Sophos Firewall v22 MR1 : vue d’ensemble et toutes les nouvelles fonctionnalités

Sophos Firewall v22 MR1 s’appuie sur la stratégie de sécurité par conception introduite avec la v22, en y ajoutant de la télémétrie supplémentaire, des détections NDR curatées à partir de l’environnement Taegis et quelques améliorations de détail sur le VPN, le SSO et le stockage. En outre, Sophos Firewall Config Studio V2 est un outil autonome qui simplifie considérablement l’analyse et la comparaison des configurations.

Secure by Design : capteur XDR Linux avancé

Avec la v22, Sophos a introduit le capteur XDR Linux sur le pare-feu afin de détecter rapidement toute altération du système, par exemple des fichiers de configuration ou des processus critiques. SFOS v22 MR1 étend le capteur à la détection des shells interactifs et des reverse shells. Si un attaquant tente de placer une session de contrôle sur le pare-feu après une intrusion, la communication TCP ou UDP associée vers le serveur de commande et de contrôle est bloquée. De plus, ce capteur est désormais activé sur l’ensemble de la série XGS – et non plus seulement sur certains modèles.

La détection par shell inverse est un standard sur les systèmes d’extrémité depuis des années. Il est logique et important que la même logique s’applique désormais au pare-feu lui-même. Dans le pire des cas, un pare-feu compromis est un passe-partout pour le réseau – toute couche de détection supplémentaire directement sur l’appareil est plus utile que toute corrélation en aval.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 intègre la technologie IPS iSensor de la plate-forme SecureWorks Taegis. Les modèles de détection ainsi curatés complètent le jeu de signatures IPS classique par des modèles ciblant les attaquants actifs sur le réseau – c’est-à-dire les mouvements latéraux, les communications C2 et les activités comparables après une intrusion initiale.

Vous pouvez activer ce paramètre sous Active Threat Response > NDR. Il faut ensuite cocher la case correspondante dans les paramètres IPS des règles de pare-feu pour que les nouvelles détections soient effectives. Pour les analystes XDR et MDR, cela signifie plus de contexte et des chemins d’investigation plus courts, car les détections ciblent directement les TTP adverses connus de la base de données Taegis.

NDR Essentials pour toutes les plates-formes

Une question récurrente depuis la v21.5 : quand NDR Essentials prendra-t-il en charge les pare-feux virtuels et en nuage ? C’est chose faite avec la v22 MR1 – NDR Essentials fonctionne désormais sur toutes les plates-formes Sophos Firewall, c’est-à-dire le matériel XGS, les appliances virtuelles, les déploiements dans le cloud et les installations de logiciels. Cela élimine la dernière grande restriction qui excluait jusqu’à présent les configurations virtuelles de la protection NDR.

Si vous utilisez Sophos Firewall sur VMware, Hyper-V ou un hyperscaler, vous n’avez plus besoin de NDR Essentials.

Piste d’audit avec l’identité de l’utilisateur Sophos Central

Lorsqu’un pare-feu unique est configuré via Sophos Central, SFOS v22 MR1 consigne désormais également quel utilisateur Sophos Central a déclenché le changement. Auparavant, seul le compte générique Central était souvent visible dans la piste d’audit. Avec la nouvelle variante, il est possible de savoir qui est à l’origine d’un changement de configuration, même si celui-ci n’a pas été effectué directement sur le webadmin du pare-feu. Cette information apparaît à la fois dans le visualiseur de journaux du pare-feu et dans les journaux et rapports de Sophos Central.

Cela est particulièrement important pour les organisations soumises à la norme NIS2, qui exige explicitement la traçabilité des interventions administratives. Dans les environnements MSP avec plusieurs techniciens sur le même locataire, il s’agit de toute façon d’un détail attendu depuis longtemps.

Stabilité VPN et Retirement Legacy IPsec

SFOS v22 GA avait un certain nombre de problèmes de stabilité avec les VPN IPsec basés sur des politiques, qui ont été adressés dans MR1. Concrètement, les tickets internes NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 et NC-176083, entre autres, ont été corrigés. Si vous avez utilisé la v22 GA en production et que vous avez remarqué des interruptions ou des déconnexions dans les tunnels basés sur les politiques, vous devriez vérifier spécifiquement après la mise à jour si les tunnels sont maintenant stables.

Parallèlement, le VPN IPsec d’accès à distance hérité est définitivement abandonné avec la v22 MR1. Les pare-feu qui utilisent encore cette ancienne variante IPsec ne peuvent pas être mis à jour vers la v22 MR1 ou une version plus récente. Ceux qui sont concernés doivent d’abord migrer vers la configuration IPsec d’accès distant actuelle – Sophos a publié un article KB spécifique à ce sujet.

Dans la pratique, la majorité des configurations existantes sont depuis longtemps sur la nouvelle variante ou sur SSL VPN. Néanmoins, il vaut la peine de vérifier brièvement la configuration avant de procéder à la mise à niveau – sinon la mise à jour s’arrêtera.

Sophos Connect 2.0 pour macOS

Sophos Connect 2.0 pour macOS permet désormais d’établir des connexions VPN SSL pour l’accès distant. Auparavant, le VPN SSL via Sophos Connect était l’apanage de Windows et les utilisateurs de macOS devaient se tourner vers IPsec ou utiliser des clients tiers. Ainsi, l’ensemble des fonctionnalités entre les deux plates-formes clientes continue de s’harmoniser. Les détails et les versions de macOS prises en charge sont disponibles dans les notes de publication de Sophos Connect.

Microsoft Entra ID SSO : réévaluation forcée

Jusqu’à présent, une session SSO existante pouvait être réutilisée sous certaines conditions sans que les politiques d’accès conditionnel ne soient revues dans Entra ID. Dans le pire des cas, cela ouvrait un chemin pour contourner les exigences MFA si les cookies de session étaient encore valides. SFOS v22 MR1 impose désormais une nouvelle vérification des politiques d’accès conditionnel en cas de réutilisation de session. Il s’agit d’un correctif de sécurité classique – peu visible, mais important pour les environnements qui utilisent Entra ID comme source centrale d’identité et qui s’appuient sur MFA.

Préservation du SSD et Wi-Fi MTU

Deux améliorations de détail mineures mais utiles :

• Durée de vie du SSD: les écritures sur le SSD interne ont été optimisées. Cela affecte principalement les périphériques avec un volume élevé de logs et prolonge la durée de vie du matériel.
• Wi-Fi MTU/MSS: Les commandes CLI existantes permettent désormais d’ajuster les valeurs MTU et MSS pour les interfaces Wi-Fi. Un outil bienvenu dans les environnements avec des tunnels superposés ou des chemins problématiques dans le backhaul WLAN.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (anciennement Sophos Firewall Configuration Viewer) est un outil basé sur un navigateur qui offre beaucoup plus de fonctionnalités que son prédécesseur. Il permet trois flux de travail centraux :

• Rapport de configuration: toutes les règles, politiques et paramètres d’un pare-feu peuvent être affichés dans un rapport consolidé. Pratique pour les audits, les transferts ou l’intégration de nouveaux administrateurs.
• Comparaison de la configuration: Deux configurations peuvent être comparées directement. Les entrées ajoutées, modifiées, supprimées et non modifiées sont mises en évidence visuellement. C’est exactement l’outil qui manque lors des revues de changement ou du dépannage après une étape de migration, si vous ne voulez pas démonter le pare-feu à chaud.
• Configuration Editor: les configurations peuvent être modifiées ou importées directement dans l’outil. Vous pouvez ensuite les charger à nouveau dans le pare-feu ou les exporter en tant que snippet API ou curl, par exemple pour déployer automatiquement les modifications.

Un Diff de configuration directement dans le navigateur est une fonctionnalité souhaitée depuis des années. Quiconque a déjà essayé de lire manuellement deux sauvegardes Sophos l’une contre l’autre sait pourquoi cet outil est une réelle avancée. Il sera intéressant de voir si l’éditeur fonctionne de manière stable avec des configurations importantes et si l’exportation de l’API s’intègre bien dans les pipelines d’automatisation existants.

L’outil est accessible via docs.sophos.com.

Mise à jour du benchmark CIS pour la v22

Le bilan de santé introduit avec la v22 est basé sur les benchmarks CIS. Les benchmarks sous-jacents ont été mis à jour pour la v22 et peuvent être téléchargés sur le site web de l’ECI. Ceux qui utilisent le Health Check dans le cadre d’audits internes devraient utiliser la nouvelle version comme référence.

Compatibilité et notes

• Legacy Remote Access IPsec VPN: sera retiré avec la v22 MR1. La migration vers la configuration IPsec d’accès distant actuelle est une condition préalable à la mise à niveau.
• Chemins de mise à niveau: SFOS v22 MR1 peut être mis à niveau à partir de toutes les versions prises en charge v21.5, v21 et v20. Sophos Central peut planifier et contrôler la mise à niveau.
• Sauvegarde avant la mise à niveau : comme toujours, faites une sauvegarde complète avant la mise à jour et préparez un plan de rollback.
• Mécanisme de corrections à chaud: les correctifs de sécurité continuent d’être appliqués en tant que corrections à chaud « over-the-air » sans temps d’arrêt. Les versions de maintenance regroupent cependant des corrections non critiques supplémentaires – une mise à niveau est donc intéressante même sans raison urgente.

Conclusion

Sophos Firewall v22 MR1 est une solide version de maintenance. Les points les plus importants de notre point de vue sont les correctifs de stabilité VPN pour IPsec basé sur les politiques, le support étendu des NDR Essentials aux plates-formes virtuelles et la nouvelle piste d’audit avec l’identité de l’utilisateur Sophos Central. La détection Reverse Shell sur le pare-feu lui-même et les détections iSensor curatées de l’environnement Taegis s’inscrivent parfaitement dans la ligne adoptée par Sophos avec la v22 – le pare-feu devient peu à peu une plate-forme de détection qui fournit de la télémétrie et ne se contente pas de filtrer les paquets.

Ce qui continue à nous manquer n’a pas changé depuis la v22 : le clonage et le regroupement des règles NAT. Les souhaits formulés il y a environ un an ont été partiellement réalisés, le reste est toujours sur la liste. Peut-être dans le prochain MR ou au plus tard dans la v23. Mais peut-être qu’à partir de maintenant, Sophos poursuivra sa stratégie consistant à tout transférer dans le Sophos Firewall Config Studio et que le pare-feu restera tel qu’il est.

Plus d’informations

• Communauté Sophos : Sophos Firewall v22 MR1 est maintenant disponible
• Sophos KB : mise à la retraite du VPN d’accès distant IPsec hérité dans SFOS 22.0 MR1
• Documentation Sophos Firewall Config Studio