Sophos Firewall v20 MR1 : nouvelles fonctions et améliorations

Sophos Firewall v20 MR1 apporte une série de nouvelles fonctions et améliorations qui renforcent encore la sécurité et les performances du pare-feu. Voici les principales nouveautés en détail :

⚠️ Important pour tous les utilisateurs de RED 15 et RED 50 qui ne sont pas encore passés à SD-RED 20 ou SD-RED 60. Le message indiquant que les RED sont End of Life s’affiche depuis quelque temps sur le pare-feu. Après cette mise à jour, les anciens modèles RED restent certes visibles dans WebAdmin, mais ils ne se connectent plus au pare-feu.

Détection automatique de la langue lors de la connexion

Juste après le démarrage avec le nouveau firmware Sophos Firewall v20 MR1, on voit le premier changement. Bon ou mauvais, chacun en décidera pour lui-même ; pour ma part, je penche plutôt pour la deuxième option.

La langue de l’Admin Portal est automatiquement déterminée à partir des paramètres du navigateur. Elle est ensuite enregistrée dans un cookie.

Sécurité du pare-feu et contrôle d’accès améliorés

Avec la nouvelle version, on obtient un contrôle encore plus fin sur les services accessibles depuis le WAN. Cela améliore nettement la posture de sécurité de votre pare-feu. Ce qui n’est pas visible ne peut pas non plus être attaqué.

De nouvelles options de configuration pour IPsec VPN et RED ont été ajoutées :

Nouveaux services dans la liste d’exceptions Local ACL

Derrière une zone, il peut toutefois encore y avoir une surface d’attaque importante. Il est donc recommandé de définir l’accès de manière encore plus précise dans les “Local service ACL exception rule”.

Les services suivants ont été ajoutés à la liste d’exceptions : AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec et, pour finir, Chromebook, même si je n’ai encore jamais vu de Chromebook ailleurs que sur YouTube 🤷‍♂️.

Exceptions de contrôle d’accès plus flexibles

Avec la nouvelle version de Sophos Firewall v20 MR1, la flexibilité des exceptions de contrôle d’accès est considérablement améliorée et étendue à trois objets importants.

• Prise en charge des hôtes FQDN : Vous pouvez désormais utiliser des noms de domaine pleinement qualifiés (FQDN) dans les règles d’exception. Cela permet de contrôler plus précisément le trafic en autorisant ou limitant l’accès à certains domaines sur la base de leur nom plutôt que seulement de leurs adresses IP. J’attendais depuis longtemps cette fonction, qui existait déjà sur l’UTM 🤐.
• Groupes d’hôtes : La possibilité de définir et d’utiliser des groupes d’hôtes offre davantage de flexibilité dans la gestion des règles d’accès. Vous pouvez regrouper plusieurs hôtes et utiliser ensuite ce groupe dans vos règles d’exception.
• Adresses MAC : En plus des adresses IP, les adresses MAC peuvent désormais aussi être utilisées dans les exceptions de contrôle d’accès. Cela ajoute un niveau de contrôle supplémentaire, particulièrement utile dans les réseaux comportant de nombreuses adresses IP dynamiques ou changeantes.

Zero-Touch Deployment

Zero-Touch Deployment est une fonction avancée de Sophos Firewall v20 MR1.

Dans de nombreux cas, chez Avanet, nous remplaçons les pare-feu existants 1:1 par de nouveaux appareils, et il est important que cela se fasse rapidement et avec un minimum d’interruptions. En général, nous préconfigurons l’appareil dans nos bureaux, puis nous l’envoyons au client, où il ne reste plus qu’à le remplacer.

Par le passé, Zero-Touch Deployment nécessitait une clé USB pour transférer le fichier de configuration sur le pare-feu. Avec la nouvelle version, ce n’est plus nécessaire, car toute la configuration peut être effectuée via Sophos Central.

Voici les étapes et les améliorations en détail :

1. Saisir le numéro de série : Le numéro de série du nouveau pare-feu est saisi dans Sophos Central. Il sert à identifier et initialiser le pare-feu.
2. Définir la configuration de base : Une configuration de base est définie et appliquée au premier démarrage du pare-feu. Elle comprend des paramètres importants comme le fuseau horaire, le nom d’hôte du pare-feu ainsi que les configurations réseau pour LAN et WAN.
3. Établir la connexion Internet : Sur site, le pare-feu est simplement raccordé au réseau. Il établit alors automatiquement une connexion à Sophos Central et télécharge la configuration prédéfinie.
4. Activer Firewall Management : Une fois connecté à Sophos Central, le pare-feu est automatiquement configuré et prêt à l’emploi. Les administrateurs peuvent ensuite effectuer d’autres réglages et ajustements directement via Sophos Central.

Cette méthode réduit considérablement le temps nécessaire et la complexité de l’installation. De plus, le pare-feu peut être utilisé dès qu’il est connecté à Internet, ce qui accélère l’ensemble du processus.

Avantages du Zero-Touch Deployment

• Déploiement rapide : Idéal pour les sites où aucun personnel IT n’est présent. Le pare-feu peut être configuré et rendu opérationnel dès sa connexion au réseau.
• Gestion centralisée : Toutes les étapes de configuration sont effectuées via Sophos Central, ce qui permet une gestion uniforme et cohérente.
• Interruptions minimales : Comme la configuration est prédéfinie et appliquée automatiquement, les temps d’arrêt sont minimes, ce qui est particulièrement avantageux dans les environnements critiques.
• Personnalisation facile : Après la configuration initiale, d’autres ajustements et réglages peuvent être effectués de manière centralisée sans qu’un technicien ait besoin d’être sur place.

Avec Zero-Touch Deployment, Sophos offre une solution efficace pour déployer et configurer des pare-feu, gagner du temps et maximiser la disponibilité du réseau.

• Sophos KB: Add Sophos Firewall with Zero Touch

Télécharger les fichiers journaux pour le dépannage

Avec Sophos Firewall v20 MR1, il est désormais possible de télécharger des fichiers journaux individuels directement depuis le pare-feu. Cette fonction simplifie le dépannage, car il n’est plus nécessaire d’accéder au pare-feu via une connexion SSH pour obtenir les données nécessaires.

Dans le menu principal Diagnostics, on trouve l’option Troubleshooting Logs. Les administrateurs peuvent y rechercher des logs précis et sélectionner plusieurs logs simultanément. Sophos Firewall propose ensuite au téléchargement un fichier ZIP contenant tous les logs sélectionnés. Ces fichiers peuvent être ouverts et analysés sur un client local.

Chaque connexion Site-to-Site IPsec et chaque connexion RED individuelle dispose de son propre log. Cela permet une analyse détaillée et ciblée sans devoir recourir à des méthodes fastidieuses. La gestion et la maintenance du pare-feu deviennent ainsi plus efficaces et plus conviviales.

Champs de description pour les objets

Tous les objets sous “Host & Services” disposent désormais d’un champ de description. Cela concerne les IP-Hosts, les IP-Host-Groups, les adresses MAC et d’autres objets réseau. La possibilité d’ajouter une description détaillée à chaque objet améliore considérablement la documentation.

Cette fonction permet de stocker des informations importantes directement dans le pare-feu. Par exemple, lors de la création d’un nouvel IP-Host, on peut immédiatement ajouter une description expliquant l’objectif et l’utilisation de l’hôte. C’est particulièrement utile lorsque plusieurs administrateurs gèrent le pare-feu ou lorsqu’une documentation précise est nécessaire.

Une description peut également contenir des liens vers des informations complémentaires, par exemple une Knowledge Base ou un document PDF fournissant des détails spécifiques sur l’objet concerné. Cela améliore la traçabilité et facilite les futures tâches d’administration. Ainsi, un port de service utilisé uniquement pour une application précise peut être directement enrichi d’informations pertinentes et de contexte, ce qui améliore nettement l’efficacité et la clarté de la gestion réseau.

La description est également indexée pour permettre la recherche.

Generative AI Firewall Assistant

Aujourd’hui, une entreprise n’est tout simplement plus cool si elle ne mentionne pas l’AI. Il y a quelques années, c’était encore la blockchain.

Un nouvel assistant Sophos basé sur l’AI générative est intégré pour vous aider à gérer votre pare-feu. On peut lui poser n’importe quelle question en langage naturel et recevoir des instructions ainsi que des liens vers des ressources utiles.

Pas mal pour une première version, mais je pense que nous imaginons l’AI autrement qu’une recherche légèrement améliorée, non ?

Mise à niveau OpenVPN vers v2.6.0

Le composant OpenVPN de Sophos Firewall a été mis à jour vers la version 2.6.0. Cela améliore la sécurité et les performances pour SSL VPN. Les Site-to-Site SSL VPN avec d’anciennes versions ne sont plus pris en charge. Il est recommandé de mettre à jour vers v20.0 MR1 ou d’utiliser des solutions VPN alternatives comme IPsec.

De plus, la dernière version de Sophos Connect Client (v2.3) peut être téléchargée via le VPN Portal :

• Installer le client VPN SSL Sophos Connect (Windows) – SFOS
• Communauté Sophos : Sophos Connect 2.3 Update Released
• Communauté Sophos : Sophos Connect News and Release Notes

Remarques importantes sur la compatibilité SSL VPN

Avec la mise à niveau vers OpenVPN 2.6.0 dans cette version, les tunnels SSL VPN ne s’établissent plus avec les clients et versions de pare-feu suivants :

• SFOS v18.5 et versions antérieures : Les Site-to-Site SSL VPN ne peuvent plus être établis. Il est recommandé de mettre à jour tous les pare-feu concernés vers v20.0 MR1 ou d’utiliser des tunnels Site-to-Site IPsec ou RED.
• Legacy SSL VPN Client : Les tunnels Remote Access SSL VPN ne s’établissent plus avec l’ancien SSL VPN Client. Utilisez Sophos Connect Client ou des clients tiers comme OpenVPN Client.
• UTM9 OS : Les Site-to-Site SSL VPN ne peuvent plus être établis entre UTM9 OS et SFOS v20.0 MR1. Il est recommandé de migrer ces appareils vers v20.0 MR1 ou d’utiliser des tunnels Site-to-Site IPsec ou RED.

Améliorations dans SD-WAN et VPN

La nouvelle version de Sophos Firewall v20 MR1 apporte des améliorations importantes dans le domaine du SD-WAN et du VPN, qui renforcent nettement la fiabilité comme les performances.

• Interruptions de trafic minimales : La disponibilité des passerelles pendant le HA-Failover et les redémarrages d’appareils a été multipliée par quatre. En cas de panne d’une passerelle ou de redémarrage d’un appareil, les interruptions du trafic sont donc nettement réduites, ce qui rend la connexion réseau plus stable.
• Nouveau client OpenVPN 3.0 : Le nouveau OpenVPN 3.0 Client pour Remote Access SSL VPN est désormais disponible au téléchargement via le VPN Portal. Ce client offre des fonctions de sécurité améliorées et une meilleure compatibilité avec différents systèmes d’exploitation, ce qui simplifie la configuration et la gestion des connexions VPN et améliore l’expérience utilisateur.
• Prise en charge IPsec Phase-1 IKEv2 : La prise en charge des chiffrements GCM et Suite-B a été ajoutée, ce qui améliore l’interopérabilité et le débit des connexions IPsec. Ces méthodes de chiffrement modernes assurent une transmission des données plus sûre et plus efficace entre les équipements réseau.
• Améliorations DHCP Busybox : La durée de bail DHCP par défaut a été fixée à 30 secondes afin d’éliminer les problèmes de connexion WAN. Des durées de bail plus courtes signifient que les adresses IP sont attribuées et renouvelées plus rapidement, ce qui permet une connexion réseau plus stable et plus fiable, en particulier dans les environnements où les connexions changent fréquemment.

Installer Sophos Firewall v20 MR1

Pour installer la dernière version du firmware, une licence Enhanced Support est requise, sauf si le pare-feu vient d’être acheté et dispose encore d’une licence d’évaluation : Les mises à jour de Sophos Firewall ne seront plus gratuites à l’avenir

Ce guide explique comment installer la dernière version sur votre pare-feu et télécharger l’image : Mise à jour du firmware sur Sophos Firewall

Vous trouverez plus d’informations sur cette version dans la Sophos Community - Sophos Firewall OS v20 MR1 is Now Available