Sophos Firewall v20 MR1: Nieuwe functies en verbeteringen

De Sophos Firewall v20 MR1 brengt een verscheidenheid aan nieuwe functies en verbeteringen die de beveiliging en prestaties van de firewall verder verbeteren. Hier zijn de belangrijkste innovaties in detail:

⚠️ Belangrijk voor alle RED 15 en RED 50 gebruikers die nog niet hebben geüpdatet naar SD-RED 20 of SD-RED 60. Het bericht dat de REDs End of Life zijn, wordt al enige tijd op de firewall weergegeven. Na deze update zijn de oude RED-modellen nog steeds zichtbaar in de WebAdmin, maar maken ze geen verbinding meer met de firewall.

Automatische taaldetectie bij inloggen

Direct na het opstarten met de nieuwe Sophos Firewall v20 MR1-firmware ziet u de eerste wijziging. Of het nu goed of slecht is, iedereen kan voor zichzelf beslissen, wat mij betreft eerder het laatste.

De taal voor de beheerportal wordt automatisch bepaald op basis van de browserinstellingen. Dit wordt dan ook opgeslagen als een cookie.

Verbeterde Firewall-beveiliging en toegangscontrole

Met de nieuwe versie krijgt u nog fijnere controle over welke services toegankelijk zijn in de WAN. Dit verbetert de beveiligingshouding van uw firewall aanzienlijk. Wat niet zichtbaar is, kan niet worden aangevallen.

Nieuwe instellingsopties voor IPsec VPN en RED zijn toegevoegd:

Nieuwe services in de lokale ACL-uitzonderingslijst

Er kan echter nog steeds veel aanvalsoppervlak achter een zone zijn, en daarom is het raadzaam om de toegang nog nauwkeuriger te definiëren in de “Lokale service ACL uitzonderingsregel”.

De volgende services zijn toegevoegd aan de uitzonderingslijst: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec, en last but not least Chromebook, hoewel ik nog nooit een Chromebook heb gezien behalve op YouTube 🤷‍♂️.

Flexibelere toegangscontrole-uitzonderingen

Met de nieuwe versie van Sophos Firewall v20 MR1 wordt de flexibiliteit van toegangscontrole-uitzonderingen aanzienlijk verbeterd en uitgebreid met drie hoofdobjecten.

• Ondersteuning voor FQDN-hosts: U kunt nu volledig gekwalificeerde domeinnamen (FQDN’s) gebruiken in uitzonderingsregels. Dit zorgt voor nauwkeurigere controle over verkeer door de toegang tot specifieke domeinen te beheren op basis van hun namen in plaats van alleen IP-adressen. Ik heb lang uitgekeken naar deze functie (die beschikbaar was op de UTM 🤐).
• Hostgroepen: De mogelijkheid om hostgroepen te definiëren en te gebruiken biedt uitgebreide flexibiliteit bij het beheren van toegangsregels. U kunt meerdere hosts groeperen en deze groep vervolgens gebruiken in uw uitzonderingsregels.
• MAC-adressen: Naast IP-adressen kunnen nu ook MAC-adressen worden opgenomen in toegangscontrole-uitzonderingen. Dit biedt een extra laag van controle, met name nuttig in netwerken met veel dynamische of veranderende IP-adressen.

Zero-Touch Deployment

Zero-Touch Deployment is een geavanceerde functie van Sophos Firewall v20 MR1.

In veel gevallen vervangen we bij Avanet bestaande firewalls 1:1 door nieuwe, en het is belangrijk dat dit snel en met minimale onderbrekingen gebeurt. Meestal configureren we het apparaat vooraf op ons kantoor en sturen het vervolgens naar de klant, waar het alleen maar vervangen hoeft te worden.

In het verleden vereiste Zero-Touch Deployment een USB-stick om het configuratiebestand naar de firewall over te brengen. Met de nieuwe versie is dit echter niet meer nodig, omdat de volledige configuratie via Sophos Central kan worden gedaan.

Hier zijn de stappen en verbeteringen in detail:

1. Serienummer invoeren: Het serienummer van de nieuwe firewall wordt ingevoerd in Sophos Central. Dit dient om de firewall te identificeren en te initialiseren.
2. Basisconfiguratie definiëren: Er wordt een basisconfiguratie gedefinieerd die wordt toegepast wanneer de firewall voor het eerst wordt gestart. Dit omvat belangrijke instellingen zoals tijdzone, firewall-hostnaam en netwerkconfiguraties voor LAN en WAN.
3. Internetverbinding tot stand brengen: De firewall wordt eenvoudigweg aangesloten op het netwerk op locatie, waardoor deze automatisch verbinding maakt met Sophos Central en de vooraf gedefinieerde configuratie downloadt.
4. Firewall Management activeren: Na verbinding met Sophos Central wordt de firewall automatisch geconfigureerd en is klaar voor gebruik. Beheerders kunnen vervolgens verdere instellingen en fijnafstemming direct via Sophos Central uitvoeren.

Deze methode vermindert de tijd en complexiteit van de installatie aanzienlijk. Bovendien kan de firewall onmiddellijk worden gebruikt zodra deze is verbonden met internet, waardoor het hele proces wordt versneld.

Voordelen van Zero-Touch Deployment

• Snelle implementatie: Ideaal voor locaties waar geen IT-personeel ter plaatse is. De firewall kan worden geconfigureerd en klaar voor gebruik worden gemaakt onmiddellijk na aansluiting op het netwerk.
• Gecentraliseerd beheer: Alle configuratiestappen worden uitgevoerd via Sophos Central, wat uniform en consistent beheer mogelijk maakt.
• Minimale onderbrekingen: Aangezien de configuratie vooraf is gedefinieerd en automatisch wordt toegepast, is de downtime minimaal, wat vooral voordelig is in bedrijfskritische omgevingen.
• Eenvoudige aanpassing: Na de initiële configuratie kunnen verdere aanpassingen en instellingen centraal worden uitgevoerd zonder dat er een technicus ter plaatse hoeft te zijn.

Met Zero-Touch Deployment biedt Sophos een efficiënte oplossing voor het implementeren en configureren van firewalls die tijd bespaart en de netwerkbeschikbaarheid maximaliseert.

• Sophos KB: Add Sophos Firewall with Zero Touch

Logbestanden downloaden voor probleemoplossing

Met Sophos Firewall v20 MR1 is het nu mogelijk om individuele logbestanden direct van de firewall te downloaden. Deze functie vereenvoudigt probleemoplossing, omdat u niet langer via een SSH-verbinding toegang hoeft te hebben tot de firewall om de benodigde gegevens te verkrijgen.

Onder het hoofdmenu-item Diagnostics, vindt u de optie Troubleshooting Logs. Hier kunnen beheerders specifiek zoeken naar bepaalde logs en meerdere logs tegelijkertijd selecteren. De Sophos Firewall biedt vervolgens een ZIP-bestand aan om te downloaden met alle geselecteerde logs. Deze bestanden kunnen worden geopend en geanalyseerd op een lokale client.

Elke Site-to-Site IPsec-verbinding en individuele RED-verbinding krijgt zijn eigen log. Dit maakt gedetailleerde en specifieke analyse mogelijk zonder toevlucht te hoeven nemen tot omslachtige methoden. Dit maakt firewallbeheer en -onderhoud efficiënter en gebruiksvriendelijker.

Beschrijvingsvelden voor objecten

Alle objecten onder “Host & Services” krijgen nu een beschrijvingsveld. Dit omvat IP-hosts, IP-hostgroepen, MAC-adressen en andere netwerkobjecten. De mogelijkheid om een gedetailleerde beschrijving aan elk object toe te voegen, verbetert de documentatie aanzienlijk.

Deze functie maakt het mogelijk om belangrijke informatie direct in de firewall op te slaan. Bijvoorbeeld, bij het aanmaken van een nieuwe IP-host, kunt u onmiddellijk een beschrijving toevoegen waarin het doel en gebruik van de host wordt uitgelegd. Dit is met name handig wanneer meerdere beheerders de firewall beheren of wanneer nauwkeurige documentatie vereist is.

Een beschrijving kan ook links bevatten naar verdere informatie, zoals een kennisbank of een PDF-document dat specifieke details over het betreffende object biedt. Dit verhoogt de traceerbaarheid en vergemakkelijkt toekomstige beheertaken. Zo kan een servicepoort die alleen voor een specifieke applicatie wordt gebruikt, direct worden voorzien van relevante informatie en context, wat de efficiëntie en duidelijkheid in netwerkbeheer aanzienlijk verhoogt.

De beschrijving wordt ook geïndexeerd om zoeken mogelijk te maken.

Generatieve AI Firewall-assistent

Vandaag de dag ben je als bedrijf gewoon niet cool als je AI niet noemt. Een paar jaar geleden was het blockchain.

Een nieuwe generatieve AI-aangedreven Sophos Assistent is geïntegreerd om u te helpen uw firewall te beheren. U kunt de assistent elke vraag in eenvoudige taal stellen en instructies en links naar nuttige bronnen ontvangen.

Niet slecht voor een eerste versie, maar ik denk dat we ons AI anders voorstellen dan gewoon een iets betere zoekfunctie?

OpenVPN-upgrade naar v2.6.0

De OpenVPN-component van de Sophos Firewall is bijgewerkt naar versie 2.6.0. Dit verbetert de beveiliging en prestaties voor SSL VPN. Site-to-Site SSL VPN’s met oudere versies worden niet langer ondersteund. Het wordt aanbevolen om te updaten naar v20.0 MR1 of alternatieve VPN-oplossingen zoals IPsec te gebruiken.

Bovendien kan de nieuwste versie van de Sophos Connect Client (v2.3) worden gedownload via het VPN-portaal:

• Sophos Connect SSL VPN Client installeren (Windows) – SFOS
• Sophos Community: Sophos Connect 2.3 Update Released
• Sophos Community: Sophos Connect News and Release Notes

Belangrijke opmerkingen over SSL VPN-compatibiliteit

Vanwege de upgrade naar OpenVPN 2.6.0 in deze versie, worden SSL VPN-tunnels niet langer tot stand gebracht met de volgende clients en firewallversies:

• SFOS v18.5 en eerdere versies: Site-to-Site SSL VPN’s kunnen niet langer tot stand worden gebracht. Het wordt aanbevolen om alle relevante firewalls te updaten naar v20.0 MR1 of Site-to-Site IPsec- of RED-tunnels te gebruiken.
• Verouderde SSL VPN-client: Remote Access SSL VPN-tunnels worden niet langer tot stand gebracht met de verouderde SSL VPN-client. Gebruik de Sophos Connect Client of clients van derden zoals de OpenVPN Client.
• UTM9 OS: Site-to-Site SSL VPN’s kunnen niet langer tot stand worden gebracht tussen UTM9 OS en SFOS v20.0 MR1. Het wordt aanbevolen om deze apparaten te migreren naar v20.0 MR1 of Site-to-Site IPsec- of RED-tunnels te gebruiken.

Verbeteringen in SD-WAN en VPN

De nieuwe versie van Sophos Firewall v20 MR1 brengt belangrijke verbeteringen op het gebied van SD-WAN en VPN, die zowel de betrouwbaarheid als de prestaties aanzienlijk verhogen.

• Minimale verkeersonderbrekingen: De beschikbaarheid van de gateway tijdens HA-failover en herstarts van apparaten is verviervoudigd. Dit betekent dat in het geval van een gatewaystoring of herstart van het apparaat, onderbrekingen in dataverkeer aanzienlijk worden geminimaliseerd, wat leidt tot een stabielere netwerkverbinding.
• Nieuwe OpenVPN 3.0 Client: De nieuwe OpenVPN 3.0 Client voor Remote Access SSL VPN is nu beschikbaar om te downloaden via het VPN-portaal. Deze client biedt verbeterde beveiligingsfuncties en hogere compatibiliteit met verschillende besturingssystemen, wat de installatie en het beheer van VPN-verbindingen vereenvoudigt en de gebruikerservaring verbetert.
• IPsec Phase-1 IKEv2-ondersteuning: Ondersteuning voor GCM- en Suite-B-ciphers is toegevoegd, wat de interoperabiliteit en doorvoer voor IPsec-verbindingen verbetert. Deze moderne encryptiemethoden zorgen voor veiligere en efficiëntere gegevensoverdracht tussen netwerkapparaten.
• DHCP Busybox-verbeteringen: De standaard leasetijd voor DHCP is ingesteld op 30 seconden om WAN-verbindingsproblemen te elimineren. Kortere leasetijden betekenen dat IP-adressen sneller worden toegewezen en vernieuwd, wat leidt tot een stabielere en betrouwbaardere netwerkverbinding, vooral in omgevingen met frequent veranderende verbindingen.

Sophos Firewall v20 MR1 installeren

Om de nieuwste firmwareversie te installeren, is een Enhanced Support-licentie vereist, tenzij de firewall net nieuw is gekocht en nog een evaluatielicentie heeft: Sophos Firewall-updates in de toekomst niet langer gratis

Deze handleiding beschrijft hoe u de nieuwste versie op uw firewall installeert en de image downloadt: Firmware bijwerken op Sophos Firewall

Meer informatie over de release is te vinden in de Sophos Community - Sophos Firewall OS v20 MR1 is Now Available