Vai al contenuto
Avanet
Sophos Firewall v21.5 MR1: sicurezza e stabilità al centro

Sophos Firewall v21.5 MR1: sicurezza e stabilità al centro

Sophos Firewall v21.5 MR1 raccoglie numerosi miglioramenti in termini di sicurezza, stabilità e affidabilità. A questi si aggiungono novità mirate come OAuth 2.00 per le notifiche e-mail, la regolazione fine di NDR e l’hardening dell’alta disponibilità.

Nuove funzionalità in SFOS v21.5 MR1

OAuth 2.00 per le notifiche e-mail

Le notifiche e-mail possono essere protette con OAuth 2.00 per Gmail e Microsoft 365. L’autenticazione tramite password viene progressivamente dismessa. I vantaggi: superficie di attacco ridotta, gestione centralizzata dei token e accessi tracciabili. La configurazione si trova in Administration > Notification settings. Per Gmail è necessaria una registrazione dell’app nella Google Cloud Console (Client ID, Client Secret). La firewall utilizza refresh token per l’autenticazione persistente. OAuth 2.00 consente inoltre l’uso di policy, autenticazione multifattore e revoca centralizzata dei token compromessi. Conviene migrare per tempo i profili SMTP, effettuare un invio di test e configurare un mail server di fallback; le policy MFA andrebbero verificate e documentate.

Report pianificati localizzati

I report PDF pianificati vengono generati nella lingua utilizzata al login nel Webadmin. Questo riduce il lavoro di traduzione e facilita il coordinamento con i reparti specialistici. I report risultano più coerenti e possono essere utilizzati nelle riunioni di management senza ulteriore preparazione.

NDR Essentials: Selezione data center

La regione di analisi per NDR Essentials può essere scelta liberamente. Per impostazione predefinita viene utilizzata la regione con la latenza più bassa. Questo consente di soddisfare requisiti di data residency e compliance. Nei setup multi-regione la scelta corretta è decisiva per evitare flussi di dati indesiderati. È utile documentare la regione scelta, preparare eventuali cambi pianificati, adattare il monitoring e tenere conto delle direttive sulla protezione dei dati.

NDR Essentials: Threat Score nei log ATR

Il Threat Score compare nei log di Active Threat Response. Questo facilita prioritizzazione, correlazione e reporting in SIEM e XDR. Gli allarmi basati sul punteggio consentono una classificazione più precisa degli incidenti.

Sophos Firewall v21.5 MR1 - Posizione Data center NDR Essentials
Sophos Firewall v21.5 MR1 - Posizione Data Center NDR Essentials

Syslog: device_name corrisponde al nome host

Il campo device_name contiene il nome host configurato della firewall. Questo rende più semplice attribuire i log in ambienti con più dispositivi. Le integrazioni con XDR e SIEM diventano più robuste.

Alta disponibilità protetta

Le passphrase robuste diventano obbligatorie; la generazione automatica non viene più utilizzata. Inoltre, l’accoppiamento HA verifica l’SSH Host Key del partner. Questo rende più difficili gli attacchi Man-in-the-Middle ed evita scambi accidentali tra cluster. Messaggi di errore migliorati aiutano nella diagnosi.

Modalità LINCE in HA

LINCE è una certificazione di sicurezza statale spagnola che definisce requisiti crittografici minimi. La modalità LINCE impone sulla firewall una selezione consentita di algoritmi e lunghezze delle chiavi e influisce, tra le altre cose, sulle impostazioni SSH e VPN. L’attivazione avviene tramite CLI e riavvia il servizio SSH. Negli ambienti HA la modalità LINCE deve essere identica su entrambi i dispositivi prima della configurazione HA. Durante il restore di backup HA, lo stato LINCE dei dispositivi di destinazione deve corrispondere al backup; in caso contrario il ripristino viene rifiutato oppure la modalità viene adattata.

Route-based VPN: XFRM-MTU automatica

La firewall calcola automaticamente una MTU adattata per le interfacce XFRM sottraendo l’overhead IPsec. Obiettivo: meno frammentazione e connessioni TCP più stabili. Il valore è modificabile. Dopo l’upgrade è opportuno verificare la MTU, rifinirla in base al provider se necessario e testare le applicazioni critiche.

Colonne tabella personalizzabili

Molte aree in Sophos Firewall v21.5 MR1 supportano colonne ridimensionabili liberamente, ad esempio Network, rotte SD-WAN, Gateways o Local Service ACL. Le larghezze vengono salvate nel browser e riprese nelle sessioni successive.

Voucher Hotspot: Ordinamento e filtro

I voucher possono essere ordinati per data di creazione e compaiono subito in alto. Questo facilita emissione e controllo.

SNMP-MIB: conformità RFC migliorata

Le MIB sono più strettamente allineate agli RFC per SNMPv1, v2 e v3. Questo migliora la compatibilità con gli strumenti di monitoring e riduce gli errori di parsing.

Utenti live: unità dati unificate

I volumi di dati vengono visualizzati in modo uniforme in KB, MB e GB. Questo facilita i confronti e riduce i fraintendimenti.

Importazione gruppi da AD e Entra ID

Durante l’importazione di gruppi, L2TP e PPTP non vengono più attivati automaticamente. Il Remote Access resta controllabile in modo esplicito. Così si evitano superfici di attacco indesiderate.

Active Directory SSO: Windows Server 2025

Single Sign-On supporta ora Windows Server 2025 tramite NTLM e Kerberos. Questo facilita l’integrazione in ambienti AD moderni e setup ibridi con Azure AD.

Host di sistema RED: /32 corretto

Gli oggetti System Host per RED utilizzano ora in modo coerente la subnet mask /32. In precedenza la maschera poteva differire dalla configurazione impostata durante la creazione dell’interfaccia. Se un RED System Host viene utilizzato in regole o oggetti per reti più grandi, dopo l’aggiornamento il traffico potrebbe non fare più match. In pratica conviene controllare le regole firewall e gli oggetti host dipendenti e, se necessario, passare a oggetti IP o di rete adeguati.

Compatibilità e note

  • Compatibilità SSL VPN: niente tunnel verso SFOS 18.5 e versioni precedenti, Legacy SSL VPN Client o UTM 9. Alternative: upgrade, IPsec o RED.
  • I tunnel Legacy RED Site-to-Site della vecchia generazione non sono più supportati da SFOS 22. È consigliata la migrazione a tunnel RED Site-to-Site supportati o a tunnel IPsec.
  • Percorsi di aggiornamento: seguire i percorsi di migrazione ufficiali. Sophos Central può pianificare e gestire gli upgrade.
  • Prima di ogni upgrade creare un backup completo e preparare un piano di rollback.

Conclusione

Sophos Firewall v21.5 MR1 è una normale maintenance release con piccoli miglioramenti e correzioni. Stabilizza l’esercizio corrente e include correzioni di dettaglio. Sono particolarmente utili il passaggio a OAuth 2.00 per le notifiche e-mail, la selezione della regione NDR e un breve controllo delle impostazioni HA e Syslog. Nel complesso si tratta di adeguamenti incrementali per mantenere l’attuale ramo di release. Tornerà a farsi interessante all’inizio di dicembre, quando dovrebbe arrivare SFOS v22.

Riferimenti

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.