Aller au contenu
Avanet
Sophos Firewall v21.5 MR1 : sécurité et stabilité au premier plan

Sophos Firewall v21.5 MR1 : sécurité et stabilité au premier plan

Sophos Firewall v21.5 MR1 regroupe de nombreuses améliorations de sécurité, de stabilité et de fiabilité. S’y ajoutent des nouveautés ciblées comme OAuth 2.00 pour les notifications par e-mail, l’ajustement fin de NDR et le durcissement de la haute disponibilité.

Nouvelles fonctionnalités dans SFOS v21.5 MR1

OAuth 2.00 pour les notifications par e-mail

Les notifications par e-mail peuvent être sécurisées avec OAuth 2.00 pour Gmail et Microsoft 365. L’authentification par mot de passe est progressivement abandonnée. Les avantages sont clairs : surface d’attaque réduite, gestion centralisée des tokens et accès traçables. La configuration s’effectue sous Administration > Notification settings. Pour Gmail, une app registration dans la Google Cloud Console est nécessaire (Client ID, Client Secret). Le pare-feu utilise des refresh tokens pour l’authentification permanente. OAuth 2.00 permet en outre l’utilisation de policies, de l’authentification multifacteur et de la révocation centralisée de tokens compromis. Il est recommandé de migrer les profils SMTP suffisamment tôt, d’effectuer un envoi de test et de définir un serveur de messagerie de secours ; les policies MFA doivent être vérifiées et documentées.

Rapports planifiés localisés

Les rapports PDF planifiés sont générés dans la langue utilisée lors de la connexion au WebAdmin. Cela réduit les efforts de traduction et facilite la coordination avec les départements métier. Les rapports sont plus cohérents et peuvent être utilisés sans effort supplémentaire dans les réunions de management.

NDR Essentials : Sélection du centre de données

La région d’analyse pour NDR Essentials peut être choisie librement. Par défaut, la région présentant la latence la plus faible est utilisée. Cela permet de répondre aux exigences de résidence des données et de conformité. Dans les environnements multi-régions, le bon choix est essentiel pour éviter des flux de données indésirables. Il est judicieux de documenter la région choisie, de préparer tout changement planifié, d’adapter le monitoring et de tenir compte des directives de protection des données.

NDR Essentials : Threat Score dans les journaux ATR

Le Threat Score apparaît dans les journaux Active Threat Response. Cela facilite la priorisation, la corrélation et le reporting dans SIEM et XDR. Les alertes basées sur le score permettent une classification plus fine des incidents.

Sophos Firewall v21.5 MR1 - Emplacement du centre de données NDR Essentials
Sophos Firewall v21.5 MR1 - Emplacement du centre de données NDR Essentials

Syslog : device_name correspond au hostname

Le champ device_name contient le hostname configuré du pare-feu. Cela facilite l’attribution des logs dans les environnements multi-appareils. Les intégrations avec XDR et SIEM deviennent plus robustes.

Haute disponibilité sécurisée

Les passphrases fortes deviennent obligatoires, la génération automatique disparaît. En outre, le couplage HA vérifie la clé d’hôte SSH du partenaire. Cela complique les attaques Man-in-the-Middle et évite les confusions de cluster. Une sortie d’erreur améliorée facilite le diagnostic.

Mode LINCE en HA

LINCE est une certification de sécurité gouvernementale espagnole qui définit des exigences cryptographiques minimales. Le mode LINCE impose sur le pare-feu une sélection autorisée d’algorithmes et de longueurs de clés, et influence notamment les paramètres SSH et VPN. L’activation se fait via CLI et redémarre le service SSH. Dans les environnements HA, le mode LINCE doit être identique sur les deux appareils avant la configuration HA. Lors de la restauration de sauvegardes HA, l’état LINCE des appareils cibles doit correspondre à la sauvegarde ; sinon la restauration est refusée ou le mode est adapté.

VPN basé sur le routage : XFRM-MTU automatique

Le pare-feu calcule automatiquement une MTU adaptée pour les interfaces XFRM en déduisant l’overhead IPsec. Objectif : moins de fragmentation et des connexions TCP plus stables. La valeur reste ajustable. Après l’upgrade, il est recommandé de vérifier la MTU, de l’affiner selon le fournisseur si nécessaire et de tester les applications critiques.

Colonnes de tableau personnalisables

De nombreux espaces de Sophos Firewall v21.5 MR1 prennent en charge des colonnes librement redimensionnables, par exemple Network, SD-WAN routes, Gateways ou Local Service ACL. Les largeurs sont enregistrées dans le navigateur et reprises lors des sessions suivantes.

Hotspot vouchers : tri et filtrage

Les vouchers peuvent être triés par date de création et apparaissent immédiatement en haut. Cela facilite l’émission et le contrôle.

MIB SNMP : conformité RFC améliorée

Les MIB sont plus étroitement alignées sur les RFC pour SNMPv1, v2 et v3. Cela améliore la compatibilité avec les outils de surveillance et réduit les erreurs d’analyse.

Utilisateurs en direct : unités de données unifiées

Les volumes de données sont affichés uniformément en KB, MB et GB. Cela facilite les comparaisons et réduit les malentendus.

Importation de groupes depuis AD et Entra ID

Lors de l’importation de groupes, L2TP et PPTP ne sont plus activés automatiquement. L’accès à distance reste explicitement contrôlable. Cela évite les surfaces d’attaque indésirables.

Active Directory SSO : Windows Server 2025

Le Single Sign-On prend désormais en charge Windows Server 2025 via NTLM et Kerberos. Cela facilite l’intégration dans les environnements AD modernes et les configurations hybrides avec Azure AD.

Hôtes système RED : /32 correct

Les objets hôtes système pour RED utilisent désormais systématiquement le masque de sous-réseau /32. Auparavant, le masque pouvait différer de la configuration définie lors de la création de l’interface. Si un hôte système RED est utilisé dans des règles ou des objets pour des réseaux plus grands, le trafic peut ne plus matcher après la mise à jour. En pratique, il faut vérifier les règles de pare-feu dépendantes et les objets hôtes, puis passer si nécessaire à des objets IP ou réseau adaptés.

Compatibilité et remarques

  • Compatibilité SSL VPN : pas de tunnels vers SFOS 18.5 et antérieur, Legacy SSL VPN Client ou UTM 9. Alternatives : upgrade, IPsec ou RED.
  • Les tunnels Legacy RED Site-to-Site de l’ancienne génération ne sont plus pris en charge à partir de SFOS 22. La migration vers des tunnels RED Site-to-Site ou IPsec pris en charge est recommandée.
  • Chemins d’upgrade : respecter les chemins de migration officiels. Sophos Central peut planifier et piloter les upgrades.
  • Avant chaque upgrade, créer une sauvegarde complète et préparer un plan de rollback.

Conclusion

Sophos Firewall v21.5 MR1 est une maintenance release régulière avec de petites améliorations et des corrections de bugs. Elle stabilise l’exploitation courante et inclut des corrections de détail. La migration vers OAuth 2.00 pour les notifications par e-mail, le choix de la région NDR ainsi qu’un bref contrôle des paramètres HA et Syslog sont particulièrement utiles. Dans l’ensemble, il s’agit d’ajustements incrémentiels pour maintenir la branche de release actuelle. Les choses redeviendront plus intéressantes début décembre, lorsque SFOS v22 devrait être publié.

Liens connexes

Références

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.