Naar de inhoud
Avanet
Sophos Firewall v19.5 - Alle nieuwe functies in deze update

Sophos Firewall v19.5 - Alle nieuwe functies in deze update

2. DECEMBER 2022

Het is alweer een paar maanden geleden dat ik voor het laatst tijd had om een SFOS Update artikel te schrijven. In de toekomst zal het nu weer beter gaan. Daarom ben ik des te blijer om de nieuwe functies en verbeteringen in SFOS 19.5 te presenteren.

De update is voor alle Sophos Firewalls van de SG-, XG- en XGS-serie en ook de virtuele appliances of instanties op de cloudplatformen zoals Azure of AWS.

De volgende modellen ontvangen de update niet, omdat deze niet over 4 GB RAM beschikken: XG 85(w), XG 105(w), SG 105(w)

Beveiligingslek CVE-2022-3236 wordt gesloten

Een code-injectie kwetsbaarheid in het gebruikersportaal en in de WebAdmin maakt het een aanvaller mogelijk om code uit te voeren in de Sophos Firewall, versie v19.0 MR1 en ouder. CVE-2022-3236

Hosts en Services Zoeken

In SFOS v19 werd de objectzoekfunctie in de firewallregels massaal verbeterd. Op sommige plaatsen ontbrak echter nog de zoekfunctie, zoals bij de Hosts en Services objecten. Hier is het mogelijk om te zoeken op naam, poorten of IP-adressen, wat ook het vinden van dubbele objecten vereenvoudigt.

Dubbele objecten verwijderen als deze nog in gebruik zijn, is nog steeds niet zo eenvoudig, omdat men geen indicatie krijgt waar dit object wordt gebruikt.

Sophos Firewall v19.5 Hosts en Services Zoeken
Sophos Firewall v19 Hosts en Services Zoeken

Azure AD SSO voor Webadmin login

Azure AD is al langer beschikbaar op Sophos Central. Met v19.5 komt de integratie van Azure Active Directory (Azure AD) nu naar de Sophos Firewall voor Single Sign-on (SSO) op de Webadmin console.

De Azure AD-integratie maakt ook dynamisch rollen- en groepsbeheer mogelijk. Het is dus mogelijk om op de firewall eigen rechtenprofielen aan te maken of om de reeds aanwezige te gebruiken en deze dan aan een gebruiker in Azure AD toe te kennen.

Sophos Firewall v19.5 Azure AD Integratie
Sophos Firewall v19.5 Azure AD Integratie voor de Webadmin Login

De Azure AD Integratie voor de Webadmin Login is zeker een goed begin. Spannend wordt het pas wanneer ook Remote Access gebruikers (SSLVPN of IPsec) en de User Portal hiermee werken.

High Availability verbeteringen

Er zijn ook echt goede verbeteringen voor HA-clusters. Een kleine vernieuwing is bijvoorbeeld de waarschuwing bij het aanmaken van het cluster dat de licentie op het Primary Device aanwezig moet zijn, of bij een Active-Active cluster, wat we eigenlijk bijna nooit gebruiken, dat de licentie op beide appliances aanwezig moet zijn.

Sophos Firewall 19.5 Hoge Beschikbaarheid cluster creëren
Sophos Firewall v19.5 Hoge Beschikbaarheid Cluster creëren

Het is nu mogelijk om meerdere HA-links te configureren en dit niet alleen meer via een directe verbinding, maar ook via LAG’s en VLAN’s.

VLAN-interfaces kunnen nu ook worden toegevoegd aan de interfacebewaking.

Sophos Firewall 19.5 Hoge Beschikbaarheid Statuspagina
Sophos Firewall v19.5 Hoge Beschikbaarheid Statuspagina

De statuspagina levert nu aanzienlijk meer belangrijke informatie. Het is zichtbaar op welke node de licentie is geactiveerd. De datum en tijd waarop de laatste statuswijziging van het cluster was. Men kan een naam toekennen en hoeft niet meer het serienummer te onthouden.

Sophos Firewall 19.5 Hoge Beschikbaarheid Widget
Sophos Firewall v19.5 Hoge Beschikbaarheid Cluster Widget

De widget in het Control Center is naar rechtsboven verplaatst en toont ook meer informatie over het cluster. De tabnaam toont nu ook met welke node je verbinding maakt, hoewel ik hier liever de hostnaam van de firewall zou zien, omdat ik sowieso nooit inlog op Node2.

SD-WAN Load Balancing

Sinds v19 is er SD-WAN en in de profielen is het in de nieuwe versie mogelijk om een Load Balancing te creëren. Als methoden zijn er Round Robin of Session Persistence.

Round Robin

De verbindingen worden op basis van de weging verdeeld over de geselecteerde verbindingen. Op de schermafbeelding hebben beide gateways momenteel een weging van 1, waardoor een gelijkmatige verdeling over beide gateways plaatsvindt.

Sessiepersistentie

Bij Session Persistence kan men definiëren of het verkeer moet worden gesplitst op basis van bron-IP, doel-IP, beide tegelijkertijd of per verbinding.

Sophos Firewall SD-WAN Load Balancing Opties
Sophos Firewall SD-WAN Load balancing Opties

Deze vernieuwing geldt voor het SD-WAN profiel. Men kan natuurlijk meerdere profielen aanmaken en deze per behoefte van de routingstrategie gebruiken op basis van applicatie, bron, doel of dienst.

Meer prestaties voor alle Sophos XGS Firewalls

Elke Sophos XGS Appliance heeft een dual-processor architectuur. Sophos heeft bij de marktintroductie van de XGS-serie sommige verbindingen twee keer zo snel gemaakt, in vergelijking met de XG-serie. Er werd aangekondigd dat met komende software-updates processen van de CPU naar de NPU zouden worden verplaatst om de prestaties te verbeteren. Met versie 19.5 worden meer processen verwerkt door de Xstream Flow Processor en daardoor versneld. In deze release is dankzij deze ontwikkeling het aantal IPsec VPN-tunnels bij de XGS-modellen eenvoudigweg verdubbeld.

Bij de modellen XGS 4300, 4500, 5500 en 6500 worden TLS-versleutelde verbindingen op de FastPath versneld en daardoor is de Deep-Packet-Inspection nog performanter.

Verdere kleine verbeteringen in v19.5

OSPFv3

De nieuwe dynamische routing engine biedt ondersteuning voor OSPFv3. Tot de vernieuwingen van OSPFv3 behoren onder andere ondersteuning voor IPv6, een kleinere headergrootte en het niet langer gebruiken van MD5 voor authenticatie. OSPFv3 ziet volledig af van eigen authenticatieondersteuning en vertrouwt in plaats daarvan op het flexibelere IPsec-framework van IPv6.

Log

De verbeterde opslag van logbestanden maakt een uitgebreide probleemoplossing mogelijk.

Hardware-ondersteuning

Verbeterde ondersteuning van 40G-interfaces met automatische detectie van uitgebreide poortconfiguraties bij de modellen XGS 5500 en 6500.

De hardware-ondersteuning voor de 5G-modules, die in de EAP was vermeld, zit nu niet meer in de definitieve v19.5-versie. Ik vermoed daarom dat de modules iets later dan verwacht komen.

Video over de vernieuwingen in Sophos Firewall OS v19.5

U ziet het al, Sophos doet tegenwoordig veel moeite om de nieuwe functies in video’s te laten zien, wat we erg cool vinden. Vaak waren er nieuwe functies die in de release notes onopgemerkt bleven en die slechts weinigen opmerkten. Naast de hierboven ingevoegde video over individuele functies, is er ook een video over Sophos Firewall 19.5 als geheel.

Updates zijn niet meer lang gratis

Misschien is de informatie niet bij iedereen aangekomen: Sophos Firewall Updates zijn in de toekomst niet meer gratis

Nu hebben we de eerste update sinds versie 19.0 MR1 en de teller voor gratis updates begint bij drie. Na de installatie, of preciezer gezegd bij het uploaden van de nieuwe firmware-image 19.5, staat hij dan op twee.

Als men nu de vernieuwingen in deze update bekijkt, wat toegegeven een grotere update is, ziet men toch dat hier veel nieuwe functies komen die de Sophos Firewall weer een stuk beter maken. Deze ontwikkeling moet betaald worden en zoals men van smartphone-apps kent, stappen veel ontwikkelaars over op het abonnementsmodel om precies deze ontwikkeling betaald te krijgen.

Daaruit volgt dat, wanneer de firmwareteller op nul staat, een Enhanced Support-licentie nodig is, die individueel of in een licentiebundel zoals Standard Protection, Xstream Protection of Epic Protection is inbegrepen.

Sophos Firewall Teller voor gratis firmware-updates
Sophos Firewall teller voor gratis updates
Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.