Aller au contenu
Avanet
Sophos Central Wireless - Version 2.0 avec Security Heartbeat

Sophos Central Wireless - Version 2.0 avec Security Heartbeat

27. JUILLET 2018

Sophos Central Wireless 2.0 est sur le point d’être lancé et sera déployé sur tous les comptes entre le 30 juillet et le 31 août. En plus de nouvelles fonctions et améliorations, les nouveaux points d’accès APX Wave 2.0 seront pris en charge. Dans cet article, nous résumons les fonctionnalités auxquelles vous pouvez vous attendre.

Synchronized Security pour Endpoint et Mobile

Security Heartbeat est désormais disponible pour Sophos Central Wireless. Le principe est essentiellement le même que sur le XG Firewall. L’accès réseau des clients infectés, ou de ceux qui ne respectent pas les politiques définies, est restreint ou entièrement bloqué.

Avec Security Heartbeat dans Central Wireless, vous pouvez isoler un appareil à risque du WLAN afin qu’il ne représente aucune menace pour les autres appareils connectés. Pour que cette interaction fonctionne, les endpoints doivent bien entendu être équipés des logiciels appropriés. Sur les ordinateurs de bureau et portables, vous devriez avoir au minimum Sophos Central Endpoint, et sur les smartphones et tablettes Sophos Central Mobile. Enfin, l’utilisation de l’un des nouveaux points d’accès APX est requise, car eux seuls prennent en charge Security Heartbeat. 😅

Enhanced Rogue AP Detection

Avec Enhanced Rogue AP Detection, vos points d’accès Sophos scannent tous les canaux et répertorient les réseaux sans fil voisins. Cela peut ne pas sembler très spectaculaire au premier abord. L’objectif est toutefois, comme son nom l’indique, de détecter les « Rogue AP », c’est‑à‑dire les points d’accès non autorisés susceptibles de créer une faille de sécurité dans un réseau pourtant protégé.

Les restrictions parfois strictes, mais justifiées, dans un WLAN d’entreprise incitent occasionnellement les employés à faire preuve de créativité. Il peut très bien arriver qu’un collègue installe son propre point d’accès au bureau pour connecter des appareils privés à Internet. Il s’agit alors d’un « Rogue AP », car il a été installé sans autorisation dans un réseau sécurisé.

Grâce à Enhanced Rogue AP Detection, vous pouvez traquer ces points d’accès non autorisés dans votre réseau. Si l’utilisation d’un appareil est approuvée, vous pouvez bien sûr l’ajouter à une « liste d’AP connus ».

Autres améliorations

En plus des fonctions mentionnées ci‑dessus, la version 2.0 comprend deux autres améliorations notables :

  • Provisionnement en masse : vous pouvez désormais ajouter jusqu’à 30 AP en une seule étape en téléchargeant un fichier CSV contenant les numéros de série.
  • Tableau de bord repensé : vous bénéficiez d’une meilleure vue d’ensemble des menaces dans le réseau et de l’état des appareils avec Synchronized Security.

Fonctions à venir

La version 2.1 est annoncée pour septembre et apportera des outils de débogage et de dépannage améliorés. En novembre, le petit point d’accès APX 120 est attendu, son support étant prévu dans la version 2.1.1.

Conclusion

Nous avons toujours trouvé Sophos Central Wireless très intéressant. Achetez des AP, branchez-les et c’est parti ! Avec Sophos Central Wireless, aucun contrôleur physique n’est nécessaire et la gestion de réseaux sans fil sur plusieurs sites est simple et claire.

Le seul bémol avec Sophos Wireless, c’est le prix. À notre avis, même les nouvelles fonctions de la version 2.0 ne suffisent pas encore à le justifier pleinement. Sans compter que l’on ne profite réellement de Synchronized Security que si l’on investit également dans la nouvelle série APX.

Par ailleurs, Sophos n’est pas seul sur le marché de la gestion Wi-Fi. Bien avant Sophos Wireless, il existait déjà des solutions comparables. Même Google vend ses propres points d’accès : pour le prix d’un seul AP Sophos, je pourrais en acheter trois. Eux aussi sont gérables via le cloud et peuvent couvrir plusieurs sites, avec un chiffrement sécurisé (WPA2).

Nous ne trouvons pas très attrayant d’avoir des coûts récurrents uniquement pour le Wi‑Fi. Nous voyons le Wi‑Fi un peu comme « l’air » : il doit simplement être là. Cette perception pourrait toutefois changer si, à l’avenir, davantage de fonctions de sécurité comme celles de la version 2.0 venaient s’y ajouter. Dans ce cas, la valeur ajoutée serait évidente et justifierait les coûts supplémentaires pour Sophos Central Wireless.

Nous devons également reconnaître que Sophos a au moins légèrement réduit le prix des nouveaux APX. Alors que le tarif varie encore entre l’AP 15 et l’AP 100, les coûts annuels seront identiques pour tous les modèles APX, qu’il s’agisse du petit APX 320 ou du grand 740.

En conclusion, Sophos Central Wireless a un fort potentiel. Il ne nécessite aucune console physique et, avec les nouveaux APX, apporte des fonctions de sécurité supplémentaires comme Synchronized Security. De notre point de vue, cela pourrait devenir très intéressant à l’avenir. Si ce critère n’est pas déterminant pour vous, vous pouvez simplement acheter un petit XG Firewall (XG 115) et gérer jusqu’à 10 points d’accès sans difficulté. Avec cette solution, vous ne payez les AP qu’une seule fois, car la licence Wireless est incluse gratuitement dans le Sophos Firewall OS de la XG.

Remarque : le 31 juillet 2018, Sophos nous a contactés personnellement à propos de notre conclusion sur Sophos Central Wireless. Comme nous avions critiqué le prix élevé, Sophos nous a donné une information intéressante : le coût annuel de Sophos Wireless par point d’accès inclurait une assurance pour l’appareil. En cas de panne, l’AP serait remplacé gratuitement sous 24 heures. Ce service est donc intégré dans le prix. Malheureusement, cela n’est mentionné ni dans les fiches techniques ni ailleurs sur leur site web. Nous ne pouvons donc pas vous le confirmer par écrit, mais selon Sophos, les AP sont assurés tant que la licence Sophos Central Wireless est valide.

Problèmes connus dans la version 2.0

La liste suivante montre les problèmes déjà connus qui peuvent encore se produire dans la version 2.0. Des correctifs sont en cours de développement et ces problèmes devraient être résolus prochainement.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Plus d’informations

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.