Sophos Firewall v19.5 - Toutes les nouvelles fonctionnalités de cette mise à jour

Cela fait quelques mois que je n’ai pas eu le temps de rédiger un article sur une mise à jour SFOS. À l’avenir, cela devrait à nouveau s’améliorer. Je suis donc d’autant plus heureux de vous présenter les nouvelles fonctionnalités et améliorations de SFOS 19.5.

La mise à jour est disponible pour tous les Sophos Firewall des séries SG, XG et XGS, ainsi que pour les appliances virtuelles ou les instances sur des plateformes cloud comme Azure ou AWS.

Les modèles suivants ne recevront pas la mise à jour car ils ne disposent pas de 4 Go de RAM : XG 85(w), XG 105(w), SG 105(w)

La faille de sécurité CVE-2022-3236 est corrigée

Une vulnérabilité d’injection de code dans le portail utilisateur et le WebAdmin permet à un attaquant d’exécuter du code sur le Sophos Firewall, version v19.0 MR1 et antérieures. CVE-2022-3236

Recherche d’hôtes et de services

Dans SFOS v19, la recherche d’objets dans les règles de pare-feu a été massivement améliorée. Cependant, la fonction de recherche était encore manquante à certains endroits, comme pour les objets hôtes et services. Il est possible de rechercher par nom, ports ou adresses IP, ce qui simplifie également la recherche d’objets en double.

Supprimer les objets en double s’ils sont encore utilisés n’est toujours pas si simple, car on ne reçoit aucune indication de l’endroit où cet objet est utilisé.

Authentification unique Azure AD pour la connexion Webadmin

Azure AD est disponible sur Sophos Central depuis un certain temps. Avec la v19.5, l’intégration d’Azure Active Directory (Azure AD) arrive maintenant sur le Sophos Firewall pour le Single Sign-on (SSO) sur la console Webadmin.

L’intégration d’Azure AD permet également une gestion dynamique des rôles et des accès de groupe. Il est donc possible de créer ses propres profils de droits sur le pare-feu ou d’utiliser ceux déjà existants et de les attribuer à un utilisateur sur Azure AD.

L’intégration d’Azure AD pour la connexion Webadmin est certainement un bon début. Cela deviendra vraiment intéressant lorsque les utilisateurs Remote Access (SSL VPN ou IPsec) et le User Portal fonctionneront également avec cette intégration.

Améliorations de la haute disponibilité

Il y a aussi de très bonnes améliorations pour les clusters HA. Une petite nouveauté, par exemple, est l’indication affichée lors de la création du cluster : la licence doit être présente sur le Primary Device ou, dans le cas d’un cluster Active-Active que nous n’utilisons pratiquement jamais, sur les deux appliances.

Il est désormais possible de configurer plusieurs liens HA et cela non seulement via une connexion directe, mais aussi via des LAGs et des VLANs.

Les interfaces VLAN peuvent désormais également être ajoutées à la surveillance des interfaces.

La page d’état fournit désormais beaucoup plus d’informations importantes. On voit sur quel nœud la licence est activée, ainsi que la date et l’heure du dernier changement d’état du cluster. Il est aussi possible d’attribuer un nom, ce qui évite de devoir mémoriser le numéro de série.

Le widget dans le Control Center a été déplacé en haut à droite et affiche également davantage d’informations sur le cluster. Le nom de l’onglet indique désormais aussi à quel nœud on est connecté, même si je préférerais y voir le nom d’hôte du Sophos Firewall, car je ne me connecte de toute façon jamais à Node2.

Équilibrage de charge SD-WAN

Depuis la version 19, le SD-WAN est disponible et, dans la nouvelle version, il est possible de créer un équilibrage de charge dans les profils. Les méthodes disponibles sont Round Robin ou Session Persistence.

Round Robin

Les connexions sont réparties entre les connexions sélectionnées en fonction de leur pondération. Dans la capture d’écran, les deux passerelles ont actuellement une pondération de 1, ce qui entraîne une répartition égale sur les deux passerelles.

Persistance de session

Avec la persistance de session, on peut définir si le trafic doit être divisé par IP source, IP destination, les deux simultanément ou par connexion.

Cette nouveauté s’applique au profil SD-WAN. Bien entendu, il est possible de créer plusieurs profils et de les utiliser selon les exigences de la stratégie de routage basée sur l’application, la source, la destination ou le service.

Plus de performances pour tous les Sophos XGS Firewalls

Chaque appliance Sophos XGS dispose d’une architecture à double processeur. Lors du lancement de la série XGS, Sophos a accéléré certaines connexions de deux fois par rapport à la série XG. Il a été annoncé qu’avec les prochaines mises à jour logicielles, les processus seraient déchargés du CPU vers le NPU afin d’améliorer les performances. Avec la version 19.5, d’autres processus sont traités par le processeur Xstream Flow, ce qui les accélère. Dans cette version, grâce à ce développement, le nombre de tunnels VPN IPsec sur les modèles XGS a tout simplement été doublé.

Sur les modèles XGS 4300, 4500, 5500 et 6500, les connexions chiffrées TLS sont accélérées sur le FastPath, ce qui rend l’inspection profonde des paquets encore plus performante.

Autres petites améliorations dans la v19.5

OSPFv3

Le nouveau moteur de routage dynamique offre un support pour OSPFv3. Parmi les nouveautés d’OSPFv3, on compte entre autres la prise en charge d’IPv6, une taille d’en-tête plus petite et l’abandon de MD5 pour l’authentification. OSPFv3 renonce entièrement à son propre support d’authentification et s’appuie plutôt sur le cadre IPsec plus flexible d’IPv6.

Journal

Le stockage amélioré des fichiers journaux permet un dépannage approfondi.

Support matériel

Amélioration du support des interfaces 40G avec détection automatique des configurations de ports étendues sur les modèles XGS 5500 et 6500.

Le support matériel pour les modules 5G, qui était répertorié dans l’EAP, n’est plus inclus dans la version finale v19.5. Je suppose donc que les modules arriveront un peu plus tard que prévu.

Vidéo sur les innovations de Sophos Firewall OS v19.5

Vous voyez, Sophos fait beaucoup d’efforts pour présenter les nouvelles fonctionnalités en vidéo, ce que nous trouvons très cool. Souvent, il y avait de nouvelles fonctionnalités qui passaient inaperçues dans les notes de version et que peu de gens remarquaient. En plus de la vidéo sur les fonctionnalités individuelles insérée ci-dessus, il y a aussi une vidéo sur Sophos Firewall 19.5 dans son ensemble.

Les mises à jour ne seront plus gratuites longtemps

Peut-être que l’information n’est pas parvenue à tout le monde : Les mises à jour Sophos Firewall ne seront plus gratuites à l’avenir

Nous avons donc maintenant la première mise à jour depuis la version 19.0 MR1 et le compteur des mises à jour gratuites démarre à trois. Après l’installation, plus précisément lors du téléchargement de la nouvelle image firmware 19.5, il sera à deux.

Si l’on examine les innovations de cette mise à jour, qui est, il faut l’admettre, une mise à jour majeure, on constate qu’elle apporte de nombreuses nouvelles fonctionnalités qui améliorent encore le Sophos Firewall. Ce développement doit être financé et, comme on le sait avec les applications pour smartphones, de nombreux développeurs passent au modèle d’abonnement pour que ce développement soit payé.

Par conséquent, lorsque le compteur de firmware arrive à zéro, une licence Enhanced Support est nécessaire. Elle peut être achetée séparément ou être incluse dans un bundle de licences comme Standard Protection, Xstream Protection ou Epic Protection.