Aller au contenu
Avanet
Sophos Firewall v20 MR1 : Nouvelles fonctionnalités et améliorations

Sophos Firewall v20 MR1 : Nouvelles fonctionnalités et améliorations

21. MAI 2024

Le Sophos Firewall v20 MR1 apporte une variété de nouvelles fonctions et améliorations qui renforcent encore la sécurité et les performances du pare-feu. Voici les innovations les plus importantes en détail :

⚠️ Important pour tous les utilisateurs de RED 15 et RED 50 qui n’ont pas encore mis à jour vers SD-RED 20 ou SD-RED 60. Le message indiquant que les RED sont en fin de vie s’affiche sur le pare-feu depuis un certain temps. Après cette mise à jour, les anciens modèles RED seront toujours visibles dans WebAdmin, mais ne se connecteront plus au pare-feu.

Détection automatique de la langue lors de la connexion

Juste après le démarrage avec le nouveau firmware Sophos Firewall v20 MR1, vous voyez le premier changement. Bon ou mauvais, chacun peut décider pour lui-même, en ce qui me concerne plutôt le dernier.

La langue du portail d’administration est automatiquement déterminée en fonction des paramètres du navigateur. Cela est ensuite enregistré sous forme de cookie.

Page de connexion administrateur Sophos Firewall v20 MR1
Page de connexion administrateur Sophos Firewall v20 MR1

Sécurité du pare-feu et contrôle d’accès améliorés

Avec la nouvelle version, vous obtenez un contrôle encore plus fin sur les services accessibles dans le WAN. Cela améliore considérablement la posture de sécurité de votre pare-feu. Ce qui n’est pas visible ne peut pas être attaqué.

De nouvelles options de paramétrage pour IPsec VPN et RED ont été ajoutées :

Sophos Firewall v20 MR1 ACL de service local
Sophos Firewall v20 MR1 ACL de service local

Nouveaux services dans la liste d’exceptions ACL locale

Cependant, il peut encore y avoir une grande surface d’attaque derrière une zone, et c’est pourquoi il est conseillé de définir l’accès encore plus précisément dans la “Règle d’exception ACL de service local”.

Les services suivants ont été ajoutés à la liste d’exceptions : AD SSO, Portail captif, RADIUS SSO, Authentification client, Sans fil, SMTP, RED, IPsec, et enfin Chromebook, bien que je n’aie jamais vu un Chromebook sauf sur YouTube 🤷‍♂️.

Règles d'exception ACL de service local Sophos Firewall v20 MR1
Règles d’exception ACL de service local Sophos Firewall v20 MR1

Exceptions de contrôle d’accès plus flexibles

Avec la nouvelle version de Sophos Firewall v20 MR1, la flexibilité des exceptions de contrôle d’accès est considérablement améliorée et étendue par trois objets principaux.

  • Prise en charge des hôtes FQDN : Vous pouvez désormais utiliser des noms de domaine pleinement qualifiés (FQDN) dans les règles d’exception. Cela permet un contrôle plus précis du trafic en contrôlant l’accès à des domaines spécifiques en fonction de leurs noms plutôt que simplement des adresses IP. J’attendais cette fonctionnalité (qui était disponible sur l’UTM 🤐) depuis longtemps.
  • Groupes d’hôtes : La possibilité de définir et d’utiliser des groupes d’hôtes offre une flexibilité étendue dans la gestion des règles d’accès. Vous pouvez regrouper plusieurs hôtes et utiliser ensuite ce groupe dans vos règles d’exception.
  • Adresses MAC : En plus des adresses IP, les adresses MAC peuvent désormais également être incluses dans les exceptions de contrôle d’accès. Cela fournit une couche de contrôle supplémentaire, particulièrement utile dans les réseaux avec de nombreuses adresses IP dynamiques ou changeantes.

Déploiement Zero-Touch

Le déploiement Zero-Touch est une fonctionnalité avancée de Sophos Firewall v20 MR1.

Dans de nombreux cas, chez Avanet, nous remplaçons les pare-feu existants 1:1 par de nouveaux, et il est important que cela se produise rapidement et avec un minimum d’interruptions. Habituellement, nous préconfigurons l’appareil dans notre bureau, puis nous l’envoyons au client, où il suffit de le remplacer.

Dans le passé, le déploiement Zero-Touch nécessitait une clé USB pour transférer le fichier de configuration vers le pare-feu. Avec la nouvelle version, cependant, cela n’est plus nécessaire, car toute la configuration peut être effectuée via Sophos Central.

Voici les étapes et les améliorations en détail :

  1. Saisir le numéro de série : Le numéro de série du nouveau pare-feu est saisi dans Sophos Central. Cela sert à identifier et à initialiser le pare-feu.
  2. Définir la configuration de base : Une configuration de base est définie, qui est appliquée lorsque le pare-feu est démarré pour la première fois. Cela inclut des paramètres importants tels que le fuseau horaire, le nom d’hôte du pare-feu et les configurations réseau pour le LAN et le WAN.
  3. Établir la connexion Internet : Le pare-feu est simplement connecté au réseau sur site, ce qui lui permet de se connecter automatiquement à Sophos Central et de télécharger la configuration prédéfinie.
  4. Activer la gestion du pare-feu : Après la connexion à Sophos Central, le pare-feu est automatiquement configuré et prêt à l’emploi. Les administrateurs peuvent ensuite effectuer d’autres réglages et ajustements directement via Sophos Central.

Cette méthode réduit considérablement le temps et la complexité de l’installation. De plus, le pare-feu peut être utilisé immédiatement dès qu’il est connecté à Internet, ce qui accélère l’ensemble du processus.

Avantages du déploiement Zero-Touch

  • Déploiement rapide : Idéal pour les sites où aucun personnel informatique n’est sur place. Le pare-feu peut être configuré et prêt à l’emploi immédiatement après la connexion au réseau.
  • Gestion centralisée : Toutes les étapes de configuration sont effectuées via Sophos Central, ce qui permet une gestion uniforme et cohérente.
  • Interruptions minimales : Étant donné que la configuration est prédéfinie et appliquée automatiquement, les temps d’arrêt sont minimaux, ce qui est particulièrement avantageux dans les environnements critiques pour l’entreprise.
  • Personnalisation facile : Après la configuration initiale, d’autres ajustements et réglages peuvent être effectués de manière centralisée sans qu’un technicien ait besoin d’être sur place.

Avec le déploiement Zero-Touch, Sophos offre une solution efficace pour le déploiement et la configuration de pare-feu qui permet d’économiser du temps et de maximiser la disponibilité du réseau.

Télécharger les fichiers journaux pour le dépannage

Avec Sophos Firewall v20 MR1, il est désormais possible de télécharger des fichiers journaux individuels directement depuis le pare-feu. Cette fonction simplifie le dépannage, car vous n’avez plus besoin d’accéder au pare-feu via une connexion SSH pour obtenir les données nécessaires.

Sous l’élément de menu principal Diagnostics, vous trouverez l’option Troubleshooting Logs. Ici, les administrateurs peuvent rechercher spécifiquement certains journaux et sélectionner plusieurs journaux simultanément. Le Sophos Firewall propose alors un fichier ZIP à télécharger contenant tous les journaux sélectionnés. Ces fichiers peuvent être ouverts et analysés sur un client local.

Sophos Firewall v20 MR1 - Télécharger les journaux
Sophos Firewall v20 MR1 - Télécharger les journaux

Chaque connexion IPsec site à site et connexion RED individuelle reçoit son propre journal. Cela permet une analyse détaillée et spécifique sans avoir à recourir à des méthodes fastidieuses. Cela rend la gestion et la maintenance du pare-feu plus efficaces et plus conviviales.

Sophos Firewall v20 MR1 - Journaux pour IPsec S2S ou tout RED
Sophos Firewall v20 MR1 - Journaux pour IPsec S2S ou tout RED

Champs de description pour les objets

Tous les objets sous “Hôte et services” reçoivent désormais un champ de description. Cela inclut les hôtes IP, les groupes d’hôtes IP, les adresses MAC et d’autres objets réseau. La possibilité d’ajouter une description détaillée à chaque objet améliore considérablement la documentation.

Cette fonction permet de stocker des informations importantes directement dans le pare-feu. Par exemple, lors de la création d’un nouvel hôte IP, vous pouvez immédiatement ajouter une description expliquant le but et l’utilisation de l’hôte. Ceci est particulièrement utile lorsque plusieurs administrateurs gèrent le pare-feu ou lorsqu’une documentation précise est requise.

Description de l'objet Sophos Firewall v20 MR1
Description de l’objet Sophos Firewall v20 MR1

Une description pourrait également contenir des liens vers des informations supplémentaires, telles qu’une base de connaissances ou un document PDF fournissant des détails spécifiques sur l’objet en question. Cela augmente la traçabilité et facilite les futures tâches administratives. Ainsi, un port de service utilisé uniquement pour une application spécifique peut être directement fourni avec des informations et un contexte pertinents, augmentant considérablement l’efficacité et la clarté de la gestion du réseau.

La description est également indexée pour permettre la recherche.

Assistant Pare-feu IA Générative

Aujourd’hui, vous n’êtes tout simplement pas cool en tant qu’entreprise si vous ne mentionnez pas l’IA. Il y a quelques années, c’était la blockchain.

Un nouvel assistant Sophos alimenté par l’IA générative est intégré pour vous aider à gérer votre pare-feu. Vous pouvez poser n’importe quelle question à l’assistant dans un langage simple et recevoir des instructions et des liens vers des ressources utiles.

Sophos Firewall v20 MR1 - Assistant avec un peu d'IA
Sophos Firewall v20 MR1 - Assistant avec un peu d’IA

Pas mal pour une première version, mais je pense que nous imaginons l’IA différemment qu’une recherche légèrement améliorée ?

Mise à niveau OpenVPN vers v2.6.0

Le composant OpenVPN du Sophos Firewall a été mis à jour vers la version 2.6.0. Cela améliore la sécurité et les performances pour SSL VPN. Les VPN SSL site à site avec des versions plus anciennes ne sont plus pris en charge. Il est recommandé de mettre à jour vers v20.0 MR1 ou d’utiliser des solutions VPN alternatives telles que IPsec.

De plus, la dernière version du client Sophos Connect (v2.3) peut être téléchargée via le portail VPN :

Remarques importantes sur la compatibilité SSL VPN

En raison de la mise à niveau vers OpenVPN 2.6.0 dans cette version, les tunnels VPN SSL ne seront plus établis avec les clients et versions de pare-feu suivants :

  • SFOS v18.5 et versions antérieures : Les VPN SSL site à site ne peuvent plus être établis. Il est recommandé de mettre à jour tous les pare-feu concernés vers v20.0 MR1 ou d’utiliser des tunnels IPsec ou RED site à site.
  • Client VPN SSL hérité : Les tunnels VPN SSL d’accès à distance ne seront plus établis avec le client VPN SSL obsolète. Utilisez le client Sophos Connect ou des clients tiers tels que le client OpenVPN.
  • UTM9 OS : Les VPN SSL site à site ne peuvent plus être établis entre UTM9 OS et SFOS v20.0 MR1. Il est recommandé de migrer ces appareils vers v20.0 MR1 ou d’utiliser des tunnels IPsec ou RED site à site.

Améliorations dans SD-WAN et VPN

La nouvelle version de Sophos Firewall v20 MR1 apporte des améliorations importantes dans le domaine du SD-WAN et du VPN, qui augmentent considérablement à la fois la fiabilité et les performances.

  • Interruptions de trafic minimales : La disponibilité de la passerelle lors du basculement HA et des redémarrages de l’appareil a été améliorée par quatre. Cela signifie qu’en cas de panne de passerelle ou de redémarrage de l’appareil, les interruptions du trafic de données sont considérablement réduites, ce qui conduit à une connexion réseau plus stable.
  • Nouveau client OpenVPN 3.0 : Le nouveau client OpenVPN 3.0 pour VPN SSL d’accès à distance est désormais disponible au téléchargement via le portail VPN. Ce client offre des fonctionnalités de sécurité améliorées et une compatibilité plus élevée avec divers systèmes d’exploitation, simplifiant la configuration et la gestion des connexions VPN et améliorant l’expérience utilisateur.
  • Prise en charge IPsec Phase-1 IKEv2 : La prise en charge des chiffrements GCM et Suite-B a été ajoutée, améliorant l’interopérabilité et le débit pour les connexions IPsec. Ces méthodes de chiffrement modernes garantissent une transmission de données plus sécurisée et efficace entre les appareils réseau.
  • Améliorations DHCP Busybox : La durée de bail par défaut pour DHCP a été fixée à 30 secondes pour éliminer les problèmes de connexion WAN. Des durées de bail plus courtes signifient que les adresses IP sont attribuées et renouvelées plus rapidement, ce qui conduit à une connexion réseau plus stable et fiable, en particulier dans les environnements avec des connexions changeant fréquemment.

Installer Sophos Firewall v20 MR1

Pour installer la dernière version du micrologiciel, une licence de support amélioré est requise, à moins que le pare-feu ne vienne d’être acheté neuf et dispose encore d’une licence d’évaluation : Les mises à jour de Sophos Firewall ne seront plus gratuites à l’avenir

Ce guide décrit comment installer la dernière version sur votre pare-feu et télécharger l’image : Mise à jour du micrologiciel sur Sophos Firewall

Plus d’informations sur la version peuvent être trouvées dans la Communauté Sophos - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.