Vai al contenuto
Avanet
Sophos Firewall v19.5 - Tutte le nuove funzioni di questo aggiornamento

Sophos Firewall v19.5 - Tutte le nuove funzioni di questo aggiornamento

Sono passati alcuni mesi dall’ultima volta che ho avuto il tempo di scrivere un articolo su un aggiornamento SFOS. In futuro riprenderò a farlo con più regolarità. Per questo sono ancora più felice di presentare le nuove funzioni e i miglioramenti di SFOS 19.5.

L’aggiornamento è disponibile per tutti i Sophos Firewall delle serie SG, XG e XGS, nonché per le appliance virtuali o le istanze su piattaforme cloud come Azure o AWS.

I seguenti modelli non riceveranno l’aggiornamento perché non dispongono di 4 GB di RAM: XG 85(w), XG 105(w), SG 105(w)

La vulnerabilità CVE-2022-3236 viene risolta

Una vulnerabilità di code injection nel portale utente e nel WebAdmin consente a un attaccante di eseguire codice nel Sophos Firewall, versione v19.0 MR1 e precedenti. CVE-2022-3236

Ricerca di Hosts e Services

In SFOS v19 la ricerca degli oggetti nelle regole firewall è stata migliorata in modo significativo. In alcuni punti, però, la funzione di ricerca mancava ancora, ad esempio negli oggetti Hosts e Services. Qui è possibile cercare per nome, porte o indirizzi IP, semplificando anche l’individuazione di oggetti duplicati.

Eliminare oggetti duplicati quando sono ancora in uso non è ancora così semplice, perché non viene indicato dove l’oggetto venga utilizzato.

Ricerca Hosts e Services Sophos Firewall v19.5
Ricerca Hosts e Services Sophos Firewall v19

Azure AD SSO per il login Webadmin

Azure AD è disponibile su Sophos Central da tempo. Con la v19.5, l’integrazione di Azure Active Directory (Azure AD) arriva ora sul Sophos Firewall per il Single Sign-on (SSO) sulla console Webadmin.

L’integrazione di Azure AD consente anche una gestione dinamica degli accessi basata su ruoli e gruppi. È quindi possibile creare profili di autorizzazione personalizzati sul firewall oppure utilizzare quelli già esistenti e assegnarli a un utente in Azure AD.

Integrazione Sophos Firewall v19.5 Azure AD
Integrazione Sophos Firewall v19.5 Azure AD per l’accesso Webadmin

L’integrazione di Azure AD per il login Webadmin è sicuramente un ottimo inizio. Diventerà interessante quando anche gli utenti di Remote Access (SSL VPN o IPsec) e il portale utente potranno utilizzarla.

Miglioramenti High Availability

Un miglioramento davvero utile riguarda anche i cluster HA. Una piccola novità è, ad esempio, l’avviso durante la creazione del cluster: la licenza deve essere presente sul Primary Device oppure, in un cluster Active-Active, che in realtà usiamo quasi mai, su entrambe le appliance.

Sophos Firewall 19.5 Alta Disponibilità crea cluster
Creazione del cluster di alta disponibilità Sophos Firewall v19.5

Ora è possibile configurare più link HA, non solo tramite una connessione diretta, ma anche tramite LAG e VLAN.

Le interfacce VLAN possono ora essere aggiunte anche all’Interface Monitoring.

Sophos Firewall 19.5 Alta Disponibilità Pagina di stato
Pagina di stato di alta disponibilità Sophos Firewall v19.5

La pagina di stato ora fornisce molte più informazioni importanti. È visibile su quale nodo è attivata la licenza, incluse data e ora dell’ultimo cambio di stato del cluster. Si può assegnare un nome e non è più necessario ricordare il numero di serie.

Sophos Firewall 19.5 Widget di alta disponibilità
Widget del cluster di alta disponibilità Sophos Firewall v19.5

Il widget nel Control Center è stato spostato in alto a destra e mostra anche più informazioni sul cluster. Il nome della scheda indica ora anche a quale nodo si è connessi, anche se qui preferirei vedere il nome host del firewall, dato che comunque non mi collego mai a Node2.

SD-WAN Load Balancing

Dalla v19 è disponibile SD-WAN e nella nuova versione è possibile configurare il Load Balancing nei profili. I metodi disponibili sono Round Robin e Session Persistence.

Round Robin

Le connessioni vengono distribuite sulle connessioni selezionate in base alla ponderazione. Nello screenshot entrambi i gateway hanno attualmente un peso pari a 1, quindi il traffico viene distribuito in modo uniforme su entrambi.

Session Persistence

Con Session Persistence si può definire se il traffico debba essere suddiviso per Source IP, Destination IP, entrambi contemporaneamente o per connessione.

Opzioni Sophos Firewall SD-WAN Load Balancing
Opzioni Sophos Firewall SD-WAN Load Balancing

Questa novità riguarda il profilo SD-WAN. Naturalmente è possibile creare più profili e utilizzarli in base ai requisiti della strategia di routing, per applicazione, sorgente, destinazione o servizio.

Più prestazioni per tutti i Sophos XGS Firewall

Ogni appliance Sophos XGS ha un’architettura a doppio processore. Al lancio della serie XGS, Sophos aveva già accelerato alcune connessioni fino al doppio rispetto alla serie XG. Era stato annunciato che, con i successivi aggiornamenti software, alcuni processi sarebbero stati spostati dalla CPU alla NPU per migliorare le prestazioni. Con la versione 19.5, altri processi vengono gestiti e accelerati dal processore Xstream Flow. In questo release, grazie a questa evoluzione, il numero di tunnel VPN IPsec sui modelli XGS è stato semplicemente raddoppiato.

Sui modelli XGS 4300, 4500, 5500 e 6500, le connessioni cifrate TLS vengono accelerate sul FastPath, rendendo la Deep Packet Inspection ancora più performante.

Altre piccole migliorie in v19.5

OSPFv3

Il nuovo motore di routing dinamico offre supporto per OSPFv3. Tra le novità di OSPFv3 figurano il supporto per IPv6, header più piccoli e l’abbandono di MD5 per l’autenticazione. OSPFv3 rinuncia completamente a un proprio supporto di autenticazione e si affida invece al più flessibile framework IPsec di IPv6.

Log

L’archiviazione migliorata dei file di log consente una risoluzione dei problemi approfondita.

Supporto hardware

Supporto migliorato per interfacce 40G con rilevamento automatico delle configurazioni di porta estese sui modelli XGS 5500 e 6500.

Il supporto hardware per i moduli 5G, che era elencato nell’EAP, non è più presente nella versione finale v19.5. Sospetto quindi che i moduli arriveranno un po’ più tardi del previsto.

Video sulle innovazioni in Sophos Firewall OS v19.5

Come potete vedere, Sophos si sta impegnando molto per mostrare le nuove funzioni in video, cosa che apprezziamo molto. Spesso c’erano novità che si perdevano nelle Release Notes e che solo pochi notavano. Oltre ai video sui singoli feature inseriti sopra, c’è anche un video su Sophos Firewall 19.5 nel suo complesso.

Gli aggiornamenti non saranno più gratuiti a lungo

Forse l’informazione non è arrivata a tutti: Gli aggiornamenti di Sophos Firewall non saranno più gratuiti in futuro

Ora abbiamo quindi il primo aggiornamento dalla versione 19.0 MR1 e il contatore degli aggiornamenti gratuiti parte da tre. Dopo l’installazione, più precisamente durante il caricamento della nuova immagine firmware 19.5, scende a due.

Se si guardano le novità di questo aggiornamento, che è certamente un aggiornamento più ampio, si vede però che arrivano molte nuove funzioni che rendono Sophos Firewall ancora migliore. Questo sviluppo va finanziato e, come si vede anche nelle app per smartphone, molti sviluppatori passano al modello in abbonamento proprio per poter sostenere questi costi.

Di conseguenza, quando il contatore firmware arriva a zero, serve una licenza Enhanced Support, acquistabile singolarmente oppure inclusa in un bundle di licenze come Standard Protection, Xstream Protection o Epic Protection.

Contatore degli aggiornamenti firmware gratuiti di Sophos Firewall
Contatore Sophos Firewall per aggiornamenti gratuiti
Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.