{"id":169079,"date":"2025-10-09T07:48:05","date_gmt":"2025-10-09T06:48:05","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/sophos-firewall-v21-5-mr1\/"},"modified":"2025-10-09T08:00:12","modified_gmt":"2025-10-09T07:00:12","slug":"sophos-firewall-v21-5-mr1","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/it\/blog\/sophos-firewall-v21-5-mr1\/","title":{"rendered":"Sophos Firewall v21.5 MR1: Sicurezza e Stabilit\u00e0 al Centro dell\u2019Attenzione"},"content":{"rendered":"\n<p>Sophos Firewall v21.5 MR1 include numerosi miglioramenti in termini di sicurezza, stabilit\u00e0 e affidabilit\u00e0. A ci\u00f2 si aggiungono innovazioni mirate come OAuth 2.0 per gli avvisi via e-mail, la messa a punto dell&#8217;NDR e l&#8217;irrobustimento dell&#8217;HA. <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Argomenti<\/h2><nav><ul><li class=\"\"><a href=\"#technischer-uberblick\">Nuove funzioni in SFOS v21.5 MR1<\/a><ul><li class=\"\"><a href=\"#o-auth-2-0-fur-e-mail-benachrichtigungen-1\">OAuth 2.0 per le notifiche via e-mail<\/a><\/li><li class=\"\"><a href=\"#lokalisierte-geplante-reports\">Rapporti programmati localizzati<\/a><\/li><li class=\"\"><a href=\"#ndr-essentials-datacenter-auswahl\">NDR Essentials: Selezione del centro dati<\/a><\/li><li class=\"\"><a href=\"#ndr-essentials-threat-score-in-atr-logs\">NDR Essentials: Punteggio di minaccia nei registri ATR<\/a><\/li><li class=\"\"><a href=\"#syslog-device-name-entspricht-hostname\">Syslog: nome_dispositivo corrisponde a nome host<\/a><\/li><li class=\"\"><a href=\"#gesicherte-hochverfugbarkeit\">Alta disponibilit\u00e0 garantita<\/a><\/li><li class=\"\"><a href=\"#lince-modus-in-ha\">Modalit\u00e0 LINCE in HA<\/a><\/li><li class=\"\"><a href=\"#route-based-vpn-automatische-xfrm-mtu\">VPN basata sulle rotte: XFRM-MTU automatico<\/a><\/li><li class=\"\"><a href=\"#anpassbare-tabellenspalten\">Colonne della tabella personalizzabili<\/a><\/li><li class=\"\"><a href=\"#hotspot-voucher-sortieren-und-filtern\">Buoni hotspot: ordinamento e filtraggio<\/a><\/li><li class=\"\"><a href=\"#snmp-mi-bs-verbesserte-rfc-konformitat\">MIB SNMP: migliorata la conformit\u00e0 RFC<\/a><\/li><li class=\"\"><a href=\"#live-users-einheitliche-dateneinheiten\">Utenti in carne e ossa: unit\u00e0 di dati standardizzate<\/a><\/li><li class=\"\"><a href=\"#gruppenimport-aus-ad-und-entra-id\">Importazione di gruppi da AD e Entra ID<\/a><\/li><li class=\"\"><a href=\"#active-directory-sso-windows-server-2025\">Active Directory SSO: Windows Server 2025<\/a><\/li><li class=\"\"><a href=\"#red-system-hosts-korrektes-32\">Host del sistema RED: corretto \/32<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#kompatibilitat-und-hinweise\">Compatibilit\u00e0 e note<\/a><\/li><li class=\"\"><a href=\"#fazit\">Conclusione<\/a><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Ulteriori link<\/a><\/li><li class=\"\"><a href=\"#quellen\">Fonti<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Nuove funzioni in SFOS v21.5 MR1<\/h2>\n\n<h3 class=\"wp-block-heading\" id=\"o-auth-2-0-fur-e-mail-benachrichtigungen-1\">OAuth 2.0 per le notifiche via e-mail<\/h3>\n\n<p>Le notifiche e-mail possono essere protette da Gmail e Microsoft 365 con OAuth 2.0. L&#8217;autenticazione tramite password viene gradualmente eliminata. Vantaggi: superficie di attacco ridotta, gestione centralizzata dei token, accesso tracciabile. Implementazione in Amministrazione &gt; Impostazioni di notifica. Per Gmail \u00e8 necessaria la registrazione dell&#8217;app nella Google Cloud Console (Client ID, Client Secret). Il firewall utilizza token di aggiornamento per l&#8217;autenticazione permanente. Inoltre, OAuth 2.0 consente l&#8217;uso di criteri, l&#8217;autenticazione a pi\u00f9 fattori e la revoca centralizzata dei token compromessi.<br\/>\u00c8 consigliabile migrare i profili SMTP in una fase iniziale, effettuare un invio di prova e memorizzare un server di posta di riserva; i criteri MFA devono essere controllati e documentati.      <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"lokalisierte-geplante-reports\">Rapporti programmati localizzati<\/h3>\n\n<p>I report PDF pianificati vengono generati nella lingua utilizzata al momento dell&#8217;accesso all&#8217;amministrazione web. Questo riduce il lavoro di traduzione e facilita il coordinamento con i reparti specializzati. I report sono pi\u00f9 coerenti e possono essere utilizzati nelle riunioni di gestione senza ulteriori sforzi.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ndr-essentials-datacenter-auswahl\">NDR Essentials: Selezione del centro dati<\/h3>\n\n<p>La regione di analisi per NDR Essentials \u00e8 liberamente selezionabile. La regione con la latenza pi\u00f9 bassa \u00e8 quella predefinita. Questo permette di soddisfare i requisiti di residenza dei dati e di conformit\u00e0. Con le configurazioni multiregione, la scelta giusta \u00e8 fondamentale per evitare flussi di dati indesiderati.<br\/>\u00c8 opportuno documentare la regione selezionata, prepararsi a un cambiamento pianificato, adattare il monitoraggio e tenere conto delle linee guida sulla protezione dei dati.   <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ndr-essentials-threat-score-in-atr-logs\">NDR Essentials: Punteggio di minaccia nei registri ATR<\/h3>\n\n<p>Il punteggio della minaccia viene visualizzato nei registri Active Threat Response. Questo facilita la definizione delle priorit\u00e0, la correlazione e la creazione di rapporti nel SIEM e nell&#8217;XDR. Gli allarmi basati sul punteggio consentono una classificazione pi\u00f9 dettagliata degli incidenti.  <\/p>\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"767\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1024x767.png\" alt=\"Sophos Firewall v21.5 MR1 - NDR Essentials Posizione del centro dati\" class=\"wp-image-169069\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1024x767.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-300x225.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-768x576.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1536x1151.png 1536w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-600x450.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-64x48.png 64w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location.png 1804w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Sophos Firewall v21.5 MR1 &#8211; NDR Essentials Sede del centro dati<\/figcaption><\/figure>\n\n<h3 class=\"wp-block-heading\" id=\"syslog-device-name-entspricht-hostname\">Syslog: nome_dispositivo corrisponde a nome host<\/h3>\n\n<p>Il campo nome_dispositivo contiene il nome host configurato del firewall. Questo permette di assegnare i log in modo pi\u00f9 chiaro in ambienti con pi\u00f9 dispositivi. Le integrazioni con XDR e SIEM diventano pi\u00f9 solide.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"gesicherte-hochverfugbarkeit\">Alta disponibilit\u00e0 garantita<\/h3>\n\n<p>Le passphrase forti sono obbligatorie, la generazione automatica \u00e8 omessa. L&#8217;accoppiamento HA verifica anche la chiave host SSH del partner. Questo rende pi\u00f9 difficili gli attacchi man-in-the-middle ed evita le commistioni tra i cluster. Un output di errore migliorato supporta la diagnostica.   <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"lince-modus-in-ha\">Modalit\u00e0 LINCE in HA<\/h3>\n\n<p>LINCE \u00e8 una certificazione di sicurezza del governo spagnolo che definisce i requisiti minimi di crittografia. La modalit\u00e0 LINCE impone una selezione consentita di algoritmi e lunghezze di chiavi sul firewall e influenza le impostazioni SSH e VPN, tra le altre cose. L&#8217;attivazione avviene tramite CLI e riavvia il servizio SSH. Negli ambienti HA, la modalit\u00e0 LINCE deve essere identica su entrambi i dispositivi prima della configurazione HA. Quando si ripristinano i backup HA, lo stato LINCE dei dispositivi di destinazione deve corrispondere a quello del backup, altrimenti il ripristino verr\u00e0 rifiutato o la modalit\u00e0 modificata.    <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"route-based-vpn-automatische-xfrm-mtu\">VPN basata sulle rotte: XFRM-MTU automatico<\/h3>\n\n<p>Il firewall calcola automaticamente un MTU personalizzato per le interfacce XFRM deducendo l&#8217;overhead di IPsec. L&#8217;obiettivo: meno frammentazione e connessioni TCP pi\u00f9 stabili. Il valore pu\u00f2 essere personalizzato.<br\/>Dopo l&#8217;aggiornamento, devi controllare l&#8217;MTU, se necessario regolarlo per ogni provider e testare le applicazioni critiche.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"anpassbare-tabellenspalten\">Colonne della tabella personalizzabili<\/h3>\n\n<p>Molte aree di Sophos Firewall v21.5 MR1 supportano colonne liberamente scalabili, ad esempio Rete, rotte SD-WAN, Gateway o Local Service ACL. Le larghezze vengono salvate nel browser e applicate alle sessioni future. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"hotspot-voucher-sortieren-und-filtern\">Buoni hotspot: ordinamento e filtro<\/h3>\n\n<p>I voucher possono essere ordinati in base alla data di creazione e appaiono subito in cima. Questo facilita l&#8217;emissione e il controllo. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"snmp-mi-bs-verbesserte-rfc-konformitat\">MIB SNMP: migliorata la conformit\u00e0 RFC<\/h3>\n\n<p>Le MIB sono pi\u00f9 strettamente allineate alle RFC per SNMPv1, v2 e v3. Questo migliora la compatibilit\u00e0 con gli strumenti di monitoraggio e riduce gli errori di analisi. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"live-users-einheitliche-dateneinheiten\">Utenti in carne e ossa: unit\u00e0 di dati standardizzate<\/h3>\n\n<p>I volumi di dati sono standardizzati e visualizzati in KB, MB e GB. Questo facilita i confronti e riduce le incomprensioni. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"gruppenimport-aus-ad-und-entra-id\">Importazione di gruppi da AD e Entra ID<\/h3>\n\n<p>L2TP e PPTP non vengono pi\u00f9 attivati automaticamente durante l&#8217;importazione del gruppo. L&#8217;accesso remoto rimane controllabile in modo esplicito. In questo modo si evitano superfici di attacco indesiderate.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"active-directory-sso-windows-server-2025\">Active Directory SSO: Windows Server 2025<\/h3>\n\n<p>Il single sign-on ora supporta Windows Server 2025 tramite NTLM e Kerberos. Questo facilita l&#8217;integrazione nei moderni ambienti AD e nelle configurazioni ibride con Azure AD. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"red-system-hosts-korrektes-32\">Host del sistema RED: corretto \/32<\/h3>\n\n<p>Gli oggetti host di sistema per RED ora utilizzano costantemente la maschera di sottorete \/32. In precedenza, la maschera poteva discostarsi dalla configurazione impostata al momento della creazione dell&#8217;interfaccia. Se un host di sistema RED \u00e8 utilizzato in regole o oggetti per reti pi\u00f9 grandi, il traffico non pu\u00f2 pi\u00f9 corrispondere dopo l&#8217;aggiornamento.<br\/>\u00c8 consigliabile controllare le regole del firewall e gli oggetti host dipendenti e passare a oggetti IP o di rete adeguati se necessario.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"kompatibilitat-und-hinweise\">Compatibilit\u00e0 e note<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Compatibilit\u00e0 SSL VPN: Nessun tunnel verso SFOS 18.5 e precedenti, Legacy SSL VPN Client o UTM 9. Alternativa: Aggiornamento, IPsec o RED.<\/li>\n\n\n\n<li>I tunnel RED site-to-site della vecchia generazione non sono pi\u00f9 supportati da SFOS 22. Si consiglia la migrazione a tunnel RED site-to-site o IPsec supportati. <\/li>\n\n\n\n<li>Percorsi di aggiornamento: segui i percorsi di migrazione ufficiali. Sophos Central pu\u00f2 pianificare e controllare gli aggiornamenti. <\/li>\n\n\n\n<li>Crea un piano completo di backup e rollback prima di ogni aggiornamento.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusione<\/h2>\n\n<p>Sophos Firewall v21.5 MR1 \u00e8 una release di manutenzione regolare con miglioramenti minori e correzioni di bug. Stabilizza il funzionamento in corso e include correzioni dettagliate. Il passaggio a OAuth 2.0 per le notifiche via e-mail, la selezione della regione NDR e un breve controllo delle impostazioni HA e syslog sono utili. Nel complesso, si tratta di modifiche incrementali per mantenere l&#8217;attuale ramo di rilascio. La situazione si far\u00e0 nuovamente interessante all&#8217;inizio di dicembre, quando verr\u00e0 rilasciato SFOS v22.    <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Ulteriori link<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Blog Avanet: <a href=\"https:\/\/www.avanet.com\/it\/blog\/sophos-firewall-v21-5\/\">Sophos Firewall v21.5<\/a><\/li>\n\n\n\n<li>Avanet KB: <a href=\"https:\/\/www.avanet.com\/kb\/sophos-firewall-firmware-update\/\">Aggiornamento del firmware di Sophos Firewall &#8211; preparazione e buone pratiche<\/a><\/li>\n\n\n\n<li>Avanet KB: <a href=\"https:\/\/www.avanet.com\/it\/kb\/aggiornare-il-firmware-sfos-su-sophos-firewall\/\">Aggiornamento del firmware di Sophos Firewall (Aggiornamento del firmware)<\/a><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"quellen\">Fonti<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/docs.sophos.com\/releasenotes\/output\/en-us\/nsg\/sf_215_rn.html\" target=\"_blank\" rel=\"noopener\">Sophos Docs: Note di rilascio di Sophos Firewall v21.5 MR1<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/b\/blog\/posts\/sophos-firewall-v21-5-mr1-is-now-available\" target=\"_blank\" rel=\"noopener\">Comunit\u00e0 Sophos: Annuncio di Sophos Firewall v21.5 MR1<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sophos Firewall v21.5 MR1 include numerosi miglioramenti in termini di sicurezza, stabilit\u00e0 e affidabilit\u00e0. A ci\u00f2 si aggiungono innovazioni mirate come OAuth 2.0 per gli avvisi via e-mail, la messa a punto dell&#8217;NDR e l&#8217;irrobustimento dell&#8217;HA. Nuove funzioni in SFOS v21.5 MR1 OAuth 2.0 per le notifiche via e-mail Le notifiche e-mail possono essere protette [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":169067,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[375],"tags":[],"class_list":["post-169079","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/169079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/comments?post=169079"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/169079\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media\/169067"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=169079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/categories?post=169079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/tags?post=169079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}