Sophos Firewall v19.5 – Tutte le novità di questo aggiornamento
Sono passati alcuni mesi dall’ultima volta che ho avuto il tempo di scrivere un articolo di aggiornamento su SFOS. Le cose andranno di nuovo meglio in futuro. Ecco perché sono ancora più entusiasta di presentare le nuove funzioni e i miglioramenti di SFOS 19.5.
L’aggiornamento riguarda tutti i Sophos Firewalldelle serie SG, XG e XGS e anche le appliance virtuali o le istanze su piattaforme cloud come Azure o AWS.
I seguenti modelli non riceveranno l’aggiornamento in quanto non dispongono di 4 GB di RAM: XG 85(w), XG 105(w), SG 105(w)
La vulnerabilità CVE-2022-3236 è stata chiusa
Una vulnerabilità di code injection nel portale utente e in WebAdmin consente a un utente malintenzionato di eseguire codice in Sophos Firewall, versione v19.0 MR1 e precedenti. CVE-2022-3236
Ricerca di host e servizi
In SFOS v19, la ricerca degli oggetti nelle regole del firewall è stata notevolmente migliorata. In alcuni punti, tuttavia, la funzione di ricerca era ancora assente, come nel caso degli oggetti host e servizi. Qui è possibile cercare nomi, porte o indirizzi IP, il che facilita la ricerca di oggetti duplicati.
L’eliminazione di oggetti duplicati quando sono ancora in uso non è ancora così facile, perché non si ottiene un suggerimento su dove l’oggetto è utilizzato.
Sophos ha presentato la nuova funzione in modo più dettagliato in un video di 2 minuti.
Azure AD SSO per il login a Webadmin
Azure AD è disponibile da tempo su Sophos Central. Con la versione 19.5, l’integrazione di Azure Active Directory (Azure AD) è ora disponibile in Sophos Firewall per il single sign-on (SSO) sulla console di amministrazione web.
L’integrazione con Azure AD consente anche la gestione dinamica degli accessi di ruolo e di gruppo. Ciò significa che è possibile creare i propri profili di diritti sul firewall o utilizzare quelli esistenti e quindi assegnarli a un utente su Azure AD.
Questo video spiega come impostare la pagina Azure e Sophos Firewall.
L’integrazione di Azure AD per il login dell’amministratore web è sicuramente un ottimo inizio. Sarà entusiasmante quando anche gli utenti dell’accesso remoto (SSLVPN o IPsec) e il portale utenti funzioneranno con esso.
High Availability miglioramenti
C’è anche un ottimo miglioramento per i cluster HA. Una piccola novità è, ad esempio, l’informazione al momento della creazione del cluster che la licenza deve essere disponibile sul dispositivo primario o, nel caso di un cluster attivo-attivo, che in realtà non utilizziamo quasi mai, la licenza deve essere disponibile su entrambi i dispositivi.
È ora possibile configurare più collegamenti HA non solo tramite una connessione diretta, ma anche tramite LAG e VLAN.
Le interfacce VLAN possono ora essere aggiunte anche durante il monitoraggio delle interfacce.
La pagina di stato fornisce ora informazioni molto più importanti. È visibile su quale nodo è attivata la licenza. La data e l’ora dell’ultima modifica di stato del cluster. È possibile assegnare un nome e non dover più ricordare il numero di serie.
Il widget nel Centro di controllo è stato spostato in alto a destra e mostra anche maggiori informazioni sul cluster. Il nome della scheda ora mostra anche a quale nodo ci si sta connettendo, anche se preferirei vedere il nome dell’host del firewall, dato che comunque non mi collego mai al nodo2.
Anche in questo caso, è disponibile un video che mostra questi miglioramenti.
SD-WAN Load Balancing
SD-WAN è disponibile dalla versione 19 e nella nuova versione è possibile creare un bilanciamento del carico nei profili. Come metodi sono disponibili Round Robin o Session Persistence.
Round Robin
Le connessioni vengono distribuite alle connessioni selezionate in base alla ponderazione. Nella schermata, entrambi i gateway hanno attualmente una ponderazione di 1, il che significa che le connessioni sono distribuite uniformemente su entrambi i gateway.
Persistenza della sessione
Con Session Persistence, è possibile definire se il traffico deve essere suddiviso per IP di origine, IP di destinazione, entrambi contemporaneamente o per connessione.
Questo rinnovo si applica al profilo SD-WAN. È ovviamente possibile creare più profili e utilizzarli in base ai requisiti della strategia di instradamento basata sull’applicazione, sulla sorgente, sulla destinazione o sul servizio.
Maggiori prestazioni per tutti i firewall Sophos XGS
Ogni appliance Sophos XGS ha un’architettura a doppio processore. Sophos ha accelerato alcune connessioni del doppio rispetto alla serie XG quando è stata lanciata la serie XGS. È stato annunciato che con i prossimi aggiornamenti software i processi saranno scaricati dalla CPU alla NPU per migliorare le prestazioni. Con la versione 19.5, il processore Xstream Flow gestisce un maggior numero di processi e li accelera. Grazie a questo sviluppo, il numero di tunnel VPN IPsec sui modelli XGS è stato raddoppiato in questa release.
Nei modelli XGS 4300, 4500, 5500 e 6500, le connessioni crittografate TLS sono accelerate sul FastPath, rendendo l’ispezione profonda dei pacchetti ancora più performante.
Altri piccoli miglioramenti nella v19.5
OSPFv3
Il nuovo motore di routing dinamico supporta OSPFv3. Tra le novità di OSPFv3 vi sono il supporto per IPv6, le dimensioni ridotte delle intestazioni e l’abbandono dell’uso di MD5 per l’autenticazione. OSPFv3 abbandona completamente il proprio supporto per l’autenticazione e si affida invece al più flessibile framework IPsec di IPv6.
Log
La migliore archiviazione dei file di log consente una risoluzione dettagliata dei problemi.
Supporto hardware
Supporto migliorato per le interfacce 40G con rilevamento automatico delle configurazioni di porte estese sui modelli XGS 5500 e 6500.
Il supporto hardware per i moduli 5G, che era elencato nel PAA, ora non è più incluso nella versione finale v19.5. Credo che i moduli stiano arrivando un po’ più tardi del previsto.
Video sulle innovazioni di Sophos Firewall OS v19.5
Come si può vedere, Sophos si sforza di mostrare le nuove funzioni in video, il che ci sembra molto interessante. Spesso c’erano nuove funzionalità che si perdevano nelle note di rilascio e venivano notate solo da poche persone. Oltre al video sulle singole funzioni, è disponibile anche un video su Sophos Firewall 19.5 nel suo complesso.
Gli aggiornamenti non saranno più gratuiti per molto tempo.
Forse le informazioni non sono arrivate a tutti: Gli aggiornamenti di Sophos Firewall non saranno più gratuiti in futuro
Ora abbiamo il primo aggiornamento dalla versione 19.0 MR1 e il contatore degli aggiornamenti gratuiti inizia a tre. Dopo l’installazione, o più precisamente quando si carica la nuova immagine del firmware 19.5, il contatore è a due.
Se si esaminano ora le novità di questo aggiornamento, che è indubbiamente un aggiornamento importante, si può già notare che sono in arrivo molte nuove funzioni che rendono Sophos Firewall ancora migliore. Questo sviluppo deve essere pagato e, come sapete dalle app per smartphone, molti sviluppatori stanno passando al modello di abbonamento per essere pagati per questo sviluppo.
Di conseguenza, se il contatore del firmware è a zero, è necessaria una licenza Enhanced Support, inclusa singolarmente o in un pacchetto di licenze come Standard Protection, Xstream Protection o Epic Protection.