Sophos Firewall v20 - Meilleures fonctionnalités de la nouvelle version SFOS
Les versions majeures sont de loin les plus excitantes de l’année et avec le Sophos Firewall v20, plus précisément SFOS v20, Sophos apporte de nouvelles fonctionnalités vraiment géniales. Actuellement, il s’agit de l’EAP1, une version d’accès anticipé. La version finale ne devrait pas être publiée avant la fin de l’année ou le début de 2024, si Sophos reste fidèle à son calendrier.
Web Admin optimisé pour 1920p
Dans la liste des fonctionnalités de Sophos, cette nouveauté figure tout en bas des améliorations les moins importantes incluses dans la nouvelle version. Prise en charge des écrans haute résolution. Les chiffres de Statista montrent que les moniteurs 1980p sont plus que la norme depuis 2018 – cette fonction est donc attendue depuis longtemps. Je suis extrêmement enthousiasmé par cette fonctionnalité. 🥳 Il était extrêmement gênant qu’autant d’espace blanc reste inutilisé et que le texte soit coupé à la place.
Cependant, tout n’est pas encore optimisé pour 1920p et à de nombreux endroits dans l’interface graphique, cela nécessite encore un peu de soin, par exemple dans le tableau de bord. Cela devrait être livré avec v20.5.
Si l’on compare la différence entre SFOS v19.5 et SFOS v20, on obtient enfin plus d’espace.
Le mérite en revient cependant non pas à Sophos, mais à quelques grands partenaires Sophos qui ont suggéré au fabricant de le mettre en œuvre. Donc, un grand merci à ce stade.
Améliorations VPN
Sophos Firewall v20 apporte diverses nouveautés dans le domaine du VPN. Commençons par le changement probablement le plus important.
Portail VPN
Avec la mise à jour vers SFOS v20, les fonctionnalités VPN du portail utilisateur seront transférées vers le nouveau portail VPN. Il y aura donc à l’avenir deux portails pour l’utilisateur, à condition que le portail utilisateur soit encore fréquemment utilisé. Plus d’informations à ce sujet à la fin.
Le nouveau portail VPN dans SFOS v20 centralise les fonctions spécifiques au VPN qui se trouvaient auparavant dans le portail utilisateur.
- Téléchargement du client Sophos Connect pour Windows et macOS
- Téléchargement de la configuration pour les VPN SSL et IPsec distants
- Accès aux marque-pages sans client
La conteneurisation minimise l’accès aux composants centraux de SFOS, ce qui rend l’utilisation via WAN plus sécurisée. Les fonctions concernant les méthodes d’authentification ou la MFA restent les mêmes que pour le portail utilisateur.
La migration vers SFOS 20.0 reprend automatiquement les configurations existantes du portail utilisateur vers le portail VPN, ce qui facilite la transition. Il existe toutefois un nouveau port pour le portail utilisateur et le portail VPN fonctionne sur le port précédent.
Qu’est-ce qui change pour les portails après la mise à jour vers SFOS v20 ?
| Portail VPN | Portail utilisateur |
|---|---|
| Port standard : 443 Cela signifie que les implémentations VPN d’accès distant existantes continuent de fonctionner sans problème. | Port standard : 4443 |
| Le port peut être partagé avec les services suivants : - WAF - VPN SSL | Le port ne peut pas être utilisé pour un autre service. |
| Téléchargement : - Client Sophos Connect - Config. VPN IPsec et SSL - Config. VPN iOS Les utilisateurs invités n’ont pas accès au portail VPN. | Le client VPN et les configurations se trouvent désormais dans le portail VPN. |
| - Auto-provisionnement pour Sophos Connect Client - Récupération de la configuration VPN via le portail VPN - Avec le port standard 443, les déploiements existants restent inchangés | Déplacé vers le portail VPN |
| Accès sans client aux signets | Déplacé vers le portail VPN |
| - | - Autres téléchargements client - Utilisation d’Internet - Quarantaine et exceptions e-mail - Dépassement de politiques - Hotspots sans fil |
Vous trouverez plus d’informations à ce sujet dans la base de connaissances Sophos : Nouveau portail VPN dans SFOS 20.0 et versions ultérieures
On voit donc clairement quelles fonctions restent dans le portail utilisateur. En examinant la base d’utilisateurs de ces fonctions, on constate qu’un très petit nombre de nos clients les ont utilisées, de sorte que le portail utilisateur sera désormais moins fréquemment utilisé.
IPsec VPN Stateful HA Failover
Dans Sophos Firewall v20, le basculement (Failover) de haute disponibilité (HA) avec état pour les connexions VPN IPsec est introduit. Cette nouvelle fonctionnalité permet, en cas de basculement, de transférer en toute transparence les connexions VPN IPsec existantes vers le nœud de secours, sans interrompre les sessions. Il est important de souligner quelles connexions VPN bénéficient de cette amélioration et lesquelles non.
L’amélioration concerne les connexions VPN suivantes :
- VPN IPsec Site-to-Site (basé sur l’itinéraire et basé sur les politiques)
- VPN IPsec d’accès distant
Cela signifie que les VPN d’accès distant et les VPN site à site peuvent être poursuivis en cas de basculement sans avoir à rétablir la connexion.
Dans le contexte des VPN IPsec, cette fonction est particulièrement utile car elle accélère la restauration des connexions en cas de basculement et augmente ainsi la disponibilité du réseau. La restauration de la connexion posait souvent des problèmes et les connexions VPN devaient être rétablies manuellement ou automatiquement avec un certain délai après un basculement. Cela pouvait entraîner des interruptions des services réseau, ce qui affectait à son tour les processus métier. Désormais, on ne perd plus que quelques pings, mais la connexion reste établie.
Avec l’amélioration des Stateful HA Failovers dans Sophos Firewall v20, même les grandes organisations qui dépendent d’une haute disponibilité peuvent désormais bénéficier d’une stabilité accrue et d’un fonctionnement sans heurts. Les nouvelles options de ligne de commande pour la gestion des paramètres contribuent également à la flexibilité et au contrôle nécessaires pour les connexions VPN.
Les autres connexions VPN, telles que les VPN SSL et les connexions Sophos RED, ne sont pas concernées par cette amélioration spécifique du basculement, mais l’expérience montre qu’elles fonctionnent également mieux lors de l’établissement de la connexion.
Prise en charge de l’hôte FQDN pour le VPN SSL
Dans SFOS v20, la prise en charge des noms de domaine complets (FQDN) a été ajoutée à la fonctionnalité SSL VPN. Grâce à cette nouveauté, les connexions SSL VPN peuvent désormais être configurées sur la base de noms de domaine au lieu de simples adresses IP. C’est particulièrement utile dans les environnements réseau dynamiques où les adresses IP des points d’extrémité peuvent changer, car les modifications des adresses réseau n’ont plus besoin d’être mises à jour manuellement dans la configuration VPN.
La prise en charge des FQDN facilite également l’intégration avec les services DNS, ce qui simplifie la résolution des noms de réseau et peut améliorer les performances globales des connexions SSL VPN.
De plus, la prise en charge des FQDN permet une création plus précise des politiques de sécurité basées sur les noms de domaine, ce qui permet un contrôle accru de l’accès au réseau.
SNMP – Surveillance de l’état du tunnel VPN IPsec
Dans la version SFOS v20 du Sophos Firewall, la fonction de surveillance de l’état des tunnels VPN IPsec via le protocole SNMP (Simple Network Management Protocol) a été ajoutée. Cette fonctionnalité figurait également depuis longtemps sur notre liste de souhaits et simplifie désormais la surveillance d’autres services.
La composante principale de cette fonction est le fichier MIB (Management Information Base) fourni par le Sophos Firewall. Le fichier MIB est importé dans l’outil SNMP et permet d’accéder à une multitude de points de données qui fournissent des informations importantes sur l’état, les performances et les erreurs possibles des tunnels VPN IPsec. Les administrateurs peuvent ainsi effectuer une surveillance et une analyse détaillées des activités des tunnels.
Azure AD – SSO de portail captif et importation de groupe
Sophos Firewall v20 apporte des intégrations étendues avec Azure Active Directory (Azure AD) via deux nouvelles fonctionnalités : l’authentification unique Azure AD pour le portail captif et l’importation de groupes Azure et le RBAC.
La fonction Azure AD SSO pour le portail captif permet aux utilisateurs de s’authentifier auprès du portail captif à l’aide de leurs identifiants Azure AD. Cela simplifie le processus d’authentification en permettant aux utilisateurs d’utiliser leurs identifiants Azure AD existants.
La deuxième nouveauté, Azure Group Import et RBAC, ajoute une nouvelle fonction d’assistant d’importation pour les groupes Azure AD et permet la promotion automatique des modifications d’administrateur basées sur les rôles. Grâce à cette fonction, les administrateurs peuvent facilement importer des groupes Azure AD dans le pare-feu Sophos et les utiliser pour le contrôle d’accès basé sur les rôles (RBAC). La fonction de promotion automatique simplifie la gestion des rôles et des droits des utilisateurs en promouvant automatiquement les modifications de l’affectation des administrateurs basée sur les rôles.
L’extension d’Azure AD est un pas en avant, mais malheureusement, nous devons encore attendre l’utilisation de la connexion Azure AD pour le portail VPN, le VPN IPsec distant ou le VPN SSL. Nous espérons donc des mises à jour. 😩
Pour configurer Azure AD sur le pare-feu lui-même, ces liens sont utiles :
- Configurer une application Azure
- Sophos Firewall v21.5 : Intégration SSO Entra ID pour Sophos Connect Client
Activer / Désactiver les interfaces
Une fonction longtemps attendue par les administrateurs a été intégrée. L’activation et la désactivation des interfaces. Cette fonction utile était déjà disponible dans le système d’exploitation précédent de Sophos UTM et SFOS v20 répond désormais au souhait des administrateurs de réintroduire cette fonctionnalité.
Jusqu’à présent, une interface ne pouvait être complètement désactivée, ce qui entraînait la perte de l’ensemble de la configuration.
Si une interface est maintenant désactivée dans les paramètres, toute la configuration est conservée et l’interface peut être facilement réactivée si nécessaire.
En mode désactivé, la ligne de l’interface est grisée et dans le Centre de contrôle, le statut est affiché comme désactivé (Turned off). Cette amélioration simplifie considérablement la gestion du pare-feu et fait gagner un temps précieux aux administrateurs lors de la configuration et de la gestion des interfaces réseau.
Il existe quelques exceptions où l’activation/désactivation des interfaces n’est pas possible. Par exemple, les interfaces d’alias ou de tunnel, ou les interfaces qui sont des membres individuels d’un LAG (Link Aggregation Group) ou d’un Bridge, ne peuvent pas être désactivées. Cependant, l’ensemble du LAG ou de l’interface Bridge peut être désactivé.
| Type d’interface | Activation/désactivation prise en charge |
|---|---|
| Physique | Oui |
| VLAN | Oui |
| LAG (Groupe) | Oui |
| Membre individuel LAG | Non |
| Bridge | Oui |
| Membre individuel Bridge | Non |
| Alias | Prévu |
| Réseau local sans fil | Oui |
| Interface de tunnel (XFRM) | Non |
| Wi-Fi | Oui |
| RED | Oui |
*Sophos Firewall v20 (SFOS v20) – Prise en charge de l’activation/désactivation d’interface
Référencement d’objet
L’innovation de la “référencement d’objet” dans Sophos Firewall version 20 répond à un défi antérieur dans la gestion des objets réseau. Dans les versions précédentes jusqu’à 19.5, il était fastidieux d’identifier où un objet spécifique était utilisé dans la configuration avant qu’il ne puisse être supprimé. Cela pouvait entraîner des retards et des erreurs potentielles, en particulier dans des environnements réseau étendus avec une multitude de règles et de politiques.
Dans la version 20, cette vulnérabilité a été corrigée. Pour les objets sous l’élément de menu “Hôtes et services”, tous les objets sont organisés en onglets et avec SFOS v20, Sophos Firewall indique précisément où cet objet est utilisé, que ce soit dans une règle de pare-feu, une règle NAT, une configuration VPN ou un service dans un groupe. Cela facilite l’identification des dépendances et aide à apporter les modifications nécessaires avant la suppression.
Une autre fonctionnalité puissante est la liaison directe vers les règles où l’objet est utilisé. D’un simple clic, l’administrateur peut désormais naviguer directement vers la règle concernée et effectuer les ajustements nécessaires, sans perdre de temps à rechercher manuellement la règle. Cela améliore l’efficacité, minimise la susceptibilité aux erreurs et économise un temps précieux qui devrait autrement être consacré à la gestion et à la vérification de la configuration. Le référencement d’objet dans Sophos Firewall v20 est donc un pas important vers la simplification de la gestion et la prévention des erreurs de configuration, ce qui facilite considérablement le travail quotidien des administrateurs réseau.
La référencement est mise à jour une fois par jour, mais elle peut aussi être exécutée manuellement.
Sophos l’appelle “Améliorations de la qualité de vie”. Mais c’est plutôt comme répondre à des demandes de clients longtemps attendues.
Routage dynamique IPv6 (BGP)
Dans Sophos Firewall v20, la prise en charge du routage dynamique avec IPv6 dans le protocole Border Gateway (BGP) a été étendue. Cette extension est une mise à jour importante, car BGP est un protocole de routage central sur Internet mondial. Contrairement à d’autres protocoles de routage, BGP dans SFOS ne nécessite pas de processus ou de services séparés pour IPv4 et IPv6, mais offre un service standardisé qui simplifie la configuration et la gestion. L’interface utilisateur a été étendue de manière à ce que IPv4 et IPv6 puissent être configurés sur la même page, avec des sections séparées disponibles pour les informations de routage IPv4 et IPv6.
Délégation de préfixe DHCP IPv6
Avec l’introduction de la délégation de préfixe DHCP dans Sophos Firewall SFOS v20, la gestion des adresses IPv6 est automatisée. Cette fonction permet d’obtenir des préfixes d’adresse IPv6 du fournisseur et de les acheminer vers le réseau LAN. Lors de la réception d’une adresse IPv6 sur l’interface WAN, celle-ci peut désormais être utilisée dans le réseau LAN. Par une requête de délégation de préfixe DHCPv6 au FAI, le pare-feu reçoit une plage d’adresses IPv6, qui est ensuite transmise aux appareils réseau. Ceux-ci reçoivent leurs adresses IPv6 routables globalement via des messages d’annonce de routeur (RA).
La délégation de préfixe DHCP simplifie considérablement la gestion des adresses IPv6 et permet une adaptation fluide aux modifications du préfixe FAI en distribuant automatiquement de nouveaux préfixes à tous les clients connectés. Cela améliore l’efficacité et la sécurité du réseau, réduit la complexité de la gestion manuelle des adresses et favorise une utilisation plus efficace des adresses IPv6 dans le réseau. Ainsi, certains services du réseau peuvent être proposés avec les adresses IPv6 reçues du fournisseur.
La délégation de préfixe DHCP est expliquée une fois de plus dans la vidéo suivante.
Réponse active aux menaces
Les améliorations suivantes permettent une communication transparente entre les analystes de sécurité et le Sophos Firewall pour une réponse proactive aux menaces identifiées.
Synchronized Security pour MDR et XDR
Avec Extended Detection and Response (XDR), Sophos Firewall v20 représente une avancée significative dans la défense automatisée contre les menaces. Cette fonction établit un lien d’information direct entre les analystes de sécurité et le pare-feu, permettant ainsi une réponse rapide et automatisée aux menaces actives.
Les données de menaces peuvent désormais être partagées de manière transparente avec le pare-feu sans avoir à créer manuellement des règles de pare-feu. Cet échange d’informations automatisé permet au pare-feu de répondre de manière proactive aux menaces identifiées et de prendre les mesures de défense appropriées.
Avantages :
- Réduction de la charge administrative manuelle
- Augmentation de la vitesse de réponse aux menaces
- Amélioration de la posture de sécurité globale du réseau
- Réponse automatisée aux menaces
- Réduction du temps passé par l’équipe de sécurité à la configuration manuelle et à l’ajustement des règles de pare-feu
Sophos Firewall v20 étend Synchronized Security pour inclure Managed Detection and Response (MDR) et Extended Detection and Response (XDR). Cette extension permet aux analystes de sécurité de partager les données de menaces actives directement avec le pare-feu. Un point fort est que le pare-feu est capable de répondre automatiquement aux menaces actives, sans avoir à créer de règles de pare-feu séparées. Cette évolution représente une valeur ajoutée significative, car elle réduit considérablement le temps de réponse aux menaces et permet une protection proactive.
Flux de menaces dynamiques
L’introduction des Dynamic Threat Feeds apporte un nouveau Threat Feed API Framework, qui sera également extensible. Cette fonction facilite l’échange de données de menaces entre l’équipe Sophos X-Ops, d’autres produits Sophos tels que MDR et XDR, et devrait à l’avenir intégrer également des flux de menaces de tiers. Grâce à cette flexibilité accrue, les capacités de Threat Intelligence du pare-feu sont considérablement étendues, ce qui permet une meilleure détection et réponse aux menaces.
Sécurité synchronisée
La Synchronized Security sera encore optimisée pour permettre une réponse encore plus efficace aux menaces identifiées par MDR/XDR.
Un état de santé rouge sur un terminal ou un serveur indique généralement des problèmes tels que des logiciels malveillants actifs ou en cours d’exécution, du trafic réseau malveillant, une communication avec des hôtes malveillants connus, des logiciels malveillants non supprimés ou un Sophos Endpoint ne fonctionnant pas correctement. Dans de tels cas, des mesures sont nécessaires pour résoudre les risques de sécurité.
L’automatisme (Protection contre les mouvements latéraux) avec un statut de santé rouge est maintenant étendu aux menaces pour garantir que les hôtes affectés, en cas de compromission, ne peuvent pas se déplacer latéralement dans le réseau ou communiquer vers l’extérieur, tandis que les détails importants tels que l’hôte, l’utilisateur et le processus sont facilement accessibles pour le suivi.
La scalabilité de Synchronized Security a également été optimisée pour faciliter la gestion dans de grands environnements réseau. Les faux positifs dus à des manques de battements de cœur sur les appareils en veille ou en hibernation ont été réduits.
Nouvelles fonctionnalités WAF
Contrôle Geo IP (blocage par pays / régions)
Le pare-feu Sophos dispose d’une base de données Geoip ip2country, mise à jour par les mises à jour de modèles. Dans les règles de pare-feu et NAT ou les règles d’exception d’ACL de service local, cela pouvait déjà être utilisé. Après la mise à jour vers SFOS v20, il est possible dans le pare-feu d’application web (WAF) de bloquer l’accès aux serveurs en fonction de la localisation géographique (adresses IP). Les utilisateurs peuvent désormais bloquer des pays / régions ou continents spécifiques ou n’autoriser l’accès qu’à partir de certaines régions. Cette fonction augmente la sécurité en empêchant l’accès à partir de régions potentiellement malveillantes et offre en même temps une couche supplémentaire de contrôle d’accès.
Configuration des chiffrements
La configuration personnalisée des chiffrements et les paramètres de version TLS permettent désormais d’utiliser des chiffrements plus forts (chiffrements plus sécurisés) et d’exclure les plus faibles. Cela permet un meilleur contrôle sur la sécurité de la transmission des données entre les utilisateurs et les applications protégées par le WAF.
HSTS et X-Content-Type-Options
Sécurité améliorée grâce à HSTS et X-Content-Type-Options qui peuvent désormais forcer l’implémentation de HTTP Strict Transport Security (HSTS), ce qui améliore la sécurité des navigateurs clients. Le paramètre X-Content-Type-Options aide à désactiver le reniflage de type MIME, ce qui offre une protection supplémentaire contre certains types d’attaques.
Intégration SD-WAN tierce
Supposons qu’une entreprise ait plusieurs sites avec leurs propres réseaux qui doivent être interconnectés pour partager efficacement des données et des ressources. Au lieu de la solution MPLS traditionnelle, coûteuse et moins flexible, le SD-WAN (Software-Defined Wide Area Network) offre une alternative plus agile et plus rentable.
Grâce à l’intégration de SD-WAN tiers dans Sophos Firewall v20, le trafic peut être transféré de manière transparente vers les puissants réseaux dorsaux de Cloudflare, Akamai ou Azure. Par exemple, une entreprise ayant besoin d’une connexion plus rapide et plus sécurisée entre ses sites peut acheminer le trafic via le réseau dorsal Azure pour bénéficier de sa portée mondiale et de ses services de sécurité robustes. Cela améliore les performances, la sécurité et la fiabilité, tout en réduisant la complexité et les coûts du réseau.
L’intégration aux réseaux dorsaux de fournisseurs tels que Cloudflare, Akamai ou Azure crée un pont entre le réseau local et les vastes infrastructures réseau de ces fournisseurs. L’intégration de solutions SD-WAN tierces dans Sophos Firewall v20 simplifie ce processus.
Passerelle ZTNA
Cette fonctionnalité n’est pas nouvelle en soi, car elle a déjà été intégrée au pare-feu avec SFOS 19.5 MR3, mais Sophos la liste à nouveau parmi les nouveautés de SFOS v20.
L’article sur ce sujet se trouve ici : Passerelle ZTNA Sophos sur le pare-feu Sophos
