Sophos Firewall v19.5 - Wszystkie nowe funkcje w tej aktualizacji
Minęło już kilka miesięcy, odkąd ostatni raz miałem czas na napisanie artykułu o aktualizacji SFOS. W przyszłości będzie już lepiej. Dlatego tym bardziej cieszę się, że mogę przedstawić nowe funkcje i ulepszenia w SFOS 19.5.
Aktualizacja jest przeznaczona dla wszystkich Sophos Firewall z serii SG, XG i XGS, a także dla wirtualnych appliances oraz instancji na platformach chmurowych, takich jak Azure czy AWS.
Poniższe modele nie otrzymają aktualizacji, ponieważ nie posiadają 4 GB pamięci RAM: XG 85(w), XG 105(w), SG 105(w)
Luka bezpieczeństwa CVE-2022-3236 zostaje zamknięta
Luka wstrzykiwania kodu w portalu użytkownika i w WebAdmin pozwala atakującemu na wykonanie kodu w Sophos Firewall, w wersji v19.0 MR1 i starszych. CVE-2022-3236
Wyszukiwanie hostów i usług
W SFOS v19 wyszukiwanie obiektów w regułach firewall zostało znacząco ulepszone. W kilku miejscach wciąż brakowało jednak funkcji wyszukiwania, na przykład przy obiektach Hosts i Services. Teraz można wyszukiwać według nazwy, portów lub adresów IP, co ułatwia także znajdowanie zduplikowanych obiektów.
Usunięcie zduplikowanych obiektów, jeśli są one nadal używane, nie jest jeszcze tak proste, ponieważ nie ma wskazówki, gdzie ten obiekt jest używany.
Logowanie Webadmin przez Azure AD SSO
Azure AD jest już od dłuższego czasu dostępne w Sophos Central. Wraz z v19.5 integracja Azure Active Directory (Azure AD) trafia teraz do Sophos Firewall i umożliwia Single Sign-on (SSO) w konsoli Webadmin.
Integracja Azure AD umożliwia również dynamiczne zarządzanie rolami i dostępem do grup. Możliwe jest więc tworzenie własnych profili uprawnień na zaporze lub wykorzystanie już istniejących i przypisanie ich do użytkownika w Azure AD.
Integracja Azure AD dla logowania do Webadmin to z pewnością świetny początek. Naprawdę ciekawie zrobi się wtedy, gdy będzie ona działać także dla użytkowników Remote Access (SSL VPN lub IPsec) oraz User Portal.
Ulepszenia wysokiej dostępności
Pojawiły się również naprawdę dobre ulepszenia dla klastrów HA. Jedną z drobnych nowości jest na przykład komunikat podczas tworzenia klastra, że licencja musi znajdować się na Primary Device albo, w przypadku klastra Active-Active, którego w praktyce prawie nigdy nie używamy, na obu appliances.
Można teraz skonfigurować wiele HA links, i to nie tylko przez bezpośrednie połączenie, lecz także przez LAG oraz VLAN.
Interfejsy VLAN mogą być teraz również dodawane do monitorowania interfejsów.
Strona statusu dostarcza teraz znacznie więcej ważnych informacji. Widać, na którym node aktywowano licencję, wraz z datą i godziną ostatniej zmiany statusu klastra. Można nadać nazwę i nie trzeba już zapamiętywać numeru seryjnego.
Widget w Control Center został przeniesiony w prawy górny róg i również pokazuje więcej informacji o klastrze. Nazwa zakładki wskazuje teraz także, z którym node jesteśmy połączeni, choć wolałbym, aby pojawiała się tam nazwa hosta firewalla, ponieważ i tak nigdy nie loguję się na Node2.
Równoważenie obciążenia SD-WAN
Od wersji 19 dostępny jest SD-WAN, a w profilach w nowej wersji można skonfigurować Load Balancing. Dostępne metody to Round Robin oraz Session Persistence.
Round Robin
Połączenia są rozdzielane na wybrane połączenia zgodnie z wagą. Na zrzucie ekranu obie bramy mają obecnie wagę 1, co skutkuje równomiernym rozłożeniem na obie bramy.
Session Persistence
W przypadku Session Persistence można zdefiniować, czy ruch ma być dzielony według Source-IP, Destination-IP, obu jednocześnie, czy per połączenie.
Ta nowość dotyczy profilu SD-WAN. Oczywiście można utworzyć wiele profili i używać ich zależnie od wymagań strategii routingu, na podstawie aplikacji, źródła, celu lub usługi.
Większa wydajność dla wszystkich Sophos XGS Firewalls
Każda appliance Sophos XGS ma architekturę z dwoma procesorami. Już przy wprowadzeniu XGS-Series Sophos przyspieszył niektóre połączenia dwukrotnie w porównaniu z XG-Series. Zapowiedziano też, że wraz z kolejnymi aktualizacjami oprogramowania procesy będą przenoszone z CPU na NPU, aby poprawić wydajność. W wersji 19.5 kolejne procesy są obsługiwane przez Xstream Flow Processor i dzięki temu przyspieszane. W tym wydaniu, właśnie dzięki temu rozwojowi, liczba tuneli IPsec VPN w modelach XGS została po prostu podwojona.
W modelach XGS 4300, 4500, 5500 i 6500 połączenia szyfrowane TLS są przyspieszane na FastPath, co sprawia, że głęboka inspekcja pakietów jest jeszcze bardziej wydajna.
Inne drobne ulepszenia w v19.5
OSPFv3
Nowy dynamiczny silnik routingu oferuje wsparcie dla OSPFv3. Do nowości w OSPFv3 należą między innymi obsługa IPv6, mniejszy rozmiar nagłówka oraz rezygnacja z MD5 do uwierzytelniania. OSPFv3 całkowicie rezygnuje z własnej obsługi uwierzytelniania i zamiast tego opiera się na bardziej elastycznym frameworku IPsec w IPv6.
Log
Ulepszone przechowywanie plików dziennika umożliwia szczegółowe rozwiązywanie problemów.
Wsparcie sprzętowe
Ulepszona obsługa interfejsów 40G z automatycznym wykrywaniem rozszerzonych konfiguracji portów w modelach XGS 5500 i 6500.
Wsparcie sprzętowe dla modułów 5G, które było wymienione w EAP, nie znajduje się już w finalnej wersji v19.5. Przypuszczam zatem, że moduły pojawią się nieco później, niż oczekiwano.
Film o nowościach w Sophos Firewall OS v19.5
Jak widać, Sophos bardzo się stara, aby pokazać nowe funkcje w filmach, co bardzo nam się podoba. Często pojawiały się nowe funkcje, które umykały uwadze w notatkach do wydania i tylko nieliczni je zauważali. Oprócz umieszczonego powyżej filmu o poszczególnych funkcjach, dostępny jest również film o Sophos Firewall 19.5 jako całości.
Aktualizacje nie będą już długo darmowe
Być może ta informacja nie dotarła do wszystkich: Aktualizacje Sophos Firewall w przyszłości nie będą już bezpłatne
Mamy więc teraz pierwszą aktualizację od wersji 19.0 MR1, a licznik darmowych aktualizacji zaczyna się od trzech. Po instalacji, a dokładniej po wgraniu nowego obrazu firmware 19.5, będzie wynosił dwa.
Jeśli spojrzeć na innowacje w tej aktualizacji, która, co prawda, jest dużą aktualizacją, widać, że pojawia się wiele nowych funkcji, które sprawią, że Sophos Firewall stanie się jeszcze lepszy. Ten rozwój musi zostać opłacony i, jak wiadomo z aplikacji na smartfony, wielu deweloperów przechodzi na model subskrypcyjny, aby ten rozwój został opłacony.
W związku z tym, gdy licznik firmware osiągnie zero, potrzebna będzie licencja Enhanced Support, dostępna osobno albo zawarta w pakiecie licencyjnym, takim jak Standard Protection, Xstream Protection lub Epic Protection.
