Sophos Roadmap 2015

If you look at the UTM 9.35 branch, it does mention "improved stability"

"9.35, now with duct tape!"  lol

any more news on where we're at with any of this ? Looking at the past 2-3 firmware updates, it seems that Sophos clearly has got the message about improving reliability and fixing bugs rather than just adding more features and breaking existing things

It's actually worked like this for quite some time.  New features are only added for major version increments.  Then the next bunch of up2dates are used to fix release bugs along with regression fixes.  I'd expect 9.35 to go into beta sometime this summer.  The betas can last anywhere from 2-4 months normally.

Two months ago, I had a conversation with Mike Anderson, the newly hired Global SVP of Technical Services.  He confirmed that some experienced developer assets had been redeployed earlier this year to improve the quality of the current versions.  For almost nine months, I constantly felt like a cat on a hot tin roof, and now reliability seems to be almost back to what we knew for many years.

Cheers - Bob

Are there any news as to when the first copernicus version will be available for testing? Or is it still just "this summer"?

Just "this summer" for now

I've been using UTM as my residential router for over two years. (My son found it when we were looking for an alternative to a consumer router.) We have found it to be a very impressive system. It's easy to install, configure and operate and it's also very reliable, resulting in us recommending it to several others.

However, not surprisingly, as home users, our wishlist for new features is different than what is on the roadmap. Our needs are managing and monitoring wired and wifi computers, phones, servers and "internet of things", protecting our assets from attack from both outside and inside, providing access to vpn for "re-location" and privacy and providing ipv6 support that is lacking from our isp.

UTM has a lot of advanced features, but it seems weak in some of the fundamentals. It's cumbersome setting up static ipv4/ipv6 wired and/or wifi addresses and they use multiple licenses. Even with static addresses and names assigned, UTM does not always use the assigned names (e.g., in network protection reports). The network protection GUI is very cumbersome for investigating blocked packets. It it should not be necessary for a user to troll through logs in order to investigate blocked packets. Another major feature missing is the ability to utilize an external openvpn server. Consumer routers support this. This feature has been in the top 10 list of requested features for as long as we have been using UTM. It's now number 3. I don't understand the intransigence of Sophos to support it.

Here are the things I'd like to see improved:

• allowing multiple addresses per host (i.e., ipv4/ipv6, wired, wireless)
  
• fixing dhcp / dhcpv6 so it recognizes which interface is being used
  
• providing a mechanism to clear dhcp reservations
  
• providing a mechanism to view active devices and monitor traffic for active devices
  
• improving network protection so it’s easier to investigate blocked packets
  
• supporting external openvpn servers
  
• dns server
  

Looking at the roadmap, I didn't see any of the features on my wishlist so we installed a virtual network with pfsense on our server for testing. If it works, we'll be moving away from UTM.

Looking at the roadmap, I didn't see any of the features on my wishlist ...

Regarding future improvements, personally I can't wait to see the new Identity Management (Layer 8) and Application Control features (from Cyberoam engine), rather than improving on 198x protocols like DHCP and DNS. Any Windows server since NT 4.0 can do a perfect DHCP/DNS job, so there is no reason for another "hot water invention" (phrase from my language...[:)]). 

Looking at the Roadmap picture it is obvious that "VPN features" tag is listed for all future planned releases - 9.35, 9.4 and 9.5. 
It is not clear now if it would be SSL VPN site-to-site support, but I guess that developers would not spend many hours working on PPTP or L2TP protocols, but improving on SSL and IPSEC.

providing a mechanism to clear dhcp reservations

Disabling/enabling the DHCP server in question should accomplish this.

providing a mechanism to view active devices and monitor traffic for active devices
improving network protection so it’s easier to investigate blocked packets

What improvement would you make in the Flow Monitor?  - in the Firewall Live Log?

improving on SSL and IPSEC

I don't have much use for Site-2-Site SSL, but if some large customer wants to have it interoperate with OpenVPN, I'm sure that will be on the list.  I hope that the improvements are to IPsec.  Sophos had a great year last year, but much business was lost because charon has not yet replaced pluto meaning there's no IKEv2, etc.  Plus, I think StrongSWAN may already have stopped any work on V4.

Cheers - Bob

Regarding future improvements, personally I can't wait to see the new Identity Management (Layer 8) and Application Control features (from Cyberoam engine), rather than improving on 198x protocols like DHCP and DNS. Any Windows server since NT 4.0 can do a perfect DHCP/DNS job, so there is no reason for another "hot water invention" (phrase from my language...[:)]). 

Looking at the Roadmap picture it is obvious that "VPN features" tag is listed for all future planned releases - 9.35, 9.4 and 9.5. 
It is not clear now if it would be SSL VPN site-to-site support, but I guess that developers would not spend many hours working on PPTP or L2TP protocols, but improving on SSL and IPSEC.

The reason UTM cannot discriminate between ipv6 wired and wifi connections is because it's using the DUID to identify clients, which is not unique between wired and wifi (on windows pcs). Sophos blames this on the implementation of DHCP they are using. If UTM used the MAC address, like it does for ipv4, there would be no problem. Irrespective, it's broken and should be fixed. The limitation of one ipv4 wired and wireless ip address per host is due to UTM. In this era of coexisting ipv4 and ipv6, at the very least, Sophos should not be double counting licenses for people who choose to keep up with the times and use both protocols.

Regarding openvpn, I'm not looking for site to site, but rather to be able to use external vpn servers for geolocation and privacy. I realize that is not necessarily a "business" requirement, but nonetheless, it's used by a lot of people, it's been high up on the list of requested features for several years and it's supported by a lot of routers, including pfsense. In my opinion, UTM has all of the necessary infrastructure to support this feature.

I'm not looking for site to site, but rather to be able to use external vpn servers for geolocation and privacy. I realize that is not necessarily a "business" requirement, but nonetheless, it's used by a lot of people, it's been high up on the list of requested features for several years and it's supported by a lot of routers, including pfsense. In my opinion, UTM has all of the necessary infrastructure to support this feature.

This is much of the reason why it has not been implemented up to this point.  All UTM features added, MUST have a business requirement.  Without this, no resources will be dedicated to adding a feature.  This is policy.  

As well, the vast majority of VPN services out there that this would be used with are marketed specifically to changing geolocation to either circumvent filtering or allow access to geo locked copyrighted content.  A very bad idea for a business oriented security appliance to allow this.  Sales, marketing, and PR nightmare waiting to happen.  Until a way can be thought of to limit usage so that it could not be used for these purposes, the chances of it being added are extremely slim, regardless of the number of votes it gets.

These are the concerns from the Sophos end of things and the reasons that have been discussed there on this feature.

Disabling/enabling the DHCP server in question should accomplish this.


What improvement would you make in the Flow Monitor?  - in the Firewall Live Log?


I don't have much use for Site-2-Site SSL, but if some large customer wants to have it interoperate with OpenVPN, I'm sure that will be on the list.  I hope that the improvements are to IPsec.  Sophos had a great year last year, but much business was lost because charon has not yet replaced pluto meaning there's no IKEv2, etc.  Plus, I think StrongSWAN may already have stopped any work on V4.

Cheers - Bob

The only way to clear the dhcp lease tables is to delete the log files.

I find both the network usage and network protection pages to be very cumbersome for browsing and investigationg usage and dropped packets, as well as buggy. For example, if you are looking at clients and servers using a particular service, you have to cut and paste the ip address and there is no easy way to go back and forth. If you press back, you get logged out of webadmin. The usability is pretty bad. It's not uncommon when I look at a service that is reporting dropped packets and click on it for detail, there are no listed addresses. When I'm experiencing dropped packets, I'd like to be able to investigate where they are from to determine if it's an attack or if I should be opening the firewall. Ideally, I'd like to be able click on a service and open up a real-time log so I can watch it. It's difficult to do that currently.

As I said previously, I don't disagree that the type of openvpn support I and others are requesting is not generally business specific, however, considering the increasingly intrusive surveillance that we are experiencing, many people would like to have the option to use a VPN service.

Anyway, I don't have any grandiose illusions that Sophos is going to change their direction based on my opinion. I'm just stating it for the record. My son and I are generally happy with UTM and impressed with the overall capability and reliability, but many of the features Sophos is developing aren't high up on our needs, whereas the things we would like are not getting done. That's why we are taking a look at pfsense. We would have done it sooner, but it's only recently that pfsense will run on hyper-v.