Naar de inhoud
Avanet
Sophos Firewall v21.5 MR1: beveiliging en stabiliteit centraal

Sophos Firewall v21.5 MR1: beveiliging en stabiliteit centraal

Sophos Firewall v21.5 MR1 bundelt talrijke verbeteringen voor beveiliging, stabiliteit en betrouwbaarheid. Daarnaast zijn er gerichte vernieuwingen zoals OAuth 2.00 voor e-mailmeldingen, NDR-fijnafstemming en HA-verharding.

Nieuwe functies in SFOS v21.5 MR1

OAuth 2.00 voor e-mailmeldingen

E-mailmeldingen kunnen met OAuth 2.00 voor Gmail en Microsoft 365 worden beveiligd. Wachtwoordauthenticatie wordt geleidelijk uitgefaseerd. Voordelen: kleiner aanvalsoppervlak, centraal tokenbeheer en traceerbare toegang. De configuratie gebeurt onder Administration > Notification settings. Voor Gmail is een app-registratie in de Google Cloud Console vereist (Client ID, Client Secret). De firewall gebruikt Refresh Tokens voor permanente authenticatie. Daarnaast maakt OAuth 2.00 het gebruik van beleid, multi-factor authenticatie en centrale intrekking van gecompromitteerde tokens mogelijk. Het is raadzaam om SMTP-profielen vroegtijdig te migreren, een testmail te versturen en een fallback-mailserver te configureren; MFA-beleid moet worden gecontroleerd en gedocumenteerd.

Gelokaliseerde geplande rapporten

Geplande PDF-rapporten worden gegenereerd in de taal die bij het inloggen in de WebAdmin is gebruikt. Dit vermindert vertaalwerk en vergemakkelijkt de afstemming met businessafdelingen. Rapporten zijn consistenter en kunnen zonder extra werk in managementmeetings worden gebruikt.

NDR Essentials: Datacenter-selectie

De analyseregio voor NDR Essentials is vrij te kiezen. Standaard wordt de regio met de laagste latentie gebruikt. Zo kunnen eisen rond dataresidentie en compliance worden ingevuld. In multi-regio-setups is de juiste keuze belangrijk om ongewenste gegevensstromen te voorkomen. Het is zinvol om de gekozen regio te documenteren, een geplande wijziging voor te bereiden, monitoring aan te passen en rekening te houden met privacyrichtlijnen.

NDR Essentials: Threat Score in ATR-logs

De Threat Score verschijnt in de Active Threat Response-logs. Dit vergemakkelijkt prioritering, correlatie en rapportage in SIEM en XDR. Op score gebaseerde waarschuwingen maken een fijnere classificatie van incidenten mogelijk.

Sophos Firewall v21.5 MR1 - NDR Essentials Datacenter locatie
Sophos Firewall v21.5 MR1 - NDR Essentials Datacenter Locatie

Syslog: device_name komt overeen met hostnaam

Het veld device_name bevat de geconfigureerde hostnaam van de firewall. Dit maakt het gemakkelijker om logs toe te wijzen in omgevingen met meerdere apparaten. Integraties met XDR en SIEM worden robuuster.

Beveiligde hoge beschikbaarheid

Sterke wachtwoordzinnen zijn verplicht; automatische generatie vervalt. Bovendien controleert de HA-koppeling de SSH Host Key van de partner. Dit maakt Man-in-the-Middle-aanvallen moeilijker en voorkomt verwisselingen binnen het cluster. Verbeterde foutmeldingen ondersteunen de diagnose.

LINCE-modus in HA

LINCE is een Spaanse overheidscertificering voor beveiliging die minimale cryptografische eisen definieert. De LINCE-modus dwingt een toegestane selectie van algoritmen en sleutellengtes af op de firewall en beïnvloedt onder andere SSH- en VPN-instellingen. Activering gebeurt via CLI en herstart de SSH-service. In HA-omgevingen moet de LINCE-modus op beide apparaten identiek zijn vóór de HA-setup. Bij het herstellen van HA-back-ups moet de LINCE-status van de doelapparaten overeenkomen met de back-up, anders wordt het herstel geweigerd of de modus aangepast.

Route-based VPN: automatische XFRM-MTU

De firewall berekent automatisch een aangepaste MTU voor XFRM-interfaces door IPsec-overhead af te trekken. Doel: minder fragmentatie en stabielere TCP-verbindingen. De waarde is aanpasbaar. Controleer na de upgrade de MTU, pas indien nodig provider-specifiek aan en test kritieke applicaties.

Aanpasbare tabelkolommen

Veel onderdelen in Sophos Firewall v21.5 MR1 ondersteunen vrij aanpasbare kolombreedtes, bijvoorbeeld Network, SD-WAN Routes, Gateways en Local Service ACL. De breedtes worden in de browser opgeslagen en in toekomstige sessies opnieuw gebruikt.

Hotspot-vouchers: Sorteren en filteren

Vouchers kunnen worden gesorteerd op aanmaakdatum en verschijnen direct bovenaan. Dit vergemakkelijkt uitgifte en controle.

SNMP-MIB’s: verbeterde RFC-naleving

De MIB’s zijn nauwer afgestemd op de RFC’s voor SNMPv1, v2 en v3. Dit verbetert de compatibiliteit met monitoringtools en vermindert parseerfouten.

Live Users: uniforme gegevenseenheden

Datavolumes worden uniform weergegeven in KB, MB en GB. Dit vergemakkelijkt vergelijkingen en vermindert misverstanden.

Groepsimport uit AD en Entra ID

Bij het importeren van groepen worden L2TP en PPTP niet langer automatisch geactiveerd. Remote Access blijft expliciet stuurbaar. Dit voorkomt ongewenste aanvalsoppervlakken.

Active Directory SSO: Windows Server 2025

Single Sign-On ondersteunt nu Windows Server 2025 via NTLM en Kerberos. Dit vergemakkelijkt de integratie in moderne AD-omgevingen en hybride setups met Azure AD.

RED-systeemhosts: correcte /32

Systeemhostobjecten voor RED gebruiken nu consequent het subnetmasker /32. Voorheen kon het masker afwijken van de configuratie die bij het aanmaken van de interface was ingesteld. Als een RED-systeemhost in regels of objecten voor grotere netwerken wordt gebruikt, matcht het verkeer na de update mogelijk niet meer. In de praktijk is het zinvol om afhankelijke firewallregels en hostobjecten te controleren en indien nodig over te stappen op passende IP- of netwerkobjecten.

Compatibiliteit en aandachtspunten

  • SSL VPN-compatibiliteit: geen tunnels naar SFOS 18.5 en ouder, Legacy SSL VPN Client of UTM 9. Alternatieven: upgrade, IPsec of RED.
  • Legacy RED Site-to-Site Tunnels van de oude generatie worden vanaf SFOS 22 niet meer ondersteund. Migratie naar ondersteunde RED Site-to-Site Tunnels of IPsec Tunnels wordt aanbevolen.
  • Upgradepaden: houd rekening met de officiële migratiepaden. Sophos Central kan upgrades plannen en aansturen.
  • Maak vóór elke upgrade een volledige back-up en een rollback-plan.

Conclusie

Sophos Firewall v21.5 MR1 is een reguliere maintenance release met kleinere verbeteringen en bugfixes. De release stabiliseert de lopende werking en bevat detailcorrecties. Zinvol zijn vooral de overstap naar OAuth 2.00 voor e-mailmeldingen, de keuze van de NDR-regio en een korte controle van de HA- en Syslog-instellingen. In totaal gaat het om incrementele aanpassingen voor het onderhoud van de huidige release-tak. Begin december wordt het weer interessant, wanneer SFOS v22 naar verwachting verschijnt.

Bronnen

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.