Sophos Firewall v20 - les meilleures fonctionnalités du nouveau release SFOS
Les versions majeures sont de loin les plus passionnantes de l’année et, avec Sophos Firewall v20, plus précisément SFOS v20, Sophos apporte quelques nouvelles fonctionnalités vraiment intéressantes. Pour l’instant, il s’agit de l’EAP1, donc d’une version Early Access. Si Sophos reste fidèle à son calendrier habituel, la version finale ne devrait arriver qu’à la fin de l’année ou au début de 2024.
Web Admin optimisé pour 1920p
Dans la liste des fonctionnalités de Sophos, cette nouveauté figure tout en bas, parmi les améliorations moins importantes de la nouvelle version : la prise en charge des écrans haute résolution. Les chiffres de Statista montrent que les écrans 1920p sont plus que standard depuis 2018. Cette fonction était donc attendue depuis longtemps. Personnellement, je la célèbre vraiment. 🥳 Il était extrêmement agaçant de voir autant d’espace blanc inutilisé pendant que du texte était coupé.
Tout n’est toutefois pas encore optimisé pour 1920p et plusieurs zones de l’interface graphique demandent encore un peu de finition, par exemple le dashboard. Cela devrait être livré avec v20.5.
Si l’on compare la différence entre SFOS v19.5 et SFOS v20, on obtient enfin plus d’espace.
Le mérite ne revient toutefois pas directement à Sophos, mais à quelques grands partenaires Sophos qui ont poussé le fabricant à le mettre en œuvre. Merci donc à eux.
Améliorations VPN
Sophos Firewall v20 apporte plusieurs nouveautés dans le domaine VPN. Commençons par le changement probablement le plus important.
VPN Portal
Avec la mise à jour vers SFOS v20, les fonctionnalités VPN du User Portal sont transférées vers le nouveau VPN Portal. À l’avenir, il y aura donc deux portails pour l’utilisateur, à condition que le User Portal soit encore réellement utilisé. Plus d’informations à ce sujet à la fin.
Le nouveau VPN Portal dans SFOS v20 centralise les fonctions spécifiques au VPN qui se trouvaient auparavant dans le User Portal.
- Téléchargement du client Sophos Connect pour Windows et macOS
- Téléchargement de la configuration pour Remote SSL VPN et IPsec
- Accès aux clientless bookmarks
La conteneurisation minimise l’accès aux composants centraux de SFOS, ce qui rend l’utilisation via WAN plus sûre. Les fonctions liées aux méthodes d’authentification ou à la MFA restent les mêmes que dans le User Portal.
La migration vers SFOS 20.0 reprend automatiquement les configurations existantes du User Portal dans le VPN Portal, ce qui facilite la transition. En revanche, le User Portal reçoit un nouveau port et le VPN Portal fonctionne sur le port utilisé jusque-là.
Qu’est-ce qui change pour les portails après la mise à jour vers SFOS v20 ?
| VPN Portal | User Portal |
|---|---|
| Port standard : 443 Les implémentations Remote Access VPN existantes continuent ainsi de fonctionner sans problème. | Port standard : 4443 |
| Le port peut être partagé avec les services suivants : - WAF - VPN SSL | Le port ne peut pas être utilisé pour un autre service. |
| Téléchargement : - Sophos Connect Client - Config IPsec et SSL VPN - Config iOS VPN Les utilisateurs invités n’ont pas accès au VPN Portal. | Le client VPN et les configurations se trouvent désormais dans le VPN Portal. |
| - Auto-provisioning pour Sophos Connect Client - Récupération de la configuration VPN via le VPN Portal - Avec le port standard 443, les déploiements existants restent inchangés | Déplacé vers le VPN Portal |
| Accès clientless aux bookmarks | Déplacé vers le VPN Portal |
| - | - Autres téléchargements client - Utilisation d’Internet - Quarantaine et exceptions e-mail - Dépassement de politiques - Hotspots sans fil |
On voit donc clairement quelles fonctions restent dans le User Portal. En regardant la base d’utilisateurs de ces fonctions, on constate que très peu de nos clients les ont utilisées. Le User Portal sera donc désormais moins souvent sollicité.
IPsec VPN Stateful HA Failover
Dans Sophos Firewall v20, le basculement (Failover) de haute disponibilité (HA) avec état pour les connexions VPN IPsec est introduit. Cette nouvelle fonctionnalité permet, en cas de basculement, de transférer en toute transparence les connexions VPN IPsec existantes vers le nœud de secours, sans interrompre les sessions. Il est important de souligner quelles connexions VPN bénéficient de cette amélioration et lesquelles non.
L’amélioration concerne les connexions VPN suivantes :
- VPN IPsec Site-to-Site (basé sur l’itinéraire et basé sur les politiques)
- VPN IPsec d’accès distant
Cela signifie que les VPN d’accès distant et les VPN site à site peuvent être poursuivis en cas de basculement sans avoir à rétablir la connexion.
Dans le contexte des VPN IPsec, cette fonction est particulièrement utile car elle accélère la restauration des connexions en cas de basculement et augmente ainsi la disponibilité du réseau. La restauration de la connexion posait souvent des problèmes et les connexions VPN devaient être rétablies manuellement ou automatiquement avec un certain délai après un basculement. Cela pouvait entraîner des interruptions des services réseau, ce qui affectait à son tour les processus métier. Désormais, on ne perd plus que quelques pings, mais la connexion reste établie.
Avec l’amélioration des Stateful HA Failovers dans Sophos Firewall v20, même les grandes organisations qui dépendent d’une haute disponibilité peuvent désormais bénéficier d’une stabilité accrue et d’un fonctionnement sans heurts. Les nouvelles options de ligne de commande pour la gestion des paramètres contribuent également à la flexibilité et au contrôle nécessaires pour les connexions VPN.
Les autres connexions VPN, telles que les VPN SSL et les connexions Sophos RED, ne sont pas concernées par cette amélioration spécifique du basculement, mais l’expérience montre qu’elles fonctionnent également mieux lors de l’établissement de la connexion.
Support FQDN Host pour SSL VPN
Dans SFOS v20, le support des Fully Qualified Domain Names (FQDN) a été ajouté à la fonctionnalité SSL VPN. Grâce à cette nouveauté, les connexions SSL VPN peuvent désormais être configurées sur la base de noms de domaine, et plus seulement d’adresses IP. C’est particulièrement utile dans les environnements réseau dynamiques où les adresses IP des endpoints peuvent changer, car les changements d’adresses réseau n’ont plus besoin d’être mis à jour manuellement dans la configuration VPN.
Le support FQDN facilite également l’intégration avec les services DNS, ce qui simplifie la résolution des noms réseau et peut améliorer les performances globales des connexions SSL VPN.
De plus, le support FQDN permet de créer des politiques de sécurité plus précises sur la base de noms de domaine, et donc de mieux contrôler l’accès au réseau.
SNMP – surveiller l’état des tunnels IPsec VPN
Dans SFOS v20 de Sophos Firewall, la fonction permettant de surveiller l’état des tunnels IPsec VPN via le protocole SNMP (Simple Network Management Protocol) a été ajoutée. Cette fonctionnalité figurait elle aussi depuis longtemps sur notre liste de souhaits et simplifie désormais la surveillance d’autres services.
La composante principale de cette fonction est le fichier MIB (Management Information Base) fourni par le Sophos Firewall. Le fichier MIB est importé dans l’outil SNMP et permet d’accéder à une multitude de points de données qui fournissent des informations importantes sur l’état, les performances et les erreurs possibles des tunnels VPN IPsec. Les administrateurs peuvent ainsi effectuer une surveillance et une analyse détaillées des activités des tunnels.
Azure AD – Captive Portal SSO et import de groupes
Sophos Firewall v20 apporte des intégrations étendues avec Azure Active Directory (Azure AD) via deux nouvelles fonctionnalités : Azure AD SSO pour Captive Portal ainsi que Azure Group Import et RBAC.
La fonction Azure AD SSO pour le portail captif permet aux utilisateurs de s’authentifier auprès du portail captif à l’aide de leurs identifiants Azure AD. Cela simplifie le processus d’authentification en permettant aux utilisateurs d’utiliser leurs identifiants Azure AD existants.
La deuxième nouveauté, Azure Group Import et RBAC, ajoute une nouvelle fonction d’assistant d’importation pour les groupes Azure AD et permet une promotion automatique pour les changements d’administration basés sur les rôles. Grâce à cette fonction, les administrateurs peuvent importer facilement des groupes Azure AD dans Sophos Firewall et les utiliser pour le contrôle d’accès basé sur les rôles (RBAC). La fonction de promotion automatique simplifie la gestion des rôles et des droits utilisateurs en appliquant automatiquement les changements dans l’attribution d’administration basée sur les rôles.
L’extension d’Azure AD est un pas en avant, mais nous devons malheureusement encore attendre la possibilité d’utiliser le login Azure AD pour le VPN Portal, le Remote IPsec VPN ou le SSL VPN. Nous espérons donc des mises à jour. 😩
Pour configurer Azure AD directement sur le firewall, ces liens sont utiles :
- Configurer une application Azure
- Sophos Firewall v21.5 : Intégration SSO Entra ID pour Sophos Connect Client
Activer / désactiver les interfaces
Une fonction longtemps attendue par les administrateurs a été intégrée : l’activation et la désactivation des interfaces. Cette fonction utile existait déjà dans l’ancien système Sophos UTM et SFOS v20 répond désormais au souhait des administrateurs de la voir revenir.
Jusqu’à présent, une interface ne pouvait être que complètement désactivée, ce qui entraînait la perte de toute sa configuration.
Si une interface est maintenant désactivée dans les paramètres, toute la configuration est conservée et l’interface peut être facilement réactivée si nécessaire.
À l’état désactivé, la ligne de l’interface est grisée et, dans le Control Center, le statut s’affiche comme désactivé (Turned off). Cette amélioration simplifie considérablement l’administration du firewall et fait gagner un temps précieux aux administrateurs lors de la configuration et de la gestion des interfaces réseau.
Il existe quelques exceptions pour lesquelles l’activation/désactivation des interfaces n’est pas possible. Par exemple, les interfaces alias ou tunnel, ou les interfaces qui sont des membres individuels d’un LAG (Link Aggregation Group) ou d’un bridge, ne peuvent pas être désactivées. En revanche, l’interface LAG ou bridge complète peut être désactivée.
| Type d’interface | Activation/désactivation prise en charge |
|---|---|
| Physique | Oui |
| VLAN | Oui |
| LAG (Groupe) | Oui |
| Membre individuel LAG | Non |
| Bridge | Oui |
| Membre individuel Bridge | Non |
| Alias | Prévu |
| Réseau local sans fil | Oui |
| Interface de tunnel (XFRM) | Non |
| Wi-Fi | Oui |
| RED | Oui |
*Sophos Firewall v20 (SFOS v20) – support de l’activation/désactivation d’interface
Référencement des objets
La nouveauté du « référencement des objets » dans Sophos Firewall version 20 répond à une difficulté connue dans la gestion des objets réseau. Dans les versions précédentes jusqu’à 19.5, identifier où un objet précis était utilisé dans la configuration avant de pouvoir le supprimer était fastidieux. Cela pouvait entraîner des retards et des erreurs potentielles, en particulier dans de grands environnements réseau comportant de nombreuses règles et policies.
Dans la version 20, cette faiblesse a été corrigée. Pour les objets sous le menu “Hosts and services”, tous les objets sont organisés en onglets et, avec SFOS v20, Sophos Firewall indique précisément où l’objet est utilisé, que ce soit dans une règle firewall, une règle NAT, une configuration VPN ou comme service dans un groupe. Cela facilite l’identification des dépendances et aide à effectuer les modifications nécessaires avant la suppression.
Une autre fonctionnalité très utile est le lien direct vers les règles dans lesquelles l’objet est utilisé. D’un simple clic, l’administrateur peut désormais accéder directement à la règle concernée et effectuer les ajustements nécessaires, sans perdre de temps à la rechercher manuellement. Cela améliore l’efficacité, réduit le risque d’erreurs et économise un temps précieux qui aurait autrement été consacré à la gestion et à la vérification de la configuration. Le référencement des objets dans Sophos Firewall v20 représente ainsi une avancée importante pour simplifier l’administration et éviter les erreurs de configuration, ce qui facilite nettement le travail quotidien des administrateurs réseau.
Le référencement est mis à jour une fois par jour, mais il peut aussi être lancé manuellement.
Sophos appelle cela des “Quality of Life Enhancements”. On pourrait aussi dire que Sophos répond enfin à des souhaits clients attendus depuis longtemps.
Routage dynamique IPv6 (BGP)
Dans Sophos Firewall v20, le support du routage dynamique avec IPv6 dans le Border Gateway Protocol (BGP) a été étendu. Cette extension est une mise à jour importante, car BGP est un protocole de routage central de l’Internet mondial. Contrairement à d’autres protocoles de routage, BGP dans SFOS ne nécessite pas de processus ou de services séparés pour IPv4 et IPv6. Il fournit un service standardisé qui simplifie la configuration et l’administration. L’interface utilisateur a été étendue afin qu’IPv4 et IPv6 puissent être configurés sur la même page, avec des sections propres aux informations de routage IPv4 et IPv6.
Délégation de préfixe DHCP IPv6
Avec l’introduction de la DHCP Prefix Delegation dans Sophos Firewall SFOS v20, la gestion des adresses IPv6 est automatisée. Cette fonction permet d’obtenir des préfixes d’adresses IPv6 auprès du fournisseur et de les transmettre au réseau LAN. Lorsqu’une adresse IPv6 est reçue sur l’interface WAN, elle peut désormais être utilisée dans le réseau LAN. Via une requête DHCPv6 Prefix Delegation adressée à l’ISP, le firewall reçoit une plage d’adresses IPv6 qui est ensuite transmise aux appareils du réseau. Ceux-ci reçoivent leurs adresses IPv6 globalement routables via des messages Router Advertisement (RA).
La DHCP Prefix Delegation simplifie considérablement la gestion des adresses IPv6 et permet de s’adapter sans friction aux changements de préfixe ISP en distribuant automatiquement de nouveaux préfixes à tous les clients connectés. Cela améliore l’efficacité et la sécurité du réseau, réduit la complexité de la gestion manuelle des adresses et favorise une utilisation plus efficace des adresses IPv6 dans le réseau. Certains services du réseau peuvent ainsi être proposés avec les adresses IPv6 reçues du fournisseur.
La DHCP Prefix Delegation est expliquée une nouvelle fois dans la vidéo suivante.
Active Threat Response
Les améliorations suivantes permettent une communication transparente entre les analystes de sécurité et Sophos Firewall afin de réagir de manière proactive aux menaces identifiées.
Synchronized Security pour MDR et XDR
Avec Extended Detection and Response (XDR), Sophos Firewall v20 représente une avancée importante dans la défense automatisée contre les menaces. Cette fonction établit un lien d’information direct entre les analystes de sécurité et le firewall, permettant ainsi une réaction rapide et automatisée aux menaces actives.
Les données de menace peuvent désormais être partagées de manière transparente avec le firewall, sans devoir créer manuellement des règles firewall. Cet échange d’informations automatisé permet au firewall de réagir proactivement aux menaces identifiées et de prendre les mesures de défense appropriées.
Avantages :
- Réduction de la charge administrative manuelle
- Augmentation de la vitesse de réponse aux menaces
- Amélioration de la posture de sécurité globale du réseau
- Réponse automatisée aux menaces
- Réduction du temps consacré par l’équipe de sécurité à la configuration manuelle et à l’ajustement des règles firewall
Sophos Firewall v20 étend Synchronized Security à Managed Detection and Response (MDR) et Extended Detection and Response (XDR). Cette extension permet aux analystes de sécurité de partager directement les données de menaces actives avec le firewall. Un point fort : le firewall peut réagir automatiquement aux menaces actives sans qu’il soit nécessaire de créer des règles firewall séparées. Cette évolution apporte une réelle valeur ajoutée, car elle réduit nettement le temps de réaction aux menaces et permet une protection proactive.
Dynamic Threat Feeds
L’introduction des Dynamic Threat Feeds apporte un nouveau Threat Feed API Framework, qui sera également extensible. Cette fonction facilite l’échange de données de menace entre l’équipe Sophos X-Ops et d’autres produits Sophos comme MDR et XDR, et devrait à l’avenir intégrer aussi des threat feeds de tiers. Grâce à cette flexibilité accrue, les capacités de threat intelligence du firewall sont fortement étendues, ce qui améliore la détection des menaces et la réaction à celles-ci.
Synchronized Security
Synchronized Security est encore optimisée afin de permettre une réaction plus efficace aux menaces identifiées par MDR/XDR.
Un health status rouge sur un endpoint ou un serveur indique généralement des problèmes tels qu’un malware actif ou en cours d’exécution, du trafic réseau malveillant, une communication avec des hôtes malveillants connus, un malware non supprimé ou un Sophos Endpoint qui ne fonctionne pas correctement. Dans de tels cas, des mesures sont nécessaires pour traiter les risques de sécurité.
Le mécanisme automatique (Lateral Movement Protection) associé à un health status rouge est désormais étendu aux menaces afin de garantir que les hôtes concernés, en cas de compromission, ne puissent pas se déplacer latéralement dans le réseau ni communiquer vers l’extérieur. Les détails importants comme l’hôte, l’utilisateur et le processus restent facilement accessibles pour le suivi.
La scalabilité de Synchronized Security a également été optimisée afin de faciliter la gestion dans de grands environnements réseau. Les faux positifs dus à l’absence de heartbeats sur des appareils en veille ou en mode économie d’énergie ont été réduits.
Nouvelles fonctionnalités WAF
Contrôle Geo IP (bloquer des pays / régions)
Sophos Firewall dispose d’une Geoip ip2country DB, mise à jour par les pattern updates. Elle pouvait déjà être utilisée dans les règles firewall et NAT ou dans les Local Service ACL Exception Rules. Après la mise à jour vers SFOS v20, la Web Application Firewall (WAF) permet de bloquer l’accès aux serveurs en fonction de la localisation géographique (adresses IP). Les utilisateurs peuvent désormais bloquer certains pays / régions ou continents, ou n’autoriser l’accès que depuis certaines régions. Cette fonction renforce la sécurité en empêchant l’accès depuis des régions potentiellement malveillantes et ajoute en même temps une couche supplémentaire de contrôle d’accès.
Configuration des ciphers
La configuration personnalisée des ciphers et des versions TLS permet désormais d’utiliser des chiffrements plus forts (des ciphers plus sûrs) et d’exclure les plus faibles. Cela offre un meilleur contrôle sur la sécurité de la transmission des données entre les utilisateurs et les applications protégées par le WAF.
HSTS et X-Content-Type-Options
Sécurité améliorée grâce à HSTS et X-Content-Type-Options : l’implémentation de HTTP Strict Transport Security (HSTS) impose l’utilisation de HTTPS, ce qui améliore la sécurité des navigateurs clients. Le paramètre X-Content-Type-Options aide à désactiver le MIME type sniffing, offrant une protection supplémentaire contre certains types d’attaques.
Intégration SD-WAN de fournisseurs tiers
Supposons qu’une entreprise ait plusieurs sites avec leurs propres réseaux qui doivent être interconnectés pour partager efficacement des données et des ressources. Au lieu de la solution MPLS traditionnelle, coûteuse et moins flexible, le SD-WAN (Software-Defined Wide Area Network) offre une alternative plus agile et plus rentable.
Grâce à l’intégration de SD-WAN de fournisseurs tiers dans Sophos Firewall v20, le trafic peut être transféré de manière transparente vers les puissants réseaux backbone de Cloudflare, Akamai ou Azure. Par exemple, une entreprise qui a besoin d’une connexion plus rapide et plus sûre entre ses sites peut acheminer son trafic via le réseau backbone Azure afin de bénéficier de sa portée mondiale et de ses services de sécurité robustes. Cela améliore la performance, la sécurité et la fiabilité, tout en réduisant la complexité et les coûts du réseau.
L’onramping vers les réseaux backbone de fournisseurs comme Cloudflare, Akamai ou Azure crée un pont entre le réseau local et les vastes infrastructures réseau de ces fournisseurs. L’intégration de solutions SD-WAN tierces dans Sophos Firewall v20 simplifie ce processus.
ZTNA Gateway
Cette fonctionnalité n’est pas nouvelle en soi, puisqu’elle a déjà été intégrée au firewall avec SFOS 19.5 MR3. Sophos la liste néanmoins à nouveau parmi les nouveautés de SFOS v20.
L’article sur ce sujet se trouve ici : Sophos ZTNA Gateway sur Sophos Firewall
