Sophos Firewall v19.5 - Todas las nuevas funciones en esta actualización
Han pasado algunos meses desde la última vez que tuve tiempo de escribir un artículo sobre una actualización de SFOS. A partir de ahora volveremos a hacerlo con más regularidad. Por eso me alegra aún más presentar las nuevas funciones y mejoras de SFOS 19.5.
La actualización está disponible para todos los Sophos Firewall de las series SG, XG y XGS, así como para appliances virtuales o instancias en plataformas cloud como Azure o AWS.
Los siguientes modelos no recibirán la actualización porque no tienen 4 GB de RAM: XG 85(w), XG 105(w), SG 105(w)
Se cierra la vulnerabilidad de seguridad CVE-2022-3236
Una vulnerabilidad de inyección de código en el portal de usuario y en el WebAdmin permite a un atacante ejecutar código en el Sophos Firewall, versión v19.0 MR1 y anteriores. CVE-2022-3236
Búsqueda de Hosts y Servicios
En SFOS v19 se mejoró enormemente la búsqueda de objetos en las reglas de firewall. Sin embargo, en algunas áreas aún faltaba esta función, por ejemplo en los objetos Hosts y Services. Ahora es posible buscar por nombre, puertos o direcciones IP, lo que también facilita encontrar objetos duplicados.
Eliminar objetos duplicados cuando todavía están en uso sigue sin ser del todo sencillo, ya que no se indica dónde se está utilizando el objeto.
Inicio de sesión único de Azure AD para Webadmin
Azure AD ya está disponible en Sophos Central desde hace tiempo. Con la v19.5, la integración de Azure Active Directory (Azure AD) llega ahora a Sophos Firewall para Single Sign-on (SSO) en la consola Webadmin.
La integración de Azure AD también permite una gestión dinámica de roles y accesos de grupo. Así, es posible crear perfiles de permisos propios en la firewall o utilizar los ya existentes y asignarlos a un usuario en Azure AD.
La integración de Azure AD para el inicio de sesión de Webadmin es sin duda un gran comienzo. Se volverá emocionante cuando los usuarios de acceso remoto (SSLVPN o IPsec) y el Portal de usuario también funcionen con ella.
Mejoras en la alta disponibilidad
También hay una mejora realmente útil para los clústeres de alta disponibilidad (HA). Una pequeña novedad es, por ejemplo, el aviso al crear el clúster de que la licencia debe estar presente en el dispositivo primario o, en el caso de un clúster Active-Active, que en realidad casi nunca utilizamos, en ambos appliances.
Ahora es posible configurar varios enlaces HA y esto ya no solo a través de una conexión directa, sino también a través de LAGs y VLANs.
Las interfaces VLAN ahora también se pueden añadir a la monitorización de interfaces.
La página de estado ofrece ahora mucha más información importante. Se puede ver en qué nodo está activada la licencia, incluida la fecha y hora del último cambio de estado del clúster. También se puede asignar un nombre, de modo que ya no es necesario recordar el número de serie.
El widget del Control Center se ha desplazado a la parte superior derecha y también muestra más información sobre el clúster. El nombre de la pestaña indica ahora a qué nodo se está conectado, aunque personalmente preferiría que apareciera el hostname de la firewall, ya que de todos modos nunca inicio sesión en el Node2.
Balanceo de carga SD-WAN
SD-WAN existe desde la v19 y, en la nueva versión, los perfiles permiten configurar Load Balancing. Los métodos disponibles son Round Robin o Session Persistence.
Round Robin
Las conexiones se distribuyen entre las conexiones seleccionadas en función de la ponderación. En la captura de pantalla, ambas puertas de enlace tienen actualmente una ponderación de 1, lo que resulta en una distribución uniforme entre ambas puertas de enlace.
Persistencia de sesión
Con Session Persistence se puede definir si el tráfico debe repartirse por Source-IP, Destination-IP, ambas a la vez o por conexión.
Esta novedad se aplica al perfil SD-WAN. Por supuesto, se pueden crear varios perfiles y utilizarlos según los requisitos de la estrategia de routing, en función de la aplicación, el origen, el destino o el servicio.
Más rendimiento para todos los Sophos XGS Firewall
Cada appliance Sophos XGS cuenta con una arquitectura de doble procesador. En el lanzamiento de la XGS-Series, Sophos ya duplicó la velocidad de algunas conexiones en comparación con la XG-Series. También se anunció que, con futuras actualizaciones de software, algunos procesos se trasladarían de la CPU a la NPU para mejorar el rendimiento. Con la versión 19.5, más procesos pasan a ser gestionados por el Xstream Flow Processor y, por tanto, se aceleran. Gracias a este avance, en esta versión se ha duplicado sin más el número de túneles VPN IPsec en los modelos XGS.
En los modelos XGS 4300, 4500, 5500 y 6500, las conexiones cifradas TLS se aceleran en el FastPath, lo que hace que la inspección profunda de paquetes sea aún más eficiente.
Otras pequeñas mejoras en v19.5
OSPFv3
El nuevo motor de enrutamiento dinámico ofrece soporte para OSPFv3. Entre las novedades de OSPFv3 se incluyen el soporte para IPv6, un tamaño de cabecera más pequeño y la eliminación de MD5 para la autenticación. OSPFv3 renuncia por completo a su propio soporte de autenticación y, en su lugar, confía en el marco IPsec más flexible de IPv6.
Registro
El almacenamiento mejorado de archivos de registro permite una resolución de problemas exhaustiva.
Soporte de hardware
Soporte mejorado para interfaces de 40G con detección automática de configuraciones de puertos extendidas en los modelos XGS 5500 y 6500.
El soporte de hardware para los módulos 5G, que estaba listado en el EAP, ya no está incluido en la versión final v19.5. Por lo tanto, supongo que los módulos llegarán un poco más tarde de lo esperado.
Vídeo sobre las novedades de Sophos Firewall OS v19.5
Como veis, Sophos se está esforzando mucho en mostrar las nuevas funciones en vídeos, algo que nos parece genial. A menudo había nuevas funciones que quedaban enterradas en las Release Notes y de las que muy pocos se enteraban. Además de los vídeos sobre funciones concretas insertados arriba, también hay un vídeo sobre Sophos Firewall 19.5 en su conjunto.
Las actualizaciones ya no serán gratuitas por mucho tiempo
Quizás la información no haya llegado a todos: Las actualizaciones de Sophos Firewall ya no serán gratuitas en el futuro
Ahora tendríamos la primera actualización desde la versión 19.0 MR1 y el contador de actualizaciones gratuitas comienza en tres. Después de la instalación, más precisamente al cargar la nueva imagen de firmware 19.5, estará en dos.
Si ahora se observan las novedades de esta actualización, que hay que admitir que es una actualización importante, se ve claramente que incorpora muchas funciones nuevas que hacen que Sophos Firewall sea un poco mejor. Este desarrollo debe financiarse y, como ya conocemos por las apps de smartphone, muchos desarrolladores están cambiando al modelo de suscripción precisamente para poder pagar ese desarrollo.
Por lo tanto, si el contador de firmware llega a cero, se necesita una licencia de soporte mejorado, que se incluye individualmente o en un paquete de licencias como Standard Protection, Xstream Protection o Epic Protection.
