Vai al contenuto
Avanet
Sophos UTM 9.5 - Nuove funzionalità per Sandstorm e WAF

Sophos UTM 9.5 - Nuove funzionalità per Sandstorm e WAF

19. MAGGIO 2017

Il nuovo firmware UTM 9.5 è disponibile dal 4 maggio 2017. Mentre per le XG Firewall con SFOS al momento l’attenzione è rivolta soprattutto alla correzione di errori per aumentare innanzitutto la stabilità, con questa release UTM introduce anche alcune funzionalità aggiuntive.

Il numero di nuove feature è contenuto, ma include comunque alcune novità interessanti. Continua però a mancare l’integrazione con “Let’s Encrypt”, richiesta da molti clienti, che si spera venga introdotta con la versione 9.6.

Ecco l’elenco delle nuove funzionalità:

  • WAF URL redirection
  • WAF configurable TLS version
  • WAF true file type detection
  • WAF templates
  • Configurazione Sophos Sandstorm del data center
  • Eccezioni di file Sophos Sandstorm
  • RESTful API per la configurazione della UTM
  • AWS CloudWatch Logs Agent
  • Database PostgreSQL a 64 bit
  • Notifica e-mail per i certificati in scadenza
  • Support Access per SSH
  • Monitoraggio SNMP del file system

Varie migliorie a funzioni importanti

Per chi desidera qualche dettaglio in più sulle nuove funzionalità, di seguito approfondisco alcuni punti della lista precedente.

Sophos Sandstorm

  • La posizione del data center può ora essere selezionata manualmente; non siete più vincolati esclusivamente al rilevamento della posizione basato sul DNS.
  • Il “Sandstorm activity reporting” è stato migliorato anche per gli allegati e‑mail.
  • Per determinati tipi di file potete definire delle eccezioni, in modo che non vengano inviati a Sophos Sandstorm.

Web Application Firewall

  • Con la “WAF URL Redirection” potete reindirizzare il traffico di una URL protetta dalla WAF verso un altro sistema backend o un altro URL.
  • I “WAF protection template” e gli “authentication policy template” sono stati ampliati con modelli predefiniti per i principali servizi Microsoft, sia per la protezione sia per l’autenticazione.
  • Ora potete configurare la versione minima di TLS per aumentare in modo mirato il livello di sicurezza.
  • Supporto per il “WAF Proxy Protocol”: le informazioni sull’IP client contenute nell’header ProxyProtocol possono essere utilizzate per decisioni di policy e per una registrazione dei log più dettagliata.
  • Il “True File Type Scanning” vi consente di bloccare upload e download in base al MIME type.

Management e reporting

  • Tutti i log della UTM possono ora essere scaricati in un singolo archivio.
  • “Support Access con SSH” estende la funzione di Support Access già esistente.
  • Database PostgreSQL a 64 bit per una generazione sensibilmente più rapida dei report con grandi volumi di dati. Il database esistente viene migrato.
  • 30 giorni prima della scadenza di un certificato riceverete ora una notifica tramite WebAdmin e via e‑mail, così da avere tempo sufficiente per il rinnovo.
  • Inoltre potete configurare Sophos UTM 9 anche tramite API RESTful.

Correzioni di errori

Molto più corposa risulta la lista dei bug corretti:

  • NUTM-6646 [AWS] REST API panic when unlocking unlocked mutex
  • NUTM-6657 [AWS] Configure AWS profiles via WebAdmin
  • NUTM-6696 [AWS] Configure CloudWatch support via WebAdmin
  • NUTM-6708 [AWS] Cloud update not working with conversion deployments
  • NUTM-6814 [AWS] Rest API is accessible with default password if basic setup has not completed
  • NUTM-6887 [AWS] REST API panic when inserting into node which is not of type array
  • NUTM-7032 [AWS] SignalException not handled for SecurityGroupsManagement#update
  • NUTM-7055 [AWS] queen_configuration_management / aws_resource_management SIGUSR1 handling
  • NUTM-7056 [AWS] LocalJumpError
  • NUTM-7057 [AWS] aws_set_sd_check AWS::EC2::Errors::RequestLimitExceeded
  • NUTM-7061 [AWS] Connection refused - connect(2) for “localhost” port 4472
  • NUTM-3194 [Access & Identity] incorrect SSH logins trigger backend authentication requests
  • NUTM-3222 [Access & Identity] RED10/50: DNS port open on WAN interfaces
  • NUTM-3260 [Access & Identity] User Portal - IPsec Windows Support
  • NUTM-4149 [Access & Identity] [RED] Use Sophos NTP pool servers
  • NUTM-4323 [Access & Identity] NULL pointer deref in red_nl_cmd_tunnel_dump
  • NUTM-4705 [Access & Identity] Don’t use DNS server from the RED branch as an ISP forwarder
  • NUTM-4852 [Access & Identity] [RED] flock() on closed filehandle $fhi at /var/confd/confd.plx Object/itfhw/red_server.pm line 563.
  • NUTM-4994 [Access & Identity] STAS creates users even if automatic user creation is disabled
  • NUTM-5134 [Access & Identity] [OTP] User Portal should recommend Sophos Authenticator
  • NUTM-5925 [Access & Identity] [RED] prevent configuration for VLAN for Split modes
  • NUTM-6387 [Access & Identity] HTML5 VNC connection not disconnecting
  • NUTM-6641 [Access & Identity] [OTP] user can select algorithm for automatic tokens
  • NUTM-6668 [Access & Identity] [IPsec] L2TP/Cisco policy changes do not update ipsec.conf
  • NUTM-6749 [Access & Identity] RED15w does not send split DNS traffic over RED tunnel
  • NUTM-5965 [Basesystem] Sensors command on SG125w doesn’t show hardware fan RPM
  • NUTM-6468 [Basesystem] BIND Security update (CVE-2016-9131, CVE-2016-9147, CVE-2016-9444)
  • NUTM-6718 [Basesystem] Update NTP to 4.2.8p9
  • NUTM-6846 [Basesystem] Linux kernel: ip6_gre: invalid reads in ip6gre_err() (CVE-2017-5897)
  • NUTM-6847 [Basesystem] BIND Security update (CVE-2017-3135)
  • NUTM-6902 [Basesystem] Linux kernel: ipv4 keep skb->dst around in presence of IP options (CVE-2017-5970)
  • NUTM-7048 [Basesystem] Implement software workaround for Intel CPUs
  • NUTM-7067 [Basesystem] Update OpenSSH to openssh-6.6p1
  • NUTM-7370 [Basesystem] Bootsplash still shows 9.4 instead of 9.5
  • NUTM-7653 [Basesystem] Internal SSL certification verification broken
  • NUTM-5658 [Confd] Stripped restore unaccessable if default internal interface is removed
  • NUTM-3062 [Email] Mails From mail spool gets quarantined because of “500 Max connection limit reached” in cssd
  • NUTM-4753 [Email] Support recipient verification with multiple AD servers
  • NUTM-5350 [Email] Per user blacklist does not apply until smtp service restarts
  • NUTM-5823 [Email] Scanner timeout or deadlock for all mails with a .scn attachment
  • NUTM-5892 [Email] SMTP Exception doesn’t allow ‘&’ sign within the email address
  • NUTM-6135 [Email] DLP custom expression doesn’t get triggered if the email body contains certain strings
  • NUTM-6355 [Email] Email not blocked with expression list
  • NUTM-4474 [Kernel] Kernel panic - not syncing: Fatal exception in interrupt
  • NUTM-6358 [Kernel] Kernel: unable to handle kernel NULL pointer dereference at 0000000000000018
  • NUTM-4969 [Network] Uplink does not recover from error state
  • NUTM-5314 [Network] 10gb SFP+ flexi module interface fails when under load
  • NUTM-5428 [Network] Bridge interface can not acquire Dynamic IPv6 address correctly. This interface repeats up/down.
  • NUTM-5831 [Network] Changing static IP on interface does not take effect immediately
  • NUTM-5861 [Network] IPv4 static address gets deleted from confd (and WebAdmin) once IPv6 on the same interface fails to obtain dynamic address
  • NUTM-6077 [Network] Static route on bridge interface disappears after rebooting the UTM
  • NUTM-6807 [Network] SSL VPN not being redistributed into OSPF
  • NUTM-6901 [Network] Eth0 is removed while configuring bridge interface
  • NUTM-2420 [WAF] Remove session management from basic authentication
  • NUTM-5603 [WAF] Issue with expired lifetime of WAF connections without any hint
  • NUTM-5628 [WAF] WAF - Provide import and export options for HTTPS domain list
  • NUTM-5640 [WAF] GUI issue when adding wildcard certificate into Virtual Webservers
  • NUTM-6156 [WAF] UTM still fails scan for CVE-2016-2183 (SWEET32) after update to 9.408
  • NUTM-6294 [WAF] WAF - Naming collisions for default profiles
  • NUTM-6522 [WebAdmin] SMC Test failed after Settings are applied
  • NUTM-6788 [WebAdmin] Add support for SG105W, SG135W and SG230 in WebAdmin
  • NUTM-7337 [WebAdmin] Fix appliance picture for SG105w N9
  • NUTM-6467 [Web] FTP connection fails when using transparent FTP Proxy
  • NUTM-6732 [Web] Certificate issue with transparent Web Proxy - “unable to get local issuer certificate”
  • NUTM-6876 [Web] Remove insecure RC4 from default cipher list for Web Protection HTTPS scanning on upgrade to 9.5 or restore of pre-9.5 backup
  • NUTM-7586 [Web] Chrome v58 and higher fail verification with HTTPS scanning enabled
  • NUTM-5638 [WiFi] RED15w - integrated AP isn’t shown as pending in transparent / split mode
  • NUTM-5786 [WiFi] RED15w - if more then one SSID is configured only one is working correctly
  • NUTM-6215 [WiFi] Issue when roaming between wireless with some clients
  • NUTM-6335 [WiFi] VLAN fallback not working for integrated AP from RED15w
  • NUTM-6448 [WiFi] AP55 stuck as inactive
  • NUTM-6511 [WiFi] AP does not get IP address on 100 Mbit ethernet link

Come ottenere Sophos UTM 9.5?

L’aggiornamento è disponibile gratuitamente per tutti i clienti UTM. Se non dovesse essere ancora visualizzato automaticamente, potete comunque scaricarlo direttamente dal Webserver Sophos.

David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.