Sophos Firewall v20 MR1: nuove funzionalità e miglioramenti

Sophos Firewall v20 MR1 porta con sé numerose nuove funzionalità e miglioramenti che aumentano ulteriormente sicurezza e prestazioni del firewall. Ecco le novità più importanti in dettaglio:

⚠️ Importante per tutti gli utenti RED 15 e RED 50 che non hanno ancora effettuato l’upgrade a SD-RED 20 o SD-RED 60. Il messaggio che i RED sono End of Life viene visualizzato sul firewall già da qualche tempo. Dopo questo aggiornamento, i vecchi modelli RED saranno ancora visibili in WebAdmin, ma non si connetteranno più al firewall.

Rilevamento automatico della lingua al login

Subito dopo il boot con il nuovo firmware Sophos Firewall v20 MR1 si nota la prima modifica. Se sia positiva o negativa può deciderlo ognuno per sé; per quanto mi riguarda, tendo più alla seconda.

La lingua dell’Admin Portal viene determinata automaticamente in base alle impostazioni del browser e salvata come cookie.

Sicurezza del firewall e controllo degli accessi migliorati

Con la nuova versione si ottiene un controllo ancora più preciso su quali servizi siano accessibili dalla WAN. Questo migliora in modo significativo la sicurezza del firewall. Ciò che non è visibile non può essere attaccato.

Sono state aggiunte nuove opzioni di configurazione per IPsec VPN e RED:

Nuovi servizi nell’elenco delle eccezioni ACL locali

Dietro una zona può però nascondersi ancora molta superficie di attacco, ed è quindi consigliabile definire l’accesso in modo ancora più preciso nelle “Local service ACL exception rule”.

I seguenti servizi sono stati aggiunti all’elenco delle eccezioni: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec e, last but not least, Chromebook, anche se io un Chromebook non l’ho mai visto se non su YouTube 🤷‍♂️.

Eccezioni di controllo degli accessi più flessibili

Con la nuova versione di Sophos Firewall v20 MR1, la flessibilità delle eccezioni di controllo degli accessi viene migliorata in modo significativo e ampliata con tre oggetti importanti.

• Supporto per host FQDN: Ora è possibile utilizzare nomi di dominio pienamente qualificati (FQDN) nelle regole di eccezione. Questo consente un controllo più preciso del traffico, permettendo di gestire l’accesso a domini specifici in base al nome anziché solo agli indirizzi IP. Aspettavo da tempo questa funzione (che era presente sulla UTM 🤐).
• Gruppi di host: La possibilità di definire e utilizzare gruppi di host offre maggiore flessibilità nella gestione delle regole di accesso. È possibile raggruppare più host e usare poi il gruppo nelle proprie regole di eccezione.
• Indirizzi MAC: Oltre agli indirizzi IP, ora è possibile includere anche indirizzi MAC nelle eccezioni di controllo degli accessi. Questo offre un ulteriore livello di controllo, particolarmente utile nelle reti con molti indirizzi IP dinamici o variabili.

Zero-Touch Deployment

Zero-Touch Deployment è una funzionalità avanzata di Sophos Firewall v20 MR1.

In molti casi, noi di Avanet sostituiamo i firewall esistenti 1:1 con nuovi, ed è importante che ciò avvenga rapidamente e con interruzioni minime. Di solito, preconfiguriamo il dispositivo nel nostro ufficio e poi lo inviamo al cliente, dove deve solo essere sostituito.

In passato, per Zero-Touch Deployment era necessaria una chiavetta USB per trasferire il file di configurazione al firewall. Con la nuova versione, tuttavia, questo non è più necessario, perché l’intera configurazione può avvenire tramite Sophos Central.

Ecco i passaggi e i miglioramenti in dettaglio:

1. Inserire il numero di serie: Il numero di serie del nuovo firewall viene inserito in Sophos Central. Serve a identificare e inizializzare il firewall.
2. Definire la configurazione di base: Viene definita una configurazione di base che viene applicata al primo avvio del firewall. Include impostazioni importanti come fuso orario, hostname del firewall e configurazioni di rete per LAN e WAN.
3. Stabilire la connessione Internet: Il firewall viene semplicemente collegato alla rete presso la sede del cliente, si connette automaticamente a Sophos Central e scarica la configurazione predefinita.
4. Attivare Firewall Management: Dopo la connessione a Sophos Central, il firewall viene configurato automaticamente ed è pronto per l’uso. Gli amministratori possono quindi effettuare ulteriori impostazioni e fine tuning direttamente tramite Sophos Central.

Questo metodo riduce significativamente il tempo e la complessità dell’installazione. Inoltre, il firewall può essere utilizzato immediatamente non appena è connesso a Internet, accelerando l’intero processo.

Vantaggi di Zero-Touch Deployment

• Deployment rapido: Ideale per le sedi in cui non è presente personale IT. Il firewall può essere configurato e reso pronto per l’uso immediatamente dopo la connessione alla rete.
• Gestione centralizzata: Tutti i passaggi di configurazione vengono eseguiti tramite Sophos Central, consentendo una gestione uniforme e coerente.
• Interruzioni minime: Poiché la configurazione è predefinita e applicata automaticamente, i tempi di inattività sono minimi, il che è particolarmente vantaggioso negli ambienti business-critical.
• Semplice personalizzazione: Dopo la configurazione iniziale, ulteriori adattamenti e impostazioni possono essere effettuati centralmente senza che un tecnico debba essere presente sul posto.

Con Zero-Touch Deployment, Sophos offre una soluzione efficiente per il deployment e la configurazione dei firewall, che consente di risparmiare tempo e massimizzare la disponibilità della rete.

• Sophos KB: Add Sophos Firewall with Zero Touch

Scaricare i file di log per il troubleshooting

Con Sophos Firewall v20 MR1 è ora possibile scaricare singoli file di log direttamente dal firewall. Questa funzione semplifica il troubleshooting, perché non è più necessario accedere al firewall tramite una connessione SSH per ottenere i dati necessari.

Nel menu principale Diagnostics si trova l’opzione Troubleshooting Logs. Qui gli amministratori possono cercare log specifici e selezionare più log contemporaneamente. Sophos Firewall mette quindi a disposizione per il download un file ZIP contenente tutti i log selezionati. Questi file possono essere aperti e analizzati su un client locale.

Ogni connessione IPsec site-to-site e ogni singola connessione RED riceve il proprio log. Questo consente un’analisi dettagliata e mirata senza dover ricorrere a metodi macchinosi. La gestione e la manutenzione del firewall diventano così più efficienti e più semplici.

Campi descrizione per gli oggetti

Tutti gli oggetti in “Host & Services” ricevono ora un campo descrizione. Questo include IP host, gruppi di IP host, indirizzi MAC e altri oggetti di rete. La possibilità di aggiungere una descrizione dettagliata a ogni oggetto migliora in modo significativo la documentazione.

Questa funzione consente di salvare informazioni importanti direttamente nel firewall. Ad esempio, quando si crea un nuovo IP host, è possibile aggiungere subito una descrizione che spieghi lo scopo e l’utilizzo dell’host. Questo è particolarmente utile quando più amministratori gestiscono il firewall o quando è necessaria una documentazione precisa.

Una descrizione potrebbe contenere anche link a ulteriori informazioni, ad esempio una knowledge base o un documento PDF con dettagli specifici sull’oggetto in questione. Questo aumenta la tracciabilità e facilita le attività amministrative future. Un service port utilizzato solo per una determinata applicazione può così essere corredato direttamente da informazioni e contesto rilevanti, migliorando in modo significativo efficienza e chiarezza nella gestione della rete.

La descrizione è anche indicizzata per consentire la ricerca.

Generative AI Firewall Assistant

Oggi, come azienda, non sei più davvero cool se non menzioni l’AI. Qualche anno fa era la blockchain.

È integrato un nuovo Sophos Assistant basato su generative AI per aiutare nella gestione del firewall. Si può porre all’assistente qualsiasi domanda in linguaggio naturale e ricevere istruzioni e link a risorse utili.

Non male per una prima versione, ma credo che ci immaginiamo l’AI in modo diverso da una ricerca leggermente migliore, no?

Aggiornamento OpenVPN alla v2.6.0

Il componente OpenVPN di Sophos Firewall è stato aggiornato alla versione 2.6.0. Questo migliora sicurezza e prestazioni per SSL VPN. Le Site-to-Site SSL VPN con versioni precedenti non sono più supportate. Si consiglia di aggiornare alla v20.0 MR1 o di utilizzare soluzioni VPN alternative come IPsec.

Inoltre, l’ultima versione del client Sophos Connect (v2.3) può essere scaricata tramite il portale VPN:

• Installare il client Sophos Connect SSL VPN (Windows) – SFOS
• Comunità Sophos: Sophos Connect 2.3 Update Released
• Comunità Sophos: Sophos Connect News and Release Notes

Note importanti sulla compatibilità SSL VPN

Con l’upgrade a OpenVPN 2.6.0 in questa versione, i tunnel SSL VPN non vengono più stabiliti con i seguenti client e versioni firewall:

• SFOS v18.5 e versioni precedenti: Le Site-to-Site SSL VPN non possono più essere stabilite. Si consiglia di aggiornare tutti i firewall interessati alla v20.0 MR1 o di utilizzare tunnel IPsec site-to-site o RED.
• Legacy SSL VPN Client: I tunnel Remote Access SSL VPN non vengono più stabiliti con il client SSL VPN obsoleto. Utilizzare Sophos Connect Client o client di terze parti come OpenVPN Client.
• UTM9 OS: Le Site-to-Site SSL VPN non possono più essere stabilite tra UTM9 OS e SFOS v20.0 MR1. Si consiglia di migrare questi dispositivi alla v20.0 MR1 o di utilizzare tunnel IPsec site-to-site o RED.

Miglioramenti in SD-WAN e VPN

La nuova versione di Sophos Firewall v20 MR1 introduce importanti miglioramenti nell’area SD-WAN e VPN, aumentando in modo significativo sia l’affidabilità sia le prestazioni.

• Interruzioni minime del traffico: La disponibilità dei gateway durante HA failover e riavvii dei dispositivi è stata migliorata di quattro volte. Questo significa che, in caso di guasto di un gateway o di riavvio di un dispositivo, le interruzioni del traffico dati vengono notevolmente ridotte, con una connessione di rete più stabile.
• Nuovo client OpenVPN 3.0: Il nuovo client OpenVPN 3.0 per SSL VPN di accesso remoto è ora disponibile per il download tramite il portale VPN. Questo client offre funzionalità di sicurezza migliorate e una maggiore compatibilità con vari sistemi operativi, semplificando la configurazione e la gestione delle connessioni VPN e migliorando l’esperienza utente.
• Supporto IPsec Phase-1 IKEv2: È stato aggiunto il supporto per cifrari GCM e Suite-B, migliorando interoperabilità e throughput nelle connessioni IPsec. Questi moderni metodi di cifratura garantiscono una trasmissione dei dati più sicura ed efficiente tra i dispositivi di rete.
• Miglioramenti DHCP Busybox: Il lease time predefinito per DHCP è stato impostato a 30 secondi per eliminare problemi di connessione WAN. Tempi di lease più brevi significano che gli indirizzi IP vengono assegnati e rinnovati più rapidamente, portando a una connessione di rete più stabile e affidabile, soprattutto in ambienti con connessioni che cambiano spesso.

Installare Sophos Firewall v20 MR1

Per installare la versione firmware più recente è necessaria una licenza Enhanced Support, a meno che il firewall non sia stato appena acquistato e disponga ancora di una licenza di valutazione: Gli aggiornamenti di Sophos Firewall non saranno più gratuiti in futuro

Questa guida descrive come installare la versione più recente sul firewall e scaricare l’immagine: Aggiornamento del firmware su Sophos Firewall

Ulteriori informazioni sulla release sono disponibili nella Comunità Sophos - Sophos Firewall OS v20 MR1 is Now Available