Sophos Firewall v20 MR1: Nieuwe functies en verbeteringen

De Sophos Firewall v20 MR1 brengt een groot aantal nieuwe functies en verbeteringen mee die de beveiliging en prestaties van de firewall verder verbeteren. Dit zijn de belangrijkste vernieuwingen in detail:

⚠️ Belangrijk voor alle RED 15 en RED 50 gebruikers die nog niet hebben geüpdatet naar SD-RED 20 of SD-RED 60. Het bericht dat de REDs End of Life zijn, wordt al enige tijd op de firewall weergegeven. Na deze update zijn de oude RED-modellen nog steeds zichtbaar in de WebAdmin, maar maken ze geen verbinding meer met de firewall.

Automatische taaldetectie bij inloggen

Direct na het opstarten met de nieuwe Sophos Firewall v20 MR1-firmware ziet u de eerste wijziging. Of dat goed of slecht is, mag iedereen zelf beoordelen; wat mij betreft eerder het laatste.

De taal voor het Admin Portal wordt automatisch bepaald op basis van de browserinstellingen. Dit wordt vervolgens ook als cookie opgeslagen.

Verbeterde firewallbeveiliging en toegangscontrole

Met de nieuwe versie krijgt u nog fijnmazigere controle over welke services via WAN bereikbaar zijn. Dit verbetert de beveiligingspositie van uw firewall aanzienlijk. Wat niet zichtbaar is, kan ook niet worden aangevallen.

Nieuw zijn de instelmogelijkheden voor IPsec VPN en RED:

Nieuwe services in de Local ACL-uitzonderingslijst

Achter een zone kan echter nog steeds veel aanvalsoppervlak schuilgaan. Daarom is het verstandig om de toegang nog nauwkeuriger te definiëren in de “Local service ACL exception rule”.

De volgende services zijn toegevoegd aan de uitzonderingslijst: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec, en last but not least Chromebook, hoewel ik nog nooit een Chromebook heb gezien behalve op YouTube 🤷‍♂️.

Flexibelere toegangscontrole-uitzonderingen

Met de nieuwe versie van Sophos Firewall v20 MR1 wordt de flexibiliteit van toegangscontrole-uitzonderingen aanzienlijk verbeterd en uitgebreid met drie belangrijke objecttypen.

• Ondersteuning voor FQDN-hosts: U kunt nu volledig gekwalificeerde domeinnamen (FQDN’s) gebruiken in uitzonderingsregels. Dit zorgt voor nauwkeurigere controle over verkeer door de toegang tot specifieke domeinen te beheren op basis van hun namen in plaats van alleen IP-adressen. Ik heb lang uitgekeken naar deze functie (die beschikbaar was op de UTM 🤐).
• Hostgroepen: De mogelijkheid om hostgroepen te definiëren en te gebruiken biedt uitgebreide flexibiliteit bij het beheren van toegangsregels. U kunt meerdere hosts groeperen en deze groep vervolgens gebruiken in uw uitzonderingsregels.
• MAC-adressen: Naast IP-adressen kunnen nu ook MAC-adressen worden opgenomen in toegangscontrole-uitzonderingen. Dit biedt een extra laag van controle, met name nuttig in netwerken met veel dynamische of veranderende IP-adressen.

Zero-Touch Deployment

Zero-Touch Deployment is een geavanceerde functie van Sophos Firewall v20 MR1.

In veel gevallen vervangen we bij Avanet bestaande firewalls 1:1 door nieuwe. Het is dan belangrijk dat dit snel en met minimale onderbrekingen gebeurt. Meestal configureren we het apparaat vooraf op ons kantoor en sturen het daarna naar de klant, waar het alleen nog vervangen hoeft te worden.

In het verleden was voor Zero-Touch Deployment een USB-stick nodig om het configuratiebestand naar de firewall over te brengen. Met de nieuwe versie is dit niet meer nodig, omdat de volledige configuratie via Sophos Central kan gebeuren.

Hier zijn de stappen en verbeteringen in detail:

1. Serienummer invoeren: Het serienummer van de nieuwe firewall wordt ingevoerd in Sophos Central. Dit dient om de firewall te identificeren en te initialiseren.
2. Basisconfiguratie definiëren: Er wordt een basisconfiguratie gedefinieerd die wordt toegepast wanneer de firewall voor het eerst wordt gestart. Dit omvat belangrijke instellingen zoals tijdzone, firewall-hostnaam en netwerkconfiguraties voor LAN en WAN.
3. Internetverbinding tot stand brengen: De firewall wordt op locatie eenvoudig op het netwerk aangesloten, waarna deze automatisch verbinding maakt met Sophos Central en de vooraf gedefinieerde configuratie downloadt.
4. Firewall Management activeren: Na de verbinding met Sophos Central wordt de firewall automatisch geconfigureerd en is hij klaar voor gebruik. Beheerders kunnen vervolgens verdere instellingen en finetuning direct via Sophos Central uitvoeren.

Deze methode vermindert de tijd en complexiteit van de installatie aanzienlijk. Bovendien kan de firewall onmiddellijk worden gebruikt zodra deze is verbonden met internet, waardoor het hele proces wordt versneld.

Voordelen van Zero-Touch Deployment

• Snelle implementatie: Ideaal voor locaties waar geen IT-personeel ter plaatse is. De firewall kan direct na aansluiting op het netwerk worden geconfigureerd en gebruiksklaar worden gemaakt.
• Gecentraliseerd beheer: Alle configuratiestappen worden uitgevoerd via Sophos Central, wat uniform en consistent beheer mogelijk maakt.
• Minimale onderbrekingen: Aangezien de configuratie vooraf is gedefinieerd en automatisch wordt toegepast, is de downtime minimaal, wat vooral voordelig is in bedrijfskritische omgevingen.
• Eenvoudige aanpassing: Na de initiële configuratie kunnen verdere aanpassingen en instellingen centraal worden uitgevoerd zonder dat er een technicus ter plaatse hoeft te zijn.

Met Zero-Touch Deployment biedt Sophos een efficiënte oplossing voor het uitrollen en configureren van firewalls, die tijd bespaart en de netwerkbeschikbaarheid maximaliseert.

• Sophos KB: Add Sophos Firewall with Zero Touch

Logbestanden downloaden voor troubleshooting

Met Sophos Firewall v20 MR1 is het nu mogelijk om afzonderlijke logbestanden direct van de firewall te downloaden. Deze functie vereenvoudigt troubleshooting, omdat u niet langer via een SSH-verbinding toegang tot de firewall hoeft te krijgen om de benodigde gegevens op te halen.

Onder het hoofdmenu-item Diagnostics vindt u de optie Troubleshooting Logs. Hier kunnen beheerders gericht naar bepaalde logs zoeken en meerdere logs tegelijk selecteren. De Sophos Firewall biedt vervolgens een ZIP-bestand aan om te downloaden, met daarin alle geselecteerde logs. Deze bestanden kunnen op een lokale client worden geopend en geanalyseerd.

Elke Site-to-Site IPsec-verbinding en elke afzonderlijke RED-verbinding krijgt een eigen log. Dit maakt een gedetailleerde en specifieke analyse mogelijk zonder omslachtige methoden te hoeven gebruiken. Daardoor worden beheer en onderhoud van de firewall efficiënter en gebruiksvriendelijker.

Beschrijvingsvelden voor objecten

Alle objecten onder “Host & Services” krijgen nu een beschrijvingsveld. Dit omvat IP-hosts, IP-hostgroepen, MAC-adressen en andere netwerkobjecten. De mogelijkheid om een gedetailleerde beschrijving aan elk object toe te voegen, verbetert de documentatie aanzienlijk.

Deze functie maakt het mogelijk om belangrijke informatie direct in de firewall op te slaan. Bijvoorbeeld: bij het aanmaken van een nieuwe IP-host kunt u meteen een beschrijving toevoegen waarin het doel en het gebruik van de host worden uitgelegd. Dit is vooral nuttig wanneer meerdere beheerders de firewall beheren of wanneer nauwkeurige documentatie vereist is.

Een beschrijving kan ook links bevatten naar aanvullende informatie, zoals een Knowledge Base of een PDF-document met specifieke details over het betreffende object. Dit verhoogt de traceerbaarheid en vereenvoudigt toekomstige beheertaken. Zo kan een servicepoort die alleen voor een specifieke applicatie wordt gebruikt direct van relevante informatie en context worden voorzien, wat de efficiëntie en duidelijkheid in het netwerkbeheer aanzienlijk verhoogt.

De beschrijving wordt ook geïndexeerd om zoeken mogelijk te maken.

Generatieve AI Firewall-assistent

Vandaag de dag ben je als bedrijf gewoon niet cool als je AI niet noemt. Een paar jaar geleden was het blockchain.

Er is een nieuwe generatieve AI-gestuurde Sophos Assistant geïntegreerd om u te helpen bij het beheer van uw firewall. U kunt de assistent elke vraag in eenvoudige taal stellen en krijgt instructies en links naar nuttige bronnen.

Niet slecht voor een eerste versie, maar ik denk dat we ons AI anders voorstellen dan alleen een iets betere zoekfunctie?

OpenVPN-upgrade naar v2.6.0

De OpenVPN-component van de Sophos Firewall is bijgewerkt naar versie 2.6.0. Dit verbetert de beveiliging en prestaties voor SSL VPN. Site-to-Site SSL VPN’s met oudere versies worden niet meer ondersteund. Het wordt aanbevolen om te updaten naar v20.0 MR1 of alternatieve VPN-oplossingen zoals IPsec te gebruiken.

Bovendien kan de nieuwste versie van de Sophos Connect Client (v2.3) worden gedownload via het VPN-portaal:

• Sophos Connect SSL VPN Client installeren (Windows) – SFOS
• Sophos Community: Sophos Connect 2.3 Update Released
• Sophos Community: Sophos Connect News and Release Notes

Belangrijke opmerkingen over SSL VPN-compatibiliteit

Door de upgrade naar OpenVPN 2.6.0 in deze versie worden SSL VPN-tunnels niet meer opgezet met de volgende clients en firewallversies:

• SFOS v18.5 en eerdere versies: Site-to-Site SSL VPN’s kunnen niet meer worden opgezet. Het wordt aanbevolen om alle relevante firewalls naar v20.0 MR1 te updaten of Site-to-Site IPsec- of RED-tunnels te gebruiken.
• Legacy SSL VPN Client: Remote Access SSL VPN-tunnels worden niet meer opgezet met de verouderde SSL VPN Client. Gebruik de Sophos Connect Client of clients van derden zoals de OpenVPN Client.
• UTM9 OS: Site-to-Site SSL VPN’s kunnen niet meer worden opgezet tussen UTM9 OS en SFOS v20.0 MR1. Het wordt aanbevolen om deze apparaten naar v20.0 MR1 te migreren of Site-to-Site IPsec- of RED-tunnels te gebruiken.

Verbeteringen in SD-WAN en VPN

De nieuwe versie van Sophos Firewall v20 MR1 brengt belangrijke verbeteringen op het gebied van SD-WAN en VPN, die zowel de betrouwbaarheid als de prestaties aanzienlijk verhogen.

• Minimale trafficonderbrekingen: De beschikbaarheid van de gateways tijdens HA-failover en herstarts van apparaten is met een factor vier verbeterd. Dit betekent dat bij uitval van een gateway of bij het herstarten van een apparaat de onderbrekingen in het dataverkeer duidelijk worden beperkt, wat tot een stabielere netwerkverbinding leidt.
• Nieuwe OpenVPN 3.0 Client: De nieuwe OpenVPN 3.0 Client voor Remote Access SSL VPN kan nu via het VPN-portaal worden gedownload. Deze client biedt verbeterde beveiligingsfuncties en een hogere compatibiliteit met verschillende besturingssystemen, wat de inrichting en het beheer van VPN-verbindingen vereenvoudigt en de gebruikerservaring verbetert.
• IPsec Phase-1 IKEv2-ondersteuning: Ondersteuning voor GCM- en Suite-B-ciphers is toegevoegd, wat de interoperabiliteit en datadoorvoer bij IPsec-verbindingen verbetert. Deze moderne versleutelingsmethoden zorgen voor veiligere en efficiëntere gegevensoverdracht tussen netwerkapparaten.
• DHCP Busybox-verbeteringen: De standaard leasetijd voor DHCP is ingesteld op 30 seconden om WAN-verbindingsproblemen te elimineren. Kortere leasetijden betekenen dat IP-adressen sneller worden toegewezen en vernieuwd, wat leidt tot een stabielere en betrouwbaardere netwerkverbinding, vooral in omgevingen met vaak wisselende verbindingen.

Sophos Firewall v20 MR1 installeren

Om de nieuwste firmwareversie te installeren, is een Enhanced Support-licentie vereist, tenzij de firewall net nieuw is gekocht en nog een evaluatielicentie heeft: Sophos Firewall-updates in de toekomst niet langer gratis

Deze handleiding beschrijft hoe u de nieuwste versie op uw firewall installeert en de image downloadt: Firmware bijwerken op Sophos Firewall

Meer informatie over de release is te vinden in de Sophos Community - Sophos Firewall OS v20 MR1 is Now Available