Naar de inhoud
Avanet
Sophos SFOS-update - nieuwe functies in v18.5.2

Sophos SFOS-update - nieuwe functies in v18.5.2

3. DECEMBER 2021

In deze blogpost lees je welke vernieuwingen je te wachten staan in de nieuwste SFOS 18.5 MR2-firewallupdate.

Belangrijke info: SFOS 17.5 EoL

Voordat we naar de nieuwste SFOS 18.5 MR2-release kijken, eerst een korte boodschap voor iedereen die nog versie 17.5 van SFOS gebruikt. Deze is sinds 30 november 2021 end-of-life. Uitzonderingen zijn alleen de XG 85(w)- en XG 105(w)-appliances, omdat deze hardware v18 niet ondersteunt en in augustus 2022 sowieso end-of-life is. Voor alle andere omgevingen geldt: updaten, anders zijn er geen support of beveiligingsupdates meer.

VPN AES-GCM en AES-GMAC

Voor site-to-site-VPN-verbindingen is er een nieuwe versleutelingsmodus in fase 2.

SFOS 18.5.2 AES-GCM / AES-GMAC
Nieuwe AES-GCM- en AES-GMAC-opties voor fase-2-versleuteling.

Deze nieuwe opties bieden meer performance en zullen in een latere SFOS-versie ook beschikbaar zijn voor remote clients.

MFA voor admin-gebruikers

Tot nu toe kon je geen multifactorauthenticatie (MFA) inschakelen voor het admin-account. Deze systeemgebruiker is echter erg risicovol, omdat hij standaard op elke firewall bestaat. Bij andere fabrikanten en systemen zoals Windows of Synology stapt men steeds meer af van het aanmaken van een gebruiker met de naam “Admin” of “Administrator”. Met SFOS 18.5 MR2 is het nu in ieder geval mogelijk MFA voor webadmin-toegang in te schakelen. 👍

MFA-instellingen in SFOS 18.5.2
MFA inschakelen voor webadmin-toegang.

Voor SSH-toegang volstaat nog steeds alleen het wachtwoord. Het blijft daarom belangrijk de toegang zo veel mogelijk te beperken.

MFA-melding in SFOS 18.5.2
Duidelijke waarschuwing als er accounts zonder MFA zijn.

Je krijgt ook een melding als er gebruikers zijn voor wie MFA nog niet is ingeschakeld.

Central-registratie met OTP-token

Firewall en Central horen inmiddels bij elkaar als burgers 🍔 en friet 🍟. Maar als je nog geen Central-account hebt of een nieuwe gebruiker moet aanmaken, zijn er meer dan 15 stappen en kost de procedure een paar minuten.

Central OTP-token in SFOS 18.5.2

Je kunt nu met slechts enkele klikken in Central een token aanmaken en dat gebruiken om de firewall in Central te registreren.

Sophos Assistant

Sophos-firewalls krijgen een interactieve assistent die helpt bij configuraties. Op dit moment biedt de assistent hulp bij de volgende drie onderwerpen:

  • DNAT en firewallregels voor de interne webserver
  • Site-to-site-IPsec-VPN
  • Remote Access SSL-VPN

De drie beschikbare onderwerpen zijn voorgesteld door Sophos Support, omdat het team hier blijkbaar veel vragen over ontvangt. In de toekomst volgen meer handleidingen en Sophos staat open voor feedback. Als je ideeën hebt, kun je die via het contactformulier naar ons sturen en wij geven ze door.

Sophos Assistant in Sophos Firewall
Sophos Assistant in SFOS.

Verdere verbeteringen

  • Wanneer je een appliance opnieuw installeert met de ISO-image, verschijnt na afloop van het installatieproces een bericht op het LED-display van de firewall.
  • Certificeringen – FIPS 140-2 Level 1
  • Weergave van alle groepen waarvan een gebruiker lid is
  • Cloudflare wordt nu ondersteund als DynDNS-provider
  • Schakelaar om IPS globaal uit te schakelen (bijvoorbeeld voor troubleshooting)
Globale IPS-schakelaar in SFOS 18.5.2
IPS-bescherming globaal uitschakelen.

Meer informatie

Als je nu naar de nieuwe versie wilt updaten of van een XG naar een XGS wilt migreren, bekijk dan eerst de onderstaande pagina’s. Die helpen je je optimaal op de update voor te bereiden en belangrijke randvoorwaarden te verduidelijken.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.