Sophos modernise ses systèmes jusqu'à la mi-octobre. Les commandes seront toujours acceptées, mais le matériel et les licences ne seront envoyés qu'après la transition. Vous trouverez plus d'informations à ce sujet et les produits qui en sont exclus dans le blog post.
Dans ce blog, vous trouverez toutes les informations sur les nouveautés qui vous attendent dans la dernière mise à jour du pare-feu SFOS 18.5 MR2.
Info importante : SFOS 17.5 EoL
Avant de passer à la nouvelle version SFOS 18.5 MR2, une petite information pour tous ceux qui utilisent encore la version SFOS 17.5. Celle-ci est en End-of-Life depuis le 30 novembre 2021. À l’exception des appliances XG 85(w) et XG 105(w), car ce matériel ne prend pas en charge la v18 et sera de toute façon EoL en août 2022. Pour tous les autres, il faut se mettre à jour, sinon il n’y aura pas de support ou de mises à jour de sécurité.
VPN AES-GCM et AES-GMAC
Pour les connexions VPN site à site, il existe un nouveau mode de cryptage en phase 2.
Nouvelles options AES-GCM et AES-GMAC pour le cryptage de phase 2.
Ces nouvelles options offrent de meilleures performances et seront également disponibles pour les clients distants dans une version ultérieure de SFOS.
MFA pour les utilisateurs admin
Jusqu’à présent, il n’était pas possible d’activer l’authentification multi-facteurs (MFA) pour le compte admin. Or, cet utilisateur système est très vulnérable, car il existe par défaut sur chaque pare-feu. Avec d’autres fabricants et systèmes comme Windows ou Synology, on évite de plus en plus de créer un utilisateur avec le nom d’utilisateur « Admin » ou « Administrator ». Avec SFOS 18.5 MR2, il est désormais au moins possible d’activer MFA pour l’accès Web-Admin. 👍
Activer la MFA pour l’accès Web-Admin.
Pour l’accès SSH, seul le mot de passe est encore suffisant. Il reste donc important de limiter l’accès autant que possible.
Indication frappante lorsqu’il existe des comptes sans MFA.
Il est également signalé que certains utilisateurs n’ont pas encore activé la MFA.
Enregistrement central avec jeton OTP
Le pare-feu et Central vont désormais de pair, comme les burgers 🍔 avec les frites 🍟. Cependant, si l’on n’a pas encore de compte central ou si l’on doit créer un nouvel utilisateur, cela représente plus de 15 étapes et prend quelques minutes.
Il est désormais possible de créer un token en quelques clics sur Central, ce qui permet d’enregistrer le pare-feu dans Central.
Assistant Sophos
Les Sophos Firewalls sont dotés d’un assistant interactif qui doit aider à la configuration. Actuellement, l’assistant propose de l’aide sur les trois thèmes suivants.
Règles DNAT et de pare-feu pour le serveur web interne
VPN IPsec de site à site
Accès à distance SSL VPN
Les trois thèmes disponibles ont été proposés par le support technique de Sophos, qui semble recevoir de nombreuses demandes à ce sujet. D’autres guides suivront à l’avenir et Sophos est ouvert aux commentaires. Si vous avez des idées, n’hésitez pas à nous les faire parvenir via le formulaire de contact et nous les transmettrons.
Assistant Sophos dans SFOS
Autres améliorations
Lorsque l’on réinstalle une appliance avec l’image ISO, un message s’affiche sur l’écran LED du pare-feu après la fin du processus d’installation.
Certifications – FIPS 140-2 niveau 1
Affichage de tous les groupes dans lesquels se trouve un utilisateur
Cloudflare est désormais pris en charge en tant que fournisseur DynDNS
Interrupteur pour désactiver globalement IPS (par ex. pour le dépannage)
Désactiver globalement IPS Protection
Plus d’informations
Si vous souhaitez effectuer une mise à jour vers la nouvelle version ou migrer d’une XG vers une XGS, consultez d’abord les sites web ci-dessous. Ils vous aideront à vous préparer idéalement à la mise à jour et à clarifier les conditions importantes.