Aller au contenu
Avanet
7 raisons pour lesquelles XG Firewall (SFOS) est meilleure que l'UTM

7 raisons pour lesquelles XG Firewall (SFOS) est meilleure que l'UTM

Depuis plus de deux ans, nous n’avons mis en service que des XG Firewalls avec SFOS ou installé SFOS sur des appliances SG. Certes, XG Firewall était un véritable cauchemar dans ses premières versions et ne pouvait être utilisée correctement que dans quelques environnements. Avec la version 16, la situation s’est lentement améliorée et nous avons au moins osé réaliser de petits projets avec elle. À partir de la v16.5, nous avons entièrement misé sur XG pour les nouveaux projets et, depuis, nous ne sommes plus jamais revenus vers l’UTM.

Pour clarifier les choses dès le début : lorsque je parle de XG Firewall, je parle de la série d’appliances XG avec Sophos Firewall OS (SFOS). Nous gérons toutefois aussi des appliances SG sur lesquelles nous avons simplement installé SFOS. Cela fonctionne parfaitement. 🙂

Après avoir déjà réalisé de nombreux projets avec XG Firewall, je voulais partager les 7 raisons pour lesquelles, à mon avis, XG Firewall est le meilleur choix face à la série SG avec le système d’exploitation UTM. Avec cet article, je souhaite donc apporter ma contribution au débat UTM vs. XG. 🥊

01 - Développement

Lorsque je cherche aujourd’hui une nouvelle application pour mon smartphone ou mon ordinateur, je porte une attention particulière à la date de sa dernière mise à jour. Si je ne trouve pas de changelog, je consulte le compte social, par exemple Twitter. Toute activité datant de plus d’un an est morte à mes yeux, et l’application ne finira certainement pas sur mon smartphone ou mon ordinateur.

Il faut avouer que pour le pare-feu UTM, ce n’est pas si grave. Mais les cycles de mise à jour ont été extrêmement prolongés. Auparavant, il y avait une mise à jour pour l’UTM pratiquement tous les mois. Aujourd’hui, c’est environ tous les 4 mois et il n’y a pratiquement plus de nouvelles fonctions.

La raison en est la suivante : Sophos compte environ 300 développeurs travaillant sur les systèmes d’exploitation SFOS et UTM. Cependant, seuls environ 5 % de ces développeurs travaillent encore sur le système d’exploitation UTM. Le reste travaille sur XG Firewall. On voit donc aussi par le fabricant où se situent les priorités.

De temps en temps, une nouvelle fonction redonne un peu d’espoir aux utilisateurs d’UTM. Mais en réalité, Sophos cherche depuis longtemps une recette pour rendre XG attractive aux fidèles, sans les perdre au profit d’un autre fabricant. En tant qu’ancien utilisateur d’UTM, je sais cependant qu’on ne change pas si vite de système lorsque ce n’est pas vraiment nécessaire. Tant que l’UTM ne sera pas définitivement abandonnée, la majorité n’aura tout simplement aucune raison de changer.

Si l’on examine la feuille de route des deux systèmes d’exploitation, la liste pour le SFOS est extrêmement longue et les plans vont bien au-delà de 18 mois. En ce qui concerne l’UTM, des fonctions ont été supprimées de la feuille de route par le passé ou constamment repoussées. Un exemple frappant est IKEv2. Cette fonctionnalité a longtemps figuré sur la feuille de route, a été sans cesse reportée et finalement même complètement retirée de la feuille de route. Suite à un tollé dans la communauté, elle a été réintégrée et devrait maintenant apparaître dans la version 9.8 l’année prochaine.

Avec Sophos Firewall OS, la situation est complètement différente et c’est pourquoi c’est la première raison pour laquelle nous aimons le système. Environ toutes les sept semaines, nous avons droit à de nouvelles MR - Maintenance Releases et 1 à 2 fois par an, il y a une version MINOR avec beaucoup de nouvelles fonctionnalités. Le Sophos Firewall OS s’est donc développé ces derniers mois de “bon” à “très bon”. Le système n’est pas encore tout à fait là où il devrait être et présente encore quelques lacunes. Mais pour un OS si jeune, les progrès sont très importants !

02 - Matériel

Le matériel des Sophos XG Firewalls et celui de la série SG sont identiques en termes de CPU, de RAM, de stockage et de connexions. Une petite exception est le Sophos XG 86 et le XG 106, qui n’existent pas dans la série SG. Les deux plus petits modèles seraient ici les SG 85 et SG 105, qui disposent cependant de moins de RAM et de stockage que les XG 86 et XG 106. Mais fondamentalement, il est tout à fait possible d’installer le SFOS de XG Firewall sur un matériel SG. La licence peut alors être migrée 1:1.

Nous avons expliqué comment installer SFOS sur une appliance Sophos SG dans un article de la base de connaissances : Installer le système d’exploitation Sophos XG Firewall sur une appliance SG

Une nouvelle série de matériel est attendue l’année prochaine, qui porte actuellement le nom de “XGS”. Nous ne pouvons pas encore dire à ce stade si elle remplacera directement la série XG. En tout cas, seul le SFOS est mentionné comme système d’exploitation compatible. Aucun nouveau firmware n’est prévu pour la série SG.

Ce qui, au moins pour l’instant, plaide également clairement en faveur d’un XG Firewall avec SFOS, c’est le support des nouveaux points d’accès APX ! Les points d’accès, qui sont arrivés sur le marché en juillet 2018 et qui disposent de la nouvelle norme Wave-2, ne sont encore aujourd’hui compatibles qu’avec les XG Firewalls et Sophos Central. Du côté de Sophos, on a toujours dit que les points d’accès APX ne seraient jamais compatibles avec l’UTM. Pour nous, cette démarche a toujours eu beaucoup de sens ! Il s’agit d’un matériel NextGen, qui n’a été développé que pour des firewalls NextGen.

Cependant, nous pouvons maintenant vous annoncer, en secouant la tête, que Sophos est revenu sur ce plan. Le support des points d’accès APX arrivera pour l’UTM ! Le support est prévu pour l’UTM 9.7, qui devrait être publié à la fin de l’année.

03 - Licences

L’octroi de licences pour XG Firewall n’est pas complètement différent de celui de l’UTM. Néanmoins, il y a quelques avantages importants.

Base License

La Base License d’une appliance XG Firewall est incluse gratuitement. Vous trouverez les fonctions qu’elle contient dans un article séparé sur la Base License. Voici les principales fonctions dont vous pouvez profiter gratuitement :

  • Wireless Protection
  • VPN SSL ou client Sophos Connect
  • Connexions VPN IPsec

EnterpriseGuard Bundle

Vous connaissez certainement le FullGuard Bundle, qui débloque tous les modules sauf Sandstorm sur le firewall. Avec le FullGuard Plus Bundle, vous obtenez également Sandstorm.

Pour la série XG, il existe en plus le très apprécié EnterpriseGuard Bundle. Ce bundle est une véritable alternative au FullGuard Bundle, car il couvre déjà les besoins de la plupart des clients. Avec l’EnterpriseGuard Bundle, vous obtenez Network Protection et Web Protection, ainsi que Sophos Premium Support. Wireless Protection est déjà incluse gratuitement dans la Base License. Ainsi, seuls quelques clients devront recourir au FullGuard Bundle plus cher, si un besoin de protection des e-mails et des serveurs web existe réellement.

04 - Règles de pare-feu

Passons maintenant à la partie plus technique, celle qui explique pourquoi, à mon avis, SFOS a une longueur d’avance sur le système d’exploitation UTM.

L’ensemble des règles de pare-feu est devenu beaucoup plus clair avec SFOS. Si vous avez plus de 10 règles de pare-feu, ce qui devrait être le cas dans la plupart des environnements, celles-ci peuvent être très bien regroupées dans SFOS. La capture d’écran suivante de mon XG Firewall à la maison l’illustre également. Ici, tous les appareils IoT ont leur propre réseau et les règles de pare-feu correspondantes sont toutes regroupées dans un seul groupe.

Sophos Firewall - Aperçu des règles

Si l’on examine ensuite un groupe de plus près, on découvre rapidement quelles règles de pare-feu individuelles laissent encore passer le trafic et quelles règles ne sont peut-être plus utilisées. Cette représentation aide à identifier et à supprimer les règles superflues.

Sophos Firewall - Règles de pare-feu

Contrairement à l’UTM, je peux donner un nom propre à une règle de pare-feu dans SFOS. Des commentaires plus longs sont également possibles au sein d’une règle, par exemple pour noter qui a créé cette règle et dans quel but elle a été créée.

  • Chaque règle reçoit un ID, avec lequel je peux vérifier dans le journal quel trafic passe par cette règle.
  • On peut voir en un coup d’œil si, par exemple, l’IPS ou le filtre web est actif pour une règle.

Concernant les règles de pare-feu, je pourrais théoriquement vous citer encore beaucoup plus d’avantages qui soulignent pourquoi je ne reviendrais jamais à une UTM. Mais je m’en tiendrai aux arguments principaux énumérés ci-dessus, qui devraient déjà convaincre tout administrateur de pare-feu. 🙂

Même si de nombreuses améliorations ont été apportées au SFOS concernant les règles de pare-feu, le SFOS présente un inconvénient très ennuyeux par rapport à l’UTM. L’enregistrement d’une règle de pare-feu prend sur les XG Firewalls 86 à 135 entre 4 et 10 secondes ! Cette situation doit être améliorée avec la v18 et complètement résolue avec la v19.

05 - Visionneuse de journaux

Même après plusieurs années sur XG Firewall, le visualiseur de journaux est toujours un atout majeur ! Il permet de vérifier rapidement et facilement les journaux directement via l’interface graphique. Mais avant de trop m’étendre sur le sujet, il suffit de regarder la vidéo suivante :

06 - Sophos Central

Non, pas de panique ! Je ne vais pas non plus vous parler de Sophos Synchronized Security, dont le département marketing de Sophos a fait le slogan du siècle. Mais si cela vous aide à échanger votre UTM contre une XG, alors nous monterons bien volontiers dans le train. Saviez-vous qu’avec Synchronized Security sur XG Firewall, vous pouvez voir quelles applications s’exécutent sur les endpoints ? 😂 Donc oui, Synchronized Security offrira encore d’autres possibilités intéressantes à l’avenir !

Venons-en maintenant, concernant Central, à une fonction qui en est encore à ses balbutiements, mais qui recèle un potentiel énorme. Je parle du Central Firewall Management. Cela permet de lier le pare-feu à Central et de le gérer à partir de là. Une telle liaison est déjà possible, mais les fonctions vraiment intéressantes sont encore à venir ! Je ne peux malheureusement pas encore trop en révéler, mais si Sophos s’y prend bien, cela pourrait aboutir à une gestion pour SDN. Nous pouvons déjà nous attendre à de nouvelles fonctions d’ici la fin de cette année.

07 - Mises à jour du firmware

Comme je l’ai déjà dit, nous trouvons toujours les mises à jour positives. Le dicton never change a running system est une absurdité totale lorsqu’il s’agit du firewall. Nous l’avons déjà abordé dans un article précédent sur la nécessité des mises à jour du firewall.

Vous avez certainement compris que les mises à jour sont importantes. Mais les mises à jour sont aussi très dangereuses, car il peut arriver que tout ne fonctionne plus aussi bien qu’avant. Les administrateurs qui en ont peur citent alors toujours le dicton mentionné ci-dessus. 😅

Pour contrer un peu le danger des mises à jour, il y a quelques améliorations sur XG Firewall :

  1. Les mises à jour des points d’accès et des REDs sont dissociées et ne sont plus intégrées à la mise à jour du pare-feu. Ainsi, les REDs peuvent être mis à jour même sans redémarrage du pare-feu.
  2. Si une mise à jour du pare-feu n’a pas fonctionné et que l’on souhaite revenir à la version précédente, cela est possible en quelques clics.

Conclusion

Cet article est devenu un peu plus long que je ne l’avais imaginé au départ. J’ai listé ici sept raisons qui, à mon avis, devraient inciter tout amateur d’UTM à changer. Moi aussi, j’ai autrefois adoré l’UTM, mais sur les points de la pérennité, des mises à jour et d’une vision claire, notre bon sens nous a très tôt orientés vers le changement, et nous ne l’avons jamais regretté ! Dans la comparaison UTM vs. XG, XG a pour nous clairement le poids de combat le plus impressionnant sur la balance. Soyez donc courageux ou, plus exactement, raisonnables (😅), et misez sur XG Firewall pour votre prochain projet. Une fois cette étape franchie, vous pourrez commencer à migrer vos UTM vers SFOS.

Inconvénients

Même si le SFOS offre de nombreuses fonctionnalités excellentes, on pourrait peut-être avoir l’impression que cet article a été écrit avec des lunettes roses. C’est pourquoi j’ajoute ici un court chapitre sur les inconvénients, car comme je l’ai dit, le SFOS est encore un système d’exploitation très jeune et il y a en effet encore quelques points qui ne fonctionnent pas de manière optimale.

Vitesse de l’interface graphique

  • Le chargement ou l’enregistrement des règles de pare-feu prend encore trop de temps et n’est pas aussi rapide qu’on le souhaiterait.
  • La génération de rapports ou même les ressources système nécessitent absolument un coup de pouce en matière de vitesse.

* Comme déjà mentionné dans l’article, ces problèmes seront améliorés avec la v18 et résolus avec la v18.5.

Renommer les objets

  • Il n’est malheureusement pas possible partout de renommer les entrées créées par la suite. Cela inclut, par exemple, les zones, les réseaux sans fil, les ports NAT actifs du pare-feu, les politiques de protection IPS, les politiques de protection des serveurs web, les politiques IPsec et bien d’autres.

* La raison en est que les développeurs du pare-feu Cyberoam, qui est toujours la base du SFOS, ont utilisé le nom de ces objets comme clé primaire dans la base de données. Cela rend naturellement le renommage ultérieur assez difficile. Mais des efforts sont également en cours et les premières améliorations sont attendues avec la v18.

Règles NAT

  • Les règles NAT créées ne peuvent plus être modifiées si elles sont actives. Il faut d’abord les désactiver, les modifier, puis les réactiver.

* Sera corrigé avec la v18.

Notifications

  • Les notifications sont encore bien meilleures sur le système UTM. On peut pratiquement être informé de tout par e-mail. Le SFOS n’offre presque aucune option à cet égard. Avec SFOS 17.5 MR4, des améliorations ont été apportées dans ce domaine, mais les possibilités que nous considérions comme allant de soi avec l’UTM ne sont pas encore offertes.

* Sera encore amélioré avec la v18.

Plus d’informations

Je me réfère souvent dans cet article à la v18, qui est censée apporter de nombreuses améliorations. Selon Sophos, la v18 devrait encore être publiée fin 2019. Cependant, nous considérons ce calendrier comme très optimiste et estimons que le 1er trimestre 2020 est une période de publication plus précise. 😅

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.