Aller au contenu
Avanet
Sophos XG Update v17 - Toutes les nouveautés en un coup d’œil

Sophos XG Update v17 - Toutes les nouveautés en un coup d’œil

16. OCTOBRE 2017

Bientôt, le nouveau SFOS sortira en version 17 ! J’ai déjà pu jeter un œil au Release Candidate et je vous ai résumé ici les nouveautés les plus importantes.

Dans cet article, je vous montre quelles nouvelles fonctionnalités le SFOS v17 apportera. Nous parlons encore du « Release Candidate », mais la nouvelle version sera disponible pour tous d’ici quelques semaines seulement.

6 améliorations majeures avec la mise à jour SFOS v17

Si vous n’avez pas envie de tout lire, vous pouvez aussi regarder la vidéo suivante de Sophos, qui présente brièvement les fonctionnalités de la XG v17 en moins de 4 minutes :

1. Synchronized App Control

Une innovation totalement inédite est la Synchronized App Control. Jusqu’à présent, le XG Firewall ne pouvait reconnaître les applications qu’à l’aide de signatures. Il était ensuite possible, par exemple, de les bloquer ou, au contraire, de les prioriser et de leur réserver une bande passante garantie (QoS). Mais une grande partie du trafic restait non classifiée. Cela concernait notamment des programmes développés en interne ou inconnus, ainsi que des applications cherchant volontairement à passer inaperçues en n’utilisant aucune signature.

Avec la v17, Sophos a désormais considérablement accru sa capacité à identifier un plus grand nombre d’applications. Cette fonctionnalité nécessite toutefois le « Synchronized Security ». Concrètement, cela signifie que vous avez besoin de « Sophos Central Endpoint Advanced » ou de Intercept X pour vos postes de travail, et de « Sophos Central Server Protection Advanced » pour vos serveurs.

Avec Sophos Central sur les endpoints, vous permettez à votre XG Firewall de communiquer avec eux. Sophos appelle cela le « Security Heartbeat ». Le pare-feu peut ainsi interroger le poste pour savoir quels processus sont actifs sur le système, et l’endpoint lui renvoie ces informations. Il devient alors possible de classifier également le trafic auparavant non identifié. Voici à ce sujet une autre vidéo :

2. Gestion des règles de pare-feu

Tous ceux qui possèdent une XG connaissent l’écran actuel de gestion des règles de pare-feu. Celui-ci devient très vite confus et, jusqu’ici, il fallait se rabattre sur le nom de la règle pour simuler une sorte de « regroupement ». Désormais, les règles sont affichées de manière plus compacte, peuvent être groupées et les informations les plus importantes apparaissent directement dans la vue d’ensemble. La vidéo suivante vous montre à quoi cela ressemble :

3. Policy Test Simulator

Comme sur l’UTM, le SFOS dispose désormais lui aussi d’un Policy Tester. Vous pouvez ainsi tester vos règles de pare-feu ou de proxy Web sans devoir vous connecter au client avec un outil de prise de contrôle à distance. La vidéo suivante vous montre comment fonctionne le « Policy Test Simulator » :

4. Blocage par mots-clés dans le proxy Web

Certaines organisations, en particulier les établissements scolaires, ont souvent eu par le passé le besoin de bloquer un site dès qu’un mot donné y apparaissait. Dans la nouvelle v17, il est désormais possible de créer une liste de mots-clés et de la remplir de termes présumés « malveillants ». Si, à l’avenir, un tel mot figure sur une page Web, vous pouvez soit consigner cet accès dans les logs, soit bloquer directement la page. Là encore, une vidéo illustre la fonctionnalité :

5. Assistant de configuration XG Firewall

La mise en service et la configuration initiale d’une XG Firewall n’étaient pas particulièrement abouties avec l’ancien assistant (Setup Wizard). Le processus était parfois assez laborieux. Sophos a heureusement retravaillé le Setup Wizard pour la v17 et y a apporté plusieurs améliorations :

  • Le mot de passe doit désormais être modifié dès le début. C’est plutôt logique : plus aucune XG Firewall ne doit se connecter à Internet avec « admin » comme nom d’utilisateur et mot de passe.
  • Le design a été, à mon sens, nettement modernisé.
  • La sauvegarde peut être restaurée immédiatement.
  • Une connexion Internet n’est plus nécessaire.
  • L’ID Sophos et la licence peuvent aussi être renseignées ultérieurement. Dès que vous démarrez l’appliance, vous pouvez l’installer avec une licence d’évaluation de 30 jours, sans devoir joindre au préalable un serveur de licences.

Si vous disposez déjà d’une connexion Internet, trois options s’offrent à vous :

  1. Activer une licence d’évaluation de 30 jours
  2. Importer un fichier de licence UTM (migration UTM vers SFOS)
  3. Saisir une clé de licence XG

Prenez le temps d’examiner le nouveau Setup Wizard plus en détail dans cette vidéo :

6. Unified Log Viewer

Lorsqu’un problème survient quelque part sur le réseau, un simple coup d’œil aux logs du pare-feu suffit dans la plupart des cas. Or, le Log Viewer de la v16.5 était vraiment catastrophique, et l’on s’en rend pleinement compte lorsqu’on découvre le nouveau « Unified Log Viewer ». Absolument tous les aspects ont été améliorés ! Le nouveau Log Viewer est de loin ma fonctionnalité préférée de cette v17 ! Regardez-le, vous allez l’adorer !

  • meilleure lisibilité
  • toutes les informations directement dans le log
  • recherche et filtrage sur l’ensemble des logs
  • recherche dans les logs plus anciens

Autres petites améliorations

  • Nouveaux assistants pour la configuration de NAT, IPS, Web et VPN
  • VPN IKEv2
  • Meilleure compatibilité IPSec VPN avec d’autres systèmes
  • FQDN génériques (wildcards) - permettent d’autoriser très facilement des services Cloud
  • Améliorations NAT - prise en charge de nouveaux protocoles, plus seulement TCP et UDP
  • Email Protection - Smarthost, greylisting et vérification des destinataires (Recipient Verification)
  • Haute disponibilité sur Microsoft Azure

Vous pouvez consulter toutes les nouveautés en détail dans la fiche technique suivante de Sophos : XG Firewall : What’s New in v17

Conclusion

Le nouveau SFOS v17 convainc à la fois par des fonctionnalités entièrement nouvelles et par des améliorations très importantes des fonctions existantes. Cette mise à jour change complètement notre regard sur le XG Firewall. Alors que nous le recommandions jusqu’ici plutôt pour de petits projets, la situation est désormais toute autre. Le Log Viewer et la nouvelle vue d’ensemble des règles de pare-feu sont surtout essentiels pour une configuration propre et un troubleshooting rapide, ce qui était pratiquement impossible jusqu’ici dans les réseaux de plus grande taille.

La v16 constituait déjà une avancée majeure par rapport à la v15 ; nous avions donc commencé à privilégier la XG par rapport à l’UTM sur les projets de moindre envergure. Mais désormais, pour nous, c’est très clairement : « XG First », ce qui, à strictement parler, est inexact, puisqu’il faudrait dire « SFOS First ». :)

Si vous possédez un pare-feu SG avec le système UTM, vous pouvez désormais équiper votre matériel du nouveau SFOS en toute sérénité. Les licences peuvent être reprises, mais pas la configuration. De notre point de vue, ce n’est pas dramatique : nous avons déjà réalisé plusieurs migrations d’UTM vers SFOS et, dans tous les cas, il est sain de remettre complètement à plat la configuration de temps en temps.

Plus d’informations sur SFOS v17 :

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.