Aller au contenu
Avanet
Sophos Firewall Feature Request 2024

Sophos Firewall Feature Request 2024

Nous travaillons nous-mêmes chaque jour avec Sophos Firewall, et nos clients nous signalent régulièrement les fonctions de sécurité, mais aussi les fonctions d’utilisation, qui leur manquent. À partir de ces expériences et de ces retours, nous avons établi une liste détaillée. Nous résumons maintenant ce feedback dans ce Sophos Firewall Feature Request.

Prise en charge de Let’s Encrypt

Il s’agit de la fonctionnalité la plus souvent demandée, que beaucoup attendent depuis plus de trois ans. Avec la version 21, prévue aux alentours d’octobre, cette fonction devrait enfin être intégrée.

Renommer des objets

À l’heure actuelle, il n’est malheureusement pas possible de renommer certains éléments sur le pare-feu. Voici quelques exemples :

  • les connexions IPsec site à site
  • les zones
  • les serveurs DHCP
  • les règles IPS

Cette fonction serait extrêmement utile pour garder des configurations plus claires et mieux organisées.

Si l’on souhaite, par exemple, renommer une connexion VPN site à site, il faut la supprimer puis la recréer, uniquement pour modifier son nom.

Interface responsive

Avec la mise à jour vers la version 20, l’interface a été quelque peu optimisée pour les écrans larges afin de réduire les espaces blancs. C’était déjà une demande très fréquente concernant Sophos Firewall.

Malgré cela, nos clients souhaitent une interface réellement responsive, qui s’affiche correctement aussi bien sur tablette que sur mobile. Il reste encore un vrai potentiel d’amélioration, en particulier sur les petits écrans et en 4K.

Performance du backend

L’interface est lente. Sur les petits modèles de pare-feu en particulier, les appareils réagissent souvent avec beaucoup de lenteur, notamment lors de l’enregistrement des règles de pare-feu. Il reste ici une large marge d’optimisation pour améliorer l’expérience utilisateur.

Un exemple concret : enregistrer une règle sur un XGS 126 avec SFOS v20 prend trop de temps.

Sophos Firewall Feature Request - Temps d’enregistrement d’une règle

Le temps de chargement des interfaces est du même ordre, et celui du tableau de bord est environ deux fois plus long.

Regrouper les règles NAT

Il est possible de regrouper les règles de pare-feu afin de mieux les organiser. En revanche, cette fonction manque pour les règles NAT. Là aussi, une option de regroupement constituerait une amélioration très pertinente.

Cloner les règles NAT

La fonction de clonage existe déjà pour les règles de pare-feu, mais cette option utile manque encore pour les règles NAT. Il serait très avantageux de pouvoir cloner aussi les règles NAT afin d’accélérer et de simplifier les configurations. C’est une demande récurrente de la part de nos clients.

Personnaliser et enregistrer le Log Viewer

Le Log Viewer permet d’ajouter ou de supprimer des colonnes afin de rendre les logs plus lisibles. Il serait utile que ces réglages puissent être enregistrés, afin de retrouver automatiquement ses colonnes préférées lors de la prochaine ouverture.

Test de débit intégré

Un test de débit intégré, exécutable directement depuis le pare-feu, figure en tête de liste pour de nombreux utilisateurs. D’autres fabricants proposent déjà ce type de fonction, qui permet de lancer des tests via différentes interfaces directement depuis le pare-feu, voire de les planifier.

Masquer les alertes du tableau de bord

Sophos Firewall Feature Request - Alertes du tableau de bord
Sophos Firewall Feature Request - Alertes du tableau de bord

Le tableau de bord affiche des avertissements ou des alarmes qui ne peuvent pas être masqués. Beaucoup d’utilisateurs souhaitent pouvoir marquer ces messages comme vus, afin qu’ils ne restent pas affichés en permanence.

Importer plusieurs objets à la fois

La possibilité d’importer plusieurs objets simultanément serait un vrai plus. À l’heure actuelle, on peut importer des listes d’IP, mais pas des listes d’URL ni plusieurs réseaux en une seule fois. Cette fonction améliorerait nettement l’efficacité, notamment lorsqu’il faut gérer des exceptions pour des services Microsoft avec un grand nombre de réseaux ou d’URL.

Liens vers les notes de version du firmware

Pour les mises à jour de firmware des RED ou des Access Points, il n’existe actuellement qu’un bouton « Installer » dans le backend, sans informations détaillées sur les changements apportés. Les administrateurs se retrouvent donc face au problème de ne pas savoir précisément quelles améliorations ou modifications contient le nouveau firmware. C’est d’autant plus problématique qu’aucune option de rollback n’est proposée en cas de problème.

Un lien direct vers les notes de version serait donc une amélioration très pratique. Cela permettrait de consulter les changements avant l’installation et d’évaluer plus sereinement les risques et les bénéfices. Aujourd’hui, il faut aller chercher les détails dans la communauté Sophos, ce qui fait encore perdre du temps.

Blocage automatique des attaques

On peut facilement imaginer une fonction apparentée au mécanisme de sécurité des mots de passe, qui déclenche un verrouillage temporaire après trop de tentatives de connexion échouées. Ce principe est familier à la plupart des administrateurs et il est déjà appliqué sur Sophos Firewall.

Ce mécanisme bloque l’authentification après un certain nombre d’échecs et interdit l’accès pendant une période définie. Une logique similaire, appliquée au pare-feu, serait extrêmement utile afin de bloquer automatiquement une adresse IP lorsque plusieurs activités suspectes sont détectées en peu de temps.

Sophos Firewall - Visionneuse de logs IPS
Sophos Firewall Feature Request - Blocage automatique d’un attaquant

Une méthode comparable est déjà utilisée par Fail2Ban, un programme qui analyse les logs et bloque les adresses IP correspondant à certains schémas d’attaque ou à des comportements suspects prédéfinis. Fail2Ban protège ainsi les systèmes contre les attaques par force brute et d’autres menaces en bloquant automatiquement les attaquants.

Il est évident qu’une telle fonction de blocage automatique serait elle aussi extrêmement utile sur Sophos Firewall. À l’heure actuelle, le système de prévention d’intrusion (IPS) détecte les activités suspectes et les bloque, mais l’attaquant peut continuer à réessayer. Chaque activité suspecte génère une alerte et l’administrateur doit intervenir manuellement pour bloquer l’adresse IP concernée.

Un mode de blocage automatique, dans lequel l’administrateur pourrait définir qu’une adresse IP soit bloquée pendant 15 minutes, une heure ou davantage, améliorerait sensiblement l’efficacité et la sécurité. Si le pare-feu détecte plusieurs activités suspectes provenant d’une même adresse IP dans un laps de temps très court, il serait logique de la bloquer automatiquement pendant une durée configurable. L’administrateur pourrait en outre gérer la liste noire à tout moment et retirer l’adresse si nécessaire.

L’introduction d’un tel module permettrait donc au pare-feu de mieux se défendre contre les attaques répétées, tout en réduisant la charge administrative.

On reviendrait ainsi à un affrontement machine contre machine, car aujourd’hui la plupart des tentatives d’attaque sont lancées par des bots ou d’autres systèmes automatisés. Or, derrière Sophos Firewall, il y a encore un administrateur qui doit traiter manuellement ces événements pour empêcher de nouvelles requêtes.

Bad IP Blocker Feeds

Dans la prochaine version 21 de Sophos Firewall, il devrait être possible d’utiliser des listes prédéfinies afin de bloquer l’accès à des adresses IP dangereuses. En pratique, si un système interne tente d’accéder à une IP déjà identifiée comme malveillante, cette connexion serait automatiquement bloquée. Dans les versions futures, ces listes devraient être enrichies par des fournisseurs tiers. Malheureusement, seules les connexions sortantes sont prises en compte.

Une excellente amélioration consisterait à pouvoir ajouter au pare-feu des flux contenant des listes d’IP afin de bloquer également les connexions entrantes provenant d’IP connues comme dangereuses. Cela pourrait s’appliquer aux règles NAT, aux connexions VPN, aux accès au portail utilisateur et à d’autres services.

Pour le pare-feu applicatif Web, il existe déjà une fonction comparable appelée « Block clients with bad reputation », qui fait ceci :

Elle bloque les clients ayant une mauvaise réputation sur la base de listes noires en temps réel (RBL) et d’informations GeoIP. Le fait d’éviter des requêtes distantes pour des clients mal réputés peut améliorer les performances. Pour les RBL, Sophos Firewall utilise la Sophos Extensible List (SXL) et SORBS. Pour la géolocalisation IP, elle utilise Maxmind. Sophos Firewall bloque les clients relevant des catégories A1 (proxies anonymes ou services VPN) et A2 (fournisseurs d’accès satellitaires).

L’idée serait donc de pouvoir s’abonner à ses propres flux RBL, par exemple auprès de fournisseurs reconnus ou même depuis GitHub.

Une telle extension renforcerait nettement la sécurité du pare-feu et des services qu’il protège, en filtrant efficacement non seulement les connexions sortantes, mais aussi les connexions entrantes face à des menaces connues.

Désactiver le service Wireless

Bien qu’il existe une option permettant de désactiver le service Wireless, cela est affiché comme une erreur. Une alerte apparaît alors dans le tableau de bord :

Sophos Firewall Feature Request - Désactiver le service Wireless
Sophos Firewall Feature Request - Désactiver le service Wireless
Sophos Firewall Feature Request - Alerte du service Wireless
Sophos Firewall Feature Request - Alerte du service Wireless

Autrement dit, même si l’administrateur désactive volontairement ce service pour économiser des ressources ou pour toute autre raison, le pare-feu interprète cela comme un problème et affiche un message d’erreur. Il serait donc souhaitable de pouvoir désactiver le service Wireless sans que cela n’apparaisse comme une anomalie dans le tableau de bord.

Donnez-nous votre avis

Dans cet article, nous avons regroupé les demandes de fonctionnalités les plus fréquentes concernant Sophos Firewall, telles que nous les avons recueillies ces derniers mois. Nous avons pris en compte à la fois les souhaits de nos clients et les fonctionnalités qui nous aideraient, de notre côté, à déployer et maintenir plus efficacement les nombreux pare-feu de nos clients.

Si vous avez d’autres suggestions ou d’autres souhaits, n’hésitez pas à nous transmettre votre retour via le formulaire de contact. Nous mettrons régulièrement cet article à jour afin de refléter au mieux les besoins et attentes actuels.

Une feuille de route n’est pas une garantie

Il ne faut jamais acheter un produit uniquement parce qu’un fabricant promet qu’une fonction souhaitée arrivera plus tard via une mise à jour.

Chez Sophos, ce n’est pas différent. La roadmap est à peu près aussi fiable que la météo ou les horoscopes. Des fonctionnalités apparaissent puis disparaissent, des services sont présentés lors des roadshows, ou certaines choses sont annoncées dans des fiches produit avec la mention « coming soon », ce qui ne garantit absolument rien. Je pourrais écrire un billet entier sur les annonces de Sophos qui n’ont jamais abouti. Par ailleurs, Sophos n’est malheureusement pas vraiment l’un de ces fabricants qui écoutent les utilisateurs pour ensuite développer les fonctions demandées. Ce serait manifestement absurde. Il vaut mieux courir après le prochain effet de mode des analystes Gartner, ce que les actionnaires veulent entendre, ou regarder ce que fait la concurrence.

Je pense qu’avec cela, tout est clair, et que j’ai étouffé dans l’œuf tout faux espoir.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.