Panier d’achat

Aucun produit dans le panier.

Sophos Central Firewall Management – Fonctionnalités avec SFOS v18

La première connexion entre le pare-feu et Central a déjà eu lieu grâce à l’implémentation de Synchronized Security. Un peu plus tard, Sophos Central Firewall Manager a été lancé. Les fonctionnalités de cette première version étaient toutefois très limitées, ce qui ne rendait pas encore le produit vraiment intéressant. Avec SFOS v18, les fonctions du Central Firewall Manager ont été considérablement améliorées.

Info: si tu veux tout savoir sur les nouveautés de la prochaine version de SFOS v18, tu trouveras ici mon article détaillé à ce sujet : Sophos SFOS v18 : aperçu des nouvelles fonctionnalités

Gestion centralisée des pare-feux

Personnellement, je trouve le Sophos Central Firewall Manager (SCFM) absolument génial. Bien sûr, les fonctions actuellement disponibles sont encore un peu maigres, mais la vision de Sophos est phénoménale. Cet outil nous aide surtout à garder une vue d’ensemble chez les clients qui ont plusieurs pare-feux. Sur l’UTM, il y a pour cela le Sophos UTM Manager (SUM) et pour le SFOS, on peut aussi utiliser le Sophos Firewall Manager. Ce dernier est toutefois à mes yeux une merde absolue et quand je vois où va le SCFM, il sera certainement abandonné à moyen terme.

Examinons brièvement les fonctions de base et la manière dont vous pouvez commencer à utiliser Central Firewall Manager vous-même.

Connecter le pare-feu

Pour pouvoir utiliser la gestion du pare-feu, vous devez disposer d’un compte Sophos Central. Vous pouvez le créer gratuitement et la gestion du pare-feu est également une fonction gratuite. Dans le backend du pare-feu, l’option de menu « Central synchronization » permet d’enregistrer le pare-feu auprès de Central. Celle-ci apparaîtra ensuite dans votre compte central.

Gestion

Au fil du temps, une liste de tous les pare-feux que vous avez ajoutés apparaît dans votre compte central. En cliquant sur le nom du pare-feu, vous vous connectez automatiquement au backend du pare-feu et pouvez maintenant procéder à vos configurations comme d’habitude. La connexion au pare-feu est certes sensiblement plus lente que si l’on se connecte directement au pare-feu, mais elle est beaucoup plus confortable, car aucun login supplémentaire n’est nécessaire. Le pare-feu a-t-il une adresse IP dynamique ? Pas de problème. Comme le pare-feu établit la connexion sur Central, cela fonctionne parfaitement.

Les fonctions dont vous disposez dans Central Firewall Manager dépendent du firmware du pare-feu. Il y a des fonctions qui ne sont activées qu’à partir d’une certaine version.

Mises à jour du micrologiciel

L’aperçu du pare-feu permet de voir d’un coup d’œil la version du firmware dont dispose chaque modèle. En cliquant sur « Upgrade » puis « Upgrade Firmware », la dernière version s’installe.

Je ne saurais trop insister ici sur le fait qu’il faut toujours appuyer sur le bouton de mise à jour avec la plus grande prudence. Préparez-vous à une mise à jour et informez-vous au préalable sur les changements qui entreront en vigueur avec la nouvelle version. Nous constatons régulièrement qu’une mise à jour de pare-feu est effectuée à la légère. Avec nos contrats de maintenance de pare-feu, nous nous occupons des mises à jour de vos pare-feu et pouvons vous éviter de mauvaises surprises. 😎

Sauvegarde en ligne

Le Sophos Central Firewall Manager vous permet également de programmer des sauvegardes manuelles ou planifiées de la configuration de vos pare-feux. Il est bien sûr absolument recommandé de mettre en place une telle sauvegarde. Jusqu’à présent, il était possible de télécharger manuellement ces sauvegardes depuis le pare-feu ou de les enregistrer directement sur un FTP. L’envoi par e-mail était également disponible en option.

Malgré cette possibilité de créer une sauvegarde sur le pare-feu, des problèmes peuvent survenir lorsqu’une telle sauvegarde est nécessaire. Nous avons déjà rencontré les situations suivantes chez des clients :

  • L’adresse e-mail à laquelle la sauvegarde a été envoyée n’existait plus depuis longtemps et les sauvegardes ne sont donc jamais arrivées dans la boîte aux lettres.
  • Email Protection bloquait les e-mails parce qu’ils étaient envoyés par une IP dynamique ou parce que le SPF n’était pas correct.
  • Une sauvegarde était disponible, mais le mot de passe ne pouvait plus être retrouvé.
  • Une sauvegarde était disponible, mais déjà très obsolète.

On pourrait certainement trouver d’autres raisons pour lesquelles cela pourrait échouer en cas d’urgence malgré la sauvegarde. Beaucoup de ces problèmes sont résolus par l’introduction de la sauvegarde en ligne sur Central. On obtient un moyen sûr de stocker ses sauvegardes de manière centralisée et cryptée dans Central. Ils y sont toujours à jour et prêts à être utilisés en cas d’urgence.

Nouvelles fonctionnalités de la v18

Les fonctions mentionnées ci-dessus sont déjà disponibles dans la version 17.5. Passons donc maintenant aux nouvelles fonctions qui ne feront leur apparition qu’avec la SFOS v18.

Rapports

Il y avait autrefois un produit de Sophos appelé iView qui permettait un reporting centralisé. Honnêtement, ce logiciel existe toujours, mais pour nous, un produit qui n’a pas évolué depuis des années n’existe plus. Le fait que Sophos lui-même ne l’ait pas encore envoyé dans le désert ne le rend pas plus actuel. 😅 iView n’a définitivement plus d’avenir pour nous et continue définitivement à vivre dans Central Reporting.

Si l’on active le reporting sur le pare-feu, les logs du pare-feu sont transmis à Central. Des rapports attrayants peuvent ensuite être générés à partir des données collectées.

Le Central Reporting pour le pare-feu est actuellement encore en phase bêta. Mais la version actuelle donne déjà une très bonne idée de ce que l’on peut attendre de la version finale.

Paramètres globaux du pare-feu

Pour les clients disposant d’un très grand nombre de pare-feu, nous sommes rapidement confrontés au problème de la difficulté à gérer une telle masse d’appareils. Avec 10 pare-feux, cela peut encore fonctionner, mais avec plus de 50, cela devient un véritable défi. Mais la v18 permet de regrouper les pare-feux sur Central à merveille !

On obtient alors une interface de pare-feu dans les stratégies de groupe et on peut définir et enregistrer les paramètres de manière centralisée. Ceux-ci sont ensuite déployés sur tous les pare-feu de ce groupe.

Cette fonction est également encore en version bêta pour le moment et cela s’est ressenti lors de mes tests. On est encore un peu loin d’une mise en œuvre stable. De plus, au cours de mes tests, j’ai accumulé quelques questions qui sont restées sans réponse jusqu’à présent. Mais en principe, je suis convaincu que les paramètres globaux du pare-feu nous seront d’une grande aide à l’avenir !

Patrizio
Patrizio

Patrizio est un spécialiste réseau expérimenté, spécialisé dans les pare-feux, les commutateurs et les points d'accès Sophos. Il aide les clients ou leur service informatique à configurer et à migrer les pare-feux Sophos et assure une sécurité optimale du réseau grâce à une segmentation propre et à la gestion des règles de pare-feu.

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.