22 MR1 wichtige Korrekturen, aber auch eine entscheidende Änderung: Der alte Legacy Remote Access IPsec VPN wird nicht mehr unterstützt.

Firewalls mit dieser Legacy-Konfiguration können nicht auf SFOS 22.0 MR1 oder spätere Versionen aktualisiert werden. Sophos weist ausdrücklich darauf hin, dass betroffene Umgebungen vor dem Upgrade handeln müssen.

Zusätzlich behebt MR1 mehrere Probleme bei policy-based IPsec VPNs, die in SFOS 22.0 GA identifiziert wurden. Genannt werden unter anderem:

• NC-177450
  
• NC-174800
  
• NC-177136
  
• NC-174304
  
• NC-172504
  
• NC-173054
  
• NC-176083

Sophos Connect 2.0 für macOS

Mit SFOS v22 MR1 unterstützt Sophos Connect 2.0 für macOS nun Remote Access SSL VPN-Verbindungen.

Das ist besonders für Unternehmen relevant, die macOS-Geräte produktiv einsetzen und Remote-Zugriffe über SSL VPN bereitstellen. Die Unterstützung über Sophos Connect 2.0 vereinfacht hier die Nutzung und Verwaltung entsprechender VPN-Verbindungen.

Microsoft Entra ID SSO: Verbesserte Session-Verwaltung

SFOS v22 MR1 enthält außerdem eine Verbesserung für Microsoft Entra ID SSO. Die Session-Verwaltung wurde erweitert, damit Conditional-Access-Richtlinien erneut bewertet werden, wenn SSO-Sitzungen wiederverwendet werden. Dadurch soll verhindert werden, dass MFA-Anforderungen durch wiederverwendete SSO-Sessions umgangen werden.

Für Unternehmen mit Microsoft Entra ID, Conditional Access und MFA ist das sicherheitsrelevant. Authentifizierung muss nicht nur eingerichtet sein, sondern auch bei wiederverwendeten Sitzungen korrekt greifen.

Storage- und Netzwerkoptimierungen

Auch unter der Haube bringt SFOS v22 MR1 Verbesserungen. Sophos nennt eine optimierte SSD-Nutzung und reduzierte Schreiboperationen, um die SSD-Lebensdauer langfristig zu verbessern. Außerdem können MTU- und MSS-Werte von WLAN-Schnittstellen über bestehende CLI-Befehle angepasst werden.

Diese Änderungen wirken auf den ersten Blick weniger spektakulär als NDR oder VPN-Fixes, sind im produktiven Betrieb aber durchaus relevant. Gerade Firewalls, die langfristig stabil laufen sollen, profitieren von solchen Optimierungen.

Sophos Firewall Config Studio V2

Mit Sophos Firewall Config Studio V2 stellt Sophos eine browserbasierte Weiterentwicklung des bisherigen Sophos Firewall Configuration Viewers bereit. Das Tool ermöglicht laut Sophos unter anderem:

• Anzeige von Regeln, Richtlinien und Einstellungen in einem Konfigurationsreport
  
• Vergleich zweier Konfigurationen
  
• Erkennung hinzugefügter, entfernter, geänderter und unveränderter Objekte
  
• Bearbeitung von Konfigurationen im Browser
  
• Export für Import, API oder cURL-Nutzung
  

Gerade bei Migrationen, Audits, Qualitätssicherung oder größeren Firewall-Projekten kann das Tool hilfreich sein.

Praxis-Check: Erfahrungen aus der Sophos Community

Neben den offiziellen Release-Informationen lohnt sich ein Blick in die Sophos Community. Dort wurden bereits erste Rückmeldungen zu SFOS v22 MR1 geteilt.

PPPoE Performance-Bug NC-167806

Ein in der Praxis viel diskutierter Punkt war der PPPoE-Durchsatz beziehungsweise die TX-Warteschlangenlänge. Im Feedback-Thread wurde von Sophos-Seite bestätigt, dass NC-167806 behoben wurde. Dabei ging es um ein PPPoE-Performance-Problem, bei dem eine TX queue length von 3 zu Paketverlusten und schlechter Upload-Geschwindigkeit führen konnte.

Für Umgebungen mit PPPoE-WAN-Anbindung ist das ein wichtiger Fix, insbesondere wenn zuvor manuelle Anpassungen wie txqueuelen notwendig waren.

Access Points nach dem Update prüfen

In der Community wurde außerdem berichtet, dass APX- und AP6-Access-Points nach dem Update neu gestartet werden mussten, damit sich Endgeräte wieder verbinden konnten.

Das muss nicht jede Umgebung betreffen. Für die Update-Planung ist es aber ein sinnvoller Hinweis: Wer Sophos Wireless im Umfeld der Firewall nutzt, sollte nach dem Update nicht nur VPN und WAN prüfen, sondern auch Access Points und Client-Verbindungen kontrollieren.

STAS-Thema weiterhin beobachten

Ebenfalls diskutiert wurde ein STAS-Authentifizierungsproblem mit der Kennung NC-176222, bei dem es nach SFOS 22.0 GA zu zufälligen „Not logged in“-Browsing-Problemen kommen konnte. In der Community wurde darauf hingewiesen, dass hierfür noch keine finale vollständige Schlussfolgerung vorliegt.

Wenn Ihre Umgebung stark auf STAS-Authentifizierung angewiesen ist, sollte das Update daher besonders kontrolliert getestet werden. Das bedeutet nicht automatisch, dass MR1 problematisch ist – aber es ist ein Punkt, den man vor einem produktiven Rollout sauber bewerten sollte.

WAN-IP-Wechsel und ARP-Verhalten

Ebenfalls diskutiert wurde ein Verhalten, bei dem sich eine WAN-Schnittstelle nicht zuverlässig aktualisiert, wenn ein vorgeschaltetes Modem die IP-Adresse ändert. In der Community wurde bestätigt, dass dieses Thema noch nicht grundsätzlich behoben ist und mit ARP-Verhalten beziehungsweise Race Conditions zusammenhängt.

Als möglicher Workaround wurde ein ARPing-Skript genannt. Für Umgebungen mit dynamischem WAN-Adresswechsel, vorgeschaltetem Modem oder Starlink-ähnlichen Szenarien kann es daher sinnvoll sein, das Verhalten nach dem Update gezielt zu beobachten.

Kompatibilität und Upgrade-Pfade

Sophos Firewall v22 MR1 ist laut Sophos Release Notes als 22.0 MR1 Build 490 verfügbar. Das Upgrade kann von mehreren vorherigen SFOS-Versionen direkt durchgeführt werden.

Dazu gehören unter anderem:

• 22.0 GA Build 411
  
• 21.5 MR2 Build 323
  
• 21.5 MR1 Build 261
  
• 21.5 GA Build 171
  
• verschiedene 21.0-Versionen
  
• unterstützte Versionen aus 20.0, 19.5 und 19.0
  

Besonders relevant: 21.5 MR2 Build 323 kann direkt auf 22.0 MR1 Build 490 aktualisiert werden. Ein Upgrade von 21.5 MR2 Build 323 auf 22.0 GA Build 411 ist laut Upgrade-Tabelle hingegen nicht vorgesehen.

Wichtig ist außerdem: SFOS 22.0 und spätere Versionen unterstützen keine älteren XG- und SG-Series-Hardware-Appliances mehr. Wer noch XG- oder SG-Hardware betreibt, sollte daher vor einer Update-Planung prüfen, ob die eingesetzte Plattform überhaupt für SFOS v22 unterstützt wird.

Upgrade-Checkliste vor SFOS v22 MR1

Vor dem Upgrade sollten Administratoren mindestens folgende Punkte prüfen:

1. Legacy Remote Access IPsec VPN
   Wird diese alte VPN-Variante noch eingesetzt? Falls ja, muss sie vor dem Upgrade migriert werden.
   
2. VPN-Topologien
   Prüfen Sie policy-based und route-based IPsec VPNs, NAT-Regeln und SD-WAN-Abhängigkeiten.
   
3. STAS-Authentifizierung
   In Umgebungen mit STAS sollte das Update kontrolliert getestet und die Benutzererkennung nach dem Upgrade geprüft werden.
   
4. PPPoE-Anbindungen
   Bei PPPoE-WAN-Strecken lohnt sich ein Blick auf Upload-Performance und bestehende Workarounds.
   
5. Sophos Wireless / Access Points 
   Nach dem Update sollten APX-/AP6-Verbindungen und Client-Assoziierungen kontrolliert werden.
6. Sophos Central Management
   Prüfen Sie nach dem Update, ob zentrale Änderungen korrekt protokolliert werden.
   
7. Backup und Wartungsfenster
   Erstellen Sie vor dem Update ein aktuelles Backup und planen Sie ein geeignetes Wartungsfenster ein.

Unsere Empfehlung

Das Update auf Sophos Firewall v22 MR1 ist für viele produktive Umgebungen ein sinnvoller Schritt. Besonders die neuen NDR-Funktionen, die verbesserte Auditierbarkeit über Sophos Central, die Korrekturen im VPN-Bereich, die Anpassungen bei Microsoft Entra ID SSO und der PPPoE-Fix machen das Release praxisrelevant.

Vor dem Update sollte jedoch zwingend geprüft werden, ob noch Legacy Remote Access IPsec VPN im Einsatz ist. Diese Konfiguration wird ab SFOS 22.0 MR1 nicht mehr unterstützt und kann ein Upgrade blockieren.

Auch Umgebungen mit STAS-Authentifizierung, PPPoE-WAN-Anbindungen oder komplexeren VPN-Strukturen sollten das Update nicht nebenbei einspielen. Ein Firewall-Update sollte immer als geplanter Change und nicht als spontane Nebenbei-Aktion behandelt werden.

Planen Sie das Update strukturiert, sichern Sie die bestehende Konfiguration und prüfen Sie die wichtigsten Dienste nach dem Neustart gezielt.

Fazit

Sophos Firewall v22 MR1 ist mehr als ein kleines Wartungsrelease. Das Update erweitert die Sicherheitsfunktionen der Firewall, verbessert die Erkennung aktiver Bedrohungen und stärkt die Nachvollziehbarkeit von Änderungen über Sophos Central.

Besonders relevant sind:

• NDR Active Threat Intelligence
• erweiterte Secure-by-Design-Erkennungen
  
• wichtige VPN-Korrekturen
  
• Unterstützung von Sophos Connect 2.0 für macOS
  
• verbessertes Microsoft Entra ID SSO
  
• Optimierungen bei PPPoE, SSD-Nutzung und Netzwerkparametern

Gleichzeitig bleibt eine saubere Vorbereitung entscheidend. Legacy IPsec, STAS-Abhängigkeiten, PPPoE-Anbindungen und Plattformkompatibilität sollten vorab geprüft werden.

Wer diese Punkte berücksichtigt, erhält mit SFOS v22 MR1 ein wichtiges Update für moderne Sophos-Firewall-Umgebungen.

Hinweis

Benötigen Sie Unterstützung bei der Prüfung Ihrer Sophos Firewall-Umgebung vor dem Update auf v22 MR1? Unser technisch geschultes Team unterstützt Sie gerne bei einem strukturierten Kompatibilitäts-Check, der Bewertung Ihrer VPN-Konfigurationen und der Vorbereitung des Updates.

Buchen Sie dazu einen Termin:

Links zur weiteren Recherche

• Sophos Release News: Sophos Firewall v22 MR1 is Now Available
• Offizielle Sophos Release Notes: Sophos Firewall v22.0 MR1
• Sophos Community: v22.0 MR1 Feedback and experiences
• Sophos Config Studio V2
• Unser vorheriger Praxis-Check: Sophos Firewall v22.0 GA – wichtige Änderungen & bekannte Fallstricke