Sophos Firewall Feature Request 2024
Nous utilisons Sophos Firewall au quotidien et nos clients nous font part de leurs remarques sur les fonctions de sécurité et d’utilisation qui leur manquent. Nous avons établi une liste détaillée à partir de ces expériences et de ces retours d’information. Nous résumons maintenant ces commentaires dans la demande de fonctionnalités de Sophos Firewall.
Sophos Firewall Feature Request
Prise en charge de Let’s Encrypt
Il s’agit de la fonctionnalité la plus demandée, que beaucoup attendent depuis plus de trois ans. La version 21, dont la sortie est prévue vers octobre, inclura enfin cette fonctionnalité.
Renommer des objets
Actuellement, il n’est malheureusement pas possible de renommer certaines choses sur le pare-feu, en voici quelques exemples :
- Connexions IPsec de site à site
- Zones
- Serveur DHCP
- Règles IPS
Cette fonction serait extrêmement utile pour garder les configurations plus claires et plus organisées.
Par exemple, si vous souhaitez renommer une connexion VPN côte à côte, vous devez la supprimer et la recréer, et ce uniquement pour changer le nom.
Interface utilisateur graphique adaptée
Avec la mise à jour vers la version 20, l’interface utilisateur graphique a été légèrement optimisée pour les écrans larges afin de réduire l’espace blanc. Il s’agissait déjà d’une demande de fonctionnalité Sophos Firewall très fréquente.
Néanmoins, nos clients souhaitent une interface entièrement responsive, qui soit également agréable à regarder sur les tablettes et les appareils mobiles. Il y a encore un potentiel d’amélioration, en particulier sur les petits écrans et en résolution 4K.
Performance du backend
L’interface utilisateur graphique est lente, en particulier pour les plus petits modèles de pare-feu, les périphériques réagissent souvent très lentement, en particulier lors de l’enregistrement des règles de pare-feu. Il y a encore beaucoup à optimiser pour améliorer l’expérience utilisateur.
Par exemple, l’enregistrement d’une règle de pare-feu sur un XGS 126 avec SFOS v20 prend trop de temps.
Le temps de chargement des interfaces est similaire et le tableau de bord environ deux fois plus long.
Regroupement des règles NAT
Il est possible de regrouper les règles de pare-feu afin de mieux les organiser. Cette fonction est toutefois absente des règles de NAT. Là encore, une option de regroupement serait une demande de fonctionnalité Sophos Firewall utile.
Cloner les règles NAT
Alors que la fonction de clonage des règles de pare-feu est déjà disponible, cette option utile manque pour les règles de NAT. Il serait très utile que les règles NAT puissent également être clonées afin de rendre les configurations plus rapides et plus efficaces. Il s’agit d’une demande de fonctionnalité Sophos Firewall fréquemment formulée par nos clients.
Personnaliser et enregistrer la visionneuse de journaux
La visionneuse de logs permet d’ajouter ou de supprimer des colonnes afin de présenter les logs de manière plus claire. Il serait utile de pouvoir enregistrer ces paramètres afin de disposer directement de vos vues de colonnes préférées la prochaine fois que vous ouvrirez la visionneuse de journaux.
Test de vitesse intégré
Un test de vitesse intégré, pouvant être exécuté directement via le pare-feu, figure en tête de la liste de souhaits de nombreux utilisateurs. D’autres fabricants proposent déjà ces fonctions, qui permettent d’effectuer des tests de vitesse via différentes interfaces directement à partir du pare-feu ou de les planifier dans le temps.
Masquer les alertes dans le tableau de bord
Le tableau de bord affiche des messages d’avertissement ou des alarmes, mais il n’est pas possible de les masquer. De nombreux utilisateurs souhaiteraient pouvoir marquer ces messages comme vus afin qu’ils ne soient pas affichés en permanence.
Importer plusieurs objets en même temps
La possibilité d’importer plusieurs objets simultanément serait un ajout précieux. Actuellement, les listes d’IP peuvent être importées, mais pas les listes d’URL ou les réseaux multiples. Cette fonction contribuerait considérablement à l’efficacité, en particulier pour les exceptions des services Microsoft qui nécessitent de répertorier de nombreux réseaux ou URL.
Liens vers les notes de publication du firmware
Pour les mises à jour du firmware des RED ou des points d’accès, il n’y a actuellement qu’un bouton « Installer » dans le backend, sans informations détaillées sur les modifications. Cela pose un problème aux administrateurs qui ne savent pas quels changements ou améliorations le nouveau firmware apportera. Cela est particulièrement problématique car il n’y a pas de possibilité de retour en arrière en cas de problème après l’installation.
Un lien direct vers les notes de publication serait donc une demande de fonctionnalité Sophos Firewall très pratique. Cela permet de vérifier les modifications avant l’installation et de mieux évaluer les risques ou les avantages de la mise à jour. Actuellement, il faut chercher les détails dans la communauté Sophos, ce qui prend encore une fois du temps.
Attaque en bloc automatique
Une fonction apparentée que l’on peut aisément imaginer est le mécanisme de sécurité par mot de passe, qui déclenche un blocage temporaire en cas de trop nombreuses tentatives de connexion infructueuses. Ce mécanisme est connu de la plupart des administrateurs et est déjà utilisé par Sophos Firewall.
Ce mécanisme bloque la connexion après un certain nombre de tentatives infructueuses et bloque l’accès pendant une durée déterminée. Une fonctionnalité similaire pour le pare-feu serait extrêmement utile pour bloquer automatiquement les adresses IP lorsque plusieurs activités suspectes sont détectées dans un court laps de temps.
Une méthode similaire est également utilisée par Fail2Ban, un programme qui examine les journaux et bloque les adresses IP qui présentent certains modèles prédéfinis d’attaques ou d’activités suspectes. Fail2Ban protège ainsi les systèmes contre les attaques par force brute et autres menaces en bloquant automatiquement les attaquants.
Il est évident qu’une telle fonction de blocage automatique serait également extrêmement utile pour Sophos Firewall. Actuellement, le système de prévention des intrusions (IPS) détecte les activités suspectes et les bloque, mais l’attaquant peut répéter ses tentatives en permanence. Toute activité suspecte déclenche une notification et l’administrateur doit intervenir manuellement pour bloquer l’adresse IP.
Un mode autobloquant, dans lequel l’administrateur peut définir le blocage d’une adresse IP pendant 15 minutes, une heure ou même plus, améliorerait considérablement l’efficacité et la sécurité. Si le pare-feu détecte plusieurs activités suspectes provenant d’une adresse IP donnée en l’espace d’une minute, il serait judicieux de bloquer automatiquement cette IP pendant une durée déterminée. L’administrateur pourrait ainsi gérer la liste noire à tout moment et supprimer l’adresse si nécessaire.
L’introduction d’un tel module autobloquant permettrait au pare-feu de protéger encore plus efficacement contre les attaques répétées tout en réduisant la charge administrative pour l’administrateur.
Il s’agirait alors à nouveau d’un combat machine contre machine, car actuellement la plupart des tentatives d’attaque sont menées par des bots ou des machines. Cependant, derrière Sophos Firewall se trouve un administrateur qui doit justement s’occuper manuellement de ces événements afin d’empêcher d’autres requêtes.
Flux de blocage des mauvaises IP
Dans la prochaine version 21 du pare-feu, il devrait être possible d’implémenter des listes prédéfinies afin de bloquer l’accès aux adresses IP dangereuses. Cela signifie que si quelqu’un tente en interne d’accéder à une IP dangereuse déjà connue, cet accès sera automatiquement bloqué. Dans les versions futures, ces listes seront complétées par des fournisseurs tiers. Malheureusement, cependant, seules les connexions sortantes sont vérifiées par rapport à ces listes.
Une extension intéressante serait d’ajouter au pare-feu des flux contenant des listes d’adresses IP, notamment pour bloquer les IP dangereuses connues, y compris pour les connexions entrantes. Cela pourrait s’appliquer aux règles de NAT, aux requêtes VPN, aux requêtes de portail utilisateur et à d’autres services.
Le pare-feu des applications web dispose déjà d’une fonction similaire appelée « Block clients with bad reputation » (bloquer les clients ayant une mauvaise réputation), qui fait ce qui suit :
Elle bloque les clients qui ont une mauvaise réputation en raison des listes noires en temps réel (RBL) et des informations géoIP. Le fait d’ignorer les requêtes à distance pour les clients ayant une mauvaise réputation peut améliorer les performances. Pour les RBL, Sophos Firewall utilise la Sophos Extensible List (SXL) et SORBS. Pour GeoIP, elle utilise Maxmind. Sophos Firewall bloque les clients qui appartiennent aux catégories A1 (proxys anonymes ou services VPN) et A2 (ISP satellites).
Le souhait serait donc de pouvoir s’abonner à ses propres flux RBL, par exemple de fabricants renommés ou même de GitHub.
Une telle extension améliorerait considérablement la sécurité du pare-feu et de ses services en protégeant efficacement non seulement les connexions sortantes, mais aussi les connexions entrantes contre les menaces connues.
Désactiver le service sans fil
Bien qu’il existe une option pour désactiver le service sans fil, cela s’affiche comme une erreur. Vous verrez alors un message d’avertissement dans le tableau de bord :
Cela signifie que même si l’administrateur désactive délibérément le service pour économiser les ressources ou pour d’autres raisons, le pare-feu interprète cela comme un problème et envoie un message d’erreur. Il serait donc souhaitable de disposer d’un moyen de désactiver le service sans fil sans que cela apparaisse comme une erreur dans le tableau de bord.
Commentaires à notre attention
Dans cet article, nous avons rassemblé les demandes de fonctionnalités Sophos Firewall les plus courantes que nous avons collectées au cours des derniers mois. Nous avons pris en compte à la fois les souhaits de nos clients et les fonctionnalités qui nous aideraient à rendre plus efficaces la configuration et la maintenance des nombreux pare-feux de nos clients.
Toutefois, si vous avez d’autres suggestions ou souhaits, n’hésitez pas à nous faire part de vos commentaires via le formulaire de contact. Nous mettrons régulièrement à jour ce blog post afin de toujours refléter les besoins et exigences les plus récents.
La feuille de route n’est pas non plus une garantie
Il ne faut jamais acheter un produit simplement parce qu’un fabricant promet que la fonctionnalité que vous souhaitez sera ajoutée via une mise à jour.
Il en va de même pour Sophos. La feuille de route est à peu près aussi fiable que les prévisions météorologiques, les horoscopes ou le comportement des chats. Des fonctionnalités sont ajoutées et supprimées, des services sont présentés lors de roadshows ou des choses sont écrites sur les fiches produits avec la mention (coming soon), mais tout cela ne signifie encore rien ! Je pourrais écrire un billet sur les annonces de Sophos qui n’ont pas été suivies d’effet. De plus, Sophos n’est malheureusement pas l’un des éditeurs qui écoutent les utilisateurs et développent des fonctionnalités en conséquence, ce qui serait totalement absurde. Il vaut mieux courir après le prochain battage médiatique des analystes de Gartner ou ce que les actionnaires veulent entendre, ou encore regarder la concurrence.
Je pense que tout devrait être clair et que j’ai déjà tué dans l’œuf les faux espoirs.