Mise à jour Sophos SFOS - nouvelles fonctionnalités dans la v18.5.2

Dans cet article de blog, vous découvrez toutes les nouveautés qui vous attendent dans la dernière mise à jour de firewall SFOS 18.5 MR2.

Information importante : SFOS 17.5 EoL

Avant de passer à la nouvelle version SFOS 18.5 MR2, une brève information pour tous ceux qui utilisent encore SFOS 17.5. Cette version est en fin de vie depuis le 30 novembre 2021. Les seules exceptions sont les appliances XG 85(w) et XG 105(w), car ce matériel ne prend pas en charge la v18 et atteindra de toute façon la fin de vie en août 2022. Pour tous les autres, une règle s’applique : il faut mettre à jour, sinon il n’y a plus de support ni de mises à jour de sécurité.

VPN AES-GCM et AES-GMAC

Pour les connexions VPN site à site, un nouveau mode de chiffrement est disponible en phase 2.

SFOS 18.5.2 AES-GCM / AES-GMAC — Nouvelles options AES-GCM et AES-GMAC pour le chiffrement de phase 2.

Ces nouvelles options offrent de meilleures performances et seront également disponibles pour les clients distants dans une version ultérieure de SFOS.

MFA pour les utilisateurs administrateurs

Jusqu’à présent, il n’était pas possible d’activer l’authentification multifacteur (MFA) pour le compte administrateur. Ce compte système est très exposé, car il existe par défaut sur chaque firewall. Avec d’autres fournisseurs et systèmes tels que Windows ou Synology, on s’éloigne de plus en plus de la création d’un utilisateur portant le nom « Admin » ou « Administrator ». Avec SFOS 18.5 MR2, il est désormais au moins possible d’activer la MFA pour l’accès web administrateur. 👍

Paramètres MFA dans SFOS 18.5.2 — Activer la MFA pour l’accès web administrateur.

Pour l’accès SSH, le mot de passe seul reste suffisant. Il reste donc important de restreindre autant que possible cet accès.

Notification MFA dans SFOS 18.5.2 — Avertissement bien visible lorsqu’il existe des comptes sans MFA.

Vous êtes également averti lorsqu’il existe des utilisateurs pour lesquels la MFA n’a pas encore été activée.

Enregistrement dans Central avec un jeton OTP

Le firewall et Central vont désormais de pair, comme un burger 🍔 et des frites 🍟. Toutefois, si vous n’avez pas encore de compte Central ou si vous devez créer un nouvel utilisateur, il y a plus de 15 étapes et la procédure prend quelques minutes.

Il est désormais possible de créer un jeton dans Central en quelques clics et de l’utiliser pour enregistrer le firewall dans Central.

Assistant Sophos

Les firewalls Sophos bénéficient d’un assistant interactif destiné à aider à la configuration. Pour le moment, l’assistant propose de l’aide pour les trois sujets suivants :

DNAT et règles de firewall pour le serveur web interne
VPN IPsec site à site
VPN SSL d’accès distant

Les trois thèmes disponibles ont été proposés par le support Sophos, car il reçoit manifestement de nombreuses demandes à ce sujet. D’autres guides suivront à l’avenir et Sophos est ouvert aux commentaires. Si vous avez des idées, vous pouvez nous les transmettre via le formulaire de contact et nous les ferons suivre.

Assistant Sophos dans Sophos Firewall — Assistant Sophos dans SFOS.

Autres améliorations

Lorsqu’une appliance est réinstallée avec l’image ISO, un message s’affiche désormais sur l’écran LED du firewall une fois le processus d’installation terminé.
Certifications – FIPS 140-2 niveau 1
Affichage de tous les groupes auxquels un utilisateur appartient
Cloudflare est désormais pris en charge comme fournisseur DynDNS
Interrupteur permettant de désactiver IPS globalement (par exemple pour le troubleshooting)

Interrupteur IPS global SFOS 18.5.2 — Désactiver globalement la protection IPS.

Informations complémentaires

Si vous souhaitez passer maintenant à la nouvelle version ou migrer d’un XG vers un XGS, vous devriez d’abord consulter les pages ci-dessous. Elles vous aident à bien vous préparer à la mise à jour et à clarifier les prérequis importants.