Sophos Firewall v19.5 – Todas las novedades de esta actualización
Han pasado unos meses desde la última vez que tuve tiempo de escribir un artículo de actualización del SFOS. Las cosas volverán a ser mejores en el futuro. Por eso me entusiasma aún más presentar las nuevas funciones y mejoras de SFOS 19.5.
La actualización es para todos los Sophos Firewallde las series SG, XG y XGS y también para los dispositivos o instancias virtuales en plataformas en la nube como Azure o AWS.
Los siguientes modelos no recibirán la actualización porque no tienen 4 GB de RAM: XG 85(w), XG 105(w), SG 105(w)
Se cierra la vulnerabilidad CVE-2022-3236
Una vulnerabilidad de inyección de código en el portal de usuarios y WebAdmin permite a un atacante ejecutar código en Sophos Firewall, versión v19.0 MR1 y anteriores. CVE-2022-3236
Búsqueda de hosts y servicios
En SFOS v19, la búsqueda de objetos en las reglas del cortafuegos se ha mejorado enormemente. Sin embargo, en algunos lugares seguía faltando la función de búsqueda, como en los objetos de hosts y servicios. Aquí es posible buscar por nombres, puertos o direcciones IP, lo que también facilita la búsqueda de objetos duplicados.
Eliminar los objetos duplicados cuando todavía están en uso no es tan fácil porque no se obtiene una pista de dónde se utiliza este objeto.
Sophos ha presentado la nueva función con más detalle en un vídeo de 2 minutos.
Azure AD SSO para el inicio de sesión de Webadmin
Azure AD está disponible en Sophos Central desde hace tiempo. Con la versión 19.5, la integración de Azure Active Directory (Azure AD) llega a Sophos Firewall para el inicio de sesión único (SSO) en la consola de administración web.
La integración de Azure AD también permite la gestión dinámica de los accesos a las funciones y a los grupos. Esto significa que puede crear sus propios perfiles de derechos en el cortafuegos o utilizar los existentes y luego asignarlos a un usuario en Azure AD.
Este vídeo explica cómo configurar la página de Azure y Sophos Firewall.
La integración de Azure AD para el inicio de sesión del administrador web es sin duda un gran comienzo. Será emocionante cuando los usuarios de acceso remoto (SSLVPN o IPsec) y el portal de usuario también funcionen con él.
Mejoras en la alta disponibilidad
También hay una mejora muy buena para los clústeres de HA. Una pequeña novedad es, por ejemplo, la información al crear el clúster de que la licencia debe estar disponible en el dispositivo primario o, en el caso de un clúster activo-activo, que en realidad casi nunca utilizamos, la licencia debe estar disponible en ambos dispositivos.
Ahora es posible configurar múltiples enlaces de HA y sólo a través de una conexión directa, sino también a través de LAGs y VLANs.
Ahora también se pueden añadir interfaces VLAN durante la supervisión de interfaces.
La página de estado ofrece ahora una información mucho más importante. Es visible en qué nodo está activada la licencia. La fecha y hora del último cambio de estado del clúster. Puede asignar un nombre y ya no tendrá que recordar el número de serie.
El widget del Centro de Control se ha desplazado a la parte superior derecha y también muestra más información sobre el clúster. El nombre de la pestaña ahora también muestra a qué nodo te estás conectando, aunque yo preferiría ver el nombre del host del firewall aquí, ya que nunca me conecto al Nodo2 de todos modos.
De nuevo, hay un vídeo que muestra estas mejoras.
SD-WAN Load Balancing
SD-WAN está disponible desde la v19 y en la nueva versión es posible crear un balanceo de carga en los perfiles. Los métodos disponibles son Round Robin o Session Persistence.
Round Robin
Las conexiones se distribuyen entre las seleccionadas según la ponderación. En la captura de pantalla, ambas pasarelas tienen actualmente una ponderación de 1, lo que significa que las conexiones se distribuyen uniformemente a ambas pasarelas.
Persistencia de la sesión
Con la Persistencia de la Sesión, se puede definir si el tráfico debe dividirse por IP de origen, IP de destino, ambas a la vez o por conexión.
Esta renovación se aplica al perfil SD-WAN. Por supuesto, es posible crear varios perfiles y utilizarlos según los requisitos de la estrategia de enrutamiento basada en la aplicación, el origen, el destino o el servicio.
Más rendimiento para todos los Sophos XGS Firewalls
Todos los dispositivos Sophos XGS tienen una arquitectura de doble procesador. Cuando se lanzó la serie XGS, Sophos aceleró algunas conexiones al doble en comparación con la serie XG. Se ha anunciado que con las próximas actualizaciones de software, los procesos se descargarán de la CPU a la NPU para mejorar el rendimiento. Con la versión 19.5, el procesador Xstream Flow gestiona más procesos y los acelera. Gracias a este desarrollo, el número de túneles VPN IPsec en los modelos XGS se ha duplicado en esta versión.
En los modelos XGS 4300, 4500, 5500 y 6500, las conexiones cifradas por TLS se aceleran en FastPath, lo que hace que la inspección profunda de paquetes sea aún más eficaz.
Otras pequeñas mejoras en la v19.5
OSPFv3
El nuevo motor de enrutamiento dinámico ofrece soporte para OSPFv3. Entre las innovaciones de OSPFv3 están la compatibilidad con IPv6, el menor tamaño de las cabeceras y el hecho de que ya no se utilice MD5 para la autenticación. OSPFv3 abandona por completo su propio soporte para la autenticación y en su lugar se basa en el marco más flexible de IPsec de IPv6.
Log
La mejora en el almacenamiento de los archivos de registro permite la resolución detallada de los problemas.
Soporte de hardware
Soporte mejorado para interfaces de 40G con detección automática de configuraciones de puertos extendidos en los modelos XGS 5500 y 6500.
El soporte de hardware para los módulos 5G, que figuraba en el EAP, ya no está incluido en la versión final v19.5. Supongo que los módulos llegan un poco más tarde de lo esperado.
Vídeo sobre las novedades de Sophos Firewall OS v19.5
Como puedes ver, Sophos se esfuerza ahora en mostrar las nuevas funciones en vídeos, lo que nos parece muy interesante. A menudo había nuevas características que se perdían en las notas de la versión y sólo eran percibidas por unas pocas personas. Además del vídeo anterior sobre las funciones individuales, también hay un vídeo sobre Sophos Firewall 19.5 en su conjunto.
Las actualizaciones ya no serán gratuitas durante mucho tiempo
Tal vez la información no llegó a todos: Las actualizaciones de Sophos Firewall dejarán de ser gratuitas en el futuro
Así que ahora tenemos la primera actualización desde la versión 19.0 MR1 y el contador de las actualizaciones gratuitas empieza a ser tres. Después de la instalación, o más precisamente al cargar la nueva imagen de firmware 19.5, el contador está en dos.
Si ahora se fijan en las novedades de esta actualización, que hay que reconocer que es una actualización importante, ya pueden ver que vienen muchas funciones nuevas, que hacen que el Sophos Firewall vuelva a ser un poco mejor. Este desarrollo tiene que ser pagado, y como se sabe de las aplicaciones de los teléfonos inteligentes, muchos desarrolladores están cambiando al modelo de suscripción con el fin de obtener el pago de este desarrollo.
Por lo tanto, si el contador del firmware está entonces a cero, necesitas una licencia de Enhanced Support, que se incluye individualmente o en un paquete de licencias como Standard Protection, Xstream Protection o Epic Protection.