Sophos Firewall v21 : nouvelles fonctionnalités et améliorations

Sophos Firewall v21 est officiellement disponible depuis le 17 octobre. Dans cet article, nous présentons les nouvelles fonctionnalités de cette version.

⚠️ Mise à jour vers Sophos Firewall v21

• ✅ Appliances XGS
• ✅ Sophos Firewall en VM ou installation logicielle
• ❌ Appliances XG End of Life
• ❌ Appliances SG avec Sophos Firewall OS End of Life

La mise à jour vers Sophos Firewall v21 est disponible exclusivement pour les appliances XGS ainsi que pour les pare-feu VM et logiciels. Les appliances XG et les appliances SG avec SFOS ne recevront plus cette mise à jour et atteindront leur End-of-Life (EOL) le 31 mars 2025. Toutes les personnes concernées trouveront de nouveau tous les détails dans l’article XG End-of-Life.

Let’s Encrypt

Avec la version 21 de Sophos Firewall, Let’s Encrypt peut être utilisé pour obtenir, renouveler et gérer gratuitement des certificats SSL/TLS de manière automatisée. L’intégration de Let’s Encrypt dans Sophos Firewall v21 simplifie la gestion des certificats et garantit leur renouvellement automatique avant expiration.

ENFIN ! C’est probablement l’une des fonctionnalités les plus demandées depuis des années, et Sophos a vraiment pris son temps, alors que FortiGate sait déjà le faire depuis plus d’un an 🫣.

Création automatique de certificats

Les certificats Let’s Encrypt sont valables 90 jours et sont automatiquement renouvelés par Sophos Firewall 30 jours avant leur expiration. Cela réduit fortement l’effort manuel de gestion des certificats et garantit que le pare-feu utilise toujours des certificats valides.

Interfaces prises en charge

Les certificats Let’s Encrypt peuvent être utilisés dans le pare-feu pour divers services Web :

• Console d’administration Web
• Portail utilisateur
• Portail captif
• Portail VPN
• Portail SPX
• WAF (Web Application Firewall)

Cependant, Let’s Encrypt n’est pas pris en charge pour les services suivants :

• VPN d’accès à distance
• VPN site à site
• SSO Chromebook

Validation du domaine via HTTP

Les certificats sont validés au moyen du mécanisme HTTP Challenge-Response. Pour cela, le pare-feu crée une configuration temporaire de serveur web ainsi qu’une policy WAF afin de répondre au challenge et de valider le domaine. Les règles de pare-feu temporaires et le serveur web virtuel sont automatiquement supprimés après l’émission du certificat.

Gestion des domaines

Il est possible de demander des certificats pour jusqu’à 50 domaines. Seuls les noms de domaine complets (FQDN) sont pris en charge. Les domaines wildcard et les adresses IP ne sont pas autorisés.

Utiliser les certificats Let’s Encrypt

Pour créer un certificat Let’s Encrypt, il faut enregistrer un compte Let’s Encrypt dans le pare-feu, ajouter les domaines souhaités et configurer l’interface WAN pour la validation HTTP du domaine via le port 80. Les enregistrements DNS doivent pointer vers l’adresse IP publique du pare-feu.

Les certificats émis peuvent ensuite être utilisés pour la console WebAdmin, les portails utilisateurs et le Web Application Firewall (WAF), afin de garantir des connexions HTTPS sécurisées.

Un guide détaillé est disponible dans cette vidéo :

Améliorations UX et UI

Central UI désormais sur le pare-feu

Avec la mise à jour vers Sophos Firewall v21, l’interface utilisateur a été retravaillée afin d’améliorer la navigation et la lisibilité des informations. La nouvelle barre latérale et le schéma de couleurs adapté apportent une structure plus claire. Le tableau de bord exploite désormais mieux l’espace disponible à l’écran, avec une largeur pouvant aller jusqu’à 1920 pixels. Davantage d’informations peuvent ainsi être affichées simultanément, ce qui facilite la vue d’ensemble.

Les widgets ont également été adaptés afin de rendre plus d’informations accessibles en un coup d’œil. L’affichage sous forme de cartes clarifie la séparation des différentes catégories de données. Ces changements permettent d’accéder plus rapidement aux informations importantes pour la sécurité et aux messages d’état du système.

Dans l’ensemble, l’interface retravaillée vise à rendre l’interaction avec le pare-feu plus efficace, et il est évidemment agréable de voir Sophos agir enfin à nouveau dans ce domaine. J’espère que les sujets masquer les messages d’avertissement dans le tableau de bord et performances backend seront eux aussi bientôt abordés.

Référencement des objets

La fonction de référencement des objets a été ajoutée à Sophos Firewall avec la v20.

Sophos Firewall v21 offre un moyen de suivre l’utilisation d’objets comme les interfaces, les zones, les passerelles ou les profils SD-WAN dans la configuration. Grâce à la visibilité sur les endroits où un objet est utilisé, les modifications peuvent être effectuées de manière plus ciblée. Le nettoyage des objets inutilisés devient également plus simple, car on voit rapidement s’ils sont encore référencés ou s’ils peuvent être supprimés.

Object Reference API

L’Object Reference API introduite dans Sophos Firewall v21 permet de récupérer automatiquement le nombre d’utilisations des objets de configuration. Elle peut être utilisée pour obtenir rapidement une vue d’ensemble de la fréquence d’utilisation d’un objet dans la configuration. C’est particulièrement utile lorsqu’il faut gérer un grand nombre d’hôtes ou d’interfaces.

L’API permet d’interroger programmatiquement le nombre de références et prend en charge des filtres pour rechercher précisément certains objets. Cette fonctionnalité facilite l’identification des objets inutilisés et leur suppression si nécessaire. Elle peut aussi être intégrée à des processus d’automatisation, ce qui fait gagner du temps sur les tâches récurrentes comme le nettoyage de configuration.

Third-party Threat Feeds

Avec Sophos Firewall v21, l’intégration de Third-party Threat Feeds est prise en charge pour la défense automatisée contre les menaces. Cette fonction complète l’intégration Threat Intelligence déjà existante de Sophos X-Ops et Sophos MDR avec des sources externes de données de menace. Sophos Firewall peut désormais traiter automatiquement des indicateurs de menace provenant de tiers, de Managed Service Providers (MSP) ou de consortiums sectoriels, puis bloquer ces menaces dans différents sous-systèmes.

Blocage automatisé

Dès que des indicateurs de menace sont fournis par un feed tiers, ils sont automatiquement intégrés aux règles du pare-feu. Les menaces telles que les adresses IP, domaines et URL malveillants sont immédiatement bloquées sur tous les modules de sécurité pertinents, notamment le pare-feu lui-même, IPS (Intrusion Prevention System), les listes de blocage DNS, le filtrage web et Deep Packet Inspection (DPI).

Intervalle d’interrogation

La fréquence à laquelle le pare-feu met à jour les feeds est réglable de manière flexible. Les administrateurs peuvent définir un intervalle allant d’une heure à 30 jours. La mise à jour des données de menace peut ainsi être pilotée selon les besoins.

Prise en charge de plusieurs flux

Sophos Firewall peut gérer jusqu’à 50 sources de Threat Feeds différentes. Ces feeds doivent respecter un format précis : chaque indicateur de compromission (IoC) est transmis sur une ligne distincte dans un fichier .txt via HTTPS.

Authentification et sécurité

L’intégration de Threat Feeds externes nécessite généralement une authentification. Sophos Firewall prend en charge différentes méthodes, notamment Basic Authentication et l’authentification par token. Cela garantit que seules des sources de données de menace autorisées sont utilisées.

La prise en charge de feeds externes améliore nettement la capacité de défense du pare-feu. Les menaces issues de feeds sectoriels ou régionaux peuvent ainsi être détectées et bloquées sans création manuelle de règles supplémentaires.

Fournisseurs de Threat Feeds

Voici une petite sélection de fournisseurs qui proposent des Threat Feeds.

Cybora

Cybora fournit un Threat Intelligence Feed curaté qui combine des données issues de centaines de pare-feu dans le monde, de sources communautaires et de feeds commerciaux.

L’accent est mis sur les indicateurs actifs et à haut risque, comme les serveurs Command-and-Control, le scanning de botnets, les attaques brute-force et les infrastructures de phishing. Grâce au scoring, à la déduplication et à une logique d’expiration courte, les listes restent actuelles, propres et directement exploitables.

La mise à disposition se fait sous forme de simples listes d’adresses IP et de domaines via HTTPS, mises à jour plusieurs fois par jour. Cybora est compatible avec Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks et d’autres plateformes.

Cybora s’est spécialisé dans l’utilisation avec les pare-feu et offre, selon nous, un très bon rapport qualité-prix. C’est la solution que nous privilégions chez nos clients. (Avanet ❤️ Cybora)

• Détails de la solution : Sophos Firewall Threat Feeds

CrowdSec

CrowdSec est une solution open source de défense contre les cybermenaces, alimentée par l’intelligence collective. Elle fournit des listes de blocage automatisées et des Threat Feeds issus d’une communauté mondiale. CrowdSec aide à identifier et bloquer les menaces en temps réel en agrégeant les informations de nombreux participants.

GreyNoise

GreyNoise se concentre sur l’analyse du “bruit Internet” en examinant le trafic observé à l’échelle mondiale afin d’identifier les activités probablement malveillantes. Il filtre les données de trafic nuisibles qui ne représentent pas une attaque directe contre votre propre infrastructure, ce qui aide à réduire les faux positifs et à prioriser les menaces réelles.

Cisco Talos

Talos est l’unité de recherche sur les menaces de Cisco et propose l’un des plus grands Threat Intelligence Feeds commerciaux au monde. Il contient des informations détaillées sur les menaces globales, les vulnérabilités et les attaquants. Talos soutient la détection et la défense contre les cyberattaques grâce à des données de menace à jour.

Abuse.ch / URLhaus

Abuse.ch est une plateforme spécialisée dans la détection et le blocage de domaines et d’adresses IP malveillants, notamment liés aux malwares et aux botnets. URLhaus est un projet d’Abuse.ch axé sur le signalement et le blocage d’URL qui diffusent des malwares.

Hakk Solutions

Hakk Solutions est un fournisseur d’informations et de services de sécurité spécialisé dans le Threat Intelligence et la surveillance de sécurité. Ses services incluent des données de menace pouvant être utilisées pour identifier et contrer les cyberattaques.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide propose des feeds Open-source Intelligence (OSINT) basés sur des informations publiquement accessibles. Ces feeds contiennent des données sur des adresses IP, URL et domaines malveillants collectées à partir de différentes sources publiques.

CINS Score (CINSscore.com)

CINS Score fournit des données de menace basées sur l’analyse du trafic réseau afin d’aider à identifier les hôtes et réseaux malveillants. Il utilise le machine learning et des algorithmes heuristiques pour évaluer les adresses IP potentiellement dangereuses.

EclecticIQ

EclecticIQ fournit des données de menace et des analyses pour les entreprises et les Security Operations. Le fournisseur propose des services complets de Threat Intelligence qui permettent de détecter les menaces et d’y répondre.

Feodo Tracker

Feodo Tracker est un autre projet d’Abuse.ch, spécialisé dans le suivi des botnets, notamment Feodo, Dridex et Emotet. Il fournit des informations sur les serveurs utilisés par ces botnets pour leur contrôle, ce qui aide à identifier et bloquer les activités malveillantes.

DigitalSlide Threat Intel

DigitalSide propose des Threat Intelligence Feeds axés sur l’Open-source Intelligence (OSINT). Il collecte des informations publiquement disponibles sur les adresses IP, domaines et URL malveillants. Ces feeds sont particulièrement utiles pour identifier les menaces à un stade précoce, car ils s’appuient sur un large éventail de sources publiques et sont régulièrement mis à jour.

Proofpoint - Emerging Threat Intelligence

Proofpoint fournit des informations complètes sur les menaces via son Emerging Threats Intelligence Feed. Ce service se concentre sur les mises à jour en temps réel concernant les menaces émergentes, y compris les nouvelles techniques d’attaque et les vulnérabilités. Proofpoint utilise le machine learning et l’analyse d’experts pour fournir des informations détaillées sur les menaces globales et aider les entreprises à réagir de manière ciblée aux cyberattaques.

Indicateurs de menace Endpoint

Sophos Firewall v21 permet d’intégrer et d’analyser des Indicators of Compromise (IoCs) provenant des endpoints. Les endpoints gérés comme non gérés sont pris en charge. Dès qu’un endpoint détecte une activité malveillante, l’information est transmise au pare-feu. Celui-ci analyse ces IoCs et bloque les activités suspectes.

Cette fonction est particulièrement utile pour améliorer la synchronisation entre les endpoints et le pare-feu. Les tentatives de menace détectées sur les endpoints peuvent ainsi être stoppées directement dans l’ensemble du réseau. Cette analyse en temps réel contribue à une réaction rapide et au confinement des attaques.

Télémétrie synchronisée

Le pare-feu peut corréler les tentatives de menace provenant des endpoints en tenant compte de détails comme les processus et applications exécutés. Cela améliore la détection et l’analyse des menaces. Dès qu’un endpoint détecte une activité suspecte, l’information est automatiquement transmise au pare-feu afin de bloquer la menace sur différentes couches réseau.

Blocage automatique des menaces

Si un processus malveillant est détecté sur un endpoint géré, le pare-feu bloque automatiquement l’adresse IP, le domaine ou l’URL associés. Cela s’applique aux sous-systèmes comme le pare-feu, les listes de blocage DNS, le filtrage web et Deep Packet Inspection. Cette intégration transparente entre pare-feu et endpoints réduit fortement le temps de réaction face aux menaces.

Un exemple serait un endpoint non géré qui tente d’accéder à une URL malveillante. Le pare-feu interviendrait immédiatement et bloquerait l’accès, sans configuration spécifique sur l’endpoint lui-même. Cela protège aussi les appareils qui ne sont pas directement gérés par Sophos Endpoint Security.

La capacité à traiter les IoCs provenant des endpoints offre aux administrateurs une couche de défense supplémentaire, car le pare-feu ne réagit pas seulement au trafic réseau, mais aussi aux informations de menace détaillées issues des endpoints eux-mêmes.

Protection contre les mouvements latéraux

Lateral Movement Protection est de nouveau mentionnée dans Sophos Firewall v21, car cette version apporte des améliorations et optimisations importantes. Dans la v21, l’intégration et la coordination avec d’autres fonctions de sécurité comme Synchronized Security et Active Threat Response (ATR) ont notamment été améliorées. Le pare-feu peut désormais réagir plus vite et plus efficacement aux menaces en isolant automatiquement les appareils compromis et en bloquant leur propagation dans le réseau.

Lateral Movement Protection empêche les menaces de se propager dans le réseau en isolant les appareils compromis. Dès qu’un endpoint est identifié comme compromis, la communication avec les autres appareils du réseau est bloquée. Le pare-feu partage également cette information avec les autres endpoints, qui bloquent à leur tour l’accès réseau de l’appareil compromis.

Cette fonction renforce la sécurité de l’ensemble du réseau en empêchant les menaces de se déplacer horizontalement d’un appareil à l’autre. Elle est particulièrement utile dans les grands réseaux, où l’isolement rapide des appareils infectés peut être décisif pour éviter un incident.

Blocage d’adresse MAC

Lorsqu’un endpoint est identifié comme compromis, le pare-feu partage son adresse MAC avec tous les autres endpoints du réseau. Les endpoints bloquent alors l’accès réseau de l’appareil infecté. Cela empêche la menace de se propager plus loin dans le réseau.

État du Heartbeat

Le pare-feu surveille en permanence le statut Heartbeat des endpoints. Dès qu’un endpoint est identifié comme compromis, le statut Heartbeat passe au rouge, ce qui déclenche un mécanisme de blocage immédiat. La communication de l’endpoint compromis est interrompue immédiatement, permettant un confinement efficace de la menace.

Un scénario typique serait un endpoint qui tente de se déplacer latéralement dans le réseau après avoir été compromis. Avec Lateral Movement Protection activée, cet endpoint est immédiatement isolé et sa communication bloquée. Cela empêche la propagation de malwares, par exemple de ransomwares, qui pourraient tenter d’infecter d’autres appareils.

Cette fonction exige que le pare-feu et les Sophos Endpoint soient connectés via Sophos Central. Cela permet la synchronisation entre les solutions de sécurité et garantit que les menaces peuvent être détectées et isolées rapidement.

Reporting Threats et IoC

Sophos Firewall v21 propose, comme les versions précédentes, des fonctions de reporting disponibles à la fois sur l’appareil (OnBox) et dans le cloud via Sophos Central. Ces rapports permettent d’analyser en détail les menaces et les activités réseau, et fournissent des informations précieuses sur la posture de sécurité du réseau.

Dans Sophos Firewall v21, les fonctions de reporting ont été étendues grâce à l’intégration de Threat Sources et Threat Events, ainsi qu’à la prise en charge des Synchronized Indicators of Compromise (IoC). Les rapports fournissent désormais des informations détaillées sur les sources des menaces et leurs événements spécifiques. Il est possible de suivre précisément les tentatives de menace, en voyant quels appareils, adresses IP ou utilisateurs étaient impliqués et quels modules du pare-feu ont bloqué la menace.

La prise en charge des Synchronized IoCs mérite une mention particulière. Les données de menace de Sophos Central et Sophos Managed Detection and Response (MDR), ainsi que celles des feeds tiers, sont synchronisées. Cette extension permet d’obtenir une vision plus approfondie des menaces en analysant plus précisément les processus et endpoints concernés. Les administrateurs peuvent ainsi voir non seulement où les menaces sont apparues, mais aussi comment elles affectent les endpoints et les composants réseau.

Cette vidéo explique à nouveau en détail le sujet des Third-party Threat Feeds :

Améliorations Static Route et VPN

Améliorations UX VPN

Avec la version 21 de Sophos Firewall, plusieurs améliorations de l’interface utilisateur (UX) ont été introduites pour rendre la gestion des connexions VPN plus efficace.

Activation et désactivation en masse

Les administrateurs peuvent désormais activer ou désactiver plusieurs connexions VPN simultanément.

Cela fait gagner beaucoup de temps, notamment lors de la gestion de grands réseaux avec de nombreux tunnels VPN. La désactivation s’effectue rapidement via un bouton central dans la zone de gestion VPN.

Options de filtrage étendues

La page d’aperçu des connexions VPN dispose désormais de fonctions de filtrage améliorées, qui simplifient la navigation à travers plusieurs pages de configurations VPN. Ces filtres incluent la saisie de texte libre et des options de recherche basées sur des valeurs, ce qui facilite la gestion et la recherche de réseaux, sous-réseaux ou utilisateurs spécifiques pour les VPN Remote Access et Site-to-Site.

Filtre d’interface XFRM

Une option de filtrage supplémentaire pour les interfaces XFRM a été ajoutée. Les interfaces XFRM, souvent utilisées dans les configurations VPN, peuvent désormais être identifiées et gérées plus facilement. C’est particulièrement utile lorsque les VPN sont construits via des VLAN et des interfaces WAN.

Site-to-Site VPN

Sophos Firewall v21 introduit plusieurs améliorations pour les Site-to-Site VPNs, avec un accent à la fois sur l’ergonomie et les performances.

DHCP Relay sur tunnels XFRM : l’une des principales nouveautés est la prise en charge du DHCP Relay via les tunnels XFRM. Cela permet d’atteindre des serveurs DHCP derrière des pare-feu distants, ce qui n’était auparavant possible que via des VPN basés sur des policies. C’est particulièrement utile dans les environnements SD-WAN où des adresses IP dynamiques doivent être fournies à travers des tunnels.

Prise en charge FQDN améliorée : lors de la configuration de passerelles distantes dans les VPN IPsec, il est désormais possible d’utiliser aussi bien des FQDN (Fully Qualified Domain Names) que leurs adresses IP résolues. Cela améliore la scalabilité, notamment dans les environnements avec une forte latence DNS, où les résolutions FQDN peuvent affecter les performances des connexions VPN. Les administrateurs peuvent choisir d’utiliser des FQDN ou des adresses IP résolues dans la configuration.

Les nouvelles fonctions dans le domaine Site-to-Site VPN apportent plus de flexibilité et améliorent la scalabilité dans les grands réseaux distribués. Grâce à l’optimisation du temps de restauration des interfaces, jusqu’à 20 fois plus rapide, les interruptions lors de coupures de tunnel, de redémarrages ou de scénarios de failover HA sont également fortement réduites.

Route Management

Le Route Management dans Sophos Firewall v21 a été enrichi de nouvelles fonctions et améliorations afin de simplifier la gestion des routes statiques et dynamiques et d’augmenter la stabilité du réseau.

Routes statiques

Activation/désactivation des routes

Les administrateurs peuvent désormais activer ou désactiver directement des routes individuelles, ce qui facilite considérablement le dépannage et la gestion des connexions réseau. Cela permet un contrôle précis du comportement de routage en temps réel.

Clonage de routes

Avec la nouvelle fonction de clonage de routes, les routes existantes peuvent être facilement dupliquées et adaptées. Cela fait gagner du temps lors de la configuration et garantit la cohérence entre différentes interfaces réseau. Chaque route peut en outre recevoir une description afin d’améliorer la lisibilité.

Routes dynamiques

Prise en charge étendue pour OSPF et BGP

Le pare-feu prend désormais en charge la redistribution de routes BGP vers OSPF v3, ce qui améliore l’interopérabilité entre différents protocoles de routage. C’est particulièrement utile dans les réseaux complexes avec plusieurs sites et protocoles.

Améliorations HA

Dans les scénarios de failover High Availability (HA), la stabilité des routes dynamiques a été nettement améliorée. Alors que plusieurs interruptions de connexion pouvaient se produire pendant le failover dans les versions précédentes, cela ne se produit désormais plus qu’une seule fois, ce qui améliore la fiabilité des connexions réseau.

Authentification Google

La prise en charge de Google Authentication a été étendue dans Sophos Firewall v21 afin de faciliter l’intégration de Google Workspace et des Chromebooks.

Intégration basée sur LDAP

Sophos Firewall prend désormais en charge l’intégration de Google Workspace via un client LDAP standard. Cette extension permet aux entreprises qui utilisent Google Workspace d’authentifier plus facilement leurs utilisateurs via Sophos Firewall, sans dépendre d’Active Directory. La prise en charge de Google Workspace SSO (Single Sign-On) suivra dans de futures versions.

Prise en charge SSO Chromebook

Le pare-feu propose désormais une fonctionnalité SSO (Single Sign-On) pour les Google Chromebooks connectés à des serveurs LDAP. Cette fonctionnalité était auparavant limitée à Active Directory. Les utilisateurs Google peuvent ainsi accéder à des ressources sécurisées sans étapes de connexion supplémentaires.

Performances SSO améliorées

L’authentification a été améliorée afin que le pare-feu puisse traiter plus efficacement les requêtes provenant de plusieurs mécanismes SSO (par ex. STAS, RADIUS SSO, Synchronized User ID). Dans les environnements avec un grand nombre de requêtes simultanées, le serveur peut désormais répondre jusqu’à quatre fois plus vite aux demandes d’authentification et rejeter les doublons dès qu’un utilisateur est authentifié.

Mot de la fin

Dans l’ensemble, Sophos Firewall v21 est une mise à jour annuelle solide, qui apporte de petites améliorations importantes dans les domaines UX et UI, ainsi que de nouvelles fonctions qui renforcent encore la sécurité du réseau.

Nous continuons volontiers à recueillir vos retours sur les fonctions qui vous manquent actuellement. Dans l’article Sophos Firewall Feature Request 2024, nous avons déjà résumé de nombreuses suggestions de votre part et travaillons déjà sur la liste pour 2025. Vous pouvez nous envoyer d’autres souhaits et propositions via le formulaire de contact.