Sophos SFOS Update – Nouvelles fonctionnalités dans la v18.5.2
Dans ce blog, vous trouverez toutes les informations sur les nouveautés qui vous attendent dans la dernière mise à jour du pare-feu SFOS 18.5 MR2.
Info importante : SFOS 17.5 EoL
Avant de passer à la nouvelle version SFOS 18.5 MR2, une petite information pour tous ceux qui utilisent encore la version SFOS 17.5. Celle-ci est en End-of-Life depuis le 30 novembre 2021. À l’exception des appliances XG 85(w) et XG 105(w), car ce matériel ne prend pas en charge la v18 et sera de toute façon EoL en août 2022. Pour tous les autres, il faut se mettre à jour, sinon il n’y aura pas de support ou de mises à jour de sécurité.
VPN AES-GCM et AES-GMAC
Pour les connexions VPN site à site, il existe un nouveau mode de cryptage en phase 2.
Ces nouvelles options offrent de meilleures performances et seront également disponibles pour les clients distants dans une version ultérieure de SFOS.
MFA pour les utilisateurs admin
Jusqu’à présent, il n’était pas possible d’activer l’authentification multi-facteurs (MFA) pour le compte admin. Or, cet utilisateur système est très vulnérable, car il existe par défaut sur chaque pare-feu. Avec d’autres fabricants et systèmes comme Windows ou Synology, on évite de plus en plus de créer un utilisateur avec le nom d’utilisateur « Admin » ou « Administrator ». Avec SFOS 18.5 MR2, il est désormais au moins possible d’activer MFA pour l’accès Web-Admin. 👍
Pour l’accès SSH, seul le mot de passe est encore suffisant. Il reste donc important de limiter l’accès autant que possible.
Il est également signalé que certains utilisateurs n’ont pas encore activé la MFA.
Enregistrement central avec jeton OTP
Le pare-feu et Central vont désormais de pair, comme les burgers 🍔 avec les frites 🍟. Cependant, si l’on n’a pas encore de compte central ou si l’on doit créer un nouvel utilisateur, cela représente plus de 15 étapes et prend quelques minutes.
Il est désormais possible de créer un token en quelques clics sur Central, ce qui permet d’enregistrer le pare-feu dans Central.
Assistant Sophos
Les Sophos Firewalls sont dotés d’un assistant interactif qui doit aider à la configuration. Actuellement, l’assistant propose de l’aide sur les trois thèmes suivants.
- Règles DNAT et de pare-feu pour le serveur web interne
- VPN IPsec de site à site
- Accès à distance SSL VPN
Les trois thèmes disponibles ont été proposés par le support technique de Sophos, qui semble recevoir de nombreuses demandes à ce sujet. D’autres guides suivront à l’avenir et Sophos est ouvert aux commentaires. Si vous avez des idées, n’hésitez pas à nous les faire parvenir via le formulaire de contact et nous les transmettrons.
Autres améliorations
- Lorsque l’on réinstalle une appliance avec l’image ISO, un message s’affiche sur l’écran LED du pare-feu après la fin du processus d’installation.
- Certifications – FIPS 140-2 niveau 1
- Affichage de tous les groupes dans lesquels se trouve un utilisateur
- Cloudflare est désormais pris en charge en tant que fournisseur DynDNS
- Interrupteur pour désactiver globalement IPS (par ex. pour le dépannage)
Plus d’informations
Si vous souhaitez effectuer une mise à jour vers la nouvelle version ou migrer d’une XG vers une XGS, consultez d’abord les sites web ci-dessous. Ils vous aideront à vous préparer idéalement à la mise à jour et à clarifier les conditions importantes.
