Aller au contenu
Avanet
Sophos XG Update v17.5 - Toutes les nouveautés en un coup d’œil

Sophos XG Update v17.5 - Toutes les nouveautés en un coup d’œil

Nous avons installé début novembre la deuxième bêta du nouveau firmware SFOS 17.5 et l’avons examinée de plus près. Lors de la Sophos Roadshow 2018 à Dübendorf, il était encore question des versions 17.2 et 17.3, mais Sophos a finalement décidé de regrouper toutes les fonctionnalités prévues et de passer directement à la version 17.5.

Une chose est claire dès le départ : SFOS 17.5 nous laisse une impression mitigée. Certaines nouveautés sont vraiment intéressantes, mais, à notre avis, elles ne sont pas toujours abouties jusqu’au bout.

Lateral Movement Protection

Depuis la première version de Synchronized Security, le client endpoint peut transmettre son statut à la firewall. Grâce à cette fonction, il est par exemple possible de refuser à un poste de travail qui n’a pas été mis à jour depuis longtemps – ou qui est déjà infecté – l’accès au serveur de fichiers ou à Internet, afin de ne pas mettre en danger les autres systèmes.

Jusqu’à présent, une telle configuration supposait toutefois une bonne segmentation du réseau. Si tous les appareils d’une entreprise sont connectés au même switch et se trouvent dans le même sous‑réseau, Security Heartbeat n’apportait pas grand‑chose.

Avec SFOS 17.5, cette fonction a été étendue et améliorée. Il est désormais possible d’isoler des ordinateurs considérés comme « non sains » par Synchronized Security, même s’ils se trouvent dans le même domaine de broadcast ou le même réseau. Lorsqu’un problème est détecté sur un client, la firewall informe automatiquement tous les autres clients. Ainsi, non seulement la firewall sait qu’un poste pose problème, mais tous les autres clients du réseau sont également avertis. Un appareil infecté peut ainsi être isolé de manière encore plus efficace, jusqu’à ce que la situation soit rétablie. Dès que le statut Security Heartbeat repasse au vert, les connexions vers les autres systèmes sont ré‑autorisées automatiquement.

Sophos XG v17.5 - Lateral Movement Protection

Les détections IPS sur des endpoints compromis peuvent désormais également déclencher un heartbeat « rouge ». Cela améliore encore la protection contre les menaces dans le réseau.

Redirection de l’URL du portail

Pendant mes tests, j’ai remarqué une fonction qui s’est presque glissée discrètement dans la nouvelle version, car elle n’est mentionnée nulle part dans les Release Notes.

Vous connaissez certainement la situation. Lorsqu’une page web est bloquée par le Sophos Web Proxy, une page d’avertissement s’affiche pour l’utilisateur. Si l’utilisateur souhaite malgré tout ouvrir la page, le lien cachait jusqu’ici toujours une adresse IP au lieu d’une URL normale. Dans la version 17.1, on pouvait au moins modifier cela via la console. Avec 17.5, c’est désormais possible confortablement via l’interface web de la XG Firewall. 👍

Sophos 17.5 Administration Erneuerungen

Le passage d’une adresse IP à une URL web ne fonctionne toutefois que pour la partie web. Lorsque la XG Firewall scanne par exemple vos e-mails, les utilisateurs reçoivent généralement un rapport de quarantaine de la firewall. Celui-ci indique quels e-mails la Sophos Firewall a bloqués. Un clic sur un lien permet de libérer manuellement le prétendu message de spam. Mais ce lien reste une adresse IP, ce qui fonctionne techniquement, mais affiche un avertissement de certificat à l’utilisateur.

Le passage d’une adresse IP à une URL web n’a donc pas encore été implémenté pour la partie e-mail. Sophos m’a indiqué que cela pourrait éventuellement arriver avec MR1 ou MR2 et que les développeurs y travaillent. Nous penchons plutôt pour MR2, ce qui nous amènerait probablement vers janvier ou février.

Synchronized User ID

L’une des tâches les plus fréquentes d’une firewall consiste à transporter du trafic de A vers B, à condition qu’une règle de firewall ait été créée. Le trafic arrive et repart toujours vers une adresse IP. En tant qu’administrateurs, nous aimerions savoir quels appareils génèrent ce trafic, ou mieux encore quel utilisateur. Cela nous aide à créer des règles de firewall basées sur les utilisateurs, à gagner en transparence réseau et à produire des rapports plus compréhensibles.

Sur SFOS, plusieurs possibilités existent pour identifier l’utilisateur. Par le passé, nous utilisions pour cela la connexion à un serveur Active Directory, qui transmettait les informations utilisateur à la XG Firewall via un agent installé. Dans certains environnements, cet agent n’était toutefois pas une option.

Avec SFOS v17.5, les terminaux d’un domaine Active Directory peuvent désormais partager l’identité de l’utilisateur avec la firewall via Security Heartbeat. L’identification des utilisateurs devient ainsi transparente et simple, sans qu’un agent doive être déployé sur les contrôleurs de domaine. Cette fonction peut être très utile dans de nombreuses situations.

Les serveurs Terminal Server ou les hôtes Linux ne sont pas couverts par cette solution. Pour les premiers, STAC reste la meilleure option. Les exceptions sont toutefois nombreuses. Les clients Mac ne fonctionnent pas avec un Active Directory, et les utilisateurs VPN ne s’y connectent pas non plus.

Vous ne pouvez profiter de cette fonction que si l’un de ces produits est installé sur les clients :

À notre avis, cela deviendra intéressant lorsque des clients qui ne font pas partie d’un domaine pourront eux aussi partager leurs données utilisateur avec la XG. Pour l’instant, cette fonction ne résout qu’un très petit problème.

Sophos Connect IPSec VPN Client

Notre article Installer le client SSL VPN est l’un des articles les plus populaires de notre Knowledge Base. Ce n’est pas un hasard : pour beaucoup de nos clients, le VPN faisait partie des exigences les plus citées avant l’achat d’une Sophos Firewall.

Comme décrit dans ce guide, nous utilisons actuellement très souvent le client SSL VPN de Sophos. Celui-ci ne peut toutefois être installé que sur des ordinateurs Windows. Pour macOS, il fallait jusqu’ici recourir à des outils tiers, comme par exemple « Tunnelblick ».

Avec Sophos Connect, Sophos présente désormais, comme d’autres fabricants, son propre client IPsec VPN. Sophos Connect prend aussi en charge Synchronized Security nativement. Cela fonctionnait certes déjà avec le client SSL VPN, mais devait être configuré en plus.

Voici une capture d’écran des paramètres du client Sophos Connect IPsec VPN sur la XG Firewall :

Sophos XG v17.5 - Sophos Connect IPSec VPN Client Admin Einstellungen

Sophos Connect est actuellement en bêta et le client est disponible pour Windows et macOS. Voici encore une capture d’écran du client Mac et du client Windows :

Sophos XG v17.5 - Sophos Connect IPSec VPN Client für Mac und Windows

Le nouveau client IPsec VPN de Sophos est accompagné d’un autre outil, « Sophos Connect Admin ». Il permet de modifier ultérieurement un fichier de configuration, par exemple pour adapter le nom d’hôte ou activer la 2FA.

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Avec le nouveau firmware SFOS 17.5, une promesse faite depuis longtemps est enfin tenue. La XG Firewall peut désormais aussi être administrée via la plateforme Sophos Central. C’est certainement la bonne direction, mais les fonctions restent encore limitées dans cette première version.

Pour connecter votre compte Central à la firewall, vous devez d’abord activer Central Management sur la XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall in Central verwalten

Mise à jour du 20.11.2018 Sophos Central a entre-temps reçu une mise à jour, grâce à laquelle le menu « Firewall Management » est désormais visible. En activant la fonction « Central Management » sur notre XG Firewall, nous avons pu intégrer l’appareil avec succès dans notre compte Sophos Central.

Lorsque l’on se connecte à la firewall via Sophos Central, on est ensuite connecté à la firewall en tant que « admin ». Ce qui est moins agréable, c’est qu’en théorie, d’autres utilisateurs ayant accès à Sophos Central Admin peuvent eux aussi accéder aux firewalls. Il suffit déjà qu’ils disposent d’une autorisation « Read-Only ». Nous espérons qu’il sera possible à l’avenir de contrôler plus précisément qui est autorisé à se connecter aux firewalls via Central.

Sophos Central Firewall Manager Link
Sophos Central Firewall Manager Dashboard
Sophos Central Firewall Manager Übersicht
Sophos Central Firewall Management

Gestion de la firewall via SSO

Si vous avez activé la fonction « Central Management » sur votre firewall, vous pouvez vous connecter directement depuis l’interface Central à la Sophos XG Firewall sans login supplémentaire.

Sauvegardes Central

Avec Central Management, les sauvegardes de votre firewall sont aussi déposées par défaut dans Central. Si vous ne le souhaitez pas, vous pouvez simplement désactiver cette fonction sur votre XG Firewall.

Sophos Firewall SFOS v17.5 - XG Firewall Backups in Sophos Central

Le « Light-Touch Deployment » est une fonctionnalité vraiment intéressante ! À l’avenir, il sera possible de configurer une nouvelle XG Firewall directement via Central. On passe d’abord par un petit assistant qui génère à la fin un fichier de configuration XG. Cette configuration peut ensuite être téléchargée et copiée sur une clé USB. Il suffit alors de démarrer la nouvelle firewall avec cette clé, et la configuration est transférée. Si tout a été fait correctement, on accède à la firewall via Sophos Central et l’on peut terminer les configurations restantes.

Sophos Firewall SFOS v17.5 - Light-Touch / Zero-Touch-Bereitstellung

Le « Light-Touch Deployment » nous facilitera nettement la mise en place de XG Firewalls pour nos clients. Pour notre service d’installation et de configuration, nous faisons habituellement livrer les firewalls dans nos bureaux et créons la configuration de base directement sur les appareils. Nous les envoyons ensuite au client, qui n’a plus qu’à raccorder la firewall au réseau. Avec le « Light-Touch Deployment », nous pourrons à l’avenir éviter l’envoi du matériel chez nous et gagner au moins une journée. 😎

Comme ce workflow nécessite un compte Central, nous ne pourrons probablement pas appliquer cette procédure à tous les nouveaux clients.

Synchronized Security – améliorations de Synchronized Application Control

Synchronized Application Control a été présenté pour la première fois avec la version 17.0, puis amélioré avec la version 17.1. Avec cette fonction, Sophos voulait proposer une solution à un problème fondamental : une grande partie du trafic réseau reste difficile à contrôler et peut traverser la firewall relativement discrètement, même avec le scanning HTTP/HTTPS. Avec Synchronized Application Control, l’endpoint indique à la firewall quel logiciel provoque précisément le trafic. Le trafic réseau peut ainsi être beaucoup mieux classifié.

Avec v17.5, les améliorations suivantes ont été mises en œuvre :

  • Afficher les applications système Windows et Mac dans une liste séparée.
  • Masquer des applications, puis utiliser une nouvelle option de filtre pour afficher ou masquer les applications cachées.
  • Une nouvelle option permettant de marquer des applications et de les retirer ainsi de la liste « nouvelle ».
  • Amélioration de l’affichage des chemins.

Sophos Firewall SFOS v17.5 - Synchronized Application Control Verbesserungen
Vous pouvez désormais choisir vous-même les colonnes dont vous avez réellement besoin.

Améliorations des Web Policies

Imaginez qu’un enseignant travaille en classe sur ordinateur et qu’une page web nécessaire soit bloquée. Dans une telle situation, il fallait jusqu’ici toujours appeler l’administrateur pour débloquer la page. Dans SFOS 17.5, une fonction des Web Policies permet désormais d’autoriser certains utilisateurs à ouvrir malgré tout des pages web bloquées. Vous pourriez donc donner à cet enseignant la possibilité de débloquer lui-même cette page, ce domaine ou cette catégorie via le User Portal.

Chaque règle reçoit un code qu’il peut ensuite communiquer à la classe. Sur la page bloquée, les élèves peuvent saisir ce code et accéder temporairement au site normalement interdit.

En tant qu’administrateurs, nous voyons ensuite dans une liste quels codes ont été générés et pouvons aussi les supprimer. L’admin peut toutefois définir des sites ou des catégories que les enseignants ne peuvent pas contourner.

Voici encore quelques petites nouveautés disponibles dans SFOS 17.5 pour les Web Policies :

  • Définir un moteur de recherche par défaut.
  • SafeSearch et restrictions YouTube.
  • Limitation de la taille des fichiers lors du téléchargement.
  • Restrictions de domaines Google App, toutes définies par politique.

Sophos Firewall SFOS v17.5 - Web Protection Allgemeine Einstellungen
😉. L’identification des utilisateurs sur ce système d’exploitation est différente de celle des autres systèmes et n’était jusqu’ici pas prise en charge par la XG Firewall. Avec v17.5, Sophos propose une extension Chromebook qui partage les ID utilisateur Chromebook avec la firewall. Cela permet l’application des politiques et le reporting utilisateur. Un serveur Active Directory synchronisé avec Google G Suite est toutefois nécessaire. L’extension Chrome est déployée depuis la console d’administration G Suite et offre un déploiement simple et transparent pour l’utilisateur.

Client Authentication Agent

Le XG Firewall Client Authentication Agent permet d’indiquer à la XG Firewall, sans Active Directory, quel utilisateur est actuellement connecté à l’ordinateur. Il suffit pour cela d’exécuter le Client Authentication Agent sur l’appareil.

Le client existe pour Windows, macOS, Linux 32/64 bits, iOS et Android. Le téléchargement se trouve dans le User Portal.

Sophos Firewall SFOS v17.5 - Client Authentication Agent Download im User Portal
Sophos Firewall SFOS v17.5 - Client Authentication Agent Taskliste

Améliorations de la gestion

Lorsque l’on crée une nouvelle règle de firewall, on peut l’attribuer directement à un groupe. Il existe aussi désormais une attribution automatique aux groupes, même si elle n’a pas vraiment bien fonctionné chez moi. Lors de mes tests, la firewall voulait attribuer automatiquement ma règle à un groupe où je ne voulais pas la placer.

Sophos XG v17.5 - Automatische Gruppenzuordnung
Protection contre le spoofing.

IPS Protection

  • Davantage de catégories pour mieux optimiser les règles, ce qui améliore les performances et la protection.

Wireless

  • Prise en charge du failover de serveurs RADIUS avec plusieurs serveurs.

IPsec

  • SD-WAN Failover et Failback
  • IPsec Failover – groupes redondants pour les connexions IPsec, afin de basculer vers un autre lien WAN en cas de failover. Dès que la connexion principale est à nouveau disponible, le retour arrière est également possible.

Qu’est-ce qui arrive dans les prochaines versions ?

Comme d’habitude, des Maintenance Releases paraîtront dans les semaines ou mois à venir et apporteront encore quelques fonctions.

Sophos Wireless APX Access Point Support

Les nouveaux APX Access Points de Sophos ne pouvaient jusqu’ici être utilisés qu’avec Sophos Central. La prise en charge par la XG Firewall est toutefois attendue avec MR1, qui devrait paraître environ 2 à 4 semaines après la release 17.5. L’APX 120, qui devrait alors être disponible pour moins de 200 CHF, n’arrivera qu’en janvier 2019.

Airgap Support

Certaines XG Firewalls ne sont pas connectées à Internet. L’activation de licence n’était jusqu’ici pas possible sur ces appareils. Il existe désormais une option permettant de charger la licence et les mises à jour sur la firewall au moyen d’une clé USB.

Plus d’informations

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.