Sophos Firewall v19.5 – Toutes les nouvelles fonctionnalités de cette mise à jour
Cela fait quelques mois que je n’ai pas eu le temps de rédiger un article sur la mise à jour du SFOS. Les choses vont désormais s’améliorer. C’est pourquoi je suis d’autant plus impatient de vous présenter les nouvelles fonctions et améliorations de SFOS 19.5.
La mise à jour s’applique à tous les Sophos Firewalldes séries SG, XG et XGS, ainsi qu’aux appliances ou instances virtuelles sur les plateformes de cloud comme Azure ou AWS.
Les modèles suivants ne recevront pas la mise à jour, car ils ne disposent pas de 4 Go de RAM : XG 85(w), XG 105(w), SG 105(w)
La vulnérabilité CVE-2022-3236 est corrigée
Une vulnérabilité d’injection de code dans le portail utilisateur et dans WebAdmin permet à un attaquant d’exécuter du code dans Sophos Firewall, version v19.0 MR1 et antérieure. CVE-2022-3236
Recherche d’hôtes et de services
Dans SFOS v19, la recherche d’objets dans les règles de pare-feu a été massivement améliorée. A certains endroits, il manquait cependant encore la fonction de recherche comme pour les objets Hosts et Services. Ici, il est possible de rechercher par nom, par port ou par adresse IP, ce qui facilite également la recherche d’objets en double.
Supprimer les objets en double lorsqu’ils sont encore utilisés n’est toujours pas aussi simple, car on ne reçoit aucune indication sur l’endroit où cet objet est utilisé.
Sophos a présenté cette nouvelle fonctionnalité de manière plus détaillée dans une vidéo de 2 minutes.
Azure AD SSO pour login webadmin
Azure AD existe déjà depuis un certain temps sur Sophos Central. Avec la v19.5, l’intégration d’Azure Active Directory (Azure AD) arrive maintenant sur Sophos Firewall pour l’authentification unique (SSO) sur la console Webadmin.
L’intégration d’Azure AD permet également une gestion dynamique des rôles et des accès aux groupes. Il est donc possible de créer ses propres profils de droits sur le pare-feu ou d’utiliser ceux qui existent déjà et de les donner ensuite à un Utilisateur sur Azure AD.
Cette vidéo explique comment configurer le site Azure et Sophos Firewall.
L’intégration d’Azure AD pour le login Webadmin est certainement un bon début. Cela deviendra passionnant lorsque Utilisateur d’accès à distance (SSLVPN ou IPsec) et le portail Utilisateur fonctionneront également avec cette intégration.
Améliorations de la haute disponibilité
Il y a aussi une très bonne amélioration pour les clusters HA. Une petite innovation est par exemple l’indication lors de la création du cluster que la licence doit être présente sur l’appareil primaire ou, dans le cas d’un cluster actif-actif, ce que nous n’utilisons en fait presque jamais, que la licence doit être présente sur les deux appliances.
Il est désormais possible de configurer plusieurs liens HA, et ce uniquement via une connexion directe, mais aussi via des LAG et des VLAN.
Les interfaces VLAN peuvent désormais être ajoutées lors de la surveillance des interfaces.
La page d’état fournit désormais beaucoup plus d’informations importantes. On peut voir sur quel nœud la licence est activée. La date et l’heure du dernier changement de statut du cluster. On peut donner un nom et on ne doit plus se souvenir du numéro de série.
Le widget du centre de contrôle s’est déplacé vers le haut à droite et affiche également plus d’informations sur le cluster. Le nom de l’onglet indique maintenant aussi sur quel nœud on se connecte, bien qu’on préférerait y voir le nom d’hôte du pare-feu, car je ne me connecte de toute façon jamais sur le nœud2.
Là aussi, il existe une vidéo montrant ces améliorations.
Équilibrage de charge SD-WAN
Depuis la v19, le SD-WAN existe et dans les profils, il est possible dans la nouvelle version de créer un load balancing. Les méthodes disponibles sont le Round Robin ou la Session Persistence.
Round Robin
Les connexions sont réparties sur les connexions sélectionnées en fonction de la pondération. Dans la capture d’écran, les deux passerelles ont actuellement une pondération de 1, ce qui permet une répartition égale sur les deux passerelles.
Persistance de la session
Avec Session Persistence, on peut définir si le trafic doit être réparti par IP source, IP destination, les deux en même temps ou par connexion.
Ce renouvellement est valable pour le profil SD-WAN. Il est bien sûr possible de créer plusieurs profils et de les utiliser selon les besoins de la stratégie de routage en fonction de l’application, de la source, de la destination ou du service.
Des performances accrues pour tous les pare-feu Sophos XGS
Chaque appliance Sophos XGS possède une architecture à deux processeurs. Lors du lancement de la série XGS, Sophos a accéléré certaines connexions par deux fois par rapport à la série XG. Il a été annoncé qu’avec les prochaines mises à jour logicielles, les processus seront transférés du CPU vers le NPU afin d’améliorer les performances. Avec la version 19.5, d’autres processus seront traités par le processeur Xstream Flow et donc accélérés. Dans cette version, grâce à ce développement, le nombre de tunnels VPN IPsec a tout simplement doublé dans les modèles XGS.
Sur les modèles XGS 4300, 4500, 5500 et 6500, les connexions cryptées TLS sont accélérées sur le FastPath, ce qui rend l’inspection approfondie des paquets encore plus performante.
Autres petites améliorations dans la v19.5
OSPFv3
Le nouveau moteur de routage dynamique prend en charge OSPFv3. Parmi les nouveautés d’OSPFv3, on trouve notamment le support d’IPv6, une taille d’en-tête plus petite et l’abandon de l’utilisation de MD5 pour l’authentification. OSPFv3 renonce complètement à son propre soutien de l’authentification et s’appuie à la place sur le cadre IPsec plus flexible d’IPv6.
Log
L’amélioration de l’enregistrement des fichiers journaux permet un dépannage détaillé.
Hardware Support
Prise en charge améliorée des interfaces 40G avec détection automatique des configurations de port étendues sur les modèles XGS 5500 et 6500.
Le support matériel pour les modules 5G, qui était listé dans l’EAP, ne figure plus dans la version finale v19.5. Je suppose donc que les modules arriveront un peu plus tard que prévu.
Vidéo sur les nouveautés de Sophos Firewall OS v19.5
Vous voyez déjà que Sophos se donne beaucoup de mal pour montrer les nouvelles fonctions dans des vidéos, ce que nous trouvons très cool. Il y a souvent eu des nouvelles fonctionnalités qui ont été noyées dans les notes de publication et que peu de gens ont remarquées. En plus de la vidéo ci-dessus sur les fonctionnalités individuelles, il y a aussi une vidéo sur Sophos Firewall 19.5 dans son ensemble.
Les mises à jour ne seront plus gratuites longtemps
Peut-être que l’information n’est pas parvenue à tout le monde : Les mises à jour de Sophos Firewall ne seront plus gratuites à l’avenir
Nous avons donc maintenant la première mise à jour depuis la version 19.0 MR1 et le compteur des mises à jour gratuites démarre à trois. Après l’installation, plus précisément lors du téléchargement de la nouvelle image du micrologiciel 19.5, le compteur est passé à deux.
Si l’on regarde les nouveautés de cette mise à jour, qui est, il est vrai, une mise à jour majeure, on voit que de nombreuses nouvelles fonctions arrivent et améliorent encore un peu plus Sophos Firewall. Ce développement doit être payé et, comme on le sait pour les applications de smartphones, de nombreux développeurs passent au modèle d’abonnement pour se faire payer ce développement.
Par conséquent, si le compteur du micrologiciel est à zéro, il faut une licence Enhanced Support, qui peut être individuelle ou incluse dans un bundle de licences comme Standard Protection, Xstream Protection ou Epic Protection.
