Przejdz do tresci
Avanet
Sophos UTM Update v9.6 wydana

Sophos UTM Update v9.6 wydana

23. LISTOPADA 2018

Sophos opublikował wersję 9.600 oprogramowania UTM. Poniżej zestawienie najważniejszych nowości w wydaniu 9.6:

Integracja Let’s Encrypt

Integracja Let’s Encrypt z UTM była od dawna jednym z najczęściej zgłaszanych życzeń. Wraz z wersją 9.6 wreszcie stała się rzeczywistością. Certyfikaty można generować poprzez WAF, a ich odnowienie odbywa się automatycznie.

Wskazówka: jeżeli na interfejsie, na którym działa Let’s Encrypt, skonfigurowano regułę DNAT dla HTTP, należy ją wyłączyć. Również funkcja Country Blocking może powodować problemy – w razie potrzeby warto dodać odpowiedni wyjątek.

ATP: nowa biblioteka Advanced Threat Protection

Moduł Advanced Threat Protection otrzymał nową bibliotekę, co przekłada się zarówno na wyższy poziom ochrony, jak i lepszą wydajność.

RED: nowy firmware

Urządzenia RED 15 i RED 50 otrzymują nowy firmware zawierający zaktualizowane sterowniki dla modemów USB 3G/4G, co poprawia ich obsługę.

Sandstorm: ręczne przesyłanie plików i raporty

Administratorzy mogą teraz ręcznie przesyłać pliki do Sophos Sandstorm w celu ich uruchomienia i analizy. Dzięki temu możliwe jest badanie także plików, które nie zostały pobrane z internetu ani dostarczone e‑mailem. Ulepszono również raportowanie – raporty Sandstorm są bardziej szczegółowe dla wybranego zakresu czasu.

SMTP Proxy: usprawnienia

Proxy SMTP zyskał obsługę „Submission Port” oraz możliwość skonfigurowania adresu, na którym nasłuchuje.

WAF: własne strony błędów

Wszystkie strony błędów generowane przez WAF mogą być teraz dostosowane do identyfikacji wizualnej firmy. Pozwala to zachować spójny wygląd także na stronach systemowych.

Rozczarowanie w kwestii IKEv2

Społeczność użytkowników od dawna domagała się wsparcia dla IKEv2. Jak jednak informuje Sophos, nie udało się już zaimplementować IKEv2 w wersji UTM 9.6. Mówiąc wprost: nie należy raczej oczekiwać, że IKEv2 pojawi się jeszcze kiedykolwiek w UTM. Jeśli spojrzymy na roadmapę XG, widać, że jest bardzo rozbudowana i na niej skupiają się prace rozwojowe. Roadmapa UTM w porównaniu wygląda dość skromnie.

Jeśli IKEv2 jest dla Ciebie koniecznością, zalecamy rozważenie migracji do nowego systemu SFOS. W przypadku appliance’ów SG nie ma potrzeby zakupu nowego sprzętu, a pozostały czas licencji zostaje przeniesiony. Jeśli potrzebujesz wsparcia przy migracji, chętnie pomożemy. Na dzień 23.11.2018 od około półtora roku nie instalujemy już nowych systemów UTM – wdrażamy wyłącznie XG – a naszą wiedzę o UTM wykorzystujemy głównie przy migracjach do SFOS.

Uwaga: podczas aktualizacji system UTM zostanie ponownie uruchomiony, a konfiguracja – zaktualizowana. Należy pamiętać, że aktualizację firmware’u otrzymają również podłączone urządzenia RED i access pointy.

Ważne: po aktualizacji do UTM 9.6 stary szablon HTML strony ostrzeżeń proxy HTTP nie działa poprawnie. Należy pobrać nowe szablony, dostosować je do własnych potrzeb i ponownie przesłać na UTM. Więcej informacji znajduje się tutaj: KBA133167 - Sophos UTM: Changes to customized web templates in 9.6.

Poprawki błędów

  • NUTM-10128 [Access & Identity] MDW waits hours for lock on shared cache with AUA
  • NUTM-10130 [Access & Identity] Unable to connect RDP type bookmark with NLA
  • NUTM-7418 [Access & Identity] SAA - Rename Client Auth CA
  • NUTM-9368 [Access & Identity] SSL VPN: optional user auth not working
  • NUTM-9525 [Access & Identity] Disk filling up with argos error messages in endpoint.log
  • NUTM-9843 [Access & Identity] HTML5 VPN portal connections periodically stop working until service is restarted
  • NUTM-10080 [Basesystem] Update to latest Avira SAVAPI version
  • NUTM-10366 [Basesystem] Missing IP address in IPset of user network for STAS
  • NUTM-9783 [Basesystem] IPsec routing issue if gateway interface has additional addresses
  • NUTM-9810 [Basesystem] IPset Object takes 30 seconds to update after SSL VPN connection was established
  • NUTM-9860 [Basesystem] Selfmon trying to start DHCP even when not in use
  • NUTM-10226 [Email] Can’t release POP3 messages due to URL in User Portal
  • NUTM-9681 [Email] cssd coredumps and root partition is filling up
  • NUTM-9716 [Email] S/MIME encryption - automatic certificate extraction causing high load / no webadmin access
  • NUTM-9733 [Email] Change default encryption algorithm to ‘smime’
  • NUTM-9853 [Email] Fix policy traversal (for gpg, smime, unscanable)
  • NUTM-9882 [Email] Umlauts in mail addresses get corrupted if SPX encryption is used
  • NUTM-10181 [Network] Remove DNSdynamic from available dynamic DNS providers
  • NUTM-10307 [Network] ATP exception still working after deletion
  • NUTM-10337 [Network] High CPU load by AFCd when hotspot is enabled
  • NUTM-10414 [Network] Segfault in oculusd
  • NUTM-2791 [Network] Fix detection of sub applications in Application Control
  • NUTM-4767 [Network] SSH for single host skipping AFC check
  • NUTM-9462 [Network] Update to BIND 9.11 ESV
  • NUTM-10197 [RED] All REDs disconnect intermittently
  • NUTM-10227 [RED] Offline provisioning does not work
  • NUTM-10303 [RED] Unified FW: split networks does not work
  • NUTM-10384 [RED] Update hostapd for Unified-FW
  • NUTM-9026 [RED] TP-LINK MA260 dongle on RED doesn’t work anymore after update to v9.5
  • NUTM-9795 [RED] RED50 issue with large packets in Transparent/Split mode
  • NUTM-10060 [Reporting] ATP alerts / events not deleted after three days
  • NUTM-10201 [Reporting] Unable to download S/MIME internal user certificate
  • NUTM-10352 [Sandstorm] Sandstorm Activity Report table and graph do not show same data
  • NUTM-10367 [Sandstorm] Sandstorm Activity Graph does not include email cached results
  • NUTM-2644 [UI Framework] Webadmin prefetching list box not displaying any users, if one user contains a single tick
  • NUTM-10066 [WAF] Existing certificate chain overrides after new certificate chain has been added
  • NUTM-10185 [WAF] Using printenv SSI directive in custom theme causes segfault
  • NUTM-10315 [WAF] Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible)
  • NUTM-10316 [WAF] Let’s Encrypt certificates allow wildcards in domain name list
  • NUTM-10332 [WAF] Let’s Encrypt not working over IPv6
  • NUTM-9809 [WAF] Potential memory allocation failure for “Rewrite HTML” + location with special characters
  • NUTM-10188 [WebAdmin] [OTP] QR code not visible for the first user login
  • NUTM-10214 [WebAdmin] Breach Vulnerability in WebAdmin (CVE-2013-3587)
  • NUTM-6945 [WebAdmin] Popup too small for secret when deleting SHA512 OTP token
  • NUTM-7381 [WebAdmin] Login to UserPortal only works at second try when using RADIUS authentication
  • NUTM-9424 [WebAdmin] Webadmin session interrupted with pop-up “Backend connection failed”
  • NUTM-10200 [Web] Segfault in libc-2.11.3.so
  • NUTM-10284 [Web] HTTP Proxy crash with coredumps
  • NUTM-9676 [Web] HTTP Proxy out-of-memory segfault / HTTP Proxy stops working with “Avira engine not available”
  • NUTM-9854 [Web] Warning page bypass using crafted URLs
  • NUTM-9873 [Web] File blocked due to MIME type detection even if there is an exception
  • NUTM-9956 [Web] HTTP Proxy coredumps in geoip scanner
  • NUTM-10365 [Wireless] RED15w: SSID isn’t broadcasted when “Enterprise Authentication” is in use
Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.